Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Android, Chiffrement, Communiqué de presse, Cybersécurité, ID, Identité numérique, IOT, Logiciels, Mise à jour, Patch, Sécurité, Securite informatique, Smartphone, Téléphonie

Vulnérabilité dans les applications Xiaomi

Les smartphones sont généralement fournis avec des applications préinstallées, dont certaines sont utiles et d’autres ne sont jamais utilisées. Un utilisateur ne s’attend toutefois pas à ce qu’une application préinstallée soit réellement dommageable pour sa vie privée et sa sécurité.

Check Point Research a récemment découvert une vulnérabilité dans l’une des applications préinstallées de Xiaomi, l’un des plus importants fabricants de téléphones mobiles au monde, qui avec près de 8 % de parts de marché en 2018, se classe troisième sur le marché de la téléphonie mobile. Ironiquement, l’application de sécurité préinstallée « Guard Provider », qui est censée protéger les téléphones contre les logiciels malveillants, expose les utilisateurs à des attaques.

En raison de la nature non sécurisée du trafic réseau entre Guard Provider et les différents SDK utilisés par l’application, un pirate pourrait se connecter au même réseau wifi que la victime et déclencher une attaque de type Man-in-the-Middle. Des failles dans les communications entre les différents SDK permettraient au pirate d’injecter n’importe quel logiciel malveillant de son choix, par exemple pour dérober des mots de passe ou surveiller les activités de l’utilisateur, un logiciel rançonneur ou tout autre type de logiciel malveillant. Pour plus de détails techniques, veuillez consulter Check Point Research.

Comme toutes les applications préinstallées telles que Guard Provider, ce type d’application est présent sur tous les appareils mobiles et ne peut être supprimé. Conformément à sa politique de communication responsable, Check Point a notifié Xiaomi, qui a publié un correctif peu de temps après.

Les avantages et les inconvénients des SDK

 Un kit de développement logiciel (SDK) est un ensemble d’outils de programmation permettant aux développeurs de créer des applications pour une plate-forme spécifique. Dans le cas des appareils mobiles, les SDK mobiles permettent aux développeurs de gagner du temps en leur évitant d’avoir « à réinventer la roue » et d’améliorer la stabilité du back-end pour les fonctionnalités qui ne sont pas liées au cœur de leur application.

À mesure que le développement de SDK s’accroit, de nouvelles opportunités d’apporter de meilleures fonctionnalités à leurs utilisateurs se présentent aux développeurs d’applications.

Mais lorsque de plus en plus de codes tiers s’ajoutent à une application, les efforts pour maintenir la stabilité de son environnement de production, protéger les données des utilisateurs et contrôler les performances, deviennent beaucoup plus complexes.

SDK fatigue

On emploie le terme « d’usure par SDK » (de l’anglais « SDK fatigue ») pour décrire cette utilisation accrue de plusieurs SDK au sein de la même application, qui rend l’application plus vulnérable à des problèmes de plantage, de virus, de logiciels malveillants, de failles de confidentialité, de consommation d’énergie, de ralentissement et bien d’autres problèmes.

Les inconvénients cachés de l’utilisation de plusieurs SDK au sein d’une même application résident dans le fait qu’ils partagent tous le contexte et les autorisations de l’application. Ces principaux inconvénients sont :

  1. Un problème dans un SDK compromettant la protection de tous les autres.
  2. Les données de stockage privées d’un SDK ne peuvent pas être isolées et sont donc accessibles à un autre SDK.

Selon un rapport récent, l’utilisation de plusieurs SDK dans une seule application est beaucoup plus courante qu’on ne le pense. Plus de 18 SDK sont implémentés en moyenne dans la même application. Ce faisant, les développeurs exposent les entreprises et les utilisateurs à des dangers potentiels qui peuvent être exploités par les pirates pour perturber le fonctionnement normal des appareils.

2 + 2 n’est pas toujours = à 4

Le personnel de sécurité informatique d’une entreprise n’est pas censé connaître les tenants et les aboutissants des kits de développement logiciel (SDK) utilisés pour créer les applications que les employés installent éventuellement sur leurs appareils. Il est cependant important de savoir que la façon dont les applications sont développées peut comporter des risques pour la sécurité. On pourrait supposer que les éléments utilisés dans une application de sécurité sont sécurisés, mais comme le montre la vulnérabilité dans les applications préinstallées de Xiaomi, c’est loin d’être le cas.

Les développeurs et les entreprises doivent également comprendre qu’un élément sécurisé associé à un autre élément sécurisé dans une application sur un téléphone ne signifie pas nécessairement que l’ensemble restera sécurisé lorsque ces deux éléments seront mis en œuvre conjointement.

La seule défense contre ces menaces cachées et obscures consiste à garantir que le parc d’appareils mobiles de votre entreprise est protégé contre les attaques de type Man-in-the-Middle.

APT, Argent, backdoor, Banque, Base de données, Cybersécurité, Entreprise, Fuite de données, ID, Particuliers, Securite informatique, Téléphonie

Anubis : cheval de Troie bancaire décortiqué

Anubis 2 est apparu dans le « paysage des menaces » en 2017 en tant que cheval de Troie bancaire en location (disponible pour les fraudeurs dans des forums undergrounds), l’auteur et créateur du malware se surnomme « maza-in ». Si ce dernier a disparu des radars, son outil malveillant est toujours en action.

En tant que malware bancaire, Anubis incite ses victimes à fournir des informations personnelles et sensibles, telles que les logins bancaires, des codes de sécurité bancaire et même des informations de carte de crédit. Mais ce logiciel malveillant va au-delà des attaques « overlay » bien connues, utilisées par les chevaux de Troie bancaires, car il combine des fonctionnalités avancées telles que le streaming d’écran du téléphoné infecté, l’accès à tous les fichiers à distance, l’enregistrement sonore, le key-logging et même un proxy réseau, ce qui en fait un malware bancaire efficace, mais également un potentiel outil pour espionnage.

D’un point de vue opérationnel, Anubis peut être considéré comme l’un des chevaux de Troie bancaires Android les plus utilisés depuis fin 2017. En ce qui concerne les banques Françaises, les suivantes sont ciblées : Axa, Banque Populaire, BNP Paribas, Boursorama, Caisse d’Épargne, Crédit Agricole, Crédit Mutuel, LCL, Palatine ou encore la Société Générale.

L’auteur a disparu, par son code malveillant

Au cours du premier trimestre 2019, l’auteur et créateur du cheval de Troie a disparu, laissant les clients existants sans assistance ni mises à jour; mais le risque demeure et pourrait même augmenter. Les campagnes d’infection d’Anubis comptent parmi les plus importantes jamais enregistrées pour les malwares bancaires : De nombreuses victimes ne sont pas conscientes du fait que le malware ne se déguise pas comme l’app de la banque, il se déguise principalement en tant qu’application tierce et reste inaperçu par les usagers. Anubis se fait par exemple passer pour : de faux jeux mobiles, de fausses mises à jour de logiciels, de fausses applications postales, de fausses applications Flash Player, de fausses applications utilitaires, de faux navigateurs et même de fausses applications de réseau social et de communication.

Les caractéristiques du cheval de Troie en font une menace importante : Habituellement, les chevaux de Troie bancaires effectuent principalement des attaques de type « overlay » afin de collecter les informations personnelles puis volent les SMS pour acquérir les codes bancaires, mais Anubis va plus loin que ça avec la streaming de l’écran du téléphone infecté, l’accès de fichiers à distance (accès au stockage du téléphone), l’enregistrement sonore, le key-loggign et même un proxy réseau (permettant au criminel de se connecter à la banque via le téléphone infecté).

300 banques dans le monde ciblées

Les campagnes d’infection d’Anubis ciblent en moyenne, plus de 300 banques dans le monde: La liste observée dans les campagnes Anubis contient environ 360 cibles, contenant la plupart des banques les plus grandes et les plus connues dans le monde, mais également des applications de communication et de réseautage social largement utilisées, ce qui signifie que personne n’est vraiment protégée, car même si une victime ne fait pas de banque en ligne le malware abusera d’autres applications (Liste complète de cibles en Annexe du blog).

Les malware qui deviennent orphelins ne sont pas toujours un bon signe : Beaucoup de gens pourraient penser que lorsque le propriétaire / auteur du malware disparaît, les opérations s’arrêtent… Malheureusement, ce n’est pas toujours le cas, surtout pas avec Anubis. Bien que l’acteur ait disparu, le cheval de Troie est toujours actif et le pire est que son code a été divulgué/fuit, ce qui pourrait amener de nombreux autres criminels à utiliser le programme malveillant. Toute l’analyse complète à découvrir sur Threat fabric.

Communiqué de presse, Cybersécurité, Securite informatique

La confiance : plus qu’un simple mot dans le monde de la cybersécurité

La notion de confiance est aujourd’hui au centre de nombreux débats dans le secteur de la cybersécurité. Elle revêt une dimension stratégique qui amène sans cesse de nouvelles questions et les tensions géopolitiques, fortement perceptibles en 2018, ont eu de nouvelles répercussions dans le cyberespace. Les exemples ne manquent pas à ce sujet.

Outre les soupçons sur l’origine étatique de cyberattaques majeures ou l’ouverture d’écoles de cyber-espionnage dans certains pays, l’année 2018 a été marquée par l’annonce d’embargo contre certains fournisseurs pour risque d’espionnage, ou encore de nouvelles suspicions sur la présence de portes dérobées dans des technologies étrangères. Huawei, notamment, en a fait les frais. Ce contexte crée le doute en termes de fiabilité et d’intégrité des produits logiciels, notamment en ce qui concerne les solutions de cybersécurité. En effet, ces dernières sont particulièrement sensibles de par leur fonction de « gardien du temple ». Avoir le contrôle sur les systèmes de protection, c’est obtenir un accès direct aux ressources protégées. C’est pourquoi, le choix des partenaires cybersécurité n’a jamais été aussi crucial pour les entreprises et les institutions.

Sur l’épineuse question des portes dérobées ou de l’affaiblissement des mécanismes de chiffrement, les positions prises par les États diffèrent. La Russie a déjà légiféré pour obliger les éditeurs à fournir aux autorités un moyen d’accéder à des communications chiffrées. Les Etats membres de l’Alliance des Five Eyes* souhaitent également imposer l’introduction de faiblesses dans les logiciels. L’objectif principal et officiel est de pouvoir déchiffrer certains échanges qui pourraient être liés à des activités terroristes et de partager l’information entre les services de renseignement.

Bien entendu, lutter contre le terrorisme est une cause prioritaire. On peut cependant s’interroger sur le bien-fondé de cette volonté de créer des backdoors qui pourraient être un moyen détourné d’accéder aux informations sensibles des entreprises ou des particuliers. Tous les scénarii sont alors envisageables : espionnage étatique, accès à des secrets industriels, atteinte aux libertés individuelles, etc. Autant d’éléments qui ne sont en aucun cas liés à la guerre contre le terroriste et qui pourraient nuire gravement à la protection du patrimoine informationnel des entreprises et des institutions.

Comme évoqué précédemment, ces backdoors ne font pas l’unanimité. L’Europe notamment se positionne très clairement contre leur mise en place et préconise un chiffrement de bout en bout dans les communications afin d’en garantir une totale sécurité. Déjà en 2017, le Vice-Président de la Commission Européenne martelait cette position en mettant en avant la menace induite par l’utilisation de portes dérobées qui peuvent être exploitées par la cybercriminalité. En effet, l’affaiblissement d’un système de protection ou de chiffrement pourrait tout à fait être découvert puis utilisé par des personnes malintentionnées, leur offrant ainsi une voie royale pour réaliser leurs méfaits.

Ce constat montre encore une fois que la notion de confiance numérique va bien au-delà de considérations purement technologiques et fonctionnelles pour intégrer une dimension éminemment géopolitique. L’origine des technologies numériques, et notamment celles qui manipulent ou protègent des données sensibles, est un pilier de cette confiance numérique. Les entreprises doivent prendre en compte cette donnée stratégique dans leur raisonnement avant de confier les clés de la sécurisation de leur système d’information à un fournisseur. En ce sens, un travail de sensibilisation continue est nécessaire auprès des organisations privées et publiques. Les éditeurs européens doivent, de leur côté, être plus transparents sur leurs positions et adopter une posture commune. On peut également se féliciter des travaux en faveur de la confiance numérique entrepris à l’échelle européenne et par différentes agences gouvernementales à l’image de l’ANSSI. La qualification de produits de sécurité portée par l’agence française impose, par exemple, une revue de code source pour s’assurer du niveau de robustesse des fonctions de protection et de l’absence de portes dérobées. Gageons que cette initiative sera reprise plus largement dans le futur cadre de certification européen pour lequel a été récemment mandaté l’ENISA. (Matthieu Bonenfant – CMO Stormshield)

*Alliance qui réunit les services de renseignement des États-Unis, Australie, Nouvelle-Zélande, Royaume-Uni et Canada.

Communiqué de presse, Cybersécurité, Securite informatique

De la cybersécurité à la cyber-immunité

À l’époque où je travaillais sur notre premier antivirus, rares étaient les foyers équipés d’un ordinateur, technologie au prix alors quelque peu prohibitif. Le nombre d’internautes a explosé ces dernières années. On compte aujourd’hui 4 388 milliards d’internautes actifs[1] et de plus en plus de personnes sur la planète possèdent désormais un ou plusieurs appareils connectés à Internet. Pendant bon nombre d’années, nous étions connus comme l’entreprise qui vendait des logiciels antivirus.

Aujourd’hui, les solutions de protection des terminaux ne constituent que l’un de nos nombreux segments d’activité. Nous nous concentrons depuis plusieurs années déjà sur des domaines tels que la cybersécurité industrielle, l’apprentissage automatique, la sécurité de l’Internet des objets (IoT), la Threat Intelligence ou encore la cybersécurité des systèmes de transport. En 1998, soit un an après la création de notre entreprise, nous recensions chaque jour une cinquantaine de nouveaux échantillons de malware ; en 2019 – 21 ans plus tard –, ce sont 360 000 échantillons uniques de malware qui sont détectés quotidiennement !

Mais pourquoi ces comparaisons nostalgiques entre la fin des années 1990 et aujourd’hui ? Eh bien, nous évoluons à présent dans un cybermonde ultra-connecté guidé par la « révolution industrielle 4.0 ». Dans cet univers, la connectivité est vectrice d’opportunités remarquables, mais aussi source de vulnérabilités majeures pour les entreprises ordinaires, pour le secteur industriel et pour l’infrastructure critique. Un changement s’impose selon moi dans notre manière de protéger l’ensemble des technologies qui nous entourent.

Cybersécurité

Existe-t-il une solution miracle pour faire face aux menaces en apparence insurmontables de cette ère digitale ? Je crains bien que non. S’il y en avait une, je pourrais d’ores et déjà planifier ma retraite. En revanche, j’ai ma petite idée quant au futur de la cybersécurité, à la prochaine grande évolution de notre secteur ! À vrai dire, nous y travaillons déjà : il s’agit du concept de la « cyber-immunité », poussé à son paroxysme. Comment définir cette évolution ? Comme ceci : le coût d’une cyberattaque devrait excéder celui des dommages (pour la victime) ou des gains potentiels (pour le cyberpirate). En revanche, des entreprises comme All4tec, développe des solutions pour faire face au problème de cybersécurité notamment avec de la protection préventive.

Comment y parvenir ?

En revoyant notre manière de penser la sécurité des systèmes et des produits. À l’heure actuelle, notre travail consiste à bâtir une couche de protection autour d’une architecture informatique existante. Ne serait-il pas nettement plus simple de disposer de solutions « secure » à tous les niveaux dès leur conception et ne nécessitant en principe aucune protection supplémentaire ? Cette idée nous paraissant excellente, nous avons commencé à la mettre en œuvre dans le domaine de l’IoT. Plus de 20 milliards d’objets devraient être connectés l’an prochain[2], avec toutefois un niveau de protection quasi inexistant, les appareils connectés étant fréquemment exploités pour mener des attaques DDoS massives ou pour constituer des botnets. Comment résoudre ce problème ? Il nous faut concevoir de A à Z des appareils connectés « intelligents » dotés d’une architecture à micro-noyau ainsi que d’une couche de sécurité isolant l’ensemble de ses modules pour empêcher tout comportement inhabituel des équipements IoT. Il est déjà possible de mettre en œuvre ce concept à l’aide de notre système d’exploitation KasperskyOS, destiné aux technologies embarquées. Nous pouvons bien sûr en faire de même pour les systèmes et les produits plus complexes.

Peut-on espérer passer de la cybersécurité à la cyber-immunité dans un très proche avenir ?

J’aimerais beaucoup pouvoir répondre « oui », mais il faut savoir que la route sera longue et que le monde n’a pas encore amorcé cette transformation. D’ici là, il nous faut simplement continuer à communiquer sur les dangers d’un monde connecté vulnérable, pour que chacun prenne conscience de la nécessité de protéger toutes les technologies connectées qui nous entourent. Nous pouvons le faire ! Nous pouvons donner vie à la cyber-immunité ! (Tribune d’Eugene Kaspersky)

[1] We Are Social and Hootsuite’s latest collection of Global Digital 2019 reports.
[2] Gartner : « Leading the IoT »

backdoor, Cybersécurité, Mise à jour, Patch, Securite informatique

Des pirates mettent la main sur des mises à jour du logiciel ASUS

Des pirates informatiques ont réussi à s’infiltrer dans les mises à jour du constructeur Coréen ASUS. Ils ont installé, durant plusieurs semaines, des backdoors sur des milliers d’ordinateurs.

Imaginez, 12% des ordinateurs ASUS en France seraient concernés par cette infiltration. Selon des chercheurs de la société de cybersécurité Kaspersky Lab, « des pirates ont réussi l’année dernière à installer des logiciels malveillants à plus d’un million de propriétaires de PC de la marque ASUS – l’un des plus grands fabricants d’ordinateurs au monde –« . Ils auraient exploité le système de mise à jour logicielle du fabricant. Le fichier malveillant a été signé avec des certificats numériques ASUS légitimes pour donner l’impression qu’il s’agit d’une mise à jour logicielle authentique de la société.

Les certificats de signature de code utilisés pour savoir quelles sont les mises à jour à faire et quelles sont les machines à qui nous pouvons faire confiance. Ils sont dans les applications qui alimentent les voitures, les ordinateurs portables, les avions et plus encore. Presque tous les systèmes d’exploitation dépendent de la signature de code, et nous verrons beaucoup plus de certificats dans un avenir proche en raison de l’essor des applications mobiles, des DevOps et des périphériques IoT. « Cependant, les cybercriminels considèrent les certificats de signature de code comme une cible précieuse en raison de leur puissance extrême. explique à Data Security Breach Kevin Bocek, VP security strategy and threat intelligence chez Venafi. Avec un certificat de signature de code, les hackers peuvent donner l’impression que leurs logiciels malveillants sont dignes de confiance et échapper aux systèmes de protection contre les menaces.« 

Infiltration et manipulation

Malheureusement, dans de nombreuses organisations, la protection des processus de signature de code incombe principalement aux développeurs qui ne sont pas prêts à défendre ces actifs. En fait, la plupart des équipes de sécurité ne savent même pas si leurs développeurs utilisent la signature de code ou qui peut avoir accès au processus de signature de code. « Il est impératif que les organisations sachent quels certificats de signature de code elles utilisent et où, d’autant plus qu’il est probable que des attaques similaires se produiront à l’avenir.« 

Cette nouvelle attaque utilisant le matériel ASUS est parfaitement emblématique du nouveau cyber-monde dans lequel nous vivons. Elle présente toutes les caractéristiques d’une opération précise : ciblée, exige beaucoup de ressources et presque impossible à détecter. « Tout acteur menaçant aurait besoin de ressources et d’un soutien considérables pour acquérir les certificats authentiques d’ASUS afin de faire son entrée dans la chaîne logistique. Ceci initie bien sûr le jeu qui consiste à deviner qui pourrait être derrière la campagne et il n’est pas exagéré de prétendre que des États manquant de lois sur les cyber-infractions et hébergeant des réseaux internationaux de cyber-crimes pourraient être à l’origine de cette activité. » indique Justin Fier, de chez Darktrace.

Ciblage !

Mais la nature très ciblée de l’attaque est peut-être encore plus alarmante: c’est là que nous devrions concentrer notre attention. Dans le monde entier, ces pirates ne ciblaient que 600 machines. Ce n’est qu’une question de temps avant que nous apprenions que ces machines ou ces personnes ciblées ont un fil conducteur unique les reliant entre elles. Pour l’instant, la question pour toutes les entreprises utilisant du matériel ASUS devrait être d’identifier si l’une de leurs machines se trouvait dans la cible. Et au-delà de cela, toutes les organisations doivent réaliser qu’ASUS n’est qu’une seule entreprise. Y aura-t-il des attaques similaires contre Dell et Apple ?

Voler des certificats authentiques et les utiliser pour signer des codes malveillants ne fait que renforcer les arguments en faveur de technologies d’IA sophistiquées capables d’identifier même les plus petites anomalies indiquant une menace. Ce type de comportement serait si proche de la normale que seule l’IA pourrait comprendre la différence entre normal et malveillant. En luttant contre des attaques aussi sophistiquées que celles-ci, les approches traditionnelles deviendront inefficaces: la cyber IA doit être la voie à suivre.

Communiqué de presse, Cybersécurité

Patch Tuesday – Mars 2019 : 65 vulnérabilités dont 18 critiques

Le Patch Tuesday du mois de mars corrige 65 vulnérabilités dont 18 identifiées comme critiques. 13 de ces vulnérabilités critiques concernent les moteurs de scripts et des composants de navigateur et impactent les navigateurs Microsoft ainsi que la suite Office. Le Patch Tuesday de février 2019 comportait 74 vulnérabilités dont 20 critiques

Trois vulnérabilités entraînant une exécution de code à distance (RCE) sont corrigées sur le client DHCP de Windows de même qu’une vulnérabilité RCE sur le serveur TFTP exécutant des services de déploiement Windows et une élévation de privilèges dans Microsoft Dynamics 365. Le volume de patches publiés par Adobe ce mois-ci est plutôt léger et corrige seulement deux vulnérabilités et exposition courantes (CVE) dans Photoshop CC et Digital Editions.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script, ActiveX et MSXML sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont concernés les serveurs multi-utilisateurs qui servent de postes de travail distants à des utilisateurs.

Client DHCP Windows

Le client DHCP Windows étant utilisé sur les postes de travail et les serveurs, le déploiement de patches pour résoudre les trois vulnérabilités RCE doit être une priorité pour tous les systèmes Windows.

Serveur TFTP exécutant des services de déploiement Windows (WDS)

Si vous utilisez les services de déploiement Windows, ce patch doit être déployé en priorité dans la mesure où l’exploitation de la vulnérabilité affectant ces services peut entraîner l’exécution de code à distance sur le serveur concerné.

Microsoft Dynamics 365

Les déploiements sur site de Microsoft Dynamics 365 sont vulnérables aux élévations de privilèges si bien que le déploiement de correctifs pour ce système doit également être traité en priorité.

Avis de sécurité Microsoft

Microsoft a également publié trois avis de sécurité qui traitent différents sujets :

L’avis ADV190009 annonce la prise en charge de la signature du code SHA-2 pour Windows 7 SP1 et Windows Server 2008 R2. Cette mise à jour sera nécessaire pour tous les nouveaux correctifs publiés après juillet 2019. Les versions plus anciennes du serveur WSUS (Windows Server Update Services) doivent également être mises à jour afin de pouvoir distribuer les nouveaux patchs signés par l’algorithme de hachage SHA-2.

L’avis ADV190010 fournit des recommandations sur le partage entre plusieurs utilisateurs d’un même compte utilisateur. Microsoft déconseille ce comportement qu’il considère comme un risque de sécurité majeur.

L’avis ADV190005 fournit quant à lui des atténuations pour un possible déni de service dans http.sys lors de la réception de requêtes HTTP/2. Le patch permet de définir une limite pour le nombre de paramètres SETTINGS à envoyer lors d’une même requête.

Adobe

Adobe a publié des correctifs non sécuritaires pour Flash ainsi que des patchs de sécurité critiques pour Photoshop CC et Digital Editions, chacun de ces deux produits étant affecté par une vulnérabilité. (Jimmy Graham dans The Laws of Vulnerabilities)

APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

Un nouveau malware BabyShark cible les « Think Tanks » américains en charge de la sécurité intérieure

En février 2019, les chercheurs de l’Unité 42 au sein de Palo Alto Networks ont identifié des mails d’hameçonnage ciblé (spear phishing) envoyés en novembre 2018 qui contenaient un nouveau malware partageant la même infrastructure avec des playbooks(c’est-à-dire des feuilles de route listant les actions et les objectifs utilisés par un malware ou une famille de malware) associés aux campagnes nord-coréennes.

Ces mails étaient écrits comme s’ils émanaient d’un expert en sécurité nucléaire travaillant actuellement comme consultant pour des think tanks liés à la sécurité intérieure aux États-Unis. Ils ont été envoyés depuis une adresse publique avec le nom de l’expert et un sujet faisant référence au nucléaire nord-coréen. Ces messages avaient en pièce jointe un document Excel avec une macro infectée, qui ,quand elle était exécutée, menait à une nouvelle famille de malwares basée sur Microsoft Visual Basic (VB) que nous avons surnommé « BabyShark »

BabyShark est un malware récent. La version la plus ancienne que nous avons pu trouver dans des dépôts open source et nos propres jeux de données internes remontent à novembre 2018. Le malware se lance en exécutant à distance une requête HTML, qui peut être alors livrée au travers de différents types de fichiers comme des fichiers contenant des exécutables ou des documents malveillants. Babyshark extrait alors les informations du système vers un serveur C&C (Command and Control), se maintient au cœur du système et attend de nouvelles instructions de la part de l’opérateur.

BabyShark est utilisé pour une campagne limitée de spear phishing toujours en cours depuis novembre 2018. L’acteur derrière cette menace cherche clairement à glaner des informations liées à la sécurité nationale (américaine) en Asie du Nord-Est. Le soin apporté à la conception des mails d’hameçonnage et du camouflage laisse à penser que cet acteur connaît bien les cibles, et surveille de près les événements de cette communauté pour y récupérer les dernières informations. Sans pouvoir en être certains, nous pensons que l’acteur derrière BabyShark doit être en relation avec l’acteur (ou être le même groupe) qui a utilisé la famille de malwares KimJongRAT, et qui du moins partage des ressources avec l’acteur responsable de la campagne STOLEN PENCIL. Nous avons également remarqué des tests qui semblent indiquer que les attaquants travaillent sur de nouvelles versions d’exécutables pour envoyer BabyShark. Dans les prochaines campagnes, l’attaquant pourrait utiliser différentes méthodes pour déployer BabyShark.

Communiqué de presse, Cybersécurité, Securite informatique

Cyber-sensibilité, cyber-indiscipline et employés « fantômes », les entreprises doivent faire le tri

Les organisations ne protègent toujours pas correctement les accès à leurs données critiques, selon une étude CyberArk, conduite auprès de 1 000 employés britanniques. Il ressort que la moitié de ces derniers auraient accès à des informations sensibles, auxquelles seules des personnes habilitées devraient pouvoir accéder. Bien que la sensibilisation à la cybersécurité s’améliore dans les milieux professionnels, de mauvaises pratiques contribuent encore à la croissance des cybermenaces.

  • Près de la moitié (48 %) des employés ont, ou ont eu, accès à des documents financiers sensibles ;
  • 46 % ont pu accéder à des informations RH confidentielles ;
  • Près d’un tiers (29 %) ont, ou ont eu, un accès direct aux comptes en banque de leur entreprise ;
  • 37 % ont pu prendre connaissance des plans de recherche et développement (R&D) ou plans pour des nouveaux produits et services.

Ces chiffres démontrent que beaucoup plus d’employés que nécessaire accèdent à des informations sensibles, et que les organisations en général doivent absolument limiter la gestion des accès aux données sensibles, afin de mieux se protéger, ainsi que leurs clients.

Se méfier des « employés fantômes »

Comme démontré lors de récentes violations de données, le vol d’identifiants de connexion reste le moyen le plus courant et le plus efficace pour réussir une cyberattaque. Une approche laxiste de la protection des accès administrateurs – ou accès à privilèges – peut augmenter directement le risque d’une compromission de données. C’est pourquoi la gestion des privilèges est essentielle ; or, de nombreuses entreprises ne parviennent pas à verrouiller ces comptes clés, suite aux changements de personnel : un employé de bureau sur cinq (21 %) admet avoir quitté un emploi et gardé des identifiants donnant toujours accès à au moins un système confidentiel de l’entreprise (serveurs internes, résultats financiers ou bases de données RH). Ces employés « fantômes », soit d’anciens collaborateurs en possession d’informations de connexion professionnelles, peuvent alors accéder, sans autorisation, à des données sensibles de l’entreprise.

Pour Rich Turner, VP EMEA, chez CyberArk, « ces « employés fantômes » représentent une préoccupation majeure pour toute organisation. Non seulement, ils augmentent le risque de violation des données clés de l’entreprise en cas de cyberattaque ; mais ils offrent aussi la possibilité aux employés mécontents, ou aux entreprises concurrentes, de manipuler les données existantes, causant de graves dommages administratifs et financiers. Ces résultats sont symptomatiques des entreprises qui continuent de consacrer d’importantes sommes d’argent à la défense du périmètre, alors que l’approche la plus intelligente consiste à envisager l’inévitable – que les attaquants parviendront à s’introduire dans les systèmes – et à les empêcher de mettre la main sur les actifs et données sensibles. »

 Cyber-sensibilité vs cyber-indiscipline

Il ressort cependant que l’implication des employés s’améliore, montrant l’effet positif de la cyber-éducation, et l’espoir d’un avenir plus sûr pour les entreprises :

  • Près de quatre employés de bureau sur cinq (79 %) informeraient immédiatement le service informatique s’ils ouvraient une pièce jointe malveillante ;
  • Les trois quarts (75 %) exprimeraient leurs préoccupations s’ils ne comprenaient pas les communications de l’IT concernant la sécurité ;
  • Près des trois quarts (74 %) sont convaincus que leur équipe de sécurité protège efficacement l’ensemble de la société contre les menaces.

Une confiance qui contraste avec le comportement de nombreux employés, qui affichent toujours de mauvaises cyber-pratiques, avec un grand nombre de personnes qui continuent de dissimuler leur cyber-indiscipline à leurs collègues chargés de la sécurité – augmentant ainsi considérablement la vulnérabilité de leur entreprise :

  • Plus de la moitié (54 %) n’informent personne lorsqu’ils laissent leurs collègues utiliser leurs informations de connexion ;
  • 45 % des répondants déclarent télécharger des applications non-autorisées sur leur poste de travail à l’insu de leur service informatique. (CyberArk)
Communiqué de presse, Cybersécurité, Securite informatique

Forum économique mondial : il est temps d’apporter une réponse à la hauteur de la menace cybernétique !

Le rapport Global Risks Report 2019 du Forum économique mondial classe le vol de données et les cyberattaques parmi les cinq grands risques mondiaux qui risquent le plus de se concrétiser. La grande question qui se pose maintenant est de savoir comment les organisations vont réagir.

Les personnes sensibles devraient s’abstenir de lire le rapport annuel sur les risques mondiaux du Forum économique mondial. La 14e édition de ce rapport inclut une litanie de menaces existentielles, telles que les phénomènes météorologiques extrêmes et les catastrophes naturelles, qui pourraient considérablement perturber l’économie mondiale.

Cette année, les cinq principaux risques en termes de probabilité sont les phénomènes météorologiques extrêmes, l’échec de l’atténuation des changements climatiques et de l’adaptation à ceux-ci, les catastrophes naturelles, la fraude ou le vol de données et les cyberattaques.

En effet, la fraude et le vol de données et les cyberattaques sont deux des cinq principaux risques mondiaux les plus probables. En fait, c’est la troisième année consécutive que la fraude et le vol de données se classent parmi les cinq plus grandes menaces, et la deuxième année que la cyberattaque fait partie de la liste.

Le Global Risks Report 2019, créé en partenariat avec Marsh & McLennan Companies et The Zurich Group, est basé sur les résultats de l’enquête Global Risks Perceptions Survey, à laquelle participent 1 000 membres de la communauté du Forum économique mondial – composée de chefs de gouvernements, de dirigeants du secteur privé et d’universitaires – ainsi que des contributions d’experts du réseau mondial de l’organisation.

La cybersécurité s’est également hissée parmi les 10 risques mondiaux les plus importants en termes d’impact. Les cyberattaques et les défaillances au niveau des infrastructures et des réseaux critiques ont été classées au septième et au huitième rang pour les dommages potentiels qu’elles pourraient causer. Cela indique que les répondants ont conscience non seulement de la fréquence des cyberattaques, mais aussi du risque que ces incidents représentent pour notre économie numérique, et jusqu’à notre mode de vie. Ce classement reflète l’impact mondial qu’ont eu des incidents tels que WannaCry, Equifax et des centaines d’autres cyberattaques réussies sur notre conscience collective.

En fait, le cyber espace lui-même fait partie de ce que le rapport appelle les « biens communs mondiaux » qui ont besoin d’une protection particulière, au même titre que le climat, l’espace extra-atmosphérique et les régions polaires.

Pour tous ceux qui envisagent encore le futur avec sérénité après tout cela, le rapport comporte une section amusante intitulée « Chocs futurs », qui examine les effets à long terme de phénomènes comme l’informatique quantique, les outils de manipulation météorologique ou une rupture dans l »approvisionnement alimentaire. La section sur l’informatique quantique prédit que « quand les énormes ressources consacrées à la recherche quantique conduiront à l’utilisation de l’informatique quantique à grande échelle, beaucoup des outils qui forment la base de la cryptographie numérique actuelle seront rendus obsolètes. »

Cela ne surprendra pas les professionnels de la cybersécurité, mais il est toujours intéressant de prendre du recul et réfléchir un instant sur l’importance de notre travail quotidien dans ce contexte. Lorsque nous sommes pris dans le tourbillon du quotidien au travail, il est facile de perdre de vue l’importance réelle de la cybersécurité dans l’économie mondiale. Ce genre de mise en perspective est également pour expliquer en quoi le travail effectué sur la cybersécurité est important aux membres d’une organisation qui ne travaillent pas eux-mêmes dessus.

La grande question est de savoir comment les organisations vont réagir : l’acceptation des problèmes auxquels nous sommes confrontés est la première étape, mais la prochaine étape doit être l’action.

Nous devons tenir les dirigeants et les cadres supérieurs du monde entier garants d’une gestion responsable du risque cybernétique. En tant que société, nous devons l’exiger. En tant que clients, nous le méritons. La question ne doit plus être qui nous pouvons blâmer – des États-nations aux hackers – mais comment nous pouvons prévenir ces risques. Nous devons collectivement faire face à la réalité d’une économie numérique.

Tout est lié, ce qui signifie que chaque aspect du commerce et de l’industrie d’aujourd’hui est une accroche qui peut être utilisée pour une attaque potentielle. Nous devons élaborer des stratégies de sécurité pour faire face aux nouveaux risques créés par la transformation digitale. Ne pas le faire nous ferait prendre le risque d’événements aux conséquences irréparables. (Par Renaud Deraison, cofounder and CTO at Tenable).

Communiqué de presse, Cybersécurité, Securite informatique

La cybercriminalité est devenue la préoccupation n°1 des individus devant les agressions physiques

Selon l’étude SOS Cybercrime d’Affinion*, les mythes sur la cybercriminalité sont présents dans le monde entier. Un tiers de la population (35 %) croit, à tort, que le Wi-Fi public doit disposer d’une sécurité efficace, conformément à la loi (ce chiffre atteint 58 % en Turquie). De même, moins de la moitié de la population (46 %) sait que https:// signifie qu’un site internet est sécurisé (seulement 35 % en Suède et en Norvège) et un tiers de la population (33 %) n’est pas consciente que l’utilisation d’un même mot de passe pour plusieurs comptes augmente le risque de fraude. Ces informations sèment la confusion parmi les consommateurs et complexifient encore plus la lutte contre la cybercriminalité.

Le rapport, basé sur des recherches menées auprès de plus de 13 000 répondants dans 12 pays, révèle des lacunes majeures en matière de sensibilisation, ainsi que des inquiétudes à l’égard de la cybercriminalité. Le Brésil arrive en tête du classement mondial des pays les plus préoccupés par la cybercriminalité, suivi par les États-Unis (75 %) et l’Espagne (73 %).

Curieusement, les consommateurs sont davantage préoccupés par la cybercriminalité que par toute autre forme de criminalité – 61 % des consommateurs sont très ou légèrement préoccupés par la cybercriminalité, tandis que 52 % des personnes interrogées sont préoccupées par les crimes contre la propriété (par exemple les cambriolages), 54 % par la violence physique comme les agressions, et 45 % par la criminalité liée aux véhicules. Selon l’étude, la sensibilisation aux dangers de la cybercriminalité semble augmenter avec l’âge ; les personnes interrogées âgées de 18 à 24 ans étaient plus préoccupées par la violence physique que par la cybercriminalité, tandis qu’à partir de 35 ans, la cybercriminalité est considérée comme le risque le plus important.

Un tiers des personnes a déjà été victime, directement ou indirectement, d’usurpation d’identité. Les faux appels, liens envoyés par e-mail ou SMS, sont les formes les plus courantes de cybercriminalité (65 % de personnes concernées), suivis du piratage de comptes sur les réseaux sociaux ou d’adresses e-mail (56 % de personnes concernées), et des transactions financières frauduleuses (55 % de personnes concernées).

Les femmes sont plus particulièrement préoccupées que les hommes, toutes formes de criminalité confondues. La plus grande différence entre les genres concerne les fraudes relatives aux achats en ligne (67 % de femmes contre 59 % d’hommes), l’usurpation d’identité (68 % contre 60 %) et les transactions frauduleuses (69 % contre 61 %).

D’après l’étude, 70 % des personnes interrogées estiment que leur préoccupation s’accentue, car elles s’aperçoivent que le nombre d’incidents est en augmentation ; 46 % ont indiqué que c’était dû à une couverture médiatique plus importante du problème et 30 % parce qu’elles connaissent quelqu’un qui a été victime de cybercriminalité. Un tiers d’entre elles a indiqué se sentir plus vulnérable, car elles disposent de plusieurs comptes en ligne, et ressentir, par conséquent, une inquiétude accrue.

En ce qui concerne la lutte contre la cybercriminalité, un nombre impressionnant de personnes interrogées ne se sentent pas capables de se prémunir de la cybercriminalité (55%) et seulement 25 % estiment pouvoir résoudre un cybercrime. (étude)

A noter que le blog ZATAZ propose un service de veille concernant les données des internautes. ZATAZ surveille plus de 5 000 sites pirates et blackmarket, ce qui permet d’alerter sur des données volées/piratées dans la seconde de la découverte.