Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

HMA! renforce la vie privée des internautes et permet l’accès à du contenu restreint en ligne

Quand le RGPD restreint la liberté d’expression ! En mai dernier, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, offrant plus de transparence sur la collecte des données et des droits plus importants en termes de vie privée pour les Européens. Pourtant, comme le révélait alors une récente étude menée par HideMyAss!, près de la moitié des français (48 %) ne considèrent pas la vie privée comme un droit fondamental.

Le RGPD restreint la liberté d’expression ? Ils sont cependant 66 % à penser que le gouvernement, les fournisseurs d’accès à internet et les services de police peuvent accéder, à leur insu, à l’historique des sites qu’ils ont visité, et de leurs activités en ligne.

Pour répondre aux besoins des consommateurs soucieux du respect de leur vie privée, HMA! propose une couche d’anonymat supplémentaire lors de la navigation en ligne via son service gratuit Proxy Web. Cette fonctionnalité permet de masquer l’adresse IP d’un internaute et de lui en attribuer une nouvelle, afin d’acheminer le trafic web vers d’autres serveurs et adresses IP. Cela signifie que son adresse IP, qui représente également son identité en ligne, devient beaucoup plus difficile à repérer ou à suivre. En outre, la toute dernière version de HMA! est fournie via le protocole HTTPS, garantissant ainsi le cryptage des activités en ligne.

Elle permet également d’accéder à du contenu restreint. Un citoyen Européen pourra par exemple lire le Los Angeles Times, le New-York Daily News ou encore le Chicago Tribune, grâce à l’utilisation du Proxy Web. Impossible en effet de faire sans, car ces médias ont bloqué l’accès aux internautes basés en Europe, suite à l’entrée en vigueur du RGPD.

Un Proxy Web n’a cependant pas les mêmes fonctions qu’un réseau privé virtuel (VPN). Ce dernier devra en effet être envisagé par un internaute s’il recherche un anonymat en ligne avancé et une protection contre les regards indiscrets. En revanche, dans le cas où il veut se procurer un outil lui permettant de contourner la « censure locale » et de bénéficier d’un niveau convenable de confidentialité lors de sa navigation sur Internet, un Proxy Web constitue un bon point de départ.

Plus fort qu’un ransomware, le cryptominage devient le summum du lucratif

À la différence d’un rançongiciel, ou ransomware, qui exige la participation des victimes, le cryptominage pirate, ou cryptojacking,est très difficile à détecter et s’exécute sur les systèmes informatiques quasiment à l’insu de leurs utilisateurs.

La cybercriminalité est une activité extrêmement lucrative : cette économie florissante génèrerait chaque année, si l’on en croit de récentes estimations, 1 500 milliards de dollars de recettes. Un montant astronomique dont les cybercriminels font leurs choux gras, d’autant plus que le retour sur investissement maximal est obtenu au prix d’un minimum d’efforts et que les risques de sanctions encourues sont quasi-nuls.

Dans ce contexte, il n’est guère surprenant que le cryptojacking, c’est-à-dire l’emploi non autorisé des ressources informatiques d’un tiers pour fabriquer (ou miner) de la cryptomonnaie, ait ravi au ransomwarela première place au classement des outils favoris des cybercriminels Le ransomware a en également souffert de la volatilité du BitCoin avec son modèle économique basé sur des attaques rapides et répétées ciblant des paiements modiques

Alliés à la recherche continue de nouvelles techniques d’attaques toujours plus rentables, ce contexte a hissé le cryptojackingen tête des enjeux de sécurité informatique en 2018, que ce soit pour les entreprises ou les particuliers. Examinons en détail les facteurs à l’origine de ce basculement.

Rentabilité accrue

Unis dans le minage… Sachant que la capitalisation boursière des cryptomonnaies avoisine les 500 milliards de dollars, le cryptojackings’avère extrêmement intéressant pour les cybercriminels : il ne nécessite pas de compétences techniques poussées et, contrairement aux rançongiciels, offre une rentabilité potentielle de 100 %. Une fois compromise, la machine infectée peut aussitôt s’atteler au minage de cryptomonnaie en mode furtif, indépendamment de sa puissance de traitement ou de sa localisation géographique : même les systèmes d’entrée de gamme servent cette cause puisque c’est l’envergure du réseau de machines compromises et, par conséquent, la puissance de calcul totale qui importent vraiment. De plus, si les assaillants réfrènent leurs ardeurs et adaptent leur programme de minage de manière à ne pas ponctionner l’intégralité des ressources processeur (jusqu’à mettre hors service votre appareil sous Android), l’attaque peut se poursuivre par des moyens détournés et passer inaperçue durant un long moment.

Surface d’attaque omniprésente

Une plate-forme de minage unique… L’omniprésence de la surface d’attaque représente un autre aspect important. Qui que vous soyez, où que vous vous trouviez, le minage est à votre portée… Peu importe que le « mineur », ce composant malveillant, soit injecté dans un appareil mobile, un ordinateur personnel, un serveur, une instance dans le cloud, voire un objet connecté (appareil photo, réfrigérateur ou ventilateur). Quel que soit le système d’exploitation, les assaillants peuvent tirer parti de ses cycles processeur à des fins illégitimes. Même des objets connectés dotés d’une puissance de traitement limitée peuvent faire l’affaire : le botnet Mirai nous a appris ce dont sont capables des réseaux IoT œuvrant de concertpar milliers, simultanément. Et ce n’est pas une coïncidence si une variante a été testéepour le minage de cryptomonnaie ; ce même botnet a d’ailleurs donné naissance à Satori, un fork infectant les plates-formes de minage pour mieux dérober les identifiants à leurs propriétaires. De fait, le piratage de multiples objets connectés s’avère lucratif : d’après de récentes estimationsl’infection de 15 000 accessoires connectés à Internet permet de fabriquer l’équivalent de 1 000 dollars en cryptomonnaie en quatre jours seulement. Pas mal du tout, sachant que d’ici à 2020, il faudra composer avec plus de 20 milliardsd’objets connectés.

Mécanismes d’infections multiples

Tous les chemins mènent à la mine… La rentabilité élevée et l’omniprésence de la surface d’attaque ne sont pas les seuls facilitateurs du cryptojacking. Étant donné que des « mineurs » malveillants peuvent être injectés dans la quasi-totalité des appareils, de multiples vecteurs d’infections peuvent être utilisés : les attaques par force brute, les vulnérabilités non corrigées ou les sites web compromis (cryptominage furtif) font partie des techniques employées jusqu’à présent. Jetez un œil à lachronologiedes cyberattaques relevées mensuellement, et vous serez surpris par la créativité dont font preuve les assaillants toujours soucieux de trouver de nouveaux moyens de perpétrer des attaques de type cryptojacking.

La compromission des serveurs s’exerce de diverses manières pour l’injection de « mineurs » : depuis les attaques « classiques » par force brute utilisant des authentifiants par défaut (exemple d’une campagne récente ciblant plusieurs milliers de sites Magento) jusqu’à l’exploitation de vulnérabilités non corrigées sur Oracle WebLogic (CVE 2017-10271), Apache Struts (CVE-2017-5638), DotNetNuke (CVE-2017-9822), OrientDB (CVE-2017-11467), Jenkins CI (CVE-2017-1000353), les serveurs JBoss (CVE-2017-12149) et Apache Solr (CVE-2017-12629), entre autres exemples.

Les vulnérabilités non corrigées servent également à la compromission de clients, créant de nouvelles machines esclaves pour les botnets cryptomineurs. Le botnet Smomirnu et le maliciel Wannamine sont deux exemples de menaces exploitant la triste célèbre vulnérabilité EternalBlue (CVE-2017-144) pour se propager. Même des logiciels malveillants existants peuvent être réécritspour miner de la cryptomonnaie, ou pour ajouter cette « fonctionnalité » à d’autres.

En réalité, les postes clients sont encore plus exposés puisqu’ils peuvent miner des cryptodevises rien qu’en consultant une page web hébergeant un mineur JavaScript ; c’est le cas de Coinhive, qui mine une cryptomonnaie baptisée Monero (XMR). La principale raison est que, hormis la préservation de l’anonymat assurée par cette blockchain, l’algorithme servant au calcul des hashcodes, baptisé Cryptonight, a été conçu pour une exécution optimale avec des processeurs grand public(quelle coïncidence !). Une occasion bien trop favorable pour ne pas être saisie par des criminels constamment aux aguets, en quête de vulnérabilités leur permettant d’injecter Coinhive : Los Angeles Timeset Blackberry Mobilesont deux exemples de sites web de renom ayant été compromis à cette fin en 2018. Sans parler des discrètes options d’opt-in proposées par Coinhive qui n’ont jamais été respectées dans ces cas de figure.

Pour autant, il ne s’agit là que de la partie émergée de l’iceberg, l’ampleur, l’omniprésence et la constance des campagnes de cryptominage pirate ne faisant que se renforcer au fil de vos pérégrinations sur Internet. Le mode opératoire aujourd’hui adopté par les cybercriminels est du même ordre que la publicité malveillante (minevertising), se caractérisant par l’injection de code Coinhive dans des publicités diffusées par des plates-formes telles qu’AOL ou Google DoubleClick (deux exemples se sont produits en 2018). Que l’utilisateur quitte la page compromise ou ferme son navigateur (ou, du moins, pense le fermer) n’a même aucune importance puisque le code malveillant peut être dissimulé dans une minuscule fenêtre non sollicitée s’affichant à l’arrière-plan (« pop-under »), derrière la barre des tâches Windows, le rendant omniprésent et invisible à l’utilisateur. Dans certains cas, des extensions malveillantes de navigateur ont également injecté(es)Coinhive directement dans ce dernier.

Rôle du cloud

Le soleil finit toujours par percer les nuages… Sur la listedes cinq attaques les plus dangereuses présentée par le SANS Institute lors de la dernière RSA Conference figurent à la fois les fuites de données stockées dans le cloud et la monétisation des systèmes compromis via des cryptomineurs. Les fuites dans le cloud sont souvent la conséquence de configurations inadéquates (autorisations inappropriées ou absence de protection adéquate par mot de passe). Outre le vol de données, ces mêmes erreurs de configurations peuvent être mises à profit par des escrocs pour faire monter en régime leurs propres instances et miner ainsi de la cryptomonnaie aux dépens de la victime, en ayant la quasi-certitude que cette dernière ne détecte rien. Du moins jusqu’à ce qu’elle reçoive sa facture d’électricité. La redoutable association des deux techniques d’attaques répertoriées par le SANS Institute a d’ores et déjà fait certaines victimes de renom, comme Tesla, dont le cloud public a servi au minage de cryptomonnaie.
Il faut également composer avec d’autres risques. Les mineurs peuvent faire appel à des services cloud connus pour s’infiltrer plus rapidement au sein des entreprises (l’équipe Netskope Threat Research Labs a mis au jour un mineur Coinhive résidant sur une instance Microsoft Office 365 OneDrive for Business), ou se soustraire à la détection (commeZminerqui télécharge des charges utiles depuis le service de stockage cloud Amazon S3).

Recommandations d’ordre général

Quelques mesures peuvent être prises pour contrer la menace grandissante du cryptojacking.

1. Régir l’usage du web au moyen d’une plate-forme de protection contre les menaces effective à plusieurs niveauxcomme Netskope for Web, capable d’unifier la sécurité SaaS, IaaS et web de manière centralisée.

2. Détecter les cryptomineurs dans le cloud et y remédier, au moyen d’une solution CASBsensible aux menaces telle que Netskope : veiller au respect de règles régissant l’utilisation de services non autorisés, ainsi que d’instances non autorisées de services cloud autorisés afin de bloquer les attaques hybrides sur plusieurs niveaux dès lors que la charge utile est téléchargée d’un service cloud.

3. Exemples de règles à faire appliquer :
• Analyser tous les transferts opérés vers des applications cloud autorisées à partir d’équipements non administrés afin d’y rechercher d’éventuels logiciels malveillants.
• Analyser tous les transferts opérés vers des applications cloud autorisées à partir d’équipements distants afin d’y rechercher d’éventuels logiciels malveillants. Analyser tous les téléchargements effectués à partir d’applications cloud non autorisées dans cette même optique.
• Analyser tous les téléchargements effectués à partir d’instances non autorisées d’applications cloud autorisées afin d’y rechercher d’éventuels logiciels malveillants. Appliquer des actions de mise en quarantaine/blocage sur la détection de logiciels malveillants afin de réduire l’impact côté utilisateurs.
• Bloquer les instances non autorisées d’applications cloud autorisées/connues afin d’empêcher les assaillants d’abuser de la confiance des utilisateurs dans le cloud. Si cette mesure peut sembler restrictive, elle limite considérablement les tentatives d’infiltration de malwares via le cloud.

4. Déployer une solution CASB capable de réaliser une évaluation de sécurité continueet d’effectuer un suivi de votre configuration IaaS/PaaS. Autrement dit de prendre en compte les configurations d’infrastructure inadéquates et les vulnérabilités susceptibles d’entraîner des compromissions et l’installation ultérieure de cryptomineurs, ou d’instances malveillantes destinées au minage de cryptomonnaie.

5. Bien évidemment, faire en sorte de mettre en place un processus de gestion efficace des correctifs pour les clients et les serveurs. Vérifier que l’antivirus d’entreprise est à jour, et que les dernières versions et les derniers correctifs sont installés.

6. Favoriser l’utilisation responsable des ressources de l’entreprise :
• Rappeler aux utilisateurs de ne pas exécuter de macros non signées, ni des macros provenant d’une source non fiable, à moins qu’ils ne soient absolument certains de leur caractère inoffensif
• Rappeler aux utilisateurs de ne pas exécuter de fichier, à moins qu’ils ne soient absolument certains de leur caractère inoffensif
• Mettre en garde les utilisateurs contre l’ouverture de pièces jointes, quels que soient les extensions ou noms de fichiers

7. Les bloqueurs de publicités ou extensions de navigateur comme NoScriptpeuvent contribuer à mettre obstacle au cryptominage pirate. Certaines extensions de navigateur publiées récemment peuvent bloquer des mineurs JavaScript comme CoinHive ; prenez soin, néanmoins, de n’installer des extensions dignes de confiance, celles qui se révèlent douteuses étant également couramment employées pour injecter des cryptomineurs à l’intérieur du navigateur directement.

8. Les administrateurs peuvent créer des règles de pare-feu pour bloquer les pools de bitcoins dont il est question dans l’article Wikipedia. (Paolo Passeri, Global Solutions Architech chez Netskope)

Les stratagèmes d’ingénierie sociale liés aux cryptomonnaies ont rapporté aux cybercriminels près de 10 millions en 2017

Des experts ont mis à jour un type de fraude relativement nouveau : le développement des cryptomonnaies n’attire pas seulement les investisseurs mais aussi des cybercriminels poussés par l’appât du gain. Au cours du premier semestre 2018, les produits de la société ont bloqué plus de 100 000 événements déclencheurs liés à des cryptomonnaies, sur de faux sites et d’autres plateformes. Chacune de ces tentatives visait à leurrer un nombre croissant d’utilisateurs crédules par des stratagèmes frauduleux.

Le phénomène des cryptomonnaies et l’engouement qu’elles suscitent ne sont pas passés inaperçus des cybercriminels. Pour réaliser leurs noirs desseins, ceux-ci emploient généralement des techniques classiques de phishing mais vont souvent au-delà des scénarios « ordinaires » que nous connaissons. En s’inspirant des investissements ICO (Initial Coin Offering) et de la distribution gratuite de cryptomonnaies, les cybercriminels ont pu abuser aussi bien de l’avidité des détenteurs de monnaie virtuelle que de la naïveté des néophytes.

Certaines des cibles plus prisées sont les investisseurs ICO, qui cherchent à placer leur argent dans des start-ups dans l’espoir d’en tirer profit à l’avenir. A leur intention, des cybercriminels créent de fausses pages web imitant les sites de projets ICO officiels ou bien tentent d’accéder à leurs contacts de façon à pouvoir diffuser un message de phishing contenant le numéro d’un e-portefeuille et incitant les investisseurs à y envoyer leurs cryptomonnaies. Les attaques les plus fructueuses se servent de projets ICO bien connus. Par exemple, en exploitant l’ICO Switcheo au moyen d’une proposition de distribution gratuite de cryptomonnaies, des malfaiteurs ont dérobé l’équivalent de plus de 25 000 dollars après avoir propagé un lien via un faux compte Twitter.

Autre exemple, la création de sites de phishing pour le projet ICO OmaseGo a permis à des escrocs d’empocher plus de 1,1 million de dollars dans cette cryptomonnaie. Les cybercriminels ont été tout aussi intéressés par les rumeurs entourant l’ICO Telegram, ce qui a eu pour effet l’apparition de centaines de sites factices destinés à recueillir de prétendus « investissements ».

Une autre tendance répandue porte sur des escroqueries aux faux dons de cryptomonnaie. La méthode la plus courante consiste à demander aux victimes de faire cadeau d’une petite somme en monnaie virtuelle, en leur faisant miroiter un gain bien plus élevé dans cette même monnaie à l’avenir. Les malfrats vont même jusqu’à utiliser les comptes de personnalités réputées sur les réseaux sociaux, telles que l’homme d’affaires Elon Musk ou le fondateur de la messagerie Telegram, Pavel Durov. En créant de faux comptes et en s’en servant pour répondre aux tweets d’utilisateurs de bonne foi, les escrocs réussissent à tromper des internautes.

Selon les estimations approximatives de Kaspersky Lab, des cybercriminels seraient parvenus l’an dernier à engranger plus de 21 000 ETH (la cryptomonnaie Ether, qui utilise la blockchain générée par la plate-forme Ethereum), soit plus de 10 millions de dollars au cours actuel, grâce aux stratagèmes que nous venons de décrire. Cette somme ne tient même pas compte des attaques de phishing classiques ou des cas de génération d’une adresse individuelle pour chaque victime.

« Notre étude révèle que les cybercriminels sont passés maîtres dans l’art d’actualiser et de développer leurs ressources afin d’obtenir un maximum de résultats de leurs attaques de phishing liées aux cryptomonnaies. Ces nouveaux stratagèmes de fraude reposent sur des méthodes élémentaires d’ingénierie sociale mais se distinguent des attaques de phishing habituelles car ils peuvent rapporter des millions de dollars à leurs auteurs. Les succès obtenus par ces escrocs donnent à penser qu’ils savent comment exploiter le facteur humain, l’un des éternels maillons faibles de la cybersécurité, pour profiter du comportement des utilisateurs », commente Nadezhda Demidova, analyste en contenus web chez Kaspersky Lab.

Les chercheurs conseillent aux utilisateurs d’observer quelques règles élémentaires afin de protéger leurs avoirs en cryptomonnaie :
· Rappelez-vous que rien n’est jamais gratuit et que les offres qui paraissent trop belles pour être vraies doivent être traitées avec scepticisme.
· Vérifiez auprès de sources officielles les informations concernant la distribution gratuite de cryptomonnaies. Par exemple, si vous remarquez une distribution pour le compte de l’écosystème de blockchain Binance, piraté récemment, rendez-vous sur le site officiel pour y obtenir des éclaircissements.
· Vérifiez si des tiers sont liés au portefeuille vers lequel vous envisagez de transférer vos économies. L’une des solutions consiste à faire appel à des navigateurs de blockchain, tels que etherscan.io ou blockchain.info, qui permettent aux utilisateurs de visualiser des informations détaillées sur toute transaction en cryptomonnaie et de déterminer si le portefeuille risque d’être dangereux.
· Vérifiez toujours les liens et données affichés dans la barre d’adresse du navigateur, par exemple que vous y lisez bien « blockchain.info », et non « blackchaen.info ».
· Conservez l’adresse de votre e-portefeuille dans un onglet et accédez-y depuis ce dernier, ce qui évitera une erreur de saisie dans la barre d’adresse, susceptible de vous faire aboutir accidentellement à un site de phishing.

COMMENT SÉCURISER LES PETITES ET MOYENNES ENTREPRISES (PME) ?

Les petites et moyennes entreprises (PME) sont devenues une cible facile, lucrative et croissante pour les cyberattaquants.

D’après l’étude du Ponemon Institute 2017, plus de 61% des PME ont été victimes d’une violation de données au cours des 12 derniers mois contre 55% en 2016. Même si de nombreuses PME sont conscientes du risque, elles trouvent difficile d’obtenir des mesures de sécurité efficaces en place.

Défis auxquels sont confrontées les PME

La plupart des PME n’ont pas suffisamment de défenses en place pour protéger, détecter ou réagir aux attaques, ce qui les rend faciles à attaquer. En réalité, l’étude du Ponemon Institute a constaté que seulement 14% des PME considèrent leur propre sécurité comme «très efficace».

  • Manque de ressources
  • Manque d’expertise
  • Manque d’information et de formation
  • Manque de temps

A cause de cela, la majorité des PME se focalise sur une sécurité protectrice. Elles mettent en place un antivirus, des filtres de messagerie, une liste blanche des applications et peut-être un système de détection d’intrusion ou d’authentification à deux facteurs pour les comptes les plus privilégiés.

Il n’y a pas de mal à cela. Ces mesures de protection et de détection doivent évidemment être mises en place, mais cela ne suffit pas. Malgré tous ces efforts, la compromission persistera. Les attaquants s’améliorent, cherchent de nouvelles façons d’attaquer et le problème est que personne ne le détecte. Et s’il n’y a pas de détection, il n’y a pas non plus de réponse.

Développer une stratégie de sécurité proactive adatée aux PME

Une stratégie de protection doit être validée au fil du temps si elle se veut être efficace. «Détection et réaction» devrait être utilisé pour s’assurer que les mesures préventives fonctionnent – il faut repérer et réagir à une activité anormale ou suspecte.

Les PME ont besoin d’une défense conçue pour les grandes entreprises en termes de concentration et d’efficacité et adaptée aux PME en termes de mise en œuvre et d’utilisation. Cette infographie vous détaille 8 critères adaptés aux PME pour atteindre un impact maximum avec un minimum d’effort.

Ce qu’il faut aux PME c’est une stratégie de sécurité proactive. Elles doivent être en mesure d’identifier quand n’importe quel type d’acteur de menace essaie de frapper. Il existe un certain nombre d’indicateurs de compromission mais il est impossible de tout surveiller en même temps. Il convient donc de déterminer quel indicateur est le plus facilement détectable, tout en fournissant le meilleur indicateur de compromission.

La gestion des connexions – la solution pour les PME !

Une PME peut rechercher des compromis de plusieurs façons, mais au final, une vérité fondamentale ressort – un attaquant est incapable de faire quoi que ce soit dans votre organisation à moins de pouvoir compromettre un ensemble de informations d’identification internes.

Autrement dit: pas de connexion, pas d’accès.

Mais pour un administrateur de sécurité, il peut être fastidieux d’essayer d’identifier une activité suspecte lorsque l’adversaire dispose d’informations d’identification valides et autorisées.

Un indicateur de compromis inclut les anomalies de connexion suivantes:

  • Point de terminaison utilisé: le PDG ne se connecte jamais à partir d’une machine située dans le département comptabilité, n’est-ce pas?
  • Heure d’utilisation – Un utilisateur avec un travail de 9h à 17h se connectant un samedi à 3h du matin? Oui, c’est suspect.
  • Fréquence – Un utilisateur se connecte normalement une fois le matin et se déconnecte le soir, s’il est soudainement en train de se connecter et déconnecter plusieurs fois en très peu de temps, cela peut indiquer un problème.
  • Sessions simultanées – La plupart des utilisateurs se connectent à un seul point de terminaison. Voir un utilisateur se connecter soudainement à plusieurs terminaux simultanément est un indicateur évident.

La visibilité est la clé. En surveillant vos connexions, vous aurez une meilleure idée des risques auquel l’organisation est confrontée quotidiennement. Néanmoins, vous devez également mettre en place des contrôles pour limiter le comportement à risque si vous voulez que votre organisation commence à améliorer sa position en matière de sécurité et à limiter les risques de compromission.

Avec UserLock, les équipes informatiques peuvent s’assurer que les utilisateurs authentifiés sont ceux qu’ils prétendent être, même lorsque les identifiants sont compromis. Les tentatives de connexions qui ne satisfont pas aux restrictions établies sont automatiquement bloquées avant que tout dommage ne soit causé. Les outils de détection des risques alertent sur des activités suspectes offrant aux administrateurs informatiques la possibilité de réagir instantanément. Travaillant aux côtés d’Active Directory, UserLock étend la sécurité bien au-delà des stratégies de groupe et des fonctionnalités Windows natives.

Pour en savoir plus sur comment sécuriser les PME, lisez le livre blanc intitulé Le défi de sécuriser les petites et moyennes entreprises (PME).

Malware Zacinlo : outil pour fraude publicitaire

Un nouveau malware appelé Zacinlo, spécialisé dans la fraude publicitaire découvert. Il infecte le PC de l’utilisateur pour ensuite ouvrir des sessions de navigateur invisibles dans le but de charger des bannières publicitaires et de simuler des clics sur ces dernières, ou encore remplacer les publicités naturelles dans le navigateur par celles du pirate pour détourner les revenus publicitaires générés.

Cet adware a plusieurs caractéristiques qui ont attiré l’attention  :

  • Zacinlo contient un driver de type rootkit, qui se protège lui-même ainsi que ses autres composants. Celui-ci peut stopper des processus jugés dangereux pour le fonctionnement de l’adware, tout en empêchant son arrêt ou sa suppression. Les chercheurs ont également relevé la présence de fonctionnalités « man-in-the-browser » qui interceptent et déchiffrent les communications SSL. Cela permet à l’adware d’injecter du code JavaScript personnalisé dans les pages Internet visitées par l’utilisateur. Les malwares basés sur des rootkits sont EXTRÊMEMENT rares, et constituent généralement moins de 1% des menaces habituelles. Ils sont également très difficiles à éliminer car ils s’intègrent profondément au système d’exploitation.
  • Zacinlo inclut un programme de nettoyage d’adware, utilisé pour éliminer la « concurrence » potentielle pour l’espace publicitaire. Il est plutôt générique et ne cible pas de famille ou de type d’adware en particulier.
  • Il collecte des informations à propos de l’ordinateur infecté. Par exemple, si un logiciel antivirus est installé ou non (et si oui, lequel), quelles applications se lancent au démarrage, etc.
  • Il prend des captures d’écran et les envoie au serveur de commande et contrôle pour analyse. Cette fonctionnalité menace la vie privée des victimes car les captures d’écran peuvent contenir des informations sensibles telles que des e-mails, des conversations privées, des identifiants ou des coordonnées bancaires.
  • Il peut faciliter l’installation de quasiment n’importe quel nouveau logiciel de manière transparente, sans arrêter de fonctionner et ainsi étendre ses fonctionnalités.
  • Il ajoute ou remplace des publicités lors de la navigation en cherchant des objets de type « DOM » par taille, par style, par classe ou expressions régulières spécifiques.
  • Il extrait des publicités de plusieurs plateformes, dont Google AdSense.
  • Il ouvre des pages Internet en arrière-plan dans des fenêtres cachées, et interagit avec elles comme un utilisateur normal : en les faisant défiler, en cliquant et en utilisant le clavier. Il s’agit d’un comportement typique des fraudes publicitaires, qui inflige d’importants dommages financiers aux plateformes publicitaires en ligne.
  • Zacinlo utilise énormément de projets et de bibliothèques Open-Source (ex : chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
  • Il utilise des scripts Lua pour télécharger différents composants (très certainement afin de passer inaperçu aux yeux de certains programmes antivirus qui détectent les téléchargements suspects et les bloquent).
  • Il dispose d’un design extrêmement paramétrable et hautement modulaire, ce qui lui permet d’étendre ses fonctionnalités grâce à des scripts et des fichiers de configuration disponibles via les infrastructures de commande et contrôle.

Ce malware est présent principalement aux États-Unis et semble avoir une certaine affinité pour Windows 10. La France et l’Allemagne font également partie des pays qui en sont victimes, bien que le nombre d’infections soit un peu plus bas qu’aux États-Unis jusqu’ici.  Un livre blanc édité par BitDefender détaille ce nouveau malware ICI .

La plateforme de jeux Steam visée par un schéma de fraude

Des analystes ont mis en lumière un schéma de fraude qui a permis à un cybercriminel de gagner des millions de roubles. Ce dernier, masqué sous le pseudo « Faker » a développé un système de « location de malwares » sur abonnement. Parmi les victimes de ce schéma frauduleux, de nombreux joueurs de la plateforme de divertissement Steam.

« Faker » utilise plusieurs méthodes. Le schéma principal qu’il a développé est appelé MaaS (Malware-As-a-Service). Il représente un système de location de programmes malveillants sur abonnement. Les « clients » de « Faker » qui souhaitent utiliser ce système n’ont rien à fournir à part de l’argent et, parfois, un nom de domaine : le créateur de virus leur fournit le Trojan demandé, l’accès au panneau d’administration et au support technique. Les chercheurs de Doctor Web estiment que sa solution « clé en main » lui a rapporté des millions de roubles.

Ce qu’ont gagné les « clients » reste à l’appréciation de chacun, sachant que l’argent dépensé en un mois d’abonnement peut être récupéré en un jour. Tous les logiciels malveillants créés par « Faker » représentent une menace pour les utilisateurs de la plateforme de jeux Steam.

Steam, une plateforme développée par Valve Corporation, distribue des jeux et programmes numériques. Un utilisateur enregistré sur Steam accède à un espace personnel avec tous les jeux et applis qu’il a achetés. Il est également possible d’effectuer des achats sur la boutique en ligne de Steam, ainsi que de vendre et d’échanger des objets de collection. Ces objets ont une valeur clé dans plusieurs jeux multi joueurs. Armes, munitions, et d’autres objets permettent au joueur de modifier son apparence et la représentation de ses possessions dans un jeu. Ces éléments peuvent être échangés sur des sites spécifiques ainsi qu’achetés ou vendus en monnaie réelle. Ceci représente la base sur laquelle « Faker » a construit son activité criminelle.

Une de ses méthodes pour gagner de l’argent implique une soi-disant « roulette ». C’est ainsi que les joueurs en réseau appellent les enchères au cours desquelles les participants listent simultanément plusieurs objets de collection. La possibilité de gagner dépend de la somme engagée par les participants et le gagnant remporte tous les objets mis aux enchères. Ce qui est frauduleux est que le joueur véritable se trouve en face de bots qui sont sûrs de remporter l’enchère. Parfois, une victime potentielle se voit proposer l’administration d’un de ces jeux et est également « autorisé » à gagner plusieurs fois avant la mise en jeu d’éléments chers qui sont sûrs d’être perdus au profit des cybercriminels.

Le panneau d’administration des « roulettes » permet une configuration flexible du design du site d’enchères et de ses contenus affichés ; il permet la modification des noms et textes dans le chat, le contrôle des mises et l’affichage des objets mis en jeu par les autres joueurs. Il peut également servir à contrôler tout le système de « roulette ». Par ailleurs, « Faker » prête ses logiciels malveillants à d’autres cybercriminels. L’un de ces malwares nommé Trojan.PWS.Steam.13604 a été créé pour voler les données des comptes des utilisateurs de Steam. Après un mois d’abonnement, le créateur du malware fournit aux cybercriminels un fichier malveillant assemblé spécialement pour eux ; il leur donne également l’accès au tableau de bord.

Le Trojan est diffusé par différentes méthodes. L’une d’entre elles utilise l’ingénierie sociale : un utilisateur Steam reçoit un message lui disant que plusieurs membres de la communauté ont besoin d’un nouveau joueur pour former une équipe. Après une partie collective et dans le but d’une future collaboration, la victime est invitée à télécharger et à installer un client pour passer des appels. Les cybercriminels envoient à la victime un lien vers un faux site web pour télécharger l’appli. Lorsque la victime clique sur le lien, un Trojan masqué derrière un programme est téléchargé.

Si la victime potentielle utilise déjà TeamSpeak, elle reçoit une adresse de serveur utilisé par une équipe de joueurs pour communiquer. Après s’être connectée à ce serveur, la victime voit s’afficher une fenêtre de dialogue invitant à mettre à jour un des composants de TeamSpeak et un driver de sous-système audio. Déguisé derrière cette mise à jour, le malware est téléchargé sur l’ordinateur. Lorsqu’il se lance, le Trojan décharge le processus de Steam (si ce processus n’est pas le sien) puis trouve le chemin vers le répertoire Steam, la langue de l’application et le nom de l’utilisateur. Si l’un des fichiers système de Steam est disponible, Trojan.PWS.Steam.13604 en extrait des paires représentant des identifiants steamid64 et des noms de comptes. Puis le malware envoie l’information à son serveur de commande et contrôle. Ceci inclut la version de l’OS, le nom de la machine et de l’utilisateur, la langue de l’OS, le chemin vers Steam, la langue de l’appli etc.

Lorsque les actions qui lui sont commandées sont effectuées, le malware supprime le fichier original de Steam et se copie lui-même à sa place. Pour empêcher l’utilisateur de mettre à jour Steam et d’accéder au support technique, le Trojan modifie le contenu du fichier hôte en bloquant l’accès aux sites web steampowered.com, support.steampowered.com, store.steampowered.com, help.steampowered.com, forums.steampowered.com, virustotal.com, etc. Puis le Trojan.PWS.Steam.13604 affiche une fausse fenêtre d’authentification Steam. Si l’utilisateur entre ses identifiants, le malware tente de les utiliser pour s’authentifier sur Steam. S’il y parvient et que Steam Guard – un système d’authentification à deux facteurs, destiné à protéger les comptes utilisateurs – est activé sur l’ordinateur, il affiche une fausse fenêtre où entrer le code d’authentification. Toutes ces données sont envoyées sur le serveur des cybercriminels.

Le créateur du virus utilise le même serveur de commande et contrôle pour tous ses « clients ». Les données obtenues forment un fichier que les cybercriminels utilisent pour accéder aux comptes Steam. L’interface du panneau d’administration du Trojan.PWS.Steam.13604 est la suivante :

« Faker » loue également un autre Trojan qu’il a créé. Il apparaît comme Trojan.PWS.Steam.15278 dans la nomenclature Dr.Web. Il est distribué de la même façon et son objectif est de voler des inventaires de jeu. Les cybercriminels peuvent vendre les objets virtuels qu’ils ont volé aux autres joueurs. Le créateur du virus fait de la publicité pour son « service de location » de ce malware sur des forums spécialisés.

Pour fonctionner, le Trojan.PWS.Steam.15278 utilise Fiddler, un outil gratuit d’analyse de trafic, lorsqu’il est transféré via le protocole http. Son fonctionnement est basé sur le principe du serveur proxy. Fiddler installe un certificat root dans le système, ce qui permet au malware d’intercepter le trafic HTTPS chiffré. Il intercepte également les réponses du serveur et les modifie.

Si un joueur dont la machine est infectée échange des éléments avec d’autres joueurs sur des marchés spécialisés comme opskins.com, igxe.cn, bitskins.com, g2a.com, csgo.tm, market.csgo.com, market.dota2.net et tf2.tm, le malware modifie le destinataire des objets de collection au moment de l’échange.

Voici le fonctionnement du schéma : lorsque l’utilisateur liste les éléments à vendre ou à échanger, le malware se connecte à son compte et vérifie les offres entrantes à intervalles réguliers. Si le joueur reçoit une offre, le malware la supprime, identifie le nom de l’utilisateur, son icône et le texte du message de la requête d’origine puis envoie à la victime exactement la même requête mais depuis le compte des cybercriminels. Concrètement, cet échange est effectué grâce à des injections web : Trojan.PWS.Steam.15278 injecte à des pages web un code malveillant qu’il reçoit de son serveur C&C (Commande & Contrôle). « Faker » est l’auteur d’autres Trojans qui fonctionnent de la même façon et sont déguisés derrière des extensions pour Google Chrome.

Lors de l’échange d’éléments via le site officiel steamcommunity.com, Trojan.PWS.Steam.15278 permet aux cybercriminels de remplacer l’affichage des objets de collection des joueurs. Il modifie les contenus des pages web du site steamcommunity.com de façon à ce que les joueurs voient une offre pour un objet très cher et très rare. Si un joueur accepte l’offre, il recevra en réalité un objet banal et bon marché. Il est également pratiquement impossible de revenir sur la transaction après coup parce que le serveur considère que le joueur a accepté l’échange. Voici une illustration de ce schéma frauduleux : sur le site steamcommunity.com, le joueur dont la machine est infectée verra qu’un autre joueur offre soi-disant d’échanger un objet de collection appelé « PLAYERUNKNOWN’s Bandana” valant 265,31$. En réalité, une fois le marché conclu, l’utilisateur reçoit « Combat Pants (White) » dont le prix est de 0,03$.

De manière générale, le tableau de bord du Trojan.PWS.Steam.15278 est identique au panneau d’administration de Trojan.PWS.Steam.13604. Cependant, la version mise à jour comporte une section supplémentaire qui permet aux cybercriminels de contrôler la substitution des objets de collection lors des échanges. Ils peuvent configurer les images et les descriptions d’objets destinés à rempacer les vrais objets et à être présentés aux joueurs. Ensuite, les cybercriminels peuvent vendre les objets obtenus illégalement contre de l’argent réel sur les plateformes de commerce réseau.

La cryptomonnaies façonne le paysage cybercriminel ?

Les cybercriminels ont toujours été attirés par les cryptomonnaies parce qu’elles offrent un certain degré d’anonymat et peuvent facilement être monétisées. Cet intérêt s’est accru ces dernières années, allant bien au-delà du simple désir d’utiliser les cryptomonnaies en tant que moyen de paiement pour des outils et services illicites. De nombreux acteurs ont également tenté de tirer parti de la popularité croissante et de la hausse subséquente de la valeur des cryptomonnaies en les prenant pour cible par diverses opérations, telles que le ‘minage’ malveillant de cryptomonnaie, la collecte d’identifiants de portefeuilles de cryptomonnaie, des activités d’extorsion et le ciblage des plateformes d’échanges de cryptomonnaie.

Parallèlement à l’intérêt croissant pour le vol de cryptomonnaies, la technologie DLT (Distributed Ledger Technology), sur laquelle s’appuient les cryptomonnaies, a également fourni aux cybercriminels un moyen unique d’héberger leurs contenus malveillants. Ce blog couvre la tendance croissante des cybercriminels à utiliser les domaines blockchain pour des infrastructures malveillantes.

Utilisation de l’infrastructure Blockchain

Traditionnellement, les cybercriminels ont utilisé diverses méthodes pour masquer l’infrastructure malveillante qu’ils utilisent pour héberger de nouveaux malwares, stocker des données volées et/ou mettre en place des serveurs de commande et de contrôle (C2). Les méthodes traditionnelles incluent l’utilisation de l’hébergement ‘bulletproof’, de l’infrastructure fast-flux, de l’infrastructure Tor, et/ou d’algorithmes de génération de domaine (DGA) pour aider à dissimuler l’infrastructure malveillante. Nous pensons que les cybercriminels continueront à utiliser ces techniques dans un avenir proche, mais une autre tendance émerge : l’utilisation de l’infrastructure blockchain.

Intérêt de la communauté Underground pour l’infrastructure blockchain

FireEye iSIGHT Intelligence a identifié l’intérêt des acteurs de la cybercriminalité pour les sujets liés à l’infrastructure des cryptomonnaies depuis au moins 2009 au sein des communautés ‘underground’. Bien que la recherche de certains mots-clés ne permettent pas d’établir une tendance précise, la fréquence de termes spécifiques, tels que blockchain, Namecoin et .bit, augmente nettement dans les conversations autour de ces sujets à partir de 2015.

Domaines Namecoin

Namecoin est une cryptomonnaie basée sur le code Bitcoin qui est utilisée pour enregistrer et gérer des noms de domaine avec le ‘top level domain’ (TLD).bit. Toute personne qui enregistre un domaine Namecoin en est typiquement son propre dépositaire ; cependant, l’enregistrement d’un domaine n’est pas associé au nom ou à l’adresse d’une personne. La propriété du domaine est plutôt basée sur le chiffrement unique utilisé par chaque utilisateur. Ceci crée essentiellement le même système d’anonymat que Bitcoin pour l’infrastructure Internet, dans lequel les utilisateurs ne sont connus que par leur identité cryptographique.

Comme Namecoin est décentralisé, sans autorité centrale gérant le réseau, les domaines enregistrés avec Namecoin ne peuvent être ni détournés ni fermés. Ces facteurs, associés à un anonymat comparable, font de Namecoin une option de plus en plus attractive pour les cybercriminels ayant besoin d’une infrastructure pour supporter leurs opérations malveillantes.

Navigation vers les domaines Namecoin

Les domaines enregistrés avec Namecoin utilisent le TLD .bit et ne sont pas gérés par les fournisseurs DNS standard. Un client ne pourra donc pas établir une connexion vers ces domaines à moins de procéder à des configurations supplémentaires. En conséquence, beaucoup de cyber criminels ont configuré leurs malwares pour interroger leur propre DNS OpenNIC compatible Namecoin, ou pour interroger d’autres serveurs compatibles qu’ils ont acquis auprès de la communauté ‘underground’. Les fournisseurs d’hébergement ‘bulletproof’, tels que Group 4, ont profité de la demande accrue pour les domaines .bit en ajoutant du support pour permettre aux acteurs malveillants d’interroger des serveurs compatibles.

Analyse de l’utilisation de Namecoin

Parallèlement à l’intérêt croissant des acteurs malveillants pour l’utilisation des domaines .bit, un nombre croissant de familles de malwares sont configurés pour les utiliser. Les familles de malwares que nous avons observées utilisant les domaines Namecoin dans le cadre de leur infrastructure C2 comprennent :

Necurs
AZORult
Neutrino (alias Kasidet, MWZLesson)
Corebot
SNATCH
Coala DDoS
CHESSYLITE
Emotet
Terdot
Ransomware Gandcrab Ransomware
SmokeLoader (alias Dofoil)

Sur la base de notre analyse d’échantillons configurés pour utiliser les domaines .bit, les méthodes suivantes sont couramment utilisées par les familles de malwares pour se connecter à ces domaines :
Query hard-coded OpenNIC adresse(s) ; Query hard coded DNS server(s).

Perspectives

Bien que l’utilisation de méthodes traditionnelles de dissimulation telles Tor, « bulletproof » et l’hébergement fast-flux se poursuivra très probablement dans un avenir proche, nous estimons que l’usage de domaines blockchain continuera de gagner en popularité parmi les cybercriminels dans le monde entier. Parallèlement à l’augmentation prévue de la demande pour ces domaines, un nombre croissant d’offres d’infrastructures malveillantes apparaîtront au sein des communautés ‘underground’ pour les supporter.

En raison de la nature décentralisée et reproductible d’une blockchain, la saisie par les forces de l’ordre d’un domaine malicieux nécessitera probablement la fermeture de l’ensemble de l’infrastructure blockchain, une démarche impossible en raison des nombreux services légitimes qui l’utilisent. Si un service de police est en mesure d’identifier le ou les individus qui gèrent des domaines blockchain malicieux, alors leur prise de contrôle pourra être envisageable ; toutefois, la probabilité de ce cas de figure dépend fortement du niveau de sécurité mis en place par les cyber criminels. De plus, ces derniers continuant à développer de nouvelles méthodes de dissimulation et de protection de leurs infrastructures, la prise de contrôle des domaines blockchain restera une opération difficile. (David GROUT, Director Technical – PreSales, South EMEA)

Retour en force des attaques DDoS en Europe en 2018

Les attaques par déni de service, ou DDoS, avaient marqué les esprits à la fin de l’année 2016. Perpétrées grâce au botnet « Miraï », l’un des premiers « thingbots » constitué exclusivement d’objets connectés (Internet of Thing), les deux attaques de plusieurs Tbit/s lancées contre OVH et DynDNS, avaient ébranlé le web mondial.

De l’avis des experts, ce type d’attaques était voué à se multiplier en 2017. Il n’en fut rien et les attaques tant redoutées ne se sont jamais produites. Pourtant les pirates n’ont pas mis un terme à leurs attaques volumétriques massives. Ils n’ont simplement pas exploité au maximum de leurs capacités, les impressionnantes cyberarmes à leur disposition.

F5 fait état d’une véritable explosion des attaques DDoS depuis janvier 2018 :   

  • Le thingbot « JenX » proposant ses services pour mener des attaques DDoS (DDoS-for-hire) a tout d’abord été découvert en janvier. Celui-ci permet de lancer des attaques DDoS de 300 Gbit/s pour la modique somme de 20 dollars, plaçant ainsi la neutralisation d’une cible à la portée de tous.
  • En mars, c’est un nouveau record du monde qui a été établi : le site de développement collaboratif GitHub a été ciblé par une attaque DDoS d’une puissance sans précédent, atteignant un débit de 1,35 Tbit/s. Techniquement, l’attaque a été lancée depuis des systèmes de mémoire cache (« memcached ») non sécurisés.

Le centre des opérations de sécurité (SOC) de F5 Silverline fait état d’une véritable explosion des attaques DDoS en 2018. Jusqu’à présent, le SOC F5 a écarté des attaques volumétriques de haut débit comprises entre 100 et 300 Gbit/s. Les attaques volumétriques reviennent ainsi sérieusement jouer les trouble-fête.

F5 a observé plusieurs tendances dans les attaques menées à la fin de l’année 2016 et les nombreuses attaques réapparues lors du 1er trimestre 2018.

  • Les entreprises de la zone Europe, Moyen-Orient et Asie-Pacifique sont désormais toutes autant ciblées que leurs homologues nord-américaines.
  • Les établissements financiers et les hébergeurs continuent de figurer parmi les secteurs les plus ciblés. Mais sur le 1er trimestre 2018, ce sont les sociétés de jeu en ligne qui ont été particulièrement ciblées. A eux trois, ces secteurs ont subi 76 % des attaques DDoS au 1er trimestre 2018.
  • Cependant, avec la montée en puissance de ressources à la location, bon marché, qui facilitent le ciblage de tout type d’entreprise, l’écart se rétrécit entre ces secteurs historiquement ciblés et les autres.
  • Le SOC de F5 a commencé à neutraliser des attaques DDoS ciblant directement des applications (et non le réseau) au 3ème trimestre 2016, et cela risque de devenir un vecteur d’attaque en hausse à mesure que les entreprises évoluent vers des processus de virtualisation de services orientés applications.
  • Après un hiatus en 2017, les attaques volumétriques à haut débit ont repris au premier trimestre 2018. En mars 2018, le SOC de F5 a neutralisé une attaque multi-vecteurs de 325 Gbit/s, principalement issue de systèmes basés aux États-Unis.

Vincent Lavergne, expert attaques DDoS de F5 explique : « Avec l’explosion des objets connectés, du Cloud computing et des bases de données en ligne, les pirates disposent plus que jamais de systèmes plus vulnérables leur permettant de lancer des attaques DDoS dévastatrices ».

Rappel – Quelques bonnes pratiques pour se prémunir de ce type d’attaques :

  1. Ne pas exposer l’administration à distance à l’ensemble du réseau Internet, en particulier aux appareils IoT ou aux bases de données en ligne.
  2. Protéger ses systèmes au moyen de protocoles d’accès sécurisés, d’identifiants d’administration complexes (ou de clés SSH lorsque cela est possible), et ne pas laisser se produire des attaques par force brute.
  3. Appliquer régulièrement des correctifs sur tous les systèmes en contact avec Internet, et immédiatement dès la détection d’une faille dans l’exécution de code à distance ou d’un défaut de conception susceptible de conduire à une exploitation à distance.

L’analyse approfondie menée par F5 révèle également les enseignements suivants :

  • Croissance des attaques mondiales

Le nombre d’attaques neutralisées au niveau mondial par F5 entre 2016 et 2017 a augmenté de 26 %. Sur le premier trimestre 2018 (vs le 1er trimestre 2017), F5 a analysé une augmentation plus significative, de 33% du nombre d’attaques.

Toutes les zones observées par F5 ont connu une hausse constante des attaques depuis 2016, mais le nombre d’attaques DDoS commises contre des cibles dans la région Asie-Pacifique (APAC) augmente plus rapidement que dans n’importe quelle autre région du monde.

L’Amérique du Nord, historiquement la zone la plus touchée par les attaques DDoS, est depuis 2017 passées sous la barre des 50% du total d’attaques DDoS mondiales, alors que les attaques DDoS ciblant la région EMEA ont augmenté d’environ un tiers. La région APAC a, quant à elle, fait un bond de 8 % en 2016 à 17 % en 2017. Au premier trimestre 2018, les entreprises de la région APAC ont subi presque autant d’attaques que les entreprises situées en Amérique du Nord.

  • Répartition des attaques par secteur

Les hébergeurs Web et les établissements financiers ont toujours figuré parmi les principales cibles d’attaques DDoS, une tendance qui ne s’est pas démentie en 2017.

Vincent Lavergne explique : « Dans ces deux secteurs, tout temps d’arrêt se traduit directement en pertes financières. C’est pourquoi les attaques DDoS avec chantage à la clé sont très lucratives, car le fait de payer la rançon est pour les entreprises un moyen efficace de régler le problème ».

Le fossé se rétrécit entre les principales cibles traditionnelles et d’autres secteurs ; les profils des cibles sont variés et comptent notamment les fournisseurs de technologies, les FAI, l’univers du jeu en ligne et les fournisseurs de services aux entreprises.

Vincent Lavergne ajoute : « Chaque année, nous continuons à observer un plus large éventail de cibles d’attaques DDoS, en corrélation avec la hausse des services « DDoS for hire » à des prix extrêmement abordables et la mise à disposition des outils DDoS accessibles même aux néophytes ».

  • Origine des attaques

F5 a analysé un ensemble d’attaques de très fort débit, persistantes pendant 4 jours en mars 2018 et a observé que les 10 principaux pays à l’origine du trafic ont conservé le même débit tout au long des attaques, ce qui pourrait laisser entendre que ces attaques ont été lancées par les mêmes systèmes sur toute la durée de quatre jours. Ce type de comportement d’attaque cadre avec l’utilisation d’objets connectés, dans lesquels des failles et les attaques qui en découlent ne sont pas détectées, ou, dans un scénario moins probable, avec la compromission de systèmes appartenant à des entreprises (qui ne sont pas au courant de la faille) et qui sont utilisés pour lancer des attaques.

Fait inhabituel, la plus importante source de cette campagne d’attaques est venue des États-Unis. Cela indique qu’un nombre significatif de systèmes vulnérables (appareils IoT ou systèmes « memcached » potentiellement compromis) est ciblé aux États-Unis pour lancer des attaques DDoS.

Les fraudes sur les réseaux sociaux augmentent de 200%

Chaque jour, les chercheurs analysent plus de 5 milliards de messages électroniques, des centaines de millions de messages sur les réseaux sociaux, et plus de 250 millions d’échantillons de logiciels malveillants pour protéger les entreprises du monde entier contre ces menaces.

Le Proofpoint Quarterly Threat Report met en lumière l’évolution des systèmes sophistiqués de menaces, que ce soit à travers les emails, les réseaux sociaux ou plus largement sur internet. Conçu pour mieux combattre les menaces d’aujourd’hui et anticiper les attaques émergentes, il permet de découvrir les tendances du premier trimestre de 2018 en termes de cyberattaques :

Attaques sur les réseaux sociaux et les moteurs de recherche en forte augmentation avec une hausse de phishing

La fraude par les réseaux sociaux, et le  » phishing « , ont explosé au T1 2018, avec une augmentation de 200% par rapport au trimestre précédent. 30 % des enregistrements de domaines liés au Bitcoin étaient suspects, mais les nouveaux enregistrements ont fortement diminué alors que la valeur du Bitcoin a continué à baisser au cours du premier trimestre. 84% des PDG du Fortune 500 ont été victimes de menaces et de discours haineux sur Twitter et sur le dark web en février 2018.

Tendances des menaces par email : les chevaux de Troie bancaires reprennent la première place tandis que le phishing explose

Au premier trimestre, 59% des messages malveillants étaient des chevaux de Troie bancaires.

Pour la première fois depuis le deuxième trimestre 2016, les chevaux de Troie bancaires ont remplacé les ransomwares en tant que principaux logiciels malveillants dans le domaine de la messagerie électronique.

Les voleurs d’informations confidentielles et les adeptes du téléchargement représentaient le reste des menaces malveillantes avec respectivement 19 % et 18 % des courriels malveillants. L’accalmie des ransomwares et les volumes généralement plus faibles d’emails malveillants au premier trimestre semblent être associés à une perturbation du botnet Necurs, mais ont été accompagnés de charges utiles plus diverses, y compris des RAT et des backdoors. Emotet était le cheval de Troie bancaire le plus largement distribué, représentant 57% de l’ensemble des chevaux de Troie identifiés. 40 % des organisations ciblées ont été attaquées entre 10 et 50 fois au T1 2018, et le nombre d’entreprises recevant plus de 50 attaques a augmenté de 20% par rapport au dernier trimestre de 2017.

Menaces sur le Web : Les kits d’exploitation continuent de décliner à mesure que de nouvelles menaces émergent. Le trafic des kits d’exploitation (EK) a continué à baisser de 71 % par rapport au trimestre précédent. Environ 95% des attaques basées sur le Web sont maintenant redirigées vers des schémas d’ingénierie sociale au lieu de kits d’exploitation. Les chercheurs de Proofpoint ont joué un rôle clé dans le naufrage de l’EITest, la plus ancienne chaîne d’infection du web, empêchant jusqu’à deux millions de redirections malveillantes par jour.

Pour plus de détails.

Chronique : vacances connectées, pensez à vous protéger !

Chronique Tv cybersécurité ! Protéger vos connexions cet été ! Les vacances, le repos, le sable chaud et votre vie numérique attrape un coup de chaud. Voici des trucs et astuces, ainsi que du matos, pour protéger vos connexions hors de vos murs.

Protéger vos connexions cet été ! Partir en vacances c’est pour de plus en plus d’internautes mettre dans leur valise, en plus des maillots de bain et de la crème solaire, son smarpthone, sa tablette, son ordinateur portable. Bilan, connexions Internet et utilisations nomades doivent se faire en mode sécurisé.

Dans la chronique Cyber Sécurité sur la chaîne de télévision WEO, cette semaine, il expliqué comment ne pas finir dans les mains d’un malveillant numérique après avoir utilisé, par exemple, une connexion wifi “gratuite” offerte sur le lieu de votre villégiature.

Vous découvrirez aussi une clé USB de chez Eset. La Kingston Data Traveler permet de transporter ses données chiffrées. Clé équipée d’un antivirus. On parle aussi VPN. Ils permettent de surfer anonyme et sécurisée sans risque d’être cyber espionnée.