Dans un monde où l’ecommerce est en pleine expansion, la cybersécurité des boutiques en ligne est devenue une priorité incontournable. En effet, les cyberattaques et les violations de données sont en constante augmentation, mettant en péril non seulement les revenus des entreprises, mais aussi la confiance et la fidélité des clients. Alors, comment bien sécuriser sa boutique en ligne ? Voici quelques étapes essentielles pour garantir la protection de votre site et des données de vos clients.
1. Utiliser un certificat SSL
Le certificat SSL (Secure Sockets Layer) est une technologie de sécurité qui chiffre les données échangées entre le navigateur du client et le serveur de la boutique en ligne. Ce certificat permet tout simplement de sécuriser les données sensibles telles que des numéros de carte de crédit, des informations personnelles de vos clients. Pour remarquer la présence du certificat SSL sur le site, les internautes regardent si l’URL contient le HTTPS et le cadenas vert dans la barre d’adresse. Sans ces éléments, le site n’est pas gage de confiance et de sécurité.
2. Mettre en place une authentification forte
L’authentification forte, ou authentification à deux facteurs (2FA), est un moyen efficace de protéger les comptes administratifs et clients. Elle combine le mot de passe de l’utilisateur avec un code envoyé par SMS ou une application d’authentification. Cela rend beaucoup plus difficile l’accès non autorisé aux comptes, même si le mot de passe est compromis.
Pour les membres de l’entreprise, le mot de passe doit être fort pour sécuriser chaque donnée du site. Pour le mémoriser, utilisez un gestionnaire de mot de passe pour plus de simplicité.
Pour les clients, il faut penser à leur indiquer le niveau de sécurité du mot de passe.
3. Maintenir les logiciels à jour
Les CMS (Content Management Systems), plugins et autres logiciels utilisés pour gérer votre boutique en ligne doivent être régulièrement mis à jour. Les mises à jour corrigent souvent des failles de sécurité découvertes dans les versions précédentes. Ignorer ces mises à jour peut laisser votre site vulnérable face aux attaques. Il est donc crucial de vérifier les mises à jour de sécurité et de les appliquer dès qu’elles sont disponibles. En effet certaines mises à jour ne sont pas automatiques.
4. Effectuer des sauvegardes régulières
Avoir une bonne stratégie de sauvegarde est essentielle pour se prémunir contre les pertes de données en cas de cyberattaque. Les sauvegardes doivent être effectuées régulièrement et stockées en toute sécurité, de préférence hors site. En cas de violation ou de panne du système, vous pourrez ainsi restaurer rapidement votre boutique en ligne et minimiser les interruptions de service.
5. Utiliser des pare-feux et des solutions anti-malware
Les pare-feux et les solutions anti-malware sont des outils indispensables pour protéger votre site contre les attaques. Un pare-feu pour application web (WAF) filtre et surveille le trafic HTTP vers et depuis un service web. Les solutions anti-malware, quant à elles, détectent et éliminent les logiciels malveillants avant qu’ils ne causent des dommages.
6. Contrôler les accès
Il est crucial de contrôler les accès à votre boutique en ligne. Limitez les droits d’accès aux informations et aux fonctionnalités sensibles uniquement aux personnes qui en ont réellement besoin. De plus, lors du départ de l’employé, révoquez immédiatement les accès aux anciens employés pour éviter tout risque de sabotage ou de fuite de données.
7. Sécuriser les paiements en ligne
L’un des aspects les plus critiques de la sécurité d’une boutique en ligne est la protection des paiements en ligne. Pour sécuriser les transactions, il est essentiel d’utiliser des solutions de paiement reconnues et conformes aux normes de sécurité telles que Payment Card Industry Data Security Standard. Intégrez des services de paiement fiables qui offrent des protocoles de sécurité avancés comme le chiffrement des données de paiement et la détection des fraudes en temps réel. Comme conseil, il est recommandé de ne jamais stocker les informations de carte de crédit sur vos serveurs. Cela réduit considérablement les risques en cas de violation de données.
8. Surveiller et auditer régulièrement
Enfin, il est essentiel de surveiller et d’auditer régulièrement la sécurité de votre boutique en ligne. Utilisez des outils de surveillance pour détecter les activités suspectes et effectuez des audits de sécurité périodiques pour identifier les vulnérabilités. Vous pouvez aussi déléguer cette partie à une agence ecommerce.
9. Déléguer la sécurité de son site web à une agence ecommerce
Déléguer la sécurité de votre boutique en ligne à une l’agence ecommerce présente de nombreux avantages. En confiant cette tâche complexe à des experts, vous bénéficiez d’une protection optimale grâce à des technologies de pointe et à des pratiques de sécurité rigoureuses. Elles peuvent effectuer des audits de sécurité réguliers, mettre en place des mesures préventives avancées et réagir rapidement en cas de cyberattaque. De plus, en externalisant la sécurité, vous libérez du temps et des ressources pour vous concentrer sur votre cœur de métier, tout en ayant l’assurance que votre boutique en ligne est protégée par des professionnels dédiés et réactifs. Collaborer avec une agence ecommerce comme Vigicorp.fr vous permet de garantir une sécurité optimale de votre site et de renforcer la confiance et la fidélisation de vos clients.
La sécurité de votre boutique en ligne est une tâche complexe mais primordiale pour atteindre vos objectifs marketing et commerciaux. Cela nécessite une attention constante et des investissements en temps et en ressources. En suivant ces étapes et en collaborant avec des experts en cybersécurité comme des agences ecommerce, vous pouvez protéger efficacement votre site contre les cyberattaques et garantir une expérience de shopping en ligne sûre et fiable pour vos clients. Une boutique en ligne bien sécurisée est non seulement un gage de confiance pour vos clients, mais aussi une condition essentielle pour la pérennité de votre activité. Au vu des enjeux, demander des conseils ou externaliser cette mission peut être une solution pour votre entreprise.
L’écosystème numérique de MTS, l’un des plus important opérateur télécom russe, a annoncé sa transition vers sa propre plateforme de détection de fraude, baptisée « Fraud Detection Platform ».
Le russe MTS, Mobile TeleSystems, l’un des principaux opérateurs de télécommunications du pays a annoncé exploiter son propre outil de veille et de contrôle des fraudes pouvant passer par ses serveurs. Une plateforme de détection des fraudes baptisée Fraud Detection Platform.
Cette solution analyse le comportement des utilisateurs et détecte les anomalies. DataSecurityBreach.fr a repéré cette information via un communiqué de presse diffusé par la société.
« La mise en place de cette plateforme permettra à l’écosystème d’économiser environ 460 millions de roubles par an (4,3 millions d’euros). » Ce système anti-fraude analyse et organise les flux de données provenant de différents équipements et formats, les systématise et identifie des tendances. Fraud Detection Platform traite plus de 5 milliards de transactions par jour, prenant en moyenne moins de 50 millisecondes pour chaque transaction.
En cas de détection d’un comportement suspect de l’utilisateur, le système effectue une analyse et, si nécessaire, de bloquer rapidement les actions frauduleuses.
Les algorithmes de Fraud Detection Platform incluent une détection par apprentissage automatique (ML) basée sur plus de 250 paramètres calculés pour tous les abonnés actifs de MTS.
Cette analyse multifactorielle permet de détecter même les schémas de fraude les plus atypiques. « Auparavant, le système anti-fraude ne prenait en compte que 32 indicateurs pour chaque action sur le réseau, maintenant le nombre de paramètres est illimité », souligne le communiqué.
Fraud Detection Platform conserve les informations sur les opérations pendant une période suffisante pour effectuer une analyse rétrospective, ce suivi aide l’entreprise à développer de nouvelles hypothèses de détection de scénarios de fraude.
La sécurité des données est une préoccupation majeure dans le monde bancaire, car les banques traitent et stockent de grandes quantités de données sensibles, telles que les informations financières et personnelles de leurs clients. Si ces données tombaient entre de mauvaises mains, cela pourrait avoir de graves conséquences pour les clients de la banque et pour l’institution elle-même.
La sécurité des données est devenue primordiale
Pour protéger les données de leurs clients, les banques mettent en place plusieurs mesures de sécurité. Faire appel à une banque en ligne sécurisée est donc primordial. Elles ne se valent pas toutes. Voici ce qu’il faut retenir avant de souscrire :
Chiffrement des données : Les données sensibles sont chiffrées pour empêcher qu’elles ne soient lues ou modifiées par des personnes non autorisées.
Authentification à plusieurs facteurs : Les clients doivent souvent fournir plusieurs formes d’identification pour accéder à leurs comptes, telles que des codes de sécurité et des empreintes digitales.
Surveillance constante : Les banques surveillent en permanence leurs systèmes pour détecter toute activité suspecte ou toute tentative de piratage.
Formation du personnel : Les employés de la banque sont formés pour respecter les normes de sécurité et pour ne pas divulguer des informations sensibles à des tiers non autorisés.
En outre, les banques sont soumises à de strictes réglementations en matière de protection des données, qui leur imposent de mettre en place des mesures de sécurité adéquates pour protéger les informations de leurs clients.
Quelques astuces pour protéger ses données bancaires
Il existe plusieurs mesures que vous pouvez prendre pour protéger votre compte en banque contre les pirates informatiques :
Utilisez un mot de passe fort et unique pour votre compte en banque. Évitez d’utiliser des informations personnelles ou des mots de passe que vous utilisez ailleurs.
Activez la double authentification ou l’authentification à deux facteurs (2FA) pour votre compte en banque. Cela nécessite deux formes d’identification pour accéder à votre compte, comme un mot de passe et un code envoyé par SMS ou généré par une application de votre téléphone.
N’utilisez pas de réseaux Wi-Fi publics pour accéder à votre compte en banque. Les réseaux Wi-Fi publics sont souvent non sécurisés et peuvent être utilisés par des pirates pour accéder à vos données.
Installez un logiciel de sécurité sur votre ordinateur et assurez-vous qu’il est à jour. Les logiciels de sécurité peuvent protéger votre ordinateur contre les logiciels malveillants et les virus qui peuvent être utilisés pour accéder à vos informations de compte en banque.
Soyez vigilant lorsque vous recevez des courriels ou des messages de phishing qui prétendent être de votre banque ou de toute autre entreprise et qui vous demandent de fournir des informations de compte ou de mot de passe. Ne cliquez pas sur les liens ou n’entrez pas vos informations de compte sur de tels sites.
En suivant ces conseils, vous devriez être en mesure de protéger efficacement votre compte en banque contre les pirates informatiques et de prévenir toute tentative de vol d’argent.
Travailler dans la tech, devenir développeur web ou tout simplement changer de carrière, des objectifs qui n’ont jamais été autant accessibles que depuis l’avènement des coding bootcamp. En une décennie, les bootcamps ont conquis les espaces de formation et le principe s’est bien démocratisé. Néanmoins, en 2022 nombreuses sont les formations en code proposées par les bootcamps et il est souvent difficile de faire son choix. Nous avons décidé de vous éclairer en comparant au mieux les statistiques de retour à l’emploi publiées par les trois meilleurs coding bootcamp !
1. La Capsule
Implantée en France et en Europe, l’école de développement web a publié son Job Report de l’année 2020 sur son programme phare, la FullStack JS. Premier chiffre frappant qui place La Capsule en tête de liste de ce classement c’est son taux de retour à l’emploi s’élevant à 95 % ! Comparé aux autres bootcamps, c’est le meilleur coding bootcamp en termes d’insertion professionnelle, de plus le taux d’occupation d’un emploi CDI est de 82%. Quant aux freelance issus de cette école, ils gagnent en moyenne 324€. Atout majeur de La Capsule, c’est la pédagogie par projet couplée à des technologies enseignées qui sont prisées sur le marché de l’emploi comme JavaScript ou NodeJS. Autre excellente nouvelle, 95% des alumnis travaillent dans la tech, preuve que la formation est calquée sur les besoins des entreprises tech. Secteur à forte dominance masculine, l’école s’engage pour féminiser les métiers tech et forme 30% de femmes. A la fin de la formation FullStack, les élèves obtiennent le titre de développeur web et mobile, un titre RNCP niveau 6 d’équivalent Bac +¾.
2. Le Wagon
A la seconde place, nous retrouvons Le Wagon. Créé en 2014, on peut dire que le bootcamp a fait le tour du monde avec ses campus implantés sur les cinq continents ! Le Job Report de l’école concerne que le second semestre 2020 et uniquement sa formation web developper répartie sur trois campus français, il est donc compliqué d’établir une tendance uniforme. Néanmoins, on notera un bon taux de retour à l’emploi avec 84% d’alumnis qui occupent un contrat salarié. 82% ont trouvé un emploi dans la tech, cependant quand on regarde les chiffres de plus près, l’école ne forme que 25% de développeurs. Le Wagon enseigne le langage Ruby, RubyOnRails et JavaScript. En ce qui concerne le tarif freelance des anciens élèves, il s’élève à 250€ (médian). Un tiers de femmes ont été formées, un engagement pour les femmes dans la tech que l’école tend à promouvoir. Point fort de l’école : son réseau d’alumnis comptabilisant plus 15000 personnes.
Wild Code School
Avec ses 25 campus en France et dans toute l’Europe, la Wild Code School a publié un rapport d’insertion professionnelle en cette année 2022, couvrant ses statistiques allant du second semestre de 2019 au second semestre 2020. Son taux de retour à l’emploi est de 82% et les alumnis occupent à 74% un contrat salarié. La Wild Code School a formé 33% de femmes soit 4 points de plus que l’année précédente. Particularité de la Wild Code School : l’accès à l’alternance qui délivre un diplôme Bac+4. L’école indique que 78% de ses alumnis travaillent dans le développement web mais ne communique pas plus sur les métiers tech en général.
La crise avec l’Ukraine a des répercussions de plus en plus mondiales. Désormais, même les internautes ne sont plus à l’abri. Un groupe de hackers russe, a publié un nouveau type de malware appelé “Cyclops Blink”. Plusieurs pannes sont recensées auprès de différents acteurs, cyberattaques ou coïncidence, la situation est bénéfique pour les sociétés de sécurité numérique à la bourse.
La guerre numérique est lancée
La situation en Ukraine a déclenché des mouvements de cyberattaques sur le gouvernement et les institutions ukrainiennes, mais on soupçonne aussi d’autres attaques sur des infrastructures européennes. L’attention sur le risque de cyberattaques a grimpé en flèche, faisait monter les valeurs des acteurs de la cybersécurité en bourse. Dans le cadre de l’effort de guerre, un groupe étatique russe appelé “Sandworm » a mis en ligne un nouveau malware qui attaque les pare-feux de ses cibles.
La situation est palpable pour la sécurité numérique, dans un contexte où dès qu’une panne sur un service est recensée, l’on se méfie d’une cyberattaque. C’était le cas pour le satellite Ka Sat, qui avait subi une interruption de fonctionnement, coupant ainsi l’accès à plusieurs opérateurs comme Nordnet en France. L’interruption est soupçonnée d’être d’origine criminelle. C’est également le cas pour des perturbations et des pannes suspectes sur différents logiciels comme Discord, Twitter ou encore Spotify.
Un élan pour la cybersécurité en bourse
Réalité ou coïncidences hasardeuses, la situation a mis en évidence la fragilité des infrastructures. Internet n’est pas une forteresse inatteignable et ses réseaux et services peuvent être la cible d’attaques. Ainsi, cette tendance est bénéfique pour plusieurs sociétés de cybersécurité qui ont vu les investisseurs miser sur leur valeur et faire monter les actions en bourse. Parmi les sociétés qui ont le plus profité de ce coup de projecteur, on peut citer Crowdstrike Holdings Inc. (+ 13 %), Fortinet Inc. (+ 11%), Palo Alto Networks (+13%) et Cloudflare (+18%). Les hausses des valeurs ne sont pas négligeables et le moment est propice pour un investissement dans ce secteur.
Les ETF qui suivent les valeurs de la cybersécurité en Amérique ont également progressé, suivant cette tendance. Le First Trust NASDAQ Cybersecurity ETF, le plus grand ETF de cybersécurité, a gagné presque 7 % fin février. Des augmentations similaires sont observées chez le ETFMG Prime Cyber Security et le Global X Cybersecurity ETF. En Europe également, les ETF de cybersécurité ont récupéré quelques points sur les pertes de l’année. L&G Cyber Security UCITS ETF est en hausse de 4 %. Cette tendance est suivie par d’autres ETF de Cybersécurité européenne. La hausse est encore légère, mais, est le signe d’un rebond intéressant. La situation géopolitique profite largement à ce secteur qui devrait connaitre des fortes hausses dans les semaines voir les mois à venir. Si la cybersécurité semblait peut-être superflue pour de nombreux investisseurs, le cadre actuel révèle bel et bien son utilité dans un conflit comme celui-là.
Cela peut être un moment intéressant si vous souhaitez vous lancer l’aventure boursière et investir dans des ETF ou des actions du secteur de la cybersécurité. Il faut évidemment rester prudent avec ces investissements, mais l’actualité est en faveur de cette tendance à la hausse pour ces valeurs.
Le haut débit mobile désigne la connexion Internet de meilleure qualité fournie par les opérateurs de téléphonie mobile. En termes clairs, plus la connexion haut débit est rapide, plus la connectivité et la communication sont fluides et intéressantes. Découvrez ici comment choisir le forfait haut débit idéal à votre style de vie.
Consulter les offres disponibles
En fonction de votre disponibilité et de vos besoins, il faudra opter entre différentes offres. À titre illustratif, les personnes qui n’utilisent pas la télévision et le téléphone fixe à la maison peuvent opter pour une offre Internet seule. Les étudiants et apprenants chercheurs peuvent opter pour les offres plus adaptées à leurs besoins. À cet effet, plusieurs offres très haut débit sont disponibles auprès des opérateurs.
Évaluer vos besoins
Étant donné les diverses propositions de forfaits hauts débits disponibles sur le marché, il est impératif de faire le point de vos besoins avant de faire un choix. Ainsi, il faudra prendre en compte certains détails comme le débit de navigation, la consommation de données, les équipements.
Le débit de navigation
Le débit ou la vitesse de votre connexion mobile désigne la vitesse à laquelle les données sont transférées. Avec la génération du haut débit, cette vitesse est généralement exprimée en Mégabits par seconde (Mb/s) ou en Gigabits par seconde (Gb/s) pour les connexions ultrarapides via le réseau fibre optique. Plus cette vitesse est élevée, moins il vous faudra du temps pour télécharger un fichier, pour afficher des sites web et profiter d’une bonne qualité des chaines TV sur votre box.
La consommation de données
Pour déterminer votre consommation de données, il faudra quantifier votre consommation en Internet fixe et mobile en Mo (Méga Octet) ou en Go (Giga Octet). Faites le point du nombre d’appareils qui devront se connecter à Internet simultanément. Le forfait illimité de haut débit est l’une des meilleures options pour les familles nombreuses.
Les équipements
Vous pourrez aussi avoir besoin de louer des équipements de connexion auprès de votre fournisseur. Mais si vous disposez déjà d’équipement comme un routeur à la maison, il ne sera plus nécessaire d’en louer.
Déterminez la durée de votre engagement
Les fournisseurs d’accès Internet proposent souvent différentes durées d’engagement. Il serait donc préférable d’opter pour des forfaits de courte durée pour bénéficier à tout moment d’un nouveau forfait plus intéressant. Vous pourrez toujours souscrire une meilleure offre chez un concurrent. Cependant, il existe quelques conditions qui encadrent la résiliation de l’engagement auprès de votre fournisseur. Vous pourrez aussi payer des frais de résiliation.
Demander des avis
Pour ne pas faire un mauvais choix, il serait judicieux de consulter les avis de vos proches ou voisins. N’hésitez donc pas à leur poser des questions par rapport à leur connexion haut débit, la qualité des services de leurs fournisseurs Internet et d’autres renseignements utiles. Aussi, vous pouvez consulter des sites web et plateformes adaptés pour avoir des avis sur les différents forfaits haut débit, les avantages et inconvénients de chaque fournisseur d’accès mobile. Par ailleurs, certains fournisseurs proposent des tests d’éligibilité sur leur site. Cela vous permet d’avoir leurs prix et caractéristiques en fonction de votre habitation.
Women4Cyber France est lancé à l’occasion du salon Milipol ce vendredi 22 octobre. L’association loi 1901 à but non lucratif représente sur le terrain la Fondation européenne Women4Cyber, basée à Bruxelles et se fixe pour objectif de promouvoir auprès des femmes les métiers de la cybersécurité.
Face à la pénurie de talents dans cette filière d’avenir, Women4Cyber France souhaite réunir toutes les femmes et tous les hommes engagés ensemble autour du défi des compétences en cyber et créer ainsi un réseau au cœur des territoires. L’association veut, par des actions ciblées et coordonnées avec les actrices et acteurs locaux, mais aussi à l’échelle européenne, donner de la visibilité aux talents existants et en attirer d’autres.
La question de la diversité et de la représentation féminine dans ces métiers mobilisent de nombreux acteurs qui œuvrent au quotidien sur le terrain. Femme@Numérique, WomenInTech, Women In AI, CEFCYS, Femmes Ingénieures, nombreuses sont les initiatives qui, chacune, prennent leur part dans l’effort collectif de sensibilisation et de promotion des métiers d’avenir. Pourtant, l’ampleur de la tâche est immense.
La difficulté à garantir une meilleure intégration des femmes dans les filières et métiers des sciences, technologies, ingénieries et mathématiques (STEM) et plus particulièrement le numérique et la cybersécurité nous semble être l’affaire de tous, femmes et hommes. Il s’agit à la fois d’une question de société, mais aussi d’emplois et de développement économique.
Women4Cyber souhaite ainsi apporter sa part à l’effort collectif en menant des actions de sensibilisation et de communication sur les métiers de la cyber.
Trois femmes sont à l’initiative du projet. Valéria Faure-Muntian, députée de La Loire et Présidente de Women4Cyber France, Anne Le Hénaff et Charlotte Graire. Elles partagent toutes les trois le même engagement et la même conviction que le monde de demain sera numérique et que les femmes peuvent co-écrire son scénario d’évolution dans l’inclusion et la complémentarité. Nous avons donc souhaité apporter notre part à l’action commune qui ne concerne pas seulement la France. Avec le soutien de la Commissaire Mariya Gabriel, ECSO a lancé en 2019 la fondation Women4Cyber afin, bien sûr, de promouvoir ces métiers auprès des femmes mais aussi pour créer un réseau européen qui permettra de répondre ensemble à ce défi que chaque États membres partagent.
YesWeHack, première plateforme européenne de Bug Bounty et de VDP (Politique de Divulgation des Vulnérabilités), annonce aujourd’hui une levée de fonds de 16 millions d’euros. La Banque des Territoires et Eiffel Investment Group sont les deux principaux investisseurs tandis que Normandie Participations et CNP Assurances, qui avaient déjà investi lors de la série A, renouvellent leur confiance à YesWeHack.
Une expertise européenne reconnue au niveau mondial
La plateforme, qui met en relation des hackers éthiques avec des organisations pour tester et améliorer leur sécurité, a réalisé une croissance record de 450 % depuis sa première levée de fonds il y a deux ans seulement. YesWeHack s’est fortement développée en Europe et en Asie-Pacifique (APAC) et compte aujourd’hui une communauté de plus de 25 000 chercheurs, des clients dans plus de 40 pays, et affiche un chiffre d’affaires réalisé pour moitié à l’international.
YesWeHack s’est imposé comme un des leaders globaux sur le marché du bug bounty en moins de cinq ans, en apportant à ses clients un accompagnement ultra-qualitatif, ainsi que des garanties uniques de souveraineté de leurs données, hébergées en Europe.
Trois ambitions en ligne de mire pour cette nouvelle levée de fonds
Il s’agit d’abord pour la plateforme de poursuivre son développement en permettant à toutes les organisations, des start-up aux grands groupes et administrations du monde entier, d’élever leur stratégie de cybersécurité et de l’adapter aux enjeux de la transformation numérique, dans un contexte de croissance exponentielle des menaces. « La Covid-19 a considérablement accéléré la modernisation des systèmes informatiques de nos clients, et a décuplé leur surface d’attaque. » souligne Guillaume Vassault-Houlière, CEO et co-fondateur de YesWeHack. « Les directions cyber réalisent que les approches traditionnelles ne suffisent plus. C’est pourquoi chez YesWeHack nous tenons à offrir une solution agile et évolutive, à la hauteur de ces défis ».
Une partie de l’investissement viendra soutenir l’effort R&D pour compléter et approfondir la valeur délivrée aux clients de YesWeHack, et leur permettre de réaliser pleinement le potentiel de la plateforme.
Outre le développement de fonctionnalités et services additionnels, l’accent continuera d’être mis sur la qualité de service et de l’accompagnement sur mesure fourni aux clients, gage d’une adoption rapide et d’un retour sur investissement maximal pour ces derniers.
Enfin, l’expansion de la présence de YesWeHack à l’international, fait partie des objectifs prioritaires que cette nouvelle levée de fonds va permettre d’atteindre. Cela se traduira par une accélération des recrutements en France et à l’international avec pas moins de cent nouveaux postes créés sur les 18 prochains mois.
Ce renforcement de sa présence globale répond à une demande croissante du marché pour le modèle de la sécurité crowdsourcée, et assoit YesWeHack comme unique solution crédible face aux plateformes US.
« Nous remercions nos investisseurs historiques que sont Normandie Participations et CNP Assurances et nos nouveaux partenaires pour leur confiance. Notre choix de nous adosser à la Banque des Territoires de la Caisse des Dépôts et Eiffel Investment Group tient à leur très fort ancrage national et européen qui apparait comme une caution pour YesWeHack. Avec ce nouvel investissement, nous participons au rayonnement du secteur de la cybersécurité, avec une approche aussi disruptive qu’exigeante qu’est le bug bounty et démontrons que les solutions européennes sont à la hauteur d’une ambition internationale.», souligne Guillaume Vassault-Houlière, CEO et co-fondateur de YesWeHack.
« La Banque des Territoires s’engage fortement sur le sujet de la cybersécurité, qui est devenu un enjeu majeur pour les collectivités territoriales et les acteurs publics. Dans cet esprit, nous soutenons par notre action la filière d’excellence française autour de de cette thématique. Notre participation importante dans cette levée de fonds pour YesWeHack s’inscrit dans cette dynamique et nous sommes ravis de soutenir cet acteur dans son développement. » souligne Antoine Troesch, directeur de l’investissement de la Banque des Territoires.
La CNIL s’est reconnue compétente pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition de l’utilisateur.
Sans surprise pour l’association, s’agissant des éventuelles infractions au RGPD, en application du guichet unique, la CNIL a transmis pour instruction la plainte à son homologue irlandaise déjà saisie d’une plainte similaire. Cette transmission ne préjuge en rien du bien ou mal fondé de la plainte de France Digitale mais privilégie la compétence de l’autorité du lieu du principal établissement européen d’Apple. La CNIL retient néanmoins définitivement sa compétence pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition prévu à l’article 82 de la loi Informatique et Libertés, relatif notamment au droit
d’opposition de l’utilisateur d’un service de communication électronique.
Rappel du contexte
France Digitale représente près de 1800 start-ups et investisseurs du numérique français. En mars 2021, l’association a saisi la CNIL pour leur faire part d’un constat simple: les publicités personnalisées au bénéfice de la plateforme Apple sont aujourd’hui activées par défaut (voir sur le terminal en allant dans Confidentialité->Publicité). Il pourrait s’agir d’une atteinte manifeste, grave et répétée au RGPD et à la directive “e Privacy”.
C’était une première mondiale : jamais une association de startups n’avait ouvert de contentieux contre le géant de Cupertino.
Pour l’association, cette plainte vise à mettre en évidence l’inégalité de traitement que produit l’App Tracking Transparency (ATT). En effet, Apple a instauré une distinction entre les applications exploitées par des entreprises affiliées à Apple et les applications dites tierces. Ces dernières relèvent de l’ATT qui exige que leur utilisateur consente à la collecte et au traitement de leurs données. Les applications exploitées par des entreprises affiliées relèvent, elles, d’un ciblage publicitaire activé d’office sur le terminal, sans action de l’utilisateur.
Non contente d’instaurer une distorsion entre ces deux catégories d’applications, Apple semble heurter frontalement les règles du RGPD qui exigent, notamment, que la collecte et le traitement des données personnelles fassent l’objet d’un consentement exprès et spécifique. La présomption de consentement de l’utilisateur, caractérisée par l’activation d’office du suivi publicitaire, est susceptible de heurter le droit des données personnelles.
Instruction de la plainte par la CNIL
Par un courrier datant de fin mai adressé à l’association, la CNIL s’est reconnue compétente pour instruire la plainte de France Digitale.
Sans surprise pour l’association, s’agissant des éventuelles infractions au RGPD, en application du guichet unique, la CNIL a transmis pour instruction la plainte à son homologue irlandaise déjà saisie d’une plainte similaire.
A ce sujet, Benoist Grossmann, Co-Président de France Digitale et CEO Eurazeo Investment Manager, indique que “France Digitale va se rapprocher de l’autorité irlandaise pour suivre étroitement l’instruction. Celle-ci visera le non-respect par Apple des règles relatives au consentement en matière de données personnelles.”
Cette transmission ne préjuge en rien du bien ou mal fondé de la plainte de France Digitale mais privilégie la compétence de l’autorité du lieu du principal établissement européen d’Apple.
La CNIL retient néanmoins définitivement sa compétence pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition prévu à l’article 82 de la loi Informatique et Libertés, relatif notamment au droit d’opposition de l’utilisateur d’un service de communication électronique.
Perspectives contentieuses
Pour Benoist Grossmann, Co-Président de France Digitale : “Qu’une décision de sanction intervienne en Irlande et/ ou en France, un contentieux judiciaire pourra se déployer contre Apple devant les juridictions françaises. En effet, s’il apparaît que la violation du droit des données personnelles a causé un préjudice aux entreprises du numérique françaises, comme nos startups, ces dernières pourront en agir en responsabilité à l’encontre d’Apple.”
Cybersécurité de l’UE: La Commission propose une Unité conjointe de cybersécurité afin de renforcer la réaction face aux incidents de sécurité majeurs
La Commission présente ce jour une vision qui consiste à créer une nouvelle unité conjointe de cybersécurité pour combattre le nombre croissant des graves incidents de cybersécurité qui ont des répercussions sur les services publics ainsi que sur la vie des entreprises et des citoyens dans l’ensemble de l’Union européenne. À mesure qu’augmentent le nombre, l’ampleur et les conséquences des cyberattaques, qui pèsent lourdement sur notre sécurité, il devient de plus en plus nécessaire d’adopter des réactions de pointe et coordonnées dans le domaine de la cybersécurité. Tous les acteurs concernés dans l’UE doivent être prêts à réagir collectivement et à échanger des informations utiles en se fondant sur le «besoin de partager» plutôt que sur le seul «besoin d’en connaître».
Annoncée pour la première fois par la présidente Ursula von der Leyen dans ses orientations politiques, l’unité conjointe de cybersécurité, dont la création est proposée ce jour, vise à réunir les ressources et l’expertise dont disposent l’UE et ses États membres afin de prévenir et de dissuader les incidents et crises de cybersécurité massifs et d’y réagir, le tout avec efficacité. Les communautés de cybersécurité, qui englobent les communautés civile, répressive, diplomatique et militaire du domaine de la cybersécurité, ainsi que les partenaires du secteur privé agissent trop souvent de manière séparée. Grâce à l’unité conjointe de cybersécurité, ils disposeront d’une plateforme virtuelle et physique de coopération: les institutions, organes et organismes compétents de l’UE ainsi que les États membres constitueront progressivement une plateforme européenne de solidarité et d’assistance pour lutter contre les cyberattaques majeures.
La recommandation sur la création d’une unité conjointe de cybersécurité constitue une avancée importante vers l’achèvement du cadre européen de gestion des crises en matière de cybersécurité. Il s’agit de l’un des résultats concrets de la stratégie de cybersécurité de l’UE et de la stratégie de l’UE pour l’union de la sécurité, qui contribue à une économie et à une société numériques sûres.
Dans ce cadre, la Commission rend compte ce jour des progrès accomplis, au cours des derniers mois, en ce qui concerne la stratégie pour l’union de la sécurité. La Commission et le haut représentant de l’Union pour les affaires étrangères et la politique de sécurité ont, en outre, présenté le premier rapport sur la mise en œuvre de la stratégie de cybersécurité, comme l’avait demandé le Conseil européen, et ont publié simultanément le cinquième rapport sur l’état d’avancement de la mise en œuvre du cadre commun de 2016 en matière de lutte contre les menaces hybrides et de la communication conjointe de 2018 intitulée «Accroître la résilience et renforcer la capacité à répondre aux menaces hybrides». Enfin, la Commission a adopté la décision relative à l’établissement du bureau de l’Agence de l’Union européenne pour la cybersécurité (ENISA) à Bruxelles, conformément au règlement sur la cybersécurité.
Une nouvelle unité conjointe de cybersécurité pour prévenir les incidents de cybersécurité majeurs et y réagir
L’unité conjointe de cybersécurité fera office de plateforme pour assurer une réaction coordonnée de l’UE aux incidents et crises de cybersécurité majeurs ainsi que pour prêter assistance aux pays touchés par ces attaques pour qu’ils puissent se rétablir. L’UE et ses États membres ont actuellement de nombreuses entités qui interviennent dans différents domaines et secteurs. Même si les secteurs peuvent être particuliers, les menaces sont souvent communes, c’est pourquoi la coordination, le partage des connaissances et même un avertissement préalable sont indispensables.
Il sera demandé aux participants de fournir des ressources opérationnelles pour l’assistance mutuelle au sein de l’unité conjointe de cybersécurité (voir ici la liste des participants proposés). L’unité conjointe de cybersécurité leur permettra de partager les meilleures pratiques, ainsi que des informations en temps réel sur les menaces qui pourraient apparaître dans leurs domaines respectifs. Par ailleurs, elle s’emploiera, à un niveau opérationnel et technique, à élaborer le plan de l’UE concernant la réaction aux incidents et crises de cybersécurité en se fondant sur les plans nationaux correspondants; à constituer et mobiliser des équipes de réaction rapide de l’UE en matière de cybersécurité; à faciliter l’adoption de protocoles relatifs à l’assistance mutuelle parmi les participants; à mettre en place des capacités nationales et transfrontières de surveillance et de détection, y compris des centres des opérations de sécurité (COS); et bien plus encore.
L’écosystème de cybersécurité de l’UE est vaste et varié et, par l’intermédiaire de l’unité conjointe de cybersécurité, il y aura un espace commun au sein duquel les différentes communautés et les différents domaines pourront collaborer, ce qui permettra aux réseaux existants d’exploiter tout leur potentiel. Cet écosystème s’appuie sur les travaux entamés en 2017, avec la recommandation sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (le plan d’action).
La Commission propose de créer l’unité conjointe de cybersécurité selon un processus progressif et transparent en quatre étapes, avec l’adhésion pleine et entière des États membres et des différentes entités actives dans ce domaine. Il s’agit de faire en sorte que l’unité conjointe de cybersécurité entre dans sa phase opérationnelle d’ici au 30 juin 2022 et qu’elle soit entièrement mise en place un an plus tard, d’ici au 30 juin 2023. L’Agence de l’Union européenne pour la cybersécurité fera office de secrétariat pendant la phase préparatoire et l’unité sera installée à proximité des bureaux bruxellois de cette Agence et du bureau de la CERT-EU, l’équipe d’intervention en cas d’urgence informatique pour les institutions, organes et agences de l’UE.
C’est la Commission qui apportera les investissements nécessaires à la création de l’unité conjointe de cybersécurité, essentiellement à travers le programme pour une Europe numérique. Les fonds serviront à la constitution de la plateforme physique et virtuelle, à l’établissement et au maintien de canaux de communication sécurisés ainsi qu’à l’amélioration des capacités de détection. Des contributions supplémentaires, notamment pour développer les capacités de cyberdéfense des États membres, pourraient provenir du Fonds européen de la défense.
Assurer la sécurité des Européens, en ligne et hors ligne
La Commission rend compte ce jour des progrès accomplis dans le cadre de la stratégie de l’UE pour l’union de la sécurité, en vue d’assurer la sécurité des Européens. De concert avec le haut représentant de l’Union pour les affaires étrangères et la politique de sécurité, elle présente également le premier rapport sur la mise en œuvre de la nouvelle stratégie de cybersécurité de l’UE.
En décembre 2020, la Commission et le haut représentant ont présenté la stratégie de cybersécurité de l’UE. Le rapport publié ce jour fait le point sur les progrès accomplis en ce qui concerne chacune des 26 initiatives exposées dans cette stratégie et mentionne la récente approbation par le Parlement européen et le Conseil de l’Union européenne du règlement établissant le Centre et le Réseau de compétences en matière de cybersécurité. Des progrès satisfaisants ont été accomplis en vue de renforcer le cadre juridique visant à garantir la résilience des services essentiels grâce à la proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union (directive SRI révisée ou «SRI 2»). En ce qui concerne la sécurité des réseaux de communication 5G, la plupart des États membres progressent dans la mise en œuvre de la boîte à outils de l’UE pour la sécurité des réseaux 5G: ils sont soit déjà dotés de cadres pour imposer des restrictions appropriées aux fournisseurs de 5G, soit sont sur le point de l’être. Les exigences qui s’appliquent aux opérateurs de réseaux mobiles sont en voie de renforcement à la faveur de la transposition du code des communications électroniques européen, tandis que l’Agence de l’Union européenne pour la cybersécurité (ENISA) prépare actuellement un schéma européen de certification de cybersécurité candidat pour les réseaux 5G.
Le rapport souligne également les progrès que le haut représentant a réalisés dans la promotion d’un comportement responsable des États dans le cyberespace, M. Borrell ayant notamment fait progresser l’établissement d’un programme d’action à l’échelle des Nations unies. Le haut représentant a en outre entamé le processus de réexamen du cadre stratégique de cyberdéfense afin d’améliorer la coopération en la matière; il mène actuellement avec les États membres un «exercice visant à analyser les enseignements tirés» afin d’améliorer la boîte à outils cyberdiplomatique de l’UE et de recenser les possibilités de renforcer davantage la coopération internationale et au sein de l’UE à cette fin. Par ailleurs, le rapport sur les progrès accomplis en matière de lutte contre les menaces hybrides, que la Commission et le haut représentant ont également publié ce jour, souligne que, depuis l’adoption en 2016 du cadre commun en matière de lutte contre les menaces hybrides, l’Union européenne a organisé une riposte, ses actions soutiennent une meilleure connaissance de la situation, la résilience dans les secteurs critiques, une réaction appropriée et le rétablissement des activités à la suite de menaces hybrides, y compris la désinformation et les cyberattaques, qui vont croissant depuis le début de la pandémie de coronavirus.
D’importantes mesures ont également été prises au cours des six derniers mois dans le cadre de la stratégie de l’UE pour l’union de la sécurité afin que soit assurée la sécurité dans notre environnement physique et numérique. Des règles de l’UE qui feront date sont à présent en vigueur; elles obligeront les plateformes en ligne à retirer, dans un délai d’une heure, les contenus à caractère terroriste signalés par les autorités des États membres. La Commission a également présenté une proposition de législation sur les services numériques, qui prévoit des règles harmonisées en vue du retrait de biens, services ou contenus illicites en ligne ainsi qu’une nouvelle structure de surveillance pour les très grandes plateformes en ligne. Cette proposition remédie également aux vulnérabilités des plateformes à l’amplification des contenus préjudiciables ou à la diffusion de la désinformation. Le Parlement européen et le Conseil de l’Union européenne se sont mis d’accord sur une législation temporaire relative à la détection volontaire, par les services de communication, d’abus sexuels commis sur des enfants en ligne. Des travaux sont également en cours aux fins d’une meilleure protection des espaces publics. Il s’agit notamment d’aider les États membres à gérer la menace que représentent les drones et de renforcer la protection des lieux de culte et des grands complexes sportifs contre les menaces terroristes, au moyen d’un programme de soutien de 20 millions d’euros qui est en cours. Afin de mieux soutenir les États membres dans la lutte contre les formes graves de criminalité et le terrorisme, la Commission a également proposé en décembre 2020 de renforcer le mandat d’Europol, l’Agence de l’UE pour la coopération des services répressifs.
Toile de fond
La cybersécurité constitue une priorité absolue de la Commission et une pierre angulaire de l’Europe numérique et connectée. L’augmentation du nombre de cyberattaques pendant la crise du coronavirus a montré l’importance de protéger les systèmes de santé et de soins, les centres de recherche et d’autres infrastructures critiques. Des mesures énergiques dans ce domaine s’imposent pour que l’économie et la société de l’UE soient en mesure de faire face aux défis futurs.
L’UE est déterminée à concrétiser la stratégie de cybersécurité de l’UE par un niveau d’investissement sans précédent dans la transition écologique et numérique de l’Europe, au moyen du budget à long terme de l’UE pour la période 2021-2027, en particulier à travers le programme pour une Europe numérique et Horizon Europe, ainsi que par le plan de relance pour l’Europe.
En outre, en matière de cybersécurité, notre protection dépend de celle de notre maillon le plus faible. Les cyberattaques ne s’arrêtent pas aux frontières physiques. L’UE a donc également pour priorité de renforcer la coopération, y compris transfrontière, dans le domaine de la cybersécurité: ces dernières années, la Commission a mené et facilité plusieurs initiatives visant à améliorer les capacités de préparation collectives, les structures communes de l’UE ayant déjà apporté un soutien aux États membres, au niveau tant technique qu’opérationnel. La recommandation, proposée ce jour, sur la création d’une unité conjointe de cybersécurité constitue une nouvelle étape vers une coopération plus grande et une réaction coordonnée aux cybermenaces.
Dans le même temps, la réponse diplomatique conjointe de l’Union européenne face aux actes de cybermalveillance, également appelée la boîte à outils cyberdiplomatique, encourage la coopération et promeut un comportement responsable des États dans le cyberespace; elle permet à l’UE et à ses États membres de recourir à l’ensemble des mesures relevant de la politique étrangère et de sécurité commune, y compris aux mesures restrictives, pour empêcher, décourager, prévenir et contrer les actes de cybermalveillance.
Afin de garantir la sécurité dans nos environnements physique et numérique, la Commission a présenté en juillet 2020 la stratégie de l’UE pour l’union de la sécurité pour la période 2020-2025. Cette stratégie met l’accent sur les domaines prioritaires dans lesquels l’UE peut apporter une valeur ajoutée, afin d’aider les États membres à renforcer la sécurité de toutes les personnes qui vivent en Europe: la lutte contre le terrorisme et la criminalité organisée; la prévention et la détection des menaces hybrides et l’accroissement de la résilience de nos infrastructures critiques; et la promotion de la cybersécurité ainsi que de la recherche et de l’innovation.
Six professionnels français de la cybersécurité sur dix (59%) pensent que la cyberguerre est une menace pour leur organisation, et pourtant un quart (26 %) admettent ne pas avoir de stratégie en place pour atténuer ce risque.
C’est l’un des enseignements de l’étude mondiale « 10 in 10 : La cyber depuis 10 ans et dans 10 ans » réalisée par Bitdefender cette année. Cela a de quoi inquiéter, particulièrement en cette période de bouleversements mondiaux sans précédent, car la moitié des professionnels de la sécurité informatique (50 %) s’accordent à dire que l’accélération de la cyberguerre sera préjudiciable à l’économie dans les 12 prochains mois.
Les RSSI et les professionnels de l’informatique renforcent toutefois leurs défenses : 37% des français estimant avoir besoin d’une stratégie contre la cyberguerre dans les 12 à 18 prochains mois.
La menace du ransomware est toujours aussi présente.
Lors de la crise de 2020, les ransomwares ont fait un bond, 43 % des professionnels de l’informatique ont constaté une augmentation des ransomwares et 60 % des professionnels français s’attendent à une augmentation des ransomwares dans les 12 à 18 prochains mois. Plus inquiétant, ils sont 43% de français à craindre qu’un ransomware détruise leur entreprise dans les 12-18 mois à venir si leurs investissements en sécurité n’augmentent pas !
Comment expliquer cette augmentation des attaques de ransomware ? La réponse remontant du terrain est principalement, l’ampleur des gains… Presque la moitié des professionnels français de (46 %) pensent que l’entreprise pour laquelle ils travaillent paierait une rançon pour empêcher la publication de ses données/informations.
Un changement radical dans la communication est très attendu
La cyberguerre et les ransomwares sont des sujets complexes. La complexité inhérente aux sujets de la sécurité informatique rend toutefois difficile l’obtention d’investissements et de soutien internes pour les projets. C’est pourquoi les professionnels français de la sécurité informatique sont d’avis qu’un changement est nécessaire. En fait, 55 % d’entre eux estiment que pour accroître les investissements dans la cybersécurité, la manière dont ils communiquent sur la sécurité doit changer radicalement.
La question est de savoir quels changements doivent être apportés :
39% des professionnels français de la cybersécurité (39 %) pensent qu’à l’avenir, il faudra communiquer davantage avec le grand public et les clients, tant à l’intérieur qu’à l’extérieur de l’organisation, afin qu’ils comprennent mieux les risques.
En outre, 38 % soulignent qu’il faut faciliter une meilleure communication avec les cadres dirigeants, en particulier lorsqu’il s’agit de comprendre les risques commerciaux au sens large.
Enfin, 40 % des professionnels français estiment que l’utilisation d’un langage moins technique aiderait l’industrie à mieux communiquer, afin que l’ensemble de l’organisation puisse comprendre les risques et la manière de rester protégé.
Neeraj Suri, Professeur reconnu et Président de la Chair in Cybersecurity de l’Université de Lancaster, Royaume-Uni, commente : « La raison pour laquelle 63% des professionnels estiment que la cyberguerre est une menace pour leur organisation est simple. La dépendance à l’égard de la technologie est à son comble et si quelqu’un devait supprimer le Wi-Fi à la maison ou au bureau, personne ne pourrait plus rien faire. Cette dépendance n’existait pas il y a quelques années, elle n’était même pas aussi élevée il y a quelques mois. Cette forte dépendance à l’égard de la technologie n’ouvre pas seulement la porte aux ransomwares ou aux menaces sur l’Internet des Objets industriels mais aussi à la cyberguerre qui peut être si catastrophique qu’elle peut ruiner les économies. Près d’un quart des professionnels de l’informatique n’ont pas actuellement de stratégie de protection contre la cyberguerre, et la raison est probablement la complaisance. Comme ils n’ont pas subi d’attaque, ou n’ont pas vu à grande échelle les dommages qui peuvent être causés, ils n’ont pas investi le temps nécessaire pour s’en protéger ».
La diversité – en particulier la neurodiversité – est la clé du succès futur
En dehors des changements drastiques qui sont nécessaires dans la façon dont les professionnels de la cybersécurité communiquent, il est également nécessaire de trouver des solutions à la problématique du manque d’experts. L’industrie de la sécurité informatique dans son ensemble souffre depuis longtemps d’une pénurie de compétences, et cela semble rester un problème permanent et de plus en plus évident :
15 % des professionnels de la sécurité informatique estiment que la plus grande évolution de la cybersécurité au cours des 12-18 mois sera l’augmentation du déficit de compétences.
Si le déficit de compétences se poursuit pendant encore cinq ans, 28 % des RSSI et des DSI pensent qu’il pourra être la cause de la destruction d’entreprises. Et une autre moitié (50 %) des professionnels de la sécurité informatique pense que le déficit de compétences sera gravement perturbateur s’il se poursuit pendant les cinq prochaines années.
Aujourd’hui, cependant, il faudra plus que le simple recrutement de travailleurs qualifiés pour apporter un changement positif et protéger les organisations. En 2015, 52 % des travailleurs de la sécurité informatique auraient convenu qu’il y avait un manque de diversité dans la cybersécurité et qu’il s’agissait d’une préoccupation importante. Cinq ans plus tard, en 2020, la situation reste exactement la même – et c’est un toujours un problème important puisque 40 % des RSSI/DSI et des professionnels de la sécurité informatique affirment que le secteur de la cybersécurité doit refléter la société qui l’entoure pour être efficace.
De plus, 76 % des RSSI et 72 % des professionnels de la sécurité informatique estiment qu’il est nécessaire de diversifier les compétences des personnes chargées de la cybersécurité. En effet, plus spécifiquement en France, 36 % des professionnels de l’informatique estiment que la neurodiversité renforcera les défenses de la cybersécurité, et 29 % ont révélé qu’une main-d’œuvre plus neurodiversifiée permettra d’égaliser le rapport de force avec les attaquants.
Liviu Arsene, Analyste en cybersécurité internationale chez Bitdefender, conclut : « 2020 a été une année de changement, non seulement pour le monde en général, mais aussi pour l’industrie de la sécurité. Le paysage de la sécurité évolue rapidement alors qu’il tente de s’adapter à la nouvelle normalité, de la main-d’œuvre distribuée aux nouvelles menaces. Parmi les nouvelles menaces, on trouve la cyberguerre. Elle préoccupe beaucoup les entreprises et l’économie, mais tout le monde n’est pas préparé à y faire face. Dans le même temps, les professionnels de l’informatique ont dû se tenir au courant des nouvelles menaces provenant d’une ancienne source, les ransomwares, qui peuvent affecter les résultats des entreprises si elles ne sont pas traitées avec soin. La seule chose que nous savons, c’est que le paysage de la sécurité va continuer à évoluer. Des changements vont se produire, mais nous pouvons maintenant nous assurer qu’ils se produiront pour le meilleur et non pour le pire. Pour réussir dans le nouveau paysage de la sécurité, la façon dont nous parlons de la sécurité en tant qu’industrie doit devenir plus accessible à un public plus large afin de gagner le soutien et l’investissement de l’intérieur de l’entreprise. En outre, nous devons commencer à réfléchir à la manière de combler le déficit de compétences d’une manière différente – nous devons nous concentrer sur la diversité, et plus particulièrement sur la neurodiversité, si nous voulons tenir bon et, en fin de compte, vaincre les acteurs malveillants ».
Drupal figure aujourd’hui parmi les CMS les plus utilisés pour développer des sites internet. Sa rapidité, sa flexibilité et sa fiabilité font de lui le logiciel Open Source le plus prisé des grandes entreprises internationales. Autant dire qu’il est particulièrement sécurisé ! Cependant, des méthodes supplémentaires peuvent être appliquées pour augmenter encore sa résistance aux attaques. Voici 10 précautions à prendre pour encore plus de sécurité.
Drupal permet de créer des sites web aussi variés que des sites vitrine, marchands ou institutionnels, c’est pourquoi, à l’image de l’ agence drupal ITSS, bon nombre d’agences web spécialistes de création de site ou de développement spécifique choisissent, pour leurs clients, des solutions utilisant ce CMS.
Dix conseils pour plus de sécurité avec Drupal
Pour augmenter encore plus la sécurité avec drupal, et protéger son site au maximum, il est recommandé de prendre ces dix précautions supplémentaires.
1. Maintenir un nombre minimal de comptes administrateurs et enlever les utilisateurs inactifs
2. Installer des modules que la communauté Drupal a approuvé. En effet, celle-ci teste et corrige les failles détectées (plus ou moins rapidement cependant). Parmi les modules de sécurité, on retrouve Password Policy, Security Review, Kit de sécurité, Username Enumeration Prevention, Generate Password.
3. Patcher régulièrement les modules installés. En effet, ces derniers contiennent souvent des correctifs de sécurité. Drupal et ses modules doivent être à jour.
4. Choisir un bon hébergeur, qui a des mesures de sécurité qui résistent. Il est important qu’il fasse des sauvegardes régulières des sites. De même, l’utilisateur doit aussi faire des sauvegardes régulières de son site.
5. Mettre en place un certificat SSL afin de sécuriser les communications client-serveur via le protocole HTTPS.
6. Installer une protection anti-DDoS.
7. Vérifier de façon régulière les rapports d’état de Drupal pour avoir une idée de la sécurité de son site.
8. Utiliser des mots de passe forts et les changer régulièrement.
9. Utiliser l’authentification à double facteur.
10. Enlever les modules qui ne servent pas.
Drupal et ses modules
L’environnement Drupal propose un éco-systéme de modules et autres plugins. Pensez, pour la sécurité de votre espace de travail à la double authentification. Cette fameuse authentification à deux facteurs qui devient, aujourd’hui, indispensable.
Comme vous le savez, pour vous connecter, il vous est réclamé vos identifiants de connexion : login et mot de passe. Avec cette double authentification (2fa, TFA, …) il vous sera réclamé une seconde clé. Ainsi, en cas de vol de vos identifiants, sans la seconde étape de validation de connexion, point de passage possible pour le malveillant.
Pour cette option, vous devez possdéder l’extension mcrypt. Elle doit être installée pour utiliser le module TFA. Pourquoi ? Ce module stocke certaines données sensibles. Informations chiffrées à partir de la bibliothèque php mcrypt.
Le second code dédiée à cette double authentification sera généra à partir de votre smartphone et d’une application dédiée comme celle proposée par Google.
Dernier point, et pas des moindres, lors de la mise en place de votre site, n’oubliez pas de sécuriser les comptes utilisateurs et de ne pas valider des comptes administrateurs à la pelle, ouvrant, en cas d’oublie, des portes possibles à des modifications non prévues. Les personnes autorisées se devront d’avoir un mot de passe fiable. Le module « password policy » devrait pouvoir les y aider. Il obligera les plus « feignants » à se créer un sésame digne de ce nom en définissant des politiques de mot de passe que vous aurez décidé : majuscules, chiffres, nombre de signes … Vous pourrez, par exemple, imposer deux majuscules dans un mot de passe ; quatre chiffres ; …
Il permet aussi de véfirier que le mot de passe n’a pas déjà été exploité via un historique proposé par le module. Il vérifie le mot de passe haché par rapport à une collection de mots de passe hachés précédents.
Comment générer de nouveaux contacts via le site de réseautage Linkedin. Développer son business en toute sécurité.
Je ne sais pas si vous êtes sur Linkedin, mais si c’est le cas, avez-vous remarqué cette hausse de demandes de mise en relation provenant de personnes « louches » à l’avatar très synthétique et aux premières demandes, en privée tout aussi inhumaine. Vous avez très certainement croisé un bot malveillant, aux intentions toutes aussi désagréables (collectes d’informations, diffusions de codes malveillants, …). Autant dire qu’il peut rapidement devenir compliqué de trouver les bons contacts pour son travail, son business, son relationnel professionnel.
Une société Française, Propsectin, propose une solution qui vous permettra de générer de vrais et nouveaux contacts qualifiés. Avec plus de 500 millions d’utilisateurs, automatiser cette tache via un outil efficace, facilitera cette prise de contact. D’autant plus que l’outil de cette entreprise Française permet de ne plus envoyer à la main, une par une, les demandes de contact. Ce qui ne vous empêchera pas de personnaliser votre message. Rien de plus énervant que de recevoir un message qui sent bon le robot. Intéressant, l’entreprise propose une extension pour le navigateur Chrome qui vous permettra d’automatiser tout en respectant les limites quotidiennes fixées par LinkedIn.
Compatible est une excellente alternative à des outils tels que Dux-Soup, Octopus CRM, LinkedHelper, PhantomBuster, Meet Alfred, Meet Linda, … Plusieurs tarifs sont proposés. Il existe une proposition gratuite. Elle est parfaite pour une recherche d’emploi. Elle permet de visiter et suivre des profils ; diffusion de messages personnalisés ; demandes d’invitations automatisées. Ensuite, trois tarifs, 9, 19 et 100€ par mois. Bien évidement avec des options plus poussées comme le nombre de messages illimités, la sécurité pour éviter d’envoyer deux invitations à la même personne ou encore la possibilité de créer des scénarios personnalisés.
Une vidéo de démonstration, ci-dessous, vous permet de vous donner une bonne idée de cet outil et de ses très nombreuses possibilités.
Choisir ses de bons contacts est loin d’être chose aisée. D’autant plus que les malveillants usent de stratagème dès plus vicieux pour infiltrer les vies numériques de professionnels ciblés. Par exemple, en juin 2020, nous apprenions que des pirates s’étaient fait passer pour des recruteurs des sociétés aéronautiques Collins Aerospace and General Dynamics. Ils vont réussir, via cette usurpation, à piéger les utilisateurs et l’algorithme mis en place par le réseau social professionnel.
Une méthode qui aurait permis une infiltration dans des réseaux militaires basés en Europe. Par ce biais, et ces multiples rebonds, ils ont pu compromettre la vigilance, officiellement, de deux entreprises spécialisées en Europe. Admettons quand même que l’éducation et la formation à ce type de problématique du personnel semble avoir fait largement défaut… ou alors ces derniers n’ont rien écouter car « Cela n’arrive qu’aux autre ! ». Ils ont cliqué sur un lien proposé dans les messages et… paff ! De l’usurpation sur Linkedin qui ne date pas d’hier. Il devient indispensable d’en comprendre son fonctionnement pour s’en protéger. La Chine (après la Corée du Nord) a été montré plusieurs fois de la souris. Le « pays » aurait utilisée de faux comptes pour recruter des espions. Selon la défense US, des agents de service de renseignements américains auraient ainsi été recrutés de la sorte.
En exemple, Kevin P. Mallory, ancien agent de la CIA. Il a été condamné à 20 ans de prison pour avoir fourni des informations sensibles à un internaute pas comme les autres. Un espion chinois, passé par Linkedin. Il s’était fait passer pour un membre d’un groupe de réflexion économique Think-Tank.
Au premier trimestre 2019, Linkedin a orchestré un grand ménage. Plus de 21 millions de faux comptes avaient été bloqués. 3,4 millions de comptes ont été restreints car ils respectaient pas les règles du site de réseautage professionnel. A la même date, 85 600 profils avaient été détectés comme faux ou ne respectant pas les règles de Linkedin. En juin 2019, l’avatar Katie Jones, un faux compte avec une photographie de profil créée via une intelligence artificielle avaient réussi des mises en relation avec des politiciens de Washington.
Par une ordonnance de référé rendue le 18 mai 2020, le Conseil d’État a enjoint à « l’État de cesser, sans délai, de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement ».
Le Conseil d’État a estimé que, du fait de la possibilité de zoomer et d’identifier des personnes physiques, les dispositifs utilisés par la préfecture de police de Paris étaient soumis aux règles protégeant les données personnelles. Il a jugé que ces drones étaient utilisés en dehors du cadre prévu par la loi Informatique et Libertés du 6 janvier 1978 et portaient une atteinte « grave et manifestement illégale au droit au respect de la vie privée ».
Depuis plusieurs semaines, la CNIL s’est interrogée sur ces pratiques. Elle a diligenté des contrôles auprès du ministère de l’Intérieur concernant l’usage de drones dans plusieurs villes. Ces contrôles visent des services de la police nationale et de la gendarmerie. Des vérifications similaires sont effectuées auprès de plusieurs communes dont les polices municipales ont elles aussi, semble-t-il, eu recours à des drones.
Ces investigations portent tant sur la situation actuelle que sur ce qui s’est passé durant la période de confinement. Les premières demandes d’information à l’initiative de la CNIL datent du 23 avril 2020 et sont en cours d’instruction, en l’attente notamment des éléments de réponse du ministère de l’Intérieur.
Le webinair de la ITrust Community propose de traiter de l’identification des cybermenaces avancées avec l’intelligence artificielle. Un webinar gratuit qui se déroulera le mardi 25 février, de 11 heures à 12h.
Cybermenaces – La ITrust Community vous invite pour son webinar gratuit mensuel le mardi 25 février 2020 ? De 11h à 12h, retour sur les actualités qui ont marqué les dernières semaines de la cyber-sécurité mondiale, ainsi qu’un retour en démonstration sur l’identification des cybermenaces avancées avec l’intelligence artificielle.
Les inscriptions se font via cette page. Un webinair gratuit.
Lorsque les entreprises subissent une attaque, celle-ci cible souvent les informations personnelles et financières des clients issues des données des cartes de paiement. La norme de sécurité de l’industrie des cartes de paiement (PCI DSS) a été conçue pour protéger les données de paiement à partir du point d’achat. De manière surprenante, Verizon a observé une chute de la conformité à cette norme au cours des dernières années.
Le rapport sur la sécurité des paiements 2019 de Verizon approfondit cette analyse afin de déterminer la cause de ce phénomène. À l’approche du lancement de la nouvelle version 4.0 de la norme PCI DSS, il explique surtout comment les entreprises peuvent inverser cette tendance en réévaluant leur manière de déployer et structurer leurs programmes de conformité.
Suite au lancement initial de la norme PCI DSS par Visa Inc. en 2004, beaucoup ont supposé que les entreprises parviendraient à atteindre une conformité efficace et durable dans les cinq ans. Aujourd’hui, 15 ans plus tard, le nombre de sociétés parvenant à une conformité durable a chuté de 52,5 % (PSR 2018) à son niveau le plus bas, à peine 36,7 % à l’échelle internationale. Sur le plan géographique, les entreprises de la région APAC (Asie-Pacifique) démontrent une capacité à maintenir leur statut de conformité complète (69,6 %), contre 48 % dans la région EMEA (Europe, Moyen-Orient et Afrique) et à peine 20,4 % (une sur cinq) en Amérique.
Les domaines d’activités à la loupe
L’examen des principaux secteurs d’activité nous permet d’observer la diversité de leur cote de conformité, mais également ce qui leur manque pour parvenir à une conformité complète ainsi que les mesures correctives à adopter par chaque secteur pour améliorer ses performances.
Commerce – Il y a quatre ans, les données des distributeurs étaient le plus souvent compromises au niveau du point de vente. Depuis lors, le lancement aux États-Unis de la technologie EMV (Europay, Mastercard et Visa) semble avoir réduit la proposition de valeur des fraudes aux cartes de paiement, et notre étude a établi que les piratages de données surviennent principalement via les applications Web. Les failles de sécurité n’ont cependant pas été entièrement éradiquées. Les commerçants doivent demeurer vigilants quant à la protection des données des cartes. Leur cote de conformité de 26,3 % est similaire à celle des services informatiques. Parmi leurs lacunes relatives aux exigences de la norme PCI DSS, on compte l’utilisation d’un trop grand nombre de paramètres par défaut des composants du périmètre (exigence 2) et surtout la non-conformité de leur gestion de la sécurité adéquate (exigence 12). Ce phénomène se traduit également par la note la plus faible des secteurs d’activité étudiés obtenue en matière de niveau de préparation aux incidents de piratage de données. En effet, le secteur du commerce peine à identifier les utilisateurs et garantir qu’ils disposent du niveau de privilèges adéquat, faire preuve d’une diligence raisonnable lors des relations avec les prestataires de services, détecter les points d’accès sans fil non autorisés, et gérer un plan de réponse aux incidents.
Secteur hôtelier – Le secteur hôtelier obtient à nouveau la note la plus faible quant au chiffrement des données en transit (exigence 4 de la norme PCI DSS), mais est le seul de l’étude à améliorer ses résultats dans cette catégorie par rapport à l’année précédente. Le secteur hôtelier est également parvenu à mieux se protéger contre les logiciels malveillants (exigence 5). Il présente les progrès les plus notables parmi tous les secteurs d’activité quant à cette exigence en obtenant une conformité de 84,2 %. Le secteur hôtelier est le seul secteur analysé par le PSR 2019 à avoir amélioré ses capacités de contrôle des accès physiques (exigence 9) par rapport à l’année précédente en parvenant à une cote de conformité de 63,2 %. Bien que ce secteur accuse un retard quant à la protection des données des titulaires de cartes stockées (exigence 3), il doit surmonter des difficultés uniques, notamment l’absence de solutions matures conçues pour ce type d’environnement. Les points faibles de l’hôtellerie sont l’identification et l’authentification des utilisateurs, la révision et le test du plan de réponse aux incidents, ainsi que la formation aux responsabilités en cas de piratage.
Finance – Le secteur des services financiers évolue dans un contexte de mutation rapide. Les clients exigent de nouvelles méthodes pour communiquer et effectuer des transactions personnalisées, en particulier via les périphériques mobiles. En parallèle, l’industrie continue d’observer des acteurs issus d’autres secteurs proposer des produits financiers. Au sein de cet environnement très compétitif et régulé, la capacité de protection des données des cartes de paiement fait toute la différence. Les clients s’attendent fortement à ce que les prestataires de services financiers comprennent mieux les besoins de sécurité des paiements que les autres catégories d’entreprises.Les données du PSR suggèrent que le secteur des services financiers se classe en tête quant à la conformité aux exigences de la norme PCI DSS, mais qu’il peut progresser dans le domaine du chiffrement des données en transit (exigence 4) et de la protection contre les logiciels malveillants (exigence 5).
Les conclusions du rapport de cette année font clairement ressortir le fait que de nombreuses entreprises ont encore du chemin à faire pour devenir entièrement conformes, mais qu’elles peuvent y parvenir à l’aide d’outils adéquats et en concentrant leurs efforts sur les points à améliorer. La conformité de la sécurité des paiements est cruciale. Les données du centre VTRAC (Verizon Threat Research Advisory Center) démontrent en outre qu’en l’absence de contrôles adéquats de protection des données, un programme de conformité a plus de 95 % de chances de se révéler transitoire et de devenir potentiellement la cible d’une cyberattaque.
L’étroite corrélation entre l’absence de conformité à la norme PCI DSS et les piratages informatiques fait l’objet de discussions depuis des années. Il n’existe aucun cas documenté publiquement d’une entreprise conforme à la norme PCI DSS ayant subi un piratage de données de cartes de paiement confirmé. La conformité fonctionne ! (Gabriel LEPERLIER – Senior Manager Security Consulting EMEA at Verizon Enterprise Solutions)
Fabrique Défense: un rendez-vous parisien pour rendre la défense plus compréhensible et accessible via une exposition innovantes, immersives et participatives.
Des stands, des simulateurs, des intervenants étoilés ou qui parleront d’espace, des jeux vidéo, des BD, de la nourriture intellectuelle et en food-truck, de quoi briller en société ou de quoi trouver une vocation… Voilà l’idée du rendez-vous organisé à Paris par le Ministère de la Défense « La Fabrique Défense« .
L’idée est de faire découvrir l’univers militaire. Les amateurs de projets cyber y trouveront leur bonheur. A noter que le site du rendez-vous indique que pour se rendre au Paris Event Center, le RER E, le tramway 3B, la ligne 7 du métro et le bus n°150 sont disponibles « malgré le mouvement de grève touchant les réseaux de transport en commun« .
La Fabrique Défense se déroulera les 17 et 18 janvier 2019.
La société IS Decisions vient de sortir la version bêta de FileAudit 6.1. Elle recherche des personnes intéressées pour devenir bêta testeurs.
Le but de ce programme est de valider les dernières fonctionnalités de FileAudit et les améliorations apportées par de vrais utilisateurs, capables de fournir les commentaires les plus pertinents et de les aider à publier la version finale la plus fiable et la plus efficace possible.
Si vous êtes intéressé pour devenir bêta testeur pour FileAudit, voici la procédure de test bêta. Pour plus d’informations, n’hésitez pas à visiter leur site internet ou à les contacter.
Selon le Federal Bureau of Investigation, la police fédérale américaine, les rançongiciels (ransomwares) sont de plus en plus présent. De plus en plus dangereux. Une préoccupation croissante. La société IS Decisions explique comment avec son outil FileAudit, il devient aisé de détecter et protéger un réseau contre cette d’attaque.
Pour rappel, un ransomware est un outil qui va chiffrer les données d’un serveur, d’un ordinateur. Il apparaît, le plus généralement, via une pièce jointe proposé dans courriel. missive ouverte par un employé négligent. Par l’exploitation d’une faille de sécurité, un code malveillant est lancé, ce qui permet de télécharger et d’installer un programme sur la machine de la victime.
Le programme contactera ensuite un serveur distant appartenant aux attaquants où une paire de clés de chiffrement asymétrique est générée. La clé privée est conservée sur le serveur attaquant tandis que la clé publique est stockée sur l’ordinateur de la victime. Le programme peut alors commencer à chiffrer tous les documents auxquels l’utilisateur a accès en générant une clé de chiffrement symétrique aléatoire pour chaque fichier. Il va ensuite chiffrer le fichier avec cette clé et ajouter à la fin du fichier la clé de chiffrement chiffrée avec la clé asymétrique publique.
Cela se passe de cette façon, le chiffrement direct des données avec une clé asymétrique est 1 000 fois plus lent qu’avec une clé symétrique, mais dans les deux cas, le résultat est identique. Sans la clé privée, il n’est pas possible de déchiffrer les fichiers. Cela signifie que si la victime ne dispose pas d’une sauvegarde de tous les fichiers cryptés, l’attaquant pourra le forcer à payer une rançon pour obtenir la clé privée.
Se protéger, compliqué ?
Cela signifie que si la victime ne dispose pas d’une sauvegarde de tous les fichiers cryptés, l’attaquant pourra le forcer à payer une rançon pour obtenir la clé privée.
Défense en profondeur face aux rançongiciels
Il existe un certain nombre de mesures pratiques pour contrer et se protéger d’un rançongiciel. D’abord, éduquer vos utilisateurs afin qu’ils n’ouvrent pas les pièces jointes étranges des emails ; Interdire les fichiers portant certaines extensions dans les pièces jointes (Ex : fichiers exécutables, type de fichier non nécessaire dans votre entreprise). Assurer que les programmes autorisés à ouvrir des pièces jointes sont à jour, par exemple. si vous utilisez bien les dernières versions de Microsoft Word ou Acrobat Reader.
Les utilisateurs normaux ne doivent pas être en mesure d’exécuter des programmes à partir des emplacements où ils sont autorisés à écrire (par exemple, leurs dossiers de documents). Ils ne devraient pouvoir lancer que des programmes approuvés par l’administrateur. Sous Windows, cela peut être implémenté avec AppLocker.
Un compte administrateur ne doit jamais être utilisé pour effectuer des tâches utilisateur de base telles que lire des emails, surfer sur Internet ou effectuer des tâches bureautiques normales.
Les utilisateurs ne doivent pouvoir modifier que les fichiers nécessaires à leur travail. Les fichiers qu’ils n’ont aucune raison de modifier doivent être limités à un accès «lecture seule» pour eux.
Un logiciel anti-virus à jour doit être exécuté sur votre serveur de messagerie et sur les stations de travail pour détecter les infections et vous protéger contre celles-ci.
Vous devez avoir un moyen de détecter et d’arrêter le cryptage massif de fichiers sur vos serveurs de fichiers. Plus tôt vous détecterez une attaque, plus vite vous pourrez l’arrêter, ce qui signifie moins de pertes de données et moins de travail pour nettoyer le désordre! C’est ici que FileAudit peut vous aider.
Vous devez avoir une sauvegarde de tous vos fichiers dans un endroit sécurisé.
Les VPN gratuits sont souvent pointés du doigt pour leur manque de performance et leur choix de pays réduit à la portion congrue. Mais s’agit-il bien de leurs seuls défauts ? Installer un VPN gratuit est-il sans danger pour votre ordinateur ?
La confidentialité de vos données compromise
Le premier risque des VPN gratuits, c’est de voir la confidentialité de vos données personnelles compromises. Un comble quand on sait qu’un VPN sert justement à protéger votre vie privée ! Les VPN gratuits ne perçoivent pas de fonds de la part des utilisateurs, ils ont pourtant besoin de financements pour exister. Pour les obtenir, la revente de données est hélas monnaie courante chez les fournisseurs de VPN gratuit.
En les utilisant, vous prenez le risque de voir ces précieuses informations captées par ceux-là mêmes qui étaient censés les protéger. Autre point noir : les protocoles de sécurité utilisés sont, la plupart du temps, bien moins performants que ceux des services de VPN payants.
Virus et logiciels malveillants : les risques cachés des VPN gratuits
Si les failles dans la protection des données est déjà un problème en soi, il existe un autre risque à utiliser un VPN gratuit. Un risque caché auquel peu d’internautes pensent de prime abord : les virus et autres logiciels malveillants. En effet, de nombreuses offres de VPN gratuits ne sont que des façades qui ont pour but de vous faire télécharger un programme infecté, sans éveiller vos soupçons.
Une fois installés sur votre machine, ils peuvent vous nuire de bien des manières. En volant les données présentes dans votre disque dur, en enregistrant vos frappes au clavier pour voler mots de passe et autres données confidentielles ou encore en prenant le contrôle du système à votre insu. Vous vous exposez également à des tentatives de racket lors desquelles l’ensemble de vos données sont cryptées par un pirate qui vous demande de payer pour les récupérer.
Le piratage de votre connexion : un risque à ne pas négliger
Enfin, les VPN gratuits peuvent également servir à des pirates pour détourner votre navigateur ou votre connexion. Le but des pirates, dans ce cas précis, est de gagner de l’argent en détournant votre recherche pour vous rediriger sur un site partenaire sans que vous puissiez vous y opposer. Un petit tour de passe-passe qui pourrait bien vous coûter cher, au final.
Comment contourner les risques des VPN gratuits ?
Les risques des VPN gratuits sont inhérents à leur business model, car un service de VPN sérieux engendre des coûts de fonctionnement qui rendent sa gratuité impossible. Il n’y a donc aucun moyen de contourner les risques des VPN gratuit si vous souhaitez absolument en utiliser un.
La seule solution pour bénéficier d’un VPN sûr, sans débourser d’argent est de souscrire à l’offre d’essai d’un service payant. Ainsi, vous pourrez le tester durant une période donnée et voir s’il vous convient. En plus d’avoir des performances médiocres, les VPN gratuits font courir de nombreux risques à leurs utilisateurs. Politique de confidentialité douteuse, revente de données, virus ou encore détournement de navigateur, autant de dangers auxquels il vaut mieux ne pas vous exposer. Si vous souhaitez utiliser un VPN, optez pour la qualité et la sécurité d’une offre payante, comme par exemple ExpressVPN, que vous pouvez, la plupart du temps, tester gratuitement au préalable.
Confiance ?
Pendant ce temps, les pirates louchent sur les fournisseur de VPN. Dernièrement, NordVPN, fournisseur de réseau privé virtuel a confirmé avoir été piraté. Il s’est avéré que cette société avait laissé une clé privée interne expirée exposée, qui permettait à quiconque de faire tourner ses propres serveurs en imitant NordVPN.
Les fournisseurs ont connu une croissance rapide en raison du besoin croissant de protection de la vie privée. Les fournisseurs de cloud VPN ont besoin de certificats TLS qui agissent comme des identités de machine pour autoriser la connexion, le cryptage et établir la confiance entre les machines.
Les identités machine sont des cibles extrêmement précieuses pour les cybercriminels et les grandes entreprises ont souvent des dizaines de milliers d’identités machine qu’elles doivent protéger.
Ces violations deviendront plus fréquentes à l’avenir. Il est impératif que les organisations aient l’agilité nécessaire pour remplacer automatiquement toutes les clés et tous les certificats qui ont pu être exposés en cas de violation. Le remplacement rapide des identités machine est le moyen fiable d’assurer la confidentialité et la sécurité dans un monde où les entreprises fonctionnent et dépendent du cloud.
Conçu en 2011 pour répondre aux missions opérationnelles de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) en matière d’investigation et de réponse à incident, le logiciel DFIR ORC (pour Outil de recherche de compromission) n’a cessé d’évoluer pour regrouper un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows… à l’échelle d’un parc entier ! L’outil, intégralement libre, est aujourd’hui publié par l’agence à l’usage des acteurs et des professionnels de la communauté.
Créé et utilisé de longue date par les équipes de l’ANSSI, le logiciel de collecte DFIR ORC regroupe un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition des données forensiques. Il a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle.
« Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident. » indique François Deruty, sous-directeur Opérations de l’ANSSI.
En s’engageant dans une démarche d’ouverture avec la communauté de la sécurité numérique, l’ANSSI souhaite aujourd’hui partager cet outil mature qu’elle utilise au quotidien depuis plusieurs années*. [https://dfir-orc.github.io]
DFIR ORC – POUR QUI ? POUR QUOI ?
DFIR ORC s’adresse aux professionnels de la sécurité informatique soucieux d’acquérir les données nécessaires à la réponse aux incidents de sécurité de façon fiable, ainsi qu’à tous les développeurs qui souhaiteront s’en inspirer ou contribuer à son développement.
DFIR ORC peut être déployé sur l’intégralité d’un parc Microsoft Windows, tout en minimisant l’impact sur son fonctionnement normal. Il assure ainsi la collecte des informations souhaitées avec une exigence de fiabilité, de qualité et de traçabilité, sans modifier la configuration des machines analysées, tout en minimisant les risques d’altérations des données collectées.
Par son usage, DFIR ORC permet donc de disposer d’une vision de l’état du parc au moment de la collecte. Il ne vise cependant pas à pratiquer une analyse sur les données collectées : c’est le rôle de spécialistes disposant d’une méthodologie et d’outils adaptés.
CONTRIBUEZ AU DÉVELOPPEMENT DE DFIR ORC
DFIR ORC est un outil modulaire, configurable, qui peut embarquer d’autres outils, notamment ceux qui sont déjà proposés par l’agence. Avec la publication de DFIR ORC, l’ANSSI partage le code source, la procédure de compilation ainsi que des exemples de configuration de l’outil. Tous ces éléments permettent la génération d’un outil fonctionnel adapté à l’usage souhaité.
« À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière », ajoute François Deruty. L’ANSSI souhaite encourager l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités. L’agence continuera de même à développer DFIR ORC, et publiera régulièrement des mises à jour de l’outil. L’agence invite tous les acteurs de la communauté à enrichir dès à présent ce projet avec nos équipes.
Afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation disponible sur son site web.
Les collectivités territoriales traitent de nombreuses données personnelles, que ce soit pour assurer la gestion des services publics dont elles ont la charge (état civil, inscriptions scolaires, listes électorales, etc.), la gestion de leurs ressources humaines, la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou encore leur site web. Cette tendance ne fera que se renforcer avec la transformation numérique de l’action publique.
Dans ce contexte, le respect des règles de protection des données constitue aujourd’hui un facteur de transparence et de confiance à l’égard des citoyens et des agents, qui sont de plus en plus sensibles à la protection de leurs données. C’est aussi un gage de sécurité juridique pour les élus responsables des fichiers et des applications utilisés au sein de leur collectivité.
Les principes du règlement général sur la protection des données (RGPD) s’inscrivent dans la continuité de la loi Informatique et Libertés de 1978. Malgré cela, la CNIL est consciente que la mise en conformité au RGPD peut parfois être complexe, et que l’importance des enjeux justifie un appui spécifique de sa part.
Aussi, afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation.
Quel plan d’action pour se mettre en conformité ?
Ce guide s’adresse prioritairement aux communes de petite ou de moyenne taille, ainsi qu’à leurs groupements intercommunaux, ne disposant pas nécessairement en interne de ressources dédiées spécifiquement à la protection des données. Il propose des clés de compréhension des grands principes, des réflexes à acquérir, un plan d’action pour se mettre en conformité ainsi que des fiches pratiques.
Il évoque les conditions de désignation du délégué à la protection des données afin que chaque collectivité puisse identifier la modalité la plus adaptée à sa situation.
Pour élaborer ce guide, la CNIL s’est rapprochée des principales associations regroupant les différents niveaux de collectivités et autres organismes intervenant auprès du secteur public local. Cet appui permet d’apporter des réponses concrètes et adaptées aux collectivités.
Ce guide actuellement envoyé en version papier à toutes les mairies de Métropole et d’Outre-Mer.
Analyse des attaques ayant ciblé des « honeypots » simulant des objets intelligents durant 3 ans. Des attaques qui ont augmenté de 13 497%.
Depuis 3 ans, Doctor Web surveille et étudie les menaces actives ciblant l’Internet des objets. Pour cela, les experts ont mis en place un système d’appâts spécialisés appelés « Honeypots ». Ils imitent différents types d’IoT permettant d’observer les techniques et comportements d’attaques ciblant ces objets, tout en récupérant les malwares utilisés pour ces attaques, dans le but d’améliorer leur détection et faire face à la menace de manière plus efficace.
Elena Kostyuchenko, Senior Analyst Technical Writer, chez Doctor Web explique : « Doctor Web a mis en place plusieurs honeypots, établis dans différentes régions. Ils prennent en compte les protocoles classiques, Telnet et SSH, pour que les malwares puissent fonctionner, ainsi que toutes leurs caractéristiques possibles : modification de clés SSH, ajouts d’utilisateurs, téléchargement d’autres malwares, etc. Ces honeypots sont basés sur des solutions open-source, sur lesquelles nos experts apportent quelques modifications. Grace à ces systèmes, durant 3 ans nous avons pu analyser les malwares en récupérant leurs charges virales, étudier les lieux de diffusion, et cela nous permet de fournir des solutions de protection plus efficaces ».
Voici quelques-uns des principaux enseignements :
En 3 ans, le nombre d’attaques augmente de 13497 % : alors que l’activité observée en 2016 était faible, en seulement 4 mois, les experts recensaient déjà 729 590 attaques. Ce nombre se multiplie par 32 en 2017. Il ne cesse de croître considérablement. En 2018, ce sont plus de 99 millions d’attaques. L’année 2019 semble dépasser tous les records, avec plus de 75 millions d’attaques relvées durant les 6 premiers mois.
L’origine de ces attaques est mondiale : les attaques proviennent de plus de 50 pays à travers le monde, et majoritairement des États-Unis et des Pays-Bas.
Des processeurs plus vulnérables que d’autres : les honeypots ont mis en évidence que les dispositifs ARM, MIPSEL et MIPS subissent le plus d’attaques.
Mirai, le Trojan le plus utilisé : datant de 2016, la diffusion de son code source dans le domaine public a provoqué très rapidement de nombreuses modifications. Mirai est le Trojan ciblant Linux le plus répandu et fonctionne sur de nombreux processeurs. Après avoir contaminé un appareil, il se connecte au serveur de gestion et attend d’autres commandes. Sa principale fonction est de lancer des attaques DDoS.
Plusieurs autres malwares très présents, avec des caractéristiques différentes : Hajime (propage un ver), BackDoor.Fgt (contamination d’IoT), ProxyM (assure l’anonymat des pirates), HideNSeek (contamine les IoT, génère des adresses IP auxquelles il essaie de se connecter par force brute)
Le rapport Dotor Web met en avant plusieurs tendances :
La disponibilité des codes sources de Trojans (Mirai, BackDoor.Fgt, BackDoor.Tsunami…) accentue l’apparition de nouveaux programmes malveillants.
Le nombre d’applications malveillantes écrites en langage de programmation « non standard » Go et Rust, ne cesse de croître.
De plus en plus d’informations sur les vulnérabilités des dispositifs sont accessibles, ce qui profite aux cybercriminels.
Les miners de cryptomonnaie (Monero) sont toujours populaires et utilisent les IoT.
Elena Kostyuchenko conclut : « Des milliards d’IoT sont aujourd’hui présents sur le marché.
Des proies faciles pour les attaquants : la sécurité est toujours très peu « by-design » et les vulnérabilités sont nombreuses. Le problème est que la plupart des utilisateurs pensent que ces objets sont sûrs. La sécurité n’a pas été intégrée, la mise à jour devient ensuite compliquée.
Si des efforts de sécurité (ce qui nécessite un investissement…) ne sont pas faits par les constructeurs, et a minima que des couches de sécurité complémentaires ne sont pas mises en place. Malheureusement il faut continuer à nous attendre à une recrudescence des logiciels malveillants ciblant les IoT ».
De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.
À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.
Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.
L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.
Les attaques furtives visent le long terme
Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.
Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires.
Le ransomware continue à se transmettre via des attaques toujours plus ciblées
Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.
À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés.
Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l’exécution de code arbitraire et n’a pas besoin d’interaction de la part de l’utilisateur, comme c’est le cas pour d’autres logiciels de ransomware livrés par email phishing.
Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.
De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d’accès à distance peuvent être des opportunités pour les cybercriminels et qu’ils peuvent également être utilisés comme vecteur d’attaque pour diffuser des logiciels de rançon.
De nouvelles opportunités sur la surface d’attaque
Entre l’imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l’attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l’augmentation observée de l’activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.
Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d’appareils ne sont pas aussi prioritaires que d’autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d’autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique. (Fortinet)
Des chercheurs découvrent une backdoor dotée de fonctionnalités intéressantes et apparentée au logiciel malveillant utilisé par le tristement célèbre groupe Stealth Falcon
Stealth Falcon est un groupe de cybercriminalité actif depuis 2012 qui cible les journalistes et les activistes politiques au Moyen-Orient. Certains analystes l’associent au Project Raven, une initiative qui impliquerait d’anciens agents de la National Security Agency (NSA). Pour en savoir plus, cliquez ici.
Des informations techniques limitées sur Stealth Falcon ont déjà été rendues publiques, notamment une analyse du composant principal du malware – une backdoor en PowerShell qui se propage via un document infecté joint à un e-mail malveillant.
Les chercheurs d’ESET ont découvert une backdoor exécutable inédite qu’ils ont nommée Win32/StealthFalcon. Ils ont constaté un petit nombre d’attaques par ce malware aux Émirats arabes unis, en Arabie saoudite, en Thaïlande et aux Pays-Bas ; dans ce dernier cas, la cible était une mission diplomatique d’un pays du Moyen-Orient.
Win32/StealthFalcon
Les travaux d’ESET ont mis en évidence des similarités entre la backdoor exécutable récemment découverte et le script PowerShell doté de capacités de backdoor précédemment attribué au groupe Stealth Falcon. Les chercheurs d’ESET considèrent ces similarités comme une preuve solide que les deux backdoors sont l’œuvre du même groupe.
Win32/StealthFalcon utilise une technique relativement inhabituelle pour communiquer avec son serveur de commande et contrôle (C&C) : le service de transfert intelligent en arrière-plan (BITS), un composant standard de Windows.
Par rapport aux méthodes de communication traditionnelles via des fonctions d’API, le mécanisme BITS passe par une interface COM, ce qui le rend plus difficile à détecter. Fiable et furtive, cette approche a également davantage de chances d’être autorisée par le pare-feu de l’hôte.
Outre son mode de communication C&C inhabituel, Win32/StealthFalcon fait appel à des techniques avancées pour empêcher sa détection et son analyse, assurer sa persistance et compliquer l’analyse criminalistique.
vendre ou être vendu ! Au cours des derniers mois, les fuites de données massives ou les scandales liés aux abus des grandes sociétés technologiques se sont multipliés, à l’image de cette révélation concernant Facebook et l’accès privilégié de certaines entreprises comme Netflix et Spotify aux données personnelles des utilisateurs. Il n’y a donc rien de surprenant à ce que 60% des internautes français perçoivent la confidentialité absolue comme une chimère à l’ère du tout-numérique. Résignés, 34% seraient prêts à accorder à un inconnu l’accès sans limite à leurs données personnelles contre de l’argent. C’est ce que révèle une étude sur la confidentialité menée par Kaspersky auprès de 11 887 consommateurs dans 21 pays. Il en ressort qu’en matière de confidentialité et de protection de leurs données personnelles, les Français vont de paradoxe en paradoxe.
Vendre ou être vendu ! 62% des Français se déclarent très ou relativement inquiets par la collecte des informations utilisateurs faite par les éditeurs d’applications mobiles. Cette inquiétude se traduit par une attention particulière portée aux permissions : plus de 73% des répondants contrôlent les autorisations (74% pour les utilisateurs Android et 73% pour les utilisateurs d’iPhone et d’iPad).
L’opacité de la collecte d’information sur le Web est aujourd’hui source d’une perte de confiance, qui se concentre en particulier contre les entreprises qui opèrent les grands réseaux sociaux actuelles. Lorsqu’on leur demande avec qui ils ont le plus peur de partager leurs données, les Français placent les réseaux sociaux (Facebook, Twitter, etc.) en 3ème position, derrière les cybercriminels et Internet en général. Ils sont suivis par les grandes entreprises technologiques (Google, Microsoft, Apple, etc.).
C’est pourquoi il est surprenant de noter que 67% des sondés disent se moquer de partager leurs activités sur les réseaux sociaux avec quiconque.
A noter que le blog de référence ZATAZ permet aux internautes de fouilles le black market, le darknet à la recherche de données qui auraient pu leur être volées.
Données personnelles : rien à cacher, rien à craindre ?
38% des Français accepteraient de partager leur historique de recherche avec un tiers et autant partageraient leurs achats. Viennent ensuite l’historique de navigation (30%) et les informations liées à l’identité (27%). Seules les données financières se distinguent (7%).
Pourtant, seuls 7% des Français reconnaissent ne pas s’inquiéter pour la protection de leur vie privée, en ou hors ligne et 85% souhaiteraient en savoir plus sur la manière dont ils peuvent protéger leur vie privée sur le Web.
Dans les faits, l’application des bonnes pratiques est très variable. En ce qui concerne la protection des équipements, 59% des Français protègent tous leurs appareils avec un mot de passe, 43% utilisent des logiciels de nettoyage (type CCleaner), 27% vérifient systématiquement les paramètres de confidentialité et 24% couvrent leur webcam (contre 62% à l’international).
Exception française concernant le téléchargement de logiciels ou d’applications piratés : 62% des répondants n’y renoncent pas malgré les risques, contre 52% à l’international.
En matière de protection des comptes en ligne, les résultats sont tout aussi mitigés. 56% des sondés français essaient de toujours utiliser des mots de passe complexes mais seuls 38% changent régulièrement de mot de passe. Ils sont 27% à utiliser une adresse email dédiée plutôt que leur adresse email principale pour s’inscrire à des services considérés comme non prioritaires.
Les raisons qui peuvent expliquer ces disparités sont multiples, mais la résignation et l’ignorance jouent sans aucun doute un rôle majeur. 60% des Français pensent qu’il est impossible de profiter d’une confidentialité absolue et 35% reconnaissent ne pas savoir comment protéger complètement leur vie privée.
Navigation Internet : vous reprendrez bien un cookie ?
En avril 2019, la 3ème édition du baromètre DIMENSION[2] de Kantar Media témoignait d’un rejet massif de la publicité ciblée en France : 61% des consommateurs refusent d’être suivis à la trace sur la base de leurs précédentes navigations (vs 54% au niveau global).
Ce rejet se traduit-il par une adoption massive des bonnes pratiques liées à l’usage des cookies ? Pas forcément, selon l’étude de Kaspersky. Seuls 42% des Français nettoient régulièrement leur historique de navigation. Ils sont encore moins nombreux (16%) à utiliser des outils logiciels ou modules de navigateurs dédiés pour bloquer le pistage. Au total, ce sont 21,5% des français qui admettent ne jamais effacer leurs traces sur Internet. C’est très loin de nos voisins allemands, champions européens de la confidentialité : 57% nettoient régulièrement leur historique et 25% utilisent des outils adaptés.
Les modes de navigation privée n’ont pas vraiment la cote et il semble que des efforts de sensibilisation restent nécessaires pour accélérer leur adoption : 16% seulement des Français les utilisent, contre 24% à l’international.
Cybersécurité : qui a laissé la porte ouverte ?
17% des Français reconnaissent avoir dû faire face à une compromission de leurs données personnelles. Le plus souvent, il s’agit d’un accès non autorisé à un compte en ligne (41%) ou à un appareil (28%). Dans 18% des cas, les victimes se sont fait voler leurs données et ces dernières ont ensuite été exploitées.
Ces fuites de données n’ont pas toujours des conséquences dramatiques mais elles peuvent également influer sur le moral des consommateurs. 34% des victimes rapportent avoir été stressées. En outre, elles peuvent 17% ont observé une augmentation du nombre de spams reçus et 17% ont perdu de l’argent.
Bertrand Trastour, Head of B2B sales France termine ainsi : “Pas besoin d’être un expert informatique pour comprendre comment les données peuvent être détournées et exploitées contre les consommateurs. Les exemples ne manquent pas. On se souvient par exemple de la fuite de données du Marriott[3] en 2018 qui a touché plus de 500 millions de clients dont certains ont ensuite été les victims de fraudes. Ou encore le cas plus personnel d’un musicien[4] dont la petite-amie a utilisé le compte email pour refuser une bourse d’étude qui l’aurait obligé à déménager. Cela semble parfois difficile à croire mais la protection de la vie privée est encore possible sur Internet, à condition d’avoir une bonne hygiène numérique et d’appliquer quelques bonnes pratiques.”
Des failles de sécurité dans des traceurs GPS, plus d’un demi-million d’enfants et de personnes âgées concernés.
a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IoT dépassent largement le cadre d’un seul fournisseur.
Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable intégrant une la sécurité dès la conception du produit : connexion sécurisée, un chiffrement des informations.
Comme pour tout appareil prêt à l’emploi, modifier les mots de passe par défaut de l’administrateur. En choisir un complexe.
Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils», explique Martin Hron.
Signaux d’alerte dès la sortie de l’emballage
Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site http://en.i365gps.com — en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification attribué. Le mot de passe par défaut très générique « 123456 ».
Ces informations sont transmises via un protocole HTTP non « secure ».
Le numéro d’identification dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant.
En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI étaient piratables sans le moindre effort.
Rien n’est chiffré
À l’aide d’un simple outil de recherche de commandes, les chercheurs découvrent les informations en texte brut. Sans chiffrement.
Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :
appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
utiliser les SMS pour rediriger la communication de l’appareil vers un autre serveur afin d’obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter un backdoor.
Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.
Ce que les consommateurs devraient retirer de cette étude
Outre l’appareil qui fait l’objet de cette étude, 29 autres modèles de traceurs GPS présentant ces vulnérabilités. La plupart des fournisseurs mentionnés ci-dessus. 50 applications mobiles différentes utilisent la même plateforme non « secure ».
Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 ».
Des applications mobiles téléchargées près de 500 000 fois. Le fabricant n’a donné aucune réponse aux avertissements.
En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants. Se renseigner sur les produits que nous achetons est indispensable.
Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité. Qui n’ont pas de certification ou homologation par des tiers.
Choisissez uniquement des marques en qui vous avez confiance pour protéger vos informations.
Pour de nombreuses normes de conformité, vous devez être en mesure de répondre à certaines questions comme « Qui a accédé à quel fichier ? Quels changements ont eu lieu ? ». Pour des raisons évidentes de sécurité, vous devez être capable d’identifier facilement une activité sur vos fichiers et dossiers partagés les plus sensibles et de réagir en cas de menace. Explication par notre partenaire IS Decisions.
FileAudit offre à la fois aux professionnels de l’informatique une visibilité optimale les données de l’entreprise, mais également une possibilité de réagir rapidement aux événements.
Trouver les derniers fichiers consultés/modifiés
Une fois l’audit configuré, je peux voir en temps réel les accès qui se produisent sur les partages que j’ai sélectionnés, à partir de l’observateur d’accès.
Je peux voir la date et l’heure, le fichier ou le dossier auquel on a accédé, le type d’accès, le refus ou l’octroi, l’utilisateur qui a tenté d’accéder au fichier, la machine à partir de laquelle l’accès a été effectué avec son adresse IP et le serveur sur lequel le fichier est stocké.
Surveiller les accès refusés
Lorsque je suis sur l’observateur d’accès, je peux facilement voir qu’il existe des accès refusés à certains dossiers. Je peux donc aller de l’avant et examiner de plus près ce dossier pour voir qui a tenté d’y accédé. Nous prendrons ici l’exemple d’un utilisateur dénommé Alice et de dossiers appelés « Accounting » et « Peopleopps ».
Je vais ensuite regarder de plus près l’activité générale de cet utilisateur en cliquant sur son nom d’utilisateur. J’obtiens un tableau de bord de l’activité d’Alice des derniers jours et semaines.
Cela me permet de voir s’il y a eu beaucoup d’accès refusé par cet utilisateur. Je peux faire défiler davantage et voir tous ces accès vers tous ces fichiers et dossiers qui ont été lus à la même heure le même jour. S’ils se sont produits simultanément, cela peut m’amener à penser qu’Alice sélectionne un grand nombre de fichiers et les copie sur un lecteur externe ou éventuellement sur son bureau.
Une fois cette vue détaillée obtenue, je peux l’exporter au format PDF au cas où je souhaiterais l’envoyer à un responsable ou au cas où d’autres alertes viendraient de cet utilisateur.
Définir des alertes
La prochaine étape que je souhaite mettre en place consiste à envoyer des alertes proactives au cas où de tels accès se reproduiraient. Je peux donc accéder à l’onglet d’alertes et à partir de là créer mes alertes.
Ce que je vais faire en premier lieu, c’est créer une alerte d’accès unique pour les accès refusés sur les dossiers sensibles Accounting et Peopleops.
Très facilement, il me suffit de sélectionner le statut d’accès « refusé », de laisser tous les types d’accès et d’entrer l’utilisateur Alice. Il faut ensuite sélectionner les deux chemins que nous avons vus précédemment, Accounting et Peopleopps et valider. Je peux enfin simplement choisir le destinataire de l’e-mail et je peux également ajouter un canal Slack où tous les administrateurs recevront des messages afin qu’ils puissent les voir également.
La deuxième alerte que je vais mettre en place s’agit d’une alerte d’accès en masse pour Alice, en raison de l’activité sur plusieurs fichiers ou dossiers accédés en même temps, montrant qu’elle pourrait copier ou déplacer un grand nombre de fichier.
Je vais laisser le statut et les types d’accès, je vais juste ajouter ici à nouveau notre utilisateur Alice et je vais définir un seuil que je vais définir assez bas. Je vais dire que si 25 fichiers ou dossiers sont consultés en l’espace de 30 secondes, j’aimerais que cette alerte soit déclenchée. Pour les chemins à surveiller, je vais mettre tout ce qui est audité, je ne vais pas exclure d’heures, mais je vais ajouter les destinataires de l’e-mail et choisir les mêmes qu’auparavant, l’e-mail de l’administrateur et mon canal Slack qui reçoit toutes ces alertes. Il suffit de valider, sauvegarder cette alerte et maintenant, j’ai la configuration de mes deux alertes.
Réagir aux alertes d’accès suspects
En plus de la surveillance en temps réel et de l’identification des menaces, vous devez être en mesure d’agir sur les menaces potentielles.
FileAudit peut réagir immédiatement à une alerte sans avoir à attendre que le service informatique intervienne. Un script personnalisé peut être créé et exécuté chaque fois qu’une alerte spécifique est déclenchée.
Je peux par exemple arrêter la machine d’Alice ou bien la déconnecter. Cela me permet d’agir sur les menaces potentielles avant que tout dommage ne soit causé.
C’est ainsi que vous pouvez utiliser FileAudit pour voir les accès sur vos fichiers ou vos dossiers, générer des rapports, configurer des alertes de manière proactive et réagir en cas de comportement suspect sur votre réseau.
Intrusions : Un chercheur en cybersécurité a identifié un défaut de sécurité susceptible de transformer des centaines de milliers d’équilibreurs de charge en vecteurs de cyber attaques.
Des chercheurs en cybersécurité invitent les organisations utilisant l’équilibreur de charge BIG-IP de F5 Networks, à remédier aux problèmes de sécurité posés par plusieurs configurations.
BIG-IP est notamment populaire auprès des gouvernements, des banques et d’autres grandes entreprises. Mal configuré, cet équilibreur de charge peut servir de porte d’entrée pour les pirates informatiques. Ces derniers peuvent alors s’infiltrer sur les réseaux et effectuer de nombreuses attaques contre les entreprises et particuliers utilisant les services web gérés par le produit corrompu.
Le défaut de sécurité réside dans le langage de programmation Tcl utilisé pour définir les règles iRules (la fonctionnalité utilisée par BIG-IP pour diriger le trafic web entrant). Certaines pratiques de codage permettent aux hackers d’injecter des commandes Tcl arbitraires pouvant être exécutées dans le script Tcl cible.
Lorsqu’ils exploitent avec succès ces règles iRules mal configurées, les hackers peuvent utiliser le BIG-IP corrompu comme vecteur pour lancer d’autres attaques et réaliser des intrusions réseaux. Ils peuvent également intercepter et manipuler le trafic web, de manière à exposer des informations sensibles (identifiants, secrets d’application) ou à attaquer des utilisateurs des services web de l’organisation.
Exploiter un système vulnérable (CVE) peut parfois s’avérer aussi simple que d’entrer une commande ou une ligne de code dans le cadre d’une requête web : la technologie se charge du reste. Dans certains cas, le dispositif corrompu n’enregistre pas les actions du pirate informatique : aucune preuve de l’attaque ne peut alors être récupérée. Dans d’autres cas, le hacker peut effacer lui-même les logs retraçant ses opérations, entravant ainsi sérieusement tout travail d’enquête.
« Ce défaut de configuration est relativement sérieux puisqu’il permet au pirate d’opérer furtivement : il peut s’infiltrer, atteindre ses objectifs, puis effacer ses traces. Le problème est d’autant plus grave que, souvent, les entreprises ne sont pas aptes à identifier et résoudre les problèmes de sécurité cachés dans la chaîne d’approvisionnement logicielle », explique Christoffer Jerkeby, Senior Security Consultant chez F-Secure. « À moins de savoir quoi chercher, il est difficile d’anticiper un problème de sécurité de cette nature, ou pire, de le gérer en cas d’attaque.»
Christoffer Jerkeby a identifié plus de 300 000 instances actives de BIG-IP sur internet au cours de ses recherches mais il estime que, compte-tenu des limitations méthodologiques, le nombre réel pourrait être beaucoup plus élevé. (Note de la rédaction : les pirates n’ont pas attendu, depuis plusieurs semaines, via Shodan, le moteur de recherche, ils se servent allègrement).
Ce type de vulnérabilité n’est pas nouveau et est connu depuis un certain temps, tout comme d’autres vulnérabilités d’injection de commandes identifiées dans d’autres langages informatiques répandus. Toutes les entités utilisant BIG-IP ne sont pas concernées par ce problème de sécurité. Toutefois, cet équilibreur de charge est très répandu chez les organismes bancaires, les organisations gouvernementales et d’autres entités proposant des services en ligne très populaires. De ce fait, les enjeux sont grands et de nombreuses personnes sont concernées. Toutes les organisations utilisant cet équilibreur de charges doivent donc évaluer leur degré d’exposition.
« Si elles n’ont pas mené d’enquête approfondie sur cette technologie, il est fort probable que les entreprises utilisant cette technologie soient concernées par le problème. Même un professionnel extrêmement bien informé sur la sécurité peut laisser passer un tel défaut de configuration. Il est essentiel de sensibiliser les entreprises si nous souhaitons les aider à mieux se protéger contre ce vrai risque d’intrusion. »
Recommandations aux organisations
Il est possible de procéder à un balayage massif d’internet afin d’identifier et exploiter les instances vulnérables de cette technologie. Dans certains cas, ce processus peut même être automatisé. Ce problème de sécurité est donc susceptible d’attirer l’attention des chasseurs de bug bounty… et des pirates informatiques. De plus, des versions d’essai gratuites de BIG-IP sont proposées et il est possible d’accéder à une version cloud pour un coût minime, à partir d’AWS. F-Secure conseille donc aux organisations d’enquêter de manière proactive pour savoir si elles sont affectées ou non par ce défaut de sécurité, compte-tenu des risques encourus.
Christoffer Jerkeby a aidé à développer des outils libres et gratuits que les organisations peuvent utiliser pour identifier les configurations non sécurisées de leurs équilibreurs BIG-IP. Il souligne toutefois qu’il n’existe pas de solution miracle : les organisations doivent répondre elles-mêmes au problème.
« La bonne nouvelle, c’est que tous les utilisateurs ne sont pas affectés par ce défaut de sécurité. La mauvaise, c’est que ce type de problème ne peut pas être résolu par un simple patch ou une simple mise à jour : il appartient aux organisations de vérifier si elles ont ce problème et de le résoudre si c’est le cas», explique-t-il. « Quiconque utilise BIG-IP doit donc se montrer pro-actif.»
Les centres de recherche ESET ont mis à jour une vaste campagne de cyber-espionnage en cours contre des cibles très sensibles en Amérique latine. Plus de la moitié des ordinateurs attaqués appartiennent notamment aux forces militaires vénézuéliennes. Mais cette campagne cible également d’autres institutions nationales, allant de la police à l’éducation, en passant par les affaires étrangères.
La majorité des attaques (75 %) concerne le Venezuela, et 16 % l’Équateur, où les forces armées ont également été ciblées.
L’opération est attribuée au groupe Machete. Celui-ci aurait déjà dérobé Nonà ses victimes plusieurs giga-octets de documents confidentiels par semaine. La campagne est toujours très active et intervient à un moment où les tensions régionales s’exacerbent et où les tensions internationales entre les États-Unis et le Venezuela sont au plus fort.
Les chercheurs d’ESET ont suivi une nouvelle version des outils « Machete » (la boîte à outils du groupe) qui a été vue pour la première fois il y a un an. En seulement trois mois, de mars à mai 2019, ESET a ainsi pu observer plus de 50 ordinateurs victimes communiquer avec des serveurs de commandes et de contrôle (C&C) appartenant aux cyber-espions. Les chercheurs ont également pu observer les attaquants apporter régulièrement des modifications au malware, à son infrastructure et même aux campagnes de phishing en cours.
« Les opérateurs de Machete utilisent des techniques d’hameçonnage ciblé très efficaces. Leur longue série d’attaques, axées sur les pays d’Amérique latine, leur a permis de recueillir des renseignements et d’affiner leurs tactiques au fil des ans. Ils connaissent très bien leurs cibles, savent comment se fondre dans les communications régulières et quels documents sont les plus précieux à voler », explique Matias Porolli, chercheur en cybersécurité chez ESET. « Par exemple, les attaquants s’intéressent de près aux fichiers utilisés par les systèmes d’information géographique (SIG). Et ils exfiltrent en particulier ceux qui décrivent des routes de navigation et des positionnements exprimés à l’aide de grilles militaires », ajoute-t-il.
Le vol d’identifiants par hameçonnage est l’une des causes les plus courantes d’atteinte à la sécurité informatique. Les clés de sécurité offrent la meilleure protection contre ce type d’attaques. La clé de sécurité Titan de Google disponible en France.
Mise à jour : DataSecurityBreach.fr vous propose le test complet de cette clé ICI.
L’an dernier, Google Cloud a lancé les clés de sécurité Titan aux États-Unis. À partir de ce 1er août, les clés de sécurité Titan sont disponibles sur le Google Store en France. Elle est vendue 55 € TTC. Elles sont désormais également disponibles au Canada, au Japon et au Royaume-Uni.
Les clés de sécurité Titan sont munies d’ une puce qui inclut un firmware conçu par Google pour vérifier l’intégrité des clés.
Chaque clé intègre les normes FIDO pour vérifier de façon cryptographique l’identité de l’utilisateur et l’URL de la page de connexion. Cela empêche ainsi un pirate d’accéder à son compte. Même si celui-ci est amené à fournir son identifiant et et mot de passe.
Les clés de sécurité conviennent à tout utilisateur ou entreprise soucieux de la sécurité.
Titan
Les clés Titan sont disponibles par pack de deux : une USB/NFC et une Bluetooth. Pour configurer ses clés de sécurité depuis son compte personnel ou professionnel Google, il suffit de se connecter pour accéder à la page de vérification en deux étapes.
En outre, il est possible de s’inscrire au programme de protection avancée. Cela offre la sécurité Google la plus solide pour toute personne exposée à des attaques ciblées. Les clés de sécurité Titan peuvent également être utilisées pour tous les sites et services compatibles avec les clés sécurité FIDO, notamment Coinbase, Dropbox, Facebook, GitHub, Salesforce, Stripe, Twitter, etc.
Des clés pour G Suite et Google Cloud Platform (GCP) peuvent être employées.
Une étude tente d’expliquer pourquoi les attaques contre les applications ont la plupart du temps lieu au niveau de l’accès, contournant des processus d’authentification et d’autorisation légitimes. Les attaques par force brute sont généralement définies par, soit dix tentatives de connexion successives infructueuses, ou plus, en moins d’une minute, soit 100 tentatives infructueuses en 24 heures.
Accès ou ne pas avoir d’accès ! Les pirates se posent toujours la question.
En 2018, l’équipe de réponse aux incidents de sécurité de F5 (SIRT, Security Incident Response Team) indiquait que les attaques par force brute à l’encontre des clients de F51 représentaient 18 % du nombre total d’attaques et 19 % des incidents traités.
De toutes les attaques enregistrées par le SIRT qui ont eu lieu dans la région EMEA l’année dernière, 43,5 % étaient des attaques par force brute.
Le Canada arrive juste derrière (41,7 % des attaques enregistrées), suivi des États-Unis (33,3 %) et de la région APAC (9,5 %).
Le secteur des services publics a été le plus touché, 50 % de tous les incidents ayant pris la forme d’attaques par force brute, suivi des services financiers (47,8 %) et de l’industrie de de la santé (41,7 %).
L’éducation (27,3 %) et les fournisseurs de services (25 %) étaient aussi dans la ligne de mire.
« Selon la robustesse des capacités de surveillance, les attaques par force brute peuvent sembler inoffensives, comme une connexion légitime avec un nom d’utilisateur et un mot de passe corrects», explique Ray Pompon, principal évangéliste en recherche sur les menaces chez F5 Networks. « Les attaques de cette nature peuvent être difficiles à détecter car, en ce qui concerne le système, le hacker semble être l’utilisateur légitime.»
Attaques massives
Toute application nécessitant une authentification peut potentiellement subir des attaques par force brute, mais le F5 Labs a surtout observé des attaques se concentrant sur l’Authentification via formulaire HTTP (29 % des attaques enregistrées dans le monde). Attaques contre les formulaires d’authentification Web dans le navigateur. Sachant que la plupart des connexions traditionnelles sur le Web prennent cette forme.
Outlook Web Access (17,5 %), Office 365 (12 %), ADFS (17,5 %).
Attaques contre les protocoles d’authentification utilisés pour les serveurs Exchange et Active Directory Federation Services de Microsoft. Ces services n’étant pas accessibles via un navigateur, les utilisateurs s’authentifient auprès d’eux via des applications tierces.
En raison des fonctionnalités d’authentification unique (Single Sign-On) d’Active Directory Federation Services, les attaques d’accès réussies contre ces protocoles ont aussi un impact sur la messagerie électronique, ainsi que sur des Intranets entiers et des volumes importants d’informations sensibles.
SSH/SFTP (18 %). Les attaques d’accès SSH et SFTP sont parmi les plus courantes, ce qui est en partie dû au fait qu’une authentification SSH réussie est souvent un moyen rapide d’obtenir des privilèges administrateur. Les attaques par force brute SSH sont extrêmement prisées des cybercriminels étant donné que de nombreux systèmes continuent d’utiliser des informations d’identification par défaut pour plus de commodité.
S-FTP (6 %). Les attaques S-FTP par force brute sont dangereuses, car elles permettent d’implanter des malwares offrant un large éventail de possibilités, comme l’élévation des privilèges, l’enregistrement des frappes clavier, ainsi que d’autres formes de surveillance et de pénétration du réseau.
Messagerie électronique
La messagerie électronique est globalement le service le plus sujet aux attaques par force brute. Pour les entreprises qui ne dépendent pas fortement du commerce électronique, les ressources les plus précieuses stockées loin du périmètre réseau, derrière plusieurs couches de contrôle. Dans ce cas, la messagerie électronique constitue bien souvent un excellent point de départ pour dérober des données et accéder aux outils nécessaires pour mener une attaque de grande ampleur.
Les attaques relatives aux atteintes à la protection des données identifient également la messagerie électronique comme une cible principale. Elles figurent parmi les deux principales sous-catégories liées au vol d’accès, représentant 39 % des violations d’accès et 34,6 % des causes d’attaques. Le mail est directement en cause dans plus d’un tiers des déclarations de piratage.
Bien se protéger
Selon le rapport Application Protection Report 2019, se protéger contre les attaques au niveau de l’accès représente encore un défi majeur pour de nombreuses entreprises. L’authentification à plusieurs facteurs peut se révéler difficile à mettre en œuvre et n’est pas toujours réalisable dans les délais impartis. Fait inquiétant, bien que les mots de passe n’offrent généralement pas une protection suffisante, le rapport Application Protection Report 2018 de F5 indique que 75 % des entreprises continuent d’utiliser de simples combinaisons nom d’utilisateur/mot de passe pour l’accès à leurs applications Web critiques.
« Même s’il faut s’attendre à ce que les tactiques d’attaque d’accès évoluent en même temps que les technologies de défense, les principes de base d’une bonne protection demeureront essentiels à l’avenir », indique Ray Pompon de chez F5. « Pour commencer, les entreprises doivent s’assurer que leur système peut au moins détecter les attaques par force brute. L’un des principaux problèmes est que la confidentialité et l’intégrité se trouvent parfois en porte-à-faux avec la disponibilité. Il est important de mettre en place des mécanismes de réinitialisation pour l’entreprise et ses utilisateurs. Et ne pas se contenter de définir quelques alarmes de pare-feu pour les tentatives d’attaque par force brute. Il est important de tester les contrôles de surveillance et de réponse, exécuter des tests de scénarios de réponse aux incidents et créer des playbooks de réponse aux incidents pour pouvoir réagir de manière rapide et fiable. »
Les entreprises de toutes tailles doivent relever un certain nombre de défis pour assurer la sécurité de leurs réseaux. Pourtant, les vulnérabilités liées aux MFP et imprimantes connectées d’aujourd’hui sont souvent sous-estimées. Voici comment protéger votre réseau en 5 points.
Désormais, les pirates se servent des systèmes multifonction (MFP) et imprimantes des organisations pour dérober des informations confidentielles stockées sur des disques durs et d’autres périphériques connectés aux réseaux professionnels. Ces cybercriminels provoquent d’importants dégâts et perturbent les activités des entreprises. Selon un rapport d’IDC, 25 % des failles de cybersécurité à corriger impliqueraient des imprimantes. L’impact sur la productivité et la rentabilité des entreprises est donc énorme, alors même que risque lié aux MFP et imprimantes non sécurisés est souvent méconnu et ignoré.
1 : l’identification des utilisateurs et la gestion des autorisations
L’une des solutions les plus importantes pour sécuriser les réseaux consiste à n’autoriser que les utilisateurs connus à accéder aux périphériques tels que les imprimantes. Cet objectif peut être atteint grâce à une administration et à une gestion des autorisations cohérentes.
Identification des utilisateurs : il s’agit du processus grâce auquel les administrateurs ne donnent de droits d’accès aux MFP et imprimantes qu’aux utilisateurs enregistrés. Ces derniers peuvent être identifiés en interne en s’appuyant sur la liste d’utilisateurs locaux, ou via le réseau grâce à un serveur d’authentification. Les administrateurs doivent également décider qui appartient à quel groupe en créant un nom d’utilisateur et un mot de passe, et en mettant en place une stratégie de gestion de mots de passe sur mesure/unique.
Autorisation des utilisateurs : ce processus a pour but d’autoriser l’accès aux ressources des réseaux des organisations, et d’en contrôler l’utilisation. En fonction des identifiants de chaque utilisateur, il est possible de limiter l’accès à certains individus, le restreindre à certaines fonctions, ou le bloquer entièrement. L’administrateur peut également configurer l’accès aux périphériques à l’aide de cartes d’accès contenant des informations d’identification uniques pour chaque individu.
2 : sécuriser le réseau
L’ensemble des périphériques connectés au réseau sont aussi sécurisés que le point le plus vulnérable de ce réseau. Il est donc très important de contrôler l’utilisation des ports et protocoles. Grâce à une configuration intelligente, les administrateurs peuvent bloquer les activités indésirables et les attaques potentielles sur l’infrastructure. Parmi les techniques permettant de sécuriser les communications entre les périphériques du réseau :
Utiliser des fonctions de filtrage pour limiter l’accès à des adresses IP et MAC (Media Access Control) spécifiques. Le réseau et les canaux de communication sont ainsi protégés en limitant l’accès aux adresses ou plages d’adresses spécifiées.
Désactiver les ports non utilisés (afin que seuls ceux qui sont nécessaires fonctionnent) pour bénéficier d’une couche de sécurité supplémentaire et de davantage de contrôle sur le réseau en bloquant les accès non autorisés vers l’ensemble des actifs connectés.
S’assurer que les protocoles IPSec (le protocole Internet pour un échange de données sécurisé et chiffré de données), TLS (le protocole de sécurité de la couche de transport, qui chiffre la transmission de données) et HTTPS (le protocole de transfert hypertexte sécurisé, qui sécurisé les communications sur le réseau) sont configurés pour offrir le niveau de protection le plus élevé.
3 : protéger les données
Il y a deux façons de s’assurer que les données stockées sur les disques durs des MFP et imprimantes soient en permanence sécurisées :
Le chiffrement des données est la procédure ou fonctionnalité cryptant les documents à l’aide d’un algorithme complexe à 256 bits.
L’écrasement des données, qui permet d’effacer le disque dur d’un appareil. Cette stratégie garantit l’effacement définitif de l’ensemble des données déjà stockées sur le disque et des documents numérisés après avoir qu’elles aient été écrasées jusqu’à 10 fois.
4 : imprimer des informations confidentielles de façon sécurisée
Les documents confidentiels doivent être imprimés en suivant une procédure sécurisée évitant les accès et copies non autorisées. Ainsi, lorsqu’une tâche d’impression est soumise, elle est conservée sur le disque dur de l’appareil jusqu’à ce que l’utilisateur saisisse un code PIN, ou présente un jeton ou une carte d’authentification configurés au préalable. Une fois le document imprimé, l’ensemble des données sont automatiquement effacées du disque dur.
5 : assurer une supervision et un contrôle à distance
Mis en place correctement, les outils de sécurité des réseaux offrent aux administrateurs informatiques un contrôle total sur l’ensemble des appareils connectés au réseau, et ce directement depuis leurs postes de travail. Ils peuvent ainsi contrôler un parc entier de MFP et d’imprimantes, et découvrir et gérer à distance la plupart des menaces de sécurité potentielles. Le clonage des appareils permet également de rationaliser le travail des administrateurs, et offre encore plus de sérénité, tout changement au niveau des paramètres d’un équipement pouvant ainsi être reproduit sur l’ensemble du parc. (Par Tomasz Stefanski – Solutions and Applications Specialist chez Sharp Europe).
La société Proofpoint, spécialiste de la mise en conformité et cybersécurité, a publié son rapport 2019 sur la fraude au nom de domaine. L’étude dévoile les dernières tendances, les stratégies et les activités des cybercriminels. Une analyse approfondie des données collectées sur une période de douze mois dans la base de données de domaines actifs de l’entreprise. Elle contient plus de 350 millions de domaines et représente pratiquement tous les domaines sur le Web.
Chasse aux domaines frauduleux ! À l’instar de nombreuses autres méthodes d’attaque très populaires aujourd’hui, la fraude au nom de domaine cible des individus plutôt que des infrastructures en faisant appel à l’ingénierie sociale, terme connu aussi sous Social Engineering, pour amener les utilisateurs à croire que les domaines auxquels ils accèdent sont légitimes. Du fait du peu d’obstacles à l’enregistrement des noms de domaine et de la facilité d’exécution, il est essentiel que les sociétés restent vigilantes face aux domaines suspects et illégaux susceptibles de présenter un risque pour leur marque et leurs clients.
Hausse de 11%
Entre le 1er trimestre et le 4ème trimestre 2018, le nombre d’enregistrements de noms de domaines frauduleux a connu une hausse de 11%. Presque tous les domaines frauduleux détectés restent actifs et prêts à l’attaque, plus de 90% d’entre eux étant associés à un serveur actif.
Parmi ces domaines frauduleux, plus de 15% ont des enregistrements Mail Exchanger (MX), ce qui signifie qu’ils envoient et/ou reçoivent des e-mails. Un sur quatre dispose également de certificats de sécurité, c’est bien plus que ce que l’on peut observer dans le paysage global des domaines. Or, de nombreux internautes les assimilent de ce fait à tort comme des domaines légitimes et sûrs.
Les domaines frauduleux utilisent souvent les mêmes domaines de premier niveau (TLD), offices d’enregistrement et serveurs Web que les domaines légitimes afin d’imiter les marques et abuser les utilisateurs. Ces facteurs, ainsi que la forte proportion de serveurs Web actifs, qui sont nombreux à posséder des certificats SSL valides, renforcent la perception de légitimité des domaines frauduleux, augmentant ainsi le potentiel de nombreuses attaques, notamment les fraudes par virement électronique, le phishing, les ventes de produits de contrefaçon et autres escroqueries.
Quand le HTTPS sert aux pirates
Plus de 85% des grandes marques de vente au détail ont identifié des domaines vendant des versions contrefaites de leurs produits. Les marques de vente au détail en décomptent en moyenne plus de 200. D’ailleurs, les domaines vendant des produits de contrefaçon possèdent plus de certificats de sécurité que d’autres types de domaines frauduleux, ce qui les rend légitimes aux yeux des clients.
96% des sociétés ont trouvé des correspondances exactes de leur domaine avec un TLD différent (par exemple, « .net » au lieu de « .com ») et 76% ont identifié des domaines « similaires » se faisant passer pour leur marque. La plupart des secteurs et des zones géographiques sont touchés.
Les domaines frauduleux utilisent l’e-mail pour mieux cibler les attaques. Pour 94% des sociétés observées, Proofpoint a identifié au moins un domaine frauduleux se faisant passer pour leur marque et envoyant des e-mails. De nombreux domaines frauduleux ont envoyé de faibles volumes d’e-mails, un comportement typiquement associé à des attaques hautement ciblées et basées sur l’ingénierie sociale. Les cybercriminels se faisant passer pour des marques de vente au détail facilement reconnaissables (en particulier celles ayant des chaînes d’approvisionnement complexes) ont envoyé des volumes d’e-mail beaucoup plus importants, ce qui laisse suggérer des attaques plus généralisées contre les clients et les partenaires.
Des facteurs comme l’introduction de nouveaux TLD créent des opportunités pour les cybercriminels. En 2018, l’introduction de nouveaux TLD, tels que .app et .icu,, a créé de nouvelles opportunités pour l’enregistrement de domaines frauduleux. Proofpoint a constaté que les cybercriminels exploitaient ces nouveaux TLD pour enregistrer des noms ressemblant à des domaines « .com » qui appartiennent déjà à de grandes marques.
Des chercheurs ont mené une enquêtes sur l’état de la sécurité des applications des plus grandes banques du monde. Un des outils posséde une faille connue depuis 2011.
Les nouvelles recherches de la société ImmuniWeb va faire grincer des dents dans le petit monde bancaire. Ils ont étudié la sécurité, la confidentialité et la conformité des applications des plus grandes institutions financières mondiales figurant dans la liste S&P Global 2019. Le résultat a de quoi étonner. En ce qui concerne la conformité, 85 applications Web de banque en ligne ont échoué au test de conformité GDPR ; 49 banque en ligne ont échoué au test de conformité PCI DSS ; 25 app ne sont pas protégées par un WAF.
Vulnérabilités de sécurité
Dans cette étude, on découvre que sept applications Web de banque en ligne contiennent des vulnérabilités connues et exploitables.
La plus ancienne vulnérabilité est connue depuis 2011. 92% des applications bancaires mobiles contiennent au moins une vulnérabilité à risque moyen.
100% des banques ont des problèmes de sécurité ou des problèmes liés aux sous-domaines oubliés.
Pour finir, concernant la sécurité du site web, seuls 3 portails sur 100 affichaient la note la plus élevée «A+» pour le « chiffrement SSL et la sécurité des sites Web». Dans ce top 3, on trouve un Suisse (credit-suisse.com), un Danois (danskebank.com) et un Suédois (handelsbanken.se).
Pendant ce temps, dans le commerce 2.0
De son côté, le laboratoire Pradeo a étudié 38 applications mobiles d’e-commerce les plus téléchargées au monde. Le rapport montre qu’elles envoient les données personnelles des utilisateurs via de nombreuses connexions non sécurisées (pourcentages précis dans l’article) et présentent en moyenne 13 vulnérabilités de code, dont certaines ayant un haut niveau de sévérité.
Adobe a publié des correctifs pour Bridge CC, Experience Manager et Dreamweaver. Trois vulnérabilités sont corrigées dans Experience Manager tandis qu’une vulnérabilité est résolue dans Bridge et Dreamweaver. Aucune d’entre elles n’est considérée comme critique et le niveau de vulnérabilité le plus élevé pour chaque logiciel concerné est Important.
Les réglementations (loi de programmation militaire, RGPD…) et le besoin de confiance numérique ont incité les entreprises à développer une véritable culture du risque et à investir massivement dans des dispositifs de cybersécurité. Toutefois, si 100% des entreprises du CAC 40 agissent désormais en matière de cybersécurité, plaçant ainsi la France dans le peloton de tête des pays les plus actifs sur le sujet, la portée du risque sur l’activité des entreprises est encore sous-évaluée. Une réalité qui se constate aussi dans les innovations technologiques des entreprises, qui font souvent l’impasse sur la cybersécurité. C’est ce que révèle une étude du cabinet Wavestone sur les niveaux de maturité des entreprises dans le domaine de la cybersécurité. Pour cette nouvelle édition, les experts ont analysé les communications financières (notamment via leur rapport annuel et leur document de référence), publiés au 1er juin 2019, de 260 entreprises cotées dans le principal indice boursier des pays où Wavestone est présent : CAC 40, Dow Jones, FTSE 100, BEL20, SMI, HSI. Les résultats de cette étude unique donnent un aperçu du niveau de maturité déclaré des entreprises et de son évolution, sur différents aspects : implication des comités exécutifs, investissements en cybersécurité, RGPD…
Cybersécurité : Le CAC 40 progresse encore…
Pour évaluer le niveau de maturité des entreprises dans le domaine de la cybersécurité, les équipes du cabinet ont mis au point le financial communication cybermaturity index. Celui-ci permet d’évaluer les enjeux et les risques, la gouvernance et la réglementation, ainsi que les actions de protection mises en place dans les entreprises. Sur la base de cet index, les entreprises du CAC 40, qui étaient en dessous de la moyenne en 2017, progressent en 2018 (10,07/20 + 1,07 VS 2017).
Ainsi, ce sont 100 % des entreprises du CAC 40 qui mentionnent les enjeux de sécurité dans leur rapport annuel et qui se mobilisent sur le sujet de la protection des données personnelles (RGPD) (+42 points VS 2017). Ce sujet majeur pour les entreprises concerne désormais une majorité des comités exécutifs : 50% (+25 points VS 2017) des groupes du CAC 40 adressent la problématique de la cybersécurité au niveau du comité exécutif.
Une prise de conscience qui se constate aussi dans la nette progression de la prise de fonction de DPO (Data Protection Officer) dans les entreprises (52,5 % en 2018 VS 13% en 2017).
Plus encore qu’en 2017, les secteurs de la finance (14,77 % / +3,89 ptsVS 2017) et des technologies de l’information (12,05% / +0,89 pts VS 2017) sont les locomotives du niveau de maturité des entreprises du CAC 40.
… et caracole en tête des entreprises les plus matures dans la prévention des cyber-risques dans le monde
Parmi les 260 entreprises analysées sur les 6 places de marché (CAC 40, Dow Jones, FTSE 100, BEL20, SMI, HSI), le CAC 40 se place dans le peloton de tête des entreprises les plus matures sur la prise en compte de la cybersécurité dans les communications financières (10,07/20), juste derrière les Etats-Unis (10,15/20).
Si la France et les Etats-Unis s’illustrent dans le secteur de la finance, c’est le secteur des technologies de l’information qui dominent au Royaume-Uni et en Belgique.
Les résultats dévoilent aussi des cultures et des pratiques différentes autour de la cybersécurité : c’est aux Etats-Unis que l’implication du COMEX sur les problématiques en lien avec la cybersécurité est le plus fréquemment citée dans les rapports d’activité des entreprises (83%), devant le Royaume-Uni (61%), la France et la Belgique (50%). D’autre part, avec 46% de mentions faites sur les niveaux d’investissements en matière de cybersécurité, le Royaume-Uni valorise les investissements via des programmes de cybersécurité, contre 30% à 35% en France et aux Etats-Unis et 15% en Belgique.
Avec l’entrée en vigueur du règlement général sur la protection des données européen (RGPD), les entreprises françaises du CAC 40 mettent la Privacy à l’honneur, en affichant leurs ambitions sur la problématique dans l’ensemble de leurs rapports d’activité.
Alors que l’exemple français aurait pu susciter un éveil des autres pays européens sur la mise en place du RGPD, ce sont finalement les Etats-Unis (87%) qui se rapprochent de la France (100%) dans le domaine de la Privacy, suivis par la Belgique (75%) et le Royaume-Uni (71%).
Des investissements conséquents sur des programmes de cybersécurité, des actions en cybersécurité plus rares dans les technologies innovantes
Si les rapports d’activités font rarement mention des niveaux d’investissements engagés par les entreprises du CAC 40, le cabinet Wavestone a observé une augmentation des entreprises qui font état d’investissements conséquents dans des programmes de sécurité (35% / +22,5 pts VS 2017). Pourtant, dans le même temps, les entreprises font preuve d’un certain attentisme lorsqu’il s’agit d’investir dans des plans d’actions unitaires (45% en 2018 / – 35 pts VS 2017).
En témoignent aussi, des programmes d’innovation qui font toujours l’impasse sur la cybersécurité. En effet, alors que les projets liés à la 5G font leur apparition dans les entreprises du CAC 40, seul 1 projet fait le lien avec la cybersécurité. Une tendance qui se confirme aussi dans les domaines de l’IoT et de l’IA où seuls 2 chantiers sont liés à la cybersécurité, alors que le nombre de projets innovants ne cesse de croître dans ces domaines (58% pour l’IA / +12 pts VS 2017 – 45% pour l’IOT / +10 pts VS 2017). La cybersécurité reste toujours absente des projets dans le domaine de la Blockchain.
« Même si les résultats montrent une progression de la prise en compte de la cybersécurité, la France et le CAC40 restent en retrait sur la mobilisation effective des fonctions dirigeantes de l’entreprise. Alors que c’est une condition sine qua none au succès des programmes de cybersécurité ! », déclare Gérôme Billois, Partner cybersécurité et confiance numérique au sein de Wavestone.
L’opération récente de la Chine contre des sociétés de téléphonie cellulaire – appelée « opération Soft Cell » – fait partie d’une campagne d’espionnage qui exploite les accès aux comptes à privilèges. La compromission des identifiants reste en effet l’arme de choix des cyber-attaquants et est un modèle d’attaque récurrent.
Ce phénomène a débuté lorsque Edward Snowden a révélé l’opération Socialist, une campagne de la CIA et du Global Communication Headquarters (GCHQ) britannique, qui aurait tenté de prendre le contrôle d’un réseau majeur : Belgacom, société de télécommunications belge. Cet accès aurait permis aux agences de renseignements d’obtenir les métadonnées nécessaires pour suivre à la trace des individus spécifiques.
Pour Lavi Lazarovitz, responsable de l’équipe de recherche en sécurité du CyberArk Labs, Soft Cell trouve son origine ailleurs – l’APT 10, un groupe de cyber-espionnage chinois – mais son modèle d’exécution est très similaire : « L’opération Socialist, à l’instar de Soft Cell, a exploité les accès à privilèges pour prendre le contrôle des systèmes de télécommunications, en restant dans l’ombre. Aucune de ces attaques n’a eu besoin d’exploiter des vulnérabilités, ou d’utiliser des outils sophistiqués et agressifs, chers à développer. Dans les deux cas, les groupes ont compromis des accès à privilèges de l’organisation, c’est-à-dire les comptes d’administrateurs de domaine disposant de droits sur un domaine entier, ce qui les rend extrêmement pertinents pour les attaquants.«
Comptes administrateurs, accès à privilège et pirates
Les comptes d’administrateurs de domaine, et autres accès à privilèges bien connus, sont généralement contrôlés et surveillés de près. Cependant, il reste bien souvent des vulnérabilités exploitables. Les attaquants ont probablement visé des « administrateurs fantômes », c’est-à-dire des accès à privilèges qui ne sont pas répertoriés dans l’Active Directory, les rendant invisibles et donc ignorés par les équipes de sécurité des organisations. Ces types de comptes disposent de privilèges particuliers, qui permettent à un attaquant de contrôler des réseaux complets, sans être associés à un groupe de privilèges. En conséquence, l’attaque laisse peu de traces, tout en offrant de la souplesse au hacker. Lors de l’opération Soft Cell, les cybercriminels ont lancé un service VPN pour obtenir un accès fantôme au réseau, potentiellement basé sur des comptes d’administrateurs fantômes.
Le recours à ces derniers n’est pas le seul raccourci utilisé par les assaillants des opérations Soft Cell et Socialist. Dans ces deux cas, les attaques contre les sociétés de télécommunications ont visé la chaîne logistique. En effet, tout comme les usines de fabrication de hardwares, les éditeurs de logiciels qui fournissent des mises à jour de produits, ou des serveurs de réseau de trafic internet, sont vulnérables aux attaques de la chaîne logistique.
Jérôme Robert de la société Alsid, commente « On ne peut qu’être consterné devant l’ampleur de cette brèche, mais il faut bien admettre que l’avènement d’un incident de cette nature était inéluctable. Notre industrie, dans son ensemble, a investi des centaines de milliards d’euros dans la protection des postes, des réseaux, et des données tout en restant résolument aveugle au danger que représente l’insécurité d’Active Directory. Ce douloureux rappel à l’ordre doit alerter les entreprises et les industries qui doivent sortir la tête du sable et prendre cette menace à bras le corps ! C’est une cyber-bombe à retardement, et le minuteur touche à sa fin« .
Cette stratégie d’attaque est même devenue courante. De nombreux cybercriminels redirigent leurs efforts : au lieu de cibler directement des organisations bien sécurisées, ils visent désormais leurs chaînes logistiques qui le sont moins. Les hackers, souhaitant accéder discrètement et en continu aux données et à l’IP d’une entreprise, n’envoient plus massivement des emails de phishing et préfèrent compromettre le matériel de la société. Les pirates qui souhaitent accéder aux métadonnées, à la localisation et aux appels d’un individu pendant une période plus longue peuvent alors remplacer l’exposition coûteuse d’une vulnérabilité de WhatsApp par la compromission du téléphone d’un individu spécifique.
L’Afnic renforce et facilite le traitement des plaintes pour usurpation d’identité des noms de domaine en .fr. Des démarches simples, en 2 clics, directement depuis le site de l’Afnic.
Depuis 2017, l’Afnic a recensé 102 plaintes d’usurpation d’identité de personnes physiques relatives à l’enregistrement d’un nom de domaine en .fr. L’usurpation d’identité survient lorsqu’une personne enregistre un ou des noms de domaine sous l’identité d’un tiers (personne physique). Dans la majorité des cas, il s’agit là d’un acte de malveillance à des fins de cybercriminalité : escroquerie, vente de produits contrefaits, arnaques aux entreprises, diffamation, etc.
Si le nombre de plaintes recensées est relativement faible au regard des 3,4 millions de noms de domaine enregistrés en .fr, ces pratiques peuvent avoir des impacts lourds de conséquences pour les victimes. Malheureusement, ces faits sont portés à leur connaissance de manière souvent brutale, par lettre recommandée émanant d’un cabinet d’avocat, une plainte ou une assignation signifiée par un huissier de justice…
Pour lutter contre ces usurpations d’identité, l’Afnic a édité une fiche pratique « Lutter contre l’usurpation d’identité » et a mis en place une procédure simple en deux étapes :
1ère étape « La demande d’accès à ses informations dans la base Whois », qui recense l’ensemble des noms de domaine gérés par l’Afnic (.fr, .pm, .re, .tf, .wf et .yt.).
Si cette étape est facultative, elle est vivement conseillée : elle permet en effet de connaître le ou les nom(s) de domaine enregistré(s) avec les informations personnelles des victimes.
Fort de ces informations, il faudra alors déposer une plainte auprès du commissariat de police ou de la gendarmerie les plus proches.
2nde étape « La demande de suppression de ses informations usurpées dans la base Whois » : cette étape permet d’obtenir la suppression du ou des nom(s) de domaine enregistré(s) sous des identifiants (appelés NIC-HANDLE) comportant les données usurpées. Cette demande doit être obligatoirement accompagnée d’une plainte pour usurpation d’identité.
Dès réception de cette demande, l’Afnic agit dans les meilleurs délais pour que le bureau d’enregistrement en charge du ou des nom(s) de domaine concerné(s) supprime les informations personnelles ainsi que le nom de domaine frauduleusement enregistré. Ces deux démarches sont directement accessibles depuis le site de l’Afnic, à la rubrique « Actions et procédures ».
Rappelons que l’usurpation d’identité est un délit pénalement sanctionné par un an d’emprisonnement et d’une amende de 15 000 euros.
L’enquête terrain inédite menée par l’IRT SystemX auprès de PME et TPE françaises, victimes de cyberattaques, dévoile l’impact réel des cyber-préjudices et fait voler en éclats deux grandes croyances communément admises : le nombre de cyberattaques réussies s’avère bien supérieur aux estimations habituellement rendues publiques, tandis que le coût moyen des cyberattaques se révèle en revanche beaucoup plus faible que supposé. Zoom sur les 9 principaux enseignements de cette étude.
SystemX, unique IRT dédié à l’ingénierie numérique des systèmes du futur, dévoile les principaux enseignements de sa première enquête terrain menée sur 3 ans* auprès de plus de 60 entreprises françaises**, principalement des PME/TPE de moins de 50 personnes, victimes de cyberattaques. Toutes les régions et secteurs economiques sont représentés. L’objectif de cette enquête était de mesurer les préjudices causés au tissu économique, puis d’élaborer des modèles de calcul des coûts ainsi que de l’exposition d’une entreprise au risque Elle a également permis de collecter des signaux faibles, annonciateurs de nouvelles tendances, et notamment d’évolutions à attendre sur le mode opératoire de certaines formes d’attaques
Parmi les catégories d’attaques étudiées, le rançonnage par cryptovirus et les fraudes au président et faux ordres de virement prennent la plus grande place. Ont également été rencontrées : l’escroquerie au faux support technique, la prise de contrôle de messagerie, le piratage téléphonique, la fraude aux sentiments, l’usurpation d’identité, la mauvaise protection des caméras, la captation de nom de domaine, le défaçage ou encore le vol de compte bancaire. A noter la grande rareté des attaques DDos par déni de service contre des PME, ce qui constitue l’un des résultats inattendus de cette enquête et confirme que ce type d’attaque résulte avant tout d’un ciblage intentionné de la part d’un tiers.
« Cette enquête terrain est inédite en France : elle transmet une vision profondément renouvelée des attaques informatiques notamment grâce à une précision des chiffres jamais atteinte. Initiée dans le cadre du projetEIC (Environnement pour l’Interopérabilité et l’Intégration en Cybersécurité), elle remet en cause les chiffrages habituels, ce qui modifie la vision à porter sur le cyber-risque », explique Gilles Desoblin, Responsable de la thématique Défense et Sécurité, IRT SystemX.
Parmi les principaux enseignements de cette enquête
– La fréquence des attaques réussies en matière de cryptovirus est plus haute que supposée jusqu’alors : pour une PME de moins de 50 salariés, la probabilité d’être victime ne se mesure annuellement plus en pour mille mais en pour cent, se situant entre 2 et 5% (soit entre 100 000 et 250 000 entités par an). Elles ne se situent donc plus dans la catégorie des événements rares.
– Le coût moyen d’une attaque par cryptovirus est inférieur à ce qu’il est généralement communiqué via les médias : en effet, le coût moyen pour une TPE s’évalue actuellement en milliers d’euros par attaque réussie, en non en dizaines, centaines voire en millions d’euros. A noter que la progression des coûts n’est pas proportionnée seulement à celle de la taille d’une entreprise, mais dépend d’autres facteurs parfois inattendus tels que le mode de gestion des ressources humaines .
– La médiane constatée (de l’ordre du millier d’euros) est basse et se situe nettement au-dessous de la moyenne, ce qui signifie qu’un grand nombre d’attaques réussies trouvent des solutions à faible prix, particulièrement quand les sauvegardes ne sont pas affectées.
– Toujours concernant les cryptovirus, les coûts additionnés subis par l’ensemble des victimes de moins de 50 employés – entreprises ou associations – en France s’élèvent à un montant supérieur à 700 millions d’euros par an.
– Dans cette observation de transfert de richesse, le gain enregistré par les pirates déroge à l’image communément admise. La sortie de capitaux, due conjointement aux cryptovirus et aux fraudes aux président – soit plus de 200 millions d’euros -, masque des modèles économiques très différents entre ces formes de criminalité. Les calculs réalisés au sujet des cryptovirus font ressortir un ratio entre l’argent rançonné (sommes versées) et le préjudice total de l’ordre de 1/25 chez les PME/TPE. A contrario, les fraudes au président, malgré leur recours accentué à des acteurs humains et à l’ingénierie sociale, laissent entrevoir des marges finales plus élevées.
– L’étude dévoile également la sous-estimation du préjudice humain occasionné par ces attaques (fragilisation des personnes, perte de cohésion de groupe), avec la nécessité d’assister les décideurs pendant cette phase où ils doivent mener des arbitrages en situation de forte incertitude.
– A contrario, le préjudice sur l’image des entreprises touchées est surestimé, puisqu’il est souvent superficiel et passager, sauf si cela coïncide avec un temps fort de la société (lancement de nouveau produit ou événement-jalon important).
– Si les relations entre entreprises partenaires se sont confirmées être l’une des principales failles en cas d’attaque et de leurre, par exemple en matière de rançonnage avec des courriers du type « facture modifée » ou de fausses adresses bancaires (FOVI), l’observation plus fouillée fait ressortir qu’une partie très importante des coûts d’attaque provient de la déficience d’acteurs de l’écosystème de l’entreprise : prestataire ou éditeur informatique, opérateur télécom, fournisseur de messagerie, électricien, banquier, etc. Il est apparu que ces déficiences ou le manque de réactivité de nombre de ces acteurs alimentent le risque dans des proportions au moins comparables à celles engendrées par les déficiences internes.
– Enfin, contrairement à l’image d’une sécurité informatique qui s’obtiendrait par de forts investissements, l’étude souligne que la majorité des préjudices observés aurait pu être évitée ou atténuée par des modes de protection à coût modeste, et par une série de bonnes pratiques accessibles à la plupart des entreprises.
*Réalisée entre 2016 et 2019
** Entreprises invididuelles, TPE et PME de moins de 50 personnes et secteur associatif
Le cloud, le nuage, a changé la façon dont les entreprises travaillent. Un tout nouveau monde de collaboration et de productivité s’est ouvert. Un environnement dont il devient très compliqué de ne pas utiliser les qualités… et subir les potentiels problèmes de cybersécurité.
Mais l’adoption du cloud continue de susciter des préoccupations en matière de sécurité dans les petites et moyennes entreprises (PME), notamment en matière de stockage. Naturellement, lors du stockage de données dans le cloud avec des services tels que Dropbox for Business, Google Drive, Microsoft OneDrive et Box, les entreprises peuvent avoir le sentiment que leurs données sont moins sécurisées et sujettes aux fuites. Confier vos données à un tiers est simplement risqué car vous n’en avez pas le contrôle.
La recherche d’IS Decisions prouve que ces préoccupations existent. 63% des PME pensent que les fournisseurs de stockage dans le cloud devraient faire davantage pour protéger leurs données. Mais quels sont exactement les problèmes spécifiques que les PME rencontrent avec les données dans le cloud?
1. Ils ne peuvent pas détecter les accès non autorisés
La détection des accès non autorisés aux fichiers et aux dossiers sensibles de l’entreprise est l’une des principales préoccupations des entreprises en matière de sécurité dans le cloud.
Traditionnellement, lorsque les entreprises stockaient leurs données sur des serveurs de fichiers locaux, elles pouvaient être assurées que les données étaient «relativement» protégées de toute utilisation non autorisée. La raison pour laquelle elles sont supposées sécurisées est due à la nécessité d’être physiquement présent au bureau pour accéder à ces fichiers, ce qui crée une limite naturelle contre les accès non autorisés en dehors de l’organisation.
Même pour les employés et les partenaires tiers utilisant des réseaux privés virtuels (VPN), qui permettent un accès en dehors de cette limite, les données restent relativement sécurisées, car les équipes informatiques peuvent ne restreindre l’accès qu’à des périphériques spécifiques.
Mais avec le stockage dans le cloud, la facilité de partage des données entre les équipes, associée à la simplicité d’intégration de votre stockage avec d’autres applications dans le cloud, augmente considérablement le risque d’accès non autorisé, ce qui pose d’importants problèmes de sécurité aux équipes informatiques qui ont du mal à détecter les utilisations abusives. Sans les bons contrôles d’accès en place, si les informations de connexion d’un employé tombaient entre de mauvaises mains, son auteur pourrait, en théorie, accéder aux fichiers et dossiers sensibles de n’importe où dans le monde, avec n’importe quel appareil.
Les entreprises craignent que, faute de savoir qui accède à ces fichiers, ces informations se retrouvent entre de mauvaises mains. En fait, un sur cinq (21%) est allé jusqu’à dire qu’ils conservaient leurs données les plus sensibles stockées sur une infrastructure sur site, car ils ne faisaient pas confiance à sa sécurité dans le cloud.
2. Ils luttent pour arrêter le vol de données en cours
Empêcher les employés qui quittent votre entreprise de voler des fichiers d’entreprise sensibles avant leur départ cause énormément de maux de tête aux équipes de sécurité du monde entier.
Avec le stockage sur site, le risque de repérer une personne qui tente de voler des informations sensibles est beaucoup plus grand, car ces informations sont stockées sur un ordinateur de bureau physique, plutôt que de pouvoir être consultées de l’extérieur.
Tandis que, avec le stockage dans le cloud, vous pouvez accéder aux données de n’importe où dans le monde, en utilisant n’importe quel appareil (même personnel), il est donc trop facile pour les anciens employés de voler des informations avant de partir. En fait, même lorsque cet employé quitte officiellement ses fonctions, il existe toujours un risque qu’il ait accès aux données de la société.
3. La gestion d’environnements de stockage hybrides complexes est difficile
Ce problème est intrinsèquement lié aux deux premiers – et on peut affirmer que les environnements hybrides complexes aggravent beaucoup les problèmes des deux autres.
De nos jours, la plupart des entreprises utilisent une combinaison d’environnements de stockage, à la fois en termes de fournisseurs de stockage dans le cloud et de serveurs sur site. Et si cette approche hybride aide les employés à devenir productifs, elle rend très difficile la gestion de la sécurité des données stockées dans plusieurs environnements.
Chaque fournisseur de cloud dispose d’un système de gestion de la sécurité différent. Sans surveillance permanente de l’accès à chaque plate-forme, il est difficile de détecter toute activité malveillante et d’arrêter le vol de données. En effet, 56% des PME disent qu’il est difficile de gérer la sécurité des données stockées dans des infrastructures hybrides.
Comment faire?
Le moyen le plus efficace de protéger vos données, que ce soit dans le cloud ou sur un mélange de local et de cloud, consiste à investir dans une technologie qui enregistre, contrôle et consigne de manière proactive tous les accès aux fichiers et aux dossiers et vous en avertit en temps réel et alerte les équipes informatiques de l’activité de fichiers suspects au moment où elle se produit.
FileAudit offre une vue cohérente de la sécurité de vos données sur tous vos serveurs de stockage, à partir d’un outil et d’un tableau de bord consolidé. Avec une telle solution, vous pouvez être assuré que si quelqu’un d’autre qu’un employé autorisé tente d’accéder à vos données, vous serez le premier à en prendre connaissance et, par conséquent, à vous en occuper.
Pensé pour les utilisateurs, ce label permet aux acteurs de l’IoT de vérifier la sécurité d’une solution mettant en œuvre des objets connectés. Il constitue un indicateur fiable et indépendant pour les futurs acquéreurs ou usagers, professionnels comme particuliers.
La société digital.security, premier CERT européen dédié à la sécurité des objets connectés, annonce le lancement du programme de labellisation IoT Qualified as Secured (IQS), le premier programme de labellisation pour les acteurs de l’Internet des Objets (IoT) désireux de faire vérifier, par un tiers indépendant, la sécurité de leurs solutions IoT.
Avec plus de 14 milliards d’appareils IoT en circulation en 2019 et 25 milliards prévus d’ici 2021* les objets connectés sont devenus une cible privilégiée pour les cybercriminels. Ces derniers peuvent accéder physiquement à l’objet et mener des attaques sur les composants et les données personnelles ou sensibles, ou en prendre le contrôle à distance par le biais de la radio logicielle.
A qui s’adresse ce programme ?
IoT Qualified as Secured, ou IQS, permet aux industriels de l’IoT de vérifier la sécurité de leur solution mettant en œuvre des objets connectés. Matérialisé par le pictogramme IQS, c’est également un gage de sécurité pour les futurs acquéreurs ou usagers, entreprises comme particuliers.
Ses caractéristiques
Applicable à l’ensemble des secteurs économiques, le label IQS repose sur un référentiel intégrant à la fois les standards nationaux et internationaux de sécurité, les bonnes pratiques dites « d’hygiène de sécurité », et les exigences issues du retour d’expérience de digital.security.
Le cœur du label IQS est constitué d’une plate-forme d’évaluation de la sécurité des objets connectés -appelée EvalUbik – véritable banc de test permettant de mettre un objet connecté en condition d’utilisation paramétrable et contrôlée.
Deux niveaux de labellisation sont délivrés : standard et avancé.
Le label est délivré pour une durée de 2 ans aux solutions IoT (objets et services associés) respectant un ensemble d’exigences de sécurité publiées (entre 25 et 30 selon le niveau de labellisation).
La volonté de digital.security est de couvrir de façon objective et mesurable la grande majorité des exigences requises dans les pays de l’Union Européenne. La logique de millésime du label permet de le faire évoluer au rythme de la mise en place des règlements et des standards européens afin de permettre à tout acteur IoT d’inscrire sa démarche sécurité dans la durée.
Processus de labellisation
Le Comité de Labellisation, composé d’experts en cybersécurité indépendants de digital.security, confronte le rapport d’évaluation anonymisé au référentiel retenu pour accorder le certificat de labellisation.
Un référentiel d’exigences de sécurité adapté à l’IoT
Fruit des standards et des bonnes pratiques communément admises pour sécuriser les Systèmes d‘Information, complété du retour d’expérience des audits IoT réalisés par digital.security, le référentiel d’exigences de sécurité du label IQS couvre les thématiques suivantes :
La protection des échanges de données (PED)
Protection des socles techniques (PST)
La sécurisatoin de l’accès aux données (PAD)
Traçabilité (TRA)
L’ensemble des composants de la solution IoT candidate au label sont soumis au référentiel : les objets connectés, les protocoles de communication, les serveurs accessibles sur Internet et les applications fournies aux utilisateurs.
« Il n’y a pas d’innovation réussie sans maîtrise des risques», déclare Jean-Claude Tapia, président de digital.security. « Dans un marché mondial qui privilégie le time-to-market à un développement maîtrisé, il était essentiel pour nous de créer le premier label de référence sur la sécurité des objets connectés qui révolutionnent la façon dont les agents économiques et sociaux interagissent. Avec le lancement du label IQS, notre objectif, en tant que premier CERT IoT, est d’accompagner durablement cette révolution numérique pour le bénéfice de toutes les parties prenantes. », conclut Jean-Claude Tapia.
Une étude en dit beaucoup sur la gestion des accès et des identités au sein des entreprises : les confessions de professionnels mais aussi les difficultés rencontrées pour mettre en place des solutions IAM (Identity and Access Management) et PAM (Privileged Access Management) adaptées.
One Identity, une société spécialisée dans la gestion des identités et des accès (IAM), publie les résultats d’une étude menée de manière anonyme auprès de 200 participants à la célèbre conférence « sécurité » – la RSA conférence – sur leurs plus grands défis et préoccupations en matière de sécurité, ainsi que sur leurs comportements professionnels liés à l’accès au réseau et au système.
Et il semblerait que beaucoup de professionnels ne s’embarrassent pas toujours des protocoles et mesures de sécurité :
L’étude mené par One Identity révèle ainsi que près de 7 répondants sur 10 admettent qu’ils consulteraient des fichiers sensibles s’ils avaient un accès illimité aux données et aux systèmes.
Plus de 60% pensent qu’ils emmèneraient avec eux des données ou des informations sur l’entreprise s’ils partaient, sachant que personne ne le saurait.
De plus, ils sont également 60% à admettre avoir commis des actes répréhensibles dans leur milieu de travail. Ils sont par exemple près de 40% à avoir déjà partagé un mot de passe et près de 20% ont sacrifié des conseils en matière de sécurité afin d’obtenir rapidement des résultats.
Difficiles à mettre en œuvre, les solutions IAM/PAM ne sont toujours pas une priorité
Les résultats de l’étude révèlent une hétérogénéité dans l’utilisation des solutions d’IAM et de PAM au sein des entreprises : certaines estiment qu’il s’agit d’une priorité, d’autres les négligent, exposant potentiellement leur organisation à des atteintes à la protection des données et à d’autres cyber-risques.
Parmi les résultats les plus significatifs de l’enquête :
1/3 des répondants affirment que la gestion des accès à privilèges (PAM) est la tâche opérationnelle la plus difficile en matière de sécurité.
Seulement 16 % des répondants citent la mise en œuvre de pratiques adéquates d’IAM comme l’une des trois principales préoccupations lorsqu’il s’agit de protéger le Cloud.
Par ailleurs, seulement 14 % des répondants affirment qu’un meilleur contrôle de l’accès des employés aurait un impact significatif sur la cybersécurité de leur entreprise.
Ces résultats démontrent que les entreprises ont du mal à mettre en œuvre des processus, des pratiques et des technologies adéquats en matière d’IAM et de PAM, et qu’elles négligent peut-être complètement l’impact de ces disciplines sur leurs dispositifs de sécurité.
Pour les professionnels, 3 tâches particulièrement complexes remontent en matière de gestion des accès et identités : 1 répondant sur 4 explique ainsi que le plus compliqué est de gérer les mots de passe des utilisateurs ; pour 1 sur 5 la tâche la plus complexe est la gestion du cycle de vie des utilisateurs (c.-à-d. le provisionnement et le dé provisionnement des utilisateurs), alors que ce sont deux des exigences fondamentales en matière de gestion des identités.
De plus, 1 répondant sur 4 affirme que l’Active Directory (AD) est le système le plus difficile à sécuriser pour l’entreprise. Cela est particulièrement préoccupant étant donné la prévalence de l’AD dans la plupart des organisations.
L’IAM dans le Cloud est complètement négligé
Lorsqu’il leur a été demandé de partager leurs trois principales préoccupations en matière de sécurisation du Cloud, près de 3 répondants sur 4 ont cité la perte de données. 44 % ont cité la menace externe, et 44% également ont cité la menace interne ! En revanche, seulement 16 % ont déclaré que la mise en œuvre de pratiques adéquates d’IAM était une préoccupation majeure. Ces résultats sont paradoxaux étant donné que les pratiques d’IAM – telles que le contrôle d’accès des utilisateurs basé sur des politiques et l’authentification multifactorielle – peuvent aider à atténuer à la fois les risques internes et externes liés à la cyber information.
David Earhart, Président et Directeur Général de One Identity déclare : « Rien de tel qu’un sondage anonyme pour découvrir quelques pratiques inavouées… et apprendre à mieux se protéger. Les résultats de notre étude montrent les pratiques en matière de gestion des accès – à privilèges notamment – et des identités sous un autre jour. Si l’on considère l’ensemble de la situation, les entreprises sont inutilement confrontées à des défis majeurs en ce qui concerne les tâches liées à l’IAM et au PAM, étant donné la technologie et les outils disponibles aujourd’hui. Notre espoir est que cette étude allume une étincelle pour que les organisations fassent un effort concerté pour relever ces défis et améliorer leurs stratégies et pratiques d’IAM et de PAM afin d’éviter les pièges cyber ».
Une étude réalisée lors d’un important rendez-vous cybersécurité américain. 200 personnes interrogées.
Une étude d’EfficientIP, en partenariat avec IDC, pointe que le nombre d’attaques – au niveau mondial – a augmenté de 34 % en 2018. En France, elles augmentent également pour un montant estimé à 937 000 euros par attaque.
EfficientIP, pépite française leader dans l’automatisation et la sécurité réseau qui assurent la continuité du service, la protection des utilisateurs et la confidentialité des données, annonce les résultats de son étude annuelle « Global DNS Threat Report 2019 » menée en partenariat avec IDC. Cette étude examine les causes et l’évolution des menaces DNS, ainsi que leurs effets potentiels sur les entreprises du monde entier.
L’année dernière, le nombre d’attaques DNS a augmenté en moyenne de 34 %, passant à 9,45 attaques au niveau mondial ; cette augmentation a coûté près d’un million d’euros par attaque à 20 % des entreprises concernées et provoqué l’indisponibilité d’applications pour 63 % d’entre elles. Ce constat confirme le rôle critique du DNS dans la sécurité globale des réseaux.
Cette 5ème édition de l’étude met l’accent sur le coût des attaques DNS qui a augmenté de moitié (49%), ainsi que sur l’évolution de la liste des attaques les plus courantes et leur grande diversité, allant des attaques volumétriques aux attaques qui génèrent des signaux faibles. Il s’agit notamment d’attaques de phishing (47%), d’attaques de logiciels malveillants (39%) et d’attaques DDoS classiques (30%). L’étude souligne également que les entreprises qui ne protègent pas le DNS contre toutes les attaques potentielles risquent plus que jamais de compromettre leur réputation et de perdre des clients.
FRANCE : Par rapport à l’an passé, la France affiche un coût par attaque en augmentation de 8%. Ce pourcentage est relativement faible si on le compare au Royaume Uni (+ 105%), Au Canada (+ 80%) ou encore aux EU (+72%).
Le DNS est un élément central du réseau qui, sans qu’on le sache, permet aux utilisateurs d’accéder à toutes les applications dont ils ont besoin au quotidien. La majorité du trafic réseau passe d’abord par un processus de résolution DNS, qu’il s’agisse d’une activité réseau légitime ou malveillante. Tout impact sur les performances du DNS a donc d’importantes répercussions sur l’entreprise.
Romain Fouchereau, responsable de la recherche sur la sécurité européenne chez IDC, déclare: «Avec un coût moyen de près d’un million d’Euros par attaque et une fréquence de plus en plus importante, les entreprises ne peuvent tout simplement pas se permettre d’ignorer la sécurité DNS et doivent la mettre en œuvre en tant que partie intégrante du dispositif stratégique pour protéger leurs données et leurs services. «
Les principaux impacts des attaques DNS : réputation ternie et perte de chiffre d’affaires
Les cyberattaques très médiatisées telles que WannaCry et NotPetya ont porté atteinte à la réputation d’entreprises du monde entier et entraîné des pertes financières. L’impact des attaques ciblant le DNS est tout aussi important en raison de son rôle essentiel. Plus des trois quarts (82%) des entreprises sondées ont fait l’objet d’une attaque DNS. À l’échelle mondiale, le coût moyen par attaque DNS a augmenté de 49 % en un an, pour atteindre près d’un million d’Euros. Ce coût est le plus élevé en Europe : 1 061 900 euros.
Cependant, le coût par attaque et son augmentation varient d’un pays à l’autre
C’est le Royaume-Uni qui a enregistré la plus forte augmentation annuelle (105%) et le coût le plus élevé (1 460 000 €). En revanche, la France n’a augmenté que de 8% avec un coût estimé à 940 000 €. En Amérique du Nord, les entreprises ont le coût le plus élevé (1 005 000 €), mais les entreprises canadiennes enregistrent l’augmentation la plus forte (80%). En Asie-Pacifique, Singapour a le coût le plus élevé (825 000 euros par attaque) et l’augmentation la plus forte (30 %).
Les cinq attaques DNS les plus fréquentes en 2019
Les attaques DNS les plus courantes ont changé par rapport à l’année dernière. Le phishing (47%) est désormais préféré aux programmes malveillants (39%), suivis des attaques DDoS (30%), du déclenchement de fausses alertes (26%) et des attaques de domaine par blocage (26%).
Aucun secteur n’est à l’abri des attaques DNS cette année
Le secteur des services publics est celui dont le coût par attaque est le plus élevé, soit 25 % supérieur à 980 000 euros. Le secteur des services financiers a été le plus ciblé de tous les secteurs ; 88 % des entreprises sondées ont déclaré avoir été ciblées l’année dernière. À titre de comparaison, le secteur de la distribution a enregistré la perte de chiffre d’affaires la plus importante (35 %), particulièrement inquiétante dans le contexte commercial actuel. Les sites Web de la moitié des entreprises du secteur de la santé (50 %) ont été compromis par une attaque, ce qui a réduit l’accès des patients aux ressources en ligne. Encore plus inquiétant, les administrations ont enregistré le plus grand nombre d’informations sensibles volées (19 %) et ont mis plus de temps à corriger les vulnérabilités, 74 % ayant mis au moins deux jours.
David Williamson, Directeur Général d’EfficientIP commente : « L’importance du DNS est enfin largement reconnue par les entreprises. Toutefois, ces chiffres sont les pires que nous ayons vus depuis cinq ans. Les entreprises commencent seulement à utiliser le DNS comme un élément clé de leur stratégie de sécurité pour anticiper les menaces, contrôler les règles et automatiser les processus. Heureusement, en mettant l’accent sur les menaces DNS, comme le fait cette étude, les entreprises peuvent renforcer la sécurité d’Internet pour tous».
Confidentialité des données et conformité, un an après le RGPD
Depuis l’entrée en vigueur du RGPD en mai 2018, des entreprises de tous les pays ont réalisé d’importants investissements, notamment dans le renforcement de la sécurité des réseaux.
Un an après, les entreprises investissent dans l’analyse afin de renforcer la sécurité. Les entreprises sondées estiment que la sécurisation des extrémités du réseau (32 %) et l’amélioration de la surveillance du trafic DNS (29 %) sont les meilleurs moyens d’assurer la protection des données, outre l’ajout de pare-feux (22 %).
40 % des ménages dans le monde possèdent au moins un objet connecté, selon une étude de l’éditeur Avast et l’Université de Stanford.
L’éditeur de solution de sécurité informatique, en collaboration avec l’Université de Stanford, a découvert qu’environ 40 % des ménages dans le monde possèdent au moins un appareil connecté. Aux Etats-Unis, ils sont près de 66 %, ce qui entraine une augmentation des risques liés à la cybersécurité.
Le rapport de l’étude a été présenté à l’occasion de la conférence Usenix Security Symposium 2019, dans un document intitulé « All Things Considered: An Analysis of IoT Devices on Home Networks » (Tout bien considéré : une analyse des dispositifs IoT sur les réseaux domestiques). Il s’agit de la plus vaste étude mondiale menée jusqu’à présent sur l’IoT. Avast a analysé 83 millions d’objets connectés au sein de 16 millions de foyers à travers le monde afin de comprendre la répartition et le profil de sécurité de ces appareils, par type et par fabricant. Les résultats ont ensuite été validés par les équipes en charge de la recherche chez Avast et par l’Université de Stanford.
« Les professionnels de la sécurité ont longtemps échangé sur les problèmes associés à l’émergence de l’IoT, confie Zakir Durumeric, professeur adjoint en informatique à l’Université de Stanford. Malheureusement, ces objets sont restés cachés derrière les routeurs domestiques et nous avons eu peu de données à grande échelle sur les types d’appareils réellement déployés dans les foyers. Les informations que nous avons obtenues nous aident à mieux comprendre cette adoption croissante de l’IoT, ainsi que les différentes problématiques auxquelles les utilisateurs sont confrontés en matière de sécurité. »
Répartition des fournisseurs d’IoT dans le monde
Les recherches révèlent une image complexe de l’écosystème IoT et des risques de cybersécurité qui en découlent chez les particuliers dans le monde entier. Les résultats clés sont les suivants :
L’Amérique du Nord présente la plus forte densité d’objets connectés, toutes régions du monde confondues, avec 66 % des foyers qui possèdent au moins un objet connecté, contre une moyenne mondiale de 40 % ;
Il existe plus de 14 000 fabricants d’appareils connectés à travers le monde, mais 94 % d’entre eux sont fabriqués par seulement 100 fournisseurs ;
Les protocoles obsolètes tels que FTP et Telnet sont encore utilisés par des millions d’appareils ; plus de 7 % de l’ensemble des objets connectés exploitent toujours ces protocoles, ce qui les rend particulièrement vulnérables ;
En France
En France, l’IoT représente 21,7 % de l’ensemble des appareils présents dans le foyer, contre 24 % pour les appareils mobiles, et 29,3 % pour les PC.
Les données de cette étude ont été collectées grâce aux utilisateurs de la solution Wi-Fi Inspector d’Avast qui analyse le réseau domestique afin d’identifier les éventuelles vulnérabilités et les problèmes de sécurité susceptibles de représenter une menace. Cette fonctionnalité vérifie l’état du réseau, les appareils connectés à celui-ci et les paramètres du routeur. Wi-Fi Inspector aide les utilisateurs à protéger leur réseau afin d’empêcher les pirates informatiques d’y accéder et d’exploiter leurs données à des fins malveillantes.
L’étude s’est intéressée à la répartition des fournisseurs d’appareils connectés au niveau mondial. Alors qu’ils sont plus de 14 000, seule une poignée domine le marché.
« L’une des conclusions principales de cette recherche est que 94 % des objets connectés ont été fabriqués par moins de 100 fournisseurs différents, et la moitié par seulement 10 d’entre eux, indique Rajarshi Gupta, Head of Artificial Intelligence, chez Avast. Cela met les fabricants dans une position unique pour garantir l’accès des consommateurs à des appareils dotés d’une protection de la vie privée et d’un niveau de sécurité élevés dès la conception. »
En durcissant les objets contre les accès non désirés, les fabricants peuvent contribuer à empêcher les hackers de compromettre ces appareils à des fins d’espionnage ou d’attaques par Déni de Service (DDoS).
D’importants cyber-risques non pris en compte
Dans le cadre de l’étude, Avast a identifié un nombre significatif d’appareils exploitant des protocoles obsolètes, parmi lesquels Telnet et FTP, à savoir 7 % de la totalité des objets connectés.
C’est également le cas pour 15 % des routeurs domestiques, véritables passerelles vers le réseau ; raison pour laquelle il s’agit d’un problème grave, car lorsque les routeurs ont des identifiants faibles, ils peuvent permettre d’accéder à d’autres périphériques et potentiellement à l’ensemble du foyer pour mener une cyberattaque.
En 2019, il y a peu de raisons pour que les objets connectés supportent le protocole Telnet. Cependant, l’étude montre que les appareils de surveillance et les routeurs prennent toujours en charge ce protocole, et qu’ils ont le profil Telnet le plus faible. Cela concorde avec certains piratages survenus par le passé, notamment le rôle de ce protocole dans les attaques sur les botnets Mirai, qui laissent penser que ces types de dispositifs sont à la fois nombreux et faciles à compromettre.
Le rapport complet en anglais de l’étude “All Things Considered: An Analysis of IoT Devices on Home Networks” est disponible ici.
Aujourd’hui, il n’est plus possible de faire vivre votre business sans utiliser l’informatique et l’Internet : emails, communications et échanges, recherches, utilisation d’outils de travail…. Pourtant, saviez-vous que vos données de navigation sont consultables à tout moment, de même que vos mots de passe ou votre historique ?
Que ce soit en travaillant à son bureau ou depuis chez soi, les questions de navigation et de protection des données sont essentielles pour votre entreprise !
Selon une étude Gfk menée sur les comportements personnels avec Internet, les GAFA détiendraient environ 70 000 données sensibles sur des enfants issues d’une même famille. La raison ? La surpublication sur les réseaux sociaux ou encore, des échanges via les réseaux non protégés. Dans le milieu professionnel, ce chiffre atteindrait 975 données pour chaque collaborateur. Des chiffres affolants, mais heureusement, il existe des solutions pour y remédier.
Les risques de la navigation web non protégée
C’est en voyant ces chiffres évoqués en introduction que l’on comprend bien le problème : Internet n’est pas un espace protégé, mais bien un lieu où, malgré le sentiment d’individualité et d’intimité au moment de la navigation, les internautes sont sous le regard permanent d’autres parties : gouvernements, hackers, spécialistes de la sécurité… De nos jours, le phishing ou les malwares sont tout autant à craindre pour votre entreprise que vos propres concurrents : ce n’est pas seulement votre sécurité qui est en jeu, mais aussi celles de vos consommateurs.
En effet, dans de nombreux secteurs, hautement concurrentiels, c’est la guerre de l’information. Que feriez-vous si votre concurrent principal sur le marché obtenait des informations sur vos contacts clients ? Ce serait catastrophique ! Le risque de piratage des données est beaucoup plus élevé dans le cadre d’un serveur ouvert, et plus encore si plusieurs personnes travaillent en réseau sur ces mêmes données.
Dès lors, utiliser un VPN (Virtual Private Network), autrement dit, un réseau de navigation privée, permet de contrecarrer ces défis de l’Internet.
L’intérêt d’un VPN pour votre société
Que vous soyez une petite PME ou une grande société, peu importe : la sécurité de vos données doit rester une priorité. Dans ce cadre, le VPN agit comme une barrière de protection, en permettant aussi la confidentialité des données grâce à un système de cryptage. Ainsi, personne ne peut vous géolocaliser, télécharger vos contenus échangés ou consulter vos historiques de conversation.
Le chiffrement et la confidentialité des données échangées au travail, aussi bien du côté de l’entreprise que des clients
Aux collaborateurs de se connecter au réseau privé, même à distance lors d’un déplacement
De tracer les authentifications, empêchant ainsi toute intrusion extérieure
Attention : un VPN est différent d’un proxy, qui ne permet que le changement d’une adresse IP durant la navigation internet, ce qui ne garantit pas la sécurité des données.
Surfez anonymement et en toute sécurité !
Sur le plan personnel, un VPN peut être très pratique pour changer votre localisation géographique afin d’accéder à des contenus d’Internet, souvent bloqués dans un pays, comme c’est le cas de LinkedIn en Russie ou de Facebook en Chine. Cela dit, dans le cadre d’une entreprise, le VPN est plus qu’un gadget, c’est un véritable outil de travail, surtout si vous travaillez en multisites ou avec des consultants extérieurs.
Avec la fluidification des échanges, la notion de secret professionnel est de plus en plus mise à l’épreuve : autant mettre tous les atouts de votre côté avec un VPN pour lutter contre la cybercriminalité !
Petit conseil : malgré l’utilisation d’un VPN, pensez à changer régulièrement vos mots de passe et assurez-vous d’adopter un comportement sécurisant sur Internet, en limitant les prises de risques.
La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.
La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.
En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.
Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.
Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté deux manquements au règlement général sur la protection des données (RGPD).
400 000 euros !
Tout d’abord, la formation restreinte de la CNIL a considéré que la société SERGIC a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.
Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.
Conservation des données
Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.
La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. (Legifrance)
Télétravail : Les résultats de l’enquête révèlent que seulement 11 % des PME se préoccupent des facteurs sécurité et informatique lorsqu’il s’agit du travail à distance de leurs employés.
Une étude vient de dévoiler les résultats d’une enquête sur le télétravail . Selon cette recherche, à partir de 586 répondants, les nouvelles pratiques de travail flexibles pourraient poser un risque pour la sécurité des petites entreprises. En effet, un employé sur cinq (9 %) estime être le plus productif lorsqu’il travaille dans des lieux publics comme un café ou une bibliothèque, mais seulement 11 % des employeurs sont préoccupés par les répercussions que cela pourrait avoir sur la sécurité de leur entreprise. Les PME doivent donc relever le défi de maintenir leur sécurité, tout en répondant aux besoins et aux attentes de leurs collaborateurs.
Une nouvelle norme
L’étude met en évidence les tendances et les attentes concernant le télétravail, plus d’un tiers (38 %) des personnes interrogées préférant accepter une réduction de salaire plutôt que de se limiter à travailler dans un bureau. Une autre tranche de 35 % choisirait la flexibilité du travail à domicile plutôt qu’une augmentation de salaire, même si on leur proposait une augmentation de 25 %. Alors que les entreprises se disputent les meilleurs talents, il sera vital de pouvoir attirer des personnes aptes à mettre en place des méthodes de travail modernes. Cependant, 38 % des répondants ont indiqué qu’ils ne reçoivent pas le soutien technologique ou l’expertise dont ils ont besoin lorsqu’ils travaillent à domicile ou dans un lieu public, faisant de la sécurité un problème croissant pour les petites entreprises qui ont recours au travail flexible.
« Le lieu de travail fonctionnant selon un horaire 9h – 17h appartient au passé, et les employés qui rejoignent le marché du travail aujourd’hui exigent une plus grande flexibilité en termes d’horaires, d’emplacement et d’avantages sociaux personnalisés,déclare Kevin Chapman, SVP et General Manager, chez Avast Business. Bien qu’il soit prouvé dans certains cas que ces pratiques augmentent la satisfaction et même la productivité des employés, il y a des problèmes de sécurité bien réels qu’il est nécessaire de résoudre. Les entreprises doivent être en mesure de fournir les outils qui leur permettent non seulement de faire preuve de flexibilité, mais aussi de le faire en toute sécurité. Il est également important de ne pas négliger les employés qui préféreraient conserver un environnement de bureau traditionnel. Il convient de trouver un équilibre pour permettre à tous de travailler de la manière qui leur est la plus bénéfique. »
Avantages du télétravail
Non seulement les PME seront en mesure d’attirer le meilleur personnel qui soit, mais le travail mobile semble présenter d’autres bénéfices. Interrogés sur les avantages que présente le télétravail pour les employés des petites entreprises, près d’un tiers d’entre eux (30 %) ont confié que cela les rendait plus heureux, et 31 % ont répondu que cela leur permettait d’apprécier leur travail. Cette étude a également révélé que la satisfaction des employés n’est pas la seule à augmenter : la flexibilité du travail pourrait avoir un impact positif sur sa qualité et sur la productivité ; 34 % des employés affirment être les plus productifs lorsqu’ils travaillent à domicile, contre 45 % au bureau.
Les petites entreprises qui souhaitent adopter de nouvelles pratiques de travail doivent relever de nombreux défis sécuritaires. Si le personnel accède à des données sensibles ou se connecte à des comptes professionnels via un réseau Wi-Fi non sécurisé, l’entreprise risque de subir une attaque. Il existe également un risque de violation de données si un employé enregistre des renseignements sensibles sur un ordinateur de bureau. Machine qui va disparaître. Les propriétaires de petites entreprises doivent prévoir des mesures de sécurité pour les travailleurs mobiles, telles que des solutions de réseau privé virtuel (VPN) à utiliser sur les connexions Wi-Fi ouvertes, et des logiciels anti-malware déployés aux points finaux sur tous les appareils personnels (BYOD – Bring Your Own Device) des employés. De plus, il convient de veiller à ce que les employés soient sensibilisés au rôle très important qu’ils ont à jouer dans la sécurité de l’entreprise.
Le cabinet LAZARÈGUE AVOCATS spécialisé dans la cybercriminalité et le droit de la presse a obtenu une décision importante en matière de liberté d’expression.
Selon Maître Lazarègue : « La rédaction confuse du délit d’usurpation d’identité numérique prévu dans le code pénal pouvait laisser entendre que le seul fait de « faire usage d’une ou plusieurs données de toute nature permettant d’identifier un individu en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération pouvait faire l’objet d’une condamnation d’un an d’emprisonnement et de 15 000 € d’amende ».
De nombreuses entreprises tentaient ainsi d’échapper aux contraintes de la loi sur la liberté de la presse (notamment à son délai de prescription limité à trois mois) en invoquant le délit d’usurpation d’identité numérique pour étouffer toute expression publique critique à leur égard.
Dans un jugement du 18 avril 2019, la 17e chambre du Tribunal de Grande Instance de Paris spécialisée dans les questions de presse et internet a réaffirmé son attachement à la liberté d’expression et la primauté de la loi sur la liberté de la presse en matière d’expression publique.
La 17e chambre a ainsi jugé que la loi pénale est d’interprétation stricte et l’interprétation de l’article 226-4-1 du code pénal au regard des travaux préparatoires de cette loi permet de restreindre le champ de l’infraction à celui d’une usurpation d’identité ou à une utilisation des données de toute nature permettant d’identifier quelqu’un dans le but de se faire passer pour cette personne, telle étant la volonté du législateur. »
En 2018, le cybergang Gaza, dont nous savons désormais qu’il comprend plusieurs groupes plus ou moins sophistiqués, a lancé une opération de cyberespionnage ciblant des personnes et des institutions ayant un intérêt politique en lien avec le Moyen-Orient. La campagne, nommée SneakyPastes, utilisent des adresses e-mail jetables pour propager l’infection par phishing, avant de télécharger le malware par étapes successives depuis divers sites gratuits. Cette méthode peu coûteuse mais efficace a permis au groupe de frapper environ 240 victimes d’envergure dans 39 pays à travers le monde, notamment des responsables politiques, des diplomates, des activistes ou des médias.
Le cybergang Gaza est un collectif arabophone à motivations politiques, rassemblant des groupes malveillants étroitement liés qui ciblent activement le Moyen-Orient et l’Afrique du Nord, en particulier les Territoires palestiniens. Kaspersky Lab a identifié au moins trois de ces groupes ayant des objectifs et des cibles similaires – pour du cyberespionnage lié à des intérêts politiques dans la région – mais présentant des outils, techniques et niveaux de sophistication très différents. Il existe cependant des éléments communs à chacun d’entre eux.
Le cybergang Gaza
Parmi ces groupes, les plus avancés sont Operation Parliament et Desert Falcons, identifiés respectivement depuis 2018 et 2015, aux côtés d’un groupe sous-jacent moins complexe, également connu sous le nom de MoleRats, actif depuis au moins 2012. Au printemps 2018, ce groupe de base a lancé l’opération SneakyPastes.
SneakyPastes a commencé par des attaques de phishing autour de thèmes politiques, propagées à l’aide d’adresses e-mail et de domaines « jetables » (à usage unique). Les liens ou fichiers joints malveillants sur lesquels les destinataires cliquaient ou où qu’ils téléchargeaient installaient ensuite l’infection sur leur machine.
SneakyPastes
Afin d’échapper aux systèmes de détection et de masquer la localisation du serveur de commande et de contrôle (C&C), un malware supplémentaire était téléchargé sur les machines des victimes par étapes successives depuis divers sites gratuits, notamment Pastebin et Github. Les différents implants malveillants utilisaient PowerShell, VBS, JS et dotnet pour assurer leur résilience et leur persistance à l’intérieur des systèmes infectés. La dernière étape de l’intrusion était un cheval de Troie à accès distant (RAT), qui contactait le serveur C&C puis collectait, compressait, cryptait et transférait vers celui-ci un large éventail de documents volés (tableaux de chiffres, par exemple). L’opération SneakyPastes tire son nom de l’utilisation massive, par les auteurs de l’attaque, de sites de collage (paste) pour infiltrer progressivement le RAT dans les systèmes des victimes.
Les chercheurs ont collaboré avec les autorités afin de mettre au jour le cycle complet d’attaque et d’intrusion de l’opération SneakyPastes. Ces efforts ont permis d’aboutir, non seulement à une connaissance détaillée des outils, techniques, cibles, etc., mais aussi au démantèlement effectif d’une grande partie de l’infrastructure.
Territoires palestiniens, en Jordanie, en Israël et au Liban
L’opération SneakyPastes a connu son pic d’activité entre avril et mi-novembre 2018, se concentrant sur une liste restreinte de cibles constituées d’entités diplomatiques et gouvernementales, d’ONG et de médias. D’après les données télémétriques, il semble exister environ 240 victimes d’envergure – individus ou institutions – dans 39 pays à travers le monde, dont la majorité se trouve dans les Territoires palestiniens, en Jordanie, en Israël et au Liban. Il s’agit notamment d’ambassades, d’administrations, de médias et de journalistes, d’activistes, de partis politique ou de particuliers, ainsi que d’établissements dans les secteurs de l’éducation, de la banque et de la santé ou encore des organisations contractantes.
« La découverte de Desert Falcons en 2015 a marqué un tournant dans le paysage des menaces car il s’agissait alors de la première APT connue qui soit entièrement arabophone. Nous savons à présent que ses auteurs, le cybergang Gaza, ciblent activement des intérêts moyen-orientaux depuis 2012. Celui-ci s’appuyait au départ sur les activités d’une équipe assez peu sophistiquée mais acharnée, à l’origine de l’opération SneakyPastes en 2018. SneakyPastes montre que le manque d’infrastructures et d’outils avancés n’est pas un obstacle au succès. Nous nous attendons à voir les dommages causés par les trois groupes du cybergang Gaza s’intensifier et leurs attaques s’étendre à d’autres régions du monde qui sont également liées à la question palestinienne », commente Amin Hasbini, responsable du centre de recherche pour le Moyen-Orient au sein de l’équipe GReAT (Global Research & Analysis Team).
Selon une étude Tenable, des pirates pourraient obtenir le contrôle complet des routeurs domestiques Verizon et l’accès au trafic du réseau sans avoir besoin d’un accès physique à l’appareil.
Une équipe de recherche a découvert de multiples vulnérabilités dans les routeurs Verizon Fios Quantum Gateway. Si elles étaient exploitées, les vulnérabilités donneraient à l’attaquant un contrôle total sur le routeur et une visibilité sur tout ce qui y est connecté. Des millions de ces appareils sont actuellement utilisés dans les foyers américains.
L’essor de la maison intelligente a fait du simple routeur une cible de choix pour les cybercriminels. Ces dernières vulnérabilités découvertes par Tenable Research (CVE-2019-3914, CVE-2019-3915 et CVE-2019-3916) ouvrent la voie à un certain nombre de scénarii d’attaque qui permettent d’accéder aux dispositifs intelligents, comme les systèmes de sécurité domestiques, qui sont connectés au routeur et peuvent être compromis à distance. Un attaquant pourrait altérer les paramètres de sécurité de l’appareil, modifier les règles du pare-feu ou supprimer les contrôles parentaux. Ils pourraient surveiller le trafic réseau pour compromettre davantage les comptes en ligne d’une victime, voler ses coordonnées bancaires et récupérer ses mots de passe.
« Les routeurs sont aujourd’hui la plaque tournante de toute la maison intelligente. Ils nous permettent de rester connectés à Internet, de sécuriser nos maisons et même de déverrouiller les portes à distance, explique Renaud Deraison, cofondateur et CTO chez Tenable. Mais ils servent aussi de point d’entrée virtuel au cœur même de la maison moderne, contrôlant non seulement ce qui sort, mais aussi qui entre.»
Verizon a indiqué que la version 02.02.00.13 du firmware traitera ces vulnérabilités et que les périphériques concernés seront mis à jour à distance.
Buckets open cloud : Une étude indique qu’il suffirait de 52 secondes pour qu’un serveur cloud soit sous les tirs d’une cyberattaque. L’étude porte sur 10 serveurs cloud honeypots, répartis dans le monde. L’enquête révèle un réel besoin en visibilité et de sécurité pour protéger ce que les entreprises mettent sur des plateformes hybrides et tout-cloud.
Il a fallu moins de 40 minutes en moyenne pour que des cybercriminels attaquent des serveurs cloud honeypots déployés sur 10 sites différents répartis dans le monde entier, le site de São Paolo au Brésil faisant l’objet de l’attaque la plus rapide, au bout de 52 secondes seulement. Les serveurs basés à Paris ont subi une première tentative de connexion malveillante au bout de 17 minutes et 20 secondes seulement, ce qui fait de Paris la ville d’Europe touchée le plus rapidement par ces attaques (et la 4ème ville au niveau mondial).
Paris est la deuxième ville d’Europe la plus ciblée en terme de nombre d’attaques – les honeypots hébergés sur des serveurs à Paris ont subi 612 885 attaques en trente jours (juste derrière l’Irlande avec 616 232 attaques). Les serveurs cloud ont été, en moyenne, la cible de 13 tentatives d’attaque par minute et par honeypot.
5 millions d’attaques
Plus de 5 millions de tentatives d’attaques ont été détectées sur tous les honeypots, et ce sur une période de 30 jours.
Ces 10 centres de données parmi les plus populaires au niveau d’Amazon Web Services (AWS) dans le monde, ont été testés pendant 30 jours. On compte parmi eux des emplacements à Paris, à Francfort, à Londres, en Irlande, en Californie, en Ohio, à Mumbai, à São Paulo, Singapour ou encore à Sydney.
Les résultats montrent ainsi comment les cybercriminels recherchent automatiquement les buckets open cloud vulnérables. Si les attaquants réussissent à entrer, les entreprises peuvent alors voir des données vulnérables exposées. Les cybercriminels utilisent également des serveurs cloud compromis comme relais pour accéder à d’autres serveurs ou réseaux. « Le rapport Sophos ‘Exposed: Cyberattacks on Cloud Honeypots’ identifie les menaces auxquelles font face les entreprises qui migrent vers des plateformes hybrides et tout-cloud. La rapidité et l’ampleur des attaques contre les honeypots prouvent le niveau de menace persistant des cybercriminels et montrent qu’ils utilisent des botnets pour cibler les plateformes cloud d’une entreprise. Il peut s’agir parfois d’attaquants humain, mais quoi qu’il en soit, les entreprises ont besoin d’une stratégie de sécurité pour protéger ce qu’elles mettent sur le cloud », déclare Matthew Boddy, spécialiste cybersécurité chez Sophos. « La question de la visibilité et de la sécurité au niveau des plateformes cloud est un défi majeur pour les entreprises. Et avec la migration croissante vers le cloud, cette tendance se confirme ».
Reborn 3, le plus récent navigateur Opera pour Mac, Windows et Linux comprend dorénavant un portefeuille Crypto, un explorateur Web 3 et un VPN gratuit. Reborn 3 est conçu pour donner aux gens un sentiment de contrôle sur leur vie en ligne et un aperçu du Web de l’avenir.
Pari osé pour les Norvégiens de chez Opera. Le navigateur concurrent de Chrome, Firefox et autre Edge, pour ne citer qu’eux, devient le premier navigateur sur ordinateur à inclure un portefeuille Crypto natif et un navigateur Web 3. Des nouveautés pour les 24 ans d’existence du navigateur.
Blockchain
D’abord, cette nouvelle fonctionnalité permet aux gens d’effectuer des transactions et d’interagir avec l’Internet du futur basé sur une blockchain. Egalement connu sous le nom de Web 3. En fournissant également un VPN gratuit, les utilisateurs restent en sécurité.
« Le Web a transformé nos vies. Nous sommes maintenant en ligne en permanence. Mais plus nous passons de temps en ligne, plus nous avons besoin d’outils qui nous aident à contrôler la sécurité et la confidentialité de notre vie numérique « , explique Krystian Kolondra, vice-président exécutif d’Opera,responsable des navigateurs à Data Security Breach. « Avec cette mise à niveau majeure, nous faisons le premier pas vers le Web 3, le nouveau Web, où les utilisateurs ont le contrôle. Nous pensons que chaque navigateur en 2019 devrait être prêt pour le Web 3. »
Naviguez sur le Web 3 sur votre PC, signez des transactions avec votre smartphone
Ensuite, le portefeuille Crypto du navigateur Opera se synchronise avec le portefeuille Crypto du navigateur Opera pour Android. Cela signifie que les clés de portefeuille ne quittent jamais les smartphones.
En pratique, chaque fois qu’ils ont besoin de s’identifier sur un site Web 3 ou de signer une transaction sur la blockchain, vous recevrez une notification sur le téléphone. La fonction Porte-monnaie Crypto devrait également être ajoutée au navigateur iOS d’Opera, Opera Touch, prochainement.
Un service VPN plus rapide pour plus de sécurité et de confidentialité
Pour conclure avec ce Reborn 3, la demande de services VPN ne cesse de croître. Actuellement, un tiers des utilisateurs de VPN à travers le monde utilisent cette solution avec l’intention de rester anonyme sur le Web. Opera est le seul éditeur à fournir un VPN rapide et gratuit. Le VPN illimité du navigateur améliore la confidentialité en ligne des utilisateurs et améliore leur sécurité lorsqu’ils utilisent des réseaux publics auxquels ils ne font pas confiance.
Enfin, le VPN du navigateur établit un tunnel sécurisé et chiffré qui protège les données de tiers. Il permet de cacher leur position géographique aux sites Web. Le service VPN du navigateur est également un service sans journal, ce qui signifie que les serveurs VPN n’enregistrent et ne conservent aucune donnée d’activité, tout cela pour protéger la vie privée des utilisateurs.
Si vous demandez à n’importe quel membre d’un comité de direction ou d’un comité exécutif quelle place il accorde à la cybersécurité, il vous répondra qu’il la prend « très au sérieux ». Et c’est certainement vrai. Personne ne souhaite voir son entreprise citée lorsque l’on parlera de la prochaine faille de cybersécurité qui aura exposé des millions de consommateurs au vol d’identité ou causé de lourdes pertes financières et une chute du cours de l’action. Pourtant, si tous semblent partager ce sentiment, pourquoi la stratégie de cybersécurité des entreprises parait-elle encore si confuse ?
Ce désordre n’est ni le fait des fournisseurs ni des utilisateurs. Il est la conséquence des défis de plus en plus complexes à relever en matière de sécurité et de la tendance humaine naturelle à vouloir s’attaquer à chaque problème qui survient. Cependant, cette approche crée un environnement où les tactiques et les solutions ponctuelles absorbent toute l’énergie et toutes les ressources – éloignant ainsi la possibilité de mener une véritable réflexion stratégique sur le problème.
En réalité, bien qu’ils puissent contribuer à structurer, à gérer ce chaos, les fournisseurs de technologie peuvent également être acteurs du problème. Qu’il s’agisse de petites structures ou de fournisseurs de renom, ils offrent une vaste gamme de produits et de services qui tirent parti de la crainte suscitée par les dernières actualités en matière de cybersécurité. Mais la conséquence est qu’il y a souvent trop d’acteurs impliqués, un avis que partagent les principaux fournisseurs de solutions de cybersécurité.
Dans le cas de grandes entreprises, on peut facilement dénombrer jusqu’à 80 ou 90 fournisseurs différents. Chacun prétendra être impliquée dans un aspect ou un autre de la cybersécurité. Privilégier une gestion distincte de chacun de ces fournisseurs et des vulnérabilités spécifiques que ces derniers adressent, risque de mener les responsables de la sécurité de l’information (RSSI) à suspendre la planification et les stratégies de sécurité à long terme, pour consacrer leur temps et les ressources critiques en personnel à combattre les derniers malwares, piratages et autres crises.
A contrario, les pirates informatiques sont concentrés sur la planification de leur prochaine attaque, s’efforcent de trouver la prochaine vulnérabilité – et non la dernière, et bien entendu, ils ont une stratégie !
Comment les entreprises se préparent-elles pour combattre ces nouvelles attaques ?
Dans l’idéal, elles veulent que la sécurité soit intégrée partout et constamment. Mais comment y parvenir sans collaborer avec toujours plus de fournisseurs, qu’elles devront gérer ? Comment faire face aux éventuels risques de failles de leur protection que les hackers s’empresseront d’exploiter ?
Pour y répondre, une approche par le réseau constitue une étape cruciale. Car le réseau touche tous les actifs de l’entreprise, d’une architecture informatique hybride à l’ensemble des utilisateurs, partenaires et clients. Un réseau inattaquable est le fondement de la sécurité d’entreprise dans un monde hautement connecté.
Opter pour une organisation « network first » a un impact sur toutes les décisions liées à la sécurité. Il est alors possible de l’intégrer aux fondements du réseau, comme le font les fournisseurs de réseaux globaux.
Les fournisseurs de réseaux globaux sont chargés de protéger les services publics qui circulent sur leur réseau, y compris internet lui-même. Ils ont donc développé une grande expertise en matière de protection des réseaux afin de sécuriser leur propre activité.
Certains de ces fournisseurs surveillent constamment le trafic Internet, les botnets, les serveurs de domaine utilisés par les attaquants potentiels et d’autres menaces actuelles et émergentes à l’échelle globale, et mettent en place des stratégies d’attaque et de défense.
Network first
Cette technologie et cette expertise en cybersécurité sont déjà intégrées au réseau.
En s’associant à ce type de fournisseur de services de sécurité managés (MSSP), les entreprises ont accès aux outils et à l’expertise que ces derniers utilisent pour se protéger. Des ressources qui leur permettent d’adapter des services à valeur ajoutée basé sur un réseau intégré pour répondre aux besoins spécifiques des entreprises en matière de cybersécurité.
S’appuyer sur un MSSP ne signifie pas qu’elles ne peuvent pas profiter de l’expertise d’une petite structure, qui travaille sur la meilleure protection possible contre un type d’exploitation très particulier. Cela induit surtout la possibilité de concentrer les ressources de l’entreprise sur son cœur de métier pendant que les experts en cybersécurité du MSSP évalue cette solution spécifique et l’intègre dans un cadre prédéfini.
Les stratégies globales « network first » impliquant un fournisseur de services de sécurité managés vont de pair avec une évolution du rôle du RSSI. Celui-ci passe d’une position de veilleur à une position plus proactive concentrée sur les futures attaques et la mise en place d’une véritable stratégie de défense en matière de cybersécurité. Voilà ce que signifie vraiment prendre la cybersécurité « très au sérieux ».
Par Alain Khau, Spécialiste Cybersécurité EMEA, CenturyLink
Les smartphones sont généralement fournis avec des applications préinstallées, dont certaines sont utiles et d’autres ne sont jamais utilisées. Un utilisateur ne s’attend toutefois pas à ce qu’une application préinstallée soit réellement dommageable pour sa vie privée et sa sécurité.
Check Point Research a récemment découvert une vulnérabilité dans l’une des applications préinstallées de Xiaomi, l’un des plus importants fabricants de téléphones mobiles au monde, qui avec près de 8 % de parts de marché en 2018, se classe troisième sur le marché de la téléphonie mobile. Ironiquement, l’application de sécurité préinstallée « Guard Provider », qui est censée protéger les téléphones contre les logiciels malveillants, expose les utilisateurs à des attaques.
En raison de la nature non sécurisée du trafic réseau entre Guard Provider et les différents SDK utilisés par l’application, un pirate pourrait se connecter au même réseau wifi que la victime et déclencher une attaque de type Man-in-the-Middle. Des failles dans les communications entre les différents SDK permettraient au pirate d’injecter n’importe quel logiciel malveillant de son choix, par exemple pour dérober des mots de passe ou surveiller les activités de l’utilisateur, un logiciel rançonneur ou tout autre type de logiciel malveillant. Pour plus de détails techniques, veuillez consulter Check Point Research.
Comme toutes les applications préinstallées telles que Guard Provider, ce type d’application est présent sur tous les appareils mobiles et ne peut être supprimé. Conformément à sa politique de communication responsable, Check Point a notifié Xiaomi, qui a publié un correctif peu de temps après.
Les avantages et les inconvénients des SDK
Un kit de développement logiciel (SDK) est un ensemble d’outils de programmation permettant aux développeurs de créer des applications pour une plate-forme spécifique. Dans le cas des appareils mobiles, les SDK mobiles permettent aux développeurs de gagner du temps en leur évitant d’avoir « à réinventer la roue » et d’améliorer la stabilité du back-end pour les fonctionnalités qui ne sont pas liées au cœur de leur application.
À mesure que le développement de SDK s’accroit, de nouvelles opportunités d’apporter de meilleures fonctionnalités à leurs utilisateurs se présentent aux développeurs d’applications.
Mais lorsque de plus en plus de codes tiers s’ajoutent à une application, les efforts pour maintenir la stabilité de son environnement de production, protéger les données des utilisateurs et contrôler les performances, deviennent beaucoup plus complexes.
SDK fatigue
On emploie le terme « d’usure par SDK » (de l’anglais « SDK fatigue ») pour décrire cette utilisation accrue de plusieurs SDK au sein de la même application, qui rend l’application plus vulnérable à des problèmes de plantage, de virus, de logiciels malveillants, de failles de confidentialité, de consommation d’énergie, de ralentissement et bien d’autres problèmes.
Les inconvénients cachés de l’utilisation de plusieurs SDK au sein d’une même application résident dans le fait qu’ils partagent tous le contexte et les autorisations de l’application. Ces principaux inconvénients sont :
Un problème dans un SDK compromettant la protection de tous les autres.
Les données de stockage privées d’un SDK ne peuvent pas être isolées et sont donc accessibles à un autre SDK.
Selon un rapport récent, l’utilisation de plusieurs SDK dans une seule application est beaucoup plus courante qu’on ne le pense. Plus de 18 SDK sont implémentés en moyenne dans la même application. Ce faisant, les développeurs exposent les entreprises et les utilisateurs à des dangers potentiels qui peuvent être exploités par les pirates pour perturber le fonctionnement normal des appareils.
2 + 2 n’est pas toujours = à 4
Le personnel de sécurité informatique d’une entreprise n’est pas censé connaître les tenants et les aboutissants des kits de développement logiciel (SDK) utilisés pour créer les applications que les employés installent éventuellement sur leurs appareils. Il est cependant important de savoir que la façon dont les applications sont développées peut comporter des risques pour la sécurité. On pourrait supposer que les éléments utilisés dans une application de sécurité sont sécurisés, mais comme le montre la vulnérabilité dans les applications préinstallées de Xiaomi, c’est loin d’être le cas.
Les développeurs et les entreprises doivent également comprendre qu’un élément sécurisé associé à un autre élément sécurisé dans une application sur un téléphone ne signifie pas nécessairement que l’ensemble restera sécurisé lorsque ces deux éléments seront mis en œuvre conjointement.
La seule défense contre ces menaces cachées et obscures consiste à garantir que le parc d’appareils mobiles de votre entreprise est protégé contre les attaques de type Man-in-the-Middle.
La notion de confiance est aujourd’hui au centre de nombreux débats dans le secteur de la cybersécurité. Elle revêt une dimension stratégique qui amène sans cesse de nouvelles questions et les tensions géopolitiques, fortement perceptibles en 2018, ont eu de nouvelles répercussions dans le cyberespace. Les exemples ne manquent pas à ce sujet.
Outre les soupçons sur l’origine étatique de cyberattaques majeures ou l’ouverture d’écoles de cyber-espionnage dans certains pays, l’année 2018 a été marquée par l’annonce d’embargo contre certains fournisseurs pour risque d’espionnage, ou encore de nouvelles suspicions sur la présence de portes dérobées dans des technologies étrangères. Huawei, notamment, en a fait les frais. Ce contexte crée le doute en termes de fiabilité et d’intégrité des produits logiciels, notamment en ce qui concerne les solutions de cybersécurité. En effet, ces dernières sont particulièrement sensibles de par leur fonction de « gardien du temple ». Avoir le contrôle sur les systèmes de protection, c’est obtenir un accès direct aux ressources protégées. C’est pourquoi, le choix des partenaires cybersécurité n’a jamais été aussi crucial pour les entreprises et les institutions.
Sur l’épineuse question des portes dérobées ou de l’affaiblissement des mécanismes de chiffrement, les positions prises par les États diffèrent. La Russie a déjà légiféré pour obliger les éditeurs à fournir aux autorités un moyen d’accéder à des communications chiffrées. Les Etats membres de l’Alliance des Five Eyes* souhaitent également imposer l’introduction de faiblesses dans les logiciels. L’objectif principal et officiel est de pouvoir déchiffrer certains échanges qui pourraient être liés à des activités terroristes et de partager l’information entre les services de renseignement.
Bien entendu, lutter contre le terrorisme est une cause prioritaire. On peut cependant s’interroger sur le bien-fondé de cette volonté de créer des backdoors qui pourraient être un moyen détourné d’accéder aux informations sensibles des entreprises ou des particuliers. Tous les scénarii sont alors envisageables : espionnage étatique, accès à des secrets industriels, atteinte aux libertés individuelles, etc. Autant d’éléments qui ne sont en aucun cas liés à la guerre contre le terroriste et qui pourraient nuire gravement à la protection du patrimoine informationnel des entreprises et des institutions.
Comme évoqué précédemment, ces backdoors ne font pas l’unanimité. L’Europe notamment se positionne très clairement contre leur mise en place et préconise un chiffrement de bout en bout dans les communications afin d’en garantir une totale sécurité. Déjà en 2017, le Vice-Président de la Commission Européenne martelait cette position en mettant en avant la menace induite par l’utilisation de portes dérobées qui peuvent être exploitées par la cybercriminalité. En effet, l’affaiblissement d’un système de protection ou de chiffrement pourrait tout à fait être découvert puis utilisé par des personnes malintentionnées, leur offrant ainsi une voie royale pour réaliser leurs méfaits.
Ce constat montre encore une fois que la notion de confiance numérique va bien au-delà de considérations purement technologiques et fonctionnelles pour intégrer une dimension éminemment géopolitique. L’origine des technologies numériques, et notamment celles qui manipulent ou protègent des données sensibles, est un pilier de cette confiance numérique. Les entreprises doivent prendre en compte cette donnée stratégique dans leur raisonnement avant de confier les clés de la sécurisation de leur système d’information à un fournisseur. En ce sens, un travail de sensibilisation continue est nécessaire auprès des organisations privées et publiques. Les éditeurs européens doivent, de leur côté, être plus transparents sur leurs positions et adopter une posture commune. On peut également se féliciter des travaux en faveur de la confiance numérique entrepris à l’échelle européenne et par différentes agences gouvernementales à l’image de l’ANSSI. La qualification de produits de sécurité portée par l’agence française impose, par exemple, une revue de code source pour s’assurer du niveau de robustesse des fonctions de protection et de l’absence de portes dérobées. Gageons que cette initiative sera reprise plus largement dans le futur cadre de certification européen pour lequel a été récemment mandaté l’ENISA. (Matthieu Bonenfant – CMO Stormshield)
*Alliance qui réunit les services de renseignement des États-Unis, Australie, Nouvelle-Zélande, Royaume-Uni et Canada.
À l’époque où je travaillais sur notre premier antivirus, rares étaient les foyers équipés d’un ordinateur, technologie au prix alors quelque peu prohibitif. Le nombre d’internautes a explosé ces dernières années. On compte aujourd’hui 4 388 milliards d’internautes actifs[1] et de plus en plus de personnes sur la planète possèdent désormais un ou plusieurs appareils connectés à Internet. Pendant bon nombre d’années, nous étions connus comme l’entreprise qui vendait des logiciels antivirus.
Aujourd’hui, les solutions de protection des terminaux ne constituent que l’un de nos nombreux segments d’activité. Nous nous concentrons depuis plusieurs années déjà sur des domaines tels que la cybersécurité industrielle, l’apprentissage automatique, la sécurité de l’Internet des objets (IoT), la Threat Intelligence ou encore la cybersécurité des systèmes de transport. En 1998, soit un an après la création de notre entreprise, nous recensions chaque jour une cinquantaine de nouveaux échantillons de malware ; en 2019 – 21 ans plus tard –, ce sont 360 000 échantillons uniques de malware qui sont détectés quotidiennement !
Mais pourquoi ces comparaisons nostalgiques entre la fin des années 1990 et aujourd’hui ? Eh bien, nous évoluons à présent dans un cybermonde ultra-connecté guidé par la « révolution industrielle 4.0 ». Dans cet univers, la connectivité est vectrice d’opportunités remarquables, mais aussi source de vulnérabilités majeures pour les entreprises ordinaires, pour le secteur industriel et pour l’infrastructure critique. Un changement s’impose selon moi dans notre manière de protéger l’ensemble des technologies qui nous entourent.
Cybersécurité
Existe-t-il une solution miracle pour faire face aux menaces en apparence insurmontables de cette ère digitale ? Je crains bien que non. S’il y en avait une, je pourrais d’ores et déjà planifier ma retraite. En revanche, j’ai ma petite idée quant au futur de la cybersécurité, à la prochaine grande évolution de notre secteur ! À vrai dire, nous y travaillons déjà : il s’agit du concept de la « cyber-immunité », poussé à son paroxysme. Comment définir cette évolution ? Comme ceci : le coût d’une cyberattaque devrait excéder celui des dommages (pour la victime) ou des gains potentiels (pour le cyberpirate). En revanche, des entreprises comme All4tec, développe des solutions pour faire face au problème de cybersécurité notamment avec de la protection préventive.
Comment y parvenir ?
En revoyant notre manière de penser la sécurité des systèmes et des produits. À l’heure actuelle, notre travail consiste à bâtir une couche de protection autour d’une architecture informatique existante. Ne serait-il pas nettement plus simple de disposer de solutions « secure » à tous les niveaux dès leur conception et ne nécessitant en principe aucune protection supplémentaire ? Cette idée nous paraissant excellente, nous avons commencé à la mettre en œuvre dans le domaine de l’IoT. Plus de 20 milliards d’objets devraient être connectés l’an prochain[2], avec toutefois un niveau de protection quasi inexistant, les appareils connectés étant fréquemment exploités pour mener des attaques DDoS massives ou pour constituer des botnets. Comment résoudre ce problème ? Il nous faut concevoir de A à Z des appareils connectés « intelligents » dotés d’une architecture à micro-noyau ainsi que d’une couche de sécurité isolant l’ensemble de ses modules pour empêcher tout comportement inhabituel des équipements IoT. Il est déjà possible de mettre en œuvre ce concept à l’aide de notre système d’exploitation KasperskyOS, destiné aux technologies embarquées. Nous pouvons bien sûr en faire de même pour les systèmes et les produits plus complexes.
Peut-on espérer passer de la cybersécurité à la cyber-immunité dans un très proche avenir ?
J’aimerais beaucoup pouvoir répondre « oui », mais il faut savoir que la route sera longue et que le monde n’a pas encore amorcé cette transformation. D’ici là, il nous faut simplement continuer à communiquer sur les dangers d’un monde connecté vulnérable, pour que chacun prenne conscience de la nécessité de protéger toutes les technologies connectées qui nous entourent. Nous pouvons le faire ! Nous pouvons donner vie à la cyber-immunité ! (Tribune d’Eugene Kaspersky)
[1] We Are Social and Hootsuite’s latest collection of Global Digital 2019 reports.
[2] Gartner : « Leading the IoT »
Prises de décisions importantes et nouveaux axes de travail d’une entreprise reposent parfois sur un choix de stratégie approximatif. Afin que votre entreprise puisse avancer sereinement dans une évolution dynamique, il est important de mettre en place une bonne gouvernance d’entreprise et de sécuriser l’information stratégique. Il faut également proposer une véritable visibilité sur les réunions, sur les acteurs qui doivent agir et sur le partage des informations.
Une information stratégique mieux structurée
Qu’importe la multiplication des réunions et des rencontres professionnelles si l’information stratégique est déstructurée ou est mal protégée. Sécurisez l’information stratégique avec Skope pour vous assurer une meilleure exploitation des idées échangées ou pour visualiser les décisions qui ont été prises, mais aussi l’état d’avancement de leur mise en place. Cette application est particulièrement appréciée pour fluidifier le processus de décision de votre entreprise.
En échangeant en amont des réunions, l’ordre du jour est affiné et mieux cerné par tous les participants. Il est possible d’annoter les informations ou de notifier des points que vous souhaitez aborder. Durant la réunion, les participants peuvent prendre des notes à relire à la suite de ces échanges. Enfin, c’est aussi particulièrement utile à la suite de la réunion. Il est possible de revenir sur les échanges, mais surtout de visualiser la responsabilité de chacun pour réaliser des tâches.
L’application est idéale pour attribuer les points d’action destinés à faire avancer un projet. La gouvernance de l’entreprise est mieux prise en charge grâce à la mise en place de réunions stratégiques efficaces. Toutes les entreprises de petite ou très grande taille devraient travailler sur la manière de rendre les réunions plus efficaces. Cette application est aussi très sécurisée, afin d’éviter la fuite d’informations importantes. La plupart des données sensibles qui sont perdues par une entreprise sont liées à une faille humaine et non au piratage d’une application Web.
L’Intelligence Economique
Encore peu répandue en France il y a quelques années, l’Intelligence Economique a réussi à s’imposer comme une nécessité de protéger les informations sensibles et de mieux maîtriser l’information stratégique d’une entreprise. En installant un vrai processus de protection de l’IE dans votre entreprise, vous bénéficiez de coups d’avance pour devancer la concurrence de votre secteur. Vous êtes ainsi plus efficient dans la signature de nouveaux contrats ou l’aboutissement de partenariats fructueux. L’intelligence économique est particulièrement utile pour les décideurs de votre entreprise et c’est un atout pour la mise en sécurité de votre patrimoine et de vos bonnes idées.
Définir un degré de confidentialité d’une information
Pour une information stratégique bien protégée, il est important de pouvoir qualifier cette information et lui donner une valeur particulière selon son importance dans la stratégie de l’entreprise. Réfléchissez sur la nécessité de protéger certaines informations plus que d’autres. En France, l’idée fait son chemin vers la nécessité de mettre en valeur et de tenir secrète une information importante qui devient alors stratégique.
Conquérir un nouveau marché ou se lancer dans l’association entre deux marques peuvent être des décisions primordiales dans la vie d’une entreprise. Si la concurrence connaît vos actions avant que vous ne les réalisiez, vous risquez de vous voir voler vos bonnes idées ou votre partenariat. Pour cela, il est important de mettre en place des outils numériques dédiés à la sécurité de vos informations.
Le Patch Tuesday du mois de mars corrige 65 vulnérabilités dont 18 identifiées comme critiques. 13 de ces vulnérabilités critiques concernent les moteurs de scripts et des composants de navigateur et impactent les navigateurs Microsoft ainsi que la suite Office. Le Patch Tuesday de février 2019 comportait 74 vulnérabilités dont 20 critiques
Trois vulnérabilités entraînant une exécution de code à distance (RCE) sont corrigées sur le client DHCP de Windows de même qu’une vulnérabilité RCE sur le serveur TFTP exécutant des services de déploiement Windows et une élévation de privilèges dans Microsoft Dynamics 365. Le volume de patches publiés par Adobe ce mois-ci est plutôt léger et corrige seulement deux vulnérabilités et exposition courantes (CVE) dans Photoshop CC et Digital Editions.
Correctifs pour les postes de travail
Les patches pour les navigateurs, le moteur de script, ActiveX et MSXML sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont concernés les serveurs multi-utilisateurs qui servent de postes de travail distants à des utilisateurs.
Client DHCP Windows
Le client DHCP Windows étant utilisé sur les postes de travail et les serveurs, le déploiement de patches pour résoudre les trois vulnérabilités RCE doit être une priorité pour tous les systèmes Windows.
Serveur TFTP exécutant des services de déploiement Windows (WDS)
Si vous utilisez les services de déploiement Windows, ce patch doit être déployé en priorité dans la mesure où l’exploitation de la vulnérabilité affectant ces services peut entraîner l’exécution de code à distance sur le serveur concerné.
Microsoft Dynamics 365
Les déploiements sur site de Microsoft Dynamics 365 sont vulnérables aux élévations de privilèges si bien que le déploiement de correctifs pour ce système doit également être traité en priorité.
Avis de sécurité Microsoft
Microsoft a également publié trois avis de sécurité qui traitent différents sujets :
L’avis ADV190009 annonce la prise en charge de la signature du code SHA-2 pour Windows 7 SP1 et Windows Server 2008 R2. Cette mise à jour sera nécessaire pour tous les nouveaux correctifs publiés après juillet 2019. Les versions plus anciennes du serveur WSUS (Windows Server Update Services) doivent également être mises à jour afin de pouvoir distribuer les nouveaux patchs signés par l’algorithme de hachage SHA-2.
L’avis ADV190010 fournit des recommandations sur le partage entre plusieurs utilisateurs d’un même compte utilisateur. Microsoft déconseille ce comportement qu’il considère comme un risque de sécurité majeur.
L’avis ADV190005 fournit quant à lui des atténuations pour un possible déni de service dans http.sys lors de la réception de requêtes HTTP/2. Le patch permet de définir une limite pour le nombre de paramètres SETTINGS à envoyer lors d’une même requête.
Adobe
Adobe a publié des correctifs non sécuritaires pour Flash ainsi que des patchs de sécurité critiques pour Photoshop CC et Digital Editions, chacun de ces deux produits étant affecté par une vulnérabilité. (Jimmy Graham dans The Laws of Vulnerabilities)
Des experts en cybersécurité enquêtant sur les infrastructures cloud expérimentales utilisées pour les prothèses bioniques avancées ont identifié plusieurs failles de sécurité jusque-là inconnues, qui pourraient permettre à des tiers l’accès, la manipulation, le vol voire la suppression de données privées et d’autres éléments appartenant aux utilisateurs de ces appareils. Ces constatations ont été communiquées au fabricant Motorica, une start-up russe qui développe des prothèses bioniques de membres supérieurs destinées à des personnes en situation de handicap, afin que l’entreprise puisse remédier à ces problèmes de sécurité.
L’Internet des objets ne se limite plus aux montres ou aux maisons connectées mais englobe également des écosystèmes complexes de plus en plus automatisés, notamment dans le domaine de la santé. A l’avenir, ces technologies pourraient ne plus servir uniquement à des équipements d’assistance, pour se généraliser et être utilisés par des consommateurs désireux d’étendre les pouvoirs ordinaires du corps humain grâce à un processus de cybernétisation.
Il importe donc que tout risque en matière de cybersécurité, susceptible d’être exploité par des acteurs malveillants, soit réduit au maximum par l’investigation et la correction des problèmes de sécurité touchant les produits actuels ainsi que les infrastructures sur lesquelles ils s’appuient.
Les chercheurs de Kaspersky Lab ICS CERT, en partenariat avec Motorica, ont entrepris d’évaluer la cybersécurité d’une solution logicielle de test pour une prothèse de main numérique conçue par la start-up russe. La solution elle-même est un système cloud distant, une interface permettant de suivre le statut de tous les équipements biomécaniques référencés. Ce système met également à la disposition des autres développeurs une palette d’outils pour analyser l’état technique d’équipements tels que des fauteuils roulants connectés ou encore des mains ou des pieds artificiels.
Les recherches initiales ont identifié plusieurs problèmes de sécurité, portant notamment sur une connexion http non sécurisée, des opérations incorrectes sur les comptes ou encore une validation insuffisante des informations saisies. En cours d’utilisation, la prothèse de main envoie des données au système cloud. A travers les failles détectées, un pirate pourrait :
accéder à des informations conservées dans le cloud à propos de tous les comptes connectés (notamment des identifiants et mots de passe en clair pour toutes les prothèses et leurs administrateurs) ;
manipuler, ajouter ou effacer des informations de ce type ;
ajouter ou supprimer leurs propres utilisateurs, normaux ou privilégiés (avec droits administrateurs).
« Motorica est une entreprise de haute technicité, fiable et socialement responsable, qui se donne pour mission de venir en aide aux personnes atteintes d’un handicap physique. Alors que l’entreprise se prépare à une phase de croissance, nous souhaitions l’aider à veiller à la mise en place des mesures de sécurité appropriées. Les résultats de notre analyse rappellent de manière opportune que la sécurité doit être intégrée dans les nouvelles technologies dès le départ. Nous espérons que les autres développeurs d’équipements connectés avancés accepterons de collaborer avec le secteur de la cybersécurité afin d’analyser et de corriger les failles de leurs appareils et systèmes, en traitant la sécurité des équipements comme faisant partie intégrante du développement», commente Vladimir Dashchenko, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.
« Les nouvelles technologies nous ouvrent un nouveau monde d’équipements d’assistance bioniques. Il devient aujourd’hui crucial pour les développeurs de ces technologies de collaborer avec les fournisseurs de solutions de cybersécurité. Cela nous permettra de rendre impossibles des attaques, même théoriques, contre le corps humain », conclut Ilya Chekh, CEO de Motorica.
En février 2019, les chercheurs de l’Unité 42 au sein de Palo Alto Networks ont identifié des mails d’hameçonnage ciblé (spear phishing) envoyés en novembre 2018 qui contenaient un nouveau malware partageant la même infrastructure avec des playbooks(c’est-à-dire des feuilles de route listant les actions et les objectifs utilisés par un malware ou une famille de malware) associés aux campagnes nord-coréennes.
Ces mails étaient écrits comme s’ils émanaient d’un expert en sécurité nucléaire travaillant actuellement comme consultant pour des think tanks liés à la sécurité intérieure aux États-Unis. Ils ont été envoyés depuis une adresse publique avec le nom de l’expert et un sujet faisant référence au nucléaire nord-coréen. Ces messages avaient en pièce jointe un document Excel avec une macro infectée, qui ,quand elle était exécutée, menait à une nouvelle famille de malwares basée sur Microsoft Visual Basic (VB) que nous avons surnommé « BabyShark »
BabyShark est un malware récent. La version la plus ancienne que nous avons pu trouver dans des dépôts open source et nos propres jeux de données internes remontent à novembre 2018. Le malware se lance en exécutant à distance une requête HTML, qui peut être alors livrée au travers de différents types de fichiers comme des fichiers contenant des exécutables ou des documents malveillants. Babyshark extrait alors les informations du système vers un serveur C&C (Command and Control), se maintient au cœur du système et attend de nouvelles instructions de la part de l’opérateur.
BabyShark est utilisé pour une campagne limitée de spear phishing toujours en cours depuis novembre 2018. L’acteur derrière cette menace cherche clairement à glaner des informations liées à la sécurité nationale (américaine) en Asie du Nord-Est. Le soin apporté à la conception des mails d’hameçonnage et du camouflage laisse à penser que cet acteur connaît bien les cibles, et surveille de près les événements de cette communauté pour y récupérer les dernières informations. Sans pouvoir en être certains, nous pensons que l’acteur derrière BabyShark doit être en relation avec l’acteur (ou être le même groupe) qui a utilisé la famille de malwares KimJongRAT, et qui du moins partage des ressources avec l’acteur responsable de la campagne STOLEN PENCIL. Nous avons également remarqué des tests qui semblent indiquer que les attaquants travaillent sur de nouvelles versions d’exécutables pour envoyer BabyShark. Dans les prochaines campagnes, l’attaquant pourrait utiliser différentes méthodes pour déployer BabyShark.
Les organisations ne protègent toujours pas correctement les accès à leurs données critiques, selon une étude CyberArk, conduite auprès de 1 000 employés britanniques. Il ressort que la moitié de ces derniers auraient accès à des informations sensibles, auxquelles seules des personnes habilitées devraient pouvoir accéder. Bien que la sensibilisation à la cybersécurité s’améliore dans les milieux professionnels, de mauvaises pratiques contribuent encore à la croissance des cybermenaces.
Près de la moitié (48 %) des employés ont, ou ont eu, accès à des documents financiers sensibles ;
46 % ont pu accéder à des informations RH confidentielles ;
Près d’un tiers (29 %) ont, ou ont eu, un accès direct aux comptes en banque de leur entreprise ;
37 % ont pu prendre connaissance des plans de recherche et développement (R&D) ou plans pour des nouveaux produits et services.
Ces chiffres démontrent que beaucoup plus d’employés que nécessaire accèdent à des informations sensibles, et que les organisations en général doivent absolument limiter la gestion des accès aux données sensibles, afin de mieux se protéger, ainsi que leurs clients.
Se méfier des « employés fantômes »
Comme démontré lors de récentes violations de données, le vol d’identifiants de connexion reste le moyen le plus courant et le plus efficace pour réussir une cyberattaque. Une approche laxiste de la protection des accès administrateurs – ou accès à privilèges – peut augmenter directement le risque d’une compromission de données. C’est pourquoi la gestion des privilèges est essentielle ; or, de nombreuses entreprises ne parviennent pas à verrouiller ces comptes clés, suite aux changements de personnel : un employé de bureau sur cinq (21 %) admet avoir quitté un emploi et gardé des identifiants donnant toujours accès à au moins un système confidentiel de l’entreprise (serveurs internes, résultats financiers ou bases de données RH). Ces employés « fantômes », soit d’anciens collaborateurs en possession d’informations de connexion professionnelles, peuvent alors accéder, sans autorisation, à des données sensibles de l’entreprise.
Pour Rich Turner, VP EMEA, chez CyberArk, « ces « employés fantômes » représentent une préoccupation majeure pour toute organisation. Non seulement, ils augmentent le risque de violation des données clés de l’entreprise en cas de cyberattaque ; mais ils offrent aussi la possibilité aux employés mécontents, ou aux entreprises concurrentes, de manipuler les données existantes, causant de graves dommages administratifs et financiers.Ces résultats sont symptomatiques des entreprises qui continuent de consacrer d’importantes sommes d’argent à la défense du périmètre, alors que l’approche la plus intelligente consiste à envisager l’inévitable – que les attaquants parviendront à s’introduire dans les systèmes – et à les empêcher de mettre la main sur les actifs et données sensibles. »
Cyber-sensibilité vs cyber-indiscipline
Il ressort cependant que l’implication des employés s’améliore, montrant l’effet positif de la cyber-éducation, et l’espoir d’un avenir plus sûr pour les entreprises :
Près de quatre employés de bureau sur cinq (79 %) informeraient immédiatement le service informatique s’ils ouvraient une pièce jointe malveillante ;
Les trois quarts (75 %) exprimeraient leurs préoccupations s’ils ne comprenaient pas les communications de l’IT concernant la sécurité ;
Près des trois quarts (74 %) sont convaincus que leur équipe de sécurité protège efficacement l’ensemble de la société contre les menaces.
Une confiance qui contraste avec le comportement de nombreux employés, qui affichent toujours de mauvaises cyber-pratiques, avec un grand nombre de personnes qui continuent de dissimuler leur cyber-indiscipline à leurs collègues chargés de la sécurité – augmentant ainsi considérablement la vulnérabilité de leur entreprise :
Plus de la moitié (54 %) n’informent personne lorsqu’ils laissent leurs collègues utiliser leurs informations de connexion ;
45 % des répondants déclarent télécharger des applications non-autorisées sur leur poste de travail à l’insu de leur service informatique. (CyberArk)
Le rapport Global Risks Report 2019 du Forum économique mondial classe le vol de données et les cyberattaques parmi les cinq grands risques mondiaux qui risquent le plus de se concrétiser. La grande question qui se pose maintenant est de savoir comment les organisations vont réagir.
Les personnes sensibles devraient s’abstenir de lire le rapport annuel sur les risques mondiaux du Forum économique mondial. La 14e édition de ce rapport inclut une litanie de menaces existentielles, telles que les phénomènes météorologiques extrêmes et les catastrophes naturelles, qui pourraient considérablement perturber l’économie mondiale.
Cette année, les cinq principaux risques en termes de probabilité sont les phénomènes météorologiques extrêmes, l’échec de l’atténuation des changements climatiques et de l’adaptation à ceux-ci, les catastrophes naturelles, la fraude ou le vol de données et les cyberattaques.
En effet, la fraude et le vol de données et les cyberattaques sont deux des cinq principaux risques mondiaux les plus probables. En fait, c’est la troisième année consécutive que la fraude et le vol de données se classent parmi les cinq plus grandes menaces, et la deuxième année que la cyberattaque fait partie de la liste.
Le Global Risks Report 2019, créé en partenariat avec Marsh & McLennan Companies et The Zurich Group, est basé sur les résultats de l’enquête Global Risks Perceptions Survey, à laquelle participent 1 000 membres de la communauté du Forum économique mondial – composée de chefs de gouvernements, de dirigeants du secteur privé et d’universitaires – ainsi que des contributions d’experts du réseau mondial de l’organisation.
La cybersécurité s’est également hissée parmi les 10 risques mondiaux les plus importants en termes d’impact. Les cyberattaques et les défaillances au niveau des infrastructures et des réseaux critiques ont été classées au septième et au huitième rang pour les dommages potentiels qu’elles pourraient causer. Cela indique que les répondants ont conscience non seulement de la fréquence des cyberattaques, mais aussi du risque que ces incidents représentent pour notre économie numérique, et jusqu’à notre mode de vie. Ce classement reflète l’impact mondial qu’ont eu des incidents tels que WannaCry, Equifax et des centaines d’autres cyberattaques réussies sur notre conscience collective.
En fait, le cyber espace lui-même fait partie de ce que le rapport appelle les « biens communs mondiaux » qui ont besoin d’une protection particulière, au même titre que le climat, l’espace extra-atmosphérique et les régions polaires.
Pour tous ceux qui envisagent encore le futur avec sérénité après tout cela, le rapport comporte une section amusante intitulée « Chocs futurs », qui examine les effets à long terme de phénomènes comme l’informatique quantique, les outils de manipulation météorologique ou une rupture dans l »approvisionnement alimentaire. La section sur l’informatique quantique prédit que « quand les énormes ressources consacrées à la recherche quantique conduiront à l’utilisation de l’informatique quantique à grande échelle, beaucoup des outils qui forment la base de la cryptographie numérique actuelle seront rendus obsolètes. »
Cela ne surprendra pas les professionnels de la cybersécurité, mais il est toujours intéressant de prendre du recul et réfléchir un instant sur l’importance de notre travail quotidien dans ce contexte. Lorsque nous sommes pris dans le tourbillon du quotidien au travail, il est facile de perdre de vue l’importance réelle de la cybersécurité dans l’économie mondiale. Ce genre de mise en perspective est également pour expliquer en quoi le travail effectué sur la cybersécurité est important aux membres d’une organisation qui ne travaillent pas eux-mêmes dessus.
La grande question est de savoir comment les organisations vont réagir : l’acceptation des problèmes auxquels nous sommes confrontés est la première étape, mais la prochaine étape doit être l’action.
Nous devons tenir les dirigeants et les cadres supérieurs du monde entier garants d’une gestion responsable du risque cybernétique. En tant que société, nous devons l’exiger. En tant que clients, nous le méritons. La question ne doit plus être qui nous pouvons blâmer – des États-nations aux hackers – mais comment nous pouvons prévenir ces risques. Nous devons collectivement faire face à la réalité d’une économie numérique.
Tout est lié, ce qui signifie que chaque aspect du commerce et de l’industrie d’aujourd’hui est une accroche qui peut être utilisée pour une attaque potentielle. Nous devons élaborer des stratégies de sécurité pour faire face aux nouveaux risques créés par la transformation digitale. Ne pas le faire nous ferait prendre le risque d’événements aux conséquences irréparables. (Par Renaud Deraison, cofounder and CTO at Tenable).
Selon l’étude SOS Cybercrime d’Affinion*, les mythes sur la cybercriminalité sont présents dans le monde entier. Un tiers de la population (35 %) croit, à tort, que le Wi-Fi public doit disposer d’une sécurité efficace, conformément à la loi (ce chiffre atteint 58 % en Turquie). De même, moins de la moitié de la population (46 %) sait que https:// signifie qu’un site internet est sécurisé (seulement 35 % en Suède et en Norvège) et un tiers de la population (33 %) n’est pas consciente que l’utilisation d’un même mot de passe pour plusieurs comptes augmente le risque de fraude. Ces informations sèment la confusion parmi les consommateurs et complexifient encore plus la lutte contre la cybercriminalité.
Le rapport, basé sur des recherches menées auprès de plus de 13 000 répondants dans 12 pays, révèle des lacunes majeures en matière de sensibilisation, ainsi que des inquiétudes à l’égard de la cybercriminalité. Le Brésil arrive en tête du classement mondial des pays les plus préoccupés par la cybercriminalité, suivi par les États-Unis (75 %) et l’Espagne (73 %).
Curieusement, les consommateurs sont davantage préoccupés par la cybercriminalité que par toute autre forme de criminalité – 61 % des consommateurs sont très ou légèrement préoccupés par la cybercriminalité, tandis que 52 % des personnes interrogées sont préoccupées par les crimes contre la propriété (par exemple les cambriolages), 54 % par la violence physique comme les agressions, et 45 % par la criminalité liée aux véhicules. Selon l’étude, la sensibilisation aux dangers de la cybercriminalité semble augmenter avec l’âge ; les personnes interrogées âgées de 18 à 24 ans étaient plus préoccupées par la violence physique que par la cybercriminalité, tandis qu’à partir de 35 ans, la cybercriminalité est considérée comme le risque le plus important.
Un tiers des personnes a déjà été victime, directement ou indirectement, d’usurpation d’identité. Les faux appels, liens envoyés par e-mail ou SMS, sont les formes les plus courantes de cybercriminalité (65 % de personnes concernées), suivis du piratage de comptes sur les réseaux sociaux ou d’adresses e-mail (56 % de personnes concernées), et des transactions financières frauduleuses (55 % de personnes concernées).
Les femmes sont plus particulièrement préoccupées que les hommes, toutes formes de criminalité confondues. La plus grande différence entre les genres concerne les fraudes relatives aux achats en ligne (67 % de femmes contre 59 % d’hommes), l’usurpation d’identité (68 % contre 60 %) et les transactions frauduleuses (69 % contre 61 %).
D’après l’étude, 70 % des personnes interrogées estiment que leur préoccupation s’accentue, car elles s’aperçoivent que le nombre d’incidents est en augmentation ; 46 % ont indiqué que c’était dû à une couverture médiatique plus importante du problème et 30 % parce qu’elles connaissent quelqu’un qui a été victime de cybercriminalité. Un tiers d’entre elles a indiqué se sentir plus vulnérable, car elles disposent de plusieurs comptes en ligne, et ressentir, par conséquent, une inquiétude accrue.
En ce qui concerne la lutte contre la cybercriminalité, un nombre impressionnant de personnes interrogées ne se sentent pas capables de se prémunir de la cybercriminalité (55%) et seulement 25 % estiment pouvoir résoudre un cybercrime. (étude)
A noter que le blog ZATAZ propose un service de veille concernant les données des internautes. ZATAZ surveille plus de 5 000 sites pirates et blackmarket, ce qui permet d’alerter sur des données volées/piratées dans la seconde de la découverte.
Du point de vue de la cybersécurité, l’année 2018 s’est révélée assurément riche en événements ! En mai, le RGPD est finalement entré en vigueur en Europe. Cette avancée a démontré que les instances dirigeantes prennent enfin au sérieux la protection des données personnelles de leurs citoyens. Les entreprises qui travaillent en Europe se trouvent soudainement confrontées à de nouvelles conséquences si elles ne parviennent pas à protéger leurs données sensibles, nous propulsant tous à l’étape suivante de la cybersécurité mondiale.
Par ailleurs, nous avons vu la cybersécurité occuper une place centrale dans le paysage géopolitique tandis que les conversations sur le piratage financé par l’état et les attaques ciblant des infrastructures critiques attisaient les tensions à travers le monde. La société McAfee nous en a récemment donné un exemple en révélant qu’une nouvelle opération de piratage organisé, « Sharpshooter », ciblait spécifiquement les fournisseurs d’infrastructures critiques dans les secteurs de l’énergie, de la finance et de la défense.
Dans les entreprises, une certaine crainte envers la cybersécurité se ressent parmi les décideurs, beaucoup d’entre eux citent la sécurité et la protection de la vie privée comme des facteurs empêchant la progression de leur transformation numérique. De récentes études montrent que 40 % des personnes interrogées ont mentionné les problèmes de sécurité comme un thème récurrent, 37 % évoquant également la protection de la vie privée.
Alors qu’une perspective morose semble ainsi se dessiner tandis que 2018 touche à sa fin, nous avons le temps de réfléchir à l’année écoulée et de commencer à préparer notre défense pour 2019, et au-delà. Pour vous aider à élaborer ces plans, voici quelques-unes des principales tendances en matière de cybersécurité que nous anticipons pour 2019 :
Les nouvelles réglementations influencent les politiques de protection des données
L’entrée en vigueur de nouvelles réglementations sur la protection des données, telles que le RGPD européen, influencera fortement l’année 2019. Même si le RGPD est une bonne nouvelle car il améliore la sécurité des données, il représente un défi majeur pour les entreprises. Par ailleurs, même s’il est déjà en place depuis quelques mois, les importantes pénalités prévues en cas de non-conformité ne verront probablement le jour qu’à partir de 2019. Les entreprises de toute taille doivent repenser entièrement leurs politiques de protection des données pour faire face à plusieurs séries de réglementations internationales sur la confidentialité des données, en constante évolution.
L’IA joue un rôle croissant dans la cybersécurité
L’intelligence artificielle (IA) a émergé comme l’une des technologies qui a le plus changé le monde ces dernières années. En réalité, la valeur générée par les activités dérivées de l’IA atteindra presque 3,9 trillions de dollars d’ici 2022, selon Gartner. Cependant, cette technologie pourrait également être utilisée par des pirates informatiques pour lancer des attaques de plus en plus sophistiquées. La bonne nouvelle est que l’IA peut aussi être mise à profit par les entreprises pour identifier et contrer de telles menaces. Par exemple, des plateformes de prédiction des cyberattaques, basées sur la technologie de l’apprentissage automatique (Machine Learning), peuvent aider les chercheurs en sécurité à trier les menaces et à traiter les plus urgentes aussi rapidement que possible.
Les compétences en cybersécurité sont de plus en plus demandées
Les compétences requises pour traiter les cybermenaces, qui changent constamment, doivent évoluer et les entreprises doivent relever le défi afin de garder l’avantage. Cependant, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité sur le marché du travail. Selon un rapport récent de l’organisation International Information System Security Certification Consortium, ou (ISC)2, il existe 2,9 millions de postes vacants dans le domaine de la cybersécurité, ce qui représente une augmentation considérable par rapport au 1,8 million enregistré l’année précédant le rapport. Avec un nombre croissant d’entreprises s’engageant dans la transformation numérique, une attention accrue sera apportée à cultiver les compétences requises en cybersécurité au sein de la main d’œuvre existante et à recruter plus de spécialistes.
La prévention cède le pas à la résilience
En 2019, nous continuerons de nous éloigner de la prévention pour nous concentrer sur la résilience pour tout ce qui concerne les failles de sécurité. Il n’est plus possible d’éviter complètement ces menaces. Il faut donc se concentrer désormais sur l’identification de ces failles afin d’y remédier le plus rapidement possible. Les ressources jusqu’alors tournées vers la prévention des cyberattaques continueront d’être réattribuées à la protection, en 2019 et après.
La technologie IoT au cœur de la sécurité nouvelle génération
La technologie de l’Internet des Objets (IoT) devenant de plus en plus répandue, l’enjeu de la protection des données clients sensibles se complexifie considérablement. Les fabricants et les fournisseurs de services doivent s’assurer que leurs appareils, plateformes et logiciels garantissent un certain niveau de sécurité à leurs utilisateurs. La technologie IoT est largement utilisée non seulement pour le matériel de consommation, tel que les appareils de domotique, mais également dans les secteurs de la fabrication et du commerce de détail, ce qui fait de la sécurité une priorité. L’essor de l’IoT contribue à favoriser le développement de cadres de sécurité nouvelle génération. Ceux-ci peuvent être adaptés pour prendre en charge les technologies émergentes et les nouvelles menaces de sécurité au fur et à mesure qu’elles se développeront. Mieux encore, les données générées par les appareils IoT pourront également aider à détecter les failles de sécurité.
Les entreprises de toutes tailles sont la cible de cybercriminels
Alors que les grandes entreprises sont clairement une cible privilégiée des cyberattaques majeures, quelque 58 % des victimes de violation de données sont en réalité des petites entreprises, selon un rapport Verizon. Avec un budget sécurité moindre, les petites entreprises peuvent être considérées par les pirates informatiques comme des proies faciles, leur offrant un profit élevé pour des efforts minimums. Les cybermenaces les plus fréquentes sont les rançongiciels, les attaques par déni de service (DDoS) et les logiciels malveillants. Selon le rapport, des données à caractère personnel ont été compromises dans 36 % des cas de violation de données l’année dernière, ce qui souligne l’importance de la protection contre de telles attaques. Le rapport indique que le secteur de la santé a été le plus touché par les cyberattaques tandis que les atteintes dans le secteur de la finance ont chuté, suite à des investissements massifs dans la cybersécurité. (Srinivasan C.R., Chief Digital Officer, Tata Communications)
Nul ne veut être amené à devoir gérer un incident de sécurité ou une compromission, encore moins en tout début d’année ! La priorité absolue devrait être de pouvoir bloquer une cybermenace avant qu’elle compromette l’entreprise. Mais dans la réalité, il n’est quasiment jamais possible de prévoir une cyberattaque. De la recherche de menaces aux investigations pour détecter des indicateurs de compromis (IoC) manifestes, la procédure à suivre pour identifier un incident ou une compromission est bien connue. Si les processus varient d’une entreprise à une autre, les malwares, les comptes compromis, les mouvements latéraux, etc. doivent tous faire l’objet d’un plan de nettoyage formel.
Si un cas de compromission est suffisamment grave (par exemple, la compromission des contrôleurs de domaine), les entreprises n’auront d’autre choix que de réinstaller tout l’environnement en entier. Certes, c’est le pire scénario, mais il se produit parfois. Souvent, les entreprises choisiront de nettoyer à fond les serveurs du mieux possible plutôt que d’effectuer une réinstallation complète. C’est une décision interne basée sur le risque, la faisabilité et le coût. Et ce scénario est vain si la menace est persistante et qu’elle emploie des techniques lui permettant de contourner les mesures d’identification traditionnelles. Si vous pensez que c’est de la science-fiction, étudiez les menaces comme rootkits, Spectre et Meltdown qui prouvent qu’il y a toujours un moyen d’attaquer une ressource technologique. Sans parler des spams envahissant. Ils peuvent d’ailleurs se contrer avec des outils tels qu’Altospam.
Les criminels en ont après vos identifiants
Quelle que soit votre stratégie corrective, vous pouvez être certain que, d’une façon ou d’une autre, ceux qui emploient les vecteurs de menace auront accès à vos identifiants. Ceci implique de ne jamais réutiliser des mots de passe ou clés préexistants dans votre travail de nettoyage. Si possible, modifiez (lancez la rotation) tous les identifiants de toutes les ressources affectées ou reliées à ces dernières. C’est là qu’intervient la gestion des accès privilégiés ou Privileged Access Management (PAM). L’étape de nettoyage ou de redéploiement doit être protégée de la réutilisation d’un ancien mot de passe ou du fait qu’un criminel puisse regagner sa présence persistante en raison d’une mauvaise gestion des identifiants dès le début des efforts de remédiation.
La gestion des mots de passe est un aspect central d’une stratégie PAM. Elle inclut l’intégration automatique, la rotation, la gestion des sessions, le reporting et les étapes de check-in et check-out des mots de passe conservés dans un coffre-fort. Si l’on utilise surtout la technologie PAM pour les mots de passe privilégiés, comme ceux des comptes admin, root, de service ou DevOps, elle peut aussi servir de solution selon le principe du moindre privilège pour supprimer les droits administratifs d’applications et de tâches. Ainsi, les utilisateurs n’auront plus besoin d’un compte admin secondaire pour effectuer leurs tâches.
Le rôle de la technologie PAM dans le nettoyage post-compromission
Cela étant dit, en quoi la technologie PAM est-elle utile pour nettoyer les compromissions de sécurité ? Lors d’un incident ou d’une compromission de sécurité, vous devez d’abord mener des investigations sur ce qui suit :
Déterminez quels comptes ont été compromis et utilisés pour obtenir l’accès et pour opérer un mouvement latéral.
Déterminez la présence et les ressources de tous les comptes compromis et ceux y étant reliés. Par exemple, le même compte compromis sur l’actif X ou l’application Y est également utilisé sur les actifs A, B et C pour les applications D, E et F afin qu’ils puissent communiquer.
Identifiez et purgez tous les comptes illicites ou irréguliers créés par le criminel à l’origine de la menace.
Identifiez et supprimez ou segmentez tout élément dit de « shadow IT », de l’IoT ou toute autre ressource faisant partie de la chaîne de la cyberattaque pour vous protéger de menaces ultérieures.
Analysez les comptes qui ont été compromis et déterminez le niveau minimum de privilèges nécessaire pour pouvoir exécuter les fonctions. La plupart des utilisateurs et des comptes système n’ont pas besoin de comptes root ou admin locaux ou couvrant tout un domaine.
Analysez comment les données ont été utilisées et rendues accessibles par l’agresseur lors de la compromission. Est-ce que des données révélatrices d’indicateurs de compromis (IoC) ont été capturées lors de l’utilisation abusive du compte privilégié ? Si des données ont effectivement été capturées, est-ce que cela aide à identifier la menace ? Faute de données capturées, déterminez ce qu’il faut changer pour surveiller de prochaines utilisations abusives des comptes privilégiés. Ceci inclut l’usage qui est fait des comptes privilégiés, ainsi que la surveillance de session et l’enregistrement de frappe, si nécessaire.
Cette analyse n’est pas triviale. Il faut se doter d’outils pour découvrir les comptes, identifier les ressources, déterminer les schémas d’usage et, surtout, repérer les abus potentiels. Même si toutes les données des logs sont envoyées à un système SIEM (Security Information and Event Management), il faut une étape de corrélation ou d’analyse du comportement des utilisateurs pour répondre à ces questions.Une fois que vous avez mené l’investigation initiale, voici cinq manières dont une technologie PAM peut vous aider après une compromission et qui font qu’elle devrait être considérée comme centrale dans vos efforts de nettoyage :
Après l’étape de découverte, intégrez automatiquement vos comptes privilégiés et instaurez des mots de passe uniques et complexes en leur imprimant une rotation automatique. Vous vous assurez ainsi qu’une présence persistante ne puisse pas exploiter vos comptes compromis.
Pour tous les comptes reliés, utilisez votre solution PAM pour programmer de façon régulière leur rotation, y compris pour les comptes de service. Ainsi, les comptes sont synchronisés et potentiellement isolés d’autres formes de réutilisation des mots de passe.
Si cela est possible, supprimez tous les comptes privilégiés inutiles jusqu’au PC. Ceci vaut pour les comptes admin secondaires associés à une identité. Pour toute application, commande ou tâche qui requiert des droits admin, envisagez le modèle du moindre privilège qui élève l’application, et non l’utilisateur, à exercer la gestion privilégiée.
Avec la technologie PAM, recherchez les IoC qui suggèrent un mouvement latéral, émanant de commandes ou d’un comportement irrégulier de l’utilisateur. C’est une portion critique de la chaîne de cyberattaque où la technologie PAM peut être utile pour identifier si des ressources ont, ou non, été compromises.
Le contrôle d’application est l’une des meilleures défenses contre les malwares. Il s’agit de rechercher les applications de confiance qui sont vulnérables aux menaces en se servant de différentes formes de services basés sur la réputation. La technologie PAM peut ici aussi être utile. Décidez d’exécuter une application en vous fondant sur la confiance et les risques connus avant de l’autoriser à interagir avec l’utilisateur, les données, le réseau et le système d’exploitation.
La gestion des accès privilégiés ne doit pas se résumer aux nouveaux projets et aux systèmes hérités pour bloquer les vecteurs d’attaques privilégiées. On peut penser au phishing. On doit l’envisager également pour les besoins de forensics et de contrôle de la remédiation après un incident ou une compromission. La technologie PAM aidera à empêcher un criminel de s’emparer de ce qui est le plus à sa portée dans votre entreprise : une mauvaise gestion des mots de passe et des identifiants.
Comme meilleure pratique de sécurité, l’accès privilégié doit toujours être limité. Quand un vecteur de menace s’empare d’identifiants admin ou root, il s’empare des clés de votre royaume. L’objectif est de l’empêcher d’y parvenir et de reprogrammer fréquemment les comptes avec des mots de passe : ainsi, même s’il vole un mot de passe, il ne pourra en faire qu’un usage limité et toute tentative d’utilisation abusive sera surveillée. Après un incident ou une compromission, c’est donc une aide précieuse pour atténuer toute présence persistante et une méthodologie tout aussi précieuse dans le processus de nettoyage et pour la pérennité de votre système. (Par William Culbert, directeur Europe du Sud de BeyondTrust)
Europol, la police roumaine, plusieurs autres organisations policières et privées publient un nouvel outil de déchiffrement pour les dernières versions du ransomware GandCrab.
Europol, l’agence Roumaine DIICOT (Direction des enquêtes sur le crime organisé et le terrorisme) et plusieurs organisations policières et privées, dont Bitdefender, proposent une nouvelle version de l’outil de déchiffrement mis à disposition des victimes de GandCrab, pour lutter contre les dernières versions du ransomware. GandCrab est à ce jour reconnu comme étant l’une des familles de ransomware les plus prolifiques et les plus dangereuses du monde.
Le nouvel outil de déchiffrement permet aux victimes de retrouver l’accès à leurs propres données sans payer de rançon aux cybercriminels. En plus des versions 1, 4 et des premières versions 5, le nouvel outil s’attaque maintenant aux infections par les versions 5.0.4 à 5.1 – les plus récentes utilisées par les cybercriminels diffusant GandCrab.
L’outil précédent a déjà été téléchargé plus de 400 000 fois, aidant près de 10 000 victimes à économiser plus de 5 millions de dollars en frais de déchiffrement. Depuis son émergence en janvier 2018, GandCrab a infligé des centaines de millions de dollars de pertes dans le monde.
GandCrab Familly
La famille de ransomware GandCrab a été extrêmement active au cours de la dernière année, surpassant les autres familles de ransomware en popularité et en viralité.
L’année dernière, certaines versions de GandCrab ont commencé à attaquer des organisations via des instances de Remote Desktop Protocol exposées ou en se connectant directement avec des identifiants de domaine volés. Après s’être authentifié sur un PC compromis, les attaquants lancent manuellement le ransomware et lui demandent de se répandre sur tout un réseau. Une fois le réseau infecté, les attaquants effacent leurs traces et contactent ensuite la victime avec une offre de déchiffrement. Depuis fin 2018 et début 2019, GandCrab a radicalement transformé son mécanisme de diffusion, ses opportunités d’affiliation et amélioré sa résistance à la plupart des solutions de cybersécurité.
Pour prévenir les infections des logiciels de rançon, les utilisateurs doivent mettre en œuvre une solution de sécurité avec des défenses anti-ransomware en couches, sauvegarder régulièrement leurs données et éviter d’ouvrir les pièces jointes fournies avec les messages non sollicités. Il ne faut pas céder aux exigences des opérateurs de ransomware, notamment GandCrab et penser à sauvegarder l’information chiffrée et aviser la police immédiatement.
Actions de GandCrab
D’abord, après son lancement sur une machine attaquée tournant sous Microsoft Windows, GandCrab! peut recueillir des informations sur les processus en cours des logiciels antivirus. Il vérifie en premier lieu sa présence sur la machine, puis force l’arrêt des processus logiciels selon une liste définie par le malveillant utilisateur. Il installe une copie de lui-même sur le disque et modifie une branche du Registre Windows pour assurer son lancement automatique.
Ensuite, le Trojan chiffre le contenu des disques fixes, amovibles et de réseau, à l’exception de certains dossiers dont quelques dossiers système et service. Chaque disque rendu illisible dans un thread différent. Après la fin du chiffrement, le Trojan envoie au serveur des données sur le nombre de fichiers chiffrés et sur le temps mis pour le chiffrement.
Pour conclure, le nouvel outil de décryptage est disponible immédiatement et peut être téléchargé gratuitement sur No More Ransom Project.
YesWeHack, la première plateforme européenne de Bug Bounty annonce aujourd’hui une levée de fonds de 4 millions d’euros auprès d’Open CNP, programme de corporate venture de CNP Assurances, et de Normandie Participations. L’opération a pour objectif de renforcer le développement de l’entreprise en France et d’accélérer sa présence à l’international, notamment en Europe et en Asie.
Fondé en 2013, YesWeHack propose aux entreprises une approche innovante de la cybersécurité, grâce au Bug Bounty (récompense à la vulnérabilité), en mettant en relation plus de 7 000 experts en cybersécurité (hackers éthiques) répartis dans 120 pays, et des entreprises pour sécuriser leurs périmètres exposés et rechercher les vulnérabilités (bugs) de leurs sites web, applications mobiles, infrastructures et objets connectés.
Avec cette levée de fond, YesWeHack entend jouer un rôle décisif dans la révolution que constitue le développement en Europe d’une approche agile de la sécurité, accélérateur de la transformation digitale. Le Bug Bounty participe ainsi à la tendance DevSecOps (développement-sécurité-opérations), pour intégrer la sécurité des systèmes de façon plus proactive, dès la genèse des projets.
YesWeHack étoffe son conseil stratégique avec l’arrivée de Laurent Seror, président d’Outscale, Eric Leandri, PDG de Qwant, Charles Beigbeder et Jonathan Denais d’Open CNP.
Avec cet investissement, CNP Assurances poursuit ses objectifs d’investissements et de partenariats avec des start-up innovantes en réalisant ainsi le 7èmeinvestissement d’Open CNP, son programme de corporate venture. Créé en 2016, il a pour objectif d’accompagner financièrement la croissance de start-up innovantes tout en développant avec elles des solutions avancées dans des domaines porteurs : fintech, assurtech, e-santé et autres technologies, lui permettant de mieux servir ses clients. CNP Assurances est depuis juillet 2018 utilisateur de la plateforme YesWeHack et a mis en place son programme de Bug Bounty.
Normandie Participations participe au dynamisme du territoire aux côtés des autres acteurs locaux du financement. Sur un principe de co-investissement avec des acteurs privés, Normandie Participations, doté d’un capital 100 % Région Normandie, s’adresse aux entreprises dans les champs de l’amorçage, l’innovation, le développement, la création, la transmission et le rebond. Le fond régional a réalisé 38 participations pour 30 M€ d’investissements en un peu plus de 2 ans.
Les solutions d’Intelligence Artificielle (IA) dédiées aux ressources humaines, que la plupart des entreprises d’envergure internationale développent ou utilisent, sont régulièrement pointées du doigt pour leurs systèmes jugés discriminatoires. A contrario à la Direction des Ressources Humaines du comté de Los Angeles, l’IA est du côté de ceux qui croient en l’équité. Au cours du 1er trimestre de 2019, un système d’enquête basé sur l’IA, capable de détecter les comportements d’employés suggérant un risque futur, en termes de harcèlement sexuel et de discrimination en entreprise, sera déployé dans le comté de Los Angeles.
La DRH du comté de Los Angeles travaille sur la mise à jour de ses normes et procédures relatives aux relations interpersonnelles, afin de protéger ses 111 000 employés contre tout préjudice. « Nous souhaitons déployer l’Intelligence Artificielle et l’automatisation des processus pour obtenir des informations sur les problèmes comportementaux »,explique Murtaza Masood, DHR Assistant Director au comté de Los Angeles. « Mais l’objectif n’est pas le suivi et le profilage individualisés, et c’est là que se croisent les lignes éthique et juridique. La technologie n’est pas encore là pour prédire le comportement individuel », ajoute-t-il.
L’objectif de cette IA est de rechercher les facteurs qui contribuent à certains comportements, de détecter des schémas comportementaux, ainsi que la formation de tendances au fur et à mesure qu’elles apparaissent, afin d’être proactif et de réagir avant, et non pas après le méfait. A terme, cela permettra de créer des normes et des formations internes visant à encourager les bons comportements et à minimiser les mauvais.
Pour ce faire, le comté suit l’activité des employés sur leurs ordinateurs professionnels et leurs e-mails, grâce à la technologie d’OpenText. « L’intelligence artificielle et l’automatisation des processus peuvent réellement aider les enquêteurs – entreprises ou forces de l’ordre – à mieux comprendre et identifier les schémas comportementaux. Cependant, le suivi personnalisé dépasse la technologie disponible et créerait des problèmes éthiques. OpenText collabore avec le comté de Los Angeles afin d’appliquer des analyses permettant d’améliorer les enquêtes sur le harcèlement, d’accélérer le processus de résolution et de donner au comté le pouvoir d’agir de manière plus proactive pour éviter les situations problématiques, » exlique Zachary Jarvinen, head of technology strategy for AI and analytics, OpenText.
Ce système va permettre de migrer entièrement en ligne les enquêtes sur le harcèlement sexuel et la discrimination, et de les analyser par voie numérique. En effet à ce jour, certains dossiers existent uniquement sous format papier. Il s’agit d’une application conçue sur mesure, fondée sur la plateforme OpenText Documentum xCP intégrant sa technologie Brava!.
Carbon Black, société américaine spécialisée dans les solutions de sécurité des points terminaux de nouvelle génération dans le Cloud, publie les résultats de son premier rapport sur la sécurité des entreprises françaises qui met en lumière le volume et l’intensité des cybermenaces pesant sur ces dernières.
Selon ce rapport, 94 % des organisations françaises interrogées ont déclaré avoir été victimes d’une violation de données au cours des 12 derniers mois. Ce rapport couvre différents secteurs verticaux, ainsi que des organisations et des services informatiques de toutes tailles, ce qui permet de dresser une vue d’ensemble du paysage actuel des attaques et de la cyberdéfense en France.
Les principales conclusions de l’étude
94 % des organisations françaises interrogées ont subi une violation de la sécurité au cours des 12 derniers mois
Le nombre moyen de violations par organisation est de 5,81
91 % des organisations ont constaté une augmentation du volume des attaques
94 % des organisations pensent que ces attaques sont de plus en plus sophistiquées
89 % des organisations prévoient d’augmenter leur budget de cyberdéfense
Escalade des cyberattaques
Sur les 91 % des entreprises françaises signalant une augmentation des cyberattaques, 35 % estiment que leur nombre a augmenté de plus de la moitié au cours de l’année passée. 94 % ont constaté une sophistication accrue et plus de la moitié (52 %) estiment que l’approche de leurs adversaires est considérablement plus sophistiquée qu’avant.
Toujours selon ce rapport, 59 % des organisations interrogées ont subi au moins cinq violations. Par ailleurs, une sur 10 a constaté au moins 10 attaques. 89 % des organisations françaises interrogées prévoient d’augmenter leur budget de cyberdéfense en réponse à l’accumulation de menaces.
« Notre premier rapport sur la cybersécurité en France dévoile que les entreprises sont soumises à une pression intense en raison de la montée en puissance des attaques », explique Rick McElroy, directeur du service des stratégies de sécurité de Carbon Black. « Nous avons constaté une augmentation générale du volume d’attaques et du degré de sophistication, qui ont contribué à une progression des violations de sécurité. En réaction, un nombre encourageant d’organisations françaises tente d’anticiper les risques grâce à la chasse aux menaces et obtient des résultats très positifs. Alors que ces stratégies arrivent à maturité, nous espérons voir le nombre de violations recensées se réduire. »
Ransomware et hameçonnage à la source des violations
Selon le rapport, le ransomware est à l’origine de 19 % des violations au sein des entreprises françaises. Toutefois, le facteur humain joue également un rôle non négligeable. D’après ce rapport, les attaques par hameçonnage sont à l’origine d’une violation sur six en France.
Chasse aux menaces en France
73 % des organisations françaises interrogées affirment avoir mis en place des mesures actives de chasse aux menaces ou « threat hunting », avec un peu moins de la moitié (35 %) ayant commencé au cours des 12 derniers mois. 95 % de ces organisations estiment que les mesures de chasse aux menaces ont renforcé leurs défenses, ce qui est très positif.
« Il est encourageant de constater que près des trois quarts des entreprises françaises interrogées ont mené des opérations de chasse aux menaces », poursuit Rick McElroy. « Il reste certes une marge d’amélioration, mais le fait que 95 % de ces organisations pensent avoir renforcé leur cybersécurité permet d’espérer que nous sommes sur la bonne voie. »
Le rapport sur les tendances de cybersécurité 2019 indique que les attaques par « cryptojacking » ne devraient montrer aucun signe de faiblesse en 2019, alors que les attaquants ciblent désormais aussi les équipements intelligents et les assistants personnels afin de bâtir des fermes de cryptominning toujours plus importantes.
Tendance #1 : la montée des cryptomineurs
Les crypto-monnaies ont occupé le devant de la scène médiatique en 2018 et le cryptojacking (le fait de détourner un équipement pour le forcer à « miner » des crypto-monnaies pour le compte du pirate) semble ne montrer aucun signe de répit, selon David Harley, chercheur en cybersécurité chez ESET : « et nous pouvons nous attendre en outre à voir de plus en plus de logiciels de minage tenter de désinstaller d’autres logiciels concurrents sur les systèmes compromis, afin de s’approprier la plus grosse part du gâteau par rapport aux performances du système ».
Tendance #2 : l’automatisation au service des campagnes d’ingénierie sociale
Selon ESET, 2019 verra un recourt accru par les cybercriminels aux techniques d’automatisation et d’apprentissage automatique (le « Machine Learning ») afin de collecter toujours plus de données personnelles, et mener ainsi des attaques par ingénierie sociale toujours plus sophistiquées et, surtout, plus personnalisées.
Bien qu’il soit peu probable qu’ils aient accès aux données détenues par des acteurs commerciaux (comme par exemple les habitudes d’achat de clients des sites de commerce électronique), les pirates pourront tout de même avoir recours à des traqueurs web pour suivre leurs victimes de site en site, et acquérir des informations auprès de vendeurs de données pour développer leurs propres profils personnalisés.
D’après Lysa Myers, chercheur en cybersécurité senior « Bien que certaines opérations de phishing et autres fraudes aient clairement amélioré leur capacité à imiter des sources légitimes, beaucoup demeurent encore vraiment très amateurs et donc très simples à identifier. Mais le Machine Learning pourrait aider les pirates à les améliorer et augmenter ainsi leur efficacité ».
Tendance #3 : la protection des données personnelles sera l’alpha et l’oméga des entreprises
En 2018 la question de la protection des données à caractère personnel a occupé le devant de la scène, autant à cause de grandes affaires de fuites de données que par l’entrée en vigueur du règlement européen RGPD. Des incidents tels que celui de Cambridge Analytica pourraient pousser les internautes à chercher des alternatives aux plateformes dominantes actuelles telles Facebook.
Tendance #4 : vers une législation globale pour la protection des données personnelles ?
A la suite de l’entrée en vigueur du RGPD, le rapport s’interroge quant à l’émergence possible d’une réglementation universelle sur la protection des données personnelles, dont le RGPD ne serait en définitive que le précurseur. En particulier parce que des modèles de réglementations similaires commencent à apparaître en Californie, au Brésil et au Japon.
ESET met ainsi en garde les entreprises qui seraient tentées de ne considérer le RGPD que comme un problème purement européen, presque une anomalie. Bien au contraire, la pression pour protéger correctement les données personnelles des clients et des collaborateurs est une question globale, et cela devrait conduire à voir émerger de plus en plus de réglementations similaires à travers le monde.
Tendance #5 : les attaquants convoitent les équipements domestiques intelligents
Entre l’intérêt croissant pour les crypto-monnaies et l’adoption massive des objets intelligents connectés à Internet, il est envisageable que ces derniers deviennent les points d’entrée privilégiés des attaquants pour bâtir leurs fermes de crypto mineurs en 2019.
Nous avons déjà observé comment les criminels exploitent les objets connectés afin de lancer des attaques par déni de service distribué de grande envergure. Mais alors que de plus en plus d’équipements personnels sont connectés et intégrés à nos vies quotidiennes, en 2019 les attaquants pourront continuer à rechercher ces objets intelligents pour les aider à mettre en œuvre des attaques diverses, telles que des escroqueries, des demandes de rançon et, nous l’avons vu, du crypto-mining.
Pour plus d’informations sur les tendances 2019 et les menaces qui pèseront sur les entreprises, téléchargez le rapport ESET des tendances de cybersécurité 2019 : « Vie privée et intrusion dans le Village Global ».
Europ Assistance dévoile les conclusions de l’édition 2019 de son baromètre des cyber risques. L’étude, conduite en partenariat avec LEXIS, porte sur la perception des Européens et Américains à l’égard des risques liés à l’utilisation d’internet.
Près d’1 Français sur 4 connait une victime d’attaque ciblant des données confidentielles ou sensibles – de surcroît, 78% des Français considèrent une potentielle attaque contre leurs données personnelles comme un événement « hautement stressant ». Ainsi, la prise de conscience concernant les cyber risques se généralise. Quelles sont les principales inquiétudes des français face à la cybercriminalité ? 60% des sondés se disent très préoccupés par les paiements et achats en ligne, tandis qu’un sur deux s’inquiète pour la sécurité de leurs enfants et craigne une usurpation d’identité.
Des stratégies de protection en décalage avec les préoccupations en matière de cybercrimes
Un tiers des Français (32%) déclare modifier fréquemment leurs identifiants, mots de passe et certificats numériques. Plus alarmant, si la majorité d’entre eux révèle disposer d’une solution antivirus ou antimalware sur leur ordinateur, moins de la moitié déclare utiliser un service similaire sur leur smartphone ou sur leur tablette. Cette statistique est particulièrement inquiétante dans la mesure où désormais, plus de la moitié du trafic web mondial s’effectue sur ces supports.
Par ailleurs, la moitié (48%) des répondants français disent ne pas savoir comment gérer une éventuelle compromission de leurs données personnelles. Cela explique pourquoi un nombre similaire de Français (47%) déclarent ne pas avoir un sentiment de contrôle sur les informations en ligne les concernant. Ce sentiment accentué par le fait que 51% des Français pensent que les entreprises et les institutions n’en font pas assez pour protéger leurs informations personnelles.
Méthodologie : l’édition 2019 du baromètre cyber d’Europ Assistance et de LEXIS a été réalisée dans 9 pays à savoir les États-Unis, l’Italie, la France, l’Espagne, l’Autriche, la Hongrie, la Suisse, la République Tchèque et la Roumanie. Dans chaque pays, 800 consommateurs âgés de 25 à 75 ans ont répondu à un questionnaire en ligne de 15 minutes. L’enquête, conduite entre novembre et décembre 2018, porte sur quatre sujets clefs : les activités en ligne et les stratégies de protection personnelle, les inquiétudes concernant les activités Web et numériques, l’évaluation d’un service de protection contre les cyber risques, et l’intention d’achat d’un tel service.
Utilisation massive des attaques par email, détection difficile des attaques phishing ou encore chute des ransomwares… Quelles ont été les tendances des cybercriminels ce dernier trimestre ?
Dans son Rapport Trimestriel Q4 2018, Proofpoint met en lumière l’évolution des systèmes sophistiqués de menaces, que ce soit à travers les emails, les réseaux sociaux ou plus largement sur internet. Conçu pour mieux combattre les menaces d’aujourd’hui et anticiper les attaques émergentes, il permet de découvrir les tendances en matière de cyberattaques.
Parmi les principales menaces du dernier trimestre 2018, nous notons Une utilisation massive des attaques BEC contre des entreprises. Une augmentation des fraudes par email de 226% au quatrième trimestre et de 476% par rapport au quatrième trimestre 2017. Les chevaux de Troie bancaires restent la principale menace véhiculée par email : ils représentent 56% de toutes les charges utiles malveillantes au quatrième trimestre ; parmi celles-ci, 76% des attaques proviennent de Emotet. Egalement, les chevaux de Troie d’accès à distance représentaient 8,4 % de toutes les charges utiles malveillantes au quatrième trimestre et 5,2 % pour l’année, marquant un changement significatif par rapport aux années précédentes où ils étaient rarement utilisés.
Les ransomware toujours très présents
Les ransomwares ont chuté à seulement 0.1% du volume total de messages malveillants. Les messages malveillants qui contiennent de fausses mise à jour ou lien de téléchargement corrompus ont grimpé à plus de 230 % en 1an. Les messages exploitant des URL malveillantes se sont révélés plus nombreux que les messages contenant des pièces jointes.
Les attaques sur le web : quand les cryptomonnaies se font miner. L’activité de Coinhive, ce logiciel de minage de moneros, a littéralement explosé en décembre (augmentation de 23 fois la moyenne de l’année en deux semaines). Dans l’ensemble, l’activité Coinhive a continué de croître lentement, à l’exception de ce pic. Il y a eu une augmentation de 150% de menace ciblant l’humain, bien qu’il s’agisse d’une croissance plus lente que les trimestres précédents. Ce chiffre confirme l’importance des techniques d’ingénierie sociale.
Sur les réseaux sociaux, les attaques par « angler phishing » restent difficiles à détecter. Le phishing sur les réseaux sociaux, communément appelé ‘angler phishing a augmenté de 442 % par rapport à l’année précédente. En revanche, les liens de phishing sur les réseaux sociaux diminuent à mesure que les plateformes renforcent leurs algorithmes pour contrer ce problème. Le phishing reste malgré tout une technique difficile à détecter car les attaques sont causées par des interactions humaines. (Le rapport)
Les extracteurs de cryptomonnaie touchent 10 fois plus d’entreprises que les logiciels rançonneurs. Le Rapport Sécurité 2019 de Check Point révèle pourtant que seul 1 professionnel de l’informatique sur 5 anticipe les infections.
La seconde partie de son Rapport Sécurité 2019 souligne combien les outils et les services utilisés pour mener des activités cybercriminelles se sont démocratisés. Non seulement les méthodes d’attaque se sont perfectionnées mais elles sont désormais accessibles à toute personne disposée à en payer le prix, et c’est précisément rendu possible grâce au marché en plein essor des logiciels malveillants sous forme de service.
Cette seconde partie du rapport révèle les principales tendances en matière de cyberattaques observées en 2018, et pointe du doigt la croissance significative du nombre d’attaques furtives et complexes conçues pour échapper aux équipes de sécurité des entreprises. Il précise également les types de cyberattaques que les équipes informatiques et de sécurité des entreprises considèrent comme représentant la plus grande menace pour eux.
Les éléments clés du rapport
Les extracteurs de cryptomonnaie s’activent sur les réseaux sans être détectés : Les extracteurs de cryptomonnaie ont infecté 10 fois plus d’entreprises que les logiciels malveillants en 2018, mais seulement un professionnel de la sécurité informatique sur cinq a été en mesure de détecter une infection sur son réseau. 37 % des entreprises dans le monde ont été touchées par des extracteurs de cryptomonnaie en 2018. 20 % des entreprises continuent d’être touchées par ce phénomène chaque semaine, malgré une baisse de 80 % de la valeur des cryptomonnaies.
Les risques présentés par les extracteurs de cryptomonnaie sont sous-estimés par les entreprises : Lorsque CP a demandé aux entreprises quelles étaient les menaces les plus importantes pour leur entreprise, 16 % seulement des professionnels de l’informatique ont cité les extracteurs de cryptomonnaie, contre 34 % pour les attaques DDoS, 53 % pour les fuites de données, 54 % pour les logiciels rançonneurs et 66 % pour le phishing. C’est assez préoccupant, car les extracteurs de cryptomonnaie peuvent facilement servir de portes dérobées pour télécharger et activer d’autres types de logiciels malveillants.
Les logiciels malveillants sous forme de service se développent : Le programme d’affiliation du logiciel malveillant sous forme de service GandCrab permet désormais à des amateurs de se lancer dans le business lucratif des logiciels rançonneurs. Ils conservent jusqu’à 60 % du montant des rançons perçues auprès des victimes et les développeurs en conservent jusqu’à 40 %. GandCrab compte plus de 80 affiliés actifs, et plus de 50 000 victimes ont été infectées en seulement deux mois en 2018, totalisant entre 300 000 et 600 000 dollars de rançons.
«La seconde partie de notre Rapport Sécurité 2019 montre comment les cybercriminels s’intéressent à de nouvelles approches furtives et de nouveaux modèles commerciaux, tels que les programmes d’affiliation de logiciels malveillants, afin de maximiser leurs revenus illégaux tout en réduisant le risque d’être détectés. Même s’ils agissent à l’abri des regards on ne doit pas les oublier. Bien que discrètes, les cyberattaques de 2018 ont été nombreuses et préjudiciables, » déclare Thierry Karsenti, Vice-Président EMEA Sales Engineering de Check Point Software Technologies. « Grâce à notre rapport sécurité et aux analyses des évolutions récentes qu’il propose, les entreprises peuvent mieux appréhender les menaces auxquelles elles sont confrontées, et mieux anticiper pour qu’elles n’aient pas d’incidence sur leurs activités.»
Le Rapport Sécurité 2019 s’appuie sur des données provenant du plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données sur les menaces et des tendances en matière d’attaques issues d’un réseau mondial de capteurs ; d’études effectuées par Check Point au cours des 12 derniers mois ; et d’une toute nouvelle enquête menée auprès de professionnels de l’informatique et de cadres supérieurs, qui évalue leur niveau de préparation face aux menaces actuelles. Le rapport examine les toutes dernières menaces émergentes dans différents secteurs d’activité, et fournit un aperçu complet sur les tendances observées dans le paysage des logiciels malveillants, des vecteurs de fuites de données émergents et des cyberattaques commanditées par des États.
Des chercheurs découvrent dans le Google Play Store le premier malware Android capable de remplacer le contenu du presse-papier de l’appareil infiltré. De type « Clipper », ce code malveillant très spécifique cible les utilisateurs des crypto monnaies Bitcoin et Etherum, et il a pour objectif de rediriger les fonds transférés depuis le portefeuille (le « wallet ») de la victime vers celui du criminel en changeant l’adresse de destination au moment où celui-ci est copié-collé.
« Cette découverte montre que de tels Clippers capables de détourner des fonds ne sont plus réservés aux environnements Windows ou à des forums Android de seconde zone. Désormais, tous les utilisateurs Android doivent s’en méfier », explique Lukáš Štefanko, le chercheur ESET à l’origine de cette découverte.
Ce nouveau Clipper profite du fait que bon nombre d’utilisateurs de crypto monnaies entrent rarement manuellement les adresses de portefeuilles, car elles représentent souvent de longues et fastidieuses chaînes de caractères. Ils préfèrent copier l’adresse depuis un document, puis la coller dans le wallet. Et c’est à ce moment, lorsque l’adresse est encore dans le presse-papier Android, que le malware est capable de la remplacer par une autre, appartenant au criminel.
Les premiers Clippers sont apparus dans l’écosystème Windows en 2017. En 2018, les chercheurs découvraient même trois applications de ce type sur le site de téléchargement downolad.cnet.com, l’une des plateformes de téléchargement le plus populaire au monde. En août de la même année apparaissait le premier Clipper pour Android. Distribué que sur des forums de piratage underground. Depuis, il est présent sur de nombreuses places de marché alternatives (des « App Stores » non-officiels).
Cependant, à ce stade, les utilisateurs qui se cantonnaient au Google Play Store officiel n’avaient rien à craindre… jusqu’à aujourd’hui !
Mais tout a changé depuis cette découverte par les chercheurs du premier Clipper pour Android sur le store Android officiel. « Nous avons heureusement détecté ce malware peu de temps après qu’il ait été introduit sur la plateforme. Nous avons immédiatement alerté l’équipe sécurité de Google, qui l’a rapidement supprimé », explique Lukáš Štefanko.
Ce Clipper découvert par les équipes ESET imite un service légitime appelé MetaMask, qui permet de faire fonctionner des applications Ethereum décentralisées dans un navigateur, sans nécessiter un nœud complet. MetaMask existe sous la forme d’un plugin pour les navigateurs Chrome et Firefox pour ordinateurs desktops, mais il n’a pas de version mobile.
« Il y a manifestement de la demande pour une version mobile de MetaMask, et les criminels le savent. C’est pour cela qu’ils ont décidé d’y répondre en imitant ce service sur le Google Play Store » explique Lukáš Štefanko.
Si d’autres malwares ont par le passé déjà tenté de détourner des crypto monnaies de la sorte, ils le faisaient de manière relativement grossière, en dirigeant leurs victimes vers de faux formulaires contrôlés par l’attaquant. « Mais avec un Clipper installé sur son téléphone, la fraude devient extrêmement simple : ce sont les victimes elles-mêmes qui envoient, malgré elles, directement les fonds au criminel ! », précise Lukáš Štefanko.
Cette découverte d’un malware de type Clipper sur le Google Play Store officiel devrait servir de rappel aux utilisateurs Android qu’il est impératif de respecter les bonnes pratiques de sécurité élémentaires.
Pour se protéger de tels malwares Android, nous vous conseillons
Mettez votre appareil régulièrement à jour et utilisez une solution de sécurité fiable
Cantonnez-vous au Google Play Store officiel pour télécharger vos applications mobiles (malgré cette découverte, il demeure largement plus sûr que les plateformes non officielles)
Consultez toujours le site web officiel du développeur de l’application que vous vous apprêtez à télécharger, et recherchez-y un lien vers la véritable application sur le Google Play Store. Si le site officiel ne mentionne aucune application mobile, considérez avec précaution toute application que vous auriez trouvé via le moteur de recherche du Store
Vérifiez avec attention chaque étape de tout processus qui implique des informations sensibles, notamment les manipulations de fonds (virtuels ou non !). Et lorsque vous utilisez le presse-papier, prenez le temps de contrôler que ce qui a été collé correspond bien à ce que vous avez copié.
Le rapport sur les attaques DDoS pour le 4ème trimestre, englobant les statistiques du dernier trimestre mais aussi l’ensemble de l’année 2018, met en lumière un recul de 13 % du nombre total d’attaques DdoS par rapport à l’année précédente. Cependant, la durée des assauts mixtes et de type Flood HTTP va croissant, ce qui semble indiquer que les cybercriminels se tournent vers des techniques d’attaque DdoS plus élaborées.
Le faible coût des services DDoS à louer fait de ce type d’attaque l’une des cyber-armes les plus abordables. Les entreprises, quel que soit leur taille ou leur secteur d’activité, peuvent être confrontées à cette menace et subir des pertes de revenus et de réputation dans le cas où leurs utilisateurs légitimes et leurs clients sont dans l’impossibilité d’accéder aux ressources web de la société.
Bien que la quantité d’attaques DDoS ait reculé en 2018, il est trop tôt pour s’en réjouir car cette baisse en nombre ne signifie pas pour autant que les assauts sont moins graves. Selon les chercheurs de Kaspersky Lab, alors que les entreprises sont de plus en plus nombreuses à adopter des solutions pour se protéger des formes d’attaques DDoS élémentaires, il est probable qu’en 2019 les assaillants vont améliorer leurs compétences afin de contourner les mesures de protection DDoS standard et franchir un nouveau palier en termes de sophistication.
Moins d’attaques, mais plus puissantes
En dépit de la diminution du nombre des attaques, l’analyse des experts de Kaspersky Lab révèle que leur durée moyenne est en hausse. Comparée au début de l’année 2018, la longueur moyenne d’un assaut a plus que doublé, passant de 95 minutes au premier trimestre à 218 minutes au quatrième. Il est à noter que les attaques Flood UDP (qui consistent à saturer les ports du serveur cible avec une masse de paquets UDP afin de le rendre inaccessible aux utilisateurs), lesquelles ont représenté près de la moitié (49 %) des assauts DDoS en 2018, ont été très courtes, dépassant rarement 5 minutes.
Selon les experts de Kaspersky Lab, la brièveté des attaques Flood UDP illustre un rétrécissement du marché pour les assauts plus faciles à organiser. La protection contre les attaques DDoS de ce type est désormais largement mise en place, rendant celles-ci inefficaces dans la plupart des cas. Les chercheurs avancent que les attaquants lancent de nombreux assauts Flood UDP afin de tester la protection d’une ressource ciblée. S’il est immédiatement clair que ces tentatives sont vouées à l’échec, leurs auteurs n’insistent pas.
Dans le même temps, les attaques plus complexes (détournement de HTTP, par exemple) qui nécessitent un investissement en temps et en argent, vont conserver une longue durée. Comme le révèle l’étude, la méthode Flood HTTP et les attaques mixtes comprenant une composante HTTP, dont la proportion est relativement faible (respectivement 17 % et 14 %), représentent environ 80 % de la durée totale des attaques DDoS sur l’ensemble de l’année.
DDoS au cryptominage
« Lorsque les attaques DDoS les plus simples n’atteignent pas leur objectif, ceux qui en tirent profit ont le choix entre deux solutions. Soit ils peuvent reconfigurer les capacités requises pour ces assauts afin de les réorienter vers d’autres sources de revenus, telles que le cryptominage. Soit ils doivent améliorer leurs compétences techniques, faute de quoi leurs commanditaires s’adresseront à des cybercriminels plus chevronnés. Compte tenu de cela, nous pouvons nous attendre à une évolution des attaques DDoS en 2019 et il deviendra plus difficile pour les entreprises de les détecter et de s’en protéger », commente Alexey Kiselev, responsable du développement pour l’équipe de protection DDoS de Kaspersky Lab.
Concernant les résultats du dernier trimestre 2018, la plus longue attaque DDoS observée au cours de cette période a duré 329 heures (près de 14 jours). Il faut remonter à la fin de 2015 pour retrouver une telle durée.
Les trois pays à l’origine du plus grand nombre d’attaques DDoS restent inchangés. La Chine vient une fois encore au premier rang, même si sa part a chuté de 77,67 % à 50,43 %, toujours suivie des Etats-Unis et de l’Australie.
Pour ce qui est de la répartition des cibles, la Chine demeure en tête de liste, mais avec une part là aussi en recul à 43,26 % (contre 70,58 % au troisième trimestre 2018).
Au quatrième trimestre, il faut également noter des changements dans les pays hébergeant le plus de serveurs de commande et contrôle (C&C). Comme au trimestre précédent, les Etats-Unis conservent la première place mais ce sont à présent le Royaume-Uni et les Pays-Bas qui arrivent en deuxième et troisième position, remplaçant respectivement la Russie et la Grèce, sans doute en raison d’une nette augmentation du nombre de serveurs C&C actifs du botnet Mirai dans ces deux pays.
À n’en pas douter, nous allons continuer de subir des cyberattaques toujours plus nombreuses et sophistiquées. Dans ce contexte, les opérateurs sont aujourd’hui une cible de choix pour les pirates.
Cyber-attaques ! De manière générale, de nombreuses études estiment que les opérateurs sont confrontés à plusieurs milliers d’attaques chaque jour. Parmi ces dernières, se distinguent notamment les attaques DDoS, et plus particulièrement celles qui ciblent les infrastructures DNS.
Particulièrement préjudiciables, elles peuvent fortement impacter la disponibilité de leurs services et donc par ricochet ceux de leurs clients… Il est donc plus que jamais nécessaire que les opérateurs, et pas uniquement les acteurs importants, prennent ces sujets à bras le corps. Ils doivent mettre en place des moyens leur permettant de lutter contre ces menaces.
Comment faire pour prendre les bonnes orientations face à des cyberattaques
Pouvoir identifier instantanément. Isoler les flux malveillants ciblant un service. Préserver l’écoulement des flux légitimes. Pour ce faire il faut détecter les anomalies protocolaires, comportementales, et celles des sessions applicatives. La neutralisation des flux malveillants doit s’appuyer sur une logique de « filtrage intelligent » qui permet de protéger les systèmes d’information tout en préservant les utilisations légitimes et la continuité de service globale.
Au-delà des fonctions de filtrage, il est aussi nécessaire de bénéficier de statistiques détaillées d’usage de ses services, identifiant les sources malveillantes. L’ensemble de ces informations doit être consultable en temps réel ainsi qu’au travers d’alertes spécifiques. Enfin, il faut répondre au besoin de l’exploitant de consulter des rapports d’incidents ou des tableaux de bord périodiques.
La poussée du Cloud et des nouveaux usages, autant de vulnérabilités
Avec la forte poussée du Cloud et l’externalisation du SI hors des murs de l’entreprise, et notamment chez les opérateurs, les attaques vont continuer de gagner en force et en fréquence. Nous pouvons également ajouter à ces éléments l’émergence de nouveaux usages et applications éphémères qui viennent créer de nouveaux challenges pour les sécuriser contre les attaques DDoS. Nous sommes donc dans une situation où les opérateurs sont des cibles centrales et parfois vulnérables.
L’état d’urgence de la sécurisation des SI et plateformes des opérateurs est donc un axe majeur à prendre en compte. C’est à cette condition qu’il sera possible de lutter efficacement contre les attaques DDoS qui sont parmi les plus contraignantes et gênantes pour l’ensemble des entreprises. (par Fabrice Clerc, C.E.O de 6cure)
L’époque où les cyberattaques étaient le lot de quelques PME malchanceuses est belle est bien révolue. Très rentables pour les cybercriminels car plus faciles à attaquer que les grands groupes, elles sont devenues une cible de choix. Au cours des 12 derniers mois, 21% ont été victimes d’une cyber attaque. Si le coût de ces attaques dépasse rarement les 10 000€, il peut arriver dans de très rares cas que l’entreprise victime ne s’en relève pas, notamment quand l’affaire devient publique.
Cette médiatisation a également des effets positifs. Sensibilisés par les retentissantes cyberattaques qui défraient régulièrement la chronique, les dirigeants de TPE et PME français comprennent, aujourd’hui, l’importance du risque cyber pour leurs structures. Malheureusement, ils ne savent pas comment s’y atteler. Une étude récemment menée par Kaspersky Lab et Euler Hermes (1) montre ainsi que seuls 19% des dirigeants de PME ont prévu des investissements dans la cybersécurité alors que c’est un sujet d’inquiétude pour 76% d’entre eux.
Cette situation paradoxale tient probablement aux discours très alarmistes, mais peu concrets, qui ont été tenus ces dernières années par les pouvoirs publics comme par les professionnels de la cybersécurité : nous avons été trop théoriques dans nos explications. Ne sachant par où commencer pour améliorer leur sécurité informatique, les dirigeants ne font… rien.
Pourtant, la cyber sécurité n’est pas un sujet compliqué. De nombreuses mesures ultrabasiques peuvent être mises en œuvre pour lutter efficacement contre les attaques et réduire considérablement son risque. Ainsi, l’entreprise peut se garantir un premier rempart de protection grâce à des mots de passe solides et en s’assurant que les mises à jour sont réalisées en temps réel, que ce soit en interne ou par le prestataire informatique de l’entreprise. La démarche est très simple et peut en général être automatisée au moyen d’un paramétrage. Ensuite, il faut s’assurer que tous les ordinateurs, mais aussi les tablettes, les smartphones et les serveurs sont protégés par des « suites de sécurité » : des modules comprenant un antivirus, des outils contre l’hameçonnage ou pour chiffrer les données.
Formation
Il existe aussi des systèmes pour protéger les données de l’entreprise en cas de vol de matériel : les informations contenues sur un smartphone ou un ordinateur dérobé peuvent en effet être effacées à distance. Parallèlement, il faut demander à un œil extérieur de réaliser un état des lieux de son système d’information. Il n’est pas possible de prendre de décision sans savoir exactement comment fonctionne son SI, qui l’utilise et quelles sont les faiblesses de sécurité, mais aussi où sont stockées ses données, etc. De nombreuses sociétés spécialisées peuvent réaliser un audit de sécurité, sur un ou deux jours, pour un coût très modéré. C’est sur la base de cet audit que l’entreprise pourra éventuellement opter pour des mesures de sécurité plus importantes, en se rapprochant d’un intégrateur ou de prestataires spécialisés.
Sur un autre plan, il y a également des choses très simples à mettre en place en matière de formation du personnel. Aujourd’hui, la moitié des entreprises que nous avons interrogées ne forme pas ses employés à la sécurité informatique, alors que l’on sait parfaitement que les salariés constituent souvent un point faible majeur. A la condition d’être correctement sensibilisés, les salariés – depuis l’assistant jusqu’au dirigeant – pourraient au contraire devenir la meilleure protection de l’entreprise. De nombreuses sociétés proposent des modules très concrets sur l’utilisation des mots de passe, le stockage des informations confidentielles, ou encore l’identification d’un email frauduleux, etc. Ces formations, réalisées en ligne, ne coûtent que quelques euros par mois et par salarié.
Bonnes pratiques
Il ne s’agit là que des bonnes pratiques les plus élémentaires mais les adopter permet à l’entreprise de se préparer à réagir et c’est bien là l’essentiel. Face à un groupe de cybercriminels, aucune entreprise n’est imprenable. En revanche, une entreprise qui a développé sa capacité de réaction peut considérablement réduire l’impact d’un incident. Au final, la cybersécurité est tout autant une affaire d’investissements technologiques que de culture. Et sur ce dernier point, les petites et moyennes entreprises peuvent disposer des mêmes armes que les grandes. Tanguy de Coatpont, directeur général de Kaspesky Lab France
– «Les PME face aux enjeux de sécurité informatique ». Étude Ifop réalisée pour Kaspersky Lab et Euler Hermes en novembre 2018, auprès de 700 décideurs, au moyen d’un questionnaire en ligne.
Le 1er février est la journée internationale du changement de mots de passe. C’est le moment de prendre du recul sur nous, sur nos appareils et de nous interroger : ai-je les bonnes pratiques, en matière de mots de passe, pour préserver la sécurité de ma vie numérique ? Il est probable que la réponse soit non. Et les conséquences pourraient être graves pour votre compte en banque et votre vie privée.
Quand il s’agit de mots de passe, la taille ne fait pas tout. Dans le classement 2018 des pires mots de passe proposé par SplashData, la progression la plus importante parmi les 5 premiers est 123456789 qui gagne trois places pour arriver en troisième position alors que 123456 et « password » conservent respectivement la première et la deuxième place.
123456789 est la preuve que la taille seule ne fait pas la sécurité d’un mot de passe. Parmi les autres facteurs, on trouve la complexité du mot de passe avec son mélange de lettres et de caractères spéciaux, le nombre de fois que le mot de passe est utilisé pour différents comptes, et le fait que ces « password » aient pu filtrer ailleurs.
Voici un guide en 6 points pour améliorer la gestion des mots de passe personnels, que vous utilisiez un gestionnaire de mots de passe ou que vous les gardiez par écrit à la maison.
Pour commencer, soyez créatif
Créer un mot de passe sécurisé et facile à mémoriser qui contienne 12 lettres majuscules et minuscules, des nombres et des caractères spéciaux, ce n’est pas vraiment facile. C’est pourquoi il faut faire preuve de créativité. Choisissez une phrase facile à mémoriser, un événement ou un jeu de mots que vous utiliserez comme base de votre mot de passe. Prenons par exemple le film aux cinq Oscars, Vol au-dessus d’un nid de coucous. Cela peut devenir vAu-desD1niCC : il répond aux critères de taille, de mélange complexe de caractères et, mieux encore, vous pourriez même réussir à le retenir.
Recyclez tout ce que vous pouvez
Tout le monde connaît la chanson du recyclage : séparer les déchets dans différents conteneurs pour le papier, le verre, le compost, les déchets alimentaires et les déchets non recyclables. Il y a une grande logique là-dedans : les bouteilles vides peuvent être remplies et les déchets alimentaires finalement transformés à nouveau en nourriture. Il n’y a cependant absolument aucune poubelle pour le recyclage des mots de passe.
Pourtant, en pratique, le recyclage des mots de passe est très répandu. Un sondage Avira en ligne[i] a montré l’année dernière que 26 % des participants admettaient recycler leurs mots de passe entre différents sites. Même si les gens ont conscience que donner aux pirates un « sésame qui ouvre tout » n’est pas une bonne attitude, cela reste la manière la plus simple pour le choix d’un mot de passe.
Ne laissez pas de piste
Nous avons grandi avec les films à suspens et le mystère, nous connaissons bien le scénario : le criminel répète son mode opératoire, utilise la même arme et abat la nouvelle victime de la même façon. La police rassemble les indices, y ajoute un peu de logique et de déduction et le tour est joué, ils tiennent un suspect.
Les gens agissent souvent de même avec les mots de passe. Ils utilisent un mot de passe de base qu’ils modifient légèrement pour leurs différents comptes ou les modifications obligatoires de mot de passe. Cela peut être aussi simpliste que 1password, 2password, 3password ou plus complexe comme vAu-desD2niCC. Un sondage parmi les utilisateurs d’Avira a montré que 26 % admettent utiliser le même mot de passe de base en le modifiant légèrement selon les besoins. Le problème c’est que les pirates aussi connaissent ce mode opératoire, et ils le combattent par des attaques très puissantes.
Changez de mot de passe comme de chaussettes
Les mots de passe sont comme les chaussettes : il faut les changer régulièrement. Même les mots de passe « secrure ». Vous n’y pouvez rien, la vérité c’est qu’il est impossible de savoir comment les gens utilisent et sauvegardent vos données. Et si vous avez saisi vos coordonnées sur un site d’hameçonnage, ou si votre fournisseur a été piraté, vous devez modifier les informations de votre compte dès que possible.
Choisissez la démarche qui répond le mieux à vos besoins
Il est important de choisir l’approche qui réponde le mieux à vos besoins pour créer et mémoriser les mots de passe. Si vous n’avez qu’un ou deux mots de passe et que vous effectuez l’intégralité de vos achats en ligne exclusivement depuis votre ordinateur de bureau, vous pouvez créer des mots de passe sécurisés et les noter sur des post-it jaunes pour vous en souvenir. Si vous êtes toujours en déplacement, que vous utilisez différents appareils et différents comptes pour vos activités en ligne, il est temps de songer à utiliser un gestionnaire de mots de passe qui peut créer, analyser et synchroniser les mots de passe entre les appareils.
Améliorez votre statut
La majorité d’entre nous a déjà accumulé en ligne un grand nombre de mots de passe et de comptes non sécurisés pendant bien plus de temps qu’il aurait fallu avant d’avoir simplement l’idée d’utiliser un gestionnaire de mots de passe. Personne n’est parfait, c’est pourquoi un gestionnaire de mots de passe peut vous permettre d’améliorer l’état général de votre sécurité, en découvrant les mots de passe répétés, en recherchant les comptes piratés et en vous aidant à créer des mots de passe. (Pegassus Technologies / Gizmodo)
[1] (1) Enquête en ligne d’Avira menée en août 2018 en Allemagne sur 718 personnes âgées de 20 à 65 ans.
La cybersécurité ne se limite pas à se protéger de malveillances externes. Bien souvent, les risques sont intimement liés à l’interne, de façon accidentelle ou intentionnelle. Mieux connaître ces menaces, c’est déjà les anticiper.
Lorsqu’on se figure un cybercriminel, on imagine une silhouette inquiétante, penchée sur un clavier dans un lieu sombre et lointain. Or dans les faits, les menaces les plus vives pour une entreprise sont bien plus proches qu’on ne le pense.
Un collègue croisé le matin même dans l’ascenseur ou dans le cadre d’une réunion stratégique est peut-être sur le point de devenir responsable de la fuite de données qui va coûter des millions à l’entreprise.
Les menaces internes doivent être prises au sérieux et leur nature doit être bien appréhendée pour qu’une protection efficace soit mise en place, sans pour autant affecter les opérations quotidiennes, la productivité ou l’agilité de l’entreprise.
Chaque entreprise est confrontée à des cybermenaces différentes, dont les caractéristiques dépendent d’une série de facteurs tels que son domaine d’activité, son infrastructure et sa sécurité informatique, ainsi que les méthodes de travail qu’elle applique. Il existe toutefois plusieurs règles qui s’appliquent généralement à tous les scénarios de menace interne.
Les compromissions internes sont généralement accidentelles
Les organisations qui ont reconnu la gravité des menaces internes se focalisent souvent sur la prévention des attaques malveillantes, telles que celles perpétrées avec un motif de vengeance par des employés mécontents, ou celles visant à voler l’organisation. Toutefois, selon le Forum sur la sécurité de l’information, la plupart des infractions sont accidentelles et non intentionnelles.
Les hackers savent identifier les collaborateurs à cibler
Les cybercriminels ciblent souvent les employés disposant de privilèges importants, tels que des administrateurs système, le personnel du service d’assistance informatique et les membres de comité de direction. Piégés par des attaques de phishing très ciblées, ils ouvrent sans le savoir la porte aux pirates informatiques et leur permettent d’accéder à l’infrastructure de l’entreprise.
Les tiers utilisateurs et les ex-collaborateurs : des menaces particulières
De nombreuses organisations donnent accès à leurs réseaux à des personnes tierces. Des clients, des fournisseurs et des sous-traitants. N’étant pas employés de la société, ces individus sont plus difficiles à gérer que les employés, ce qui rend le contrôle de leur accès encore plus ardu.
Mais les anciens collaborateurs (ou en phase de départ) peuvent devenir de véritables menaces. Si la plupart des atteintes internes sont involontaires, 1 incident interne sur 4 provient d’un (ex)employé malveillant, généralement motivé par la vengeance contre l’organisation, suite au licenciement par exemple, ou les croyances politiques et religieuses, voire même sous pression d’un réseau criminel.
Les pirates agissent selon un plan précis
Les attaques internes généralement exécutées en plusieurs étapes. Tout d’abord, une approche par phishing ou autre stratagème d’ingénierie sociale, permettant de récupérer un compte à droits limités. Ces privilèges étendus via une collecte de mots de passe ou de hachage de mots de passe. Ainsi que d’autres informations d’authentification. La technique Pass-the-hash utilisée pour se déplacer sur le réseau et accéder aux différents systèmes. Enfin, les données cibles ou autres ressources localisées et compromises.
Quelle que soit l’origine et l’intentionnalité de la compromission, se protéger contre les menaces internes nécessite de développer une véritable culture de la cybersécurité en interne, afin que les collaborateurs prennent conscience des risques et adoptent les bons réflexes (complexité et modification régulière des mots de passe, utilisation ou non du Cloud public, etc.)
Mais l’application du principe du moindre privilège (droits d’un utilisateur strictement limités aux besoins de son travail) reste essentielle afin de contenir au maximum les risques suite à la compromission d’un compte utilisateur : moins ce dernier aura de droits, moins l’attaque sera efficace. (Par Thomas Leconte, Responsable avant-vente chez MTI France)
Actualités cybersécurité, protections des données pour PME/PMI/TPE
