Archives de catégorie : Communiqué de presse

Communiqué de presse, Cybersécurité

86 % des RSSI estiment que les failles de sécurité dans les réseaux d’entreprise sont inévitables

Les responsables de la sécurité des systèmes d’information des entreprises (RSSI) à travers le monde se retrouvent démunis lorsqu’il s’agit de combattre la cybercriminalité. Ils manquent d’influence auprès de la direction et éprouvent des difficultés à justifier les budgets dont ils ont besoin, ce qui conduit inévitablement à rendre leur entreprise plus vulnérable. C’est l’un des enseignements d’une nouvelle étude de Kaspersky Lab, révélant que 86 % (80% en Europe) des RSSI jugent aujourd’hui les failles de cybersécurité inévitables, les groupes cybercriminels à motivations financières étant leur principale préoccupation.

La montée des cybermenaces, conjuguée à la transformation numérique qu’opèrent actuellement de nombreuses entreprises, rend le rôle du RSSI de plus en plus important dans l’entreprise moderne. L’étude de Kaspersky Lab révèle que les RSSI sont aujourd’hui soumis à une pression sans précédent : 57 % d’entre eux estiment que les infrastructures complexes liées au cloud et à la mobilité représentent un défi majeur et 50 % s’inquiètent de la recrudescence continue des cyberattaques.

Les RSSI pensent que les bandes cybercriminelles à motivations financières (40 %) et les attaques venant de l’intérieur (29 %) constituent les principaux risques pour leur entreprise. Or il s’agit de menaces extrêmement difficiles à prévenir, soit car elles émanent de cybercriminels « professionnels », soit parce qu’elles bénéficient de l’aide d’employés indélicats.

Les difficultés à justifier les budgets mettent les RSSI en concurrence avec les autres départements de l’entreprise

Les budgets affectés à la cybersécurité tendent à croitre. Un peu plus de la moitié (56 %) des RSSI interrogés prévoient une augmentation de leur budget à l’avenir (seuls 49% en Europe), tandis que 38 % (49% en Europe) s’attendent à ce qu’il demeure stable.

Néanmoins, les RSSI se heurtent à des obstacles budgétaires majeurs car il leur est quasi impossible de garantir un retour clair sur investissement (ROI) ou une protection à 100 % contre les cyberattaques.

Par exemple, plus d’un tiers (36 %) des RSSI se disent dans l’incapacité d’obtenir le budget nécessaire en matière de sécurité informatique, faute de pouvoir garantir l’absence de faille. En outre, lorsque le budget de la sécurité s’inscrit dans les dépenses informatiques globales, les RSSI doivent rivaliser avec les autres départements. Le deuxième obstacle le plus fréquent à l’obtention d’un budget est en effet l’intégration de la sécurité dans l’ensemble des dépenses informatiques. En outre, un tiers des RSSI (33 %) indiquent que le budget qu’ils pourraient se voir attribuer va en priorité au numérique, au cloud ou à d’autres projets informatiques susceptibles de démontrer un ROI plus clair.

Les RSSI ont besoin d’une audience au sein de la direction à mesure que la transformation numérique se déroule

Les cyberattaques peuvent avoir des conséquences catastrophiques pour les entreprises : plus d’un quart des participants à l’enquête de Kaspersky Lab citent les atteintes à la réputation (28 %) et les préjudices financiers (25 %) comme effets les plus critiques d’une cyberattaque.

Cependant, en dépit de l’impact négatif d’une cyberattaque, seuls 26 % des responsables de la sécurité informatique sont membres de la direction de leur entreprise. Parmi ceux qui n’en font pas partie, un sur quatre (41% en Europe) pense que ce devrait être le cas.

La majorité des responsables de la sécurité informatique (58 %) s’estiment suffisamment associés aux prises de décisions dans leur entreprise à l’heure actuelle. Cependant, à mesure que la transformation numérique devient essentielle pour l’orientation stratégique des grandes entreprises, il doit en aller de même pour la cybersécurité. Le rôle du RSSI doit évoluer afin de refléter ces changements et de le mettre en capacité d’influer sur ces décisions.

Budget et cybersécurité

Maxim Frolov, Vice-président des ventes mondiales de Kaspersky Lab, commente : « Traditionnellement, les budgets de la cybersécurité étaient perçus comme des dépenses informatiques moins prioritaires mais ce n’est plus tellement le cas. Il est en effet temps d’éduquer les équipes dirigeantes des entreprises de la nécessité d’investir dans la cybersécurité. Il ne s’agit pas de garantir la prévention complète des incidents de sécurité, il s’agit surtout d’augmenter le coût d’une cyberattaque pour un attaquant. L’objectif est de rendre une attaque hors de portée financièrement, et de décourager les attaquants, faute de rentabilité. »

Plus important encore, il s’agit de permettre à l’équipe de sécurité de contrer immédiatement toute tentative de compromission des systèmes et réseaux de l’entreprise. Une faille majeure coûte en moyenne 1,08 millions d’euros à une grande entreprise, mais en prenant les mesures de sécurité nécessaires, ce montant peut décroître, voir disparaître. Ce qui ressemble alors à une décision business pertinente.

Banque, Bitcoin, Communiqué de presse, Cybersécurité, Securite informatique, Social engineering

Le minage de crypto-monnaies pirate dépasse les ransomwares

L’usage des ransomware a drastiquement chuté au profit du minage de crypto-monnaies. Pendant les trois premiers trimestres de l’année 2018, 5 millions d’utilisateurs ont été attaqués en ligne, par des mineurs de cryptomonnaie, contre 2,7 millions en 2017.  Les infections sont dues, en grande majorité, au téléchargement et à l’installation de logiciels sans licence, ce qui implique un ciblage des victimes plutôt orienté vers le grand public.

Le principe même de la criminalité, qu’il s’agisse du cyber ou du physique, repose sur l’appât du gain, la possibilité de gagner beaucoup d’argent, en très peu de temps. Pendant plusieurs années, le prix des crypto monnaies a été très élevé. Aujourd’hui, les cours sont fluctuants, voire  en chute libre depuis quelques semaines. Très vite, le minage de crypto monnaies ne sera plus rentable car les gains ne couvriront plus les investissements en temps. Ce sera particulièrement vrai si les criminels continuent de cibler les machines individuelles, plutôt que les grandes entreprises disposant de fortes puissances de calcul. En revanche, si les crypto monnaies continuent leur démocratisation, il faudra surveiller les plates-formes d’échange qui pourront devenir de véritables nids d’opportunités pour les criminels dans des opérations de phishing de leur client ou de piratage direct.

 L’extorsion de fonds à grande échelle

Ronan Mouchoux du GReAT explique : «  En mars 2010, la plate-forme pionnière d’échange de cryptomonnaies, BitcoinMarket, effectuait la toute première transaction financière entre bitcoin et monnaie fiduciaire. Un bitcoin échangé alors pour 0.003 dollar US. Huit ans plus tard, l’écosystème s’est développé, avec des milliers de nouvelles blockchains et des centaines de plates-formes de trading. Sur cette durée, au moins 31 piratées pour un montant de 1,3 milliard de dollars. Les détenteurs de crypto monnaies, les développeurs de blockchains et les plates-formes d’échange sont les trois cibles des cybercriminels. Rien qu’au deuxième trimestre 2018, plus de 2 millions de dollars extorqués à des possesseurs de crypto monnaies par phishing ou arnaque. En septembre dernier, l’une des principales plates-formes japonaises d’échange, Zaif, se faisait voler l’équivalent de 60 millions de dollars. »

 

 Investisseurs individuels vs. banques : une inégalité en matière de sécurité

Les crypto monnaies se démocratisent toujours davantage et sont désormais accessibles à la plupart des investisseurs. La tendance devrait encore se renforcer grâce à l’ouverture annoncée du marché directement via les buralistes en 2019. Il faut s’attendre à d’importantes tentatives d’exploitation de failles de sécurité. Les détenteurs de crypto monnaies, les développeurs de blockchain et les plates-formes d’échanges doivent impérativement accroître leur niveau de sécurité, encore beaucoup trop faible par rapport aux banques historiques et traditionnelles. Preuve en est, le plus gros casse bancaire de l’histoire se baptise Carbanak : l’attaque avait entrainé le vol de 1 milliard de dollars. Durant le premier semestre 2018 au Japon, près de 500 millions de dollars dérobés par piratage de plusieurs plateformes d’échanges de ce pays. De quoi attirer les cybercriminels, bien plus qu’avec le minage.

 Comment se protéger ?

Il est primordial pour les utilisateurs de choisir leur plate-forme en fonction de leur sécurité. Pour les plus gros détenteurs de cryptoactifs, on ne peut que recommander fortement d’investir dans un porte monnaies physique à la réputation éprouvée. Quant aux développeurs de blockchain et aux plates-formes d’échanges, ils doivent utiliser des solutions et recruter de véritables experts en cybersécurité. Tout ce qui est tendance sur un marché, l’est aussi pour la cybercriminalité. Bien entendu comme toute activité qui implique un accès en ligne, disposer d’appareils et de solutions à jour et ne pas installer de logiciels non certifiés font partie des recommandations basiques. (Rapport)

Antivirus, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Propriété Industrielle, Securite informatique, Virus

L’intelligence artificielle pour lutter contre la cybercriminalité

L’éditeur allemand G DATA, annonce l’intégration de DeepRay dans ses solutions de sécurité.

Avec la nouvelle technologie de détection DeepRay basée sur l’apprentissage machine et l’intelligence artificielle, les solutions de sécurité de G DATA disposent d’une capacité de détection accrue face aux menaces connues et inconnues. G DATA fut, il y a plus de 30 ans, l’un des premiers éditeurs de solutions antivirus. Aujourd’hui, l’entreprise démontre une fois de plus sa force d’innovation en présentant DeepRay, une nouvelle technologie qui utilise le machine learning pour évaluer et détecter la dangerosité des codes malveillants.

Réseau neuronal en action

Les solutions de sécurité G DATA pour les particuliers utilisent désormais un réseau neuronal composé de modèles mathématiques de type « Perceptron » pour identifier et analyser les processus suspects. Ce réseau fonctionne avec un algorithme continuellement amélioré par l’apprentissage adaptatif et l’expertise des analystes G DATA. Les différents types de fichiers exécutables sont catégorises à l’aide d’indicateurs, tel que par exemple le rapport entre la taille du fichier et le type de code exécutable, la version du compilateur utilisée ou encore le nombre de fonctions système importées.

Analyse des processus en mémoire

Si DeepRay définit un fichier comme suspect, une analyse approfondie se lance dans la mémoire du processus correspondant. Il s’agit alors d’identifier le fonctionnement du fichier et de le rapprocher à un modèle de familles de logiciels malveillants connus ou à un comportement malveillant en général. Grâce à DeepRay, les solutions de sécurité G DATA détectent bien plus tôt les fichiers malveillants dissimulés et préviennent ainsi des dommages qu’ils peuvent causer au système.

« Avec DeepRay, nous changeons les règles du jeu. Grâce à cette nouvelle technologie, nous pouvons regarder au-delà de la dissimulation des logiciels malveillants et repousser efficacement les campagnes d’infection à développement rapide. La protection de nos clients est considérablement augmentée« , déclare Andreas Lüning, fondateur et CEO de G DATA Software AG.

Communiqué de presse, Cybersécurité, Securite informatique

Détecter et prévenir la menace interne

Qu’il s’agisse d’utilisateurs malveillants, négligents ou exploités, il est communément admis que le plus grand risque pour toute entreprise provient de la menace interne. Rappelez-vous également que presque toutes les attaques externes finissent par ressembler à des attaques internes.

Selon le Data Breach Investigations Report 2018 de Verizon, l’utilisation d’informations d’identification internes compromises par un attaquant externe constitue la menace la plus courante dans les violations de données. C’est pourquoi il est important d’identifier les menaces internes le plus tôt possible.

Le risque zéro n’existe pas, mais il y a un moyen de réduire significativement les risques potentiels.

Alors, de quelle façon les organisations peuvent-elles identifier la menace interne, de préférence avant qu’une action ait lieu ?

Se contenter de surveiller toute l’activité réseau n’est pas suffisant pour protéger une organisation contre les activités malveillantes ou imprudentes. Il faut donc rechercher des indicateurs avancés d’un comportement inapproprié, malveillant ou négligent des employés.

Pour cela, il est important de concentrer vos efforts sur la partie de l’attaque qui ne peut être contournée – la connexion.

DÉTECTER ET PRÉVENIR LES MENACES INTERNES

Presque chaque action de menace interne nécessite une connexion à l’aide d’identifiants internes. Il s’agit de l’action la plus simple et commune pour les attaques internes.

L’accès aux points de terminaison, le mouvement latéral entre les points de terminaison, l’accès externe via VPN, l’accès au bureau à distance, etc., ont tous en commun la sollicitation d’une connexion.

Il faut donc surveiller la connexion pour diminuer le risque. Le concept de gestion de la connexion se structure autour de quatre fonctions essentielles qui agissent ensemble pour maintenir un environnement sécurisé :

  • Politique et restrictions – Établit qui peut se connecter quand, depuis où, pendant combien de temps, combien de fois et à quelle fréquence (sessions simultanées). On peut également limiter les types d’ouverture de session spécifiques (tels que les connexions basées sur la console ou RDP).
  • Surveillance en temps réel et reporting – Chaque connexion est surveillée et testée par rapport aux stratégies existantes pour déterminer si une connexion doit être autorisée. Le reporting aide à obtenir des informations détaillées pour toute enquête.
  • Alertes pour l’informatique et l’utilisateur final – Informe le service informatique et l’utilisateur de l’activité de connexion inappropriée et des tentatives infructueuses.
  • Réponse immédiate – Permet au service informatique d’interagir avec une session suspecte, de verrouiller la console, de déconnecter l’utilisateur ou même de les empêcher de se connecter ultérieurement.

Finalement, la gestion des connexions fait de la connexion elle-même un événement scruté et protégé.

Le but d’avoir une solution de gestion des connexions en place est de pouvoir détecter immédiatement une tentative d’accès anormale grâce aux stratégies de connexion personnalisées et granulaires définies pour ce compte particulier (employé). Cette même solution pourra ensuite agir en conséquence – soit en refusant, soit en approuvant la connexion – et en informant le service informatique (ou l’utilisateur lui-même) si cela est stipulé.

La gestion de la connexion est un moyen simple, efficace et rentable de contrecarrer les menaces internes potentielles. Elle fournit une couche de protection à la connexion, qui existe logiquement avant que l’action ne se produise, pour arrêter complètement la menace. Autrement dit, aucune connexion, aucune menace.

Parmi les scénarios de menaces internes potentiels qui sont actuellement contrecarrés, citons :

  • Les connexions authentiques mais compromises d’utilisateurs exploités sont désormais inutiles pour les employés malveillants ou les attaquants potentiels.
  • Les comportements imprudents de l’utilisateur, tels que le partage de mot de passe, les postes de travail partagés laissés déverrouillés ou des connexions simultanées à plusieurs ordinateurs, sont maintenant éradiqués.
  • L’accès à toute donnée / ressource est désormais toujours identifiable et attribué à un utilisateur individuel. Cette responsabilité décourage un employé d’agir avec malveillance et rend tous les utilisateurs plus attentifs à leurs actions.
  • Une activité suspecte est alertée pour permettre à l’équipe informatique de réagir instantanément.
  • Les utilisateurs sont avertis par un message et des alertes sur mesure, y compris des alertes sur leur propre accès sécurisé. Les employés informés représentent une autre ligne de défense.

 STOPPER LES MENACES INTERNES

La menace interne est réelle. Elle est présente sur votre réseau. Ce sont les employés avec lesquels vous travaillez tous les jours, où leur passage au statut d’attaquant interne peut dépendre d’une simple relation brisée, une promotion passée ou des difficultés personnelles. Ainsi, il est essentiel de disposer d’une solution proactive et économique pour faire face aux menaces internes. C’est aussi important que la protection de vos points de terminaison, les pares-feux et la passerelle de messagerie.

Le facteur commun à chaque scénario d’attaque interne est la connexion. Avec les connexions en tant que votre indicateur clé de menace interne :

  1. Vous identifiez le potentiel de menace très tôt dans le processus.
  2. Les faux positifs sont évités grâce à des stratégies granulaires (par compte, si nécessaire) qui définissent ce qui est et n’est pas « normal ».
  3. La connexion est refusée, arrêtant la menace.

En tirant parti de la gestion des connexions, vous placez la détection et la réponse aux menaces internes bien au-delà des actions malveillantes qui pourraient avoir lieu, arrêtant ainsi tout risque interne, avec un contrôle total de l’équipe informatique.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique

Observation de l’évolution des tactiques de diffusion des ransomwares

Il y a quatre ans de cela, les criminels envoyaient des mails à des millions d’adresses, diffusant des variantes de logiciels rançonneurs, via des liens infectés ou des documents Word, sans logique ou ciblage apparent. Aujourd’hui, les ransomware se professionnalisent !

Lorsque les logiciels rançonneurs ont commencé à chiffrer les ressources disponibles sur les réseaux, les entreprises ont commencé à y prêter un peu plus attention. Cette étape de l’évolution des logiciels rançonneurs a vu la méthode de diffusion éparpillée précédemment mentionnée se combiner au chiffrement de fichiers disponibles aussi bien sur le serveur local que sur les serveurs d’entreprise. Le chiffrement du serveur de fichiers d’une infrastructure ou de son système de stockage en réseau entraîne plus de dommages pour l’entreprise que le chiffrement d’un poste de travail individuel. Dans ce contexte, la hotline de notre équipe d’intervention a commencé à recevoir plus d’appels, au cours desquels les administrateurs informatiques des systèmes touchés par des logiciels rançonneurs ont commencé à se poser des questions très sérieuses sur les conséquences associées au paiement des rançons.

Cette tendance des ransomwares à chiffrer les partages réseau, et l’attention accrue qui en résulte, est probablement à l’origine des phases suivantes de leurs techniques de déploiement.

Frappes de précision : l’essor du protocole RDP (Remote Desktop Protocol)

En 2016, nous avons commencé à constater des infections massives de logiciels rançonneurs au cours desquelles plusieurs actifs essentiels de l’environnement des victimes étaient simultanément infectés, et avons donc constaté davantage d’interactions entre les agresseurs et leurs victimes (en raison de l’impact de leurs logiciels rançonneurs sur l’environnement des victimes). La communauté de sécurité s’est livrée à des enquêtes plus poussées qui ont confirmé ces soupçons : des cybercriminels utilisaient le protocole RDP, un protocole propriétaire conçu par Microsoft, pour fournir aux utilisateurs l’interface graphique d’un système distant, afin de s’introduire dans l’environnement des victimes.

Une fois en place, les agresseurs déployaient généralement des outils permettant de rechercher et d’exploiter des relations utilisateur/groupe/administrateur mal configurées ou non intentionnelles. Les paramètres Active Directory mal configurés ou non intentionnels sont les meilleurs alliés des cybercriminels, en leur permettant d’accéder aux privilèges de l’administrateur du domaine. Dès que le compte de ce dernier est compromis, les hackers ont la possibilité d’effectuer une reconnaissance du réseau pour identifier les actifs les plus critiques et les infecter.

Après avoir identifié les serveurs critiques et les systèmes de sauvegarde dans l’environnement, les hackers peuvent désormais utiliser les outils d’administration système intégrés à Windows pour déployer largement leurs logiciels rançonneurs.

A ce stade, les agresseurs n’essayaient donc plus d’envoyer un email à chaque personne présente sur le web. Avec le protocole RDP, ils savaient exactement qui et quoi cibler, en infectant simultanément des ressources critiques grâce à leur nouvel accès à l’environnement des victimes.

La prochaine étape des logiciels rançonneurs : les botnets

La tactique consistant à utiliser le RDP comme base initiale pour ces déploiements de logiciels rançonneurs en volume, interactifs, programmés ou manuels, était devenue si courante qu’elle faisait l’objet de nos premières questions lors de la prise en charge de nouveaux incidents. Cependant, pour les cas récents tels que le logiciel rançonneur Ryuk [1], nous assistons à une autre évolution des tactiques de diffusion. Lorsque nous enquêtons sur les victimes pour déterminer si elles sont exposées au niveau du RDP, nous pouvons constater que ce protocole n’est pas activé, ou que l’accès se fait via VPN. Dans cette mesure, il n’expose pas directement les victimes sur Internet.

Ces cas nécessitent des enquêtes plus approfondies. Dans plusieurs cas récents, nous découvrons des infections de bots corrélées à la chronologie des infections de logiciels rançonneurs.

Au cours du mois dernier, nous avons observé des infections de TrickBot, d’Emotet et d’AdvisorsBot qui correspondent parfaitement au moment du déploiement des logiciels rançonneurs. Ces infections par bots sont généralisées dans l’environnement des victimes, et tirent également parti des relations d’approbation mal configurées dans Active Directory pour se répandre latéralement. Cette tendance à l’utilisation des bots pour s’implanter ne fait qu’augmenter.

Dans ces cas, nous constatons que des e-mails de phishing contenant des documents Word malveillants sont le vecteur de diffusion des bots. Ces documents Word malveillants contiennent un contenu exécutable appelé macros. Lors de nos analyses des infections par TrickBot et AdvisorsBot relatives aux logiciels rançonneurs, nous constatons que les victimes ont ouvert le mail. Ouvert les documents joints. Permis aux macros de s’éxecuter.

À ce stade, le contenu exécutable dans les macros installe un bot ou contacte le serveur de commande et de contrôle du botnet pour obtenir du code malveillant supplémentaire, qui est finalement le véritable logiciel malveillant.

C’est une évolution des tactiques de déploiement des logiciels rançonneurs. La tendance observable de diffusion des ransomwares, allant de l’email de phishing opportuniste jusqu’à l’implantation et la reconnaissance via une configuration RDP compromise, se poursuit aujourd’hui par une implantation avancée au cœur du réseau grâce à des infections par bots qui se propagent latéralement.

En conclusion, la tendance d’implantation des bots pour propager des logiciels rançonneurs continuera à se développer. A l’avenir, différents bots seront utilisés simultanément. Mais le fait qu’ils offrent une persistance et facilitent le déploiement de logiciels malveillants supplémentaires en font un choix évident en matière d’implantation malveillante.

Conseil de l’équipe d’intervention Check Point

Au cours des différentes enquêtes, il a été découvert que la plupart des victimes avaient involontairement autorisé l’accès RDP au réseau depuis Internet en raison de la configuration des règles de sécurité sur le pare-feu, autorisant trop de ports ou configurant incorrectement l’IP/le masque réseau. La fonctionnalité « Packet Mode » de R80.10 [1] nous permet de vérifier rapidement si les ports RDP sont exposés sur Internet. Les règles de la blade Compliance (conformité) peuvent également être configurées pour émettre une alerte en cas d’exposition accidentelle de RDP. (Par l’équipe d’intervention de Check Point).

APT, backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Mise à jour, Securite informatique

Sofacy, un groupe de pirates omniprésent sur la toile

L’Unité42, unité de recherches de Palo Alto Networks, dévoile aujourd’hui une nouvelle étude sur le groupe Sofacy et le nouveau malware utilisé par le groupe pour mener des attaques de cyber-espionnage contre différentes agences gouvernementales partout dans le monde.

Sofacy continue ses attaques mondiales et sort un nouveau cheval de Troie « Cannon ». Découverte d’un nouveau malware « Canon », un cheval de Troie pour donner un accès distant (RAT pour Remote Access Trojan) : ce nouveau malware a été utilisé par Sofacy pour mener des attaques de cyber-espionnage. Ce groupe continue aussi à utiliser Zebrocy (un RAT déjà connu) dans leurs attaques. Utilisation de diverses techniques pour éviter d’être détecté et analysé : 1) au lieu d’inclure le code malicieux en pièce jointe, Sofacy le télécharge à distance à l’ouverture du document, 2) le groupe utilise des courriels pour envoyer et recevoir des instructions et 3) le groupe utilise également des macros spécifiques pour détourner les tentatives d’analyse du code malicieux. Ingénierie sociale : Sofacy a utilisé le récent crash aérien affectant Lion Air comme leurre dans l’une de leurs attaques — ce qui est un exemple de leur volonté permanente d’utiliser l’ingénierie sociale pour déployer leur malware.

Sofacy, l’ogre à données piratées

Depuis la fin du mois d’octobre 2018, Unit 42 a intercepté une série de documents vérolés en utilisant une technique qui fait appel à des modèles de mise en page distants contenant des macros dangereuses. Ce genre de document infecté n’est pas rare.

Les systèmes d’analyses automatisés ont plus de mal à les identifier comme dangereux en raison de leur nature modulaire. La particularité de cette technique est la suivante : si le serveur C2 (ou C&C pour Command and Control, le serveur utilisé par les cybercriminels pour finaliser l’infection et contrôler les machines infectées) n’est pas disponible au moment de l’exécution, le code malicieux ne peut être récupéré, et les documents délivrés sont alors sans danger.

Documents infectés

Ensuite, ces documents infectés ciblaient différentes agences gouvernementales à travers le monde, y compris en Amérique du Nord, en Europe, ou dans un des États de l’ancienne URSS. Heureusement, les serveurs C2 de plusieurs de ces documents étaient encore opérationnels, ce qui a permis de retrouver les macros dangereuses et les téléchargements qui y sont liés. L’analyse a révélé que le premier téléchargement lié était le cheval de Troie bien connu Zbrocy. D’autres données collectées ont dévoilé un deuxième téléchargement que l’Unit42 a surnommé « Canon ». Enfin, canon n’avait jusqu’ici pas encore agi via le groupe Sofacy, il contient une nouvelle voie de communication avec les serveurs C2 en passant par la messagerie électronique.

crash list(Lion Air Boeing 737).docx

Pour conclure, l’activité concerne plus précisément deux documents infectés bien spécifiques qui partage des données communes comme une adresse IP commun pour le serveur C2, un nom d’auteur commun, et des tactiques communes. Des données complémentaires ont révélé une campagne d’attaque importante associée avec le cheval de Troie Canon sur lequel l’Unit42 reviendra dans un prochain billet de blog. Un des aspects les plus intéressants des documents les plus récents utilisés par l’adversaire pour son infiltration était le nom du fichier : crash list(Lion Air Boeing 737).docx. Ce n’est pas la première fois qu’un groupe ennemi utilise les événements récents comme un leurre. Il est intéressant de voir que ce groupe essaie de miser sur des événements catastrophiques pour lancer leurs attaques. (U42)

Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Securite informatique

Six étapes pour empêcher la perte ou le vol de données

Avec le déclin du périmètre réseau traditionnel, il est désormais essentiel d’adopter une stratégie de sécurité axée sur les données afin de protéger les informations de l’entreprise contre la fuite ou le vol.

Nous assistons depuis plusieurs années à la dissolution du périmètre réseau identifiable. Le personnel mobile et les télétravailleurs, qui ont besoin d’un accès universel aux informations et aux ressources pour organiser leur collaboration, ont rendu entièrement obsolète le concept de périmètre réseau traditionnel — celui qui était auparavant défini par les limites géographiques et technologiques des serveurs et appareils de l’entreprise. L’écosystème mondial de l’information se bâtit désormais sur un modèle de collaboration ouverte, de confiance et de flux constants d’informations — précisément les caractéristiques qui sont actuellement exploitées par les cybercriminels.

Dans un monde numérique sans frontières, il est impératif de redéfinir l’approche de la sécurité. Il est important de s’éloigner d’une simple protection du périmètre réseau pour se concentrer sur la sécurisation des données, où qu’elles passent et où elles se trouvent. Voici six étapes permettant de mener cette opération à bien avec efficacité.

1. Identifier et classer les données sensibles

La première étape de toute stratégie de sécurité des données efficace consiste à déterminer la sensibilité de vos données et à repérer où elles résident, que ce soit dans le cloud, sur des disques partagés, des bases de données ou les trois à la fois. Il vous faut ensuite décider si ces données nécessitent une protection ou pas, et dans quelle mesure. La classification des données sert tout d’abord à identifier les données, où qu’elles se trouvent. Elle trie ensuite les données dans des catégories appropriées, en fonction de leur sensibilité et d’autres critères, et crée des politiques pour déterminer qui sont les employés autorisés à accéder à ces données, et les façons dont ils peuvent les utiliser. La classification des données peut constituer une aide précieuse pour les entreprises en matière de gouvernance, de conformité et de mandats de réglementation tels le PCI DSS et le RGPD, ainsi que dans le cadre de la protection de la propriété intellectuelle.

2. Attention à la menace interne accidentelle

Les employés font peser un grand risque sur les données internes, en dépit de la classification des données et des contrôles d’accès en vigueur. Les équipes informatiques doivent mener un audit et mettre en place une approche visant à définir un niveau de risque associé à chaque employé en fonction de ses possibilités d’accès aux données de l’entreprise. En effet, certains employés présentent un risque supérieur aux autres. Par exemple, les employés possédant des identifiants d’administrateur réseau posent un risque bien plus élevé que ceux qui n’ont qu’un accès utilisateur local. Les employés des services financiers, d’un autre côté, peuvent constituer une cible tentante pour les cybercriminels en raison des données lucratives qu’ils traitent. Comprendre quels employés posent les plus grands risques pour vos données et adapter vos défenses en fonction peut permettre à vos équipes informatiques de réduire considérablement la menace interne.

3. Ne pas se fier qu’à des technologies ponctuelles

La plupart des outils de sécurité actuels sont axés sur la visibilité et cherchent à faire barrage au point d’entrée pour protéger les systèmes. Ils balaient les fichiers à un moment précis pour déterminer s’ils sont malveillants. Mais des attaques avancées peuvent survenir à tout moment du jour ou de la nuit et en quelques secondes, exposant les actifs les plus sensibles des entreprises. Des technologies de détection en temps réel fournissent une vigilance constante et démontrent le sérieux de la stratégie mise en œuvre en matière de protection des données.

4. Comprendre les subtilités de la DLP

Bien que les cybercriminels représentent effectivement une menace pour les entreprises, le risque de perte de données accidentelle n’est pas à sous-estimer. Prenez par exemple un employé qui envoie un email confidentiel au mauvais destinataire, ou oublie une clé USB dans un train. Sans la DLP, ces actions pourraient entraîner une fuite de données et une violation des normes de conformité. Les technologies de DLP sécurisent les données en fonction des politiques prédéfinies et de la sensibilité des données. Si les données sont extrêmement sensibles et qu’un employé ne possède pas les autorisations d’accès nécessaires, il ou elle ne pourra pas copier ces données. Si la copie est autorisée, les données seront chiffrées pour garantir leur sécurité, où qu’elles soient transportées.

La DLP vient compléter la stratégie de sécurité d’une entreprise. L’approche réseau suffisait jusqu’ici. Maintenant que les informations voyagent sur de grandes distances, il est beaucoup plus facile de pénétrer à l’intérieur du périmètre étendu d’une entreprise. Sans la DLP, l’attaquant aurait accès à une manne de données sensibles. Avec la DLP en place, même en cas de faille dans le périmètre, l’attaque a bien moins de possibilités de nuire et de voler des données sensibles, ou quoi que ce soit d’ailleurs. En associant la sécurité réseau, la DLP et des mesures de sécurité comme la protection avancée contre les menaces, une entreprise peut rendre le vol de ses données presque impossible.

5. Au-delà de la conformité

Bien que de nombreuses industries et régions soient soumises à des exigences de conformité, notamment HIPAA, PCI et RGPD, ces normes ne sont qu’une première étape dans la protection des données sensibles. Elles forment une base solide, mais il faut poursuivre la démarche pour assurer la sécurité des données sensibles critiques, au-delà des numéros de cartes bancaires et de sécurité sociale. Pour véritablement vous assurer que la sécurité de vos données est parfaitement étanche, vous devez penser la conformité et la sécurité au-delà de simples cases à cocher.

6. Comprendre la diversité des menaces ciblant les données

Les outils que vous choisissez pour la sécurité doivent être réactifs et tenir compte des menaces externes comme les programmes malveillants et les attaques par force brute. Beaucoup de solutions de DLP se concentrent sur les fuites de données accidentelles — la menace interne — mais n’ont pas la possibilité de prendre en compte les menaces externes qui font également peser un risque sur les données. Les solutions de DLP intelligentes tiennent compte de la possibilité de vol d’identifiants par des attaques externes pour pénétrer le réseau sous l’identité d’un employé. Il devient capital de bénéficier d’un service de renseignement sur les menaces. Supposons qu’un pirate corrompe le compte d’un administrateur. Une solution intelligente et complète empêchera l’administrateur de déplacer des données ou du moins les chiffrera, en raison du caractère inhabituel de ce comportement ou de l’emplacement d’où a lieu la connexion.

Beaucoup de produits de sécurité prétendent protéger les données alors qu’ils ne sont pas dynamiques et ne tiennent pas compte du contexte.

Pour empêcher la perte ou le vol des données, il convient de prendre en compte l’évolution du périmètre réseau traditionnel et adopter une combinaison de solutions de sécurité régies par politiques et de sensibilisation des employés. En identifiant les emplacements où résident les données sensibles, en définissant des politiques pour les gérer et en mettant en œuvre des contrôles d’accès appropriés, les entreprises se placent en position de force pour se défendre contre les menaces internes et externes. Avec le déclin du périmètre réseau traditionnel, il est essentiel d’adopter une solution de sécurité avec un axe sur les données pour protéger les informations de l’entreprise contre la fuite ou le vol. (Par Jan van Vliet, Responsable EMEA, Digital Guardian)

Communiqué de presse, Cybersécurité, double authentification, IOT, Securite informatique, Social engineering

Fake news lors du Forum de la Gouvernance de l’Internet 2018

Le programme du OFF met la lutte contre les fake news à l’honneur.

En parallèle du Forum de la Gouvernance de l’Internet, qui se tient à Paris du 12 au 14 nombre prochain, l’Internet Society France co-organise un OFF, qui sera l’occasion de mettre en lumière certaines préoccupations des parties-prenantes. Le OFF référence ainsi plus d’une vingtaine d’événements du numérique qui ont lieu pendant le Forum. L’Internet Society France s’engage sur le sujet de la désinformation en ligne.

Un hackathon sur le thème des troubles informationnels pour des solutions concrètes

Nicolas Chagny, président de l’Internet Society France, commente : « les fake news sont un défi majeur de la gouvernance de l’Internet. Les solutions autoritaires sont tout aussi démagogues que les auteurs de fake news ; pour cette raison, nous souhaitons proposer une réponse collective à ces défis ». Organisé par l’Agence France Presse, Renaissance Numérique et Savoir*Devenir et l’Internet Society France, le hackathon a pour thème les troubles informationnels à l’ère numérique et les propos haineux. Il rassemblera experts, chercheurs, associations, développeurs, journalistes, et étudiants pour apporter des solutions multidisciplinaires à ces problématiques, alliant à la fois sciences sociales mais aussi le développement informatique.

3 jours de travail, 3 parcours de réflexion

Le hackathon autour de trois parcours : lutte contre les propos haineux sur Internet ; fausses vidéos et troubles informationnels ; éducation aux médias et au numérique.

Ce hackathon sera l’occasion d’aborder l’amélioration du projet InVID porté par l’Agence France Presse, qui ambitionne de fournir un outil de vérification des images et vidéos, et aussi l’internationalisation de la plateforme Seriously (www.Seriously.ong), outil de lutte contre les discours de haine sur Internet conçu par Renaissance Numérique.

Inscription au hackaton : https://igf2018-leoff.paris/hackathon

Android, backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Piratage, Securite informatique, Smartphone, Téléphonie, Vie privée

Les cyberattaques ciblant Android en hausse

Les analystes de G DATA ont comptabilisé plus de 3,2 millions de nouvelles applications malveillantes à la fin du troisième trimestre 2018. Cela représente une augmentation de plus de 40 % par rapport à la même période en 2017. Les cybercriminels se concentrent sur les appareils mobiles, en particulier sous le système d’exploitation Android. La raison : huit personnes sur dix dans le monde utilisent un appareil Android.

À la fin du troisième trimestre, les analystes de G DATA ont recensé près de 3,2 millions de nouvelles applications malveillantes Android sur l’année, soit en moyenne 11 700 nouveaux dangers par jour. Il s’agit d’une augmentation de plus de 40 % par rapport à la même période de l’année précédente. En termes de sécurité, Android doit également lutter contre les équipements obsolètes. Dès 2017, Google a réagi avec le Project Treble, une fonctionnalité sous Android 8 qui permet une distribution plus rapide des mises à jour. Mais Android 8 est pour le moment dans un peu moins d’un appareil sur cinq – plus d’un an après son lancement en août 2017. Quant à la version actuelle 9, sa diffusion est inférieure à 0,1 % du parc.

Distribuer plus rapidement les mises à jour de sécurité

L’une des clés d’une meilleure protection réside dans la distribution rapide de mises à jour de sécurité. Selon « The Verge », depuis cet été Google oblige contractuellement les fabricants de smartphones sous Android à fournir des mises à jour de sécurité pour au moins deux ans. En détail, les appareils doivent recevoir au moins quatre mises à jour de sécurité Google au cours de la première année. Au cours de la deuxième année, les fabricants doivent assurer une fréquence de mise à jour qui permet de protéger les appareils des vulnérabilités datant de plus de 90 jours.

Un contrat qui comporte toutefois certaines limites. Seuls les smartphones de 100 000 utilisateurs concernés. En outre, l’accord ne s’applique qu’aux équipements mis sur le marché à partir de février 2018, avec une certaine tolérance admise jusqu’au 31 janvier 2019.

Le risque des logiciels espions

Les fonctionnalités étendues des logiciels espions ciblant le système Android sont une source d’incertitude. Ces codes malveillants rivalisent de techniques pour accéder au contenu des appareils. Dernièrement, les analystes de G DATA détaillaient le fonctionnement d’un trojan capable de lire les conversations WhatsApp. Les Smartphones contenant un nombre croissant d’informations sensibles, les attaquants ont bien compris l’intérêt de ces types de codes malveillants.

Virus Bulletin : Google parle d’Android

Lors de la conférence Virus Bulletin qui s’est tenue à Montréal en octobre, des chercheurs de Google ont fait deux présentations qui montrent que la sécurisation de la plateforme Android est un défi quotidien. L’analyste Maddie Stone a par exemple présenté une application malveillante qui déploie un niveau inhabituellement élevé de techniques pour ne pas être détecté par les systèmes automatisés de Google.

L’expert en sécurité Łukasz Siewierski a quant à lui présenté une campagne de logiciels malveillants préinstallés sur les smartphones Android. Selon son analyse, le malware était déjà installé pendant la phase de développement. G DATA a traité d’un sujet similaire lors du Virus Bulletin 2015 et pour la première fois en 2014.

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, IOT, Mise à jour, Patch

Craquer un mot de passe Wi-Fi WPA2 n’a jamais été aussi facile

Il n’est pas toujours facile de sécuriser un réseau domestique, même quand toutes les précautions possibles sont prises. Beaucoup de facteurs entrent en jeu et l’un d’entre eux est bien sûr le routeur. Jusqu’à présent, tout ce qu’il vous fallait était un mot de passe assez fort et un chiffrement WPA2. Mais les choses ont changé. Les chercheurs ont découvert un nouveau moyen apparemment très facile de pirater les réseaux Wi-Fi compatibles WPA/WPA2 PSK.

Cette nouvelle méthode de piratage des mots de passe Wi-Fi a apparemment été découverte par hasard : les chercheurs en sécurité travaillant sur Hashcat, un outil de craquage de mot de passe très populaire, essayaient en fait de trouver de nouvelles façons de craquer le protocole de sécurité sans fil WPA3 lorsqu’ils sont tombés sur cette nouvelle méthode WPA2. La nouvelle méthode pourrait permettre aux pirates d’obtenir la clé pré-partagée (pre-shared key, PSK) pour le Wi-Fi, ce qui leur donnerait accès au réseau. La grande différence par rapport aux méthodes précédentes est apparemment que les cybercriminels n’ont pas besoin de capturer un 4-Way Handshake complet. Au lieu de cela, la nouvelle attaque est menée sur le RSN IE (l’élément d’information réseau de sécurité robuste) d’une seule trame EAPOL.

Selon les chercheurs, l’attaquant qui communique maintenant directement avec le point d’accès n’a plus besoin qu’un utilisateur se connecte au réseau cible pour capturer ses données de connexion (ce qui était nécessaire auparavant). Cette attaque sans client apporte quelques autres avantages : plus d’éventuels mots de passe invalides, plus de trames EAPOL perdues à cause d’un point d’accès trop éloigné des cybercriminels, plus de formats de sortie spéciaux pour les données finales.

La plupart des routeurs modernes sont vulnérables

Bien que les chercheurs ne sachent pas encore avec certitudes quels fournisseurs et quels modèles de routeurs seront affectés par cette technique, les perspectives ne sont pas réjouissantes : tous les réseaux 802.11i/p/q/r avec des fonctions d’itinérance activées pourraient être sensibles à la nouvelle attaque ; par conséquent, cela affecterait la plupart des routeurs modernes. Malgré cette triste réalité, il y a deux choses que vous pouvez faire pour vous assurer de rester le plus en sécurité possible jusqu’à l’arrivée sur le marché de WPA3, qui est immunisé contre cette attaque :

Utiliser un mot de passe fort : Même avec cette attaque, le pirate devra attaquer votre mot de passe en force brute. Choisissez donc un mot de passe Wi-Fi fort, très fort. En cas de doute, vous pouvez toujours compter sur un gestionnaire de mots de passe pour faire le travail à votre place. Mettre à jour votre routeur : Mettez à jour votre routeur dès que des mises à jour sont disponibles. Si vous avez un très vieux routeur qui ne reçoit plus de mises à jour, il est recommandé d’en acheter un nouveau, au plus tard dès que les nouveaux routeurs WPA3 seront disponibles. (Par Nicole Lorenz, Avira)