Archives de catégorie : Communiqué de presse

Communiqué de presse, Securite informatique

DFIR ORC : un outil de collecte libre pour l’analyse forensique

Conçu en 2011 pour répondre aux missions opérationnelles de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) en matière d’investigation et de réponse à incident, le logiciel DFIR ORC (pour Outil de recherche de compromission) n’a cessé d’évoluer pour regrouper un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows… à l’échelle d’un parc entier ! L’outil, intégralement libre, est aujourd’hui publié par l’agence à l’usage des acteurs et des professionnels de la communauté.

Créé et utilisé de longue date par les équipes de l’ANSSI, le logiciel de collecte DFIR ORC regroupe un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition des données forensiques. Il a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle.

« Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident. » indique François Deruty, sous-directeur Opérations de l’ANSSI.

En s’engageant dans une démarche d’ouverture avec la communauté de la sécurité numérique, l’ANSSI souhaite aujourd’hui partager cet outil mature qu’elle utilise au quotidien depuis plusieurs années*. [https://dfir-orc.github.io]

DFIR ORC – POUR QUI ? POUR QUOI ?

DFIR ORC s’adresse aux professionnels de la sécurité informatique soucieux d’acquérir les données nécessaires à la réponse aux incidents de sécurité de façon fiable, ainsi qu’à tous les développeurs qui souhaiteront s’en inspirer ou contribuer à son développement.

DFIR ORC peut être déployé sur l’intégralité d’un parc Microsoft Windows, tout en minimisant l’impact sur son fonctionnement normal. Il assure ainsi la collecte des informations souhaitées avec une exigence de fiabilité, de qualité et de traçabilité, sans modifier la configuration des machines analysées, tout en minimisant les risques d’altérations des données collectées.

Par son usage, DFIR ORC permet donc de disposer d’une vision de l’état du parc au moment de la collecte. Il ne vise cependant pas à pratiquer une analyse sur les données collectées : c’est le rôle de spécialistes disposant d’une méthodologie et d’outils adaptés.

CONTRIBUEZ AU DÉVELOPPEMENT DE DFIR ORC

DFIR ORC est un outil modulaire, configurable, qui peut embarquer d’autres outils, notamment ceux qui sont déjà proposés par l’agence. Avec la publication de DFIR ORC, l’ANSSI partage le code source, la procédure de compilation ainsi que des exemples de configuration de l’outil. Tous ces éléments permettent la génération d’un outil fonctionnel adapté à l’usage souhaité.

« À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière », ajoute François Deruty. L’ANSSI souhaite encourager l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités. L’agence continuera de même à développer DFIR ORC, et publiera régulièrement des mises à jour de l’outil. L’agence invite tous les acteurs de la communauté à enrichir dès à présent ce projet avec nos équipes.

Base de données, Communiqué de presse, RGPD

Collectivités territoriales : un guide de sensibilisation au RGPD

Afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation disponible sur son site web.

Les collectivités territoriales traitent de nombreuses données personnelles, que ce soit pour assurer la gestion des services publics dont elles ont la charge (état civil, inscriptions scolaires, listes électorales, etc.), la gestion de leurs ressources humaines, la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou encore leur site web. Cette tendance ne fera que se renforcer avec la transformation numérique de l’action publique.

Dans ce contexte, le respect des règles de protection des données constitue aujourd’hui un facteur de transparence et de confiance à l’égard des citoyens et des agents, qui sont de plus en plus sensibles à la protection de leurs données. C’est aussi un gage de sécurité juridique pour les élus responsables des fichiers et des applications utilisés au sein de leur collectivité.

Les principes du règlement général sur la protection des données (RGPD) s’inscrivent dans la continuité de la loi Informatique et Libertés de 1978. Malgré cela, la CNIL est consciente que la mise en conformité au RGPD peut parfois être complexe, et que l’importance des enjeux justifie un appui spécifique de sa part.

Aussi, afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation.

Quel plan d’action pour se mettre en conformité ?

Ce guide s’adresse prioritairement aux communes de petite ou de moyenne taille, ainsi qu’à leurs groupements intercommunaux, ne disposant pas nécessairement en interne de ressources dédiées spécifiquement à la protection des données. Il propose des clés de compréhension des grands principes, des réflexes à acquérir, un plan d’action pour se mettre en conformité ainsi que des fiches pratiques.

Il évoque les conditions de désignation du délégué à la protection des données afin que chaque collectivité puisse identifier la modalité la plus adaptée à sa situation.

Pour élaborer ce guide, la CNIL s’est rapprochée des principales associations regroupant les différents niveaux de collectivités et autres organismes intervenant auprès du secteur public local. Cet appui permet d’apporter des réponses concrètes et adaptées aux collectivités.

Ce guide actuellement envoyé en version papier à toutes les mairies de Métropole et d’Outre-Mer.

En complément de ce guide de sensibilisation, des fiches techniques consacrées aux principaux sujets de préoccupation des collectivités ont également été publiées sur le site web de la CNIL.

La CNIL proposera par ailleurs un cours en ligne gratuit sur le RGPD et les collectivités.

Communiqué de presse

En 3 ans, le nombre d’attaques ciblant des objets connectés a augmenté de 13497%

Analyse des attaques ayant ciblé des « honeypots » simulant des objets intelligents durant 3 ans. Des attaques qui ont augmenté de 13 497%.

Depuis 3 ans, Doctor Web surveille et étudie les menaces actives ciblant l’Internet des objets. Pour cela, les experts ont mis en place un système d’appâts spécialisés appelés « Honeypots ». Ils imitent différents types d’IoT permettant d’observer les techniques et comportements d’attaques ciblant ces objets, tout en récupérant les malwares utilisés pour ces attaques, dans le but d’améliorer leur détection et faire face à la menace de manière plus efficace.

Elena Kostyuchenko, Senior Analyst Technical Writer, chez Doctor Web explique : « Doctor Web a mis en place plusieurs honeypots, établis dans différentes régions. Ils prennent en compte les protocoles classiques, Telnet et SSH, pour que les malwares puissent fonctionner, ainsi que toutes leurs caractéristiques possibles : modification de clés SSH, ajouts d’utilisateurs, téléchargement d’autres malwares, etc. Ces honeypots sont basés sur des solutions open-source, sur lesquelles nos experts apportent quelques modifications. Grace à ces systèmes, durant 3 ans nous avons pu analyser les malwares en récupérant leurs charges virales, étudier les lieux de diffusion, et cela nous permet de fournir des solutions de protection plus efficaces ».

Voici quelques-uns des principaux enseignements :

  • En 3 ans, le nombre d’attaques augmente de 13497 % : alors que l’activité observée en 2016 était faible, en seulement 4 mois, les experts recensaient déjà 729 590 attaques. Ce nombre se multiplie par 32 en 2017. Il ne cesse de croître considérablement. En 2018, ce sont plus de 99 millions d’attaques. L’année 2019 semble dépasser tous les records, avec plus de 75 millions d’attaques relvées durant les 6 premiers mois. 
  • L’origine de ces attaques est mondiale : les attaques proviennent de plus de 50 pays à travers le monde, et majoritairement des États-Unis et des Pays-Bas.
  • Des processeurs plus vulnérables que d’autres : les honeypots ont mis en évidence que les dispositifs ARM, MIPSEL et MIPS subissent le plus d’attaques.
  • Mirai, le Trojan le plus utilisé : datant de 2016, la diffusion de son code source dans le domaine public a provoqué très rapidement de nombreuses modifications. Mirai est le Trojan ciblant Linux le plus répandu et fonctionne sur de nombreux processeurs. Après avoir contaminé un appareil, il se connecte au serveur de gestion et attend d’autres commandes. Sa principale fonction est de lancer des attaques DDoS.
  • Plusieurs autres malwares très présents, avec des caractéristiques différentes : Hajime (propage un ver), BackDoor.Fgt (contamination d’IoT), ProxyM (assure l’anonymat des pirates), HideNSeek (contamine les IoT, génère des adresses IP auxquelles il essaie de se connecter par force brute)

Le rapport Dotor Web met en avant plusieurs tendances :

  • La disponibilité des codes sources de Trojans (Mirai, BackDoor.Fgt, BackDoor.Tsunami…) accentue l’apparition de nouveaux programmes malveillants.
  • Le nombre d’applications malveillantes écrites en langage de programmation « non standard » Go et Rust, ne cesse de croître.
  • De plus en plus d’informations sur les vulnérabilités des dispositifs sont accessibles, ce qui profite aux cybercriminels.
  • Les miners de cryptomonnaie (Monero) sont toujours populaires et utilisent les IoT.

Elena Kostyuchenko conclut : « Des milliards d’IoT sont aujourd’hui présents sur le marché.

Des proies faciles pour les attaquants : la sécurité est toujours très peu « by-design » et les vulnérabilités sont nombreuses. Le problème est que la plupart des utilisateurs pensent que ces objets sont sûrs. La sécurité n’a pas été intégrée, la mise à jour devient ensuite compliquée.

Si des efforts de sécurité (ce qui nécessite un investissement…) ne sont pas faits par les constructeurs, et a minima que des couches de sécurité complémentaires ne sont pas mises en place. Malheureusement il faut continuer à nous attendre à une recrudescence des logiciels malveillants ciblant les IoT ».

Le rapport complet de Doctor Web est disponible ici en français : https://news.drweb.fr/show/?i=13353

Communiqué de presse, Cybersécurité

Les cybercriminels misent toujours davantage sur les techniques de contournement des antimalwares

De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.

À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.

Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.

L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.

Les attaques furtives visent le long terme

Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.

Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires.

Le ransomware continue à se transmettre via des attaques toujours plus ciblées

Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.

À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés.

Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l’exécution de code arbitraire et n’a pas besoin d’interaction de la part de l’utilisateur, comme c’est le cas pour d’autres logiciels de ransomware livrés par email phishing.

Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.

De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d’accès à distance peuvent être des opportunités pour les cybercriminels et qu’ils peuvent également être utilisés comme vecteur d’attaque pour diffuser des logiciels de rançon.

De nouvelles opportunités sur la surface d’attaque

Entre l’imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l’attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l’augmentation observée de l’activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.

Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d’appareils ne sont pas aussi prioritaires que d’autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d’autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique. (Fortinet)

Communiqué de presse, Cybersécurité

Stealth Falcon : Des attaques cibles des politiques au Moyen-Orient

Des chercheurs découvrent une backdoor dotée de fonctionnalités intéressantes et apparentée au logiciel malveillant utilisé par le tristement célèbre groupe Stealth Falcon

Stealth Falcon est un groupe de cybercriminalité actif depuis 2012 qui cible les journalistes et les activistes politiques au Moyen-Orient. Certains analystes l’associent au Project Raven, une initiative qui impliquerait d’anciens agents de la National Security Agency (NSA). Pour en savoir plus, cliquez ici.

Des informations techniques limitées sur Stealth Falcon ont déjà été rendues publiques, notamment une analyse du composant principal du malware – une backdoor en PowerShell qui se propage via un document infecté joint à un e-mail malveillant.

Les chercheurs d’ESET ont découvert une backdoor exécutable inédite qu’ils ont nommée Win32/StealthFalcon. Ils ont constaté un petit nombre d’attaques par ce malware aux Émirats arabes unis, en Arabie saoudite, en Thaïlande et aux Pays-Bas ; dans ce dernier cas, la cible était une mission diplomatique d’un pays du Moyen-Orient.

Win32/StealthFalcon

Les travaux d’ESET ont mis en évidence des similarités entre la backdoor exécutable récemment découverte et le script PowerShell doté de capacités de backdoor précédemment attribué au groupe Stealth Falcon. Les chercheurs d’ESET considèrent ces similarités comme une preuve solide que les deux backdoors sont l’œuvre du même groupe.

Win32/StealthFalcon utilise une technique relativement inhabituelle pour communiquer avec son serveur de commande et contrôle (C&C) : le service de transfert intelligent en arrière-plan (BITS), un composant standard de Windows.

Par rapport aux méthodes de communication traditionnelles via des fonctions d’API, le mécanisme BITS passe par une interface COM, ce qui le rend plus difficile à détecter. Fiable et furtive, cette approche a également davantage de chances d’être autorisée par le pare-feu de l’hôte.

Outre son mode de communication C&C inhabituel, Win32/StealthFalcon fait appel à des techniques avancées pour empêcher sa détection et son analyse, assurer sa persistance et compliquer l’analyse criminalistique.

Pour plus d’informations : « ESET discovered an undocumented backdoor used by the infamous Stealth Falcon group ».

Communiqué de presse, Fuite de données

Un tiers des Français seraient prêts à vendre leurs données personnelles à un inconnu

vendre ou être vendu ! Au cours des derniers mois, les fuites de données massives ou les scandales liés aux abus des grandes sociétés technologiques se sont multipliés, à l’image de cette révélation concernant Facebook et l’accès privilégié de certaines entreprises comme Netflix et Spotify aux données personnelles des utilisateurs. Il n’y a donc rien de surprenant à ce que 60% des internautes français perçoivent la confidentialité absolue comme une chimère à l’ère du tout-numérique. Résignés, 34% seraient prêts à accorder à un inconnu l’accès sans limite à leurs données personnelles contre de l’argent. C’est ce que révèle une étude sur la confidentialité menée par Kaspersky auprès de 11 887 consommateurs dans 21 pays.  Il en ressort qu’en matière de confidentialité et de protection de leurs données personnelles, les Français vont de paradoxe en paradoxe.

Vendre ou être vendu ! 62% des Français se déclarent très ou relativement inquiets par la collecte des informations utilisateurs faite par les éditeurs d’applications mobiles. Cette inquiétude se traduit par une attention particulière portée aux permissions : plus de 73% des répondants contrôlent les autorisations (74% pour les utilisateurs Android et 73% pour les utilisateurs d’iPhone et d’iPad).

L’opacité de la collecte d’information sur le Web est aujourd’hui source d’une perte de confiance, qui se concentre en particulier contre les entreprises qui opèrent les grands réseaux sociaux actuelles. Lorsqu’on leur demande avec qui ils ont le plus peur de partager leurs données, les Français placent les réseaux sociaux (Facebook, Twitter, etc.) en 3ème position, derrière les cybercriminels et Internet en général. Ils sont suivis par les grandes entreprises technologiques (Google, Microsoft, Apple, etc.).

C’est pourquoi il est surprenant de noter que 67% des sondés disent se moquer de partager leurs activités sur les réseaux sociaux avec quiconque.

A noter que le blog de référence ZATAZ permet aux internautes de fouilles le black market, le darknet à la recherche de données qui auraient pu leur être volées.

Données personnelles : rien à cacher, rien à craindre ?

38% des Français accepteraient de partager leur historique de recherche avec un tiers et autant partageraient leurs achats. Viennent ensuite l’historique de navigation (30%) et les informations liées à l’identité (27%). Seules les données financières se distinguent (7%).

Pourtant, seuls 7% des Français reconnaissent ne pas s’inquiéter pour la protection de leur vie privée, en ou hors ligne et 85% souhaiteraient en savoir plus sur la manière dont ils peuvent protéger leur vie privée sur le Web.

Dans les faits, l’application des bonnes pratiques est très variable. En ce qui concerne la protection des équipements, 59% des Français protègent tous leurs appareils avec un mot de passe, 43% utilisent des logiciels de nettoyage (type CCleaner), 27% vérifient systématiquement les paramètres de confidentialité et 24% couvrent leur webcam (contre 62% à l’international).

Exception française concernant le téléchargement de logiciels ou d’applications piratés : 62% des répondants n’y renoncent pas malgré les risques, contre 52% à l’international.

En matière de protection des comptes en ligne, les résultats sont tout aussi mitigés. 56% des sondés français essaient de toujours utiliser des mots de passe complexes mais seuls 38% changent régulièrement de mot de passe. Ils sont 27% à utiliser une adresse email dédiée plutôt que leur adresse email principale pour s’inscrire à des services considérés comme non prioritaires.

Les raisons qui peuvent expliquer ces disparités sont multiples, mais la résignation et l’ignorance jouent sans aucun doute un rôle majeur. 60% des Français pensent qu’il est impossible de profiter d’une confidentialité absolue et 35% reconnaissent ne pas savoir comment protéger complètement leur vie privée.

Navigation Internet : vous reprendrez bien un cookie ?

En avril 2019, la 3ème édition du baromètre DIMENSION[2] de Kantar Media témoignait d’un rejet massif de la publicité ciblée en France : 61% des consommateurs refusent d’être suivis à la trace sur la base de leurs précédentes navigations (vs 54% au niveau global).

Ce rejet se traduit-il par une adoption massive des bonnes pratiques liées à l’usage des cookies ? Pas forcément, selon l’étude de Kaspersky. Seuls 42% des Français nettoient régulièrement leur historique de navigation. Ils sont encore moins nombreux (16%) à utiliser des outils logiciels ou modules de navigateurs dédiés pour bloquer le pistage. Au total, ce sont 21,5% des français qui admettent ne jamais effacer leurs traces sur Internet. C’est très loin de nos voisins allemands, champions européens de la confidentialité : 57% nettoient régulièrement leur historique et 25% utilisent des outils adaptés.

Les modes de navigation privée n’ont pas vraiment la cote et il semble que des efforts de sensibilisation restent nécessaires pour accélérer leur adoption : 16% seulement des Français les utilisent, contre 24% à l’international.

Cybersécurité : qui a laissé la porte ouverte ?

 17% des Français reconnaissent avoir dû faire face à une compromission de leurs données personnelles. Le plus souvent, il s’agit d’un accès non autorisé à un compte en ligne (41%) ou à un appareil (28%). Dans 18% des cas, les victimes se sont fait voler leurs données et ces dernières ont ensuite été exploitées.

Ces fuites de données n’ont pas toujours des conséquences dramatiques mais elles peuvent également influer sur le moral des consommateurs. 34% des victimes rapportent avoir été stressées. En outre, elles peuvent 17% ont observé une augmentation du nombre de spams reçus et 17% ont perdu de l’argent.

Bertrand Trastour, Head of B2B sales France termine ainsi : Pas besoin d’être un expert informatique pour comprendre comment les données peuvent être détournées et exploitées contre les consommateurs. Les exemples ne manquent pas. On se souvient par exemple de la fuite de données du Marriott[3] en 2018 qui a touché plus de 500 millions de clients dont certains ont ensuite été les victims de fraudes. Ou encore le cas plus personnel d’un musicien[4] dont la petite-amie a utilisé le compte email pour refuser une bourse d’étude qui l’aurait obligé à déménager. Cela semble parfois difficile à croire mais la protection de la vie privée est encore possible sur Internet, à condition d’avoir une bonne hygiène numérique et d’appliquer quelques bonnes pratiques.

1 https://www.nytimes.com/2018/12/18/technology/facebook-privacy.html

2 https://www.kantarmedia.com/dimension/fr

3 https://www.travelandleisure.com/travel-news/marriott-paying-new-passports-after-data-breach

4 https://www.telegraph.co.uk/news/2018/06/15/clarinetist-awarded-214000-damages-girlfriend-faked-rejection/

Communiqué de presse, Securite informatique

Des failles de sécurité dans des traceurs GPS

Des failles de sécurité dans des traceurs GPS, plus d’un demi-million d’enfants et de personnes âgées concernés.

a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IoT dépassent largement le cadre d’un seul fournisseur.

Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable intégrant une la sécurité dès la conception du produit : connexion sécurisée, un chiffrement des informations.

Comme pour tout appareil prêt à l’emploi, modifier les mots de passe par défaut de l’administrateur. En choisir un complexe.

Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.

Signaux d’alerte dès la sortie de l’emballage

Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site http://en.i365gps.com — en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification attribué. Le mot de passe par défaut très générique « 123456 ».

Ces informations sont transmises via un protocole HTTP non « secure ».

Le numéro d’identification dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant.

En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI étaient piratables sans le moindre effort.

Rien n’est chiffré

À l’aide d’un simple outil de recherche de commandes, les chercheurs découvrent les informations en texte brut. Sans chiffrement.

Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :

  • appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
  • envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
  • utiliser les SMS pour rediriger la communication de l’appareil vers un autre serveur afin d’obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
  • partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter un backdoor.

Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.

Ce que les consommateurs devraient retirer de cette étude

Outre l’appareil qui fait l’objet de cette étude, 29 autres modèles de traceurs GPS présentant ces vulnérabilités. La plupart des fournisseurs mentionnés ci-dessus.  50 applications mobiles différentes utilisent la même plateforme non « secure ».

Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 ».

Des applications mobiles  téléchargées près de 500 000 fois. Le fabricant n’a donné aucune réponse aux avertissements.

En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants. Se renseigner sur les produits que nous achetons est indispensable.

Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité. Qui n’ont pas de certification ou homologation par des tiers.

Choisissez uniquement des marques en qui vous avez confiance pour protéger vos informations.

Communiqué de presse, Entreprise, Fuite de données

Quels sont les derniers fichiers modifiés/consultés sur votre partage de fichiers Windows ?

Pour de nombreuses normes de conformité, vous devez être en mesure de répondre à certaines questions comme « Qui a accédé à quel fichier ? Quels changements ont eu lieu ? ». Pour des raisons évidentes de sécurité, vous devez être capable d’identifier facilement une activité sur vos fichiers et dossiers partagés les plus sensibles et de réagir en cas de menace. Explication par notre partenaire IS Decisions.

FileAudit offre à la fois aux professionnels de l’informatique une visibilité optimale les données de l’entreprise, mais également une possibilité de réagir rapidement aux événements.

Trouver les derniers fichiers consultés/modifiés

Une fois l’audit configuré, je peux voir en temps réel les accès qui se produisent sur les partages que j’ai sélectionnés, à partir de l’observateur d’accès.

Je peux voir la date et l’heure, le fichier ou le dossier auquel on a accédé, le type d’accès, le refus ou l’octroi, l’utilisateur qui a tenté d’accéder au fichier, la machine à partir de laquelle l’accès a été effectué avec son adresse IP et le serveur sur lequel le fichier est stocké.

Surveiller les accès refusés

Lorsque je suis sur l’observateur d’accès, je peux facilement voir qu’il existe des accès refusés à certains dossiers. Je peux donc aller de l’avant et examiner de plus près ce dossier pour voir qui a tenté d’y accédé. Nous prendrons ici l’exemple d’un utilisateur dénommé Alice et de dossiers appelés « Accounting » et « Peopleopps ».

Je vais ensuite regarder de plus près l’activité générale de cet utilisateur en cliquant sur son nom d’utilisateur. J’obtiens un tableau de bord de l’activité d’Alice des derniers jours et semaines.

Cela me permet de voir s’il y a eu beaucoup d’accès refusé par cet utilisateur. Je peux faire défiler davantage et voir tous ces accès vers tous ces fichiers et dossiers qui ont été lus à la même heure le même jour. S’ils se sont produits simultanément, cela peut m’amener à penser qu’Alice sélectionne un grand nombre de fichiers et les copie sur un lecteur externe ou éventuellement sur son bureau.

Une fois cette vue détaillée obtenue, je peux l’exporter au format PDF au cas où je souhaiterais l’envoyer à un responsable ou au cas où d’autres alertes viendraient de cet utilisateur.

Définir des alertes

La prochaine étape que je souhaite mettre en place consiste à envoyer des alertes proactives au cas où de tels accès se reproduiraient. Je peux donc accéder à l’onglet d’alertes et à partir de là créer mes alertes.

Ce que je vais faire en premier lieu, c’est créer une alerte d’accès unique pour les accès refusés sur les dossiers sensibles Accounting et Peopleops.

Très facilement, il me suffit de sélectionner le statut d’accès « refusé », de laisser tous les types d’accès et d’entrer l’utilisateur Alice. Il faut ensuite sélectionner les deux chemins que nous avons vus précédemment, Accounting et Peopleopps et valider. Je peux enfin simplement choisir le destinataire de l’e-mail et je peux également ajouter un canal Slack où tous les administrateurs recevront des messages afin qu’ils puissent les voir également.

La deuxième alerte que je vais mettre en place s’agit d’une alerte d’accès en masse pour Alice, en raison de l’activité sur plusieurs fichiers ou dossiers accédés en même temps, montrant qu’elle pourrait copier ou déplacer un grand nombre de fichier.

Je vais laisser le statut et les types d’accès, je vais juste ajouter ici à nouveau notre utilisateur Alice et je vais définir un seuil que je vais définir assez bas. Je vais dire que si 25 fichiers ou dossiers sont consultés en l’espace de 30 secondes, j’aimerais que cette alerte soit déclenchée. Pour les chemins à surveiller, je vais mettre tout ce qui est audité, je ne vais pas exclure d’heures, mais je vais ajouter les destinataires de l’e-mail et choisir les mêmes qu’auparavant, l’e-mail de l’administrateur et mon canal Slack qui reçoit toutes ces alertes. Il suffit de valider, sauvegarder cette alerte et maintenant, j’ai la configuration de mes deux alertes.

Réagir aux alertes d’accès suspects

En plus de la surveillance en temps réel et de l’identification des menaces, vous devez être en mesure d’agir sur les menaces potentielles.

FileAudit peut réagir immédiatement à une alerte sans avoir à attendre que le service informatique intervienne. Un script personnalisé peut être créé et exécuté chaque fois qu’une alerte spécifique est déclenchée.

Je peux par exemple arrêter la machine d’Alice ou bien la déconnecter. Cela me permet d’agir sur les menaces potentielles avant que tout dommage ne soit causé.

C’est ainsi que vous pouvez utiliser FileAudit pour voir les accès sur vos fichiers ou vos dossiers, générer des rapports, configurer des alertes de manière proactive et réagir en cas de comportement suspect sur votre réseau.

Cliquez ici pour voir une courte démo explicative de FileAudit.

Ne vous fiez pas à ce que nous disons, téléchargez dès maintenant l’essai gratuit entièrement fonctionnel et constatez par vous-même avec quelle facilité FileAudit peut vous aider à identifier une activité sur vos fichiers et dossiers partagés les plus sensibles.

Communiqué de presse, Cybersécurité

BIG-IP de F5 : un grave défaut de sécurité peut donner lieu à des intrusions informatiques

2 commentaires

Intrusions : Un chercheur en cybersécurité a identifié un défaut de sécurité susceptible de transformer des centaines de milliers d’équilibreurs de charge en vecteurs de cyber attaques.

Des chercheurs en cybersécurité invitent les organisations utilisant l’équilibreur de charge BIG-IP de F5 Networks, à remédier aux problèmes de sécurité posés par plusieurs configurations.

BIG-IP est notamment populaire auprès des gouvernements, des banques et d’autres grandes entreprises. Mal configuré, cet équilibreur de charge peut servir de porte d’entrée pour les pirates informatiques. Ces derniers peuvent alors s’infiltrer sur les réseaux et effectuer de nombreuses attaques contre les entreprises et particuliers utilisant les services web gérés par le produit corrompu.

Le défaut de sécurité réside dans le langage de programmation Tcl utilisé pour définir les règles iRules (la fonctionnalité utilisée par BIG-IP pour diriger le trafic web entrant). Certaines pratiques de codage permettent aux hackers d’injecter des commandes Tcl arbitraires pouvant être exécutées dans le script Tcl cible.

Lorsqu’ils exploitent avec succès ces règles iRules mal configurées, les hackers peuvent utiliser le BIG-IP corrompu comme vecteur pour lancer d’autres attaques et réaliser des intrusions réseaux. Ils peuvent également intercepter et manipuler le trafic web, de manière à exposer des informations sensibles (identifiants, secrets d’application) ou à attaquer des utilisateurs des services web de l’organisation.

Exploiter un système vulnérable (CVE) peut parfois s’avérer aussi simple que d’entrer une commande ou une ligne de code dans le cadre d’une requête web : la technologie se charge du reste. Dans certains cas, le dispositif corrompu n’enregistre pas les actions du pirate informatique : aucune preuve de l’attaque ne peut alors être récupérée. Dans d’autres cas, le hacker peut effacer lui-même les logs retraçant ses opérations, entravant ainsi sérieusement tout travail d’enquête.

« Ce défaut de configuration est relativement sérieux puisqu’il permet au pirate d’opérer furtivement : il peut s’infiltrer, atteindre ses objectifs, puis effacer ses traces. Le problème est d’autant plus grave que, souvent, les entreprises ne sont pas aptes à identifier et résoudre les problèmes de sécurité cachés dans la chaîne d’approvisionnement logicielle », explique Christoffer Jerkeby, Senior Security Consultant chez F-Secure. « À moins de savoir quoi chercher, il est difficile d’anticiper un problème de sécurité de cette nature, ou pire, de le gérer en cas d’attaque. »

Christoffer Jerkeby a identifié plus de 300 000 instances actives de BIG-IP sur internet au cours de ses recherches mais il estime que, compte-tenu des limitations méthodologiques, le nombre réel pourrait être beaucoup plus élevé. (Note de la rédaction : les pirates n’ont pas attendu, depuis plusieurs semaines, via Shodan, le moteur de recherche, ils se servent allègrement).

Ce type de vulnérabilité n’est pas nouveau et est connu depuis un certain temps, tout comme d’autres vulnérabilités d’injection de commandes identifiées dans d’autres langages informatiques répandus. Toutes les entités utilisant BIG-IP ne sont pas concernées par ce problème de sécurité. Toutefois, cet équilibreur de charge est très répandu chez les organismes bancaires, les organisations gouvernementales et d’autres entités proposant des services en ligne très populaires. De ce fait, les enjeux sont grands et de nombreuses personnes sont concernées. Toutes les organisations utilisant cet équilibreur de charges doivent donc évaluer leur degré d’exposition.

« Si elles n’ont pas mené d’enquête approfondie sur cette technologie, il est fort probable que les entreprises utilisant cette technologie soient concernées par le problème. Même un professionnel extrêmement bien informé sur la sécurité peut laisser passer un tel défaut de configuration. Il est essentiel de sensibiliser les entreprises si nous souhaitons les aider à mieux se protéger contre ce vrai risque d’intrusion. »

Recommandations aux organisations

Il est possible de procéder à un balayage massif d’internet afin d’identifier et exploiter les instances vulnérables de cette technologie. Dans certains cas, ce processus peut même être automatisé. Ce problème de sécurité est donc susceptible d’attirer l’attention des chasseurs de bug bounty… et des pirates informatiques. De plus, des versions d’essai gratuites de BIG-IP sont proposées et il est possible d’accéder à une version cloud pour un coût minime, à partir d’AWS. F-Secure conseille donc aux organisations d’enquêter de manière proactive pour savoir si elles sont affectées ou non par ce défaut de sécurité, compte-tenu des risques encourus.

Christoffer Jerkeby a aidé à développer des outils libres et gratuits que les organisations peuvent utiliser pour identifier les configurations non sécurisées de leurs équilibreurs BIG-IP. Il souligne toutefois qu’il n’existe pas de solution miracle : les organisations doivent répondre elles-mêmes au problème.

« La bonne nouvelle, c’est que tous les utilisateurs ne sont pas affectés par ce défaut de sécurité. La mauvaise, c’est que ce type de problème ne peut pas être résolu par un simple patch ou une simple mise à jour : il appartient aux organisations de vérifier si elles ont ce problème et de le résoudre si c’est le cas », explique-t-il. « Quiconque utilise BIG-IP doit donc se montrer pro-actif. »

Communiqué de presse, Cybersécurité

Des pirates visent les informations de navigation et de localisation des forces vénézuéliennes

Les centres de recherche ESET ont mis à jour une vaste campagne de cyber-espionnage en cours contre des cibles très sensibles en Amérique latine. Plus de la moitié des ordinateurs attaqués appartiennent notamment aux forces militaires vénézuéliennes. Mais cette campagne cible également d’autres institutions nationales, allant de la police à l’éducation, en passant par les affaires étrangères.

La majorité des attaques (75 %) concerne le Venezuela, et 16 % l’Équateur, où les forces armées ont également été ciblées.

L’opération est attribuée au groupe Machete. Celui-ci aurait déjà dérobé Nonà ses victimes plusieurs giga-octets de documents confidentiels par semaine. La campagne est toujours très active et intervient à un moment où les tensions régionales s’exacerbent et où les tensions internationales entre les États-Unis et le Venezuela sont au plus fort.

Les chercheurs d’ESET ont suivi une nouvelle version des outils « Machete » (la boîte à outils du groupe) qui a été vue pour la première fois il y a un an. En seulement trois mois, de mars à mai 2019, ESET a ainsi pu observer plus de 50 ordinateurs victimes communiquer avec des serveurs de commandes et de contrôle (C&C) appartenant aux cyber-espions. Les chercheurs ont également pu observer les attaquants apporter régulièrement des modifications au malware, à son infrastructure et même aux campagnes de phishing en cours.

« Les opérateurs de Machete utilisent des techniques d’hameçonnage ciblé très efficaces. Leur longue série d’attaques, axées sur les pays d’Amérique latine, leur a permis de recueillir des renseignements et d’affiner leurs tactiques au fil des ans. Ils connaissent très bien leurs cibles, savent comment se fondre dans les communications régulières et quels documents sont les plus précieux à voler », explique Matias Porolli, chercheur en cybersécurité chez ESET. « Par exemple, les attaquants s’intéressent de près aux fichiers utilisés par les systèmes d’information géographique (SIG). Et ils exfiltrent en particulier ceux qui décrivent des routes de navigation et des positionnements exprimés à l’aide de grilles militaires », ajoute-t-il.