Archives de catégorie : Chiffrement

Argent, Arnaque, Chiffrement, Cybersécurité, escroquerie, ID, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Malware : Steam Stealer cible des milliers de comptes de joueurs en ligne

Le secteur du jeu en ligne, qui représente un marché estimé à plus de 100 milliards de dollars, n’est pas seulement juteux pour les développeurs et les fabricants. Il l’est aussi pour les cybercriminels. « Steam Stealer » fait partie de ces malwares en constante évolution, responsable du piratage de comptes utilisateurs sur la célèbre plate-forme de jeu Steam. Ayant pour objectif de dérober des objets dans les jeux en ligne et des identifiants de comptes afin de les revendre ensuite au marché noir, ce malware est distribué à des cybercriminels selon le modèle MaaS (Malware as a Service) avec des tarifs extrêmement bas débutant à 30 dollars.

Steam est aujourd’hui l’une des plates-formes de divertissement multi-systèmes d’exploitation parmi les plus populaires. Exploitée par Valve, elle compte plus de 100 millions d’utilisateurs inscrits à travers le monde et propose en téléchargement plusieurs milliers de jeux disponibles. Son succès en fait donc une cible de choix pour les groupes de cyber escrocs, qui peuvent revendre les identifiants d’utilisateurs Steam pour 15 dollars pièce au marché noir. Selon les chiffres officiels récemment publiés par la plate-forme, 77 000 comptes Steam sont piratés et pillés tous les mois.

Un nouveau type de malware, connu sous le nom de « Steam Stealer », est le principal suspect du piratage de nombreux comptes utilisateurs de la plate-forme phare de Valve. Tous deux pensent que ce malware a été développé à l’origine par des cybercriminels russophones car ils ont découvert, sur plusieurs forums clandestins consacrés aux programmes malveillants, de nombreux indices linguistiques qui le laissent penser.

Steam Stealer opère selon le modèle MaaS (Malware as a Service) : il est proposé à la vente dans différentes versions, bénéficiant de fonctionnalités distinctes, de mises à jour gratuites, de manuels d’utilisation, de conseils personnalisés pour la distribution, etc. Alors que le prix de base des « solutions » pour ces types de campagnes malveillantes est habituellement de l’ordre de 500 dollars, les programmes « Steam Stealer » sont ridiculement bon marché, pouvant couramment s’acheter pour à peine 30 dollars, ce qui les rend extrêmement attrayants pour les cybercriminels en herbe du monde entier.

La propagation des malwares Steam Stealer passe principalement, mais pas exclusivement, par des sites Web contrefaits qui les diffusent ou encore par des techniques d’ingénierie sociale consistant à envoyer directement des messages aux victimes.

Une fois le malware implanté dans le système d’un utilisateur, il subtilise l’ensemble des fichiers de configuration de Steam. Il localise ensuite le fichier spécifique Steam KeyValue qui contient les identifiants de l’utilisateur, ainsi que les informations relatives à sa session. Forts de ces informations, les cybercriminels peuvent alors prendre le contrôle de son compte.

Au départ, le piratage de comptes de joueurs était un moyen simple pour les scripts kiddies de faire rapidement des profits en les revendant sur des forums occultes. Aujourd’hui, cependant, les criminels ont réalisé la véritable valeur marchante de ces comptes. Leurs opportunités résident désormais dans le vol et la vente d’objets acquis par les utilisateurs dans les jeux et pouvant valoir des milliers de dollars. Les cyberbandes organisées n’entendent tout simplement pas laisser passer un tel pactole.

Les experts de Kaspersky Lab ont dénombré près de 1 200 échantillons de malwares Steam Stealer différents, responsables d’attaques contre des dizaines de milliers d’utilisateurs à travers le monde. C’est particulièrement le cas en Russie et dans d’autres pays d’Europe de l’Est où la plate-forme Steam est très fréquentée.

La communauté des joueurs est devenue une cible très prisée des cybercriminels. Une évolution claire des techniques d’infection et de propagation ainsi que la complexité croissante des malwares eux-mêmes ont conduit à une recrudescence de ce type d’activité. Alors que les consoles sont toujours plus puissantes et que l’Internet des objets est à notre porte, ce scénario va se développer et gagner en complexité. Les développeurs ne doivent pas envisager la sécurité a posteriori mais l’intégrer en amont dans le processus de développement des jeux. « Nous sommes convaincus qu’une coopération avec l’ensemble des acteurs du secteur peut contribuer à améliorer cette situation« , sougline Santiago Pontiroli de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Pour s’en prémunir, les utilisateurs ont besoin d’une solution de sécurité à jour qui leur permette de s’adonner à leurs jeux favoris sans craindre de voir leur compte piraté. La plupart des produits de sécurité offrent un « mode jeu », de sorte que les joueurs ne sont pas dérangés par leurs notifications avant la fin de la partie en cours. Dans le but de protéger les comptes de ses propres utilisateurs, Steam a également pris plusieurs mesures de sécurité destinées à contrer les mécanismes de piratage.

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Leak, Piratage, Vie privée

1,5 million de comptes volés sur le site KM.RU à la suite d’un piratage politique

3 commentaires

Piratage – Le portail Russe KM.RU piraté. L’auteur indique avoir volé 1,5 million de données pour soutenir l’Ukraine.

Le portail Russe KM.RU propose un service de webmail. Ce service de courriel a été la cible d’une attaque informatique qui est annoncée comme une action politique par son auteur. Le pirate, qui se baptise Cyber Anak, explique sur Internet que les données ont été volées en juillet 2015. Il souhaitait les diffuser après qu’un avion Ukrainien se soit écrasé. Un missile Russe avait été pointé alors du doigt comme la raison de ce mystérieux incident. « La raison qui me pousse à diffuser ces données aujourd’hui [mars 2016] (…) je proteste contre la politique étrangère de la Russie en ce qui concerne l’Ukraine. » Dans les données volées, j’ai pu constater les dates de naissance, adresses mails, emplacements géographique, adresses mails de secours, questions et réponses de sécurité, pseudonymes… d’1,5 millions d’utilisateurs Russes.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, Vie privée

Des données de pharmacies diffusées en raison d’une erreur de codage

Fuite de données pour les pharmacies de l’enseigne de grande distribution américaine Wal-Mart. Une erreur de codage et de cookie donnait accès aux informations des clients patients.

Une erreur de codage, c’est le risque de l’informatique et de n’importe quel système numérique. La sécurité informatique à 100% n’existera jamais, et les fuites de données existeront toujours, surtout que nous fournissons de plus en plus d’informations que nous ne maitrisons plus du tout ensuite.

L’enseigne de grande distribution américaine Wal-Mart Stores INC vient de confirmer une fuite de données concernant ses pharmacies. Une erreur de codage qui permettait d’accéder aux dossiers des clients et patients. « Nous avons eu une erreur de codage dans un de nos logiciels, indique le service presse. Un bug qui a couru sur une période de 72 heures ».

Un bug plutôt gênant. Du 15 au 18 février 2016, il suffisait de se connecter en même temps qu’un autre utilisateur pour accéder aux données de ce dernier. La faute à la gestion des cookies qui se partageaient. « Nous avons agi rapidement pour résoudre le problème une fois qu’il a été découvert. » Une fuite qui donnait accès à de nombreuses informations : nom, adresse, date de naissance et l’historique des prescriptions. Heureusement, les utilisateurs n’étaient pas en mesure de voir les numéros de sécurité sociale ou encore les données bancaires. Des informations cependant suffisantes pour des dealers à la recherche de médicaments vendus uniquement sur ordonnance. Médicaments plus faciles à voler chez un particulier que dans une pharmacie !

Android, Argent, Arnaque, backdoor, Banque, Chiffrement, cryptage, cryptolocker, Cybersécurité, escroquerie, Logiciels, Particuliers, Smartphone, Social engineering

Malwares mobiles : le volume a triplé en 2015

Le volume de malwares ciblant les utilisateurs d’appareils mobiles a plus que triplé en 2015, comparé à 2014. Les menaces les plus dangereuses observées au cours de l’année dernière sont des ransomwares, c’est-à-dire des malwares capables d’obtenir le contrôle illimité d’un appareil infecté, ainsi que les voleurs de données, y compris les malwares financiers. Ces conclusions sont le résultat du travail de l’équipe de recherche antimalware de Kaspersky Lab, compilées dans son rapport annuel de virusologie.

Les chiffres clés du paysage des menaces mobiles 2015 :
·         884 774 nouveaux programmes malicieux ont été détectés, soit trois fois plus qu’en 2014 (295 539).
Le nombre de Trojans bancaires mobiles a diminué à 7 030, alors qu’ils étaient 16 586 en 2014.
·         94 344 utilisateurs uniques ont été attaqués par un ransomware mobile, soit cinq fois plus qu’en 2014 (18 478).

Explosion du nombre de ransomwares
2015 a été l’année des ransomwares. Une fois un appareil infecté, l’application malicieuse le bloque grâce à une fenêtre pop-up annonçant que l’utilisateur a commis un acte illégal. Pour débloquer son appareil, il doit payer une rançon pouvant aller de 12$ à 100$.

La part d’utilisateurs de produits Kaspersky Lab pour mobiles attaqués par un ransomware est passée de 1,1% à 3,8% entre 2014 et 2015. 156 pays sont concernés par ces attaques, avec en haut de la liste la Russie, l’Allemagne et le Kazakhstan. Le malware Trojan-Ransom.AndroidOS.Small et sa modification, Trojan-Ransom.AndroidOS.Small.o étaient les plus actifs en Russie et au Kazakhstan. Small.o a été le ransomware mobile le plus répondu et détecté l’année dernière. Le nombre de modifications d’applis de ransomware a été multiplié par 3,5, prouvant que les fraudeurs voient un intérêt toujours plus grand à gagner de l’argent grâce au chantage.

En 2016, les malwares vont probablement gagner en complexité et le nombre de modifications va augmenter, augmentant en parallèle le nombre de zones géographiques touchés.

Quand les malwares prennent les pleins pouvoirs (et droits d’accès)
Près de la moitié des 20 plus importants Trojans de 2015 étaient des programmes malicieux diffusant des publicités intrusives sur des appareils mobiles. Les plus répandus l’année dernière étaient les Trojans Fadeb, Leech, Rootnik, Gorpro et Ztorg. Les fraudeurs derrière ces programmes ont utilisé toutes les méthodes à leur disposition pour les propager, à travers des bannières web malicieuses, des faux jeux et d’autres applications légitimes publiées dans des marketplaces légitimes. Dans certains cas, ils étaient présentés comme des logiciels légitimes préinstallés sur l’appareil.

Certaines de ces applis ont la capacité de s’approprier des “super” droits d’accès ou l’accès root. Cela permet aux cyber criminels de disposer de possibilités quasi infinies de modifier les informations stockées sur l’appareil de leur victime. Si l’installation est réussie, il devient presque impossible de supprimer le malware, même après un reset aux paramètres d’usine. Les malwares mobiles pouvant s’octroyer l’accès root sont connus depuis 2011, avec un pic de popularité l’année dernière auprès des cyber criminels. Cette tendance devrait se confirmer en 2016.

Mettre son argent en sécurité
Les Trojans bancaires sont de plus en plus complexes, en dépit d’une diminution du nombre de modifications. La mécanique de ces applis malicieuses n’a pas changé : après avoir infiltré l’appareil ou le système d’un client, le malware se superpose à la page ou à l’application d’une banque. Cependant, l’échelle à laquelle ces malwares peuvent être utilisés s’est accrue en 2015. Maintenant, les cyber criminels peuvent attaquer les clients de douzaines de banques situées dans des pays différents en utilisant un seul type de malware, alors que par le passé ils auraient utilisé des applications malicieuses capables d’attaquer un seul établissement bancaire, voire deux, dans quelques pays. Un exemple d’application aux victimes multiples est le Trojan Acecard, qui dispose d’outils pour attaquer plusieurs douzaines de banques et de services web.

« Avec l’avènement des technologies mobiles, les cyber criminels sont entrés dans une logique de monétisation qui transcende les plates-formes. C’est pourquoi il n’y a rien de surprenant à enregistrer un accroissement de l’activité des ransomwares et autres malwares sur mobiles.  Certains utilisateurs pourraient être tentés de payer, mais cela ne fait que renforcer le modèle des criminels sans aucune garantie de récupérer ses données ou les pleins pouvoirs sur son appareil. Pour limiter les risques, la prudence et la prévention restent encore et toujours la meilleure des protections. » explique Tanguy de Coatpont, directeur de Kaspersky Lab France.

Alerte sur la croissance considérable du malware mobile
Même son de cloche pour Intel Security qui vient de publier un nouveau rapport, intitulé ‘McAfee Labs Threat Report’, sur l’évolution du paysage des menaces ciblant les environnements mobiles.

Tandis qu’historiquement, les cybercriminels concentraient principalement leurs efforts sur les attaques de postes fixes et de PC portables, Intel Security pointe du doigt l’augmentation spectaculaire du nombre de malwares sophistiqués ciblant aujourd’hui les appareils mobiles. L’étude indique qu’au cours des 6 derniers mois, 3 millions d’appareils ont été touchés uniquement par des malwares qui se propagent via les AppStores.

En outre, il a été constaté une nouvelle augmentation de 24 % d’échantillons de malwares mobiles au cours du dernier trimestre 2015 par rapport au trimestre précédent. Parmi les autres chiffres : 37 millions d’échantillons de malware mobile identifié par Intel Security au cours de 6 derniers mois. Plus d’1 million d’URL redirigeant vers des sites malveillants ont été enregistrées sur 4 millions de dispositifs mobiles. Plus de 155 % de ransomwares en 2015 par rapport à l’année passée. 780 millions d’accessoires connectés dans le monde d’ici 2018, là où il en était recensé 500 millions en 2015. « Les appareils mobiles prennent une place prépondérante dans la vie numérique des consommateurs, notamment dans l’usage de services sensibles (banques, achats, etc.). Il est important de veiller à la mise en place d’une protection anti-malware efficace afin de mieux sécuriser les données des utilisateurs », précise John Giamatteo, vice-président chez Intel Security. « Intel Security est très impliqué dans la lutte contre les menaces mobiles, y compris à travers sa collaboration avec des constructeurs grand public, telle que Samsung, pour les aider à mieux intégrer la sécurité en native au sein de leurs produits et permettre aux consommateurs de surfer dans un monde connecté en toute sécurité ».

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, IOT

Cloud : transfert sécurisé, dilemme pour les équipes informatiques

Tandis qu’une majorité d’informaticiens considèrent la sécurité des partages et transferts de fichiers comme très importante, plus de la moitié d’entre eux continuent d’utiliser des services de partage Cloud non sécurisés

Compte tenu de l’augmentation des menaces et vulnérabilités introduites sur le marché au quotidien, le processus de déplacement des données d’une entreprise est un point critique du rôle des équipes informatiques. Aujourd’hui, Ipswitch a présenté les conclusions de sa nouvelle enquête, qui a évalué les solutions et politiques de transfert de fichiers actuellement en place dans les entreprises auprès de 555 informaticiens dans le monde. L’enquête a mis en évidence que, bien que les équipes informatiques considèrent les transferts de fichiers sécurisés comme très importants pour leur organisation, elles n’utilisent pas les outils nécessaires pour en faire une réalité.

Principaux résultats au niveau mondial :
76 % des informaticiens déclarent que la capacité à transférer et partager des fichiers de façon sécurisée est très importante, en interne comme en externe. Cependant, 61 % indiquent que leur organisation utilise des services de partage Cloud non sécurisés comme Dropbox.
32 % des informaticiens déclarent ne pas avoir de politique en place pour le transfert de fichiers, mais 25 % prévoient d’en intégrer une. Un quart (25 %) des informaticiens expliquent que leur organisation a des politiques concernant les technologies de transfert, mais que leur application n’est pas systématique.
21 % des informaticiens indiquent qu’il est possible qu’ils aient subi une violation ou une perte de données, mais n’en sont pas sûrs. Plus d’un tiers (38 %) des informaticiens déclarent que leurs processus visant à identifier et réduire les risques du transfert de fichiers ne sont pas efficaces.
Moins de la moitié (46 %) des informaticiens sondés utilisent une solution de gestion de transfert de fichiers (MFT).

Principaux résultats pour la France :
88 % des participants évaluent l’importance de la capacité à transférer et partager des fichiers de façon sécurisée et performante, à l’intérieur et à l’extérieur de leur organisation, comme très (62 %), ou assez (26 %) importante.
80 % des participants ont des services de partage de fichiers Cloud en place et 75 % utilisent des serveurs FTP (protocole de transfert de fichiers).
96 % des participants ont des politiques en vigueur qui interdisent l’utilisation de certaines technologies ou de certains services de transfert de fichiers pour les données sensibles (70 %), ou prévoient de mettre en place ce type de politique (26 %).
43 % des participants limitent l’utilisation des services de partage Cloud non sécurisés (38 % au Royaume-Uni). Et 54 % limitent l’utilisation des serveurs FTP open source.
31 % des participants considèrent que les processus de leur organisation en matière de réduction des risques des opérations de transfert de fichiers sont très efficaces.
52 % des organisations des participants ont connu ou ont pu connaître une perte importante de données, suite à une défaillance du processus de transfert de fichiers. 53 % des participants qui ont effectivement subi une perte importante de données ont désigné une erreur de traitement ou une erreur humaine comme l’origine du problème.
Seuls 27 % des participants considèrent que les processus de leur organisation en matière d’identification des risques des opérations de transfert de fichiers sont très efficaces.

« Les résultats de l’enquête mettent en évidence une déconnexion évidente entre le service informatique et la direction des organisations en matière de sécurité du transfert des données. », explique Michael Hack, vice-président senior des opérations européennes chez Ipswitch. « Les équipes informatiques doivent inclure ce besoin dans les priorités pour 2016 afin de permettre à l’entreprise de posséder un contrôle granulaire des accès, une gouvernance automatisée des politiques et une protection des données en transit ou au repos. En mettant en œuvre une solution MFT et en faisant respecter des politiques strictes, les équipes informatiques assurent la sécurité des données sensibles de l’entreprise sans problème. »

backdoor, Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Paiement en ligne

Applications bancaires : La France touchée par le code Acecard

Le Trojan Acecard menace les utilisateurs de plus de 30 applications bancaires et de paiement sur Android. La France dans le top 5 des pays les plus touchés.

L’équipe de recherche antimalware de Kaspersky Lab a détecté l’un des chevaux de Troie bancaires les plus dangereux jamais observés sur la plate-forme Android. Le malware Acecard est en effet capable de s’attaquer aux utilisateurs de près d’une cinquantaine d’applications et de services de finance en ligne, en contournant les mesures de sécurité de Google Play.

Au cours du troisième trimestre 2015, les experts de Kaspersky Lab ont repéré une augmentation inhabituelle du nombre d’attaques contre des services bancaires mobiles en Australie. Cela leur a paru suspect et très vite ils ont découvert que cette recrudescence était principalement imputable à un seul et même Trojan bancaire : Acecard.

La famille de chevaux de Troie Acecard utilise la quasi-totalité des fonctionnalités malveillantes aujourd’hui disponibles, qu’il s’agisse de s’approprier les messages (textes ou vocaux) d’une banque ou de superposer aux fenêtres des applications officielles de faux messages qui simulent la page d’authentification officielle afin de tenter de dérober des informations personnelles et des identifiants de compte. Les plus récentes versions de la famille Acecard peuvent s’attaquer aux applications clients d’une trentaine de systèmes bancaires et de paiement. Sachant que ces chevaux de Troie sont en mesure de maquiller toute application sur commande, le nombre total d’applications financières attaquées est peut-être bien supérieur.

En dehors des applications bancaires, Acecard peut détourner les applications suivantes avec des fenêtres de phishing :

·         messageries instantanées : WhatsApp, Viber, Instagram, Skype ;
·         réseaux sociaux : VKontakte, Odnoklassniki, Facebook, Twitter ;
·         Client de messagerie Gmail ;
·         application mobile PayPal ;
·         applications Google Play et Google Music.

Le malware, détecté pour la première fois en février 2014, n’a cependant montré pratiquement aucun signe d’activité malveillante pendant une période prolongée. Tout a changé en 2015 lorsque les chercheurs de Kaspersky Lab ont remarqué un pic dans les attaques : de mai à décembre 2015, plus de 6000 utilisateurs ont été ciblés par ce cheval de Troie, la plupart d’entre eux se trouvant en Russie, Australie, Allemagne, Autriche et France.

Pendant leurs deux années d’observation, les chercheurs de Kaspersky Lab ont été témoins du développement actif du cheval de Troie. Ils ont ainsi enregistré au moins dix nouvelles versions du malware, chacune présentant une liste de fonctions malveillantes nettement plus longue que la précédente.

Applications bancaires : Google Play attaqué
Les appareils mobiles ont généralement été infectés après le téléchargement d’une application malveillante imitant une application authentique. Les variantes d’Acecard sont généralement diffusées sous le nom de Flash Player ou PornoVideo, même si d’autres appellations sont parfois employées dans le but de les faire passer pour des logiciels utiles et répandus.

Il ne s’agit toutefois pas de la seule méthode de diffusion de ce malware. Le 28 décembre 2015, les experts de Kaspersky Lab ont repéré une version du module de téléchargement d’Acecard – Trojan-Downloader.AndroidOS.Acecard.b – sur la boutique officielle Google Play. Le cheval de Troie se propage sous l’apparence d’un jeu. Une fois le malware téléchargé depuis Google Play, l’utilisateur ne voit qu’une icône Adobe Flash Player sur le bureau et aucune trace de l’application installée.

Qui se cache derrière Acecard ?
Après avoir étudié de près le code malveillant qui se cache dans ces Applications bancaires, les experts de Kaspersky Lab sont enclins à penser qu’Acecard est l’œuvre du même groupe de cybercriminels déjà responsable du premier cheval de Troie TOR pour Android, Backdoor.AndroidOS.Torec.a, et du premier ransomware de cryptage mobile, Trojan-Ransom.AndroidOS.Pletor.a.

Cette conclusion s’appuie sur la présence de lignes de code similaires (noms de méthodes et de classes) et l’utilisation des mêmes serveurs de commande et de contrôle (C&C). Cela tend à prouver qu’Acecard a été créé par un groupe criminel puissant et chevronné, très probablement russophone.

« Ce groupe cybercriminel utilise pratiquement chaque méthode existante pour propager le Trojan bancaire Acecard. Celui-ci peut être diffusé sous l’aspect d’un autre programme, via des boutiques d’applications officielles, ou par l’intermédiaire d’autres chevaux de Troie. Une caractéristique distinctive de ce malware est sa capacité à se superposer à plus de 30 systèmes bancaires et de paiement en ligne mais aussi des applications de réseaux sociaux, de messagerie instantanée ou autres. La combinaison des capacités et des modes de propagation d’Acecard font de ce cheval de Troie bancaire mobile l’une des menaces les plus dangereuses pour les utilisateurs aujourd’hui », avertit Roman Unuchek, analyste senior en malware chez Kaspersky Lab USA.

Afin de prévenir une infection, quelques recommandations :
–          Ne pas télécharger ou/et installer d’applications depuis Google Play ou des sources internes si elles ne sont pas dignes de confiances ou ne peuvent être traitées comme telles.
–          Ne pas consulter de pages web suspectes présentant des contenus particuliers et ne pas cliquer sur des liens suspects.
–          Installer une solution de sécurité fiable sur les appareils mobiles, par exemple Kaspersky Internet Security for Android.
–          Veiller à ce que les bases de données antivirales soient à jour et fonctionnent correctement.

Base de données, BYOD, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, IOT, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Social engineering

Les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels

Selon les résultats de l’étude C-Suite d’IBM : les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels. Éducation et engagement sont nécessaires pour mettre les dirigeants au niveau du nouvel environnement de sécurité.

La division sécurité d’IBM et l’Institut IBM for Business Value (IBV) publient aujourd’hui les résultats d’une étude réalisée auprès de plus de 700 dirigeants qui met en lumière leur confusion concernant leurs véritables ennemis cyber et la façon de les combattre efficacement.

La nouvelle étude, Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite est basée sur des entretiens avec des dirigeants de 28 pays et de 18 secteurs industriels concernant la cybersécurité dans l’entreprise. L’étude n’a pas pris en compte les responsables de la sécurité des systèmes d’information (RSSI), afin d’obtenir une image fidèle de ce que les dirigeants pensent de la cybersécurité. Si sur le papier, la cybersécurité est considérée comme une préoccupation majeure pour 68% des dirigeants1, et que 75% pensent qu’une stratégie globale de sécurité est importante, l’étude révèle que les dirigeants clés doivent être plus engagés auprès des RSSI, au-delà de la stratégie en matière de sécurité, et avoir un rôle plus actif.

L’une des principales conclusions de l’étude est que 70% des dirigeants pensent que les individus malveillants constituent la plus grande menace pour leur entreprise. Selon un rapport des Nations Unies2, la réalité est que 80% des cyberattaques sont réalisées par des réseaux criminels hautement organisés au sein desquels les données, les outils et l’expertise sont largement partagés. L’étude C-Suite révèle un large éventail d’ennemis : 54% des  dirigeants reconnaissent que les réseaux criminels sont un sujet de préoccupation mais leur ont donné un poids à peu près égal aux individus malveillants (50%).

Plus de 50% des PDG s’accordent à dire qu’une collaboration est nécessaire pour lutter contre la cybercriminalité. Ironiquement, seulement 1/3 des chefs d’entreprise a exprimé sa volonté de partager à l’extérieur ses informations sur les incidents liés à la cybersécurité survenus dans leur entreprise. Cette situation est un frein à la collaboration coordonnée au niveau de l’industrie, alors même que les groupes de pirates partagent de mieux en mieux l’information en temps quasi réel sur le Dark Web. Les PDG soulignent également que les organisations externes doivent faire davantage ; une surveillance accrue du gouvernement, une augmentation de la collaboration dans l’industrie, un partage de l’information transfrontalière – cette dichotomie doit être résolue.

«Le monde de la cybercriminalité est en pleine évolution, mais de nombreux dirigeants n’ont pas mis à jour leur compréhension des menaces », a déclaré Caleb Barlow, Vice-Président, IBM Security. « Bien que les RSSI et le Conseil d’administration puissent aider à fournir les conseils et des outils appropriés, les dirigeants en marketing, ressources humaines et finances, quelques-uns des départements les plus exposés et les plus fournis en données sensibles, devraient s’impliquer de façon plus proactive dans les décisions de sécurité avec les RSSI. »

En fait, les départements marketing, ressources humaines, et finances représentent des cibles de choix pour les cybercriminels car ils gèrent les données clients et employés parmi les plus sensibles, avec les données financières de l’entreprise et les informations bancaires. Dans l’étude, environ 60% des directeurs financiers, DRH, et directeurs marketing reconnaissent volontiers qu’ils, et par extension leurs divisions, ne sont pas actifs dans la stratégie et l’exécution de la politique de cybersécurité de l’entreprise. Par exemple, seuls 57% des DRH ont déployé une formation à la cybersécurité pour les employés, première étape pour que ces derniers s’engagent en la matière.

Que peuvent faire les entreprises ?
Un nombre impressionnant de dirigeants interrogés, 94%, pensent qu’il y a une certaine probabilité pour que leur entreprise subisse un incident de cybersécurité significatif au cours des deux prochaines années. Selon l’étude d’IBM, 17% des personnes interrogées se sentent capables et prêtes à répondre à ces menaces. IBM a identifié des répondants exceptionnels, 17% de répondants classés «Cyber-Securisés», ce sont les dirigeants les plus préparés et capables de faire face aux menaces. Les dirigeants « Cyber-sécurisés » sont deux fois plus susceptibles d’avoir intégré la collaboration dans leur politique de cybersécurité et deux fois plus susceptibles d’avoir intégré la cybersécurité à l’ordre du jour des Conseils d’administration de façon régulière.

 Conseils « Cyber-Securisés» pour les entreprises :
• Comprendre le risque : Évaluer les risques liés à votre écosystème, analyser les risques de sécurité, développer l’éducation et la formation des employés et intégrer la sécurité dans la stratégie de risques de l’entreprise.

• Collaborer, éduquer et responsabiliser : Mettre en place un programme de gouvernance de la sécurité, accroître le pouvoir des RSSI, promouvoir et discuter régulièrement de la cybersécurité lors des réunions de direction, intégrer les dirigeants dans l’élaboration d’une stratégie de réponse aux incidents.

• Gérer les risques avec vigilance et rapidité : Mettre en œuvre une surveillance continue de la sécurité, tirer profit des analyses d’incidents, partager et utiliser les renseignements de sécurité pour sécuriser l’environnement, comprendre où les données numériques des entreprises se trouvent et élaborer des stratégies en conséquence, développer et appliquer les politiques de cybersécurité.

1.     “Redefining Boundaries: Insights from the Global C-suite Study.” IBM Institute for Business Value. November 2015.
2.     UNODC Comprehensive Study on Cybercrime 2013

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Propriété Industrielle

5 tendances en matière de sécurité informatique pour l’édition 2016 de la RSA Conférence

L’année 2015 a été marquée par d’importantes failles de sécurité avec des répercussions allant parfois au-delà de l’impact purement financier et touchant notamment la sécurité intérieure des pays ou la confidentialité de vos données personnelles. L’édition 2016 de la RSA Conférence sera l’occasion pour l’éditeur de rappeler les enjeux majeurs en matière de sécurité informatique qui figurent désormais en première page des médias et s’invite à l’ordre du jour des conseils d’administration.

CA Technologies réalise chaque année des prévisions sur les principales menaces et avancées en matière de sécurité. A la suite d’un webcast organisé sur le sujet (« The Rise of the User – Security Predictions for 2016 ») l’éditeur partage son analyse en 5 tendances clés pour cette année. CA Technologies présentera ces tendances au cours de la 25ème édition de la RSA Conférence. Michelle Waugh, Directrice de la Division Sécurité sera chargée d’un Tech Briefing intitulé « Identity-Centric Security: Enjoying Digital Business Transformation »  le 2 mars à 17h00 (North Exhibit Hall Briefing Center)

Des prévisions 2015 avérées en sécurité informatique
« Au début de l’année 2015 nous avions déjà fait 5 prévisions concernant les tendances de la sécurité. Après analyse des 12 derniers mois, nous avons constaté que 4 de ces prévisions se sont vérifiées, tandis que la dernière devrait se réaliser à plus long terme (indiquée en vert sur le graphique) », précise Michelle Waugh.

Ce qui nous attend en 2016 en matiére de sécurité informatique
En 2016, CA Technologies anticipe l’émergence des cinq tendances suivantes, et prévoit qu’elles affecteront considérablement les professionnels de la sécurité.

1.      Les équipes chargées de la gestion des identités laisseront progressivement la main aux équipes métiers. L’expérience utilisateur devant sans cesse être améliorée, les métiers seront amenés à intégrer la gestion des identités dès la conception de leurs services, afin de les rendre plus intuitifs et sans contrainte pour les utilisateurs.  Cette prise de contrôle permettra à la fois de renforcer l’engagement des utilisateurs (employés, partenaires, clients) et de réduire les risques.

2.      Les zones exposées aux attaques et les failles seront de plus en plus étendues, et les conséquences de ces violations iront bien au-delà de pertes financières. Le recours accru au développement Agile, à DevOps, à la virtualisation ou au Cloud créeront de nouvelles brèches de sécurité propices aux attaques. La cybercriminalité laissera la place au cyber-espionnage, menaçant la sécurité intérieure des pays et ouvrant la voie à de potentielles attaques cyber-terroristes.

3.      L’analyse des risques ne sera plus réservée aux services financiers et deviendra accessible à l’ensemble de l’entreprise. N’utilisant qu’un simple mot de passe pour identifier leurs utilisateurs, les entreprises peineront à différencier les utilisateurs légitimes des usurpateurs d’identité et vont recourir à des analyses basées sur les risques pour protéger leurs plateformes web et leurs applications mobiles.

4.      La gestion et la sécurité informatique des identités et des accès (IAM) deviendra un axe de plus en plus stratégique pour les entreprises, qui seront de plus en plus demandeuses d’expertise en la matière en 2016. Une plus grande attention sera prêtée aux identités privilégiées, aux identités s’étendant sur le Cloud et aux identités tierces intégrées aux ‘frameworks’ de sécurité, ce qui rendra les défis associés à la sécurité des identités encore plus difficiles à relever.

5.      L’Internet des Objets (IdO) gagnant le marché, la nécessité d’y incorporer des fonctionnalités de gestion des identités sera de plus en plus évidente. L’acronyme IdO aura désormais également le sens d’« Identité » des Objets. Les informations circulant sur Internet et stockées sur ces appareils connectés devront ainsi être authentifiés et dignes de confiance, de la même manière que l’identité d’une personne doit être vérifiée.

Bref, la sécurité informatique a encore beaucoup de chemin à faire !

Bitcoin, Chiffrement, cryptage, cryptolocker, Cybersécurité, Paiement en ligne, ransomware

Dridex : quand le ransomware se fait créatif

Ransomware – Récemment des chercheurs ont mis à jour une nouvelle campagne d’envergure impliquant le cheval de Troie Dridex, aux caractéristiques plutôt inhabituelles, mais entraînant l’envoi de millions de messages comme à l’accoutumée. Cette campagne induit trois méthodes différentes de distribution de la charge, afin de garantir une efficacité accrue.

La charge finale correspond au botnet 220 et les utilisateurs basés au Royaume-Uni sont ciblés, en particulier les banques. Des ramifications ont également été identifiées en Australie et en France. Alors que les individus ciblés et le botnet employé n’ont rien d’inédit, on ne peut pas en dire autant des méthodes appliquées par les pirates. Les messages envoyés dans le cadre de cette campagne incluent les éléments suivants : Des pièces jointes au format Word et Excel comportant des macros malveillantes ; des kits d’exploitation qui entraînent le téléchargement automatique de Dridex lorsque les documents malveillants sont ouverts sur des systèmes vulnérables (voir failles de sécurité CVE-2015-1641 et CVE-2012-0158) ; des pièces jointes JavaScript zippées semblant être des documents PDF. Cette nouvelle approche est sans précédent, bien qu’il soit toujours question du téléchargement de Dridex lorsqu’un utilisateur ouvre un fichier JavaScript.

Ransomware : chaque  courrier électronique se caractérise par une méthode différente.
Il est cependant toujours question d’une facture envoyée dans le cadre de la location de toilettes mobiles. Certains utilisateurs considéreront immédiatement de tels messages comme des spams (peu nombreuses sont les personnes à louer des toilettes mobiles régulièrement), mais d’autres ouvriront malgré tout les documents joints, par  pure curiosité, ou quelconque raison, comme expliqué dans l’étude The Human Factor 2015. Lorsque le fichier JavaScript compressé est ouvert, aucun PDF n’est extrait. Il s’agit plutôt d’un fichier .js. Les études ont également permis de révéler que le fichier JavaScript était conçu pour ne pas être détecté par les antivirus. Ce qui n’est pas bien compliqué. certains antivirus ont tenté la chose et se sont retrouvés à diffuser des faux positifs, comme ce fût le cas, le 29 février avec Nod32. Sur les systèmes Windows, le fichier JavaScript semble sans danger et s’exécute automatiquement après un clic double. Lorsqu’un clic double est effectué sur le fichier JavaScript, le téléchargement du fichier binaire comportant Dridex démarre.

34frgegrg.exe, is bad !

En général, les campagnes induisant Dridex se caractérisent par des macros qui permettent presque exclusivement de diffuser les charges. Les Courriers électroniques avec fichier Excel joint comportant une macro qui permet le téléchargement de Dridex. L’exploit du document semble similaire, mais une seule action est requise par l’utilisateur : ouvrir le document joint sur un système vulnérable. Ceci constitue un processus inhabituel lorsqu’il est question de Dridex. Ce type d’attaque, qui revient en fait à simuler l’envoi d’une commande de programmation basique de type Hello World, est particulièrement efficace sur les systèmes vulnérables. Ce document est très probablement personnalisable et son contenu est destiné à rendre l’utilisateur moins suspicieux, ce qui n’aurait pas été le cas avec du texte de programmation.

Les pirates propageant Dridex savent faire preuve de créativité lorsqu’il est question de diffuser leurs charges. En outre, ils n’ont de cesse de développer de nouveaux procédés permettant de ne pas être confondus par les antivirus et autres mesures de détection. La curiosité peut se révéler dangereuse : il est toujours important de rappeler aux utilisateurs qu’il ne faut pas ouvrir les pièces jointes suspectes ou inhabituelles.

Quand le ransomware devient une affaire personnelle
De son côté, Bitdefender indique qu’un tiers des français interrogés sont prêts à payer une rançon pour récupérer leurs données. Les Français se disent prêt à payer jusqu’à 190 €, les Anglais jusqu’à trois fois plus  !

Au total des six pays référents de cette étude (États-Unis, Allemagne, France, Royaume-Uni, Danemark et Roumanie), les ransomwares ont fait un peu plus de 20 millions de victimes en 2015. Bitdefender explique que l’extortionware, malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet, a bondi de 20% l’année dernière et compte pour une part de plus en plus importante de ces victimes.

Proportionnellement, les États-Unis est le pays le plus touché par cette cyber-menace avec 4.1% de sa population, victimes de ransomwares (soit 13.1 millions), suivi de l’Allemagne avec 3.8% (3.1 millions). En effet, comme le révélait une récente étude interne de Bitdefender2, les internautes américains sont des cibles de choix pour les attaques de ransomwares : 61,8% des attaques de malwares via e-mails aux États-Unis y ont diffusé du ransomware en 2015 (55.8% en France) et un e-mail sur cinq infectés par un ransomware au niveau mondial ciblait les États-Unis.

La France se place en 4e position de ce classement devant le Royaume-Uni avec respectivement 3.3% (2.2 millions) et 2.6% (1.7 million) de la population victime de ransomwares.

L’étude révèle également que moins de 50% des internautes savent précisément ce qu’est un ransomware et qu’il s’agit d’un type de menace qui ‘bloque ou limite l’accès aux données d’un PC’. Les Français sont les moins avertis puisque seulement 31% des personnes sondées sont capables de donner cette définition, quand 21% déclarent savoir qu’un ransomware ‘impacte l’ordinateur’ alors que 45% ‘ne savent pas’ ce qu’est un ransomware (vs. 21% des américains).

Le ransomware est la cyber-menace la plus lucrative pour les cybercriminels et l’on comprend aisément pourquoi : en moyenne, près de la moitié des victimes (32% des sondés en France) se disent prêtes à payer environ 500 € pour récupérer leurs données, même s’ils savent que les cybercriminels pourraient très bien ne pas leur fournir la clé de déchiffrement ou leur demander une somme supplémentaire, notamment pour développer de nouveaux outils. Les victimes américaines sont même 50% à avoir payé une rançon.

Une somme qui peut varier d’un pays à un autre puisqu’un Anglais se dit prêt à payer trois fois plus qu’un Français pour récupérer ses données (526 € vs. 188 €) mais toutes les victimes s’accordent pour dire que leurs données personnelles sont en tête de leurs préoccupations. En France 21% des répondants sont prêts à payer pour récupérer des documents personnels, 17% pour des photos personnelles et seulement 11% pour des documents professionnels.

Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l’un des plus importants vecteurs de cybercriminalité en 2016. Selon les rapports fédéraux américains, les dommages liés au ransomware le plus récent et le plus important, CryptoWall et ses variantes, s’élèvent à 900 millions d’euros par mois. Ces dommages en pleine expansion sont d’autant plus élevés que le prix du kit ransomware Cryptolocker / Cryptowall 3.1 est vendu seulement 2700 € sur le black market, avec le code source, un manuel et une assistance gratuite.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, ios, Justice, loi, Particuliers, Smartphone

FBI Vs Apple : violation du système de confiance

Pourquoi la demande du FBI auprès d’Apple constitue une violation du système de confiance … une question qui va bien au delà du chiffrement des données.

En résumé, on demande à Apple de démonter le système de confiance utilisé depuis plus de 20 ans pour sécuriser Internet. Cette action du gouvernement américain -qui exige de pouvoir utiliser des certificats Apple- constitue un détournement et un piratage d’Internet. La question n’est pas de décrypter un téléphone utilisé par un terroriste.

Les certificats constituent le socle de la cybersécurité. Si le gouvernement est autorisé à utiliser les certificats Apple, il contrôle le logiciel qui contrôle en grande partie l’accès aux logiciels, à Internet et aux applications. Il en prendra alors le contrôle et le détournera.

L’enjeu de la demande du FBI et le défi d’Apple ne se limitent pas à un seul téléphone chiffré utilisé par un terroriste. C’est une violation du système de confiance à base de certificats [numériques] sur lequel reposent les logiciels et Internet ! Le FBI souhaite qu’Apple utilise un certificat Apple pour signer le logiciel qui s’exécutera ensuite (ce que le FBI appelle le fichier logiciel signé de l’iPhone [‘‘signed iPhone Software File’’]). Ces tactiques rappellent celles utilisées pour rendre Stuxnet si efficace – un malware signé à l’aide de certificats valides qui avait pu s’exécuter sans éveiller la méfiance. La requête du FBI risque de marquer un précédent, car elle porte, non sur le fait de casser le chiffrement, mais sur le fait de casser le logiciel. D’où la réponse de Tim Cook : ‘‘Le gouvernement demande à Apple de pirater ses propres utilisateurs et de saper les avancées réalisées depuis plusieurs décennies dans le domaine de la sécurité pour assurer la protection de nos clients.’’

Or, la plus grosse ‘‘avancée’’ dans le cas présent est l’intérêt croissant que les cybercriminels portent au système de confiance créé par les certificats tel que nous le connaissons, et les attaques dont il fait l’objet. Les logiciels font tourner le monde et c’est le rôle des certificats TLS ou les signatures de code de distinguer ce qui est digne de confiance de ce qui ne l’est pas, de trier le bon grain de l’ivraie. Le logiciel signé par Apple ne deviendrait pas seulement une arme convoitée, ce serait également un prototype supplémentaire dans le manuel d’attaques des méchants, comme l’a été Stuxnet il y a 6 ans.

Qu’est-ce que cela signifie pour les entreprises du Global 5000 ? À une époque où certificats et clés suscitent de plus en plus l’intérêt des gouvernements et les convoitises de personnes mal intentionnées, je dirais qu’il est d’autant plus important de connaître les certificats et clés auxquels l’on peut se fier, pour protéger ceux que l’on utilise.

La réponse rapide et légitime d’Apple au FBI contraste fortement avec un autre grand problème de sécurité qui a concerné tous les utilisateurs de smartphones et d’ordinateurs dans le monde. L’autorité de certification chinoise CNNIC, une entité du gouvernement chinois qui contrôle le ‘‘Grand Pare-feu de Chine’’ et surveille le cybercomportement des citoyens de l’Empire du Milieu, était jugée digne de confiance par l’ensemble des navigateurs, ordinateurs, smartphones et tablettes Microsoft, Apple et Google. Or, la CNNIC a été impliquée dans une tentative d’usurpation de Google en Égypte – un incident auquel Google et Mozilla ont rapidement réagi en jetant le discrédit sur la CNNIC. Face aux dizaines de milliards de dollars de chiffres d’affaires en jeu chaque trimestre sur le marché chinois, Apple et Microsoft n’ont pas bougé pendant des mois. Apple a discrètement choisi de faire confiance à certains certificats CNNIC, tandis que Microsoft a laissé faire. L’incident n’a pas reçu la même couverture médiatique que la requête du FBI. Malheureusement, dans le cas de la CNNIC et contrairement à aujourd’hui, Apple n’a pas réagi. Son absence de réaction rapide ou publique a donné l’impression que la firme à la pomme faisait passer ses intérêts financiers chinois devant la sécurité et la confidentialité des données de tous les utilisateurs d’iPhone, d’iPad et de Mac à travers le monde. La réactivité d’Apple à la demande du FBI est un changement bienvenu et nous espérons qu’à l’avenir, l’entreprise ferait de même en cas d’incidents impliquant les autorités chinoises. [Kevin Bocek, VP Threat Intelligence and Security Strategy, Venafi]