Archives de catégorie : Chiffrement

Cybercriminalité et libertés individuelles au cœur des préoccupations de sécurité en 2016

A l’aube de l’année 2016, l’heure est au bilan et le marché de la cyber sécurité a une nouvelle fois été secoué par des failles de grande ampleur qui n’ont épargné aucun secteur. De Vtech, en passant par Ashley Madison, le parlement allemand, Sony Pictures, TV5Monde ou encore le Bureau Américain du Personnel (OPM), le constat est sans appel : les organisations doivent renforcer leur pratiques de sécurité et les gouvernements doivent poursuivre leurs efforts en vue de mettre en place des réglementations plus claires en faveur de la lutte contre les cybermenaces.

Les équipes informatiques doivent garder une longueur d’avance sur les pirates informatiques et ressentent par conséquent une forte pression face aux menaces émergentes. Dans de nombreux cas, cela requiert des formations poussées, notamment au sein des industries concernées par l’Internet des Objets (IoT), ainsi que de nouvelles compétences dans les domaines prenant de plus en plus d’importance comme l’analyse comportementale. L’investissement dans des systèmes d’automatisation d’alertes relatives à des comportements inhabituels ou au blocage des menaces peut permettre de soulager les équipes d’une partie du fardeau. En outre, l’émergence de « réseau auto-protégé », capable d’apprendre à se protéger lui-même une fois qu’une attaque est détectée, peut également constituer une réponse à la problématique de manque de compétences.

La vie privée et l’IoT dans le collimateur des responsables de la sécurité
La violation de données chez Vtech pourrait marquer un tournant décisif en ce qui concerne la vie privée des consommateurs et l’IoT. Toutefois, selon le cabinet d’études Altimeter Group, 87% des consommateurs n’ont pas la moindre idée de ce que le terme « l’Internet des Objets » signifie et il est urgent d’y remédier. Au cours des prochaines années, les consommateurs devront être mieux informés de la manière dont leurs données sont collectées par les fournisseurs, et comprendre que ces informations peuvent être compromises si elles ne sont pas correctement sécurisées par le vendeur. Le risque de faille existe à partir d’un seul terminal connecté au réseau domestique ou à d’autres appareils. Ces risques sont encore plus élevés pour les entreprises où le déploiement d’objets connectés devient une réalité. Bien que ces appareils intelligents augurent une simplification du quotidien professionnel, ils ne sont la plupart du temps pas conçus avec le niveau de sécurité adapté, ce qui engendre un risque conséquent pour les entreprises. Cela devient d’autant plus critique avec la généralisation de leur utilisation et l’augmentation du nombre d’appareils.

L’entreprise devient la cible privilégiée de la cybercriminalité
2015 fût le théâtre de nombreuses extorsions de fonds menaçant les organisations victimes de voir leurs activités IT ou opérationnelles interrompues. En 2016, ces attaques seront plus agressives et viseront l’extraction d’informations financières, agitant la menace de divulgation d’informations compromettantes et d’augmentation des rançongiciels (ransomwares) à l’échelle de l’entreprise. Ce type d’attaques va en effet croitre à mesure que les pirates informatiques développeront des méthodes plus créatives de chantage envers les individus et les corporations ; les attaques continueront en outre de se transformer et de s’adapter aux environnements des entreprises ciblées, en utilisant des approches de type « caméléon » pour dérober les identifiants de connexion. Cette activité peut également donner un nouvel élan pour faire évoluer et affiner l’industrie mondiale de la cyber-assurance afin de renforcer la protection des entreprises. Aux Etats-Unis par exemple, les risques de cyberattaques et les mesures de préventions consenties devraient avoir des conséquences notables sur les analyses financière et la cote des entreprises.

La convergence des risques de terrorisme physique et cybernétique sur les infrastructures critiques
En 2015 des actes de terrorisme dévastateurs ont impacté la communauté internationale. En 2016, il y aura davantage de convergence entre les formes de terrorisme physiques et virtuelles. Nous avons déjà pu observer le piratage d’une compagnie aérienne : plutôt que de s’attaquer à l’avion directement, le pirate pourrait également utiliser une faille pour engendrer la confusion au sein de l’aéroport, en ciblant le système de billetterie par exemple. Ces deux catégories d’attaques devraient être plus coordonnées entre elles : utiliser une cyberattaque pour semer la confusion et l’attaque physique pour causer un maximum de dégâts. Au-delà des transports, ces attaques visant les infrastructures critiques pourront aussi concerner les systèmes de santé, les marchés financiers ou encore les réseaux d’énergies.

Les cyber-traités et la législation
Les pays mettent en place de nouvelles lois pour lutter contre la cybercriminalité ainsi que des accords plus larges pour développer des tactiques de cyberguerre. Cependant, ces réglementations risquent davantage de porter préjudice aux avancées technologiques que de diminuer les activités malveillantes. Définir la conformité et rendre responsables les organisations qui ne la respectent pas permettra également de déterminer la capacité d’engagement des gouvernements sur la question de la cyber-sécurité et la possibilité d’avoir une incidence réelle sur ce sujet.

Le chiffrement : existe-t-il un équilibre entre sécurité et libertés individuelles ?
Les récentes attaques terroristes perpétrées dans le monde ont relancé le débat initié lors des révélations de Snowden : les consommateurs lambda doivent-ils avoir accès aux technologies de chiffrement ? La nécessité de surveiller les activités terroristes prime-t-elle sur les droits à la vie privée des citoyens et de leurs communications ? En fin de compte, la population aura-t-elle droit à plus de chiffrement et de préservation de sa vie privée malgré les coûts de sécurité ou 2016 sera-t-elle l’année de limitation des libertés civiles ? Dans certains pays du monde, de nombreux citoyens ont déjà accepté de renoncer à la confidentialité de leurs données au nom d’une cyber sécurité renforcée.

Identifier les cyber-infiltrés
Au cours de ces trois dernières années, le gouvernement fédéral américain et les entreprises privées ont été la cible de fuites massives d’informations privées. Comme pour l’OPM américain ou les attaques ciblant les compagnies aériennes, la principale question est de savoir ce qui a été volé alors qu’il vaudrait mieux se demander si les pirates n’ont pas eux-mêmes introduit quelque chose dans les systèmes piratés. 2016 sera-t-elle l’année où l’on découvre que les espions, les terroristes ou autres acteurs gouvernementaux sont finalement des utilisateurs vérifiés et approuvés sur la base d’informations introduites au cours d’une cyberattaque ? (Par Jean-François Pruvot, Regional Director France chez CyberArk)

BackStab, le code malveillant qui s’attaque aux terminaux iOS

Dans un livre blanc, l’Unité 42 explique le mode opératoire des attaques BackStab qui visent des terminaux iOS à l’aide de malwares.

Palo Alto Networks, spécialiste des solutions de sécurité nouvelle génération, a révèle les détails d’une nouvelle attaque sournoise (« BackStab ») qui vise à dérober les informations privées de terminaux mobiles – informations contenues dans les fichiers de sauvegarde stockés sur l’ordinateur des victimes. Dans un livre blanc de l’Unité 42, l’équipe d’analyse des menaces de Palo Alto Networks explique le mode opératoire des cyber-malfaiteurs qui utilisent des malwares pour s’infiltrer à distance sur des ordinateurs afin de lancer leurs attaques BackStab d’une façon totalement inédite.

La méthode BackStab est utilisée par les forces de police comme par les cybermalfaiteurs pour recueillir messages texte, photos, données de géolocalisation et quasiment tout type d’information stockée sur un terminal mobile en leur possession. Mais au-delà du nouveau virage pris par les attaques BackStab pour opérer à distance à l’aide de malwares, le livre blanc de l’Unité 42 revient aussi sur les raisons qui font des terminaux Apple® iOS la principale cible de ces attaques : iTunes est configuré par défaut pour stocker les fichiers de sauvegarde à des emplacements fixes et dans un format non chiffré, et pour synchroniser automatiquement les terminaux dès qu’ils sont connectés à l’ordinateur de l’utilisateur. « Les équipes de cybersécurité doivent prendre conscience qu’une technique d’attaque reste dangereuse, même si elle est très connue. Lorsque nous nous sommes penchés sur les attaques BackStab, nous avons collecté dans une trentaine de pays plus de 600 exemples de malwares utilisés pour lancer des attaques BackStab à distance » , commente Ryan Olson, Directeur de la recherche sur les menaces au sein de l’Unité 42 de Palo Alto Networks

Recommandations
Les utilisateurs d’iOS sont invités à chiffrer leurs sauvegardes locales ou à utiliser le système de sauvegarde iCloud ; ils doivent également choisir un mot de passe sécurisé.
Il est recommandé de mettre à niveau les appareils iOS avec la dernière version du système d’exploitation car celui-ci crée des sauvegardes chiffrées par défaut.
Lorsqu’un utilisateur connecte un terminal iOS à un ordinateur ou à un chargeur non approuvé à l’aide d’un câble USB, il est déconseillé de cliquer sur le bouton « Trust » (Faire confiance) qui s’affiche dans la boîte de dialogue.

Vuvuzela, le système qui permet de cacher ses SMS

Des chercheurs du Massachusetts Institute of Technology (MIT) annonce avoir créé un système permettant de cacher et sécuriser ses SMS.

Le Massachusetts Institute of Technology (MIT) est connu pour être un nid de chercheurs de grands talents. Une école qui dépose de nombreux, très nombreux brevets provenant de projets d’études. Des chercheurs du MIT viennent d’indiquer avoir mis au point Vuvuzela, un système qui permet de protéger de toute lecture un SMS. Pour les « inventeurs », Vuvuzela serait plus sécurisé que TOR. Avec le Laboratoire d’Intelligence Artificielle (CSAIL), le MIT a développé ce système qui permettra d’échanger des messages sécurisés. La technique reprend l’idée des trompettes Vuvuzela. Faire du bruit, via de nombreux nœuds de connexions.

Bref, Vuvuzela sera-t-il le système qui sécurisera les SMS comme le fait, pour les mails, le système ProtonMail. En juillet 2015, les mêmes chercheurs, secondés par ceux de l’Institut de recherche informatique Qatar (qcri) avaient démontré les failles de TOR lors de l’Usenix Security Symposium.

Prendre en compte la sécurité dans le développement des smart cities : nouvel enjeu pour les gouvernements

Alors que le concept de smart cities (villes intelligentes) devient de plus en plus une réalité les problématiques concernant leur sécurité le deviennent également. Que peut-on faire pour s’assurer que les pratiques de sécurité mises en place soient adaptées à cette réalité ? Par Ismet Geri, vice-président Europe du Sud chez ForgeRock.

Le concept de smart city n’est plus une idée futuriste et lointaine. Il s’agit d’une véritable initiative que les gouvernements du monde entier adoptent. Toutefois, alors que l’Internet des Objets (IdO) continue à stimuler le développement des smart cities, il accroît également la nécessité de faire face aux problèmes liés à la sécurité qui vont de pair avec elles.

Au début du lancement de la première vague d’implémentations de l’Internet des Objets, il y a quelques années, la communication et la connectivité étaient naturellement les objectifs principaux. Le fait de se connecter au réseau de « simples » objets tels que les téléviseurs, les ampoules et les thermostats représentait une importante avancée technique. Ces nouveaux « objets » connectés donnaient de tels résultats que les aspects concernant la gestion des accès et de l’identité étaient souvent négligés.  Alors que les communications de l’IdO gagnent en maturité et en stabilité, nous comprenons maintenant mieux les vulnérabilités et les risques potentiels relatifs à la perte de données.

L’impressionnante quantité d’appareils de l’Internet des Objets offre un important vecteur d’attaque à des personnes malveillantes. À l’échelle d’une ville dans laquelle des milliers d’appareils communiquent simultanément à la fois avec des utilisateurs et entre eux, les implications en matière de sécurité sont importantes. Les villes intelligentes représentent la cible idéale pour les pirates informatiques souhaitant créer des réseaux de style botnet constitués d’appareils compromis et s’en servir afin d’exécuter des tâches différentes de celles pour lesquels ils étaient destinés à l’origine.

Par exemple, imaginez qu’un pirate informatique puisse compromettre le système gérant le flux de trafic d’une ville et qu’il fasse passer au rouge tous les feux de signalisation du centre-ville aux heures de pointe. Associez cela à des interférences sur les stations de radio locales : il ne serait alors plus possible d’avertir les citoyens. Alors que les automobilistes emprunteraient leur chemin habituel pour se rendre au travail sans se douter des problèmes, la ville entière risquerait de se retrouver embouteillée en l’espace de quelques minutes. Non seulement cet incident coûterait de l’argent à la ville du point de vue de la productivité, mais les services d’urgence ne pourraient également pas intervenir rapidement, ce qui pourrait potentiellement coûter des vies.

Comment peut-on réduire les menaces ?
Pour empêcher les menaces de cette nature, il faut en premier lieu comprendre d’où elles proviennent. La meilleure manière d’y parvenir consiste à s’assurer que chaque appareil connecté dans l’infrastructure de la ville intelligente, qu’il s’agisse d’une voiture, d’un réverbère ou d’un détecteur de tremblements de terre, dispose d’une identité validée et est correctement relié au réseau. En effet, si un appareil est identifiable, il est bien plus facile de confirmer que les données qu’il génère sont authentiques et qu’il est possible de leur faire confiance. En outre, cela signifie surtout que si l’appareil tente d’exécuter une action sans en avoir l’autorisation, il peut être identifié et son action peut être empêchée.

Des efforts axés sur une gestion des risques efficace
Il est irréaliste d’attendre d’un réseau qu’il soit entièrement exempt de comportements malveillants. Même si les meilleures mesures en matière de sécurité sont prises, quelqu’un/quelque chose finira par s’y introduire étant donné le grand nombre de vecteurs d’attaques et de menaces qui existent. À ce titre, une gestion des risques efficace est l’élément clé pour évaluer les menaces et y réagir dans n’importe quelle smart city.  Des contrôles et, de manière plus importante encore, des plans de restauration doivent également être mis en place non seulement pour réduire l’étendue du risque, mais aussi pour réagir activement une fois un problème décelé.

L’infrastructure publique représentera toujours une cible particulièrement attractive pour les criminels et les terroristes. Par conséquent, il est essentiel de prendre des mesures efficaces à cette échelle afin de sécuriser les smart cities. Tout programme visant à sécuriser les smart cities doit être vérifié régulièrement afin de garantir que les dernières innovations y soient intégrées et qu’il soit toujours conforme. En association avec la gestion de l’identité et une connaissance solide des vecteurs de menaces, ces mesures devraient suffire à protéger des smart cities qui ne cessent d’évoluer.

Vulnérabilité des clés SSH et cybercriminalité : comment sécuriser et protéger les systèmes et environnements SSH

La réutilisation de clés SSH (Secure Shell) n’a rien de nouveau, c’est un phénomène que nous avons déjà observé dans le passé. Pour preuve, en 2013, les médias révélaient que des cybercriminels avaient profité de la vulnérabilité d’une clé SSH pour bénéficier d’un accès root aux équipements exécutant l’EAS (Emergency Alert System) aux États-Unis. Par Kevin Bocek, Vice President of Security Strategy & Threat Intelligence chez Venafi.

Le protocole SSH ayant pour mission de sécuriser les communications entre les ressources numériques les plus stratégiques et les plus précieuses d’une entreprise, il n’est guère étonnant que des cybercriminels veuillent dérober, déchiffrer ou autrement compromettre les clés cryptographiques sur lesquelles il repose. Les accès SSH sont tous tributaires d’une administration et d’une sécurisation adaptées des clés SSH. En l’absence de projet sérieux en la matière, votre établissement court un risque.

La compromission d’un procédé cryptographique au travers d’une clé SSH est, de loin, l’un des pires scénarios pour une entreprise. À partir du moment où un pirate possède un accès de niveau root, autrement dit un accès privilégié, il détient les clés lui permettant de prendre le contrôle d’un réseau ou d’un système complet pour le compromettre à sa guise. La plupart des professionnels de l’informatique et de la sécurité ne prennent pas conscience que les clés SSH en plus de fournir un accès de niveau root n’expirent pas. Par conséquent, à partir du moment où un pirate a dérobé une clé SSH, il disposera perpétuellement d’un accès par un moyen ou un autre. Il est donc primordial que les entreprises agissent aujourd’hui pour protéger leurs clés SSH.

Une étude(1) révèle que 3 acteurs du classement Global2000 sur 4 ne disposent d’aucun système de sécurité pour le protocole SSH, ce qui laisse ainsi la porte ouverte aux piratages, accès de niveau root et compromissions de données, et près de la moitié de l’ensemble des entreprises n’opèrent jamais de rotation ni ne changent leurs clés SSH. Ce faisant, leurs réseaux, serveurs et systèmes cloud deviennent la proie d’acteurs malveillants dès l’instant où ces clés SSH sont dérobées et utilisées de manière abusive.

Parce que le protocole SSH joue un rôle essentiel dans la sécurisation de l’accès administratif et automatisé à un large éventail de systèmes au sein d’établissements de toutes tailles, il est essentiel de disposer d’un ensemble très complet de chartes, processus et contrôles techniques pour gérer et superviser la configuration et les clés SSH. Il est donc important de sensibiliser à l’importance de sécuriser et de protéger ces clés SSH. Première action décisive que doivent engager les entreprises : maîtriser les clés dont elles ont l’usage – non seulement au niveau des systèmes et des logiciels installés, mais aussi des appliances réseau employées.

Le NIST(2) (National Institute of Standards and Technology) a publié récemment une nouvelle publication, « Security of Interactive and Automated Access Management using Secure Shell (SSH) » qui analyse plusieurs aspects décisifs du protocole SSH, notamment ses technologies sous-jacentes, vulnérabilités inhérentes ainsi que les meilleures pratiques appliquées à la gestion de clés SSH tout au long de leur cycle de vie. Ce rapport(3) sensibilise aux principales vulnérabilités associées à la gestion des clés SSH et de présenter des mesures concrètes pour sécuriser et protéger les systèmes et environnements SSH.

Parmi les quelques compromissions SSH notables ces dernières années figurent celles ci-après :
En 2014, Kaspersky Labs a mis au jour une cybermenace baptisée The Mask (ou Careto) qui a sévi sept années durant lesquelles un groupe criminel organisé en Espagne a multiplié les techniques pour mener des attaques de type APT visant à dérober des données à des administrations et des entreprises. Ce groupe s’emparait de clés SSH servant à l’authentification d’administrateurs, de serveurs, de machines virtuelles et de services cloud.

En juin 2015, Cisco a annoncé qu’une clé SSH autorisée par défaut était déployée sur trois de ses appliances de sécurité, exposant ainsi ses clients au risque de voir un pirate distant non authentifié intercepter du trafic ou accéder à des systèmes vulnérables au moyen de privilèges root.

La publication du NIST expose plusieurs vulnérabilités SSH courantes au sein des entreprises, à savoir :
– Implémentation SSH vulnérable
– Contrôles d’accès mal configurés
– Vol, fuite, détournement et non révocation de clés SSH
– Portes dérobées (clés utilisateurs non contrôlées)
– Utilisation indésirable des clés utilisateurs
– Rotation
– Déficit de connaissances et erreurs humaines

Le NIST recommande plusieurs mesures pour gérer les clés SSH, à savoir :

– Définir des principes et pratiques applicables au cycle de vie et à la révocation de clés SSH. La configuration de l’accès à un compte dans l’optique de faciliter les échanges avec les utilisateurs et d’automatiser les processus doit être une décision mûrement réfléchie, conciliant au mieux impératifs d’accessibilité et risques, qui doit tenir compte du niveau d’accès requis.
– Instaurer des procédures de contrôle et de surveillance continue. La surveillance continue a pour objet de faire en sorte que les procédures d’allocation, de gestion du cycle de vie et de révocation soient observées et appliquées. Des clés SSH non autorisées et mal configurées seront détectées.
– Inventorier les serveurs et clés SSH ainsi que les relations de confiance, et remédier aux problèmes éventuels. Les clés existantes au format propriétaire posent un réel problème de sécurité et compliquent l’analyse des risques si elles ne sont pas maîtrisées. L’emplacement de toutes les clés SSH existantes doit être inventorié, au même titre que les relations de confiance, qu’il convient d’évaluer à l’aune de politiques bien définies.
– Automatiser les processus. L’automatisation des processus relevant de la gestion des accès à partir de clés SSH est de nature à améliorer considérablement la sécurité, l’efficacité et la disponibilité.
– Sensibiliser la direction. Nombre de hauts responsables ne sont conscients ni du rôle central joué par les clés SSH dans le mode opératoire d’une infrastructure stratégique, ni des failles importantes susceptibles d’apparaître si celles-ci sont détournées. Sans formation suffisante des responsables opérationnels et chargés de sécurité, les initiatives de gestion des clés SSH risquent d’être évincées par des priorités de degré plus élevé, rendant ainsi l’entreprise plus vulnérable.

1 : Enquête 2015 Cost of Failed Trust Report publiée en mars dernier par Ponemon Institute et Venafi.
2 : Fondé en 1901, le NIST est une agence fédérale non réglementaire qui relève de l’administration de la technologie du département du Commerce des États-Unis.
3 : Co-signé par Venafi.

PowerMemory, l’outil qui contre les faiblesses de Windows Active Directory

Un jeune Belge, aujourd’hui basé au Canada, a inventé PowerMemory, un outil qui a pour mission d’empêcher que Windows Active Directory diffuse vos identifiants de connexion aussi simplement qu’un clic de souris.

Pierre-Alexandre Braeken travaille dans l’ingénierie des systèmes depuis plus de 11 ans. Il est aujourd’hui architecte technologique. Cet informaticien  certifié MCITP SA, MCSA 2008/2012 ou encore MCSE 2012 a comme domaine de spécialité l’architecture des systèmes et les domaines d’entreprise Active Directory. A noter qu’il est open cfp pour la conférence infiltrate de Miami. Il a développé une expertise particulière autour de la sécurité de ces systèmes et développe des outils pour prouver les idées qu’il avance. J’ai rencontré l’auteur de PowerMemory lors du HackFest Canada 2015, l’outil qui a pour mission d’empêcher que Windows Active Directory diffuse vos identifiants de connexion. Interview !

DataSecurityBreach. Qu’est ce que PowerMemory ?  

Pierre-Alexandre Braeken. PowerMemory est un outil utilisé dans des audits de sécurité de domaine Windows Active Directory. PowerMemory permet de vérifier les faiblesses de ces domaines pour les corriger. Une de ses fonctionnalités phares est la révélation des mots de passe Windows directement depuis la mémoire. Son fonctionnement est totalement nouveau puisqu’il est indépendant de l’architecture ciblé et qu’il ne fait pas appels aux fonctions de Windows pour trouver les mots de passe et pour les déchiffrer. De plus il utilise le langage de script PowerShell qui fait partie intégrante du noyau de base depuis Windows 7. [Lire l’interview du chercheur enseignant Français Jérôme Ridet au sujet de la faille PowerShell capable de faire tomber la sécurité d’un système en 5 secondes]

DataSecurityBreach. Type de failles ?

Pierre-Alexandre Braeken. PowerMemory démontre à quel point il est désormais simple de récupérer les mots de passe de n’importe quel système Windows. Il peut récupérer les mots de passe stockés dans la mémoire locale d’un système, mais également à distance. La faille met en évidence que PowerMemory est capable de révéler des mots de passe sans être administrateur d’une machine. En effet, il peut révéler les mots de passe de machine virtuelle depuis le crash d’une machine (Blue Screen Of Death = BSOD) mais également à partir d’un snapshot de machine virtuelle. Ce qui veut dire qu’un simple opérateur d’un environnement virtualisé pourrait avoir plus de droit que l’administrateur même du domaine.

Ce type de faille pourrait mener à des scénarios d’attaque d’un domaine qui permettrait à une personne mal intentionnée, depuis l’extérieur, de récupérer d’abord des accès de plus faible niveau pour ensuite remonter toute la hiérarchie des systèmes et atteindre en bout de course le Saint-Graal représenté par un contrôleur de domaine. Dès ce moment, tout le système d’entreprise s’effondre en termes de sécurité et le réseau entier n’appartient plus aux administrateurs de l’entreprise mais bien au pirate informatique.

DataSecurityBreach. Comment est-ce possible qu’une telle possibilité n’ait pas été « pensée » par Microsoft ?  
Pierre-Alexandre Braeken. J’ai prévenu Microsoft du résultat de mes recherches. Ils ne considèrent pas ceci comme une faille de sécurité. Néanmoins, quelques jours après le report complet de mes travaux, l’outil RWMC (qui révèle les mots de passe) faisant partie de la suite d’audit PowerMemory a été catégorisé officiellement par Microsoft comme un « hacktool » de niveau d’alerte « medium ».

Le problème pour Microsoft est que la façon dont ils ont conçu leur système les empêche de donner une solution applicable pour les entreprises pour tous les systèmes d’exploitation jusqu’à windows 2012R2 compris. Pour Windows 10 (seulement dans sa version professionnelle) et 2016, les choses changent puisque Microsoft a créé un nouveau système pour protéger les mots de passe stockés en mémoire. On parle de Trustlets tournant dans un environnement isolé. Pourquoi Microsoft ne protège pas ses clients tournant sur des systèmes d’exploitation non supporté ? Je pense que ceci demande des changements si majeurs au système de fonctionnement du noyau que Microsoft n’est pas prêt à apporter de changements sur des systèmes qui risquent encore d’être présent dans 15 ans…

DataSecurityBreach. Comment s’en protéger ? 

Pierre-Alexandre Braeken. Il est nécessaire d’adopter de bonnes pratiques en matière de gestion de parc informatique. Le sujet est vaste et il n’est pas évident de se protéger de ce genre d’attaque. Des gens comme Sean Metcalf (Master Active Directory, moins de 100 dans le monde) abordent le sujet de façon régulière (dont Black Hat 2015). J’ai également rédigé plusieurs documents que je compte bientôt publier sur mon blog.  J’ai également créé l’outil PowerMemory dans le but de faciliter le travail de la sécurité. L’objectif est de détecter les failles afin d’apporter des solutions qu’une entreprise peut mettre en place.  De plus, j’ai également développé un outil qui détecte la méthode utilisée par PowerMemory pour révéler des mots de passe.

DataSecurityBreach. Vous présentez votre solution aux entreprises, comment réagissent-elles ?
Pierre-Alexandre Braeken. Elles ont d’abord beaucoup de mal à comprendre les implications. En effet, les enjeux sont extrêmement importants et les réactions en conséquence. Les mots ahurissant et impressionnant ressortent souvent.  Même avec l’évidence, il est difficile pour les grandes entreprises de modifier leurs processus afin de se protéger de ce genre d’attaque.  Mon rôle consiste à les avertir et à les aider à trouver des solutions pour se protéger sans pour cela casser son modèle.

Fuite de données pour le service de réseautage Vixlet

Plusieurs centaines de milliers de comptes d’utilisateurs du service de réseautage Vixle accessible en quelques clics de souris.

La société Vixlet, anciennement Divide Nine LLC, est connue pour proposer des services de réseautage. Basée à Los Angeles, cette startup américaine propose des outils pour les réseaux sociaux à des clients tels que la ligue professionnelle de basket US ou encore l’ATP (Tennis).

Une faille a été découverte dans l’outil proposé par Wixlet. Elle permettait de mettre la main sur les informations des inscrits. Dans les données, mails, mots de passe et dates de naissance. Un serveur non protégé et le tour était joué pour accéder à la base de données. Les données des clients étaient sauvegardées dans un dossier baptisé VixLet prod. Un dossier de production contenant de vraies données… normale !

L’employés, le vilain petit canard de la données sensibles

Selon une étude réalisée par Kaspersky Lab et B2B International en 2015, 73 % des entreprises auraient été touchées par des incidents internes de sécurité informatique. La principale cause de fuites de données confidentielles reste les employés (42 %).

À mesure que l’infrastructure informatique d’une entreprise s’étend, il en va de même pour le paysage des menaces : à nouveaux composants, nouvelles vulnérabilités. La situation est aggravée par le fait que les employés – en particulier ceux ne possédant pas de connaissances spécialisées – ne sont pas tous en mesure de suivre les évolutions rapides de l’environnement informatique. C’est ce que confirme une récente enquête, révélant que 21 % des entreprises touchées par des menaces internes ont perdu de précieuses données, avec à la clé des conséquences sur leur activité. Il est utile de préciser que l’étude recense les cas de fuites accidentelles (28 %) et intentionnelles (14 %).

Les incidents internes, pas toujours des accidents
En dehors des fuites de données, les menaces internes concernent principalement la perte ou le vol des équipements mobiles des employés. 19 % des responsables interrogés reconnaissent égarer au moins une fois par an un mobile contenant certaines données de leur entreprise. Un autre facteur important concerne les fraudes au sein du personnel. 15 % des participants à l’enquête se sont retrouvés face à des situations où certaines ressources de leur société, notamment financières, ont été utilisées par des employés à des fins personnelles. Si ce pourcentage paraît faible, les pertes causées par ces incidents sont supérieures aux dommages résultant des fuites de données confidentielles dans les grandes entreprises. Les PME perdent jusqu’à 40 000$ euros en moyenne en raison d’activités frauduleuses de leurs employés, tandis que ce chiffre dépasse 1,3 million de dollars pour les grandes entreprises.

« Une solution de sécurité à elle seule ne suffit pas pour protéger les données d’une entreprise. Et c’est ce que confirment les résultats de cette étude », commente à DataSecurityBreach.fr Konstantin Voronkov, responsable des produits pour les postes de travail chez Kaspersky Lab. « Les entreprises ont besoin d’une approche intégrée à plusieurs niveaux, s’appuyant sur une veille de sécurité et d’autres mesures complémentaires. Ces mesures peuvent comprendre l’utilisation de solutions spécialisées et l’instauration de règles de sécurité, portant par exemple sur une restriction des droits d’accès. »

Etude menée auprès de 5500 spécialistes dans plus de 25 pays à travers le monde.

Un logiciel pour prédire le CVV de sa prochaine carte bancaire

Imaginez ! Vous avez une carte bancaire et vous êtes capables de prédire le code de sécurité (CVV) qui vous sera alloué au changement de votre prochain CB.

Quand vous possédez une carte bancaire, vous êtes en possession du plastique, de la puce, de la bande magnétique, des 16 chiffres de votre CB, de sa date de validité et du CVV, le code de sécurité de 3 à 4 chiffres inscrits au dos de votre carte bancaire. CVV baptisé aussi cryptogramme visuel de validation.

Ce Card Verification Value change, comme la date de validité de la CB, à chaque fois que vous recevez une nouvelle carte bancaire. Le chercheur bidouilleur Samy Kamkar vient de trouver un sacré bug dans le CVV des cartes American Express. Chez AE, on appelle cette sécurité le Card Identification Number. Même principe, 4 chiffres des informations d’usages. Samy Kamkar a trouvé le moyen de générer le CIN qui vous allez recevoir avec votre prochaine carte, celle que vous n’avez pas encore.

Le plus inquiétant, il a été capable de payer avec son moyen de paiement du moment et les 4 chiffres qui ne sont pas censés être en sa possession. Sa méthode a été simple. Il a d’abord demandé à ses amis de lui fournir leur CIN. Avec une formule mathématique de son cru, il a pu créer les prochains codes de sécurité et … la nouvelle date de validité attenante. A partir de sa découverte, il a créé une un petit boitier qui lui a coûté 10 $. MagSpoof, le nom de son invention, permet de simuler n’importe quelle bande magnétique de cartes bancaires et de connaitre les futures informations d’identification de la CB.

Mon petit doigt me fait dire que l’attaque semble être connue de petits coquins du black market des Pays de l’Est. Comme le souligne Korben, il va être intéressant de savoir si cette « technique » fonctionne pour les autres cartes. Samy Kamkar propose sa découverte sur GitHub.

Mieux sensibiliser le personnel pour mieux prévenir les cyberattaques

D’après les conclusions d’une enquête, un responsable européen sur sept fait courir des risques à son entreprise en connaissance de cause, malgré un budget « cybersécurité » se chiffrant en milliards.

Une nouvelle enquête vient de pointer le bout de ses chiffres sur la sécurité informatique en entreprise. Signée par Palo Alto, les conclusions sur les attitudes en matière de cybersécurité des dirigeants et des cadres des entreprises européennes pourraient inquiéter sur le comportement numérique de ces derniers. Un nombre alarmant d’employés haut placés fait sciemment courir des risques en matière de cybersécurité aux entreprises, les principales raisons invoquées étant la frustration engendrée par les politiques d’entreprise et la mauvaise compréhension des menaces en ligne.

Cette étude montre que les actions des décisionnaires mettent à mal le budget de 35,53 milliards de dollars que les entreprises européennes prévoient de consacrer à la cybersécurité à l’horizon 2019. De fait, 27 % des répondants reconnaissent avoir exposé leur entreprise à une cybermenace potentielle, sachant que 14 % déclarent en avoir eu conscience au moment des faits.

Trouver l’équilibre entre sécurité et fonctionnalité
Si, dans un cas sur quatre, les auteurs de ces actions ont affirmé ne pas comprendre pleinement en quoi consiste un « cyber-risque » ou un risque pour la sécurité en ligne, la quasi-totalité des répondants (96 %) a néanmoins jugé que la cybersécurité devrait être une priorité pour leur entreprise. Le principal motif invoqué par les employés pour expliquer le non-respect des politiques d’entreprise est la nécessité de recourir à un outil ou à un service plus efficace que celui utilisé par l’entreprise, ou le fait que ces outils étaient considérés comme les meilleurs sur le marché. Cette tendance est confirmée par les 17 % de répondants indiquant que la politique de sécurité de l’entreprise est frustrante et les empêche d’accéder à des outils et à des sites qui contribueraient à accroître leurs performances professionnelles. L’éducation des employés est essentielle pour s’assurer que le raisonnement sous-tendant la politique est clair.

Non-respect des règles de sécurité par les cadres supérieurs
Les résultats de l’enquête indiquent que tout employé, quel que soit son service ou son degré d’ancienneté, est susceptible d’entreprendre des actions contestables ou de se forger une opinion erronée. Dans un cas sur dix, les répondants ont déclaré avoir été témoins du non-respect des lignes directrices de l’entreprise par un cadre ; et à cette question, un cadre supérieur sur quatre a effectivement reconnu avoir exposé son entreprise à une menace potentielle en connaissance de cause.

Responsabilité
D’après cette étude, un dirigeant sur cinq (18 %) ne considère pas avoir un rôle personnel à jouer dans les efforts de son entreprise en matière de cybersécurité ; et en cas d’attaque perpétrée avec succès, seul un sur cinq (21 %) pense que l’employé à l’origine de la faille devrait être tenu pour responsable, la majorité des répondants (40 %) estimant que la responsabilité devrait être rejetée sur le service informatique.

Les actions des employés n’ont pas forcément des répercussions visibles immédiatement, dans la mesure où les attaques se produisent souvent dans un deuxième temps. Aussi les entreprises peuvent-elles avoir du mal à en identifier l’origine. Étant donné que les deux tiers des employés n’ont pas encore conscience que chacun a un rôle à jouer dans la prévention des cyberattaques, il est évident que les entreprises doivent agir en 2016 sur le terrain de l’éducation en matière de cybersécurité.

« Ces conclusions suggèrent que les employés haut placés sont trop confiants et sont enclins à prendre des risques en partant du principe que “cela n’arrive qu’aux autres”. L’évolution des réglementations va faire la lumière sur ce qui se passe vraiment en Europe dans les prochaines années, et mettra ainsi un frein à ce type de comportement. Cela laisse également entendre que la cybersécurité est encore considérée par beaucoup comme une mesure prise pour l’entreprise, et non comme une ligne directrice qui doit être respectée par tous. », commente à DataSecurityBreach.fr Arnaud Kopp, Directeur Technique Europe du Sud, chez Palo Alto Networks

Cette enquête a été menée en ligne par Redshift Research, au mois d’octobre 2015, auprès de 765 décisionnaires travaillant dans des entreprises comptant plus de 1 000 employés au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.

A noter que Data Security Breach vous propose des ateliers et formations de sensibilisation à la sécurité informatique. Elles sont dispensées par Damien Bancal, expert en la matière. Pour en a savoir plus, n’hésitez pas à le contacter.