Archives de catégorie : Chiffrement

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Social engineering

L’importance d’identifier ses données sensibles

Une récente étude conduite par le Ponemon Institute révèle que 64% des professionnels de l’IT déclarent que leur principal défi en matière de sécurité est de ne pas savoir où se trouvent les données sensibles de leur organisation sur site et dans le cloud. Ils estiment en effet que cette tâche est d’autant plus difficile qu’ils ne sont pas non plus en mesure de déterminer si ces données sont vulnérables à une attaque ou une faille de sécurité. Par Jean-François Pruvot, Regional Director France chez CyberArk pour DataSecurityBreach.fr.

La gestion et la sécurisation efficaces des données sensibles passent par la mise en place de comptes administratifs ou individuels privilégiés pour surveiller et contrôler les accès – quel que soit l’emplacement des données. En effet, les organisations possèdent en moyenne trois à quatre fois plus de comptes à hauts pouvoirs que d’utilisateurs, ce qui rend les comptes à privilèges plus compliqués à gérer et à identifier. Ces derniers sont souvent utilisés par des cyber attaquants pour gagner l’accès au réseau d’une organisation et attaquer insidieusement le cœur de l’entreprise en visant les données et systèmes sensibles. Les hackers se déplacent latéralement à l’intérieur de l’entreprise tout en élevant les privilèges leur donnant accès à l’ensemble du réseau, et peuvent rester virtuellement non détectés pendant de très longues périodes.

Par conséquent, si la majorité des équipes IT ne parviennent pas à tracer les mouvements de leurs données, et n’ont pas non plus suffisamment de visibilité sur les comptes administrateurs permettant d’y accéder, il est indispensable de mettre en place les outils nécessaires pour identifier rapidement les personnes ou machines qui accèdent aux données sensibles – et l’utilisation qui en est faite – pour protéger et renforcer l’efficacité des stratégies de sécurité. « Le fait que 64% des professionnels de l’IT ne pensent pas être capables d’identifier l’emplacement des données sensibles de leur organisation démontre des faiblesses dans les systèmes de protection. Un tel constat confirme la nécessité de sensibiliser les organisations sur le renforcement des mesures de contrôle pour sécuriser l’accès aux données et adhérer à des politiques de sécurité strictes. Avant d’envisager le déploiement de solutions de sécurité, il est essentiel de mettre en place une stratégie dédiée à la gestion de ces données – et en particulier des solutions permettant de mieux gérer, surveiller et contrôler les accès. Que ce soit sur site ou dans le cloud, les entreprises doivent savoir ce qu’elles sécurisent à tout moment et quelles que soient les actions en cours sur les infrastructures afin de protéger ce que de potentiels hackers peuvent dérober. »

Un programme stratégique de sécurisation des comptes à privilèges commence par l’identification de l’emplacement des comptes à hauts pouvoirs et identifiants associés. Sont inclus les comptes administrateurs des machines et postes de travail de l’entreprise, ainsi que les identifiants qui permettent la communication entre applications et entre machines. Les organisations doivent mettre en place les fondements de base de la sécurité incluant des patchs, la mise à jour régulière des systèmes et la rotation fréquente des mots de passe. Sans une vigilance accrue de leur gestion, une personne extérieure, ou un employé n’étant pas censé intervenir sur ces comptes dans le cadre de ses fonctions, pourrait accéder aux données de l’entreprise et en compromettre la sécurité de manière accidentelle ou malveillante.

Ainsi, afin de réduire au maximum les risques de vol ou de pertes de données, l’identification et la cartographie des données est indispensable pour élaborer une stratégie de sécurité parfaitement adaptée aux contraintes de sécurité liées à l’accès au réseau des organisations, et particulièrement dans les environnements virtualisés. Par conséquent, de même qu’on règle son rétroviseur et qu’on attache sa ceinture avant de prendre le volant, les organisations doivent avoir une visibilité complète de leurs données, de leur emplacement et contrôler qui accède aux informations où et quand, afin de les sécuriser de la manière la plus adaptée ; elles peuvent ainsi se prémunir contre les attaques et les infiltrations insidieuses dans leurs systèmes, que les données soient stockées sur site ou dans le cloud.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Leak, Mise à jour, OS X, Patch, Piratage, Social engineering, Virus

La sophistication et le dynamisme des cyber-attaques au cœur de la course à l’innovation des pirates et professionnels de la sécurité

Un commentaire

Comme chaque année, Cisco publie son Rapport semestriel 2015 sur la sécurité et dévoile son analyse des menaces et tendances en matière de cyber sécurité. Il révèle la nécessité absolue pour les entreprises de réduire les temps de détection (TTD), afin de contrer les attaques sophistiquées perpétrées par des pirates particulièrement motivés. Le kit d’exploits Angler est le type même de menaces auxquelles seront confrontées les entreprises. La multiplication des vecteurs d’attaques innovants et des opportunités de monétisation sont exploités par les hackers, à la faveur de l’essor de l’économie numérique et de l’Internet of Everything.

Les nouveaux risques associés à Flash, l’évolution des ransomwares et les campagnes de malwares de plus en plus dynamiques, tels que Dridex, augmentent la nécessité de réduire les temps de détection. Avec la digitalisation des entreprises et l’avènement de l’IoE (Internet of Everything), les malwares et autres menaces se font de plus en plus omniprésents. Cette situation ne manque pas de soulever des inquiétudes quant à la durée des temps de détection, actuellement compris entre 100 et 200 jours, d’après les estimations des professionnels de la sécurité. À titre de comparaison, le temps de détection moyen des solutions AMP (Advanced Malware Protection) de Cisco est de 46 heures, grâce à l’analyse rétrospective des attaques.

Le rapport souligne l’importance pour les entreprises, de privilégier le déploiement de solutions intégrées ainsi que le recours à des fournisseurs de services de sécurité à des fins d’orientation et d’évaluation. Par ailleurs, les géopoliticiens notent l’urgence de définir un cadre mondial de cybergouvernance afin de soutenir la croissance économique.

Angler, des assaillants tapis dans l’ombre pour mieux frapper – Grâce à l’exploitation de la vulnérabilité des solutions Flash, Java, Internet Explorer et Silverlight, Angler est actuellement l’un des kits d’exploits les plus sophistiqués et les plus largement utilisés. Le kit excelle également à passer au travers des détections en utilisant, en autres techniques : le « domain shadowing ».

Dridex, des campagnes en constante évolution – Les créateurs de ces campagnes de malwares en perpétuelle mutation ont bien compris comment échapper aux systèmes de sécurité. Pour mieux passer à travers les mailles du filet, les assaillants s’empressent de modifier le contenu des e-mails, noms d’utilisateurs, pièces jointes ou contacts, et de lancer de nouvelles campagnes, obligeant ainsi les systèmes anti-virus traditionnels à remettre à jour leur base de données afin de les détecter.

Flash is Back – Les exploits utilisant les vulnérabilités d’Adobe Flash intégrés dans les kits d’exploits Angler et Nuclear ont également le vent en poupe. Ce succès tient en partie au manque de solutions de correctifs automatiques, ainsi qu’à la négligence des utilisateurs qui n’effectuent pas immédiatement les mises à jour. Au cours du premier semestre 2015, le nombre de vulnérabilités Adobe Flash Player signalées par le système CVE (Common Vulnerabilities and Exposure) a augmenté de 66 % par rapport aux chiffres de 2014. À ce rythme, Flash est en passe d’établir un record absolu du nombre de signalements CVE pour l’année 2015.

L’évolution des ransomwares – Les ransomwares demeurent des solutions particulièrement lucratives pour les hackers qui ne se lassent pas d’en développer de nouvelles variantes. Les opérations de ransomware se sont tellement perfectionnées qu’elles sont aujourd’hui totalement automatisées et contrôlées depuis le Dark Web. Afin de soustraire les transactions à la loi, les rançons sont payées en monnaie virtuelle, telle que le bitcoin.

La nécessité d’une mobilisation générale

L’accélération de la course à l’innovation entre assaillants et éditeurs de solutions de sécurité expose les entreprises et utilisateurs finaux à un risque croissant. Les éditeurs doivent veiller à développer des solutions de sécurité intégrées permettant aux entreprises de se montrer proactives et d’associer professionnels, process et technologies de manière judicieuse.

Un cadre de cybergouvernance mondiale – À l’heure actuelle, la cybergouvernance mondiale ne dispose pas des outils nécessaires lui permettant de faire face aux menaces émergentes ou aux enjeux géopolitiques. La question des frontières, expose la problématique pour les états de collecter et de partager des données sur les entreprises et les citoyens entre différentes juridictions. Ceci constitue un obstacle de taille à la mise en place d’un système de cybergouvernance cohérent, dans un monde où la coopération est limitée. Afin de soutenir la croissance économique des entreprises et leurs efforts d’innovation, il est nécessaire d’instaurer un cadre de cybergouvernance multipartite et collaboratif au niveau mondial. De l’importance d’une transparence des éditeurs – Il est indispensable pour les entreprises de demander aux éditeurs une pleine transparence dans tous les aspects du développement de leurs produits de sécurité, et ce depuis la chaîne logistique et pendant toute la durée de déploiement de ces derniers.

Télécharger un exemplaire du Rapport semestriel Cisco 2015 sur la sécurité.

Banque, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données

Les employés en vacances posent-ils un risque pour la sécurité des données d’entreprise ?

Beaucoup d’employés ont du mal à déconnecter pendant leurs congés. En dehors des accès via des connexions parfois non protégées, la perte ou le vol d’un terminal peuvent porter préjudice à la sécurité des données de l’entreprise. Comment en optimiser la protection ? Par Xavier Dreux, Responsable Marketing chez Prim’X

Comme DataSecurityBreach.fr vous le prouvait en 2013, un trop grand nombre d’employés utilisent encore de trop leurs données professionnelles durant leurs vacances. Nous sommes au milieu des congés estivaux et comme chaque année beaucoup de dirigeants et cadre d’entreprises ont du mal à déconnecter. Certains continueront à se connecter à distance à leur messagerie et ou aux serveurs de leur entreprise, d’autres emmèneront tout simplement leur portable sur leur lieu de vacances « au cas où » sans penser ou en sous-estimant les conséquences que cela peut avoir pour la sécurité des données de leur entreprise. Plusieurs solutions s’offrent néanmoins à l’entreprise pour garantir la protection de ses données.

Les fondamentaux

Premièrement, il peut paraître utile de rappeler aux employés et notamment aux cadres que les vacances servent à déconnecter et à se couper avec le stress du quotidien pendant plusieurs jours. En effet, si l’on en croit les résultats d’une étude menée par Roambi et Zebaz, 93% des cadres dirigeants français consultent leurs données professionnelles durant leurs vacances.

Il paraît plus que pertinent d’un point de vue gestion des ressources humaines de transmettre les fondamentaux et d’inciter les employés à gérer leur absence avec les collègues qui resteront présents. Faire une passation de dossiers et prévoir un « testament » avec les points à suivre et les coordonnées des personnes capables d’apporter un soutient en cas d’urgence est déjà un bon début pour partir serein et couper le cordon. Certaines entreprises commencent également à prendre des mesures drastiques d’un point de vue technique en coupant tout simplement les accès des employés pendant la durée de leur absence.

Sensibiliser aux risques

Nous le rappelons constamment chez DataSecuritybreach.fr, le maillon faible de la sécurité c’est l’humain. La sensibilisation doit être renouvelée régulièrement pour être efficace. La période estivale est une excellente opportunité pour transmettre aux salariés une note rappelant quelques-uns des principes de base et les mesures clés pour assurer la sécurité de ses données lorsque l’on est en dehors de l’entreprise.

On peut ainsi souligner les différents risques qui peuvent porter préjudice aux données de l’entreprise : s’assurer que l’on tape le mot de passe de son terminal à l’abri des regard, que la connexion utilisée est sécurisée, ne pas laisser ses terminaux sans surveillance ou les mettre sous clé, etc. Plusieurs actualités ont récemment rappelé les risques liés à l’utilisation des hotspots WiFi publics (gares, aéroports, hôtels, lieux de restauration).

En mars, c’est le magazine Wired qui révélait les risques de sécurité liés à un problème de sécurité des routeurs WiFi utilisés par 8 des 10 plus grandes chaines hôtelières au niveau mondial. En avril, c’est une étude d’Avast Software qui soulignait que 66% des français préfèrent se connecter au Wi-Fi public non sécurisé au risque de perdre leurs données personnelles. Quand on sait que nombre d’employés accèdent à leur messagerie sur le terminal personnel, le risque n’est pas anodin.

Bien entendu les risques de pertes et ou de vols du terminal viennent s’ajouter à celui des connexions. Il est donc opportun de rappeler qu’il faut impérativement protéger son terminal avec un mot de passe adéquat et s’assurer que celui-ci soit à l’abri lorsque vous devez vous en séparer lorsque l’on va à la plage par exemple (coffre fort de chambre, consigne d’hôtel, proches, etc.). Qu’une connexion ne peut se faire sans VPN.

Dans le cadre des meilleures pratiques, c’est à l’entreprise de mettre à disposition de ses salariés et dirigeants des moyens pour protéger leurs terminaux et sécuriser les échanges de données. Sans ce type d’outils, l’employé sera tenté de passer outre les règles de sécurité ou bien de mettre en œuvre des solutions de protection par ses propres moyens, sous réserve qu’il ait été sensibilisé aux problématiques de sécurité. Aucune de ces solutions n’est souhaitable. L’entreprise doit conserver la responsabilité de la sécurité L’important n’est pas uniquement de rester opérationnels mais surtout de ne pas mettre en péril l’entreprise et son patrimoine informationnel. Et comme nous l’avons vu, il existe aujourd’hui plusieurs moyens simples de protéger les données présentes sur un terminal emmené en congé par les professionnels.

Dernier point, savoir se déconnecter pendant ses vacances, une vraie preuve de professionnalisme !

Chiffrement, cryptage, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Particuliers, Social engineering, Vie privée

L’opérateur Comcast accusé de surveiller ses clients, utilisateurs de TOR

Plusieurs clients de l’opérateur Comcast se sont étonnés d’un appel téléphonique de leur FAI. Ce dernier leur a reproché d’utiliser le système d’anonymisation TOR.

L’excellent logiciel TOR permet de surfer anonymement. Il utilise des milliers d’ordinateurs dans le monde, des nœuds TOR, pour permettre de ne pas diffuser son IP sur le site, le forum, l’espace numérique que l’on souhaite visiter. L’ip d’un des nœuds apparaîtra en lieu et place de votre identifiant. TOR, et son option « Internet » Onion, offre la possibilité de créer un site anonyme et, surtout, non référencé. Bilan, vous souhaitez partager vos photos de vacances avec vos ami(e)s intimes, Onion offre cette possibilité. Mais ne nous voilons pas la face derrière de jolis discours libertaires, de protection de la vie privée. TOR et ONION sont malheureusement utilisés par des malveillants, des commerçants peu scrupuleux, pouvant offrir drogue, arme, faux papiers, et biens d’autres contenus plus monstrueux encore [Lire le cas de ce croundfowdind du darknet dédié aux pédophiles, NDR]. Il semble que l’opérateur américain Comcast a décidé de mettre tous les utilisateurs de TOR dans le même panier. Si vous utilisez TOR c’est que vous avez des choses à cacher, donc cessez sinon, l’opérateur coupe la connexion des clients récalcitrants. Comcast trace donc ses clients, et décortique ceux qui utilisent le navigateur Tor. Le FAI pense que si vous devez utiliser TOR, c’est obligatoirement pour faire quelque chose d’illicite. Un des clients indique que les employés de Comcast vont jusqu’à stipuler que TOR est illégal !

Dans un mail diffusé sur Reddit, un interlocuteur de Comcast explique que « Les utilisateurs qui essaient d’utiliser l’anonymat, où se cacher sur Internet, le font généralement pour ne pas avoir d’ennuis avec la justice. Nous avons le droit de résilier ou de suspendre votre compte à tout moment en raison du fait que vous violez  les règles. Avez-vous d’autres questions ? Merci d’avoir contacté Comcast« . Hérésie, surtout que TOR… a été conçu, en partie, par l’armée américaine.

Bref, les utilisateurs de TOR, les « gentils » et les « méchants » utilisent, en plus de TOR, une nouvelle couche d’anonymisation, un Virtual Private Network (VPN). Le VPN cache l’utilisation de TOR, et TOR cache l’utilisateur ! Comcast est revenu sur ce courrier en indiquant qu’il n’y avait aucune surveillance de ses clients ! Pour rappel, Comcast a déjà été classé par le projet TOR comment étant un « Bad FAI« .

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, Social engineering, spam, Vie privée

Ashley Madison : 10 Go de données diffusées sur les infidéles

Les pirates informatiques du site Internet Ashley Madison, un espace de rencontres pour adultes à la recherche d’aventures extra conjugales, diffusent 9,7 Gigaoctets de données privées.

Le site Internet AshleyMadison avait confirmé un piratage informatique de son système. Ce portail américain dédié aux rencontres pour adultes à la recherche d’aventures extra conjugales indiquait à l’époque que le chantage des pirates étaient sans grande conséquence, les vilains n’ayant pas vraiment de données sensibles entre les mains.

Quelques semaines plus tard, le roi de l’infidélité se retrouve avec 9.7 Gigaoctets de données dans la nature. Les pirates voulaient manifester sur le fait que le portail demandait 19 dollars aux « clients » afin d’effacer les données de ces derniers. Dans les informations, des mails, beaucoup. Prudence cependant avec ces adresses. Ne pas en tirer une conclusion trop rapide. Dans le lot, très certainement de nombreuses fausses adresses, ou celles de votre patron qu’un concurrent, ou un employé, souhaitaient « embêter ».Ashley Madison ne vérifiait pas les adresses électroniques qui lui étaient adressés.

Détail très intéressant, 5 à 10% des comptes sont féminins, 2/3 sont faux ! Autant dire que le site Ashley Madison fonctionne, en plus, sur du vent ! Au moins ce piratage aura éclairci le plan marketing du pseudo roi de l’infidélité. Dans les données, 15.000 adresses en .mil.gov (armée US) et autant d’adresses en .fr.

Chiffrement, cryptage, Cybersécurité, Espionnae, Facebook, ID, Identité numérique, Particuliers, Phishing, Social engineering, Vie privée

Facebook ne corrige pas un problème de sécurité

Une vulnérabilité informatique vise le site Facebook, et ses utilisateurs. Un problème qui pourrait mal finir si le géant américain ne corrige pas rapidement.

En avril 2015, Reza Moaiandin, directeur technique pour Salt Agency, découvrait une faille de sécurité dans Facebook. La vulnérabilité pourrait permettre à un pirate de décrypter les identifiants des utilisateurs du portail communautaire. Pour que l’attaque fonctionne, Reza a utilisé des applications (API) proposées Facebook. Un problème qui semble sérieux. La fuite pourrait permettre de recueillir des millions de données personnelles d’utilisateurs (nom, numéro de téléphone, emplacement, images, …).

Facebook a été alerté en avril 2015, mais n’a toujours pas corrigé. Via cette faille, un malveillant peut alors communiquer avec le Facebook GraphQL et obtenir autant de détails que possible, en faisant passer l’ID de la cible, pourtant chiffrée, à la moulinette.

En utilisant un script maison, Reza a testé sa découverte. Bilan, la fuite de données est exponentielle et  risque de devenir un problème sérieux si aucune limite est mise en place par Facebook. « La communication avec ces API doit être pré-chiffrée, explique Reza, et d’autres mesures doivent être mises en place avant que cette faille ne soit découverte par quelqu’un de beaucoup plus dangereux. » Le chercheur indique avoir trouvé cette faille, par hasard !

Android, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ios, Sécurité, Smartphone, Vie privée, Windows phone

BYOD : selon une enquête, seuls 11 % des utilisateurs protègent l’accès à leur mobile

Selon une enquête réalisée par Kaspersky Lab avec B2B International, environ la moitié des utilisateurs de smartphones et de tablettes interrogés se servent de leur appareil mobile pour le travail. Cependant, seul 1 sur 10 se préoccupe sérieusement de protéger ses informations professionnelles contre les cybercriminels.

Les résultats révèlent que beaucoup d’employés de grandes ou moyennes entreprises utilisent leurs appareils mobiles personnels au travail : 36 % des participants à l’enquête y conservent des fichiers professionnels, et 34 % des e-mails professionnels.

Parfois, des informations plus confidentielles peuvent elles aussi se trouver sur les mobiles des utilisateurs : 18% y stockent les mots de passe donnant accès à leurs comptes de messagerie professionnelle, dont 11 % concernent des accès réseaux ou des VPN. Or ce type d’informations représente une cible parfaite pour les cybercriminels à la recherche de secrets d’entreprise.

« L’orientation du marché IT vers la mobilité et le cloud offre des possibilités d’attaques supplémentaires aux hackers et augmentent les risques des entreprises de voir leurs innovations dévoilées, copiées. Par conséquent, la protection méthodique et systématique des données et de leurs transmissions constituent désormais un challenge de premier plan pour les entreprises. Un challenge qui engage leur compétitivité sur le marché, et donc leur santé économique » commente à DataSecurityBreach.fr Tanguy de Coatpont, Directeur Général de Kaspersky Lab France et Afrique du Nord.

En dépit de ces risques, le modèle BYOD offre de nombreux avantages aux entreprises. Cependant, il nécessite une infrastructure informatique et une politique de sécurité adaptées pour un niveau de sécurité optimum.

Exemples de règles à suivre dans cette démarche

·           Le processus d’intégration du BYOD doit être traité en détails et inclure un audit de l’infrastructure, une phase de conception et un déploiement pilote.

·           Choisir une solution unique et complète pour assurer la sécurité de l’ensemble du réseau de l’entreprise, intégrant la protection des appareils mobiles afin d’éviter d’éventuels problèmes de compatibilité, rendant la tâche plus pénible pour les services informatiques.

·           Centraliser la gestion des appareils mobiles sur le réseau de l’entreprise et gérer les autorisations, installations et les mises à jour des applications mobiles via des portails dédiés à l’entreprise.

·           Mettre l’accent sur la formation et la sensibilisation des employés à la sécurité informatique. L’apprentissage des règles de sécurité informatique basiques tels que le choix de mots de passe, les attitudes à respecter lorsqu’on trouve une clé USB ou sur les réseaux sociaux, ou encore l’importance du chiffrement, doivent désormais être considérées comme indispensable au même titre qu’une formation métier, comme l’explique cette tribune.

·           Plus important encore, anticiper la crise et créer des scénarios types pour bloquer l’accès des appareils personnels au réseau de l’entreprise et la suppression des données confidentielles en cas de perte ou de vol de terminaux.

D’autres conseils ici et .

Argent, Arnaque, Bitcoin, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Logiciels, Paiement en ligne, Particuliers, Piratage, ransomware, Social engineering

TeslaCrypt 2.0 : jeu, chiffre et match

Le ransomware crypteur TeslaCrypt 2.0 travestit son identité pour réclamer une rançon de 500 dollars La plupart des infections par TeslaCrypt se produisent aux Etats-Unis, en Allemagne et en Espagne, suivis de l’Italie, de la France et du Royaume-Uni.

Kaspersky Lab a détecté un comportement curieux dans une nouvelle menace de la famille de ransomwares crypteurs TeslaCrypt. La version 2.0 du cheval de Troie notoirement connu pour infecter les ordinateurs de joueurs affiche en effet dans le navigateur une page HTML qui est une réplique exacte de CryptoWall 3.0, un autre ransomware célèbre. Sans doute les criminels le font-ils avec une intention bien précise : à ce jour, de nombreux fichiers cryptés par CryptoWall n’ont pas pu être décryptés, ce qui n’est pas le cas pour de multiples exemples observés d’infection par TeslaCrypt. Une fois l’infection réussie, le programme malveillant réclame une rançon de 500 dollars/Euros sous forme de bitcoins en échange de la clé de décryptage ; si la victime tarde à obtempérer, le montant de la rançon double.

Les premiers échantillons de TeslaCrypt ont été détectés en février 2015 et ce nouveau cheval de Troie s’est acquis une notoriété immédiate auprès de joueurs sur ordinateurs. Parmi d’autres types de fichiers ciblés, il tente d’infecter des fichiers typiques de l’univers des jeux : parties sauvegardées, profils d’utilisateurs, replays, etc. Cependant, TeslaCrypt ne crypte pas les fichiers dont la taille est supérieure à 268 Mo.

Mécanisme d’infection
Quand TeslaCrypt infecte une nouvelle victime, il génère une adresse Bitcoin distincte pour recevoir le paiement de sa rançon, ainsi qu’une clé secrète permettant de lever le cryptage. Les serveurs de commande C&C de TeslaCrypt se trouvent dans le réseau Tor. La version 2.0 du cheval de Troie utilise deux jeux de clés : l’un est unique au sein d’un système infecté, l’autre est généré à répétition chaque fois que le programme malveillant est relancé dans le système. En outre, la clé secrète servant à crypter les fichiers de l’utilisateur n’est pas enregistrée sur le disque dur, ce qui complique nettement leur décryptage.

Les malwares de la famille TeslaCrypt ont été observés se propageant via les kits d’exploitation de vulnérabilités Angler, Sweet Orange et Nuclear. Dans ce mécanisme de propagation, la victime visite un site Web infecté et le code malveillant exploite des vulnérabilités du navigateur, le plus souvent dans des modules additionnels, pour installer le malware spécialisé sur l’ordinateur cible.

Recommandations aux utilisateurs
·         Effectuez régulièrement des sauvegardes de tous vos fichiers importants. Les copies doivent être conservées sur des supports déconnectés physiquement de l’ordinateur aussitôt la sauvegarde effectuée.

·         Il est vital de mettre à jour vos logiciels à mesure que de nouvelles versions sont disponibles, en particulier votre navigateur et ses modules additionnels.

·         Au cas où un programme malveillant parvient néanmoins à s’infiltrer dans votre système, il sera le plus efficacement contré par la dernière version en date d’une solution de sécurité dont les bases de données sont actualisées et les modules de protection activés.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Scada

La sécurité informatique au sein des environnements industriels 4.0 : le savoir est la meilleure protection

Avec l’Industrie 4.0, les entreprises du secteur industriel ont accès à l’Internet… mais risquent également d’ouvrir leurs portes aux pirates. La meilleure façon de se protéger des fuites de données et du sabotage est de tirer parti d’informations décisionnelles. Des initiatives comme Shodan et Conpot permettent aux équipes chargées de la sécurité de profiter de grandes quantités de renseignements sur leurs propres vulnérabilités et les méthodes des pirates. Comme le dit notre slogan, chez DataSecurityBreach.fr, s’informer, c’est déjà se sécuriser.

Les sites de production des sociétés industrielles et du secteur de l’énergie ont été relativement à l’abri des attaques au cours des dernières décennies. Les systèmes de contrôle industriel (ICS) les plus répandus tels que les SCADA étaient optimisés pour accroître le rendement, et tenus à l’écart d’Internet (créant ainsi le fameux « Air Gap », ou « lame d’air »). Ils communiquaient à l’aide de protocoles propriétaires tels que Modbus, Profibus, S7comm ou DNP3, et étaient rarement les cibles des cybercriminels.

La situation a changé. L’interconnexion des systèmes de production est la promesse de gains énormes en matière de rendement, ce qui pousse de plus en plus d’entreprises à ouvrir leurs réseaux. Cette approche leur permet de simplifier et de centraliser la gestion de leur système, facilite la fourniture de nouveaux services, et contribue à minimiser les temps d’arrêt liés à l’assistance et à la maintenance, ainsi que leurs coûts.

Connecter des réseaux ICS à Internet présente cependant des menaces réelles. Un pirate parvenant à accéder au réseau peut alors infiltrer l’environnement de production étape par étape. Le logiciel et le matériel propriétaires utilisés ne sont généralement pas intégrés avec les systèmes de sécurité, et sont donc essentiellement non protégés. Selon ses objectifs et ses intentions, le pirate peut commencer à récupérer des données sensibles, manipuler les processus de production ou même saboter l’environnement de production tout entier. Le potentiel de dégâts de ce type d’attaques (prenons l’exemple marquant d’une attaque menée à l’encontre d’une centrale) est évidemment nettement plus élevé que celui d’une attaque MITM (l’interception de communications entre deux parties) contre une entreprise du secteur tertiaire ou autre.

Au commencement, il y eut Stuxnet
Au cours des dernières années, de nombreuses attaques de ce genre ont été enregistrées, Stuxnet en étant l’exemple le plus connu. En 2010, le ver SCADA (qui sans doute a été développé par des organismes gouvernementaux occidentaux) a ainsi saboté le projet de recherche nucléaire iranien. Ce fut le premier logiciel malveillant prouvant (officiellement) que du code informatique pouvait provoquer des dégâts sur des équipements matériels. Depuis, bien d’autres ont été menées à l’encontre de sites industriels, souvent en utilisant des logiciels malveillants créés sur mesure avec des fonctionnalités destinés aux ICS, comme Duqu ou Havex.

L’organe ICS-CERT (géré par le département américain de la Sécurité intérieure, et spécialisée dans la protection des infrastructures critiques) énumère d’ailleurs plusieurs faits inquiétants dans son Rapport pour l’année 2014 : son équipe d’analyse de la sécurité a été consultée dans près de 250 cas afin de participer à l’analyse de cyberattaques lancées sur des cibles critiques. Une grande partie de ces attaques étaient ciblées, les pirates s’infiltrant souvent dans les entreprises par la partie connectée à Internet de leur réseau à l’aide de logiciels malveillants sur mesure. Les cybercriminels utilisent également une grande variété de techniques. Selon l’ICS-CERT, le Spear phishing (une variante de hameçonnage où les employés sont convaincus d’exécuter des logiciels malveillants grâce à des e-mails semblant provenir de leurs supérieurs) reste le vecteur d’attaque le plus populaire. Mais d’autres menaces gagnent aussi en popularité, comme les attaques aux « points d’eau » (« watering hole »), une stratégie consistant à remplacer les mises à jour logicielles sur les sites des éditeurs par des chevaux de Troie, eux aussi taillés sur mesure.

Le BSI répertorie les attaques contre les ICS

L’Office fédéral allemand pour la sécurité des technologies de l’information (BSI) brosse un tableau similaire. Son rapport annuel « État des lieux de la sécurité informatique en Allemagne en 2014 » documente, entre autres, une attaque réussie sur une aciérie allemande. Les pirates ont utilisé les méthodes du Spear Phishing et de l’ingénierie sociale pour accéder au réseau de l’entreprise victime. Ils ont alors infiltré l’environnement de production, où ils ont causé d’énormes dégâts en compromettant plusieurs systèmes de contrôle. Le BSI affirme que les cybercriminels possédaient des connaissances détaillées sur les systèmes de contrôle industriel et les processus de production, en plus de leurs évidentes compétences en informatiques.

L’information est d’une importance cruciale

La guerre cybernétique a donc atteint les sites de production. Cela ne signifie pas nécessairement que le secteur industriel devrait renoncer au potentiel offert par l’interconnectivité, ni même en ralentir la progression. Les services chargés de la sécurité informatique doivent utiliser des systèmes de sécurité existants pour faire en sorte que les réseaux soient connectés à l’Internet de façon sécurisée. Mais pour cela, il leur faut d’abord des informations décisionnelles et détaillées. Ils doivent également connaître les vulnérabilités de leurs réseaux de production, les vecteurs d’attaque et les outils de piratage, ce qui leur permettra d’analyser les attaques, de neutraliser les logiciels malveillants et de réparer les dégâts éventuels.

Les experts en matière de sécurité cherchant à rassembler ces informations peuvent également s’appuyer sur leurs grandes connaissances et leurs réseaux de renseignement établis : d’une certaine façon, les attaques contre les systèmes industriels sont assez similaires aux attaques classiques contre les environnements informatiques des entreprises du tertiaire. Mais, bien que la protection effective de certains systèmes ICS puisse être très étendue, le problème reste que les informations disponibles sont limitées. Heureusement, la situation évolue également à ce niveau. Plusieurs initiatives de sécurité innovantes sont axées sur la protection des milieux industriels, et ont clairement pour principal objectif de fournir aux professionnels de la sécurité les renseignements dont ils ont besoin sur les menaces et les vulnérabilités.

Shodan et honeypot Conpot ICS/SCADA, des initiatives intéressantes

Shodan : le moteur de recherche pour l’IdO
Le moteur de recherche Shodan a été créé par le développeur John Matherly en 2009, permettant ainsi aux utilisateurs de rechercher sur le web une grande variété de systèmes connectés à Internet. Contrairement aux moteurs orientés contenu comme Google, Shodan utilise les scans des ports des adresses IP disponibles, puis recueille et indexe les bannières qu’il reçoit ensuite. Il peut ainsi parcourir le Web à la recherche de serveurs ou de routeurs d’un certain type, ou même de terminaux possédant des adresses IP comme des caméras de sécurité ou des dispositifs médicaux. Les utilisateurs peuvent créer leurs requêtes en utilisant une grande variété d’options de filtrage, par exemple en combinant des noms de fournisseurs, des informations sur des ports, des codes ou des protocoles régionaux afin de trouver des serveurs SCADA dans leur pays. Shodan est donc un bon outil pour localiser les vulnérabilités ou les systèmes mal configurés au sein de votre réseau : si une recherche révèle que l’un des automates ou l’une des IHM sur la plage d’IP de votre entreprise est visible sur Internet, vous savez que l’un de vos systèmes est probablement mal configuré et avez la possibilité de corriger cette erreur. Les vulnérabilités causées par des systèmes non patchés, des ports ouverts ou des mots de passe par défaut inchangés peuvent être repérées et corrigées tout aussi facilement. Cependant, si vous trouvez votre système sur Shodan, il est probable que vous ne soyez pas le seul. La proactivité reste donc de mise.

En outre, ce moteur de recherche n’est pas sans détracteurs. Comme presque toutes les solutions de test et de gestion des vulnérabilités, Shodan est souvent critiqué car il peut être utilisé à mauvais escient comme outil de piratage puissant, ce qui est incontestable : des boîtes à outils de piratage avec des interfaces Shodan existent depuis longtemps sur le Darknet. Mais la plupart des experts en sécurité s’accordent sur le fait que des fonctions de recherche similaires sont également disponibles en utilisant des botnets. Les professionnels de la sécurité des environnements industriels devraient clairement envisager d’intégrer Shodan à leur gestion des vulnérabilités.

Analyser les vulnérabilités et minimiser la visibilité d’un ICS sur Internet est de toute évidence un premier pas important dans la sécurisation des environnements de production. Mais la recrudescence des menaces ciblées persistantes et complexes (APT), qui sont créées sur mesure pour passer à travers les mailles des systèmes de sécurité existants, oblige les équipes chargées de la sécurité à analyser l’éventail des menaces tout aussi minutieusement.

Malheureusement, peu d’informations sont disponibles sur la façon dont les attaques contre les sites industriels surviennent, ou alors ces renseignements sont publiés trop longtemps après un incident. En effet, peu de cas sont documentés, et peu d’informations tangibles sur les menaces ont été recueillies jusqu’à présent. L’initiative de sécurité Conpot a pour but de changer la donne.

Conpot : des pots de miel pour le secteur industriel

L’initiative Conpot (abréviation de « système de contrôle Honeypot ») a été créée sous l’égide du Projet Honeynet par un groupe de professionnels de la sécurité expérimentés, parmi lesquels Lukas Rist de Blue Coat Systems. Le principe est de créer partout sur Internet des systèmes virtuels interactifs se comportant exactement comme des serveurs ICS ou des réseaux industriels non protégés. Une fois ces systèmes en place, le développeur du système honeypot (« pot de miel ») n’a plus qu’à attendre qu’un pirate attaque le site, terminal distant (RTU) ou ICS ainsi émulé, et peut alors observer et analyser l’attaque étape par étape. Par nature, tous les cas permettent de procéder à une analyse utile de leur vecteur d’attaque. L’intérêt supérieur de ces pots de miel se manifeste lorsque les membres de cette initiative peuvent corréler les données de plusieurs dizaines d’attaques, puis analyser leurs tendances et évolutions, identifier d’éventuels axes régionaux ou thématiques d’attaque, et recueillir ainsi davantage des données précieuses.

Habituellement, pour un analyste, rechercher une anomalie dans son réseau de production est comme chercher une aiguille dans une botte de foin. En déployant un honeypot dans votre réseau, tous les événements qui atteignent ce terminal sont susceptibles d’être des « aiguilles » (par exemple les attaques ou dispositifs mal configurés), étant donné qu’aucun élément réel n’est censé communiquer avec ce pot de miel. Ce dernier peut également être vu comme un leurre : le temps qu’y passe le pirate ainsi piégé correspond au laps de temps dont vous disposez pour sécuriser votre infrastructure critique avant qu’elle ne soit compromise à son tour.

N’importe quel professionnel de la sécurité peut contribuer à Conpot. L’émulateur est disponible en tant que logiciel Open Source à l’adresse www.conpot.org. Avec cet outil puissant, chaque développeur a la possibilité de concevoir un modèle réaliste et virtuel de son environnement, et de le connecter à Internet. Ainsi, les responsables de la sécurité peuvent obtenir des renseignements utiles leur indiquant ce à quoi ils doivent s’attendre en connectant leurs systèmes à Internet, et peuvent planifier leurs défenses en conséquence.

Les cyberattaques menées à l’encontre d’environnements industriels sont un phénomène réel. Ces attaques suivent essentiellement les mêmes mécanismes que pour les environnements des entreprises classiques du tertiaire. Une grande partie des attaques ont des motifs professionnels : d’abord, parce que les lamers (ou « script kiddies ») ne sont pas encore vraiment actifs dans ce segment, et ensuite parce que l’énorme potentiel de dégâts (ou la valeur des actifs) suscite l’intérêt d’acteurs importants tels que des organismes gouvernementaux, des groupes terroristes et des voleurs de données professionnelles. Les entreprises cherchant à sécuriser leurs réseaux doivent donc vérifier et minimiser la visibilité de leurs systèmes ICS sur Internet. Face à la recrudescence des menaces complexes, il est de plus en plus important de collecter de renseignements sur les menaces. Les équipes de sécurité ont besoin d’informations détaillées sur les vecteurs d’attaque et sur l’ensemble du cycle de vie des menaces. Ils peuvent alors élaborer une stratégie de défense globale en s’appuyant sur ces informations. Des initiatives telles Shodan et Conpot sont d’ailleurs un bon point de départ pour la collecte des renseignements nécessaires.

En parallèle, les entreprises doivent mettre en œuvre des meilleures pratiques de sécurité et protéger minutieusement les parties de leurs réseaux accessibles au public. Des solutions de sécurité dédiées aux ICS existent également pour les environnements particulièrement sensibles. Par exemple, Blue Coat propose la solution d’analyse ICS Protection Scanner Station, qui protège les systèmes industriels des logiciels malveillants véhiculés par des périphériques USB. En outre, la solution Security Analytics Platform Analytics propose également un module SCADA ThreatBLADE permettant d’identifier en temps réel les activités potentiellement malveillantes ciblant les systèmes SCADA.

Le rêve d’une solution parfaitement intégrée pour la protection des environnements industriels ne deviendra réalité qu’une fois que l’ensemble des différentes normes industrielles propriétaires auront été remplacées par des systèmes informatiques standard, et ces derniers intégrés aux architectures de sécurité existantes. Les technologies nécessaires pour cela (le protocole réseau IPv6, la surveillance complète des réseaux et la gestion rigoureuse des correctifs et des vulnérabilités) existent maintenant depuis un certain temps. L’étape suivante est leur mise en œuvre complète, ce qui pourrait prendre un certain temps en raison des cycles de vie plus longs des équipements industriels. (Christophe Birkeland pour DataSecurityBreacg.fr. Il est directeur technique en charge de la division Malware Analysis chez Blue Coat Systems).

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

Cyber-sécurité : Les PME démunies face aux nouveaux risques

La sécurité pose un réel problème aux PME qui n’ont bien souvent pas les moyens d’avoir une équipe informatique dédiée afin de faire face à tous les challenges engendrés par les nouvelles technologies et les nouvelles habitudes de vie. A ces nouveaux challenges de sécurisation s’ajoute l’inventivité des hackers qui ne cessent de renouveler leurs techniques d’attaques.

Pour répondre à cette problématique, l’ANSSI (agence nationale de la sécurité des systèmes d’information) et la CGPME (conférence Générale des Petites et Moyennes Entreprises) ont publié un guide de bonnes pratiques de l’informatique relatant les 12 règles essentielles pour sécuriser les équipements informatiques. Les mesures sont variées, et pour certaines basiques : sécurisation des mots de passe, de la connexion wi-fi, sauvegardes régulières ou encore mise à jour des logiciels pour disposer des derniers patchs de sécurité. Mais, parmi ces mesures basiques, certaines règles viennent encadrer les nouveaux usages informatiques.

Règle n°3 : Bien connaître ses utilisateurs et ses prestataires
Le conseil pourrait sembler évident mais à l’heure des services hébergés en cloud, il est primordial de connaître les standards de son fournisseur en termes de sécurité et de conformité. Selon une étude Freeform Dynamics commandée par Barracuda Networks, 69% des entreprises prévoient une utilisation de plus en plus fréquente du cloud pour les services essentiels tels que les emails et la gestion de la relation client. Pour bien penser sa sécurité, il faut aussi comprendre quelle expérience les utilisateurs feront des infrastructures et des services informatiques.

Règle n°6 : Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur
Autre tendance pouvant affecter la sécurité de l’entreprise : l’utilisation croissante de tablettes et de smartphones – qu’ils soient personnels (BYOD) ou fournis par l’entreprise. Les collaborateurs utilisent ces terminaux pour travailler et pour accéder au réseau de l’entreprise, toujours selon l’étude Freeform Dynamics : 62% des interrogés prévoient une augmentation de l’accès mobile et à distance aux réseaux informatiques de l’entreprise.

Pourtant ce matériel reste très peu sécurisé et représente un danger notable. Chaque appareil personnel connecté au réseau représente une porte d’entrée potentielle pour les cyber-attaques.  Les entreprises doivent donc s’assurer de la sécurisation de ces terminaux, soit en les fournissant elles-mêmes à ses employés soit en offrant une solution pour sécuriser leurs propres appareils.

Les entreprises sont conscientes des problèmes de cyber-sécurité auxquelles elles se confrontent, mais ne savent pas par où les attaquer. Le guide prodigue les conseils essentiels, les avertit du danger, mais il est essentiel maintenant d’enseigner aux PME les bonnes pratiques de la sécurité informatique. (Par Stéphane Castagné, pour DataSecurityBreach.fr – Responsable Commercial France – Barracuda Networks)