Archives de catégorie : Mise à jour

APT, Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, Mise à jour, Securite informatique

Les risques, les vulnérabilités, les licences des logiciels open source

Les risques concernant la sécurité et la conformité des composants tiers atteignent des proportions incontrôlables, et menacent l’intégrité même de la chaîne d’approvisionnement de logiciels.  Il suffit de voir l’impact de la faille Heartbleed pour s’en convaincre !

Aujourd’hui, les entreprises incluent davantage de code open source que d’éléments conçus en interne ou propriétaires dans leurs produits.  Malheureusement, en profitant de ces logiciels open source (OSS) pour accélérer le développement de leurs produits, la plupart d’entre elles ne respectent pas les licences open source associées à ces composants.  Bien que les OSS soient gratuits, leurs utilisateurs ne sont pas pour autant libres de toute obligation les concernant.  Celles-ci peuvent aller de la reproduction de déclarations de droits d’auteur ou d’une copie d’un document de licence à la divulgation de l’intégralité du code source de leurs produits.  Des enquêtes récentes ont montré que la plupart des entreprises ne connaissent qu’un faible pourcentage des composants open source sur lesquels elles s’appuient, et ne sont donc pas en mesure de respecter les obligations indiquées dans les licences de ces éléments.  En outre, ces logiciels peuvent comporter des bugs ou des vulnérabilités susceptibles d’affecter votre produit.  Sans un suivi adéquat, ce dernier peut passer à côté de mises à jour ou de patches corrigeant des vulnérabilités connues. Mais malgré cela l’open source offre de précieux avantages.

Découverte, gestion et conformité en cinq étapes

Face aux problématiques de conformité ou de gestion des vulnérabilités des OSS, la première question est généralement : « Comment savoir quels composants open source nous utilisons ? » Il est possible de mieux comprendre ce que l’on fait et de mettre en place un processus pour découvrir, gérer et s’assurer de la conformité avec ces OSS en cinq étapes.

Étape 1 :  comprendre comment les OSS sont introduits dans votre entreprise

Les OSS peuvent s’introduire de différentes façons.  Cas classique : un développeur décide d’utiliser un composant open source, télécharge le code source, et l’intègre au produit.  Ce cas est encore très fréquent, mais il existe bien d’autres scénarios.  Très souvent, les développeurs utilisent ce qu’on appelle des gestionnaires de référentiels (repository manager).  Ces outils leur permettent d’indiquer les composants qu’ils veulent utiliser, puis s’occupent eux-mêmes d’en télécharger le code source ou des fichiers binaires compilés. Ces gestionnaires stockent généralement les composants open source dans un référentiel distinct, hors du système classique de gestion des codes source.  On peut notamment citer parmi eux Maven, Nuget ou npm.

Des éléments open source peuvent également être introduits dans une organisation en tant que sous-composant d’un composant open source plus important ou commercial.  Les composants de premier niveau ont très souvent plusieurs sous-composants ou dépendances open source, qui sont rarement divulgués ou gérés.

En outre, ces éléments serviront de pièces d’une infrastructure runtime, comme des serveurs Web, des systèmes d’exploitation ou des bases de données et peuvent permettre de contrer les risques.

Étape 2 :  chercher les OSS

Une fois que vous savez comment vos composants open source sont sélectionnés et utilisés, vous pouvez évaluer les risques et ceux dont vous avez besoin, et comment ils sont utilisés ou répartis.  On appelle ça dresser une nomenclature (Bill of Materials), ou une liste de divulgation.  Cette liste sert à suivre les obligations, à modifier les politiques vis-à-vis des OSS, et à réagir aux vulnérabilités rendues publiques.  Souvent, des paquets open source comporteront des termes de licence que votre organisation ne pourra pas respecter, ce qui pose automatiquement un problème de conformité.  Dans de tels cas, le composant en question devra être supprimé et la fonctionnalité remplacée, soit par un autre composant OSS, ou en écrivant une fonctionnalité équivalente.

L’examen du code base, les risques, la tenue d’entretiens et l’utilisation d’outils d’analyse de code peuvent être utiles dans le cadre de ce processus.

Étape 3 : questionner l’équipe de développement

Les projets devenant sans cesse plus vastes, complexes et distribués, il est de plus en plus difficile de découvrir l’ensemble des éléments utilisés.  Il est donc important d’avoir des échanges réguliers avec les développeurs, équipes DevOps, ainsi que l’ensemble du personnel informatique impliqué dans la création, le déploiement et la mise en œuvre du projet en question.  Posez-leur des questions ciblées, comme « Quelle base de données utilisons-nous ? », ou « Quelle bibliothèque de chiffrement utilisons-nous ? ».  Cela peut être utile pour découvrir d’autres modules potentiellement passés inaperçus la première fois.

Demander simplement « Quel code open source utilisons-nous » permet rarement de créer une liste complète pour un certain nombre de raisons, notamment à cause d’oublis ou de l’absence de registres adéquats.

Étape 4 : comprendre comment les OSS entrants sont gérés

La gestion des composants tiers et les risques doivent faire l’objet d’un processus cohérent et correctement appliqué.  Votre organisation pourra ainsi respecter ses obligations des licences open source, mais aussi faire face à de nouvelles vulnérabilités.  Il est fréquent de voir ce processus atteindre différentes étapes et niveaux de conformité.  Certaines organisations se contentent encore de suivre les composants « sollicités » par les développeurs.  Celles-ci n’ont souvent connaissance que des éléments les plus importants, ou découvrent que certains développeurs sont plus assidus que d’autres dans le cadre du respect du processus.

D’autres entreprises utilisent des outils d’analyse pour découvrir et suivre leurs OSS.  Leurs résultats varieront en fonction des solutions utilisées ou du niveau d’analyse.  Certains outils ne découvrent que les textes de licence, pas les composants open source. D’autres ne peuvent retrouver que les composants gérés par des gestionnaires de paquets.  Il est donc important de savoir quel niveau d’analyse est adopté et ce que l’on peut espérer repérer…

Étape 5 :  cherchez des preuves de conformité des OSS

Une fois toutes ces étapes franchies, il est important de confirmer la visibilité de cette conformité.  Les déclarations et autres avis légaux (droits d’auteurs) nécessaires sont-ils présents dans les produits ou leur documentation ?  Les textes des licences sont-ils visibles comme il se doit ?  Existe-t-il une offre écrite relative au code source ou ses distributions, et ciblant du contenu rendu libre que vous utilisez ?  Tous ces éléments seront les témoins visibles de l’efficacité de votre processus de gestion des composants open source.

En suivant ces cinq étapes, en sensibilisant votre personnel à l’utilisation adaptée des OSS, et en encourageant les membres de votre écosystème à en faire de même, vous pourrez créer des applications modernes et puissantes, tout en respectant les licences open source.

En outre, plus vous en savez sur les ingrédients, les éléments tiers et les vulnérabilités de votre produit, mieux ce dernier pourra être sécurisé et pris en charge ! (Par Christian Hindre – Directeur Commercial Europe de Flexera Software)

Cybersécurité, Justice, Mise à jour, Patch

Lutte contre le terrorisme, Google montre les dents ?

Le géant américain de l’Internet Google annonce renforcer sa lutte contre le terrorisme… un diffusant des vidéos contre la radicalisation.

Google vient d’annoncer dans le Financial Times, via la bouche de Kent Walker, qu’il allait renforcer sa lutte contre le terrorisme. Google et Youtube ont été montrés du doigt après la diffusion de vidéos de propagande terroriste. Google et Youtube ont donc décidé de renforcer leurs règles, dernièrement, face aux vidéos violentes ou déplaisants à leurs annonceurs. Bilan, des dizaines de Youtubeurs se retrouvent aujourd’hui avec des montants publicitaires divisés par 10. La grande majorité n’ont plus droit à la publicité pour diverses raisons.

Côté « terrorisme », Google a donc annoncé dans le journal économique, donc lu par les annonceurs, quatre nouvelles règles. « Nous ne sommes pas les seuls à procéder depuis des années déjà à l’identification et à la suppression de contenus qui enfreignent notre façon de faire. La vérité embarrassante, c’est qu’il nous faut bien reconnaître que nous devons en faire plus« , confirme Kent Walker dans le Financial Times.

Quatre nouvelles règles donc : d’abord plus d’experts humains qui pourront juger de la pertinence, ou non, d’une vidéo. Google annonce l’embauche de 50 personnes supplémentaires ; les robots, avec l’apprentissage des machines de contrôle ; un « logo » avertissement qui sera accolé aux vidéos de groupes religieux. Les vidéos resteront, mais elles n’auront pas de publicité. Dernier point, des vidéos anti propagande seront diffusées pour combattre la radicalisation.

A noter que la semaine dernière, Facebook a annoncé la création d’une team anti terroristes (150 personnes) et un partenariat avec Google pour participer à cette lutte.

Chiffrement, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Gemalto et Dessmann améliorent la sécurité du verrouillage intelligent

Verrouillage intelligent : Gemalto, société spécialisée dans la sécurité numérique, fournit une connectivité sécurisée et fiable à la nouvelle plate-forme de verrouillage intelligent de Dessmann. La nouvelle solution du fabricant mondial de serrures intelligentes et de coffres-forts intègre les modules d’identification de machine (MIM) et les éléments sécurisés (Secure Element – SE) de Gemalto, permettant aux utilisateurs de verrouiller et de déverrouiller des portes avec leurs smartphones ou de créer des porte-clés numériques utilisables sur plusieurs serrures.

Cette solution de verrouillage intelligent offre une sécurité accrue par rapport aux verrous traditionnels. L’application mobile peut être utilisée pour créer des clés virtuelles de rechange ou temporaires à distance et simplifier ainsi les services de colocation. La solution est capable, par exemple, de suivre et de savoir qui a débloqué une porte récemment. Cette dernière envoie également instantanément des notifications si une porte est forcée et peut déclencher automatiquement l’alarme intégrée dans le verrou.

Le marché de la serrure intelligente est amené à se développer rapidement ses prochaines années. Selon l’étude Transparency Market Research, sa croissance annuelle moyenne atteindra 18,3%, ce qui entraînera une augmentation substantielle de la valeur marchande, passant de 226,7 millions de dollars US en 2016 à 1,01 milliard de dollars d’ici 2024. En raison de la hausse du niveau de vie et des préoccupations liées à la sécurité physique et à la sureté, la région Asie-Pacifique devient rapidement un marché cible pour l’industrie de la serrure intelligente.

« La sécurité est au cœur de toute technologie innovante de verrouillage intelligent et demeure essentielle pour nous. Nous sommes constamment à l’affût d’une technologie complémentaire qui puisse améliorer la sécurité de nos produits et services », déclare ZHU Zhiling, PDG de Dessmann. « Gemalto dispose d’un catalogue de solutions et d’expertise dont nous avons besoin pour notre nouvelle serrure intelligente. Nous avons été immédiatement convaincus par la capacité du groupe à fournir des solutions de sécurité  de bout en bout ainsi qu’une feuille de route de la future connectivité optimisée pour l’IoT, comme LTE Cat NB-IoT ».

« Le monde adopte les technologies digitales à un rythme sans précédent, avec des maisons intelligentes qui sont en train de devenir la nouvelle clé de voûte de la vie connectée. Nous espérons que les verrous intelligents connectés feront partie intégrante de la vie quotidienne dans un avenir proche « , affirme Suzanne Tong-Li, Vice-Présidente de la Chine et de la Corée pour les Services Mobiles et l’IoT chez Gemalto. «Notre gamme complète de solutions et services IoT sécurisés aide les fabricants à atteindre le plus haut niveau de confiance pour les consommateurs, ce qui est essentiel pour les services comme les clés virtuelles ».

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Microsoft corrige 94 vulnérabilités via une mise à jour massive

Microsoft vient de publier les patches pour résoudre 94 vulnérabilités, dont 27 corrigent des problèmes d’exécution de code à distance (RCE) donnant à l’attaquant le contrôle à distance des machines ciblées. Il s’agit d’une mise à jour massive qui résout deux fois plus de vulnérabilités qu’au cours des deux derniers mois.

La priorité absolue va à la vulnérabilité CVE-2017-8543 qui, selon Microsoft, est actuellement exploitée en mode aveugle. Les attaquants peuvent contrôler totalement l’ordinateur ciblé en envoyant une requête SMB au service de recherche Windows. Sont concernés : Windows Server 2016, 2012, 2008 ainsi que des systèmes bureautiques comme Windows 10, 7 et 8.1. Cette vulnérabilité étant actuellement utilisée pour mener des attaques, nous recommandons aux entreprises d’appliquer les patches dès que possible. Autre vulnérabilité en cours d’exploitation, CVE-2017-8464 elle permet de prendre le plein contrôle d’une machine par le biais d’une exécution de code à distance via l’icône de raccourci LNK (Windows).

Microsoft a également publié l’avis de sécurité 4025685 qui concerne aussi des plateformes plus anciennes en raison d’un risque d’exploitation élevé.

Autre priorité élevée, CVE-2017-8527, la vulnérabilité qui affecte le moteur de rendu graphique de Windows et déclenchée lors de la consultation d’un site Web pirate conçu à l’aide de polices malveillantes. Similaires au problème de police évoqué ci-dessus, les vulnérabilités CVE-2017-8528 et CVE-2017-0283 peuvent être déclenchées lorsque des utilisateurs consultent du texte Unicode encodé dans un but malveillant. Les deux problèmes entraînent une prise de contrôle complète de la machine ciblée.

Il est conseillé aux entreprises qui utilisent Outlook de corriger CVE-2017-8507, l’une des vulnérabilités permettant d’envoyer des emails malveillants et de prendre le contrôle complet d’un système lorsque ces emails sont consultés depuis Outlook. Les vulnérabilités Office CVE-2017-0260 et CVE-2017-8506 peuvent être déclenchées suite à l’ouverture de documents Office malveillants. Elles doivent donc être corrigées dès que possible car Office est un vecteur assez simple à exploiter pour lancer des attaques de type ingénierie sociale.

Les patches pour Microsoft Edge et IE résolvent de nombreux problèmes d’exécution de code à distance (RCE) tandis que les vulnérabilités CVE-2017-8498, CVE-2017-8530 et CVE-2017-8523 revêtent une importance toute particulière car elles ont été divulguées publiquement mais aucune attaque n’a encore été observée à ce jour. Parmi les autres problèmes d’exécution de code à distance résolus par la mise à jour de juin citons les vulnérabilités CVE-2017-0291 et CVE-2017-0292 PDF pour Windows.

En résumé, nous avons affaire à une mise à jour de sécurité importante et qui résout un nombre deux fois plus élevé de vulnérabilités qu’au cours des deux derniers mois. La vulnérabilité SMB CVE-2017-8543 activement exploitée ainsi que d’autres problèmes affectant les polices, Outlook, Office, Edge et IE vont pleinement occuper les administrateurs système et les équipes de sécurité. (Publié par amolsarwate dans The Laws of Vulnerabilities)

Communiqué de presse, Cybersécurité, Entreprise, Mise à jour, Securite informatique

Cybersecurite: les approches des dirigeants US et Européen

CYBERSECURITE: UNE NOUVELLE ENQUETE RADWARE CHIFFRE LES DIFFERENCES D’APPROCHE DES DIRIGEANTS EN EUROPE ET EN AMERIQUE DU NORD.

Chaque année, Radware publie les résultats et l’analyse de son « Global Application & Network Security Report » qui portent sur  l’industrie de la cybersecurite et de la sécurité informatique dans son intégralité. Complémentaire, l’enquête Executive Application & Network Security Survey interroge uniquement des cadres et dirigeants de l’industrie pour comprendre les défis, les menaces les opportunités et leurs approches en matière de cyber sécurité.

Cette année, elle a révélé des tendances mondiales importantes, ainsi que des nuances notables entre les dirigeants américains et européens.

La Cybersecurite est une préoccupation croissante pour tous mais surtout l’Europe

En France, interrogés sur les projets prioritaires de leurs services informatiques, les dirigeants citent : l’amélioration de la sécurité (49%), l’amélioration de l’expérience client (39%) et la réduction des dépense opérationnelles (34%).

Au niveau global, près de la moitié des dirigeants interrogés (47%) citent l’amélioration de la sécurité informatique parmi leurs objectifs principaux. Cependant les européens semblent bien plus préoccupés par ce sujet puisqu’ils sont 88% à considérer cette mission comme très ou extrêmement critique, contre seulement 61% aux États-Unis. En Amérique, la priorité est donnée à la performance opérationnelle, citée par 50% des répondants contre 47% pour la sécurité.

En Europe 90% des répondants ont déclaré que la sécurité informatique est maintenant une préoccupation de haut niveau (c’est à dire des dirigeants et du conseil d’administration). 66% l’évaluent même comme «extrêmement important» soit une augmentation de 50% par rapport à l’année dernière.

75% des dirigeants européens se déclarent susceptibles de rapporter une attaque à leur hierarchie contre 36% pour les américains alors même que ces deux régions ne montrent pas de différence significative en termes d’activité malveillante. Quatre raison peuvent expliquer cette différence du simple au double :

  • Les équipes de cyber-sécurité américaines semblent moins disposées à communiquer sur ce qu’ils considèrent comme «non-événements», c’est-à-dire les attaques atténuées avec succès.
  • Les infrastructures de sécurité américaines souvent plus mûres sont capables de détection et d’atténuation automatique et proactive de certaines menaces ce qui ne donne lieu à aucun rapport à la direction.
  • Les entreprises européennes travaillent à renforcer leurs défenses, par conséquent, les équipes sont plus susceptibles de multiplier les rapports d’incidents pour justifier l’augmentation des budgets.
  • Les entreprises européennes opèrent dans des cadres législatifs plus stricts en matière de sécurité et de confidentialité des données.

Cybersecurite : L’Europe est plus susceptible de faire travailler des machines et des hackers repentits

En Europe, près de la moitié des cadres interrogés (46%) pensent que les systèmes de sécurité automatisés seront le principal atout de leur défense à moyen terme. Environ un quart (21%) pensent que le futur proche  sera composé d’un savant mélange d’humain et de machines. Un tiers (33%) font confiance aux systèmes automatisés plus qu’en l’humain contre moins d’un quart (24%) pour l’inverse.

Les résultats de cette année soulignent également que les dirigeants européens sont plus volontiers susceptibles d’embaucher d’anciens hackers pour travailler autour de leur cybersécurité. Ils sont 58%, contre seulement 27% chez leurs homologues américains.

De fait, parmi les cadres européens, travailler avec de véritables pirates informatiques est déjà une pratique courante. Ils sont près de la moitié (46%) à avoir déjà invité des pirates informatiques à tester les vulnérabilités de leurs systèmes. C’est significativement plus élevé qu’aux États-Unis, où seulement 31% des dirigeants disent que leurs entreprises ont déjà engagé des pirates pour des tests de vulnérabilité.

Après sondage sur la composition des équipes, on constate que la plupart s’appuient sur des talents internes (43%) ou des experts tiers (36%). Seulement 3% des équipes comportent un ancien hacker comme membre permanents. Seulement 8% des équipes sont une combinaison des trois profils alors même qu’elle est la plus pertinente pour lutter efficacement contre les attaques.

 L’Europe se repose sur ses fournisseurs d’accès à internet

En Europe, 51% des entreprises gèrent la sécurité au sein de leur propre organisation. Il y a cependant des différences notables selon les pays. Les  Royaume-Uni sont particulièrement intéressés par la gestion interne (71% contre 33% en France et 47% en Allemagne). 39% des entreprises délèguent la protection de leurs infrastructures à leur fournisseur d’accès à Internet 10% seulement la confient à un fournisseur de sécurité dédié.

Aux États-Unis, plus de la moitié des entreprises (54%) gèrent leur propre sécurité. Une part plus petite (26%) s’appuie sur leur fournisseur d’accès à Internet ou leur opérateur, tandis qu’un pourcentage presque deux fois plus élevé (19%) s’appuie sur un tiers spécialisé.

Cybersecurite : Vie privée contre opportunités commerciales

Qu’ils répondent en tant que chefs d’entreprises ou en tant que citoyens individuels, et quel que soit leur pays d’origine 80% des dirigeants interrogés estiment que le gouvernement devrait faire davantage pour protéger les informations personnelles. En Europe, 67% des cadres en moyenne considèrent que la vie privée n’est pas assez protégée par les législations existantes. Les résultats varient d’un pays à l’autre avec 61% pour la France, 63% pour l’Allemagne et 77% au Royaume-Uni.

Dans les pays européens, 83% des dirigeants ont déclaré que le gouvernement devrait faire davantage pour protéger la vie privée. Allemagne (94%) contre France (76%). Le Royaume-Uni est à 80%. Aux États-Unis, la conclusion était similaire, avec 66% indiquant que les lois actuelles mettent la protection de la vie privée en danger et 75% souhaiteraient que le gouvernement défendent plus activement la protection de la vie privée sur l’espace informatique.

Méthodologie

Mandaté par Radware, Merrill Research a mené cette enquête courant avril 2017 auprès de 200 dirigeants répartis de la sorte: 100 aux États-Unis et 100 en Europe (35 au Royaume-Uni, 33 en France et 32 en Allemagne). L’échantillon interrogé est composé de personnes travaillantes dans une entreprise générant au moins 250 million de dollars de chiffre d’affaire et affectées à des postes de vice-présidence ou supérieurs.

APT, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Social engineering

Le cyberespionnage via les APT devient le pire cauchemar des entreprises

En France, plus de deux tiers (71 %) des DSI estiment que leur entreprise pourrait « certainement » être la cible de campagnes de cyberespionnage utilisant des menaces persistantes avancées (Advanced Persistent Threats – APT) selon une récente étude.

Les APT, des cyber-outils complexes conçus sur mesure pour attaquer des grandes entreprises ou organismes d’état, et collecter discrètement des données sensibles sur de longues périodes. 27 % des personnes interrogées considèrent que leur infrastructure informatique pourrait « éventuellement » être la cible d’actions de cyberespionnage de haut niveau visant à exfiltrer des informations de manière systématique.

Seule une petite minorité n’est pas préoccupée par les APT

L’année dernière, des entreprises de  grande envergure ont été confrontées à un nombre croissant d’incidents et de violations de sécurité, avec une augmentation significative des APT et des attaques ciblées visant aussi bien les entreprises que les entités gouvernementales (telles que APT-28 et, plus récemment, Netrepser). En fait, moins de 2% des DSI considèrent que les APT ne sont pas une menace réelle pour leur environnement de travail. Les inquiétudes sur la sécurité vont en se multipliant, et la question est de plus en plus souvent traitée par les conseils d’administration des entreprises. Les hauts responsables de services informatiques, tout comme les membres des conseils d’administration s’en préoccupent de plus en plus, non seulement parce qu’une violation de la sécurité peut leur coûter cher, mais aussi parce que le futur des entreprises est en jeu quand des données sensibles sont dérobées par des pirates informatiques.

Les risques ne sont pas toujours visibles, mais ils sont bien présents

Étonnamment, si 42% des DSI ont déclaré qu’il leur faudrait entre quelques semaines et un mois pour repérer une APT, 23% d’entre eux pensent qu’il leur faudrait entre deux mois et plus d’un an pour détecter les menaces modernes les plus sophistiquées. Preuve que de nombreux professionnels interrogés sont au courant et craignent ces menaces, mais qu’ils pensent ne pas être suffisamment bien protégés pour les détecter et les bloquer.

Selon Liviu Arsene, Analyste des e-menaces chez Bitdefender, « les cyberattaques peuvent passer inaperçues pendant des mois et, dans la plupart des cas, les violations proviennent de failles Zero-day ou de malwares s’attaquant au noyau du système. Ce sont précisément ces vulnérabilités que ciblent les APT, car elles leur évitent d’être détectées. Les exploits au niveau du noyau et les rootkits peuvent échapper aux solutions de sécurité traditionnelles pour endpoints et prendre le contrôle total du système d’exploitation. »

Les menaces persistantes les plus avancées ne se limitent pas aux attaques soutenues par des États : les entreprises peuvent également devenir les victimes de cybercriminels qui exploitent des vulnérabilités Zero-day pour diffuser des malwares extrêmement ciblés conçus pour les espionner et voler des éléments de propriété intellectuelle. L’enquête de Bitdefender confirme que les RSSI considèrent leurs concurrents comme les plus susceptibles d’attaquer leurs entreprises, dans le cadre d’un espionnage professionnel (66%), suivis des hackers (57%).Les cybercriminels soutenus par des Etats, les agences gouvernementales et les personnes en interne arrivent respectivement en 3ème, 4ème et 5ème position (51, 41 et 30%).

Les risques sont réels, et les entreprises doivent les limiter

76 % des responsables de services informatiques français estiment que la pire conséquence à craindre d’une attaque par une APT est d’ordre financier. En deuxième position on retrouve l’atteinte à la réputation (66%), suivie de la faillite (51%). Parmi les risques les plus sinistres, citons également la guerre ou les cyber-conflits (24%) ; et même un décès par suicide ou attaque cardiaque (14%).

Les entreprises ont surtout peur de perdre des informations relatives à leurs clients (52%), suivies des informations financières (47%), des recherches sur de nouveaux produits (37%), des informations sur certains employés (35%), des informations et de caractéristiques de produits (34%), leur propriété intellectuelle (34%) et leurs recherches sur la concurrence (20%).

Ainsi, 94 % des conseils d’administration estiment que la cybersécurité est un sujet critique dans la gestion des risques de l’entreprise, avec des conséquences sévères sur leur situation financière et leur réputation si elle est négligée. Seuls 4% ne lui accordent pas encore une telle importance. La plupart des entreprises (58%) ont un plan de réponse aux incidents et un plan de reprise après sinistre dans le cas d’une attaque par APT ou d’une violation de sécurité massive, et 40% reconnaissent qu’elles sont en train d’élaborer une stratégie en la matière. Moins de 2% n’ont adopté aucune procédure de ce type à ce jour, et n’’envisagent pas de le faire dans le futur.

Une sécurité multi-couches est la meilleure solution

64% des responsables informatiques français interrogés perçoivent la défense multi-couches, associant plusieurs politiques de sécurité et outils conçus pour combattre les menaces et intrusions modernes, comme étant la meilleure défense contre les menaces persistantes avancées. Les audits de sécurité, les solutions de nouvelle génération, la sécurité traditionnelle et la surveillance des journaux ont également été mentionnés par plus d’un tiers des sondés. (Bitdefender)

Base de données, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Mise à jour, Paiement en ligne, Patch, Piratage

SIG : Attaque contre la billetterie d’un club de basket Français

2 commentaires

Un pirate informatique s’est attaqué à la billetterie web du club de basket SIG de Strasbourg. Bilan, plus possible d’acquérir sa place pour la finale Pro A.

Quelles étaient les motivations du pirate informatique ayant visé la billetterie du basket club de Strasbourg, le SIG ? Mettre la main sur les données des supporters ? Ou tout simplement perturber le fonctionnement de la billetterie du club pour empêcher les fans du SIG de venir supporter leur club ? Toujours est-il que, comme l’explique La Dernière Nouvelles d’Alsace, l’ouverture de la billetterie pour le match 3 de la finale de Pro A contre Chalon s’est retrouvée retardée par ce qui semble être une attaque DDoS, ou une injection SQL trop violente. Bilan, le système c’est mis en panne et a généré un message qui a empêchait les fans d’acheter leurs places : « Erreur de communication avec le serveur d’authentification ».

Afin de refuser tout comportement frauduleux la vente a été suspendue. Cette cyber-attaque n’a eu et n’aura aucune incidence sur la sécurité de vos paiements confirme le SIG Strasbourg.

Android, Cybersécurité, IOT, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie

Des publicités malveillantes détectées sur Android

Publicités malveillantes dans votre smartphone ! Il y a quelques jours, l’équipe du Threatlabz Zscaler a identifié une application Android se téléchargeant d’elle-même à partir de publicités postées sur des forums. Le malvertising est un problème qui ne cesse de prendre de l’ampleur. Ces publicités se retrouvent principalement sur des sites SSL à visée malveillante. Sur l’un de ces forums baptisé « GodLike Productions », les visiteurs se sont plaint d’une application se téléchargeant automatiquement mais leurs messages ont été supprimés ou ignorés par les administrateurs permettant à la situation de se perpétuer. Dans ce cas particulier, l’App se présente sous la forme d’une « mise à jour sécurité » afin que l’utilisateur termine son installation.

Une fois le package APK téléchargé et installé, l’application se présente sous le nom de « KS Clean », une application de nettoyage Android. L’application affiche ensuite un faux message de mise à jour système où la seule option possible est de cliquer sur le bouton « OK » forçant ainsi l’usager à accepter le message.

Dès que ce dernier accepte, le malware lance l’installation d’un autre APK nommé Update. Lorsqu’elle est ouverte, l’App Update demande les droits d’administration. Une fois les droits obtenus, il est impossible de désinstaller l’application de l’appareil car un utilisateur ne peut pas supprimer une app ayant des droits d’administration. Habituellement, il est possible de retirer les privilèges à l’application dans les paramètres mais dans ce cas de figure, l’app se fait passer pour un récepteur Android pour garder ses privilèges.

Cette vidéo (activer les sous-titres en amont) montre la manière dont le téléphone se bloque lorsque la victime essaie de retirer les privilèges administrateur de l’application.

Cette App est capable de :

  • Lire/Ecrire l’historique
  • Installer/Désinstaller des fichiers système
  • Changer les permissions
  • Télécharger sans autorisation

L’application effraie l’utilisateur en lui faisant croire qu’il y a une faille de sécurité sur son appareil et qu’il doit faire une mise à jour pour éviter de perdre ses informations personnelles. Lorsqu’elle est installée, l’App ne peut plus être supprimée et le malware peut pousser des publicités même si une autre App est déjà lancée. Les utilisateurs Android peuvent prendre les mesures suivantes pour éviter d’être atteints par cette menace :

  • Ne pas cliquer sur des liens inconnus
  • Désactiver les « sources inconnues »
  • Désactiver le téléchargement automatique dans les navigateurs Android
Cyber-attaque, Cybersécurité, Mise à jour, Piratage, Social engineering

Turla : Instagram détourné pour espionner

Turla, le groupe de cyberespionnage qui cible des représentants de gouvernements et des diplomates, aurait lancé une nouvelle attaque en se servant d’Instagram.

Turla aime Britney Spears ? En février 2017, la société Forcepoint a publié une liste de sites Internet récemment compromis. Les cybercriminels utilisent la technique d’attaque de trou d’eau, qui vise à rediriger les victimes ayant cliqué sur un site compromis vers leurs serveurs C&C. Les chercheurs ESET ont repéré une extension de Firefox qui utilise une URL bit.ly pour renvoyer vers les serveurs C&C. Le chemin de l’URL est diffusé via des commentaires d’une publication Instagram. Dans l’échantillon analysé, l’un des commentaires s’affiche sur une photo du compte officiel de Britney Spears.

Pour obtenir l’URL bit.ly, l’extension scrute les commentaires de chaque photo et pour chaque commentaire en calcule un hash. Si la valeur de hash correspond à un code de déclenchement, l’extension exécute une opération pour convertir le commentaire en URL.

« L’utilisation par Turla des réseaux sociaux pour récupérer les adresses C&C ne facilite pas la tâche aux chercheurs en cybersécurité. Il est difficile de distinguer le trafic malveillant du trafic légitime sur les réseaux sociaux, » explique Jean-Ian Boutin, Senior Malware Researcher chez ESET. Par ailleurs, cette technique offre plus de souplesse aux pirates : « comme l’information nécessaire pour obtenir l’URL du serveur C&C n’est autre qu’un commentaire sur les réseaux sociaux, le cybercriminel a la possibilité de le modifier ou de l’effacer à tout moment, » poursuit Jean-Ian Boutin.

Pour éviter d’être infecté par une attaque de trou d’eau de ce type, les chercheurs ESET recommandent de :

Mettre à jour les navigateurs et les plugins des navigateurs ;
Eviter de télécharger ou d’installer des extensions venant de sources non vérifiées ;
Utiliser une solution de sécurité (à jour) capable de détecter les sites Internet compromis.

Seuls 17 clics ont été enregistrés sur ce lien en février lorsque le commentaire a été posté. Le nombre étant relativement faible, on peut supposer qu’il s’agit d’un test pour une attaque de plus grande envergure.

Android, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Smartphone, Social engineering, Téléphonie

Dvmap : Un nouveau Trojan Android téléchargé 50 000 fois

Des experts ont découvert un nouveau Trojan peu commun, qui se propage via Google Play Store sous la forme d’un jeu.

Baptisé Dvmap, ce Trojan est non seulement capable d’obtenir les droits d’accès root de n’importe quel smartphone Android, mais il peut également prendre le contrôle de l’appareil en injectant un code malveillant dans la bibliothèque système (system library). Si l’attaque réussit, il supprime l’accès root, ce qui lui permet de ne pas être détecté. Ce Trojan a été téléchargé depuis Google Play plus de 50 000 fois depuis mars 2017.

Kaspersky Lab a signalé ce Trojan à Google, qui l’a depuis retiré de sa marketplace.

Pour contourner les contrôles de sécurité de la plate-forme, les créateurs du malware ont mis en ligne une application saine à la fin du mois de mars 2017. Ils l’ont ensuite mise à jour avec une version malveillante pendant une courte période, avant de remettre en ligne une version saine. En seulement 4 semaines, ils ont réalisé cette opération au moins 5 fois.

« Le Trojan Dvmap marque un nouveau développement des malwares Android. Le code malveillant s’injecte directement dans les bibliothèques système, où il est plus difficile à détecter et supprimer. Nous pensons avoir découvert le malware à un stade très précoce . Notre analyse montre que les modules malveillants rendent compte de leurs moindres mouvements aux attaquants et certaines techniques peuvent entrainer une panne des appareils infectés. Il n’y a pas de temps à perdre si nous voulons éviter une attaque de grande envergure, » explique Roman Unuchek, Senior Malware Analyst, Kaspersky Lab.

Pour en savoir plus, consultez le rapport complet de Kaspersky Lab : https://securelist.com/78648/dvmap-the-first-android-malware-with-code-injection/