Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

double authentification

Mise en place de la 2FA à la suite d’un ransomware

La commune américaine de Keizer, située dans le comté de Marion dans l’Oregon, a été victime d’une attaque de ransomware. Son administration, composée de plusieurs divisions telles que les patrouilles de police, les travaux publics, le développement communautaire, etc s’est retrouvée coincée par la cyber attaque. La ville traite des données extrêmement sensibles et doit donc en assurer la protection et l’accès sécurisé.

Pour aider la ville à se protéger contre de nouvelles attaques, une stratégie de sécurité renforcée a été mise en place. En haut de la liste des priorités figurait l’implémentation de l’authentification à deux facteurs (A2F).

Pour les patrouilles de police, les réglementations exigeaient déjà l’utilisation de deux facteurs pour s’identifier. Pour être conforme, le département avait installé Duo A2F, mais la solution n’avait pas été considérée comme simple à mettre en place ou intuitive. Pour cette raison, Bill Hopkins, administrateur réseau, recherchait une nouvelle solution qui pourrait être facilement déployée sur tous les comptes utilisateurs et administratifs, de tous les départements. Une étude de cas proposée par la société IS Decisions.

Securite informatique

Les hébergeurs web sont-ils sécurisés ?

Des centaines d’entreprises par le monde proposent d’héberger sites et applications web. Les États-Unis accaparent la moitié du business. Mais qu’en est-il de la sécurité de celui qui va vous héberger ? Voici les points primordiaux à contrôler avant de se lancer dans l’aventure.

Les propriétaires de site web vivent une vie secrète. Un webmaster marié vit avec une maîtresse qu’il ne peut ignorer, oublier, … Son hébergeur. Un hébergeur permet d’installer son site web, ses applications, … Un gros hangar qui, sur le papier, se charge uniquement de vous proposer de quoi installer vos informations. Mais comment choisir cet hébergeur ? Quelles sont les règles à mettre en place pour sécuriser son bien.

Avec un business pris en main par les Etats-Unis, 50,8% de part de marché liés à l’hébergement dans le monde (11,5 pour l’Allemagne ; 3,30% pour la France ; 2,5% pour le Canada), choisir son hébergeur doit d’abord prendre en compte plusieurs points, dont les diverses réglementations (États-Unis, France, Europe, …) : RGPD, California Consumer Privacy Act, … Prendre en compte cet élément n’est pas négligeable. Vous ne pourrez pas stocker, utiliser, les données fournies par vos visiteurs comme bon vous semble.

Vient ensuite les sécurités à vérifier avant même de parler hébergement. Quels sont les outils mis en place par l’hébergeur ? A-t-il un espace d’administration ? A-t-il une gestion de la double authentification pour vous y connecter ? Pouvez-vous recevoir une alerte (courriel, SMS, …) lors de la connexion à votre administration ? Pouvez-vous créer des sous-comptes sécurisés, avec la gestion des droits pour chaque utilisateur de votre administration ? Voilà quelques questions à se poser. Perdre l’accès à son administration d’hébergement à la suite d’un piratage, par exemple, c’est perdre votre espace numérique et son contenu. Les attaques sont multiples, allant de la recherche d’un mot de passe un peu trop faible ou facilement récupérable (OSINT, SE, …), hameçonnage, mots de passe retrouvés dans d’autres bases de données de sites piratés.

A noter que le phishing est un élément qui fait grand mal. Une méthode qui a permis de piéger des milliers d’entreprises (via des employés mal ou pas formés). La propagation mondiale de la COVID-19 a changé le paysage des menaces.

Votre hébergeur est-il « humain »

Aussi idiot que cela puisse paraître, votre hébergeur est-il « humain ». Par cela, comprenez : « êtes-vous capable de joindre un employé, le SAV, le Service Technique, … par téléphone, par mail, rapidement ?« . Bref, avoir un support 24/7 est obligatoire. « Indispensable confirme PlanetHoster. En cas de problème, vous êtes assuré d’avoir une assistance personnalisée selon vos besoins.« 

Vient ensuite les règles internes à l’entreprise. A-t-elle une politique cyber sécurité ? Une assurance. Pour l’hébergeur cité plus haut, une « assurance erreur et omission » vous protège jusqu’à 2 000 000 $ par incident. Panne, piratage, … Ont-ils des partenariats sécurité, par exemple, avec des entreprises liées au chiffrement (LetsEnrypt, …), aux certificats SSL, … Point important, n’hésitez jamais à poser des questions : les équipes sont-elles formées aux nouvelles attaques ? Aucun doute que oui, mais montrer que vous avez une réflexion sur le cyber sécurité permet de ne pas être le cocu d’un mariage qui pourrait mal tourner.

Les pirates se sont attaqués ces dernières semaines à de nombreux hébergeurs, mettant à mal les clients et les données de ces derniers.

RGPD, California Consumer Privacy Act, Convention 108

Si le RGPD, le Règlement Général de la Protection des Données Personnelles, est entré dans toutes les têtes (ou presque), c’est oublier l’ensemble des autres règles dédiés à la sécurité des données personnelles. Nous vous parlions plus haut de l’importance de choisir son hébergeur en prenant compte sa localisation géographique.

Pour rappel, la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, connue également sous le nom de « Convention 108 », est le seul instrument international juridiquement contraignant dédié à la protection des données et de la vie privée qui soit ouvert à la signature de tous les pays du monde.

Adopté en 1981, ce traité a été mis à jour en 2018 par un protocole, pas encore entré en vigueur, qui garantit que ses principes de protection des données sont toujours adaptés aux outils et pratiques actuels et renforce son mécanisme de suivi.

À ce jour, 55 pays (Belgique, France, Irlande, Luxembourg, Ukraine, …) ont ratifié la « Convention 108 » et de nombreux autres pays du monde s’en sont inspirés comme modèle de leur nouvelle législation relative à la protection des données.

Cybersécurité

L’importance de garder un oeil sur les menaces internes

Beaucoup d’entreprises modernes sont tellement préoccupées par la nécessité de protéger leurs réseaux sensibles contre les adversaires malveillants qu’elles en oublient un autre danger, potentiellement encore plus grand, celui des menaces internes.

Chaque année, le rapport Verizon Data Breach Investigations (DBIR) offre un examen approfondi des dernières tendances en matière d’incidents de cybersécurité. Le rapport de 2019 a révélé que les incidents de type menaces internes ont de nouveau augmenté au cours des quatre dernières années et sont désormais responsables de 34 % de l’ensemble des violations de données. Il suffit de découvrir l’histoire rocambolesque entre un pirate Russe et sa tentative de détourner un employé de Tesla pour se dire que le danger interne a encore de beaux jours devant lui.

Les menaces internes englobent autant des employés distraits que des tiers mécontents, les organisations doivent donc être extrêmement vigilantes face à tout signe d’irrégularité. Cependant, la plus grande menace vient peut-être d’un sous-groupe plus précis : celui des employés quittant l’entreprise. Il existe plusieurs moyens de répondre aux questions de sécurité les plus courantes concernant les départs d’employés, notamment, les risques qu’ils posent, leurs motivations et surtout, ce que peuvent faire les organisations pour limiter cette menace.

Attention aux employés sur le départ

Les employés qui partent ont toujours posé de gros problèmes aux organisations de toutes tailles, mais pourquoi ? Car ils ont les droits d’accès et connaissent de l’emplacement des données sensibles, et dans de nombreux cas, ils ont également un motif pour agir. Bien sûr, tous les motifs ne sont pas de nature malveillante. Dans certains cas, il peut simplement s’agir d’un désir de prendre des copies de leur travail avec eux pour la postérité, mais dans d’autres cas, il peut s’agir de donner ou de vendre des informations à un concurrent ou alors de les divulguer aux médias. Quel que soit le motif, toute forme de perte de données aux mains d’un employé quittant l’entreprise peut être extrêmement préjudiciable, autant sur le plan financier que sur celui de la réputation.

Malheureusement, en raison des variables inconnues impliquées, les organisations sont fortement désavantagées face à ce type de menace. C’est pourquoi il est important de surveiller les activités et les comportements révélateurs qui pourraient trahir une potentielle menace d’initié avant qu’il ne soit trop tard.

Surveiller les mouvements des fichiers et données

Les meilleures approches combinent les bonnes technologies et un processus robuste. Avant tout, il est impératif d’avoir une visibilité sur les terminaux ainsi que sur les données qui quittent l’entreprise ou sont transférées en son sein. Au minimum, les entreprises doivent être en mesure de suivre tous les types de mouvements de fichiers et de sortie de données afin de fournir une piste d’audit des activités de chaque employé avant son départ. De cette façon, le comportement d’un employé entre le moment où il remet son préavis et son départ peut être surveillé de près et même présenté lors de son entretien de sortie pour explication ou clarification si nécessaire.

Identifier les signaux révélateurs d’une menace interne

Plusieurs signes à rechercher peuvent révéler qu’un employé sur le départ représente une menace interne. L’un des plus courants concerne les pics de volume des mouvements de données. Par exemple la sortie massive de données vers des appareils de type USB ou des sites de stockage cloud comme Dropbox ou Google Drive. Si une entreprise dispose d’une solution de prévention de la perte de données (DLP), il est possible de classifier les fichiers en fonction de leur niveau de sensibilité, ce qui lui permet alors d’évaluer facilement la confidentialité des données prises. Par exemple, si des fichiers confidentiels sont joints à des e-mails et envoyés vers un domaine personnel comme Gmail ou Hotmail en infraction avec la stratégie de l’entreprise, la DLP le signalera. Un analyste de sécurité peut alors enquêter sur l’incident pour établir l’intention de la personne qui envoie le fichier et la sensibilité de son contenu.

Plus récemment, les fournisseurs de sécurité ont commencé à tirer parti de l’apprentissage automatique de leurs solutions afin de soulager les analystes, qui, par le passé, devaient enquêter manuellement sur chaque alerte créée. L’apprentissage automatique a également un autre avantage : la possibilité de créer un comportement de référence pour un individu ou un ordinateur au fil du temps. Une fois ce comportement créé, tout élément déviant de l’activité « normale » de cet employé ou de cet ordinateur sera automatiquement signalé pour déclencher une analyse approfondie. Cela permettra aux équipes de sécurité d’éliminer plus rapidement les comportements suspects.

Évidemment, il est également important de se rappeler que la taille ne fait pas tout et que la sortie de grandes quantités de données n’est pas toujours alarmante. Souvent, cela peut simplement s’expliquer par les sauvegardes des données de l’entreprise. D’un autre côté, de nombreux secrets commerciaux sensibles peuvent être volés via un seul fichier. C’est pourquoi il est si important de déterminer exactement qui ou quoi accède à ce type d’informations afin de garantir le bon niveau de protection autour de ces données.

Heureusement, les tactiques utilisées par les employés qui quittent leur entreprise ont peu changé au cours des 15 dernières années. Bien qu’il puisse arriver qu’un employé malhonnête possède le savoir-faire technique pour cacher les données volées dans un fichier image et utiliser la stéganographie pour les exfiltrer, de tels cas sont extrêmement rares. En l’état, avec les protections et mécanismes adéquats en place pour surveiller les comportements révélateurs et tester les employés si nécessaire, les entreprises de toutes les formes et tailles peuvent faire de grands progrès vers la réduction, voire l’élimination de la menace posée par ce type de personnes. (Tim Bandos, vice-président Digital Guardian)

Securite informatique

Bitdefender présente son rapport semestriel sur l’évolution des menaces

Parmi les nouveautés, les détections de ransomwares multipliées par sept au premier semestre 2020. En mai et juin, en moyenne 60% de tous les e-mails reçus étaient frauduleux. Les menaces sur le thème du coronavirus deviennent la nouvelle norme.

Le rapport révèle que la pandémie mondiale de coronavirus a provoqué un changement important dans le paysage des menaces, à la fois sur la façon dont les cybercriminels opèrent, mais aussi dans la manière dont ils perfectionnent leurs attaques. Au premier semestre 2020, ils ont exploité les problèmes liés à la crise Covid-19 pour semer la peur et la désinformation. Résultat : une augmentation des escroqueries, du phishing et des logiciels malveillants sur toutes les plates-formes.

En mai et juin, 60% en moyenne de tous les e-mails reçus étaient frauduleux, selon l’étude.

Qu’il s’agisse d’une escroquerie de phishing exploitant le coronavirus, d’une collecte de fonds ou d’une offre exceptionnelle à ne pas rater, les escrocs ont utilisé toutes les cartes du commerce pour tromper les victimes en leur soutirant des informations sensibles ou en installant des logiciels malveillants.

Les vecteurs d’attaque couramment utilisés pour compromettre et prendre le contrôle des réseaux domestiques ont profité de la panique provoquée par la pandémie. Les chercheurs de Bitdefender ont par exemple découvert une attaque de détournement de DNS sur une marque populaire de routeurs domestiques, utilisée par des attaquants pour rediriger les victimes vers des sites Web malveillants, des applications prometteuses proposant des informations sur l’épidémie.

Les développeurs de logiciels malveillants Android ont aussi surfé sur la vague de la pandémie en se ruant notamment sur l’application de visioconférence Zoom, utilisée pour travailler à domicile. Certains développeurs Android légitimes ont même modifié le contenu des pages Web des applications Google Play pour obtenir un meilleur classement, principalement pour les applications des catégories Santé et Forme ou Médical.

Les attaques contre les appareils IoT (Internet des objets) domestiques ont également augmenté. La télémétrie a observé une hausse de 46% d’incidents suspects signalés entre janvier et juin. Les menaces Windows courantes, les ransomwares, les logiciels malveillants sans fichier (fileless malware), les mineurs de cryptomonnaie, les Troyen bancaires et exploits, sont toujours en plein essor.

Alors que le nombre de rapports thématiques a depuis diminué, à commencer par une baisse de 10 % en mai par rapport au mois d’avril, il est peu probable que la tendance s’inverse au deuxième semestre. Les cybercriminels vont probablement, à nouveau, saisir l’occasion de créer des campagnes de fraude avec des produits de santé fictifs et même d’envoyer des spams thématiques promettant de nouveaux traitements ou remèdes.

Cybersécurité, IOT

La maison intelligente est-elle vulnérable face aux cyberattaques ?

À l’heure de la rentrée, c’est le moment où on équipe les enfants et étudiants avec un (premier) mobile, un nouveau PC portable, une tablette; des appareils qu’il faut bien sûr sécuriser à un moment où les cyberattaques se multiplient. En cette rentrée, la maison, avec ses nouveaux mobiliers, aménagements et/ou équipements a besoin elle aussi d’être protégée, notamment la maison intelligente avec ses objets connectés associés tels que la télévision connectée, la gestion du chauffage et de l’éclairage notamment.

La maison intelligente/connectée dispose d’un réseau informatique permettant aux utilisateurs de l’utiliser pour des fonctions telles que l’ouverture de la porte du garage, un gestionnaire d’appareils électroménagers, un régisseur d’éclairage, un DJ à domicile ou encore un superviseur du système de sécurité. Pourtant, les experts en cybersécurité ne cessent de mettre en garde sur le fait que ce réseau domestique extrêmement pratique fourni par ces appareils intelligents peut être exposé à des cybercriminels malveillants qui cherchent à accéder aux informations les plus privées. En effet, le piratage de ces appareils intelligents ouvre une porte d’accès directe vers les informations personnelles les plus importantes des utilisateurs.

Cette menace étant bien réelle, voici quelques conseils aux utilisateurs afin de faire obstacle aux pirates avant qu’ils ne passent à l’action et à assurer la sécurité de leurs appareils domestiques intelligents.

Parallèlement à la popularité généralisée des appareils domestiques intelligents, une nouvelle tendance mise en place par les cybercriminels se développe. Elle consiste principalement à utiliser la technologie IoT pour espionner les entreprises. Ils peuvent également attaquer et diffuser des logiciels malveillants sur les réseaux domestiques. C’est pour cette raison que les utilisateurs doivent prendre conscience de cette réalité lorsqu’ils installent un système de maison connectée.

Bitdefender indique dans son dernier rapport que 55,73% des menaces réseau IoT impliquent des attaques par balayage de ports.

Les risques de la maison connectée

Contrairement à une violation de domicile classique, où les voisins vigilants peuvent s’en apercevoir et appeler la police, un hacker a l’avantage d’opérer en secret. En ayant accès aux informations privées, les acteurs malveillants sont en mesure de voler des informations sensibles ou – dans le pire des cas – de procéder à une usurpation d’identité qui peut avoir des répercussions financières. Lors du choix de produits et de gadgets intelligents qui permettent de se divertir, de s’instruire, de communiquer, les utilisateurs doivent également se renseigner sur les vulnérabilités exploitables par les hackers pour s’introduire dans leur intimité.

En raison de leur accès potentiel, les appareils intelligents qui fonctionnent en permanence tels que le thermostat, l’éclairage, la sécurité peuvent présenter plus de risques que ceux utilisés occasionnellement. Les cyberattaques sur les PC de bureau ou le routeur à domicile sont probablement les plus vulnérables, mais le salon et la chambre contiennent aussi un certain nombre de gadgets intelligents qu’un hacker expérimenté peut tenter d’exploiter. En effet, la télévision connectée, la tablette, les téléphones portables, les réveils, les montres, les moniteurs de sommeil et les logiciels de streaming peuvent également faire de la chambre à coucher un lieu relativement accessible aux pirates.

Le salon et la cuisine offrent également des interfaces qu’il est facile de négliger en matière de cybersécurité : téléviseurs connectés, tablettes, réfrigérateurs, machines à café, fours, etc…Par ailleurs, lors de l’évaluation des menaces potentielles, les utilisateurs doivent être d’autant plus vigilants concernant les jouets connectés des enfants, leurs tablettes ou les babyphones. Il faut garder à l’esprit que tout dispositif intelligent ou connecté peut constituer une ouverture pour les cybercriminels.

Le risque potentiel devrait raisonnablement attirer l’attention des utilisateurs une fois qu’ils auront compris que tous les appareils connectés ont une connexion directe à leurs smartphones, et même à l’internet. Grâce à cette prise de conscience, les utilisateurs devraient être à même de mieux comprendre l’ampleur exacte des efforts déployés par les hackers qui tentent de pénétrer dans le réseau interconnecté qui relie leurs appareils intelligents.

En tant qu’utilisateurs avertis, nombreux sont ceux à savoir que chaque appareil est doté d’un mot de passe par défaut. Néanmoins, ce qu’il est important de rappeler c’est que ce dernier doit être changé. Les utilisateurs doivent prendre le temps de modifier les mots de passe par défaut et veiller à créer des mots de passe longs et uniques, qui sont les plus à même de faire échouer toute tentative de déchiffrement.

Quelques conseils afin d’utiliser les appareils intelligents en toute sécurité

La création d’un deuxième réseau Wi-Fi dédié aux appareils intelligents peut nécessiter un coût supplémentaire pour les utilisateurs, ils en retireront des avantages considérables. « En effet, cela peut contribuer à empêcher toute intrusion sur un réseau distinct qui n’a pas accès aux informations personnelles et bancaires des utilisateurs, confirme Lam Son Nguyen, Partner Product Manager, Mobile and ISP chez McAfee. Et ces simples mesures peuvent également faire une différence significative dans la protection des systèmes domestiques intelligents« .

  • Effectuer des recherches approfondies sur la marque de l’appareil, et choisir celui qui a démontré son efficacité en matière de sécurité.
  • Actualiser le logiciel du produit. Il faut toujours configurer l’appareil pour qu’il se mette à jour automatiquement, si possible, afin d’être sûr d’utiliser la version la plus récente et la plus sûre du logiciel.
  • Renforcer les choix de mots de passe. La plupart des appareils sont équipés d’un mot de passe par défaut. Il faut prendre le temps de créer un mot de passe complexe et unique pour chaque appareil.
  • Choisir les paramètres de confidentialité qui conviennent le mieux aux utilisateurs, plutôt que de garder les autorisations générales fournies avec les appareils.
  • Débrancher tous les appareils intelligents lorsqu’ils ne sont pas utilisés.
  • Installer un logiciel antivirus intégré dans le cloud pour le routeur qui protège tous les appareils électroniques de la maison.
  • Rester protégé. Lors de la création du profil de sécurité de leur maison, les utilisateurs doivent comprendre qu’ils possèdent une propriété nécessitant de l’intérêt, des connaissances et, en fin de compte, de la sécurité. C’est pour cette raison qu’il faut garder une longueur d’avance en restant informé, afin de profiter des bienfaits de la maison intelligente !
Cybersécurité, Identité numérique

Cybersécurité : à l’approche des élections, mieux vaut prévenir que guérir

Guillaume Poupard, directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) place les élections comme un risque majeur de cyberattaques. Des présidentielles, aux sénatoriales, en passant par les municipales, les opportunités sont multiples pour les cybercriminels ; comme l’a indiqué récemment dans une interview, l’ex-faussaire et consultant du FBI, Franck Abagnale Junior, avec internet, la cybercriminalité est aujourd’hui sans frontières. Forts de l’expérience des élections de 2016 – 2017 ciblées par de nombreux pirates et face au risque que cela perdure, les Etats doivent plus que jamais redoubler de vigilance.

A l’approche des élections présidentielles américaines, le 3 novembre prochain, les avertissements de l’ANSSI sont plus que jamais à prendre au sérieux, et peuvent servir de piqûre de rappel pour celles à venir en France afin d’anticiper les potentielles menaces. Alors que les campagnes de désinformation font l’objet d’une grande attention en matière de sécurité en période électorale, le déni de service distribué (DDoS) peut entraver la disponibilité des informations. Cette situation peut se révéler tout aussi dangereuse, voire plus. Il existe deux temps où la disponibilité des informations est essentielle et durant lesquels une attaque pourrait mettre à mal l’élection : l’inscription en ligne des électeurs sur les listes et la publication des résultats des élections.

D’après le manuel du Center for Internet Security (CSI) sur la sécurité des infrastructures électorales, la possibilité d’accéder aux systèmes d’inscription des électeurs par internet a renforcé leur vulnérabilité face aux attaques à distance, destinées à manipuler ces systèmes. Les États-nations, par exemple, pourraient accéder aux bases de données d’inscription des électeurs et les compromettre afin d’empêcher les électeurs légitimement inscrits de voter le jour des élections — une pratique qui s’est par ailleurs déjà concrétisée. En France, les listes électorales sont désormais numériques et très surveillées. Cela permet d’éviter que l’élection soit décrédibilisée par des attaques qui supprimeraient des noms ou empêcheraient de correctement imprimer les listes. La maîtrise de ce type de menaces constitue une priorité absolue pour renforcer la résilience de ces composants en matière de sécurité.

La publication des résultats des élections le soir du scrutin constitue également un sujet de préoccupation. C’est la raison pour laquelle Google a souhaité protéger les candidats des dernières élections du Parlement Européen face à ces potentielles menaces, en donnant accès aux partis politiques à un package empêchant l’arrêt d’un site internet à la suite d’une attaque DDoS. Or, les cybercriminels pourraient aller encore plus loin, en obtenant par exemple l’accès aux systèmes de publication des votes le soir du scrutin, afin de modifier les résultats affichés ; ils pourraient ainsi faire du véritable vainqueur de l’élection, le perdant et saper ainsi la confiance des électeurs.

Les administrateurs doivent ainsi définir une stratégie d’atténuation des attaques DDoS en amont des élections afin d’en assurer la protection. Pour ce faire, il est important qu’ils évaluent le paysage des attaques de déni de service distribué de l’infrastructure électorale et élaborent un plan d’atténuation d’urgence. L’établissement de partenariats pérennes avec un fournisseur de services réseau et un spécialiste de la prévention DDoS permettra également de renforcer la sécurité des élections.

La protection de la démocratie passe avant tout par la protection des élections. Les motivations de telles attaques peuvent être diverses mais les Etats doivent partir du principe que les élections seront victimes de cyberattaques, afin de ne plus être pris par surprise. Il est donc plus que jamais essentiel qu’ils anticipent les menaces afin de garder une longueur d’avance sur les cybercriminels et ainsi protéger la voix des citoyens. (Philippe Alcoy, NETSCOUT)

Securite informatique

Livre blanc dédié au SOC

Avec la recrudescence des attaques informatiques et face au volume des données à traiter pour une entreprise, la cybersécurité est un enjeu essentiel pour toutes les entreprises peu importe leurs tailles.

Les outils traditionnels de sécurité ne sont plus suffisants pour se protéger contre une cyberattaque. La mise en place d’un SOC est essentiel.

La société Toulousaine iTrust, spécialiste de la cyber sécurité et de la protection via un SOC propose de se pencher sur cet outil devenu indispensable dans l’arsenal en charge de lutte contre les malveillances informatiques, qu’elles soient internes ou externes à l’entreprise. Quel type de SOC mettre en place au sein de son entité ? Quels sont les critères d’efficacité d’un SOC ? Quelles sont les composants essentiels d’un SOC ? A découvrir dans le livre blanc dédié au soc.

APT, backdoor, Cybersécurité

Tibet, OMS et diplomates dans le viseur du groupe de cybercriminels chinois APT TA413

Initialement connu pour ses campagnes contre la diaspora tibétaine, le groupe APT (Advanced Persistent Threat) associé aux intérêts de l’État Chinois, a montré une évolution de ses priorités ces derniers mois. Leur objectif ? Cibler des entités spécifiques pour des motifs économiques, des États pour des motifs politiques ou des organisations mondiales à but non lucratif. Contrairement à leur intention habituelle de cibler la communauté tibétaine, ces campagnes ont cherché à recueillir des renseignements sur les économies occidentales.

Depuis plusieurs mois déjà, la propagation mondiale du virus COVID-19 a entrainé un changement majeur dans le paysage de la menace. Les cybercriminels en profitent pour utiliser des leurres d’ingénierie sociale sur le thème de la pandémie et des recherches publiques ont révélé que plusieurs groupes APT ont adopté des leurres liés au COVID-19 au cours des derniers mois pour mener des campagnes d’espionnage.

En mars 2020, Proofpoint a observé une campagne de phishing imitant les directives de l’Organisation Mondiale de la Santé (OMS) sur la préparation au COVID-19 pour propager une nouvelle famille de malware surnommée « Sepulcher ». Cette campagne visait principalement des entités diplomatiques et législatives européennes, des organismes à but non lucratif et des organisations mondiales économiques.

Selon les chercheurs, on observe depuis juillet 2020 le retour d’un groupe APT avec des campagnes précédemment attribuées à l’acteur Chinois APT TA413. Une campagne de phishing datant de juillet 2020 ciblant les dissidents tibétains a notamment été identifiée, livrant la même souche de malware Sepulcher. En outre, les comptes de messagerie des opérateurs identifiés dans cette campagne ont été publiquement liés à des campagnes historiquement menées par le groupe Chinois APT TA413 ciblant la communauté tibétaine et diffusant le malware ExileRAT.

En se basant sur l’utilisation d’adresses d’expéditeurs connues du public, associées au ciblage des dissidents tibétains et à la livraison de la charge utile du malware Sepulcher, les chercheurs de Proofpoint ont attribué les deux campagnes à l’acteur APT TA413.

Il est clairement devenu indispensable de s’armer face à ces ennemis numériques. Les logiciels de sécurité, la formation, … ne peuvent être oubliés. Un antivirus pas cher ? L’important est d’en posséder un… à jour ! Qu’il se nomme Eset, Kaspersky, Gdata ou Bitdefender.

backdoor, Cybersécurité

La surveillance numérique par les services de renseignement : les États doivent prendre des mesures pour mieux protéger les individus

Dans une déclaration conjointe publiée ce jour, la Présidente du Comité de la « Convention 108 » du Conseil de l’Europe sur la protection des données, Alessandra Pierucci, et le Commissaire à la protection des données du Conseil de l’Europe, Jean-Philippe Walter, ont appelé les États à renforcer la protection des données à caractère personnel dans le contexte de la surveillance numérique effectuée par les services de renseignement, en adhérant à la convention du Conseil de l’Europe sur la protection des données, la « Convention 108+ », et en promouvant un nouvel instrument juridique international prévoyant des garanties effectives et démocratiques dans ce domaine.

« Les pays doivent s’accorder au niveau international sur la portée autorisée de la surveillance exercée par les services de renseignement, sur les conditions dans lesquelles elle s’exerce et selon quelles garanties, incluant le contrôle effectif et indépendant », ont-ils souligné. L’élaboration d’une nouvelle norme juridique pourrait se fonder sur les nombreux critères déjà développés par les tribunaux, dont la Cour européenne des droits de l’homme et la Cour suprême des États-Unis.

Citant l’arrêt de la Cour européenne de justice du 16 juillet 2020 sur « Schrems II », qui conclut que l’accord sur le « Bouclier de protection des données UE – États-Unis » ne fournit pas un niveau suffisant de protection des données à caractère personnel transférées de l’UE vers les États-Unis, en raison de garanties insuffisantes relatives aux droits de l’homme dans le contexte de l’accès aux données par les programmes de surveillance du gouvernement américain, la déclaration met en lumière que cette décision a des conséquences qui vont au-delà des transferts de données UE – États-Unis et offre l’occasion de renforcer le cadre universel de protection des données.

La déclaration rappelle le rôle que le traité modernisé de protection des données du Conseil de l’Europe, qui n’est pas encore entré en vigueur, pourra jouer en tant qu’accord solide juridiquement contraignant pour la protection de la vie privée et des données à caractère personnel au niveau mondial, notamment en ce qui concerne le flux transfrontière des données à caractère personnel.

Certes, la convention fournit déjà un cadre juridique international important pour la protection des données à caractère personnel, qui porte plus spécifiquement sur la nécessité d’un examen effectif et indépendant et d’une surveillance des restrictions à la protection des données à caractère personnel justifiées par des impératifs de sécurité nationale ou de défense ; toutefois, elle n’aborde pas explicitement et de manière exhaustive certains des défis posés au niveau international par les capacités de la surveillance de masse, ce qui nécessite la rédaction d’une nouvelle norme juridique internationale spécifique.

La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, connue également sous le nom de « Convention 108 », est le seul instrument international juridiquement contraignant dédié à la protection des données et de la vie privée qui soit ouvert à la signature de tous les pays du monde. Adopté en 1981, ce traité a été mis à jour en 2018 par un protocole, pas encore entré en vigueur, qui garantit que ses principes de protection des données sont toujours adaptés aux outils et pratiques actuels et renforce son mécanisme de suivi. À ce jour, 55 pays ont ratifié la « Convention 108 » et de nombreux autres pays du monde s’en sont inspirés comme modèle de leur nouvelle législation relative à la protection des données.

Cybersécurité, Justice

WhatsApp : des fraudeurs arrêtés aux Pays-Bas

Des escrocs passant par WhatsApp arrêtés aux Pays-Bas. Ils usurpaient l’identités de vedettes et membres de famille pour réclamer de l’argent.

Une vedette dans le besoin vous contacte sur votre téléphone portable. Elle vous demande de l’aide, elle a besoin d’argent. Votre fils, votre fille, vos parents … Voilà l’histoire qui a impacté des centaines d’utilisateurs de l’application de communication WhatsApp. L’outil proposé par Facebook déborde d’arnaques en tout genre, certaines ayant permis le piratage de smartphones.
Mais rare sont les escrocs cachés derrière ces piratages retrouvés et  arrêtés. Cinq d’entre eux ont été stoppés par les autorités judiciaires des Pays-Bas fin août. Les voleurs se faisaient passer pour des vedettes dans le besoin, mais aussi pour des membres de la famille de la cible contactée sur WhatsApp.
Le pot aux roses a été découvert après la plainte d’un éditeur de logiciel et d’une utilisatrice. Les pirates s’étaient fait passer pour le fils de la dame. Les pirates lui avaient réclamé de l’argent. L’arnaque, baptisée  « fraude de type enfant-dans-le-besoin« , est très courante. Les voyous cachés derrière ce piège, originaires de Rotterdam, sont âgés de 18 à 21 ans. Ils passaient par un hôtel pour lancer leurs communications malveillantes.
Les autorités ont réussi à les tracer et les arrêter.