Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

VPN

Augmentation des attaques de pirates informatiques contre les entreprises : Comment se protéger ?

Vous avez peut-être pris la résolution de renforcer votre cybersécurité en 2020, mais vous comprenez aussi que de nombreuses menaces à la cybersécurité échappent souvent à votre contrôle. Malgré tout, comme beaucoup de français, vous souhaitez probablement prendre des mesures pour protéger ce qui vous appartient, comme vos appareils, votre identité, votre vie privée en ligne, votre famille et votre domicile. C’est pourquoi il est judicieux de contribuer à la protection de vos appareils connectés à l’internet et de protéger vos informations personnelles sensibles.

En quoi les cyberattaques et les violations de données sont-elles différentes ?

Une cyberattaque se produit lorsque des cybercriminels tentent d’accéder illégalement à des données électroniques stockées sur un ordinateur ou un réseau. L’intention peut être d’infliger une atteinte à la réputation ou un préjudice à une entreprise ou à une personne, ou de voler des données précieuses. Les cyberattaques peuvent viser des individus, des groupes, des organisations ou des gouvernements.

Une violation de données est un type d’incident de sécurité. Elle se produit lorsque des informations sont consultées sans autorisation. Il peut s’agir d’informations personnelles telles que des numéros de sécurité sociale, des mots de passe et des numéros de comptes financiers. Les informations divulguées sont parfois vendues ou échangées sur le dark web et peuvent être utilisées pour commettre des crimes tels que le vol d’identité.

Adoptez des habitudes de cybersécurité intelligentes

Utilisez des mots de passe forts : Faites en sorte que vos mots de passe soient forts et uniques. Un mot de passe fort doit contenir 12 caractères au minimum, dont des lettres en majuscule et minuscule, des chiffres et des symboles spéciaux. Évitez d’utiliser le même mot de passe sur plus d’un compte.

Utilisez un VPN : Un réseau privé virtuel – mieux connu sous le nom de VPN – peut vous aider à vous protéger contre les menaces en ligne. Un VPN vous garantit la sécurité de vos données et l’anonymat en ligne. Cela se fait en créant un réseau privé à partir d’une connexion Internet publique. Essayez donc un logiciel VPN rapide pour Windows et vous allez bénéficier d’une connexion rapide et sécurisée. Vous êtes moins susceptible d’être attaqué par des inconnus que sur une connexion publique.

Restez à jour : Il est bon de se tenir au courant des cybermenaces, en partie parce qu’elles continuent d’évoluer. Se tenir au courant des nouvelles et des développements est un moyen de se préparer à réagir aux nouvelles cybermenaces.

Que dois-je faire pour me protéger avant une cyberattaque ou une violation de données ?

Il est judicieux d’acquérir de solides habitudes de cybersécurité pour se préparer à une cyberattaque ou à une violation de données. Des attaques et des violations à grande échelle peuvent se produire dans de grandes organisations, mais il est également important de sécuriser vos informations personnelles et vos réseaux. Voici trois mesures que vous pouvez prendre.

Protégez vos fichiers et vos appareils

Maintenez vos logiciels à jour : Gardez votre logiciel de sécurité, votre navigateur web et votre système d’exploitation à jour. Il est indispensable de télécharger les dernières mises à jour qui corrigent les bugs de sécurité que les cybercriminels pourraient utiliser pour atteindre vos informations personnelles.

Sécurisez vos fichiers : Vous pouvez choisir un ou plusieurs moyens de sauvegarder vos documents importants. Vous pourriez avoir recours à des disques durs externes, à des lecteurs flash, à des services de sauvegarde ou au « cloud ».

Cryptez vos appareils : Vous avez probablement des informations personnelles sensibles sur vos appareils, y compris les ordinateurs portables, les tablettes et les smartphones. Envisagez de crypter ces fichiers. Le chiffrement brouille le texte lisible, de sorte que seule une personne possédant la clé de déchiffrement peut y accéder et le lire.

Utilisez l’identification multifactorielle : L’identification multifactorielle (également appelée authentification à deux facteurs) peut empêcher les cybercriminels d’accéder à vos comptes. Prenez une mesure de sécurité supplémentaire pour activer l’authentification multifactorielle sur tout compte nécessitant des identifiants de connexion. Souvent, un code de sécurité sera envoyé sur votre smartphone pour compléter le processus de connexion.

backdoor, Chiffrement, cyberattaque

Faire face aux attaques de ransomware de type « Living Off the Land »

Les cyberattaques de type « living off the land » (ou LotL) constituent désormais l’une des menaces les plus redoutables pour les entreprises. La récente campagne de ransomware contre Kaseya n’est ainsi que le dernier exemple en date, dans lequel les cybercriminels ont utilisé les ressources technologiques de l’organisation contre elle. Ces types d’attaques procurent en effet aux cybercriminels deux leviers clés : l’accès et le temps.

Si ces attaques LotL ne se concluent pas toujours par un ransomware, les deux vont de plus en plus souvent de pair et sont aussi difficiles à évaluer qu’à prévenir. Une stratégie de protection efficace commence donc par une solide compréhension de ce qui constitue une attaque par ransomware LotL et des dommages qu’elle peut causer.

Dès 2017, les attaques de malwares sans fichier ont commencé à attirer l’attention du grand public après la divulgation de rapports faisant état d’infections de systèmes IT de plusieurs grandes organisations. Or, ces malwares sans fichier ont rendu possibles les attaques LotL. En éliminant la nécessité de stocker la charge utile malveillante dans un fichier, ou de l’installer directement sur une machine, les cybercriminels peuvent alors échapper aux antivirus, et aux autres outils traditionnels de sécurité des terminaux. Ils se déplacent ensuite latéralement dans l’environnement, en escaladant les privilèges et en dévoilant de nouveaux niveaux d’accès, jusqu’à ce qu’ils atteignent le but ultime : les systèmes, les applications et les bases de données contenant des actifs commerciaux essentiels, tels que les données clients, la propriété intellectuelle, les ressources humaines.

Malwares sans fichier

Pour se maintenir dans les systèmes sans être détectés, ces malwares sans fichier se font souvent passer pour un outil de confiance doté de privilèges et d’accès élevés. Cela permet aux attaquants de surveiller l’environnement, de récupérer des identifiants, en prenant tout le temps nécessaire. Il est extrêmement difficile d’identifier, et encore plus d’arrêter, ces attaques, surtout s’il s’agit d’un ransomware sophistiqué qui cible spécifiquement l’organisation. Pour y faire, il n’y a pas d’autre choix que de penser comme des attaquants, tout en gardant à l’esprit qu’une campagne n’est pas nécessairement identique à une autre. Le cheminement des attaques LotL n’est en effet pas linéaire. L’objectif est donc de déchiffrer l’environnement et de développer une approche fondée sur ce qui s’y trouve.

La plupart des attaques LotL suivent ainsi un schéma similaire : usurper des identités pour s’infiltrer dans un réseau d’entreprise, compromettre des systèmes, élever des privilèges et se déplacer latéralement jusqu’à obtenir l’accès aux systèmes sensibles nécessaires à l’exécution de l’attaque ou à la propagation du ransomware. Mais à chaque étape, il existe des possibilités divergentes qui rendent le suivi et l’anticipation de ces attaques très complexes. Les équipes IT doivent donc bénéficier des outils nécessaires pour décomposer les comportements et les indicateurs d’alerte à surveiller, lors des étapes critiques d’une attaque par ransomware LotL, et ce, afin d’accélérer la détection et de réduire l’exposition et les dommages.

Cependant, compte tenu du nombre de techniques éprouvées dont disposent les cybercriminels, il peut se révéler difficile de savoir comment traiter les points de vulnérabilité ou par où commencer. L’élaboration d’une stratégie de protection efficace contre les ransomwares exige des organisations qu’elles étudient les maillons de la chaîne d’attaque qui présentent les niveaux de risque les plus élevés et qu’elles les classent par ordre de priorité. Ainsi, une sécurisation des terminaux à plusieurs niveaux – combinant la défense par le moindre privilège, l’authentification forte des identités, la protection contre le vol d’informations d’identification, le contrôle des applications et le blocage des ransomwares – compliquera considérablement la tâche des hackers qui voudront s’introduire et maintenir leur présence. Car une fois qu’ils ont un pied dans le réseau informatique, il leur est facile de brouiller les pistes et d’intensifier leur action. (Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk)

Cybersécurité

Cybersécurité : les différences entre un VPN pour particuliers et entreprises

Aujourd’hui, avec l’augmentation du nombre de personnes qui travaillent à distance, mais aussi avec la nécessité de transmettre des informations par le biais d’un réseau externe ou interne, la question de la sécurité des réseaux est devenue une véritable priorité. Le VPN assure la sécurité entre les différents appareils connectés aux serveurs.

Choisir un VPN : l’utilité d’un comparateur en ligne

Le réseau virtuel privé ou un Virtual Private Network (VPN) permet aux entreprises comme aux particuliers d’accéder à un réseau sécurisé, surtout lorsqu’ils travaillent à distance. En effet, l’utilisation d’un réseau non sécurisé peut conduire au piratage des données sensibles d’entreprises ou aux données personnelles des utilisateurs. Les VPN permettent d’améliorer et de sécuriser le trafic entre l’utilisateur et le serveur. Ils offrent en outre la possibilité de contourner les blocages de certains sites ou réseaux sociaux dans certains pays en préservant l’anonymat des utilisateurs. Il existe plusieurs types de VPN, d’où l’utilité d’un comparateur de VPN avant de choisir celui qui correspond à vos besoins.

Le VPN entreprise pour lutter contre les phishings et l’espionnage

L’utilisation d’un VPN entreprise présente des différences avec celle d’un VPN particulier. En effet, il est important de rappeler qu’un VPN entreprise est destiné à protéger l’entreprise des piratages de données en les chiffrant. Un paramètre important dans un contexte où le télétravail a pris de l’ampleur avec la pandémie. Le VPN entreprise a pour objectif de protéger les données de l’entreprise contre les phishings. Si vous consultez vos comptes sur des réseaux sociaux, vous ne bénéficierez pas de la protection du VPN entreprise.

Le VPN particulier pour la préservation de la vie privée des usagers

Un VPN pour particulier est spécifiquement destiné à protéger la vie privée des utilisateurs contre les hackers. Ainsi, si vous travaillez depuis chez vous, les échanges entre votre ordinateur et le serveur de votre entreprise seront protégés par le VPN professionnel, tandis que les sites personnels que vous consultez le seront par un VPN particulier. La navigation privée et les données personnelles ne pourront être ni vues ni enregistrées par les fournisseurs de VPN, conformément au RGPD en vigueur.

Le VPN particulier gratuit pour un usage peu intensif

Le VPN particulier peut être gratuit tant que l’usage qui en est fait n’est pas trop intensif, que vous n’avez pas à manipuler une masse importante de données, et que vous n’avez pas besoin de connecter plusieurs appareils à la fois (cela est valable pour tous les appareils qui nécessitent une connexion, comme vos systèmes d’alarmes et de vidéosurveillance, la gestion de l’ouverture ou de la fermeture des portes, des volets…).

Le VPN d’entreprise pour une connexion optimale, et un meilleur contrôle

Un VPN professionnel fournira des services plus pointus. La vitesse de connexion est plus élevée, plus puissante, sans limite, au niveau de la bande passante. Plusieurs centaines d’employés seront connectés en simultané, où qu’ils se trouvent dans le monde. Les employés pourront alors accéder à une adresse IP unique. Par ailleurs, un VPN professionnel donnera la possibilité aux entreprises d’apposer un contrôle sur les connexions des salariés et d’en homogénéiser l’utilisation pour l’ensemble de l’entreprise.

Cybersécurité, Entreprise

Les cyberattaques de type DDoS prennent de l’ampleur en 2021 en France et en Belgique

Cloudflare, spécialiste de la sécurité, la fiabilité et la performance d’Internet vient de publier les tendances du second trimestre 2021 concernant les attaques DDoS. Ce panorama révèle que les cyberattaques envers les sites publiques ont augmenté de presque 500%.

Bien que la menace DDoS ne soit pas nouvelle, à partir du premier trimestre de 2021, les dernières attaques contre des sites et serveurs allant des établissements vinicoles, des équipes sportives professionnelles, des services de ferry et des hôpitaux l’ont fait passer du simple bruit de fond aux gros titres affectant notre vie quotidienne. En fait, les récentes attaques ont propulsé les ransomwares et les attaques DDoS au sommet du programme de sécurité nationale du président américain Biden.

Des attaques toujours plus puissantes

Plus de plus de 11% des clients Cloudflare qui ont été victimes d’une attaque DDoS au cours des 6 premiers mois de l’année 2021, ont reçu des menaces ou des demandes de rançons.

Cela représente 1 client sur 10. Des attaques qui s’expliquent notamment par l’importante part qu’a pris le numérique au sein de notre société afin de s’adapter à la crise sanitaire.

Un secteur public davantage ciblé

Les attaques DDoS visant les services aux consommateurs sont une fois de plus omniprésentes et ont augmenté de 684% par rapport au trimestre précédent. Les sites d’administrations publiques et de secteur public représentent le second secteur le plus ciblé avec des attaques DDoS HTTP qui ont augmenté de 491%.

L’hexagone n’est pas le seul dans ce cas, puisque l’on observe également cette tendance en Belgique avec plus de 200 organisations dont les sites web gouvernementaux et autres ont été touchés par des attaques DDoS.

Cette recrudescence des attaques envers le secteur public s’explique notamment par l’importance qu’on prit les services de santé ces dernières semaines dans la lutte contre la crise sanitaire.

La Chine reste le pays avec le plus d’activités DDoS provenant de l’intérieur de ses frontières – 7 requêtes HTTP sur 1 000 provenant de Chine faisaient partie d’une attaque HTTP DDoS ciblant des sites Web, et plus de 3 octets sur 100 ont été ingérés dans nos données. Les centres en Chine faisaient partie d’une attaque DDoS de la couche réseau.

Les données observées au deuxième trimestre de 2021 suggèrent que les organisations aux États-Unis et en Chine étaient les plus ciblées par les attaques HTTP DDoS. En fait, une requête HTTP sur 200 destinée à des organisations basées aux États-Unis faisait partie d’une attaque DDoS.

Les menaces émergentes comprenaient des attaques DDoS d’amplification qui abusaient du protocole Quote of the Day (QOTD) qui a augmenté de 123 %.

De plus, à mesure que l’adoption du protocole QUIC continue d’augmenter, les attaques sur QUIC augmentent également, enregistrant une énorme augmentation de la QoQ de 109 % au deuxième trimestre de 2021.

Le nombre d’attaques DDoS au niveau de la couche réseau dans la plage de 10 à 100 Gbit/s a augmenté de 21,4 %.

La société visée était Hypixel, un spécialiste US du jeu. Hypixel est resté en ligne sans temps d’arrêt ni pénalité de performances pour ses utilisateurs gamers, même sous une campagne d’attaque DDoS active supérieure à 620 Gbps.

DDoS et rançon

Les pirates se prétendant être « Fancy Lazarus », « Fancy Bear », « Lazarus Group » et « REvil » lancent à nouveau des attaques par ransomware et ransom-DDoS contre les sites Web et l’infrastructure réseau des organisations, à moins qu’une rançon ne soit payée avant un délai donné.

Dans le cas des menaces DDoS, avant la demande de rançon, une petite attaque DDoS est généralement lancée à titre de démonstration. L’attaque de démonstration se déroule généralement sur UDP et dure environ 30 à 120 minutes.

La demande de rançon est généralement envoyée aux alias de messagerie de groupe communs de l’entreprise qui sont accessibles au public en ligne, tels que noc@ , support@ , help@ , legal@ , abuse@ , etc. Dans plusieurs cas, elle s’est retrouvée dans le spam.

Dans d’autres cas, nous avons vu des employés ignorer la demande de rançon en tant que spam, augmentant le temps de réponse de l’organisation, ce qui a entraîné des dommages supplémentaires à leurs propriétés en ligne. (Rapport Cloudflare)

Cybersécurité, Entreprise

La sécurité des entreprises, un point essentiel à renforcer

En ce qui concerne la mise en place d’un programme mature de sensibilisation à la sécurité, l’argent n’est pas toujours le plus gros défi. Trop souvent, le véritable problème est le temps, car il n’y en a jamais assez. Cela a sans aucun doute été le cas pour beaucoup d’entre nous au cours de l’année écoulée, et c’est particulièrement vrai pour les défenseurs sur le front qui tentent de mettre en place des programmes de sensibilisation à la sécurité interne dans les entreprises du monde entier.

La sensibilisation à la sécurité est censée être une tâche essentielle, qui fait partie de leurs fonctions. Pourtant, selon des études récentes, de moins en moins de ces employés sont en mesure de consacrer le temps nécessaire au lancement et au fonctionnement efficace de ces programmes.

En effet, les conclusions du 2021 SANS Security Awareness Report (rapport 2021 du SANS sur la sensibilisation à la sécurité) doivent résonner comme un signal d’alarme pour toute organisation qui souhaite s’améliorer sur l’aspect humain du cyber-risque.

Les bénéfices d’une sécurité mieux appliquée

À partir d’une analyse détaillée des comportements de plus de 1 500 professionnels de la sécurité issus de 91 pays différents, le rapport du SANS Institute révèle que plus de 75 % des professionnels de la sécurité déclarent consacrer moins de la moitié de leur temps à la sensibilisation à la sécurité.

Accaparés par une multitude de demandes contradictoires, ces professionnels confirment qu’il n’y a littéralement pas assez d’heures dans la journée pour assumer leurs responsabilités en matière de sensibilisation à la sécurité. Par conséquent, la sensibilisation à la sécurité représente au mieux un travail à temps partiel de leur part.

Cela nous amène à la deuxième problématique la plus souvent signalée comme un obstacle à la capacité des entreprises à maintenir un programme mature de sensibilisation à la sécurité : le manque de personnel dûment certifié pour travailler sur le programme et le mettre en œuvre.

Enfin, le manque de budget a été identifié comme le troisième obstacle majeur qui empêche de nombreuses entreprises de mettre en œuvre une stratégie globale de sensibilisation à la sécurité.

Il est clair que de nombreuses entreprises ont encore des obstacles importants à surmonter en ce qui concerne leurs démarches de sensibilisation à la sécurité.

Heureusement, il existe quelques mesures clés que les organisations peuvent prendre pour accélérer leur programme.

D’abord, assurer les effectifs et les moyens

Pour combler ce fossé entre les aspirations et la réalité, le rapport du SANS indique que la clé du succès consiste à disposer d’au moins trois employés équivalents temps plein (ETP) chargés de gérer le programme de sensibilisation à la sécurité. Mais il est tout aussi important de s’assurer que ces rôles sont assumés par les bonnes personnes, disposant des compétences nécessaires.

En effet, les résultats de l’étude du SANS révèlent que trop souvent les responsabilités en matière de sensibilisation à la sécurité sont déléguées à du personnel aux antécédents très techniques, qui n’ont pas toujours les compétences nécessaires pour communiquer avec le personnel en des termes faciles à comprendre.

Pour optimiser la réussite du programme, les organisations doivent plutôt chercher à nommer des personnes qui, en plus d’être des cyberspécialistes compétents, maîtrisent les compétences interpersonnelles et non techniques nécessaires pour transmettre ou « vendre » efficacement les priorités stratégiques de l’organisation en matière de sécurité de façon pragmatique.

Ensuite, placer des responsables en modèles à suivre

Ces dernières années, la sensibilisation à la sécurité, qui était l’apanage des RH ou des équipes chargées des questions juridiques et de conformité, est devenue la principale préoccupation des directeurs informatiques. Toutefois, le rapport du SANS recommande de confier de plus en plus la responsabilité première de la sensibilisation à la sécurité et de la gestion de la confiance au responsable de la sécurité informatique (RSSI).

Chargé d’aider le conseil d’administration à comprendre les problèmes de sécurité potentiels et responsable de la gestion des cyberrisques de l’entreprise, le RSSI occupe une position idéale pour veiller à intégrer la sensibilisation à la sécurité dans la stratégie de sécurité générale. C’est pourquoi le SANS recommande que les programmes de sensibilisation soient gérés par une personne dédiée à plein temps qui fasse partie de l’équipe de sécurité et soit placée sous les ordres directs du RSSI.

Le message clé ici est que la personne chargée de la sensibilisation à la sécurité doit faire partie de l’équipe de sécurité et en être le prolongement, et ne pas être déconnectée des autres démarches de sécurité.

Les clés du succès

À la lumière des récents changements opérationnels rapides mis en œuvre en réponse à la COVID-19, l’investissement dans la sensibilisation à la sécurité est vital si les organisations renforcer l’efficacité de leur gestion du risque humain. Recruter un nombre suffisant de personnes, dotées des compétences appropriées pour mettre en œuvre le programme, n’est qu’un début.

Pour parvenir à des améliorations significatives, les membres du conseil d’administration doivent se faire les principaux défenseurs de leurs programmes de sensibilisation à la sécurité et prioriser un financement proportionné en regard des autres efforts déployés en matière de sécurité. Il sera ensuite essentiel de veiller à ce que des personnes suffisamment haut placées pour bénéficier d’une autorité et d’une connaissance réelles des priorités de sécurité les plus stratégiques de l’organisation assument la responsabilité finale de l’élaboration du programme en fonction des besoins de sécurité en constante évolution de l’entreprise. (Tim Bandos, RSSI chez Digital Guardian)

cyberattaque, Cybersécurité

Cyberattaques : l’immobilisation des entreprises coûte bien plus cher qu’on ne le pense

Il faudra s’y habituer, la digitalisation croissante amène avec elle son lot de problèmes et parmi ceux-ci se trouvent les cyberattaques. Leur puissance et leur structure varient selon la cible choisie mais la conséquence est identique pour toutes les victimes : une immobilisation totale ou partielle de l’appareil productif pour une durée indéterminée. S’en suit alors un véritable chemin de croix pour les structures qui cherchent à se remettre de ces attaques.

Cyberattaque : une méthodologie précise et difficilement détectable

A l’origine de telles attaques se trouve, encore et toujours, l’argent comme principale motivation. Qu’il soit réclamé via une demande de rançon ou obtenu par la revente de données entreprises, il est toujours au centre des préoccupations des hackers. Pour parvenir à leurs fins, ces derniers doivent donc déployer une stratégie qui nécessite parfois plusieurs mois de préparation selon la structure ciblée. Dans certains cas, les hackers cherchent à s’infiltrer très tôt et mettent leurs programmes en dormance via la technique de l’obfuscation. Ils peuvent ainsi effacer leurs traces et déclencher leur attaque quelques semaines/mois plus tard.

Au cœur de la méthodologie d’une cyberattaque, la première étape est celle de la reconnaissance, elle consiste à récupérer un maximum d’informations – mails, téléphones, noms – sur une ou plusieurs personnes de l’entreprise. Cette phase de social engineering permet de trouver un point d’entrée qui est, dans la majorité des cas, celui de l’email. Qu’il s’agisse d’employer la méthode du phishing, l’installation de malware ou en ayant recours aux arnaques au président, l’objectif, une fois à l’intérieur des systèmes d’informations, est d’effectuer des mouvements latéraux permettant aux hackers d’infiltrer et de toucher d’autres éléments du réseau de l’entreprise. L’attaque se déploie plus largement et capte ainsi davantage de données et paralyse les serveurs internes.

Une production durement et durablement touchée

L’un des premiers réflexes pour les entreprises est de couper leurs systèmes d’informations pour limiter la casse et éviter que l’attaque ne se propage davantage en interne. Un réflexe de survie qui leur permet d’organiser une riposte et d’accélérer le retour à une situation normale. Si les directions des systèmes d’information, pour les entreprises qui en disposent, sont sur le pied de guerre pour colmater les brèches, elles ne peuvent cependant que constater les dégâts causés.

Et ces derniers peuvent avoir un impact très important sur la production et la mener à son immobilisation pendant un certain temps. En témoigne la récente cyberattaque dont a été victime Colonial Pipeline, un important réseau d’oléoducs qui transporte près de 45% des carburants de la côte Est des Etats-Unis, et qui a provoqué un arrêt de l’approvisionnement durant plusieurs jours. Cela a généré des mouvements de panique au sein de la population qui ont eu pour conséquence des pénuries dans certaines stations essence. En fin de compte, la société a dû verser près de 4,4 millions de dollars de rançon aux hackers.

Des exemples comme celui-ci montrent qu’une immobilisation de la production, même de courte durée, peut entraîner de lourdes pertes financières pour les entreprises touchées par les cyberattaques ainsi que pour les acteurs de leur écosystème.

Prévention des cyberattaques : un défi humain

Dans un processus de retour à la normale, il est possible que certaines entreprises décident de payer immédiatement une rançon contrairement à d’autres qui tentent de contrer l’intrusion dans leur système d’information. Dans les deux cas, il n’est jamais tout à fait certain que ce type d’attaque ne se reproduise pas. Il est donc utile de s’assurer en interne qu’il existe une stratégie de prévention comme les plans de reprise d’activité (PRA) qui se déclenchent à la suite d’un sinistre. Cela revient également à investir dans des solutions de protection d’application ainsi que dans celles qui visent à détecter les attaques et à les bloquer en amont. En somme, Il ne s’agit pas de savoir si le système d’information sera touché, mais plutôt quand il le sera.

Malgré toutes les dispositions technologiques prises, de nouvelles attaques toujours plus puissantes et vicieuses parviendront à contourner les nombreux systèmes de sécurité mis en place par les entreprises. L’un des enjeux de ces prochaines années se situe donc au niveau de la prévention humaine. L’idée d’un firewall humain n’est possible que si les collaborateurs d’une entreprise sont formés à reconnaître les signes d’une cyberattaque. Cet aspect sera d’autant plus important que la transition digitale des entreprises s’est largement accélérée depuis la crise du Covid-19 et avec elle le nombre de cyberattaques qui a été multiplié par quatre entre 2019 et 2020 en France. Il est donc essentiel et urgent d’instaurer un système de responsabilité partagée qui permettra, à défaut d’atteindre le risque zéro, de préparer au mieux les entreprises à de futures attaques.

backdoor, Cybersécurité, Social engineering

CHARMING KITTEN : des pirates venus d’Iran

Alors qu’ils ciblaient en mars dernier les éminents chercheurs en médecine via des campagnes de phishing principalement aux États-Unis et en Israël, l’acteur malveillant TA453, qui serait affilié au gouvernement iranien, également connu sous les noms de CHARMING KITTEN et PHOSPHORUS, est de retour avec une nouvelle campagne de leurres par email.

Baptisée « SpoofedScholars », cette opération représente l’une des campagnes les plus sophistiquées de TA453 selon la société en cybersécurité Proofpoint. Cet acteur malveillant procèderait en usurpant des infrastructures légitimes et reconnues pour atteindre leurs cibles. C’est en initiant des campagnes d’emails malveillants que TA453 a pu obtenir illégalement l’accès à un site Web appartenant à une institution universitaire de renommée mondiale afin de récolter les identifiants des cibles victimes.

SpoofedScholars

Les attaques de TA453 sont toujours plus innovantes et complexes. La finalité de l’opération « SpoofedScholars » ? Dérober des informations qui seront ensuite détenues par l’IRGC (Corps des gardiens de la révolution iranienne). Pour le moment, rien ne prouve la réelle appartenance de ces pirates avec l’IRGC.

C’est après avoir établi une pseudo relation de confiance par le biais de nombreuses conversations, que TA453 a pu infiltrer les systèmes d’information de ses infrastructures cibles comme l’Université de Londres. En effet, TA453 fournissait dans ses échanges par emails, un « lien d’enregistrement » vers un site Web compromis hébergeant une page de collecte d’informations d’identification de la radio SOAS de l’Université de Londres.

Ce site de phishing, aux apparences trompeuses était en réalité configuré pour dérober une variété de données d’identification.

Sur la durée, TA453 a changé de tactique et a décidé de fournir le lien d’enregistrement phishing plus tôt et plus furtivement dans ses interactions avec ses cibles, rendant ainsi la phase de conversation non-nécessaire.

Bien qu’à l’heure actuelle cette campagne ait été démasquée et qu’une partie du groupe de TA453 ne semblent plus être actifs, la société estime avec une grande confiance que TA453 continuera d’usurper les universitaires du monde entier pour soutenir les opérations de collecte de renseignements de TA453 en faveur des intérêts du gouvernement iranien. Les universitaires, les journalistes et le personnel des groupes de réflexion devront redoubler de vigilance et vérifier l’identité des personnes qui souhaiteront échanger avec eux par mail pour des opportunités professionnelles.

Communiqué de presse, Justice

Plainte de France Digitale contre Apple auprès de la CNIL

La CNIL s’est reconnue compétente pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition de l’utilisateur.

Sans surprise pour l’association, s’agissant des éventuelles infractions au RGPD, en application du guichet unique, la CNIL a transmis pour instruction la plainte à son homologue irlandaise déjà saisie d’une plainte similaire. Cette transmission ne préjuge en rien du bien ou mal fondé de la plainte de France Digitale mais privilégie la compétence de l’autorité du lieu du principal établissement européen d’Apple. La CNIL retient néanmoins définitivement sa compétence pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition prévu à l’article 82 de la loi Informatique et Libertés, relatif notamment au droit
d’opposition de l’utilisateur d’un service de communication électronique.

Rappel du contexte

France Digitale représente près de 1800 start-ups et investisseurs du numérique français. En mars 2021, l’association a saisi la CNIL pour leur faire part d’un constat simple: les publicités personnalisées au bénéfice de la plateforme Apple sont aujourd’hui activées par défaut (voir sur le terminal en allant dans Confidentialité->Publicité). Il pourrait s’agir d’une atteinte manifeste, grave et répétée au RGPD et à la directive “e Privacy”.

C’était une première mondiale : jamais une association de startups n’avait ouvert de contentieux contre le géant de Cupertino.

Pour l’association, cette plainte vise à mettre en évidence l’inégalité de traitement que produit l’App Tracking Transparency (ATT). En effet, Apple a instauré une distinction entre les applications exploitées par des entreprises affiliées à Apple et les applications dites tierces. Ces dernières relèvent de l’ATT qui exige que leur utilisateur consente à la collecte et au traitement de leurs données. Les applications exploitées par des entreprises affiliées relèvent, elles, d’un ciblage publicitaire activé d’office sur le terminal, sans action de l’utilisateur.

Non contente d’instaurer une distorsion entre ces deux catégories d’applications, Apple semble heurter frontalement les règles du RGPD qui exigent, notamment, que la collecte et le traitement des données personnelles fassent l’objet d’un consentement exprès et spécifique. La présomption de consentement de l’utilisateur, caractérisée par l’activation d’office du suivi publicitaire, est susceptible de heurter le droit des données personnelles.

Instruction de la plainte par la CNIL

Par un courrier datant de fin mai adressé à l’association, la CNIL s’est reconnue compétente pour instruire la plainte de France Digitale.

Sans surprise pour l’association, s’agissant des éventuelles infractions au RGPD, en application du guichet unique, la CNIL a transmis pour instruction la plainte à son homologue irlandaise déjà saisie d’une plainte similaire.

A ce sujet, Benoist Grossmann, Co-Président de France Digitale et CEO Eurazeo Investment Manager, indique que “France Digitale va se rapprocher de l’autorité irlandaise pour suivre étroitement l’instruction. Celle-ci visera le non-respect par Apple des règles relatives au consentement en matière de données personnelles.”

Cette transmission ne préjuge en rien du bien ou mal fondé de la plainte de France Digitale mais privilégie la compétence de l’autorité du lieu du principal établissement européen d’Apple.

La CNIL retient néanmoins définitivement sa compétence pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition prévu à l’article 82 de la loi Informatique et Libertés, relatif notamment au droit d’opposition de l’utilisateur d’un service de communication électronique.

Perspectives contentieuses

Pour Benoist Grossmann, Co-Président de France Digitale : “Qu’une décision de sanction intervienne en Irlande et/ ou en France, un contentieux judiciaire pourra se déployer contre Apple devant les juridictions françaises. En effet, s’il apparaît que la violation du droit des données personnelles a causé un préjudice aux entreprises du numérique françaises, comme nos startups, ces dernières pourront en agir en responsabilité à l’encontre d’Apple.

Chiffrement, Cybersécurité, Fuite de données

Le ransomware Ryuk cible désormais les serveurs Web

Nouvelles conclusions sur les opérations stratégiques du groupe Ransomware-as-a-Service – Ryuk. Ryuk est un ransomware exclusivement utilisé dans des attaques ciblées – détecté comme Ransom-Ryuk –  il chiffre les fichiers d’une machine et demande un paiement en crypto-monnaie Bitcoin pour divulguer les clés utilisées lors du chiffrement. Les résultats dévoilent que ce nouvel échantillon Ryuk cible également les serveurs Web.

Le ransomware a pour la première fois été observé en août 2018 lors d’une campagne qui a ciblé plusieurs entreprises. L’analyse des premières versions du ransomware a révélé des similitudes et un code source partagé avec le ransomware Hermes – un malware vendu sur des forums clandestins, qui a été utilisé par de multiples acteurs malveillants.

Pour chiffrer les fichiers, Ryuk utilise une combinaison de chiffrement symétrique AES (256 bits) et asymétrique RSA (2048 bits ou 4096 bits). La clé symétrique est utilisée pour chiffrer le contenu du fichier, tandis que la clé publique asymétrique est utilisée pour chiffrer la clé symétrique. Lors du paiement de la rançon, la clé privée asymétrique correspondante est révélée, ce qui permet de déchiffrer les fichiers cryptés.

En raison de la nature ciblée du ransomware Ryuk, les premiers vecteurs d’attaque sont adaptés à la victime. Parmi eux, les plus courants sont : les emails d’harcèlement, l’exploitation d’identifiants compromis pour accéder à des systèmes à distance. À titre d’exemple, la combinaison d’Emotet et de TrickBot a souvent été observée dans les attaques de Ryuk.

Se protéger des ransomwares

Les équipes IT doivent être à l’affût de toutes traces et comportements en corrélation avec des outils de pentest open source tels que winPEAS, Lazagne, Bloodhound et Sharp Hound, ou des cadres de piratage tels que Cobalt Strike, Metasploit, Empire ou Covenant, ainsi que du comportement anormal d’outils non malveillants avec un double usage. Ces outils considérés légitimes (comme ADfind, PSExec, PowerShell, etc.) peuvent être utilisés pour l’énumération et l’exécution. Il faut également être attentif à l’utilisation anormale de Windows Management Instrumentation WMIC (T1047).

En examinant d’autres familles similaires de Ransomware-as-a-Service, l’équipe de recherche McAfee Entreprise a réalisé que certains vecteurs d’entrée sont assez courants chez les criminels du ransomware :

  • Le Spear Phishing (T1566.001) est souvent utilisé pour  s’insérer directement au sein d’un réseau. L’e-mail de phishing peut également être lié à une souche de malware différente, qui sert de chargeur et de point d’entrée aux attaquants pour continuer à compromettre le réseau de la victime. Ce phénomène a été observé dans le passé avec des programmes comme Trickbot et Ryuk ou Qakbot et Prolock, etc.
  • L’exploitation d’applicationgrand public (T1190) est un autre vecteur d’entrée courant, car les cybercriminels s’informent sur les dernières annonces (cyber)sécurité et sont toujours à l’affût d’une nouvelle tentative. Les entreprises doivent être rapides et diligentes lorsqu’il s’agit d’appliquer les mises à jour de solutions de sécurité. Il existe de nombreux exemples dans le passé où des vulnérabilités concernant des logiciels d’accès à distance, des serveurs web, des équipements de périphérie de réseau et des pare-feu ont été utilisées comme point d’entrée.
  • L’utilisation de comptes valides (T1078) a toujours été une méthode éprouvée par les cybercriminels pour s’immiscer au sein de différents réseaux. L’accès RDP faiblement protégé est un excellent exemple de cette méthode d’entrée.
  • Les Infostealers (logiciel malveillant) peuvent également obtenir des comptes valides en volant les identifiants sur l’ordinateur d’une victime. Les journaux d’Infostealer contenant des milliers d’identifiants peuvent être achetés par les criminels du ransomware pour rechercher des identifiants VPN et d’entreprise. C’est pourquoi, les organisations doivent absolument disposer d’un système robuste de gestion d’identifiants et d’authentification automatique des comptes utilisateurs.

Principales conclusions :

  • Le ransomware Ryuk est exclusivement utilisé dans des attaques ciblées
  • Le dernier échantillon cible désormais les serveurs web
  • La nouvelle note de rançon invite les victimes à installer le navigateur Tor pour faciliter le contact avec les acteurs malveillants
  • Après le chiffrement du fichier, le ransomware imprime 50 copies de la note de rançon sur l’imprimante par défaut.
Espionnae, Particuliers, Téléphonie

Le stalking, la malveillance amoureuse du 21e siècle ?

Une étude révèle que 61 % des adultes Français, âgés de 18 à 39 qui ont déjà été en couple, ont déjà stalké en ligne leur partenaire actuel ou leur ex.

Les résultats d’étude relative aux comportements d’harcèlement en ligne des consommateurs affiche des chiffres étonnant et inquiétant. Cette nouvelle étude met en lumière des différences générationnelles frappantes dans les tendances de cyberharcèlement des Français dans les relations amoureuses modernes. Plus de la moitié des Français de la génération Z et millienials (61 % des 18-39 ans) admettent avoir « stalké » en ligne leur ancien ou leur partenaire actuel, à leur insu, soit trois fois plus que les personnes de 40 ans et plus (18 %).

Traqueur né !

Près d’un tiers des Français (33 %) ayant déjà été en couple admet avoir « traquer » un ex ou un partenaire actuel en ligne en prenant de ses nouvelles à son insu et sans son consentement. Le plus alarmant ? 31 % des jeunes Français (18-39 ans) actuellement en couple estiment que leur partenaire est susceptible d’installer une application de stalking – autrement appelée « creepware » ou « stalkerware » – sur leur(s) appareil(s) pour surveiller ses activités numériques et passer en revue les textos, l’historique des appels téléphoniques, les messages directs, les e-mails et les photos. Ce chiffre est largement supérieur au pourcentage de Français âgés de 40 ans ou plus qui pensent la même chose (8 %). Parmi ceux qui ont admis avoir harcelé en ligne un partenaire actuel ou un ex , les principaux facteurs qui les auraient poussés à le faire, la curiosité (43 %) et le manque de confiance (30 %) se hissent en tête. 24% d’entre eux voulaient savoir avec qui ils étaient et 23% savoir ce qu’ils faisaient.

Les moins de 40, adepte du stalking ?

D’après Catherine Lejalle, chercheuse et sociologue sur les comportements des consommateurs en ligne « L’étude pointe des différences selon les âges et les genres. La pratique du stalking est plus forte chez les moins de quarante ans et chez les hommes. Or, elle s’inscrit dans un contexte sociétal où les valeurs phares sont la transparence et l’absence d’engagement. L’étude montre que les pratiques sont en dissonance avec les discours. Prôner la transparence et mettre en scène sa vie sur les réseaux sociaux permettent-ils de garder une part cachée en coulisses qui donne à l’autre le sentiment qu’on lui échappe ? Chanter la liberté et l’ouverture dans le couple est-il compatible avec le besoin ontologique de réassurance qui sommeille en chacun de nous ? L’étude suggère des réponses tranchées à ces deux interrogations. »

Ces nouvelles conclusions sont publiées dans le 2021 Norton Cyber Safety Insights Report (NCSIR). Réalisé en partenariat avec The Harris Poll, ce rapport a interrogé plus de 10 000 personnes dans 10 pays , dont 1 000 adultes Français, afin d’évaluer les habitudes en ligne des consommateurs et les domaines dans lesquels elles peuvent dévier vers le cyberharcèlement.

« Nous émettons des avertissements à l’intention de nos clients pour les prévenir de la présence d’applications de stalkerware potentielles sur leurs appareils. Notre dernière étude des menaces montre que l’utilisation de cette technologie invasive ne cesse de croître. Entre septembre 2020 et mai 2021, notre équipe de recherche a constaté́ une hausse de 63 % du nombre d’appareils infectés par des stalkerwares, soit l’équivalent de plus de 250 000 appareils compromis« , explique Kevin Roundy, directeur technique et spécialiste des stalkerwares au sein de la division de recherche de NortonLifeLock, Norton Labs.

Le stalkerware est une technologie disponible dans le commerce, qui peut être installée sur un appareil afin de surveiller l’activité à l’insu de l’utilisateur. Il faut généralement qu’une personne ait un accès physique à un appareil pour l’installer. Le stalkerware consomme la plupart du temps beaucoup d’énergie et de données et peut donc se faire remarquer en ralentissant les performances de l’appareil, en épuisant la batterie ou en augmentant la consommation de données. Si vous suspectez un stalkerware, il est indispensable de vérifier les paramètres et les autorisations de l’appareil pour vérifier si des applications inconnues ont accès à des éléments personnels tels que la localisation et le microphone, ou si des applications inconnues sont présentes sur l’appareil.

Inoffensif de stalker son partenaire ?

Les résultats du rapport démontrent qu’environ un tiers des Français âgés de 18 à 39 ans (31 %) estiment qu’il est inoffensif de stalker son partenaire actuel ou un ancien partenaire, soit deux fois plus que les Français de plus de 40 ans et plus qui sont de cet avis (15 %). Plus de la moitié des jeunes Français (52 %) cautionnent le stalking en ligne si l’un des partenaires ou les deux ont été infidèles ou sont soupçonnés de l’être et admettent qu’ils seraient plus susceptibles de stalker à leur tour un amant ou un ex s’ils savaient qu’ils ne se feraient pas prendre.(36 %). Il convient de noter que près de deux Français sur dix âgés de 18 à 39 ans et ayant déjà eu une relation amoureuse (17 %) admettent avoir utilisé les appareils ou les applications de santé de leur partenaire pour surveiller secrètement leur activité physique. On estime que 2,6 millions de personnes en France (5 % des adultes) ont utilisé un logiciel de harcèlement ou un logiciel de repérage, ce qui illustre l’ampleur du problème.

La familiarité avec le « stalkerware » ou « creepware » est faible. En France, 8 % en sont familiers, 23% en ont seulement entendu le nom et 68 % n’en ont jamais entendu parler, mais les jeunes adultes sont beaucoup plus susceptibles que leurs homologues plus âgés d’en être familiers (19 % chez les moins de 40 ans contre 3 % chez les 40 ans et plus). Consulter le téléphone de son partenaire (17%) et leur navigateur de recherche (15%) sont les formes les plus courantes de stalking en ligne chez les Français qui ont été en couple.

En France, les hommes sont presque deux fois plus susceptibles que les femmes d’utiliser des applications invasives pour espionner leur partenaire. 8 % des hommes qui ont été en couple ont utilisé un creepware ou un stalkerware pour surveiller le téléphone de leur ex ou de leur partenaire actuel, contre seulement 4 % des femmes. • À travers le monde2, le stalking en ligne est une pratique courante. 34 % des consommateurs ayant déjà vécus une relation amoureuse admettent avoir stalké leur ex ou leur partenaire actuel, et plus d’un tiers des Français (33 %) ont admis avoir adopté ce comportement.