Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Chiffrement, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Sécurisation des prothèses bioniques pour les personnes porteuses de handicap

Des experts en cybersécurité enquêtant sur les infrastructures cloud expérimentales utilisées pour les prothèses bioniques avancées ont identifié plusieurs failles de sécurité jusque-là inconnues, qui pourraient permettre à des tiers l’accès, la manipulation, le vol voire la suppression de données privées et d’autres éléments appartenant aux utilisateurs de ces appareils. Ces constatations ont été communiquées au fabricant Motorica, une start-up russe qui développe des prothèses bioniques de membres supérieurs destinées à des personnes en situation de handicap, afin que l’entreprise puisse remédier à ces problèmes de sécurité.

 L’Internet des objets ne se limite plus aux montres ou aux maisons connectées mais englobe également des écosystèmes complexes de plus en plus automatisés, notamment dans le domaine de la santé. A l’avenir, ces technologies pourraient ne plus servir uniquement à des équipements d’assistance, pour se généraliser et être utilisés par des consommateurs désireux d’étendre les pouvoirs ordinaires du corps humain grâce à un processus de cybernétisation.

Il importe donc que tout risque en matière de cybersécurité, susceptible d’être exploité par des acteurs malveillants, soit réduit au maximum par l’investigation et la correction des problèmes de sécurité touchant les produits actuels ainsi que les infrastructures sur lesquelles ils s’appuient.

Les chercheurs de Kaspersky Lab ICS CERT, en partenariat avec Motorica, ont entrepris d’évaluer la cybersécurité d’une solution logicielle de test pour une prothèse de main numérique conçue par la start-up russe. La solution elle-même est un système cloud distant, une interface permettant de suivre le statut de tous les équipements biomécaniques référencés. Ce système met également à la disposition des autres développeurs une palette d’outils pour analyser l’état technique d’équipements tels que des fauteuils roulants connectés ou encore des mains ou des pieds artificiels.

Les recherches initiales ont identifié plusieurs problèmes de sécurité, portant notamment sur une connexion http non sécurisée, des opérations incorrectes sur les comptes ou encore une validation insuffisante des informations saisies. En cours d’utilisation, la prothèse de main envoie des données au système cloud. A travers les failles détectées, un pirate pourrait :

  • accéder à des informations conservées dans le cloud à propos de tous les comptes connectés (notamment des identifiants et mots de passe en clair pour toutes les prothèses et leurs administrateurs) ;
  • manipuler, ajouter ou effacer des informations de ce type ;
  • ajouter ou supprimer leurs propres utilisateurs, normaux ou privilégiés (avec droits administrateurs).
  • « Motorica est une entreprise de haute technicité, fiable et socialement responsable, qui se donne pour mission de venir en aide aux personnes atteintes d’un handicap physique. Alors que l’entreprise se prépare à une phase de croissance, nous souhaitions l’aider à veiller à la mise en place des mesures de sécurité appropriées. Les résultats de notre analyse rappellent de manière opportune que la sécurité doit être intégrée dans les nouvelles technologies dès le départ. Nous espérons que les autres développeurs d’équipements connectés avancés accepterons de collaborer avec le secteur de la cybersécurité afin d’analyser et de corriger les failles de leurs appareils et systèmes, en traitant la sécurité des équipements comme faisant partie intégrante du développement », commente Vladimir Dashchenko, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.

« Les nouvelles technologies nous ouvrent un nouveau monde d’équipements d’assistance bioniques. Il devient aujourd’hui crucial pour les développeurs de ces technologies de collaborer avec les fournisseurs de solutions de cybersécurité. Cela nous permettra de rendre impossibles des attaques, même théoriques, contre le corps humain », conclut Ilya Chekh, CEO de Motorica.

APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

Un nouveau malware BabyShark cible les « Think Tanks » américains en charge de la sécurité intérieure

En février 2019, les chercheurs de l’Unité 42 au sein de Palo Alto Networks ont identifié des mails d’hameçonnage ciblé (spear phishing) envoyés en novembre 2018 qui contenaient un nouveau malware partageant la même infrastructure avec des playbooks(c’est-à-dire des feuilles de route listant les actions et les objectifs utilisés par un malware ou une famille de malware) associés aux campagnes nord-coréennes.

Ces mails étaient écrits comme s’ils émanaient d’un expert en sécurité nucléaire travaillant actuellement comme consultant pour des think tanks liés à la sécurité intérieure aux États-Unis. Ils ont été envoyés depuis une adresse publique avec le nom de l’expert et un sujet faisant référence au nucléaire nord-coréen. Ces messages avaient en pièce jointe un document Excel avec une macro infectée, qui ,quand elle était exécutée, menait à une nouvelle famille de malwares basée sur Microsoft Visual Basic (VB) que nous avons surnommé « BabyShark »

BabyShark est un malware récent. La version la plus ancienne que nous avons pu trouver dans des dépôts open source et nos propres jeux de données internes remontent à novembre 2018. Le malware se lance en exécutant à distance une requête HTML, qui peut être alors livrée au travers de différents types de fichiers comme des fichiers contenant des exécutables ou des documents malveillants. Babyshark extrait alors les informations du système vers un serveur C&C (Command and Control), se maintient au cœur du système et attend de nouvelles instructions de la part de l’opérateur.

BabyShark est utilisé pour une campagne limitée de spear phishing toujours en cours depuis novembre 2018. L’acteur derrière cette menace cherche clairement à glaner des informations liées à la sécurité nationale (américaine) en Asie du Nord-Est. Le soin apporté à la conception des mails d’hameçonnage et du camouflage laisse à penser que cet acteur connaît bien les cibles, et surveille de près les événements de cette communauté pour y récupérer les dernières informations. Sans pouvoir en être certains, nous pensons que l’acteur derrière BabyShark doit être en relation avec l’acteur (ou être le même groupe) qui a utilisé la famille de malwares KimJongRAT, et qui du moins partage des ressources avec l’acteur responsable de la campagne STOLEN PENCIL. Nous avons également remarqué des tests qui semblent indiquer que les attaquants travaillent sur de nouvelles versions d’exécutables pour envoyer BabyShark. Dans les prochaines campagnes, l’attaquant pourrait utiliser différentes méthodes pour déployer BabyShark.

Communiqué de presse, Cybersécurité, Securite informatique

Cyber-sensibilité, cyber-indiscipline et employés « fantômes », les entreprises doivent faire le tri

Les organisations ne protègent toujours pas correctement les accès à leurs données critiques, selon une étude CyberArk, conduite auprès de 1 000 employés britanniques. Il ressort que la moitié de ces derniers auraient accès à des informations sensibles, auxquelles seules des personnes habilitées devraient pouvoir accéder. Bien que la sensibilisation à la cybersécurité s’améliore dans les milieux professionnels, de mauvaises pratiques contribuent encore à la croissance des cybermenaces.

  • Près de la moitié (48 %) des employés ont, ou ont eu, accès à des documents financiers sensibles ;
  • 46 % ont pu accéder à des informations RH confidentielles ;
  • Près d’un tiers (29 %) ont, ou ont eu, un accès direct aux comptes en banque de leur entreprise ;
  • 37 % ont pu prendre connaissance des plans de recherche et développement (R&D) ou plans pour des nouveaux produits et services.

Ces chiffres démontrent que beaucoup plus d’employés que nécessaire accèdent à des informations sensibles, et que les organisations en général doivent absolument limiter la gestion des accès aux données sensibles, afin de mieux se protéger, ainsi que leurs clients.

Se méfier des « employés fantômes »

Comme démontré lors de récentes violations de données, le vol d’identifiants de connexion reste le moyen le plus courant et le plus efficace pour réussir une cyberattaque. Une approche laxiste de la protection des accès administrateurs – ou accès à privilèges – peut augmenter directement le risque d’une compromission de données. C’est pourquoi la gestion des privilèges est essentielle ; or, de nombreuses entreprises ne parviennent pas à verrouiller ces comptes clés, suite aux changements de personnel : un employé de bureau sur cinq (21 %) admet avoir quitté un emploi et gardé des identifiants donnant toujours accès à au moins un système confidentiel de l’entreprise (serveurs internes, résultats financiers ou bases de données RH). Ces employés « fantômes », soit d’anciens collaborateurs en possession d’informations de connexion professionnelles, peuvent alors accéder, sans autorisation, à des données sensibles de l’entreprise.

Pour Rich Turner, VP EMEA, chez CyberArk, « ces « employés fantômes » représentent une préoccupation majeure pour toute organisation. Non seulement, ils augmentent le risque de violation des données clés de l’entreprise en cas de cyberattaque ; mais ils offrent aussi la possibilité aux employés mécontents, ou aux entreprises concurrentes, de manipuler les données existantes, causant de graves dommages administratifs et financiers. Ces résultats sont symptomatiques des entreprises qui continuent de consacrer d’importantes sommes d’argent à la défense du périmètre, alors que l’approche la plus intelligente consiste à envisager l’inévitable – que les attaquants parviendront à s’introduire dans les systèmes – et à les empêcher de mettre la main sur les actifs et données sensibles. »

 Cyber-sensibilité vs cyber-indiscipline

Il ressort cependant que l’implication des employés s’améliore, montrant l’effet positif de la cyber-éducation, et l’espoir d’un avenir plus sûr pour les entreprises :

  • Près de quatre employés de bureau sur cinq (79 %) informeraient immédiatement le service informatique s’ils ouvraient une pièce jointe malveillante ;
  • Les trois quarts (75 %) exprimeraient leurs préoccupations s’ils ne comprenaient pas les communications de l’IT concernant la sécurité ;
  • Près des trois quarts (74 %) sont convaincus que leur équipe de sécurité protège efficacement l’ensemble de la société contre les menaces.

Une confiance qui contraste avec le comportement de nombreux employés, qui affichent toujours de mauvaises cyber-pratiques, avec un grand nombre de personnes qui continuent de dissimuler leur cyber-indiscipline à leurs collègues chargés de la sécurité – augmentant ainsi considérablement la vulnérabilité de leur entreprise :

  • Plus de la moitié (54 %) n’informent personne lorsqu’ils laissent leurs collègues utiliser leurs informations de connexion ;
  • 45 % des répondants déclarent télécharger des applications non-autorisées sur leur poste de travail à l’insu de leur service informatique. (CyberArk)
Communiqué de presse, Cybersécurité, Securite informatique

Forum économique mondial : il est temps d’apporter une réponse à la hauteur de la menace cybernétique !

Le rapport Global Risks Report 2019 du Forum économique mondial classe le vol de données et les cyberattaques parmi les cinq grands risques mondiaux qui risquent le plus de se concrétiser. La grande question qui se pose maintenant est de savoir comment les organisations vont réagir.

Les personnes sensibles devraient s’abstenir de lire le rapport annuel sur les risques mondiaux du Forum économique mondial. La 14e édition de ce rapport inclut une litanie de menaces existentielles, telles que les phénomènes météorologiques extrêmes et les catastrophes naturelles, qui pourraient considérablement perturber l’économie mondiale.

Cette année, les cinq principaux risques en termes de probabilité sont les phénomènes météorologiques extrêmes, l’échec de l’atténuation des changements climatiques et de l’adaptation à ceux-ci, les catastrophes naturelles, la fraude ou le vol de données et les cyberattaques.

En effet, la fraude et le vol de données et les cyberattaques sont deux des cinq principaux risques mondiaux les plus probables. En fait, c’est la troisième année consécutive que la fraude et le vol de données se classent parmi les cinq plus grandes menaces, et la deuxième année que la cyberattaque fait partie de la liste.

Le Global Risks Report 2019, créé en partenariat avec Marsh & McLennan Companies et The Zurich Group, est basé sur les résultats de l’enquête Global Risks Perceptions Survey, à laquelle participent 1 000 membres de la communauté du Forum économique mondial – composée de chefs de gouvernements, de dirigeants du secteur privé et d’universitaires – ainsi que des contributions d’experts du réseau mondial de l’organisation.

La cybersécurité s’est également hissée parmi les 10 risques mondiaux les plus importants en termes d’impact. Les cyberattaques et les défaillances au niveau des infrastructures et des réseaux critiques ont été classées au septième et au huitième rang pour les dommages potentiels qu’elles pourraient causer. Cela indique que les répondants ont conscience non seulement de la fréquence des cyberattaques, mais aussi du risque que ces incidents représentent pour notre économie numérique, et jusqu’à notre mode de vie. Ce classement reflète l’impact mondial qu’ont eu des incidents tels que WannaCry, Equifax et des centaines d’autres cyberattaques réussies sur notre conscience collective.

En fait, le cyber espace lui-même fait partie de ce que le rapport appelle les « biens communs mondiaux » qui ont besoin d’une protection particulière, au même titre que le climat, l’espace extra-atmosphérique et les régions polaires.

Pour tous ceux qui envisagent encore le futur avec sérénité après tout cela, le rapport comporte une section amusante intitulée « Chocs futurs », qui examine les effets à long terme de phénomènes comme l’informatique quantique, les outils de manipulation météorologique ou une rupture dans l »approvisionnement alimentaire. La section sur l’informatique quantique prédit que « quand les énormes ressources consacrées à la recherche quantique conduiront à l’utilisation de l’informatique quantique à grande échelle, beaucoup des outils qui forment la base de la cryptographie numérique actuelle seront rendus obsolètes. »

Cela ne surprendra pas les professionnels de la cybersécurité, mais il est toujours intéressant de prendre du recul et réfléchir un instant sur l’importance de notre travail quotidien dans ce contexte. Lorsque nous sommes pris dans le tourbillon du quotidien au travail, il est facile de perdre de vue l’importance réelle de la cybersécurité dans l’économie mondiale. Ce genre de mise en perspective est également pour expliquer en quoi le travail effectué sur la cybersécurité est important aux membres d’une organisation qui ne travaillent pas eux-mêmes dessus.

La grande question est de savoir comment les organisations vont réagir : l’acceptation des problèmes auxquels nous sommes confrontés est la première étape, mais la prochaine étape doit être l’action.

Nous devons tenir les dirigeants et les cadres supérieurs du monde entier garants d’une gestion responsable du risque cybernétique. En tant que société, nous devons l’exiger. En tant que clients, nous le méritons. La question ne doit plus être qui nous pouvons blâmer – des États-nations aux hackers – mais comment nous pouvons prévenir ces risques. Nous devons collectivement faire face à la réalité d’une économie numérique.

Tout est lié, ce qui signifie que chaque aspect du commerce et de l’industrie d’aujourd’hui est une accroche qui peut être utilisée pour une attaque potentielle. Nous devons élaborer des stratégies de sécurité pour faire face aux nouveaux risques créés par la transformation digitale. Ne pas le faire nous ferait prendre le risque d’événements aux conséquences irréparables. (Par Renaud Deraison, cofounder and CTO at Tenable).

Communiqué de presse, Cybersécurité, Securite informatique

La cybercriminalité est devenue la préoccupation n°1 des individus devant les agressions physiques

Selon l’étude SOS Cybercrime d’Affinion*, les mythes sur la cybercriminalité sont présents dans le monde entier. Un tiers de la population (35 %) croit, à tort, que le Wi-Fi public doit disposer d’une sécurité efficace, conformément à la loi (ce chiffre atteint 58 % en Turquie). De même, moins de la moitié de la population (46 %) sait que https:// signifie qu’un site internet est sécurisé (seulement 35 % en Suède et en Norvège) et un tiers de la population (33 %) n’est pas consciente que l’utilisation d’un même mot de passe pour plusieurs comptes augmente le risque de fraude. Ces informations sèment la confusion parmi les consommateurs et complexifient encore plus la lutte contre la cybercriminalité.

Le rapport, basé sur des recherches menées auprès de plus de 13 000 répondants dans 12 pays, révèle des lacunes majeures en matière de sensibilisation, ainsi que des inquiétudes à l’égard de la cybercriminalité. Le Brésil arrive en tête du classement mondial des pays les plus préoccupés par la cybercriminalité, suivi par les États-Unis (75 %) et l’Espagne (73 %).

Curieusement, les consommateurs sont davantage préoccupés par la cybercriminalité que par toute autre forme de criminalité – 61 % des consommateurs sont très ou légèrement préoccupés par la cybercriminalité, tandis que 52 % des personnes interrogées sont préoccupées par les crimes contre la propriété (par exemple les cambriolages), 54 % par la violence physique comme les agressions, et 45 % par la criminalité liée aux véhicules. Selon l’étude, la sensibilisation aux dangers de la cybercriminalité semble augmenter avec l’âge ; les personnes interrogées âgées de 18 à 24 ans étaient plus préoccupées par la violence physique que par la cybercriminalité, tandis qu’à partir de 35 ans, la cybercriminalité est considérée comme le risque le plus important.

Un tiers des personnes a déjà été victime, directement ou indirectement, d’usurpation d’identité. Les faux appels, liens envoyés par e-mail ou SMS, sont les formes les plus courantes de cybercriminalité (65 % de personnes concernées), suivis du piratage de comptes sur les réseaux sociaux ou d’adresses e-mail (56 % de personnes concernées), et des transactions financières frauduleuses (55 % de personnes concernées).

Les femmes sont plus particulièrement préoccupées que les hommes, toutes formes de criminalité confondues. La plus grande différence entre les genres concerne les fraudes relatives aux achats en ligne (67 % de femmes contre 59 % d’hommes), l’usurpation d’identité (68 % contre 60 %) et les transactions frauduleuses (69 % contre 61 %).

D’après l’étude, 70 % des personnes interrogées estiment que leur préoccupation s’accentue, car elles s’aperçoivent que le nombre d’incidents est en augmentation ; 46 % ont indiqué que c’était dû à une couverture médiatique plus importante du problème et 30 % parce qu’elles connaissent quelqu’un qui a été victime de cybercriminalité. Un tiers d’entre elles a indiqué se sentir plus vulnérable, car elles disposent de plusieurs comptes en ligne, et ressentir, par conséquent, une inquiétude accrue.

En ce qui concerne la lutte contre la cybercriminalité, un nombre impressionnant de personnes interrogées ne se sentent pas capables de se prémunir de la cybercriminalité (55%) et seulement 25 % estiment pouvoir résoudre un cybercrime. (étude)

A noter que le blog ZATAZ propose un service de veille concernant les données des internautes. ZATAZ surveille plus de 5 000 sites pirates et blackmarket, ce qui permet d’alerter sur des données volées/piratées dans la seconde de la découverte.

backdoor, Communiqué de presse, Cybersécurité, Securite informatique

Les tendances phares en matière de cybersécurité pour 2019

Du point de vue de la cybersécurité, l’année 2018 s’est révélée assurément riche en événements ! En mai, le RGPD est finalement entré en vigueur en Europe. Cette avancée a démontré que les instances dirigeantes prennent enfin au sérieux la protection des données personnelles de leurs citoyens. Les entreprises qui travaillent en Europe se trouvent soudainement confrontées à de nouvelles conséquences si elles ne parviennent pas à protéger leurs données sensibles, nous propulsant tous à l’étape suivante de la cybersécurité mondiale.

Par ailleurs, nous avons vu la cybersécurité occuper une place centrale dans le paysage géopolitique tandis que les conversations sur le piratage financé par l’état et les attaques ciblant des infrastructures critiques attisaient les tensions à travers le monde. La société McAfee nous en a récemment donné un exemple en révélant qu’une nouvelle opération de piratage organisé, « Sharpshooter », ciblait spécifiquement les fournisseurs d’infrastructures critiques dans les secteurs de l’énergie, de la finance et de la défense.

Dans les entreprises, une certaine crainte envers la cybersécurité se ressent parmi les décideurs, beaucoup d’entre eux citent la sécurité et la protection de la vie privée comme des facteurs empêchant la progression de leur transformation numérique. De récentes études montrent que 40 % des personnes interrogées ont mentionné les problèmes de sécurité comme un thème récurrent, 37 % évoquant également la protection de la vie privée.

Alors qu’une perspective morose semble ainsi se dessiner tandis que 2018 touche à sa fin, nous avons le temps de réfléchir à l’année écoulée et de commencer à préparer notre défense pour 2019, et au-delà. Pour vous aider à élaborer ces plans, voici quelques-unes des principales tendances en matière de cybersécurité que nous anticipons pour 2019 :

Les nouvelles réglementations influencent les politiques de protection des données

L’entrée en vigueur de nouvelles réglementations sur la protection des données, telles que le RGPD européen, influencera fortement l’année 2019. Même si le RGPD est une bonne nouvelle car il améliore la sécurité des données, il représente un défi majeur pour les entreprises. Par ailleurs, même s’il est déjà en place depuis quelques mois, les importantes pénalités prévues en cas de non-conformité ne verront probablement le jour qu’à partir de 2019. Les entreprises de toute taille doivent repenser entièrement leurs politiques de protection des données pour faire face à plusieurs séries de réglementations internationales sur la confidentialité des données, en constante évolution.

L’IA joue un rôle croissant dans la cybersécurité

L’intelligence artificielle (IA) a émergé comme l’une des technologies qui a le plus changé le monde ces dernières années. En réalité, la valeur générée par les activités dérivées de l’IA atteindra presque 3,9 trillions de dollars d’ici 2022, selon Gartner. Cependant, cette technologie pourrait également être utilisée par des pirates informatiques pour lancer des attaques de plus en plus sophistiquées. La bonne nouvelle est que l’IA peut aussi être mise à profit par les entreprises pour identifier et contrer de telles menaces. Par exemple, des plateformes de prédiction des cyberattaques, basées sur la technologie de l’apprentissage automatique (Machine Learning), peuvent aider les chercheurs en sécurité à trier les menaces et à traiter les plus urgentes aussi rapidement que possible.

Les compétences en cybersécurité sont de plus en plus demandées

Les compétences requises pour traiter les cybermenaces, qui changent constamment, doivent évoluer et les entreprises doivent relever le défi afin de garder l’avantage. Cependant, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité sur le marché du travail. Selon un rapport récent de l’organisation International Information System Security Certification Consortium, ou (ISC)2, il existe 2,9 millions de postes vacants dans le domaine de la cybersécurité, ce qui représente une augmentation considérable par rapport au 1,8 million enregistré l’année précédant le rapport. Avec un nombre croissant d’entreprises s’engageant dans la transformation numérique, une attention accrue sera apportée à cultiver les compétences requises en cybersécurité au sein de la main d’œuvre existante et à recruter plus de spécialistes.

La prévention cède le pas à la résilience

En 2019, nous continuerons de nous éloigner de la prévention pour nous concentrer sur la résilience pour tout ce qui concerne les failles de sécurité. Il n’est plus possible d’éviter complètement ces menaces. Il faut donc se concentrer désormais sur l’identification de ces failles afin d’y remédier le plus rapidement possible. Les ressources jusqu’alors tournées vers la prévention des cyberattaques continueront d’être réattribuées à la protection, en 2019 et après.

La technologie IoT au cœur de la sécurité nouvelle génération

La technologie de l’Internet des Objets (IoT) devenant de plus en plus répandue, l’enjeu de la protection des données clients sensibles se complexifie considérablement. Les fabricants et les fournisseurs de services doivent s’assurer que leurs appareils, plateformes et logiciels garantissent un certain niveau de sécurité à leurs utilisateurs. La technologie IoT est largement utilisée non seulement pour le matériel de consommation, tel que les appareils de domotique, mais également dans les secteurs de la fabrication et du commerce de détail, ce qui fait de la sécurité une priorité. L’essor de l’IoT contribue à favoriser le développement de cadres de sécurité nouvelle génération. Ceux-ci peuvent être adaptés pour prendre en charge les technologies émergentes et les nouvelles menaces de sécurité au fur et à mesure qu’elles se développeront. Mieux encore, les données générées par les appareils IoT pourront également aider à détecter les failles de sécurité.

Les entreprises de toutes tailles sont la cible de cybercriminels

Alors que les grandes entreprises sont clairement une cible privilégiée des cyberattaques majeures, quelque 58 % des victimes de violation de données sont en réalité des petites entreprises, selon un rapport Verizon. Avec un budget sécurité moindre, les petites entreprises peuvent être considérées par les pirates informatiques comme des proies faciles, leur offrant un profit élevé pour des efforts minimums. Les cybermenaces les plus fréquentes sont les rançongiciels, les attaques par déni de service (DDoS) et les logiciels malveillants. Selon le rapport, des données à caractère personnel ont été compromises dans 36 % des cas de violation de données l’année dernière, ce qui souligne l’importance de la protection contre de telles attaques. Le rapport indique que le secteur de la santé a été le plus touché par les cyberattaques tandis que les atteintes dans le secteur de la finance ont chuté, suite à des investissements massifs dans la cybersécurité. (Srinivasan C.R., Chief Digital Officer, Tata Communications)

Communiqué de presse, Cybersécurité, Securite informatique

La technologie PAM au service des cyber-investigations et de la remédiation en 2019

Nul ne veut être amené à devoir gérer un incident de sécurité ou une compromission, encore moins en tout début d’année ! La priorité absolue devrait être de pouvoir bloquer une cybermenace avant qu’elle compromette l’entreprise. Mais dans la réalité, il n’est quasiment jamais possible de prévoir une cyberattaque. De la recherche de menaces aux investigations pour détecter des indicateurs de compromis (IoC) manifestes, la procédure à suivre pour identifier un incident ou une compromission est bien connue. Si les processus varient d’une entreprise à une autre, les malwares, les comptes compromis, les mouvements latéraux, etc. doivent tous faire l’objet d’un plan de nettoyage formel.

Si un cas de compromission est suffisamment grave (par exemple, la compromission des contrôleurs de domaine), les entreprises n’auront d’autre choix que de réinstaller tout l’environnement en entier. Certes, c’est le pire scénario, mais il se produit parfois. Souvent, les entreprises choisiront de nettoyer à fond les serveurs du mieux possible plutôt que d’effectuer une réinstallation complète. C’est une décision interne basée sur le risque, la faisabilité et le coût. Et ce scénario est vain si la menace est persistante et qu’elle emploie des techniques lui permettant de contourner les mesures d’identification traditionnelles. Si vous pensez que c’est de la science-fiction, étudiez les menaces comme rootkits, Spectre et Meltdown qui prouvent qu’il y a toujours un moyen d’attaquer une ressource technologique. Sans parler des spams envahissant. Ils peuvent d’ailleurs se contrer avec des outils tels qu’Altospam.

Les criminels en ont après vos identifiants

Quelle que soit votre stratégie corrective, vous pouvez être certain que, d’une façon ou d’une autre, ceux qui emploient les vecteurs de menace auront accès à vos identifiants. Ceci implique de ne jamais réutiliser des mots de passe ou clés préexistants dans votre travail de nettoyage. Si possible, modifiez (lancez la rotation) tous les identifiants de toutes les ressources affectées ou reliées à ces dernières. C’est là qu’intervient la gestion des accès privilégiés ou Privileged Access Management (PAM). L’étape de nettoyage ou de redéploiement doit être protégée de la réutilisation d’un ancien mot de passe ou du fait qu’un criminel puisse regagner sa présence persistante en raison d’une mauvaise gestion des identifiants dès le début des efforts de remédiation.

La gestion des mots de passe est un aspect central d’une stratégie PAM. Elle inclut l’intégration automatique, la rotation, la gestion des sessions, le reporting et les étapes de check-in et check-out des mots de passe conservés dans un coffre-fort. Si l’on utilise surtout la technologie PAM pour les mots de passe privilégiés, comme ceux des comptes admin, root, de service ou DevOps, elle peut aussi servir de solution selon le principe du moindre privilège pour supprimer les droits administratifs d’applications et de tâches. Ainsi, les utilisateurs n’auront plus besoin d’un compte admin secondaire pour effectuer leurs tâches.

Le rôle de la technologie PAM dans le nettoyage post-compromission

Cela étant dit, en quoi la technologie PAM est-elle utile pour nettoyer les compromissions de sécurité ? Lors d’un incident ou d’une compromission de sécurité, vous devez d’abord mener des investigations sur ce qui suit :

  • Déterminez quels comptes ont été compromis et utilisés pour obtenir l’accès et pour opérer un mouvement latéral.
  • Déterminez la présence et les ressources de tous les comptes compromis et ceux y étant reliés. Par exemple, le même compte compromis sur l’actif X ou l’application Y est également utilisé sur les actifs A, B et C pour les applications D, E et F afin qu’ils puissent communiquer.
  • Identifiez et purgez tous les comptes illicites ou irréguliers créés par le criminel à l’origine de la menace.
  • Identifiez et supprimez ou segmentez tout élément dit de « shadow IT », de l’IoT ou toute autre ressource faisant partie de la chaîne de la cyberattaque pour vous protéger de menaces ultérieures.
  • Analysez les comptes qui ont été compromis et déterminez le niveau minimum de privilèges nécessaire pour pouvoir exécuter les fonctions. La plupart des utilisateurs et des comptes système n’ont pas besoin de comptes root ou admin locaux ou couvrant tout un domaine.
  • Analysez comment les données ont été utilisées et rendues accessibles par l’agresseur lors de la compromission. Est-ce que des données révélatrices d’indicateurs de compromis (IoC) ont été capturées lors de l’utilisation abusive du compte privilégié ? Si des données ont effectivement été capturées, est-ce que cela aide à identifier la menace ? Faute de données capturées, déterminez ce qu’il faut changer pour surveiller de prochaines utilisations abusives des comptes privilégiés. Ceci inclut l’usage qui est fait des comptes privilégiés, ainsi que la surveillance de session et l’enregistrement de frappe, si nécessaire.

Cette analyse n’est pas triviale. Il faut se doter d’outils pour découvrir les comptes, identifier les ressources, déterminer les schémas d’usage et, surtout, repérer les abus potentiels. Même si toutes les données des logs sont envoyées à un système SIEM (Security Information and Event Management), il faut une étape de corrélation ou d’analyse du comportement des utilisateurs pour répondre à ces questions.Une fois que vous avez mené l’investigation initiale, voici cinq manières dont une technologie PAM peut vous aider après une compromission et qui font qu’elle devrait être considérée comme centrale dans vos efforts de nettoyage :

  1. Après l’étape de découverte, intégrez automatiquement vos comptes privilégiés et instaurez des mots de passe uniques et complexes en leur imprimant une rotation automatique. Vous vous assurez ainsi qu’une présence persistante ne puisse pas exploiter vos comptes compromis.
  2. Pour tous les comptes reliés, utilisez votre solution PAM pour programmer de façon régulière leur rotation, y compris pour les comptes de service. Ainsi, les comptes sont synchronisés et potentiellement isolés d’autres formes de réutilisation des mots de passe.
  3. Si cela est possible, supprimez tous les comptes privilégiés inutiles jusqu’au PC. Ceci vaut pour les comptes admin secondaires associés à une identité. Pour toute application, commande ou tâche qui requiert des droits admin, envisagez le modèle du moindre privilège qui élève l’application, et non l’utilisateur, à exercer la gestion privilégiée.
  4. Avec la technologie PAM, recherchez les IoC qui suggèrent un mouvement latéral, émanant de commandes ou d’un comportement irrégulier de l’utilisateur. C’est une portion critique de la chaîne de cyberattaque où la technologie PAM peut être utile pour identifier si des ressources ont, ou non, été compromises.
  5. Le contrôle d’application est l’une des meilleures défenses contre les malwares. Il s’agit de rechercher les applications de confiance qui sont vulnérables aux menaces en se servant de différentes formes de services basés sur la réputation. La technologie PAM peut ici aussi être utile. Décidez d’exécuter une application en vous fondant sur la confiance et les risques connus avant de l’autoriser à interagir avec l’utilisateur, les données, le réseau et le système d’exploitation.

La gestion des accès privilégiés ne doit pas se résumer aux nouveaux projets et aux systèmes hérités pour bloquer les vecteurs d’attaques privilégiées. On peut penser au phishing. On doit l’envisager également pour les besoins de forensics et de contrôle de la remédiation après un incident ou une compromission. La technologie PAM aidera à empêcher un criminel de s’emparer de ce qui est le plus à sa portée dans votre entreprise : une mauvaise gestion des mots de passe et des identifiants.

Comme meilleure pratique de sécurité, l’accès privilégié doit toujours être limité. Quand un vecteur de menace s’empare d’identifiants admin ou root, il s’empare des clés de votre royaume. L’objectif est de l’empêcher d’y parvenir et de reprogrammer fréquemment les comptes avec des mots de passe : ainsi, même s’il vole un mot de passe, il ne pourra en faire qu’un usage limité et toute tentative d’utilisation abusive sera surveillée. Après un incident ou une compromission, c’est donc une aide précieuse pour atténuer toute présence persistante et une méthodologie tout aussi précieuse dans le processus de nettoyage et pour la pérennité de votre système. (Par William Culbert, directeur Europe du Sud de BeyondTrust)

Antivirus, Argent, Arnaque, Chiffrement, Communiqué de presse, cryptolocker, Cyber-attaque, Cybersécurité, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Securite informatique

Déchiffrer les nouvelles versions de GandCrab

Europol, la police roumaine, plusieurs autres organisations policières et privées publient un nouvel outil de déchiffrement pour les dernières versions du ransomware GandCrab.

 Europol, l’agence Roumaine DIICOT (Direction des enquêtes sur le crime organisé et le terrorisme) et plusieurs organisations policières et privées, dont Bitdefender, proposent une nouvelle version de l’outil de déchiffrement mis à disposition des victimes de GandCrab, pour lutter contre les dernières versions du ransomware. GandCrab est à ce jour reconnu comme étant l’une des familles de ransomware les plus prolifiques et les plus dangereuses du monde.

Le nouvel outil de déchiffrement permet aux victimes de retrouver l’accès à leurs propres données sans payer de rançon aux cybercriminels. En plus des versions 1, 4 et des premières versions 5, le nouvel outil s’attaque maintenant aux infections par les versions 5.0.4 à 5.1 – les plus récentes utilisées par les cybercriminels diffusant GandCrab.

L’outil précédent a déjà été téléchargé plus de 400 000 fois, aidant près de 10 000 victimes à économiser plus de 5 millions de dollars en frais de déchiffrement. Depuis son émergence en janvier 2018, GandCrab a infligé des centaines de millions de dollars de pertes dans le monde.

GandCrab Familly

La famille de ransomware GandCrab a été extrêmement active au cours de la dernière année, surpassant les autres familles de ransomware en popularité et en viralité.

L’année dernière, certaines versions de GandCrab ont commencé à attaquer des organisations via des instances de Remote Desktop Protocol exposées ou en se connectant directement avec des identifiants de domaine volés. Après s’être authentifié sur un PC compromis, les attaquants lancent manuellement le ransomware et lui demandent de se répandre sur tout un réseau. Une fois le réseau infecté, les attaquants effacent leurs traces et contactent ensuite la victime avec une offre de déchiffrement. Depuis fin 2018 et début 2019, GandCrab a radicalement transformé son mécanisme de diffusion, ses opportunités d’affiliation et amélioré sa résistance à la plupart des solutions de cybersécurité.

Pour prévenir les infections des logiciels de rançon, les utilisateurs doivent mettre en œuvre une solution de sécurité avec des défenses anti-ransomware en couches, sauvegarder régulièrement leurs données et éviter d’ouvrir les pièces jointes fournies avec les messages non sollicités. Il ne faut pas céder aux exigences des opérateurs de ransomware, notamment GandCrab et penser à sauvegarder l’information chiffrée et aviser la police immédiatement.

Actions de GandCrab

D’abord, après son lancement sur une machine attaquée tournant sous Microsoft Windows, GandCrab! peut recueillir des informations sur les processus en cours des logiciels antivirus. Il vérifie en premier lieu sa présence sur la machine, puis force l’arrêt des processus logiciels selon une liste définie par le malveillant utilisateur. Il installe une copie de lui-même sur le disque et modifie une branche du Registre Windows pour assurer son lancement automatique.

Ensuite, le Trojan chiffre le contenu des disques fixes, amovibles et de réseau, à l’exception de certains dossiers dont quelques dossiers système et service. Chaque disque rendu illisible dans un thread différent. Après la fin du chiffrement, le Trojan envoie au serveur des données sur le nombre de fichiers chiffrés et sur le temps mis pour le chiffrement.

Pour conclure, le nouvel outil de décryptage est disponible immédiatement et peut être téléchargé gratuitement sur No More Ransom Project.

Communiqué de presse, Cybersécurité, Securite informatique

YesWeHack lève 4 millions d’euros et entend révolutionner le marché de la cybersécurité en Europe

YesWeHack, la première plateforme européenne de Bug Bounty annonce aujourd’hui une levée de fonds de 4 millions d’euros auprès d’Open CNP, programme de corporate venture de CNP Assurances, et de Normandie Participations. L’opération a pour objectif de renforcer le développement de l’entreprise en France et d’accélérer sa présence à l’international, notamment en Europe et en Asie.

Fondé en 2013, YesWeHack propose aux entreprises une approche innovante de la cybersécurité, grâce au Bug Bounty (récompense à la vulnérabilité), en mettant en relation plus de 7 000 experts en cybersécurité (hackers éthiques) répartis dans 120 pays, et des entreprises pour sécuriser leurs périmètres exposés et rechercher les vulnérabilités (bugs) de leurs sites web, applications mobiles, infrastructures et objets connectés.

Avec cette levée de fond, YesWeHack entend jouer un rôle décisif dans la révolution que constitue le développement en Europe d’une approche agile de la sécurité, accélérateur de la transformation digitale. Le Bug Bounty participe ainsi à la tendance DevSecOps (développement-sécurité-opérations), pour intégrer la sécurité des systèmes de façon plus proactive, dès la genèse des projets.

YesWeHack étoffe son conseil stratégique avec l’arrivée de Laurent Seror, président d’Outscale, Eric Leandri, PDG de Qwant, Charles Beigbeder et Jonathan Denais d’Open CNP.
Avec cet investissement, CNP Assurances poursuit ses objectifs d’investissements et de partenariats avec des start-up innovantes en réalisant ainsi le 7èmeinvestissement d’Open CNP, son programme de corporate venture. Créé en 2016, il a pour objectif d’accompagner financièrement la croissance de start-up innovantes tout en développant avec elles des solutions avancées dans des domaines porteurs : fintech, assurtech, e-santé et autres technologies, lui permettant de mieux servir ses clients. CNP Assurances est depuis juillet 2018 utilisateur de la plateforme YesWeHack et a mis en place son programme de Bug Bounty.

Normandie Participations participe au dynamisme du territoire aux côtés des autres acteurs locaux du financement. Sur un principe de co-investissement avec des acteurs privés, Normandie Participations, doté d’un capital 100 % Région Normandie, s’adresse aux entreprises dans les champs de l’amorçage, l’innovation, le développement, la création, la transmission et le rebond. Le fond régional a réalisé 38 participations pour 30 M€ d’investissements en un peu plus de 2 ans.

backdoor, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Sauvegarde, Securite informatique

Cybersécurité : la DGSI communique sur l’ingérence économique

2 commentaires

La Direction Générale de la Sécurité Intérieur, la DGSI (ex. DST), vient de publier un flash évoquant l’ingérence économique dont des sociétés françaises sont régulièrement victimes. Les chasseurs d’espions de la République reviennent sur plusieurs exemples qui additionnent malveillances, mails et informations d’entreprises emportées par des sous-traitants.

Dans son flash du mois de février 2019, la Direction Générale de la Sécurité Intérieur (DGSI) montre du doigt un problème récurent qu’il est possible de croiser dans de nombreuses sociétés : les consultants extérieurs. « De nombreuses entreprises ont recours à des consultants externes à l’entreprise aux fins de sous traiter des missions de conseil dans des domaines spécifiques (ressources humaines, management, finances, RSSI, réorganisation, etc.). » indique la DGSI. Les missions de ces consultants peuvent parfois se dérouler au sein de sociétés stratégiques ou innovantes. « Certains consultants, totalement intégrés aux équipes et présents au sein de l’entreprise pendant plusieurs mois, voire parfois plusieurs années, peuvent néanmoins avoir accès à des informations sensibles, induisant une potentielle vulnérabilité pour le patrimoine informationnel de la structure hébergeante« .

Sous-traitants malveillants !

Parmi les exemples, une entreprise spécialisée dans le transport de matières premières qui découvre qu’un ingénieur consultant, prestataire pour le compte d’une société de conseil, avait exfiltré des données confidentielles portant sur des technologies innovantes. Un autre cas, un téléphone portable volé au sein d’une unité à accès réglementé d’une grande entreprise française. Dans le smartphone, une carte « micro SD » contenant des informations et des logiciels portant sur une technologie innovante de l’entreprise.