Archives de catégorie : Patch

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Comment sécuriser vos comptes professionnels pendant les vacances de Noël

Sécuriser – Les fêtes de fin d’année peuvent être une période compliquée pour les entreprises dont les salariés voyagent, travaillent à distance, ou encore effectuent leurs achats de cadeaux sur leurs ordinateurs professionnels. Les petites entreprises, notamment, ne se posent pas suffisamment la question de la sécurité de leurs données dans le cas où l’ensemble de leurs collaborateurs devaient travailler à domicile en même temps. Les employés travaillant depuis un café en sirotant une boisson ignorent souvent totalement le risque que cela représente pour leur entreprise. En effet, sur les réseaux Wi-Fi publics, les pirates peuvent épier leurs identifiants et les historiques de leurs navigateurs, voire même obtenir leurs coordonnées bancaires.

Ajoutons à cela la sécurité parfois discutable de leurs ordinateurs personnels, les accès aux comptes depuis des appareils non professionnels et les mauvaises habitudes en matière de mots de passe, et il devient clair que les fêtes risquent de causer du tort aux entreprises.

Bien que cette recherche de productivité soit généralement animée des meilleures intentions, la sécurité est rarement la priorité des salariés. Que peuvent faire les dirigeants d’entreprises pour rester sereins pendant la période des fêtes ? Voici six conseils qui favoriseront la poursuite des activités sans accroc sur le plan de la sécurité des données.

 1. Sécuriser : Mettre les identifiants à jour

Avant que les employés ne se rendent aux quatre coins du pays pour les vacances, il est important de contrôler la sécurité de l’ensemble des identifiants professionnels. Selon des données collectées par LastPass, 91 % des adultes sont conscients que la réutilisation des mêmes mots de passe sur différents comptes n’est pas une pratique sûre. Malgré cela, 61 % d’entre eux continuent de le faire, alors que cela augmente les risques de piratage et rend l’ensemble de leur entreprise vulnérable. Bien entendu, il est difficile d’imaginer et de se souvenir d’innombrables combinaisons de caractères et de chiffres. La solution la plus simple est donc d’utiliser un gestionnaire de mots de passe pour créer des séquences aléatoires pour chaque compte.

2. Sécuriser : Ne pas tomber dans les pièges du phishing

Il n’est pas rare que certains salariés passent davantage de temps sur le Web durant la période des fêtes (que ce soit pour effectuer des achats en ligne, faire des dons à des organismes caritatifs ou télécharger de la musique de Noël). Bien que cela ne représente pas un problème de sécurité en soi, ce peut être le cas pour les entreprises s’ils cliquent sur des liens piégés. Cela pourrait en effet déclencher une attaque malveillante ou le téléchargement d’un logiciel espion sur le terminal utilisé. Les dirigeants d’entreprises doivent s’assurer que leurs employés soient conscients des risques, et envisager la mise en place de lignes directrices et de formations afin de les sensibiliser aux menaces actuelles.

3. Sécuriser : Ne pas laisser les médias sociaux devenir le maillon faible

Nous connaissons tous les avantages des médias sociaux grand public pour les entreprises : plus d’engagement et de fidélité client ; une meilleure capacité à en attirer de nouveaux ; et une notoriété de marque plus importante auprès des influenceurs et par rapport à la concurrence. En ce qui concerne les médias sociaux professionnels, les meilleures pratiques en matière de sécurité des mots de passe sont les mêmes que pour des comptes personnels, même si les enjeux sont plus élevés en cas de problème.

La sécurité des données dépend donc de celle des maillons faibles de l’organisation (et il suffit souvent d’un seul employé). La réutilisation des mots de passe est une pratique si répandue qu’il est nécessaire de savoir qui a accès à un compte sur le réseau social d’entreprise et sur quels terminaux. En effet, comme nous l’avons vu avec les fuites subies par LinkedIn et Twitter cette année, ces comptes sont des cibles de choix pour les pirates. Ne pas mettre leurs mots de passe à jour sur de longues périodes revient alors à leur donner carte blanche pour accéder à d’autres comptes utilisant les mêmes identifiants.

4. Renforcer les questions de sécurité

Beaucoup de comptes en ligne invitent les utilisateurs à choisir des questions de sécurité représentant une protection supplémentaire. Cependant, celles-ci laissent clairement à désirer et constituent pour beaucoup le maillon faible de leur système de sécurité en ligne. Si votre entreprise utilise déjà un gestionnaire de mots de passe pour stocker et partager des identifiants de façon sécurisée, profitez de la fonction de génération automatique pour répondre à ces questions, puis enregistrez les réponses dans la section « Notes » de votre compte. Le champ correspondant doit ressembler à cela : « premier animal de compagnie : ackpioughtso ».

5. Sécuriser : Encourager les employés à ne pas enregistrer leurs mots de passe sur leurs navigateurs

Bien que cela soit pratique, stocker des mots de passe en local sur un navigateur est dangereux et laisse les identifiants vulnérables en cas de piratage. Ce confort est en effet la raison même pour laquelle cette option est moins sécurisée et fiable. Les gestionnaires de mots de passe, eux, apportent un plus en vous aidant à gérer votre vie en ligne. Les opérations de chiffrement/déchiffrement ayant lieu en local, leurs protocoles de vérification (via un système de preuve à divulgation nulle de connaissance) vous évitent de partager votre mot de passe principal à mauvais escient et d’offrir l’accès à vos données.

6. Sécuriser : Attention au vol d’ordinateurs portables

Les voleurs sont particulièrement actifs à Noël, et sont à la recherche de proies faciles. Pour éviter le pire en cas de perte de votre ordinateur ou autre appareil professionnel, pensez à investir dans une solution de protection contre le vol qui le rendra inutilisable dans le cas où il tomberait entre de mauvaises mains.

BYOD, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Mise à jour, Patch

Les 5 principales menaces informatiques à surveiller en 2017

La récente attaque par déni de service distribué (DDoS) à l’encontre de l’hébergeur Web OVH via des terminaux piratés illustre une fois de plus l’escalade des menaces qui pèsent sur la sécurité des entreprises. Les pirates ont créé un botnet à partir de 150 000 appareils IoT afin de lancer une attaque DDoS d’une puissance de feu d’1 Tbps, battant tous les records du genre, y compris celui enregistré une semaine plus tôt par une attaque de 620 Gbps visant le site Web du journaliste Brian Krebs.

L’ampleur et le degré de sophistication des menaces pour la sécurité ne cessent de croître, et la probabilité de subir une attaque n’a jamais été aussi forte pour les entreprises. Après discussion avec les experts de F5 Networks, nous avons listé les 5 principales menaces dont les organisations doivent tenir compte au cours des 12 prochains mois.

Menaces informatiques : Les attaques DDoS basées sur l’IoT
Les appareils de l’Internet des objets (IoT) se multiplient, mais les mesures de sécurité à même de les protéger ne suivent pas. Les vulnérabilités inhérentes à la vague de périphériques intelligents connectés qui inondent le marché en font des proies faciles pour les cybercriminels, lesquels se tournent de plus en plus vers des dispositifs « non intelligents », tels que des caméras de vidéosurveillance. L’exemple de la société OVH évoqué plus haut servira de modèle à d’autres pirates qui, en quelques clics, pourront exploiter la puissance des appareils IoT pour lancer des attaques DDoS massives, capables de paralyser des sites Web et les opérations des entreprises. Celles-ci doivent se méfier des appareils IoT. Même s’ils incarnent l’avenir, ils fournissent aux cybercriminels un vecteur d’attaque supplémentaire.

Menaces informatiques : Le vol de données personnelles
Le règlement général sur la protection des données (GDPR) n’entrera pas en vigueur avant mai 2018, mais comme il faudra plusieurs années à la plupart des entreprises pour s’y préparer, elles doivent dès maintenant inscrire cette question à leur ordre du jour. Le nouveau règlement prévoit des sanctions plus sévères en cas d’infraction, notamment une amende potentielle s’élevant à 4 % du chiffre d’affaires annuel. Les entreprises ont, par conséquent, intérêt à mettre au plus vite leur infrastructure informatique en conformité. Certaines dispositions du GDPR en matière de confidentialité des données, comme le droit à l’oubli et la portabilité des informations, peuvent s’avérer problématiques. Bon nombre d’entreprises ignorent en effet la quantité de données clients dont elles sont dépositaires, de même que leur emplacement. La plus grande difficulté, pour elles, consiste donc à évaluer le volume d’informations dont elles ont la responsabilité. Une atteinte à la sécurité ou l’incapacité à fournir aux clients les données demandées pourrait avoir des conséquences désastreuses sur leurs revenus et entamer la fidélité de leurs clients.

Menaces informatiques : Les attaques sur les services Cloud
Les entreprises savent-elles comment opérer en toute sécurité dans le Cloud ou qui détient les clés de leurs données sachant qu’elles ne résident plus ni sur site ni dans le datacenter ? Le défit à relever en 2017, consistera à contrôler l’accès aux services Cloud tout en assurant un chiffrement adéquat des données.

Menaces informatiques  : Les malwares ciblés sur les applications
Avec l’essor du travail mobile, les employés utilisent une kyrielle d’applications pour accéder aux ressources de l’entreprise depuis différents appareils et lieux. Tout point faible sur ce réseau, comme un téléphone mobile infecté par un malware, ouvre les portes de l’entreprise aux cybercriminels. Si l’un d’eux parvient à se procurer les informations d’identification de domaine d’un employé, c’est à l’ensemble des données de l’entreprise qu’il a accès.

Menaces informatiques : La fraude en ligne
L’avènement du Cloud a engendré tout un écosystème de services tiers pour les entreprises. Les employés ont ainsi accès à différents portails en ligne (ventes, services financiers, allocation de congés, etc.) via une procédure d’authentification unique (Single Sign-On). Lorsqu’un employé quitte l’entreprise, il continue à avoir accès aux informations professionnelles vitales tant que ses identifiants de connexion ne sont pas supprimés.

L’incapacité d’une entreprise à rester au fait des nouvelles menaces ou à les détecter peut mettre un frein à son développement. N’oublions pas qu’il suffit de quelques clics à un pirate pour réduire à néant des années de bonnes pratiques et une loyauté clients durement acquise. L’identification précoce des menaces, l’investissement dans une infrastructure de cybersécurité appropriée et la formation des utilisateurs au paysage de la cybersécurité permettent aux entreprises de prendre une longueur d’avance sur les pirates et d’augmenter leurs chances de succès en 2017. (Par Laurent Pétroque, expert fraude en ligne chez F5 Networks)

Base de données, BYOD, Chiffrement, Cloud, Cyber-attaque, Cybersécurité, Entreprise, IOT, Leak, Mise à jour, Patch, Piratage

Une enquête révèle les stratégies de cybersécurité des entreprises

Un commentaire
Selon une nouvelle étude, le Cloud et les vulnérabilités systèmes sont les deux plus grandes préoccupations des décisionnaires IT. Un veille décisionnelle sur les menaces, une prise en charge plus rapide des incidents et un recours aux services de sécurité managés comptent parmi les orientations stratégiques de ces décideurs.

L’enquête indépendante souligne l’urgence pour les grandes entreprises de la région EMEA, tous secteurs d’activité confondus, de passer à une cybersécurité de bout en bout, basée sur une veille décisionnelle sur les menaces, pour ainsi relever les défis liés au digital. Les entreprises doivent réagir plus rapidement et efficacement aux problématiques de sécurité en investissant dans des architectures de cybersécurité adaptatives et adaptées à un réseau décloisonné.

48 % des personnes interrogées sur la région EMEA et 60% des entreprises françaises jugent que la meilleure réponse à la multiplication des incidents de sécurité est d’investir dans des technologies de cybersécurité qui assurent une protection à chaque étape du cycle de vie d’une menace. Les deux plus grandes préoccupations des décisionnaires portent sur la sécurité du cloud et la maîtrise des vulnérabilités des systèmes IT. Sécurité du cloud : une problématique pour 53 % des personnes interrogées sur la région EMEA, allant jusqu’à 61% en Espagne (le taux le plus élevé) et 57% en France
.Protection contre les vulnérabilités systèmes : une problématique pour 53% des répondants sur la région, 47% en France et qui grimpe à 59 % en Italie.

Cependant, nombre des répondants voient dans cette recrudescence des menaces et risques de sécurité l’occasion d’externaliser leur cybersécurité auprès d’un fournisseur de services managés. Globalement, l’étude montre que dans les 3 à 5 ans à venir, 44% des organisations sur la région EMEA (43% en France) opteraient pour cette externalisation. En France, cette adoption est de 9%.

Vers une architecture de sécurité performante et une veille décisionnelle sur les menaces
L’enquête s’est intéressée aux victimes de cyber-attaques pour illustrer comment les infrastructures de sécurité actuelles peinent à s’adapter aux réalités d’un monde toujours plus digital. Sur les 52% des décisionnaires EMEA (42% en France) qui indiquent avoir subi un piratage informatique au cours de l’année dernière, seuls 16% (14% en France) s’en sont rendus compte dans les minutes ayant suivi l’exaction. En Espagne, les personnes interrogées victimes d’une une attaque récente ne sont que 11% à avoir pu l’identifier dans un tel délai.

Dans certains secteurs, comme les soins de santé, 50% des répondants EMEA déclarent qu’il s’est écoulé plusieurs jours, mois, voire années avant d’identifier l’incident. L’identification et la prise en charge des menaces, lentes et peu efficaces, se révèlent particulièrement coûteuses pour les entreprises victimes, en termes de données perdues, de systèmes piratés et de réputation ternie.

L’enquête montre que pour maîtriser ces risques et mieux protéger leurs organisations, la première des actions prises par les décisionnaires informatiques est de déployer des technologies de détection de menaces (17% sur la région EMEA et 14% en France). Vient ensuite la mise en place de services de sécurité fournis à partir du cloud (12% sur la région EMEA et 7% en France). Ces fonctionnalités doivent être associées à des services de veille décisionnelle sur les menaces (9% sur la région EMEA et 14% en France).

Pour les répondants, la veille sur les menaces renforce la prévention des attaques (43% d’entre eux le déclarent sur la région EMEA, 40% en France). Elle améliore aussi la stratégie de sécurité de l’information (38% sur la région EMEA et 43% en France) et la détection des menaces (35% sur la région EMEA, 40% en France).

Concernant l’application des nouvelles fonctionnalités de veille (périmètre, modalités) 35% des personnes interrogées sur la région EMEA et 33% en France indiquent disposer d’une équipe interne dédiée à la prise en charge des incidents et qui supervise l’ensemble des activités de sécurité. Le chiffre n’est que de 26% en Italie contre 42% en Allemagne. Cependant, 26% du panel EMEA et français déclare externaliser leur veille sur les menaces auprès d’un fournisseur de services managés. Ce chiffre ressort à 22% en Espagne et à 31% au Royaume-Uni.

Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Piratage

Protection du secteur ferroviaire contre les cybermenaces

L’avenir de la cybersécurité dans le secteur ferroviaire sera examiné au prochain Rail Cyber Security Summit (Sommet sur la cybersécurité dans l’industrie ferroviaire) qui se tiendra à Londres en mars 2017.

Désormais à sa deuxième édition, la manifestation qui aura lieu les 14 et 15 mars 2017 à l’hôtel Copthorne Tara Kensington de Londres réunira des professionnels du transport ferroviaire, des leaders mondiaux et du gouvernement spécialisés en cybersécurité et des universitaires du domaine.

La connectivité avancée et la numérisation des systèmes ferroviaires peuvent améliorer grandement l’exploitation du secteur ferroviaire, en assurant une efficacité et une optimisation élevées, en réduisant le bilan carbone tout en offrant de la valeur ajoutée aux propriétaires d’actifs, aux actionnaires et aux passagers. Cependant, ces avancées rendent l’infrastructure ferroviaire vulnérable aux cyberattaques, qu’elles soient provoquées par des menaces internes ou par des logiciels malveillants. Traditionnellement protégé contre ces menaces, le secteur ferroviaire est à l’heure actuelle bien plus vulnérable en raison de l’adoption des capteurs machine à machine, de l’Internet des objets ainsi que de la convergence de l’informatique et des technologies opérationnelles. Par conséquent, la mise en place de mesures de défense est indispensable à sa prospérité.

Avec la participation de conférenciers professionnels, notamment Stephen Cummins (Directeur de la cybersécurité ferroviaire auprès du ministère britannique des Transports), Tom Lee (Directeur adjoint Standards & Professional Responsable du CCS, Rail Standards and Safety Board) et Chris Blask (Directeur, ICS ISAC et Cyber Space Research, Institute Webster University), le sommet abordera des aspects cruciaux de la cybersécurité dans le secteur ferroviaire, dont les suivants :

Les menaces actuelles et futures et la riposte de l’industrie
L’importance de la « Security by Design » (sécurité assurée dès la conception)
Les défis à relier l’informatique et les technologies opérationnelles lors du déploiement d’une architecture axée sur l’entreprise.
Comment favoriser une prise de conscience

James Nesbitt, Fondateur du Cyber Senate, a commenté l’événement en ces termes : « Outre les nombreuses possibilités d’accroître l’efficacité du secteur ferroviaire, la technologie numérique l’a malheureusement rendu vulnérable aux cyberattaques susceptibles d’entraîner de graves conséquences. »

Pour en savoir plus : http://www.railcybersecurity.com

Cyber-attaque, Cybersécurité, Leak, Mise à jour, Patch, Piratage

Les auteurs des menaces, maîtres des faux indices

Les auteurs d’attaques ciblées emploient un éventail de plus en plus vaste de techniques de leurre afin de brouiller les pistes, en implantant dans leur code de « faux drapeaux » (horodatage, chaînes de caractères, malware, etc.) et en opérant sous couvert de groupes fictifs.

Tout le monde souhaite connaître l’identité des groupes qui se cachent derrière les cyberattaques ciblées alors même que la réponse est difficile, sinon impossible, à donner avec précision. Afin de démontrer le niveau croissant de complexité et d’incertitude lié à l’identification des responsables, deux experts de Kaspersky Lab publient un article révélant comment les auteurs des menaces les plus avancées emploient des « faux drapeaux » (des indices falsifiés) pour leurrer leurs victimes et les chercheurs en sécurité.

Voici à cet égard les indicateurs les plus utilisés par les chercheurs pour identifier la provenance des attaques, ainsi que des exemples de leur manipulation par un certain nombre d’auteurs de menaces connues :

Horodatage
Les fichiers malveillants comportent la date et l’heure de leur compilation. Si des échantillons sont recueillis en nombre suffisant, cela peut permettre de déterminer les horaires de travail des développeurs et donc leur fuseau horaire. Or ce type d’horodatage est incroyablement facile à falsifier.

Marqueurs linguistiques
Les fichiers malveillants contiennent souvent des chaînes de caractères et des chemins de débogage susceptibles de fournir des indications sur l’identité des auteurs du code. L’indice le plus évident est la ou les langues utilisées ainsi que le niveau de maîtrise linguistique. Les informations de débogage peuvent également révéler un nom d’utilisateur ou encore les noms internes donnés aux projets ou campagnes. En outre, les documents de phishing peuvent regorger de métadonnées enregistrant des informations de lieux à l’insu de l’auteur et risquant de trahir l’ordinateur utilisé.

Or les auteurs des menaces peuvent aisément manipuler ces marqueurs linguistiques dans le but de leurrer les chercheurs. Par exemple, le malware Cloud Atlas renferme des chaînes en arabe dans la version BlackBerry, des caractères hindi dans la version Android ou les mots « JohnClerk » dans le chemin de projet pour la version iOS, alors que beaucoup soupçonnent le groupe responsable d’avoir en fait des liens avec l’Europe de l’Est. Le malware Wild Neutron contenait pour sa part des chaînes en roumain et en russe.

Infrastructure et connexions sous-jacentes
Localiser les serveurs de commande et de contrôle (C&C) utilisés par les acteurs malveillants revient à trouver l’adresse de leur domicile. La maintenance de ce matériel peut être coûteuse et difficile, c’est pourquoi même les auteurs d’attaques bien pourvus en ressources ont tendance à réutiliser la même infrastructure C&C ou de phishing. Les connexions sous-jacentes peuvent donner une idée de l’identité des assaillants si ceux-ci ne parviennent pas à anonymiser parfaitement leur accès Internet lorsqu’ils récupèrent des données exfiltrées, préparent un serveur d’attaque ou de phishing ou se connectent à un serveur piraté.

Parfois, cependant, cette dissimulation imparfaite est intentionnelle : Cloud Atlas a ainsi tenté d’embrouiller les chercheurs en utilisant des adresses IP en Corée du Sud.

Kits d’outils : malware, code, mots de passe, exploitation de vulnérabilités
Bien que certains auteurs de menaces recourent désormais à des outils disponibles dans le domaine public, bon nombre d’entre eux préfèrent encore créer leurs propres outils (backdoors, mouvement latéral, kits d’exploitation de vulnérabilités) et les gardent jalousement. L’aspect d’une famille spécifique de malware peut donc aider les chercheurs à remonter jusqu’au groupe responsable.

Les auteurs de la menace Turla ont décidé de mettre à profit cette hypothèse lorsqu’ils se sont fait « coincer » dans un système infecté. Au lieu de se borner à retirer leur code malveillant, ils ont également installé un malware chinois très rare, communiquant avec une infrastructure située à Pékin, totalement sans rapport avec Turla. Tandis que l’équipe de réponse aux incidents de l’entreprise ciblée était occupée à poursuivre ce leurre, Turla désinstallait en toute discrétion son propre malware et effaçait tutes ses traces des systèmes de la victime.

Victimes ciblées
Les cibles des attaques constituent un autre indice potentiellement révélateur mais l’établissement d’un lien précis nécessite des compétences d’interprétation et d’analyse. Dans le cas de Wild Neutron, par exemple, la liste des victimes était si hétéroclite qu’elle n’a fait que semer la confusion quant à l’origine de l’attaque.

En outre, certains auteurs de menaces abusent du désir du public d’établir un lien clair entre les assaillants et leurs cibles, en opérant sous couvert d’un groupe (souvent fictif) d’hacktivistes. C’est ce qu’a tenté de faire le groupe Lazarus en se présentant sous la dénomination « Guardians of Peace » lors de son attaque contre Sony Pictures Entertainment en 2014. Nombreux sont ceux qui pensent que les auteurs de la menace connue sous le nom de Sofacy ont mis en œuvre une tactique similaire en se faisant passer pour un certain nombre de groupes militants.

Enfin et surtout, les auteurs des attaques tentent parfois d’en faire porter la responsabilité à une autre menace. C’est la méthode adoptée par TigerMilk[i] dont les responsables, encore non identifiés à ce jour, ont signé leurs backdoors avec le même certificat volé déjà utilisé précédemment par Stuxnet.

« La détermination de l’identité des auteurs d’attaques ciblées est complexe, peu fiable et subjective, et ceux-ci s’efforcent de plus en plus de manipuler les indicateurs dont se servent les chercheurs afin de brouiller davantage encore les pistes. Nous pensons qu’une identification précise est souvent quasi impossible. En outre, la veille des menaces a une valeur profonde et mesurable qui va bien au-delà de la question de l’identité des auteurs. Il est nécessaire, au niveau mondial, de comprendre les principaux prédateurs dans l’écosystème des malwares et de fournir des informations solides et exploitables aux entreprises qui le souhaitent : ce doit être notre priorité », commente Brian Bartholomew, chercheur senior en sécurité chez Kaspersky Lab.

Chiffrement, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Virus

Sednit : dissection d’un groupe de cyber espions

Les chercheurs ESET annoncent la publication d’un vaste document de recherche en 3 parties « En route with Sednit ». L’observation de l’utilisation simultanée d’un bootkit et d’un rootkit par les cybercriminels a permis d’analyser leurs cibles et méthodes.

Ce groupe aussi connu sous le nom d’APT28, Fancy Bear ou Sofacy, agit depuis 2004. Son principal objectif est le vol d’informations confidentielles de cibles spécifiques.

Partie 1 : « En route with Sednit : Approaching the Target » se concentre sur la cible des campagnes de phishing, les méthodes d’attaque utilisées ainsi que la première phase de l’attaque utilisant le malware SEDUPLOADER, composé d’un compte à rebours et d’une charge utile associée.

Partie 2 : « En route with Sednit : Observing the comings and goings » couvre les activités de Sednit depuis 2014 et détaille la boîte à outils d’espionnage utilisée pour la surveillance à long terme des ordinateurs compromis. Cela est rendu possible grâce à deux backdoor SEDRECO et XAGENT, ainsi qu’à l’outil réseau XTUNNEL.

Partie 3 : « En route with Sednit : a mysterious downloader » décrit le logiciel permettant la première phase de l’attaque DOWNDHELPH qui selon nos données de télémétrie n’aurait servi que 7 fois. A noter que certains de ces déploiements ont requis des méthodes de « persistances avancées » : Windows bootkit et Windows rootkit. « L’intérêt pour ces activités malveillantes est née de la détection d’un nombre impressionnant de logiciels personnalisés déployés par le groupe Sednit au cours des deux dernières années », déclare Alexis Dorais-Joncas, Security Intelligence team lead chez ESET et dédié à l’exploration des activités du groupe Sednit. « L’arsenal de Sednit est en constante évolution. Le groupe déploie régulièrement des logiciels et techniques de pointe, tandis que leur malware phare a également évolué de manière significative au cours des dernières années ».

Selon les chercheurs, les données collectées à partir des campagnes de phishing menées par Sednit montrent que plus de 1.000 profils d’individus hauts-placés impliqués dans la politique d’Europe de l’EST ont été attaqués. Contrairement aux autres groupes d’espionnage, le groupe Sednit a développé son propre « exploit kit » et utilisé un nombre étonnamment important d’exploits 0-day. Les activités du groupe cybercriminel de ces dernières années envers les personnalités hauts-placées, ont suscité l’intérêt de nombreux chercheurs.

Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch

Contrer les cyber menaces qui ont le vent en poupe

Entre malware, vols de mots de passe et hameçonnage, les menaces en ligne sont de plus en plus nombreuses et sophistiquées. Les experts révèlent d’ailleurs que le marché des logiciels de cyber-sécurité génèrera près de 7 milliards de dollars en Europe de l’Ouest d’ici 2020, en partie pour contrer la multiplication des attaques.

Toutefois, bien que les utilisateurs puissent compter sur des outils performants, la sensibilisation et la vigilance peuvent également aider à éviter certaines menaces présentes sur le web. Les cyber risques prennent différentes formes et sont conçus pour piéger les gens. C’est pourquoi il est impératif de prendre de bonnes habitudes préventives contre certaines attaques répandues. De cette façon, les internautes peuvent apprendre à reconnaitre les menaces et ainsi réduire les risques de se faire pirater.

« L’expansion des technologies nous incite à utiliser davantage les services en ligne au quotidien : effectuer un virement depuis notre compte bancaire, réserver un billet d’avion ou encore télécharger une application, commente Par Michal Salat, Directeur du Service de Renseignements sur les Menaces Informatiques chez Avast. Tout cela est bien pratique, mais expose aussi davantage l’utilisateur aux attaques s’il n’est pas attentif et n’applique pas quelques bonnes pratiques pour se protéger.« 

Attention aux données partagées publiquement
Les nombreuses plateformes de réseaux sociaux nous poussent à mettre en avant nos moments de joie, nos sentiments, les endroits dans lesquels nous sortons et les personnes que nous fréquentons. Alors que ce sont des choses agréables à partager avec nos amis et notre famille, ces informations peuvent devenir dangereuses en tombant entre de mauvaises mains. Les hackers sont en mesure de collecter les données personnelles exposées publiquement qui leur permettront non seulement d’en savoir le plus sur nous, mais également de deviner un mot de passe ou de personnaliser des attaques ciblées. Par exemple, les utilisateurs ne se méfient pas lorsqu’ils révèlent qui ils sont sur Facebook, mais ils oublient à quel point il est facile de trouver le nom de jeune fille de leur mère – qui est souvent une question posée lorsque l’on veut réinitialiser son mot de passe. C’est pourquoi il faut absolument faire attention au type d’informations personnelles que nous mettons en ligne, aux personnes que nous autorisons à voir ces données que nous postons et éviter de poster celles qui pourraient permettre aux hackers de « deviner » nos identifiants et s’en servir à des fins malhonnêtes. Pour limiter ce risque, les utilisateurs doivent tout d’abord régulièrement vérifier les paramètres « vie privée » de leurs réseaux sociaux et savoir exactement qui voit leurs posts. De plus, les utilisateurs doivent s’efforcer de choisir des mots de passe aléatoires, longs, complexes, et composés de lettres, de chiffres et de caractères spéciaux. Il est également conseillé de créer un mot de passe différent pour chaque compte et de les changer régulièrement.

Les arnaques au phishing
Cette tactique, qui découle directement de l’ingénierie sociale, est fréquemment utilisée par les hackers. Une fois que le pirate a récolté des informations personnelles, il peut créer des arnaques si personnalisées qu’elles trompent facilement la confiance des utilisateurs. En utilisant ces données ainsi que les codes visuels d’organisations telles que les banques, les pirates cherchent en général à accéder aux comptes bancaires, ou encore à infecter les appareils dans le but d’obtenir les informations de connexion et de dérober de l’argent. La première chose fondamentale dont il faut se rappeler est que la majorité des organismes officiels et notamment les établissements bancaires ne demandent jamais à leurs clients d’envoyer leurs identifiants ou mots de passe par email. Par ailleurs, si le message contient un lien ou un fichier suspect, dans le doute, mieux vaut ne pas les ouvrir, supprimer immédiatement l’email par précaution et se renseigner auprès d’interlocuteurs fiables afin de vérifier de vive voix ce qu’il en est réellement.

Des logiciels malveillants bien trop présents
En termes de menaces en lignes, les malwares sont également légions. Ils sont partout, dans les sites web piratés, les publicités, les démos de jeux, des photos ou encore des fichiers musicaux frauduleux. Les hackers utilisent ces malwares à de nombreuses fins, mais principalement par appât du gain. La méthode ransomware est très populaire en ce moment, et surtout la pire de toutes ! Une fois qu’ils ont infiltré le système, les cybercriminels accèdent aux informations personnelles, chiffrent ces données ou verrouillent complètement l’appareil et demandent une rançon à la victime pour les rendre de nouveau accessibles. Pour s’en préserver, deux astuces imparables : ne pas ouvrir de pièces jointes ou de liens provenant d’expéditeurs inconnus et télécharger des jeux, musiques et autres applications depuis des sites officiels uniquement. Il est également impératif de s’équiper d’outils capables de détecter et de supprimer les malwares, et de mettre régulièrement à jour son antivirus, son routeur ou sa box Wifi, ainsi que les systèmes d’exploitation de ses appareils afin de mettre toutes les chances de son côté pour ne pas tomber dans les pièges.

C’est une chance d’avoir accès à des solutions de sécurité de qualité, mais ce n’est malheureusement pas toujours suffisant. Prendre l’habitude de suivre ces quelques conseils peut faire toute la différence et permettre de protéger ses données personnelles mais également de préserver ses deniers !

Chiffrement, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch

Cybersécurité : la France, bonne élève face à la menace croissante des arnaques aux services clients ?

Dans le cadre du Mois de la Cybersécurité, Microsoft a conduit une étude couvrant 12 pays*, dont la France, sur le comportement des internautes face aux arnaques aux faux services clients qui proposent un support technique (en anglais Tech Support Scam), actuellement en pleine croissance. Si l’Inde, la Chine et les Etats-Unis dénombrent le nombre de victimes le plus important (respectivement 54%, 35% et 33%), la France tire son épingle du jeu en n’affichant que 5% de victimes. Méfiant, plus d’un Français sur deux (51%) ne donne pas suite à ce type de sollicitation malveillante.

Parmi les menaces et escroqueries actuellement en pleine croissance sur Internet figurent les arnaques aux services clients. Il s’agit pour les usurpateurs de se faire passer pour un représentant du support technique d’un éditeur comme Microsoft afin de bloquer un ordinateur à distance jusqu’à ce que son utilisateur verse une rançon. Ce type d’escroqueries constitue la déclinaison de ce qui se faisait auparavant par téléphone et peut être désormais initié par e-mails, via des fenêtres pop-up ou des sites Internet. Effrayé, l’internaute est alors bien souvent tenté de répondre à la sollicitation et d’entrer dans le jeu des escrocs.

Afin de sensibiliser les internautes à ce phénomène de plus en plus courant, Microsoft publie les résultats d’une étude portant sur les comportements constatés dans 12 pays* face à ces menaces. Si globalement un tiers de la population de ces pays n’a jamais été confronté à ce type de menaces, 20% en ont en revanche été victimes. Dans ce cadre, certains pays se démarquent, tels que l’Inde, la Chine ou les Etats-Unis qui affichent un nombre de victimes bien supérieur. De même, les populations les plus vulnérables sont les Millenials (18-34 ans), ce qui s’explique probablement par leur confiance intuitive dans Internet.

La France : une population mature face à ce genre d’escroqueries
Près de 43% des internautes français n’ont jamais rencontré ce type de menaces ; Un Français sur deux, confronté à un risque d’attaque, a ignoré l’interaction (51%) ; 5 % des Français ont déjà été victimes de l’arnaque au support technique, dont 4% qui reconnaissent avoir subi des dommages financiers.

Pour aider les internautes français à renforcer leur vigilance et éviter ces escroqueries, Microsoft a mis en ligne une page pédagogique expliquant les différents types de menaces existants sur Internet et le comportement à adopter pour les éviter. Cette page est régulièrement mise à jour afin de permettre à chacun de se défendre dans le cadre d’un Internet toujours plus sûr.

Argent, Arnaque, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Mise à jour, Particuliers, Patch, Piratage, ransomware, Sauvegarde

Locky and co ! Le ransomware est maintenant la première menace en Europe

Locky a encore de l’avenir ! L’agence européenne de police, Interpol, estime dans le rapport annuel sur la cybercriminalité qu’elle vient de rendre public, que « le ransomware est maintenant la première menace en Europe » tout en ajoutant que cela allait empirer dans les mois et années à venir.

Locky et ses amis n’ont pas fini de perturber les boites mails ! Vade Secure, l’éditeur français spécialisé dans les solutions de protection des boites de messagerie (300 millions de boîtes protégées à travers le monde) alerte depuis longtemps sur la montée en puissance des ransomware.

Florian Coulmier, Responsable Production et Cybercriminalité de Vade Secure commente : « Nous, comme de nombreux experts, avions prédit que l’année 2016 serait l’année du ransomware. Et effectivement, les vagues de ransomware sont progressivement montées en puissance et ont très largement ciblé les entreprises, notamment en France, le désormais célèbre Locky en tête. Preuve de cette tendance, le nombre de variantes de ransomware a fortement augmenté, et l’on en décompte pas moins de 120 aujourd’hui. Le niveau de technicité de ces attaques augmente également et les hackers les font évoluer très rapidement dans le temps pour trouver de nouvelles parades aux outils de détection : Satana était une évolution de Locky qui était lui-même une évolution de Petya, lui-même une évolution de Dridex, etc. »

En France, Locky reste de loin le ransomware le plus présent. Vade Secure a identifié des vagues de Locky particulièrement extraordinaires à différentes périodes cette année, avec des pics à plus de 1,2 millions de Locky bloqués en 24h, en mars. Alors qu’en période « normale », la solution de filtrage des emails dans le Cloud de Vade Secure (Vade Secure Cloud) détecte en moyenne 25 000 malwares par jour. Et les vagues de Locky continuent d’ère massivement diffusées (notamment via le botnet Necurs), avec des pics fin août/début septembre. Le business Locky reste donc très lucratif pour les cybercriminels, notamment auprès des TPE/PME clairement les cibles principales du ransomware du fait de leur niveau de sécurisation moindre face à ce type d’attaques.

Ces derniers mois, une tendance est apparue, celle des ransomware tentant de se faire passer pour Locky pour faire peur aux cibles visées et leur faire croire qu’elles sont obligées de payer, sans autre solution. En réalité, ces souches de ransomware (Bart ou PowerWare par exemple) sont beaucoup moins dangereuses car le cryptage peut être cassé, même avec des outils gratuits. Il faut désormais savoir distinguer le vrai Locky, de ces imitations ».

« Nous avons également identifié des nouvelles tendances cette année et qui sont clairement vouées à se développer,  indique Régis Benard. C’est le cas du ransomware-as-a-service (RaaS) avec des premiers cas tels que Cerber. Pour maximiser leurs impacts et leurs revenus, les cybercriminels proposent, en communiquant très simplement sur Internet, à des volontaires de diffuser leurs ransomware dans leur propre pays. »

Cela traduit réellement une professionnalisation du marketing du ransomware et nous voyons même apparaître aujourd’hui de véritables services après–vente qui proposent d’accueillir les victimes pour les aider à payer la rançon… Nous sommes clairement aujourd’hui de plus en plus loin des attaques de malware artisanales.

Et pour compléter le tableau, nous pouvons ajouter l’apparition cette année de la nouvelle menace du ransomware-as-a-Freeware (RaaF) pour lequel un développement rapide est à prévoir. Les RaaF tels que Shark, sont distribués en freeware avec une exigence : la remise d’une partie des gains mal acquis à ses créateurs. La valeur ajoutée du RaaS et du RaaF et leur dangerosité, c’est que ces types de ransomware nécessitent un minimum d’efforts pour un maximum de résultats .

Enfin, les chiffres montrent que depuis la rentrée les attaques de ransomware sont régulières, massives, et que le ransomware représente en effet la quasi-totalité des attaques. Nous allons continuer à entendre parler majoritairement de Locky (car les fichiers sont renommés en .locky) mais de plus en plus de Zepto et de Odin, les petits derniers probablement issus de la même souche virale.

Antivirus, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, escroquerie, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Piratage, Social engineering, Virus

L’état du spam et du phishing au premier trimestre 2016

Une étude sur le spam et le phishing au premier trimestre 2016 montre que le nombre de spams contenant des pièces jointes malveillantes ont augmenté de 50 % au cours des trois premiers mois de 2016.

Bitdefender, spécialiste des solutions de sécurité informatique souligne quelques tendances de fond au cours du premier trimestre 2016. Les spammeurs utilisent des techniques d’attaque de plus en plus pointues et ciblées contrairement à l’envoi en masse de spam, chose courante ces dernières années. Les services de partage de fichiers et de stockage dans le Cloud sont devenus des cibles privilégiées par les pirates pour diffuser des codes malveillants. VBS Downloader, Upatre, Andromeda et JS Downloader ont été les downloaders les plus bloqués par Bitdefender. Ce type de logiciel malveillant est intégré dans des pièces jointes. Une fois installé, le programme télécharge différents malware sur les systèmes infectés. Au premier trimestre 2016, une pièce jointe sur sept contenait un ransomware. Les extensions de fichier les plus utilisées sont les archives (Zip, Rar, etc.), ce qui démontre une volonté d’échapper aux filtres Antispam. Le format ZIP dissimule des fichiers Javascript dans 95% des cas et reste le  moyen de diffusion essentiel du ransomware Locky.

En ce qui concerne le phishing, les modèles d’attaques impliquant les services de partage et de stockage en ligne ont détrôné les secteurs de la vente et du paiement en ligne, traditionnellement prisés des cybercriminels.  Au cours du premier trimestre 2016,  les services les plus touchés étaient Apple, Paypal et Google.

Dans les prochains mois, il est fort probable que les tentatives de spear-phishing, les chevaux de Troie et les ransomwares tendront à augmenter en raison des réussites récentes (et lucratives) de fuite de données sensibles utilisant les identifiants de responsables gouvernementaux, de chefs d’états ou, des personnalités politiques etc. par les cybercriminels. Les évènements internationaux majeurs tels que les élections présidentielles américaines, les Jeux Olympiques, le soutien à des œuvres humanitaires par exemple, constituent autant d’opportunités à exploiter par les cybercriminels.