Archives de catégorie : Patch

Chiffrement, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Virus

Sednit : dissection d’un groupe de cyber espions

Les chercheurs ESET annoncent la publication d’un vaste document de recherche en 3 parties « En route with Sednit ». L’observation de l’utilisation simultanée d’un bootkit et d’un rootkit par les cybercriminels a permis d’analyser leurs cibles et méthodes.

Ce groupe aussi connu sous le nom d’APT28, Fancy Bear ou Sofacy, agit depuis 2004. Son principal objectif est le vol d’informations confidentielles de cibles spécifiques.

Partie 1 : « En route with Sednit : Approaching the Target » se concentre sur la cible des campagnes de phishing, les méthodes d’attaque utilisées ainsi que la première phase de l’attaque utilisant le malware SEDUPLOADER, composé d’un compte à rebours et d’une charge utile associée.

Partie 2 : « En route with Sednit : Observing the comings and goings » couvre les activités de Sednit depuis 2014 et détaille la boîte à outils d’espionnage utilisée pour la surveillance à long terme des ordinateurs compromis. Cela est rendu possible grâce à deux backdoor SEDRECO et XAGENT, ainsi qu’à l’outil réseau XTUNNEL.

Partie 3 : « En route with Sednit : a mysterious downloader » décrit le logiciel permettant la première phase de l’attaque DOWNDHELPH qui selon nos données de télémétrie n’aurait servi que 7 fois. A noter que certains de ces déploiements ont requis des méthodes de « persistances avancées » : Windows bootkit et Windows rootkit. « L’intérêt pour ces activités malveillantes est née de la détection d’un nombre impressionnant de logiciels personnalisés déployés par le groupe Sednit au cours des deux dernières années », déclare Alexis Dorais-Joncas, Security Intelligence team lead chez ESET et dédié à l’exploration des activités du groupe Sednit. « L’arsenal de Sednit est en constante évolution. Le groupe déploie régulièrement des logiciels et techniques de pointe, tandis que leur malware phare a également évolué de manière significative au cours des dernières années ».

Selon les chercheurs, les données collectées à partir des campagnes de phishing menées par Sednit montrent que plus de 1.000 profils d’individus hauts-placés impliqués dans la politique d’Europe de l’EST ont été attaqués. Contrairement aux autres groupes d’espionnage, le groupe Sednit a développé son propre « exploit kit » et utilisé un nombre étonnamment important d’exploits 0-day. Les activités du groupe cybercriminel de ces dernières années envers les personnalités hauts-placées, ont suscité l’intérêt de nombreux chercheurs.

Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch

Contrer les cyber menaces qui ont le vent en poupe

Entre malware, vols de mots de passe et hameçonnage, les menaces en ligne sont de plus en plus nombreuses et sophistiquées. Les experts révèlent d’ailleurs que le marché des logiciels de cyber-sécurité génèrera près de 7 milliards de dollars en Europe de l’Ouest d’ici 2020, en partie pour contrer la multiplication des attaques.

Toutefois, bien que les utilisateurs puissent compter sur des outils performants, la sensibilisation et la vigilance peuvent également aider à éviter certaines menaces présentes sur le web. Les cyber risques prennent différentes formes et sont conçus pour piéger les gens. C’est pourquoi il est impératif de prendre de bonnes habitudes préventives contre certaines attaques répandues. De cette façon, les internautes peuvent apprendre à reconnaitre les menaces et ainsi réduire les risques de se faire pirater.

« L’expansion des technologies nous incite à utiliser davantage les services en ligne au quotidien : effectuer un virement depuis notre compte bancaire, réserver un billet d’avion ou encore télécharger une application, commente Par Michal Salat, Directeur du Service de Renseignements sur les Menaces Informatiques chez Avast. Tout cela est bien pratique, mais expose aussi davantage l’utilisateur aux attaques s’il n’est pas attentif et n’applique pas quelques bonnes pratiques pour se protéger.« 

Attention aux données partagées publiquement
Les nombreuses plateformes de réseaux sociaux nous poussent à mettre en avant nos moments de joie, nos sentiments, les endroits dans lesquels nous sortons et les personnes que nous fréquentons. Alors que ce sont des choses agréables à partager avec nos amis et notre famille, ces informations peuvent devenir dangereuses en tombant entre de mauvaises mains. Les hackers sont en mesure de collecter les données personnelles exposées publiquement qui leur permettront non seulement d’en savoir le plus sur nous, mais également de deviner un mot de passe ou de personnaliser des attaques ciblées. Par exemple, les utilisateurs ne se méfient pas lorsqu’ils révèlent qui ils sont sur Facebook, mais ils oublient à quel point il est facile de trouver le nom de jeune fille de leur mère – qui est souvent une question posée lorsque l’on veut réinitialiser son mot de passe. C’est pourquoi il faut absolument faire attention au type d’informations personnelles que nous mettons en ligne, aux personnes que nous autorisons à voir ces données que nous postons et éviter de poster celles qui pourraient permettre aux hackers de « deviner » nos identifiants et s’en servir à des fins malhonnêtes. Pour limiter ce risque, les utilisateurs doivent tout d’abord régulièrement vérifier les paramètres « vie privée » de leurs réseaux sociaux et savoir exactement qui voit leurs posts. De plus, les utilisateurs doivent s’efforcer de choisir des mots de passe aléatoires, longs, complexes, et composés de lettres, de chiffres et de caractères spéciaux. Il est également conseillé de créer un mot de passe différent pour chaque compte et de les changer régulièrement.

Les arnaques au phishing
Cette tactique, qui découle directement de l’ingénierie sociale, est fréquemment utilisée par les hackers. Une fois que le pirate a récolté des informations personnelles, il peut créer des arnaques si personnalisées qu’elles trompent facilement la confiance des utilisateurs. En utilisant ces données ainsi que les codes visuels d’organisations telles que les banques, les pirates cherchent en général à accéder aux comptes bancaires, ou encore à infecter les appareils dans le but d’obtenir les informations de connexion et de dérober de l’argent. La première chose fondamentale dont il faut se rappeler est que la majorité des organismes officiels et notamment les établissements bancaires ne demandent jamais à leurs clients d’envoyer leurs identifiants ou mots de passe par email. Par ailleurs, si le message contient un lien ou un fichier suspect, dans le doute, mieux vaut ne pas les ouvrir, supprimer immédiatement l’email par précaution et se renseigner auprès d’interlocuteurs fiables afin de vérifier de vive voix ce qu’il en est réellement.

Des logiciels malveillants bien trop présents
En termes de menaces en lignes, les malwares sont également légions. Ils sont partout, dans les sites web piratés, les publicités, les démos de jeux, des photos ou encore des fichiers musicaux frauduleux. Les hackers utilisent ces malwares à de nombreuses fins, mais principalement par appât du gain. La méthode ransomware est très populaire en ce moment, et surtout la pire de toutes ! Une fois qu’ils ont infiltré le système, les cybercriminels accèdent aux informations personnelles, chiffrent ces données ou verrouillent complètement l’appareil et demandent une rançon à la victime pour les rendre de nouveau accessibles. Pour s’en préserver, deux astuces imparables : ne pas ouvrir de pièces jointes ou de liens provenant d’expéditeurs inconnus et télécharger des jeux, musiques et autres applications depuis des sites officiels uniquement. Il est également impératif de s’équiper d’outils capables de détecter et de supprimer les malwares, et de mettre régulièrement à jour son antivirus, son routeur ou sa box Wifi, ainsi que les systèmes d’exploitation de ses appareils afin de mettre toutes les chances de son côté pour ne pas tomber dans les pièges.

C’est une chance d’avoir accès à des solutions de sécurité de qualité, mais ce n’est malheureusement pas toujours suffisant. Prendre l’habitude de suivre ces quelques conseils peut faire toute la différence et permettre de protéger ses données personnelles mais également de préserver ses deniers !

Chiffrement, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch

Cybersécurité : la France, bonne élève face à la menace croissante des arnaques aux services clients ?

Dans le cadre du Mois de la Cybersécurité, Microsoft a conduit une étude couvrant 12 pays*, dont la France, sur le comportement des internautes face aux arnaques aux faux services clients qui proposent un support technique (en anglais Tech Support Scam), actuellement en pleine croissance. Si l’Inde, la Chine et les Etats-Unis dénombrent le nombre de victimes le plus important (respectivement 54%, 35% et 33%), la France tire son épingle du jeu en n’affichant que 5% de victimes. Méfiant, plus d’un Français sur deux (51%) ne donne pas suite à ce type de sollicitation malveillante.

Parmi les menaces et escroqueries actuellement en pleine croissance sur Internet figurent les arnaques aux services clients. Il s’agit pour les usurpateurs de se faire passer pour un représentant du support technique d’un éditeur comme Microsoft afin de bloquer un ordinateur à distance jusqu’à ce que son utilisateur verse une rançon. Ce type d’escroqueries constitue la déclinaison de ce qui se faisait auparavant par téléphone et peut être désormais initié par e-mails, via des fenêtres pop-up ou des sites Internet. Effrayé, l’internaute est alors bien souvent tenté de répondre à la sollicitation et d’entrer dans le jeu des escrocs.

Afin de sensibiliser les internautes à ce phénomène de plus en plus courant, Microsoft publie les résultats d’une étude portant sur les comportements constatés dans 12 pays* face à ces menaces. Si globalement un tiers de la population de ces pays n’a jamais été confronté à ce type de menaces, 20% en ont en revanche été victimes. Dans ce cadre, certains pays se démarquent, tels que l’Inde, la Chine ou les Etats-Unis qui affichent un nombre de victimes bien supérieur. De même, les populations les plus vulnérables sont les Millenials (18-34 ans), ce qui s’explique probablement par leur confiance intuitive dans Internet.

La France : une population mature face à ce genre d’escroqueries
Près de 43% des internautes français n’ont jamais rencontré ce type de menaces ; Un Français sur deux, confronté à un risque d’attaque, a ignoré l’interaction (51%) ; 5 % des Français ont déjà été victimes de l’arnaque au support technique, dont 4% qui reconnaissent avoir subi des dommages financiers.

Pour aider les internautes français à renforcer leur vigilance et éviter ces escroqueries, Microsoft a mis en ligne une page pédagogique expliquant les différents types de menaces existants sur Internet et le comportement à adopter pour les éviter. Cette page est régulièrement mise à jour afin de permettre à chacun de se défendre dans le cadre d’un Internet toujours plus sûr.

Argent, Arnaque, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Mise à jour, Particuliers, Patch, Piratage, ransomware, Sauvegarde

Locky and co ! Le ransomware est maintenant la première menace en Europe

Locky a encore de l’avenir ! L’agence européenne de police, Interpol, estime dans le rapport annuel sur la cybercriminalité qu’elle vient de rendre public, que « le ransomware est maintenant la première menace en Europe » tout en ajoutant que cela allait empirer dans les mois et années à venir.

Locky et ses amis n’ont pas fini de perturber les boites mails ! Vade Secure, l’éditeur français spécialisé dans les solutions de protection des boites de messagerie (300 millions de boîtes protégées à travers le monde) alerte depuis longtemps sur la montée en puissance des ransomware.

Florian Coulmier, Responsable Production et Cybercriminalité de Vade Secure commente : « Nous, comme de nombreux experts, avions prédit que l’année 2016 serait l’année du ransomware. Et effectivement, les vagues de ransomware sont progressivement montées en puissance et ont très largement ciblé les entreprises, notamment en France, le désormais célèbre Locky en tête. Preuve de cette tendance, le nombre de variantes de ransomware a fortement augmenté, et l’on en décompte pas moins de 120 aujourd’hui. Le niveau de technicité de ces attaques augmente également et les hackers les font évoluer très rapidement dans le temps pour trouver de nouvelles parades aux outils de détection : Satana était une évolution de Locky qui était lui-même une évolution de Petya, lui-même une évolution de Dridex, etc. »

En France, Locky reste de loin le ransomware le plus présent. Vade Secure a identifié des vagues de Locky particulièrement extraordinaires à différentes périodes cette année, avec des pics à plus de 1,2 millions de Locky bloqués en 24h, en mars. Alors qu’en période « normale », la solution de filtrage des emails dans le Cloud de Vade Secure (Vade Secure Cloud) détecte en moyenne 25 000 malwares par jour. Et les vagues de Locky continuent d’ère massivement diffusées (notamment via le botnet Necurs), avec des pics fin août/début septembre. Le business Locky reste donc très lucratif pour les cybercriminels, notamment auprès des TPE/PME clairement les cibles principales du ransomware du fait de leur niveau de sécurisation moindre face à ce type d’attaques.

Ces derniers mois, une tendance est apparue, celle des ransomware tentant de se faire passer pour Locky pour faire peur aux cibles visées et leur faire croire qu’elles sont obligées de payer, sans autre solution. En réalité, ces souches de ransomware (Bart ou PowerWare par exemple) sont beaucoup moins dangereuses car le cryptage peut être cassé, même avec des outils gratuits. Il faut désormais savoir distinguer le vrai Locky, de ces imitations ».

« Nous avons également identifié des nouvelles tendances cette année et qui sont clairement vouées à se développer,  indique Régis Benard. C’est le cas du ransomware-as-a-service (RaaS) avec des premiers cas tels que Cerber. Pour maximiser leurs impacts et leurs revenus, les cybercriminels proposent, en communiquant très simplement sur Internet, à des volontaires de diffuser leurs ransomware dans leur propre pays. »

Cela traduit réellement une professionnalisation du marketing du ransomware et nous voyons même apparaître aujourd’hui de véritables services après–vente qui proposent d’accueillir les victimes pour les aider à payer la rançon… Nous sommes clairement aujourd’hui de plus en plus loin des attaques de malware artisanales.

Et pour compléter le tableau, nous pouvons ajouter l’apparition cette année de la nouvelle menace du ransomware-as-a-Freeware (RaaF) pour lequel un développement rapide est à prévoir. Les RaaF tels que Shark, sont distribués en freeware avec une exigence : la remise d’une partie des gains mal acquis à ses créateurs. La valeur ajoutée du RaaS et du RaaF et leur dangerosité, c’est que ces types de ransomware nécessitent un minimum d’efforts pour un maximum de résultats .

Enfin, les chiffres montrent que depuis la rentrée les attaques de ransomware sont régulières, massives, et que le ransomware représente en effet la quasi-totalité des attaques. Nous allons continuer à entendre parler majoritairement de Locky (car les fichiers sont renommés en .locky) mais de plus en plus de Zepto et de Odin, les petits derniers probablement issus de la même souche virale.

Antivirus, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, escroquerie, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Piratage, Social engineering, Virus

L’état du spam et du phishing au premier trimestre 2016

Une étude sur le spam et le phishing au premier trimestre 2016 montre que le nombre de spams contenant des pièces jointes malveillantes ont augmenté de 50 % au cours des trois premiers mois de 2016.

Bitdefender, spécialiste des solutions de sécurité informatique souligne quelques tendances de fond au cours du premier trimestre 2016. Les spammeurs utilisent des techniques d’attaque de plus en plus pointues et ciblées contrairement à l’envoi en masse de spam, chose courante ces dernières années. Les services de partage de fichiers et de stockage dans le Cloud sont devenus des cibles privilégiées par les pirates pour diffuser des codes malveillants. VBS Downloader, Upatre, Andromeda et JS Downloader ont été les downloaders les plus bloqués par Bitdefender. Ce type de logiciel malveillant est intégré dans des pièces jointes. Une fois installé, le programme télécharge différents malware sur les systèmes infectés. Au premier trimestre 2016, une pièce jointe sur sept contenait un ransomware. Les extensions de fichier les plus utilisées sont les archives (Zip, Rar, etc.), ce qui démontre une volonté d’échapper aux filtres Antispam. Le format ZIP dissimule des fichiers Javascript dans 95% des cas et reste le  moyen de diffusion essentiel du ransomware Locky.

En ce qui concerne le phishing, les modèles d’attaques impliquant les services de partage et de stockage en ligne ont détrôné les secteurs de la vente et du paiement en ligne, traditionnellement prisés des cybercriminels.  Au cours du premier trimestre 2016,  les services les plus touchés étaient Apple, Paypal et Google.

Dans les prochains mois, il est fort probable que les tentatives de spear-phishing, les chevaux de Troie et les ransomwares tendront à augmenter en raison des réussites récentes (et lucratives) de fuite de données sensibles utilisant les identifiants de responsables gouvernementaux, de chefs d’états ou, des personnalités politiques etc. par les cybercriminels. Les évènements internationaux majeurs tels que les élections présidentielles américaines, les Jeux Olympiques, le soutien à des œuvres humanitaires par exemple, constituent autant d’opportunités à exploiter par les cybercriminels.

Argent, Chiffrement, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Patch, Social engineering, Vie privée

Chiffrement : 27% des certificats sur Yahoo non réédités

Selon Venafi, Yahoo n’a pas pris les mesures pour se protéger et utilise des pratiques de chiffrement très faibles.

Chiffrement : Les équipes du laboratoire de recherche Vénafi – « Venafi Labs », ont analysés des données via TrustNet, la base de données mondiale sur les « Certificate Intelligence » et ont constaté que 27% des certificats sur Yahoo n’ont pas été réédités depuis janvier 2015. Même si les certificats sont remplacés, ce qui pourrait réduire les dégâts, Yahoo ne peut avoir la certitude que les hackers n’ont pas les accès actuels aux communications cryptées. Seulement 2,5% des 519 certificats déployés l’ont été durant les 90 derniers jours. Il est donc très probable que Yahoo! n’ait pas la capacité de trouver et remplacer des certificats numériques rapidement… Et malheureusement c’est un problème très commun, même pour les grandes organisations qui ont une présence importante en ligne.

Les données étudiées par « Venafi Labs » comportent un nombre impressionnant de certificats Yahoo qui utilisent MD5, une fonction de hachage cryptographique pouvant être renversée par une attaque brutale : MD5 souffre de sérieuses failles qui sont par ailleurs très bien connues. Par exemple Flame, une famille de logiciels malveillants souvent utilisés par les départements espionnage de certains pays, a exploité une vulnérabilité MD5. Tous les certificats MD5 utilisés par Yahoo aujourd’hui et bien d’autres certificats évalués par « Venafi Labs » sont émis par les entreprises elles-mêmes. Un certificat MD5 actuel utilise des caractères génériques (*.yahoo.com) et a une date d’expiration de 5 ans. Les certificats de ce type (avec des dates d’expirations très longues et émis par les entreprises elles-mêmes ou encore ceux qui utilisent des caractères génériques) sont tous les symptômes d’un contrôle cryptographique très faible.

Chiffrement faible !

41% des certificats de Yahoo sur l’ensemble des données de TrustNet utilisent SHA-1, un algorithme de hachage qui n’est plus considéré comme sécurisé contre des détracteurs disposant de gros moyens financiers. Les principaux vendeurs de navigateurs ont déclaré qu’ils arrêteraient les certificats SHA-1 en janvier 2017. « N’importe laquelle de ces questions cryptographiques, laisserait une organisation extrêmement vulnérable aux attaques des communications cryptées et leur authentification. explique Hari Nair, Cryptographic researcher chez Venafi. Au niveau collectif, cela soulève de sérieuses questions sur le fait que Yahoo puisse avoir la visibilité et la technologie nécessaire pour protéger les communications cryptées et assurer aux utilisateurs leur vie privée.« .

Yahoo n’a pas remplacé ses clés cryptographiques et ses certificats numériques durant les 90 derniers jours, en aucune façon cela ne pourrait représenter une réaction coordonnée face à une intrusion. Fait encore plus troublant, les fragilités connues sur les certificats MD5 associées avec des « Wildcard certificate » qui ont une date d’expiration de 5 ans, montrent clairement que Yahoo manque d’une vision approfondie sur sa position au niveau de la sécurité informatique. Les organisations utilisent le chiffrement pour tout sécuriser – sans une connaissance approfondie de risques cryptographiques, il n’y a absolument aucun moyen d’être certain de préserver sécurité et vie privée.

Base de données, Chiffrement, Contrefaçon, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

Check Point Security Report 2016

Security Report : Un employé télécharge un logiciel malveillant toutes les 4 secondes et 1 employé sur 5 est à l’origine d’une faille de sécurité.

Security Report – Le volume des attaques de phishing continue d’augmenter et touche 80% des entreprises interrogées, les pirates préférant des méthodes reposant sur la messagerie et l’ingénierie sociale pour mener leurs attaques. La société Check Point Software Technologies Ltd. vient de publier les résultats de son Security Report annuel et de l’enquête SANS : Exploits at the Endpoint: SANS 2016 Threat Landscape Study. Ces deux études mettent en exergue les challenges majeurs auxquels sont confrontées les entreprises, et délivrent des recommandations aux responsables informatiques, à mesure que les entreprises continuent de se doter de protections contre les cybermenaces évolutives.

Pour la quatrième édition de leur Security Report, les chercheurs ont analysé l’activité de plus de 31 000 gateways Check Point dans le monde entier, révélant ainsi des détails sur les logiciels malveillants connus et inconnus que rencontrent les entreprises, les tendances d’attaque, et l’impact des appareils mobiles dans l’entreprise. Les chercheurs ont également pu mesurer l’impact des failles de sécurité sur les entreprises, et les dépenses supplémentaires engendrées, au-delà des coûts de désinfection.

Dans l’enquête Exploits at the Endpoint: SANS 2016 Threat Landscape Study, réalisée en partenariat avec le SANS Institute, un organisme de recherche et de formation sur la sécurité, les chercheurs ont interrogé plus de 300 professionnels de l’informatique et de la sécurité à travers le monde pour déterminer les menaces que les entreprises doivent affronter, quand et comment ces menaces deviennent des incidents, les types de menaces qui ont le plus d’impact, et les défis que les entreprises rencontrent pour se protéger.

« Avec des milliards de nouvelles connexions chaque minute, le monde est plus interconnecté que jamais auparavant. Les innovations telles que le Cloud, la mobilité et l’Internet des objets, sont en train de transformer la manière dont nous déployons, consommons et protégeons la technologie, » déclare Amnon Bar-Lev, président de Check Point. « De plus en plus de logiciels malveillants sont introduits dans notre écosystème. Les techniques traditionnelles de sécurité sont incapables de les stopper. Pour s’en prémunir, il faut conserver de l’avance sur les choses que nous ne pouvons pas voir, connaître ou contrôler, et empêcher les attaques avant qu’elles ne se produisent. »

Ces deux études présentent une vision globale du paysage des menaces, des réseaux jusqu’aux postes de travail, et offrent leurs conclusions :

Les logiciels malveillants inconnus poursuivent leur croissance exponentielle et évolutive.
Les chercheurs ont constaté une multiplication par 9 de la quantité de logiciels malveillants inconnus qui empoisonnent les entreprises, notamment en raison des employés qui téléchargent un nouveau logiciel malveillant inconnu toutes les quatre secondes. Au total, près de 12 millions de nouvelles variantes de logiciels malveillants sont découvertes chaque mois. Plus de nouveaux logiciels malveillants ont été découverts au cours des deux dernières années que durant la décennie précédente.

La sécurité a pris du retard sur la mobilité
Les smartphones et les tablettes représentent aujourd’hui 60 pour cent du temps de consultation des médias numériques. Les appareils mobiles en entreprise sont à la fois une malédiction en termes de sécurité et une bénédiction en termes de productivité. Bien que les employés ne souhaitent pas être la cause d’une faille de sécurité, 1 employé sur 5 sera toutefois à l’origine d’une faille en raison de logiciels malveillants mobiles ou de connexions Wi-Fi malveillantes.

Les postes de travail sont le point de départ de la plupart des menaces
Parmi les entreprises interrogées, les postes sont à l’origine de la plupart des failles de sécurité et sont l’élément le plus critique de la cybersécurité. Les agresseurs préfèrent attaquer via la messagerie dans 75% des cas, et 39% des attaques menées contre les postes parviennent à contourner les gateways de sécurité réseau. Les recherches précisent que 85% des menaces sont découvertes une fois qu’elles ont réussi à se glisser dans l’entreprise.

Les deux rapports concluent que les entreprises devraient se doter de la meilleure architecture de sécurité prévoyante possible afin de pouvoir faire face aux complexités actuelles et futures en matière de sécurité informatique. Cette architecture devrait intégrer des composants critiques pour l’entreprise moderne : prévention avancée des menaces, protection des appareils mobiles, et segmentation du réseau pour une supervision approfondie.

Pour consulter le Rapport Sécurité 2016 de Check Point, rendez-vous sur http://www.checkpoint.com/securityreport/.

Arnaque, Cybersécurité, escroquerie, ID, ios, iOS, Logiciels, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Téléphonie, Vie privée

La mise à jours d’IOS 9.3.5 d’Apple ne permet pas d’éradiquer PEGASUS d’un IPhone déjà infecté

A la fin du mois d’août, Apple avait annoncé une mise à jour 9.3.5 d’IOS pour éliminer de son système IOS le logiciel espion PEGASUS qui prend d’assaut ses smartphone avec trois vulnérabilités « zero-day » appelées TRIDENT.

Dans un article publié récemment sur son blog aux Etats Unis, la société Lookout, en partenariat avec Citizen Lab, alerté Apple des dangers représentés par l’intrusion de Pegasus. Il a été constaté que la mise à jour des smartphones ne permet pas d’éliminer une infection de PEGASUS existante sur un appareil donné. La mise à jour de IOS 9.3.5 permet de colmater la faille et de protéger les appareils de toute attaque future mais elle ne permet aucune détection d’infection potentielle existante.

En plus de la mise à jour d’IOS 9.3.5 , Lookout recommande des étapes clés afin de pouvoir mieux protéger les I-Phones d’une attaque PEGASUS éventuelle : Installer et utiliser une solution de détection de malwares et d’infection, afin de pouvoir déterminer si votre appareil a été attaqué par PEGASUS ou est infecté d’un autre malware. C’est le meilleur moyen de pouvoir détecter un infection ou toute nouvelle attaque potentielle.

Pour les entreprises, Lookout rappelle que PEGASUS représente une attaque à probabilité réduite mais à dangers extrêmement élevés. Toute attaque éventuelle ciblerait probablement en premier les postes à responsabilité clés tels que le Président et les membres du CODIR, le DAF, Le Directeur des RH, etc. L’équipe IT se doit donc de vérifier ces portables en priorité.

Ne faire aucune sauvegarde d’un appareil infecté. Bien qu’il semble, en cas d’attaque, essentiel de faire une sauvegarde des données, apps et photos du portable infecté il faut malheureusement éviter car cela peut activer des mécanismes d’autodestruction de PEGASUS qui détruirait sur son passage le portable en question.

PEGASUS est en effet programmé pour s’auto détruire s’il « pense » qu’il a été identifié. De plus, une sauvegarde permettrait en plus de préserver cet état d’infection et réinstaller la donnée dans un nouvel appareil pourrait faciliter en fait une infection PEGASUS du nouveau smartphone.

BYOD, Cybersécurité, Entreprise, ID, IOT, Mise à jour, Particuliers, Patch, Téléphonie

Les trois principales implications de sécurité de l’IoT

Les professionnels de la sécurité informatique font face depuis une dizaine d’années au raz-de-marée que provoque l’augmentation des connexions d’utilisateurs, terminaux  et objets connectés IoT pour accéder aux ressources de l’entreprise ; dans le même temps, ils s’efforcent de réduire la surface d’exposition aux attaques en éliminant autant de points d’accès que possible.

Les spécialistes des objets connectés, l’ IoT, procèdent généralement à un inventaire des connexions, ils consolident les systèmes sur le réseau et les serveurs ciblés, ils créent des portails en alternative aux accès à distance, et ils opèrent une corrélation avancée des événements de sécurité au moyen d’une solution centrale de sécurité. Introduire des dispositifs IoT dans un environnement revient à ajouter un nombre inconnu de nouvelles portes à un bâtiment qui en compte déjà 100 dont l’accès est à peine contrôlé. En 20 ans, nous sommes passés d’un appareil par utilisateur à quatre ou cinq par personne et bientôt nous ne saurons probablement plus combien notre environnement compte de points d’accès exploitables connectés à Internet.

Rien que l’audit et l’inventaire de ces terminaux apparaissent comme des tâches monumentales, or c’est la première étape d’une stratégie de protection efficace. L’accessibilité future de dispositifs IoT sur le réseau a des incidences sur la sécurité. Voici trois implications qu’il convient de garder à l’esprit :

La prolifération des dispositifs IoT augmente la surface d’attaque

Pensez aux conditions d’accueil des personnes dans un grand immeuble de bureaux d’une ville moyenne. Il est possible que de nombreuses portes ne soient pas gardées, mais la progression du flux est guidée vers un guichet d’accueil ou un hall d’entrée central où les personnes titulaires d’un badge le présentent tandis que les autres doivent se soumettre à des procédures de vérification d’identité avant de se voir remettre un badge qui les autorise à aller plus loin. Pour d’autres types d’accès, l’approche n’est pas différente ; en instaurant une connexion centrale de courtage, au moins pour les requêtes émanant de l’extérieur de la surface d’attaque, l’entreprise peut établir des contrôles à un point unique d’entrée/sortie.

IoT : suffisamment anodins pour être ignorés, mais suffisamment intelligents pour être dangereux

On a trop souvent tendance à réduire l’Internet des Objets à un grille-pain intelligent. Et c’est une partie du problème. La plupart des « objets » connectés sont d’une telle simplicité qu’on banalise leur présence ou ce sont des outils ou des fonctions intégrées dont on ignore même l’existence. On en vient à oublier que, tout anodin qu’ils aient l’air, ces dispositifs sont connectés à Internet. Ce qui les rend aussi intelligents que quiconque décidera d’y accéder ou de s’en servir.

L’objet entre vos mains, à qui appartient-il réellement ?

Ce qui nous amène à la troisième préoccupation : à qui appartient réellement ou qui contrôle le dispositif IoT avec lequel vous vivez ? Est-ce vous qui l’entretenez ? Espérons que quelqu’un s’en charge car faute de correctifs et de maintenance, il y a fort à parier que votre dispositif IoT figurera bientôt dans une base de données des vulnérabilités avec le risque d’être exploité immédiatement après. S’il y a effectivement maintenance, qui y a accès ? Et même si vous avez la réponse à cette question, que savez-vous de la politique de sécurité du fournisseur concerné ? Pour revenir au point précédent, votre sécurité dépend de la vigilance dont fait preuve celui à qui vous confiez des droits d’accès au réseau de votre entreprise. Effrayant, non ? Mais à nouveau, c’est en suivant les bonnes pratiques de gouvernance des accès, comme l’utilisation d’une connexion de courtage comme indiqué précédemment, que vous saurez qui a accès à vos systèmes IoT, par quel moyen, où, quand et comment.

Le nombre des points d’accès et des dispositifs connectés présents sur votre réseau va très certainement continuer d’augmenter au cours des prochaines années. Avez-vous adopté des mesures pour prévenir les risques de compromission liés aux dispositifs IoT ? (Par Thierry Tailhardat, Directeur France de Bomgar)

Android, Cybersécurité, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Téléphonie, Vie privée

Un nouveau logiciel espion OVERSEER s’attaque aux Apps du Google Play Store

Quelques semaines seulement après avoir alerté Apple sur le logiciel espion PEGASUS qui avait trouvé une faille TRIDENT pour s’infiltrer sur IOS, l’équipe de veille et de recherche de Lookout Mobile Security, annonce avoir découvert un logiciel espion qui a attaqué plusieurs Apps sur Google Play Store.

Le spyware appelé OVERSEER, a été identifié sur quatre applications, dont une, Embassy, qui permettait aux voyageurs de rechercher des Ambassades à l’étranger. Ce malware a aussi été injecté sous forme de Trojan dans des applications de diffusion actualités Russes et Européennes. Google a promptement retiré les quatre applications infectées après avoir été prévenu par Lookout.

OVERSEER est un spyware qui cible par exemple grâce à Embassy, les grands voyageurs avec la fonction principale d’effectuer des recherches d’adresses d’Ambassades à travers le monde. Les personnes en voyages d’affaires, qui voyagent régulièrement, peuvent être particulièrement vulnérables à une telle attaque en installant sur leur téléphone l’application.

Les variantes d’OVERSEER sont capables d’identifier et d’exfiltrer l’information suivante :
:: Toutes les coordonnées de la personne attaquée tels que le nom, numéro de téléphone, l’adresse e-mail
:: Tous les comptes installés sur l’appareil infecté
:: Les coordonnées précises de localisation, latitude, longitude, No d’identification de réseau
:: La mémoire disponible interne et externe
:: Toutes les informations techniques du smartphone attaqué, incluant le type de téléphone, le nom de l’opérateur, le fabriquant du téléphone, le numéro d’identification de l’appareil, la version d’Android, l’identification Android, le niveau SDK etc.

Le spécialiste a identifié OVERSEER dans au moins quatre autres applications disponibles sur Google Play Store. Toutes ont été immédiatement retirées par Google. Beaucoup de ces Applis sont nouvelles avec un faible nombre de téléchargements et des commentaires qui semblent être faux. Ceci peut démontrer que ces applications ont été créées avec pour seul objectif d’aider à diffuser OVERSEER.