Archives de catégorie : Patch

Android, Biométrie, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Particuliers, Patch, Piratage, Smartphone, Téléphonie, Vie privée

Samsung s5 : biométrie piratée !

Des chercheurs de la société FireEye viennent de mettre à jour une faille importante dans la sécurité des Samsung Galaxy S5. Un hacker se connectant au téléphone (même avec le niveau d’accès le plus faible) sera capable d’en extraire les données biométriques, soit une copie de l’empreinte digitale de l’utilisateur.

Cette révélation démontre une nouvelle fois que les systèmes d’identification biométriques grand public peuvent être piratés. En janvier, les hackers Chaos Computer Club avaient réussi à reconstituer l’empreinte digitale du ministre de la défense allemand. Sur le papier, la biométrie est un bon moyen de prévenir l’usurpation d’identité et les fraudes associées. On peut vous voler vos mots de passe mais pas vos empreintes digitales ou votre œil. Soit. Mais on constate bien que l’authentification biométrique est aussi piratable.

Ce qui pose problème, c’est qu’une fois piratées, les données biométriques ne peuvent être modifiées. Vous ne pouvez pas changer votre empreinte digitale ou rétinienne comme un mot de passe, et vous n’avez pas envie que n’importe qui en prenne possession. Une fois que vos empreintes digitales seront dans la nature (sans forcément que vous soyez prévenu), vous serez en risque si votre empreinte digitale est la porte d’entrée vers vos données personnelles ou professionnelles.

On a beau nous annoncer la mort du mot de passe chaque semaine dans la presse technologique, il a encore de beaux jours devant lui !

Ce n’est en réalité pas tout à fait un hasard si le mot de passe s’est imposé depuis des décennies comme un « standard de fait ». Un peu comme le clavier AZERTY que beaucoup ont cherché à remplacer, il a survécu pour l’instant aux nombreuses innovations qui ont cherché à le remplacer. C’est en effet une technologie peu coûteuse, non brevetée, qui peut être utilisée de manière anonyme et qui permet de gérer la grande majorité des connexions sécurisées sur le web. Surtout lorsqu’une faille de sécurité est découverte, vous pouvez changer vos mots de passe pour vous assurer que vos données sont en sécurité. Ca n’est pas le cas avec la biométrie !

Employés correctement, les mots de passe sont sécurisés. Ils doivent être différents pour chaque site et composés de caractères alphanumériques choisis aléatoirement. Il est par ailleurs nécessaires de les changer régulièrement. Si vous respectez ces règles et stockez vos mots de passe sous forme cryptée, vous êtes en sécurité. Le vrai sujet ce sont moins les mots de passe que la manière dont nous les gérons. Le cerveau humain n’en est pas capable et c’est pourquoi il doit être suppléé par un outil comme Dashlane.

Les récents développements dans l’authentification en ligne sont très intéressants, notamment pour améliorer les méthodes d’authentification fortes combinant différents facteurs et utilisées pour des données très sensibles. Le mot de passe est cependant le standard de fait de l’authentification en ligne. Pour être en sécurité sur le web dès aujourd’hui, et non pas demain, la seule solution est de renforcer la sécurité de ses mots de passe. (Guillaume Desnoes, responsable des marchés européens de Dashlane / Forbes)

 

Microsoft, Patch

PowerShell : faire tomber la sécurité en 5 secondes

3 commentaires

Lors du White Hat Camp de Marrakech (20 au 26 avril 2015), Jérôme Ridet, chercheur en informatique et membre de l’association ACISSI, a démontré que l’outil PowerShell de Microsoft laissait passer les mots de passe en quelques clics de souris.

La commune de Marrakech (Maroc) reçoit la première édition du White Hat Camp, une semaine de conférences (20 au 26 avril 2015), formations et challenge informatique sur le thème du hacking éthique et de la sécurité informatique. L’occasion pour de nombreux chercheurs et vrais professionnels de la sécurité informatique de venir échanger sur leurs découvertes. Parmi les intervenants, le chercheur français, ingénieur réseau, Jérôme Ridet. Ce jeune nordiste est venu expliquer la faiblesse de PowerShell. Une faiblesse qui pourrait faire penser (ce n’est que l’avis de l’auteur de cet article, Ndr) à une porte cachée (backdoor). Certes facilement exploitable avec un peu de curiosité et la lecture complète du mode d’emploi de PowerShell.

PowerShell est un logiciel Microsoft. Il permet aux administrateurs réseau de gérer leurs systèmes. Un outil indispensable qui automatise les taches informatiques comme les créations d’utilisateurs, les gestions des événements, la mise en place des droits utilisateurs… Jérôme Ridet a découvert comment « bypasser » les droits qui peuvent être proposés par un administrateur. Bilan, le « maître des clés » qu’est l’administrateur se retrouve avec un sérieux problème : en quelques commandes, les n’importe quel mot de passe devient accessible. Ils ont beau être chiffrés, les trois commandes (indiquées dans le mode d’emploi, NDR) couplées permettent de mettre la main sur le précieux sésame. « Quand j’ai découvert le truc, explique cet administrateur réseau au site Internet ZATAZ.COM, je n’étais pas sûr de ce que je voyais. Je me suis dit, ce n’est pas possible.« 

Une découverte étonnante, d’autant plus dangereuses que les commandes peuvent être automatisées. Si vous rajoutez un petit détail dans les commandes, un intrus peut même faire disparaître la moindre trace de son action. Des commandes qui peuvent être cachées dans une macro (Excel, Word, Access, …). ZATAZ.COM explique que pour se protéger de ce genre de malveillance, il faut refuser la moindre macro dans les documents que vous pouvez recevoir. Ne jamais saisir son mot de passe, même si l’environnement semble sécurisé. Pour l’administrateur, il est vivement conseillé de bloquer l’invite de commande comme par exemple en supprimant ou en renommant CMD.

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Particuliers, Patch, Piratage, Sécurité, Social engineering, Vie privée, VPN

6 Français sur 10 seraient des idiots avec le Wi-Fi public

8 français sur 10 utiliseraient chaque mois le Wi-Fi public tout en craignant d’être la cible de hackers. 66% des français préfèrent se connecter au Wi-Fi public non sécurisé et risquer de perdre leurs données personnelles.

Alors que les pirates informatiques peuvent aujourd’hui très facilement accéder aux données personnelles des utilisateurs du Wi-Fi public, Avast Software, éditeur de solutions de sécurité pour mobiles et PC, dévoile les résultats de son étude menée auprès des utilisateurs de réseaux sans fil en France. D’après cette enquête, la plupart des français ont conscience des dangers liés à l’accès aux réseaux Wi-Fi publics pour leurs données mais il semblerait que les bonnes pratiques ne soient pas toujours appliquées.

En effet, 66% des répondants admettent préférer accéder aux réseaux Wi-Fi publics qui ne requièrent pas de nom d’utilisateur ni de mot de passe pour se connecter et ainsi risquer de mettre leurs données personnelles à la portée du premier hacker venu, voire de se faire voler leur identité. Seuls 4% d’entre eux utilisent un réseau privé virtuel (VPN) pour crypter les données, empêcher les pirates informatiques d’avoir de la visibilité sur leur navigation et donc de protéger leurs appareils mobiles. Pourquoi ces négligences ? L’étude d’Avast révèle notamment que 36% des utilisateurs du Wi-Fi font confiance au fournisseur d’accès à internet quant à la sécurisation du réseau alors que rien ne garantit son engagement en matière de protection.

Les risques associés à une connexion aux réseaux Wi-Fi publics sont pourtant bien réels et les utilisateurs ne peuvent les ignorer. Parmi eux, 28% craignent effectivement de se faire voler leurs identifiants et leurs mots de passe, et 39% redoutent que les hackers ne s’emparent de leurs informations bancaires et financières depuis leurs terminaux mobiles. Toutefois, cela ne les empêchent pas de surfer sur des sites sensibles ou d’effectuer des achats susceptibles de mettre en péril la protection de leurs données personnelles et confidentielles. En effet, 10% des répondants affirment réaliser des activités bancaires lorsqu’ils sont connectés aux réseaux sans fil non sécurisés, 4% font du shopping en ligne et 2% effectuent d’autres types de transactions financières.

Le Wi-Fi permet d’accéder facilement à internet dans les lieux publics, raison pour laquelle 47% des français s’y connectent, mais aussi un moyen efficace d’économiser du forfait internet. Aujourd’hui, 8 français sur 10 utilisent chaque mois les réseaux Wi-Fi publics dont 24% plusieurs fois par semaine. Il est donc primordial qu’ils prennent conscience des menaces qui planent sur leurs informations et surtout des conséquences qu’un vol de données ou une usurpation d’identité peut avoir. Les hackers peuvent très facilement avoir de la visibilité sur les mots de passe, les emails, l’historique de navigation ou encore les données confidentielles si les utilisateurs du réseau Wi-Fi public n’utilisent pas de système de protection. Même s’ils sont peu expérimentés, les pirates informatiques peuvent facilement espionner, accéder aux informations d’un utilisateur voire les modifier rien qu’en s’infiltrant dans une borne Wi-Fi ouverte.

Pour être en mesure de protéger leurs données, les internautes et les mobinautes doivent privilégier les connexions aux réseaux Wi-Fi sécurisés moins facilement accessibles pour les hackers. Il est également nécessaire de mettre en place une solution de sécurité performante, que ce soit pour ordinateurs, smartphones et tablettes, qui permette d’identifier les connexions Wi-Fi sécurisées ainsi que d’éventuelles failles sur le réseau, et qui soit aussi en mesure de protéger les données de l’utilisateur lorsqu’il se connecte au Wi-Fi public. Les pirates informatiques sont de plus en plus expérimentés et à l’affût de la moindre faille, mieux vaut donc mettre toutes les chances de son côté pour protéger ses informations personnelles tout en continuant à profiter des avantages du Wi-Fi.

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Patch, Piratage, Propriété Industrielle

Du déni de service au contournement de la cyber-sécurité

Un commentaire

Premier rapport trimestriel de Corero Network Security : du déni de service au contournement de la cyber-sécurité. Des attaques plus fréquentes et avec de nouvelles visées, voilà le constat inquiétant du premier rapport publié par Corero et réalisé à partir des données de ses clients.

Corero Network Security, éditeur de solutions de sécurité contre les attaques par DDoS comme Première Ligne de Défense, publie aujourd’hui la première édition de son étude trimestrielle sur les tendances et l’analyse des DDoS. En analysant les données des clients du quatrième trimestre 2014, Corero constate que les pirates ont évolué dans leur utilisation des attaques DDoS. Celles-ci servent désormais à contourner les solutions de cyber-sécurité des entreprises, à perturber la disponibilité des services et à infiltrer les réseaux des victimes.

Le Rapport trimestriel Corero sur les tendances et l’analyse des DDoS s’appuie sur des données provenant de ses clients – hébergeurs, data centers, FAI et entreprises en ligne – du monde entier et sur l’analyse de l’état de l’art faite par le SOC (Security Operations Center) de la société.

Des attaques plus courtes et à saturation partielle
DDoS était précédemment le nom consacré pour ces attaques car elles déniaient l’accès aux sites web ou aux solutions basées sur le web. Bien que ce soit encore le cas en certaines circonstances, les organisations sont également visées par un nouveau type de trafic d’attaque par DDoS. Les données des clients de Corero montrent deux nouvelles tendances : de courtes explosions du trafic au lieu d’épisodes qui se prolongent et des attaques par saturation partielle des liaisons au lieu de l’inondation complète du réseau, comme le terme déni de service l’évoquait historiquement.

Au lieu de longues attaques, environ 96% des attaques DDoS ciblant les clients de SmartWall Threat Defense System (TDS) de Corero ont duré 30 minutes ou moins. Le problème provient du fait que les clients Corero observent en moyenne 3,9 tentatives d’attaques journalières. Pour les organisations qui s’appuient sur des défenses hors bande ou sur le nettoyage anti-DDoS pour réacheminer le trafic après qu’une attaque ait été identifiée, cela peut prendre jusqu’à une heure pour que la solution cloud de mitigation des DDoS prenne le relais avec succès. Ce temps de réponse assez long signifie que même les principaux outils du cloud pour la défense contre les DDoS pourraient complètement rater une attaque. Les organisations subiraient alors les pannes que ces solutions sont censées prévenir.

En outre, 79% des tentatives d’attaque DDoS ciblant les clients de Corero entre le 1er Octobre et le 31 Décembre 2014 avaient des pics d’utilisation de la bande passante inférieurs à 5 Gbps. Ces attaques visaient à partiellement saturer la liaison Internet et détourner l’attention des équipes de sécurité de l’entreprise, tout en laissant suffisamment de bande passante disponible pour qu’une attaque ultérieure permette d’infiltrer le réseau de la victime et d’accéder aux données sensibles ou à la propriété intellectuelle du client.

Des DDoS à des fins de profilage
Alors que les attaques volumétriques par DDoS sont plus faciles à identifier et recueillent souvent la plus grande attention, Corero a constaté que les attaquants commencent à démultiplier les attaques multi-vecteur et adaptables à leur cible. Cela leur permet de profiler la stratégie de défense de la sécurité du réseau de la victime, puis de lancer de nouvelles attaques qui contourneront les outils de cyber-sécurité de l’organisation.

« Les attaques par déni de service ont été une menace pour la disponibilité du service pendant plus d’une décennie. Plus récemment, ces attaques sont devenues plus sophistiquées et multi-vectorielles, débordant les mécanismes traditionnels de défense ou les contre-mesures réactives », déclare à DataSecurityBreach.fr Dave Larson, CTO et vice-président Produits de Corero Network Security. « Comme les expériences de nos clients l’indiquent, la régularité de ces attaques souligne simplement le besoin croissant d’une protection adaptée pour vaincre les attaques DDoS à la périphérie du réseau et assurer l’accessibilité nécessaire à l’entreprise connectée à Internet ou aux fournisseurs d’accès Internet eux-mêmes. »

Pour que les organisations se défendent à la fois contre les méthodes d’attaque DDoS traditionnelles et évolutives, Corero préconise de mettre en œuvre une technologie pour détecter, analyser et répondre aux attaques DDoS en inspectant le trafic Internet brut par le débit de la ligne, pour identifier et bloquer les menaces dès les premiers paquets d’une attaque donnée. Mettre en place une stratégie de sécurité multicouche mettant l’accent sur la visibilité continue et l’application de la politique de sécurité pour installer une première ligne de défense proactive capable de lancer la mitigation des attaques DDoS, tout en maintenant une connectivité de plein service et la disponibilité du trafic légitime. Veiller à la visibilité totale des couches applicatives et du réseau lors événements de sécurité DDoS. Cette bonne pratique permet également l’analyse forensique des menaces passées et permet de disposer des rapports de conformité de l’activité de sécurité. (Le rapport)

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage

Sécurisation des données à l’heure du cloud

La sécurisation des données est un enjeu colossal à l’heure du cloud, notamment pour les entreprises et collectivités locales. Quatre choses essentielles doivent absolument être prises en compte.

Ces choses essentielles sont la sauvegarde, la sécurité des données personnelle et professionnelle, les usages de l’informatique et de l’importance de l’information/formation.

Sauvegarde
Les entreprises et les collectivités doivent faire face à un environnement toujours plus hétérogène et l’utilisation de plus en plus fréquente de l’informatique dématérialisée en fait partie. De nombreuses entreprises gèrent donc aujourd’hui des environnements physiques, des environnements virtuels ainsi que des environnements Cloud. De nombreuses entreprises recherchent une méthode efficace pour simplifier leurs processus de sauvegarde. Il peut être intéressant de penser la préservation des données au cœur même des logiciels ou avec les services Cloud. Mesures : Possibilité de revenir à une situation antérieure, si erreur lors d’une procédure lourde telle que la préparation du budget.

« Scheduler » : messages de recommandations au cœur des logiciels lors d’opérations particulières (ex. avant de commencer le budget, « nous vous conseillons de faire un archivage »).

Sécurité des données
Un exemple : 19.000 attaques de sites web suite aux attentats de Charlie Hebdo, y compris ceux des collectivités locales. Les collectivités et les entreprises ont souvent peu conscience des enjeux liés à la sécurité des données. Mais la sécurité est un travail d’équipe et il faut que les prestataires de Cloud ou de logiciels et leurs clients travaillent main dans la main pour proposer une sécurité optimum. Ce n’est pas au fournisseur de gérer la sécurité de son client, car ce dernier en est en fait le seul maître. Le fournisseur de Cloud met à disposition des outils permettant la mise œuvre d’une politique de sécurité, mais c’est au client de les utiliser à bon escient et de prendre conscience de la dangerosité de mettre à disposition des données informatiques, y compris en interne. 60% des piratages trouvent leur source en interne.

Mesures : Mettre en place des droits d’accès aux données restreints, gérer finement les profils d’utilisateurs ; mettre en place une charte informatique pour éduquer en interne et informer sur ce qu’il est possible de faire ou non ; ne pas hésiter à prendre conseil auprès de son prestataire informatique.

Usages de l’informatique
Les risques viennent souvent d’une méconnaissance de l’informatique et du web. Il faut être vigilant et ne pas « sortir » n’importe quelles données de la collectivité ou de l’entreprise. Attention également à ne pas télécharger n’importe quoi. Bien souvent, les entreprises et les communes ne savent pas si leurs sauvegardes sont bonnes. Elles sont formées par leur prestataire, mais elles ne se soucient pas vraiment, ne vérifient pas. Il n’y a pas de test de restauration, ce qui engendre parfois de mauvaises surprises …

Mesures : Formation, « éducation », aider à faire prendre conscience. Rappeler que les données ne doivent pas être sauvegardées que sur le poste mais aussi et surtout sur le serveur.

Importance de l’information/formation
Avant de sécuriser les réseaux, il faut éduquer les utilisateurs, mais aussi les cadres sur les enjeux, risques et bonnes pratiques. Par exemple, méconnaissance de la différence entre un virus et un malware. Un virus s’installe à votre insu sur votre machine et vient corrompre un programme existant. En revanche, un malware est interprété par le système comme un programme installé par l’utilisateur : en cliquant sur une PJ, en installant un petit programme, etc. Ainsi les antivirus sont inutiles face à cette menace ! Seule la vigilance de l’utilisateur peut le protéger.

Mesures : Etre vigilant sur l’ouverture de PJ quand on ne sait pas de qui vient le courriel. Se méfier des mails étrangers. Ne pas aller sur n’importe quel site et installer n’importe quel programme et ne pas hésiter à se tourner vers son prestataire informatique en cas de question.

Banque, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Patch, Piratage, Social engineering

Cyber-protection des entreprises : bientôt les vraies questions

Un sujet qui ne les concerne pas. C’est sans doute ainsi que les citoyens, s’ils étaient interrogés, qualifieraient la question des moyens utilisés par les entreprises pour lutter contre les cyber-menaces.

Normal. Après tout – et heureusement – aucun drame de type coupure généralisée de l’électricité revendiquée par des pirates n’est survenu, mettant de facto ce thème aux allures techniques à la une des médias et des préoccupations. Plus de 25 000 sites ont certes été piratés suites aux drames de janvier, mais les autorités ont rapidement calmé les esprits en rappelant qu’il s’agissait d’actes de cyber vandalisme et de communication, non de cyber guerre – aucune donnée n’a été volée, aucun système industriel n’a été détruit. Quelques attaques informatiques ont par ailleurs été médiatisées – celle de Home Dépôt en septembre dernier, puis celle de Sony Pictures, entre autres. Mais pour les citoyens, ces affaires semblent bien éloignées …

Double erreur d’interprétation. D’abord parce ces organisations, comme toutes les autres grandes entreprises, avaient bien sûr déployé la batterie traditionnelle de solutions de sécurité. Simplement, cette dernière ne suffit plus, désormais, pour détecter rapidement une attaque, la comprendre, et en limiter ainsi les impacts – ce sont d’ailleurs les pirates qui ont révélé leurs méfaits à Sony, après plusieurs semaines de vols de données. L’entreprise, elle, n’avait rien vu. Ensuite parce que les organisations françaises ne savent pas exactement dans quelle mesure elles peuvent utiliser les nouvelles techniques d’analyse et de détection faute d’avoir la réponse à une question clef : jusqu’où peuvent-elles aller dans la surveillance de leur réseau tout en respectant la vie privée de leurs employés ? Et cette question, elle, concerne directement tous les citoyens…

Car hélas les attaques les plus visibles sont souvent les moins graves – on l’a vu en janvier. Ce sont celles qui ne se voient pas qui font le plus de dégâts. Or, ce sont justement celles-là que les entreprises sont de moins en moins capables de détecter, pour une raison en simple : une part croissante des flux qui transitent sur leurs réseaux sont chiffrés, c’est-à-dire rendus illisibles par Google, Yahoo et autres géants de la high-tech – un phénomène qui s’est accentué après l’Affaire Snowden. Le problème n’en serait pas un si tous ces flux étaient d’ordre professionnel – dans ce cas, les entreprises ne se poseraient pas la question de savoir si elles peuvent les déchiffrer et les analyser. Elles le feraient, c’est tout. Mais l’infrastructure de nos entreprises est également utilisée par les employés à des fins personnelles, et cela de manière tout à fait légale. Les données échangées et stockées sur les ordinateurs peuvent tout naturellement avoir une composante personnelle, donc confidentielle. Les salariés seraient-ils alors prêts à laisser leur employeur déchiffrer ces traces personnelles – et renoncer ainsi à une partie de leur intimité – pour que leur entreprise puisse mieux se protéger et empêche les pirates d’utiliser les flux chiffrés comme des tunnels d’accès direct, sans péage, à son système d’information ? Sous quelles conditions pourraient-ils l’accepter ? Sur ces sujets la législation aujourd’hui se tait et le débat, d’ordre sociétal autant qu’économique, peine à être lancé.

Le sera-t-il à court terme ? C’est fort probable. Non à l’initiative des entreprises ou des pouvoirs publics – dans le contexte économique actuel, les premières ont en effet d’autres sujets de préoccupation. Les autorités, elles, subissent déjà des polémiques de type – « sécurité vs liberté » – depuis qu’elles travaillent sur l’échange des données des passagers aériens, pour lutter contre le terrorisme. En fait, ce sont plutôt les citoyens eux-mêmes qui pourraient bien mettre la question à l’ordre des débats publics. Aux États-Unis en effet les employés de Sony Pictures ont intenté une action en justice contre l’entreprise pour défaut de protection de leurs données personnelles – ces dernières ayant été volées par les pirates. Ont-ils vraiment conscience de ce qu’impliquerait la mise en œuvre d’une protection plus efficace ? La démarche sera-t-elle répliquée en France ? Nul ne le sait. Mais les débats, c’est certain, ne font que commencer. En échange de moyens accrus pour faire face aux cyber-menaces, indispensables, il faudra bien définir de nouvelles garanties pour les individus. La cyber-protection des entreprises, y a-t-il quelqu’un qui ne se sente pas concerné ? (Par Dominique Loiselet, Directeur France et Afrique francophone de Blue Coat)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Sauvegarde

Pour une meilleure défense contre les attaques avancées

Kill Chain 3.0 : mettre à jour la Cyber Kill Chain pour une meilleure défense contre les attaques avancées.

Tous les responsables de la sécurité des réseaux ont déjà entendu parler de la Kill chain – une méthode de défense conçue pour combattre efficacement les cyber attaques avancées ou APT. Cette méthode comporte sept étapes pour l’attaquant, et propose un mode spécifique de défense pour chacune d’elles. Les étapes de la kill chain comprennent :

·         Reconnaissance – S’informer sur la cible en utilisant de nombreuses techniques.
·         Armement – Combiner le vecteur d’attaque avec un contenu malicieux.
·         Livraison – Transmettre le contenu malicieux avec un vecteur de communications
·         Exploitation – Profiter d’une faiblesse logicielle ou humaine pour activer le contenu malicieux
·         Installation – Installer durablement le contenu malicieux sur un ordinateur hôte individuel
·         Commande & Contrôle (C2) – Le malware appelle l’attaquant, qui en prend la contrôle
·         Actions prévues – L’attaquant vole ou fait ce qu’il avait prévu de faire.

Les professionnels de la sécurité réseau ont des opinions diverses quant à l’efficacité de la kill chain en tant que méthode de défense. Certains l’adorent, décrivant comment leurs équipes de sécurité l’utilisent, tandis que d’autres indiquent qu’il lui manque certains détails cruciaux, et qu’elle n’est adaptée qu’à certains types d’attaques. Les deux interprétations ont chacun leur part de vérité, mais il existe trois étapes simples pour rendre la kill chain encore plus efficace, appelons la Kill Chain 3.0.

Tout d’abord, il convient de modifier les étapes de la kill chain telle que décrite plus haut. Si l’on utilise la kill chain en tant qu’outil de défense, alors chacune des mailles de la chaîne doit donner lieu à une ou des actions de défense. Par exemple, l’étape Armement de la kill chain n’est pas réellement exploitable par les défenseurs. Dès lors pourquoi faire apparaître une étape qui n’a pas grand-chose à voir avec la défense ? Par ailleurs, comme beaucoup l’ont déjà fait remarquer, la kill chain actuelle se concentre avant tout sur l’intrusion initiale, et pas assez sur la façon dont les auteurs des attaques avancées exploitent leur premier point d’entrée pour se répandre dans l’ensemble du réseau de leur victime. La kill chain doit inclure une étape pour les mouvements latéraux et la modification des droits d’accès en local. De ce fait, la chaîne devrait être modifiée de la façon suivante :

·         Reconnaissance
·         Armement Livraison
·         Exploitation
·         Installation Infection
·         Commande & Contrôle

Ø  Mouvement Latéral & Pivotement

·         Objectifs/Exfiltration

Après cette simple modification, à chaque étape de la kill chain correspondent des moyens de défense adaptés. Par exemple, la détection des ports et des adresses IP et la traduction d’adresses NAT seront efficaces à l’étape Reconnaissance ; le blocage des ports firewall, l’IPS et le contrôle applicatif le seront à l’étape Livraison ; .le Patching et l’IPS le seront à l’étape Exploitation ; La segmentation du réseau le sera à l’étape Mouvement Latéral, et ainsi de suite.

Ensuite, il convient de retenir qu’il est important d’avoir des défenses pour chacune des étapes de la kill chain, et que chacune des étapes à la même importance. Un des concepts à la base de la kill chain est que plus tôt dans le cycle vous prévenez une attaque, meilleur c’est. Bien que cela soit techniquement vrai, ceci explique également pourquoi beaucoup se concentrent sur des mesures de protection lors des premières étapes de la kill chain, et consacrent moins de temps et d’efforts à protéger les étapes suivantes, même si ces défenses ont le pouvoir de contenir ou de limiter significativement les conséquences d’une intrusion réussie. En vérité, les attaques les plus sophistiquées contourneront ou éluderont souvent les défenses mises en place sur les premières étapes. Si l’entreprise ne s’est pas suffisamment concentrée sur les défenses adaptées aux étapes suivantes, telles que la détection des botnets, la prévention des pertes de données et la segmentation du réseau interne, elle n’exploite pas toutes ses chances de prévenir une attaque majeure. En bref, la bataille n’est pas perdue après une infection initiale si l’on a consacré toute son attention aux défenses lors des étapes suivantes de la Kill Chain 3.0.

Enfin, il est nécessaire de disposer d’un outil d’affichage qui permette de visualiser l’ensemble des sept étapes de la kill chain. Celle-ci est parfaite pour mettre en valeur chacune des zones où peut être stoppée une attaque sur le réseau, mais s’il n’est pas possible de contrôler le parcours d’une attaque au travers de chacune des étapes, l’entreprise se prive d’elle-même de données critiques qui pourraient l’aider à se protéger. Les outils d’affichage et d’analytiques doivent être des composants clés de la Kill Chain 3.0. Si l’entreprise ne dispose pas d’un outil de reporting capable de rassembler les logs de tous ses contrôles de sécurité, et de corréler différentes alertes en un seul et même incident, elle a de fortes chances de manquer les signes d’une attaque sophistiquée.

Pour récapituler : modifiez un peu les étapes de la kill chain, accordez la même importance à chacune des étapes – y compris les dernières, et dotez-vous d’un outil de reporting et d’affichage capable de contrôler l’ensemble du processus, et vous obtenez la Kill Chain 3.0, une méthode optimisée pour se protéger au mieux contre les attaques avancées. (Par Pierre Poggi, Country Manager France de WatchGuard)

Adobe, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle

Patch Tuesday de mars 2015

Tout comme le mois dernier, davantage de vulnérabilités sont encore traitées par rapport à un mois classique. À moins qu’il ne s’agisse d’un nouveau rythme concernant les correctifs des failles de Microsoft et Adobe, avec un ensemble d’autres failles de sécurité à résoudre.

Les correctifs de Microsoft sont au nombre de 14 pour mars, dont 5 critiques. La priorité absolue est le bulletin MS15-018 consacré à Internet Explorer (IE). Toutes les versions d’IE sont concernées, depuis IE6 (sur Windows Server 2003) jusqu’à IE11. La nouvelle version traite 12 vulnérabilités, dont 10 critiques et exploitables pour exécuter du code sur la machine ciblée. L’une des vulnérabilités a été publiquement révélée, mais elle n’est pas du type Exécution de code à distance, ce qui atténue un peu l’exposition. Scénario typique : un attaquant injecte du code HTML malveillant sur un site Web sous son contrôle puis il incite la machine cible à se rendre sur ce site. Il peut aussi pirater un site sur lequel la cible se rend habituellement et tout simplement attendre que cette dernière se rende sur ledit site. MS15-019 est le bulletin frère de MS15-018 et corrige le composant VBScript pour IE6 et IE7 qui est résolu dans MS15-018 pour les navigateurs plus récents. Commencez par installer ce bulletin.

MS15-022 est le second bulletin le plus important en termes de sévérité. Il corrige cinq vulnérabilités dans Microsoft Office, l’un d’elle étant critique dans l’analyseur RTF. En effet, ce dernier peut être exécuté automatiquement dans la zone d’aperçu lors de la réception d’un courriel si bien que Microsoft classe cette vulnérabilité comme critique. Cependant, comme deux des vulnérabilités restantes permettent à un attaquant d’exécuter du code à distance, nous positionnons ce bulletin en tête du classement d’aujourd’hui.

MS15-021 résout huit vulnérabilités liées aux polices sous Windows. En effet, un attaquant qui incite un utilisateur à visualiser une police altérée peut lancer une exécution de code à distance sur la machine ciblée. Les attaques peuvent être lancées via des pages Web ou des documents, au format PDF ou Office.

Stuxnet
MS15-020 est le dernier bulletin critique de la série pour le mois de mars. Il concerne un attaquant qui peut inciter un utilisateur à parcourir un répertoire d’un site Web ou à ouvrir un fichier. Le système Windows Text Services contient une vulnérabilité qui permet à l’attaquant de lancer une exécution de code à distance sur la machine cible. Ce bulletin comprend aussi un correctif pour CVE-2015-0096, une vulnérabilité associée à la vulnérabilité Stuxnet d’origine CVE-2010-2568. HP ZDI a rapporté cette vulnérabilité à Microsoft et fournit une bonne description technique sur son blog.

Test Fuzzing
Tous les bulletins restants sont moins critiques, c’est-à-dire seulement importants, dans la mesure où les vulnérabilités concernées ne permettent typiquement pas à un attaquant d’exécuter du code à distance. Ces dernières sont plutôt des fuites d’information ou n’autorisent qu’une élévation locale de privilèges. Les bulletins MS15-024 et MS15-029 traitent des bugs découverts via l’outil afl-fuzz de lcamtuf et que ce dernier améliore sans cesse et rend toujours plus intelligent. Jetez un coup d’œil sur son blog pour lire une série de posts sur afl-fuzz.

Serveurs
MS15-026 est un bulletin pour Microsoft Exchange qui résout plusieurs élévations de privilèges et problèmes de fuites d’information. Consultez ce bulletin si vous utilisez Outlook Web Access. FREAK cible aussi les serveurs, même si de manière différente. Côté serveur, si vous désactivez le chiffrement de type Configuration d’exportation, vos utilisateurs ne pourront pas être victimes de la vulnérabilité FREAK, même si leurs clients ne sont pas patchés.

Adobe
Adobe diffuse aussi une mise à jour (APSB15-05) pour Flash que Microsoft intègre à Internet Explorer, qui sera publiée ce jeudi. Explication de Microsoft dans le correctif KB2755801 : « Le 10 mars 2015, Microsoft a publié une mise à jour (3044132) pour Internet Explorer 10 sur Windows 8, Windows Server 2012, Windows RT ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour concerne les vulnérabilités décrites dans le bulletin de sécurité Adobe APSB15-05 (disponible le 12 mars 2015). Pour plus d’informations sur cette mise à jour, y compris les liens de téléchargement, voir l’article 3044132 dans la base de connaissances Microsoft. »

Appliquez les correctifs aussi vite que possible mais vérifiez aussi votre exposition à Superfish et sachez que certaines applications modifient votre magasin de certificats racine pour espionner vos communications. (Par Wolfgang Kandek, CTO, Qualys Inc.)

Adobe, Apple, Cyber-attaque, Cybersécurité, ios, iOS, Linux, Linux, Logiciels, Microsoft, Mise à jour, OS X, Patch, Piratage, Smartphone

Windows, moins dangereux qu’iOS et OS X d’Apple

Le National Vulnerability Database, qui recense les failles dans les logiciels et autres applications web indique que l’année 2014 aura été l’année des vulnérabilités pour iOS, OS X Apple et Linux. Windows se classe 4ème.

Voilà qui a fait pas mal parler chez les « trolleurs » en tout genre. Mais il faut bien l’admettre, la firme de Redmond a mis les bouchées double pour protéger son OS, Windows. Bilan, la National Vulnerability Database, qui recense les failles (19 par jour en 2014) a classé l’OS de Microsoft plus sécurisé qu’iOS, OS X Apple. Même Linux, classé 3ème, dans ce top 4, devance Microsoft du point de vu des failles découvertes l’année dernière. Les problèmes dans les systèmes d’exploitation (OS) ne représentent que 13% des failles recensées en 2014. 1.705 failles recensées. 182 failles de moins que l’année record, en 2010. Les navigateurs sont toujours montrés du doigt. Internet Explorer, en 2014, a souffert de 242 brèches dangereuses. Chrome (124) et Firefox (117) ont dépassé la centaine de failles. (gfi)

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle

Pourquoi de bonnes résolutions ne suffisent pas à se protéger en 2015 ?

Face aux cyber-menaces, les entreprises doivent s’ouvrir à de nouvelles approches en termes de cyber-sécurité.

Le paysage des cyber-menaces est en évolution permanente. Les attaques ciblées se multiplient tandis que les modes opératoires deviennent de plus en plus complexes et uniques, rendant ces menaces extrêmement difficiles à identifier. Pour ces raisons, la cyber-sécurité est devenue, aujourd’hui, une problématique prioritaire pour la plupart des entreprises.

Dans ce contexte, il existe quelques recommandations qui permettent de limiter les risques de cyber-attaques. Il est par exemple conseillé de vérifier les antécédents des employés, de limiter l’accès des salariés aux données par lesquelles ils sont concernés dans le cadre de leurs fonctions, de s’assurer du cryptage des données confidentielles, etc. Cependant, bien qu’ils méritent d’être pris au sérieux, ces prérequis de base ne sont pas suffisants pour faire face à la réalité des menaces actuelles les plus sophistiquées.

En effet, aujourd’hui, nous ne pouvons plus considérer, uniquement, les menaces externes. Dans un contexte où l’information est de plus en plus difficile à canaliser, notamment à cause de la pluralité des lieux et des supports d’utilisation, la menace interne est plus que jamais présente, et concerne chaque organisation.

D’un point de vue technologique, une société baptisée Darktrace a connu d’importantes mutations au court des dix dernières années. Le modèle traditionnel, que nous pourrions qualifier d’ancestral, consistait à construire un mur autour du réseau de l’entreprise afin de se protéger d’éventuelles menaces provenant de l’extérieur. Cette approche nécessitait une connaissance parfaite de son réseau ainsi que la capacité à délimiter ses frontières. Aussi, elle impliquait une confiance totale en tous les collaborateurs internes à l’entreprise, et une méfiance constante envers les acteurs externes. Cette vision un peu simpliste apparaît clairement obsolète dans la société contemporaine. Ainsi, pour aider les entreprises à anticiper les cyber-attaques, Darktrace a développé une nouvelle approche. Celle-ci prend comme point d’ancrage l’acceptation de la présence de menaces, sur tous les systèmes d’information.

En effet, étant donné que le risque zéro n’existe pas, et que la réalité des entreprises nous démontre, chaque jour, qu’il est de plus en plus difficile de délimiter les frontières du réseau, il n’est pas pertinent de faire la distinction entre l’interne et l’externe. C’est pourquoi, Darktrace a développé une nouvelle approche appelée « Système Immunitaire pour Entreprises ». Basée sur des avancées académiques fondamentales, elle a pour vocation de se prémunir contre les menaces les plus sophistiquées, qu’elles émanent de l’interne ou de l’externe.

La technologie repose sur l’analyse et l’apprentissage automatisé de l’environnement de l’organisation. Concrètement, il s’agit d’observer les comportements de chaque utilisateur, de chaque machine et de la structure dans sa globalité, afin d’identifier un modèle de comportement normal. La connaissance de ce modèle de référence permet, par déduction, d’identifier les activités « anormales », pouvant révéler d’éventuelles menaces.

Cette solution repose, d’une part sur une technologie auto-apprenante et, d’autre part, sur des mathématiques probabilistes bayésiennes développées à l’université de Cambridge. La combinaison de ces intelligences permet une évolution constante du modèle « de référence », en fonction de l’activité de chaque utilisateur, de chaque machine dans le réseau, et des mutations au sein de l’organisation.

Cette vision de l’activité réseau de l’entreprise, en temps réel, ne permet pas d’éliminer les cyber-menaces, elle a pour vocation de les identifier, afin d’être à même de prendre des mesures correctives avant qu’il ne soit trop tard. Le risque zéro n’existe pas, la menace est là, partout au sein de notre réseau, et elle est impossible à éradiquer. La vraie force est la capacité à l’identifier afin d’anticiper d’éventuelles attaques.