Archives de catégorie : Fuite de données

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Analyse du virus qui aurait attaqué TV5 Monde

3 commentaires

Jeudi 9 avril, la chaîne de télévision française TV5 Monde a été piratée par des partisans de l’État islamique. Peu de renseignements ont été donnés sur la façon dont l’attaque s’est déroulée. La seule information semi-technique qui était disponible au moment de la rédaction de ce post venait du site web Breaking3Zero.

L’éditeur BlueCoat a envoyé à Data Security Breach son analyse de ce qui semble être le code malveillant en question. Personne, autres que TV5 Monde et l’ANSSI ne disposent d’informations internes, mais nous sommes parvenus à trouver un malware, qui n’est pas totalement identique, mais qui correspond à plusieurs indicateurs révélés par Breaking3Zero. Par exemple, des références aux alias JoHn.Dz et Najaf. Un échantillon de ce hash md5 est  2962c44ce678d6ca1246f5ead67d115a.

Jenxcus and Bladabindi

Cet échantillon semble être un équivalent du virus (Visual Basic Script) worm KJ_W0rm, un dérivé de NJ_W0rm, ancien et particulièrement répandu.Ce malware est connu des antivirus sous le nom de VBS/Jenxcus. Puisqu’il dépend d’un script, le malware est très facile à modifier, ce qui a engendré un très grand nombre de modifications. Jenxcus apparait souvent en compagnie d’un autre malware appelé Bladabindi ou NJ_Rat. Contrairement à Jenxcus, Bladabindi n’est pas un script, mais un exécutable Windows, écrit en .NET. Il possède d’autres caractéristiques et peut, par exemple, prendre des captures d’écran, dérober des identifiants en ligne, mais aussi télécharger et installer d’autres codes malicieux.

Bladabindi peut être créé et configuré en utilisant un outil de création disponible publiquement, rendant ainsi très simple la production de nouvelles versions. Cet outil s’est donc beaucoup répandu, car il est facile à utiliser clandestinement. Bladabindi fait donc aujourd’hui parti des familles de malwares les plus courantes, surtout dans le Moyen-Orient. Aussi, il est devenu tellement fréquent que Microsoft a décidé de prendre des mesures offensives contre lui. Cela a donné lieu à une destruction quelque peu controversée du botnet en juin 2014. Les documents juridiques déposés ont alors identifié les auteurs du clandestin Bladabindi et du worm Jenxcus comme étant Naser Al Mutairi (Koweit), and Mohamed Benabdellah (Algérie). Mutairi aurait utilisé le virus en ligne njq8, et se trouve être probablement la personne mentionnée dans la section Crédits de l’échantillon malware « Najaf ».

Le variant Najaf – md5 2962c44ce678d6ca1246f5ead67d115a

Si l’on compare l’échantillon « Najaf » avec un échantillon type KJ_W0rm, on peut voir qu’il y a des véritables similitudes. Les différences sont surtout dans la façon dont les paramètres hardcodés sont placés dans le code.

Ci-dessus: Najaf vs KJ_W0rm

Fonctionnalité

Le script est plutôt court et simple, et diffère seulement légèrement de KJ_W0rm. Il s’autocopie dans un fichier (ex : C:Users%USERNAME%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup on Win7. Des clés de lancement sont créées sur le registre afin de dérouler le script :

HKCUsoftwaremicrosoftwindowscurrentversionrun securitynajaf = wscript.exe /B « SecurityNajaf.vbs »HKLMsoftwaremicrosoftwindowscurrentversionrun securitynajaf = wscript.exe /B « SecurityNajaf.vbs »

Une fois que cette installation initiale est faite, il s’autocopie sur le dossier racine de tous les supports amovibles connectés. Un dossier raccourci (*.LNK) va aussi se créer. Le script va tenter de restaurer le dossier toutes les six secondes.

A partir de ce moment, le script va entrer dans un circuit très court où il se connectera au serveur configuré de commande et de contrôle (C&C) en HTTP, annonçant qu’il est prêt à accepter les commandes.  Le serveur C&C est hardcodé 127.0.0.1, il n’y a donc pas de commande à distance établie et d’adresse de contrôle dans cet échantillon. Cela peut donc dire que l’échantillon est juste un test, ou bien qu’il y a un mécanisme de rebouclage installé sur l’ordinateur où il fonctionne. Le malware donne des informations sur le système, tels que le nom d’utilisateur, le nom de l’ordinateur, l’OS, etc.

Commandes possibles

uninstall Désinstaller le script
RE Recharger le script
download Télécharger un dossier de %url
update Mettre à jour le script et recharger
execute Executer un fichier
cmd Commande shell directe
Attack Ping flood contre cible donnée
ourl Ouvrir URL
close Sortir du script
shutdown Eteindre l’ordinateur
restart Redémarrer l’ordinateur
logoff Fermer la session

Attribution

Sur internet, n’importe qui peut proclamer appartenir à n’importe quel mouvement de son choix. Ils peuvent non seulement utiliser tout type d’outil, prétendre être des personnes complètement différentes, mais aussi mentir autant qu’ils le veulent. Il est donc difficile mais pas impossible de trouver les auteurs des méfaits. Il faut pour cela des données solides, de l’expérience, et souvent l’application des lois. Pour cette raison, nous ne ferons aucune supposition sur qui se cache derrière cette intrusion dans le réseau de TV5. Toutefois, nous pouvons montrer des indicateurs.

L’échantillon 2962c44ce678d6ca1246f5ead67d115a est identique au script VBS mentionné par l’article de Breaking3Zero. Le script contient les mêmes formules de bienvenue, les mêmes JoHn.Dz et Najaf. Security.Najaf semble correspondre au handle en ligne d’un développeur apparemment situé dans la province de Najaf en Irak. Il est un utilisateur très actif sur le forum dev-point[.]com, un forum qui contient beaucoup de NJ-Rat/Worm. Il est qualifié de recodeur, programmeur, dans de nombreux scripts malicieux.

Un exemple est le dossier avec md5 de8e6e14b7e548eda7d4ff33bb3705ad:

Dans ce document, le serveur C&C est défini comme aziza12.no-ip.biz, un domaine qui a aussi été utilisé comme C&C par le malware Bladabindi, tel que l’échantillon avec md5 a5ce6dcb062ceb91a6fce73e99b3514d. C’est un domaine DynDNS, ce qui signifie qu’il n’y a pas de donnée de domaine d’enregistrement consultable. Cependant, si l’on examine l’historique IP de ce domaine, on peut constater qu’il est relié à de nombreuses adresses IP, la plupart situées en Irak. L’une d’elles, 178.73.223.9, a renvoyé cette année au domaine : islamstate.no-ip[.]biz.

Cela ne veut-il rien dire ?

Non, pas nécessairement. Le chevauchement d’IP peuvent arriver pour plusieurs raisons, les alias sur les forums et les malwares internes sont justes des chaînes de textes. NJRat et son malware relié sont utilisés par de nombreux activistes au Moyen-Orient, aussi leur utilisation dans ce piratage, si elle est confirmée, ne peut pas servir de base à une conclusion.

Détection

Les worms VBS basé sur NJ_W0rm et KJ_W0rm devraient à présent être détectés par la plupart des antivirus, même si c’est toujours un défi de détecter de manière fiable des malwares basés sur des textes, car ils sont modifiables très facilement.

Bluecoat a, en tout, cas ajouté une détection pour ces familles dans notre solution Malware Analysis Appliance :

L’attaque de TV5 Monde, tout comme l’attaque Sony, prouve que n’importe quelle entité sur internet est à présent une cible. Tous les conflits portent maintenant la probabilité d’une cyber dimension, car ces attaques sont faciles, peu coûteuses et relativement sans risque. Malheureusement, il ne semble pas y avoir de solution miracle pour cette situation. Les systèmes d’ordinateurs modernes sont tellement interconnectés et complexes qu’il y a toujours une opportunité de méfait si vous êtes persévérant, et vous n’avez même pas besoin de l’être tout le temps. Si le pirate ne peut pas trouver immédiatement un moyen de rentrer, il y a toujours le facteur humain. Les humains sont malheureusement difficiles à corriger. Cependant, des personnes qualifiées peuvent faire la différence entre un gain et une perte. Cela peut paraitre étrange de la part d’un vendeur de boîtes, mais la sécurité ne sort pas d’une boîte. Elle vient des gens qui utilisent les boîtes.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Espionnae, Facebook, Fuite de données, Identité numérique, Justice, Particuliers, Social engineering, Vie privée

Loi sur le renseignement : des hébergeurs Français inquiets

Un commentaire

Les hébergeurs AFHADS, Gandi, IDS, Ikoula, Lomaco, Online et OVH diffusent une lettre ouverte dédiée au projet de loi sur le renseignement. Les députés français doivent débattre à son sujet ce lundi 13 avril. Les hébergeurs indiquent que ce cyber espionnage de leurs clients, couteux et inutile, pourrait les contraindre à quitter l’hexagone.

Dans une lettre ouverte diffusée ce 9 avril, les sept hébergeurs indique qu’il est évident qu’il faille doter la France des moyens de renseignement nécessaires pour lutter contre le terrorisme. Il n’y a aucun débat là-dessus. « Là où le projet de loi renseignement pose problème, c’est qu’en voulant être capable de capter en permanence toutes les données personnelles des utilisateurs, notamment par le biais de « boîtes noires », le projet de loi du gouvernement est non seulement liberticide, mais également antiéconomique, et pour l’essentiel, inefficace par rapport à son objectif« .

Ce projet n’atteindra pas son objectif, mettra potentiellement chaque Français sous surveillance, et détruira ainsi un pan majeur de l’activité économique de notre pays. La lettre explique que ces boites noires, en plus d’être couteuse, concernera moins de 5 000 personnes en France. Les hébergeurs expliquent qu’en l’état, le projet de loi renseignement empêchera de réussir le renouveau économique de la France, détruisant un des rares avantages compétitifs majeurs que l’hexagone possède.

Les hébergeurs annoncent 30 % de croissance annuelle et créent des milliers d’emplois directs et indirects, tout en investissant des centaines de millions d’euros tous les ans en France.

Argent, Arnaque, Banque, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, Paiement en ligne, Piratage, Social engineering

Fraude au président : Hameçonnage et OPA en cours

Les pirates spécialisés dans la Fraude au président semblent s’intéresser avec grand interet aux entreprises Québecoises.

L’Autorité des marchés financiers, l’organisme de réglementation et d’encadrement du secteur financier du Québec, vient d’afficher sur son site Internet une alerte à destination des dirigeants d’entreprise. Plusieurs courriers particulièrement bien ciblés annoncent la conclusion prochaine d’offres publiques d’achat (OPA).

Ces courriels qui semblent provenir du principal dirigeant de l’entreprise se présentent souvent sous la même forme. Généralement, on y reconnaît que le destinataire du courriel, souvent le contrôleur financier ou le comptable d’entreprise, a été choisi parce qu’il est digne de confiance. On lui demande de transmettre des données bancaires ou de faire un virement bancaire vers une personne externe et de demeurer discret pour respecter la procédure de l’AMF. Dans un cas récent porté à l’attention de AMF, le courriel frauduleux réfère même à un prétendu représentant de l’AMF qui communiquerait par téléphone avec le destinataire du courriel afin de confirmer la réception du courriel.

Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Paiement en ligne, Particuliers, Social engineering, Vie privée

Les données des mateurs de porno partagées

Vous êtes un amateur/amatrice de porno ? Les géants du divertissement pour adultes partagent les données de leurs visiteurs. De quoi débander rapidement comme va vous le montre DataSecurityBreach.fr.

Depuis quelques mois, nous entendons parler un peu partout dans les média et dans la bouche d’hommes/femmes politiques du tracking sur Internet. Après les sites de réservation de voyage ; après les publicités 2.0 ; voici que les tracking dans le monde de la pornographie attire les regards et les questions. Un internaute, indique sur son blog que “Si vous regardez du porno en 2015, même en navigation privée, vous devez vous attendre, à un moment donné, à ce que l’historique de vos vidéos soit rendu public et rattaché à votre nom.

Il ne faut pas attendre 2015 pour s’en rendre compte. D’abord via les abonnements. Placer sa carte bancaire et son mail dans ce type de site entrainement obligatoirement des logs. Votre IP, votre identifiant et votre mot de passe confirme que vous êtes le propriétaire de la donnée bancaire. Les publicités, elles aussi vous suivent. Les cookies, et votre IP, permettent d’agrandir ce big data bandant. Vous regroupez cela à un moteur de recherche de type Google et votre suivi ce fait encore plus précis. Un courriel dans votre boite aux lettres suffit à referme le string sur votre ordinateur, surtout si vous cliquez sur le lien proposé ou que vous affichiez l’image proposée dans le courriel. Les navigateurs, sécurisés ou non, laissent beaucoup de traces, comme le montre le projet de l’Electronic Frontier Foundation Panopti click.

Le piratage, très présent dans ce milieu. Entre les comptes volés (par hameçonnage, ndr) ou par piratage de sites, serveurs… Les données peuvent rapidement se retrouver sur la toile. Des données piratées de cartes bancaires, par exemple, blanchies sur des sites pornographiques. Les vrais propriétaires des informations se retrouvant ainsi « fichés » sans même le savoir. Sans parler des référencements à la sauce Black SEO qui permettent de piéger des utilisateurs. En 2007, une « maman » s’était retrouvée sur un site pornographique après le passage d’un pirate. Mauvaise blague, mais qui a mis à mal son identité numérique (IID).

Argent, Arnaque, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Paiement en ligne, Particuliers, Piratage, ransomware

4000 patients d’un opticien pris en otage par un ransomware

Les logiciels ransomware qui prennent en otage les données contenues sur un disque dur font de gros dégâts. La preuve avec un opticien qui voit 4000 dossiers de patients chiffrés par un pirate.

Les ransomwares agissent d’une manière sournoise et efficace. Il suffit qu’un utilisateur d’un ordinateur ou d’un smartphone (ordiphone) clique sur un fichier piégé (faux pdf, fausse mise à jour apparue sur Internet, …) pour que le contenu de leur machine soit pris en main par un pirate. Les fichiers sont chiffrés. Ils sont rendus à leur propriétaire légitime en contrepartie d’une rançon.

L’opticien américain Eye Care de Bartlesville indique sur son site Internet avoir été piégé par un CryptoLocker. Bilan, 4000 dossiers de patients ont été pris en otages. Dans son « communiqué de presse », imposé par la loi américaine, l’entreprise n’indique pas la demande de rançon qui permet de déverrouiller le disque dur impacté. Il n’indique pas non plus si des sauvegardes ont permis de retrouver les informations.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Fuite de données

Le premier Label Cloud français labellise

En 2014, France iT, le réseau national des clusters numériques, lançait le premier Label Cloud français, pensé par les TPME du Cloud pour les TPME du Cloud.

Après une phase de déploiement opérationnel, le Label Cloud concrétise ses ambitions avec la première vague de labellisation. Le premier Comité d’Attribution du Label (CATLab) s’est réuni le 30 mars 2015 dans les locaux de CINOV-IT à Paris pour attribuer ses premiers labels. Cegedim Activ et Inforsud Diffusion se sont ainsi vus décernés le Label Cloud qui récompense un haut niveau d’exigence et une expertise en matière de sécurité et d’efficience.

Un processus indépendant et expert
Le Comité d’Attribution du Label (CATLab) est l’organisme indépendant en charge de délivrer le Label Cloud. Il est composé d’entreprises ayant participé à l’étude du label, d’auditeurs indépendants et de représentants d’organisations professionnelles.

Le jury du 30 mars était composé de Stéphane Coirre (Vice-Président de Cinov-IT) et Henry-Michel Rozenblum (Délégué Général Eurocloud et Rédacteur en chef de la lettre du SaaS) représentants les organisations professionnelles, Philippe Rosé (Rédacteur en Chef de Best Practices) représentant les journalistes de la presse professionnelle et Renaud Brosse (CEO de Timspirit) représentant les experts.

Le label Cloud se décline sur 3 niveaux : initial, confirmé et expert. Une auto-évaluation gratuite est disponible en ligne. L’exigence est ainsi rendue croissante quant à l’implémentation des bonnes pratiques au sein des entreprises. Un audit est systématiquement mis en place (qui peut aller jusqu’à un audit sur site poru le niveau le plus élevé) pour toute candidature. Le CATLab est le décisionnaire final quant à l’attribution du label. L’évaluation repose sur un processus en 5 étapes qui va du téléchargement du dossier de candidature, en passant par l’auto-évaluation en ligne, la soumission du dossier, l’instruction du dossier par un auditeur indépendant , la soutenance par la société candidate devant le CATLab, qui statue sur la délivrance du Label.

Cegedim Activ et Inforsud Diffusion, les 2 premiers labellisés
Ainsi ce sont 2 entreprises qui se sont vues octroyées le label ce lundi 30 mars. Cegedim Activ, niveau 3 – expert, pour ses solutions SaaS dans le secteur de la santé (Gestion du régime Obligatoire de santé, et Gestion du régime Complémentaire en santé et prévoyance) ; Inforsud Diffusion, niveau 2 – confirmé pour son offre d’hébergement (PaaS), et de messagerie (SaaS).

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour

Traçabilité des utilisateurs, la base de la sécurité !

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) et la CGPME (Confédération générale du patronat des petites et moyennes entreprises) viennent de publier un guide commun de sensibilisation aux bonnes pratiques de la sécurité informatique à destination des TPE et des PME. Face à la recrudescence des cyberattaques, les deux organisations se sont associées afin d’apporter une expertise adaptée aux réalités des petites structures qui représentent, selon Guillaume Poupard, Directeur Général de l’ANSSI, 90% des entreprises françaises.

Douze conseils illustrés par des exemples concrets sont mis en avant dans ce guide parmi lesquels le choix méticuleux des mots de passe, la mise à jour régulière des logiciels ou encore le suivi attentif des comptes utilisateurs, sans oublier les prestataires/consultants externes qui ont accès au réseau et qui représentent des failles potentielles.

La mise en place d’un guide de sensibilisation aux bonnes pratiques est une excellente initiative pour les TPE et PME qui n’ont ni les mêmes besoins, ni les mêmes moyens que les grandes entreprises pour leur stratégie de sécurisation des données. L’ANSSI et la CGPME mettent en exergue des conseils simples qui constituent la base de la sécurité ; assurer la complexité des mots de passe et la sécurisation des comptes utilisateurs et administrateurs demeurent par exemple des points essentiels dans les bonnes pratiques de sécurité.

Le mot de passe représente la base de la sécurisation de n’importe quel compte, qu’il soit personnel ou professionnel, et ce indépendamment de la taille de l’entreprise. Il permet en effet d’authentifier l’utilisateur sur le réseau. Un mot de passe trop simple de type « 123456 » ou resté trop longtemps inchangé représente une menace potentielle pour l’organisation. Une personne malveillante – hacker ou ex-employé par exemple – peut installer un malware sur le réseau et rester tapis dans l’ombre un certain temps afin de dérober des informations critiques de l’organisation au moment opportun sans être détecté. Le mot de passe complexe reste le rempart initial contre les tentatives d’intrusion et le vol de données ; il ne doit ni être utilisé sur plusieurs comptes à la fois, ni réutilisé ultérieurement. Le guide rappelle l’importance de sensibiliser les collaborateurs à ne pas conserver les mots de passe dans des fichiers ou sur des post-it laissés à la portée de tous ; bien que cela semble évident, ces bonnes pratiques ne sont toujours pas généralisées et l’erreur humaine reste une des failles principales de sécurité de nombreuses organisations.

Au-delà des mots de passe, les entreprises doivent connaître l’activité informatique de l’ensemble des utilisateurs et prestataires externes ayant des accès aux systèmes et comptes de l’entreprise. Cela inclut également les comptes administrateurs qui servent à intervenir sur le fonctionnement global de l’ordinateur, notamment la gestion des comptes utilisateurs, la modification de la politique de sécurité, l’installation ou la mise à jour des logiciels. L’utilisation de ces comptes administrateurs doit être gérée attentivement car contrairement aux comptes utilisateurs, ils ne sont pas nominatifs et peuvent être utilisés par plusieurs personnes, internes ou externes, ou machines qui interagissent entre elles, ce qui augmente la complexité de surveillance. En outre, des procédures strictes doivent être mises en place afin d’encadrer les arrivées et les départs des collaborateurs et veiller à l’application des droits d’accès aux systèmes d’information mais surtout s’assurer qu’ils sont révoqués, lors du départ de la personne afin d’éviter toute action malveillante à posteriori. En effet, si le service informatique prend du retard et met une semaine à fermer les accès dans le cloud d’anciens employés, ceux-ci pourraient être utilisés à mauvais escient. Cela équivaudrait à donner les clés de l’entreprise à n’importe qui !

Des campagnes gouvernementales régulières de sensibilisation aux bonnes pratiques de sécurité telles que celle de l’ANSSI et de la CGPME restent essentielles pour assurer la sécurité optimale des données, notamment pour rappeler aux employés les règles de base en matière de gestion des accès, les employés ignorant souvent qu’ils peuvent être l’élément déclencheur d’une faille informatique, voire d’une attaque. Pour en garantir l’efficacité, chaque organisation doit à présent garder en tête qu’elle peut être confrontée à une cyberattaque à tout moment – que la menace soit interne ou externe. (Par Olivier Mélis, Country Manager France chez CyberArk)

BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, Fuite de données, iOS, Linux, Logiciels, Microsoft, Propriété Industrielle

Nomad Vault : sauvegarder, partager et transférer

Un commentaire

Nomad Vault : Un réseau privé virtuel 100 % sécurisé accessible avec une petite clé USB.

Comment éviter de tout perdre en cas de crash du disque dur de son ordinateur portable ? Comment éviter de s’exposer à des failles de sécurité en accédant au cloud via un portail internet ? Comment être sûr qu’il n’y a aucune trace (fichier, document, logiciel….) de son travail lorsqu’on utilise son ordinateur ou sa tablette qui appartient à une entité tierce ?

Jusqu’à présent, il n’y avait aucune solution conçue spécialement pour les utilisateurs nomades. Et par conséquent, il n’y avait rien qui réponde parfaitement à leurs besoins.

Mais maintenant, il y a Nomad Vault ! Grâce à une petite clé USB très intelligente, les utilisateurs bénéficient d’une solution très performante conçue, développée et gérée en France. Le but : créer en quelques secondes son propre réseau privé virtuel 100 % sécurisé, accessible n’importe où et n’importe quand. Pour Laurent Brault, dirigeant de MDK Solutions, « Nomad Vault est une alternative innovante et sécurisée aux services de stockage/partage de données classiques. »

Comment ça marche ?
C’est très simple : il suffit d’insérer la clé USB dans votre ordinateur ou PC portable, ou de lancer l’application Nomad Vault Tablette sur votre tablette Android ou iOS…. et le tour est joué ! Après avoir saisi votre mot de passe, vous bénéficiez d’un canal crypté pour accéder à des serveurs distants.

Cette solution présente 3 avantages principaux :
1. Vous profitez d’une solution 100 % sécurisée, sans le moindre risque, pour utiliser des données, des logiciels, des fichiers stockés dans le cloud.
2. Grâce à la sauvegarde automatique, vous ne perdez rien en cas de crash de votre disque dur.
3. Vous pouvez travailler n’importe où, n’importe quand, et vous ne laissez jamais la moindre trace sur l’ordinateur (très pratique si vous devez vous connecter à partir d’un poste de travail qui n’est pas le vôtre : la confidentialité des données est garantie). Grâce à l’intelligence fonctionnelle de la clé USB, il n’est même pas nécessaire de passer par un portail internet, et donc de supporter les risques liés aux failles potentielles de sécurité en ligne. C’est la seule solution sur le marché à proposer cette innovation majeure !

Sur tablette (Apple iOS, Android)
1. L’intelligence locale de la Clé USB est remplacée par une Application Nomad Vault (gratuite pour toutes les fonctions de consultation, 3euros/an
pour avoir la possibilité de mise à jour).
2. L’authentification forte apportée par la clé est remplacée par un code à saisir transmis par un message SMS sur le téléphone mobile de l’utilisateur lors de l’identification.

Quelles sont les utilisations de Nomad Vault ?
Laurent Brault précise : « Une solution conçue spécialement pour les utilisateurs nomades, soit des millions de personnes en France. ». Dirigeants, avocats, commerciaux, consultants, courtiers, députés, formateurs…. De nombreux professionnels ont besoin de pouvoir travailler à distance, facilement et sans prendre le moindre risque. Avec Nomad Vault, ils peuvent garder leurs dossiers sous la main, même sans être connectés. Et comme chaque clé est unique et pilotable à distance, il est tout à fait possible de la personnaliser totalement pour l’adapter à des besoins spécifiques, en créant par exemple des accès spécifiques en fonction de l’utilisateur. Certains dossiers peuvent également être stockés directement sur la clé USB.

Que se passe-t-il en cas de perte/de vol de la clé USB ?
Avec MDK Solutions, il n’y a absolument rien à craindre ! Les données ne sont pas perdues pour autant : les fichiers sont synchronisés dans des serveurs cloud, situés sur le territoire français. Si votre clé est récupérée par une personne malveillante, elle ne pourra pas s’en servir : son contenu est crypté et donc inexploitable. A votre demande, MDK Solutions peut aussi blacklister la clé pour qu’elle soit inutilisable.

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Patch, Piratage, Propriété Industrielle

Du déni de service au contournement de la cyber-sécurité

Un commentaire

Premier rapport trimestriel de Corero Network Security : du déni de service au contournement de la cyber-sécurité. Des attaques plus fréquentes et avec de nouvelles visées, voilà le constat inquiétant du premier rapport publié par Corero et réalisé à partir des données de ses clients.

Corero Network Security, éditeur de solutions de sécurité contre les attaques par DDoS comme Première Ligne de Défense, publie aujourd’hui la première édition de son étude trimestrielle sur les tendances et l’analyse des DDoS. En analysant les données des clients du quatrième trimestre 2014, Corero constate que les pirates ont évolué dans leur utilisation des attaques DDoS. Celles-ci servent désormais à contourner les solutions de cyber-sécurité des entreprises, à perturber la disponibilité des services et à infiltrer les réseaux des victimes.

Le Rapport trimestriel Corero sur les tendances et l’analyse des DDoS s’appuie sur des données provenant de ses clients – hébergeurs, data centers, FAI et entreprises en ligne – du monde entier et sur l’analyse de l’état de l’art faite par le SOC (Security Operations Center) de la société.

Des attaques plus courtes et à saturation partielle
DDoS était précédemment le nom consacré pour ces attaques car elles déniaient l’accès aux sites web ou aux solutions basées sur le web. Bien que ce soit encore le cas en certaines circonstances, les organisations sont également visées par un nouveau type de trafic d’attaque par DDoS. Les données des clients de Corero montrent deux nouvelles tendances : de courtes explosions du trafic au lieu d’épisodes qui se prolongent et des attaques par saturation partielle des liaisons au lieu de l’inondation complète du réseau, comme le terme déni de service l’évoquait historiquement.

Au lieu de longues attaques, environ 96% des attaques DDoS ciblant les clients de SmartWall Threat Defense System (TDS) de Corero ont duré 30 minutes ou moins. Le problème provient du fait que les clients Corero observent en moyenne 3,9 tentatives d’attaques journalières. Pour les organisations qui s’appuient sur des défenses hors bande ou sur le nettoyage anti-DDoS pour réacheminer le trafic après qu’une attaque ait été identifiée, cela peut prendre jusqu’à une heure pour que la solution cloud de mitigation des DDoS prenne le relais avec succès. Ce temps de réponse assez long signifie que même les principaux outils du cloud pour la défense contre les DDoS pourraient complètement rater une attaque. Les organisations subiraient alors les pannes que ces solutions sont censées prévenir.

En outre, 79% des tentatives d’attaque DDoS ciblant les clients de Corero entre le 1er Octobre et le 31 Décembre 2014 avaient des pics d’utilisation de la bande passante inférieurs à 5 Gbps. Ces attaques visaient à partiellement saturer la liaison Internet et détourner l’attention des équipes de sécurité de l’entreprise, tout en laissant suffisamment de bande passante disponible pour qu’une attaque ultérieure permette d’infiltrer le réseau de la victime et d’accéder aux données sensibles ou à la propriété intellectuelle du client.

Des DDoS à des fins de profilage
Alors que les attaques volumétriques par DDoS sont plus faciles à identifier et recueillent souvent la plus grande attention, Corero a constaté que les attaquants commencent à démultiplier les attaques multi-vecteur et adaptables à leur cible. Cela leur permet de profiler la stratégie de défense de la sécurité du réseau de la victime, puis de lancer de nouvelles attaques qui contourneront les outils de cyber-sécurité de l’organisation.

« Les attaques par déni de service ont été une menace pour la disponibilité du service pendant plus d’une décennie. Plus récemment, ces attaques sont devenues plus sophistiquées et multi-vectorielles, débordant les mécanismes traditionnels de défense ou les contre-mesures réactives », déclare à DataSecurityBreach.fr Dave Larson, CTO et vice-président Produits de Corero Network Security. « Comme les expériences de nos clients l’indiquent, la régularité de ces attaques souligne simplement le besoin croissant d’une protection adaptée pour vaincre les attaques DDoS à la périphérie du réseau et assurer l’accessibilité nécessaire à l’entreprise connectée à Internet ou aux fournisseurs d’accès Internet eux-mêmes. »

Pour que les organisations se défendent à la fois contre les méthodes d’attaque DDoS traditionnelles et évolutives, Corero préconise de mettre en œuvre une technologie pour détecter, analyser et répondre aux attaques DDoS en inspectant le trafic Internet brut par le débit de la ligne, pour identifier et bloquer les menaces dès les premiers paquets d’une attaque donnée. Mettre en place une stratégie de sécurité multicouche mettant l’accent sur la visibilité continue et l’application de la politique de sécurité pour installer une première ligne de défense proactive capable de lancer la mitigation des attaques DDoS, tout en maintenant une connectivité de plein service et la disponibilité du trafic légitime. Veiller à la visibilité totale des couches applicatives et du réseau lors événements de sécurité DDoS. Cette bonne pratique permet également l’analyse forensique des menaces passées et permet de disposer des rapports de conformité de l’activité de sécurité. (Le rapport)

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Quand les virus informatiques détruisent nos complexes industriels

Fin décembre, le gouvernement allemand a émis un rapport concernant une cyber-attaque contre une aciérie, qui a eu pour conséquence des dommages conséquents causés à l’usine. L’événement a été largement médiatisé depuis, de la BBC à Youtube ; le SANS Institute (SysAdmin, Audit, Network, Security) a notamment fourni une analyse détaillée de l’attaque. Nombre de ces rapports, comme celui de Wired, ont désigné l’attaque comme « le second cas confirmé dans lequel une attaque numérique a entraîné la destruction physique d’équipements », la première étant Stuxnet.

L’attaque s’est produite seulement quelques semaines après celles de BlackEnergy, ce qui a attiré mon attention, ce cas-ci constituant une attaque bien plus fondamentale contre une infrastructure majeure. L’attaque s’est concentrée sur la contamination de composants d’interface homme-machine issus de divers fournisseurs. De même que dans l’attaque sur des infrastructures américaines de gaz naturel rapportée par US-Cert en 2013, BlackEnergy représente une initiative élargie contre des capacités industrielles, bien plus sérieuse que l’attaque unique de l’aciérie allemande.

La visibilité que donne cet incident quant au risque de cyber-attaques est essentielle ; elle nous avertit que les attaques ciblées contre l’Internet des Objets en général et contre les infrastructures essentielles en particulier doivent être prises au sérieux. Certains historiens des technologies désignent juin 2010 comme le moment où tout a changé. C’est le moment où Stuxnet a frappé et aurait neutralisé un cinquième des centrifugeuses nucléaires en Iran. Depuis, le public n’a eu connaissance que de quelques autres cas d’usage de cyber-armes, mais ne vous y trompez pas : depuis 2010, les pays et « des groupes renégats » collectent des renseignements en masse et mettent au point des cyber-armes dont il peut être facilement fait usage contre un ennemi.

Les anomalies et interruptions consécutives de la connexion internet en Corée du Nord sont attribuées, sans confirmation, à des représailles suite à la récente agression d’une entreprise basée aux Etats-Unis. Suivant cette tendance, il n’est pas inimaginable que les guerres du futur se déroulent largement sur Ethernet, infligeant aux infrastructures des dommages bien plus importants et coûteux que nous ne pouvons l’imaginer.

Ce n’est pas de la science-fiction. Le directeur de la NSA, Michael Rogers, l’a annoncé publiquement : la Chine pourrait neutraliser la totalité du réseau électrique des Etats-Unis et d’autres attaques similaires pourraient être lancées, constituant des menaces concrètes pour les simples citoyens. Le trojan HAVEX récemment découvert en est un autre exemple. Ce malware a infiltré un nombre indéterminé d’infrastructures essentielles en s’intégrant à des mises à jour logicielles diffusées par des fabricants de systèmes de contrôle. Ces attaques impactent des systèmes sur lesquels nous nous appuyons quotidiennement, notamment des systèmes utilitaires, des raffineries, des systèmes de défense militaire, ou des usines de traitement des eaux.

Avec notre dépendance accrue aux technologies de l’information et nos systèmes interconnectés, nos efforts pour assurer à ces systèmes des défenses appropriées n’ont pas suivi le rythme. Par exemple, un simple pare-feu et des technologies de sécurité basées sur des règles ne garantissent pas la sûreté d’environnements diffusés ou virtuels, ni ne protègent d’attaques « jour zéro » ciblées où aucune signature n’a été développée. Les cybercriminels de niveau corporatif et les cyber-terroristes d’échelle nationale peuvent facilement tirer parti de ces brèches dans notre armure défensive et lancer la prochaine attaque d’envergure.

Lors de la mise en place de nouvelles technologies, il est essentiel de faire de la sécurité un enjeu du débat plutôt que d’y faire face par un ajout après-coup ou même suite à une attaque. Notre capacité à sécuriser les intérêts commerciaux et intérêts nationaux requiert une posture « vers l’avant » contre les scénarios de plus en plus plausibles où une arme lancée contre nous sera peut-être bien plus silencieuse mais bien plus dévastatrice lorsque nous ferons face aux cyberguerres.  (Par Christian Hiller, Président, EMC France)