Archives de catégorie : Fuite de données

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Vie privée

Le Cloud en confiance : oui, c’est possible !

Volontaires, de plus en plus, pour adopter des solutions dans le cloud, de nombreuses entreprises restent freinées par l’absence de clarté autour de la sécurité de leurs données, en particulier les plus sensibles. Pourtant, la souplesse et la simplicité peuvent parfaitement cohabiter avec la sécurité dans le cloud.

Certains le qualifiaient de « buzzword ». Il faut dire qu’une déferlante sans précédent s’est abattue sur la presse spécialisée – et même un peu plus – autour du cloud. Mais force est de constater qu’au-delà de l’effet de mode, le cloud s’est bel et bien installé durablement sur le marché de l’IT en général, et dans les systèmes d’information des entreprises en particulier.

Il faut dire que le cloud tient ses promesses. Comparativement à une infrastructure en propre gérée par l’entreprise, le cloud est moins cher, plus souple et beaucoup plus simple : externalisée, l’infrastructure est louée et totalement administrée par le fournisseur de services cloud. Et s’adapte précisément aux besoins de l’entreprise, sans nécessiter d’investissements lourds au départ.

Seulement voilà, le cloud rencontre encore, dans de nombreux cas, un obstacle de taille : le manque de confiance. A tort ou à raison, les entreprises sont encore frileuses à l’idée de stocker et gérer leurs données, notamment les plus sensibles, à l’extérieur du périmètre de leur système d’information. Considérant à ce titre que leur propre système d’information est parfaitement sécurisé, ce qui est loin d’être toujours le cas.

Sensibles ou non : la gestion kafkaïenne des données
Les médias en font leurs choux gras : de nombreuses affaires de vols de données, d’intrusions sur les comptes d’autrui, etc., éclaboussent régulièrement des géants du Web. Apple et les photos de stars volées a été la dernière victime de cet acharnement médiatique. Résultat : les inquiétudes et le manque de confiance persistent. Car outre la protection des données, c’est aussi l’usage qui prime. Et les systèmes de sécurité peuvent être si contraignants qu’ils retardent ou restreignent l’adoption des solutions.

Pour éliminer ce risque, nombreuses sont les entreprises à avoir fait le choix d’un système d’information à deux vitesses. Et ventilé leurs solutions en deux catégories distinctes : celles qui hébergent des données sensibles et qui doivent nécessairement rester sur site d’une part ; et celles dont les données, moins sensibles, peuvent être externalisées vers le cloud d’autre part.

Mais cette gestion dichotomique des données ne va pas sans poser problème. Tout d’abord sur la qualification de la sensibilité des données : en tant que telles, les données d’une entreprise sont toutes plus ou moins sensibles. Et celles qui ne le sont pas pour un département de l’entreprise, peuvent l’être pour un autre.

Ensuite, parce que le système d’information des entreprises est nécessairement poreux, ne serait-ce qu’au travers des échanges avec leur environnement immédiat : clients, partenaires, fournisseurs, etc. Un cloisonnement strict des deux types de données est donc,  complexe et nécessite une classification précise des données.

Un référentiel pour gagner la confiance des entreprises
Conscients de ces questionnements quant à la confiance dans le cloud des entreprises, autant que des enjeux économiques que représente le cloud, des acteurs du secteur se sont réunis autour d’une table pour construire les outils de la confiance dans le cloud. Composé d’éditeurs et d’auditeurs spécialisés, et à l’initiative de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), représentant les pouvoirs publics, le consortium ainsi réuni a récemment publié un référentiel de « qualification de prestataires de services sécurisés d’informatique en nuage ».

L’objectif est clair : proposer un cadre à ces prestataires, et surtout une certification selon les critères de ce référentiel. En particulier autour des questions de sécurité : disponibilité, intégrité et confidentialité des données, mais également traçabilité des données et des actions entreprises.

Une certification qui permet dès lors aux entreprises d’être en pleine confiance auprès d’un prestataire de services cloud certifié : plus aucun besoin de s’interroger sur la sensibilité ou non des données. Si l’entreprise estime qu’une solution cloud est la réponse à son besoin, elle peut l’intégrer à son système d’information en toute confiance. Quels que soient les données, les départements de l’entreprise ou les processus (métiers, commerciaux, administratifs, financiers…) concernés. (Frédéric Fouyet, Directeur de l’Innovation et des produits et RSSI chez Oodrive)

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

Cisco dévoile le premier Next-Generation Firewall du marché centré sur la menace

Un commentaire

Cisco ASA avec la technologie FirePOWER réunit les fonctionnalités d’un firewall reconnu sur le marché avec le Next-Generation IPS et la protection contre les malwares avancés (Advanced Malware Protection – AMP) de Sourcefire pour une défense centrée sur la menace.

Avec l’introduction du premier Next-Generation Firewall (NGFW) du marché centré sur la menace, Cisco change la manière dont les entreprises peuvent se protéger contre les menaces ciblées. Cisco® ASA avec la technologie FirePOWER offre une connaissance du contexte complète et les contrôles dynamiques nécessaires pour détecter les menaces en continu, corréler les informations obtenues et optimiser les défenses pour protéger les réseaux. En intégrant la gamme de firewalls Cisco ASA 5500 X Séries disposant du contrôle applicatif avec le Next-Generation Intrusion Prevention System (NGIPS) et l’Advanced Malware Protection (AMP) de Sourcefire®, Cisco fournit une défense centrée sur la menace au travers du continuum d’attaque – avant, pendant et après une attaque.

Cisco ASA avec la technologie FirePower est un NGFW adaptatif et centré sur la menace qui délivre une protection multicouche supérieure, étendant les capacités bien au-delà des solutions NGFW classiques. Jusqu’à présent, les NGFW étaient concentrés sur la politique de sécurité et le contrôle des applications, et ne permettaient  pas de faire face aux menaces ciblées et aux attaques zero-day. Cisco ASA avec la technologie FirePOWER change cela, avec une approche axée sur la visibilité, centrée sur la menace et basée sur une plateforme unique :

–    Axée sur la visibilité en délivrant une connaissance du contexte complète des utilisateurs, des périphériques mobiles, des applications côté client, des communications machine-to-machine virtuelles, des vulnérabilités, des menaces, des adresses URL, etc. Cette approche adaptée aux besoins de l’entreprise fournit aux utilisateurs des tableaux de bord et des rapports détaillés sur les hôtes découverts, les applications suspectes, les menaces et des indicateurs de compromission pour une visibilité complète.

–    Centrée sur la menace en intégrant le principal NGIPS du marché pour une protection complète contre les menaces connues et ciblées, ainsi que AMP pour lutter contre les attaques zero-day et les menaces persistantes. Les analyses des données (Big Data), l’analyse en continu et Cisco Collective Security Intelligence (CSI) travaillent ensemble pour assurer les fonctionnalités de détection, de blocage, de suivi, d’analyse et de remise en état du réseau pour protéger l’entreprise contre le spectre complet des attaques, connues et inconnues.

–    Basée sur une plateforme unique : Cisco ASA avec la technologie FirePOWER associe, dans un seul outil, des fonctionnalités de firewall et de contrôle applicatif, des fonctionnalités NGIPS, de détection des menaces ciblées et de remise en état du réseau. Cette intégration offre aux entreprises une meilleure protection, tout en réduisant les coûts d’exploitation et la complexité du système d’information. Cette nouvelle solution simplifie également l’architecture de sécurité de l’entreprise et réduit son empreinte réseau avec moins d’outils de sécurité à gérer et à déployer avec un système d’abonnement sous la forme de licence pour étendre les fonctionnalités.

Compte tenu de la pression concurrentielle et de l’environnement très évolutif des menaces, l’approche de l’entreprise, pour réduire le temps entre l’attaque et la remise en état du réseau, doit être centrée sur la menace. Avec une préoccupation croissante des équipes dirigeantes, notamment par rapport aux risques liés à la propriété industrielle et intellectuelle, et au vol potentiel des données client et de sa perte de confiance, les entreprises ont besoin d’une large couverture – pour protéger tous les vecteurs d’attaque potentiels – qui puisse rapidement s’adapter et tirer parti des nouvelles techniques d’attaque, puis intégrer l’information pour se protéger elles-mêmes. Cisco ASA avec la technologie FirePOWER fournit cette défense centrée sur la menace qui aide réellement les entreprises à faire face à leurs plus gros risques en matière de sécurité – les menaces ciblées et les attaques zero-day.

Cisco ASA avec la technologie FirePOWER offre une visibilité supérieure et une analyse en continu pour détecter les menaces avancées et multi vectorielles, rationalise et automatise la remise en état du réseau face aux malwares connus et inconnus. Il offre également des indicateurs de compromission (IoC) globaux et concrets qui accélèrent la phase d’investigation sur la menace et la restauration rétrospective, ainsi que la portée de la réponse aux incidents intégrée et des mises à jour de la politique de détection automatiques.

Toutes ces innovations sont supportées par un firewall stateful, un VPN, un cluster avancé et une couche applicative complète prévus pour l’entreprise, et des contrôles basés sur le risque qui fournissent des politiques de détection de la menace grâce à un NGIPS pour optimiser l’efficacité de la sécurité. L’intégration avec les outils open source Snort, OpenAppID et ClamAV permet en outre aux clients de facilement personnaliser leur sécurité pour faire face aux nouvelles menaces et aux applications spécifiques aussi rapidement que possible.

Les entreprises peuvent profiter des avantages de l’introduction de cette technologie de deux façons :
–    Cisco ASA avec la technologie FirePOWER : les clients peuvent acheter les firewalls ASA 5500-X Series et ASA 5585-X Series avec une licence FirePOWER,
–    FirePOWER pour Cisco ASA : les clients peuvent activer la technologie FirePOWER sur les firewalls ASA 5500-X Series et ASA 5585-X Series existants.

Cisco, avec ses partenaires, fournit également des services de sécurité techniques pour aider les entreprises à accélérer la migration de leurs environnements de sécurité actuels vers une défense centrée sur la menace avec Cisco ASA et la technologie FirePOWER. Grâce à son expertise, des processus et des outils éprouvés, ainsi que la disponibilité de ressources mondiales, les équipes de sécurité de Cisco aident les entreprises à migrer rapidement et avec un minimum de perturbations.

« Dans le climat actuel où règnent le piratage industrialisé et le cybercrime professionnel, nous sommes entrés dans une ère où les solutions NGFW existantes ne suffisent plus pour arrêter les hackers », explique Christopher Young, Senior Vice Président, Security Business Group de Cisco. « Aujourd’hui, plus que jamais, les entreprises doivent être en mesure de mettre en œuvre des contrôles dynamiques pour gérer le rythme du changement de leurs environnements et faire face aux attaques ciblées. Cisco ASA avec la technologie FirePOWER est une étape majeure pour le marché du NGFW, donnant aux entreprises la possibilité de renforcer leur protection – du data center, au réseau, en passant par les postes de travail – avec l’agilité nécessaire pour identifier, comprendre et arrêter les menaces ciblées en temps réel et rétrospectivement ».

Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Leak, Piratage, Vie privée, Virus

Un nouveau botnet cible Mac OS X

Un commentaire

En Septembre 2014, les spécialistes de Doctor Web ont analysé plusieurs nouvelles menaces ciblant Mac OS X. L’une d’entre elles est un backdoor multifonctions ajouté à la base virale sous le nom Mac.BackDoor.iWorm. A ce jour, les statistiques indiquent qu’un peu plus de 17 000 adresses IP uniques de Mac sont infectées par ce malware.

Les pirates ont utilisé les langues C++ et Lua, ainsi que la cryptographie. Lors de son installation, le trojan se décompresse dans le dossier /Library/Application Support/JavaW, puis le dropper crée à la volée le fichier plist afin d’assurer le démarrage automatique du logiciel malveillant. Au moment du premier démarrage, le Mac.BackDoor.iWorm sauvegarde ses données de configuration dans un fichier séparé et essaie de lire le contenu du dossier /Library pour obtenir la liste des applications installées avec lesquelles le backdoor n’interagira plus. S’il n’a pas réussi à trouver les répertoires « indésirables », le bot reçoit à l’aide de fonctions systèmes le nom du dossier personnel de l’utilisateur Mac OS X sous le nom duquel il a été lancé, y vérifie la présence de son fichier de configuration et y enregistre toutes les données nécessaires à son fonctionnement.

Puis Mac.BackDoor.iWorm ouvre sur l’ordinateur infecté un port et attend une connexion entrante, envoie une requête à une ressource Internet pour une liste d’adresses de serveurs de gestion, puis se connecte à ces serveur afin de recevoir les commandes.

Il est à noter qu’afin de recevoir la liste d’adresses des serveurs de gestion, le bot se réfère au service de recherche reddit.com, en indiquant comme requête les valeurs hexadécimales des 8 premiers octets du hachage MD5 de la date actuelle. Selon les résultats de la recherche, reddit.com donne une page web avec la liste des serveurs de gestion de botnets et les ports que les pirates publient sous la forme de commentaires pour le sujet « minecraftserverlists » au nom d’utilisateur « vtnhiaovyd »: le Trojan essaie d’établir la connexion avec les serveurs de gestion en recherchant d’une manière aléatoire les 29 premières adresses de la liste reçue et envoie des requêtes à chacun d’eux. Il répète toues les 5 minutes les requêtes au site reddit.com afin de recevoir une nouvelle liste.

Lors de l’établissement de la connexion avec un serveur de gestion dont l’adresse est sélectionnée dans la liste à l’aide d’un algorithme spécial, le Trojan tente de déterminer si cette adresse est ajoutée à la liste d’exclusions, et partage avec le serveur un ensemble de données grâce auxquelles l’authenticité de l’hôte distant est vérifiée en utilisant une série de transformations mathématiques. Si la vérification est réussie, le bot envoie au serveur distant le numéro du port ouvert sur l’ordinateur infecté et son identifiant unique et attend les commandes.

Mac.BackDoor.iWorm est capable d’exécuter diverses directives selon les données binaires entrantes ou Lua-scripts. Les commandes de base du backdoor pour les Lua-scripts afin d’obtenir le type de système d’exploitation ; obtenir la version du bot ; obtenir l’UID du bot ; obtenir la valeur du paramètre du fichier de configuration ; indiquer la valeur du paramètre du fichier de configuration ; effacer les données de configuration de tous les paramètres ; obtenir la durée d’activité du bot (uptime) ; envoyer une requête GET ; télécharger un fichier ; ouvrir le socket pour la connexion entrante et exécuter la commande reçue ; exécuter la commande système ; faire une pause (sleep) ; ajouter le nœud selon l’IP dans la liste des nœuds  » interdits  » ; effacer la liste des nœuds  » interdits  » ; obtenir la liste de nœuds ; obtenir l’adresse IP du noeud ; obtenir le type de noeud ; obtenir le port du noeud ; exécuter le script Lua imbriqué.

Sur les 17 658 adresses IP enrôlées dans le botnet, les trois pays les plus touchés à ce jour sont les États-Unis avec 4610 adresses suivis par le Canada avec 1235 adresses puis le Royaume-Uni avec 1227 adresses.

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Mise à jour, Patch, Piratage

Yahoo! piraté via la faille Bash ?

La faille Bash Bug, annonçait la semaine dernière comme particulièrement grave, aurait été exploitée contre les géants de l’Internet Yahoo! et Lycos.

Un Bash est une commande qui se trouve sur l’OS Unix et qui autorise les utilisateurs à entrer un ordre sous forme de texte convertit en commande, à laquelle l’OS répondra. Il est présent sur Linux et MAC OS (OS X). Bash a été créé voilà 25 ans. Une faille de taille, baptisée Bash Bug ou encore Shellshock, a été découverte dans ce dernier en septembre. Sa dangerosité est comparée à la faille Heartbleed. Voilà quelques jours, un chercheur en sécurité informatique, Johnathan D. Hall, il est le responsable de Future South Technologies, a annoncé avoir découvert que des pirates avaient trouvé le moyen d’exploiter Bash Bug sur deux serveurs de Yahoo! (api118.sports.gq1.yahoo.com et dip4.gq1.yahoo.com). Il a découvert un chan IRC qui diffusait des serveurs faillibles au Bash Bug. Des serveurs mis à jour à partir de scripts malveillants cachés sur le web, dont un sur le site de la société WinZip Computing, la même qui produit le logiciel de compression WinZip. Yahoo a confirmé l’intrusion et enquête pour connaitre son importance. Yahoo! indique cependant que les pirates auraient exploité une autre faille.

Bash Bug plus grave que prévue ?
Cette vulnérabilité pourrait avoir des répercussions bien plus graves et importantes que Heartbleed. Ce dernier permettait « uniquement » à un pirate de voler des données via un processeur d’authentification (SSl/TLS). BashBug permet à des malveillants d’exécuter arbitrairement des commandes grâce à cette faille de sécurité. Ce qui est bien plus dangereux que de voler des données et réaliser des attaques sophistiquées. BashBug a la capacité de pénétrer le réseau de n’importe quelle entreprise, alors que Heartbleed organisait des attaques « aléatoires ». Le hacker devait faire plusieurs tentatives, au hasard, avant d’accéder à un serveur contenant des données ayant une valeur. BashBug est une faille beaucoup plus « agressive ». Dès qu’une cible est identifiée et vulnérable, une simple commande suffit pour exécuter un ordre malveillant. Avec Heartbleed, il était clair pour l’opinion publique que les données sensibles des utilisateurs est un enjeu, alors que l’impact du Shellshock pour n’importe quel utilisateur est encore flou. Shellshock est une faille « technique » qui préoccupera davantage la communauté Technique. De plus, il n’est pas aisé de détecter quelles applications utilisent Bash.

Les différentes cibles de BashBug
Pour les entreprises, la plus grande menace est si vos serveurs sont opérés par Linux. Aujourd’hui c’est un standard de sécurité pour les entreprises de séparer leurs serveurs web de ceux qui contiennent des données sensibles, ce qui diminue significativement les risques d’intrusion via la faille Bash. Ces serveurs ont beaucoup d’autres mécanismes de défenses qui préviennent contre les attaques de BashBug.

Pour les particuliers, Heartbleed a représenté un risque potentiellement élevé et immédiat pour les particuliers, car les données bancaires et mots de passe statiques pouvaient être interceptés par les pirates. Dans le cas de la faille Bash, il est peu probable que les hackers s’attaquent à de simples ordinateurs à usage privé, car il existe des méthodes d’attaque bien plus puissantes, déjà utilisées et à grande échelle. Il s’agit notamment des attaques de type phishing, malware ou encore social engineering.

backdoor, Cybersécurité, Espionnae, Fuite de données, Identité numérique, Logiciels, Microsoft, Propriété Industrielle, Sécurité, Vie privée

La version Bêta de Windows 10 communique vos frappes clavier à Microsoft

Alors que vous testez la nouvelle version de Windows, sous forme de bêta, Microsoft intercepte vos frappes clavier… pour votre bien.

Les internautes qui ont téléchargé la version bêta de Windows 10, la technical preview, n’ont pas intérêt à taper trop d’informations personnelles et sensibles au risque d’avoir une mauvaise surprise. Comme l’explique le « Privacy Statements for Windows Technical Preview » de WIN10, bref la notice d’utilisation du nouveau bébé de Microsoft, la voix, mais aussi les frappes claviers sont communiqués à Microsoft.

Microsoft collects information about you, your devices, applications and networks, and your use of those devices, applications and networks. Examples of data we collect include your name, email address, preferences and interests; browsing, search and file history; phone call and SMS data; device configuration and sensor data; and application usage.

Un espionnage qui a pour mission d’enrichir le fonctionnement des futures options de Win10. Microsoft indique à WinBeta que cette « absorption » d’information ne sera activée que dans cette version de « démonstration », Windows 10 définitif n’aura pas cette big brother attitude.

Il ne faut cependant pas se voiler la face. Une commande clavier ou manipulation extérieure pourrait réactiver la « fonction » magique dans la condition ou cette dernière est implantée d’origine dans Windows 10. A moins que Microsoft le retire du code source, mais ça, personne ne pourra le vérifier.

Argent, Cybersécurité, escroquerie, Fuite de données, Particuliers, Phishing, pourriel

Phishing : que peut bien cacher ce lien ?

2 commentaires

Proofpoint a récemment évoqué les problèmes liés à une campagne de phishing sophistiquée, qui utilisait un système de distribution de trafic et des kits d’exploitation pour diffuser différentes charges malveillantes, variant selon les attributs du terminal à l’origine du clic.

Ce genre de campagne est capable d’afficher une page Web générique de type « Quelques conseils pour perdre du poids » dès qu’un utilisateur clique sur l’URL à partir d’un Mac ou d’un système de « recherche de logiciels malveillants », ou de le rediriger vers une page de phishing d’informations d’identification. Si, en revanche, cette même URL est activée à partir d’un système Android, une page d’erreur apparaît et invite l’utilisateur à télécharger un patch de sécurité, derrière lequel se cache en réalité le logiciel malveillant « Notcom ». Cette campagne, qui continue à évoluer, est caractéristique du nouveau type de campagnes de phishing « à plusieurs variantes », synonymes de nouveaux risques de sécurité pour les entreprises.

L’analyse des données des courriers électroniques par Proofpoint révèle que les campagnes à plusieurs variantes ont permis aux courriers non sollicités d’évoluer. Ces derniers comprennent notamment les courriers indésirables, les e-mails commerciaux (newsletters et offres marketing ciblées) et les campagnes de phishing. En analysant les URL détectées dans les courriers électroniques non sollicités, nous constatons que la part des URL malveillantes y figurant atteint systématiquement plus de 15 %. Autrement dit, chaque semaine, près d’une URL sur 6 intégrée à un message non sollicité redirige vers un site malveillant.

L’étude statistique des moyennes hebdomadaires (Fig. 1) révèle que la proportion de liens malveillants dans les courriers non sollicités en 2014 est déjà supérieure à 15 % sur une période de 10 semaines et dépasse, en moyenne, le seuil de 20 % sur une période de 2 semaines entières. L’analyse des pourcentages quotidiens indique même une fréquence d’URL malveillantes supérieure dans les courriers non sollicités, comme l’illustre le graphique ci-dessous.

L’analyse, par Proofpoint, du trafic des courriers électroniques a permis de révéler qu’en 2014, le pourcentage d’URL malveillantes dans des courriers non sollicités avait déjà dépassé 15 % pendant 63 jours (Fig. 2). Par ailleurs, en 2014, le pourcentage des URL malveillantes dans des courriers indésirables a dépassé 25 % pendant 12 jours et 30 % pendant 2 jours.

En résumé, l’année 2014 est marquée par la forte présence d’URL malveillantes dans les courriers non sollicités, une menace persistante si vaste que les entreprises peuvent s’attendre à recevoir régulièrement, certains jours, des courriers non sollicités dans lesquels 1 URL sur 4 redirige vers une charge malveillante.

Il est peu probable qu’il s’agisse d’un phénomène passager, étant donné que les auteurs de spams s’apprêtent à tirer parti de la simplification de l’accès aux logiciels malveillants ainsi que de leur rentabilité. La contamination des ordinateurs représente une source de revenu non négligeable pour les personnes à l’origine des attaques de phishing, qui ont la possibilité de vendre leurs prestations à des services de génération de monnaie virtuelle, de fraude au clic, de distribution de spams et de tout autre nature. L’automatisation et l’utilisation de logiciels criminels à la demande ont plus que jamais simplifié l’accès aux programmes malveillants pour tous les spammeurs, même les moins doués. L’intégration, par les spammeurs nigérians à l’origine de la fraude « 419 », de liens malveillants dans leurs courriers électroniques frauduleux illustre l’évolution importante des programmes malveillants.

Plus de 200 milliards de spams par mois, en 2014

Enfin, la forte présence d’URL malveillantes dans des courriers électroniques non sollicités intervient dans un contexte caractérisé par l’envoi massif de spams. Au cours du premier semestre 2014, plus de 200 milliards de spams par mois ont été recensés à l’échelle internationale. Ce volume a même atteint 260 milliards en juillet, un niveau record depuis 2010, qui correspond à deux fois plus que la moyenne normale.

Les campagnes de phishing à plusieurs variantes contribuent à renforcer la présence de liens malveillants dans les courriers non sollicités. Prenons par exemple une campagne de phishing à plusieurs variantes classique : les pirates envoient aux entreprises un courrier électronique au premier abord inoffensif. Ce courrier ne contient aucune pièce jointe et redirige généralement vers un site commercial fiable bien que non sollicité, comme un site dédié à la perte de poids. Lorsqu’ils sont examinés en premier lieu par des passerelles de gestion de courriers électroniques sécurisées, le message et l’URL qu’il contient sont considérés comme inoffensifs. Le courrier électronique est donc autorisé ou, au mieux, placé en quarantaine, où les utilisateurs finaux peuvent continuer à le consulter et à cliquer sur l’URL en question. Cependant, ce genre de liens permet aux pirates d’acheminer l’URL vers un système hébergé de distribution de trafic, une ancienne technologie aujourd’hui largement utilisée dans le cadre de campagnes de courriers malveillants. Sachant qu’une attaque composée de 10 messages autorisés seulement a plus de 90 % de chance d’attirer un clic (cf Verizon 2014 DBIR, p 47), lorsqu’un utilisateur final clique dessus, il est redirigé vers la charge appropriée en fonction de l’heure, du navigateur utilisé, de son entreprise et d’autres facteurs. Par ailleurs, les pirates ont la possibilité de modifier le contenu d’une URL à tout moment, ce qui signifie qu’une URL figurant dans un courrier électronique peut régulièrement passer d’un site malveillant à un site fiable.

Les travaux de recherche menés par Proofpoint révèlent que les pirates tirent parti du manque de vigilance des contrôles dont font généralement l’objet les spams pour infiltrer les organisations. Jusqu’à présent, les spams et les campagnes de phishing ont toujours été dissociés, de par leur nature, et traités à des niveaux de sécurité différents par les systèmes de protection. En s’appuyant sur la disponibilité instantanée des kits d’exploitation, les cybercriminels n’ont plus besoin de posséder de connaissances approfondies pour lancer des attaques sophistiquées. Malgré leur formation, les professionnels en charge de la sécurité au sein des entreprises ne parviennent pas toujours à détecter les messages malveillants parmi les courriers non sollicités. Ils n’ont donc pas d’autre choix que de les considérer tous comme dangereux.

Il n’est plus possible, aujourd’hui, de se contenter de considérer les messages non sollicités comme une simple nuisance. Tous ceux qui franchissent les filtres d’une entreprise sont susceptibles de contenir un lien malveillant, d’autant plus que la technologie sur laquelle reposent les campagnes de phishing à plusieurs variantes empêche désormais de distinguer rapidement les 15 %, 20 % ou 30 % de liens malveillants du reste. Pour lutter contre cette nouvelle réalité, il est indispensable de se doter de systèmes de défense capables de distinguer plus précisément les menaces dès leur réception, voire de protéger les systèmes ultérieurement contre toutes celles qui auraient échappé aux différents contrôles et sur lesquelles les utilisateurs risquent de cliquer. (Ismet Geri, Directeur de Proofpoint France et Europe du Sud)

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Vie privée

Le Wi-Fi peut-il garantir la sécurité de l’Internet des Objets ?

En matière d’Internet des Objets, on se satisfait souvent du fait que le système fonctionne, pourtant, la connexion physique et la sécurité inhérente sont des aspects non négligeables.  Le Wi-Fi est et restera le mécanisme de connexion prépondérant pour L’Internet des Objets, car l’infrastructure permettant de l’exploiter de façon sécurisée existe déjà. Les autres modes de connectivité, tels que le Bluetooth Low Energy, sont moins répandus, et donc plus difficiles à pirater. Chacun a son propre niveau de sécurité, mais nécessite la mise en place d’une infrastructure sous-jacente. Pour permettre le déploiement étendu de L’Internet des Objets grâce au Wi-Fi, il faut s’attaquer à d’importantes problématiques, parmi lesquelles la sécurité des réseaux.

Que ce soit à la maison ou en entreprise, tout le monde utilise un seul et même réseau sans fil et utilise la même clé pré-partagée afin de s’y connecter. Dans ce contexte, la problématique se situe dans le partage répété de cette clé, et donc dans la nécessité de définir le niveau de sécurité adéquat pour les nouveaux périphériques se connectant au réseau afin de ne pas devenir une proie facile pour les pirates.  L’important n’est pas la sécurité du réseau, mais celle des périphériques s’y connectant. Ces périphériques sont en général des appareils low cost, bien plus que les clients Wi-Fi traditionnels, et disposent de bien moins de fonctionnalités pour assurer leur protection et celle du réseau Wi-Fi auquel ils se connectent. Ces appareils doivent être facilement paramétrables, ce qui rend leur piratage plus simple, les identifiants utilisés pour accéder au réseau étant plus vulnérables.

Une équipe de chercheurs du cabinet de conseil Context Information Security a récemment pu confirmer ce risque en cherchant à démontrer la vulnérabilité des systèmes d’éclairage intelligent. En obtenant l’accès à l’ampoule principale, ils ont pu contrôler l’ensemble des ampoules connectées, et ainsi découvrir les configurations réseau des utilisateurs.

Généralement, ces ampoules et autres périphériques se connectent au réseau à l’aide d’une clé pré-partagée. Le problème au sein des réseaux sans fil traditionnels vient justement du fait qu’il n’y a qu’une seule clé : les organisations sont ainsi contraintes à créer un réseau Wi-Fi distinct pour chaque appareil à connecter à l’Internet des Objets. En outre, et comme l’ont démontré les chercheurs du cabinet Context, il est facile de découvrir une clé pré-partagée. Les identifiants étant potentiellement menacés, il apparaît donc logique qu’ils disposent de droits limités sur le réseau. Pourquoi ? La principale problématique avec l’Internet des Objets est la capacité des appareils à enregistrer des identifiants, surtout lorsque l’on considère tout ce que ces informations permettent de faire à l’arrivée, de la gestion de l’éclairage au contrôle autonome de la température par les réfrigérateurs, en passant par les équipements sportifs envoyant des informations personnelles à d’autres terminaux.

Si l’on utilise une clé pré-partagée pour se connecter au réseau, il faut alors que le réseau en question soit verrouillé et que les fonctionnalités de l’appareil soient limitées. En utilisant des clés pré-partagées privées, une organisation peut utiliser différentes clés pour ses différents appareils, et avec des droits spécifiques sur le réseau. Un groupe de clés pourrait ainsi être utilisé pour les accès en mode invité ou le BYOD, tandis qu’un autre pourrait permettre la gestion des bâtiments en s’appuyant sur une stratégie de pare-feu très contrôlée autorisant uniquement les changements effectués par les systèmes automatisés, et refusant ceux provenant de toute autre personne connectée au réseau. Les systèmes d’éclairage pourraient être contrôlés par un autre groupe de clés, avec éventuellement une stratégie de pare-feu propre permettant aux employés d’ajuster l’éclairage en salles de réunion, mais pas dans les couloirs.

Cette approche permettrait aux utilisateurs de disposer de milliers de clés pré-partagées différentes pour un seul réseau et avec différents profils de connexion, y compris via des pare-feu et des réseaux locaux virtuels. Dans ce scénario, si l’intégrité d’une ampoule venait à être compromise, la menace ne pourrait s’étendre aux autres, car la clé pré-partagée utilisée pour l’une n’aurait pas les privilèges nécessaires pour cela. La menace liée à cette compromission serait par conséquent limitée.

Il est également absolument essentiel que les informations d’identification utilisées n’aient qu’une faible utilité pour tout individu piratant le réseau. Il est donc nécessaire de disposer d’une méthode d’authentification et d’identification des appareils simple et sécurisée. En autorisant les périphériques sur le réseau et en leur fournissant un accès approprié à leur catégorie, les organisations doivent pouvoir gérer la menace une fois l’intégrité des identifiants compromise, afin de s’assurer qu’ils ne présentent qu’une valeur limitée pour toute personne s’en servant pour  découvrir et pirater le réseau.

La méthode la plus évidente pour cela serait de placer les certificats sur les appareils afin de bien les authentifier, mais il s’agit là d’une approche coûteuse et complexe. Pour éviter ces inconvénients, les entreprises devraient alors préférer l’utilisation de différents réseaux pour leurs différents types d’appareils, ce qui représenterait un gaspillage de temps et de ressources, davantage de complexité pour l’utilisateur, ainsi qu’un ralentissement des performances globales. Il faut donc pouvoir surmonter cet obstacle plus simplement afin de s’assurer que tous les périphériques soient gérés de façon sécurisée depuis un point d’accès. En matière de Wi-Fi, l’Internet des Objets est le BYOD d’aujourd’hui, et les organisations rencontrent exactement les mêmes problèmes sur le plan de  la sécurité.

À mesure que ce système s’affirmera comme la nouvelle vague en matière de réseaux, l’industrie trouvera un certain nombre de solutions afin de résoudre ces problèmes. Mais il faut cependant garder en tête que l’Internet des Objets va changer et se développer, et que dans ce contexte, il  sera difficile de s’assurer que l’infrastructure puisse faire face à différents scénarios en même temps. Bien que l’on s’intéresse aujourd’hui aux failles de sécurité de l’Internet des Objets en matière de gestion des bâtiments et d’interfaces personnelles d’accès au réseau, il reste cependant un large éventail de scénarios relevant également de l’Internet des Objets dans d’autres secteurs, tels que l’automobile et les infrastructures. Une fois que nous aurons pris en compte ces types de scénarios, les problématiques en matière de sécurité se feront plus nombreuses, et les solutions permettant d’y faire face revêtiront un caractère de plus en plus urgent. (Par Benoit Mangin, Directeur Commercial Europe du Sud, Aerohive pour datasecuritybreach.fr)

Adobe, Arnaque, backdoor, Cyber-attaque, Cybersécurité, escroquerie, Espionnae, Fuite de données, Leak, Microsoft, Phishing, Piratage, Vie privée

Google et Doubleclic exploités dans une diffusion malveillante

La méthode est connue, utilisée depuis des années : des pirates exploitent les réseaux publicitaires pour diffuser des codes malveillants dans les ordinateurs des visiteurs de site Internet. Des cyber-criminels ont exploité la puissance de deux réseaux de publicité en ligne pour infecter et infiltrer des millions de potentielles victimes.

Lors de vos visites sur le site web, des publicités peuvent s’afficher. Des pirates informatiques ont rapidement compris le potentiel intérêt de ces supports pour diffuser leurs malveillances informatiques. Il y a quelques jours, les réseaux de DoubleClick et de l’agence de publicité Zedo, affiliée à Google, ont diffusé des publicités malveillantes qui avaient pour mission d’installer un logiciel espion dans les ordinateurs des visiteurs.

Un récent rapport publié par les chercheurs de la société Malwarebytes suggère que les cybercriminels ont pu profiter d’affiches piégés sur un certain nombre de sites web, y compris le Times d’Israël, le Jérusalem Post et encore le  site de streaming musical Last.fm.

L’attaque a été détectée à la fin du mois août dernier. Depuis, des millions d’ordinateurs ont probablement été exposés au code malveillant Zemot. Un microbe que les antivirus mis à jour détectent les yeux fermés. Google a confirmé l’attaque et a fermé l’ensemble des serveurs permettant la diffusion des publicités piégées. Ce qui est intéressant, dans ce cas, est la facilité déconcertante qu’ont eu les pirates à pirater les administrations de diffusion, à installer leurs publicités et à permettre la mise en ligne sans que personne ne puisse s’en inquiéter.

Les pirates ont exploité de nombreux sites supports, les publicités renvoyaient sur ces espaces. Des sites qui déclenchaient ensuite l’installation d’un kit pirate. Beaucoup de sites étaient basés au Pays-Bas (.nl), Suisse (.ch) et quelques pays de l’Est.

Zemot a été détecté, pour la première fois, en novembre 2013. Rien qu’en juin 2014, Microsoft annonçait 45.000 machines piégées ; plus de 35.000 en juillet, 27.000 en août. Zemot se concentre sur des ordinateurs exécutant Windows XP, mais il peut aussi infecter les systèmes d’exploitation plus modernes s’exécutant sur des machines tournant en x86 et 64 bits. Zemot est conçu pour contourner la sécurité d’un système avant d’infecter les ordinateurs avec des logiciels malveillants supplémentaires.

Chiffrement, cryptage, Cybersécurité, Facebook, Fuite de données, Patch

Facebook : voler nom, mail et jeton de connexion

Deux chercheurs en sécurité informatique, evil_xorb et Michał Bentkowski, ont découvert une faille qui permettait de mettre la main sur le nom, le mail et le jeton de connexion d’un utilsateur de Facebook. Le bug partait du plugin FriendFeed. Après avoir cliqué sur le bouton « Enregistrer », une requête POST à ​​redirect_uri était délivrée. Cette requête contenait les données de l’utilisateur. Rien n’était chiffré. Nom, mail et le jeton d’accès accessibles. Une vulnérabilité sensible au Clickjacking. Le bug a été signalé à Facebook et a été corrigé assez rapidement. (Bentkowski)

Emploi, Entreprise, Fuite de données, Paiement en ligne

Un escroc volait les CB des clients de l’entreprise qui l’employait

Un employé du service de recouvrement d’une importante société de crédit piratait les cartes de crédits des clients pour la jouer grand seigneur.

Normalement, une société de crédit propose des « aides » financières aux personnes qui ont besoin d’argent. Seulement, un employé d’une entreprise de Merignac, il officiait dans le service de recouvrement des impayés (Sic!) a trouvé malin de voler les coordonnées bancaires des clients qui n’en demandaient pas tant.

L’escroc a été tracé après avoir tenté d’acquérir un iPad sur Internet. C’est la société Secuvad qui a levé le lièvre. Il faut dire aussi que le « pirate » avait tenté d’utiliser plusieurs numéros de cartes bancaires pour le même achat. L’homme, âgé de 40 ans, a été arrêté par la police de la brigade financière de Bordeaux. Il a avoué plusieurs achats, via des CB interceptées à son travail.

Il avait acquis des téléphones et du matériel informatique. Il agissait depuis 2011. Il était déjà connu pour des faits similaires. L’entreprise spécialisée dans les solutions de financement compte 3 millions de clients. Le voleur en aurait volé un peu plus de 700. (Sud Ouest)