Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Cybersécurité, Paiement en ligne

Pipka, le voleur de données bancaires sur site marchand

A la veille des fêtes de fin d’année, voici venir Pipka, un outil pirate voleur de données bancaires à partir des boutiques en ligne qu’il infiltre.

En septembre 2019, le programme Visa Payment Fraud Disruption (PFD) a identifié un nouvel outil pirate baptisé Pipka. Un skimmer JavaScript. Un voleur de données bancaires.

Pipka cible les données de paiement saisies dans les formulaires de paiement de commerce électronique des sites marchands. Le blog ZATAZ nous relatait ce type de malveillance électronique en 2018 et 2019.

Identification de Pipka sur seize sites marchands compromis. Contrairement aux précédents skimmers JavaScript, Pipka est capable de se retirer du code HTML du la site Web compromis après son exécution. Cela diminue ainsi la probabilité de détection.

Pipka, petit frère d’Inter

Semblable au skimmer JS Inter, le nouveau code pirate permet aux cybercriminels de configurer les champs de formulaire.

L’outil pirate analyse et extrait les données. Bilan, numéro de compte de paiement, date d’expiration, CVV, identités, adresse du titulaire de la carte sont copiés directement via la page légitime ! Le « pirate » vérifie les champs configurés avant l’exécution.

Le code malveillant s’injecte directement à divers endroits sur le site du commerçant. Les données chiffrées en ROT13.

L’aspect le plus intéressant et unique de Pipka est sa capacité à ne pas être présent dans le code HTML. Cela permet un mode fantôme efficace !

Que faire pour s’en protéger ? Compliqué tant la technique est efficace. Préférez des boutiques passant par des sites bancaires. Et espérer que votre commerçant soit au taquet du côté de sa cybersécurité, de son code et de sa veille ! (PFD)

Cybersécurité, Fuite de données

Fuite de données : attention à la mauvaise configuration de votre Google Formulaire

Confidentialité : Vous utilisez Google Formulaire pour vos sondages, questionnaires ? Si vous ne le configurez pas correctement, fuite de données assurée concernant vos participants.

Il y a 30 jours j’alertais la CNIL et l’ANSSI d’un problème rencontré via le service « Google Formulaire ».

L’outil du géant américain, en cas de mauvaise configuration, est capable de laisser fuiter les informations rentrées par les participants à des sondages, questionnaires, …

J’en ai profité pour poser quelques questions, par courriel, à un représentant de Google en Europe, mais sans aucune réponse de sa part.

Vous avez dit « Prefill »

Le problème est le suivant. Lors de la création d’un Google Formulaire, il est possible de mettre en mode invitation le document. Le lien de ce dernier apparaît alors sous cette forme https://docs.google.com/forms/d/*****/prefill. D’ailleurs, une requête dans le moteur de recherche, via le dork « inurl:docs.google.com/forms/d/ && prefill » permet de faire apparaître des centaines de créations de part le monde.

Demande d’autorisation. Sans l’accord de l’auteur, pas d’accès aux informations.

La plupart de ces formulaires apparaissent, quand on clique sur leur lien respectif, avec une demande d' »autorisation nécessaire« . Vous souhaitez accéder à ce contenu mais vous ne le pouvez pas. Il faut en faire une demande d’accès au créateur du formulaire.

Sauf que cette demande d’autorisation peut-être outrepassée.

Fuites de données assurées !

Il devient possible d’accéder aux données des participants !

Seulement, mal configuré, le « Google Form » va diffuser les informations des participants d’une manière dés plus triviale. Ozaik, un lecteur de Data Security Breach, m’a expliqué avoir retrouvé ses données par ce biais.

La méthode est simple. Il suffit de remplacer « prefill » par une autre commande. Nous ne la fournirons pas dans nos colonnes. Le problème venant des créateurs et de la mauvaise configuration de leur formulaire, il ne s’agit pas d’une faille Google. Cette commande fait sauter la « demande d’autorisation » et les autres restrictions de confidentialité. Le problème ne peut être corrigé que par les auteurs.

Plus dramatique, dans certains cas, les identités, les mails, les téléphones des participants apparaissent. Un malveillant n’a plus qu’à collecter. Les escroqueries et autres phishing « très » ciblés n’ont plus qu’à être lancés !

Les organisateurs ont été alertées afin d’effacer les informations !

Phase 03

Vous êtes Utilisateur des formulaires Google ? Sortez le mode d’emploi.
Vous souhaitez participer à un questionnaire via un formulaire Google ? Vous savez dorénavant les risques qui en découlent.

Côté RGPD, bon courage pour savoir qui a fuité, qui n’a pas fuité, qui va alerter et qui fera comme dans la majorité des cas : « Pas vu, pas pris » !

Cybersécurité, Entreprise, Social engineering

Le nombre de vos contacts augmente le piratage

Disposer d’un réseau de contacts professionnels est essentiel pour réussir dans le monde de l’entreprise, mais ces contacts peuvent être utilisés à mauvais escient par des attaquants

Les voies d’accès inattendues que des cybercriminels exploitent en s’attaquant au réseau de contacts d’une entreprise sont multiples. Voici la nature de ces risques et sur les mesures que les organisations peuvent prendre pour s’en prémunir.

Les criminels s’intéressent aux contacts de tous types : L’expansion d’un réseau de contacts accroît mécaniquement la surface d’attaque. Les contacts à tous les niveaux. Des partenaires commerciaux aux distributeurs. Des employés aux clients. Ils accroissent le risque potentiel d’une intrusion. En conséquence, des protections de cyber sécurité sont nécessaires pour gérer cette catégorie de risques.

Reconnaître les risques par association : Les relations d’affaires sont autant de potentielles voies d’accès pour des cybercriminels. Une entreprise peut être une cible intéressante. Elle offre une voie d’accès plus facile à certains de ses clients et partenaires.

Les plus grandes organisations doivent avoir mis en place des systèmes de sécurité plus sophistiqués. Donc, des malveillants infiltrent leurs partenaires pour y avoir accès par leur intermédiaire.

Le fournisseur, cet ennemi qui s’ignore

Les fournisseurs de services introduisent un nouvel ensemble de risques. Le modèle « as a service » accélère l’adoption de nouvelles technologies. Le processus de transformation digitale des entreprises, mais il introduit aussi de nouvelles vulnérabilités.

Toutes les entreprises s’exposent à des risques induits par leurs fournisseurs de services, fournisseurs de cloud ou autres. Pour protéger leurs opérations et leurs actifs, elles doivent donc contrôler leurs connexions avec chaque fournisseur de service, et leur infrastructure de sécurité comme leur gestion des risques à renforcer en conséquence.

Relationnel… pirate !

Les responsabilités des entreprises s’étendent à leurs relations avec leurs partenaires : Lorsqu’une intrusion se produit, les responsabilités ne sont pas limitées à une seule organisation. Ses dirigeants doivent faire tout leur possible pour protéger non seulement leur propre entreprise, mais aussi ses partenaires. En réponse à une cyber attaque, tous les efforts doivent être entrepris pour contenir, contrôler, rapporter et résoudre l’incident. Et il est important de réaliser qu’une entreprise peut être tenue pour financièrement responsable de pertes subies par d’autres qui ont été exposés à des risques en raison de leur connexion avec l’entreprise attaquée. Une partie des coûts induits par le cyber crime est liée aux obligations que les entreprises ont vis-à-vis de leurs connexions.

Employés, ohé! ohé !

Vos propres employés vous mettent en danger : Dans une organisation, ce sont les employés qui représentent le plus grand facteur de risque. Le rythme accéléré des affaires, nos méthodes de travail et la pléthore de distractions auxquelles nous sommes exposés dans notre vie de tous les jours conspirent tous à nous rendre vulnérables. Nous faisons des erreurs, nous sommes dans l’urgence, nous ouvrons des emails, cliquons sur des liens et téléchargeons des pièces jointes sans arrière-pensées. Et ce faisant, nous mettons nos entreprises en danger. Autant de raisons pour lesquelles les organisations ont besoin de nouvelles compétences en matière de sécurité pour les aider à sécuriser leurs activités.

Parlez-vous secret ?

Le blog ZATAZ.COM revient sur un test gratuit proposé par le SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE ET DE LA SÉCURITÉ NATIONALE (SGDSN). L’idée, comprendre le secret en entreprise, et s’auto-évaluer sur cette problématique. A tester sans modération.

Etude FireEye.

Base de données, Entreprise

Comment constituer un référentiel client unique ?

La centralisation de toutes les sources d’informations sur le parcours client, tel est l’avantage majeur d’un RCU ou d’un référentiel client unique. Il s’agit d’un moyen qui facilite l’élaboration d’une campagne marketing à travers différents canaux. Cependant, comment mettre en place ce genre d’instrument ? Découvrez les réponses à cette question dans cet article.

Exporter manuellement les données de référentiel client unique

La méthode la plus simple pour obtenir un référentiel client unique est l’exportation manuelle des données. Cette astuce flexible reste à la portée de toutes les petites entreprises. Elle ne demande aucune connaissance approfondie dans le domaine informatique. En effet, il suffit de retirer les informations du client en provenance d’un outil et de les implanter dans un autre instrument. La méthode se résume à un tri dans une feuille de calcul. Chaque entreprise est libre de classer les renseignements comme elle l’entend. Néanmoins, cette astuce présente quelques inconvénients, comme :

  • Le ralentissement dans les flux de données clients ;
  • Le retard dans les mises à jour ;
  • Les répétitions dans les activités d’exportation ;
  • L’ennui ;
  • La limitation des renseignements traités.

Cette solution ne convient pas aux grandes entreprises qui reçoivent et traitent une quantité colossale de données clients.

Utiliser les logiciels de Workflows

La seconde option est de recourir à un logiciel de Workflow. Il s’agit d’un outil informatique qui consiste à automatiser la circulation des flux des données dans une entreprise. Dans le cas du référentiel client unique, l’outil vise à partager les informations sur les clients à chaque intervenant. Cette méthode nécessite un paramétrage préalable du système. Son élaboration réclame quelques compétences en informatique, mais son utilisation reste accessible à tous les employés. Malgré ces avantages, les logiciels de Workflows souffrent de quelques vices. Les outils ne sont pas adaptés à la gestion d’un flux de données importantes, ce qui limite leur champ d’action. De plus, ces instruments ont pour finalité le partage et non le stockage des données clients.

Se tourner vers le Marketing Automation

La croissance d’une activité suscite l’usage d’autres instruments plus complexes afin de constituer un référentiel client unique. C’est pourquoi il est capital de s’orienter vers les solutions de Marketing Automation. La méthode propose de se servir des plateformes baptisées tout-en-un, c’est-à-dire des outils qui rassemblent plusieurs fonctionnalités de gestion de données utilisateur. Ces instruments offrent une bonne scalabilité et trient les flux de données de manière efficace. Ils n’exigent aucune expertise en informatique. Néanmoins, l’équipe a besoin d’une formation préalable afin de maîtriser parfaitement l’outil. En outre, ces instruments requièrent l’utilisation de logiciels supplémentaires afin d’assurer leur performance. Il faut également souligner que leur usage implique un coût élevé.

Solliciter l’intervention d’un ingénieur en informatique

Une autre solution pour profiter d’un bon référentiel client unique est de demander l’aide d’un ingénieur des données. Le professionnel sera chargé d’intégrer les informations des clients et de lier les données aux autres outils grâce à la programmation. La solution offre une grande flexibilité et un contrôle total des données. Les entreprises peuvent d’ailleurs personnaliser la programmation en fonction de leurs besoins. L’ingénieur assure également la gestion de toutes les données clients, aussi complexes soient-elles. Dans certains cas, les entreprises font appel à un intervenant externe pour effectuer ces opérations. D’autres recrutent directement un ingénieur pour réaliser la programmation.

Recourir à la CDP, la dernière solution de référentiel client unique

Les Customer Data Platforms ou CDP forment la nouvelle solution de référentiel client unique. Comme indiqué sur cette page, ce sont des outils de programmation informatique qui centralisent les données des utilisateurs issues de plusieurs sources. En plus de la centralisation, le stockage se trouve parmi leurs principales activités. Ils synchronisent toutes les informations dans un même format. Par ailleurs, ces instruments ne demandent aucune intervention d’ingénieur ou de programmeur. Malgré leur complexité, ces outils sont faciles à utiliser. Ainsi, les CDP ont été élaborés spécialement pour répondre au besoin du référentiel client unique des grandes entreprises.

Base de données, Communiqué de presse, RGPD

Collectivités territoriales : un guide de sensibilisation au RGPD

Afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation disponible sur son site web.

Les collectivités territoriales traitent de nombreuses données personnelles, que ce soit pour assurer la gestion des services publics dont elles ont la charge (état civil, inscriptions scolaires, listes électorales, etc.), la gestion de leurs ressources humaines, la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou encore leur site web. Cette tendance ne fera que se renforcer avec la transformation numérique de l’action publique.

Dans ce contexte, le respect des règles de protection des données constitue aujourd’hui un facteur de transparence et de confiance à l’égard des citoyens et des agents, qui sont de plus en plus sensibles à la protection de leurs données. C’est aussi un gage de sécurité juridique pour les élus responsables des fichiers et des applications utilisés au sein de leur collectivité.

Les principes du règlement général sur la protection des données (RGPD) s’inscrivent dans la continuité de la loi Informatique et Libertés de 1978. Malgré cela, la CNIL est consciente que la mise en conformité au RGPD peut parfois être complexe, et que l’importance des enjeux justifie un appui spécifique de sa part.

Aussi, afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation.

Quel plan d’action pour se mettre en conformité ?

Ce guide s’adresse prioritairement aux communes de petite ou de moyenne taille, ainsi qu’à leurs groupements intercommunaux, ne disposant pas nécessairement en interne de ressources dédiées spécifiquement à la protection des données. Il propose des clés de compréhension des grands principes, des réflexes à acquérir, un plan d’action pour se mettre en conformité ainsi que des fiches pratiques.

Il évoque les conditions de désignation du délégué à la protection des données afin que chaque collectivité puisse identifier la modalité la plus adaptée à sa situation.

Pour élaborer ce guide, la CNIL s’est rapprochée des principales associations regroupant les différents niveaux de collectivités et autres organismes intervenant auprès du secteur public local. Cet appui permet d’apporter des réponses concrètes et adaptées aux collectivités.

Ce guide actuellement envoyé en version papier à toutes les mairies de Métropole et d’Outre-Mer.

En complément de ce guide de sensibilisation, des fiches techniques consacrées aux principaux sujets de préoccupation des collectivités ont également été publiées sur le site web de la CNIL.

La CNIL proposera par ailleurs un cours en ligne gratuit sur le RGPD et les collectivités.

Communiqué de presse, Fuite de données

Un tiers des Français seraient prêts à vendre leurs données personnelles à un inconnu

vendre ou être vendu ! Au cours des derniers mois, les fuites de données massives ou les scandales liés aux abus des grandes sociétés technologiques se sont multipliés, à l’image de cette révélation concernant Facebook et l’accès privilégié de certaines entreprises comme Netflix et Spotify aux données personnelles des utilisateurs. Il n’y a donc rien de surprenant à ce que 60% des internautes français perçoivent la confidentialité absolue comme une chimère à l’ère du tout-numérique. Résignés, 34% seraient prêts à accorder à un inconnu l’accès sans limite à leurs données personnelles contre de l’argent. C’est ce que révèle une étude sur la confidentialité menée par Kaspersky auprès de 11 887 consommateurs dans 21 pays.  Il en ressort qu’en matière de confidentialité et de protection de leurs données personnelles, les Français vont de paradoxe en paradoxe.

Vendre ou être vendu ! 62% des Français se déclarent très ou relativement inquiets par la collecte des informations utilisateurs faite par les éditeurs d’applications mobiles. Cette inquiétude se traduit par une attention particulière portée aux permissions : plus de 73% des répondants contrôlent les autorisations (74% pour les utilisateurs Android et 73% pour les utilisateurs d’iPhone et d’iPad).

L’opacité de la collecte d’information sur le Web est aujourd’hui source d’une perte de confiance, qui se concentre en particulier contre les entreprises qui opèrent les grands réseaux sociaux actuelles. Lorsqu’on leur demande avec qui ils ont le plus peur de partager leurs données, les Français placent les réseaux sociaux (Facebook, Twitter, etc.) en 3ème position, derrière les cybercriminels et Internet en général. Ils sont suivis par les grandes entreprises technologiques (Google, Microsoft, Apple, etc.).

C’est pourquoi il est surprenant de noter que 67% des sondés disent se moquer de partager leurs activités sur les réseaux sociaux avec quiconque.

A noter que le blog de référence ZATAZ permet aux internautes de fouilles le black market, le darknet à la recherche de données qui auraient pu leur être volées.

Données personnelles : rien à cacher, rien à craindre ?

38% des Français accepteraient de partager leur historique de recherche avec un tiers et autant partageraient leurs achats. Viennent ensuite l’historique de navigation (30%) et les informations liées à l’identité (27%). Seules les données financières se distinguent (7%).

Pourtant, seuls 7% des Français reconnaissent ne pas s’inquiéter pour la protection de leur vie privée, en ou hors ligne et 85% souhaiteraient en savoir plus sur la manière dont ils peuvent protéger leur vie privée sur le Web.

Dans les faits, l’application des bonnes pratiques est très variable. En ce qui concerne la protection des équipements, 59% des Français protègent tous leurs appareils avec un mot de passe, 43% utilisent des logiciels de nettoyage (type CCleaner), 27% vérifient systématiquement les paramètres de confidentialité et 24% couvrent leur webcam (contre 62% à l’international).

Exception française concernant le téléchargement de logiciels ou d’applications piratés : 62% des répondants n’y renoncent pas malgré les risques, contre 52% à l’international.

En matière de protection des comptes en ligne, les résultats sont tout aussi mitigés. 56% des sondés français essaient de toujours utiliser des mots de passe complexes mais seuls 38% changent régulièrement de mot de passe. Ils sont 27% à utiliser une adresse email dédiée plutôt que leur adresse email principale pour s’inscrire à des services considérés comme non prioritaires.

Les raisons qui peuvent expliquer ces disparités sont multiples, mais la résignation et l’ignorance jouent sans aucun doute un rôle majeur. 60% des Français pensent qu’il est impossible de profiter d’une confidentialité absolue et 35% reconnaissent ne pas savoir comment protéger complètement leur vie privée.

Navigation Internet : vous reprendrez bien un cookie ?

En avril 2019, la 3ème édition du baromètre DIMENSION[2] de Kantar Media témoignait d’un rejet massif de la publicité ciblée en France : 61% des consommateurs refusent d’être suivis à la trace sur la base de leurs précédentes navigations (vs 54% au niveau global).

Ce rejet se traduit-il par une adoption massive des bonnes pratiques liées à l’usage des cookies ? Pas forcément, selon l’étude de Kaspersky. Seuls 42% des Français nettoient régulièrement leur historique de navigation. Ils sont encore moins nombreux (16%) à utiliser des outils logiciels ou modules de navigateurs dédiés pour bloquer le pistage. Au total, ce sont 21,5% des français qui admettent ne jamais effacer leurs traces sur Internet. C’est très loin de nos voisins allemands, champions européens de la confidentialité : 57% nettoient régulièrement leur historique et 25% utilisent des outils adaptés.

Les modes de navigation privée n’ont pas vraiment la cote et il semble que des efforts de sensibilisation restent nécessaires pour accélérer leur adoption : 16% seulement des Français les utilisent, contre 24% à l’international.

Cybersécurité : qui a laissé la porte ouverte ?

 17% des Français reconnaissent avoir dû faire face à une compromission de leurs données personnelles. Le plus souvent, il s’agit d’un accès non autorisé à un compte en ligne (41%) ou à un appareil (28%). Dans 18% des cas, les victimes se sont fait voler leurs données et ces dernières ont ensuite été exploitées.

Ces fuites de données n’ont pas toujours des conséquences dramatiques mais elles peuvent également influer sur le moral des consommateurs. 34% des victimes rapportent avoir été stressées. En outre, elles peuvent 17% ont observé une augmentation du nombre de spams reçus et 17% ont perdu de l’argent.

Bertrand Trastour, Head of B2B sales France termine ainsi : Pas besoin d’être un expert informatique pour comprendre comment les données peuvent être détournées et exploitées contre les consommateurs. Les exemples ne manquent pas. On se souvient par exemple de la fuite de données du Marriott[3] en 2018 qui a touché plus de 500 millions de clients dont certains ont ensuite été les victims de fraudes. Ou encore le cas plus personnel d’un musicien[4] dont la petite-amie a utilisé le compte email pour refuser une bourse d’étude qui l’aurait obligé à déménager. Cela semble parfois difficile à croire mais la protection de la vie privée est encore possible sur Internet, à condition d’avoir une bonne hygiène numérique et d’appliquer quelques bonnes pratiques.

1 https://www.nytimes.com/2018/12/18/technology/facebook-privacy.html

2 https://www.kantarmedia.com/dimension/fr

3 https://www.travelandleisure.com/travel-news/marriott-paying-new-passports-after-data-breach

4 https://www.telegraph.co.uk/news/2018/06/15/clarinetist-awarded-214000-damages-girlfriend-faked-rejection/

Chiffrement, Sauvegarde

Protéger ses transferts de fichiers avec castrum.io

Castrum.io, une jeune pousse de la cybersécurité Française propose une solution pour sécuriser vos transferts de fichiers. Découverte !

Castrum est un projet 100% Français. Mission, permettre une sécurité optimale dans le transfert de fichier.

L’idée est apparue en 2016 via la SSII Ex Algebra. Depuis, la jeune pousse de la cybersécurité a mûri son projet au point que des cabinets d’avocats utilisent ce service.

Castrum.io se veut un projet permettant de proposer un système de gestion de fichier, un peu à la Dropbox. Mission, partager des fichiers, tout en gardant le contrôle total sur le partage.

« Nous sommes parti d’un constat simple, explique Michel Gashet, les partages de fichiers débutent très souvent par un mail, non chiffré. Perte complète du contrôle, l’information reste dans la boite électronique du destinataire« . Bilan, Castrum se propose de servir d’espace de stockage sécurisé afin de partager vos fichiers.

Il est possible de paramétrer un mot de passe pour accéder au fichier (Il n’est pas envoyé dans le mail qui communique le lien d’accès). Le diffuseur doit partager le mot de passe par un autre moyen de contact de confiance : téléphone, remise en main propre.

Une durée d’expiration du lien (valide un mois, par exemple); un nombre d’accès autorisé (pas plus d’un certain nombre). Et même la possibilité d’autodétruire le fichier quand son partage a expiré.

L’hébergement se fait uniquement en France. Chaque client à son propre serveur. Les disques sont chiffrés.

Comment ça marche ?

Après la connexion, vous choisissez le fichier à partager. Taille maximale de ce dernier, 1Go (dans la version démo). Une taille qui pourra évoluer selon les besoins. Un studio de création graphique utilisateur diffuse du 8Go sans problème.

Vous l’envoyez sur votre serveur sécurisé Castrum.

Il ne reste plus qu’à envoyer un mail ou de récupérer le lien de téléchargement. Une adresse web codée à communiquer à votre contact.

Les actions s’affichent dans votre administration. « Le fichier « 92829 », partagé le 27/08/2019, n’a pas encore été chargé. Quand ce dernier a été vu, votre admin l’affiche avec le nombre de téléchargement. J’avoue que rajouter l’heure et la zone géographique du téléchargement pourrait rassurer. En cas d’interception, cela pourrait être un détail important d’action rapide. L’heure est cependant disponible dans l’espace « fichier partagé ».

Côté coût, 38 euros HT/mois pour 500 fichiers partagés par jour, maximum 2 Go par fichier. Parfait pour une PME/PMI qui souhaite utiliser un canal chiffré et contrôlé de bout en bout (exemple d’utilisation moyen pour une PME). « Un nombre de fichier qui peut évoluer sans surcoût« .

Bref, une idée qui germe de manière fort sympathique. Castrum est RGPD-ready. Le site vous simplifie toutes les étapes pour le respect des données personnelles. Parmi les projets à venir, l’accès aux logs plus poussés des fichiers partagés comme permettre d’avoir des preuves d’accès aux fichiers et de la moindre action sur le compte.

cryptomonnaie, Fuite de données

Centrale nucléaire : fabrique pirate de cryptomonnaie

Les services secrets ukrainiens viennent de mettre la main sur du matériel pirate dans la seconde centrale nucléaire du pays. Quelqu’un minait de la cryptomonnaie.

Ce n’est pas un cas unique, la Russie et de nombreuses universités ont déjà eu à faire à ce genre d’infiltration. La seconde centrale nucléaire d’Ukraine était exploitée par un pirate pas comme les autres. Les services secrets du pays ont découvert du matériel permettant de miner des cryptomonnaies. L’usine, située à Yuzhnoukrainsk, hébergeait six cartes vidéo Radeon RX 470.

Du matos caché dans une aile administrative. Elle n’était pas en lien direct avec la centrale. Le fait d’utiliser les ressources de la société est un délit.

Le même jour, des perquisitions effectuées dans les locaux utilisés par l’unité militaire 3044 (Garde nationale de l’Ukraine – Éd.), Située sur le territoire de la centrale nucléaire du sud de l’Ukraine. À la suite de la recherche, 16 cartes vidéo, une unité centrale avec le numéro d’inventaire de l’unité militaire, sept disques durs, deux disques SSD, un lecteur flash USB et un routeur saisis .

De fuites…

2017, les activistes du mouvement éclair mobilisateur #fuckresponsibledisclosure initié par l’Ukernian Cyber ​​Alliance constatent des problèmes de sécurité chez Energoatom.

Décembre 2017, l’hacktiviste Dmitry Orlov signale une fuite de données à la centrale nucléaire de Zaporizhzhya. Accès libre à la documentation interne.

Octobre 2018, Alexander Galouchtchenko, expert en sécurité, découvre des documents liés aux travaux de la centrale nucléaire.

19 mars 2019, la police ouvre une procédure pénale pour un cas d’ingérence dans le fonctionnement du réseau de la centrale. Trois employés du département de la sécurité nucléaire impliqués.

Et demain ?

En 2015, Data Security Breach vous expliquait comment des chercheurs s’inquiétaient des installations. De plus et plus dépendantes des systèmes numériques. la sensibilisation de haut niveau des menaces liées à la cybersécurité stagne. « Les récentes attaques de grande envergure ont soulevé de nouvelles inquiétudes concernant les failles de sécurité des cyber d’installations nucléaires », commentait le rapport.

Communiqué de presse, Entreprise, Fuite de données

Quels sont les derniers fichiers modifiés/consultés sur votre partage de fichiers Windows ?

Pour de nombreuses normes de conformité, vous devez être en mesure de répondre à certaines questions comme « Qui a accédé à quel fichier ? Quels changements ont eu lieu ? ». Pour des raisons évidentes de sécurité, vous devez être capable d’identifier facilement une activité sur vos fichiers et dossiers partagés les plus sensibles et de réagir en cas de menace. Explication par notre partenaire IS Decisions.

FileAudit offre à la fois aux professionnels de l’informatique une visibilité optimale les données de l’entreprise, mais également une possibilité de réagir rapidement aux événements.

Trouver les derniers fichiers consultés/modifiés

Une fois l’audit configuré, je peux voir en temps réel les accès qui se produisent sur les partages que j’ai sélectionnés, à partir de l’observateur d’accès.

Je peux voir la date et l’heure, le fichier ou le dossier auquel on a accédé, le type d’accès, le refus ou l’octroi, l’utilisateur qui a tenté d’accéder au fichier, la machine à partir de laquelle l’accès a été effectué avec son adresse IP et le serveur sur lequel le fichier est stocké.

Surveiller les accès refusés

Lorsque je suis sur l’observateur d’accès, je peux facilement voir qu’il existe des accès refusés à certains dossiers. Je peux donc aller de l’avant et examiner de plus près ce dossier pour voir qui a tenté d’y accédé. Nous prendrons ici l’exemple d’un utilisateur dénommé Alice et de dossiers appelés « Accounting » et « Peopleopps ».

Je vais ensuite regarder de plus près l’activité générale de cet utilisateur en cliquant sur son nom d’utilisateur. J’obtiens un tableau de bord de l’activité d’Alice des derniers jours et semaines.

Cela me permet de voir s’il y a eu beaucoup d’accès refusé par cet utilisateur. Je peux faire défiler davantage et voir tous ces accès vers tous ces fichiers et dossiers qui ont été lus à la même heure le même jour. S’ils se sont produits simultanément, cela peut m’amener à penser qu’Alice sélectionne un grand nombre de fichiers et les copie sur un lecteur externe ou éventuellement sur son bureau.

Une fois cette vue détaillée obtenue, je peux l’exporter au format PDF au cas où je souhaiterais l’envoyer à un responsable ou au cas où d’autres alertes viendraient de cet utilisateur.

Définir des alertes

La prochaine étape que je souhaite mettre en place consiste à envoyer des alertes proactives au cas où de tels accès se reproduiraient. Je peux donc accéder à l’onglet d’alertes et à partir de là créer mes alertes.

Ce que je vais faire en premier lieu, c’est créer une alerte d’accès unique pour les accès refusés sur les dossiers sensibles Accounting et Peopleops.

Très facilement, il me suffit de sélectionner le statut d’accès « refusé », de laisser tous les types d’accès et d’entrer l’utilisateur Alice. Il faut ensuite sélectionner les deux chemins que nous avons vus précédemment, Accounting et Peopleopps et valider. Je peux enfin simplement choisir le destinataire de l’e-mail et je peux également ajouter un canal Slack où tous les administrateurs recevront des messages afin qu’ils puissent les voir également.

La deuxième alerte que je vais mettre en place s’agit d’une alerte d’accès en masse pour Alice, en raison de l’activité sur plusieurs fichiers ou dossiers accédés en même temps, montrant qu’elle pourrait copier ou déplacer un grand nombre de fichier.

Je vais laisser le statut et les types d’accès, je vais juste ajouter ici à nouveau notre utilisateur Alice et je vais définir un seuil que je vais définir assez bas. Je vais dire que si 25 fichiers ou dossiers sont consultés en l’espace de 30 secondes, j’aimerais que cette alerte soit déclenchée. Pour les chemins à surveiller, je vais mettre tout ce qui est audité, je ne vais pas exclure d’heures, mais je vais ajouter les destinataires de l’e-mail et choisir les mêmes qu’auparavant, l’e-mail de l’administrateur et mon canal Slack qui reçoit toutes ces alertes. Il suffit de valider, sauvegarder cette alerte et maintenant, j’ai la configuration de mes deux alertes.

Réagir aux alertes d’accès suspects

En plus de la surveillance en temps réel et de l’identification des menaces, vous devez être en mesure d’agir sur les menaces potentielles.

FileAudit peut réagir immédiatement à une alerte sans avoir à attendre que le service informatique intervienne. Un script personnalisé peut être créé et exécuté chaque fois qu’une alerte spécifique est déclenchée.

Je peux par exemple arrêter la machine d’Alice ou bien la déconnecter. Cela me permet d’agir sur les menaces potentielles avant que tout dommage ne soit causé.

C’est ainsi que vous pouvez utiliser FileAudit pour voir les accès sur vos fichiers ou vos dossiers, générer des rapports, configurer des alertes de manière proactive et réagir en cas de comportement suspect sur votre réseau.

Cliquez ici pour voir une courte démo explicative de FileAudit.

Ne vous fiez pas à ce que nous disons, téléchargez dès maintenant l’essai gratuit entièrement fonctionnel et constatez par vous-même avec quelle facilité FileAudit peut vous aider à identifier une activité sur vos fichiers et dossiers partagés les plus sensibles.

Communiqué de presse, RGPD

Haut lieu mondial des attaques par force brute

Une étude tente d’expliquer pourquoi les attaques contre les applications ont la plupart du temps lieu au niveau de l’accès, contournant des processus d’authentification et d’autorisation légitimes. Les attaques par force brute sont généralement définies par, soit dix tentatives de connexion successives infructueuses, ou plus, en moins d’une minute, soit 100 tentatives infructueuses en 24 heures.

Accès ou ne pas avoir d’accès ! Les pirates se posent toujours la question.

En 2018, l’équipe de réponse aux incidents de sécurité de F5 (SIRT, Security Incident Response Team) indiquait que les attaques par force brute à l’encontre des clients de F51 représentaient 18 % du nombre total d’attaques et 19 % des incidents traités.

De toutes les attaques enregistrées par le SIRT qui ont eu lieu dans la région EMEA l’année dernière, 43,5 % étaient des attaques par force brute.

Le Canada arrive juste derrière (41,7 % des attaques enregistrées), suivi des États-Unis (33,3 %) et de la région APAC (9,5 %).

Le secteur des services publics a été le plus touché, 50 % de tous les incidents ayant pris la forme d’attaques par force brute, suivi des services financiers (47,8 %) et de l’industrie de de la santé (41,7 %).

L’éducation (27,3 %) et les fournisseurs de services (25 %) étaient aussi dans la ligne de mire.

« Selon la robustesse des capacités de surveillance, les attaques par force brute peuvent sembler inoffensives, comme une connexion légitime avec un nom d’utilisateur et un mot de passe corrects », explique Ray Pompon, principal évangéliste en recherche sur les menaces chez F5 Networks. « Les attaques de cette nature peuvent être difficiles à détecter car, en ce qui concerne le système, le hacker semble être l’utilisateur légitime. »

Attaques massives

Toute application nécessitant une authentification peut potentiellement subir des attaques par force brute, mais le F5 Labs a surtout observé des attaques se concentrant sur l’Authentification via formulaire HTTP (29 % des attaques enregistrées dans le monde). Attaques contre les formulaires d’authentification Web dans le navigateur. Sachant que la plupart des connexions traditionnelles sur le Web prennent cette forme.

Outlook Web Access (17,5 %), Office 365 (12 %), ADFS (17,5 %).

Attaques contre les protocoles d’authentification utilisés pour les serveurs Exchange et Active Directory Federation Services de Microsoft. Ces services n’étant pas accessibles via un navigateur, les utilisateurs s’authentifient auprès d’eux via des applications tierces.

En raison des fonctionnalités d’authentification unique (Single Sign-On) d’Active Directory Federation Services, les attaques d’accès réussies contre ces protocoles ont aussi un impact sur la messagerie électronique, ainsi que sur des Intranets entiers et des volumes importants d’informations sensibles.

SSH/SFTP (18 %). Les attaques d’accès SSH et SFTP sont parmi les plus courantes, ce qui est en partie dû au fait qu’une authentification SSH réussie est souvent un moyen rapide d’obtenir des privilèges administrateur. Les attaques par force brute SSH sont extrêmement prisées des cybercriminels étant donné que de nombreux systèmes continuent d’utiliser des informations d’identification par défaut pour plus de commodité.

S-FTP (6 %). Les attaques S-FTP par force brute sont dangereuses, car elles permettent d’implanter des malwares offrant un large éventail de possibilités, comme l’élévation des privilèges, l’enregistrement des frappes clavier, ainsi que d’autres formes de surveillance et de pénétration du réseau.

Messagerie électronique

La messagerie électronique est globalement le service le plus sujet aux attaques par force brute. Pour les entreprises qui ne dépendent pas fortement du commerce électronique, les ressources les plus précieuses stockées loin du périmètre réseau, derrière plusieurs couches de contrôle. Dans ce cas, la messagerie électronique constitue bien souvent un excellent point de départ pour dérober des données et accéder aux outils nécessaires pour mener une attaque de grande ampleur.

Les attaques relatives aux atteintes à la protection des données identifient également la messagerie électronique comme une cible principale. Elles figurent parmi les deux principales sous-catégories liées au vol d’accès, représentant 39 % des violations d’accès et 34,6 % des causes d’attaques. Le mail est directement en cause dans plus d’un tiers des déclarations de piratage.

Bien se protéger

Selon le rapport Application Protection Report 2019, se protéger contre les attaques au niveau de l’accès représente encore un défi majeur pour de nombreuses entreprises. L’authentification à plusieurs facteurs peut se révéler difficile à mettre en œuvre et n’est pas toujours réalisable dans les délais impartis. Fait inquiétant, bien que les mots de passe n’offrent généralement pas une protection suffisante, le rapport Application Protection Report 2018 de F5 indique que 75 % des entreprises continuent d’utiliser de simples combinaisons nom d’utilisateur/mot de passe pour l’accès à leurs applications Web critiques.

« Même s’il faut s’attendre à ce que les tactiques d’attaque d’accès évoluent en même temps que les technologies de défense, les principes de base d’une bonne protection demeureront essentiels à l’avenir », indique Ray Pompon de chez F5. « Pour commencer, les entreprises doivent s’assurer que leur système peut au moins détecter les attaques par force brute. L’un des principaux problèmes est que la confidentialité et l’intégrité se trouvent parfois en porte-à-faux avec la disponibilité. Il est important de mettre en place des mécanismes de réinitialisation pour l’entreprise et ses utilisateurs. Et ne pas se contenter de définir quelques alarmes de pare-feu pour les tentatives d’attaque par force brute. Il est important de tester les contrôles de surveillance et de réponse, exécuter des tests de scénarios de réponse aux incidents et créer des playbooks de réponse aux incidents pour pouvoir réagir de manière rapide et fiable. »