Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Paiement en ligne, Patch, Piratage, ransomware, ransomware, Securite informatique

La cyberattaque Petya attribuée au groupe TeleBots

2 commentaires

La cyberattaque dite « Petya » pourrait être attribuée au groupe TeleBots. Il existe des similitudes entre les nombreuses campagnes menées contre l’Ukraine, l’amélioration des outils utilisés par le cyber-groupe entre décembre 2016 et mars 2017 et la menace Diskoder.C (Petya).

Petya ne serait pas un ransomware mais une attaque du groupe TeleBots à l’encontre de l’Ukraine ! « La cyberattaque de 2016 menée contre les institutions financières ainsi que le développement d’une version Linux du malware KillDisk par TeleBots, ont attiré l’attention des chercheurs. En parallèle, le nombre croissant d’attaques contre les systèmes informatiques que connaît l’Ukraine nous ont fait pointer du doigt le groupe TeleBots, » déclare Anton Cherepanov, Senior malware researcher chez ESET.

Le mode opératoire du groupe TeleBots est l’utilisation systématique du malware KillDisk qui réécrit les extensions de fichiers des victimes. L’obtention d’une rançon n’est donc pas leur objectif principal, car les fichiers cibles ne sont pas chiffrés, mais réécrit. Si l’évolution du malware contient de nouvelles fonctions, comme le chiffrement ou l’ajout de leurs coordonnées, l’objectif de KillDisk n’est toujours pas de récolter de l’argent.

Entre janvier et mars 2017, TeleBots a compromis une société d’édition de logiciels en Ukraine, utilisant alors des tunnels VPN pour accéder aux réseaux internes de plusieurs institutions financières. Au cours de cette campagne, les cybercriminels ont utilisé tout un arsenal d’outils en Python, SysInternals PsExec et des logins de session Windows volés pour déployer un nouveau ransomware. Il fut détecté comme Win32/Filecoder.NKH et fut suivi par une version pour Linux, détecté comme Python/Filecoder.R.

TeleBots a ensuite lancé un nouveau malware le 18 mai 2017 : Win32/Filecoder.AESNI.C (également appelée XData). Ce ransomware s’est principalement diffusé en Ukraine via une mise à jour du logiciel financier M.E.Doc, largement utilisé en Ukraine.

Le malware se déploie juste après l’exécution du logiciel, ce qui lui permet de se répandre automatiquement à l’intérieur d’un réseau compromis. Bien qu’ESET ait mis à la disposition un outil de déchiffrement pour la plateforme Windows, cette attaque ne fut pas très médiatisée.

Le 27 juin 2017, l’épidémie de ransomwares de type Petya (Diskoder.C) ayant compromis de nombreux systèmes notamment en Ukraine, a permis de montrer la capacité du malware à remplacer le MBR par son propre code malveillant, code qui a été emprunté au ransomware Win32/Diskoder.Petya : c’est pourquoi certains chercheurs ont nommé cette menace ExPetr, PetrWrap, Petya ou NotPetya.

Cependant, contrairement au ransomware original Petya, les auteurs de Diskcoder.C ont modifié le code MBR de telle sorte que la récupération de fichiers ne soit pas possible, malgré l’affichage des instructions de paiement. Une fois le malware exécuté, il tente de se propager à l’aide de l’exploit Eternablue, en s’aidant de la backdoor DoublePulsar. Il s’agit de la même méthode utilisée par le ransomware WannaCry.

Le malware est également capable de se diffuser de la même manière que le ransomware Win32/Filecoder.AESNI.C (XData), en utilisant Mimikatz, pour obtenir des mots de passe, puis en exécutant SysInternals PsExec. En outre, les attaquants ont mis en place une troisième méthode de diffusion à l’aide d’un mécanisme WMI.

Ces trois méthodes ont été utilisées pour diffuser les ransomwares, cependant et contrairement à WannaCry, l’exploit EternalBlue utilisé par le malware Diskoder.C cible uniquement des ordinateurs ayant un adressage interne.

Lier TeleBots à cette activité permet de comprendre pourquoi les infections se sont étendues à d’autres pays que l’Ukraine. ESET a analysé les connexions VPN entre les employés, les clients et les partenaires mondiaux de l’éditeur ainsi que le système interne de messagerie et d’échange de documents. Tout cela a permis aux cybercriminels d’envoyer des messages aux victimes (spearphishing). Les pirates ayant eu accès au serveur légitime de mise à jour ont diffusé des mises à jour malveillantes automatiquement (aucune interaction avec l’utilisateur ne fut nécessaire).

« Avec une infiltration si poussée dans l’infrastructure de l’éditeur du logiciel M.E.Doc et de sa clientèle, les pirates disposaient des ressources nécessaires pour diffuser Diskoder.C. Bien qu’il y eut des dommages collatéraux, cette attaque a permis de démontrer la connaissance approfondie de leur cible par les pirates. D’autre part, l’amélioration du kit d’exploit EternalBlue le rend encore plus sophistiqué, ce à quoi devront faire face les acteurs de la cybersécurité dans les prochaines années, » conclut Anton Cherepanov.

 

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, ransomware, Securite informatique

Failles de sécurité : responsables de la sécurité des systèmes d’information, pourquoi faire l’aveugle ?

Selon une enquête réalisée par ServiceNow, 90 % des responsables de la sécurité des systèmes d’information français déclarent que les failles de données dont ils ont connaissance ne sont pas traitées. Les RSSI augmentent l’efficacité de leur réponse aux incidents de sécurité en automatisant les tâches de sécurité et en hiérarchisant les menaces en fonction du risque pour l’entreprise.

Une nouvelle enquête menée par ServiceNow, the enterprise Cloud company, auprès de 300 responsables de la sécurité des systèmes d’information (RSSI — Chief Information Security Officer, CISO) du monde entier souligne la nécessité d’adopter une nouvelle approche pour répondre à l’augmentation du nombre de menaces qui pèsent sur la sécurité des données, ainsi qu’à la hausse de leur coût. Selon cette étude intitulée « The Global RSSI Study: How Leading Organizations Respond to Security Threats and Keep Data Safe », 90 % des RSSI français indiquent que les failles de données détectées ne sont pas traitées (80 % au niveau mondial) et 68 % déclarent pour leur part éprouver des difficultés à hiérarchiser les menaces en fonction du risque qu’elles représentent pour l’entreprise.

Ces lacunes ont un coût : 14 % des RSSI français (13 % au plan mondial) déclarent avoir vécu au cours des trois dernières années une importante faille de sécurité ayant eu un impact important sur l’image ou les finances de leur entreprise. Les processus manuels, le manque de ressources et de talents, ainsi que l’impossibilité de hiérarchiser les menaces grèvent l’efficacité de la réponse aux incidents de sécurité. Résultat, les RSSI augmentent l’automatisation des tâches de sécurité pour répondre et remédier aux failles de sécurité avec une plus grande efficacité.

« En France, les RSSI consacrent de plus en plus de temps à prévenir et détecter des failles de sécurité, mais notre étude souligne que c’est sur la réponse à apporter qu’ils devraient se concentrer », a déclaré Matthieu de Montvallon, Directeur Technique de ServiceNow France. « L’automatisation et l’orchestration de la réponse aux incidents de sécurité constituent le chaînon manquant qui empêche les RSSI d’accroitre de façon significative l’efficacité de leurs programmes de sécurité ».

Principales conclusions de l’étude menée en France via la réponse de responsables de la sécurité des systèmes d’information

· seulement 18 % des RSSI interrogés considèrent que leur entreprise lutte très efficacement contre les failles de sécurité (19 % à l’échelle mondiale) ;

· ce sont les clients qui souffrent le plus de ces lacunes : seulement 38 % des RSSI — en France et dans le monde — pensent protéger les données de leurs clients de façon très efficace contre les failles de sécurité ;

· environ un cinquième des RSSI français (22 %) déclare que les processus manuels entravent la capacité de leur entreprise à détecter des failles de sécurité et à y faire face ; 26 % d’entre eux imputent cette difficulté au manque de ressources ;

· seulement 4 % des RSSI français estiment que leurs employés disposent des compétences nécessaires pour hiérarchiser avec succès les menaces qui pèsent sur la sécurité, contre 7 % au plan mondial.

Au sein du panel couvert par cette enquête, un petit groupe (11 % à l’échelle mondiale et 14 % en France) de « leaders dans la lutte contre les incidents de sécurité » affiche une tendance différente en ce sens où ils souhaitent :

· automatiser un pourcentage supérieur d’activités de sécurité, en incluant des tâches plus avancées telles que les rapports de tendances ;

· hiérarchiser les réponses aux alertes de sécurité en fonction du niveau de risque pour l’entreprise ;

· et nouer des relations plus étroites avec la DSI et autres services de l’entreprise.

APT, Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, Mise à jour, Securite informatique

Les risques, les vulnérabilités, les licences des logiciels open source

Les risques concernant la sécurité et la conformité des composants tiers atteignent des proportions incontrôlables, et menacent l’intégrité même de la chaîne d’approvisionnement de logiciels.  Il suffit de voir l’impact de la faille Heartbleed pour s’en convaincre !

Aujourd’hui, les entreprises incluent davantage de code open source que d’éléments conçus en interne ou propriétaires dans leurs produits.  Malheureusement, en profitant de ces logiciels open source (OSS) pour accélérer le développement de leurs produits, la plupart d’entre elles ne respectent pas les licences open source associées à ces composants.  Bien que les OSS soient gratuits, leurs utilisateurs ne sont pas pour autant libres de toute obligation les concernant.  Celles-ci peuvent aller de la reproduction de déclarations de droits d’auteur ou d’une copie d’un document de licence à la divulgation de l’intégralité du code source de leurs produits.  Des enquêtes récentes ont montré que la plupart des entreprises ne connaissent qu’un faible pourcentage des composants open source sur lesquels elles s’appuient, et ne sont donc pas en mesure de respecter les obligations indiquées dans les licences de ces éléments.  En outre, ces logiciels peuvent comporter des bugs ou des vulnérabilités susceptibles d’affecter votre produit.  Sans un suivi adéquat, ce dernier peut passer à côté de mises à jour ou de patches corrigeant des vulnérabilités connues. Mais malgré cela l’open source offre de précieux avantages.

Découverte, gestion et conformité en cinq étapes

Face aux problématiques de conformité ou de gestion des vulnérabilités des OSS, la première question est généralement : « Comment savoir quels composants open source nous utilisons ? » Il est possible de mieux comprendre ce que l’on fait et de mettre en place un processus pour découvrir, gérer et s’assurer de la conformité avec ces OSS en cinq étapes.

Étape 1 :  comprendre comment les OSS sont introduits dans votre entreprise

Les OSS peuvent s’introduire de différentes façons.  Cas classique : un développeur décide d’utiliser un composant open source, télécharge le code source, et l’intègre au produit.  Ce cas est encore très fréquent, mais il existe bien d’autres scénarios.  Très souvent, les développeurs utilisent ce qu’on appelle des gestionnaires de référentiels (repository manager).  Ces outils leur permettent d’indiquer les composants qu’ils veulent utiliser, puis s’occupent eux-mêmes d’en télécharger le code source ou des fichiers binaires compilés. Ces gestionnaires stockent généralement les composants open source dans un référentiel distinct, hors du système classique de gestion des codes source.  On peut notamment citer parmi eux Maven, Nuget ou npm.

Des éléments open source peuvent également être introduits dans une organisation en tant que sous-composant d’un composant open source plus important ou commercial.  Les composants de premier niveau ont très souvent plusieurs sous-composants ou dépendances open source, qui sont rarement divulgués ou gérés.

En outre, ces éléments serviront de pièces d’une infrastructure runtime, comme des serveurs Web, des systèmes d’exploitation ou des bases de données et peuvent permettre de contrer les risques.

Étape 2 :  chercher les OSS

Une fois que vous savez comment vos composants open source sont sélectionnés et utilisés, vous pouvez évaluer les risques et ceux dont vous avez besoin, et comment ils sont utilisés ou répartis.  On appelle ça dresser une nomenclature (Bill of Materials), ou une liste de divulgation.  Cette liste sert à suivre les obligations, à modifier les politiques vis-à-vis des OSS, et à réagir aux vulnérabilités rendues publiques.  Souvent, des paquets open source comporteront des termes de licence que votre organisation ne pourra pas respecter, ce qui pose automatiquement un problème de conformité.  Dans de tels cas, le composant en question devra être supprimé et la fonctionnalité remplacée, soit par un autre composant OSS, ou en écrivant une fonctionnalité équivalente.

L’examen du code base, les risques, la tenue d’entretiens et l’utilisation d’outils d’analyse de code peuvent être utiles dans le cadre de ce processus.

Étape 3 : questionner l’équipe de développement

Les projets devenant sans cesse plus vastes, complexes et distribués, il est de plus en plus difficile de découvrir l’ensemble des éléments utilisés.  Il est donc important d’avoir des échanges réguliers avec les développeurs, équipes DevOps, ainsi que l’ensemble du personnel informatique impliqué dans la création, le déploiement et la mise en œuvre du projet en question.  Posez-leur des questions ciblées, comme « Quelle base de données utilisons-nous ? », ou « Quelle bibliothèque de chiffrement utilisons-nous ? ».  Cela peut être utile pour découvrir d’autres modules potentiellement passés inaperçus la première fois.

Demander simplement « Quel code open source utilisons-nous » permet rarement de créer une liste complète pour un certain nombre de raisons, notamment à cause d’oublis ou de l’absence de registres adéquats.

Étape 4 : comprendre comment les OSS entrants sont gérés

La gestion des composants tiers et les risques doivent faire l’objet d’un processus cohérent et correctement appliqué.  Votre organisation pourra ainsi respecter ses obligations des licences open source, mais aussi faire face à de nouvelles vulnérabilités.  Il est fréquent de voir ce processus atteindre différentes étapes et niveaux de conformité.  Certaines organisations se contentent encore de suivre les composants « sollicités » par les développeurs.  Celles-ci n’ont souvent connaissance que des éléments les plus importants, ou découvrent que certains développeurs sont plus assidus que d’autres dans le cadre du respect du processus.

D’autres entreprises utilisent des outils d’analyse pour découvrir et suivre leurs OSS.  Leurs résultats varieront en fonction des solutions utilisées ou du niveau d’analyse.  Certains outils ne découvrent que les textes de licence, pas les composants open source. D’autres ne peuvent retrouver que les composants gérés par des gestionnaires de paquets.  Il est donc important de savoir quel niveau d’analyse est adopté et ce que l’on peut espérer repérer…

Étape 5 :  cherchez des preuves de conformité des OSS

Une fois toutes ces étapes franchies, il est important de confirmer la visibilité de cette conformité.  Les déclarations et autres avis légaux (droits d’auteurs) nécessaires sont-ils présents dans les produits ou leur documentation ?  Les textes des licences sont-ils visibles comme il se doit ?  Existe-t-il une offre écrite relative au code source ou ses distributions, et ciblant du contenu rendu libre que vous utilisez ?  Tous ces éléments seront les témoins visibles de l’efficacité de votre processus de gestion des composants open source.

En suivant ces cinq étapes, en sensibilisant votre personnel à l’utilisation adaptée des OSS, et en encourageant les membres de votre écosystème à en faire de même, vous pourrez créer des applications modernes et puissantes, tout en respectant les licences open source.

En outre, plus vous en savez sur les ingrédients, les éléments tiers et les vulnérabilités de votre produit, mieux ce dernier pourra être sécurisé et pris en charge ! (Par Christian Hindre – Directeur Commercial Europe de Flexera Software)

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Securite informatique

2 employés sur 10 pirateraient leur entreprise

21 % des employés de bureau britanniques pirateraient leur entreprise s’ils avaient les compétences requises. Une enquête révèle les informations susceptibles d’être piratées par les employés : leurs salaires, leurs jours de congés, les commérages, les informations RH sensibles.

L’entreprise CyberArk, spécialiste de la protection d’organisations face aux cyberattaques ayant réussi à pénétrer dans le périmètre réseau, a dévoilé les résultats d’une enquête révélant ce que les employés feraient s’ils étaient capables d’accéder anonymement aux données sensibles de leur entreprise, notamment les salaires, les jours de congé ou des informations confidentielles liées aux ressources humaines. Ce sondage rappelle l’importance de contrôler les accès aux comptes à privilèges, afin d’éviter que les cyber-pirates internes et externes ne puissent obtenir un accès libre et illimité aux actifs les plus précieux de l’entreprise.

Cette enquête, réalisée auprès de 1 000 employés de bureau britanniques dans des entreprises de plus de 250 salariés, révèle que les informations les plus convoitées sont le salaire des collègues (26 %), les conversations à leur sujet (22 %) et des informations sensibles détenues par les RH (20 %). Si les employés pouvaient modifier des informations dans le système de leur entreprise sans encourir de risque, près d’un tiers (31 %) s’accorderait une augmentation de salaire, et près d’un employé sur cinq (19 %) s’octroierait des jours de congé supplémentaires.

« Les équipes de sécurité savent depuis longtemps que l’une des techniques les plus prisées des hackers souhaitant accéder à des données critiques consiste à se faire passer pour un utilisateur légitime, et à exploiter des identifiants à privilèges pour se déplacer latéralement dans un réseau et pour effectuer une reconnaissance sans être détecté virtuellement, explique Matt Middleton-Leal, Vice-Président Régional pour le Royaume-Uni, l’Irlande et l’Europe du Nord chez CyberArk. Si cette enquête révèle les méfaits que les employés pourraient perpétrer en l’absence de contrôles adéquats, elle rappelle avant tout que les menaces internes, ou les pirates se faisant passer pour des collaborateurs internes, représentent pour chaque organisation l’une des principales menaces de sécurité actuelles. »

La bonne nouvelle pour les employeurs britanniques est que la plupart des employés interrogés sont satisfaits de leur emploi actuel et n’ont donc pas d’envie et ne pirateraient leur entreprise que dans leurs rêves ! Cependant, les personnes très mécontentes seraient deux fois plus enclines à exploiter les données de leur entreprise, comparé à leurs collègues très satisfaits (61 % contre 29 %). Après s’être alloué des avantages salariaux plus avantageux (33 %) et avoir recherché les anecdotes croustillantes de bureau à répandre (27 %), les employés mécontents choisiraient de dévoiler les pratiques douteuses et frauduleuses de leur entreprise (20 %) et de dénoncer les membres malhonnêtes ou fainéants de leur organisation (18 %).

La principale raison pour laquelle les employés ne piratent pas les ordinateurs de leur employeur repose sur la croyance que cela n’est pas moral (40 %). Toutefois, un peu plus d’un quart des interrogés (27 %) affirme que les répercussions, s’ils sont pris, sont rédhibitoires, et une personne sur cinq (21 %) invoque son manque de compétences techniques. Ceci suggère que bon nombre d’employés seraient tentés d’accéder ou d’exploiter des données d’entreprise s’ils savaient comment agir sans être attrapés.

Que feraient les employés s’ils étaient sûrs de ne pas être pris ? Ils pirateraient leur entreprise !

Plus de la moitié (51 %) des interrogés déclarent qu’ils seraient prêts à s’immiscer dans les systèmes ou les comptes en ligne d’autres entreprises, mais uniquement s’ils étaient certains de ne pas être repérés. Il pirateraient leur entreprise sans problème ! Les réponses les plus courantes ont trait à des avantages personnels, comme par exemple augmenter son nombre de jours de congé (23 %), transférer des fonds sur son propre compte bancaire (23 %), faire du shopping en ligne sans rien débourser (20 %) et rembourser son emprunt (14 %). Certains affichent également des réactions plus politiques, en indiquant par exemple qu’ils bloqueraient les activités de certaines entreprises immorales (14 %), rechercheraient des renseignements nationaux confidentiels (11 %) ou modifieraient certaines lois (5 %).

« Les cybercriminels se montrent de plus en plus agressifs dans leurs attaques, raison pour laquelle celles-ci causent des dommages plus rapidement qu’auparavant, comme ce fut le cas avec le ransomware WannaCry, poursuit Matt Middleton-Leal. Les pirates sont de plus en plus doués et parviennent à se dissimuler derrière des identifiants valides afin d’opérer sans être décelés et stoppés. C’est pourquoi les entreprises doivent être plus vigilantes que jamais afin de pouvoir surveiller et bloquer l’activité des personnes internes mal intentionnés et ainsi protéger leurs données les plus sensibles. »

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage, ransomware, Securite informatique

Cybersécurité : le tout-connecté fait entrer le secteur aérien en zone de turbulences

Comme n’importe quel autre secteur d’activité, l’écosystème du transport aérien est résolument engagée sur la piste du numérique. En devenant hyperconnectée, l’aviation moderne se donne les moyens de répondre à ses impératifs de développement. Mais elle se met aussi en danger face à de nouveaux risques de piratage. Le point de vue sur cette question de Tanguy de Coatpont, directeur général de Kaspersky Lab France.

Piratage informatique et l’aéronautique, un futur planant ? Le nombre a de quoi donner le tournis. En 2035, nous verrons passer au-dessus de nos têtes en Europe quelque 14,4 millions d’avions, contre 9,5 millions en 2012. Le secteur aérien doit ainsi faire face à un enjeu de taille : assurer sans faille son activité en croissance permanente.

A l’instar du domaine de l’énergie, c’est bien avec les solutions numériques à leur disposition que tous les acteurs du transport aérien pourront relever le défi qui leur incombe. Où l’ère de l’analogique, des communications VHF avec le sol, des commandes mécaniques des avions, est vouée à s’effacer au profit de la connectivité des outils numériques. Où ordinateurs, tablettes et traitements de données en temps réel ouvrent aussi la voie à une nouvelle façon de gérer au mieux le trafic aérien.

À l’échelle européenne, la transformation est lancée via le déploiement du programme SESAR. Du sol aux avions, ce système moderne repose, tout logiquement, sur l’utilisation d’outils numériques. Pour une gestion des vols harmonisée d’un pays à l’autre, et d’un avion communiquant à l’autre. Pour un trafic aérien toujours plus fiable, plus écologique et économique.

Le numérique dans l’aérien : l’aubaine et la menace

À l’échelle locale, les aéroports ne sont pas en reste. Un exemple : Londres-Gatwick en Angleterre détecte déjà, compile et analyse les données numériques issues de l’activité de toutes ses infrastructures. Et ce afin de faciliter la circulation des passagers et des avions, éviter les attentes et optimiser l’utilisation de l’unique piste du site.

A bord, le digital a également pris ses aises, depuis les systèmes de contrôle gérés par ordinateur pour des avions pensés par et pour le numérique, jusqu’aux centrales multimédia de divertissement des passagers, en passant par les nouveaux dispositifs de communication air-sol et l’optimisation du plan de vol en temps réel.

L’interconnexion des différents éléments de communication, du sol vers l’avion et vice-versa, a vocation à rendre le trafic aérien plus fluide et plus sûre. Et il le sera certainement ! Mais l’outil numérique, qui permet cette connectivité permanente, gage d’efficacité et de rapidité, est à la fois l’aubaine et la menace.

Pour les avions en particulier, on le reconnaît vraiment depuis 2015 : c’est exact, un avion peut être piraté ! Un tabou définitivement brisé par l’Agence européenne de la sécurité aérienne (AESA).

L’institution s’est appuyé pour ça sur les démonstrations de l’expert Hugo Teso. Ce chercheur espagnol a réussi à prendre la main sur le système ACARS d’un avion, système de messagerie qui permet de communiquer avec le sol. Le « bon » pirate, lui-même détenteur d’une licence de pilote, est aussi parvenu en quelques jours à pénétrer dans le système de contrôle d’un avion au sol. Dans sa trousse à outils : un smartphone et une application développée par ses soins.

Des pirates déjà actifs dans les aéroports

D’autres expérimentations d’intrusion ont eu lieu aussi outre-Atlantique, en vol notamment, via les boîtiers de gestion des services multimédia installés sous les sièges des passagers.

Au sol, on n’en est plus à la démonstration. Les pirates sont déjà entrés en action. L’un des cas les plus retentissants est cette intrusion réussie, en juin 2015, dans le système de gestion des vols de la LOT, compagnie aérienne polonaise. Résultat : 1400 passagers et 10 avions immobilisés sur le tarmac pendant plus de 5 heures.

Plus récemment, en septembre 2016, un groupe de pirates s’est attaqué à l’aéroport de Vienne. Ils ont échoué. Mais l’intention de nuire était bien là.

Ces deux attaques ne sont que quelques-uns des cas révélés au grand jour ! Car, à l’AESA, on ne s’en cache pas. Selon Luc Tytgat, son directeur de la gestion de la stratégie et de la sécurité, les systèmes de gestion du trafic aérien sont la cible de 1000 attaques par mois en moyenne.

Face à ce danger bien réel, les acteurs du secteur se mobilisent sur les moyens de prévention et de défense à appliquer. L’association internationale du transport aérien (IATA) par exemple propose depuis 2015 à ses membres, plus de 215 compagnies aériennes adhérentes, un kit des bons usages contre d’éventuelles cyberattaques.

L’instauration de standards de cybersécurité dans le secteur aérien

L’AESA de son côté a créé en février dernier le Centre européen pour la cybersécurité dans l’aviation (ECCSA). L’organisme est ouvert à tous les acteurs concernés, y compris les concurrents. Son but est de rassembler les idées et les efforts de chacun, selon le principe bien connu de « L’union fait la force« .

C’est aussi ce principe qui motive l’organisation de l’aviation civile internationale (OACI). Cet organe des Nations unies a voté une première résolution en faveur de la cybersecurité aérienne en octobre 2016. Et elle en fait un sujet majeur dans son nouveau plan triennal 2017-2019 pour l’instauration notamment de standards de sécurité.

Cette mobilisation générale dans le secteur aérien traduit bien à la fois la prise de conscience du risque permanent de la cyberattaque et l’impérieuse nécessité, malgré tout, de suivre le rythme effréné de la mutation numérique d’un monde devenu interconnecté. Le cas de London City Airport est la parfaite illustration de cette dichotomie technologique.

Sa tour de contrôle sera virtuelle à l’horizon 2019. Les contrôleurs, déplacés à 130 kilomètres de l’aéroport, gèreront le trafic des pistes grâce à un réseau de caméras HD réparties sur l’ensemble du terrain d’aviation.

Pour couper court à toute inquiétude, Declan Collier, le directeur de l’aéroport, l’assure : « Nous utilisons le plus haut niveau de sécurité pour protéger notre système« . Oui, sans doute. A condition de ne pas oublier ce principe : ce qui vaut en cybersécurité aujourd’hui, ne vaut plus forcément demain. Dans l’aérien, comme ailleurs, la guerre contre ces cybercriminels est un combat sans fin, collectif.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Piratage, ransomware, ransomware, Securite informatique, Social engineering

MacRansom, un ransomware pour Mac

La découverte de nouvelles variantes de ransomwares et de logiciels espions ciblant Mac OS n’est pas surprenante compte tenu de l’augmentation sur les forums de hacking des conversations relatives aux programmes ransomwares open-source et au développement de malwares sous licence.

MacRansom, la sale bête qui croque la pomme ! Malgré une plus petite base d’utilisateurs de Mac OS par rapport à Windows, rendant les souches de malwares ou de ransomwares moins rentables pour les cybercriminels, ce n’était qu’une question de temps avant que des variantes spécifiques à Mac n’émergent.

Comme cela semble être le cas ici avec le ransomware MacRansom, les auteurs du malware utilisent un modèle de type RaaS, Ransomware-as-a-service, permettant à ceux qui ne possèdent pas les compétences nécessaires en matière de codage de jouer aux cybercriminels. Cette démocratisation, associée à la possibilité d’acheter des malwares, a changé la donne. Les actes malveillants qui étaient isolés au départ font aujourd’hui partie d’une véritable économie souterraine et lucrative, les malwares étant devenus une source de revenus viable bien qu’étant illégale.

MacRansom, une alerte à prendre au sérieux

Les consommateurs doivent être conscients qu’il est faux de penser qu’il existe plus de vulnérabilités dans Windows que dans Mac OS, ce qui le rend moins sécurisé ! C’est plutôt sa plus petite base d’utilisateurs qui fait de Mac OS une cible moins attractive pour les développeurs de malwares. Néanmoins, il est indispensable que ses utilisateurs prennent les mêmes précautions que sur PC lorsqu’il s’agit de protéger leurs appareils, notamment via l’utilisation d’un antivirus fiable et performant. (Jean-Baptiste Souvestre, Software Engineer, chez Avast)

Communiqué de presse, Cybersécurité, Entreprise, Mise à jour, Securite informatique

Cybersecurite: les approches des dirigeants US et Européen

CYBERSECURITE: UNE NOUVELLE ENQUETE RADWARE CHIFFRE LES DIFFERENCES D’APPROCHE DES DIRIGEANTS EN EUROPE ET EN AMERIQUE DU NORD.

Chaque année, Radware publie les résultats et l’analyse de son « Global Application & Network Security Report » qui portent sur  l’industrie de la cybersecurite et de la sécurité informatique dans son intégralité. Complémentaire, l’enquête Executive Application & Network Security Survey interroge uniquement des cadres et dirigeants de l’industrie pour comprendre les défis, les menaces les opportunités et leurs approches en matière de cyber sécurité.

Cette année, elle a révélé des tendances mondiales importantes, ainsi que des nuances notables entre les dirigeants américains et européens.

La Cybersecurite est une préoccupation croissante pour tous mais surtout l’Europe

En France, interrogés sur les projets prioritaires de leurs services informatiques, les dirigeants citent : l’amélioration de la sécurité (49%), l’amélioration de l’expérience client (39%) et la réduction des dépense opérationnelles (34%).

Au niveau global, près de la moitié des dirigeants interrogés (47%) citent l’amélioration de la sécurité informatique parmi leurs objectifs principaux. Cependant les européens semblent bien plus préoccupés par ce sujet puisqu’ils sont 88% à considérer cette mission comme très ou extrêmement critique, contre seulement 61% aux États-Unis. En Amérique, la priorité est donnée à la performance opérationnelle, citée par 50% des répondants contre 47% pour la sécurité.

En Europe 90% des répondants ont déclaré que la sécurité informatique est maintenant une préoccupation de haut niveau (c’est à dire des dirigeants et du conseil d’administration). 66% l’évaluent même comme «extrêmement important» soit une augmentation de 50% par rapport à l’année dernière.

75% des dirigeants européens se déclarent susceptibles de rapporter une attaque à leur hierarchie contre 36% pour les américains alors même que ces deux régions ne montrent pas de différence significative en termes d’activité malveillante. Quatre raison peuvent expliquer cette différence du simple au double :

  • Les équipes de cyber-sécurité américaines semblent moins disposées à communiquer sur ce qu’ils considèrent comme «non-événements», c’est-à-dire les attaques atténuées avec succès.
  • Les infrastructures de sécurité américaines souvent plus mûres sont capables de détection et d’atténuation automatique et proactive de certaines menaces ce qui ne donne lieu à aucun rapport à la direction.
  • Les entreprises européennes travaillent à renforcer leurs défenses, par conséquent, les équipes sont plus susceptibles de multiplier les rapports d’incidents pour justifier l’augmentation des budgets.
  • Les entreprises européennes opèrent dans des cadres législatifs plus stricts en matière de sécurité et de confidentialité des données.

Cybersecurite : L’Europe est plus susceptible de faire travailler des machines et des hackers repentits

En Europe, près de la moitié des cadres interrogés (46%) pensent que les systèmes de sécurité automatisés seront le principal atout de leur défense à moyen terme. Environ un quart (21%) pensent que le futur proche  sera composé d’un savant mélange d’humain et de machines. Un tiers (33%) font confiance aux systèmes automatisés plus qu’en l’humain contre moins d’un quart (24%) pour l’inverse.

Les résultats de cette année soulignent également que les dirigeants européens sont plus volontiers susceptibles d’embaucher d’anciens hackers pour travailler autour de leur cybersécurité. Ils sont 58%, contre seulement 27% chez leurs homologues américains.

De fait, parmi les cadres européens, travailler avec de véritables pirates informatiques est déjà une pratique courante. Ils sont près de la moitié (46%) à avoir déjà invité des pirates informatiques à tester les vulnérabilités de leurs systèmes. C’est significativement plus élevé qu’aux États-Unis, où seulement 31% des dirigeants disent que leurs entreprises ont déjà engagé des pirates pour des tests de vulnérabilité.

Après sondage sur la composition des équipes, on constate que la plupart s’appuient sur des talents internes (43%) ou des experts tiers (36%). Seulement 3% des équipes comportent un ancien hacker comme membre permanents. Seulement 8% des équipes sont une combinaison des trois profils alors même qu’elle est la plus pertinente pour lutter efficacement contre les attaques.

 L’Europe se repose sur ses fournisseurs d’accès à internet

En Europe, 51% des entreprises gèrent la sécurité au sein de leur propre organisation. Il y a cependant des différences notables selon les pays. Les  Royaume-Uni sont particulièrement intéressés par la gestion interne (71% contre 33% en France et 47% en Allemagne). 39% des entreprises délèguent la protection de leurs infrastructures à leur fournisseur d’accès à Internet 10% seulement la confient à un fournisseur de sécurité dédié.

Aux États-Unis, plus de la moitié des entreprises (54%) gèrent leur propre sécurité. Une part plus petite (26%) s’appuie sur leur fournisseur d’accès à Internet ou leur opérateur, tandis qu’un pourcentage presque deux fois plus élevé (19%) s’appuie sur un tiers spécialisé.

Cybersecurite : Vie privée contre opportunités commerciales

Qu’ils répondent en tant que chefs d’entreprises ou en tant que citoyens individuels, et quel que soit leur pays d’origine 80% des dirigeants interrogés estiment que le gouvernement devrait faire davantage pour protéger les informations personnelles. En Europe, 67% des cadres en moyenne considèrent que la vie privée n’est pas assez protégée par les législations existantes. Les résultats varient d’un pays à l’autre avec 61% pour la France, 63% pour l’Allemagne et 77% au Royaume-Uni.

Dans les pays européens, 83% des dirigeants ont déclaré que le gouvernement devrait faire davantage pour protéger la vie privée. Allemagne (94%) contre France (76%). Le Royaume-Uni est à 80%. Aux États-Unis, la conclusion était similaire, avec 66% indiquant que les lois actuelles mettent la protection de la vie privée en danger et 75% souhaiteraient que le gouvernement défendent plus activement la protection de la vie privée sur l’espace informatique.

Méthodologie

Mandaté par Radware, Merrill Research a mené cette enquête courant avril 2017 auprès de 200 dirigeants répartis de la sorte: 100 aux États-Unis et 100 en Europe (35 au Royaume-Uni, 33 en France et 32 en Allemagne). L’échantillon interrogé est composé de personnes travaillantes dans une entreprise générant au moins 250 million de dollars de chiffre d’affaire et affectées à des postes de vice-présidence ou supérieurs.

APT, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Social engineering

Le cyberespionnage via les APT devient le pire cauchemar des entreprises

En France, plus de deux tiers (71 %) des DSI estiment que leur entreprise pourrait « certainement » être la cible de campagnes de cyberespionnage utilisant des menaces persistantes avancées (Advanced Persistent Threats – APT) selon une récente étude.

Les APT, des cyber-outils complexes conçus sur mesure pour attaquer des grandes entreprises ou organismes d’état, et collecter discrètement des données sensibles sur de longues périodes. 27 % des personnes interrogées considèrent que leur infrastructure informatique pourrait « éventuellement » être la cible d’actions de cyberespionnage de haut niveau visant à exfiltrer des informations de manière systématique.

Seule une petite minorité n’est pas préoccupée par les APT

L’année dernière, des entreprises de  grande envergure ont été confrontées à un nombre croissant d’incidents et de violations de sécurité, avec une augmentation significative des APT et des attaques ciblées visant aussi bien les entreprises que les entités gouvernementales (telles que APT-28 et, plus récemment, Netrepser). En fait, moins de 2% des DSI considèrent que les APT ne sont pas une menace réelle pour leur environnement de travail. Les inquiétudes sur la sécurité vont en se multipliant, et la question est de plus en plus souvent traitée par les conseils d’administration des entreprises. Les hauts responsables de services informatiques, tout comme les membres des conseils d’administration s’en préoccupent de plus en plus, non seulement parce qu’une violation de la sécurité peut leur coûter cher, mais aussi parce que le futur des entreprises est en jeu quand des données sensibles sont dérobées par des pirates informatiques.

Les risques ne sont pas toujours visibles, mais ils sont bien présents

Étonnamment, si 42% des DSI ont déclaré qu’il leur faudrait entre quelques semaines et un mois pour repérer une APT, 23% d’entre eux pensent qu’il leur faudrait entre deux mois et plus d’un an pour détecter les menaces modernes les plus sophistiquées. Preuve que de nombreux professionnels interrogés sont au courant et craignent ces menaces, mais qu’ils pensent ne pas être suffisamment bien protégés pour les détecter et les bloquer.

Selon Liviu Arsene, Analyste des e-menaces chez Bitdefender, « les cyberattaques peuvent passer inaperçues pendant des mois et, dans la plupart des cas, les violations proviennent de failles Zero-day ou de malwares s’attaquant au noyau du système. Ce sont précisément ces vulnérabilités que ciblent les APT, car elles leur évitent d’être détectées. Les exploits au niveau du noyau et les rootkits peuvent échapper aux solutions de sécurité traditionnelles pour endpoints et prendre le contrôle total du système d’exploitation. »

Les menaces persistantes les plus avancées ne se limitent pas aux attaques soutenues par des États : les entreprises peuvent également devenir les victimes de cybercriminels qui exploitent des vulnérabilités Zero-day pour diffuser des malwares extrêmement ciblés conçus pour les espionner et voler des éléments de propriété intellectuelle. L’enquête de Bitdefender confirme que les RSSI considèrent leurs concurrents comme les plus susceptibles d’attaquer leurs entreprises, dans le cadre d’un espionnage professionnel (66%), suivis des hackers (57%).Les cybercriminels soutenus par des Etats, les agences gouvernementales et les personnes en interne arrivent respectivement en 3ème, 4ème et 5ème position (51, 41 et 30%).

Les risques sont réels, et les entreprises doivent les limiter

76 % des responsables de services informatiques français estiment que la pire conséquence à craindre d’une attaque par une APT est d’ordre financier. En deuxième position on retrouve l’atteinte à la réputation (66%), suivie de la faillite (51%). Parmi les risques les plus sinistres, citons également la guerre ou les cyber-conflits (24%) ; et même un décès par suicide ou attaque cardiaque (14%).

Les entreprises ont surtout peur de perdre des informations relatives à leurs clients (52%), suivies des informations financières (47%), des recherches sur de nouveaux produits (37%), des informations sur certains employés (35%), des informations et de caractéristiques de produits (34%), leur propriété intellectuelle (34%) et leurs recherches sur la concurrence (20%).

Ainsi, 94 % des conseils d’administration estiment que la cybersécurité est un sujet critique dans la gestion des risques de l’entreprise, avec des conséquences sévères sur leur situation financière et leur réputation si elle est négligée. Seuls 4% ne lui accordent pas encore une telle importance. La plupart des entreprises (58%) ont un plan de réponse aux incidents et un plan de reprise après sinistre dans le cas d’une attaque par APT ou d’une violation de sécurité massive, et 40% reconnaissent qu’elles sont en train d’élaborer une stratégie en la matière. Moins de 2% n’ont adopté aucune procédure de ce type à ce jour, et n’’envisagent pas de le faire dans le futur.

Une sécurité multi-couches est la meilleure solution

64% des responsables informatiques français interrogés perçoivent la défense multi-couches, associant plusieurs politiques de sécurité et outils conçus pour combattre les menaces et intrusions modernes, comme étant la meilleure défense contre les menaces persistantes avancées. Les audits de sécurité, les solutions de nouvelle génération, la sécurité traditionnelle et la surveillance des journaux ont également été mentionnés par plus d’un tiers des sondés. (Bitdefender)

Base de données, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Mise à jour, Paiement en ligne, Patch, Piratage

SIG : Attaque contre la billetterie d’un club de basket Français

2 commentaires

Un pirate informatique s’est attaqué à la billetterie web du club de basket SIG de Strasbourg. Bilan, plus possible d’acquérir sa place pour la finale Pro A.

Quelles étaient les motivations du pirate informatique ayant visé la billetterie du basket club de Strasbourg, le SIG ? Mettre la main sur les données des supporters ? Ou tout simplement perturber le fonctionnement de la billetterie du club pour empêcher les fans du SIG de venir supporter leur club ? Toujours est-il que, comme l’explique La Dernière Nouvelles d’Alsace, l’ouverture de la billetterie pour le match 3 de la finale de Pro A contre Chalon s’est retrouvée retardée par ce qui semble être une attaque DDoS, ou une injection SQL trop violente. Bilan, le système c’est mis en panne et a généré un message qui a empêchait les fans d’acheter leurs places : « Erreur de communication avec le serveur d’authentification ».

Afin de refuser tout comportement frauduleux la vente a été suspendue. Cette cyber-attaque n’a eu et n’aura aucune incidence sur la sécurité de vos paiements confirme le SIG Strasbourg.

Communiqué de presse, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Social engineering

L’humain, maillon faible de la cybersécurité

« Le Facteur Humain 2017 » indique que les cybercriminels se reposent de plus en plus sur l’humain plutôt que sur les failles logicielles pour installer des programmes malveillants, dérober des informations confidentielles et transférer des fonds.

Pas vraiment une nouveauté, le piratage informatique s’est toujours d’abord reposé sur le facteur humain. Le social engineering en est une preuve. Dans son rapport, Proofpoint spécialiste en sécurité et conformité, a interrogé plus de 5000 entreprises en 2016. Bilan, les indicateurs sur les attaques par le biais des emails, mobiles et réseaux sociaux, donne une tendance des clients de cette société.

« Cette tendance d’exploitation du facteur humain, qui a vu le jour en 2015, s’accélère, et les cybercriminels multiplient désormais les attaques générées par les clics des utilisateurs plutôt que par des logiciels d’exploitation vulnérables, conduisant ainsi les victimes à exécuter elles-mêmes les attaques », a déclaré Kevin Epstein, Vice-Président du centre d’opération des menaces de Proofpoint. « Il est essentiel que les entreprises mettent en place une protection avancée pour arrêter les cybercriminels avant qu’ils puissent atteindre leurs potentielles victimes. La détection anticipée des contenus malveillants dans la chaîne d’attaques permettra de les bloquer, de les canaliser et de les supprimer plus facilement. »

  • Les messages d’attaques BEC (Business Email Compromise – attaques de la messagerie d’entreprise) relatifs aux emails contenant des chevaux de Troie bancaires sont passés de 1 % en 2015 à 42 % fin 2016. Les attaques BEC ont coûté plus de 5 milliards de dollars aux entreprises dans le monde. Elles utilisent des messages sans malware, incitant les destinataires à envoyer des informations confidentielles ou à transférer des fonds aux cybercriminels. Ce type d’attaque affiche la croissance la plus rapide.
  • Près de 90 % des clics sur des URL malveillantes ont lieu dans un délai de 24 heures après la remise de l’email. 25 % de ces clics se produisent en seulement 10 minutes et près de 50 % en une heure. Le temps de clic moyen (le temps passé entre l’arrivée de l’email et le clic) est plus court pendant les heures de travail, soit entre 8h00 et 15h00.
  • Plus de 90 % des emails contenant des URL frauduleuses redirigent les utilisateurs vers des pages de phishing (hameçonnage). 99 % des attaques à la fraude financière par email sont provoquées par les clics humains plutôt que par des logiciels d’exploitation automatisés visant à infecter les systèmes. Les messages de phishing destinés à dérober les identifiants Apple ont été les plus envoyés, mais les liens de phishing Google Drive sont ceux ayant reçu le plus de clics.
  • La moitié des clics sur des URL malveillantes est effectuée à partir de terminaux ne relevant pas de la gestion des postes de travail de l’entreprise. 42 % des clics sur des URL frauduleuses ont été effectués depuis des terminaux mobiles, doublant ainsi le taux, longtemps maintenu à 20 %. De plus, 8 % des clics sont effectués sur des versions potentiellement vulnérables de Windows, pour lesquelles les correctifs de sécurité ne sont plus disponibles.
  • Le phishing des comptes de réseaux sociaux a augmenté de 150 % en 2016. Au cours de ces attaques, les cybercriminels créent un compte sur un réseau social imitant celui d’un service client d’une marque de confiance. Lorsqu’une personne demande de l’aide à une entreprise par le biais d’un tweet par exemple, le cybercriminel intervient.
  • Surveillez de près votre boîte de réception le jeudi. On observe un pic de croissance de plus de 38 % du nombre de pièces jointes frauduleuses le jeudi, par rapport au volume moyen en semaine. Les hackers utilisant des ransomwares (rançongiciels) privilégient l’envoi de messages malveillants entre le mardi et le jeudi. D’autre part, on observe un pic pour les chevaux de Troie bancaires le mercredi. Les campagnes sur les points de vente (PDV) sont envoyées presque exclusivement le jeudi et le vendredi, tandis que les keyloggers et les backdoors préfèrent le lundi.
  • En adéquation avec les habitudes des usagers, les cybercriminels envoient la plupart des emails dans un délai de 4 à 5 heures après le début de la journée de travail, provoquant ainsi un pic d’activité à l’heure du déjeuner. C’est au cours de cette période que les utilisateurs américains, canadiens et australiens ont tendance à cliquer, tandis que les clics français ont lieu aux alentours de 13 heures. Les utilisateurs suisses et allemands n’attendant pas l’heure du déjeuner pour cliquer; on observe un pic de clics dès les premières heures de travail. Le rythme des clics au Royaume-Uni est régulier au cours de la journée, avec une nette baisse après 14 heures.

Pour télécharger le rapport « Le Facteur Humain2017 » de Proofpoint, rendez-vous sur le site https://www.proofpoint.com/fr/resources/white-papers/human-factor-report