Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Fraude au président : 2 millions de dollars volés, il attaque ses associés

Fraude au président : 2 millions de dollars volés à un ancien employé de Lehman Brothers, une banque d’investissement multinationale.

Ce qui est bien avec le public dit « en col blanc » est qu’il n’écoute pas. On pourrait penser, à la suite des centaines de piratages médiatiques qu’une banque d’affaire, et donc ses employés, sont au fait de la sécurité informatique. Je les vois ses « stages » coutant des milliers d’euros de sensibilisation. Sensibilisations effectuées, dans la plupart des cas, par des gens qui ne connaissent du terrain numérique, que les heures de bureau qu’ils lui allouent.

Bref, normalement, un phishing et une fraude au président, cela ne doit plus exister chez nos banquiers. Le cas de Robert Millard, ancien codirigeant de la banque d’investissement multinationale Lehman Brothers a de quoi faire sourire. L’homme de « pouvoir » et « d’argent » a fait un virement de 1.938.000 dollars pour un achat d’appartement qu’il était en train d’orchestrer. Une jolie studette à 20 millions de dollars, à New York. Sauf que le virement a été effectué à destination d’un arnaqueur. L’escroc a piraté l’agence immobilière de Millard, son compte mail AOL et l’avocat en charge de son immobilier. Personne n’avait remarqué que le nom de l’avocat avait été mal orthographié.

Bilan, le « banquier » volé attaque en justice ce qu’il considère comme les coupables, ses anciens associés, afin de récupérer 200.000 dollars qu’il n’a pu retrouver.

Les agences immobilières sont aussi de belles cibles pour les pirates informatiques. Si vous êtes en train d’acquérir un bien, méfiez-vous de cette demande de changement d’adresse pour le virement bancaire. Je vous expliquais, en mars, comment les professionnels du FoVI, la fraude aux virements bancaires, visaient aussi les locataires de maison et d’appartements en faisant détourner les loyers.

Pendant ce temps…

… nous pourrions penser que les internautes sont maintenant habitués à ne plus cliquer sur n’importe quoi. Qu’ils ont entendu parler des ransomwares. Bref, ils se sont informés sur ces logiciels malveillants de rançonnage, ils sont donc sécurisés. A première vue… non ! Le département de la police de Newark, dans le New-Jersey s’est retrouvé fort dépourvu quand la bise numérique fut venue. Un ransomware activé et les machines des policiers prisent en otage. « Le service de police a indiqué  qu’il n’y avait aucune preuve d’une quelconque violation de données et que l’attaque n’a pas perturbé la prestation des services d’urgence aux citoyens« . Aucunes informations sur les informations chiffrées et à savoir si les données prises en otage ont été retrouvées.

Fuite de données santé pour 1.400 institutions

Fuite de données santé – Les tests de la mise à jour d’un logiciel américain dédié aux études cardiovasculaires effectués avec de vraies données de patients. 1.400 institutions de santé américaines alertées par l’American College of Cardiology.

Ce n’est pas la première fois qu’un tel cas est découvert. J’ai bien peur que cela ne soit pas le dernier. L’American College of Cardiology vient d’alerter 1.400 institutions américaines de santé après la découverte d’une fuite de données de patients pas comme les autres.

L’American College of Cardiology indique que des informations de patients ont pu être compromises après que les dites informations se soient retrouvées dans une base de données utilisées lors du test d’un logiciel professionnel. Des dossiers médicaux datant de 2009 et 2010.

C’est lors de la refonte du logiciel du registre des données cardiovasculaires national ACC, qu’une table de la base de données (BDD) officielle a été copiée. L’incident a été découvert en Décembre 2015. Les hôpitaux ont reçu l’alerte deux mois plus tard. Dans les données de la BDD malmenée : noms, dates de naissance, numéros de sécurité sociale et les numéros d’identification des patients.

96 % des DSI Français s’attendent à être la cible d’attaques

Les DSI français admettent investir des millions à fonds perdus dans une cybersécurité qui se révèle inopérante sur la moitié des attaques. Une nouvelle étude  indique que 96 % des DSI, en France, s’attendent à être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces.

Une étude, menée par Vanson Bourne auprès de 100 DSI en France, portant sur la fréquence et l’incidence d’une sécurité informatique inefficace indique que les Directeurs des Services Informatiques s’attendent à être la cible d’attaques. Ces décideurs informatiques sont unanimes : ils estiment que les fondements de la cybersécurité – clés cryptographiques et certificats numériques – n’étant actuellement aucunement protégés, les entreprises sont dans l’ignorance, en proie au chaos, et incapables de se défendre.

Les DSI, en France, reconnaissent gaspiller plusieurs millions de dollars dans la superposition de mécanismes de défense puisque ces outils vouent une confiance aveugle aux clés et aux certificats – et se révèlent incapables de différencier ceux dignes de confiance des autres. Si l’on se réfère aux prévisions de Gartner, qui estime que 50 % des attaques réseau cibleront le protocole SSL/TLS, cela signifie que des systèmes de sécurité aussi répandus que FireEye ne seront opérants que la moitié du temps. Et les DSI français admettent que ce chaos met en péril leurs projets des plus stratégiques, à savoir ériger des structures informatiques agiles autour du concept DevOps.

Etre la cible d’attaques

  • 90 % des DSI, en France, sont convaincus de l’inefficacité de leurs mécanismes de défense puisque ceux-ci sont incapables d’analyser le trafic réseau crypté pour y déceler d’éventuelles attaques.
  • 96 % des DSI, en France, ont déjà essuyé ou s’attendent à essuyer une attaque dissimulée dans du trafic crypté.
  • 91 % des DSI, en France, estiment que les clés de cryptage et certificats numériques dérobés sont en passe de représenter un marché extrêmement lucratif pour les pirates.
  • 79 % des DSI, en France, conviennent que leur stratégie d’accélération de l’informatique et de l’innovation est en danger car leurs initiatives introduisent des vulnérabilités nouvelles.

Les entreprises s’en remettent à des dizaines de milliers de clés et de certificats qui posent les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud. Cette technologie a été adoptée pour contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels. Depuis la banque en ligne jusqu’à l’Internet des objets en passant par la sécurisation des applications et les applications mobiles, tout ce qui est basé sur IP dépend d’une clé et d’un certificat pour établir une connexion fiable et sécurisée. Sauf que des cybercriminels détournent actuellement des clés et certificats sans protection pour se dissimuler dans du trafic crypté, créer de faux sites web, déployer des logiciels malveillants, élever leurs privilèges et dérober des données.

Les technologies déployées – protection des postes de travail, protection contre les menaces avancées, pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusions et prévention des pertes de données (DLP) – sont foncièrement imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Résultat, ces outils se révèlent incapables de passer au crible la grande majorité du trafic réseau crypté. D’où des failles béantes dans les mécanismes de défense des entreprises. Les cybercriminels mettent à profit ces angles morts dans le domaine de la sécurité : ils se servent de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles de sécurité.

« Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés », commente Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi. « Si la France dispose de l’une des approches les plus évoluées au monde en matière de cybersécurité, elle se classe également parmi les 10 pays où la cybercriminalité fait rage : les entreprises françaises courent donc davantage de risques. Dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés, les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles. »

« Progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pire, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans une illusion de sécurité. Cette étude indique que les DSI, en France, sont désormais conscients de dilapider des millions dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques. Selon les prévisions de Gartner, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront du trafic crypté pour esquiver les contrôles ; ces technologies sont sans défense face à elles ! Sachant que le marché mondial de la sécurité des entreprises pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel. »

« Et les marchés expriment clairement leur manque de confiance dans la cybersécurité. Ce n’est pas une coïncidence si 96 % des DSI admettent dilapider des milliards dans une cybersécurité inadéquate et si le fonds spéculatif HACK, spécialisé dans ce domaine, a perdu 25 % depuis novembre 2015. Des résultats bien en-deçà de l’indice S&P500 qui, lui, s’inscrit en repli de 10 % du fait des turbulences sur les marchés. »

Les risques liés à des clés et certificats sans protection, échappant à tout contrôle, se multiplient à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle qu’en moyenne, une entreprise possède plus de 23 000 clés et certificats, et que 54 % des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. Les DSI craignent que la multiplication des clés et certificats à l’appui des nouvelles initiatives informatiques n’aggrave encore la situation.

La cible d’attaques : trop de clés et certificats

À la lumière des initiatives de cryptage systématique (« Encryption Everywhere »), apparues dans le sillage des révélations d’Edward Snowden et des opérations d’espionnage de la NSA, la quasi-totalité des DSI français (97 %) se disent préoccupés par la marche à suivre pour sécuriser la gestion et la protection de l’ensemble des certificats et clés de cryptage. Car à mesure que l’informatique s’accélèrera – via l’activation et la désactivation de services en fonction de l’élasticité des besoins – le nombre de clés et de certificats progressera en proportion. À la question de savoir si la rapidité de progression du mouvement « DevOps » complique encore l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises, les DSI, en France, affirment à 79 % que c’est le cas.

« Gartner prévoit que d’ici à 2017, trois entreprises sur quatre évolueront vers une structure informatique bimodale avec une informatique à deux axes et deux vitesses : l’une qui accompagnera les applications en place en quête de stabilité, l’autre qui dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité », poursuit Kevin Bocek. « Pourtant, le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique. Dans ces nouveaux environnements, la sécurité sera toujours mise à mal, et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas. »

« Raison pour laquelle il nous faut un système immunitaire pour Internet », conclut Kevin Bocek. « Comme chez l’homme, ce système donne aux entreprises les moyens de détecter instantanément les clés et certificats dignes de confiance des autres. Et, à partir du moment où la confiance en ces clés et certificats renaît, la valeur accordée aux autres investissements réalisés par l’entreprise dans le domaine de la sécurité augmente. »

Cette étude a été réalisée par le cabinet d’études de marché indépendant Vanson Bourne qui a interrogé 100 DSI au total, en poste dans de grandes entreprises en France.

Patch Tuesday Avril 2016

Place au Patch Tuesday d’avril 2016 qui nous donne un aperçu de ce qui nous attend. La semaine dernière, Adobe a été contraint d’anticiper la publication de son patch mensuel pour Adobe Flash Player (APSB16-10) afin d’aider ses utilisateurs à se protéger contre une menace Zero Day exploitée en aveugle. Qui plus est, nous avons appris il y a deux semaines par l’équipe de développement de Samba l’existence de la vulnérabilité « Badlock » qui affecte à la fois Windows et Samba sur Linux/Unix.

Badlock semble cependant moins dangereuse qu’elle n’y paraît puisqu’elle est résolue par MS16-047, un bulletin Microsoft classé comme « important ». Il s’agit d’une vulnérabilité de type Man-in-the-Middle qui permet de se connecter à la place d’une autre personne utilisant des applications basées sur le protocole SAMR ou LSAD, le protocole SMB n’étant pas affecté. Toutes les versions de Windows sont touchées, de Vista à Server 2012 R2. Même s’il est difficile de la classer, cette vulnérabilité ne figure pas pour autant parmi les priorités absolues.

Hormis MS16-047, Microsoft a publié 12 autres bulletins lors de ce Patch Tuesday , soit 50 à ce jour pour l’année 2016. 30 vulnérabilités y sont traitées au total mais aucune menace Zero-Day. Le bulletin MS16-039 contient des correctifs pour un composant graphique de Windows et concerne toutes les versions, de Vista à Windows 10 en passant par Server 2008 et 2102 R2. Il est également destiné aux versions Office 2007 et 2010 plus anciennes ainsi qu’à .NET, Skype et Lync. Situées toutes les deux dans Windows, les deux menaces Zero-Day facilitent une élévation de privilèges, que ce soit pour un utilisateur normal ou un administrateur. Elles permettront d’exploiter une vulnérabilité qui introduit l’attaquant sur la machine, notamment via la faille dans Flash Player traitée par le patch APSB16-10 et résolue dans le bulletin Microsoft MS16-050. Dans ce cas de figure, l’utilisateur se rend sur un site Web anodin puis est victime d’un exploit Flash qui se développe ensuite via les vulnérabilités CVE-2016-0165/7 résolues dans le bulletin MS16-039. Pour se protéger contre de telles attaques, corrigez aussi vite que possible. Les bulletins MS16-050 pour Flash (APSB16-10 si vous utilisez Firefox) et MS16-039 figurent tout en haut de la liste des priorités de ce mois.

Le suivant sur la liste de ce Patch Tuesday est le bulletin de sécurité MS16-042 qui résout quatre failles dans Microsoft Office. Microsoft classe ce bulletin comme critique, ce qui est uniquement le cas lorsqu’une vulnérabilité peut être directement attaquée sans interaction de l’utilisateur. En effet, CVE-2016-0127 est une vulnérabilité basée sur l’exécution de code à distance (RCE) dans le format de fichier RTF. Ce dernier est automatiquement visualisé dans le volet d’aperçu d’Outlook et facilite une exécution RCE pour l’attaquant via un simple courrier électronique. Renforcez si possible votre configuration en bannissant les emails contenant des formats de fichier RTF. Vous pouvez également désactiver ces emails via la politique de blocage de fichiers d’Office qui fonctionne aussi bien sur 2007/2010 que sur 2013.

Microsoft Internet Explorer et Edge sont respectivement corrigés au moyen des bulletins critiques MS16-037 et MS16-038. Ces deux navigateurs sont affectés par six vulnérabilités. C’est d’ailleurs la première fois qu’Edge contient autant de failles qu’IE et qu’Edge rencontre des problèmes plus sérieux qu’IE, ce qui constitue également une première. Aucune de ces vulnérabilités n’est actuellement exploitée, mais comme la plupart des exploits visent les navigateurs, il est légitime de les mettre à jour sans tarder. N’oubliez pas que Microsoft ne propose des correctifs que pour le navigateur le plus récent associé à chaque système d’exploitation, à savoir IE11 à partir de Windows 7, IE9 pour Vista et IE10 pour Windows Server 2012.

Quant à la dernière vulnérabilité critique, elle se trouve dans le sous-système de traitement XML. Aucun patch n’a été publié à ce niveau depuis plus d’un an. Le bulletin MS16-040 fournit une nouvelle version de msxml.dll pour résoudre la seule vulnérabilité présente, CVE-2016-0147. Le vecteur d’attaque se situe au niveau d’un site Web qui transmet le format XML malveillant à la machine ciblée.

Même si elles sont classées comme non critiques, les autres vulnérabilités de ce Patch Tuesday peuvent avoir un impact non négligeable et être également intéressantes. Hyper-V fait ainsi l’objet d’un correctif dans le bulletin MS16-045 dans la mesure où un système invité peut abriter une élévation de privilèges susceptible d’être très critique dans un environnement hôte où l’attaquant accède aux systèmes à cause d’un problème de conception de Hyper-V. Les systèmes d’exploitation affectés sont Windows 8.1, Server 2012 et 2012 R2. Le bulletin MS16-041 résout une vulnérabilité unique dans .NET tandis que MS16-049 corrige une vulnérabilité DoS dans les systèmes Windows 10 au niveau du pilote HTTP.sys.

Adobe a corrigé Flash la semaine dernière en urgence à l’aide du patch APSB16-10, mais publie aujourd’hui des mises à jour pour Robohelp avec le patch APS16-12 et pour les applications Creative Cloud via le patch APSB16-11.

Ce sera tout pour avril et ce Patch Tuesday avec plusieurs menaces 0-Day et des vulnérabilités immédiatement exploitables qui rendent ce mois-ci plus critique que le mois dernier. Attendez-vous à ce que la vulnérabilité affectant Adobe Flash se répande et mettez en œuvre des solutions de contournement pour les procédures d’atténuation actuellement déployées. (Publié par wkandek dans The Laws of Vulnerabilities)

État des lieux de la sécurité des systèmes SCADA de contrôle industriels

Systèmes SCADA – Alors que les cybercriminels ont toujours plus tendance à privilégier les attaques ciblées, directes ou par ricochet, il devient plus que jamais essentiel de dresser un état des lieux de la sécurité des systèmes de contrôle industriels.

Les systèmes de contrôle industriels, les système scada surveillent et gèrent des processus physiques de type distribution d’électricité, transport de gaz, distribution d’eau, feux de signalisation et autres infrastructures similaires, largement répandues aujourd’hui.

Au cours des récentes années, les systèmes de contrôle industriels, au cœur de nombre de nos infrastructures critiques et environnements industriels, ont été sous le feu d’attaques toujours plus fréquentes et virulentes. A l’évidence, cette tendance résulte, entre autres facteurs, de la convergence des technologies opérationnelles et des technologies de l’information. Comme dans tous les domaines de l’informatique, les avantages d’une connectivité réseau toujours plus étendue, rendue possible grâce à des standards ouverts (Ethernet et TCP/IP notamment), ainsi que les gains financiers qui résultent du remplacement de technologies propriétaires dédiées par des solutions commerciales packagées, se font néanmoins aux dépens d’une vulnérabilité accrue.

Pour autant, si l’impact d’un piratage informatique aboutit généralement à des pertes financières, les attaques sur les systèmes SCADA industriels peuvent aller jusqu’à détruire des équipements critiques, menacer la sécurité nationale d’un pays, si ce n’est mettre en danger des vies humaines.

Ce distinguo est très important, mais il existe aussi une différence quelque peu troublante dans les profils et les motivations des assaillants. Alors que le gain financier constitue le principal moteur de la cybercriminalité actuelle, revenons un instant sur les intentions des assaillants en 2015, pour mieux comprendre leur volonté de cibler les systèmes SCADA :

La toute première panne électrique causée par un hacker en Ukraine

Le 23 décembre 2015, une panne d’électricité a eu lieu en Ukraine occidentale suite à la mise à l’arrêt de 57 centrales électriques. Cette panne était attribuée dans un premier temps, à des “ interférences” dans le système de monitoring de l’une des entités ciblées. Ce souci a été, par la suite, directement lié à une attaque de hacker sur le système de contrôle industriel. Ce blackout, confirmé par le CERT Ukrainien le 4 janvier 2016, est aujourd’hui considéré comme la toute première panne dont l’origine prouvée est une cyberattaque.

L’attaque à été menée de manière sophistiquée et organisée, via un processus en trois étapes :

  • L’infection des systèmes a été initiée par des emails de spear phishing utilisant des documents MS Office en fichier joint. Ces documents contenaient des macros malveillantes.
  • La mise à l’arrêt des systèmes a été menée en effaçant les fichiers systèmes et en supprimant la possibilité de pouvoir assurer une restauration.
  • Des attaques de type DDoS (Distributed Denial of Service) ont ciblé les centres de services clients des acteurs ciblés, à l’aide de faux appels, retardant ainsi l’identification de la problématique par les entreprises.

Le logiciel malveillant utilisé pour ces attaques relève de la famille du malware BlackEnergy qui sévit depuis 2007. D’autres variantes ont été identifiées, des variantes susceptibles d’avoir pu recueillir des informations sur les infrastructures SCADA depuis 2014.

Confirmation d’attaques de reconnaissance sur les systèmes de contrôle industriel aux Etats-Unis

En décembre 2015, deux rapports sur les attaques ICS aux Etats-Unis révélaient l’existence d’une phase de reconnaissance, à savoir des attaques perpétrées avec l’intention de recueillir avant tout des données plutôt que d’engendrer des dommages.

Le premier rapport vient confirmer la réalité d’une attaque jusqu’à présent suspectée sur le barrage de Bowman Avenue à New York en 2013. Bien que ce barrage n’ait pas été “piraté” à proprement parler, l’attaque a permis de recueillir des requêtes et recherches sur les machines infectées, sans doute dans le cadre d’une opération de reconnaissance, d’ailleurs attribuée à des hackers iraniens.

De manière similaire, l’analyse d’un ordinateur appartenant à un sous-traitant de Calpine, une Utility américaine spécialisée dans la génération d’électricité à partir de gaz naturel et de géothermie, a révélé un piratage qui a permis à ses auteurs de détourner des informations de l’entreprise Calpine. Les informations dérobées ont été retrouvées sur le serveur FTP de l’un des assaillants connecté aux systèmes infectés. Parmi ces informations, des noms d’utilisateurs et des mots permettant de se connecter à distance aux réseaux de Calpine, ainsi que des schémas détaillés de réseaux et de 71 centrales électriques sur l’ensemble des États-Unis.

Des systèmes SCADA piratés proposés à la vente au sein de l’économie souterraine

De nombreux messages sur des forums de type underground proposaient de commercialiser des systèmes SCADA piratés et illustrés de copies d’écran de ces systèmes, ainsi que trois adresses IP françaises et des mots de passe VNC. Notons que l’authenticité de ces informations de connexion n’a jamais été prouvée. Cependant, ce scénario souligne qu’il devient possible de se procurer des systèmes SCADA vulnérables dans l’underground, aussi simplement que d’acheter une commodité.

Ces attaques ne sont que des exemples parmi tant d’autres. Selon l’ICS-CERT Monitor Newsletter: Oct 2014 – Sept 2015, ce sont 295 incidents qui ont été notifiés en 2015 à ce CERT américain spécialisé dans les systèmes industriels. Dans leur majorité, ces incidents répertoriés ciblaient des infrastructures de production critiques, ainsi que le secteur des énergies. Cette inflation d’attaques visant les systèmes critiques de production, par rapport à 2014, est le résultat d’une campagne de spear-phishing étendue qui a ciblé essentiellement les entreprises de ce secteur, et à un moindre niveau, d’autres secteurs d’activité.

Dans leur volonté de protéger leurs systèmes industriels, les organisations connaissent un réel défi, à savoir la sophistication des attaques actuelles menées par les cybercriminels. Cependant, il existe d’autres défis notamment au niveau des systèmes, des réglementations et des pratiques spécifiques à un secteur d’activité. Les systèmes de contrôle industriel proviennent de fournisseurs hétérogènes et utilisent des systèmes d’exploitation, applications et protocoles propriétaires (GE, Rockwell, DNP3, Modbus). Du coup, la sécurité des systèmes hôtes telle que conçue pour l’informatique classique n’est généralement pas disponible pour les systèmes SCADA, tandis que les fonctions de sécurité réseau pour les applications et protocoles communs en entreprise sont souvent absentes ou non adaptées aux environnements industriels.

Compte tenu des faits présentés dans cet article, il devient essentiel de formuler certaines recommandations en matière de sécurité, et ainsi éviter de se faire piéger :

  • Gare aux emails de phishing : les emails de phishing peuvent s’afficher très séduisants et convaincants et il est d’autant plus essentiel de disposer d’un antivirus, pour activer une couche de sécurité contre les fichiers malveillants joints à ces emails. Dans la pratique, force est de constater que le phishing a été utilisé dans toutes les attaques, ce qui en fait une arme de choix pour cibler tant les environnements industriels que les réseaux d’entreprise. Une attaque de spear-phishing a ainsi été notifiée à l’ICS-CERT, impliquant des assaillants utilisant un compte sur un réseau social et lié au profil d’un candidat en recherche de poste. À l’aide de ce compte, les assaillants ont pu récupérer des informations comme le nom du responsable informatique de l’organisation ciblée, ou encore les versions des logiciels installées. Par la suite, les collaborateurs ont reçu un email, avec, en fichier joint, le CV du faux candidat joint dans un format ‘resume.rar’. Le fichier joint contenait un logiciel malveillant qui a infecté les équipements des collaborateurs, mais qui a néanmoins pu être neutralisé avant de se propager et impacter les systèmes de contrôle.
  • Mise en log et scans réguliers du réseau : les logs constituent un moyen pertinent de surveiller l’activité des systèmes et de rassembler les différentes pièces du puzzle en cas d’incident. Cette analyse des logs permet également de détecter en amont les infections dans de nombreux cas. La gestion des logs est une pratique qui s’impose aux administrateurs des systèmes de contrôle. Les scans réguliers du réseau constituent également une bonne pratique pour être prévenu en amont de toute infection possible.

La bonne nouvelle est néanmoins que dans les années récentes les problématiques de sécurité et de vulnérabilité des systèmes SCADA ont été davantage reconnues, et que les premières étapes pour y remédier sont déjà en place.

Ceci est notamment une priorité pour les organisations gouvernementales tels que l’ICS-CERT américain (Industrial Control Systems Cyber Emergency Response Team), le CPNI britannique (Centre for Protection of National Infrastructure, et bien sûr l’ANSSI ou le Clusif en France. Tous ces organismes ont fait état de recommandations et de publications sur les meilleures pratiques de sécurité en environnement industriel.

Notons également la définition de normes communes comme ISA/IEC-62443 (ex ISA-99). Créés par l’International Society for Automation (ISA) sous l’appellation ISA-99, puis renommée 62443 pour se conformer aux standards IEC (International Electro-Technical Commission), ces documents définissent un cadre exhaustif pour la conception, la planification, l’intégration et la gestion des systèmes de contrôles industriel sécurisés.

Les systèmes industriels restent sous le feu des attaques, mais aujourd’hui, il est possible, en associant technologies et méthodologies, de juguler ces attaques. (Par Ruchna Nigam, Chercheur en sécurité, pour DataSecurityBreach.fr, au sein de FortiGuard Labs de Fortinet)

Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

La directive européenne de protection des données personnelles est morte ! Vive le règlement général sur la protection des données (GDPR). Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

En 1995, l’Europe s’équipait de la directive européenne de protection des données personnelles. Mission, protéger les informations des utilisateurs d’informatique. 21 ans plus tard, voici venir le règlement général sur la protection des données (GDPR). La Commission européenne avait proposé en 2012 un nouveau règlement portant sur un ensemble de règles unique pour toutes les données collectées en ligne afin de garantir qu’elles soient conservées de manière sûre et de fournir aux entreprises un cadre clair sur la façon dont les traiter.

Mercredi 13 avril 2016, le paquet législatif a été formellement approuvé par le Parlement dans son ensemble. Le GDPR impose aux entreprises (petites ou grandes) détenant des données à caractère personnel d’alerter les personnes touchées par une fuite, une perte, un piratage de la dire informations privée. Grand groupe, PME, TPE doivent informer les autorités de contrôle nationales (CNIL) en cas de violation importante de ces données. Comme je pouvais déjà vous en parler en 2014, il faut alerter les autorités dans les 72 heures après avoir découvert le problème. Les entreprises risquent une grosse amende en cas de non respect : jusqu’à 4% de son chiffre d’affaire. Les informations que nous fournissons doivent être protégées par défaut (Art. 19). A noter que cette régle est déjà applicable en France, il suffit de lire le règlement de la CNIL à ce sujet. Faut-il maintenant que tout cela soit véritablement appliqué.

Fuite, perte, piratage de données

Parmi les autres articles, le « 7 » indique que les entreprises ont l’obligation de demander l’accord « clair et explicite » avant tout traitement de données personnelles. Adieu la case par défaut imposée, en bas de page. De l’opt-in (consentement préalable clair et précis) uniquement. Plus compliqué à mettre en place, l’article 8. Je le vois dans les ateliers que je mets en place pour les écoles primaires et collèges. Les parents devront donner leur autorisation pour toutes inscriptions et collectes de données. Comme indiqué plus haut, les informations que nous allons fournir devront être protégées par défaut (Art. 19). Intéressant à suivre aussi, l’article 20. Comme pour sa ligne téléphonique, le numéro peut dorénavant vous suivre si vous changez d’opérateur, cet article annonce un droit à la portabilité des données. Bilan, si vous changez de Fournisseur d’Accès à Internet par exemple, mails et contacts doivent pouvoir vous suivre. L’histoire ne dit pas si on va pouvoir, du coup, garder son adresse mail. 92829@orange.fr fonctionnera-t-il si je passe chez Free ?

La limitation du profilage par algorithmes n’a pas été oublié. En gros, votre box TV Canal +, Orange ou Netflix (pour ne citer que le plus simple) utilisent des algorithmes pour vous fournir ce qu’ils considèrent comme les films, séries, émissions qui vous conviennent le mieux. L’article 21 annonce que l’algorithme seul ne sera plus toléré, surtout si l’utilisation n’a pas donné son accord. Enfin, notre vie numérique est prise en compte. Les articles 33 et 34 s’annoncent comme les défenseurs de notre identité numérique, mais aussi notre réputation numérique. L’affaire Ashley Madisson est un des exemples. Votre identité numérique est volée. L’entreprise ne le dit pas. Votre identité numérique est diffusée sur Internet. Vous ne la maîtrisez plus.

Bref, 33 et 34 annonce clairement que les internautes ont le droit d’être informé en cas de piratage des données. La CNIL sera le récipiendaire des alertes communiquées par les entreprises piratées. Bref, fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

Les entreprises ont jusqu’au 1er janvier 2018 pour se mettre en conformité. Les 28 pays membres doivent maintenant harmoniser leurs lois sur le sujet. Je me tiens à la disposition des entreprises, associations, particuliers qui souhaiteraient réfléchir à leur hygiène informatique.

Police : nouvelles règles sur les transferts de données

Le paquet sur la protection des données inclut par ailleurs une directive relative aux transferts de données à des fins policières et judiciaires. La directive s’appliquera aux transferts de données à travers les frontières de l’UE et fixera, pour la première fois, des normes minimales pour le traitement des données à des fins policières au sein de chaque État membre.

Les nouvelles règles ont pour but de protéger les individus, qu’il s’agisse de la victime, du criminel ou du témoin, en prévoyant des droits et limites clairs en matière de transferts de données à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales – incluant des garanties et des mesures de prévention contre les menaces à la sécurité publique, tout en facilitant une coopération plus aisée et plus efficace entre les autorités répressives.

« Le principal problème concernant les attentats terroristes et d’autres crimes transnationaux est que les autorités répressives des États membres sont réticentes à échanger des informations précieuses », a affirmé Marju Lauristin (S&D, ET), députée responsable du dossier au Parlement. « En fixant des normes européennes sur l’échange d’informations entre les autorités répressives, la directive sur la protection des données deviendra un instrument puissant et utile pour aider les autorités à transférer facilement et efficacement des données à caractère personnel tout en respectant le droit fondamental à la vie privée« , a-t-elle conclu.

L’agence de renseignement du Danemark lance une académie de hacking

Académie de hacking – Décidément, le temps ou il fallait cacher son intérêt pour le hacking est bien révolu. Après la France, les USA, la Suisse, voici venir le Danemark. L’agence de renseignement Danoise vient de créer une académie dédiée au hacking.

Les services de renseignement Danois viennent de se lancer dans un recrutement qui a le mérite d’attirer l’œil. La DDIS (Danish Center for Cyber Security), le service de cyber renseignement danois lance une académie pour former des hackers. Mission, former des pirates informatiques éthiques capables de fissurer des systèmes de sécurité cybernétique compliqués. Une création en réponse aux nombreuses attaques vécues par le pays ces derniers mois. Le Danemark a dû repousser plusieurs cyber-attaques dont une contre le ministère des affaires étrangères (via un phishing) qui aura permis un espionnage de 7 mois. En décembre 2015, un DDoS a cloué les serveurs du Parlement danois.

King of Phantom : académie de hacking

Les admissions débuteront le 1er août 2016. Le service de renseignement ne va pas par quatre chemins et parle de recruter « de talentueux blackhats« . Pour rappel, un black hat n’est pas un hacker « sympathique« , mais plutôt du genre « casse tout ».

Les principales tâches du DDiS sont de collecter, traiter et diffuser des informations sur les situations qui touchent le Danemark, à l’étranger. Une partie du service se compose d’une unité spéciale dont la tâche est d’avoir accès à l’Internet fermé, aux  systèmes informatiques et aux ordinateurs. « Notre dispositif n’est pas fait pour tout le monde, et il préconise des compétences particulières et une certaine personnalité« .

Trois modules dans cette formation : un module de base où vous apprendrez les réseaux, l’infrastructure informatique et la sécurité avancée. Un module de défense où vous apprendrez comment se défendre face aux pirates. Un module offensive où vous apprendrez à pirater. L’annonce indique que la DDiS encourage tout le monde à participer « peu importe les antécédents personnels« .

In-Q-Tel : Un fabricant de cosmétique attire la CIA pour prélever l’ADN

Étonnante révélation concernant le fabriquant de cosmétique Skincenial Sciences. La CIA, via sa société de capital-risque In-Q-Tel, s’est rapprochée du vendeur de créme qui adoucit la peau… pour collecter l’ADN.

La société américaine Skincential sciences est une petite PME proposant des crèmes pour la peau suffisamment efficace pour attirer les regards des professionnels de la mode, des blogueuses et de stars de la TV US. La créateur de crème qui adoucit la peau a aussi attiré un autre partenaire étonnant, la CIA. La Centrale Intelligence Agency, via sa société de capital-risque In-Q-Tel, s’est penchée sur Skincential sciences pour financer des recherches sur la collecte de l’ADN. Cette relation contre nature a été révélée par des documents diffusés par The Intercept. L’entreprise de cosmétique a créé un produit étonnant qui intéresse la CIA. Finesse de l’invention, être capable de retirer une mince couche externe de la peau, révélant des biomarqueurs uniques qui peuvent être utilisés pour une variété de tests, y compris la collecte d’ADN.

In-Q-Tel est un investisseur fondé en 1999 par l’ex-directeur de la CIA, George Tenet. Sa mission, identifier une technologie de pointe qui permettra à la CIA, et aux autres agences américaines, de peaufiner et moderniser leurs missions. In-Q-Tel assure le financement des recherches afin de faire croître les entreprises de haute technologie qui développent les solutions qui attirent la CIA. Pour l’agence, la peau humaine est une source peu exploitée.

Le Japon va tester la biométrie pour payer ses achats

Biométrie – Pour préparer les Jeux Olympiques de 2020, attirer les touristes et contrer le cyber crime, le japon va tester, cet été 2016, le contrôle biométrique pour le paiement et la  réservation d’une chambre d’Hôtel.

Cet été, si vous avez la chance de vous rendre au Japon, préparez-vous à sortir vos doigts. Le pays va lancer une grande opération biométrique dédiée au contrôle d’identité et à la sécurisation des paiements.

Le gouvernement Japonais espère ainsi augmenter le nombre de touristes étrangers en utilisant ce système pour soulager les utilisateurs de la nécessité de transporter des espèces ou cartes de crédit. Le Japon veut tester son système afin que ce dernier soit opérationnel pour les Jeux olympiques et paralympiques de Tokyo 2020.

L’expérience permettra aux touristes volontaires, foulant le sol Nippon, d’enregistrer leurs empreintes digitales, identités et données de carte de crédit. Pour inciter les visiteurs à participer, pas de taxe sur les produits. Il suffira de placer deux doigts sur les dispositifs spéciaux installés dans 300 magasins et hôtels du pays. La biométrie permettra aussi d’éviter aux touristes de voir leur passeport copiés dans les hôtels. L’authentification par empreintes digitales suffira.

En 2020, Tokyo attend 40 millions de touristes. Les premiers tests ont eu lieu, depuis octobre 2015, dans le parc à thème du Huis Ten Bosch de Sasebo.

43 heures de communications pirates pour la Ville de Solignac

La commune de Solignac se fait pirater son standard téléphonique. Aucun employé ne s’était rendu compte du problème. L’opérateur va réagir après avoir découvert 43 heures de communications pirates durant le week-end de Pâques.

Que dire ? Les petites et moyennes communes ne prennent pas leur sécurité informatique au sérieux. Le silence est d’or, l’excuse du droit de réserve a bon dos… Le dos de l’argent et des données des contribuables s’envolant à coups de piratages, fuites de données, ransomwares, phreaking…

C’est d’ailleurs du phreaking, piratage dans la téléphonie, qui vient de toucher une commune de la région de Limoges. La Direction Générale de la mairie de Solignac a été alertée par l’opérateur Orange d’un étrange comportement de sa ligne téléphonique. Le pirate est un malin, 43 heures d’appels téléphoniques illicites sur le dos des finances de la ville, entre le samedi après-midi et la nuit du lundi au mardi du week-end de Pâques.

Les phreakers sont particulièrement bien organisés. Je peux en croiser, dans certains blackmarkets,  proposant ce type de service. Durant ces trois jours, 283 appels à destination de l’Azerbaïdjan, le Pakistan, le Liberia, la Somalie,  les Iles Falkland, les Maldives et Haïti. Bref, plusieurs dizaines de milliers d’euros envolés.

Du piratage de standard téléphonique qui n’est pourtant pas une nouveauté. Malheureusement, je croise trop de chefs de service aux égos surdimensionnés, aux titres ronflants et à l’incapacité de gérer l’informatique, la sécurité, ou simplement la communication sur ce type de méfait. Je ne parle même pas des budgets qui se réduisent comme peau de chagrin et des employés territoriaux devenus responsables informatiques par l’effet du Saint-Esprit (comprenez le piston). Je ne généralise pas, mais mes constatations me font dire que cela ne s’arrange pas. En novembre 2015, 43 000 € de détournement téléphonique au Conseil Départemental des Deux-Sévres ; 15 000 à la commune de Pessac, 15 000 pour la commune de Licques… et ici, je ne parle que des cas connus.

Communications pirates : ce que dit la loi

Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients.