Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Banque, Cybersécurité, Entreprise, Fuite de données, Social engineering

Fraude au président ? une banque belge piégée à hauteur de 70 millions d’euros

La banque coopérative Crelan vient de révéler un piratage qui lui a coûté 70 millions d’euros.

Ca n’arrive pas qu’aux autresLa fraude au président, DataSecurityBreach.fr vous en parle malheureusement très souvent. L’idée, voler de l’argent à une entreprise en l’incitant à faire volontairement le virement. Les pirates, derrière ce type d’attaque, collectent un maximum d’informations sur leur cible. Identité, adresse, documents, postes occupés par les salariés… même les répondeurs des boites mails peuvent servir de source d’information.

La banque coopérative belge Crelan vient de goûter à ces escrocs particulièrement chevronnés. D’abord parce qu’ils ont la connaissance technique de l’environnement de l’entreprise qu’ils vont attaquer. Ensuite, ils ont l’aplomb pour appeler au téléphone, mettre la pression aux interlocuteurs par courriels. Ils se font passer pour un créancier, un client de la société et incitent un employé à valider des virements. Pour cette banque aux 288.000 clients, les pirates ont réussi à se faire virer pour 70 millions d’euros. « Aucun client n’a été touché. » confirme la banque à la presse Belge. C’est une enquête interne qui a découvert le pot aux roses. Il était malheureusement bien trop tard. L’enquête du parquet a été lancé. Il va falloir remonter à l’argent perdu entre la Moldavie, la Chine, Israël et les poches des voyous. Crelan indique avoir « renforcé les procédures de sécurité interne« .

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, IOT

Quels changements se profilent dans le paysage de la sécurité pour 2016 ?

Le changement le plus important concerne la manière dont les équipes chargées de la sécurité traiteront « l’inflation » de données, d’équipements, de fonctionnalités et de menaces. La croissance rapide de l’Internet des Objets va ajouter énormément d’équipements et de capteurs sur les réseaux informatiques.

Nombre d’équipes chargées de la sécurité informatique se sentent dépassées par le traitement des données, la sécurité de leurs réseaux informatiques actuels ainsi que par les responsabilités associées. Se contenter d’ajouter des solutions de sécurité informatique n’aidera pas les entreprises à contrôler l’afflux de données qui se profile. Il serait plutôt intéressant de voir comment les équipes IT seraient capables de gérer dix fois plus d’équipements et de données en partant de zéro. Cela leur permettrait de réfléchir à une stratégie sur le long terme et à la manière adéquate de suivre ce rythme effréné.

Toujours plus d’entreprises ont conscience de l’importance de l’informatique dans les environnements Cloud pour leurs activités. Les services à faible valeur tels que l’infrastructure de messagerie évoluent de plus en plus vers le Cloud et sont de moins en moins gérés en interne. En effet, la plupart des entreprises ne sont pas contraintes de se soumettre à des obligations de conformité ou de sécurité à ce niveau. Après tout, la plupart des courriers électroniques sont envoyés via Internet sans être chiffrés. Alors à quoi bon héberger ces messages en interne ? Les ressources monopolisées pour ce faire pourraient être utilisées à meilleur escient, par exemple pour réfléchir à la manière dont l’équipe IT pourrait accompagner plus efficacement l’activité de l’entreprise.

Puisqu’un nombre toujours plus important d’applications et de services migrent vers le Cloud, le suivi des actifs peut également passer dans le Cloud. Les terminaux des utilisateurs sont plus mobiles qu’avant et l’environnement dans lequel les collaborateurs souhaitent ou doivent travailler peut changer à tout moment. Une liste précise d’actifs informatiques indiquant l’état de tous les équipements et logiciels autorisés, ainsi que ceux non autorisés à rejoindre le réseau, offre un meilleur point de départ à l’équipe informatique chargée de la sécurité. En parallèle, rechercher en permanence les failles possibles sur l’ensemble des points d’extrémité est désormais indispensable.

Comment évoluent les cibles ?
Contrairement à ce que peuvent prêcher la plupart des fournisseurs de solutions de sécurité informatique, le mobile sera sans doute la principale cible en termes de sécurité en 2016. Bien qu’ils aient aussi leurs problèmes, iOS et Android restent malgré tout mieux protégés contre les malware commerciaux que les traditionnels terminaux informatiques. Les équipements mobiles pourraient être la cible privilégiée d’une surveillance et d’attaques commanditées par un Etat. En effet, ces équipements nous localisent et nous transportons en permanence avec nous un micro et un appareil-photo activables à distance. Quant aux PC et ordinateurs portables, ils sont dans le viseur des éditeurs de malware commerciaux qui y voient un retour sur investissement.

L’informatique traditionnelle, en particulier les systèmes de contrôle industriels et les applications SCADA pour la production, est de plus en plus connectée à Internet. Cela représente un risque important dans la mesure où ces systèmes ont été conçus à une époque où les utilisateurs étaient des collaborateurs fiables et compétents. Connecter ces systèmes de contrôle industriels ou ces applications SCADA à l’Internet public peut les exposer facilement à des attaques externes lancées par des individus malveillants, non autorisés et hors du contrôle de l’entreprise. Des attaques continueront d’être lancées tant que ces vieux systèmes seront simplement « connectés » à Internet.

Comment évoluent les stratégies de prévention ?
Les stratégies évoluent de plus en plus car les traditionnelles approches en matière de sécurité informatique sont moins efficaces et plus problématiques qu’avant. Ces dernières ne sont plus à la hauteur et constituent un échec. Il faut plutôt s’intéresser à l’avenir de l’informatique et à la façon d’intégrer la sécurité partout et par défaut.

Par exemple, les utilisateurs consomment davantage d’applications dans le Cloud qu’auparavant. Les entreprises utilisent des solutions telles que SalesForce pour leurs systèmes CRM et Office 365 pour leur communication. Cette approche réduit le nombre d’applications tributaires du réseau interne et plus les applications et les services seront consommés auprès de fournisseurs opérant dans le Cloud public, plus la surface d’attaque des réseaux internes sera réduite.

Les équipes informatiques vont devoir réfléchir à la manière de concevoir la sécurité dans un monde où les utilisateurs s’appuient uniquement sur leur équipement plutôt que sur le réseau de l’entreprise. Chaque point d’extrémité doit pouvoir être fiable et sécurisé, peu importe où se trouvent les utilisateurs ou la façon dont ils souhaitent travailler.

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch

Sept stratégies pour défendre les systèmes de contrôle industriel

Le rapport du ministère américain de la Sécurité intérieure intitulé « Sept stratégies pour défendre les systèmes de contrôle industriel » recommande les solutions matérielles de sécurité unidirectionnelle.

Le rapport du ministère américain de la Sécurité intérieure indique : « Pour de nombreux systèmes de contrôle industriel (ICS), la question n’est pas de savoir si une intrusion va avoir lieu, mais quand ». Les technologies comme celles de Waterfall Security sont à présent recommandées. Waterfall Security Solutions, un leader mondial de technologies de cybersécurité pour les infrastructures critiques et les systèmes de contrôle industriel, a annoncé aujourd’hui la prise en compte des technologies de communication unidirectionnelle dans les stratégies recommandées par le ministère de la Sécurité intérieure des États-Unis.

Intitulé Sept stratégies pour défendre les ICS et publié en décembre 2015 par le National Cybersecurity and Communications Integration Center (NCCIC), ce rapport souligne le nombre en augmentation des intrusions réussies dans les systèmes d’infrastructure critiques des États-Unis et la forte probabilité que de futures tentatives d’intrusion se produisent à l’avenir. En réponse à cette constatation, le rapport détaille ses sept meilleures stratégies de défense des systèmes de contrôle industriel (ICS) contre les cyberattaques.

Le rapport indique : « Au cours de l’année fiscale 2015, 295 incidents ont été rapportés à la Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), et de nombreux autres n’ont pas été rapportés ni détectés. » Il recommande sept stratégies qui auraient pu prévenir toutes les intrusions et auraient protégé la sûreté et la fiabilité des opérations industrielles affectées. Trois de ces sept stratégies recommandent d’utiliser des communications matérielles unidirectionnelles, une technologie créée par Waterfall Security Solutions. Depuis 2007, les passerelles unidirectionnelles de Waterfall ont été déployées et éprouvées par des sites industriels, des unités de fabrication, des infrastructures critiques et des fabricants d’équipements industriels dans le monde entier.

« Ce dernier rapport publié par le ministère américain de la Sécurité intérieure soutient clairement notre technologie et notre mission en tant qu’entreprise de rehausser le niveau de cybersécurité des systèmes de contrôle industriel et des infrastructures de réseaux critiques », a déclaré Lior Frenkel, PDG et co-fondateur de Waterfall Security Solutions. « Le rapport du ministère de la Sécurité intérieure est clair : vous devez faire des passerelles unidirectionnelles votre premier choix. La sécurité logicielle, comme les pare-feu, ne vous sauvera pas. »

La taux élevé des nouveaux déploiements de passerelles unidirectionnelles de Waterfall Security dans les centrales,les pipelines, les raffineries, les systèmes de transport et les réseaux d’alimentation en eau à travers l’Amérique du Nord et l’Europe, en plus de l’expansion rapide de sa clientèle en Asie-Pacifique, démontrent que de nombreux industriels et décideurs sont déjà d’accord avec les recommandations du ministère.

Base de données, BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, IOT, Particuliers, Phishing, santé, Social engineering

Nagerfit, Plaquerfit, SauterFit, hackerFit !

Le piratage de données de clients des produits connectés FitBit se précise.

Pourquoi s’attaquer aux clients des montres et bracelets connectés FitBit ? Malheureusement, simple et facile. Une fois qu’un pirate a mis la main sur un compte, il peut tenter de piéger la société en se faisant envoyer un produit de remplacement encore sous garantie. Au pirate de trouver le moyen de se faire communiquer le produit qu’il revendra ensuite.

Depuis plusieurs semaines, la communauté Fitbit vibre. Des dizaines de clients font état d’une modification de leur page d’administration Fitbit. La société a confirmé le problème et annonce se pencher sur la chose. Des pirates qui ont, via cet accès, aux informations GPS, et toutes autres données sauvegardées sur les serveurs de la marque de produits high-tech pour sportifs.

Le pirate a changé les informations de connexion

D’après BuzzFeed, toujours le même pseudo caché derrière ces piratages annoncés : « threatable123 ». Un bot serait-il utilisé par le malveillant ou alors ce dernier est trop feignant pour se cacher ? Plusieurs clients reprochent à FitBit de faire la sourde oreille et de les accuser de ne pas avoir prêté attention à leurs identifiants de connexion. Alors attaque sur la base de données ou simple phishing ? A suivre…

Base de données, Cybersécurité, Entreprise, Justice, Mise à jour, Social engineering

Des hôtels de luxe Français visés par un piratage informatique

Je vous révélais, en décembre 2015, une attaque massive à l’encontre d’hôtels de luxe. Un piratage qui a visé, en France, Le Hyatt Regency Paris Étoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez. Des stars dans les données volées ?

Après les Hôtels Sheraton, Hilton et Le Méridien, c’est au tour du groupe hôtelier Hyatt d’être la cible d’une attaque informatique. Des pirates ont infiltré les machines en charge de la gestion du système de paiement de ses sites Internet du groupe hôtelier. Hyatt vient de diffuser les conclusions de son enquête interne. 250 hôtels ont été piratés dans 54 pays. Une attaque massive entre le 13 août et le 8 décembre 2015. Trois hôtels Français ont été touché (du 13 août au 14 octobre 2015) : le Hyatt Regency Paris Etoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez.

Alors qu’en décembre 2015, Hyatt indiquait ne pas savoir si des données bancaires avaient été touchées. Un mois plus tard, il a été confirmé le vol, via les terminaux de paiement de restaurants, spas, parking, réceptions… des noms, numéros de carte bancaire, dates d’expiration, CVV, codes de vérification interne.

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Les Data Centers face aux risques : des menaces contrôlées

Le Cloud a réussi à convaincre de nombreux adeptes grâce à ses différents atouts : simplicité, adaptabilité, ou encore coûts contrôlés. Pour protéger au mieux les données qui leur sont confiées, les fournisseurs éthiques suivent une règle d’or : prévoir l’imprévisible pour pouvoir assurer la sécurité des données.  

En effet, les data centers – comme toute autre installation – sont confrontés à différents risques et cela peut effrayer les entreprises et les particuliers.  Cependant, les serveurs des centres de données sont souvent bien plus sécurisés que les propres structures informatiques des entreprises. Plusieurs menaces existent, et les fournisseurs de Cloud disposent de spécialistes afin d’analyser et d’anticiper chacun de ses risques.

Le risque physique et le vandalisme
Il s’agit du risque lié à une intrusion physique sur le lieu : vol de matériel contenant des données, incendies criminels, ou encore casse des serveurs. Pour répondre à ce risque, des systèmes de vidéosurveillance mais aussi de détection volumétrique de mouvements au sein du périmètre de sécurité sont mis en place.  De plus, l’entrée du bâtiment est sécurisée par un contrôle d’accès strict avec différents niveaux de droits selon les pièces.  En cas de problèmes, les droits d’accès peuvent être rapidement révoqués et les badges désactivés automatiquement. Le bâtiment est également équipé de portes blindées, de systèmes de détection des chocs sur les portes et les fenêtres. Toute cette installation vise à pouvoir réagir très rapidement en cas de tentative d’effraction, avec une prise en charge rapide par le personnel sur site présent 24h/24 7J/7 et par les forces de l’ordre.

Pour pallier la menace d’incendie, des détecteurs sont mis en place. Les Data Centers sont par ailleurs équipés de système d’extinction automatique par gaz, si un départ de feu est confirmé par 2 détections simultanées, des bouteilles seront percutées instantanément afin de remplir la salle informatique d’un gaz empêchant la réaction chimique de l’incendie et bloquer tout incendie en cours.

Le risque météorologique
Cette catégorie regroupe tous les dangers liés à des conditions climatiques extrêmes: inondation, foudre ou encore canicule. Afin de prévenir d’éventuels sinistres, ce risque est étudié avant même l’implantation du Data Center afin d’éviter la construction en zone inondable. Le bâtiment est également entouré par des paratonnerres, et les armoires électriques équipées de parafoudres pour protéger le lieu en cas de tempête. Les climatisations sont spécifiquement choisies afin de fonctionner même lorsqu’elles sont soumises à de très hautes températures.

Les risques intrinsèques et électriques
Pour la partie électrique, les onduleurs sont présents pour palier une éventuelle micro-coupure ; en cas de problème plus conséquents – comme une panne totale de l’arrivée électrique principale Haute Tension– les Data Centers sont équipés d’un groupe électrogène pouvant assurer leurs autonomies. Des audits annuels sont par ailleurs réalisés pour assurer une sécurité optimale du lieu. Une caméra thermique permet de vérifier qu’il n’y a pas de points chauds pouvant potentiellement créer un départ d’incendie et les câblages sont également vérifiés une fois par an. Enfin, en cas de fuite d’eau, un système automatisé permet de couper l’arrivée d’eau dans la salle informatique.

Le risque numérique
Les menaces numériques regroupent tous les risques liés au piratage informatique.  Pour cela, les serveurs peuvent—être équipés d’un antivirus, d’un firewall, mais aussi d’une solution visant à bloquer les attaques DDoS.  Ainsi, un large spectre de vecteurs d’attaques est contrôlé. Il s’agit là des précautions prises pour un unique Data Center par chaque fournisseur. La mise en place d’un deuxième Data Center, notamment s’il est utilisé pour effectuer des plans de reprises d’activité, exige également quelques bonnes pratiques. Les deux bâtiments ne doivent pas être éloignés de plus de 50 kms l’un de l’autre, dans l’idéal, afin d’avoir un délai de latence faible pour la synchronisation des données. Mais ils ne doivent pas non plus appartenir aux mêmes réseaux électriques, car si une longue coupure intervient, les deux seraient alors potentiellement impactés. (par Aurélien Poret, responsable Infrastructure – Ikoula)

Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch, ransomware, Sauvegarde

Les équipes de sécurité sont dépassées par le nombre d’alertes de sécurité quotidiennes

76% des professionnels de sécurité interrogés par Rapid7 déclarent ne pas arriver à gérer plus de 25 alertes par jour alors que 29% d’entre eux reçoivent quotidiennement plus de 75 alertes de sécurité.

Rapid7, éditeur de solutions de sécurité analytique des données, dévoile les résultats de son étude 2015 sur la détection des menaces et la réponse aux incidents de sécurité. Face aux enjeux cruciaux de la protection des données de l’entreprise dans des contextes de réseaux étendus, les équipes de sécurité augmentent progressivement leurs capacités de détection des menaces et de réponses à incidents.

A travers une étude menée auprès de 271 professionnels de sécurité dans 20 pays, Rapid7 a cherché à analyser et à mieux comprendre le contexte et les problématiques auxquelles sont confrontées les équipes de sécurité en entreprise – leurs initiatives, les outils utilisés et leurs défis au quotidien – en matière de détection des menaces et de réponses aux incidents de sécurité.

Les équipes sécurité dépassées par le nombre d’alertes de sécurité générées par les équipements
Parmi les enseignements importants de cette étude, il ressort que les équipes de sécurité sont submergées par un volume d’alertes de sécurité trop important et pour lesquelles elles ne peuvent procéder à des recherches approfondies :

–       Les professionnels de la sécurité signalent un écart entre le nombre d’alertes générées par leurs systèmes de détection et le nombre de ces alertes que leurs équipes sont capables de gérer – c’est à dire de consulter, d’enquêter et de remédier.

–       76% des personnes interrogées n’arrivent pas à gérer plus de 25 alertes par jour, alors que 29% d’entres elles reçoivent plus de 75 alertes de sécurité par jour

La détection du vol d’identifiants : le problème majeur des équipes sécurité
Bien que cela souligne la nécessité d’une meilleure contextualisation, corrélation et hiérarchisation des alertes, les entreprises ne sont toujours pas satisfaites de leur capacité à détecter le premier vecteur d’attaque à l’origine des failles de sécurité : le vol d’identifiants.

–       90% des professionnels interrogés s’inquiètent des attaques utilisant des identifiants dérobés, et 60% déclarent ne pas bénéficier de solutions adaptées pour détecter le vol d’identifiants.

Concrètement, les équipes de sécurité ont toutes le même défi : elles doivent gérer trop d’alertes de sécurité ; les enquêtes sur chaque alerte prennent trop de temps ; elles ont trop peu de visibilité contextuelle sur les utilisateurs et les risques sur leur réseau.

Face à ces problématiques, les professionnels interrogés ont mis en place trois grandes initiatives en 2015, (dans l’ordre) :
1)    Le déploiement et le maintien d’une solution SIEM
2)    Le développement de leur programme de gestion des vulnérabilités
3)    L’amélioration ou le remplacement de leur réseau de pare-feu

L’étude rapporte également que 52% des entreprises interrogées utilisaient déjà un SIEM en 2015 alors que 21% prévoyaient de s’équiper dans le futur. Alors que la capacité flexible à agréger et corréler les logs permet aux entreprises de surveiller simultanément les données issues de pare-feu, de terminaux et des DNS, les professionnels estiment qu’il subsiste toujours un manque à ce niveau pour les services Cloud, des protocoles DHCP et des honeypots.

Les services Cloud, une surface d’attaque à risque
Les services Cloud sont une surface d’attaque importante et à risque, puisque 79% des personnes sondées dans le cadre de l’étude Rapid7 déclarent utiliser au moins un service Cloud, particulièrement Office 365, Google Apps et Salesforce. Pour les cybercriminels, il s’agit de voler les identifiants pour accéder aux dossiers confidentiels placés dans ces services. Et à ce sujet, les professionnels sont 59% à signaler un manque de visibilité au niveau de la sécurité des services Cloud.

Léonard Dahan, Regional Sales Manager pour la région Europe du Sud de Rapid7 indique à DataSecurityBreach.fr que « les enseignements de cette étude démontrent que les équipes de sécurité doivent prioriser la détection des identifiants compromis et les comportements suspicieux, non seulement sur le réseau mais également en local sur les postes de travail, tout comme autour des services Cloud. Le point positif est que les entreprises continuent de s’équiper et de mettre en place des programmes de détection et de réponse à incidents. Mais les équipes de sécurité doivent également s’appuyer sur une approche qui leur permettra d’améliorer la précision des alertes détectées, d’accélérer les enquêtes post-incidents et de mettre en évidence les risques liés aux utilisateurs de leur terminal jusqu’au Cloud ».

backdoor, Bitcoin, Chiffrement, cryptage, Cybersécurité, Entreprise, escroquerie, Particuliers, ransomware

2015 : L’année du fléau Ransomware

55.8 % de tous les fichiers malveillants visant les internautes français contenaient une forme de ransomware.

Après avoir analysé des e-mails infectés visant des utilisateurs lors des douze derniers mois et détecté une proportion considérable de malwares de type ransomware, Bitdefender, société de technologies de sécurité Internet innovantes protégeant plus de 500 millions d’utilisateurs dans le monde entier, publie un aperçu de ce que pourrait être l’amplitude de cette menace.

En juin 2015, le FBI a lancé un avertissement à propos de Cryptowall 4.0, le décrivant comme le ransomware le plus « actif et menaçant, visant les particuliers et entreprises américaines ». L’étude de Bitdefender confirme cette tendance : 61,8% de toutes les attaques de malwares via e-mails aux États-Unis ont diffusé du ransomware (la plupart du temps Cryptowall et Cryptolocker).

En France, un peu plus de la moitié (55.8%) de tous les fichiers malveillants diffusés via e-mail contenaient une forme de ransomware.

À l’échelle mondiale, près du tiers des attaques de malwares par e-mails contenaient une forme de ransomware, dont la majorité aux États-Unis (11.9%) et environ 2% en France. Le reste des e-mails propageant d’autres types de malwares : chevaux de Troie, spywares et autres programmes malveillants.

Comme souvent, les internautes américains sont les plus ciblés par des infections ransomwares via mail (21.2%). La France arrive en 4e position des cibles privilégiées par les cybercriminels (3.85%).

Les cybercriminels à l’origine de ces ransomwares ont donc fait des États-Unis leur priorité, rejoignant ainsi les craintes des DSI américains davantage préoccupés par les ransomwares que par les menaces 0-day1. Ce pays représente en effet un marché hautement profitable pour ce type d’attaque. En 2015, les créateurs du tristement célèbre ransomware CryptoWall ont extorqué plus de 325 millions de dollars (près de 300 millions d’euros) aux victimes américaines, selon diverses études. Un des facteurs importants qui explique ces gains est l’utilisation d’algorithmes de chiffrement sophistiqués qui ne laisse bien souvent d’autre choix aux victimes que de payer la rançon. Le FBI lui-même a parfois encouragé des entreprises à payer.

Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l’un des plus importants vecteurs de cybercriminalité en 2016. Alors que certains pirates préfèrent l’approche du chiffrement de fichiers, certaines versions plus novatrices se concentreront sur le développement de « l’extortionware » (malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet).

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, Sauvegarde

Clé USB perdue pour un hôpital, 29 000 patients concernés

La fuite de bases de données peut prendre de multiples formes. La perte d’un support de stockage contenant des informations sensibles médicaux par exemple.

Ca n’arrive pas qu’aux autres – 29 000 patients de l’hôpital universitaire Arnett de l’Indianna viennent d’être alertés d’un problème concernant leurs dossiers médicaux. Le centre hospitalier a alerté la justice de l’Etat à la suite de la « perte » d’une clé USB. Dans le support de stockage de l’University Health Arnett Hospital, des informations de santé de milliers de patients. La clé n’était pas chiffrée, n’avait pas de mot de passe. Le document n’était pas protégé contre les lectures non autorisées. Plus grave encore, les données couraient de novembre 2014 à novembre 2015. Quid des autres sauvegardes et de la sécurité de ces dernières ?

A noter, qu’en France, ce mardi 11 janvier, un hébergeur Lillois a été attaqué par un pirate informatique Turc. Des cabinets dentaires, des sites d’infirmiers et infirmières Français ont été impactés par cette attaque. Impossible de savoir si des données sensibles ont été collectées par le malveillant.

BYOD, Cybersécurité, Entreprise, IOT

Les opérateurs telcos & FAI : des cibles de choix pour les pirates

Alors que le nombre de clients et d’objets connectés ne cesse de croître, les opérateurs de télécommunications et fournisseurs d’accès Internet (ISP) doivent plus que jamais assurer le service au client tout en protégeant leur système d’information des attaques informatiques. Ces entreprises doivent toujours fournir des services disponibles et très rapides à leurs clients, même lorsqu’ils sont sous une attaque de type DDoS. Cela suppose de posséder une infrastructure performante et sécurisée prenant en charge de nouvelles charges de travail et des applications comme la téléphonie mobile, le BYOD (Bring Your Own Device) et l’Internet des objets. Mais parviennent-ils à répondre à ces attentes ? Quelles sont leurs méthodes ?

On pourrait croire que les opérateurs et FAI sont les entreprises les plus averties et conscientes des enjeux liés à la sécurité de leurs serveurs DNS. Or, l’expérience montre que lors d’une attaque les systèmes de sécurité traditionnels qu’ils utilisent ne sont pas ou plus adaptés aux nouvelles menaces. L’approche traditionnelle des FAI consiste à empiler les serveurs et les équilibreurs de charge pour soutenir l’augmentation du trafic, même s’ils ne connaissent pas vraiment le profil du trafic et ignorent pourquoi il augmente. Les solutions de sécurité DNS traditionnellement utilisées fonctionnent à “l’aveugle” et ne sont pas en mesure de comprendre ce qu’est réellement le profil de trafic sur ces serveurs. Les applications actuelles sont toutes basées sur le protocole IP et si un serveur DNS ne répond pas avec la performance attendue ou si elle est trop faible, toutes les applications seront inaccessibles ! Une cyberattaque a donc un impact négatif très rapide et directe sur l’entreprise, ses utilisateurs et ses clients. Les entreprises de télécommunication et les FAI se rendent compte que la faible sécurité DNS dégrade Internet et la disponibilité mais n’ont pas la bonne visibilité pour
comprendre et gérer cette infrastructure.

Une sécurité DNS mal gérée pour les telcos
De nombreux opérateurs de télécommunications et fournisseurs de services Internet pensent que le blocage du trafic est LA solution aux problèmes de DNS. Malheureusement, les attaques sont de plus en plus sophistiquées et il est de plus en plus difficile de comprendre le modèle, la source ou la cible d’attaque. Toutefois, bloquer simplement le trafic peut conduire à bloquer celui d’un client important, d’une société ou même un pays si l’information nécessaire à la bonne prise de décison n’est pas disponible. Les récentes attaques sur Rackspace ou DNS Simple ont démontré la limite des solutions de sécurité classique et DDoS, pour protéger les services DNS. L’attaque DDoS du fournisseur de services Rackspace a paralysé ses serveurs DNS pendant 11 heures. Pour faire face à cette attaque, l’entreprise a bloqué le trafic qu’il pensait être à l’origine de l’attaque, malheureusement ils ont admis avoir bloqué aussi du trafic légitime venant de leurs clients. Le même mois, DNSimple fait face une attaque similaire et décide finalement de désactiver le mécanisme de sécurité DDoS du DNS pour retrouver un service normal de résolution de noms.

Dans les deux cas, les entreprises ont pris des mesures radicales qui prouvent que les solutions actuelles ne sont pas adaptées aux problématiques des services DNS et que les entreprises restent vulnérables.

Des attaques aux conséquences lourdes …
La sécurité du DNS est mal gérée dans de nombreuses organisations informatiques et l’écosystème de la menace est apte à lancer des attaques où le serveur DNS peut être la cible ou un vecteur pouvant entraîner :
– Échec ou lenteur de l’accès à des sites Web et des applications
– Reroutage du trafic Web vers des sites Web non-autorisés et potentiellement criminelles entraînant des vols de données, une fraude d’identité, …

Au-delà de ces dommages, les entreprises de télécommunications investissent énormément dans leur infrastructure (pare-feu, load-balancer, monitoring…) pour faire face aux cyberattaques. Or, ce genre d’administration et de dépenses peuvent paraître excessives quand ces solutions ne savent pas exactement ce qui se passe. Quand on ne peut pas voir la source d’une attaque, y répondre s’avère risqué .

… mais contournables
Un fait important : 95% du trafic se focalise sur un minimum de nom de domaines souvent demandés (Ex : google, Facebook, sites d’informations,…). Partant de ce constat, la priorité est d’être réactif pour assurer un accès à ses utilisateurs, quel que soit le cas de figure. On a pu mesurer qu’en moins de cinq minutes, un opérateur peut perdre l’accès à ces 95% de trafic ; un timing limité pour prendre conscience de l’attaque et prendre une décision pour la contrer efficacement.

Heureusement, certains fournisseurs et éditeurs de solutions de sécurité DNS ont développé des technologies pour voir l’attaque de l’intérieur, ils peuvent donc effectuer une analyse plus fine ; une analyse qui permet de proposer une sécurité adaptative ou graduelle. Dans les cas extrêmes, la solution consiste à ne plus répondre qu’avec les données en cache et refuser les requêtes inconnues. C’est 95% du trafic qui est ainsi traité, ce qui constitue une bonne alternative et permet de gagner du temps pour répondre à la menace. Serait-ce la solution miracle pour limiter l’impact d’une attaque ? Il serait alors possible de mettre à la corbeille les multitudes de pare-feu, serveurs et autres équilibreurs de charge, coûteux en terme de gestion et pesant lourd dans le budget des entreprises de télécommunication. (Par Hervé DHELIN, EfficientIP)