Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Entreprise, Fuite de données, spam

Les 12 pays émettant le plus de spams

Comme chaque trimestre, Sophos mesure le volume de spam envoyé dans le monde et publie le résultat des douze pays ayant émis le plus de spam. La Chine et les USA toujours en tête.

Ce dernier trimestre 2014 a été marqué par la poussée du spam issu de Chine, qui détrône les États-Unis de la première position qu’elle détenait jusqu’alors. La France n’apparaît pas dans ce tableau, car elle n’occupe que la quatorzième place avec 1,6% du spam émis au niveau mondial.

Ceci est une bonne nouvelle car ce classement ne reflète pas tant l’activité des créateurs de spam dans le pays, que la taille, l’infrastructure réseaux et surtout l’état de sécurité de son parc informatique. En effet, les créateurs de spam agissent très largement par l’intermédiaire de botnets, réseaux de systèmes piratés sous leur contrôle, qui relaient leur spam.

Les grands pays ayant un parc informatique important et des infrastructures réseaux développées occupent donc naturellement de ce fait des places élevées. Le seul moyen pour eux de descendre dans le classement est alors d’améliorer la sécurité de leur environnement. Mais ça, c’est une autre histoire !

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle

La sécurité informatique : un enjeu méconnu et sous-estimé – Partie II

Un commentaire

Avec l’actualité de ce début 2015, la sécurité informatique devient un sujet dont beaucoup de monde parle. Cependant, l’immense majorité des entreprises ne connaissent pas l’étendue des risques liés à la sécurité de leur site. Partie II : La sécurité informatique : un enjeu méconnu et sous-estimé.

  • Les boutiques fantôme

Enfin, certains pirates créent pour leur usage personnel, sur un site de e-commerce piraté, une « boutique fantôme ». Ils créent en réalité une nouvelle page, invisible pour les visiteurs normaux et pour l’entreprise, où ils installent leur boutique, en général de produits illicites ou obtenus illicitement. Ainsi, seuls les « connaisseurs » ont accès à cette boutique cachée, via l’URL qu’ils tapent directement. Ici également, le but est lucratif.

Dans tous les cas, le possesseur du site piraté est légalement responsable, même s’il n’est pas au courant de ce qui se trame dans son dos. C’est aussi très mauvais pour son image. Pour faire une analogie, c’est comme si un gérant découvrait, dans la cave de son restaurant de prestige, un réseau de prostitution. Même si le restaurant ignorait que sa cave était utilisée ainsi et que les organisateurs avaient fait forger une clé, il serait légalement responsable et son image en pâtirait.

Dans une moindre mesure, l’utilisation des ressources d’un site par un pirate peut également faire ralentir le site en question, qui aura moins de ressources à disposition pour satisfaire ses visiteurs légitimes. Cela peut avoir des conséquences très importantes : une perte de crédibilité pour un site institutionnel, une perte éventuelle de clients pour les industriels, une perte de revenus potentiels pour les e-Commerçants (57% des acheteurs en ligne abandonnent un site sur lequel ils ont l’intention d’effectuer un achat si la page met plus de 3 secondes à charger).

  • Attaque de données et confidentialité
    • Attaque sur les utilisateurs du site

Une fois qu’un pirate a pris possession d’un site, il peut modifier son code source. Il a donc notamment la possibilité de rajouter dans ce code source une « commande » qui cause le téléchargement d’un malware, ou virus, sur les appareils des visiteurs du site (ordinateur, tablette, smartphone…). Voir le cas du journal Forbes et la modification d’un de ces widgets. Ce virus permettra au pirate de prendre le contrôle de ces appareils ou de récupérer leurs données. C’est un bon moyen pour le pirate d’augmenter facilement et rapidement son parc de machines.

Là encore, cela donne une très mauvaise image du site, qui va perdre énormément de visiteurs, d’autant plus si c’est l’un d’entre eux qui révèle l’attaque suite à l’utilisation frauduleuse de ses données. De plus, un moteur de recherche tel que Google identifiera le site comme malveillant et agira en conséquence sur son référencement. Le moteur de recherche va prévenir les visiteurs que le site est douteux, ou même complétement leur bloquer l’entrée au site si la connexion n’est pas sécurisée.

  • Ciblage des codes sources

Avant d’explorer le sujet de la récupération des bases de données, arrêtons-nous sur un autre type de vol, moins connu : le vol de code source. En effet, certains sites web contiennent des codes source sensibles ou d’excellente qualité, qu’ils ne souhaitent pas voir dévoilés ou utilisés par un tiers ; c’est en réalité un vol de leur expertise. Un pirate peut par exemple créer une copie du site pour l’utiliser à des fins malveillantes, simplement imiter sa mise en page… Il va utiliser un code de qualité sans payer au développeur du code tout le travail de création, qui peut avoir été très long. Même si ce vol n’est pas aussi grave que celui d’un ensemble de numéros de carte bleue, il reste important à noter.

  • Vol de bases de données

L’une des plus grandes peurs des entreprises, à raison, est le vol de leur base de données. Enormément d’informations peuvent être récupérées : nom, prénom, informations familiales, nom des enfants et du conjoint, âge, numéros de carte bancaire, de carte d’identité, de sécurité sociale, habitudes d’achats… C’est ce qu’a vécu la boutique français LBO. On entend régulièrement parler de ce type d’attaques, ce n’est que la dernière en date officiellement divulguée.

Il est par exemple tout à fait possible de déterminer, via un site de réservations, quand une famille part en vacances afin de pouvoir aller cambrioler sa maison au bon moment. Cela se fait beaucoup actuellement et ces informations s’achètent facilement auprès des pirates. En fait, en recoupant plusieurs sources, on peut facilement tout savoir sur n’importe qui.

De plus, si un utilisateur s’enregistre sur un site piraté via un compte de réseau social (Facebook, Twitter…), le pirate aura également accès au compte en question, sur lequel il pourra publier du contenu non approuvé.

Les pirates peuvent également usurper l’identité des personnes présentes sur la base de données. Ils peuvent par exemple envoyer des e-mails en leur nom, à leurs amis, afin de tenter d’infecter leurs machines et d’en prendre le contrôle. Il n’y a aucune limite à ce qu’un pirate en possession de ces informations peut faire.

Là encore, c’est l’image du site qui est très affectée, et au-delà l’entreprise. Selon les Echos, en France, une entreprise perd en moyenne 4,5% de ses clients lorsqu’il est découvert qu’un incident a touché l’intégralité de ces données.

  • Fraude au paiement

Quand un pirate contrôle une machine, il peut y déposer un programme qui regarde et enregistre tout ce qu’il se passe sur le site correspondant. Ce programme est invisible sans analyse poussée du code source ; il est donc tout à fait possible que l’un d’entre eux soit déjà présent sur votre site. Il a ainsi accès aux identifiants et codes de tous les clients se connectant (ce qui constitue également un vol de données).

Il peut aussi prendre une commission sur toutes les transactions, ou même rediriger certains paiements vers son compte plutôt que celui de l’e-commerçant ; c’est ici du vol pur et simple.

Il lui est également possible de faire du shoplifting : le pirate va utiliser une faille pour ne pas payer le prix demandé par le commerçant, mais un prix qu’il aura fixé lui-même. Il pourra donc payer 1 € un produit qui vaut en réalité 200€. La transaction ayant été complétée sans problème à cause de la faille, l’e-commerçant recevra une confirmation de paiement sans erreur et ne se rendra compte de l’arnaque que trop tard. Une faille de ce type concernant les paiements via Paypal sous la plateforme Magento a d’ailleurs été révélée en 2012. Cette faille a bien sûr été corrigée depuis.

Le but ici est très clair : l’argent. C’est le moyen le plus direct pour un pirate d’en gagner.

  • Intrusion

Il est possible d’aller encore plus loin et de ne pas se limiter aux actions touchant le site web. Un pirate peut facilement atteindre le serveur interne de votre entreprise via celui de votre site internet. C’est ce que l’on appelle les attaques par rebond.

En fait, le serveur interne (physique) est souvent relié au serveur hébergeant le site internet via un tunnel VPN. Il s’agit d’une connexion (physique ou virtuelle) transmettant des données chiffrées, permettant au site web d’accéder à des informations contenues dans le serveur interne (par exemple, la base de données clients). Les entreprises s’imaginent que le chiffrement de leurs données suffit à protéger leur Intranet, et que dans le pire des cas seul leur site internet sera piraté.

Mais par l’intermédiaire de nombreux rebonds, il est tout à fait possible d’arriver jusqu’au serveur interne.

Ce risque n’est absolument pas hypothétique. Par exemple, Target a subi en 2014 un vol de données, touchant environ 100 millions de clients via son fournisseur de climatisation. Ce prestataire avait en effet accès au serveur interne de Target pour pouvoir réguler la température des locaux ; il a été la porte d’entrée du pirate.

Il s’agit donc ici d’avoir accès à toutes les informations sur l’entreprise, ses clients, ses locaux, ses employés…

Cela peut même aller jusqu’à l’atteinte physique de l’entreprise : au-delà des données privées et sensibles contenues dans l’Intranet, un pirate peut, par exemple, obtenir le chiffrage des badges d’accès aux locaux et ainsi en créer d’autres, laisser les portes ouvertes, fermer l’accès à tous les badges déjà existants… Cela peut également se traduire par la prise de contrôle du réseau interne : mainmise sur le service téléphonique, accès à l’ensemble des dossiers de l’entreprise (données confidentielles, stratégiques, RH…)

Toutes ces attaques et, en général, le contrôle d’une machine correspondant à un site internet par un pirate peuvent causer la faillite d’une entreprise. C’est ce qui est arrivé à la société MtGox, plateforme d’échange de monnaie virtuelle Bitcoin, après qu’une attaque informatique a causé la disparition de 750 000 bitcoins de clients et 100 000 appartenant à la société. Elle a déposé le bilan en février 2014.

  1. Les solutions pour protéger votre entreprise

Nous espérons que cet article vous a fait comprendre que toutes les entreprises et tous les sites sont vulnérables aux attaques, et que la sécurité n’est plus un « bonus » à remettre à plus tard, mais bien une nécessité urgente.

Heureusement, il existe des solutions pour se prémunir efficacement contre ces attaques. Prenons l’exemple de CerberHost, une solution développée par NBS System. C’est un Cloud privé de très haute sécurité, composé de 8 couches de protection logicielles et humaines, dont le périmètre de sécurisation s’étend du site web au matériel physique, en passant par les bases de données, l’applicatif, le réseau… Il garantit la sécurité des sites à 99,9%, grâce à une amélioration continue permise par l’équipe R&D. En effet, ces solutions doivent toujours s’adapter pour intégrer les nouveaux types d’attaques, dans un contexte toujours en évolution.

L’objectif, avec ce type de solutions, est de protéger les sites contre tous les cas possibles via une sécurisation optimale et en rendant les attaques trop chère, pénibles ou complexes afin de décourager les pirates et les faire changer de cible. Il est important de mettre votre site entre les mains de personnes compétentes et surtout spécialisées en sécurité, pour le bien de votre entreprise comme celui de vos clients.

Partie I : La sécurité informatique : un enjeu méconnu et sous-estimé.

 

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Mise à jour, Particuliers, Propriété Industrielle, Vie privée

Les objets connectés : maison en danger

La société HP vient de sortir une étude sur le top 10 des produits de sécurité vendus pour sécuriser sa maison. Caméra de vidéosurveillance et autres détecteurs de mouvement sans fil loin d’être des fort Knox.

L’entreprise américaine explique que tous les produits testés contiennent des vulnérabilités. Dans le lot des problèmes : authentification faible et manque de chiffrement. Gros écueil, selon HP, la non utilisation de la double authentification alors que ces matériels permettent d’être administrés et consultés à distance, via Internet par exemple.

La seconde inquiétude, la collecte des données personnelles allant du nom, adresse, date de naissance du propriétaire du matériel, ou encore, dans certains cas, numéro de téléphone et données de carte bancaire. L’Internet of Things a encore du chemin à faire pour fusionner la sécurité informatique à la course effrénée du marketing et de l’expérience de l’utilisateur. Avoir la plus belle robe et le clic facile ne devraient pas être prioritaires à ce qui permet de protéger la robe et le doigt.

Argent, Arnaque, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, escroquerie, Fuite de données, Mise à jour, Paiement en ligne, Particuliers, Propriété Industrielle

La sécurité informatique : un enjeu méconnu et sous-estimé

Un commentaire

Avec l’actualité de ce début 2015, la sécurité informatique devient un sujet dont beaucoup de monde parle. Cependant, l’immense majorité des entreprises ne connaissent pas l’étendue des risques liés à la sécurité de leur site. (Par NBS System pour DataSecurityBreach.fr)

Elles ne savent pas, à proprement parler, ce qu’implique le terme de « piratage ». Beaucoup d’entre elles s’imaginent, à tort, être à l’abri car leur site n’est pas très connu, ou qu’il ne contient pas de données sensibles…

Mais ce qu’il faut bien comprendre, c’est que la sécurité concerne tout le monde et que les attaques n’arrivent pas qu’aux autres. Si certaines sont ciblées (par exemple celle de Sony en 2014), la majorité des pirates fonctionnent par pur opportunisme.

On peut faire l’analogie suivante : l’Internet est un gigantesque parking, où chaque site est une voiture. Les personnes mal intentionnées n’ont qu’à passer parmi elles et essayer d’ouvrir les portières pour en trouver une qui ne soit pas fermée afin de la voler. Peu d’entre eux vont utiliser des outils pour cibler une voiture en particulier ; ils n’ont pas besoin de connaissances techniques pour essayer d’ouvrir des portières. Ils voleront toutes les voitures ouvertes à leur disposition, quelle que soient leur marque ou leur prix.

Les pirates informatiques fonctionnent de la même manière. Ils vont passer en revue tous les sites web en espérant trouver une faille sur l’un d’eux pour investir le site.

  • Ils n’ont pas nécessairement besoin de compétences techniques.
  • Il existe de nombreux outils informatiques (légaux ou non) leur permettant de scanner la toile et de repérer très facilement des vulnérabilités.
  • Ils visent large pour être sûrs de toucher le plus de cibles possible.

C’est également pourquoi la taille ou la renommée du site importent peu ; s’il y a une faille sur votre site, il sera piraté un jour ou l’autre.

Il est important que les entreprises se rendent compte qu’on ne peut jamais garantir la sécurité de son site à 100% et encore moins la qualité de son code. En effet, même si le code est écrit par des professionnels très doués, ces derniers sont rarement experts en sécurité et restent, malgré tout, des humains : des êtres faillibles. Il faut donc rester humble ; il n’existe pas de code parfait et tous les développeurs sont voués à faire des erreurs. Par exemple, en 1996, la fusée Ariane a explosé en vol à cause d’une erreur de programmation, autrement dit une erreur de code. C’est la preuve que même l’ESA (Agence Spatiale Européenne), dont les membres sont très compétents et parmi les meilleurs mondiaux, n’est pas infaillible. Votre développeur peut-il se targuer d’avoir le même niveau de compétences ?

Aujourd’hui sur Internet il y a des millions, voire des milliards, de failles existantes et pas encore découvertes ; c’est une certitude ! L’une, voire plusieurs d’entre elles est peut-être sur votre site, ou bien sur l’un de ceux que vous consultez régulièrement… L’enjeu est donc de prendre conscience de cette situation, et de se protéger afin d’éviter les attaques qui, nous le rappelons, peuvent toucher tous les types de sites, et ont des répercussions importantes sur l’image de l’entreprise et ses bénéfices.

  1. Le piratage, comment ça marche ?

Il peut être très facile d’accéder aux données d’un site web via une faille. Or, accéder aux données, c’est accéder au serveur sur lequel est hébergé le site, c’est-à-dire la machine contenant toutes les informations et ressources utilisées pour le fonctionnement du site. Il existe de très nombreux moyens d’y arriver ; nous allons ici détailler l’un de ces moyens, très simple, appelé l’énumération d’identifiants.

Imaginons le site web « http://www.monsiteweb.com », site web d’une compagnie d’assurance. Pour pouvoir utiliser l’interface, le visiteur doit s’identifier et créer un compte, comprenant ses informations (telles que nom, prénom, adresse, etc…). La base de données lui administrera alors un identifiant : 12345678 par exemple.

Une fois identifié, si le visiteur souhaite modifier son adresse suite à un déménagement, il se rendra sur la page des paramètres de son compte. Dans de nombreux cas, peut-être le vôtre, le site affiche dans son URL l’identifiant du client :

Imaginons maintenant que le visiteur soit un pirate. Grâce à la présence de l’identifiant dans l’URL, il trouvera sur cette page uniquement les informations le concernant ; il comprend donc que pour les autres utilisateurs, le fonctionnement est identique. S’il modifie l’identifiant dans la barre d’adresse, en remplaçant le 8 à la fin par un 9 par exemple, et que le code source du site contient une faille et ne bloque pas sa requête, il aura accès aux informations correspondant au compte n°12345679.

Mais s’il a accès à ce compte, cela signifie qu’il a potentiellement accès à tous les autres comptes et donc à la base de données du site toute entière. Rien qu’avec la barre d’adresse, il est donc possible d’accéder à un serveur et de contourner sa sécurité. Cela peut être aussi simple que cela. Un adolescent aujourd’hui peut avoir les compétences suffisantes pour mettre en œuvre cette attaque ! De nombreux tutoriels existent même sur Youtube permettant à n’importe qui d’acquérir les connaissances de base pour mettre en place des attaques simples de ce genre.

Bien qu’il existe de nombreuses autres techniques plus complexes, celle décrite ci-dessus fait partie d’un grand nombre de méthodes triviales et à la portée de tous

Il est important de comprendre cela car une fois que le pirate a accès à la machine, il peut élever ses privilèges et obtenir autant de pouvoir que l’administrateur de celle-ci. C’est-à-dire qu’il pourra littéralement faire tout ce qu’il souhaite avec les informations et les ressources à sa disposition. Il existe plusieurs types d’attaques, chacune avec des objectifs et des impacts différents, mais aux conséquences toujours graves.

  1. Les différents types d’attaque
    • Défiguration d’un site web

C’est le type d’attaque le plus visible, même si c’est techniquement le moins dangereux. La défiguration ou défacement de site web (defacing en anglais) consiste à modifier une ou plusieurs pages d’un site, par exemple la page d’accueil, en la remplaçant par une image, du texte…

Ces attaques sont plutôt simples à réaliser et ne nécessitent pas de compétences techniques très développées. Les pirates utilisent simplement un outil scannant les sites un par un et repérant des vulnérabilités afin de les exploiter grossièrement.

En général, la page de remplacement affichée pendant l’attaque contient le nom du pirate et un message. En effet, par ces défigurations les pirates cherchent uniquement leur visibilité. Ils souhaitent faire passer un message en général politique, ou bien veulent de la reconnaissance. Plus de 20 000 sites, dans le cadre de l’opération OpFrance, se sont fait pirater de cette manière. L’opération a commencé le 18 janvier mais aujourd’hui encore, certains sites affectés sont toujours en maintenance. Si ces attaques ne sont pas dangereuses sur le long terme, elles ont un gros impact en termes d’image pour le site attaqué.
 

  • L’exploitation des ressources d’un site web

Les attaques que nous allons décrire dans ce point et les points suivants sont beaucoup plus dangereuses, notamment parce qu’elles ne sont pas facilement repérables par le site attaqué. Si vous subissez une attaque, dans 90% des cas vous en serez informé par un tiers (source : 2012 data breach investigations report, Verizon, 2012) ; ce sont soit les autorités, soit un client, partenaire ou prestataire qui aura été une victime indirecte de l’attaque subie. Cela cause en général une énorme chute de confiance en l’entreprise. C’est d’ailleurs une des raisons pour laquelle, comme montré sur la figure 1 le délai de découverte de plus de la moitié des attaques se compte en mois.

Dans le cas de l’exploitation des ressources d’un site web, tout est dans le titre. Le pirate, ayant gagné accès au serveur du site, va utiliser les ressources de la machine correspondante (processeur, mémoire, bande passante) pour son propre compte. Il pourra cependant rester dans l’anonymat et se prémunir des risques légaux, puisque c’est le site web piraté qui sera légalement responsable des actions effectuées avec ses ressources.

En l’occurrence, le pirate va souvent les revendre, pour plusieurs usages : l’envoi de SPAM, les DoS (attaque par déni de service, empêchant l’accès à un site), le déchiffrement de données et les boutiques fantôme.

  • L’envoi de SPAM

Il faut savoir que chaque machine possède une adresse IP qui lui est propre, et que l’on fait correspondre au(x) site(s) web hébergés dessus. Quand trop d’e-mails sont envoyés depuis une machine, celle-ci est « marquée » comme malveillante et les envois sont bloqués. En envoyant les courriers SPAM depuis l’adresse IP du/des sites piratés, l’envoi se fera sans blocage. Ainsi, utiliser l’IP d’une autre machine en achetant ses ressources est un moyen de contourner cela, jusqu’à ce que la/les machine(s) piratée(s) soit elle aussi considérée comme malveillante

Si cela vous arrive, vous ne pourrez plus envoyer aucun e-mail depuis votre nom de domaine ou votre adresse IP. Votre hébergeur aura également la possibilité de clôturer votre compte.

De plus, légalement, le spamming peut être puni de 5 ans d’emprisonnement et de 300 000 euros d’amende (Article 226-18-1 du Code Pénal).

  • Les DoS

Dans le cas des DoS, l’utilisation d’une machine infectée permet l’anonymat de la personne ayant commandé une attaque DoS vers une cible tierce, ou de multiplier la puissance de l’attaque en y ajoutant les ressources d’un ou plusieurs autres ordinateurs. Ici, le but est purement lucratif. Là encore, les sanctions légales sont importantes : selon l’article 323-2 du Code Pénal, « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de 5 ans d’emprisonnement et de 75 000 euros d’amende ».

  • Le déchiffrement de données ou mots de passe

Il est également possible d’utiliser les ressources du serveur infecté comme puissance de calcul afin de deviner des mots de passe ou déchiffrer des données, via la méthode bruteforce. Il s’agit de faire tester à une machine toutes les combinaisons possibles jusqu’à tomber sur la bonne. Plus le nombre de machines utilisées augmente, plus les ressources sont importantes, et donc plus le temps de résolution sera court. Ici, le but est majoritairement la récupération de données, pour les utiliser ou les revendre (ce type d’attaque sera traité plus tard dans l’article).

Dans les trois cas cités, le but du pirate est de prendre le contrôle d’un maximum de machines pour monnayer ces ressources.

Partie II : La sécurité informatique : un enjeu méconnu et sous-estimé.

 

Argent, Arnaque, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Faille de taille pour Internet Explorer 11

3 commentaires

Une faille vise le navigateur de Microsoft, Internet Explorer 11. Un XSS qui permet d’injecter des cochonneries numériques lors de votre visite d’un site piégé.

Les Cross-sites scripting, le site zataz.com vous en parle malheureusement très souvent. Cette vulnérabilité, baptisée XSS, permet de modifier une page d’un site web lors de la visite de ce dernier via un url particulièrement formulé, d’injecter un code malveillant dans l’ordinateur d’un internaute et de nombreuses autres possibilités aussi malveillantes les unes que les autres.

Aujourd’hui, c’est au tour du navigateur de Microsoft, Internet Explorer 11, de souffrir du problème. Un pirate peut contourner le « same-origin » du navigateur. Bilan, comme l’explique sur SecList l’inventeur de la faille, David Leo, un pirate peut diffuser ce qu’il veut dans le navigateur d’un visiteur ainsi piégé. Une démonstration a été faite dans les pages du journal britannique Daily Mail. Microsoft a confirmé la faille.

Pour « corriger » ce problème, il suffit aux webmasteurs de modifier leurs pages web, et de passer l’en-tête X-Frame-Options avec la valeur ‘deny’ ou ‘same-origin’. Bilan, plus aucune possibilité de CSS. A noter que la firme de Redmond a été alertée en octobre 2014 et n’a toujours pas patché son navigateur.

backdoor, BYOD, Cloud, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage

État des lieux de la sécurité sur internet du 4ème trimestre 2014

Sale ambiance numérique pour le dernier trimestre de 2014. Akamai indique que le nombre d’attaques DDoS a pratiquement doublé en un an ; le trafic DDoS a diversifié ses sources à l’échelon mondial et que près de la moitié des attaques DDoS ont exploité plusieurs vecteurs.

Akamai Technologies, l’un des principaux fournisseurs de services de cloud, d’optimisation et de sécurisation de contenus en ligne et d’applications professionnelles, annonce la publication du rapport « Etat des lieux de la sécurité sur internet » du 4ème trimestre 2014 sur les attaques DDoS. Produit par le PLXsert (Prolexic Security Engineering and Research Team), aujourd’hui rattaché à Akamai, qui rassemble des experts des services et stratégies de protection contre les attaques DDoS et de sécurisation cloud, il livre une analyse trimestriel et un éclairage sur les cyber-menaces et attaques à l’échelle mondiale, y compris sur les attaques DDoS observées sur le réseau PLXrouted.

« Un nombre impressionnant d’attaques DDoS ont eu lieu au 4ème trimestre, près du double par rapport à ce que nous avions observé à la même période un an plus tôt », souligne à DataSecurityBreach.fr John Summers, vice president, Security Business Unit chez Akamai. « Le déni de service est une menace répandue qui vise de nombreuses entreprises. Le trafic d’attaques DDoS n’a pas été cantonné à un secteur donné, comme celui du divertissement qui a pu faire la une des medias en décembre. Les attaques ont, au contraire, porté sur de multiples secteurs d’activité. »

Akamai a également observé une hausse de 52 % du débit moyen des attaques DDoS en comparaison du 4ème trimestre de l’année précédente. De volumineux paquets de trafic indésirable peuvent très vite anéantir la capacité d’une entreprise à traiter les requêtes légitimes de ses clients, et ce déni de service entraîner ainsi des pannes. Or, la plupart des sites non protégés sont incapables de résister à une attaque DDoS classique. Par conséquent, les attaques DDoS font aujourd’hui partie intégrante du paysage des menaces et de la cybersécurité que toute entreprise présente sur le Net se doit d’anticiper dans une évaluation des risques.

Le phénomène DDoS-for-hire et la montée en puissance des attaques par réflexion et multi vecteurs. Les suites de booters DDoS-for-hire, ont engagé peu de moyens puisqu’elles ont mis à profit des attaques DDoS par réflexion. Près de 40 % des attaques DDoS en tous genres ont fait appel à ces techniques, qui s’appuient sur des protocoles Internet pour générer un trafic en réponse considérablement amplifié et dispensent le hacker de prendre le contrôle du serveur ou du device.

La généralisation de services DDoS-for-hire a permis à des hackers amateurs d’acheter ces services prêts à l’emploi. L’essor de ce marché a également été propice à l’utilisation de campagnes multivectorielles, l’innovation des attaques étant stimulée par la concurrence. Les attaques multivecteurs observées ont été considérablement plus nombreuses – en hausse de 88 % par rapport au quatrième trimestre 2013. Plus de 44 % des attaques de toute nature ont exploité plusieurs vecteurs.

Répartition mondiale des cibles et des sources d’attaques DDoS
Le rythme des attaques DDoS a été plus homogène au 4ème trimestre lié à un nombre croissant de cibles importantes dans des zones géographiques jusqu’alors sous-représentées. Par ailleurs, l’origine géographique du trafic malveillant s’est déplacée. Les États-Unis et la Chine ont continué à répondre de la plupart du trafic DDoS, mais à la différence du 3ème trimestre 2014 marqué par la domination du groupe BRIC (Brésil, Russie, Inde et Chine), le trafic d’attaques DDoS, au 4ème trimestre 2014, a émané, pour l’essentiel, des États-Unis, de la Chine et de l’Europe occidentale. Quelques faits et chiffres marquants :

Par rapport au 4ème trimestre 2013
– Nombre d’attaques DDoS : + 57 %
– Débit crête moyen : + 52 %
– Nombre crête moyen de paquets par seconde : – 77 %
– Attaques de couches applicatives : + 51 %
– Attaques de couches d’infrastructure : + 58 %
– Durée moyenne des attaques : + 28 %
– Nombre d’attaques multivecteurs : + 84 %
– Attaques à plus de 100 Gb/s : + 200 % (9 contre 3)

Par rapport au 3ème trimestre 2014
– Nombre d’attaques DDoS :+ 90 %
– Débit crête moyen des attaques : + 54 %
– Nombre crête moyen de paquets par seconde : – 83 %
– Attaques de couches applicatives : + 16 %
– Attaques de couches d’infrastructure : + 121 %
– Durée moyenne des attaques : + 31 %
– Nombre d’attaques multivecteurs : + 38 %
– Attaques à plus de 100 Gb/s : – 47 % (9 contre 17)

Les botnets à la loupe
Les logiciels malveillants sont souvent utilisés pour favoriser la propagation des botnets DDoS. Leurs caractéristiques – infection multiplate-forme, détection du système d’exploitation et maliciels destructifs – sont exposées dans le Rapport de sécurité. Akamai a, par ailleurs, défini le profil de plusieurs botnets d’attaques visant des applications web au moyen d’une nouvelle technique d’analyse tirant parti de données glanées sur Akamai Intelligent Platform™. Les botnets en question visaient à automatiser la découverte de vulnérabilités dans ces applications web face à des attaques par injection de commandes RFI (Remote File Inclusion) et OS (Operating System). Les experts Akamai ont établi leur profil en isolant des URL et charges utiles de code malveillant identiques entre des attaques apparemment sans lien. Une charge utile a servi à regrouper les données et à cartographier l’activité des botnets, les acteurs en lice et les applications web victimes de ces attaques. Cette technique de profilage permettra de recenser d’autres sources d’attaques.

Neutralisation des bots, scrapers et autres spiders
Si les attaques par déni de service ralentissent considérablement les performances d’un site, les robots d’indexation ont, eux aussi, une incidence, mais dans un degré moindre. Les plus mal codés peuvent même s’apparenter à du trafic DDoS. Akamai établit un classement des robots d’indexation en fonction de leur intérêt et de leur impact sur les performances des sites. Le Rapport de sécurité documente la hiérarchisation et la neutralisation de leurs effets.(Le rapport)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde

Comment préserver les données confidentielles de sa messagerie ?

Google a récemment révélé à trois journalistes de Wikileaks que l’entreprise avait du fournir au FBI le contenu de leurs messageries suite à un mandat de perquisition resté secret. Une opération plutôt indélicate qui aurait pu être en partie contrée.

Lorsque l’on aborde la sécurité des données, on parle souvent de protection contre les cybercriminels ou contre les employés peu scrupuleux, prêts à partager les informations confidentielles de l’entreprise. On oublie souvent l’aspect juridique. Il arrive en effet que dans le cadre d’une enquête ou d’une procédure judiciaire, la justice donne accès à tout ou partie des données d’une entreprise ou d’une personne.

C’est la mésaventure qui est récemment arrivée à trois journalistes de Wikileaks qui ont été informés par Google, que ce dernier avait été contraint de fournir le contenu de leurs messageries et potentiellement d’autres informations sur eux au FBI. Cette démarche qui reste relativement exceptionnelle faisait suite à un mandat de perquisition secret.

Sans les révélations de Google, peu de chance que les journalistes eussent été informés. Cela pose néanmoins un problème de confiance. Comment se fait-il que Google ai attendu deux ans avant d’informer les journalistes de cette requête et qu’a-t-il fait de concret pour protéger les données de ses utilisateurs ? Certains rétorqueront qu’il ne fallait pas faire confiance à Google et à sa messagerie gratuite – « si c’est gratuit vous êtes le produit ». Néanmoins, entre une utilisation marketing de certaines informations stipulées dans les conditions d’utilisation et les révélations de ces informations dans le plus grand secret, il y a quand même une différence.

Comment protéger ses données sur le web ?
Aujourd’hui les données d’une entreprise ou des personnes sont stockées en plusieurs endroits : serveurs, disques externes, services Cloud et les différents terminaux (PC, tablettes, téléphones). Difficile d’assurer la sécurité de tous les terminaux à tout moment et d’être totalement sûr de la fiabilité de la protection assurée par les services tiers susceptibles d’être utilisés. Reste alors la solution de protéger la donnée elle-même.

Le chiffrement, une solution idéale !
Comme le définit Wikipedia « Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. ». Le chiffrement présente donc un réel intérêt pour les entreprises ou les particuliers qui souhaitent protéger leurs données et les rendre illisibles, même (et surtout) en cas de vol. Il faudrait en effet déployer des efforts considérables et utiliser un matériel tel qu’un supercalculateur, pour avoir une chance de déchiffrer des données chiffrées obtenues de manière frauduleuse.

Une fois chiffrées, les données, où qu’elles se trouvent, ne peuvent effectivement être lues que par les personnes ayant connaissance du mot de passe. Qu’elles soient dans le périmètre de l’entreprise, dans le cloud, sur une clé USB ou qu’elles soient échangées par mail ou tout autre moyen, les données chiffrées resteront constamment protégées. Seul le détenteur de la clé de chiffrement pourra accéder au contenu des fichiers garantissant ainsi leur totale sécurité.

Et en cas de requête judiciaire ?
Pour en revenir au sujet des journalistes de Wikileaks, le chiffrement n’aurait pas empêché la justice d’obliger Google de livrer des données privées au FBI. Toutefois, sans la clé il est quasiment certain que le FBI aurait été incapable de lire ces dernières. De plus, si la justice peut vous contraindre à fournir votre clé, au moins vous êtes informé de la démarche et en mesure de pouvoir intervenir et de faire appel à un avocat.

Sur quels critères choisir sa solution de chiffrement ?
Le choix d’une solution de chiffrement doit être effectué avec soin. Mieux vaut éviter les solutions de chiffrement non validées ou gratuites dont la fiabilité n’est pas complètement garantie. Idéalement une entreprise devra porter son choix vers une solution certifiée par des organismes reconnus tel que l’ANSSI. Ensuite, il faut que cette solution garantisse à l’entreprise ou à l’utilisateur, et uniquement à ce dernier, la totale responsabilité en ce qui concerne la gestion des clés. Le chiffrement doit se faire sur votre système avec la clé conservée en interne. Si vous décidez d’opter pour le chiffrement et que vous restez maître de vos clés, alors la sécurité de vos données sera pleinement garantie. Des solutions telles que Zed! permettent à des utilisateurs de chiffrer très facilement des données confidentielles et de les échanger en toute sécurité que ce soit par mail, par téléchargement FTP ou au travers de solutions de type Cloud. Seuls les détenteurs de la clé permettant d’accéder aux données seront en mesure de lire ces dernières. Les données confidentielles sont ainsi protégées à tout moment, où qu’elles soient. Par Xavier Dreux, Responsable Marketing Prim’X.

Emploi, Entreprise, ID, Identité numérique, Particuliers, Propriété Industrielle

Bon plan

Découvrez les dernières innovations technologiques le 14 et 15 mars au Grand Palais de Lille.

Google Glass, Oculus Rift, objets connectées, imprimantes 3D, drones… L’innovation, ce n’est pas qu’en Californie ! Le 14 et 15 mars, vous aurez l’opportunité d’essayer ces technologies du futur lors de la 3ème édition du salon HelloWorld!.

Le Forum HelloWorld! est le salon Lillois consacré aux nouvelles technologies. C’est un véritable moment d’échange, où les professionnels issus du numérique  et le grand public se côtoient pendant deux jours. L’innovation est mise à l’honneur, et permet aux visiteurs de découvrir les nouvelles créations et tendances. Des grandes entreprises comme Microsoft, IBM ou OVH aux jeunes startups, ce ne sont pas moins de 30 exposants qui présenteront les nouveautés sur 1500 m².

De nombreuses animations et tests auront lieu : tests des Google Glass, de l’Oculus Rift, de montres et bracelets connectées, de drones Parrot, tests de plusieurs jeux vidéo en avant-première. Envie d’aller plus loin ? Certaines entreprises prestigieuses et d’envergures mondiales ouvriront leurs portes. N’oubliez pas d’amener votre CV, comme l’ont fait plus de 200 étudiants l’an dernier !

Un tournoi LAN de jeux vidéo inter-écoles, la HelloWorld!CUP, sera organisée en parallèle. Des étudiants de toute la France viendront représenter leurs écoles et s’affronteront pour tenter de remporter 10000€ de lots sur les célèbres jeux League of Legends et HearthStone. Ce moment de convivialité et de festivité sera commenté par des professionnels de l’eSport, et des pizzas et boissons seront distribués gratuitement à tous les joueurs.

le salon du numérique se déroulera du 14 au 15 mars à Lille Grand Palais de 9h à 18h. Entrée Gratuite.

Emploi, Entreprise, Sauvegarde

e-reputation des entreprises et des administrations

Une norme internationale – ISO 20488 – se prépare et la France est en tête de pont. Le comité technique international de normalisation « réputation en ligne » (ISO) a été créé à l’initiative de la France. AFNOR appelle tous les professionnels français de l’e-reputation à rejoindre la commission créée pour participer à la diffusion de leur savoir-faire dans le monde.

A l’international, les entreprises partagent toutes les mêmes problématiques. Leur réputation est désormais liée à la digitalisation des comportements des consommateurs. Les clients décident de ce qu’elles sont, ils le partagent à toute heure et dans toutes les langues. Le besoin de capitaliser sur les pratiques des professionnels d’e-réputation est partagé au niveau international. En mettant en commun leur savoir-faire en commission de normalisation AFNOR, les français pourront participer à la définition des outils et des méthodes de référence internationales de demain. Par des normes d’application volontaire, toutes les parties prenantes pourront partager des bonnes pratiques, et donc les faire connaître.

Les premières pistes de réflexion
·      Elaborer à l’échelle internationale une méthode fiable de traitement des avis de consommateurs,
sur la base de la 1ere norme française qui a ouvert la voie en 2013.
·      S’accorder sur un glossaire commun sur la e-réputation des organisations publiques et privées.
·      Etudier le rôle des médias sociaux et des autres outils dans les débats de normalisation.

D’abord renforcer la commission de normalisation française
La France est au coeur de norme internationale du projet pour plusieurs raisons.

1 – Son avance avec la 1ere norme française internationalement reconnue, publiée en 2013.

2 – Le pilotage du projet international confié à un français, Laurent Petit dialogue & digital skills manager de Décathlon et président du comité technique ISO « online reputation ». Son rôle : susciter un travail constructif entre tous les pays volontaires, créer un consensus, et  encourager d’autres pays à s’investir dans les travaux…

3 – La France s’engage aussi avec la volonté de diversifier la commission de normalisation nationale qui défendra nos couleurs dans les discussions internationales. Les représentants des voyagistes et des hôteliers, déjà très présents, doivent être rejoints par des professionnels de la e-reputation car la France a un vrai savoir-faire en la matière.

Les représentants de l’automobile, des nouvelles technologies, des équipements sportifs, des médicaments, du secteur des services, du secteur bancaire ont toute leur place au sein de la commission française.

Qui compose le comité de l’ISO sur l’e-reputation piloté par La France ?
27 pays représentés par des entreprises, des administrations et des associations de consommateurs. 9 ont le statut de participants actifs (Allemagne, Canada, Chine, Espagne, Finlande, France, Malaisie, Royaume-Uni et République Tchèque) ; 18 sont des observateurs, parmi les quels le Brésil, le Japon et l’Inde. Cette liste est appelée à évoluer selon les choix stratégiques opérés par les parties intéressées.
Le rôle d’AFNOR est de contribuer aux travaux des instances de normalisation européenne et internationale où 87% des normes volontaires, disponibles en France, ont été réalisées en 2014.

Les initiatives prises par les parties prenantes, les bureaux de normalisation sectoriels et AFNOR ont permis, en 2014, de maintenir la France en 2ème position en Europe et en 3ème place au niveau mondial (devant le Royaume-Uni et le Japon) en termes d’exercices de responsabilités au sein des instances de normalisation. Pour rejoindre la commission de normalisation française E-reputation.

Qu’est-ce qu’une norme volontaire ?
A la différence de la réglementation, une norme volontaire est une méthode de référence élaborée à la demande et avec le concours actifs des parties intéressées, réunies de manière représentative (industriels, consommateurs, associations, syndicats, collectivités locales…) par AFNOR. Elle est d’application optionnelle, sauf si la réglementation l’impose (1% des cas). Les normes volontaires fournissent des principes et des exigences pour une activité ou ses résultats. Elles sont revues systématiquement et a minima tous les cinq ans. Les utilisateurs décident de leur maintien, de leur mise à jour ou de leur annulation.

Les normes volontaires en chiffres
33 614 normes volontaires étaient disponibles à fin 2014. 756 nouvelles normes ont été publiées en 2014 (87% d’origine européenne ou internationale). 1 249 ont été mises à jour et 1790 ont été supprimées.

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Piratage, Propriété Industrielle

Nouvelle vulnérabilité zero-day dans Adobe Flash

Un commentaire

Trend Micro, éditeur de logiciel et solutions de sécurité, a identifié le week-end dernier une nouvelle vulnérabilité 0day affectant Adobe Flash Player, la troisième depuis le début de l’année ! Confirmée par Adobe mais pas encore patchée, cette faille expose plus d’un milliard d’ordinateurs utilisant la dernière version d’Adobe Flash.

Dans un post publié hier sur leur blog, les chercheurs de Trend Micro expliquent que cette vulnérabilité est semblable à celle de la semaine dernière, qui affectait les produits Flash pour Windows. Les attaques sont en effet menées via des publicités en ligne malveillantes, une technique appelée « malvertising ».

L’attaque révélée hier est en cours depuis le 14 janvier et s’est intensifiée à partir du 27 janvier. 3 294 compromissions ont déjà été détectées par les chercheurs sur l’un des sites concernés. Dailymotion.com est l’un des premiers sites où ces attaques ont été détectées.

« Il s’agit de la troisième vulnérabilité découverte depuis le début de l’année dans ce logiciel très répandu chez les particuliers et au sein des entreprises ! Un incident qui rappelle l’importance du Virtual Patching », commente à DataSecurityBreach.fr Loïc Guézo, de chez Trend Micro. « Cette démarche est essentielle pour compenser le temps nécessaire à l’éditeur concerné pour publier son patch correctif. Des délais parfois très longs ! De plus, certains patches sont incorrects, comme c’est arrivé avec Heartbleed, ou n’arrivent tout simplement jamais si les systèmes ne disposent plus de support, comme c’est le cas pour les anciennes versions de Windows. »

Il est recommandé aux entreprises ne disposant pas d’un système de sécurité adéquat de désactiver Adobe Flash Player en attendant qu’un patch de sécurité soit disponible. Data Security Breach en profite pour vous rappeler de vous méfier des fausses mises à jour [lire].