Archives de catégorie : Cyber-attaque

Argent, backdoor, Cyber-attaque, Fuite de données, Paiement en ligne, Virus

Neverquest, un trojan qui pourrait bien gâcher les fêtes de Noël

L’éditeur de solutions de sécurité informatique Kaspersky Lab vient d’identifier un programme malicieux « capable d’attaquer n’importe quelle banque dans le monde », selon ses créateurs. D’après les experts Kaspersky Lab, plusieurs milliers de tentatives d’infection ont déjà été enregistrées et 28 sites bancaires sont pour le moment concernés, y compris en Allemagne, en Italie et en Turquie. C’est au mois de juillet de cette année que les chercheurs ont découvert l’existence de ce cheval de Troie bancaire après avoir vu une annonce pour la vente d’un nouveau cheval de Troie sur un forum clandestin. Le vendeur le présentait comme un bot privé capable d’attaquer près de 100 banques américaines via l’insertion d’un code dans les pages de leur site pendant le chargement dans différents navigateurs.

Baptisé Neverquest, ce trojan prend en charge pratiquement toutes les techniques connues et utilisées pour passer outre les systèmes de sécurité des banques en ligne : injection Web, accès système à distance, social engineering, etc. Au regard de sa capacité à se dupliquer, une augmentation rapide des attaques Neverquest est à prévoir, avec donc de nombreux préjudices financiers.

Serge Golovanov, expert chez Kaspersky Lab, signale que « ce programme malveillant est relativement récent et les individus malintentionnés ne l’utilisent pas encore à pleine capacité. Les individus malintentionnés peuvent obtenir le nom d’utilisateur et le mot de passe saisis par l’utilisateur et modifier le contenu de la page Internet. Toutes les données que l’utilisateur saisit sur cette page modifiée sont également transmises aux individus malintentionnés.« 

L’argent volé est transféré sur un compte contrôlé par les individus malintentionnés ou, pour brouiller les pistes, sur le compte d’autres victimes. Vu les capacités de Neverquest en terme de diffusion automatique, le nombre d’utilisateurs attaqués pourrait augmenter sensiblement en un bref laps de temps.

Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Téléphonie

Encore des prédictions sécurité pour 2014

Alors que la fin d’année approche, Symantec publie ses prévisions annuelles pour 2014 en matière de sécurité informatique. Voici les grandes tendances qui attendent les utilisateurs, particuliers comme entreprises, et ce qu’elles impliquent.

1.      Les utilisateurs et les entreprises vont enfin prendre des mesures concrètes pour garantir la confidentialité de leurs données
En 2013, les problèmes de confidentialité ont fait les gros titres, amenant les individus et les entreprises à prendre conscience de la quantité d’informations personnelles qui sont partagées et recueillies chaque jour par un nombre incroyable de personnes, allant du médecin au réseau social. Il est donc fort probable que la protection des données confidentielles devienne une fonctionnalité à part entière des produits existants et à venir. Par la suite, au-delà de 2014, la question sera de savoir si oui ou non une fonctionnalité assure une réelle protection de la vie privée. Il y a fort à parier que Tor, application qui garantit l’anonymat en ligne, saura très vite séduire l’ensemble des internautes. L’adoption de pseudonymes ou de faux noms sur les réseaux sociaux sera plébiscitée par les utilisateurs qui souhaitent protéger leur vie privée. Qui mènera la danse ? Les adolescents. Ils tiennent à protéger leur vie privée, et pas seulement vis-à-vis de leurs parents. Dans ce contexte, de plus en plus d’internautes se tournent vers de nouveaux réseaux sociaux de niche pour communiquer avec leurs amis dans l’ombre. Une tendance qui en amène une autre…

Protéger ses informations confidentielles et son identité s’applique non seulement pour les particuliers mais également pour les entreprises et administrations. En 2014, les organisations au sens large continueront leur démarche de protection de ce qui compte pour elles : leurs données critiques. Avec la profusion d’offres et de technologies existantes, elles devront déterminer celles qui seront le plus ou le mieux adaptées à leur cas de figure. Le cas échéant, leur implémentation pourrait s’avérer contre-productive et ne protéger que partiellement ou inutilement leurs données, voire les chiffrer mais les rendre indéchiffrables pour le détenteur des données. Autre tendance forte : la nécessaire protection de l’identité de ces entreprises : la compromission d’identités et le hacking de moyens de communication publics ont déjà été notés en 2013 et se répèteront probablement l’an prochain, avec des conséquences potentiellement graves pour leur réputation et les prises de décisions économiques basées sur l’information.

2.      Les escrocs, collectionneurs de données, s’intéresseront au moindre réseau social, aussi obscur soit-il – en parallèle des cyber-pirates, l’émergence de cyber-corsaires
Il est tentant de croire qu’en changeant d’environnement, les problèmes s’envolent. Cela ne se passe pas comme cela dans la vie réelle, et encore moins sur les réseaux sociaux. Dès lors qu’un nouveau réseau social séduit les utilisateurs ; inévitablement, il attire les escrocs et les cyber-attaquants. Les utilisateurs qui pensent se retrouver entre amis sur le nouveau site risquent d’être très désagréablement surpris. Sur le web comme dans la vie réelle, si une opportunité paraît trop belle pour être vraie, c’est qu’il s’agit très certainement d’une escroquerie. Les utilisateurs doivent impérativement appliquer les meilleures pratiques de sécurité, où qu’ils se trouvent sur Internet, et quel que soit leur mode de connexion. Puisque l’on parle de connexion…

Le cyber-crime ne s’arrête pas aux individus, une nouvelle classe de cyber-mercenaires apparait ; le groupe « Hidden Lynx » analysé à l’automne dernier étant un premier exemple de groupe constitué. Ce cas particulier est potentiellement la partie émergée de l’iceberg, et pourrait révéler le développement de véritable cyber-corsaires : de plus en plus d’entreprises et d’agences auto-appelées « d’intelligence » ou de « cyber-sécurité » voient le jour, proposant des offres intégrant surveillance, interception, et destruction de cyber-attaques, voire également des contre-cyber-attaques. Celles-ci flirtent avec les limites de la légalité et tirent profit des difficultés à mettre en place un cadre législatif mondial. Leurs offres ciblent les entreprises et les états, avec comme bénéfices la possibilité de ne pas agir directement et donc de ne pas être potentiellement exposé publiquement.

3.      L’Internet des objets devient celui des vulnérabilités – La protection des infrastructures critiques plus que jamais d’actualité
2014 sera probablement l’année de l’Internet des objets. Les millions d’appareils connectés à Internet, généralement avec un système d’exploitation embarqué, vont attirer les attaquants comme un aimant. Les spécialistes de la sécurité ont déjà prouvé qu’il était possible d’attaquer les télévisions intelligentes, les équipements médicaux et les caméras de sécurité. Des attaques sur les moniteurs de bébé ont également été découvertes et, en Israël, un grand tunnel a dû être fermé à la circulation parce que des pirates étaient apparemment entrés sur le réseau informatique via le système de caméras de sécurité. De nombreux éditeurs de logiciels ont trouvé une solution pour avertir leurs clients et leur fournir des correctifs de vulnérabilité. Parfois, les sociétés qui créent de nouveaux appareils pour se connecter à Internet ne se rendent même pas compte qu’elles vont rapidement avoir un problème de sécurité. Ces systèmes ne sont pas seulement vulnérables face aux attaques, ils ne prévoient aucun moyen pour avertir les utilisateurs et les entreprises lorsqu’une attaque est détectée. Pire encore, il n’existe aucune méthode simple d’utilisation pour corriger ces nouvelles vulnérabilités. Les utilisateurs doivent donc s’attendre à l’arrivée de menaces inédites à ce jour.

L’Internet des objets s’insère de plus en plus dans notre quotidien, via les terminaux eux-mêmes, mais également à travers nos déplacements ou les services que nous consommons. Cet « Internet des vulnérabilités » concerne ainsi les récents développements technologiques promus et mis en place dans le secteur de l’énergie notamment, avec par exemple les compteurs intelligents. Ces vulnérabilités pourraient générer des retards dans leurs développements, ainsi que dans celui des « smart cities » et ainsi mettre en péril les données confidentielles d’administrations, d’entreprises et bien sûr de citoyens. En 2014, la protection des infrastructures critiques ne s’arrête ainsi plus aux centrales nucléaires, mais doit être désormais étendue à l’ensemble des infrastructures qui permettent un fonctionnement normal d’un pays et d’une économie.

Enfin, ce type de menaces doit être pris très au sérieux et aussi tôt que possible dans la chaine de production des objets connectés. C’est dès leur conception et tout au long de leur assemblage que la sécurité doit intervenir afin d’éviter des conséquences graves lors de leur connexion au réseau et de leur utilisation.

4.      Les applications mobiles profiteront de l’insouciance des utilisateurs – les opérateurs télécoms et Internet, eux, ne doivent pas sous-estimer les possibles attaques contre leurs infrastructures.
Les utilisateurs font (généralement) confiance à la personne avec laquelle ils dorment. Il ne faut donc pas s’étonner si, 48 % des utilisateurs dormant avec leur smartphone se laissent berner par un (faux) sentiment de sécurité. En 2013, une application mobile censée rapporter des « J’aime » supplémentaires sur Instagram a fait son apparition. Il suffisait pour cela de communiquer son identifiant et son mot de passe à une personne située quelque part en Russie. Plus de 100 000 personnes n’ont rien trouvé à redire à cette proposition. Il est naturel de penser que, grâce aux terminaux mobiles et aux remarquables applications installées dessus, la vie des utilisateurs deviendra meilleure. Dès qu’il s’agit de l’appareil que nous avons dans la poche, le sac ou sur la table de nuit, l’utilisateur perd tout esprit critique. En 2014, les personnes malintentionnées vont profiter de cette aubaine, sans parler des applications malveillantes. En 2014, les applications mobiles elles-mêmes vont être à l’origine de canulars, arnaques et escroqueries en tous genres.

En 2014 également, les téléphones mobiles serviront encore à … passer des appels! Avec le développement de la VoIP et la dépendance accrue des particuliers, entreprises et états aux réseaux de communication, la protection des infrastructures de télécommunications sera nécessairement d’actualité, afin d’éviter des attaques telles que les TDoS (ou Telephony Denial of Service) ou autres tentatives d’interception ou de modification de conversations.

Cloud, Cyber-attaque, Cybersécurité, Fuite de données

Cybercriminalité : Quelles tendances pour 2014 ?

Un commentaire

L’année 2013 touche à sa fin, et les chercheurs de FireEye sont déjà tournés vers 2014 et ses tendances en termes de menaces. L’exploitation des vulnérabilités « Zero Day » ciblera moins Java mais davantage les navigateurs web ; les attaques de type «  Watering-hole » devraient supplanter les attaques de spear-phishing ; enfin, avec l’apparition de nouvelles catégories de malwares mobiles, le paysage de la sécurité va se complexifier et étendre ses frontières.

Voici les principales tendances identifiées par les chercheurs de FireEye.
Selon Darien Kindlund : Les auteurs de menaces sophistiquées vont continuer à se cacher derrière « les outils logiciels “criminels” traditionnels” afin de compliquer l’identification et l’attribution de leurs attaques, pour les responsables sécurité.

Selon Amanda Steward : Davantage d’attaques vont utiliser des signatures de codes volées ou valides. Celles-ci  permettent aux malwares d’usurper les caractéristiques d’exécutables légitimes pour contourner les défensestraditionnelles (antivirus notamment).

Selon Yogi Chandiramani et Tim Stahl : Les logiciels malveillants mobiles vont accroitre la complexité du paysage des menaces. Nous verrons ainsi des menaces combinées entre le bureau et l’accès mobile pour obtenir l’authentificationd’un mobile (à l’image des numéros de SMS de confirmation). Parce que les cybercriminels vont là où sont les clics, on peut s’attendre à voir se développer les attaques visant ces terminaux.

Selon Yichong Chen : L’exploitation des vulnérabilités « Zero Day » de Java, devrait être moins fréquentes. Malgré leur relative facilité d’exploitation, nous n’avons pas observé de nouvelles vulnérabilités depuis Février 2013. Cela pourrait s’expliquer par les pop-ups d’avertissement de sécurité de la version 1.7 ou encore par l’attention accrue des chercheurs en cybercriminalité sur ce point. Il est également possible qu’une trop faibleproportion d’internautes utilise des versions vulnérables de Java, et que leur exploitation ne soit pas suffisamment rentable.

Selon Dan Caselden : L’exploitation des vulnérabilités des navigateurs web devraient être plus fréquentes. Les pirates sont de plus en plus à l’aise pour contourner l’ASLR (Address Space Layout Randomisation) des navigateurs. Et contrairement à Java et aux vulnérabilités classiques, celles impliquant les navigateurs continuent de croitre sur le même rythme.

Selon Thoufique Haq : Les auteurs de malwares vont adopter des techniques furtives pour manipuler et contrôler (command-and-control (CnC)) les communications. Ils utiliseront les canaux des protocoles légitimes et  abuseront les services Internet légitimes pour relayer leur trafic et échapper à la détection. Ce changement reflète l’escalade logique des pirates qui sont de plus en plus gênés par les défenses réseau ; Les attaques de type « Watering-hole » et le ciblage des médias sociauxvont progressivement remplacerles emailsde phishing. Ils offrent en effet,un espace neutreoù les cibles baissent leur garde. Lefacteur de confiancen’est pas unobstacle insurmontable, et cela ne demande qu’un minimum d’effortpourattirerla cible dansun piège.

Selon Bryce Boland : De plus en plus de malwares vont alimenter la chaîne d’approvisionnement. Attendez-vous àdavantage de codesmalveillantsdanslesmises à jour des BIOS (Système de gestion élémentaire des « entrées/sorties ») mais également du firmware.

Selon Alex Lanstein : De nouvelles techniques de « corruption mémoire[1] » vont émerger suite à l’implémentation de la fonctionnalité du « click to play » d’Adobe Flash(nécessitant une interaction de l’utilisateur pour exécuter un contenu Flash potentiellementmalveillant). En effet, ces derniers mois nous avons vu Flash être utilisé pour exécuter des codes malveillants dans la phase d’infection. Mais depuis qu’Adobe a intégré la fonctionnalité «click-to-play » aux documents Microsoft Word, cette approche ne fonctionne plus. Les dernières exploitations zéro-day de documents « docx » et « tiff », par exemple, n’utilisaient pas Flash pour cette raison ; Les pirates vont trouver d’autres moyens pour déjouer les systèmes d’analyse automatisés (sandbox), comme le déclenchement des redémarrages, les clics de souris, la fermeture des applications, etc. Un exemple: le déclenchement du malware à un moment précis, à l’image de ce qui a été observé récemment au Japon et en Corée. Les pirates se concentrent désormais à contourner les systèmes de sandbox, on peut parier que cette approche donnera à leurs malwares beaucoup plus de puissance.

Selon Jason Steer : Les logiciels criminels auront davantage vocation à détruire les systèmes d’exploitation. Dernièrement, les autorités européennes sont parvenus a arrêter les cyber-gangs. Une nouvelle fonctionnalité de Zeus qui efface le système d’exploitation, aide les cybercriminels à nettoyer toutes les preuves d’un attaque et ainsi éviter l’arrestation.

Selon Darien Kindlund et Bryce Boland : De plus en plus de « quartiers numériques » vont alimenter lescampagnesd’attaquesciblées. En d’autres termes, « SunshopDQ »n’est que le début. Plusles auteursdes menacevontindustrialiserle développement de leur attaques et leur diffusion, plus les économies d’échelle seront importantes.

Selon Greg Day : La collaboration croissante entreles victimes d’attaquesà travers le monde, va permettre d’identifier et arrêter les gangs decybercriminels, grâce au croisement des indicesd’attaques distinctesavec ceux des campagnes communes ; Le Cybercrimese personnalise. Pour les hackers,les donnéespersonnelles ont plus de valeur que les données génériques. Ils devraient logiquement réorienter leur attention surdes donnéesà forte valeur.

Selon Rudolph Araujo : Le temps de détection de malwares de pointe. Selon la société à laquelle on se fie (Verizon DBIR, Ponemon etc.), le temps de détection peut osciller entre 80 et 100 jours et de 120 à 150 pour la suppression totale des malwares. Généralement, le temps de détection peut augmenter mais le temps de traitement va encore plus s’allonger à force que les attaquants deviennent de plus en plus sophistiqués avec leur capacité à s’immiscer dans le système des entreprises pour une plus longue durée.

Cyber-attaque, Hacking, Linkedin, Phishing, Pinterest, Twitter

Une agence américaine sensible infiltrée par du 95D

2 commentaires

Un pirate informatique réussi à infiltrer une agence américaine sensible en se faisant passer pour une blonde torride. Emily Williams, gentille, sexy, pas avare de cartes numériques envoyées de ses vacances. Une amie ? Pas vraiment. Des chercheurs en sécurité informatique Aamir Lakhani et Joseph Muniz ont expliqué lors de la conférence RSA Europe 2013 comment une agence américaine sensible, en charge de question de sécurité avait été infiltrée par un pirate, amateur de phishing particulièrement bien ciblé. De fausses cartes numériques de vacances piégées qui auraient permis de mettre la main sur les accès Facebook, LinkedIn ou encore SalesForce de fonctionnaires. Les deux chercheurs ont expliqué que leur attaque, pour du faux, avait permis de duper un employeur du gouvernement en lui faisant croire qu’elle était une employée gouvernementale. Le clic sur le javascript piégé aura fait le reste ! L’attaque « scientifique » aura durée 90 jours. Lakhani a refusé de préciser quelle agence du gouvernement avait été infiltrée et compromise par Mlle Williams.

 

Cyber-attaque, Cybersécurité

Sécurité des Informations et nouvelle Loi de Programmation Militaire

Il y a quelques jours, lors d’un événement sur la sécurité Internet, un important opérateur télécom français, SFR pour le nommer, distribuait aux visiteurs de son stand un gadget publicitaire, des goodies comme on dit, un petit cadenas à code avec un mini logo, celui des douanes américaines. L’explication étant que ce cadenas est ouvrable par les autorités américaines qui possèdent la clé physique (les voyageurs à destination des USA reconnaîtront l’avantage de ce gadget : ne plus se faire casser les valises voyageant en soute lors des contrôles d’aéroport).

Ce petit gadget symbolise bien un aspect de ce que nous vivons actuellement dans la protection des informations, les vulnérabilités multiples auxquelles sont soumises nos informations personnelles mais surtout les données confidentielles de nos entreprises. Cela concerne le stockage des informations dans des datacenters couverts par le Patriot Act (datacenters sur le territoire américain mais aussi ailleurs dans le monde, du moment où ils sont exploités par du personnel de nationalité américaine) obligeant les entreprises à répondre aux requêtes des autorités US. Cela touche également les flux Internet (mails, applications métiers, web, etc.) transitant très souvent en clair, non-cryptés par des fibres optiques appartenant à des grands ISP internationaux (Level 3, Verizon, BT, notamment) potentiellement accessibles eux aux écoutes data (à travers notamment les fameuses sondes de DPI – Deep Packet Inspection, capables d’extraire à la volée puis de traduire, analyser, reconstituer, stocker des flux de trafic).

Il est bien sûr plus prudent pour une entreprise française ou européenne, à l’instar du petit gadget, d‘héberger ses données et applications en France et en Europe plutôt que dans un data-farm US, mais ce n’est pas tout, loin s’en faut. A l’heure où les entreprises doivent ouvrir leurs systèmes d’information à leurs clients et partenaires, à l’heure où l’Internet en mobilité est une obligation d’existence (voire de survie, La Redoute vient malheureusement de le démontrer…), la sécurité des informations et donc du patrimoine de l’entreprise, est crucial.

Nous sommes au coeur d’un paradoxe : d’un côté l’entreprise doit s’ouvrir « Internetement » parlant pour profiter de cette extraordinaire dimension, aspirée à vitesse grand V par les utilisateurs (générations Y, Z,…) et d’un autre côté, l’entreprise doit se protéger pour ne pas se faire totalement dépouiller et veiller à ce que ses clients ne le soient pas aussi. Ce que le grand public, non informaticien, à titre privé ou au sein des entreprises ne mesure pas totalement le haut degré de complexité des back-offices informatiques-télécoms ; accéder à son compte bancaire en ligne depuis son smartphone alors que l’on est dans le métro à Paris, paraît super normal mais est aussi super complexe ! Et complexité rime avec vulnérabilité !

La sécurité Internet ne se limite donc pas à l’hébergement des données et peut se comparer à une fleur dont chaque pétale comporte ses propres vulnérabilités, solutions et actions à mener : l’hébergement des données, le transport des informations, l’accès légitime aux données (en tant que simple utilisateur ou utilisateur privilégié comme les informaticiens), le monitoring des bases de données, la collecte et l’exploitation des logs pour prévenir et analyser les attaques, etc. Bien sûr des lois et procédures sont nécessaires pour lutter contre le terrorisme et le prévenir. Mais la sécurité des informations c’est aussi – et de plus en plus – une affaire de business, d’intelligence économique, d’espionnage ciblé et donc, de protection des données commerciales, métiers, financières, etc.

Ces enjeux tellement structurants pour les entreprises sont-ils compris par les Directions Générales à la hauteur des risques réels ? Pas par toutes et pas toujours.

Il est donc normal qu’enfin l’Etat Français, au travers notamment de l’ANSSI qui monte en puissance, propose une législation plus contraignante pour les entreprises  afin de les pousser à protéger leur patrimoine informationnel et à s’engager, à l’instar de ce qui existe déjà pour certains métiers tels que les données médicales ou les données de paiement par carte, à protéger les données de leurs clients, peu importe leur métier : e-commerçant, prestataire de services, banquier, etc. C’est entre autres l’objet de la LPM (proposition de Loi sur la Programmation Militaire) actuellement en discussion au Parlement. Elle couvre différents aspects, dont notamment la prise en compte et l’application par les entreprises, sous peine d’amendes, de la sécurité des informations.

Dans le projet de loi, le législateur a bien mesuré ce que nous constatons sur le terrain, auprès des grandes entreprises et administrations, comme l’indique M. Francis Delon, secrétaire général de la défense et de la sécurité nationale « la volonté du gouvernement est de ne pas rester passif face à des attaques informatiques qui portent aujourd’hui atteinte à notre compétitivité et qui demain pourraient mettre gravement en cause notre sécurité ou perturber gravement la vie des Français ». La proposition de loi vise clairement « à augmenter le niveau de sécurité des systèmes d’information des opérateurs d’importance vitale (OIV) », estimés à 200 opérateurs (EDF, les opérateurs télécoms, de distribution d’eau, les banques, La Poste, …).

Ce qui est sûr, c’est que grâce à la future loi combinée avec une maturité croissante des enjeux de la protection des données, la sécurité deviendra très vite un sujet grave de préoccupation pour les directions générales et pas seulement pour les DSI des entreprises, OIV ou pas. Par Théodore-Michel Vrangos, président et cofondateur d’I-TRACING.

BYOD, Cyber-attaque, Entreprise, Fuite de données, Leak

Vous aider à détecter une faille de sécurité

Il y a des indicateurs tangibles qui peuvent vous aider à identifier une atteinte à la sécurité de votre environnement de travail.  Certains sont évidents, d’autres moins. Quels sont les premiers signes qui devraient vous conduire à vous inquiéter ? Voici quelques pistes pour vous aider à détecter une faille à temps. Par Jean-Philippe Sanchez, Consultant chez NetIQ France

1. Un trafic inattendu (ou un changement d’activité) entre systèmes sur le réseau constitue un indicateur communément surveillé par les entreprises parce qu’il montre qu’un système a été compromis et s’avère désormais utilisé pour étendre l’emprise de l’attaquant. Un tel trafic peut être révélateur d’une attaque en cours ou, pire, du déplacement d’informations en vue de leur récupération ultérieure. Les fournisseurs du domaine militaire sont particulièrement concernés car les informations hautement sensibles qu’ils manipulent sont souvent la cible d’attaques de long terme au coeur de leurs réseaux.

> Surveillez d’éventuels changements dans les flux réseau et concentrez-vous sur les systèmes concernés pour chercher à connaître les causes de ces changements.

2. Des changements dans les fichiers et la configuration de systèmes surviennent souvent lors d’une attaque. Le pirate va en effet installer des outils (y compris des logiciels malveillants ciblés) souvent impossibles à détecter avec les antivirus traditionnels. Toutefois, les changements qu’ils apportent aux systèmes infectés peuvent être détectés et sont ainsi utilisés pour identifier les systèmes compromis. Certaines industries telles que celle du commerce de détail utilisent notamment cette méthode pour suivre les attaquants cherchant à voler des informations relatives à des cartes bancaires. De fait, l’attaquant est susceptible d’installer des outils de capture de paquets réseau pour collecter des données relatives à des cartes bancaires alors qu’elles transitent sur le réseau. Les attaquants concentrent leurs efforts sur les systèmes susceptibles d’observer le trafic réseau.

> Bien que les chances de trouver un outil de capture de paquets réseau (parce qu’il sera développé sur mesure et probablement totalement nouveau) soient limitées, les changements de configuration des systèmes compromis peuvent être aisément observés.

3. Des changements d’activité d’utilisateurs à privilèges élevés, comme les administrateurs de systèmes, peuvent indiquer que le compte concerné est utilisé par un tiers pour essayer d’établir une tête de pont sur votre réseau. De fait, les utilisateurs à privilèges élevés sont souvent la cible d’opérations d’hameçonnage, dans le cadre d’une attaque avancée persistante puisqu’ils ont accès à des informations de grande valeur. La surveillance d’éventuels changements – tels que durée d’activité, systèmes connectés, type ou volume d’informations consultées – peut fournir une indication sur une violation de sécurité très tôt dans son déroulement. C’est un important sujet de préoccupation pour la plupart des entreprises, mais ça l’est encore plus dans le secteur de la santé. Dans celui-ci, de nombreuses personnes au sein des organisations sont susceptibles d’accéder à des données protégées dont elles n’ont pas véritablement besoin. Et un tel accès peut être utilisé par un attaquant pour dérober des informations pouvant conduire à une violation de sécurité très grave et très coûteuse.

> Surveillez les habilitations et les accès aux applications métiers, ainsi que la séparation des tâches (SOD).  Les risques liés à la séparation des tâches se manifestent suite à une série d’actions réalisées par une même personne et qui entraînent une erreur ou pire, une fraude. Par exemple, un utilisateur ayant accès aux transactions de création/modification des commandes fournisseurs et aux transactions de paiement pourrait créer un fournisseur fictif et initier un paiement…

4. Les schémas de trafic réseau sortant vers de nouveaux hôtes, tout particulièrement mis en perspective avec des informations provenant de services de réputation d’adresses IP, peuvent indiquer qu’un système compromis communique avec un serveur de commande et de contrôle. Toutes les organisations s’inquiétant d’un risque de compromission de leur système d’information devraient surveiller un éventuel trafic réseau sortant inattendu. Souvenez-vous : les chances d’empêcher un attaquant d’entrer sont faibles ; les attaques modernes se caractérisent par un niveau élevé de persistance et par une capacité avérée à passer les défenses.

> Surveillez l’activité au sein du réseau et le trafic quittant votre périmètre. Les systèmes compromis communiquent souvent avec des serveurs de commande et de contrôle et le trafic correspondant peut être observé avant que ne soient causés des dégâts réels.
> Cherchez le trafic sortant visant des adresses IP inhabituelles. Les listes Noires / Blanches des adresses IP utilisées sur Internet font aujourd’hui parties des points indispensables à surveiller.

5. Un événement imprévu, tel que l’application impromptue de correctifs sur des systèmes, peut indiquer qu’un attaquant est parvenu à établir une tête de pont sur votre réseau et s’attache à supprimer des vulnérabilités pour éviter que des concurrents ne le suivent. Il peut s’agir par exemple de l’application soudaine de correctifs comblant des vulnérabilités connues, tout particulièrement sur des applications ouvertes au Web. Cela peut paraître à première vue comme une bonne chose, et donc ne pas éveiller les soupçons. Une analyse des systèmes de l’organisation conduisant à découvrir que quelqu’un a comblé des vulnérabilités connues, mais préalablement non corrigées, peut indiquer qu’un attaquant s’est infiltré sur le réseau et referme derrière lui les portes qu’il a utilisées afin d’éviter l’arrivée de concurrents. Après tout, la plupart des attaquants cherchent à gagner de l’argent à partir de vos données ; ils n’ont aucune raison de vouloir partager les profits avec quelqu’un d’autre.

> Il est parfois payant de s’interroger avec suspicion sur un cadeau qui semble trop beau pour être sincère…

Cyber-attaque, DDoS, Entreprise

Piratage : Bitcoins dans la ligne de mire

4 commentaires

Décidément, la monnaie Bitcoins, monnaie virtuelle qui peut se transformer rapidement en argent sonnant et trébuchant, connait un regain d’intérêt chez les pirates informatiques. La place d’échange Bitcoin danoise BIPS est la dernière victime en date. Une attaque DDoS qui a permis aux attaquants de dérober près de 1 million de dollars. Au moins deux attaques DDoS (les 15 et 17 novembre) ont précédé ce piratage et il était logique de penser que de nouvelles tentatives seraient menées.

La popularité du Bitcoin, monnaie virtuelle dont l’utilisation au niveau mondiale ne cesse de croitre a vu son cours progresser significativement au cours des derniers mois. Le cours du Bitcoin est passé, en octobre de 137 euros à… 647 euros en cette fin du mois de novembre (20 dollars, il y a un – La monnaie a grimpé jusqu’à 1000 dollars, mercredi). Bilan, après le piratage de mining.bitcoin.cz, de Inputs.io, voici donc le DDoS contre un Danois. « Les cyberattaques les plus conséquentes sont capables de mettre hors service les applications critiques d’une entreprise et peuvent avoir des impacts financiers importants, souligne Laurent Pétroque ingénieur chez F5 Networks, Les entreprises qui dépendent de leur présence en ligne pour leur activité se doivent absolument d’investir dans des solutions de sécurité que ce soit pour elles, leur personnel ou les clients et utilisateurs finaux et ce afin de les protéger contre ces vecteurs d’attaque. »

Que ce genre d’attaques DDoS soient l’œuvre de fauteurs de troubles, de rivaux effectuant des tentatives de sabotages ou tout simplement de cybercriminels appâtés par des opportunité de gains faciles, il est plus que flagrant que la défense contre ces dernières ne concerne plus uniquement une faible proportion d’entreprises des secteurs privés et public. Ces attaques sont devenues plus fréquentes, ce sont amplifiées ces derniers mois et nous pouvons nous attendre à en voir beaucoup plus, avec encore plus de puissance, dans les tous les secteurs en 2014. « Les autres places d’échange Bitcoin à travers le monde devraient, si ce n’est pas déjà fait, faire le nécessaire rapidement pour se prémunir d’attaques similaires. » termine l’informaticien.

Data security breach revenait, il y a peu, sur les attaques à l’encontre de Bitcoin et des utilisateurs de cette monnaie virtuelle. Depuis plusieurs mois, les attaques se sont intensifiées : botnet, kit exploit, phishing, DDoS. Certains pirates, comme le montre datasecuritybreach.fr affiche des transactions malveillantes de plusieurs dizaines de milliers de dollars/euros. Au cours des dernières années, la capacité de voler le fichier wallet.dat, le portefeuille Bitcoin, a été ajoutée à plusieurs familles de logiciels malveillants comme Zeus, Zbot, Dorkbot,  Khelios. Et ce n’est plus le mot de passe Bitcoin qui semble être un frein aux malveillants professionnels. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fameux fichier portefeuille. Bref, l’hiver s’annonce… chaud, d’autant plus que le Ministère de la Justice américaine et le SEC (le gendarme de la bourse US) ont déclaré au Sénat de l’Oncle Sam que le Bitcoin était un moyen de paiement légitime. A chypre, il est dorénavant possible de payer ses cours en Bitcoin.

 

 

Cyber-attaque, Cybersécurité, Facebook, Fuite de données, Linkedin, Social engineering, Twitter

Les réseaux sociaux, « faille insidieuse » des cyberattaques ?

Les cyberattaques sont plus sophistiquées que jamais et les techniques de hacking ne cessent d’évoluer, de se renouveler. Aujourd’hui, force est de constater que la menace ne provient plus exclusivement de l’extérieur. Au sein d’une organisation, les utilisateurs sont à la fois victimes et potentiels « cybercriminels » notamment dans le cadre de leur usage des réseaux sociaux.

Les bonnes pratiques de l’usage des réseaux sociaux au bureau
Afin de réduire les risques d’attaques et de renforcer la sécurisation des données, les entreprises doivent former les employés aux bonnes pratiques de l’usage des réseaux sociaux au bureau ; de nombreux utilisateurs ont un comportement à risque par manque de sensibilisation et/ou parce qu’ils ne mesurent pas les dangers qu’ils font prendre aux organisations. Pourtant, les menaces les plus importantes proviennent surtout des sites professionnels tels que LinkedIn ou Viadeo, qui sont des sources intarissables d’informations à très forte valeur ajoutée sur les entreprises pour les hackers.

Ceux-ci ont accès en « libre-service » à un très grand nombre d’informations sur l’activité de l’entreprise qui leur permettent de récupérer des données sensibles. Les réseaux sociaux professionnels sont, en effet, le point d’entrée à des informations sur les employés, leur rôle dans l’entreprise, leurs fonctions quotidiennes, voire les nombreuses informations sur les outils de sécurité utilisés et les problématiques auxquelles ils ont été exposés. Les hackers utilisent actuellement l’ensemble des vecteurs à leur disposition : ils peuvent également pirater des informations professionnelles via un terminal personnel lorsque l’employé utilise ses propres outils (BYOD) ou travaille de chez lui à partir de son ordinateur personnel. Aujourd’hui, les brèches de sécurité sont progressives et permettent aux pirates de s’introduire dans les systèmes informatiques de la manière la plus discrète possible pour collecter le maximum d’informations et accéder petit à petit aux données les plus critiques.

Le Community Manager, danger insoupçonné
Le Community Manager a un rôle clé dans une entreprise puisqu’il gère son image et sa présence sur les réseaux sociaux. Il ne s’agit pas tant de ses privilèges (qui sont finalement peu élevés) que de son impact sur l’image et la communication officielle de l’entreprise sur les médias sociaux. Le détournement de ce type de compte est aujourd’hui une cible privilégiée de groupes cherchant à nuire à l’image d’une société ou à profiter de sa notoriété pour passer des messages non sollicités ou diffuser des informations confidentielles. Par ailleurs, lorsqu’un salarié quitte l’entreprise, il doit rendre ses clés, son badge mais les employeurs ne pensent pas nécessairement à changer ses mots de passe. Or, un Community Manager ou autre employé mécontent qui quitte l’entreprise emportant avec lui identifiants et mots de passe pourrait également lui nuire sans difficultés – tout salarié d’une entreprise est susceptible de conserver ses données de connexion après son départ de la société.

Prenons l’exemple récent de l’affaire PRISM, il ressortirait que l’ancien analyste de la NSA, Edward Snowden, aurait accédé à des informations extrêmement confidentielles grâce aux identifiants de connexion de plusieurs de ses collègues, qu’il aurait convaincu de lui fournir en prétextant un travail qu’il devait faire, en tant qu’administrateur du système informatique. Ce type de comportements peut avoir des conséquences catastrophiques sur l’économie d’une entreprise et engendrer des dommages collatéraux durables (perte de clients, impact sur le cours des actions en bourse pour les sociétés cotées, retrait d’investisseurs/business angels…).

De l’importance d’appliquer et transmettre les bonnes pratiques
Les cyberattaques sont une réalité pour tous et les entreprises comme les employés doivent prendre conscience que chaque individu est une porte d’accès aux données sensibles d’une société. Pour ce faire, les organisations peuvent appliquer plusieurs règles simples et peu coûteuses afin de renforcer la sécurisation des informations :

[dsb] Sensibiliser les utilisateurs au fait que le risque existe et  qu’ils doivent adopter un comportement de méfiance vis-à-vis d’informations en provenance de l’extérieur, mais également de l’intérieur – le fait de partager un simple mot de passe avec un collègue, peut aussi être considéré comme un comportement à risque.

[dsb] Identifier la source et le parcours des hackers afin de paralyser l’attaque et le retrait de données sensibles.

[dsb] Mettre en place des solutions de détection pour alerter les personnes responsables de l’entreprise qu’un compte sensible est en cours d’utilisation (peut-être frauduleuse) afin de favoriser une intervention rapide.

[dsb] Identifier et sécuriser les comptes à privilèges au sein des entreprises, premières cibles des attaquants puisque souvent méconnus et négligés.

En conclusion, pour parer au maximum à ces « failles humaines », employés et entreprises doivent redoubler de vigilance pour un usage plus réglementé des réseaux sociaux professionnels et privés. Commentaire d’Olivier Prompt, Regional Sales Engineer, Northern Europe & Africa chez Cyber-Ark Software pour Data Security Breach.

Cyber-attaque, Piratage

Une multiplication des cyber-attaques pour les fêtes de fin d’année ?

Des experts révèlent une vague soutenue de sites de phishing utilisant la marque Apple et une recrudescence des malware ciblant les services de banque en ligne. Alors que les fêtes de fin d’année approchent à grands pas, le rapport de sécurité de Trend Micro pour le troisième trimestre 2013 révèle une prolifération inquiétante de sites de phishing visant iOS, ainsi qu’une forte augmentation du nombre de malware ciblant les services de banque en ligne. Des découvertes qui appellent les consommateurs à davantage de prudence au cours de cette période de fêtes souvent synonyme de shopping intensif, afin de protéger leurs données personnelles et financières contre d’éventuels piratages.

« Les consommateurs étant de plus en plus attirés par l’aspect pratique des banques en ligne, les cybercriminels conçoivent de nouveaux outils à un rythme effréné afin de tirer profit du manque de vigilance ambiant », explique JD Sherry à DataSecurityBreach.fr, Vice-President of Technology and Solutions chez Trend Micro. « Par ailleurs, si Apple a toujours été perçu comme un gage de sécurité face aux menaces, nos dernières découvertes montrent que les campagnes de phishing ciblant iOS continuent de se multiplier, mettant en péril les données personnelles des utilisateurs. Ces deux tendances augurent une potentielle explosion du nombre d‘attaques pour cette fin d’année, notamment parce que le mobile sera un élément clé des achats de Noël, tant pour les commerçants que pour les consommateurs. »

Après le pic constaté au second trimestre (5 800 en mai), le nombre de sites de phishing utilisant la marque Apple est resté stable sur le troisième trimestre, avec 4 100 sites identifiés en juillet, 1 900 en août et 2 500 en septembre. L’inquiétude est cependant d’actualité pour le quatrième trimestre, les analystes tablant sur la vente de 31 millions d’iPhones et de 15 millions d’iPads sur cette période.

Les chercheurs de Trend Micro ont également identifié plus de 200 000 infections par des malware ciblant les services de banque en ligne sur le troisième trimestre. Trois pays ont été pris plus particulièrement pour cible : les Etats-Unis qui représentent près du quart (23%) de l’ensemble des infections dans le monde, suivis par le Brésil (16 %) et le Japon (12 %). L’Allemagne et la France, les pays les plus touchés en Europe, ne représentent chacun que 3 % des infections. Ce chiffre bas est sans doute le résultat des hauts niveaux d’exigence en termes d’authentification à facteurs multiples pour les transactions bancaires dans la région. A noter également que les cybercriminels font appel à des techniques d’obfuscation* de plus en plus sophistiquées. Les chercheurs ont ainsi identifié des routines visant à bloquer les debuggueurs et à empêcher toute analyse dans le cheval de Troie KINS.

Cyber-attaque, Cybersécurité, Mise à jour, Patch

Une étude révèle l’augmentation fulgurante des attaques via Java sur les 12 derniers mois

Le nombre d’attaques exploitant des failles Java entre septembre 2012 et août 2013 a atteint 14,1 millions, un chiffre supérieur d’un tiers à celui observé au cours de la même période en 2011-2012, selon l’étude Kaspersky Lab Java under attack – the evolution of exploits in 2012-2013. 1 210 000 sources d’attaques distinctes ont été identifiées dans 95 pays.

Les « Exploits » sont des programmes malveillants conçus pour tirer parti des vulnérabilités des logiciels légitimes et pénétrer dans les ordinateurs des utilisateurs. Leur nature furtive les rend d’autant plus dangereuses. Lorsqu’un ordinateur utilise des versions vulnérables de logiciels, il suffit de visite une page Web infectée ou d’ouvrir un fichier contenant du code malveillant pour déclencher l’infection. Les cibles les plus fréquemment attaquées sont Oracle Java, Adobe Flash Player et Adobe Reader. L’étude de Kaspersky Lab indique, l’an passé, Java est devenu la cible privilégiée des cybercriminels.

L’étude s’appuie sur des données recueillies auprès d’utilisateurs de produits Kaspersky à travers le monde ayant accepté de fournir des informations au réseau Kaspersky Security Network. Parmi les 14,1 millions d’attaques détectées qui exploitent des failles Java, la plupart d’entre elles l’ont été au cours des six derniers mois de la période étudiée, soit plus de 8,54 millions d’attaques entre mars et août 2013, un chiffre en hausse de 52,7% par rapport au semestre précédent.

Pour les particuliers, l’installation des dernières mises à jour des logiciels constitue rarement une priorité, ce qui fait le jeu des cybercriminels. Selon l’étude, la majorité des utilisateurs continuent de travailler avec une version vulnérable de Java pendant six semaines après la diffusion d’une mise à jour. Environ 50% de l’ensemble des attaques ont exploité au maximum six familles de vulnérabilités Java.

Environ 80% des utilisateurs attaqués se trouvent dans 10 pays, au premier rang desquels arrivent les Etats-Unis, la Russie et l’Allemagne. En l’espace de 12 mois, les produits de Kaspersky Lab ont protégé plus de 3,75 millions d’utilisateurs dans le monde contre des attaques Java. Le Canada, les Etats-Unis, l’Allemagne et le Brésil ont connu les plus fortes progressions du nombre d’attaques. En un an, chaque utilisateur a été confronté en moyenne à 3,72 attaques. Cette moyenne est passée de 3,29, entre septembre 2012 et février 2013, à 4,15 entre mars et août 2013, soit une augmentation de 26,1%.

Le nombre élevé d’attaques exploitant des failles Java n’est guère surprenant : au cours des 12 mois sur lesquels a porté l’étude de Kaspersky Lab, 161 vulnérabilités de ce type ont été identifiées. En comparaison, de septembre 2011 à août 2012, ce sont 51 d’entre elles qui avaient été rendues publiques. Six des nouvelles failles repérées ont été qualifiées de critiques, c’est-à-dire très dangereuses. Or ces six vulnérabilités ont été les plus activement utilisées dans les attaques lancées par des cybercriminels.

« Java est victime de son succès », commente à DataSecurityBreach.fr Vyacheslav Zakorzhevsky, chef du groupe d’étude des vulnérabilités chez Kaspersky Lab. « Les cybercriminels savent qu’ils ont tout intérêt à concentrer leurs efforts sur la recherche d’une faille dans Java afin de pouvoir s’attaquer à des millions d’ordinateurs simultanément, plutôt que d’exploiter des vulnérabilités dans des logiciels moins répandus, ne leur permettant d’infecter qu’un nombre restreint de machines. »

Nous vous indiquions, il y a peu, comment de fausses alertes java étaient diffusées, sur Internet. Une méthode radicale pour piéger les internautes.

Cyber-attaque, escroquerie, Espionnae, Virus

Propagation d’un trojan bancaire via Skype

3 commentaires

Le pic de ces envois a été enregistré dans la première moitié de novembre 2013. BackDoor.Caphaw est capable de voler les identifiants d’accès aux comptes en ligne et d’autres données sensibles stockées sur la machine infectée. Il exploite les vulnérabilités des navigateurs (par exemple les packages d’exploits BlackHole), et se copie sur les supports amovibles et réseau.

Depuis la deuxième quinzaine d’octobre 2013, les attaquants utilisent Skype pour distribuer le Trojan BackDoor.Caphaw. Le pic de la propagation, selon DrWeb, a été enregistré entre le 5 et 14 novembre 2013. Les attaquants envoient des messages via Skype en utilisant les comptes des utilisateurs déjà infectés. Les messages incluent un lien vers une archive portant le nom invoice_XXXXX.pdf.exe.zip (où XXXXX est un ensemble aléatoire de chiffres). L’archive contient le fichier exécutable du Trojan BackDoor.Caphaw.

Après son lancement, le Trojan sauvegarde sa copie dans un dossier d’application comme un fichier, avec un nom aléatoire, et modifie la clé du Registre chargée du lancement automatique des applications. Afin de faire face aux tentatives d’être étudié, ce Trojan possède un mécanisme de détection de lancement sur une machine virtuelle.

Suite à son installation, le Trojan BackDoor.Caphaw essaie de s’intégrer dans les processus en cours et de se connecter à un serveur des attaquants. Ce Trojan surveille l’activité de l’utilisateur et détecte les connexions aux banques en ligne. Dans ce cas, BackDoor.Caphaw peut injecter du contenu malveillant et intercepter les données entrées dans différents formulaires.

Une autre de ses fonctions est l’utilisation de la caméra et l’enregistrement, sur la machine infectée, de vidéos en streaming, afin de le transmettre au serveur des attaquants sous la forme d’une archive RAR. En outre le BackDoor.Caphaw peut télécharger depuis le serveur distant des composants additionnels et les lancer. Par exemple, des modules pour rechercher et transmettre aux attaquants les mots de passe des clients FTP ou créer un serveur VNC. Il existe également un module MBR bootkit, capable d’infecter des secteurs d’amorçage etc. Enfin, il existe un module pour l’envoi automatique de liens malveillants via Skype. Les utilisateurs doivent rester prudents et éviter de cliquer sur les liens reçus dans les messages via Skype, même si ces messages proviennent de leurs connaissances, car leurs ordinateurs peuvent être déjà infectés par le BackDoor.Caphaw.

 

Argent, Arnaque, Cyber-attaque, Entreprise, pourriel, spam

Débandade numérique : du viagra dans le site de La Poste

« Fitness, netteté de l’objectif, une considération attentive de con de la question de l’échelle ainsi que la beauté et de l’art et de l’unité coupons » c’est par ces quelques mots que la page 10386, mais aussi des centaines d’autres, de l’espace « Courrier International » du site officiel de La Poste (laposte.fr) s’ouvre aux regards des internautes étonnés par ce charabia bien loin de l’univers de la société Française.

Derrière le lien « Suivre vos envois« , un pirate informatique spécialisé dans la diffusion de publicités illicites vantant, la plupart du temps, les médicaments contrefaits. Dans le cas de Laposte.fr, du viagra, la petite pilule bleue qui fait rougir maman et durcir papa… ou le contraire ! La rédaction de Data Security Breach a recensé plusieurs centaines de fausses pages. Ici, une injection d’un texte n’ayant ni queue, ni tête, sauf quelques lignes exploitant des mots clés que les moteurs de recherche, Google en tête, reprendront sans sourciller. Aucun blocage des moteurs de recherche, d’autant plus que les phrases sont diffusées par un site très sérieux. Google and Co n’y voient que du feu. Les pages ranks des sites pirates, et donc leur visibilité, sera plus forte encore grâce à des alliés ainsi manipulés.

Bref, si les mots « viagra acheter » ; « viagra au meilleur prix » ou encore « achat viagra le moins cher online viagra prescription » apparaissent dans vos sites, inquiétez-vous. Vous servez de rebond à des vendeurs de contrefaçons de médicaments.

Un piratage qui pourrait faire sourire, sauf que l’injection n’installe pas qu’une seule page. Chaque phrase dirige l’internaute vers d’autres pages « La Poste », avec autant de nouvelles phrases et des villes comme Lyon, Montpellier, … Finalité pour le pirate, plus le site comportera ses « liens » malveillants, plus il sera aperçu, ensuite, par les moteurs de recherche, donc les internautes potentiels acheteurs. Il suffit de taper « Viagra » et « Laposte » pour comprendre l’épineux problème. Les liens proposés par les moteurs de recherche dirigent, dans un premier temps vers le site de Laposte.fr, pour être ensuite redirigé dans la foulée, sur les pharmacies illicites.

D’après les informations de zataz.com, l’injection a pu être possible via une vulnérabilité dans un CMS. En attendant, Google a intercepté, au moment de l’écriture de notre article, une dizaine de page… par mots clés. DataSecurityBreach est passé par le protocole d’alerte de son grand frêre pour alerter le CERT La Poste [HaideD 2668]. (Merci à @Stoff33)

Mise à jour : La Poste aura été totalement transparente au sujet de cette attaque informatique. Le CERT La Poste revient sur les actions menées et comment le pirate a pu agir : « Le site piraté est l’ancien site du courrier international (www.laposte.fr/courrierinternational ) que nous allions désactiver la semaine prochaine, explique le CERT La Poste à DataSecurityBreach.fr. Nous avons migré et réorganisé ses contenus sur le portail laposte.fr. Les contenus du courrier international sont aujourd’hui consultables sur http://www.laposte.fr/Entreprise/Courrier-international/. Nous réintégrons sur laposte.fr les contenus qui étaient disponibles sur d’autres sites. Cet exemple s’inscrit dans cette démarche. Les pirates ont apparemment réussi à rentrer par une faille du CMS Typo3 de l’ancien site web. Actuellement, l’ancien site est désactivé (pages incriminées inaccessibles) et tous ses fichiers sont archivés pour analyse dès demain matin.Nous activons notre réseau de correspondants chez Google pour demander un retrait des résultats de recherche (et du cache Google associé) le plus rapidement possible. » Un exemple qui démontre que les anciens CMS, qui ne sont plus exploités, ne doivent pas rester sur un serveur ; et que les mises à jour sont indispensables dans le cas contraire.

 

 

 

Chiffrement, Cyber-attaque, Entreprise, Fuite de données, Leak, Paiement en ligne

Loyalty build piraté : 1,2 million d’internautes concernés

3 commentaires

Les bases de données, le nouveau jouet pour les pirates informatiques. Après ADOBE [lire], après MacRumors (860.000 comptes, ndr), voici le tour du site Loyalty build a se retrouver confronté à un vol de données numériques. Ce portail est spécialisé dans la fidélisation de clients pour de grandes enseignes comme AXA Irlande.

Loyalty build vient d’annoncer le passage d’un pirate dans ses entrailles numériques. Bilan, 1,2 millions d’inscrits se retrouvent avec leur vie privée dans les mains d’un inconnu. Emails, adresses physiques, numéros de téléphone. Pour 376.000 personnes, des suisses ou belges, les données bancaires sont à rajouter à la liste des données volées. Des informations financières… non chiffrées, ce qui est illégal en Europe.

Loyalbuild propose un système de fidélisation de clienteles. Voilà qui risque de lui faire mal ! Les entreprises affiliées viennent de fermer leur espace « Loyalbuild » afin de protéger leurs propres clients.

Chiffrement, Cyber-attaque, Entreprise, Fuite de données, ID, Leak, Vie privée

Près de 2 millions de mots de passe 123456 pour des clients ADOBE

3 commentaires

Après le piratage de 38 millions de clients de l’éditeur ADOBE, une étude montre que les mots de passe des piratés sont aussi ridicules qu’inutiles. A se demander si le piratage de 38 millions de clients ADOBE n’est pas un moyen de communiquer auprès des clients et entreprises utilisatrices des produits de l’éditeur de Photoshop, Adobe Acrobat, ColdFusion. Des chercheurs, qui ont été mettre la main sur les données diffusées sur un forum russe, ont analysé les mots de passe volés à ADOBE. Des précieux appartenant donc à ses clients.

Jeremi Gosney, chercheur chez Stricture Consulting Group révèle une liste des 100 mots de passe les plus utilisés. Autant dire qu’il y a des claques qui se perdent : 1,9 million de comptes utilisaient comme sésame : 123456 ; plus de 400 000 : 123456789. On vous passe les mots de passe « password« , « 12345678 » ou encore « adobe123« . Bref, avec de telle sécurité pas besoin de voler une base de données ! (Developpez)

Cyber-attaque, Entreprise, Fuite de données

La vulnérabilité des systèmes SCADA, une découverte mondiale et une réalité française

Un commentaire

La semaine dernière aux Etats-Unis, des chercheurs ont identifié 25 vulnérabilités zero-day (des exploits qui utilisent une faille jusqu’ici méconnue) dans des logiciels de contrôle industriel d’une seule entreprise, et plus précisément au sein de ses systèmes de gestion SCADA. Bien qu’aucune faille détectée n’ait pu permettre une prise de contrôle totale des serveurs, les chercheurs ont pu ainsi prouver que cette possibilité existait bel et bien, et que des pirates pourraient utiliser ce biais pour prendre contrôle de l’ensemble du système.

En France, Patrick Pailloux, Directeur Général de l’ANSSI, s’est exprimé lors des dernières Assises de la Sécurité  sur le besoin urgent pour les entreprises et les organismes gouvernementaux de s’assurer un haut niveau de sécurité inhérent aux systèmes industriels critiques. Le gouvernement vient appuyer le positionnement de l’ANSSI face à cette vulnérabilité des systèmes de contrôle-commande industriels via un projet de loi prévoyant que l’Etat puisse règlementer la protection des systèmes d’information critiques des Opérateurs d’importance vitale (OIV), c’est-à-dire les hôpitaux, les banques ou encore les acteurs dans le secteur de l’énergie (nucléaire, eau, électricité, etc.), des télécoms et des transports.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, commente à dataSecurityBreach.fr : « Les cyber-attaques sur les systèmes de gestion SCADA sont rares si nous les comparons aux nombreux incidents touchant des applications Internet ou encore les réseaux informatiques d’entreprise, mais les dommages causés sont bien plus graves. Il suffit que les systèmes SCADA en charge de la télégestion de l’infrastructure critique nationale soient vieillissants ou bien peu protégés pour que les hackers puissent en prendre le contrôle via un simple virus informatique. Dès lors, ils peuvent altérer les opérations au sein des usines de production d’eau, d’électricité ou des réseaux d’énergie. L’ampleur des dégâts liés aux cyber-attaques peut être colossale : elles peuvent non seulement entrainer la perte des données, lourdes de conséquences sur les entreprises et leurs clients, mais aussi engendrer des dommages sur le monde physique, avec un réel impact sur la population. »

Les systèmes SCADA sont beaucoup plus vulnérables face aux cyber-attaques dans la mesure où ils ont été développés à l’époque où Internet n’était pas encore un outil indispensable et omniprésent au quotidien, tant sur le plan professionnel que personnel. La conception du système de contrôle de sécurité s’est donc limitée aux accès physiques, ne prenant ainsi pas en compte le risque de cybermenaces.  Les plus virulentes cyber-attaques expérimentées au cours de ces dernières années, telles que les virus Stuxnet ou encore Flame, ont été initiée par le biais de systèmes SCADA, il est donc évident que de telles attaques peuvent encore frapper aujourd’hui, notamment en raison d’un niveau de sécurité insuffisant. Avec la découverte régulière de nouvelles vulnérabilités, les organisations et les gouvernements doivent prendre conscience qu’il est important et désormais urgent de renforcer la sécurité inhérente aux systèmes industriels critiques.

« Les outils traditionnels de cyber sécurité tels que les antivirus ont prouvé leurs limites à maintes reprises. Le virus Flame par exemple, a réussi à contourner le système de détection de 43 antivirus et il a fallu plus de deux ans avant qu’il ne soit identifié. Les entreprises et organismes gouvernementaux doivent donc mettre en place des solutions d’investigation, de détection et de prise en charge de toutes les menaces et vulnérabilités évoluées, avec davantage de précision et des mesures en temps réel. Pour y parvenir, une analyse permanente et complète de tous les logs générés par les systèmes informatiques est indispensable. Avec la forte augmentation de l’informatisation, les infrastructures critiques nationales deviennent de plus en plus vulnérables, il est devenu indispensable de s’équiper avec des niveaux de protection avancés, il en va de l’intérêt général. »

Cyber-attaque, Piratage

La Syrian Electronic Army s’attaque à Obama

L’armée électronique Syrienne revient sur le devant de la scène du piratage en s’attaquant au site BarackObama.com. La Syrian Electronic Army (voir son Interview dans l’émission de juin de zatazweb.tv) viennent d’annoncer le piratage du compte Twitter et Facebook du président américain Barack Obama. Si plus aucune trace ne subsiste au moment de l’écriture de cette article, l’équipe de DataSecurityBreach.fr a pu constater la diffusion de vidéo, vers 13h.

Les hacktivistes pro gouvernement syrien ont annoncé aussi le piratage du site BarackObama.com et d’un compte gMail qui semble appartenir à l’équipe de campagne du président américain. L’AES est devenu célèbre au cours de ces derniers mois pour ses attaques de grande envergure à l’encontre des médias occidentaux que l’AES considère être contre le président syrien Bachar al-Assad. Les liens modifiés dans le profil d’Obama conduisaient vers une vidéo de 24 minutes intitulée « La Syrie face au terrorisme. » La vidéo, qui se trouve sur Youtube, comporte des images pouvant heurter nos jeunes lecteurs. Bizarrement, les pirates n’ont pas diffusé les informations qu’ils auraient réussi à copier. A noter que Facebook a déjà effacé 241 comptes créés pour la « promotion » de la Syrian Electronic Army. La 242ème page a été ouverte ce 28 octobre.

Mise à jour : Il semble que l’attaque se soit surtout portée sur le système de réduction de lien. Une proche de la Maison Blanche, comme l’explique ZATAZ.COM a diffusé un Tweet, fin septembre, avec le mot de passe d’un accès que la SEA a pu exploiter dans son attaque.

Mise à jour II : Le Monde revient sur cette attaque en confirmant la probable fuite, via Twitter.

Cyber-attaque, Cybersécurité, DDoS

Recrudescence des attaques de DNS

Un commentaire

Recrudescence des attaques de DNS : de la nécessité de repenser ses stratégies de sécurité par Rodolphe Moreno, Directeur Général France d’Infoblox pour DataSecurityBreach.fr.

Le DNS est un canal de communication à la fois fiable et furtif, ce qui en fait un vecteur idéal pour les programmeurs mal intentionnés. L’infrastructure DNS conditionne l’accès au Web : il est impossible d’accéder à un domaine Internet quand le serveur DNS qui l’administre est en panne. Commençant à entrevoir les opportunités potentielles de ces failles, les pirates se sont mis à concevoir des programmes malveillants qui exploitent les DNS pour communiquer avec des bot masters afin d’accomplir diverses activités frauduleuses. Une nouvelle génération de botnets et de menaces persistantes avancées (Advanced Persistent Threats, APT) est ainsi née, qui utilise les DNS pour infecter des machines et les contrôler, lancer des attaques réseau sophistiquées ou couvrir des activités criminelles.

Quantité de réseaux sont chaque jour piratés via les DNS, cibles faciles pour les cybercriminels car accessibles et très peu sécurisés. Ils figurent parmi les rares services quasi systématiquement autorisés à traverser les pare-feux, la plupart du temps par des proxies DNS locaux désignés. Par ailleurs, la moindre intensité du trafic DNS, au regard du trafic Web ou des e-mails, explique aussi qu’il est moins rigoureusement filtré.

Il est essentiel, désormais, que les entreprises intègrent la protection des systèmes de noms de domaine dans leur stratégie de sécurité.

Nous avons donc voulu consacrer cet article aux principaux vecteurs de menace des DNS et aux solutions dont disposent les décideurs IT pour renforcer la sécurité des réseaux de leur entreprise et de leurs fournisseurs de services.

On distingue généralement deux types d’attaques :

· celles qui visent à provoquer une interruption de services DNS, telles que les attaques par déni de service / déni de service distribué (Denial of Service, DOS / Distributed Denial of Service, DDOS), empoisonnement de cache, manipulation de réponses ou encore interception (Man-inthe- Middle, MITM) ;

· et celles qui exploitent indirectement les DNS, comme les attaques par botnets, détournement de noms de domaine, APT ou détournement de DNS (tunneling). Les principaux vecteurs utilisés par les cybercriminels : Empoisonnement de cache : l’attaquant envoie de fausses réponses DNS à un résolveur DNS, lequel les stocke dans le cache DNS pendant la durée de vie prédéfinie. L’ordinateur considère que le serveur DNS empoisonné est légitime et incite alors l’utilisateur à télécharger, sans le savoir, des contenus malveillants.

Exploitation d’anomalies dans le protocole DNS : l’attaquant envoie des requêtes ou réponses DNS mal formées au serveur DNS visé afin d’exploiter les anomalies d’implémentation du protocole du logiciel du serveur. Cette technique permet de déclencher des dénis de service, d’empoisonner le cache ou de compromettre les serveurs ciblés.

Redirection de DNS (MITM) : le protocole DNS sur UDP étant sans état, il est vulnérable aux attaques MITM, de type DNS Changer, DNS Replay ou redirection illégitime, principalement utilisées à des fins de hacktivisme, de phishing, de défacement de sites Web ou de vol de données.

Détournement de DNS (DNS Tunneling) : l’attaquant exploite le DNS tel un canal caché pour contourner les mécanismes de sécurité classiques. Les données sortantes et entrantes communiquées sont respectivement encapsulées dans des requêtes et réponses DNS. Le programme malveillant installé sur un hôte peut alors contacter son opérateur (le serveur de commande et de contrôle) et transférer les données dérobées ou exécuter des commandes sur l’hôte sans être détecté.

Détournement de noms de domaine : l’attaquant dirige l’utilisateur vers un domaine piraté imitant un domaine légitime, généralement celui d’une institution financière ou d’une agence de voyage, afin de recueillir frauduleusement des données sensibles, comme des identifiants et codes d’accès, des numéros de sécurité sociale, des codes PIN ou les numéros de cartes de paiement.

DOS / DDOS : ces attaques ont gagné en ampleur, en rapidité et en sophistication en 2012. Il en existe principalement deux variantes : · celles qui ciblent directement les serveurs d’infrastructure DNS, elles incluent également les attaques récursives, par falsification d’adresse source et par saturation de serveurs DNS, déclenchées par les botnets ; · celles qui utilisent un serveur DNS pour lancer des attaques de type DDOS par amplification ou par réflexion. L’attaquant transmet de fausses requêtes au serveur DNS pour qu’il envoie massivement des réponses DNS non sollicitées à la machine visée. Il peut également envoyer de petites requêtes DNS à plusieurs serveurs DNS pour lancer discrètement une attaque DDOS massive par amplification.

Fast Flux : le fast flux consiste à modifier rapidement et fréquemment l’adresse IP d’un hôte en raccourcissant la durée de vie des enregistrements DNS. Le domain fluxing consiste quant à lui à attribuer plusieurs noms de domaine complets (Fully Qualified Domain Names, FQDN) à une même adresse IP, celle du serveur de commande et de contrôle (C&C).

Menaces persistantes avancées (Advanced Persistent Threats, APT) : ces attaques consistent à accéder à un réseau sans y être autorisé et sans être détecté pendant de longues périodes. Comme leur nom l’indique, les APT sont des programmes malveillants avancés, persistants par nature, entièrement dédiés à un objectif spécifique. Parmi ceux-ci figurent Conficker A/B/C, Torpig, Kraken ou encore TDSS/TLD4, plus récent, qui exploitent des DNS pour communiquer avec des serveurs C&C distants afin de collecter des codes malveillants et instructions pour mener à bien leurs attaques.

Vous l’aurez compris : les vecteurs d’attaques de DNS sont si nombreux et variés qu’une seule technologie ne saurait les contrer tous. La protection complète de l’infrastructure et des services DNS suppose donc une stratégie de sécurité fondée sur plusieurs mécanismes de défense : des pare-feu DNS (systèmes qui analysent le trafic en quête de menaces, détectent les anomalies et protègent le réseau en temps réel contre les domaines malveillants) ; la mise en œuvre de DNSSEC (signature numérique des enregistrements DNS) ; des systèmes de protection contre les DOS/DDOS, des systèmes de prévention des fuites de données et d’autres protocoles, des systèmes dédiés de détection des APT (mécanismes heuristiques et autres techniques d’analyse comportementale permettant de déceler les programmes APT qui utilisent le DNS pour communiquer avec des serveurs C&C).

Les serveurs DNS apparaissent donc comme des cibles de choix pour les cybercriminels et programmeurs mal intentionnés, qui y voient un moyen simple de contourner les mécanismes de défense traditionnels pour satisfaire leurs ambitions de guerre virtuelle, d’espionnage industriel, de hacktivisme, de soutien ou de contestation politique, de vol de données, de distribution de spams ou encore d’attaques DDOS coordonnées. Les pare-feux de nouvelle génération n’offrent pas une sécurité suffisante. Seule une stratégie de défense multidimensionnelle permettra aux entreprises de se prémunir contre ces programmes malveillants et les techniques modernes qui contournent les dispositifs de sécurité grâce au DNS.

Cyber-attaque, DDoS, Espionnae, Vie privée, VPN

Google veut protéger les ONG et les droits de l’Homme des DDoS

Un commentaire

La filiale « idées » de Google, la Google Ideas, vient d’annoncer qu’une de ses nouvelles initiatives seraient à destination des ONG et autres associations de défense des Droits de l’Homme. Le géant américain annonce vouloir ainsi protéger des attaques DDoS, les sites web des défenseurs des Droits de l’Homme. L’annonce a été faite lors du « Conflict in a connected world« . Le projet, baptisé Shields, va profiter du Page Speed Service (PSS). Le PSS permet d’accélérer l’accès aux pages web. Un moyen technique qui va être utilisé, aussi, pour contrer les dénis de service distribués (DDoS) qui peuvent bloquer sites web et communication (emails, …) des serveurs visés par un afflux pirate de données. Plusieurs sites web ont été invités, ils sont basés en Iran, Syrie, Birmanie (Myanmar) et au Kenya. Arbor Network, proposera d’ici peu une carte baptisée « Digital Attack Map » qui montrera les attaques visant les sites protégés. Bilan, les DDoS seront interceptés par Google. Les DDoS et les informations transitant par PSS. A noter que d’ici quelques semaines, Google va proposer uProxy, une application pour Chrome et Firefox. Mission, créer un système de sécurisation des données.

Pendant ce temps, en Europe

Le Parlement européen a annoncé, lundi soir, un renforcement de la protection des données personnelles sur internet. La commission des libertés publiques a approuvé les propositions de sanctions et la directive destinées à renforcer la protection des données personnelles (sur Internet, dans les entreprises, …) au sein des états membres. La prochaine loi doit donner un plus grand contrôle sur leurs données personnelles. Les entreprises, mais aussi les géants du web, comme Google, auront obligation d’obtenir notre consentement préalable pour l’utilisation de nos données. Nous pourrons, mais en France cela est déjà normalement possible via la Loi Informatique et des Libertés, de demander aux entreprises de supprimer nos données. Des amendes sont annoncées. Elles pourront atteindre jusqu’à 5% du chiffre d’affaires. Le texte doit être approuvé lors d’une prochaine session du Parlement.

Après trois ans de travail parlementaire les eurodéputés de la Commission LIBE ont adopté à une forte majorité le règlement (49 +, 2- et 1 abst pour le règlement) et la directive (29+, 20, – 3 abst) sur les données personnelles et ont octroyé aux deux rapporteurs du Parlement européen, Jan-Philippe Albrecht (Verts, All), et Dimitrios Droutsas (S&D, GR) un large mandat de négociation avec le Conseil et la Commission européenne. Les socialistes Sylvie Guillaume et Françoise Castex présentes lors du vote se félicitent de ce résultat.   « Nous aurions pu souhaiter un encadrement plus strict sur l’encadrement des données pseudonymes mais ce résultat est dans l’ensemble un bon résultat qui était encore impensable il y a quelques mois », note Françoise Castex. « En Février la droite européenne majoritaire au Parlement était favorable à un allégement de la proposition de la commission européenne, allant même jusqu’à déposer des amendements proposés par les géants du Net américain. Nous ne pouvons que nous féliciter qu’ils aient fini par voter pour ce texte qui va vers une meilleure protection des consommateurs: le consentement explicite, l’encadrement des transferts de données vers un État tiers ou la possibilité de déréférencement sont des avancées réelles pour la protection de la vie privée des citoyens européens. »

Pour Sylvie Guillaume : « La protection des données est un droit fondamental pour les citoyens européens et les dernières révélations sur les écoutes de la NSA en France nous rappellent plus que tout que nous avons besoin de nous doter de règles claires. Malgré un lobbying intense, le compromis obtenu va véritablement dans le sens de règles renforcées au service des consommateurs, tout en n’accablant pas les PME de charges bureaucratiques excessives. Ainsi, grâce au vote de ce soir, un consentement explicite devra être donné librement avant tout traitement des données personnelles et toute personne pourra retirer son consentement dès qu’elle le souhaitera. Loin des contrats de confidentialité plus longs encore que le texte d’Hamlet (cf. ITunes), chacun pourra, au moyen de pictogrammes, connaître précisément et de façon claire à quelles fins ses données sont traitées, si elles sont transférées à des tiers…Enfin, des compagnies comme Google, Facebook et Skype ne pourront plus être autorisées à transférer des données à des pays tiers sans un accord européen légal sur des transferts de données. Soit autant de mesures qui doivent sonner comme un message fort à l’adresse du Conseil européen avec lequel les négociations vont s’ouvrir ».

Les députées européennes concluent: « L’affaire PRISM, et les plaintes de plus en plus nombreuses des consommateurs sur ce sujet montrent que la question de la protection des données personnelles est devenue un sujet très sensible. Après trois ans de travail parlementaire il serait bon de ne plus trop trainer et d’obtenir un texte fort avant la fin du mandat ! ».

Cyber-attaque, Leak, Piratage

Portait de pirate : PhenomenalCrew

3 commentaires

Qui sont-ils ? Pourquoi agissent-ils ? Interview de jeunes pirates qui signent leurs actions malveillantes sur la toile sous le nom de PhenomenalCrew. Depuis plusieurs mois, le groupe de pirates francophones PhenomenalCrew fait parler de lui en s’attaquant à des dizaines de sites Internet. Ce groupe,  formé de quatre jeune internautes, se dit passionné d’informatique et avide de bases de données. Des Universités, des communes, des mutuelles ont été ciblées par ces jeunes gens. Des actes qui pourraient leur couter très cher. La loi française condamne les actes de piratage informatique de 3 à 7 ans de prison et jusqu’à 350.000€ d’amende. Rencontre avec ces bidouilleurs qui pourraient très bien être votre fils ou votre petit frère. Les propos tenus dans cette interview ne reflètent pas les idées de la rédaction mais celles de ces jeunes pirates.

[+] DataSecuriyBreach.fr –  Pourquoi PhenomenalCrew ?

Le Nom parle de lui-même, nous sommes Phénoménal, non ?

[+] DataSecuriyBreach.fr – Depuis plusieurs mois vous piratez sites et serveurs, pourquoi ?

Nous nous battons contre la corruption, les informations atténuées par les médias et le contrôle que nous subissons par certaines sociétés secrètes, la guerre en Palestine nous préoccupe aussi beaucoup.

[+] DataSecuriyBreach.fr – Dans vos piratages, des communes, des universités, des constructeurs automobiles. Pourquoi ces cibles ?

Nous visons de grands sites pour faire passer nos messages, quoi de mieux qu’un grand constructeur de voitures, la voiture est un objet que tout le monde possède, donc utile. Pour ce qui est des universités, c’est une autre histoire. Nous avions vu un reportage tantôt sur des élèves travaillant sur des tablettes numériques, pendant que nous, Français, sommes encore sur des ardoises ou support papier, le monde évolue et nous nous restons au même endroit … Les méthodes sont archaïques. Après ces fameux piratages d’Universités, les sites web visés ont mis à jour leurs sites.

[+] DataSecuriyBreach.fr – Vous avez piraté aussi des espaces de mutuelle, pourquoi ?

S’ils protègent leurs clients comme leurs sites Web, où va le monde ! Un certain laxisme a été repéré dans ce genre de système que nous, pays développé,  avons la chance d’avoir … et que nous ne sommes pas fichus de sécuriser un minimum.

[+] DataSecuriyBreach.fr – Qu’est-ce que vous aimez dans le « hack » ?

Le Hacking n’est pas un loisir, c’est un devoir pour nous.

[+] DataSecuriyBreach.fr – Y a-t-il vraiment un défi, aujourd’hui, à la vue des outils qui automatisent les attaques ?

Il faut avoir du courage, fouiner, trouver, comprendre et enfin attaquer. C’est vrai que cela efface le côté un peu « Kitch » du piratage informatique à la main ou avec le bon vieux Backtrack. Il faut savoir se modérer dans les attaques automatisées et pratiquer d’autant plus manuellement.

[+] [+] DataSecuriyBreach.fr – et les autorités ?

Nous savons que nos actions sont illégales, mais nous essayons de nous protéger au mieux contre cette justice qui s’acharne sur nous les hackers. Nous voulons faire avancer les choses. Les gouvernements ne sont pas, non plus, très en accord avec la loi, comme nous avons pu le voir très récemment dans l’affaire Snowden. Je pense que nos actions sont minimes à côté de leurs actes.

[+] DataSecuriyBreach.fr – Pourquoi diffuser les bases de données des sites piratés. Les personnes dans les BDD, comme celle de la banque européenne du sperme ne sont pas responsables des failles/bugs/…

Les webmasters prendront plus conscience de ce qu’il leur arrive si leurs utilisateurs sont mis en danger. Ils prendront cela au sérieux, ce qui fera avancer leurs corrections. Ce que nous faisons est en fait bénéfique, regardez certaines universités que nous avions piraté. Ils ont fait une « Version 2.0 » de leur site web. Ce qui montre que notre piratage a été utile. Ils ont pris conscience des choses. Des personnes mal intentionnées auraient pu faire bien pire.

[+] DataSecuriyBreach.fr – Ne pensez-vous pas qu’aujourd’hui, le web est devenu un énorme « merdier » ?

Tout tourne autour des systèmes informatiques. Tout le monde s’y met de plus en plus tôt, ce qui laisse place à des générations très jeunes, comme très âgées. Dans le web, on y met tout et n’importe quoi … et c’est vrai, surtout n’importe quoi.

[+] DataSecuriyBreach.fr – Comment voyez-vous votre avenir dans 5 ans ?

Nous ne pouvons malheureusement pas savoir de ce que demain sera fait, nous espérons tout de même avoir un rôle dans la sécurité informatique, se ranger et être au service des gens, au lieu de les traquer.

[+] DataSecuriyBreach.fr – Vous ciblez vos « hacks » comment ?

Nous décidons en équipe de ce que nous voulons pirater. Nous pesons le pour et le contre et essayons de trouver des raisons valables à ces attaques, ça ne se fait pas comme ça, un matin, en se levant du lit.

[+] DataSecuriyBreach.fr – Avez-vous déjà trouvé des choses que vous n’avez pas osé diffuser ? Oui, des coordonnées bancaires.

[+] DataSecuriyBreach.fr – Pourquoi ?

Ce sont les fichiers les plus sensibles, que l’on peut trouver dans une base de données classiques, tout tourne autour de l’argent, nous pouvons détruire une famille financièrement et nous en sommes conscients, c’est pour cela que nous évitons de les partager.

[+] DataSecuriyBreach.fr – Qu’avez-vous pu trouver d’étonnant ?

Un petit site, peu cacher de très grandes choses comme des gouvernements, une banque nationale. Il est possible de s’attaquer à petit dans la forme, mais gros dans le fond des choses essentielles. C’est cela qui nous a troublé, il y a peu. Pourquoi cacher d’aussi grandes informations, dans un site d’amusement.

[+] DataSecuriyBreach.fr – Comment voyez-vous l’avenir du web ?

Très avancé, et moins kiddies nous l’espérons, et toujours avec nous, PhenomenalCrew, pour le défendre.

Cyber-attaque, Hacking, Leak

Un ponte Russe du piratage informatique arrêté

Les services secrets Russes mettent la main sur l’un des plus important pirate informatique du pays. Les services secrets russes, le FSB, aurait mis la main sur l’auteur d’un des plus important couteau Suisse pirate du web, Blackhole. Ce logiciel permet d’attaquer des ordinateurs, à distance, à partir d’exploits et sites web piégés. Finalité de ce logiciel, profiter de failles dans des logiciels web (Adobe, Navigateurs, Apache, …) pour voler toutes les données bancaires possibles, Bitcoin compris. Un kit exploit qui a fait de gros dégâts. Si la rumeur fait état que cette arrestation n’en serait pas une, il est très intéressant de constater que le service « chiffrement » proposé par Paunch, crypt.am, a été fermé. Si peu d’informations ont pour le moment fuitées, Paunch (ou encore Punch) a en main des centaines de milliers d’informations qui pourraient faire frémir le black market, le marché noir des données bancaires piratées.

Cyber-attaque, Cybersécurité, Fuite de données, Leak, Paiement en ligne

Plus de 2 millions de données clients volées à ADOBE

Un commentaire

ADOBE, le géant du logiciel de création sur Internet ne voit que pas le Cloud. Au prix que coûtent ses outils numériques, nous aurions pu penser que la sécurisation des données que nous pouvons lui laisser étaient aussi carrée que le protocole mis en place pour s’assurer que les utilisateur de Photoshop, Premiere, … ne soient pas des vilains copieurs.

La société américaine vient de confirmer, par le biais de Brad Arkin (responsable sécurité) qu’un pirate informatique avait mis la main sur pas moins de 2.9 millions de comptes utilisateurs. Dans le fichier intercepté via une faille iSQL : les noms, les informations de facturation, les données des carte de crédit, CVV et compagnie. Les mots de passe des clients ont été réinitialisés.

« L’équipe Adobe en charge de la sécurité a récemment découvert sur notre réseau des attaques sophistiquées portant sur l’accès illégal aux informations de nos clients, ainsi qu’au code source d’Adobe ColdFusion, un serveur d’applications destiné aux développeurs et, potentiellement, d’autres produits Adobe. Nous pensons que ces attaques pourraient être liées. En collaboration avec nos partenaires et les services de police, nos équipes internes mettent tout en œuvre pour résoudre cet incident. »

Là ou cela devient du grand n’importe quoi. Le pirate aurait réussi à mettre la main sur des codes sources d’outils comme Adobe Acrobat, ColdFusion, et ColdFusion Builder. Les pirates ont eu accès aux identifiants et mots de passe Adobe des clients. Les pirates ont pu accéder aux informations bancaires cryptées de 2,9 millions de clients Adobe, et notamment aux noms des clients, à leurs numéros de carte bancaire cryptés et dates d’expiration, ainsi qu’à d’autres données relatives à leurs commandes. « Pour le moment, nous pensons qu’aucun numéro de carte bancaire extrait de nos systèmes n’a été décrypté« . a pu lire datasecuritybreach.fr. Adobe enquête également sur l’accès illégal au code source de ColdFusion et sur le risque d’un accès non autorisé au code source d’autres produits Adobe. « Nous n’avons pas connaissance de menaces accrues pesant sur les utilisateurs de ColdFusion suite à cet incident« .

Toute la procédure pour les clients est en ligne afin de réinitialiser en trois points son mot de passe.

Arnaque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Espionnae, Hacking, VPN

Des ordinateurs piégés lors d’un important tournoi de poker

4 commentaires

Que s’est-il passé lors lors de l’EPT de Barcelone. Au moins trois joueurs professionnels de poker, qui logeaient dans l’Hôtel ARTS ont vu leurs ordinateurs portables disparaitre, pu revenir dans la chambre de leurs propriétaires respectifs. Les victimes, Jens Kyllönen, Ignat Liviu et Aku Joentausta ont découvert qu’une personne avait tenté d’installer un logiciel espion dans leurs machines. DataSecurityBreach.fr vous rappelle que Kyllönen est l’un des plus importants joueurs de poker du web.

Ignat Liviu a expliqué sur le forum 2+2 sa mésaventure : « la même chose nous est arrivée à Ignat et moi, nos clés de chambre ne fonctionnait plus, nous descendons à la réception, lorsque nous sommes remontés nos ordinateurs avaient disparu. Le temps de retourner à la réception pour signaler le vol, remonter dans notre chambre, nos machines étaient miraculeusement réapparu. » Du côté de l’Hôtel, une enquête est en cours.

Que vous soyez joueur de poker ou non, dans un hôtel, un ordinateur portable n’a pas à trainer sur une table. Voici quelques trucs que DataSecurityBreach.fr utilise en déplacement :

– Ranger votre machine dans le coffre de votre chambre.

– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate.

    

– Changer votre mot de passe de portable et mettez un mot de passe au bios de votre machine. Le mot de passe bios vous évitera la modification de lancement de votre machine, vers une clé USB ou CD boot casseur de mot de passe. [Voir comment cracker le mot de passe de n’importe quel Windows en 30 secondes].

– Chiffrer les informations sensibles ou le disque dur de votre ordinateur.

– Utiliser un câble antivol.

– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.

– Nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.

– Un antivirus mis à jour obligatoire.

– Utiliser un VPN pour vos connexions.

– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.

Si aucune de ces solutions proposées par zataz.com ne vous convient, gardez votre machine à vos côtés.

Ps : DataSecurityBreach.fr ne peut proposer l’url du forum américain 2+2 considéré comme interdit sur le territoire français par l’ARJEL. Ce forum propose des liens et des tournois de pokers vers des casinos illicites sur le territoire hexagonal.

Cyber-attaque, DDoS, Leak, Piratage

Hidden Lynx : des pirates professionnels qui vendent leurs services

Hidden Lynx : des pirates professionnels qui vendent leurs services. Par Security Response pour datasecuritybreach.fr. Ces dernières années, des rapports ont été régulièrement publiés sur les activités d’acteurs du Web responsables de diverses attaques ciblées et d’APT (Advanced Persistent Threats), ou menaces avancées persistantes. Symantec a enquêté sur un groupe de pirates qui compte parmi les plus performants. Il a été surnommé « Hidden Lynx », suite à une chaîne de script trouvée dans les communications des serveurs de commande et de contrôle. Ce groupe est plus motivé et dynamique que les autres groupes bien connus tels que APT1/Comment Crew. Il se caractérise par les éléments suivants : prouesse technique ; agilité ; organisation ; ingéniosité et patience.   Les compétences du groupe se sont illustrées lors de campagnes incessantes menées simultanément contre plusieurs cibles sur une longue période de temps. Ces pirates ont été les premiers à utiliser la technique du « trou d’eau » – « watering hole » en anglais – pour piéger leurs cibles. Ils accèdent rapidement aux failles « zero-day », et disposent de la ténacité et de la patience du chasseur intelligent qui compromet  la chaîne logistique afin d’atteindre sa véritable cible. Ces attaques contre la chaîne logistique consistent à infecter les ordinateurs d’un fournisseur de l’entreprise visée, dans l’attente que les ordinateurs infectés soient installés chez la cible et communiquent avec des ordinateurs distants. Ce sont clairement des actions froidement préméditées plutôt que des incursions impulsives d’amateurs.

Ce groupe ne se limite pas seulement à quelques cibles, mais vise des centaines d’entreprises différentes dans de nombreuses régions, même simultanément. Étant donné la diversité et le nombre des cibles et des régions concernées, Symantec en déduit que ce groupe est très probablement une organisation professionnelle de pirates qui louent ses services à des clients souhaitant obtenir des informations. Ils volent à la demande ce qui intéresse leurs clients, quelle qu’en soit la nature, d’où le large éventail de cibles.

Symantec pense également que pour mener des attaques de cette envergure, le groupe doit disposer d’un nombre considérable d’experts en piratage. Symantec estime que 50 à 100 opérateurs sont employés et répartis en au moins deux équipes distinctes, chargées de mener différentes activités à l’aide d’outils et de techniques divers. Ces types d’attaque nécessitent du temps et du travail. Certaines campagnes impliquent de rechercher et de collecter des renseignements avant de pouvoir mettre au point une attaque fructueuse.

Une équipe en première ligne utilise les outils disponibles ainsi que des techniques de base, mais suffisamment efficaces pour attaquer plusieurs cibles différentes. Elle peut également collecter des informations. Nous l’appelons l’équipe Moudoor, d’après le nom du cheval de Troie qu’elle utilise. Moudoor est un cheval de Troie de porte dérobée que l’équipe emploie largement sans se soucier de sa découverte par les spécialistes de la sécurité. L’autre équipe agit comme une unité d’opérations spéciales, composée de membres d’élite qui infiltrent les cibles les plus précieuses ou les plus robustes. Cette équipe utilise un cheval de Troie nommé Naid et, en conséquence, nous la définissons comme l’équipe Naid. Contrairement à Moudoor, le cheval de Troie Naid est utilisé avec parcimonie et prudence pour éviter qu’il ne soit détecté et bloqué, comme une arme secrète utilisée uniquement lorsque l’échec n’est pas envisageable.

Depuis 2011, Symantec a observé au moins six campagnes importantes menées par ce groupe. La plus remarquable d’entre elles est l’attaque VOHO de juin 2012. L’aspect intéressant de cette action était l’utilisation d’attaques de type « watering hole » (« trou d’eau ») destinée à compromettre la fiabilité des fichiers Bit9 pour la signature d’infrastructure. La campagne VOHO visait les fournisseurs de l’armée américaine dont les systèmes étaient protégés par une solution de protection de Bit9, mais lorsque l’attaque des pirates Hidden Lynx a été bloquée par cet obstacle, ils ont reconsidéré leur approche et estimé que la meilleure façon de contourner ce logiciel était de compromettre le cœur du système de protection proprement dit pour l’exploiter à leurs fins. C’est exactement ce qu’ils ont fait en se concentrant sur Bit9 et en pénétrant ses systèmes. Les pirates se sont alors rapidement introduits dans l’infrastructure de signature de fichier sur laquelle repose le modèle de protection de Bit9, et ont utilisé ce système pour signer un certain nombre de fichiers malveillants. Ils ont ensuite utilisé ces fichiers pour compromettre leurs cibles.

Argent, Cyber-attaque, Entreprise, Fuite de données, Leak, Propriété Industrielle

Les attaques ciblées coutent beaucoup d’argent

Kaspersky Lab et B2B International viennent de dresser un état des lieux des coûts liés à une attaque ciblée pour les grandes entreprises et les PME. Les attaques ciblées comptent parmi les cybermenaces les plus dangereuses car elles sont généralement préparées et lancées par des pirates professionnels qui disposent de ressources financières importantes et d’une excellente expertise informatique. Datasecuritybreach.fr vous l’explique souvent, ces attaques visent en général à récupérer des informations secrètes ou confidentielles d’une entreprise spécifique. Toute fuite de ces données est susceptible d’entraîner des pertes considérables.

À combien peuvent s’élever les pertes à Selon l’étude « Global Corporate IT Security Risks 2013 » réalisée par B2B International pour Kaspersky Lab au printemps dernier, ces incidents coûtent en moyenne jusqu’à 2,4 millions de dollars à l’entreprise, dont environ 2,17 millions de dollars directement imputables à l’incident lui-même, sous la forme de pertes liées aux fuites de données stratégiques, à l’interruption d’activité et aux frais des services de rétablissement spécialisés (juristes, spécialistes de la sécurité informatique, etc.). Les entreprises doivent également régler une facture supplémentaire d’environ 224 000 dollars pour financer des mesures telles que la mise à jour des logiciels et de l’équipement, le recrutement et la formation du personnel ; en somme des mesures visant à éviter que ce type d’incident ne se reproduise.

Les pertes résultant d’attaques ciblées sur les PME sont nettement inférieures (environ 92 000 dollars par incident), mais si l’on considère la taille de ces entreprises (entre 100 et 200 employés en moyenne), le coup porté reste important. Sur ce montant moyen, environ 72 000 dollars sont dépensés pour remédier à l’incident et 20 000 dollars seront dédiés à la prévention d’incidents similaires à l’avenir.

Autres types d’attaques coûteuses Même si leur coût financier est le plus élevé, les attaques ciblées ne sont pas les attaques les plus courantes. Environ 9 % des participants à l’enquête ont indiqué que leur entreprise avait subi une attaque ciblée au cours des 12 mois précédents Alors qu’un pourcentage nettement supérieur (24 %) a signalé le piratage de l’infrastructure de réseau de l’entreprise. Pour les grandes entreprises, ces attaques peuvent coûter jusqu’à 1,67 million de dollars (73 000 dollars pour les PME) et sont considérées comme le deuxième type d’attaque le plus coûteux. 19 % des entreprises ont subi des fuites intentionnelles de données, pour un coût financier moyen de 984 000 dollars (51 000 dollars pour les PME). Les attaques exploitant des failles dans des logiciels courants ont touché 39 % des entreprises. Suite à ce type d’attaque, les grandes entreprises ont subi des dégâts d’un montant moyen de 661 000 dollars, contre 61 000 dollars pour les PME.

Les mesures préventives appropriées Les attaques ciblées sont complexes et exigent généralement une longue période de préparation au cours de laquelle les utilisateurs malveillants s’efforcent de repérer les points faibles de l’infrastructure informatique d’une entreprise et de trouver les outils nécessaires au lancement de l’attaque. Un antivirus seul n’offre pas de protection contre ce type de menace, bien que des solutions antivirus efficaces permettent de gérer d’autres types de menaces. Il est nécessaire de mettre en place une solution professionnelle basée sur des technologies de détection des menaces à la fois modernes et proactives pour protéger l’entreprise aussi bien contre les attaques ciblées, que contre d’autres menaces informatiques dangereuses.

Cyber-attaque, Hacking, Leak

Informations classées secret défense piratées

3 commentaires

Des attaques informatiques lancées par la Corée du Nord auraient été découvertes. C’est ce qu’affirme plusieurs sociétés de sécurité informatique Coréennes. Les sites de plusieurs ministères et agences gouvernementales de la Corée du Sud ont été impactées. Mission des « visiteurs », tenter d’obtenir des informations secrètes du grand frêre du sud. L’information a été révélée par le fournisseur de solutions de sécurité informatique Hauri Inc. Depuis trois ans, des activités d’espionnage informatique, qui seraient orchestrées par la Corée du Nord, ont tenté plusieurs méthodes d’attaques dont l’injection de logiciels espions ayant pour mission de récupérer des informations classées secrètes.

La majorité des agressions numériques se sont faites à partir de courriels piégés (sic!) comportant des pièces jointes malveillantes. Autant dire qu’il manque une sacré formation sur le béa-ba de la sécurité d’Internet pour les élus et fonctionnaires ciblés et touchés par ces piratages. L’adresse IP utilisée par ce groupe de pirates informatiques était la même que celle à l’origine des messages qui ont glorifié la famille Kim du Nord sur des sites Internet au Sud. Autant dire que des pirates américain, russe, … par exemples, pourraient exploiter ce stratagème pour effacer leurs traces.

« Nous avons décidé de rendre publiques les activités d’espionnage menées depuis plusieurs années auprès des organes gouvernementaux par des groupes de pirates informatiques soupçonnés d’appartenir au Nord pour lancer un débat public sur cette question et pour tenter de trouver des moyens qui permettront d’y faire face de manière efficace », indique à Yonhap un responsable de Hauri.

La filiale sud-coréenne de Kaspersky Lab a annoncé de son côté avoir découvert, début avril, des activités d’espionnage ciblant des sites étatiques. Des pirates venus de la Corée du Nord sont montrés de la souris. Un code espion, baptisé KimSuky a visé le ministère de l’Unification, l’institut Sejong, l’Institut coréen pour les analyses de défense (KIDA) et la branche « Marine » de Hyundai.

Cyber-attaque

McAfee implante à Dubaï son premier centre dédié à la cyber-défense

Ce centre a pour objectif d’évaluer le risque des menaces, d’éduquer les clients et d’apporter des réponses rapides aux éventuels incidents qui se produisent dans les organisations de la région (Europe, Moyen-Orient et Afrique). Ce nouveau centre arrive à point nommé pour les entreprises de la zone EMEA qui ont été les témoins de nombreuses attaques cette année. Il sera également un outil supplémentaire pour aider les économies émergentes à se protéger des menaces aussitôt qu’elles seront détectées. Les différents gouvernements de la région ont investi massivement dans de nouvelles solutions pour prévenir et minimiser l’impact des cyberattaques. Ces derniers travailleront en étroite collaboration avec le centre de cyber-défense de McAfee afin d’améliorer la protection.

Le paysage des menaces, en constante évolution, a stimulé l’émergence de services de sécurité sophistiqués alliant de solides compétences à une expérience reconnue sur le marché EMEA. Le centre fournira non seulement des services de réponses urgentes aux incidents détectés, des services de recherche et d’expertise (avec le soutien du nouveau laboratoire de recherche de McAfee récemment implanté à Dubaï), mais également des services stratégiques uniques : « Contextual Threat Intelligence », « Open Source Intelligence » enquête, évaluation des défenses contre les dénis de service distribués, recherche scientifique et analyse de la dangerosité des malware ciblés.

« La fréquence croissante des pannes dues aux activités hacktivistes, criminelles et terroristes soulève inévitablement la question de la sécurité », déclare à datasecuritybreach.fr Gert-Jan Schenk, président EMEA de McAfee. « Les organisations doivent être en mesure de faire face à ces attaques afin de minimiser leur impact. C’est dans ce contexte que le centre de cyber-défense peut jouer un rôle précieux : les entreprises pourront bénéficier du soutien expérimenté des experts du centre en tirant parti de l’écosystème McAfee »

En 2013, une augmentation considérable du nombre de logiciels malveillants et d’attaques ciblées contre les organisations présentes dans la zone EMEA a été constatée. À titre d’exemple, l’Ukraine et la Biélorussie ont toutes deux enregistré une augmentation du spam de plus de 200 % au 2ème trimestre 2013. Au Moyen-Orient, le centre de cyber-défense suit de près une famille de programmes malveillants visant à voler des données financières, type de programme très actif dans des pays comme l’Arabie saoudite, les Emirats Arabes Unis ou encore le Qatar.

Argent, Arnaque, Cyber-attaque, Cybersécurité, Espionnae, Leak

NetTraveler : code malveillant en guerre sur le web

Les experts de Kaspersky Lab ont identifié un nouveau vecteur d’attaque utilisé par NetTraveler. Datasecuritybreach.fr vous en a déjà parlé sous les noms de « Travnet », « Netfile » ou encore « Red Star APT » ; un malware ayant déjà touché plusieurs centaines de cibles dans plus de 40 pays. Les victimes de NetTraveler, identifiées à ce jour, incluent des activistes tibétains/ouïgours, des groupes pétroliers, des centres ou instituts de recherche scientifique, des universités, des entreprises privées, des gouvernements ou institutions gouvernementales, des ambassades et des partenaires militaires.

Suite aux révélations autour de la découverte de NetTraveler en juin 2013, ses auteurs avaient arrêté tous les systèmes de commande et de contrôle pour les déplacer vers de nouveaux serveurs en Chine, à Hong Kong ainsi qu’à Taiwan. Ils ont ensuite continué leurs activités sans entrave. Au cours des derniers jours, une attaque de phishing ciblée a été lancée contre plusieurs activistes ouïgours. « L’exploit » Java, utilisé pour distribuer cette nouvelle variante de l’APT Red Star, n’a bénéficié d’un patch que récemment (en juin 2013) et enregistre donc un taux de réussite très élevé.

En complément, NetTraveler adopte des nouvelles techniques pour piéger ses victimes, notamment le « watehing hole », le « drive-by downloads » et le recours à des domaines infectés. Un certain nombre d’attaques émanaient du domaine « wetstock[z]org », connu pour avoir été utilisé lors des précédentes attaques de NetTraveler. Ces redirections semblent venir d’autres sites en lien avec la communauté ouïgoure, qui ont, en réalité, été infectés. D’autres « exploits » récents pourraient être intégrés et utilisés à plus large échelle. Voici donc les règles à suivre pour se protéger de cette typologie d’attaque :

[+]  Mettre à jour Java pour utiliser la version la plus récente, où désinstaller Java si vous ne l’utilisez pas,

[+]  Mettre à jour Microsoft Windows et Office pour utiliser la version la plus récente,

[+]  Mettre à jour tous les autres logiciels tiers, comme Adobe Reader,

[+]  Utiliser un navigateur sécurisé tel que Google Chrome, dont les cycles de mise à jour et de développement des patches sont plus rapides que ceux d’Internet Explorer, installé par défaut dans Windows,

[+]  Etre attentif aux liens sur lesquels vous cliquez et aux pièces jointes que vous ouvrez dans les emails provenant de personnes inconnues.

« Jusqu’ici, aucune vulnérabilité de type zero-day ne semble avoir été exploitée par le groupe NetTraveler. Pour s’en protéger, les patches sont impuissants mais des technologies comme Automatic Exploit Prevention et DefaultDeny offrent une protection efficace contre les menaces persistantes. » explique à data security breach magazine Costin Raiu, Directeur du GReAT chez Kaspersky Lab.

Cyber-attaque, DDoS, Leak, Piratage

L’ampleur moyenne des attaques DDoS a considérablement augmenté en 2013

Arbor Networks Inc., fournisseur de solutions de sécurité et de gestion de réseaux d’entreprises et d’opérateurs, vient de transmettre à datasecuritybreach.fr les dernières tendances en matière d’attaques DDoS pour le premier semestre 2013. Ces statistiques révèlent que ces attaques continuent de représenter une menace importante à l’échelle mondiale et que leur ampleur, leur fréquence et leur complexité sont en nette augmentation par rapport à la même période l’an dernier.

« ATLAS nous procure une formidable visibilité de bout en bout sur Internet », commente à datasecuritybreach.fr Darren Anstee, architecte en solutions pour Arbor Networks. « Nous observons quotidiennement une progression dans l’ampleur, la fréquence et la complexité des attaques DDoS. C’est un vecteur d’attaque de plus en plus populaire. Avec tous les outils aujourd’hui disponibles il est facile de lancer des attaques ou d’y participer. »

En hausse

– L’ampleur moyenne des attaques en bits par seconde (bit/s) est en hausse de 43% au premier semestre : 46,5% des attaques dépassent à présent 1 Gbit/s, soit une augmentation de 13,5% par rapport à 2012. – La proportion des attaques comprises entre 2 et 10 Gbit/s a plus que doublé, passant de 14,78% à 29,8%. – La proportion des attaques supérieures à 10 Gbit/s a augmenté de 41,6% au premier semestre. – Enfin, le nombre total d’attaques enregistrées dépassant 20 Gbit/s a plus que doublé comparé à l’ensemble de l’année 2012.

En baisse

– La durée des attaques tend à se raccourcir : 86% d’entre elles durent désormais moins d’une heure. – La taille des attaques en paquets par seconde (PPS) paraît être en diminution, inversant ainsi la forte tendance à la hausse observée fin 2011 et tout au long de 2012.

« Le volume croissant des attaques de grande visibilité, mêlant notamment des attaques à motivation politique, des actes de guerre électronique commandités par des Etats, des actions militantes, des crimes organisés ou de simples actes de malveillance sans véritable motif, s’explique par la facilité d’accès des bots ou botnets, disponibles en location, et des outils d’attaque distribués en crowdsourcing », termine à datasecuritybreach.fr Jeff Wilson, analyste principal en sécurité réseau chez Infonetics Research.

Cyber-attaque, DDoS, Entreprise, Fuite de données, Leak

Les menaces visant les entreprises

L’équipe de chercheurs d’Arbor Networks, qui publie régulièrement ses résultats sur son blog ASERT et dans le Worldwide Infrastructure Security Report (WISR), a présenté à data Secuyrity breach un nouveau document qui se concentre sur les menaces visant les entreprises. A noter que cet angle peut se reproduire pour les particuliers et autres entités. Parmi les principales conclusions du rapport de cette année :

– 63% des entreprises interrogées considèrent la lutte contre les attaques DDoS comme une priorité absolue.

-50% ont subi des attaques DDoS contre leur infrastructure.

– 25% ont rencontré des attaques DDoS contre leurs services clients ou partenaires

– 12,5% témoignent d’attaques d’« ennemis de l’intérieur » ou de menaces persistantes avancées (APT)

– 63% des entreprises autorisent le BYOD, mais 25% d’entre elles ne surveillent pas ces appareils personnels.

– 50% font de la protection contre les attaques DDoS une part conséquente de leur processus de gestion des risques de l’entreprise pour la disponibilité des services Internet.

– 35% des opérateurs de centres de données ont vu leurs pare-feu / IPS touchées par des DDoS en 2012.

– 2.12Gbps : c’est l’ampleur moyenne d’une attaque DDoS suivie par le système ATLAS au 1er semestre 2013, en hausse de 43% par rapport à 2012.

– 86% des attaques DDoS suivies par ATLAS au 1er semestre 2013 durent moins d’1 heure. La capacité à réagir rapidement est maintenant cruciale.

– x2 : le nombre d’attaques DDoS de plus de 20 Gbps suivies par ATLAS en 2012, observées au 1er semestre de 2013.

Cyber-attaque, DDoS, Piratage

L’opérateur MTN sous le feu des pirates

L’opérateur sud-africain des télécommunications MTN victime d’une cyber-attaque. Le 28 août dernier, l’opérateur sud-africain des télécommunications MTN a été victime d’une attaque informatique d’envergure. Cette intrusion dans les serveurs DNS de la société a causé une interruption de son réseau Data. La panne engendrée a aussi affecté les services Internet des fournisseurs Afrihost et Axxess, partenaires de MTN. Dans un communiqué, Afrihost a expliqué que « les serveurs DNS de MTN pouvaient normalement maîtriser ce type d’attaque sans problème. Mais au moment de l’attaque, plusieurs changements étaient opérés sur les serveurs et il y a eu un bug dans le système qui a causé cette situation exceptionnelle. Le bug a été identifié et le cas ne devrait plus se reproduire ». (Avec Ecofin)