Durant la période étudiée, ce sont les ressources de 70 pays qui ont été visées par des attaques DDoS, la Chine étant le pays le plus touché (77% du nombre total d’attaques). L’Allemagne et le Canada sont tous les deux sortis du top 10 des pays visés, remplacés par la France et les Pays-Bas.
La durée des attaques a largement augmenté ce trimestre. Si le nombre d’attaques ayant duré jusqu’à 4h a diminué – passant de 68% au 1er trimestre à 60% au 2nd trimestre – la proportion de très longues attaques a augmenté. 9% des attaques ont duré entre 20h et 49h (contre 4% au 1er trimestre) et 4% ont duré entre 50h et 99h (contre 1% au 1er trimestre). Au 2nd trimestre, l’attaque la plus longue a duré 291 heures (soit 12 jours), contre 8 jours au 1er trimestre.
Bien que les méthodes d’attaques les plus utilisées demeurent SYN DDoS, TCP DDoS et HTTP DDoS, la proportion d’attaques de type SYN DDoS a été multipliée par 1,4 par rapport au trimestre précédent (pour atteindre 76%). Cette augmentation s’explique principalement par la multiplication des attaques utilisant des botnets Linux – qui sont les plus efficaces pour les attaques SYN-DDoS. C’est la première fois que Kaspersky DDoS Intelligence enregistre un tel déséquilibre entre les bots basés sur Linux (70%) et Windows (30%).
« Les serveurs Linux contiennent souvent des vulnérabilités assez classiques, sans pour autant être protégés par une solution de sécurité robuste, ce qui les rend plus sujets aux infections de bots. Les attaques réalisées par des bots Linux sont simples mais efficaces ; elles peuvent durer plusieurs semaines, alors que le propriétaire du serveur n’a pas conscience d’être à l’origine d’une attaque. De plus, en utilisant un seul serveur, les cybercriminels peuvent lancer une attaque dont la puissance sera égale à celle de plusieurs centaines d’ordinateurs personnels. C’est pourquoi les entreprises doivent se protéger en amont contre ce type de scenario, quelles que soient la durée et la complexité des attaques », commente Oleg Kupreev, Lead Malware Analyst chez Kaspersky Lab.
Déjà que lancer des DDoS était accessible au premier idiot du village, voilà que maintenant, il pourrait être possible de les payer pour leurs attaques.
Le DDoS, une plaie du web qui a pour mission de bloquer un serveur à coups de connexions de masse. Un Déni Distribué de Service, c’est un peu comme déverser des poubelles devant l’entrée d’une maison, plus personne ne peut rentrer, plus personne ne peut en sortir. Deux chercheurs américains viennent de rajouter une couche dans ce petit monde fou-fou des DDoSeurs : payer les lanceurs d’attaques.
Eric Wustrow de l’Université du Colorado et Benjamin VanderSloot de l’Université du Michigan se sont lancés dans la création d’une crypto-monnaie, comme le bitcoin, qui pourrait rémunérer les lanceurs de DDoS. Ils ont baptisé leur « idée » : DDoSCoin. Sa mission, récompenser les participants à des dénis de service distribués (DDoS). Cette « monnaie » ne fonctionne que lorsque l’ordinateur de la cible a le TLS activé (Security Layer Transport), un protocole de chiffrement pour les communications Internet sécurisée.
Créer une monnaie qui permet aux « mineurs » de prouver leur participation à un DDoS vers un serveur web ciblé peut paraitre bizarre. Les deux étudiants cherchent des méthodes pour contrer et remonter ce type d’attaque.
Le britannique 123-Reg et le Français OVH ont subit ces derniers jours des attaques massives ayant eu pour mission de bloquer leurs services et serveurs.
Les attaques DDoS ne baissent pas. Leurs intensités ont même une fâcheuse tendance à s’intensifier. Derniers cas en date, des Dénis de Services Distribués (D.D.o.S.) massifs ayant visé le Britannique 123-Reg et le Français OVH.
Pour les nordistes d’OVH, 520 Gbps qui n’ont pas impactés les services de l’entreprise « à chaque instant, on a entre 50 et 150 IP qui se font DDoS » souligne Octave Klaba, le patron d’OVH.
Pour l’Anglais 123-Reg, l’attaque aura durée toute la journée du 2 août. 30 Gbps qui ont impactés les services et les clients de l’hébergeur. A noter qu’un petit Gbps est plus que suffisant pour faire tomber un service web.
Le record DDoS, constaté par la société Arbor Network, est de 579 Gbps. Il a été constaté en ce débit 2016.
Qui derrière ces attaques ?
Les pirates utilisent de plus en plus des attaques DDoS comme moyen de chantage à l’encontre des entreprises. Des sociétés, plus que troubles, commercialisent aussi des systèmes « stresser » qui, sur le papier, sont censés permettre de tester vos propres systèmes face aux DDoS. Des stresser qui, pour quelques Euros, servent surtout à bloquer d’autres sites et serveurs, comme ce fût le cas cet été à l’encontre d’éditeurs de jeux vidéo.
La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées permettant de mener des attaques par déni de services contre des entreprises.
La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées (25 000 caméras concernées dont 2% estimé en France), destiné à créer un réseau de botnet (machines zombies utilisées à l’insu de leur propriétaire) permettant de mener des attaques par déni de services contre des entreprises. Ce cas met une nouvelle fois en avant la problématique de sécurité des objets connectés. Ce n’est pas la premiére fois que le problème des caméras Ip est dénoncé. Lire les articles à ce sujet ICI et LA. Peter Gyöngyösi, Responsable produits chez BalaBit IT Security, fournisseur européen de solutions de sécurité contextuelle indique à ce sujet que « Les coûts de fabrication priment toujours sur la sécurité : Ce cas de piratage de 25 000 caméras de surveillance démontre une nouvelle fois la problématique de la sécurité des objets connectés de notre quotidien ». Cette fois, les conséquences ne ciblent pas directement les utilisateurs, le piratage n’aura donc clairement pas la même portée que celui d’un fabricant de jouets comme Vtech ou le piratage de babyphones, mis en lumière il y a quelques mois par exemple.
En effet, dans ce cas les criminels ont piraté des objets connectés pour utiliser leur puissance au sein d’un réseau de machines zombies- botnet (utilisées donc à l’insu de leur propriétaire) en vue de mener des attaques par déni de services contre des entreprises (envoi simultanée de milliers de requêtes dans le but de saturer les serveurs au sein des entreprises).
Même s’il fait moins parler, ce cas démontre l’importance d’un engagement fort des fabricants d’objets connectés en matière de sécurité. Car aujourd’hui, le développement d’objets connectés est une véritable aubaine pour les cybercriminels. Et malheureusement, aujourd’hui nous constatons qu’il est encore utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public.
Aujourd’hui, objets connectés signifient des développements très rapides, des objectifs de coûts les plus bas possibles, tout en conservant une expérience utilisateur simple, rapide et agréable. Et clairement, personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes lorsqu’il s’agit d’utiliser un objet connecté. Ceci n’est pas une fatalité et il faut espérer que les choses vont changer, les fabricants doivent prendre de vraies mesures de sécurité et mettre en place des politiques de sécurité plus strictes. Rappelons que dans ce cas mis en lumière par la société Sucuri, le piratage a été permis par une simple faille présente dans un système commun utilisé par toutes les caméras. Une simple mise à jour aurait donc suffi à empêcher le piratage.
A noter que le 14 juin, Imperva Incapsula a neutralisé une attaque par déni de service distribué (DDoS) à 470 gigabits par seconde (Gbit/s), la plus intense enregistrée à ce jour.
Il fallait bien se douter que les pirates informatiques allaient se jeter sur Pokemon GO. Plusieurs attaques DDoS ont tenté de saturer les serveurs de Nintendo.
Ce qui est bien avec les pirates informatiques, du moins ceux en mal de reconnaissance, est qu’ils sont aussi prévisibles qu’un glaçon dans un four. Alors que la France ou encore le Japon se préparent à un assaut de masse sur l’application Pokemon Go [lire l’avertissement sur les dangers des applications non officielles concernant Pokémon GO], les joueurs à l’international s’inquiètent de l’arrivée de nouveaux utilisateurs sur des serveurs déjà largement sous pression. Comme le rappel Kaspersky, les discussions sur les réseaux sociaux concernant le niveau de saturation des serveurs et les bugs à répétition qui en découlent sont légion, obligeant même Niantic à réagir. Mais l’incroyable popularité de l’application n’est pas seule en cause. Les serveurs de Pokemon Go ont été la cible de plusieurs attaques DDoS, revendiquées par différents groupes de pirates.
Du DDoS pour emmerder le monde… et pour de l’argent
Bien qu’un certain nombre de groupes de pirates ait revendiqué des attaques DDoS, il est difficile de vérifier la véracité de leurs affirmations. Et ce n’est pas le cœur du problème. Ce qui compte vraiment pour Nintendo et pour les joueurs de Pokemon Go est de protéger les serveurs et les données des joueurs, de maintenir la continuité de service et de préserver sa réputation et celle des entreprises derrière Pokémon Go. Mais ce n’est pas une tâche aisée, car les attaques DDoS sont perpétrées par plusieurs groupes au motifs variés : nuire à la réputation de l’entreprise, attirer l’attention sur des revendications politiques ou sociales, faire connaitre son outil « stresser » pour vendre du DDoS, ou des protections contre les DDoS, et bien sûr la perspective de possibles gains financiers
Black blocs 2.0
Le volume d’attaques DDoS a augmenté au cours des dernières années car le coût pour réaliser ces attaques a chuté. J’ai pu vous le montrer dans des articles expliquant qu’avec quelques euros il est possible de faire tomber n’importe quel serveur. « En parallèle, les attaques DDoS sont devenues plus sophistiquées et plus difficiles à contrer. Les cybers criminels enquêtent sur leur cible et choisissent les modes d’attaques qui ont le plus de chances de succès, indique David Emm, chercheur en sécurité chez Kaspersky Lab. Ils agissent en temps réel, de façon à pouvoir ajuster leurs tactiques et utiliser des outils différents dans le but de faire le plus de dégâts« .
Vulnérables aux cyberattaques – RSA, la division sécurité d’EMC, a publié les résultats de sa seconde édition de l’étude Cybersecurity Poverty Index, révélant que les entreprises qui investissent dans les technologies de détection et d’intervention sont plus en mesure de se défendre contre les cyber-incidents contrairement aux solutions basées sur des périmètres spécifiques. Celle-ci a été menée auprès de 878 répondants (deux fois plus que l’année dernière), dans 81 pays et 24 industries.
Vulnérables aux cyberattaques les entreprises ? Le rapport souligne que pour la seconde année consécutive, 75% des entreprises estiment être exposées à des risques conséquents en matière de cybersécurité ; les entreprises qui déclarent rencontrer plus de problèmes de sécurité sont 65% plus susceptibles d’être compétentes en matière de cybersécurité ; le nombre d’entreprises ayant déclaré de meilleures capacités de cyberdéfense a augmenté de plus de la moitié sur l’indice précédent, passant de 4,9 % à 7,4%.
La moitié des personnes interrogées évaluent leurs capacités de réponse aux incidents comme « ad hoc » ou « inexistantes » ; les organisations moins matures continuent d’utiliser par erreur des solutions basées sur des paramètres spécifiques afin d’empêcher de nouveaux incidents ; le Gouvernement et le secteur de l’Energie se classent parmi les derniers en matière de cyberdéfense ; l’Amérique est à nouveau derrière les régions APAC et EMEA en ce qui concerne son niveau de maturité en cybersécurité.
Également, beaucoup d’entreprises reconnaissent avoir tendance à entreprendre des investissements en matière de cybersécurité après avoir rencontré des incidents. Cependant, les résultats de cette étude démontrent que les organisations qui traitent régulièrement d’incidents de sécurité se protègent plus rapidement et de manière plus efficace.
Les entreprises doivent mettre en place des stratégies de prévention et prioriser les actions de détections et d’interventions. Amit Yoran, Président de RSA, souligne : « La seconde édition du Cybersecurity Poverty Index prouve à quel point les organisations de toutes tailles et de tous secteurs à travers le monde se sentent mal préparées face aux menaces actuelles. Nous devons changer la façon dont nous pensons la sécurité et se concentrer sur la prévention. Les entreprises doivent agir de façon proactive en élaborant des stratégies globales en amont des incidents. »
Data Security Confidence – Une nouvelle étude révèle que la plupart des entreprises doutent de leur capacité à protéger leurs données en cas de cyberattaque.
Malgré l’augmentation du nombre de cyberattaques et la perte ou le vol de 3,9 milliards de registres de données depuis 2013, de nombreuses entreprises continuent d’avoir confiance dans l’efficacité du périmètre mis en place pour les protéger. Ceci est l’une des nombreuses conclusions mises en exergue par la troisième édition annuelle du Data Security Confidence Index publié par Gemalto.
Sur les 100 décideurs informatiques français interrogés, 39% déclarent que leurs systèmes de défense informatique (pare-feu, IDPS, antivirus, filtres de contenu, détecteurs d’anomalies, etc.) permettraient d’interdire très efficacement l’accès des personnes non autorisées au réseau. Cependant, 72 % disent ne pas être en mesure d’assurer la protection de leurs données si ces systèmes de défense venaient à être compromis. Ils étaient 51% dans ce cas en 2015 et 70% en 2014. En outre, 81% pensent que les utilisateurs non autorisés sont capables d’accéder au réseau, voire, pour 18% des interrogés, de l’infiltrer dans sa totalité.
« Ce rapport montre le fossé existant entre la perception et la réalité en ce qui concerne l’efficacité du périmètre de sécurité », souligne Jason Hart, VP et CTO de Gemalto pour la protection des données. « Même si l’époque de la prévention des cyberattaques est révolue, un grand nombre d’entreprises continuent de placer le périmètre de protection au cœur de leurs stratégies sécuritaires. Les professionnels doivent à présent changer leur façon de penser et ne plus chercher à prévenir les attaques, mais comprendre que ces dernières sont inévitables, et qu’ils doivent avant tout s’assurer de protéger les données ainsi que les utilisateurs qui y ont accès. »
Data Security Confidence
Même si le périmètre de sécurité reste prioritaire, il n’est pas suffisant. Toujours selon cette étude, 87% des décideurs informatiques français déclarent avoir ajusté leur stratégie en matière de sécurité après avoir été victimes d’une cyberattaque sophistiquée, un pourcentage qui était de 82% en 2015 et de 41% en 2014. D’autre part, 83% ont déclaré avoir augmenté le budget alloué à leur périmètre et 87% pensent que l’argent a été investi dans les technologies les plus adaptées.
Malgré les efforts qui continuent à être portés sur le périmètre de sécurité, les résultats de ce Data Security Confidence Index sont révélateurs des défis que les entreprises rencontrent en matière de vol de données. 82% des personnes interrogées en France indiquent que leur entreprise a fait l’objet d’un vol de données au cours des cinq dernières années. Plus d’un quart (32%) disent en avoir fait l’expérience depuis les 12 derniers mois, avec le même nombre de décideurs IT (30%) déclarant la même fréquence en 2015. Cela suggère que les entreprises n’ont pas réussi à limiter le nombre d’attaques, et ce malgré l’investissement réalisé au niveau du périmètre de sécurité.
« Alors que les entreprises pensent utiliser à bon escient leur budget sécurité, il est clair que les protocoles de sécurité employés ne répondent plus aux nouvelles exigences en la matière. Même si s’assurer de la robustesse de leur périmètre reste une priorité, elles doivent à présent adopter une approche multidimensionnelle en cas d’attaque. En ayant recours à des outils tels que le chiffrement de bout en bout et l’authentification à deux facteurs sur leur réseau et dans le cloud, elles seront capables de protéger l’ensemble de leur structure, ainsi que les données, ressources clés de l’entreprise, » conclut Hart.
Les attaques DDoS – Chaque attaque DDoS neutralisée est une invitation pour ses auteurs à intensifier leur assaut. C’est là la réalité du secteur de la protection DDoS et l’explication de bon nombre des tendances que nous observons aujourd’hui dans le paysage des menaces DDoS.
Dans le précédent rapport, de la société Incapsula, l’attention sur un nombre croissant d’attaques DDoS de type « flood » à très haut débit lancées contre les clients de l’entreprise au niveau de la couche réseau. Dans ce type d’attaques, des paquets de données de petite taille, ne dépassant généralement pas 100 octets, sont émis à un rythme extrêmement élevé de façon à saturer la capacité des commutateurs réseau, ce qui aboutit à un déni de service pour les utilisateurs légitimes.
La vitesse d’émission des paquets est mesurée en Mpps (millions de paquets par seconde). Au 1er trimestre 2016, la fréquence de ces attaques présentant un nombre élevé de Mpps a été sans précédent. En moyenne, nous avons neutralisé une attaque de plus de 50 Mpps tous le quatre jours et une de plus de 80 Mpps tous les huit jours. Plusieurs de ces attaques ont franchi le cap des 100 Mpps, la plus intense culminant à plus de 120 Mpps.
Nous pensons que ces attaques à très haut débit sont une tentative pour mettre en échec les solutions de neutralisation DDoS de la génération actuelle.
A l’heure actuelle, la majorité des services et appliances de neutralisation sont d’une grande efficacité face aux assauts présentant un nombre élevé de Gbit/s. Cependant, comme les auteurs des attaques s’en rendent compte, bon nombre de ces mêmes solutions n’offrent pas une capacité identique contre les très hauts débits de paquets, car elles n’ont pas été conçues pour en traiter un volume aussi important.
Fait intéressant, nous avons également observé dans le nouveau rapport d’incapsula, l’emploi fréquent d’une combinaison de différents vecteurs pour constituer des assauts plus complexes, avec un débit élevé à la fois en Mpps et en Gbit/s.
Le scénario le plus courant ici est la combinaison d’une attaque de type UDP Flood à très haut débit et d’une attaque par amplification DNS, grosse consommatrice de bande passante. En conséquence, au 1er trimestre 2016, la fréquence des attaques par amplification DNS a augmenté de 6,3 % par rapport au trimestre précédent.
En outre, nous avons également constaté un accroissement notable du nombre d’attaques multivecteurs. Globalement, celles-ci ont représenté 33,9 % de l’ensemble des assauts sur la couche réseau, soit une hausse de 9,5 % par rapport au trimestre précédent. En termes absolus, le nombre d’attaques multivecteurs est passé de 1326 au 4ème trimestre 2015 à 1785 au 1er trimestre 2016.
Les attaques DDoS par pays.
Couche application : des robots DDoS plus malins
Les attaques DDoS sur la couche réseau, nous avons vu au premier trimestre 2016 les auteurs d’attaques passer à la vitesse supérieure et se concentrer sur des méthodes susceptibles de contourner les mesures de sécurité. La meilleure illustration en est une augmentation du nombre de robots DDoS capables de se glisser au travers des mailles du filet, à savoir les tests couramment utilisés pour filtrer le trafic d’attaque.
Au 1er trimestre 2016, le nombre de ces robots a explosé pour atteindre 36,6 % du trafic total des botnets, contre 6,1 % au trimestre précédent. Dans le détail, 18,9 % étaient capables d’accepter et de conserver des cookies, tandis que les 17,7 % restants pouvaient également interpréter du code JavaScript.
De telles capacités, combinées à une empreinte HTTP d’apparence authentique, rendent les robots malveillants indétectables par la plupart des méthodes. Les attaques DDoS se démultiplient !
En dehors de l’utilisation de robots plus sophistiqués, les assaillants explorent de nouvelles méthodes d’exécution des attaques sur la couche application. Les plus notables d’entre elles sont de type HTTP/S POST flood, employant des requêtes très longues pour tenter de saturer la connexion réseau de la cible.
Enfin, nous avons également observé un accroissement continu de la fréquence des assauts. Au premier trimestre 2016, un site sur deux victime d’une attaque a été ciblé plusieurs fois. Le nombre de sites attaqués entre deux et cinq fois est passé de 26,7 % à 31,8 %.
Les attaques DDoS : la Corée du Sud en tête des pays à l’origine des attaques
A partir du deuxième trimestre 2015, nous avons enregistré une forte recrudescence de l’activité des botnets DDoS provenant de Corée du Sud, une tendance qui s’est poursuivie ce trimestre. Cette fois, étant à l’origine de 29,5 % de l’ensemble du trafic DDoS sur la couche application, le pays s’est hissé en tête de liste des attaquants.
Un examen plus approfondi des données concernant les attaques DDoS révèle que la majorité du trafic d’attaque émanant de Corée du Sud provient de botnets Nitol (52,9 %) et PCRat (38,2 %). Plus de 38,6 % de ces attaques ont été lancées contre des sites web japonais et 30,3 % contre des cibles hébergées aux Etats-Unis.
Il est intéressant de noter, au cours de ce trimestre, une forte augmentation de l’utilisation de Generic!BT bot, un cheval de Troie connu pour infecter les ordinateurs Windows. Celui-ci a été identifié pour la première fois en 2010 et nous voyons aujourd’hui ses variantes employées pour pirater des machines dans le monde entier.
Au 1er trimestre 2016, des variantes de Generic!BT ont ainsi été utilisées dans des attaques DDoS issues de 7756 adresses IP distinctes réparties dans 52 pays, principalement en Europe de l’Est. La majorité de cette activité a été tracée jusqu’en Russie (52,6 %) et en Ukraine (26,6 %).
Conclusion : les attaques DDoS conçues contre les solutions de neutralisation
Les années précédentes, la plupart des attaques observées avaient pour but de causer un maximum de dommages aux infrastructures ciblées. Il s’agissait typiquement d’assauts de force brute, de type « flood », frappant avec une grande capacité et sans faire de détail. Les attaques plus sophistiquées étaient alors rares.
Cependant, au cours des derniers mois, nous avons enregistré un nombre croissant d’attaques orchestrées par rapport aux solutions de neutralisation DDoS. La diversité des méthodes d’attaque ainsi que l’expérimentation de nouveaux vecteurs semblent indiquer un changement de priorité, les assauts étant de plus en plus conçus pour paralyser les solutions de neutralisation, et non plus uniquement la cible.
D’une part, cela dénote l’omniprésence des services et appliances de protection DDoS, qui sont appelés à devenir partie intégrante de la majorité des périmètres de sécurité pour espérer contrer les attaques DDoS. D’autre part, cela illustre également le défi auquel le secteur de la neutralisation DDoS va être confronté : des attaques de plus en plus élaborées qui exploitent les points faibles de ses propres technologies.
Ce lundi 11 Avril , le site du parlement lituanien (le Seimas ) a subi une cyber-attaque d’ampleur. L’attaque coïncidait avec la retransmission sur le site du parlement d’une réunion du Congrès mondial des Tatars de Crimée et d’une conférence internationale sur les violations massives des droits de l’homme dans les territoires occupés de Crimée.
L’ attaque DDoS a rendu impossible d’assister à la rediffusion en ligne de l’événement en dehors de la Lituanie. Selon Loreta Grauzinenie, porte-parole du parlement, il s’agirait de la première attaque du genre sur le Seimas .
Si le groupe EzBTC Squad a revendiqué l’attaque sur Twitter, prétextant des motivations financières (réclamant 4 Bitcoins soit 1 600 euros). Toutefois, ce groupe, nouvel émergent sur la scène pirate, a peiné à démontrer la crédibilité de ses menaces et même son implication réelle dans l’attaque.
Hi @vikolt your website has been the next in our DDoSing spree. You’ll have to pay pay us 2BTC to stop our attacks. DM for bitcoin address.
— EzBTC Squad (@EzBTC_Squad) 11 avril 2016
On peut légitimement se demander si l’attaque DDoS ne serait pas en train de devenir un moyen politique visant à museler administrations, organismes, communautés. On peut aussi tout simplement se demander si le EzBTC Squad est véritablement l’auteur ou s’il essaie de tirer parti de la situation. Le business du DDoS rapporte aussi beaucoup d’argent aux boutiques cachées derrière ces « attaques ».
Mais de fait, puisque la liberté d’expression s’exerce sur Internet, l’attaque DDoS pourrait bientôt s’avérer un outil efficace pour les hacktivistes, groupements d’intérêts, voire les gouvernements souhaitant limiter la liberté d’expression en dehors des frontières sur lesquels leur pouvoir s’exerce. ZATAZ.COM a diffusé, ce dimanche 17 avril, les commentaires d’un de ces groupes d’hacktivistes, Interview de DownSec, manifestant du numérique, des adeptes de la cyber manifestation sous forme de DDoS.
Selon la société américaine de sécurité informatique Symantec, la France fait son retour dans le top 10 des pays à cybercriminalité la plus active, aux côtés de la Chine et des Etats-Unis. Quelles sont les sanctions en pratique ? Ce récent sondage questionne l’effectivité des dispositifs juridiques mis en place en vue de lutter contre le piratage. Bref, comment ne pas finir comme cible privilégiée pour les cybercriminels ?
La position de la France en la matière s’explique en grande partie par l’utilisation croissante des rançongiciels. En effet, ces derniers représenteraient plus de 391 000 attaques en 2015. L’utilisation de ces logiciels malveillants permet aux hackers de chiffrer les fichiers d’un ordinateur, avant d’exiger une rançon en contrepartie de leur décryptage.
Un récent sondage de Kaspersky montrait que les pays les plus visés par cette pratique sont la Russie, l’Inde et l’Allemagne. Il sévit également en Italie, en Autriche, aux Etats-Unis, et en Chine. Marco Preuss, chargé de la recherche et du développement au sein de Kaspersky Lab en Europe, a d’ailleurs déclaré que « 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés». Des chiffres qu’il faut cependant modérer. L’entreprise américaine se base sur ses chiffres clients.
Bien qu’il existe 60 variantes de ce programme, le procédé est toujours le même. Il est généralement reçu par courriel dans lequel figure la plupart du temps une pièce jointe qui peut se présenter sous la forme d’une notification de fax ou de scanner. Une fois installé sur l’ordinateur, une bannière sur laquelle il est indiqué qu’il faut envoyer un SMS à un numéro de téléphone spécifié ou verser de l’argent sur un compte bancaire, s’affiche.
Cible privilégiée pour les cybercriminels
L’Agence nationale de sécurité des systèmes informatiques mène actuellement une campagne de sensibilisation sur l’utilisation des rançongiciels, ce qui démontre l’ampleur du phénomène. En cas d’infection de l’ordinateur, elle préconise de porter plainte au commissariat de police.
Il est en effet possible d’agir à l’encontre des pirates informatiques sur le fondement des articles 323-1 et suivants du Code pénal. En effet, le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 euros d’amende. De même, le fait d’entraver le fonctionnement d’un système informatique est puni de cinq ans d’emprisonnement et 150 000 euros d’amende. Enfin, est puni des mêmes peines, le fait d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données d’un tel système.
D’où il résulte, la nécessité accrue d’une vigilance renforcée pour ne pas finir comme une cible privilégiée pour les cybercriminels. Les entreprises ont de plus en plus conscience des enjeux que représente la sécurité de leurs systèmes informatiques. Toutefois, encore faut-il que les textes précités soient appliqués ! L’impunité du piratage informatique engendre un risque augmenté d’insécurité des systèmes informatiques. Il est indispensable que les forces de police et les magistrats veillent au respect de ces dispositions, ce qui n’est pas le cas à l’heure actuelle. A quand une prise de conscience ?
Par Maitre Antoine Chéron, pour DataSecurityBreach.fr, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM (http://www.acbm-avocats.com)
Un internaute de 15 ans arrêté pour avoir lancé des attaques DDoS contre une école. Une manipulation qui va perturber durant 48 heures l’hébergeur.
Le problème pour certains adolescents agissant sur Internet est de leur faire comprendre qu’une attaque de DDoS n’a rien de génial, de techniquement mirobolant. Non, un DDoS peut se comparer à déverser des poubelles devant une porte d’entrée car l’auteur de cette décharge publique n’a pas les capacités techniques et intellectuelles pour reproduire la clé ou crocheter la serrure qui lui aurait permis de rentrer dans la maison visée. Bref, un DDoS, du bullshit en paquet de 10.
Il a lancé des attaques DDoS
C’est ce qu’aurait du se dire un adolescent de 15 ans, arrêté le 8 avril dernier en Australie. Le jeune homme a attaqué une école, le Reynella East College. Un DDoS non maîtrisé qui a perturbé, durant 48 heures, l’hébergeur du site de l’école et les clients de l’entreprise. Le piratin signait ses actes sur la toile sous les pseudonyme de Will Star, Purple city et Global line. [Police]
Systèmes informatiques – Selon une étude conduite récemment par le Club des experts de la sécurité de l’information et du numérique (Cesin), 81 % des entreprises et administrations françaises déclarent avoir subi une attaque au cours des douze derniers mois et 93 % ne font pas confiance à leurs outils informatiques, leurs fournisseurs et leurs hébergeurs.
L’erreur humaine, les vulnérabilités favorisées par la montée du cloud et la généralisation du BYOD dans les entreprises sont autant de facteurs de risques qui menacent la sécurité de leurs données et fragilisent la confiance des RSSI en leur capacité à contrôler l’ensemble des points d’accès du système d’information.
La plupart des attaques avancées commencent par des e-mails de phishing envoyés aux utilisateurs d’une entreprise qui ne disposent pas d’accès aux comptes d’administrateurs dits « à privilèges ou hauts-pouvoirs » par défaut. Ces derniers, permettant d’accéder à l’ensemble des données de l’entreprise et de prendre le contrôle des systèmes, sont la première cible des cyberattaques. Ainsi, les comptes disposant de privilèges d’administration locaux représentent un important vecteur d’attaque car ils se trouvent sur chaque terminal et sur chaque serveur de l’environnement. En outre, les comptes d’utilisateurs individuels qui y résident et disposent de privilèges d’administration contribuent à accroître la surface d’attaque. En moyenne, dix emails1 suffisent aux pirates informatiques pour parvenir à leurs fins et introduire un malware au sein des systèmes. Ces programmes malveillants très sophistiqués, lorsqu’ils ont pénétré le réseau, exploitent des machines, dérobent des données, capturent les informations d’identification des comptes à hauts pouvoirs ou endommagent des systèmes. L’erreur étant fondamentalement humaine, tout le monde est susceptible de se faire piéger au moins une fois par un email de phishing, que ce soit par manque d’attention ou par curiosité, ce qui confirme une nouvelle fois que la menace se trouve aussi à l’intérieur. Il ne s’agit donc plus d’empêcher une intrusion dans un système avec un pare-feu, un anti-virus ou tout système de blocage à l’entrée du réseau, mais bien de stopper la progression des pirates déjà infiltrés à l’intérieur du réseau.
Systèmes informatiques
Il est par ailleurs difficile pour les équipes IT de faire un suivi détaillé de l’ensemble des applications et programmes présents dans les systèmes d’une organisation et d’en vérifier précisément la fiabilité. Partant du principe qu’une entreprise peut rassembler jusqu’à 20 000 applications métiers2, on peut facilement concevoir que des applications corrompues passent inaperçues et constituent des portes d’entrée dans les systèmes, et donc un accès direct aux données de l’entreprise. C’est là que la gestion des droits d’administration relatifs aux applications s’avère cruciale : ainsi, une entreprise peut intervenir sur les droits de l’utilisateur afin d’éviter les erreurs liées à la modification des configurations systèmes, à l’installation de programmes malveillants ou encore à l’accès et à la modification de comptes utilisateurs. Toutefois, révoquer tous les droits d’administration des utilisateurs oblige parfois les équipes IT à leur accorder de nouveau des privilèges pour effectuer certaines tâches au niveau des applications. Ces derniers, une fois accordés, sont rarement révoqués et s’accumulent au fil du temps, rouvrant ainsi une faille de sécurité liée à l’excès de droits d’administration ; supprimer ces droits pour les utilisateurs au niveau des points d’accès et des serveurs sans contrôler au préalable les programmes autorisés sur ces machines favorise l’introduction et l’exécution autonomes d’applications malveillantes au sein du réseau.
Pour relever ces défis, les organisations ont besoin d’outils flexibles, permettant d’automatiser la gestion des privilèges des administrateurs locaux et le contrôle des applications sur l’ensemble des périphériques et serveurs. En privilégiant la combinaison du contrôle d’application et du principe du « moindre privilège » pour développer une approche de sécurité équilibrée et organisée par couches, les organisations peuvent réduire la surface d’attaque et mieux se protéger contre les menaces ayant déjà pu infiltrer le système. Ainsi, les équipes de sécurité sont immédiatement alertées de potentielles tentatives d’attaques en cours, le tout sans perturber la productivité des employés, ni surcharger les services IT en charge de la sécurité. Si on considère qu’un pirate motivé parviendra toujours à s’introduire dans le système d’une entreprise, ces mesures bloqueront sa progression et l’empêcheront de naviguer des points d’entrée vers les serveurs pour prendre possession du réseau. (Par Jean-François Pruvot, Regional Director France chez CyberArk)
Sources:
1- Verizon, « 2015 Data Breach Investigations Report », page 13
2- Viewfinity, « IT Security’s 50 Shades of Grey Whitepaper », page 2
Selon les résultats de l’étude C-Suite d’IBM : les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels. Éducation et engagement sont nécessaires pour mettre les dirigeants au niveau du nouvel environnement de sécurité.
La division sécurité d’IBM et l’Institut IBM for Business Value (IBV) publient aujourd’hui les résultats d’une étude réalisée auprès de plus de 700 dirigeants qui met en lumière leur confusion concernant leurs véritables ennemis cyber et la façon de les combattre efficacement.
La nouvelle étude, Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite est basée sur des entretiens avec des dirigeants de 28 pays et de 18 secteurs industriels concernant la cybersécurité dans l’entreprise. L’étude n’a pas pris en compte les responsables de la sécurité des systèmes d’information (RSSI), afin d’obtenir une image fidèle de ce que les dirigeants pensent de la cybersécurité. Si sur le papier, la cybersécurité est considérée comme une préoccupation majeure pour 68% des dirigeants1, et que 75% pensent qu’une stratégie globale de sécurité est importante, l’étude révèle que les dirigeants clés doivent être plus engagés auprès des RSSI, au-delà de la stratégie en matière de sécurité, et avoir un rôle plus actif.
L’une des principales conclusions de l’étude est que 70% des dirigeants pensent que les individus malveillants constituent la plus grande menace pour leur entreprise. Selon un rapport des Nations Unies2, la réalité est que 80% des cyberattaques sont réalisées par des réseaux criminels hautement organisés au sein desquels les données, les outils et l’expertise sont largement partagés. L’étude C-Suite révèle un large éventail d’ennemis : 54% des dirigeants reconnaissent que les réseaux criminels sont un sujet de préoccupation mais leur ont donné un poids à peu près égal aux individus malveillants (50%).
Plus de 50% des PDG s’accordent à dire qu’une collaboration est nécessaire pour lutter contre la cybercriminalité. Ironiquement, seulement 1/3 des chefs d’entreprise a exprimé sa volonté de partager à l’extérieur ses informations sur les incidents liés à la cybersécurité survenus dans leur entreprise. Cette situation est un frein à la collaboration coordonnée au niveau de l’industrie, alors même que les groupes de pirates partagent de mieux en mieux l’information en temps quasi réel sur le Dark Web. Les PDG soulignent également que les organisations externes doivent faire davantage ; une surveillance accrue du gouvernement, une augmentation de la collaboration dans l’industrie, un partage de l’information transfrontalière – cette dichotomie doit être résolue.
«Le monde de la cybercriminalité est en pleine évolution, mais de nombreux dirigeants n’ont pas mis à jour leur compréhension des menaces », a déclaré Caleb Barlow, Vice-Président, IBM Security. « Bien que les RSSI et le Conseil d’administration puissent aider à fournir les conseils et des outils appropriés, les dirigeants en marketing, ressources humaines et finances, quelques-uns des départements les plus exposés et les plus fournis en données sensibles, devraient s’impliquer de façon plus proactive dans les décisions de sécurité avec les RSSI.»
En fait, les départements marketing, ressources humaines, et finances représentent des cibles de choix pour les cybercriminels car ils gèrent les données clients et employés parmi les plus sensibles, avec les données financières de l’entreprise et les informations bancaires. Dans l’étude, environ 60% des directeurs financiers, DRH, et directeurs marketing reconnaissent volontiers qu’ils, et par extension leurs divisions, ne sont pas actifs dans la stratégie et l’exécution de la politique de cybersécurité de l’entreprise. Par exemple, seuls 57% des DRH ont déployé une formation à la cybersécurité pour les employés, première étape pour que ces derniers s’engagent en la matière.
Que peuvent faire les entreprises ?
Un nombre impressionnant de dirigeants interrogés, 94%, pensent qu’il y a une certaine probabilité pour que leur entreprise subisse un incident de cybersécurité significatif au cours des deux prochaines années. Selon l’étude d’IBM, 17% des personnes interrogées se sentent capables et prêtes à répondre à ces menaces. IBM a identifié des répondants exceptionnels, 17% de répondants classés «Cyber-Securisés», ce sont les dirigeants les plus préparés et capables de faire face aux menaces. Les dirigeants « Cyber-sécurisés » sont deux fois plus susceptibles d’avoir intégré la collaboration dans leur politique de cybersécurité et deux fois plus susceptibles d’avoir intégré la cybersécurité à l’ordre du jour des Conseils d’administration de façon régulière.
Conseils « Cyber-Securisés» pour les entreprises :
• Comprendre le risque : Évaluer les risques liés à votre écosystème, analyser les risques de sécurité, développer l’éducation et la formation des employés et intégrer la sécurité dans la stratégie de risques de l’entreprise.
• Collaborer, éduquer et responsabiliser : Mettre en place un programme de gouvernance de la sécurité, accroître le pouvoir des RSSI, promouvoir et discuter régulièrement de la cybersécurité lors des réunions de direction, intégrer les dirigeants dans l’élaboration d’une stratégie de réponse aux incidents.
• Gérer les risques avec vigilance et rapidité : Mettre en œuvre une surveillance continue de la sécurité, tirer profit des analyses d’incidents, partager et utiliser les renseignements de sécurité pour sécuriser l’environnement, comprendre où les données numériques des entreprises se trouvent et élaborer des stratégies en conséquence, développer et appliquer les politiques de cybersécurité.
1. “Redefining Boundaries: Insights from the Global C-suite Study.” IBM Institute for Business Value. November 2015.
2. UNODC Comprehensive Study on Cybercrime 2013
Depuis quelques années, de plus en plus de produits rejoignent l’Internet des Objets. S’il était auparavant réservé à de simples produits, il s’étend aujourd’hui à des produits haut de gamme tels que les voitures connectées. En effet, selon l’IDATE, en 2020, 420 millions d’automobilistes généreront un marché de connectivité d’une valeur de 9 milliards d’euros.
Cependant, les voitures, devenant de plus en plus de véritables plateformes informatiques au lieu d’être simplement un moyen d’aller d’un point A à un point B, sont également des cibles de plus en plus attrayantes pour les hackers. 40 millions d’automobilistes a notamment dévoilé en 2014 que trois quarts des voitures volées en France sont électroniquement piratées. Les questions de sécurité et d’identité doivent donc être prises en compte en faisant appel à des experts du domaine. La sécurité menée par l’identité va devenir une nécessité, et le contrôle de sécurité par le propriétaire est susceptible de devenir monnaie courante. Voitures connectées : Un secteur en pleine expansion mais un manque de sécurité
La transformation numérique touche l’ensemble des secteurs d’activités mais en particulier celui de l’automobile. En effet, ce secteur est incontestablement en pleine mutation. Le métier des constructeurs automobiles évolue sans cesse et d’ici une dizaine d’années les sociétés automobiles seront totalement différentes, passant d’un profil de constructeurs à celui de prestataires de services.
L’ensemble des constructeurs et des sous-traitants du secteur automobile produisent aujourd’hui en majorité des smart devices, c’est-à-dire des objets intelligents tous connectables. Pourquoi ? Car à terme ils souhaitent récupérer l’ensemble des données attenantes à un véhicule (distance parcourue, vitesse, taux de freinage, etc.) pour fournir des services basés sur ces dernières. En effet, en manipulant ces données relatives à l’utilisateur, ils pourront lui fournir des services dédiés et ainsi augmenter leur part de marché.
On estime aujourd’hui qu’il y a entre 40 et 60 millions de voitures connectées dans le monde, chacune comportant un grand nombre d’objets intelligents eux-mêmes connectés à internet. D’ici 5 ans, ce chiffre devrait passer à plus de 200 000 millions. Seulement, on estime aussi que le niveau de sécurité de ces voitures est équivalent au niveau de sécurité dont disposaient les ordinateurs et les systèmes d’informations des entreprises des années 80-85…
Des voitures connectées encore trop vulnérables
A ce jour, énormément de tests ont été réalisés pour démontrer la vulnérabilité des voitures connectées, au cours desquels des ingénieurs spécialisés en sécurité ont pu à distance se connecter à des voitures. Une grande partie des véhicules proposés par les grandes marques du marché automobile ont en effet été testés et piratés. La totalité des constructeurs est réellement concernée par ce sujet.
Au cours de ces tests, les ingénieurs ont pu effectuer à distance différentes actions relativement bénignes : allumer la radio, activer les essuies glaces, allumer les feux, etc. Cependant, ils ont également réussi à baisser les vitres, à stopper le moteur sans que le conducteur de la voiture ne puisse le redémarrer ou encore à couper les freins sans que ce dernier ne puisse les réactiver. Ces prises de contrôle à distance peuvent donc avoir des conséquences graves si la personne aux commandes est un pirate informatique mal intentionné.
Un élément au cœur de la transformation numérique du secteur : l’identité
Aujourd’hui, l’ensemble des voitures dites « intelligentes » dispose d’un ordinateur de bord connecté à internet. A travers cette connexion internet, il est possible de se connecter à ces ordinateurs et d’accéder aux différents appareils tels que celui gérant l’allumage du moteur, le réglage des freins, etc.
Désormais lorsque l’on parle d’une automobile, l’identité est un élément central : identité de l’utilisateur, de la voiture, des dizaines voire des centaines d’objets connectés au sein d’un véhicule, etc. Le problème majeur est qu’il n’y a pas de corrélation entre l’identité du conducteur et l’ensemble des identités des objets intelligents présents dans la voiture.
En terme de sécurité, il faut créer cette relation pour que seule l’identité du conducteur, préalablement fortement authentifiée, puisse engager les actions sur ou au travers de l’identité des différents objets connectés. Ainsi lorsqu’un pirate cherchera à prendre le contrôle d’un véhicule à distance, son identité n’étant pas reconnue par les différents objets connectés, il n’y aura pas accès. Il est donc nécessaire de mettre en œuvre une plateforme de gestion des identités qui va permettre de contextualiser et de relier entre elles ces différentes identités.
Une authentification nécessaire mais non contraignante pour les voitures connectées
Lorsqu’il y a authentification de l’identité du propriétaire, le véhicule n’est pas forcément uniquement dédié à ce dernier. L’identité d’un véhicule ou d’un objet peut être reliée aux différentes identités physiques des individus qui auraient une interaction avec elle. Un véhicule peut par exemple être rattaché aux différents membres d’une famille avec une autorisation pour chacun des parents ainsi que pour leur fille titulaire du permis de conduire. De plus, chacun peut avoir des autorisations spécifiques quand aux différentes actions qu’ils vont pouvoir réaliser. On peut par exemple relier l’identité de la voiture à celle du fils âgé de 10 ans et lui interdire totalement d’avoir accès au contrôle du moteur, des freins, etc.
Enfin, au delà d’une base logicielle s’appuyant sur des standards d’authentification, différentes méthodes sont envisageables : empreinte digitale, reconnaissance faciale … et tout ce que les constructeurs seront capables d’imaginer dans les années à venir ! (Ismet Geri, vice-président France et Europe du sud chez ForgeRock)
Une attaque informatique de masse, de type DDoS, a mis au tapis plusieurs sites du gouvernement Irlandais.
Étonnante attaque, la semaine dernière, que celle vécue par le gouvernement Irlandais. Un certain nombre de portails gouvernementaux ont été contraints de se déconnecter du web en raison d’une cyberattaque à grande échelle. Des services tels que le Central Statistics Office, the Oireachtas ( l’ensemble du corps législatif irlandais), le Ministère de la Justice, de la Défense, ainsi que la cour de justice d’Irlande ont bloqués par des Dénis Distribués de Service, des DDoS.
Due to technical issues with Government networks, our website and email are currently unavailable. Apologies for any inconvenience.
— Central Statistics Office Ireland (@CSOIreland) January 22, 2016
Des connexions pirates, par millions, lancées par des robots malveillants contrôlés par des inconnus. L’attaque n’a pas été revendiquée, du moins officiellement et publiquement. Quelques jours plus tôt, la Loterie Nationale avait connu une panne de deux heures à cause d’une attaque similaire. Un moyen pour des pirates, du type de ceux arrêtés il y a quelques jours [DD4B], de montrer leur force de frappe à de potentielles victimes prêtes à payer pour ne pas être bloqués ?
La prestigieuse BBC attaquée le 31 décembre par un DDoS violent qui a bloqué durant quelques heures ses sites et espaces de travail.
Un DDoS, lancé jeudi 31 décembre au matin, a bloqué le média britannique BBC durant plusieurs minutes. Une attaque qui a empêché, en interne, de fournir la moindre information sur le site officiel de l’antenne médiatique publique Anglaise. L’ensemble de ses services : replay, mails… étaient injoignables pour le public, comme pour les employés.
We're aware of a technical issue affecting the BBC website and are working to fix this now. We'll update you as soon as we can.
Qui derrière ce DDoS ? Plusieurs choix possibles allant du « piratin » qui teste un outil de Dénis Distribués de Services qu’il a loué ; un propagandiste de Daesh. Les choix sont tellement nombreux !
A noter que le site avait encore de sérieux ralentissement en ce 2 janvier. Une attaque qui change de celle orchestrée contre la British Broadcasting Corporation, en décembre 2013, par les pirates Hash et Rev0lver. Ces derniers avaient réussi à mettre la main sur les identifiants de connexion de ftp.bbc.co.uk. Un espace qui permettait aux journalistes et annonceurs de télécharger leurs contenus. Un an auparavant, un pirate iranien s’était invité dans l’espace « Perse » de la BBC [http://www.bbc.com/persian/].
Pour répondre à savoir qui est derrière l’attaque, une piste, qui reste cependant très « lol! ». Le journaliste Rory Cellan-Jones a reçu le message d’un groupe baptisé New World Hackers. Les « pirates » indiquent avoir testé leurs capacités opérationnelles sur le site de la BBC pour, ensuite, lutter contre Daesh ! « Ce n’était qu’un test. Nous n’avions pas l’intention d’empêcher son fonctionnement pendant plusieurs heures« .
A noter que les mêmes zouaves ont attaqué le site de Donald Trump, un autre extrémiste, mais à mille lieux de Daesh ! Bref, ils ont acheté des minutes DDoS et s’en servent !
L’éditeur d’antivirus Bitdefender dévoile ses prédictions en matière de menaces et leur impact sur les entreprises et les particuliers.
Le marronnier de fin d’année, la boule de cristal des éditeurs de solution de sécurité informatique, vient de toucher BitDefenders. La société, qui annonce protéger plus de 500 millions d’utilisateurs dans le monde entier, a publié ses prévisions en matière de sécurité. Cinq évolutions notables sont à noter. Elles impacteront notre façon de travailler, de jouer et de se sociabiliser sur Internet, au cours de l’année prochaine.
Malwares et adwares : des frontières de plus en plus floues
L’année 2016 verra un changement majeur dans la façon dont opèrent les cybercriminels. Le domaine probablement le plus impacté par cette refonte sera celui des PUA, dont l’activité s’est déjà accrue sur des plates-formes telles que Mac OS X et Android.
Suite aux nombreuses fermetures de réseaux de machines zombies et arrestations en 2015, les nouveaux cybercriminels transiteront probablement vers des systèmes de monétisation publicitaire spécifiques aux adwares agressifs, plutôt que de développer de nouvelles souches de malwares. Si pour le moment les botnets constituent toujours une partie importante de l’écosystème de la cybercriminalité, nous assisterons à une augmentation de la sophistication des PUA et des programmes incluant plus de greywares à l’installation.
La publicité sur le Web va également évoluer : étant donné le taux d’adoption ainsi que la popularité des bloqueurs de publicités, les régies publicitaires chercheront à utiliser des mécanismes plus agressifs afin de contourner ces blocages.
Les APT abandonneront le facteur de longévité
Les entreprises et les institutions gouvernementales feront toujours face à des attaques de ce type tout au long de 2016. Cependant, les APT (Advanced Persistent Threats, menaces persistantes avancées) mettront l’accent sur l’obfuscation et la récolte d’informations plutôt que sur la longévité. Les pirates ne s’infiltreront sur le réseau de l’entreprise que quelques jours, voire quelques heures.
Le monde de l’entreprise connaîtra une augmentation des attaques ciblées et des bots fortement obfusqués, avec une courte durée de vie et des mises à jour fréquentes, estime Dragos Gavrilut, Chef d’équipe au sein des Laboratoires antimalwares de Bitdefender. La plupart de ces attaques se spécialiseront dans le vol d’informations.
Également, l’évolution latérale de l’infrastructure des fournisseurs de services Cloud ira de pair avec l’avènement d’outils permettant aux pirates de compromettre l’hyperviseur à partir d’une instance virtuelle et de passer d’une machine virtuelle à l’autre. Ce scénario est particulièrement dangereux dans des environnements de « mauvais voisinage », où un tiers mal intentionné serait amené à partager des ressources sur un système physique avec un fournisseur de services ou une entreprise légitimes.
Des malwares mobiles de plus en plus sophistiqués
Du côté des particuliers, les types de malware sous Android sont désormais globalement les mêmes que sous Windows. Alors que les rootkits sont en perte de vitesse sur Windows, ils vont probablement devenir monnaie courante sur Android et iOS, car les deux plates-formes sont de plus en plus complexes et offrent une large surface d’attaque, affirme Sorin Dudea, Chef de l’équipe de recherche antimalwares. De nouveaux malwares mobiles, aux comportements similaires à ceux des vers, ou un réseau botnet mobile géant, sont deux autres possibilités envisagées pour l’année prochaine, selon Viorel Canja, Responsable des Laboratoires antimalwares et antispam chez Bitdefender. Ces attaques pourraient être la conséquence de techniques d’ingénierie sociale ou de l’exploitation de vulnérabilités majeures (telles que Stagefright) sur des plates-formes non patchées.
L’Internet des Objets (IOT) et la vie privée
La façon dont nous gérons notre vie privée va aussi changer durant l’année 2016. En effet, les récents vols de données ont contribué à mettre une quantité importante d’informations personnelles en libre accès sur Internet, rendant ainsi le « doxing » (processus de compilation et d’agrégation des informations numériques sur les individus et leurs identités physiques) beaucoup plus facile pour des tiers.
Les objets connectés vont devenir de plus en plus répandus, donc plus attrayants pour les cybercriminels. Compte tenu de leur cycle de développement très court et des limites matérielles et logicielles inhérentes à ce type d’objet, de nombreuses failles de sécurité seront présentes et exploitables par les cybercriminels ; c’est pourquoi la plupart des objets connectés seront compromis en 2016, ajoute Bogdan Dumitru, Directeur des Technologies chez Bitdefender. Également, les réglementations de surveillance de type « Big Brother », que de plus en plus de pays essaient de mettre en place pour contrecarrer le terrorisme, déclencheront des conflits quant à la souveraineté des données et le contrôle de leur mode de chiffrement.
Les ransomwares deviennent multiplateformes
Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l’un des plus importants vecteurs de cybercriminalité en 2016. Alors que certains pirates préfèrent l’approche du chiffrement de fichiers, certaines versions plus novatrices se concentreront sur le développement de « l’extortionware » (malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet).
Les ransomwares visant Linux vont se complexifier et pourraient tirer parti des vulnérabilités connues dans le noyau du système d’exploitation pour pénétrer plus profondément dans le système de fichiers. Les botnets qui forcent les identifiants de connexion pour les systèmes de gestion de contenu pourraient aussi se développer. Ces identifiants pourraient être ensuite utilisés par les opérateurs de ransomwares visant Linux pour automatiser le chiffrement d’une partie importante d’Internet.
Enfin, les ransomwares chiffrant les fichiers s’étendront probablement aux systèmes sous Mac OS X, corrélant ainsi avec les travaux de Rafael Salema Marques et sa mise en garde illustrée autour de son ‘proof of concept’ malware nommé Mabouia. En effet, si le principe de conception de Mabouia reste pour le moment privé, il pourrait être créé par des cybercriminels enrichissant alors leurs offres orientées MaaS (Malware-As-A-Service).
Via la prise USB d’une Toyota Corolla, un chercheur en informatique, bloque la voiture à coup de DDoS.
Le monde du « sans connexion » envahi nos vies. La marche de l’IoT est lancée et rien ne l’arrêtera vue les enjeux économiques. L’important, que le client achète, on verra ensuite pour sa sécurité. Du moins si le client est encore vivant.
Inoue Hiroyuki, professeur en informatique à la Graduate School of Information Sciences de l’université d’Hiroshima a expliqué comment il avait « planté » une Toyota Corolla avec 90€. Une clé USB trafiquée et un DDoS via le port USB de la voiture « Le pilote était incapable de bouger la voiture en appuyant sur l’accélérateur » explique-t-il dans le Japan Times. L’agrégé en informatique a indiqué avoir aussi été capable d’ouvrir et fermer les fenêtres de la voiture, afficher une lecture de compteur de vitesse incorrecte et geler l’accélérateur. Toyota a annonçait qu’il allait continuer « à faire des efforts » pour améliorer la sécurité de ses véhicules.
Il serait peut-être temps d’arrêter de nous prendre pour des idiots ? En juillet 2015, une Jeep Cherokee, et un mois plus tard, une Corvette étaient elles aussi malmenées. Le piratage des voitures ne fait que débuter ! Pour le moment, il ne se déroule officiellement que dans des laboratoires.
La dernière étude du McAfee Labs pointe du doigt les nouveaux malwares, macro et sans fichier, ainsi que les nouvelles menaces qui ciblent les services bancaires mobiles.
McAfee Labs, l’entité spécialisée dans la recherche de menaces informatiques d’Intel Security, révèle les principales menaces informatiques du troisième trimestre 2015, parmi lesquelles d’anciens types de menaces reconditionnés avec l’ingénierie sociale, de nouveaux malwares sans fichier (fileless malware) remplaçant les rootkits, des failles d’application mobile, mais surtout l’exploitation du maillon le plus faible de tout écosystème : l’utilisateur. Le bilan des menaces informatiques établi par McAfee Labs sur le mois de novembre (McAfee Labs Threat Report : November 2015) vient compléter l’évaluation trimestrielle de l’éditeur portant sur les cyber-menaces :
Les chercheurs de McAfee Labs d’Intel Security ont illustré que la médiocrité des pratiques de développement d’applications mobiles, et notamment le non-suivi des conseils de sécurité donnés par le prestataire des services back-end, peuvent conduire à l’exposition des données de l’utilisateur dans le Cloud.
Cette analyse démontre également comment les clients de services bancaires mobiles ont été victimes d’un tel scénario. En deux mois, l’équipe de chercheurs a analysé près de 300.000 applications mobiles et découvert deux chevaux de Troie visant à subtiliser les données de plusieurs milliers de comptes bancaires mobiles à travers l’Europe de l’Est. Les chercheurs d’Intel Security ont démontré que les cybercriminels ont pu exploiter des failles de code dans le back-end en contournant des privilèges root afin d’installer, de façon inaperçue, un code malveillant qui leur a permis de voler des numéros de carte bancaire et réaliser des transactions frauduleuses.
Le rapport a également étudié les macro-malwares utilisant l’ingénierie sociale pour gagner du terrain au sein des entreprises. Cette typologie de logiciels malveillants a augmenté d’un peu moins de 10.000 nouvelles attaques au cours du troisième trimestre 2014 à près de 45 000 ce trimestre. Un tel niveau n’avait pas été atteint depuis 2009.
Cette croissance est liée aux attaques de spearphishing plus nombreuses dont le but est d’inciter l’utilisateur à ouvrir des malwares joints à un email. Le nouveau type de macro-malware est capable de rester caché même après le téléchargement des ‘payloads’ malveillants.
Enfin, les chercheurs du McAfee Labs ont mis en avant la manière dont les hackers ont su tirer profit des fonctionnalités offertes par certains OS pour créer un nouveau type de logiciels malveillants sans fichier (fileless malwares) qui a su contourner les systèmes de détection traditionnels des menaces. Ce genre d’attaques semble désormais prendre la place des rootkits. Le Labs de McAfee a répertorié plus de 74 470 échantillons d’attaques ‘sans fichier’ au cours des trois premiers trimestres 2015. Le plus souvent, ce type de logiciel malveillant infect directement l’espace de mémoire vive d’un appareil, se cache derrière une API au niveau d’un noyau de système d’exploitation ou se dissimule dans le registre de système d’exploitation.
La division sécurité d’IBM publie son rapport trimestriel IBM X-force faisant état du Top 4 des tendances liées aux cyber-menaces en 2015. Dans l’ensemble, 2015 a été une année difficile en matière de menaces internes, de logiciels malveillants, ainsi que d’attaques persistantes et évolutives touchant les entreprises.
Les pirates amateurs exposent les criminels expérimentés lors d’attaques « Onion Layered ». Alors que 80% des cyber attaques sont générées par des réseaux de criminels en ligne hautement organisés et sophistiqués, ce sont souvent des pirates inexpérimentés – « script kiddies » – qui inconsciemment poussent les entreprises à être attentives à ces pirates plus nombreux et expérimentés qui rôdent sur un réseau en ligne ou à l’intérieur d’une entreprise. Les pirates amateurs laissent des indices tels que des dossiers inhabituels ou des fichiers dans un répertoire temporaire, altèrent des pages web d’entreprises, et plus encore. Lorsque les entreprises se penchent sur ces attaques malveillantes, ils découvrent souvent des attaques beaucoup plus complexes.
Accroissement des rançongiciels (Ransomwares)
2015 était l’année des rançongiciels, se classant comme l’infection la plus fréquemment rencontrée. En fait, le FBI a signalé des attaques du rançongiciel CryptoWall qui ont permis aux pirates de collecter plus de 18 millions de dollars entre 2014 et 2015. Les chercheurs d’IBM pensent que cela restera une menace fréquente et un business rentable en 2016, migrant également vers les appareils mobiles.
La plus grande menace peut venir de l’intérieur Le rapport (tiré de l’étude Identifying How Firms Manage Cybersecurity Investment de Tyler Moore, Scott Dynes, Frederick R. Chang, Darwin Deason de l’Institute for Cyber Security Southern Methodist University – Dallas) indique également le danger permanent des attaques malveillantes à l’intérieur même d’une entreprise. Ceci est la continuation d’une tendance observée en 2014 lorsque l’index IBM 2015 lié à la Cyber Security Intelligence révélait que 55% de toutes les attaques de 2014 avaient été réalisées en interne ou par des individus ayant eu par le passé accès au système d’informations de l’entreprise – sciemment ou par accident.
Le C-Suite Cares
En 2015, la cybersécurité est devenue une priorité au plus haut niveau de l’entreprise, avec de plus en plus de responsables qui s’interrogent sur la sécurité de leur organisation. En fait, un récent sondage questionnant les responsables de la sécurité des systèmes d’information (RSSI), réalisé par SMU et IBM, a révélé que 85% des RSSI indiquent que la gestion des problèmes informatiques a augmenté, et 88% ont déclaré que leurs budgets de sécurité se sont accrus.
Akamai met en garde contre trois nouveaux vecteurs d’attaques DDoS par réflexion.
Akamai Technologies, Inc. leader mondial des services de réseau de diffusion de contenu (CDN), publie une nouvelle alerte cybersécurité. Akamai a, en effet, observé ces derniers mois trois nouvelles attaques par déni de service distribué (DDoS) utilisant la réflexion.
Qu’est-ce qu’une attaque DDoS par réflexion ?
Une attaque DDoS par réflexion, ou attaque DrDoS, compte trois types d’acteurs: l’attaquant, sa cible et des serveurs, complices malgré eux. L’attaquant envoie une requête simple à un service d’une victime. Ce pirate falsifie (par usurpation d’adresse) sa requête, qui donne l’impression de provenir de la cible. La victime, en répondant à l’adresse usurpée, envoie du trafic réseau intempestif vers la cible du pirate. Si la réponse de la victime est largement supérieure, en volume, à la requête, le pirate opte pour l’attaque DDoS par réflexion, qui amplifie ses capacités. Il envoie plusieurs centaines ou milliers de requêtes à haut débit à une longue liste de victimes en automatisant le processus avec un outil d’attaque et déclenche, en retour, un flux de trafic indésirable et une interruption par déni de service sur la cible.
« Même si les attaques DDoS par réflexion sont courantes, ces trois vecteurs d’attaques exploitent de manière abusive différents services et, démontrent ainsi que les pirates sondent sans relâche l’Internet pour découvrir de nouvelles ressources dont ils pourront tirer parti », indique à DataSecurityBreach.fr Stuart Scholly, senior vice president et general manager d’Akamai. « C’est comme si aucun service UDP n’était épargné par les auteurs d’attaques DDoS ; il faut donc que les administrateurs de serveurs bloquent les services inutiles ou les protègent des réflexions malveillantes. La quantité de services UDP exploitables pour des attaques DDoS par réflexion sur Internet est stupéfiante. »
Les outils employés pour chacune de ces nouvelles attaques par réflexion sont liés – car tous sont des variantes du même code C. Chaque vecteur d’attaques procède de la même façon : un script envoie une requête via une adresse usurpée à une liste de victimes. Les options de commande en ligne sont identiques.
Attaque DDoS par réflexion via le serveur NetBIOS
L’attaque DDoS par réflexion de type NetBIOS – qui consiste, plus précisément, en une réflexion du protocole NBNS (NetBIOS Name Service) – a été observée sporadiquement par Akamai de mars à juillet 2015. L’objectif principal delde NetBIOS est de permettre à des applications situées sur des ordinateurs distincts de communiquer et d’ouvrir des sessions pour accéder à des ressources partagées et s’identifier les uns les autres sur un réseau local.
Cette attaque génère 2,56 à 3,85 fois plus de trafic de réponse envoyé à la cible que les requêtes initiales adressées par le pirate.. Akamai a observé quatre attaques par réflexion sur le serveur NetBIOS, la plus conséquenteatteignant 15,7 Gbit/s. Bien que les requêtes NetBIOS, légitimes et malveillantes, soient fréquentes, un afflux de réponses a, pour la 1ère fois, été détecté en mars 2015 lors d’une attaque DDoS neutralisée pour un client Akamai.
Attaque DDoS par réflexion via le mécanisme RPC portmap
La première attaque DDoS par réflexion via le mécanisme RPC portmap, observée et neutralisée par Akamai, s’est produite en août 2015 dans le cadre d’une campagne d’attaques DDoS multi-vectorielles. RPC portmap, ce mécanisme indique au client comment appeler une version spécifique du service ONC RPC (Open Network Computing Remote Procedure Call).
Le facteur d’amplification des réponses les plus massives s’est établi à 50,53. Le plus courant était de l’ordre de 9,65. Sur les quatre campagnes d’attaques par réflexion de type RPC neutralisées par Akamai, l’une dépassait 100 Gbit/s, attestant de son extrême puissance. Des requêtes malveillantes visant à déclencher des attaques par réflexion ont été observées par Akamai quasi-quotidiennement à l’encontre de diverses cibles en septembre 2015.
Attaque DDoS par réflexion via Sentinel
La première attaque DDoS par réflexion via Sentinel, observée en juin 2015 à l’université de Stockholm, est associée à une vulnérabilité du serveur de licences SPSS, logiciel d’analyse statistique. Akamai a neutralisé deux campagnes d’attaques DDoS par réflexion de ce type en septembre 2015. Parmi les sources d’attaques figuraient des serveurs performants à forte disponibilité en bande passante, tels que des serveurs universitaires.
Si le facteur d’amplification de cette attaque ressort à 42,94, seulement 745 sources de ce trafic d’attaques sont identifiées. Même avec une bande passante supplémentaire fournie par des serveurs en réseau, une attaque de ce type est limitée par le nombre de réflecteurs disponibles. L’une de ces attaques a culminé à 11,7 Gbit/s.
Neutralisation des attaques DDoS et renforcement des systèmes
Pour ces trois vecteurs d’attaques DDoS, un filtrage en amont peut être éventuellement utilisé pour les neutraliser ; sinon, il faudra faire appel à un prestataire de services spécialisés en mode cloud. L’alerte de cybersécurité propose une règle Snort permettant de détecter les requêtes malveillantes générées par l’outil d’attaque RPC portmap. Des règles similaires peuvent être conçues pour détecter le service Sentinel. « Les administrateurs devraient se demander si ces trois services doivent être accessibles à tous sur Internet», conclut Stuart Scholly. « Probablement non en ce qui concerne NetBIOS. Pour les deux autres, en revanche, il se peut que la réponse soit oui, et le défi consiste alors à les protéger. Les trafics RPC et Sentinel peuvent alors être contrôlés et maîtrisés avec un système de détection des intrusions.»
Cette alerte, qui détaille avec précision ces menaces via NetBIOS name server, le mécanisme RPC portmap et Sentinel, est téléchargeable sur www.stateoftheinternet.com/3-ddos-reflection
320 heures : c’est la durée de l’attaque DDoS la plus longue enregistrée par Kaspersky Lab au troisième trimestre 2015, soit près de deux semaines.
Le rapport sur les attaques DDoS a été mené à partir de la surveillance continue des botnets et de l’observation des nouvelles techniques employées par les cybercriminels. Les victimes des attaques DDoS se répartissent dans 79 pays à travers le monde. Les 3 pays les plus touchés sont la Chine, les Etats-Unis et la Corée du Sud. Plus de 90 % des attaques ont duré moins de 24 heures mais le nombre d’attaques dépassant 150 heures est en nette progression. Le nombre le plus élevé d’attaques ciblant une même victime a été de 22, contre un serveur situé aux Pays-Bas. Les cybercriminels semblent prendre des vacances comme tout un chacun, le mois d’août ayant été le plus calme du trimestre en matière d’attaques. Les botnets sous Linux occupent une part importante, étant à l’origine de 45,6 % de toutes les attaques enregistrées, principalement pour des raisons de protection insuffisante et de capacité supérieure de bande passante.
Les banques sont des cibles fréquentes d’attaques complexes et de demandes de rançons. Les attaques moins complexes mais non moins dangereuses sont devenues moins chères à exécuter. Le rapport révèle également que des attaques DDoS visant des serveurs ont été observées dans 79 pays au total, mais, 91,6 % des victimes des attaques DDoS se trouvent dans seulement 10 pays. On notera également que les auteurs d’attaques DDoS ne peuvent pas opérer loin de leur pays de résidence contrairement à d’autres organisations cybercriminelles spécialisées dans le piratage de cartes de crédit par exemple.
De plus amples détails sur la répartition géographique et d’autres caractéristiques des attaques DDoS enregistrées par l’observatoire DDoS Intelligence de Kaspersky Lab figurent dans le rapport complet publié sur le site Viruslist. « D’après nos observations et nos mesures directes, nous ne pouvons pas prédire comment le « business » clandestin des attaques DDoS va évoluer. La menace semble se développer partout. Nous avons enregistré des attaques extrêmement complexes contre des banques, assorties d’une demande de rançon, mais aussi de nouvelles méthodes bon marché destinées à paralyser les activités d’une entreprise pendant une période prolongée. Le volume des attaques augmente, la plupart d’entre elles ayant pour but de frapper, de semer le chaos et de disparaître. Cependant, le nombre des attaques de longue durée, capables d’acculer à la faillite une grande entreprise non protégée, est également en hausse. Ces évolutions de taille obligent les entreprises à prendre des mesures préventives contre la menace bien réelle et le risque accru que représentent les attaques DDoS », commente à Data Security Breach Evgeny Vigovsky, responsable des activités de Kaspersky Lab pour la protection contre les attaques DDoS.
Pendant ce temps…
L’excellent service de chiffrement de courrier électronique ProtonMail se faisait attaquer à coup de DDoS, au début du mois de novembre. Des rançonneurs qui réclament de l’argent pour que cessent les attaques. ProtonMail a versé 6000 dollars aux assaillants. Ces derniers n’ont cependant pas attaqué l’attaque perturbant les services de l’entreprise Suisse. « En l’espace de quelques heures, les attaques ont commencé à prendre un niveau de sophistication sans précédent » confirme ProtonMail. Impressionnante attaque car l’assaut, coordonné, a visé le FAI de ProtonMail avec des données malveillantes dépassant les 100Gbps. Une attaque visant le centre de données, mais également des routeurs à Zurich, Francfort… Des centaines d’autres entreprises ont été impactées. ProtonMail a payé 6000 dollars, espérant que cesse l’attaque. Ils ont suivi la directive d’un agent spécial du FBI qui invitait les entreprises victimes à payer. Mauvaise idée ! « Cela a été clairement une mauvaise décision, confirme ProtonMail, à tous les attaquants futurs – ProtonMail ne payera plus jamais une autre rançon« . Les maîtres chanteurs, ils signent sous le pseudonyme d’Armada Collective, se sont attaqués à plusieurs autres entreprises helvétiques.
Une enquête révèle que 87 pour cent des entreprises canadiennes auraient subi des incidents liés au piratage informatique.
Un sondage intéressant, signé par la société HSB BI&I, auprès de gestionnaires de risques permet de constater que les entreprises sont vulnérables. Près de 90 pour cent des entreprises canadiennes ont subi au moins un incident lié au piratage informatique dans la dernière année, selon une enquête réalisée auprès de gestionnaires de risques d’entreprises, publiée aujourd’hui par La Compagnie d’Inspection et d’Assurance Chaudière et Machinerie du Canada (HSB BI&I) faisant partie de la famille Munich Re.
« Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ». Plus de la moitié (60 pour cent) d’entre eux croient que leurs entreprises consacrent suffisamment d’argent, ou de personnel qualifié et expérimenté, pour lutter contre l’évolution des techniques de piratage. Pourtant, 42 pour cent de ces entreprises n’ont pas souscrit une couverture de cyber-assurance.
« Avec la prévalence des cyber-attaques au Canada, il y a une nette divergence entre les perceptions des gestionnaires de risques et le niveau réel d’exposition de leurs entreprises face à une activité de piratage informatique», a déclaré à DataSecurityBreach.fr Derrick Hughes, vice-président chez HSB BI&I. « Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ».
Parmi les gestionnaires de risques interrogés dans l’enquête, 66 pour cent représentaient les grandes entreprises, suivis par 28 pour cent pour les organisations de taille moyenne et de 6 pour cent pour les petites entreprises.
L’enquête a révélé une hausse notable de la sensibilisation et des préoccupations quant aux cyber-risques suite de l’adoption récente de la Loi sur la protection des renseignements personnels numériques (projet de loi S-4). Près de 70 pour cent des gestionnaires de risques ont déclaré qu’ils seraient plus enclins à souscrire une couverture de cyber-assurance pour leur entreprise en raison des nouvelles exigences en matière de notification de violation de données.
Les préoccupations concernant le type de renseignements pouvant être violés varient des informations sensibles de l’entreprise (50 pour cent) aux renseignements personnels identifiables (42 pour cent) et aux renseignements financiers (8 pour cent).
Interrogés sur les types de services de gestion des risques envisagés pour lutter contre les cyber-risques, les gestionnaires de risques répondent : la détection d’intrusion et les tests de pénétration (40 pour cent), le cryptage (24 pour cent) et les programmes de formation du personnel (19 pour cent).
HSB BI&I a réalisé la cyber enquête, le 28 septembre 2015, lors du congrès Risk and Insurance Management Society Conference Canada (RIMS Canada) à Québec. Cette enquête est destinée à représenter l’opinion des 102 gestionnaires de risques participants. Pour ce faire, ces derniers ont pris part à l’enquête par le biais d’une entrevue en personne. Les participants représentaient les entreprises de petites (1-99 employés), moyennes (100-999 employés) et grandes tailles (1 000 employés et plus), dans les secteurs d’activités suivants : les services publics et l’énergie; les mines; l’aérospatial, la défense et la sécurité; la fabrication; le secteur public; la technologie; les services financiers, la santé/médical; la vente au détail.
Retour sur l’économie souterraine du Dark Web ainsi que sur les pratiques et les coûts du Cybercrime-as-a-Service.
Le nouveau rapport d’Intel Security, intitulé The Hidden Data Economy, porte sur le marché noir des données volées en ligne, ou ‘Dark Web’. Il révèle la manière dont ces dernières sont compilées, ainsi que les prix auxquels elles sont revendues en ligne. Dans ce dernier, le McAfee Labs d’Intel Security dévoile les prix fixés sur le Dark Web pour l’achat de cartes de débit et de crédit, d’identifiants de comptes bancaires et de services de paiement en ligne et d’accès aux comptes de fidélité.
« Comme toute économie non réglementée et performante, l’écosystème de la cybercriminalité a très vite évolué pour offrir de nombreux outils et services à toute personne aspirant à un comportement malfaisant », déclare à DataSecurityBreach.fr Raj Samani, CTO EMEA d’Intel Security. « Le marché du Cybercrime-as-a-Service a été le principal moteur à la fois de l’explosion, de l’ampleur, de la fréquence et de la gravité des cyberattaques. Aujourd’hui, nous constatons une véritable prolifération des modèles économiques conçus pour revendre les données volées et rendre les cyberattaques très lucratives pour les hackers.»
Depuis des années, l’équipe du McAfee Labs coopère avec les principaux acteurs concernés, organisations policières nationales et internationales, éditeurs de logiciels de sécurité informatique, etc., pour identifier et démanteler les multiples sites web, forums et autres plateformes, communautés et marchés en ligne où les transactions illégales ont lieu. En s’appuyant sur ces expériences, les chercheurs du McAfee Labs sont désormais en mesure de fournir une évaluation globale du statut de « l’économie de la cybercriminalité », avec des illustrations de cas typiques et de prix par catégorie de données et par région.
Les cartes de paiement
Les données des cartes bancaires sont sans doute le type de données le plus volé et vendu sur le Dark Web. Les chercheurs du McAfee Labs ont constaté des variations de prix en fonction du conditionnement des données. Une offre standard, soit un « Random » dans le jargon de cybercriminels, comprend l’identifiant de carte valide, généré par un logiciel, qui combine un numéro de compte primaire (PAN), une date d’expiration et un cryptogramme CVV2. Les logiciels générant des numéros de carte de crédit valides peuvent également être achetés ou trouvés gratuitement en ligne.
Les prix augmentent lorsque l’offre comprend des informations supplémentaires donnant accès à davantage de possibilités d’exploitation des données. Dans certaines offres plus complètes sont également inclus : le numéro d’identification de compte bancaire (IBAN / BIC), la date de naissance de la victime et des informations plus confidentielles classées « Fullzinfo », comme par exemple, l’adresse de facturation utilisée pour ses commandes en ligne, le code PIN de sa carte, son numéro de sécurité sociale, le nom de jeune fille de sa mère, voire son nom d’utilisateur et son mot de passe utilisés pour accéder, gérer et modifier les configurations de son compte bancaire.
Le tableau suivant illustre les prix moyens pratiqués sur le Dark Web pour la vente de cartes de crédit et de débit par région et en fonction des données disponibles :
« Un criminel possédant l’équivalence numérique d’une carte de crédit est en mesure de faire des achats ou des retraits jusqu’au moment où la victime contacte sa banque pour faire opposition et mettre en place des mesures de vérification», poursuit Raj Samani à datasecuritybreach.fr. « Or, en possédant de nombreux renseignements personnels sur la victime, le cybercriminel pourrait très bien justifier qu’il est le propriétaire de la carte bancaire, voire accéder au compte en ligne et en changer les paramètres de configuration. L’accès aux données personnelles peut ainsi augmenter de manière significative les potentiels préjudices financiers pour l’individu ».
Les comptes de services de paiement en ligne
En ce qui concerne les données relatives aux comptes de services de paiement en ligne, les conditions et les possibilités d’utilisation limitées influenceraient les prix qui semblent être dictés uniquement par le solde du compte piraté. L’accès à des comptes créditeurs de 350 à 900 € est estimé entre 17 et 43 €, tandis que le prix d’achat des identifiants de comptes avec un crédit de 4 400 à 7 000 € peut s’étendre de 175 à 260 €.
Les identifiants de comptes bancaires en ligne
Les cybercriminels peuvent acheter des identifiants de comptes bancaires leur permettant de faire des virements à l’international de manière anonyme. Selon McAfee Labs, un compte créditeur de 2 000 € peut être acquis en ligne pour un prix de 170 €. Le prix d’accès à un compte bancaire en ligne avec une fonctionnalité de virements internationaux anonymes peut varier de 440 € pour un compte avec un crédit de 5 300 € jusqu’à 1 000 € pour un compte créditeur de 17 500 €.
Services de contenu premium
Le rapport examine également les prix fixés sur le Dark Web pour l’acquisition de codes d’accès à des services de contenu en ligne tels que le streaming de vidéo (de 0,5 à 0,9 €), de chaînes câblées (6,50 €), de chaînes sportives (13 €) ou à des bibliothèques de bandes dessinées premium en ligne (0,5 €). Ces tarifs relativement faibles suggèrent que les opérations de vol des identifiants ont été automatisées pour rendre ces modèles économiques rentables.
Les comptes de fidélité
Certains services en ligne, tels que l’accès à des programmes de fidélité dans l’hôtellerie ou à des sites d’enchères en ligne, pourraient sembler sans intérêt pour les cybercriminels. Pourtant, les chercheurs du McAfee Labs ont constaté que les données relatives à ces services sont également à vendre sur le marché noir. Elles permettraient à la fois aux acquéreurs d’acheter en ligne avec le compte de leurs victimes et de bénéficier de leur réputation en ligne. Le rapport présente d’ailleurs deux cas concrets de recèles, la vente d’un compte de fidélité de 100.000 points à 17 €, ainsi que celle d’un compte de réputation positive sur un service d’enchères de marques en ligne à plus de 1 200 € !
Ce rapport survole les possibilités du blackmarket. Des chiffres à prendre avec des pincettes. DataSecurityBreach.fr se « promène » dans une cinquantaine de black market différents. Les prix varient tellement, certains chaque heure, qu’il est impossible de fournir un chiffre, même une moyenne, exact. Le rapport ne prend pas en compte, non plus, les services tels que les fournitures de moyens pour des DDoS et autres Swatting. N’oublions pas non plus que ces études sortent au même moment que les nouveaux antivirus des producteurs de ces études.
Selon le dernier rapport publié par PwC, les cyber-attaques augmentent inexorablement et la France fait partie des premiers pays les plus touchés. Les pertes financières associées sont aujourd’hui estimées à 3,7 millions d’euros par entreprise, soit quasiment l’équivalent des budgets dédiés à la sécurité informatique évalué à 4,8 millions d’euros. Avec une hausse de 51% des incidents de sécurité sur les douze derniers mois, il devient urgent d’adresser les problématiques de sécurité au plus haut niveau de l’entreprise, avant que l’impact sur les résultats de l’entreprise ne soit irrémédiable.
Cette dernière enquête confirme la prise de conscience des entreprises vis-à-vis de la sécurité de leurs données et des conséquences financières et commerciales inévitables qu’une cyber-attaque engendre. Malgré la croissance effrénée des incidents de sécurité, les responsables d’entreprises ou de service IT interrogés dans le cadre de cette enquête semblent pourtant avancer dans la bonne direction.
En effet, l’extension du périmètre à protéger en raison de mauvaises pratiques de sécurité imputées aux employées ou aux prestataires externes, confirme la nécessité d’utiliser une méthode de surveillance globale du réseau et de l’ensemble des interactions avec l’extérieur. Les recommandations de PwC vont d’ailleurs dans ce sens : il n’existe pas de modèle standard de protection, c’est l’utilisation d’un mix de technologies intégrées et holistiques qui rend
le système de protection plus efficace.
Le fait que 59% des répondants préconisent l’analyse de toutes les sources de données de l’entreprise comme principal levier d’amélioration de la sécurité, grâce notamment à une surveillance accrue sur l’ensemble du périmètre à protéger en temps réel, prouve que la perception des entreprises évolue
et que l’idée d’une solution de sécurité unique disparaît peu à peu.
Chaque attaque est unique et les méthodes utilisées par les hackers diffèrent selon l’objectif à atteindre. En prenant en considération le fait que les pirates savent se faire discrets et restent parfois plusieurs mois, voire des années, à attendre le bon moment d’opérer leurs méfaits, les entreprises
peuvent passer à côté de failles importantes sans une surveillance permanente et en temps réel de ce qui se passe sur leur réseau. En cas d’attaque, des outils permettant la détection immédiate d’un comportement anormal sur le réseau sont également indispensables afin de pouvoir y remédier le plus rapidement possible.
Si l’augmentation des investissements des entreprises françaises dans la sécurité est une bonne nouvelle, les entreprises doivent repenser la manière dont protéger leurs données confidentielles en partant du principe que l’ennemi se trouve déjà à l’intérieur et qu’il ne reste qu’à le trouver et l’éliminer. (Par Jean-Pierre Carlin, LogRhythm)
Les Dénis de service distribués (DDoS) ont évolué tant en complexification qu’en sophistication. Les menaces DDoS auxquelles sont confrontées toutes les entreprises, quelle que soit leur taille ou leur industrie, ont changé avec le temps. Si les attaques DDoS opportunistes sont encore une réelle menace, la plupart des attaques actuelles sont désormais ciblées. Il s’agit souvent de frappes brèves qui cherchent à échapper aux systèmes de mitigation traditionnelle. (Par Willie Georges, Ingénieur Réseaux et Sécurité Senior chez Corero Network Security)
Face à cette évolution, il est nécessaire que les entreprises aient une approche de la Défense contre les DDoS aussi sophistiquée que ces menaces. Les fournisseurs de services ont un rôle essentiel à jouer pour protéger leurs clients.
Les acteurs malveillants d’Internet lancent chaque jour des attaques DDoS pour protester, exercer des méfaits, des représailles, des actions de sabotage… On observe un éventail de plus en plus large de tactiques visant un nombre de cibles toujours plus important. Il est aujourd’hui facile pour n’importe qui de lancer une attaque paralysante pour très peu d’argent. Il existe par exemple des abonnements qui permettent de lancer plusieurs attaques DDoS de courte durée pour seulement quelques dizaines d’euros par mois. Il est aussi tout à fait possible d’installer des applications sur un smartphone pour lancer des DDOS.
L’Internet des Objets est un des vecteurs de la menace. Les téléviseurs intelligents, les voitures et maisons connectées, les capteurs de machine-à-machine, les villes intelligentes, les transports en commun et tous les matériels qui continuent à se connecter sont autant de points d’entrée pour les attaques. Ce sont ces dispositifs intelligents qui déjà en 2014 étaient utilisés comme vecteurs par un tiers des plus grandes attaques DDoS. Aujourd’hui, la fréquence des attaques augmente. Leur sophistication aussi. Au 4ème trimestre 2014, les clients de Corero Network Security ont connu en moyenne 3,9 tentatives d’attaque DDoS journalières, par client. Il s’agit d’une moyenne. L’un d’eux a subi une moyenne de 12 attaques par jour via son centre de données multi-environnement, pendant une période de trois mois !
Les motivations de ces attaques varient selon l’entreprise, le secteur économique auquel elle appartient ou l’image qu’elle véhicule. Il peut s’agir de cyber-terrorisme, d’un acte politique ou idéologique, de fraude, d’une demande de rançon, d’escroquerie, de cyber-espionnage, de sabotage numérique, de vol de données par exfiltration, de vengeance,… Les finalités sont multiples, les attaques se poursuivent et augmentent.
Certains événements, comme les attentats de Paris et les manifestations au Venezuela, en Arabie saoudite et aux Etats-Unis, sont très médiatisés. Par réaction, cette médiatisation a provoqué une légère hausse des actions hacktivistes. Par ailleurs, les cibles se sont élargies, incluant le monde des joueurs en ligne, des fournisseurs de cloud, des fournisseurs de vidéo en streaming et même des sites Web institutionnels…
Des frappes ciblées et répétées
Des techniques de réflexion et d’amplification augmentent le volume des attaques pour les rendre plus actives et paralyser totalement un site web par exemple. Les nouvelles attaques sont multi-vectorielles et leur durée est plus courte. Elles portent un coup rapide mais très efficace. 66% d’entre elles ont duré moins de cinq minutes et presque 96% moins de 30 minutes(1). Cette nouvelle approche complique le processus de nettoyage. Au moment où l’on active le service de mitigation chez le fournisseur, il est souvent trop tard et le mal est fait.
Les cybercriminels ont évolués, passant du pur volumétrique aux attaques DDOS multi-vecteurs. Des kits d’outils modernes peuvent lancer des attaques visant à la fois les infrastructures et les services. Ce sont des attaques SYN Flood, UDP Flood, DNS (Domain Name System) Flood avec un très grand nombre de requêtes pour obtenir une saturation. Le but ? Masquer une seconde vague de menaces qui vont bien au-delà des DDoS eux-mêmes.
Les acteurs de ces scénarios utilisent une saturation de lien partielle, laissant juste assez de bande passante disponible pour qu’une deuxième attaque puisse se produire. Dans ce cas, l’attaque DDoS sert à attirer l’attention et à concentrer les ressources de la victime sur le déni de service. Par exemple, un SYN flood pourrait remplir les tables des états de connexions pour faire tomber un pare-feu, tandis que l’amplification DNS serait utilisée pour attaquer les systèmes IPS. Entre les deux, des couches de sécurité compromises pour permettre une attaque ciblée par le biais de logiciels malveillants, avec l’objectif d’exfiltrer des données.
Les pirates effectuent des scans pour obtenir une cartographie du réseau ciblé. Puis, ils lancent une deuxième et éventuellement une troisième attaque qui contourneront la stratégie de protection. L’objectif étant le plus souvent l’exfiltration de données. Pour vaincre ces attaques sophistiquées, seule une analyse en temps réel est nécessaire et efficace, déterminant la nécessité de personnaliser les contremesures.
Les fournisseurs de service doivent agir
Il est aujourd’hui possible d’agir sur le trafic des attaques DDoS qui transitent sur les réseaux des fournisseurs de services mobiles et fixes – FAI, fournisseurs de convergence, opérateurs de systèmes multiples (MSO), etc. – sont bien placés pour changer fondamentalement l’impact des attaques DDoS en aval. De plus, c’est pour eux une nouvelle source de revenus que d’offrir une protection de nouvelle génération à leurs clients.
Avec les nouvelles solutions permettant des économies d’échelle pour une mitigation des DDoS modernes et sophistiqués, les fournisseurs de services sont désormais à même de relever ce défi. Ils doivent se focaliser sur cette bataille pour deux raisons majeures. D’abord le maintien de la bande passante nécessaire, fonction du nombre de leurs clients. Ensuite le fait qu’ils vont vers une architecture de réseau plus distribuée et plus chère pour fournir des services personnalisés à leurs abonnés.
Une protection locale instantanée devient alors capitale, ce qui contraint à s’éloigner de l’ancien modèle pour adopter une solution de protection moderne assise sur trois éléments stratégiques forts :
• Mettre en œuvre une technologie pour détecter, analyser et répondre aux attaques DDoS en inspectant le trafic Internet brut, puis pour identifier et bloquer les menaces dès les premiers paquets d’une attaque donnée.
• Mettre en place une stratégie de sécurité multicouche mettant l’accent sur la visibilité continue et l’application de la politique de sécurité pour installer une première ligne de défense proactive capable de lancer la mitigation des attaques DDoS, tout en assurant la disponibilité des services.
• Donner une visibilité totale des couches applicatives et du réseau lors d’attaques DDoS. Cette bonne pratique permet également l’analyse forensique des menaces passées et permet de disposer des rapports de conformité aux polices de sécurité.
La position des fournisseurs de services, au cœur de la circulation des données, de leur accessibilité ou de leur stockage les oblige désormais à intégrer dans leur projet d’entreprise cette stratégie de sécurité. Autant pour leur propre pérennité que pour la satisfaction et la tranquillité de leurs clients.
(1) Rapport trimestriel Tendances et analyse des DDoS de Corero Network Security.
L’ingénierie sociale serait la méthode la plus utilisée, suivie par la compromission de comptes et les attaques web de type injections SQL/de commandes selon une étude de Balabit.
BalaBit, fournisseur européen de technologies de sécurité contextuelle, a présenté lors de la 15è édition des Assises de la Sécurité, les résultats d’une étude menée auprès des participants de la Black Hat en août dernier, conférence de référence mondiale en matière de sécurité de l’information. BalaBit a interrogé 349 professionnels de la sécurité afin de définir le top 10 des méthodes de hacking actuellement les plus populaires. Cette étude offre aux entreprises l’opportunité de mieux connaître leurs ennemis en identifiant les méthodes et les vulnérabilités les plus utilisées par les hackers lorsqu’il s’agit de s’attaquer à leurs données sensibles. Cette base de connaissance est la première étape fondamentale pour toute entreprise souhaitant mettre en place une stratégie de sécurité IT efficace, et cela quelque soit son secteur d’activité.
Attaquant interne ou externe ? Pas si évident…
Les menaces sont différentes et plus sophistiquées aujourd’hui et la frontière entre les menaces internes et externes est devenue très étroite. La majorité des attaquants externes tentent de pénétrer le réseau, d’acquérir des niveaux d’accès basiques et d’utiliser leurs droits pour petit à petit remonter jusqu’à des niveaux d’accès privilégiés. Dans la plupart des cas, ils restent invisibles dans le réseau pendant plusieurs mois, puisqu’ils parviennent à s’identifier comme des utilisateurs internes. Qu’en est-il des utilisateurs internes malveillants ? : Sont-ils conscients des conséquences de leurs actes lorsqu’ils partagent leurs identifiants ou lorsqu’ils cliquent sur des liens de phishing – dans ce cas, la fuite de données est-elle le résultat d’actions intentionnelles ou accidentelles ? Doivent-ils être considérés comme malveillants seulement si leur action était intentionnelle ? Cela a t-il vraiment beaucoup d’importance si la fuite de données est très grave ?
70% des personnes interrogées considèrent les menaces internes comme les plus risquées.
54% des personnes interrogées déclarent avoir très peur des hackers qui pénètrent au sein du réseau de l’entreprise via leur pare-feu, alors même que 40% d’entre elles déclarent qu’un pare-feu n’est pas assez efficace pour empêcher les hackers d’entrer.
Les participants ont également été interrogés sur les attaquants – internes ou externes – qu’ils considèrent les plus à risques : Les résultats soulignent un point important en vue de la définition d’une stratégie de défense efficace : 70% des personnes interrogées considèrent que les utilisateurs internes présentent le plus de risques (et seulement 30% estiment que les attaquants externes posent plus de risques). Une chose est sûre : les attaquants externes cherchent à devenir des utilisateurs internes, et les utilisateurs internes les aident pour y parvenir – accidentellement ou intentionnellement. Quelque soit la source de l’attaque, la liste des 10 méthodes de piratage les plus populaires -présentées ci-dessous – démontre qu’il est crucial pour les entreprises de savoir ce qu’il se passe sur leur réseau en temps réel. Qui accède à quoi ; est-ce le bon utilisateur derrière l’identifiant et le mot de passe ou est-ce un attaquant externe utilisant un compte compromis ?
Le top 10 des méthodes de piratage les plus utilisées :
1. Ingénierie sociale (ex : phishing).
2. Compromission de comptes (sur la base de mots de passe faibles par exemple).
3. Attaques web (ex : injection SQL/de commandes).
4. Attaques de clients de l’entreprise ciblée (ex: contre des destinataires de documents, navigateurs web).
5. Exploits avec des mises à jour de serveurs connus (ex: OpenSSL, Heartbleed).
6. Terminaux personnels non sécurisés (manque de politique de sécurité BYOD, datasecuritybreach.fr vous en parle très souvent).
7. Intrusion physique.
8. Shadow IT (utilisation personnelle de services Cloud à des fins professionnelles).
9. Attaque d’une infrastructure outsourcée en ciblant un fournisseur de services externe.
10. Attaque de données hébergées sur le Cloud (via l’IaaS, le PaaS).
Le nouvel avis d’alerte établit le profil de plusieurs campagnes d’attaques récentes lancées à partir du botnet XOR DDoS. Le botnet XOR DDoS s’est perfectionné, et est à présent capable de déclencher des méga-attaques DDoS à plus de 150 Gbit/s. 90 % des attaques par déni de service distribué, exécutées par le botnet XOR DDoS, ont ciblé des organisations en Asie.
Akamai Technologies, Inc, leader mondial des services de réseau de diffusion de contenu (CDN), publie une nouvelle alerte de cybersécurité faisant état d’une menace révélée par son pôle SIRT (Security Intelligence Response Team). Des pirates informatiques ont créé un botnet capable de mener des campagnes d’attaques par déni de service distribué (DDoS) à plus de 150 Gbit/s au moyen du malware XOR DDoS, un cheval de Troie servant à détourner des systèmes sous Linux.
Qu’est-ce que XOR DDoS ?
Le malware XOR DDoS est un cheval de Troie qui infecte les systèmes Linux, en leur demandant de lancer des attaques DDoS sur demande, pilotées par un pirate à distance. Au départ, le pirate s’empare d’une machine Linux via des attaques par force brute pour découvrir le mot de passe donnant accès aux services SSH (Secure Shell). Une fois cet identifiant obtenu, il se sert des privilèges « root » pour exécuter un script shell Bash qui télécharge et lance le binaire malveillant.
« En un an, le botnet XOR DDoS s’est perfectionné et peut désormais être utilisé pour lancer de gigantesques attaques DDoS», souligne Stuart Scholly, à DataSecurityBreach.fr, vice-président et directeur général de la division Sécurité d’Akamai. « XOR DDoS illustre parfaitement le changement de tactique des pirates qui créent des botnets à partir de systèmes Linux infectés pour lancer des attaques DDoS. Ce phénomène se produit beaucoup plus fréquemment qu’auparavant, lorsque les machines sous Windows étaient les principales cibles des malwares DDoS. »
Attaques par déni de service XOR DDoS
Les travaux du pôle SIRT d’Akamai ont établi que la bande passante des attaques DDoS, déclenchées par le réseau de machines zombies XOR DDoS, était variable, se situant entre moins de 10 Gbit/s et plus de 150 Gbit/s, soit un volume d’attaques extrêmement conséquent. Le secteur des jeux a été le plus souvent ciblé, talonné par l’éducation. Ce botnet attaque jusqu’à 20 cibles par jour, situées pour 90 % d’entre elles en Asie. Le profil de plusieurs des attaques de sa provenance, neutralisées par Akamai, correspond à celles documentées en date des 22 et 23 août dans l’avis. L’une d’elles a frôlé 179 Gbit/s, tandis que l’autre avoisinait 109 Gbit/s. Deux vecteurs d’attaques ont été observés : SYN- et DNS-floods.
Si l’adresse IP du bot est parfois usurpée, elle ne l’est pas systématiquement. Les attaques observées dans le cadre des campagnes DDoS menées à l’encontre des clients d’Akamai, étaient un mélange de trafic usurpé et non-usurpé. Les adresses IP usurpées sont générées de façon à ce qu’elles semblent émaner du même espace d’adressage (blocs /24 ou /16) que celles de l’hôte infecté. Une technique d’usurpation, consistant à modifier uniquement le troisième ou le quatrième octet de l’adresse IP, empêche les fournisseurs d’accès à Internet (FAI) de bloquer le trafic usurpé sur les réseaux protégés par le mécanisme uRPF (Unicast Reverse Path Forwarding) de vérification du chemin inverse.
Neutralisation des attaques XOR DDoS
Des caractéristiques statiques identifiables ont été observées, notamment la valeur TTL de départ, la taille de fenêtre TCP et les options d’en-tête TCP. Ces signatures de charge utile peuvent contribuer à la neutralisation des attaques par déni de service distribué. Elles sont consultables dans l’avis d’alerte. Par ailleurs, des filtres tcpdump sont prévus pour faire face au trafic d’attaques SYN-flood généré par ce botnet.
Détection et éradication du malware XOR DDoS
La présence du botnet XOR DDoS peut être détectée de deux manières. Sur un réseau, il faut repérer les communications entre un bot, ou zombie, et son canal de commande et contrôle (C2) en faisant appel à la règle Snort exposée dans l’avis. Sur un hôte Linux, il faut se servir de la règle YARA qui opère une mise en correspondance des chaînes relevées dans le binaire.
Le malware XOR DDoS est persistant : il exécute des processus qui réinstalleront les fichiers malveillants même s’ils sont supprimés. Par conséquent, son éradication relève d’un processus en quatre étapes pour lesquels plusieurs scripts sont spécifiés dans l’avis :
Localiser des fichiers malveillants dans deux répertoires.
Identifier des processus qui favorisent la persistance du phénomène.
Eradiquer les processus malveillants.
Supprimer les fichiers malveillants.
Akamai continue à surveiller les campagnes exploitant régulièrement le malware XOR DDoS pour déclencher des attaques par déni de service distribué. Pour en savoir plus sur cette menace, sur la suppression de ce malware et sur les techniques de neutralisation DDoS, un exemplaire gratuit de l’avis est téléchargeable à l’adresse www.stateoftheinternet.com/xorddos.
Selon un rapport de sécurité publié par Akamai concernant le 2e trimestre 2015, les attaques par déni de service distribué (DDOS) se sont multipliées au cours des trois derniers trimestres. Ce type d’attaque, qui a principalement pour but de rendre un site, un serveur, un service ou une infrastructure indisponible et inutilisable en submergeant la bande passante de fausses requêtes, aurait même doublé entre 2014 et 2015.
Si elles existent depuis de nombreuses années, il semblerait que la puissance de ces menaces évolue. Le rapport révèle en effet que le nombre de méga-attaques a augmenté, leur fréquence, leur durée et leur sophistication atteignant même des niveaux encore jamais observés. Les pirates informatiques cherchent sans cesse de nouvelles méthodes pour exploiter la moindre vulnérabilité, pénétrer au cœur des systèmes d’information et arriver à leurs fins. Dans le cadre des attaques DDOS, les hackers peuvent utiliser plusieurs techniques pour dissimuler leur présence et la cible réelle de leurs actions. Parmi elles, les attaques dites volumétriques dont le but est de saturer la bande passante du réseau et de l’infrastructure. Mais comme l’indique le rapport d’Akamai, nous assistons également à l’exploitation croissante d’attaques applicatives qui ciblent des services et des applications spécifiques jusqu’à épuisement des ressources. Dans ce cas de figure, le vecteur d’attaque utilise un faible volume de trafic et sollicite beaucoup moins la bande passante, ce qui rend l’action encore plus difficile à détecter.
La plupart des entreprises craignent aujourd’hui d’être la cible de hackers mais pensent être à l’abri avec les solutions ‘traditionnelles’ de sécurité dont elles disposent, telles que des firewalls ou des systèmes de prévention d’intrusion (IPS). Ces outils représentent une première couche de sécurité mais ne suffisent pas à eux seuls pour résister à ces menaces multi-vectorielles et insidieuses d’un nouveau genre. De plus, dans la mesure où une attaque DDOS n’est exploitable que si elle ne sature pas la bande passante, certaines organisations préfèrent augmenter la vitesse de leur connexion plutôt que d’investir dans une solution de sécurité adaptée. Cette option n’est bien entendu, en aucun cas une solution efficace pour protéger ses données et ses ressources durablement.
Face à cette sophistication grandissante des attaques DDOS, les entreprises doivent s’adapter et revoir leur stratégie pour y faire face. Une mesure efficace serait la mise en place d’outils permettant de fournir une surveillance proactive, continue et en temps réel de l’activité sur leur réseau et de l’ensemble des équipements qui composent l’environnement IT. L’adoption de solutions de sécurité dites intelligentes disposant d’un moteur d’analyse puissant est également un atout majeur dans le cadre d’une stratégie globale de sécurité car ils permettent d’identifier la moindre activité anormale ou inhabituelle qui laisserait présager une menace. En combinant la surveillance des réseaux et des utilisateurs, les organisations peuvent avoir une meilleure visibilité en temps réel pour détecter beaucoup plus tôt les éventuelles attaques, et prendre très rapidement les mesures nécessaires pour les neutraliser avant qu’elles ne causent des dommages durables.
Les attaques DDOS ne sont pas nouvelles mais leur diversification et leur complexité changent clairement la donne. Cela signifie notamment que leur ampleur peut devenir plus critique : elles peuvent en effet paralyser les activités vitales d’une entreprise, dans certains secteurs tels que le e-commerce ou la banque en ligne. Si un site est indisponible, ne serait-ce que quelques heures, les pertes financières ainsi que l’impact en termes de réputation et de clientèle peuvent être extrêmement préjudiciables. C’est la raison pour laquelle aucune organisation, quel que soit son secteur d’activité, ne doit sous-estimer le risque qui plane sur ses ressources ni surestimer l’efficacité des solutions de sécurité en place. Il est ainsi primordial de faire évoluer sa stratégie globale et les outils adoptés en fonction de l’évolution du paysage des menaces et des techniques employées par les hackers. (Commentaires de Jean-Pierre Carlin, LogRhythm).
Se basant sur l’analyse de milliards de transactions mondiales menée d’avril à juin 2015, le Réseau ThreatMetrix Digital Identity a détecté et stoppé plus de 75 millions de cyberattaques en temps réel à travers le monde. Le secteur du e-commerce a particulièrement été touché, les attaques frauduleuses y ont crues de 20% durant cette période avec 36 millions de tentatives de fraude stoppées par le Réseau. Selon ThreatMetrix, ces attaques auraient généré 2,73 milliards d’euros de pertes pour les cybermarchands si elles avaient abouti.
Les nouvelles créations de comptes ont présenté le plus de risques, comptant pour près de 7% des transactions analysées bloquées par ThreatMetrix. Bien que sources de fraudes les plus fréquentes (80%), les ouvertures de sessions de comptes ont paradoxalement présenté moins de risques ce trimestre, comme en témoignent les seuls 3% de transactions bloquées par la société. Par ailleurs, 3% des paiements au niveau global ont également été jugés frauduleux au cours de la période. En France, avec 6,4% de transactions rejetées par le Réseau, les ouvertures de sessions de comptes ont été le plus soumises à des activités criminelles devançant ainsi les nouvelles créations de comptes (2.9%) et les paiements (2.5%).
Concernant la localisation des attaques, la tendance confirmée par ThreatMetrix dans son précédent rapport de sécurité se poursuit : la moitié des cyber-menaces (51%) ayant pesé sur les entreprises françaises durant cette période a eu de nouveau pour origine l’hexagone. Au niveau plus global, les Etats-Unis et le Royaume-Uni ont constitué durant ce trimestre, les principales scènes de la cybercriminalité internationale suivies par l’Allemagne, l’Inde et la République Dominicaine.
LE CREDIT EN LIGNE : DANS LA LIGNE DE MIRE DES CYBERCRIMINELS
Selon le rapport ThreatMetrix, les cybercriminels ciblant les organismes financiers se sont focalisés tout particulièrement sur le crédit en ligne. En effet, durant cette période, les attaques ont bondi de manière significative dans ce secteur ciblant principalement la création de nouveaux comptes et les remboursements. Considéré par les particuliers ayant un accès limité aux services financiers comme la façon la plus simple d’obtenir des prêts en un laps de temps très court, le marché du crédit en ligne est devenu une cible de choix pour les cybercriminels.
“Le crédit en ligne est un foyer de fraudes parce que c’est un canal insécurisé ciblant les exclus bancaires dans les économies développées » commente Pascal Podvin, Vice Président des Opérations Amériques et EMEA. “Tant que les entreprises et les particuliers stockeront et géreront leurs données financières en ligne, les cybercriminels seront en alerte maximale. C’est pourquoi la priorité numéro 1 aujourd’hui est de s’assurer que les identités numériques soient efficacement authentifiées et protégées.”
Le cybercrime est un phénomène mondial de plus en plus professionnalisé et organisé. Dotés des technologies les plus abouties et de tactiques toujours plus ingénieuses, les cybercriminels partagent leurs connaissances avancées avec les filières du crime organisé, les gouvernements et les cyber bandes décentralisées. Ils attaquent les sources traditionnelles et non traditionnelles de données consommateurs pour mettre en commun des identités exploitables et générer leurs exactions.
ENCORE PLUS D’ATTAQUES LIEES AUX USAGES MOBILES
Représentant un tiers de l’ensemble des transactions analysées, le mobile est aujourd’hui la source d’opportunités et de risques à la plus forte croissance pour les entreprises et les institutions financières qui souhaitent proposer des expériences transactionnelles toujours plus fluides à leurs clients. Les usages mobiles continuent à se développer comptant pour plus de 31% des transactions mondiales. Avec plus de 20 millions de nouveaux périphériques mobiles ajoutés chaque mois au Réseau ThreatMetrix, cette tendance sera encore amenée à croitre.
“Plus vous aurez de transactions mobiles, plus les cyber assaillants auront d’opportunités pour conduire des fraudes d’usurpation ou des vols d’identités en imitant d’autres périphériques pour faciliter les attaques,” ajoute Pascal Podvin. “ Les consommateurs favorisent principalement leurs smartphones au cours de leur temps libre. Ils seront donc plus enclins à conduire des transactions et des paiements pouvant compromettre leur empreinte numérique.”
Parmi les autres résultats marquants de ce rapport :
L’apparition dans le Top 5 de l’Inde et de la République Dominicaine comme pays sources de cyberattaques durant le deuxième trimestre 2015.
L’usurpation des identités et des périphériques (spoofing) ont constitué les menaces les plus courantes en France, comptant respectivement pour 5.2% et 7.9% des attaques sur la période.
Malgré le développement du commerce mondial, les transactions transfrontalières ont décliné par rapport aux transactions locales.
Hausse des bots et des violations de données.
La confiance reste un élément déterminant et critique pour la conversion et la fidélisation client comme les institutions financières et les cybermarchands aspirent à établir un fort relationnel avec leurs utilisateurs.
