Hajime: le botnet qui détrône Mirai

Le botnet Hajimé sort de l’ombre. Une arme numérique mise en lumière par la société Radware et plus dangereuse que Mirai !

Hajime est un botnet IoT très sophistiqué et adaptable conçu pour durer dans le temps. Il est capable de se mettre à jour et d’enrichir les facultés de ses membres avec des fonctions supplémentaires. Le système distribué utilisé pour la commande, le contrôle et la mise à jour d’Hajimé est assimilable à un torrent sans tracker utilisant des informations dynamiques qui changent quotidiennement. Toutes les communications via BitTorrent sont signées et cryptées à l’aide de RC4 et des clés privées / publiques.

Le module d’extension actuel fournit des services de numérisation et de chargement pour découvrir et infecter de nouvelles victimes. L’implémentation efficace du scanner SYN scanne les ports ouverts TCP / 23 (telnet) et TCP / 5358 (WSDAPI).

Lors de la découverte des ports Telnet ouverts, le module d’extension essaie d’exploiter la victime en utilisant une connexion shell brute force similaire à ce que faisait Mirai. Pour cela, Hajime utilise une liste composée des 61 mots de passe par défaut et ajoute 2 nouvelles entrées ‘root / 5up’ et ‘Admin / 5up’ qui sont des valeurs par défaut  pour les routeurs sans fil et les points d’accès Atheros.

En outre, Hajime est capable d’exploiter les modems ARRIS à l’aide d’une «porte dérobée». Pour en savoir plus, lire le rapport de Radware.

 

299 failles corrigées par Oracle

Oracle corrige un total de 299 failles dont la vulnérabilité Struts dévoilée par les pirates de la NSA, Shadow Brokers.

Un total de 299 nouveaux correctifs de sécurité viennent d’être publiés par Oracle pour l’ensemble de ses gammes de produits. Cette mise à jour de sécurité corrige 25 instances de la tristement célèbre vulnérabilité qui sévissait au sein du composant Apache Struts et permettait à un attaquant distant de prendre le contrôle total du serveur exécutant Struts. Le correctif pour Struts a été appliqué à 19 instances de cette vulnérabilité qui affectaient Oracle Financial Services Applications ainsi que WebCenter, WebLogic, Siebel, Oracle Communications, MySQL et Oracle Retail.

Oracle a également publié le patch 25878798 pour Solaris 10 et 11.3 pour corriger l’exploit EXTREMEPARR (CVE-2017-3622), la deuxième vulnérabilité dévoilée par le groupe de pirates Shadow Brokers. Si elle est exploitée avec succès, la vulnérabilité EXTREMEPARR, avec un score de sévérité CVSS de 7,8 sur 10, facilite une élévation de privilèges locaux dans le composant « dtappgather ». L’autre vulnérabilité CVE-2017-3623 dévoilée par Shadow Brokers, baptisée « Ebbisland » ou « Ebbshave », a déjà été corrigée par Oracle lors de plusieurs distributions de patches pour Solaris 10, diffusées depuis le 26 janvier 2012 et elle n’affecte pas Solaris 11.

Sur un ensemble de 299 correctifs, MySQL, Financial Services, Retail et Fusion Middleware se taillent la part du lion des correctifs. La majorité des vulnérabilités au sein de Financial Services, Retail et Fusion Middleware étaient exploitables via le protocole HTTP, les attaquants pouvant prendre le contrôle total du système à distance sans avoir besoin d’aucun certificat.

Concernant les bases de données, le volume de vulnérabilités MySQL a sensiblement augmenté par rapport au serveur de base de données Oracle. Il en va de même pour la mise à jour des 39 correctifs pour MySQL, dont 11 exploitables à distance sans authentification. Soit un nombre important de failles par rapport aux 3 seuls problèmes affectant le serveur de base de données. Toutes les vulnérabilités pour MySQL étaient exploitables via le protocole MySQL utilisé par les systèmes clients pour se connecter au serveur de bases de données. Les entreprises devraient donc dresser un inventaire détaillé de leurs serveurs MySQL concernant leur exposition, que ce soit à l’intérieur ou à l’extérieur de l’entreprise.

Java SE a bénéficié de 8 correctifs de sécurité, notamment pour 7 vulnérabilités exploitables à distance sans authentification. AWT, JCE ainsi que d’autres composants réseau Java étaient affectés et susceptibles d’être exploités via FTP, SMTP et de nombreux autres protocoles. 21 produits Sun Systems ont été corrigés dont Solaris, l’appliance de stockage Sun ZFS et Solaris Cluster. Parmi ces derniers, 8 vulnérabilités étaient exploitables à distance. Le composant le plus affecté dans Oracle Linux était la solution de virtualisation Oracle VM Virtual Box avec 6 vulnérabilités exploitables à distance.

(Cf tableau – liste de vulnérabilités exploitables à distance et résolues par le pack de correctifs).

En résumé, il s’agit d’une mise à jour de sécurité d’envergure avec 299 correctifs publiés pour toute la gamme de produits Oracle, corrigeant la vulnérabilité Apache Struts embarquée dans certains produits, ainsi que 162 vulnérabilités exploitables à distance. (Publié par amolsarwate dans The Laws of Vulnerabilities)

Pirater une voiture connectée : Bosch corrige une faille dans son application mobile

Pirater une voiture connectée! Une faille dans l’outil Drivelog Connect de Bosch permettait de prendre la main sur une voiture connectée et d’arrêter son moteur, alors qu’elle était en marche.

Arrêter une voiture en marche ? Pirater une voiture connectée ? un fantasme informatique ? Le groupe de cyber-recherche Israélien Argus a détecté des lacunes de sécurité dans le dongle Bosch Drivelog Connector et dans son processus d’authentification utilisant l’application Drivelog Connect. Des vulnérabilités qui ont permis aux hackers de prendre le contrôle d’une voiture connectée par le Bluetooth. Une prise de contrôle des systèmes de véhicule essentiels à la sécurité via un dongle Bosch Drivelog Connector installé dans le véhicule.

Une vulnérabilité identifiée dans le processus d’authentification entre le dongle et l’application de smartphone Drivelog Connect a permis de découvrir le code de sécurité en quelques minutes et de communiquer avec le dongle à l’aide d’un appareil Bluetooth standard, tel qu’un smartphone ou un ordinateur portable. Après avoir accédé au canal de communications, il a été facile de reproduire la structure de commande et injecter des messages malicieux dans le réseau embarqué du véhicule.

Pirater une voiture connectée avec un smartphone

En contournant le filtre de messages sécurisé qui était conçu pour autoriser uniquement des messages spécifiques, ces vulnérabilités ont permis de prendre le contrôle d’une voiture en marche, ce qui a été démontré en arrêtant le moteur à distance. Une description technique complète de l’attaque est publiée dans le blog d’Argus. L’équipe d’intervention en cas d’incident de sécurité des produits (Product Security Incident Response Team, PSIRT) de Bosch a agi de manière décisive et immédiate pour éliminer ces vulnérabilités.

Il est important de noter que l’évolutivité d’une attaque malicieuse potentielle est limitée par le fait qu’une telle attaque requiert une proximité physique au dongle. Autrement dit, le dispositif attaquant doit être dans le rayon Bluetooth du véhicule. Qui plus est, une attaque initiale requiert le crack du code PIN pour un dongle donné et l’envoi d’un message CAN malicieux adapté aux contraintes du dongle et du véhicule. Un travail supplémentaire est également réalisé pour limiter encore plus la possibilité d’envoyer des messages CAN non désirés et sera déployé avec d’autres améliorations plus tard dans l’année.

La faille de Microsoft Office CVE-2017-0199 utilisée pour diffuser l’espion LatentBot

Une faille dans Microsoft Office utilisée depuis des semaines par des pirates pour diffuser le logiciel espion LatentBot.

L’espion LatentBot aimait Office ! Microsoft vient de corriger une vulnérabilité dans Office. Une faille qui permet de cacher des instructions malveillantes dans un document sauvegardé au format .RTF. Dès le 4 mars 2017, des documents malicieux exploitant CVE-2017-0199 ont été utilisés pour délivrer le malware LATENTBOT. Le malware, qui possède une capacité de vol d’identités, n’a depuis lors été observé que via des pirates aux motivations financières. LATENTBOT est un type de malware modulaire et extrêmement bien caché qui a été découvert pour la première fois par FireEye iSIGHT Intelligence en décembre 2015. Il possède une variété de capacités, dont le vol d’identités, l’effacement de disque dur et de données, la désactivation de logiciel de sécurité, et l’accès à distance du poste de travail. Récemment, nous avons identifié des campagnes LATENTBOT utilisant Microsoft Word Intruder (MWI). Les documents leurre distribuant le malware LATENTBOT utilisent des méthodes de manipulation génériques, de type document.doc ou hire_form.doc.

Des échantillons de FINSPY et de LATENTBOT partagent la même origine

Cette faille a permis à d’autres pirates de diffuser un autre outil d’espionnage, FINSPY. Un logiciel légalement commercialisé par la société Gamma group. Des artefacts partagés dans les échantillons de FINSPY et de LATENTBOT suggèrent que le même assembleur a été utilisé pour créer les deux, ce qui indique que l’exploit 0day a été fourni à la fois pour des opérations criminelles et de cyber espionnage en provenance de la même source.

Des campagnes de spam DRIDEX juste après la divulgation de CVE-2017-0199

A la suite de la divulgation des caractéristiques de la faille zero day le 7 avril 2017, celle-ci a été utilisée dans des campagnes de spam DRIDEX, qui continuent encore à ce jour. Nous ne pouvons confirmer le mécanisme par lequel les acteurs ont obtenu l’exploit. Ces acteurs peuvent avoir exploité les connaissances sur la faille obtenues dans les termes de la divulgation, ou y avoir eu accès lorsqu’il est devenu clair que la diffusion d’un patch était imminent. Une campagne de spams a été diffusée le 10 avril 2017, exploitant un leurre « Scan Data. » Le document en attachement exploitait CVE-2017-0199 pour installer DRIDEX sur l’ordinateur de la victime.

Perspectives et implications

Même si un seul utilisateur de FINSPY a été observé exploitant cet exploit zero day, la portée historique de ce malware, dont les capacités ont été utilisées par plusieurs états nations, suggère que d’autres clients y ont eu accès. De plus, cet incident confirme la nature globale des cyber menaces et l’intérêt de disposer d’une perspective mondiale – un incident de cyber espionnage ciblant des russes peut fournir l’occasion d’en savoir plus et d’interdire des activités criminelles visant des individus parlant une autre langue ailleurs.

Turla, les cyber-espions de l’espace

Le groupe de cyber-espions Turla détourne les liaisons Internet par satellite pour infecter leurs victimes. Un rapport détaillé porte sur l’analyse des techniques et méthodologies employées par le groupe, dont la backdoor Carbon.

L’éditeur de solutions de sécurité informatique ESET révèle que le groupe Turla dispose d’un large éventail d’outils visant à récolter les données provenant d’institutions européennes et américaines (USA). Pour éviter de se faire repérer, le groupe Turla change ses outils à chaque nouvelle opération et modifie également les mutex et les noms de dossier de chaque version : dans les trois années qui ont suivi le développement de la version nommée Carbon, les chercheurs ont détecté huit versions actives à ce jour.

Connu pour être minutieux, le groupe Turla effectue d’abord un travail de reconnaissance sur les systèmes de leur victime avant de déployer leurs outils tels que Carbon :

  • la première étape d’infection peut avoir lieu soit parce que l’utilisateur reçoit un e-mail infecté (spear-phishing), soit parce qu’il navigue sur un site Internet compromis
  • généralement, les pirates ciblent les sites fréquemment utilisés par leur victime (technique connue sous le nom d‘attaque de point d’eau : surveillance des habitudes de navigation de la victime)
  • lorsque le système est infecté, une backdoor (comme Tavdig ou Skipper) s’installe sur la machine de la victime
  • une fois la phase de reconnaissance terminée, une seconde backdoor (comme Carbon) est installée sur des systèmes clés

L’architecture de Carbon repose sur un dropper qui installe les composants du malware et le fichier de configuration, ainsi qu’un composant qui communique avec les serveurs C&C et un orchestrateur qui gère les tâches et les expédie vers d’autres ordinateurs du réseau. Pour communiquer avec le serveur C&C et exécuter l’orchestrateur, Carbon s’injecte dans un processus légitime (DLL).

« On note des ressemblances entre la backdoor Carbon et les autres outils utilisés par ce groupe (rootkit Uroburos), notamment dans l’implémentation des objets de communication. Les structures et les tables virtuelles sont identiques, si ce n’est qu’il y a moins de canaux de communication pour Carbon », explique le rapport d’ESET. « Cette backdoor pourrait être la version allégée de Uroburos, sans composant de noyau ni d’exploits ».

À la poursuite de « Lazarus »

À la poursuite de « Lazarus » : sur les traces du groupe chasseur de grandes banques internationales

Kaspersky Lab vient de publier les conclusions d’une enquête menée par ses experts pendant plus d’un an au sujet du groupe de hackers « Lazarus », présumé responsable du vol de 81 millions de dollars à la Banque Centrale du Bangladesh en 2016. L’analyse scientifique des indices laissés par les pirates dans des banques situées dans le Sud-est asiatique et en Europe, a permis de cerner leur mode opératoire. Ses experts ont mis au jour le type d’outils utilisés pour les attaques visant des institutions financières, des casinos, des éditeurs de logiciels dédiés aux sociétés de placement du monde entier, ainsi que des entreprises de crypto-monnaies. Ces renseignements ont permis d’interrompre au moins deux opérations lancée dans le but de dérober de très grosses sommes à des institutions financières.

En février 2016, un groupe de pirates (non-identifié lors des faits) a tenté de dérober 851 millions de dollars, réussissant à transférer 81 millions de dollars depuis la Central Bank of Bangladesh. Ce vol est considéré comme l’un des plus grands jamais perpétrés par des pirates informatiques à ce jour. Des experts de sociétés spécialistes de la sécurité informatique ont conclu que les attaques avaient très probablement été perpétrées par Lazarus, un groupuscule passé maître dans l’art du cyberespionnage et du cybersabotage. Cette cellule est connue pour avoir perpétré une série d’attaques de grande envergure ayant ciblé des fabricants, des médias et des institutions financières dans au moins 18 pays aux quatre coins du monde depuis 2009.

Très discret pendant plusieurs mois après l’attaque contre la banque du Bangladesh, le groupe Lazarus n’est en pas moins demeuré actif. Ses membres préparaient une autre opération visant d’autres banques. Lorsqu’ils ont été prêts, ils avaient déjà réussi à trouver un point d’entrée dans une institution financière du Sud-est asiatique. Après avoir été interrompus par des solutions Kaspersky Lab et par l’enquête menée ensuite, ils se sont mis au vert pendant plusieurs mois avant de changer de continent. Ils ont alors ciblé des établissements en Europe, où là encore les logiciels de sécurité de Kaspersky Lab ont repéré leurs tentatives et les ont bloquées, aidés par ses équipes d’intervention, d’analyse scientifique et de reverse engineering ainsi que par ses meilleurs chercheurs.

Le modus operandi de Lazarus

Les experts ont passé au crible les indices collectés sur les lieux des attaques. Cette analyse scientifique leur a permis de reconstituer le mode opératoire des pirates.

  • Compromission initiale : les pirates ouvrent une brèche dans un seul des systèmes informatiques de la banque, soit en exploitant à distance des portions de code vulnérables (sur un serveur web par exemple), soit à l’aide d’une attaque dite de « watering hole » qui consiste à piéger un site web légitime. Lorsqu’une victime (un employé de la banque ciblée) consulte ce dernier, son ordinateur est infecté par des composants additionnels.
  • Trouver ses marques : les membres du groupe migrent vers d’autres ordinateurs hôtes au sein de la banque où ils déploient des backdoors persistants, qui leur permettent d’aller et venir à leur guise à l’aide des programmes malveillants installés.
  • Reconnaissance interne : le groupe passe ensuite des jours et des semaines à étudier scrupuleusement le réseau afin d’identifier les ressources intéressantes. Il peut s’agir d’un serveur de sauvegarde qui conserve les données d’authentification, des serveurs de messagerie, des contrôleurs de noms de domaine donnant accès à l’ensemble de l’entreprise, ou encore de serveurs où sont stockées les archives des transactions financières.
  • Passage à l’acte : l’ultime étape consiste, pour les pirates, à déployer leur malware conçu pour passer outre les dispositifs de sécurité internes des logiciels financiers et effectuer des transactions illicites au nom de la banque.

Empreinte géographique et attribution

Les attaques passées au crible par les experts se sont étalées sur plusieurs semaines, sachant que les pirates ont réussi à opérer pendant des mois sans se faire repérer. À titre d’exemple, pendant l’analyse de l’incident survenu dans le Sud-est asiatique, les experts ont découvert que les pirates avaient en fait corrompu le réseau de la banque 7 mois avant qu’elle ne réagisse et sollicite l’intervention des équipes de réponse aux incidents. Le groupe avait même eu accès au réseau de la banque bien avant l’incident survenu au Bangladesh.

Le groupe Lazarus a fait parler de lui à partir de décembre 2015 : des échantillons de malwares en lien avec ses activités ont été repérés sur les réseaux d’institutions financières, de casinos, d’éditeurs de logiciels dédiés à des sociétés de placement et d’entreprises de crypto-monnaies en Corée, au Bangladesh, en Inde, au Vietnam, en Indonésie, au Costa Rica, en Malaisie, en Pologne, en Irak, en Ethiopie, au Kenya, au Nigeria, en Uruguay, au Gabon, en Thaïlande et dans plusieurs autres pays. Les derniers échantillons malveillants repérés datent de mars 2017, ce qui laisse penser que les pirates ne comptent pas s’arrêter là.

S’ils ont pris soin d’effacer leurs traces, ils se sont grossièrement trahis sur au moins l’un des serveurs utilisés dans une autre campagne. En préparation de l’attaque, ce serveur avait été configuré pour faire office de centre de commande et de contrôle (C&C) du malware. Les premières connexions effectuées le jour de la configuration provenaient de nouveaux serveurs VPN/proxy, laissant penser à une période de test du C&C. Les pirates ont laissé un indice : une connexion très brève a été détectée, émanant d’une plage d’adresses IP très rare en Corée du Nord.

Selon les chercheurs, cela pourrait avoir plusieurs significations :

  • Les attaquants se sont connectés depuis cette adresse IP en Corée du Nord ;
  • Il s’agit d’un leurre savamment orchestré par quelqu’un d’autre ;
  • Quelqu’un en Corée du Nord a visité par accident l’URL du C&C.

Le groupe Lazarus investit énormément pour créer de nouvelles variantes de son malware. Ses membres ont, pendant des mois, essayé de mettre au point une version totalement indétectable par les solutions de sécurité. Mais à chaque nouvelle tentative de leur part, les spécialistes ont réussi à repérer leurs créations en identifiant des paramètres récurrents au niveau du code. À l’heure actuelle, ceux-ci ne montrent aucun signe d’activité, ce qui laisse penser qu’ils les ont suspendues pour renforcer leur arsenal.

« Nous sommes persuadés qu’ils referont surface prochainement. Les attaques comme celles menées par le groupe Lazarus montrent qu’une erreur de configuration, même minime, peut ouvrir une brèche importante dans le réseau d’une entreprise, avec à la clé la perte potentielle de centaines de millions de dollars. Nous espérons que les dirigeants des banques, des casinos et de sociétés de placement du monde entier apprendront à se méfier de Lazarus », témoigne Vitaly Kamluk, Directeur de l’équipe de recherches et d’analyses APAC chez Kaspersky Lab.

N’utilisez plus les outils US, Trump va vendre vos informations

Le Congrès Américain vient de donner le feu vert qui permet aux opérateurs télécoms US de vendre vos informations.

Vous utilisez un service Télécom/Internet américain ? Souriez, vos historiques concernant les sites que vous avez visité, les applications que vous avez utilisé, vos recherches dans un moteur de recherche ou encore le contenu de vos mails, santé et data financières pourront être revendues aux plus offrants.

Les fournisseurs d’accès à Internet n’attendent plus qu’une signature du président Trump avant qu’ils ne soient libres de prendre, de partager et même de vendre votre historique 2.0… sans votre permission. La résolution a été adoptée par le sénat, la semaine dernière. Le Président élu Trump n’a plus qu’à finaliser le massacre. Car, comme l’explique The Verge, les FAI le faisaient déjà de manière « discrète », voici une loi qui valide définitivement ce pillage et la revente des informations.

« Les fournisseurs de services comme AT & T, Comcast, etc. pourront vendre les renseignements personnels au meilleur enchérisseur sans votre permission« , a déclaré la représentante Anna Eshoo (D-CA).

Autant dire que les données que les utilisateurs non américains laissent sur des services hébergés par des entreprises de l’Oncle Sam sont purement et simplement en danger de finir dans des mains tierces sans même que vous le sachiez.

Stratégie de cyber sécurité : la moitié des entreprises en retard sur l’implémentation

Intel Security et le think-tank CSIS (Center for Strategic and International Studies) dévoilent les résultats de leur étude “Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity« . Ce rapport met en évidence les principales faiblesses dans l’approche des entreprises à la cyber-sécurité et leur propose d’adopter certaines pratiques des pirates afin d’éviter 3 incohérences majeures.

1. Les structures d’entreprise rigides versus la liberté d’action des cybercriminels
Le rapport d’Intel Security décortique les raisons qui ont permis aux pirates de prendre une longueur d’avance sur les spécialistes de la cyber-sécurité, dont l’agilité. Alors que le marché du cyber crime est fortement dynamique, les entreprises doivent souvent agir sous contrainte de la hiérarchie et des processus établis qui les mettent davantage en position réactive de défense face aux pirates.

« Le marché du cyber-crime ne connaît pas la crise. Notamment grâce à sa propre structure, qui récompense rapidement les innovations et promeut les outils les plus performants », commente Fabien Rech, Directeur Général d’Intel Security France. « Afin de faire face aux pirates, les cyber-professionnels ont besoin d’être aussi agiles que les cybercriminels mais également de maintenir les motivations au sein de toute leur équipe informatique. »

2. Un décalage entre la stratégie de cyber-sécurité définie et sa mise en place
Comme le démontre le rapport, il ne suffit pas simplement d’avoir établi une stratégie de cyber-sécurité pour être protégé, les surprises arrivent souvent lors de sa mise en œuvre. Alors que plus de 90 % des entreprises affirment avoir une stratégie de cyber-sécurité, plus de la moitié avouent ne pas l’avoir totalement mise en place. 83 % admettent même avoir déjà constaté des brèches de sécurité malgré leur stratégie de protection, révélant ainsi une rupture entre la stratégie et l’implémentation.

« C’est facile d’élaborer une Stratégie de cyber sécurité, mais l’étape la plus complexe est surtout sa mise en place », explique Denise Zheng, directrice adjointe chez CSIS. « La manière dont les gouvernements et les entreprises adressent les possibles dissonances dans leur approche de la cyber sécurité va déterminer l’efficacité de toute leur stratégie de cyber défense. La question n’est plus de savoir ce qui devrait être fait, mais plutôt pourquoi tout n’est pas fait et surtout comment mieux le faire. »

3. Un manque d’alignement entre l’équipe dirigeante et les personnes en charge de l’implémentation des mesures de sécurité
Les motivations des cyber professionnels ne sont pas aussi fortes que celles des cybercriminels, ce qui met en porte à faux l’ensemble de la stratégie de cyber-sécurité de l’entreprise. Par ailleurs, les dirigeants manquent souvent d’objectivité quand il s’agit d’évaluer l’efficacité des mesures incitatives envers leur équipe IT. Par exemple, 42 % des membres des équipes informatiques jugent qu’il n’existe aucune forme d’encouragement dans leur entreprise, tandis que 82 % des cadres exécutifs et 92 % des dirigeants sont persuadés de l’inverse.

Stratégie de cyber sécurité : Les autres faits saillants du rapport :

  • Les entreprises du secteur public ont le plus de mal à implémenter une stratégie de cyber sécurité dans son intégralité (38 %). En parallèle, ce secteur constate un financement inadapté d’une grande partie de ses institutions (58 %) ainsi qu’une pénurie de compétences (63 %). Ces proportions sont moins marquées dans le secteur privé (respectivement 33 % et 43 %).
  • Malgré le manque d’encouragement en interne, 65 % des professionnels reconnaissent être personnellement motivés pour renforcer la cyber sécurité de leur entreprise.
  • Les employés sont mieux placés que leur hiérarchie pour constater des insuffisances de financement et de pénurie d’effectif, à la source d’obstacles à la mise en place de stratégie de cyber sécurité réussie.
  • 95 % des entreprises ont déjà expérimenté les conséquences de brèches de sécurité, incluant des perturbations/interruptions de leur opération, la perte d’adresse IP, des attaques directes à l’image de la marque, etc. Or, seules 32 % ont constaté une perte de revenu ou de bénéfice liée à ces brèches, ce qui peut fausser le sentiment de sécurité.

Les bonnes pratiques issues du cyber crime à adopter en entreprise :

  • Opter pour une approche de Security-as-a-Service pour contrer le Cybercrime-as-a-Service ;
  • S’appuyer sur une communication publique pour adresser les vulnérabilités de ses produits et services ;
  • Garantir une plus grande transparence grâce au partage des informations sur les menaces ;
  • Faciliter le recrutement de jeunes talents dans le domaine de la cyber sécurité ;
  • Aligner les mesures incitatives à la cyber sécurité au sein de toute l’entreprise.

Pour les auteurs du rapport, de nombreuses entreprises reconnaissent la gravité du problème et sont prêtes à investir dans une stratégie de cyber sécurité. Aujourd’hui, les outils ne suffisent plus pour combattre les pirates ; il faudra déterminer également la bonne répartition entre les indicateurs de performance et les incentives dans chaque entreprise. Il est crucial que les secteurs public et privé dépassent leur vision de la cyber-sécurité comme étant une source de dépense, et qu’ils réinventent leurs approches pour reprendre une longueur d’avance sur les cybercriminels. [Rapport]

DDoS : Le meilleur ami de Mirai est Vietnamien

L’équipe d’intervention d’urgence de Radware, spécialiste de la disponibilité applicative et de la sécurisation des centres de données, vient de dévoiler un nouveau rapport sur la propagation d’attaques DDoS via des équipements connectés insuffisamment protégés.

Si les vecteurs d’attaque DDoS sont nombreux, la méthode la plus utilisée est la suivante : les attaquants scannent Internet à la recherche d’équipements vulnérables à des attaques par injection de commande spécifiques.

Les commandes utilisées dans ces attaques IoT donnent l’instruction à l’équipement ciblé de télécharger le malware sur une serveur distant pour ensuite l’exécuter.

Une fois le malware exécuté, l’équipement est embrigadé dans un botnet et utilisé pour perpétrer des attaques DDoS.

Dans ce contexte, les mots de passe par défaut sont une bénédiction pour les cybercriminels : admin/admlin ; 0000 ; …

DDoS : Good morning vietnam !

Radware a mis en place un « pot de miel » surveillant l’activité sur le port 23, Telnet. Ce dernier a enregistré 300 tentatives de connexion par jour effectuées par des équipements situé partout dans le monde. Parmi ces appareils, on dénombrait des routeurs, des NAS, des lecteurs/enregistreurs de vidéo et des caméras web.

L’un des équipements les plus utilisés pour lancer des DDoS se trouve principalement au Vietnam. Cet appareil, le VNPT’s GPON IGATE GW040, a été largement infecté pour la simple et bonne raison que ses logins de connexion par défaut ont été divulgués sur Internet.

Cet appareil supporte le protocole d’administration à distance TR-069 et dispose d’un accès Telnet/SSH ouvert. La plupart des constructeurs fournissent sur leurs sites internet des documentations dans lesquelles on trouve les mots de passe par défaut, c’est le cas du GPON IGATE GW040. qBot, Hajime, Mirai et autres scanners utilisent un set de logins de connexion par défaut. Le fichier « scanner.c » de Mirai comporte par exemple 62 mots de passe par défaut de nombreux équipements et les créateurs de botnets recherchent en permanence de nouveaux logins et de nouveaux équipements pour les enrôler. (Radware)

RES ONE Entreprise : nouvelle version

Avec ses nouvelles fonctionnalités, la plate-forme RES ONE Entreprise propose une solution évolutive et pérenne pour sécuriser et améliorer l’espace de travail numérique.

RES, le leader des espaces de travail numériques qui accroissent la productivité, annonce le lancement de la version 10 de ses produits RES ONE.

Cette nouveauté propose des fonctionnalités avancées qui améliorent la gestion informatique, l’automatisation, la sécurité et la transparence de l’espace de travail, faisant de RES One la plateforme de référence pour des workflows à la fois plus sophistiqués et plus dynamiques entre les personnes, les systèmes, les données et les applications. Les nouvelles fonctionnalités de RES ONE Enterprise (précédemment RES ONE Suite) étendent les ressources informatiques pour moderniser les espaces de travail numériques, particulièrement pour les infrastructures hybrides, et permettent aux utilisateurs d’être plus productifs et plus fiables.

Les nouveautés de la gamme de fonctions avancées des produits RES ONE Enterprise portent principalement sur l’amélioration de l’expérience utilisateur de l’espace de travail numérique et l’automatisation, toujours plus simple et plus puissante. Avec pour résultat, une infrastructure IT pérennisée et une entreprise renforcée pour garantir à ses collaborateurs le moins d’incidents et de freins possibles à leur productivité, tout en étant activement protégés des risques de sécurité informatique.

« RES ONE v10 propose à l’entreprise une nouvelle approche de la pérennisation », déclare Stacy Leidwinger, vice-président produits de RES : « C’est une solution de gestion de la technologie adaptée à toutes les infrastructures hybrides, et une nouvelle façon de gérer, mettre à jour voire de transformer la technologie de l’espace de travail sans impacter la productivité de l’utilisateur qui peut travailler partout, tout le temps avec n’importe quel dispositif, avec un meilleur support informatique et en garantissant la sécurité. »

Avec RES, les nouvelles mesures de sécurité, les initiatives de virtualisation, les mises à jour et les migrations d’OS peuvent dorénavant être mise en œuvre de façon transparente pour les utilisateurs. Et ce, grâce aux capacités d’adaptation, de prédiction et de sensibilité au contexte technologique des technologies RES. Avec les produits RES version 10, les utilisateurs bénéficient d’une nouvelle approche de la prestation de services informatiques qui se concentre sur une meilleure expérience utilisateurs au moyen de l’automatisation et du libre-service.

« Cette pérennisation est cruciale, étant données les tendances technologiques disruptives comme l’Internet des Objets qui transformeront inéluctablement la façon dont les utilisateurs interagiront avec la technologie et l’information, » poursuit Leidwinger. « Alors que nous voyons une transition vers des solutions basées sur le cloud dans l’entreprise, il ne fait aucun doute que la complexité de ces environnements augmente avec les paysages hybrides qui risquent de devenir la norme dans un avenir prévisible. Nous avons seulement commencé à voir comment les utilisateurs seront impactés par ces changements. »

« La dernière version de RES ONE Enterprise est idéalement disponible pour soutenir l’entreprise et assurer la sécurisation de nos environnements », déclare Marcus Lohr, Vice-président Opérations Infrastructure de la Woodforest National Bank. « RES ONE nous permettra d’améliorer la productivité et de limiter les risques. RES a toujours représenté une forte combinaison de sécurité, d’automatisation et de libre-service et RES ONE Enterprise vient renforcer ces capacités et nous donner encore plus de possibilités pour améliorer la gouvernance et l’expérience de l’utilisateur. »

Quels produits RES ont changés ?

La gamme de produits RES ONE Enterprise inclut RES ONE Workspace, RES ONE Automation et RES ONE Identity Director, tous améliorés dans cette nouvelle version 10. RES ONE Identity Director autrefois appelé RES ONE Service Store a été renommé pour mieux refléter l’alliance unique des capacités de gestion d’identité avec l’automatisation et la gestion du workflow. Par ailleurs, RES ONE Security bénéficie également de ces nouvelles versions.

Points forts des améliorations des produits RES ONE

La dernière version de RES ONE Workspace offre aux services informatiques plus de visibilité pour une meilleure gestion de l’espace de travail et élargit les fonctionnalités de sécurité avec une sensibilité au contexte et à de nouveaux systèmes d’exploitation. Les principales améliorations sont :

  • Nouveaux rapports qui donnent un aperçu de l’expérience utilisateur, des performances et de l’utilisation pour une aide à la décision plus rapide et plus performante
  • Nouveaux portails de gestion basés sur le Web avec des outils diagnostiques pour le service help desk qui facilitent l’exploration et le dépannage de l’espace de travail
  • Intégration transparente entre l’infrastructure et les systèmes grâce à des API plus ouvertes et flexibles
  • Plus de politiques de sécurité contextuelles et pour un plus large éventail de dispositifs, incluant Mac et Linux, pour une meilleure expérience utilisateur mobile
  • Amélioration des capacités en libre-service pour un meilleur support utilisateurs 24/7
  • Plus de visibilité et de partage des données autour de l’identité de l’utilisateur, de l’activité d’accès et de l’expérience utilisateur
  • Une interface utilisateur web et mobile améliorée pour le portail de libre-service
  • Une gouvernance renforcée avec le partage des données relatives aux politiques d’identité et d’accès, au workflow et aux transactions dans les outils existants de reporting, de suivi et de BI.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile