Ransomware : 10 conseils pour les éviter

Le ransomware, une menace bien réelle. Une fois qu’ils ont infecté un ordinateur ou un réseau d’entreprise, ces malwares en cryptent toutes les données et exigent le paiement d’une rançon pour pouvoir récupérer la clé de cryptage.

Les victimes d’un ransomware sont souvent démunies face à cet arrêt brutal de leurs systèmes, et se tournent vers différentes sources pour chercher de l’aide, mais il est déjà bien trop tard.

Heureusement, il existe de nombreux moyens d’anticiper ce type d’attaques avancées afin réduire leur impact. La clé ? Une solution de sauvegarde éprouvée. Qu’il s’agisse de logiciels de demandes de rançons, les attaques informatiques ciblent tout le monde : particuliers, petites entreprises, ou encore grands groupes. Une attaque réussie peut être particulièrement onéreuse et nuire à la réputation de la marque.

C’est pourquoi il est important de prendre conscience du danger et suivre les 10 conseils suivants :

1. Comprendre le ransomware : il est courant de considérer – à tort – que les PME ne constituent pas des cibles d’attaque intéressantes. En fait, les faits suggèrent même le contraire. Tout le monde est une cible : aucune entreprise, aucun compte bancaire ne fait exception.

2. Sécuriser tous les vecteurs de menace : les attaques d’un ransomware exploitent plusieurs vecteurs, notamment le comportement des utilisateurs, les applications et les systèmes. Les six principaux vecteurs d’attaque sont les e-mails, les applications web, les utilisateurs à distance, les utilisateurs sur site, le périmètre réseau et l’accès à distance. Une sécurité complète doit englober tous ces vecteurs. Un pare-feu ne suffit plus.

3. Sécuriser tous les angles d’attaque : en raison de leurs nombreux avantages les réseaux hybrides sont de plus en lus nombreux. La sécurisation efficace des applications SaaS ou Cloud, comme Office 365, nécessite une solution complète, conçue pour gérer les réseaux hybrides de façon centralisée.

4. Éduquer les utilisateurs : le comportement des utilisateurs peut être la plus grande vulnérabilité d’une entreprise. Une bonne sécurité est une combinaison de mise en œuvre, de suivi et d’éducation des utilisateurs, particulièrement contre les menaces comme l’hameçonnage, le harponnage, le typosquatting et l’ingénierie sociale.

5. Ne pas oublier les télétravailleurs : la révolution mobile stimule la productivité, la collaboration et l’innovation, mais elle entraine aussi un taux plus élevé de travailleurs à distance se connectant sur des appareils souvent personnels. Cela peut créer une faille de sécurité importante si les terminaux et les flux ne sont pas sécurisés.

6. Maintenir les systèmes à jour : lorsque des vulnérabilités dans des plateformes, des systèmes d’exploitation et des applications sont découvertes, les éditeurs publient des mises à jour et des correctifs pour les éliminer. Il faut donc s’assurer de toujours installer les dernières mises à jour, et ne pas utiliser de logiciels obsolètes qui ne seraient plus supportés par l’éditeur.

7. Détecter les menaces latentes. Toute infrastructure contient un certain nombre de menaces latentes. Les boîtes de réception d’e-mails sont remplies de pièces jointes et de liens malveillants qui n’attendent qu’un clic pour entrer en action. De même, toutes les applications, qu’elles soient hébergées localement ou basées dans le Cloud, doivent être régulièrement scannées et mises à jour avec leurs correctifs, permettant ainsi de lutter contre d’éventuelles vulnérabilités.

8. Empêcher les nouvelles attaques : le domaine du piratage est en évolution permanente, des attaques sophistiquées, ciblées ou de type « zero day » se multiplient et cibleront, un jour ou l’autre, toutes les entreprises. Pour les arrêter, il faut mettre en place une protection dynamique et avancée, avec une analyse de sandbox et un accès précis à des renseignements internationaux sur les menaces.

9. Utiliser une bonne solution de sauvegarde : un simple système de sauvegarde fiable permet de se remettre de nombreuses attaques en quelques minutes ou quelques heures, pour un coût dérisoire. Si les données sont corrompues, chiffrées ou volées par un logiciel malveillant, il suffit de les restaurer à partir de la dernière sauvegarde. Cela permet à une entreprise de, rapidement, reprendre ses activités.

10. Préserver la simplicité de la gestion : comme la complexité des réseaux et des menaces augmente, il est facile de laisser la gestion de la sécurité devenir un fardeau majeur pour le personnel informatique. Cette gestion complexe et décousue ouvre la porte à davantage de négligences qui peuvent affaiblir la sécurité. Pour réduire les risques et les coûts au minimum, il est nécessaire de mettre en place une solution simple et complète offrant une administration de la sécurité centralisée et une visibilité sur l’ensemble de l’infrastructure. (Par Wieland Alge, VP et DG EMEA)

Les 5 principales menaces informatiques à surveiller en 2017

La récente attaque par déni de service distribué (DDoS) à l’encontre de l’hébergeur Web OVH via des terminaux piratés illustre une fois de plus l’escalade des menaces qui pèsent sur la sécurité des entreprises. Les pirates ont créé un botnet à partir de 150 000 appareils IoT afin de lancer une attaque DDoS d’une puissance de feu d’1 Tbps, battant tous les records du genre, y compris celui enregistré une semaine plus tôt par une attaque de 620 Gbps visant le site Web du journaliste Brian Krebs.

L’ampleur et le degré de sophistication des menaces pour la sécurité ne cessent de croître, et la probabilité de subir une attaque n’a jamais été aussi forte pour les entreprises. Après discussion avec les experts de F5 Networks, nous avons listé les 5 principales menaces dont les organisations doivent tenir compte au cours des 12 prochains mois.

Menaces informatiques : Les attaques DDoS basées sur l’IoT
Les appareils de l’Internet des objets (IoT) se multiplient, mais les mesures de sécurité à même de les protéger ne suivent pas. Les vulnérabilités inhérentes à la vague de périphériques intelligents connectés qui inondent le marché en font des proies faciles pour les cybercriminels, lesquels se tournent de plus en plus vers des dispositifs « non intelligents », tels que des caméras de vidéosurveillance. L’exemple de la société OVH évoqué plus haut servira de modèle à d’autres pirates qui, en quelques clics, pourront exploiter la puissance des appareils IoT pour lancer des attaques DDoS massives, capables de paralyser des sites Web et les opérations des entreprises. Celles-ci doivent se méfier des appareils IoT. Même s’ils incarnent l’avenir, ils fournissent aux cybercriminels un vecteur d’attaque supplémentaire.

Menaces informatiques : Le vol de données personnelles
Le règlement général sur la protection des données (GDPR) n’entrera pas en vigueur avant mai 2018, mais comme il faudra plusieurs années à la plupart des entreprises pour s’y préparer, elles doivent dès maintenant inscrire cette question à leur ordre du jour. Le nouveau règlement prévoit des sanctions plus sévères en cas d’infraction, notamment une amende potentielle s’élevant à 4 % du chiffre d’affaires annuel. Les entreprises ont, par conséquent, intérêt à mettre au plus vite leur infrastructure informatique en conformité. Certaines dispositions du GDPR en matière de confidentialité des données, comme le droit à l’oubli et la portabilité des informations, peuvent s’avérer problématiques. Bon nombre d’entreprises ignorent en effet la quantité de données clients dont elles sont dépositaires, de même que leur emplacement. La plus grande difficulté, pour elles, consiste donc à évaluer le volume d’informations dont elles ont la responsabilité. Une atteinte à la sécurité ou l’incapacité à fournir aux clients les données demandées pourrait avoir des conséquences désastreuses sur leurs revenus et entamer la fidélité de leurs clients.

Menaces informatiques : Les attaques sur les services Cloud
Les entreprises savent-elles comment opérer en toute sécurité dans le Cloud ou qui détient les clés de leurs données sachant qu’elles ne résident plus ni sur site ni dans le datacenter ? Le défit à relever en 2017, consistera à contrôler l’accès aux services Cloud tout en assurant un chiffrement adéquat des données.

Menaces informatiques  : Les malwares ciblés sur les applications
Avec l’essor du travail mobile, les employés utilisent une kyrielle d’applications pour accéder aux ressources de l’entreprise depuis différents appareils et lieux. Tout point faible sur ce réseau, comme un téléphone mobile infecté par un malware, ouvre les portes de l’entreprise aux cybercriminels. Si l’un d’eux parvient à se procurer les informations d’identification de domaine d’un employé, c’est à l’ensemble des données de l’entreprise qu’il a accès.

Menaces informatiques : La fraude en ligne
L’avènement du Cloud a engendré tout un écosystème de services tiers pour les entreprises. Les employés ont ainsi accès à différents portails en ligne (ventes, services financiers, allocation de congés, etc.) via une procédure d’authentification unique (Single Sign-On). Lorsqu’un employé quitte l’entreprise, il continue à avoir accès aux informations professionnelles vitales tant que ses identifiants de connexion ne sont pas supprimés.

L’incapacité d’une entreprise à rester au fait des nouvelles menaces ou à les détecter peut mettre un frein à son développement. N’oublions pas qu’il suffit de quelques clics à un pirate pour réduire à néant des années de bonnes pratiques et une loyauté clients durement acquise. L’identification précoce des menaces, l’investissement dans une infrastructure de cybersécurité appropriée et la formation des utilisateurs au paysage de la cybersécurité permettent aux entreprises de prendre une longueur d’avance sur les pirates et d’augmenter leurs chances de succès en 2017. (Par Laurent Pétroque, expert fraude en ligne chez F5 Networks)

Double authentification pour votre LinkedIn

Vos identifiants de connexion LinkedIn piratés par phishing, malveillance locale, piratage de l’entreprise ? Pas de panique, le pirate ne pourra rien faire si vous avez installé la double authentification. Mode d’emploi.

Comme vous avez pu le lire plus d’une fois, une base de données volée par un pirate comprend, très souvent, login et mots de passe. Même si le password est chiffré, cela ne veut pas dire que ce dernier ne sera pas « crackable » aujourd’hui, via des outils libres et rapides d’accès. Ou demain, via des techniques non encore connues/découvertes. Si vous utilisez le service professionnel LinkedIn, il est possible d’utiliser la double authentification. Je vous conseille fortement de le faire. Pour cela, il vous est demandé de fournir votre numéro de téléphone. Ce dernier servira à recevoir un SMS avec un code de validation. Bilan, quand vous rentrez votre login et mot de passe sur LinkedIn, votre téléphone portable vous servira de seconde clé via ce texto.

Pour activer la vérification en deux étapes : Placez votre souris sur votre photo de profil en haut à droite de votre page d’accueil et sélectionnez « Préférences et confidentialité« . Cliquez sur l’onglet « Confidentialité« , icône du milieu, en haut de la page. Faites défiler jusqu’à la section Sécurité. Cliquez sur Vérification en deux étapes. Cliquez sur Activer pour modifier le statut de la vérification en deux étapes. Vous allez recevoir un code par SMS qui permettra de valider votre numéro de téléphone.

Même possibilité pour Yahoo! Dailymotion ou encore Microsoft.

Comment renforcer la sécurité de vos mots de passe en 5 étapes

Le piratage des comptes Twitter et Pinterest de Mark Zuckerberg a été lié à la fameuse fuite de données subie par LinkedIn, et facilité par le fait que le milliardaire utilisait les mêmes mots de passe sur plusieurs comptes. Cette histoire constitue une bonne raison pour vous inciter à renforcer la sécurité de vos mots de passe. S’assurer de sa sécurité en ligne ne doit pas nécessairement être tâche compliquée : avec les bons outils, vous pouvez vous protéger tout en économisant votre temps et votre énergie.

Voici 5 conseils pour vous assurer que vos comptes personnels soient aussi sûrs que possible :

1. Créer des mots de passe n’a jamais été notre fort. Utilisez un gestionnaire dédié.
Chaque jour apporte son lot d’histoires de piratage, certaines ayant pour origine les fuites de données vers le dark Web d’il y a 4 ans. Malgré cela, nous continuons à réutiliser les mêmes mots de passe pour différents comptes en dépit de risques évidents. Bien souvent, au moment de l’annonce d’un piratage, il est déjà trop tard, mais il est possible de prendre des précautions afin de sécuriser nos données.

En évitant d’utiliser plusieurs fois le même mot de passe, les pirates ne peuvent pas prendre possession de plusieurs comptes en cas de fuite. Les gestionnaires tels que LastPass offrent une solution sécurisée pour générer des codes longs, complexes et uniques sans avoir recours à sa mémoire ou à des bouts de papier. Mieux : ces outils simplifient l’importation des identifiants de l’ensemble des comptes associés à une adresse e-mail donnée, sans oublier que ces données sont également chiffrées.

2. N’enregistrez pas vos mots de passe sur votre navigateur.
Bien que pratique, stocker des mots de passe en local sur un navigateur est dangereux et vous rend, vous et vos identifiants, vulnérables en cas de piratage. Ce confort est en effet la raison-même pour laquelle ces applications sont moins sécurisées et robustes. Les gestionnaires de mots de passe, eux, apportent un plus en vous aidant à gérer votre vie en ligne. Le chiffrement et le déchiffrement s’effectuent en local. Leurs protocoles de vérification vous évitent de partager votre mot de passe principal à mauvais escient et d’offrir l’accès à vos données.

3. Activez l’authentification à deux facteurs sur l’ensemble de vos comptes, y compris vos messageries.
En activant l’authentification à deux facteurs (2FA) sur vos comptes importants, même si un pirate possède votre mot de passe, il lui faudra une information supplémentaire (un code à usage unique généré à partir d’une application sur votre téléphone, ou une empreinte digitale). Cette méthode est incroyablement précieuse pour votre adresse e-mail, qui sert essentiellement de passerelle pour l’ensemble de votre activité en ligne, y compris vers votre compte bancaire, vos cartes de crédit, ou encore vos investissements.

4. Renforcez votre code PIN.
Les codes PIN à 4 chiffres sont la norme sur nos téléphones portables. Cela dit, nous vous recommandons vivement de vous rendre dans les paramètres de votre appareil et de créer un code plus long. Et évitez de reproduire celui de votre carte bancaire, ou d’utiliser le code d’accès à votre compte en banque en ligne.

5. N’oubliez pas les questions de sécurité.
Beaucoup de comptes en ligne vous invitent à choisir des questions de sécurité afin d’ajouter une protection supplémentaire. Cependant, celles-ci laissent clairement à désirer et constituent pour beaucoup le maillon faible de leur système de sécurité en ligne. Si vous utilisez un gestionnaire de mots de passe, profitez de la fonction de génération automatique pour répondre à ces questions, puis enregistrez les réponses dans la section « Notes » de votre compte. Le champ correspondant doit ressembler à cela : premier animal de compagnie : ackpioughtso. N’oubliez pas d’utiliser également la fonction de création de codes lisibles (proposée en autres par LastPass). Dans le cas contraire, vous risquez de vous retrouver au téléphone à devoir expliquer à un agent de service client pourquoi les caractères $$%%@@ figurent dans le nom de votre animal de compagnie, ce qui vous compliquera la vie pour pas grand-chose. (Par Joe Siegrist, vice-président et directeur général de LastPass)

Data Recovery Wizard : outil de récupération de données

Vous avez effacé par erreur un fichier, une vidéo ? L’outil de récupération de données Data Recovery Wizard d’EaseUs va vous permettre de récupérer vos données perdues.

Vous avez égaré vidéos, photos ! Vous avez effacé par mégarde ce précieux tableau Excel si longuement travaillé ? Un formatage d’une clé USB, de votre carte SD un peu trop rapidement ? Pas d’inquiétude, voici venir un outil facile d’utilisation qui devrait vous permettre de retrouver votre bien. La société EaseUS propose « Data Recovery Wizard » un logiciel de récupération de données qui offre la possibilité de remettre la main sur le fameux documents envolés. Data Recovery Wizard est notre premier test d’une longue série. Cet outil sera capable de récupérer vos données supprimées, formatées et inaccessibles. Quatre versions de DRW sont proposés. La version gratuite offre la possibilité de retrouver jusqu’à 500Mo d’informations [1,5Go de plus en partageant sur Facebook, Twitter et Google+].

Les versions PRO, WINPe et Techniciens font la même chose, mais en quantité de données repêchées illimitée. La version « Data Recovery Wizard Pro + WinPE » est commercialisée 95€. Elle permet aussi de récupérer les données même lorsque le système ne démarre plus.

Pas à pas

L’utilisation de « Data Recovery Wizard » est facile. L’espace de travail est ergonomique. Après avoir téléchargé et installé l’outil [15Mo] vous sélectionner le type de fichier que vous souhaitez récupérer : photos [BMP, JPG, PNG, …] ; documents [Word, Excel, PDF, TXT, …] ; vidéo, mails, audio…

Vous sélectionnez l’emplacement à analyser et le tour est joué. Dans ma démonstration, l’outil a été capable de me ressortir, d’une clé USB, des images datant de 2008. Parallèlement, Data Recovery Wizard peut
s’attaquer aux fichiers perdus dans un téléphone Android, iPhone, …

Bref, vous cherchiez un couteau Suisse pour vous permettre de retrouver vos biens numériques perdus, Data Recovery Wizard d’EasUs devrait parfaitement vous satisfaire.

Effectuer des tests réguliers

L’élaboration d’une stratégie et le déploiement d’une technologie de récupération des données comme Data Recovery Wizard constitue un bon départ. Elle pourra vous sauver en cas de besoin de récupération de données en cas de ransomware, incident, effacement et autre formatage… Il faut cependant aller plus loin pour véritablement se protéger. Pour s’assurer que la stratégie de récupération en cas de désastre fonctionne avec les outils choisis, il faut aussi procéder régulièrement à des essais, des tests qui permettront de vérifier le plan de sauvegarde, et l’utilisation efficace d’un tel logiciel de récupération de données. Les tests permettent de s’assurer que le plan fonctionne toujours parfaitement, même en cas d’ajout de nouveaux éléments au sein du réseau, de votre ordinateur et autres supports de sauvegarde.

Planifier et se documenter

Se préparer à un sinistre éventuel consiste tout d’abord à accepter pleinement le fait qu’un désastre peut se produire. Il faut pour cela visualiser les désastres potentiels, qu’il s’agisse d’un incendie détruisant le centre de traitement des données ou d’une panne d’un serveur hébergeant des données critiques. La première étape est donc de préparer des plans de restauration des données spécifiques pour chaque scénario, et de documenter chaque étape nécessaire. Cela représente un investissement de temps, mais le temps passé à planifier maintenant peut sauver l’entreprise de la faillite plus tard.

Cybercriminalité nigériane

L’Unité 42 publie sa dernière étude en date consacrée à la cybercriminalité nigériane. Une analyse appliquées à une série de 8 400 échantillons de malwares.

L’Unité 42 publie ce jour sa dernière étude en date consacrée à la cybercriminalité nigériane. Ses analyses évoluées, appliquées à une série de 8 400 échantillons de malwares, ont permis d’attribuer à une centaine d’acteurs ou de groupes distincts plus de 500 domaines hébergeant l’activité de logiciels malveillants. Par son étendue et sa consistance, cette étude pose un diagnostic actuel et très complet, centré sur la menace collective et non sur tel ou tel acteur.

Globalement, nous avons observé que les acteurs nigérians ont évolué depuis leurs escroqueries classiques par e-mail, de type fraude 419. Les attaques de malwares sont en constante progression depuis deux ans : représentant moins d’une centaine de cas en juillet 2014, elles se développent aujourd’hui au rythme de 5 000 à 8 000 par mois. Ces attaques, loin d’être dirigées contre des catégories de victimes bien précises, couvrent les principaux marchés verticaux et ciblent davantage les entreprises que les particuliers. Passés maîtres dans le maniement de logiciels malveillants qui se sont banalisés, les acteurs en question ont extorqué des dizaines de milliers, voire des millions de dollars aux entreprises qu’elles ont choisi pour victimes, rien que pour la seule année dernière. Au vu des données recueillies, nous estimons que les évaluations rétrospectives concernant cette menace méritent d’être revues car ces acteurs ont aujourd’hui prouvé qu’ils constituent une réelle menace pour les entreprises et les administrations du monde entier.

L’étude expose en détail les phases successives de la cybercriminalité nigériane, aborde les tactiques employées, et permet de mieux comprendre la façon dont la menace a évolué par sa dimension, son périmètre, sa complexité et son savoir-faire technique au cours des deux dernières années. Elle analyse également les aspects ci-après :

Profils des acteurs
L’analyse des acteurs révèle avant tout qu’ils sont instruits. Nombre d’entre eux ont fréquenté des établissements d’enseignement secondaire et possèdent une licence dans une discipline technique. Pour ce qui est de leur classe d’âge, elle se situe entre la fin de l’adolescence et 45 ans environ ; plusieurs générations sont donc concernées. Concrètement, des acteurs d’un certain âge, versés dans les arnaques classiques de type fraude 419 et l’ingénierie sociale, côtoient donc des plus jeunes qui, eux, sont incollables sur les malwares. Et surtout, ces acteurs parfaitement organisés se servent des réseaux sociaux pour communiquer, coordonner et partager leurs outils et techniques.

Préjudices financiers
Les préjudices causés par ces acteurs ont des répercussions significatives sur les entreprises aux quatre coins du monde. En 2015, un rapport annuel publié par l’IC3 (Internet Cyber Crime Center), dépendant du FBI, recensait 30 855 victimes d’escroqueries « classiques » de type fraude 419/remboursement d’un trop-perçu, pour un préjudice total de plus de 49 millions de dollars. Bien que ce montant soit conséquent, le 1er août 2016, Interpol annonçait l’arrestation d’un acteur nigérian apparemment à l’origine d’un détournement de plus de 60 millions de dollars au total, dont plus de 15,4 millions de dollars au préjudice d’une seule entreprise.

Techniques
Les arnaques au président, ou escroqueries aux faux ordres de virement (Business Email Compromise, BEC) et les usurpations d’e-mails d’entreprises (Business Email Spoofing, BES) sont deux techniques qui sont, depuis peu, très en vogue chez ces acteurs. Les domaines visant à imiter des entreprises légitimes, les « crypteurs » utilisés pour dissimuler des malwares ainsi que d’autres méthodes leur permettent de s’introduire sur le réseau d’une victime. Une fois dans la place, l’ingénierie sociale sert à duper les victimes en les convaincant d’effectuer un virement bancaire à un tiers pour obéir à un prétendu ordre d’un dirigeant.

Ransomware : la menace prend son envol

Aux États-Unis, le FBI a récemment publié un rapport affirmant que les victimes de ransomware auraient réglé plus de 209 millions de dollars sur le seul 1er trimestre 2016, contre 24 millions de dollars sur l’ensemble de 2015. Les chiffres s’envolent et le ransomware est rapidement devenu un logiciel malveillant à la mode ciblant de nombreux pays et profils d’utilisateurs. Le racket qui en découle est malheureusement une réalité de tous les jours pour nombre de victimes.

Le ransomware n’est guère nouveau et existe, selon certains experts, depuis 1989, avec l’apparition du cheval de troie « AIDS ». Cependant, il faut attendre 2005 pour voir une variante de ce logiciel malveillant utiliser un chiffrement asymétrique pour la première fois. Depuis, le ransomware est devenu une arme de prédilection pour les cybercriminels. Notons que depuis 2013, la généralisation du Bitcoin joue le rôle de catalyseur, en offrant aux cybercriminels le moyen de recevoir des fonds de manière parfaitement anonyme.

Parallèlement, c’est l’utilisation de Tor et de réseaux décentralisés similaires qui rend la tâche plus simple : les cybercriminels déploient des plateformes dédiées à des infections de masse, dans un modèle de type Ransomware-as-a-service (RaaS), et optimisent les gains détournés auprès de leurs victimes (même après redistribution de 20% ou plus des revenus aux affiliés qui participent aux campagnes RaaS). Le ransomware a ainsi évolué au fil du temps, et cette évolution donne certaines perspectives sur le futur de ce malware.

L’omniprésence annoncée des ransomware
Comme mentionné, il existe deux grandes familles de ransomware, mais on note que les différences tendent à s’estomper. À titre d’exemple, un crypto-ransomware récemment identifié empêche, s’il chiffre les données, également d’accéder à certains sites Web à partir du PC infecté, jusqu’au paiement de la rançon.

Le distinguo tend également à s’atténuer alors que les ransomware se veulent compatibles à de nouvelles plateformes, au-delà des PC, à savoir les dispositifs mobiles. Les ransomware ciblent ainsi le système d’exploitation Android, et nous avons identifié des variantes (comme FLocker) qui s’en prennent aux objets connectés comme les Smart TV. FLocker exige une carte cadeau iTunes d’une valeur de $200 avant de permettre au téléspectateur de pouvoir accéder à nouveau à sa TV et ses programmes.

Selon l’analyste Gartner, il y a aura 6,4 milliards d’objets connectés d’ici la fin de 2016, et 21 milliards d’entre eux à l’horizon fin 2020. Le nombre de victimes potentielles s’annonce ainsi considérable !

Le ransomware, à l’image d’une pandémie, évolue et trouve en permanence de nouveaux vecteurs d’infection et d’attaque. De nouvelles variantes apparaissent, toujours plus sophistiquées et réinventant les techniques d’infection. Le souci est que cette évolution ne marque aucun temps d’arrêt.

Pour les familles SamSam et ZCryptor par exemple, nous avons récemment identifié une propension à se propager de manière latérale, au sein du périmètre interne du réseau, reprenant ainsi à leur compte le comportement des vers pour proliférer sur un réseau.

Il faut dire que l’évolution du ransomware est, à vrai dire, plutôt proche de la théorie de Darwin sur le sujet ! Ainsi, un ransomware qui s’étend à partir d’une seule machine peut être vu comme un arthropode primaire qui émerge de la mer pour la première fois. Cette étape majeure est en réalité intervenue il n’y a que quelques mois, ce qui nous amène à nous interroger : mais comment le ransomware peut-il évoluer si rapidement ?!

En premier lieu, les victimes sont nombreuses à régler la rançon demandée (près d’un tiers des Français se disent prêt à payer cette rançon), ce qui encourage les cybercriminels à poursuivre leurs exactions et capitaliser sur un business toujours plus lucratif. Sans rentrer dans le débat de savoir s’il faut payer ou non, la récupération de certaines données critiques chiffrées plaide parfois en faveur de ce paiement. Mais attention, ce règlement n’est pas une garantie de pouvoir récupérer ses données. La valeur du Bitcoin étant particulièrement volatile, il semblerait, selon certains rapports, que des entreprises se soient procurées des bitcoins pour se préparer à une possible infection par ransomware. Il est intéressant de constater que la demande de bitcoins est à la hausse, avec un taux de change qui a presque doublé au cours des trois derniers mois, pour atteindre 768 dollars.

On imagine que les auteurs de ransomware gèrent leur business à l’image d’une entreprise classique, réinvestissant une part conséquente de leurs fonds détournés dans la recherche et développement. À l’instar d’un éditeur de logiciel, on imagine qu’ils disposent de chefs de projets, d’une roadmap produit et d’ingénieurs capables de restaurer les bugs ou d’enrichir le panel fonctionnel de leur ransomware.

Quelles sont les perspectives ?
Le ransomware est devenu tellement omniprésent qu’on peut s’interroger sur sa marge de progression. Et pourtant, de nouveaux territoires d’infection sont à envisager…

  • Systèmes de contrôle industriels / SCADA

Il reste encore un univers qui est, pour l’instant, à l’abri du ransomware : les systèmes de contrôle industriels au sein des environnements de production : usine chimique, centrales nucléaires, centrales électriques, etc. Ces systèmes sont pourtant des proies idéales pour le ransomware.

Aucune information, tout du moins publique, ne permet à ce jour de conclure à l’existence de cas d’infection au sein des environnements industriels. Cependant, la question est légitime car toute stratégie de sécurité est susceptible de présenter des lacunes…

Ces systèmes industriels sont peu protégés et plutôt fragiles. C’est un fait connu. Certaines variantes actuelles de ransomware pourraient donc se contenter de frapper à la bonne porte, ce qui laisse penser qu’il est probable que la menace émergera tôt ou tard au sein de ces environnements industriels. Nous constatons déjà que le ransomware cible certains profils de victimes, comme les acteurs de soins de santé, qui doivent s’acquitter d’une rançon élevée car nombre de ces acteurs ont déjà accepté, dans le passé, de payer la rançon. Quid des gouvernements ? Seraient–ils prêts à céder au chantage pour prévenir toute problématique au sein d’une centrale nucléaire ?

C’est pour répondre à ces défis que Fortinet a imaginé son architecture ISFW (Internal Segmentation Firewall) qui empêche les assaillants de se mouvoir latéralement au sein des réseaux industriels ou d’entreprise.

  • CLOUD

Face à un ransomware qui prolifère presque à sa guise, quelles sont les perspectives ?

Compte tenu de son historique, on imagine facilement que le ransomware continuera à proliférer. Car pour survivre et se développer, le ransomware suit les données où qu’elles se trouvent. Les données migrent vers le cloud, qui devient ainsi un terrain particulièrement fertile pour les ransomware.

Apple a récemment annoncé que son service gratuit icloud passait de 20 à 150 Go de stockage, faisant du stockage de données privées et personnelles dans le cloud la nouvelle norme. Les cybercriminels pourraient tirer parti d’une API pour chiffrer des données stockées en ligne. Car, après tout, le Cloud repose sur des systèmes appartenant à une personne ou entité.

Plus que jamais, il est essentiel que des sauvegardes soient réalisées de manière régulière, quelle que soit la plateforme cloud utilisée. Pour mieux accompagner les organisations, Fortinet étudie en permanence les menaces liées au ransomware et repense les approches capables de neutraliser les nouveaux vecteurs et variantes. Nous renforçons notre capacité à détecter et neutraliser les menaces, et à concevoir des mesures de rétorsion en se focalisant sur des nouveaux modèles de prévention.

  • LES HUMAINS

Sans verser dans la science-fiction, on est néanmoins en droit de s’interroger : compte tenu des risques associés à l’Internet des Objets, est-il possible le fait que le ransomware passe un jour du monde numérique vers nos systèmes biologiques ?

Que se passerait-il si un ransomware vous empêchait d’utiliser votre prothèse de bras ou vos dispositifs et implants médicaux (pacemaker par exemple ?). Ces risques ne doivent pas être écartés !

Fort heureusement, il s’agit encore à ce jour de spéculation, mais, pour autant, sommes-nous si loin de la réalité ? La science-fiction a nourri nombre de nos inventions … L’évolution étant un processus permanent, nous pouvons nous attendre à l’émergence de nouveaux vecteurs et cibles. Et si, demain, les ransomware implantaient des modules de contrôle au sein de votre voiture sans conducteur, venaient perturber une opération chirurgicale assistée par robot ou vous empêchaient d’accéder à votre propre maison connectée ? Et que dire des dispositifs infectés capables de déployer et gérer d’autres dispositifs ? Sommes-nous vraiment si éloignés d’une situation, aujourd’hui encore fictive, avec des machines qui prendrait le contrôle sur les humains ? Nous sommes particulièrement enthousiastes face aux promesses que nous dévoile le futur. Mais nous devons être encore plus enthousiastes à protéger ce monde à venir. (Par David Maciejak, expert sécurité chez Fortinet)

Biométrie : pourquoi les états freinent leur usage alors que les consommateurs l’acceptent ?

Les fabricants d’appareils numériques intègrent de plus en plus de de systèmes de contrôle biométrique, que ce soit des capteurs d’empreintes digitales ou même un scanner d’iris. L’usage de la biométrie représente-t-elle une révolution ? Pas si sûr. Ces lancements et son acceptation par les consommateurs sont révélateurs d’une nouvelle façon de percevoir et d’adopter des technologies qui suscitaient traditionnellement des réticences voire des craintes.

La biométrie, déjà dans toutes les poches Si les Français considéraient la reconnaissance d’empreintes digitales comme une technologie réservée à la police, les initiatives de sécurité biométrique des géants de l’informatique, telle que la généralisation des capteurs d’empreintes et l’annonce de l’arrivée d’un scanner d’iris sur les prochains téléphones de Samsung, illustrent la démocratisation et la banalisation de la biométrie dans les produits grand public. Idriss Aberkane, professeur à Centrale Supélec et chercheur à Polytechnique, a bien résumé le parcours que traverse une innovation avant d’être acceptée par l’opinion commune : elle est tout d’abord considérée comme ridicule, puis dangereuse, avant d’aller de soi. Il semblerait donc que la biométrie appliquée aux usages quotidiens ait atteint cette dernière phase.

Apple Pay utilise la reconnaissance d’empreintes digitales qui équipe les nouvelles générations de smartphones et sert notamment à déverrouiller l’appareil sans saisir de code. Sont également concernés les achats en ligne effectués dans un cadre limité comme iTunes ou l’AppleStore. L’utilisation généralisée en magasin est prévue pour dans quelques mois. La biométrie est donc dans toutes les poches, et ce pour des usages de plus en plus fréquents et basiques. À l’instar des données personnelles qui alimentent les big data, les empreintes digitales deviennent des éléments d’identification que nous partageons de plus en plus facilement dans notre quotidien.

Du moment qu’un service leur est utile, les utilisateurs de smartphones se préoccupent finalement assez peu de l’usage qui est ou pourrait être faite de leurs empreintes digitales et des traces qu’ils sont amenés à laisser via une puce NFC.

Les Français favorables au contrôle et à la traçabilité pour la sécurité des biens et des personnes
Pourtant, et malgré les menaces qui pèsent aujourd’hui sur la sécurité de notre pays et de ses habitants, des réticences tenaces continuent de freiner l’utilisation de ces technologies pourtant susceptibles de faciliter grandement la recherche des individus dangereux présents dans les fichiers sensibles des états. Alors que des solutions très performantes intégrant toutes ces technologies sont aujourd’hui disponibles et susceptibles d’apporter une aide précieuse aux policiers en charge des contrôles aux frontières ou inopinés, certains chantres des libertés fondamentales continuent de rejeter l’utilisation des empreintes digitales considères comme faisant partie du patrimoine privé des individus, fussent ils de dangereux terroristes potentiels.

Cette attitude va à l’encontre d’une récente enquête réalisée par OpinonWay pour le compte de Coppernic qui révèle que la plupart des Français (76%) sont favorables aux dispositifs de contrôle utilisant les capteurs d’empreintes digitales. Plus généralement, cette enquête démontre que, face à la menace terroriste et à la montée de la violence dans la société, beaucoup de citoyens sont prêts à « sacrifier » une partie de leurs libertés individuelles pour améliorer la sécurité de leus proches et de leurs biens. Il ne s’agit pas de sombrer dans la psychose sécuritaire, mais au contraire d’en revenir aux fondements du contrat social : les instances régaliennes de l’Etat assurent la protection des individus, en échange d’une part de contrôle.

La technologie sera d’autant mieux acceptée qu’elle a une visée positive, d’autant plus qu’elle peut facilement susciter des inquiétudes. On l’a vu lors des débats relatif à la loi Renseignement l’année dernière : le fantasme de Big Brother n’est jamais loin. Pour s’en prémunir, la pédagogie est de mise. Il est primordial d’être transparent tant sur les ressorts de la technologie que sur l’utilisation des données. C’est à ces conditions seulement que les innovations seront considérées comme socialement acceptables et opérationnellement efficaces. (Par Jacky Lecuivre, Président Directeur Général de Coppernic)

Une enquête révèle les stratégies de cybersécurité des entreprises

Selon une nouvelle étude, le Cloud et les vulnérabilités systèmes sont les deux plus grandes préoccupations des décisionnaires IT. Un veille décisionnelle sur les menaces, une prise en charge plus rapide des incidents et un recours aux services de sécurité managés comptent parmi les orientations stratégiques de ces décideurs.

L’enquête indépendante souligne l’urgence pour les grandes entreprises de la région EMEA, tous secteurs d’activité confondus, de passer à une cybersécurité de bout en bout, basée sur une veille décisionnelle sur les menaces, pour ainsi relever les défis liés au digital. Les entreprises doivent réagir plus rapidement et efficacement aux problématiques de sécurité en investissant dans des architectures de cybersécurité adaptatives et adaptées à un réseau décloisonné.

48 % des personnes interrogées sur la région EMEA et 60% des entreprises françaises jugent que la meilleure réponse à la multiplication des incidents de sécurité est d’investir dans des technologies de cybersécurité qui assurent une protection à chaque étape du cycle de vie d’une menace. Les deux plus grandes préoccupations des décisionnaires portent sur la sécurité du cloud et la maîtrise des vulnérabilités des systèmes IT. Sécurité du cloud : une problématique pour 53 % des personnes interrogées sur la région EMEA, allant jusqu’à 61% en Espagne (le taux le plus élevé) et 57% en France
.Protection contre les vulnérabilités systèmes : une problématique pour 53% des répondants sur la région, 47% en France et qui grimpe à 59 % en Italie.

Cependant, nombre des répondants voient dans cette recrudescence des menaces et risques de sécurité l’occasion d’externaliser leur cybersécurité auprès d’un fournisseur de services managés. Globalement, l’étude montre que dans les 3 à 5 ans à venir, 44% des organisations sur la région EMEA (43% en France) opteraient pour cette externalisation. En France, cette adoption est de 9%.

Vers une architecture de sécurité performante et une veille décisionnelle sur les menaces
L’enquête s’est intéressée aux victimes de cyber-attaques pour illustrer comment les infrastructures de sécurité actuelles peinent à s’adapter aux réalités d’un monde toujours plus digital. Sur les 52% des décisionnaires EMEA (42% en France) qui indiquent avoir subi un piratage informatique au cours de l’année dernière, seuls 16% (14% en France) s’en sont rendus compte dans les minutes ayant suivi l’exaction. En Espagne, les personnes interrogées victimes d’une une attaque récente ne sont que 11% à avoir pu l’identifier dans un tel délai.

Dans certains secteurs, comme les soins de santé, 50% des répondants EMEA déclarent qu’il s’est écoulé plusieurs jours, mois, voire années avant d’identifier l’incident. L’identification et la prise en charge des menaces, lentes et peu efficaces, se révèlent particulièrement coûteuses pour les entreprises victimes, en termes de données perdues, de systèmes piratés et de réputation ternie.

L’enquête montre que pour maîtriser ces risques et mieux protéger leurs organisations, la première des actions prises par les décisionnaires informatiques est de déployer des technologies de détection de menaces (17% sur la région EMEA et 14% en France). Vient ensuite la mise en place de services de sécurité fournis à partir du cloud (12% sur la région EMEA et 7% en France). Ces fonctionnalités doivent être associées à des services de veille décisionnelle sur les menaces (9% sur la région EMEA et 14% en France).

Pour les répondants, la veille sur les menaces renforce la prévention des attaques (43% d’entre eux le déclarent sur la région EMEA, 40% en France). Elle améliore aussi la stratégie de sécurité de l’information (38% sur la région EMEA et 43% en France) et la détection des menaces (35% sur la région EMEA, 40% en France).

Concernant l’application des nouvelles fonctionnalités de veille (périmètre, modalités) 35% des personnes interrogées sur la région EMEA et 33% en France indiquent disposer d’une équipe interne dédiée à la prise en charge des incidents et qui supervise l’ensemble des activités de sécurité. Le chiffre n’est que de 26% en Italie contre 42% en Allemagne. Cependant, 26% du panel EMEA et français déclare externaliser leur veille sur les menaces auprès d’un fournisseur de services managés. Ce chiffre ressort à 22% en Espagne et à 31% au Royaume-Uni.

Un pirate russe recherché par le gouvernement Américain arrêté à Prague

Le pirate informatique du réseau Linkedin, en 2012, aurait été arrêté à Prague. Il serait aussi à l’origine des attaques informatiques à l’encontre de la Convention Nationale Démocrate.

Tiens donc ! Elle est ou cette super mega armée de pirates informatiques, à la solde de la Russie, s’attaquant à l’informatique de l’Oncle Sam. A première vue, et comme dans la majorité des cas, cette cyber armée est forte… de quelques adolescents. Dans la nuit du 18 octobre dernier, un pirate informatique russe a été arrêté à Prague par la police tchèque.

Une arrestation en coopération avec le FBI, le Federal Bureau of Investigation. Le suspect serait impliqué dans les cyber-attaques menées contre des cibles aux États-Unis, et notamment dans les hacks de la Convention Nationale Démocrate. L’individu est également soupçonné d’être responsable des attaques massives contre le réseau social professionnel LinkedIn en 2012. « Même les pirates de renom font des erreurs, et il est parfois possible pour les autorités de les pister jusqu’à leur adresse IP d’origine. Puisque ce pirate informatique était prétendument impliqué dans une série d’attaques sur des systèmes de base de données électorales en Arizona et dans l’Illinois plus tôt cette année, il aurait pu être suivi à travers les journaux d’accès aux serveurs. » indique l’un des enquêteurs.

Si les pirates ont utilisé un proxy dans l’attaque, les autorités auraient pu collaborer avec les victimes propriétaires des ordinateurs hébergeant ce serveur mandataire, et obtenir ainsi l’accès aux informations qui y étaient stockées. Par ailleurs, après avoir déterminé l’adresse IP du pirate, les autorités auraient pu également demander au fournisseur de service internet le nom de l’utilisateur. Puis, une fois le suspect transféré dans un pays coopérant avec le gouvernement Américain, les autorités locales auraient été en mesure d’arrêter le pirate. (Michal Salat, Directeur du Service de Renseignements sur les Menaces Informatiques chez Avast)

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile