Shadow IT : de l’ombre à la lumière

Shadow IT – Facebook, Skype et Twitter, sites web les plus vulnérables aux malwares mais aussi les plus fréquentés par les collaborateurs en entreprise.

L’expression « informatique fantôme » ou Shadow IT fait généralement référence aux applications qui sont déployées au sein d’une infrastructure informatique sans avoir suivi les processus élaborés pour vérifier qu’elles sont fonctionnelles, sécurisées et capables de prendre en charge plusieurs utilisateurs. Généralement, ces applications sont installées par les utilisateurs finaux souhaitant bénéficier de fonctionnalités informatiques qu’ils ne trouvent pas dans les ressources officielles, ou pour des motifs personnels. Compte tenu de la popularité de cette approche également connue sous le nom de « BYOD » (Bring Your Own Device), chaque utilisation à l’intérieur de ce spectre pourrait être considérée comme légitime.

En ce qui concerne les appareils personnels, le propriétaire doit disposer des droits d’utilisation à des fins personnelles. Dans le cas des outils fournis par l’entreprise, les départements informatiques se trouvent face à un dilemme : mettre en œuvre des règles stipulant qu’aucune application non autorisée ne peut être chargée sur un appareil — et dans ce cas, il leur revient de s’assurer que les dernières fonctionnalités des applications sont toutes testées et déployées de façon appropriée et au moment opportun. Ils doivent aussi permettre aux utilisateurs d’innover de leur propre chef en gardant une trace de ce qui se produit. Compte tenu du rythme de l’innovation, même les services informatiques des grands comptes ont parfois un train de retard sur les dernières tendances technologiques.

Les entreprises les plus exigeantes en matière de sécurité opteront a priori pour une approche plus étroitement contrôlée où l’utilisateur est « coupable jusqu’à preuve du contraire », ce qui se traduit par l’application de mesures sécuritaires et freine l’innovation. En revanche, les entreprises plus tolérantes surveilleront l’utilisation de technologies émergentes qui prennent la forme d’applications fantômes et observeront l’approche inverse qui prône la « présomption d’innocence ». Bref, si cette deuxième démarche implique davantage de risques, elle encourage l’innovation.

Shadow IT – Le vrai chemin de la moindre résistance

Certains fournisseurs de services de sécurité font office d’intermédiaires entre l’Internet ouvert et leurs clients, filtrant au passage le maximum de trafic malveillant. Il revient à chaque entreprise de définir ses propres règles quant aux systèmes et applications informatiques fantômes, mais les fournisseurs de solutions de sécurité peuvent s’impliquer dans cette démarche en identifiant et en signalant toute utilisation d’applications dont le service informatique ne soupçonne peut-être pas l’existence, ni même le lien avec des éléments malveillants.

Quelle que soit l’entreprise, une application populaire présente intrinsèquement davantage de risques qu’une appli plus obscure. En effet, si deux applications (l’une populaire et l’autre moins) présentent le même niveau de sécurité, le nombre d’utilisateurs touchés par les mêmes failles sera logiquement plus nombreux dans le cas de l’application la plus téléchargée, la rendant plus dangereuse.

À mesure qu’une application gagne en popularité, il importe que les développeurs s’intéressent de plus près à la sécurité. C’est pourquoi il convient d’utiliser un indicateur basé sur le nombre d’utilisateurs potentiellement affectés par une application, et non sur le rapport entre trafic réseau « sécurisé » et « non sécurisé » associé à l’application.

Facebook, Skype et Twitter pointent en tête des sites qui abritent le plus grand nombre de logiciels malveillants (malware). Dans la majorité des cas, les utilisateurs cliquent ou téléchargent des applications malveillantes « à l’insu de leur plein gré », sans se rendre compte qu’ils se mettent en danger, ainsi que leur entreprise. Il est intéressant de souligner qu’Amazon n’est pas considéré comme faisant partie des sites véhiculant un grand nombre de malwares, bien que totalisant le maximum de liens suspects. Les principaux services de connexion à des webinaires disposent également d’un nombre exceptionnellement élevé de liens et de pièces jointes suspects que les utilisateurs sont invités à télécharger.

Shadow IT  – Rôle des DSI et des RSSI

Les directeurs des systèmes d’information (DSI) et les responsables de la sécurité des systèmes d’information (RSSI) entendent bien sûr garder la maîtrise de la situation en fournissant des applications validées par l’entreprise. Or, les applications concurrentes sont tout simplement trop nombreuses pour dissuader les employés de faire leur propre marché. Selon notre étude, ils chercheront toujours à savoir s’il existe à l’extérieur de l’écosystème officiel de l’entreprise un moyen d’être plus efficace en utilisant des applications qu’ils connaissent et apprécient, comme Dropbox ou Evernote. Bloquer ces applications ne permettra pas de résoudre le problème.

Le Cloud a transformé de fond en comble la façon dont les employés travaillent. Cette tendance est irrésistible, et la « consumérisation » de l’informatique continue de pousser les applications de cloud personnelles à l’intérieur de l’entreprise. Des applis peu onéreuses, voire gratuites, sont plus que jamais accessibles, et quelques minutes suffisent à un employé pour les télécharger et les utiliser sur son lieu de travail. Il est possible d’installer des applications qui ingèrent des données d’entreprise et s’intègrent aux applications professionnelles existantes sans passer par le département informatique, ce qui expose les entreprises aux risques associés aux cyber-attaques et aux logiciels malveillants de manière totalement imprévisible, sans même qu’il soit possible de surveiller et d’encadrer leur utilisation entre les murs de l’entreprise.

L’augmentation des attaques Shadow IT ciblant certaines entreprises a transformé l’environnement professionnel en un nouveau paysage parsemé de multiples menaces. Faute d’une gestion appropriée, des brèches s’ouvrent, par lesquelles de précieuses données commerciales peuvent facilement s’échapper.

Mais les DSI et les RSSI ne doivent pas pour autant interdire les applications cloud dans leur globalité : ils peuvent trouver des moyens empêchant la création de ces failles. Pour rester à la page, les services informatiques doivent passer du dilemme « bloquer ou autoriser » à une approche de type « gérer et surveiller ». Les entreprises peuvent trop facilement se sentir dépassées par l’afflux de nouvelles technologies sur le marché ou l’arrivée de nouvelles applications grand public sur le lieu de travail. Il ne faut toutefois pas oublier que cette tendance souligne le fait que les employés cherchent à travailler plus efficacement, à tous moments et en tous lieux.

Les entreprises doivent tirer profit du cloud pour ne pas être distancées par un marché en rapide mutation, ni bien sûr voir leur sécurité menacée. Nous ne pouvons continuer d’utiliser des appareils et des solutions qui n’ont pas été capables de se conformer aux exigences du cloud. Les données en réseau aideront les entreprises à comprendre le comportement de leurs employés et, ce faisant, les DSI et les RSSI peuvent prendre en charge les applications de cloud qu’ils choisissent sans pour autant exposer l’entreprise à des risques inutiles. Le défi pour les entreprises est simple : suivre le tempo sans compromettre leur sécurité. (Par Didier Guyomarc’h, Directeur EMEA Sud, Zscaler)

Les serveurs de Pokemon GO sous les attaques DDoS

Il fallait bien se douter que les pirates informatiques allaient se jeter sur Pokemon GO. Plusieurs attaques DDoS ont tenté de saturer les serveurs de Nintendo.

Ce qui est bien avec les pirates informatiques, du moins ceux en mal de reconnaissance, est qu’ils sont aussi prévisibles qu’un glaçon dans un four. Alors que la France ou encore le Japon se préparent à un assaut de masse sur l’application Pokemon Go [lire l’avertissement sur les dangers des applications non officielles concernant Pokémon GO], les joueurs à l’international s’inquiètent de l’arrivée de nouveaux utilisateurs sur des serveurs déjà largement sous pression. Comme le rappel Kaspersky, les discussions sur les réseaux sociaux concernant le niveau de saturation des serveurs et les bugs à répétition qui en découlent sont légion, obligeant même Niantic à réagir. Mais l’incroyable popularité de l’application n’est pas seule en cause. Les serveurs de Pokemon Go ont été la cible de plusieurs attaques DDoS, revendiquées par différents groupes de pirates.

Du DDoS pour emmerder le monde… et pour de l’argent

Bien qu’un certain nombre de groupes de pirates ait revendiqué des attaques DDoS, il est difficile de vérifier la véracité de leurs affirmations. Et ce n’est pas le cœur du problème. Ce qui compte vraiment pour Nintendo et pour les joueurs de Pokemon Go est de protéger les serveurs et les données des joueurs, de maintenir la continuité de service et de préserver sa réputation et celle des entreprises derrière Pokémon Go. Mais ce n’est pas une tâche aisée, car les attaques DDoS sont perpétrées par plusieurs groupes au motifs variés : nuire à la réputation de l’entreprise, attirer l’attention sur des revendications politiques ou sociales, faire connaitre son outil « stresser » pour vendre du DDoS, ou des protections contre les DDoS, et bien sûr la perspective de possibles gains financiers

Black blocs 2.0

Le volume d’attaques DDoS a augmenté au cours des dernières années car le coût pour réaliser ces attaques a chuté. J’ai pu vous le montrer dans des articles expliquant qu’avec quelques euros il est possible de faire tomber n’importe quel serveur. « En parallèle, les attaques DDoS sont devenues plus sophistiquées et plus difficiles à contrer. Les cybers criminels enquêtent sur leur cible et choisissent les modes d’attaques qui ont le plus de chances de succès, indique David Emm, chercheur en sécurité chez Kaspersky Lab. Ils agissent en temps réel, de façon à pouvoir ajuster leurs tactiques et utiliser des outils différents dans le but de faire le plus de dégâts« .

European Cyber Week : J’entends le loup, le renard et le hacker

Du 21 au 25 novembre, la Bretagne va accueillir l’ European Cyber Week. Cinq jours dédiés à la sécurité informatique.

La ville de Rennes, en Bretagne, va accueillir, du 21 au 25 novembre 2016, l’ European Cyber Week. Derrière ce titre, le Pôle d’excellence cyber [Créé en 2014, on y retrouve dans son conseil d’administration le Vice Amiral Arnaud Coustillière et Madame Marie-Noëlle Sclafer représentants le Ministère de la Défense, NDR]. Ce rendez-vous va proposer 7 rendez-vous dédiés à la sécurité informatique. Une première à Rennes.

Au programme de l’ European Cyber Week : état des avancées technologiques en matière de cyberdéfense et de cybersécurité (C&ESAR) ; l’Internet des objets ; le lien entre recherche et entreprises de la cybersécurité ; Peer learning entre régions européennes sur le développement de la cybersécurité en tant qu’activité économique ; un colloque sur l’état de l’art de la recherche en matière de sécurité des réseaux électriques intelligents et un challenge de hacking éthique.

L’ European Cyber Week est financé et épaulé par le Conseil régional de Bretagne, le ministère de la Défense, DGA Maîtrise de l’information, BDI, EIT Digital, Images & Réseaux, Rennes Atalante, INRIA, Université de Rennes 1, Telecom Bretagne, Meito et avec le soutien de l’Union européenne.

La Bretagne dispose d’un peu plus de 120 entreprises spécialisées dans la cybersécurité. En 2014, la Région avait lancé un appel à projets baptisé « solutions nouvelles de cybersécurité« . Une enveloppe de 593 000€ avaient été partagées entre 13 sélectionnés : Prescom, Med E Com, Frogi Secure, Interface Concept, AriadNext, DareBoost, Opale Security, Amossys [présent dans le conseil d’administration du Pôle d’excellence cyber], First Wan Delivery Network, Tevalis, Celtpharm. En juin 2016, 800 000€ étaient proposés dans un nouvel appel à projet. Un appel qui se cloture dans quelques semaines. (7Seizh)

Un boitier sans fil pour protéger son ordinateur

ZATAZ Web TV ZATAZ Tv E24S5 est sorti. Au sommaire de ce 24ème épisode de l’année : retour sur la Nuit du Hack 2016 ; la découverte du boitier Glabys pour protéger son ordinateur ; les actualités à ne pas rater concernant la cybersécurité, le hacking et le petit monde du piratage informatique.

Au programme de ce nouveau numéro de ZATAZ Web TV (semaine du 04 juillet 2016) : Retour sur l’exceptionnelle Nuit du Hack 2016 qui s’est tenue à Disney Land Paris le week-end du 2 et 3 juillet 2016 ; découverte d’un petit boitier Bluetooth étonnant, le Glabys, qui permet de bloquer votre ordinateur quand vous vous éloignez de votre machine. Il suffit de se rapprocher pour que la machine soit de nouveau disponible. Bref, un étonnant boitier sans fil pour protéger son ordinateur ; et l’actualité du moment liée au piratage informatique, codes malveillants, conférences à ne pas rater…

Cybersécurité : L’Europe annonce 450 millions pour le privé

Pourquoi est-il indispensable de renouveler les fondements de la sécurité informatique qui datent de plus de 20 ans ?

Fondements de la sécurité informatique – Devenue un enjeu essentiel, la sécurité informatique est plus que jamais au cœur des préoccupations de l’Union Européenne. La Commission Européenne a récemment annoncé qu’elle allait investir 450 millions d’euros pour la sécurité informatique dans le cadre d’un partenariat avec le secteur privé. Les sociétés de ce secteur devraient d’ailleurs tripler ce montant dans les prochaines années, pour arriver à 1,8 milliard d’euros d’investissement. « Il est encourageant que l’UE investisse davantage dans la cybersécurité et en fasse l’une de ses priorités. En raison du Brexit, les universités et les entreprises françaises pourraient d’ailleurs bénéficier de plus d’investissements. » commente Kevin Bocek, VP Threat Intelligence and Security Strategy chez Venafi.

Sécurisation des identités en ligne

Cependant, on ne sait pas encore si ces financements seront investis là où c’est nécessaire. La « sécurisation des identités en ligne » est l’un des principaux domaines sur lesquels le partenariat public/privé se focalisera. Au-delà de ça, je pense qu’il ne faut pas se contenter de sécuriser l’identité des individus, mais aussi celle des machines, des logiciels, des appareils connectés et des fondations d’Internet elles-mêmes. Les logiciels sont déjà plus nombreux que la population humaine, et la capacité à différencier le ‘bien’ du ‘mal’, les amis des ennemis, n’en devient que d’autant plus importante en ce qui concerne les machines, les logiciels et les appareils connectés. Nous devons cesser d’appliquer notre pensée anthropomorphique, mais apprendre à réfléchir comme ceux qui font peser des menaces sur notre mode de vie et notre économie au 21e siècle.

Fondements de la sécurité informatique

Fondamentalement, la façon dont nous sécurisons les logiciels, l’IoT et l’Internet en soi n’a pas changé depuis plus de 20 ans. Que l’on se connecte à une messagerie électronique ou au code de programmation d’un Airbus A380, les méthodes de connexion entre individus, la confiance placée dans les applications et le mode de fonctionnement de l’économie mondiale reposent sur la sécurité offerte par les certificats numériques et les clés de cryptage. Cela va bien au-delà de l’authentification des personnes : c’est le système qui authentifie les systèmes et les logiciels, permettant ainsi aux machines de savoir qu’elles suivent les bons ordres – tout cela est beaucoup plus préoccupant que la sécurisation des identités individuelles. Parce qu’ils définissent ce qui est digne ou indigne de confiance, les clés et les certificats peuvent être utilisés comme une cyber-arme. Ils ont déjà été employés avec succès dans les attaques cinétiques, ce qui prouve qu’il est indispensable de voir plus loin que la sécurisation de l’identité des individus.

« Si le grand public n’est pas encore informé sur les dangers liés aux clés et aux certificats, confirme Kevin Bocek, ceux-ci sont parfaitement connus de la NSA, du GCHQ et d’un groupe émergent de cyber-adversaires, de la Chine aux terroristes. Les criminels et les terroristes se mettent à utiliser ces clés et ces certificats contre nous, et nous courrons actuellement le risque de voir les terroristes pirater certaines parties de l’Internet, ou plus inquiétant encore, de s’en servir pour prendre le contrôle d’actifs physiques, qu’il s’agisse de voitures, d’avions ou de centrales nucléaires, voire de la multitude d’appareils connectés qui exercent de plus en plus de contrôle sur nos foyers« .

Dans certains cas, les terroristes se sont en fait inspirés des actions de nos propres gouvernements. Prenez simplement l’exemple de Stuxnet, un malware développé par les gouvernements américain et israélien pour neutraliser le programme nucléaire iranien ; un certificat volé a permis à ce logiciel malveillant d’être considéré comme entièrement digne de confiance par les équipements iraniens. Et aujourd’hui, quand le FBI veut prendre le contrôle d’un appareil, il utilise la clé de cryptage d’Apple pour neutraliser les défenses de l’iPhone. C’est la cyber-arme du 21e siècle : elle frappe en trafiquant l’identité des logiciels et des appareils. Voilà ce sur quoi nous devons concentrer nos efforts, et pas seulement sur les individus.

Il faut maintenant réfléchir à ce qui pourrait arriver si les réseaux de nos gouvernements ou de nos entreprises, voire même de cette nouvelle ère de l’IoT, étaient piratés, pris en otage, ou pire encore : détruits. Dans le meilleur des cas, cela déclenchera le chaos. Dans le pire, cela coûtera des vies humaines. Les fondations de la sécurité d’Internet ont plus de 20 ans. Il faut absolument que les gouvernements et les entreprises cherchent à les renforcer, à les doter d’un système immunitaire capable de nous protéger, de faire la différence entre ce qui est bien et ce qui est mal, entre ami et ennemi, et prendre immédiatement les mesures qui s’imposent pour résoudre ces problèmes.

Wifi gratuit, protégez votre connexion

Alors que la mairie de Paris a annoncé du wifi « haut débit » gratuit sur les Champs-Élysées, cette explosion récente des connexions wifi gratuites et publiques représente une véritable aubaine pour les utilisateurs. Il est tellement pratique de se connecter gratuitement à un réseau Wi-Fi dans un café, dans un parc ou dans un aéroport que cela en devient un réflexe, dès lors que notre appareil nous le suggère. Mais est-ce totalement sûr ? Quels sont les risques ? Comment se connecter à un réseau public en toute sécurité ?

Wifi gratuit ? Votre meilleur ennemi ! En général, les réseaux Wi-Fi que l’on trouve dans les lieux publics ne sont pas bien protégés. Ils se basent souvent sur des protocoles de chiffrement trop simples ou parfois pas chiffrés du tout. Les pirates peuvent ainsi accéder à chacune des informations que vous envoyez sur Internet : e-mails importants, données de carte bancaire, voire données d’identification permettant d’accéder à votre réseau d’entreprise. Une fois que les pirates disposent de ces renseignements, ils peuvent accéder à vos systèmes en votre nom, diffuser des programmes malveillants, ou facilement installer des logiciels infectés sur votre ordinateur si le partage de fichiers a été activé.

Quelques bons gestes à respecter face à un Wifi gratuit

D’abord, utilisez un réseau privé virtuel (VPN). Un VPN est indispensable lorsque vous accédez à une connexion non sécurisée, comme un point d’accès wifi. Même si un pirate réussit à se placer en plein milieu de votre connexion, les données qui s’y trouvent seront chiffrées, donc illisibles. Mails, mots de passe, ou simplement ce que vous visitez ne seront pas lisibles. J’utilise moi même plusieurs dizaines de VPN différents. Je peux vous proposer de tester Hide My Ass, ou encore VyprVPN. Un test de VPN disponibles pour votre ordinateur, tablette ou encore smartphone dans cet article. Dernier conseil, même si vous ne vous êtes pas activement connecté à un réseau, le matériel wifi équipant votre ordinateur, votre téléphone portable, votre tablette continuent de transmettre des informations. Bref, désactivez la fonctionnalité wifi si vous ne l’utilisez pas.

Activez l’option « Toujours utiliser HTTPS » sur les sites Web que vous visitez fréquemment ou qui nécessitent de saisir des données d’identification. Les pirates ne savent que trop bien que les utilisateurs utilisent les mêmes identifiants et mots de passe pour les forums, leur banque ou leur réseau d’entreprise.

Pour finir, lorsque vous vous connectez à Internet dans un lieu public, via un Wifi gratuit il est peu probable que vous souhaitiez partager quoi que ce soit. Dans ce cas, vous pouvez désactiver les options de partage dans les préférences système. (Kaspersky)

Data Loss Prevention

Prévention des pertes de données des collaborateurs mobiles. Quand la mobilité oblige à la Data Loss Prevention.

Data Loss Prevention  – La mobilité est à la fois un besoin et un défi pour les entreprises qui se battent pour créer une force de travail réellement fluide et entièrement digitale. Aujourd’hui, presque tous les collaborateurs travaillent avec un ou plusieurs périphériques mobiles contenant des informations d’entreprise, qu’il s’agisse d’un téléphone mobile, d’un ordinateur portable ou d’une tablette. L’un des premiers défis qui en découlent pour la direction informatique tient au fait que l’accès à distance aux données et aux e-mails se fait, par nature, « hors » du périmètre de l’entreprise, et qu’il est par conséquent très difficile de s’en protéger. La multitude des périphériques utilisés, en elle-même, complique la surveillance et le suivi des données d’entreprise consultées, partagées ou utilisées.

Data Loss Prevention : se concentrer sur les données

L’une des approches, choisie dans certaines entreprises, consiste à intégrer ces périphériques à une stratégie d’environnement de travail en BYOD. Les utilisateurs peuvent choisir le périphérique, le système d’exploitation et la version de leur choix, puisqu’il s’agit de leur propre périphérique. Malheureusement, cette approche peut en réalité créer des problèmes supplémentaires de sécurité et de DLP (prévention des pertes de données). En effet, de nombreux utilisateurs n’apprécient pas (voire interdisent) que leur employeur gère et/ou contrôle leur périphérique, pire encore, d’y installer des logiciels professionnels comme les programmes d’antivirus et de VPN.

Par conséquent, pour réussir, la stratégie de protection des données doit se concentrer sur la sécurisation des données uniquement, quel que soit le périphérique ou le mode d’utilisation. Dans un environnement d’entreprise, une grande majorité des données sensibles transitent dans les e-mails et leurs pièces jointes. Ainsi, une stratégie de protection des données réussie doit chercher à gérer et contrôler la passerelle par laquelle transitent les données, à savoir, ici, le compte d’e-mail d’entreprise.

Autre option : implémenter une suite d’outils de gestion de la sécurité mobile, ce qui permet de placer des mécanismes de sécurité sur la passerelle d’e-mail, et d’autoriser la création de règles de sécurité pour surveiller et contrôler la façon dont les informations d’entreprise sont traitées sur chaque périphérique.

Data Loss Prevention : Stratégie DLP tridimensionnelle

Une stratégie « DLP tridimensionnelle », surveille et contrôle le contenu transféré via un périphérique sur la base de critères précis. Par exemple, on peut limiter l’accès au contenu ou aux fichiers depuis le compte e-mail d’entreprise en fonction du pays, puisque les utilisateurs qui voyagent avec leur périphérique sont susceptibles d’accéder aux données et aux systèmes sur des réseaux Wi-Fi non sécurisés. Il est également possible de contrôler le contenu sur la base des mots clés qui figurent dans les e-mails (comme des numéros de sécurité sociale ou des numéros de contrat), afin d’interdire les pièces jointes ou le contenu incluant ce type d’information sur les périphériques mobiles. Comme les pièces jointes d’e-mail contiennent la majorité des informations sensibles transmises d’un périphérique à un autre, ce point est crucial lorsqu’il s’agit de protéger l’utilisation des périphériques dans l’environnement de travail. La troisième dimension est la surveillance du contexte, qui permet d’identifier et d’interdire le contenu pour des expéditeurs/destinataires spécifiques.

Ce type de considération permet de limiter les risques liés aux pertes de données et aux problèmes de sécurité pour cette partie des activités professionnelles Bien que cette approche ne suffise pas à contrôler et à sécuriser entièrement les banques de données d’une entreprise, la sécurité mobile va jouer un rôle de plus en plus vital pour la réussite des stratégies complètes de protection des données, au fur et à mesure que davantage de périphériques s’intègrent à nos habitudes de travail. (Par Eran Livne, Product Manager LANDESK)

Code malveillant bancaire pour Android

Code malveillant bancaire pour Android – L’équipe de recherche en sécurité de Zscaler a découvert une application malveillante Android se faisant passer pour l’app officielle de Sberbank, la plus grande banque d’Europe de l’Est.

code malveillant bancaire pour Android – De nombreuses tentatives de cyberattaques à son encontre ont déjà eu lieu par le passé et les pirates ont également essayé de s’attaquer à ses clients depuis leurs mobiles. Cette dernière tentative constitue, cependant, une percée majeure dans les efforts des pirates visant à nuire à cette organisation.

Le malware se fait passer pour l’application en ligne de la plus grande banque de Russie, Sberbank. Son apparence est identique à celle de l’application d’origine. Elle affiche un écran de connexion similaire et se sert de celui-ci pour dérober les informations d’identification de l’utilisateur dès que la victime tente de s’authentifier.

Une fois les informations d’identification acquises, l’app affiche une page d’erreur technique et se ferme. Le malware demande alors des privilèges d’administrateur qui, s’ils sont accordés, entraînent des effets dévastateurs sur le terminal infecté. Il peut intercepter les SMS et les appels entrants, ce qui permet au pirate de contourner l’identification OTP (mot de passe à usage unique) mise en œuvre par la banque. Par ailleurs, les faux écrans utilisés peuvent se superposés à ceux d’autres applications connues.

Explication technique de ce code malveillant bancaire pour Android

L’app apparaît comme étant celle de la banque Sberbank et demande des privilèges administrateurs une fois installée, comme indiqué ci-dessous : l’équipe Zscaler a tenté d’installer l’application originale Sberbank à partir du Play Store Google, et il est difficile de différencier l’app malveillante de l’originale. A noter : l’app Sberbank se trouvant sur le Play Store n’est pas infectée. Ce qui fait la particularité de ce malware est sa capacité à se substituer entièrement à l’app originale. Quand bien même la victime tenterait de la lancer, se serait l’écran d’identification du malware serait qui s’afficherait. Une fois les informations d’authentification entrées, elles sont envoyées à un serveur C&C. L’app affiche alors un écran d’erreur et se ferme.

Le malware ne s’arrête pas là, il peut également envoyer des SMS à n’importe quel numéro, selon la volonté du pirate ; intercepter des SMS ; lancer un appel ; intercepter un appel et d’attaquer d’autres applications en s’y superposant.

En ce qui concerne sa capacité à se substituer à une autre application, ce malware a été conçu, entre autres, pour attaquer les apps suivantes : Whatsapp, l’app du Google Play Store, VTB 24 Bank. Les fausses pages de login utilisées sont identiques à celles des apps officielles. Une fois lancées, les informations d’identification récupérées sont envoyées au serveur C&C comme vu précédemment.

Une nouvelle tendance chez les développeurs de malware, et des amateurs de code malveillant pour Android est de cibler les utilisateurs par le biais de fonctionnalités de sécurité d’applications. Dans un article précédent, les chercheurs Zscaler avaient présenté des attaques réalisées à partir de fausses applications de sécurité. Dans le cas de Whatsapp, par exemple, les victimes avaient été piégées par une fausse alerte sur la nouvelle fonctionnalité de chiffrement des messages. Un message s’affichait pour demander des informations d’authentification et de paiement pour cette nouvelle fonctionnalité.

Ce code malveillant bancaire pour Android a une approche particulièrement efficace pour rester actif sur l’appareil de l’utilisateur. Il enregistre un récepteur qui se déclenche dès que la victime tente de retirer les privilèges administrateurs de la fausse application. Ainsi, l’appareil Android se retrouve bloqué pour quelques secondes chaque fois qu’une tentative est faite.

Bref, cibler les utilisateurs par le biais de fausses applications bancaires est le moyen le plus facile et privilégié des pirates. Le malware présenté plus haut combine plusieurs fonctionnalités, en une seule et même application, pour une attaque en profondeur. Il est capable de se substituer à n’importe quelle app existante, il suffit au pirate d’envoyer un élément portant le nom de l’app en question pour dérober des données privées au propriétaire de l’appareil.

Le certificat pour cette application infectée a récemment été mis à jour et le serveur C&C a été enregistré il y a peu, ce qui pourrait indiquer que les pirates informatiques ont l’intention de continuer sur leur lancée. Une fois de plus, la prudence est de mise et il faut continuer à télécharger les applications à partir de sources officielles. Toute app provenant d’une tierce partie est à éviter.

Collusion des applications : Nouvelle menace sur mobile

Collusion des applications – Le retard des mises à jour logicielles des applications mobiles offre de nouvelles opportunités pour les cybercriminels.

Le dernier rapport d’Intel Security, intitulé ‘McAfee Labs Threats Report : June 2016’, détaille la tendance de la collusion des applications mobiles, en expliquant comment les cybercriminels manipulent les applications mobiles pour orchestrer des attaques contre les propriétaires de smartphones.

Ce type de comportement a été observé par le McAfee Labs d’Intel Security dans plus de 5 000 versions des 21 applications étudiées, destinées au grand public, tels que le streaming vidéo, la surveillance santé, la planification de voyage, etc. Le constat est alarmant : l’échec des utilisateurs à faire régulièrement des mises à jour essentielles de leurs applications augmente le risque de détournement des smartphones par les cybercriminels à travers les anciennes versions des applis.

Considérée depuis plusieurs années comme une menace théorique, la collusion des applications mobiles tire parti des capacités de communication inter-applicatives inhérentes aux systèmes d’exploitation mobiles. Ces systèmes d’exploitation intègrent de nombreuses méthodes permettant d’isoler des applications au sein de sandbox, de limiter leurs capacités et de contrôler les autorisations à un niveau granulaire. Malheureusement, les plateformes mobiles comprennent également des protocoles documentés permettant aux applications de communiquer entre elles à travers les frontières des sandbox. Dans ce cadre, la collusion des applications peut se servir des capacités de communication inter-applicatives à des fins malveillantes.

Trois types de menaces qui peuvent résulter de la collusion des applications mobiles

Le vol d’informations : une application avec un accès à des informations sensibles ou confidentielles collabore volontairement ou involontairement avec une ou plusieurs autres applications pour envoyer des informations en dehors des limites du dispositif/matériel. Le vol d’argent : une application envoie des informations à une autre qui peut exécuter des transactions financières ou faire un appel API pour parvenir à des objectifs malveillants similaires. L’abus de services : une application contrôle un service système et reçoit des informations ou des commandes à partir d’une ou plusieurs autres applications pour orchestrer une variété d’activités malveillantes.

La collusion applicative mobile requière au moins deux applications pouvant communiquer entre elles. D’un côté, une application qui dispose de la permission d’accéder à une information ou à un service restreint et de l’autre côté, une application sans cette autorisation, mais qui elle bénéficie d’un accès extérieur au dispositif. Les deux applications peuvent potentiellement exposer le smartphone au risque d’une collusion, que ce soit volontairement ou involontairement suite à une fuite de données accidentelle ou à une inclusion d’un kit de développement de logiciels malveillants ou d’une bibliothèque de malwares. Ces applications peuvent utiliser un espace partagé (fichiers lisibles par tous) pour échanger des informations sur les privilèges accordés et déterminer lequel est positionné de manière optimale pour servir de point d’entrée aux commandes à distance.

« L’amélioration des méthodes de détection entraîne les cybercriminels à redoubler d’efforts en matière de fraude », déclare Vincent Weafer, Vice-Président du McAfee Labs d’Intel Security. « Il n’est pas surprenant de voir qu’ils ont développés de nouvelles ruses pour déjouer la sécurité mobile avec de nouvelles menaces qui tentent de se cacher à la vue des utilisateurs. Notre objectif est de rendre l’ancrage des applications malveillantes au sein des appareils personnels plus difficile. Cela passe notamment par le développement d’outils et de techniques plus intelligents en mesure de détecter la collusion des applications mobiles. »

Le rapport ‘McAfee Labs Threats Report : June 2016’ s’inscrit dans une démarche proactive visant à développer de nouveaux outils et à automatiser les outils existants pour détecter toute collusion inhérente aux applications mobiles. Une fois identifiée, cette nouvelle typologie de menace peut être bloquée en s’appuyant sur des technologies de sécurité mobile. Afin de minimiser le risque et l’impact de la collusion, l’étude encourage les utilisateurs à adopter une approche plus consciencieuse. Cela implique notamment que l’usager se soucie de télécharger des applications uniquement depuis des sources fiables, en évitant celles intégrant de la publicité, et surtout de maintenir le système d’exploitation et le logiciel applicatif à jour.

Les principales tendances recensées au 1er trimestre en matière de menaces

Ransomware. Le nombre de nouveaux échantillons de ransomwares a augmenté de 24 % ce trimestre en raison de l’arrivée continue de nouveaux cybercriminels peu qualifiés dans ce domaine. Cette tendance est le résultat de l’adoption généralisée des kits d’exploitation pour le déploiement de logiciels malveillants.

Mobile. Les nouveaux échantillons de logiciels malveillants sur mobile ont augmenté de 17 % sur le trimestre par rapport au trimestre précédent. En un an, le nombre d’échantillons de logiciels malveillants sur mobiles a augmenté de 113 %, à raison d’une hausse de 23 % d’un trimestre à l’autre.

Mac OS malware. Les logiciels malveillants ciblant l’OS de Mac ont augmenté rapidement au premier trimestre, principalement en raison d’une augmentation de l’adware VSearch. Bien que le nombre absolu d’échantillons à destination de Mac OS demeure encore faible, son volume a augmenté de 68 % par rapport au trimestre précédent et de 559 % en un an.

Macro malware. Cette menace poursuit la croissance amorcée en 2015, avec une augmentation de 42 % par rapport au trimestre passé. Une nouvelle version de macro malware continue d’attaquer les réseaux d’entreprise principalement via des campagnes de spams sophistiquées qui tirent profit de l’information recueillie grâce à l’ingénierie sociale pour paraître légitime.

Gamut botnet. Le botnet Gamut s’est avéré être le botnet de spam le plus productif au premier trimestre, augmentant son volume de près de 50 %. Les campagnes de spam les plus courantes font l’éloge de solutions miracles pour devenir riche ou pour perdre du poids rapidement. Kelihos, le botnet le plus prolifique au cours du dernier trimestre 2015 est relayé à la quatrième place au premier trimestre 2016.

Le cheval de Troie : Pinkslipbot. Également connu sous le nom Qakbot, Akbot ou QBOT, ce cheval de Troie, lancé en 2007, fait partie des logiciels malveillants les plus nuisibles en mesure de subtiliser des informations d’identification bancaire, des mots de passe, des mails et des certificats numériques. Il a fait son retour en 2015 renforcé de fonctionnalités de contre-analyse et de capacités de chiffrement multicouches lui permettant de contrecarrer les efforts des chercheurs pour le disséquer et l’annihiler. Le rapport précise également son mécanisme d’exfiltration des données ainsi que sa capacité de mise à jour automatique.

Vulnérables aux cyberattaques les entreprises ?

Vulnérables aux cyberattaques – RSA, la division sécurité d’EMC, a publié les résultats de sa seconde édition de l’étude Cybersecurity Poverty Index, révélant que les entreprises qui investissent dans les technologies de détection et d’intervention sont plus en mesure de se défendre contre les cyber-incidents contrairement aux solutions basées sur des périmètres spécifiques. Celle-ci a été menée auprès de 878 répondants (deux fois plus que l’année dernière), dans 81 pays et 24 industries.

Vulnérables aux cyberattaques les entreprises ? Le rapport souligne que pour la seconde année consécutive, 75% des entreprises estiment être exposées à des risques conséquents en matière de cybersécurité ; les entreprises qui déclarent rencontrer plus de problèmes de sécurité sont 65% plus susceptibles d’être compétentes en matière de cybersécurité ; le nombre d’entreprises ayant déclaré de meilleures capacités de cyberdéfense a augmenté de plus de la moitié sur l’indice précédent, passant de 4,9 % à 7,4%.

La moitié des personnes interrogées évaluent leurs capacités de réponse aux incidents comme « ad hoc » ou « inexistantes » ; les organisations moins matures continuent d’utiliser par erreur des solutions basées sur des paramètres spécifiques afin d’empêcher de nouveaux incidents ; le Gouvernement et le secteur de l’Energie se classent parmi les derniers en matière de cyberdéfense ; l’Amérique est à nouveau derrière les régions APAC et EMEA en ce qui concerne son niveau de maturité en cybersécurité.

Également, beaucoup d’entreprises reconnaissent avoir tendance à entreprendre des investissements en matière de cybersécurité après avoir rencontré des incidents. Cependant, les résultats de cette étude démontrent que les organisations qui traitent régulièrement d’incidents de sécurité se protègent plus rapidement et de manière plus efficace.

Les entreprises doivent mettre en place des stratégies de prévention et prioriser les actions de détections et d’interventions. Amit Yoran, Président de RSA, souligne : « La seconde édition du Cybersecurity Poverty Index prouve à quel point les organisations de toutes tailles et de tous secteurs à travers le monde se sentent mal préparées face aux menaces actuelles. Nous devons changer la façon dont nous pensons la sécurité et se concentrer sur la prévention. Les entreprises doivent agir de façon proactive en élaborant des stratégies globales en amont des incidents. »

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile