BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, VPN

Les attaques « Man In the Cloud » exploitent les principaux services de synchronisation de fichiers

Les attaques de dernière génération transforment facilement les services cloud les plus communément utilisés en outils d’attaque dévastateurs.

Imperva, Inc., société spécialisée dans la protection des données critiques des entreprises et des applications sur site et dans le cloud, publie son nouveau rapport d’information sur les hackers portant sur une nouvelle forme d’attaque : « Man in the Cloud Attacks » ou MTIC (en anglais).

Avec « Man in the Cloud » (MITC), un hacker parvient à s’introduire discrètement dans les services de synchronisation de fichiers les plus communément utilisés, tels que Google Drive et Dropbox, pour les transformer en outils d’attaque dévastateurs, que les mesures de sécurité usuelles parviennent difficilement à détecter. Le rapport souligne que cette attaque de dernière génération n’implique pas l’usurpation du compte ou du mot de passe cloud des utilisateurs.

Les services de synchronisation cloud, tels que Box, Dropbox, Google Drive et Microsoft OneDrive, peuvent être facilement exploités et transformés en infrastructure visant à compromettre les points d’accès, en offrant un canal pour les communications de commande et contrôle, l’exfiltration des données et l’accès à distance.

Des attaques basées sur cette architecture ont déjà été identifiées
Les mesures de sécurité au niveau des points d’accès et du périmètre réseau sont insuffisantes pour la détection et l’atténuation de cette menace, car aucun code malveillant n’est stocké sur le point d’accès et aucun canal de trafic sortant anormal n’apparaît sur le réseau. Les organisations doivent consacrer davantage d’efforts à la surveillance et à la protection de leurs ressources de données critiques d’entreprise, dans le cloud et sur site. En détectant les comportements d’accès abusif à ces ressources, les entreprises peuvent se protéger contre cette nouvelle génération d’intrusions.

« Notre étude met simplement au grand jour à quel point il est facile pour les cybercriminels d’utiliser des comptes de synchronisation cloud et à quel point il est difficile de détecter ce nouveau type d’attaque, et d’y résister », indique Amichai Shulman, directeur de la technologie chez Imperva. « Depuis que nous avons identifié l’existence des attaques MITC, nous savons que les organisations qui protègent leurs systèmes contre les infections à l’aide d’outils de détection de code malveillant ou de détection des communications de commande et contrôle font face à de sérieux risques, les attaques MITC utilisant l’infrastructure de partage et de synchronisation des fichiers d’entreprise existante pour les communications de commande et contrôle, et l’exfiltration des données. »

En raison de l’utilisation croissante des appareils mobiles, des tablettes, des VPN, de l’accès à distance et des applications SaaS, les données sont désormais stockées dans le cloud, dans un périmètre qui s’étend au-delà des frontières traditionnellement définies par les entreprises. Ce passage au cloud, qu’il concerne des particuliers ou des entreprises, est bien illustré par le recours aux services de synchronisation de fichiers. L’utilisation de Box, Dropbox, Google Drive et Microsoft OneDrive dans un environnement professionnel souligne l’importance des conclusions de cette étude.

Les entreprises ont la possibilité de se protéger contre les attaques MITC en adoptant une approche en deux temps. D’une part, elles doivent s’appuyer sur une solution de courtage d’accès au service cloud (CASB, Cloud Access Security Broker) qui surveille l’accès et l’utilisation de leurs services cloud d’entreprise. D’autre part, les organisations peuvent déployer des contrôles, tels que des solutions de surveillance de l’activité des données (DAM, Data Activity Monitoring) et de surveillance de l’activité des fichiers (FAM, File Activity Monitoring), au niveau de leurs ressources de données d’entreprise pour identifier l’accès anormal et abusif aux données critiques.

Le centre de défense des applications (ADC, Application Defense Center) d’Imperva est le premier organisme de recherche consacré à l’analyse de la sécurité, à la détection des vulnérabilités et à l’expertise en matière de mise en conformité. Cette cellule allie tests approfondis en laboratoire et tests pratiques en environnement réel pour améliorer les produits d’Imperva, le tout grâce à une technologie avancée dédiée à la sécurité des données, dans le but d’offrir une protection optimale contre les menaces et une automatisation de la mise en conformité inégalée. L’équipe réalise régulièrement des études sur l’évolution du paysage des menaces, notamment le rapport consacré à son initiative d’information sur les hackers et le rapport sur les attaques visant les applications Web. La version intégrale de ce rapport du mois d’août.

Android, Cybersécurité, Logiciels, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie

0day pour Dolphin et Mercury sous Android

Un chercheur en sécurité informatique conseille aux utilisateurs des navigateurs Dolphin et Mercury de passer sous un butineur web. Des failles 0Day découvertes.

Un chercheur connu sous le pseudonyme de Rot logix a annoncé la découverte de plusieurs 0day, failles non publiques, visant les navigateurs web Dolphin et Mercury. Des navigateurs pour Android. Rotlogix indique qu’il est fortement conseillé de basculer vers d’autres applications en attendant les corrections. Selon Google Play, plus de 50 millions d’internautes utilisent Dolphin Browser ; entre 500 000 et 1 million d’installations pour Mercury.

Les attaques pourraient être profitables à un malveillant, via un Mitm, l’attaque dite de l’homme du milieu. En gros, il y a vous, le pirate et l’espace numérique que vous souhaitez visiter. Le pirate pouvant ainsi intervenir sur les données passant par votre connexion.

La faille est liée à une fonction qui permet aux utilisateurs de télécharger et d’appliquer des thèmes pour les navigateurs web. Les thèmes sont téléchargés en HTTP. Un pirate pourrait en profiter pour injecter son code malveillant. En Mars 2015, des chercheurs de chez Versprite avaient mis à jour des failles dans la version 3.0 de Mercury.

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, Piratage, Sauvegarde

Aux USA, les entreprises qui fuitent peuvent être poursuivies

Une cour fédérale américaine confirme que la Federal Trade Commission peut dorénavant prendre des mesures contre les entreprises qui ne parviennent pas à protéger les données de leurs clients.

Une cour d’appel américaine a statué ce lundi 24 août que dorénavant, la Federal Trade Commission peut prendre des mesures contre les entreprises qui ne protègent pas correctement les données de leurs clients.

Tout est parti de l’affaire des Hôtels du groupe Wyndham. Trois violations de données, entre 2008 et 2009 occasionnant 10,6 millions de dollars de fraudes. Le groupe hôtelier avait fait appel de la décision du tribunal. Il contestait la compétence de la FTC.

La décision du tribunal d’appel vient donc de tomber, confirmant la première décision. En bonus, la cour d’appel suggère que la FTC peut dorénavant tenir les entreprises responsables en cas de problème de sécurité informatique occasionnant une fuite de données.

En France, et en Europe, les internautes sont toujours en attente d’une application législative définitive qui obligera les entreprises à mieux protéger nos données et à alerter les clients maltraités. Des rumeurs font état que la France va accélérer le mouvement d’ici la fin de l’année. Il serait peut-être temps !

Android, Cyber-attaque, Cybersécurité, Piratage, Smartphone

La batterie de votre téléphone, plus vicieuse que prévue

A la base, une batterie de téléphone portable a pour mission de stocker de l’énergie qui fera fonctionner votre précieux. Des chercheurs découvrent que la pile est capable de vous identifier.

Big Brother semble se cacher un peu partout, aujourd’hui, dans notre vie. Des chercheurs l’Université Catholique de Louvain (KULeuven), en Belgique, ont découvert comment la batterie de votre smartphone est capable de vous identifier. Le mouchard utilise l’API baptisé « battery status » proposé dans le HTML5. A la base, ce « code » permet de connaitre l’état de la batterie de votre ordiphone quand vous visitez un site web. Si votre batterie est trop faible, le site web peut passer en mode « léger » et vous permettre de continuer à surfer.

Quatre chercheurs de la Katholieke Universiteit Leuven et de l’INRIA estiment que cette possibilité technique permet aussi de tracer et découvrir l’identité du visiteur du site Internet utilisateur du « battery status« .

L’application est supportée par Firefox, Chrome et Opéra. Il suffit à l’espion de coupler la durée d’énergie encore présente, en seconde, de la batterie et le pourcentage de cette charge pour en sortir une identification, soit 14 millions de possibilités. Suffisant pour suivre un internaute à la trace. La possibilité existerait aussi pour les ordinateurs portables.

Adobe, Android, BYOD, Cloud, cryptolocker, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, ios, Leak, Logiciels, Mise à jour, OS X, Patch, Piratage, ransomware, Sécurité, Smartphone, Virus, VPN, Windows phone, Wordpress, Wordpress

État des lieux de l’Internet du 2ème trimestre 2015

Akamai Technologies, Inc., leader mondial des services de réseau de diffusion de contenu (CDN), annonce la disponibilité de son rapport de sécurité « État les lieux de l’Internet » du 2ème trimestre 2015. Il livre une analyse et un éclairage sur les cyber-menaces qui pèsent sur la sécurité cloud à l’échelle mondiale.

« La menace des attaques par déni de service distribué (DDoS) et applicatives web ne cesse de s’intensifier chaque trimestre », précise John Summers, vice-président, Cloud Security Business Unit d’Akamai. « Les acteurs malveillants brouillent perpétuellement la donne en changeant de tactique, en dénichant de nouvelles vulnérabilités, voire en remettant au goût du jour des techniques considérées comme obsolètes. En analysant les attaques observées sur nos réseaux, nous sommes en mesure d’inventorier les menaces et tendances naissantes et de communiquer au public les informations indispensables à la consolidation de leurs réseaux, sites web et applications, et à l’amélioration de leurs profils de sécurité cloud. »

Dans ce rapport sont analysés deux vecteurs d’attaques applicatives web supplémentaires, mais aussi examiné les menaces représentées par le trafic TOR (routage en oignon) et même mis au jour certaines vulnérabilités dans des modules externes WordPress tiers, en cours de publication dans le dictionnaire CVE », ajoute-t-il. « Plus les menaces de cybersécurité sont documentées, mieux la défense d’une entreprise peut être opérée.

Panorama de l’activité des attaques DDoS
Sur les trois derniers trimestres, il apparaît que le nombre d’attaques DDoS double d’une année sur l’autre. Si, au cours de ce trimestre, les pirates ont privilégié les attaques de moindre débit mais de plus longue durée, toujours est-il que le nombre de méga-attaques ne cesse de croître. Au 2ème trimestre 2015, 12 attaques à un débit supérieur à 100 Gb/s ont été recensées et 5 autres culminant à plus de 50 Mp/s (millions de paquets par seconde). Très peu d’entreprises sont capables de résister par elles-mêmes à des attaques de cette ampleur.

L’attaque DDoS la plus massive au 2ème trimestre 2015, mesurée à plus de 240 Gb/s, a duré plus de 13 heures. Le débit crête est généralement limité à une fenêtre d’une à deux heures. Sur cette même période, l’une des attaques présentant le débit de paquets le plus élevé jamais encore enregistré sur le réseau Prolexic Routed a également été déclenchée (à un pic de 214 Mp/s). Ce volume d’attaques est capable de paralyser des routeurs de niveau 1 comme ceux utilisés par les fournisseurs d’accès Internet.

L’activité des attaques DDoS a établi un nouveau record au 2ème trimestre 2015, en hausse de 132 % à trimestre comparable un an auparavant, et de 7 % par rapport au 1er trimestre 2015. Si le débit crête et le volume maximal moyens des attaques ont légèrement progressé au 2ème trimestre 2015 comparativement au trimestre précédent, ils demeurent nettement en-deçà des valeurs maximales relevées au deuxième trimestre 2014.

SYN et SSDP (Simple Service Discovery Protocol) sont les vecteurs les plus couramment utilisés ce trimestre, chacun d’eux représentant approximativement 16 % du trafic d’attaques DDoS. Eu égard à la prolifération d’équipements électroniques de loisirs non sécurisés, connectés à Internet via le protocole UPuP (Universal Plug & Play), leur utilisation comme réflecteurs SSDP demeure attrayante. Quasiment inexistant il y a encore un an, le SSDP s’est imposé comme l’un des principaux vecteurs d’attaques ces trois derniers trimestres. Quant à la technique par saturation de type « SYN flood », elle continue à dominer les attaques volumétriques et ce, depuis la première édition du rapport de sécurité parue au troisième trimestre 2011.

Le secteur des jeux en ligne demeure une cible privilégiée depuis le 2ème trimestre 2014, systématiquement visé par environ 35 % des attaques DDoS. Au cours des deux derniers trimestres, la majorité du trafic d’attaques ne provenant pas d’adresses usurpées a continué à émaner de la Chine, pays qui figure dans le trio de tête depuis la parution du premier rapport au troisième trimestre 2011.

Activité des attaques applicatives web
Des statistiques sur les attaques applicatives web ont commencé à être publiées par Akamai au premier trimestre 2015. Ce trimestre, deux autres vecteurs d’attaques ont été analysés : les failles Shellshock et XSS (cross-site scripting).

Shellshock, vulnérabilité logicielle présente dans Bash mise au jour en septembre 2014, a été exploitée dans 49 % des attaques applicatives web ce trimestre. En réalité, 95 % des attaques Shellshock ont visé un seul client appartenant au secteur des services financiers, dans le cadre d’une campagne qui a duré plusieurs semaines en début de trimestre. Généralement menée sur HTTPS, cette campagne a rééquilibré l’utilisation des protocoles HTTPS et HTTP. Au premier trimestre 2015 en effet, seulement 9 % des attaques avaient été dirigées sur HTTPS, contre 56 % ce trimestre.

Par ailleurs, les attaques par injection SQL (SQLi) représentent 26 % de l’ensemble des attaques, soit une progression de plus de 75% des alertes de ce type rien qu’au deuxième trimestre. À l’inverse, les attaques de type LFI (inclusion de fichier local) s’inscrivent en net recul. Principal vecteur d’attaques applicatives web au premier trimestre 2015, LFI n’est plus à l’origine que de 18 % des alertes au deuxième trimestre 2015. L’inclusion de fichier distant (RFI), l’injection PHP (PHPi), l’injection de commandes (CMDi), l’injection OGNL Java (JAVAi) et le chargement de fichier malveillant (MFU) comptent, pour leur part, pour 7 % des attaques applicatives web.

Comme au premier trimestre 2015, ce sont les secteurs des services financiers et du commerce et de la grande distribution qui ont été les plus fréquemment touchés par les attaques.

La menace des modules externes et thèmes WordPress tiers
WordPress, plate-forme la plus en vogue dans le monde pour la création de sites web et de blogues, est une cible de choix pour des pirates qui s’attachent à exploiter des centaines de vulnérabilités connues pour créer des botnets, disséminer des logiciels malveillants et lancer des campagnes DDoS.

Le code des modules externes tiers est très peu, voire nullement, contrôlé. Afin de mieux cerner les menaces, Akamai a testé plus de 1 300 modules externes et thèmes parmi les plus répandus. Résultat : 25 d’entre eux présentaient au moins une vulnérabilité nouvelle. Dans certains cas, ils en comprenaient même plusieurs puisque 49 exploits potentiels ont été relevés au total. Une liste exhaustive des vulnérabilités mises au jour figure dans le rapport, accompagnée de recommandations pour sécuriser les installations WordPress.

Les forces et les faiblesses de TOR
Le projet TOR (The Onion Router, pour « routage en oignon ») fait en sorte que le nœud d’entrée ne soit pas identique au nœud de sortie, garantissant ainsi l’anonymat des utilisateurs. Bien que nombre des utilisations de TOR soient légitimes, son anonymat présente de l’intérêt pour les acteurs malveillants. Pour évaluer les risques liés à l’autorisation de trafic TOR à destination de sites web, Akamai a analysé ce trafic web à l’échelle de sa base de clients Kona sur une période de sept jours.

L’analyse a révélé que 99 % des attaques émanaient d’adresses IP non-TOR. Néanmoins, une requête sur 380 issues de nœuds de sortie TOR était malveillante, contre une sur 11 500 seulement en provenance d’adresses IP non-TOR. Ceci dit, le blocage de trafic TOR pourrait se révéler préjudiciable sur le plan économique. Toutefois, les requêtes HTTP légitimes vers les pages d’e-commerce correspondantes font état de taux de conversion équivalents entre nœuds de sortie TOR et adresses IP non-TOR. Le rapport.

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Patch, Piratage

Un rapport IBM X-Force dévoile une utilisation accrue de Tor et une évolution des attaques avec rançon

IBM Sécurité annonce les résultats de son rapport Q3 2015 IBM X-Force Threat Intelligence.

Ce rapport dévoile les dangers grandissants provoqués par les cyber-attaques provenant du Dark Web à travers l’utilisation du réseau Tor (The Onion Router), ainsi que les nouvelles techniques mises en place par les criminels pour les attaques avec rançon. Rien que depuis le début de l’année,  plus de 150 000 événements malveillants provenant de Tor ont eu lieu aux États-Unis.

Même si on entend davantage parler des fuites de données que des demandes de rançon, les « ransomware » représentent une menace grandissante. Comme la sophistication des menaces et des attaquants croît, leur cible fait de même, et ainsi certains attaquants se sont par exemple spécialisés dans la demande de rançon concernant les fichiers de joueurs de jeux en lignes populaires. Le rapport dévoile que les agresseurs peuvent maintenant également bénéficier de « Ransomware as a Service » en achetant des outils conçus pour déployer de telles attaques.

Comme les hauts fonds des océans, le Dark Web demeure largement inconnu et inexploré, et il héberge des prédateurs. L’expérience récente de l’équipe IBM Managed Security Services (IBM MSS) montre que les criminels et d’autres organisations spécialisées dans les menaces utilisent Tor, qui permet d’anonymiser les communications aussi bien en tant que vecteur d’attaques que d’infrastructure, pour commander et contrôler les botnets. La façon dont Tor masque le cheminement offre des protections supplémentaires aux attaquants en les rendant anonymes. Ils peuvent aussi masquer la location physique de l’origine de l’attaque,  et même la remplacer par une autre de leur choix. Le rapport étudie également Tor lui-même, et fournit des détails techniques permettant de protéger les réseaux contre les menaces, intentionnelles ou non, véhiculées par Tor.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Social engineering

L’importance d’identifier ses données sensibles

Une récente étude conduite par le Ponemon Institute révèle que 64% des professionnels de l’IT déclarent que leur principal défi en matière de sécurité est de ne pas savoir où se trouvent les données sensibles de leur organisation sur site et dans le cloud. Ils estiment en effet que cette tâche est d’autant plus difficile qu’ils ne sont pas non plus en mesure de déterminer si ces données sont vulnérables à une attaque ou une faille de sécurité. Par Jean-François Pruvot, Regional Director France chez CyberArk pour DataSecurityBreach.fr.

La gestion et la sécurisation efficaces des données sensibles passent par la mise en place de comptes administratifs ou individuels privilégiés pour surveiller et contrôler les accès – quel que soit l’emplacement des données. En effet, les organisations possèdent en moyenne trois à quatre fois plus de comptes à hauts pouvoirs que d’utilisateurs, ce qui rend les comptes à privilèges plus compliqués à gérer et à identifier. Ces derniers sont souvent utilisés par des cyber attaquants pour gagner l’accès au réseau d’une organisation et attaquer insidieusement le cœur de l’entreprise en visant les données et systèmes sensibles. Les hackers se déplacent latéralement à l’intérieur de l’entreprise tout en élevant les privilèges leur donnant accès à l’ensemble du réseau, et peuvent rester virtuellement non détectés pendant de très longues périodes.

Par conséquent, si la majorité des équipes IT ne parviennent pas à tracer les mouvements de leurs données, et n’ont pas non plus suffisamment de visibilité sur les comptes administrateurs permettant d’y accéder, il est indispensable de mettre en place les outils nécessaires pour identifier rapidement les personnes ou machines qui accèdent aux données sensibles – et l’utilisation qui en est faite – pour protéger et renforcer l’efficacité des stratégies de sécurité. « Le fait que 64% des professionnels de l’IT ne pensent pas être capables d’identifier l’emplacement des données sensibles de leur organisation démontre des faiblesses dans les systèmes de protection. Un tel constat confirme la nécessité de sensibiliser les organisations sur le renforcement des mesures de contrôle pour sécuriser l’accès aux données et adhérer à des politiques de sécurité strictes. Avant d’envisager le déploiement de solutions de sécurité, il est essentiel de mettre en place une stratégie dédiée à la gestion de ces données – et en particulier des solutions permettant de mieux gérer, surveiller et contrôler les accès. Que ce soit sur site ou dans le cloud, les entreprises doivent savoir ce qu’elles sécurisent à tout moment et quelles que soient les actions en cours sur les infrastructures afin de protéger ce que de potentiels hackers peuvent dérober. »

Un programme stratégique de sécurisation des comptes à privilèges commence par l’identification de l’emplacement des comptes à hauts pouvoirs et identifiants associés. Sont inclus les comptes administrateurs des machines et postes de travail de l’entreprise, ainsi que les identifiants qui permettent la communication entre applications et entre machines. Les organisations doivent mettre en place les fondements de base de la sécurité incluant des patchs, la mise à jour régulière des systèmes et la rotation fréquente des mots de passe. Sans une vigilance accrue de leur gestion, une personne extérieure, ou un employé n’étant pas censé intervenir sur ces comptes dans le cadre de ses fonctions, pourrait accéder aux données de l’entreprise et en compromettre la sécurité de manière accidentelle ou malveillante.

Ainsi, afin de réduire au maximum les risques de vol ou de pertes de données, l’identification et la cartographie des données est indispensable pour élaborer une stratégie de sécurité parfaitement adaptée aux contraintes de sécurité liées à l’accès au réseau des organisations, et particulièrement dans les environnements virtualisés. Par conséquent, de même qu’on règle son rétroviseur et qu’on attache sa ceinture avant de prendre le volant, les organisations doivent avoir une visibilité complète de leurs données, de leur emplacement et contrôler qui accède aux informations où et quand, afin de les sécuriser de la manière la plus adaptée ; elles peuvent ainsi se prémunir contre les attaques et les infiltrations insidieuses dans leurs systèmes, que les données soient stockées sur site ou dans le cloud.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Leak, Mise à jour, OS X, Patch, Piratage, Social engineering, Virus

La sophistication et le dynamisme des cyber-attaques au cœur de la course à l’innovation des pirates et professionnels de la sécurité

Un commentaire

Comme chaque année, Cisco publie son Rapport semestriel 2015 sur la sécurité et dévoile son analyse des menaces et tendances en matière de cyber sécurité. Il révèle la nécessité absolue pour les entreprises de réduire les temps de détection (TTD), afin de contrer les attaques sophistiquées perpétrées par des pirates particulièrement motivés. Le kit d’exploits Angler est le type même de menaces auxquelles seront confrontées les entreprises. La multiplication des vecteurs d’attaques innovants et des opportunités de monétisation sont exploités par les hackers, à la faveur de l’essor de l’économie numérique et de l’Internet of Everything.

Les nouveaux risques associés à Flash, l’évolution des ransomwares et les campagnes de malwares de plus en plus dynamiques, tels que Dridex, augmentent la nécessité de réduire les temps de détection. Avec la digitalisation des entreprises et l’avènement de l’IoE (Internet of Everything), les malwares et autres menaces se font de plus en plus omniprésents. Cette situation ne manque pas de soulever des inquiétudes quant à la durée des temps de détection, actuellement compris entre 100 et 200 jours, d’après les estimations des professionnels de la sécurité. À titre de comparaison, le temps de détection moyen des solutions AMP (Advanced Malware Protection) de Cisco est de 46 heures, grâce à l’analyse rétrospective des attaques.

Le rapport souligne l’importance pour les entreprises, de privilégier le déploiement de solutions intégrées ainsi que le recours à des fournisseurs de services de sécurité à des fins d’orientation et d’évaluation. Par ailleurs, les géopoliticiens notent l’urgence de définir un cadre mondial de cybergouvernance afin de soutenir la croissance économique.

Angler, des assaillants tapis dans l’ombre pour mieux frapper – Grâce à l’exploitation de la vulnérabilité des solutions Flash, Java, Internet Explorer et Silverlight, Angler est actuellement l’un des kits d’exploits les plus sophistiqués et les plus largement utilisés. Le kit excelle également à passer au travers des détections en utilisant, en autres techniques : le « domain shadowing ».

Dridex, des campagnes en constante évolution – Les créateurs de ces campagnes de malwares en perpétuelle mutation ont bien compris comment échapper aux systèmes de sécurité. Pour mieux passer à travers les mailles du filet, les assaillants s’empressent de modifier le contenu des e-mails, noms d’utilisateurs, pièces jointes ou contacts, et de lancer de nouvelles campagnes, obligeant ainsi les systèmes anti-virus traditionnels à remettre à jour leur base de données afin de les détecter.

Flash is Back – Les exploits utilisant les vulnérabilités d’Adobe Flash intégrés dans les kits d’exploits Angler et Nuclear ont également le vent en poupe. Ce succès tient en partie au manque de solutions de correctifs automatiques, ainsi qu’à la négligence des utilisateurs qui n’effectuent pas immédiatement les mises à jour. Au cours du premier semestre 2015, le nombre de vulnérabilités Adobe Flash Player signalées par le système CVE (Common Vulnerabilities and Exposure) a augmenté de 66 % par rapport aux chiffres de 2014. À ce rythme, Flash est en passe d’établir un record absolu du nombre de signalements CVE pour l’année 2015.

L’évolution des ransomwares – Les ransomwares demeurent des solutions particulièrement lucratives pour les hackers qui ne se lassent pas d’en développer de nouvelles variantes. Les opérations de ransomware se sont tellement perfectionnées qu’elles sont aujourd’hui totalement automatisées et contrôlées depuis le Dark Web. Afin de soustraire les transactions à la loi, les rançons sont payées en monnaie virtuelle, telle que le bitcoin.

La nécessité d’une mobilisation générale

L’accélération de la course à l’innovation entre assaillants et éditeurs de solutions de sécurité expose les entreprises et utilisateurs finaux à un risque croissant. Les éditeurs doivent veiller à développer des solutions de sécurité intégrées permettant aux entreprises de se montrer proactives et d’associer professionnels, process et technologies de manière judicieuse.

Un cadre de cybergouvernance mondiale – À l’heure actuelle, la cybergouvernance mondiale ne dispose pas des outils nécessaires lui permettant de faire face aux menaces émergentes ou aux enjeux géopolitiques. La question des frontières, expose la problématique pour les états de collecter et de partager des données sur les entreprises et les citoyens entre différentes juridictions. Ceci constitue un obstacle de taille à la mise en place d’un système de cybergouvernance cohérent, dans un monde où la coopération est limitée. Afin de soutenir la croissance économique des entreprises et leurs efforts d’innovation, il est nécessaire d’instaurer un cadre de cybergouvernance multipartite et collaboratif au niveau mondial. De l’importance d’une transparence des éditeurs – Il est indispensable pour les entreprises de demander aux éditeurs une pleine transparence dans tous les aspects du développement de leurs produits de sécurité, et ce depuis la chaîne logistique et pendant toute la durée de déploiement de ces derniers.

Télécharger un exemplaire du Rapport semestriel Cisco 2015 sur la sécurité.

Banque, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données

Les employés en vacances posent-ils un risque pour la sécurité des données d’entreprise ?

Beaucoup d’employés ont du mal à déconnecter pendant leurs congés. En dehors des accès via des connexions parfois non protégées, la perte ou le vol d’un terminal peuvent porter préjudice à la sécurité des données de l’entreprise. Comment en optimiser la protection ? Par Xavier Dreux, Responsable Marketing chez Prim’X

Comme DataSecurityBreach.fr vous le prouvait en 2013, un trop grand nombre d’employés utilisent encore de trop leurs données professionnelles durant leurs vacances. Nous sommes au milieu des congés estivaux et comme chaque année beaucoup de dirigeants et cadre d’entreprises ont du mal à déconnecter. Certains continueront à se connecter à distance à leur messagerie et ou aux serveurs de leur entreprise, d’autres emmèneront tout simplement leur portable sur leur lieu de vacances « au cas où » sans penser ou en sous-estimant les conséquences que cela peut avoir pour la sécurité des données de leur entreprise. Plusieurs solutions s’offrent néanmoins à l’entreprise pour garantir la protection de ses données.

Les fondamentaux

Premièrement, il peut paraître utile de rappeler aux employés et notamment aux cadres que les vacances servent à déconnecter et à se couper avec le stress du quotidien pendant plusieurs jours. En effet, si l’on en croit les résultats d’une étude menée par Roambi et Zebaz, 93% des cadres dirigeants français consultent leurs données professionnelles durant leurs vacances.

Il paraît plus que pertinent d’un point de vue gestion des ressources humaines de transmettre les fondamentaux et d’inciter les employés à gérer leur absence avec les collègues qui resteront présents. Faire une passation de dossiers et prévoir un « testament » avec les points à suivre et les coordonnées des personnes capables d’apporter un soutient en cas d’urgence est déjà un bon début pour partir serein et couper le cordon. Certaines entreprises commencent également à prendre des mesures drastiques d’un point de vue technique en coupant tout simplement les accès des employés pendant la durée de leur absence.

Sensibiliser aux risques

Nous le rappelons constamment chez DataSecuritybreach.fr, le maillon faible de la sécurité c’est l’humain. La sensibilisation doit être renouvelée régulièrement pour être efficace. La période estivale est une excellente opportunité pour transmettre aux salariés une note rappelant quelques-uns des principes de base et les mesures clés pour assurer la sécurité de ses données lorsque l’on est en dehors de l’entreprise.

On peut ainsi souligner les différents risques qui peuvent porter préjudice aux données de l’entreprise : s’assurer que l’on tape le mot de passe de son terminal à l’abri des regard, que la connexion utilisée est sécurisée, ne pas laisser ses terminaux sans surveillance ou les mettre sous clé, etc. Plusieurs actualités ont récemment rappelé les risques liés à l’utilisation des hotspots WiFi publics (gares, aéroports, hôtels, lieux de restauration).

En mars, c’est le magazine Wired qui révélait les risques de sécurité liés à un problème de sécurité des routeurs WiFi utilisés par 8 des 10 plus grandes chaines hôtelières au niveau mondial. En avril, c’est une étude d’Avast Software qui soulignait que 66% des français préfèrent se connecter au Wi-Fi public non sécurisé au risque de perdre leurs données personnelles. Quand on sait que nombre d’employés accèdent à leur messagerie sur le terminal personnel, le risque n’est pas anodin.

Bien entendu les risques de pertes et ou de vols du terminal viennent s’ajouter à celui des connexions. Il est donc opportun de rappeler qu’il faut impérativement protéger son terminal avec un mot de passe adéquat et s’assurer que celui-ci soit à l’abri lorsque vous devez vous en séparer lorsque l’on va à la plage par exemple (coffre fort de chambre, consigne d’hôtel, proches, etc.). Qu’une connexion ne peut se faire sans VPN.

Dans le cadre des meilleures pratiques, c’est à l’entreprise de mettre à disposition de ses salariés et dirigeants des moyens pour protéger leurs terminaux et sécuriser les échanges de données. Sans ce type d’outils, l’employé sera tenté de passer outre les règles de sécurité ou bien de mettre en œuvre des solutions de protection par ses propres moyens, sous réserve qu’il ait été sensibilisé aux problématiques de sécurité. Aucune de ces solutions n’est souhaitable. L’entreprise doit conserver la responsabilité de la sécurité L’important n’est pas uniquement de rester opérationnels mais surtout de ne pas mettre en péril l’entreprise et son patrimoine informationnel. Et comme nous l’avons vu, il existe aujourd’hui plusieurs moyens simples de protéger les données présentes sur un terminal emmené en congé par les professionnels.

Dernier point, savoir se déconnecter pendant ses vacances, une vraie preuve de professionnalisme !

Cyber-attaque, Cybersécurité, Emploi, Entreprise, Justice, loi, Mise à jour, Patch, Piratage, Propriété Industrielle, santé, Virus

Un appareil médical interdit en raison de vulnérabilités numériques

2 commentaires

La Food and Drug administration vient de faire interdire un appareil médical considéré comme dangereux en raison de trop nombreuses vulnérabilités informatiques. Un pirate pourrait manipuler les transfusions à un patient.

La FDA, la Food and Drug administration, l’Agence américaine des produits alimentaires et médicamenteux vient de tirer la sonnette d’alarme au sujet des matériels médicaux face aux pirates informatiques. Pour ce faire entendre, et faire de manière à ce que les constructeurs écoutent avec leurs deux oreilles, la FDA vient de faire interdire le dispositif médical de la société Hospita.

Le matériel incriminé, une pompe à perfusion, l’Hospira Symbiq Infusion System. La FDA encourage « fortement les établissements de soins de santé à changer de matériel, à utiliser des systèmes de perfusion de rechange, et de cesser l’utilisation de ces pompes [celles d’Hospita]. »

La raison de cette interdiction ? Trop de vulnérabilités pourraient être exploitées par des pirates informatiques, et donc mettre en danger les patients. Des failles qui pourraient permettre à un utilisateur non autorisé de contrôler l’appareil et de modifier la perfusion. Délivrer plus ou moins de médicament par exemple.

Une interdiction qui était prévue chez Hospira. Le constructeur avait annoncé en mai 2013 qu’il mettrait à la « retraite » Symbiq, ainsi que d’autres pompes à perfusion. Une mise à la retraite prévue pour la fin 2015.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile