Apple, backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, OS X, Patch, Piratage, Propriété Industrielle, Sauvegarde

Le premier worm pour MAC débarque

2 commentaires

Des chercheurs découvrent comment corrompre le firmware des appareils Apple avec un worm dédié. La fin des MAC ?

Quand vous parlez informatique, les amateurs fortunés d’un MAC vous crieront haut et fort que les machines d’Apple sont infaillibles. Pas de virus, pas de piratage, pas de danger. Bon, il faut aussi admettre que les utilisateurs de MAC sont tellement sûrs de leur fait qu’ils oublient les différents cas ayant visé leur machine, comme ce keylogger indirect caché. Là ou les utilisateurs de MAC avaient plus ou moins raison est que des attaques directes, comme à l’encontre d’un ordinateur sous Windows, il n’en existait pas, du moins d’efficace. A première vue, la découverte de chercheurs américains risque de changer la donne si des pirates se penchent sur le problème.

Trois chercheurs [Xeno Kovah, Trammell Hudson et Corey Kallenberg] ont constaté que plusieurs vulnérabilités connues affectant le firmware de tous les meilleurs fabricants de PC peuvent également frapper le firmware du MAC. Qui plus est, les chercheurs ont conçu un ver, un worm « proof-of-concept », qui permettrait une attaque de firmware afin de se diffuser automatiquement de MacBook à MacBook, sans la nécessité pour eux d’être mis en réseau.

L’année dernière, Kovah et son partenaire Corey Kallenberg ont découvert une série de vulnérabilités de firmware qui touchaient 80% des ordinateurs qu’ils avaient examiné, y compris ceux de Dell, Lenovo, Samsung ou encore HP.

Bien que les fabricants de matériel ont mis en œuvre certaines protections pour éviter la modification sauvage de leur firmware, les chercheurs ont constaté qu’il restait assez simple de contourner les protections et flasher de nouveau le BIOS afin d’implanter un code malveillant. Les chercheurs ont alors décidé de voir si les mêmes vulnérabilités pouvaient s’appliquer à Apple. Ils ont constaté que oui, comme il l’indique dans Wired !

Démonstration du Thunderstrike 2 « firmworm » attendu lors du DEFCON 2015 de Las Vegas, cette semaine.

Argent, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Particuliers, Phishing, Social engineering, spam, Vie privée

Votre adresse mail vaut de l’or

2 commentaires

300.000 adresses électroniques de Belges à 300 dollars. Plus de 1 million de mails de Français pour 400 $. Autant pour 600.000 Suisses. Le business des adresses mails ne connait pas la crise.

Le business du spam va bien, merci pour lui. Des sociétés se sont même spécialisées dans la commercialisation d’adresses électroniques « à haute valeur ajoutée » indique l’un d’eux. Dernier cas en date, la proposition de la « société » chinoise Weng Jiao. 102 pays proposés, plusieurs millions d’adresses électroniques disponibles, classées par régions, professions, …

Plusieurs millions d’adresses électroniques disponibles pour des spams.

Par exemple, 5 millions d’adresses mails « en vrac » coutent 999 dollars chez cet E-mail addresses databases service. L’acheteur souhaite cibler un pays précis, pas de problème : 358.868 adresses électroniques appartenant à des belges coutent 300 dollars. 1.393.935 million de mails made un France, 400 $. Vous visez des Suisses ? 641.143 mails pour 400 dollars.

La plus importante des BDD est celle de l’Allemagne, avec 3.678.748 pourriels possibles. La Russie, 2.006.321. Le Canada, l’Australie et les USA sont proposés à 1.288.691, 1.087.139 et 888.530 adresses à spammer. Le reste des pays, entre 1200 et 40.000 mails sont vendus entre 50 et 120 dollars. Le commerçant propose aussi de quoi envoyer les messages et les preuves de la diffusion.

Ces possibilités ont été volées dans des boutiques en ligne, des forums mal protégés ou par de simple phishing sous forme de faux jeux. L’important pour le vendeur, comme pour l’acheteur, qu’un humain soit bien présent derrière la missive. A noter que certaines arnaques permettent de valider ou non l’adresse. Le bouton/lien « Désinscription » – « Unsubscribe » assure aux vendeurs d’adresses que derrière l’arobase se cache bien un futur spammé. A noter que certains mots clés Google sont particulièrement efficace pour faire ressortir des bases de données mails du moteur de recherche américain. Bref, prudence quand vous vous inscrivez quelque part. Préférez une adresse unique par service, ainsi, en cas de vol/utilisation, il vous suffira de fermer le compte en question.

Argent, Arnaque, Bitcoin, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Logiciels, Paiement en ligne, Particuliers, Piratage, ransomware, Social engineering

TeslaCrypt 2.0 : jeu, chiffre et match

Le ransomware crypteur TeslaCrypt 2.0 travestit son identité pour réclamer une rançon de 500 dollars La plupart des infections par TeslaCrypt se produisent aux Etats-Unis, en Allemagne et en Espagne, suivis de l’Italie, de la France et du Royaume-Uni.

Kaspersky Lab a détecté un comportement curieux dans une nouvelle menace de la famille de ransomwares crypteurs TeslaCrypt. La version 2.0 du cheval de Troie notoirement connu pour infecter les ordinateurs de joueurs affiche en effet dans le navigateur une page HTML qui est une réplique exacte de CryptoWall 3.0, un autre ransomware célèbre. Sans doute les criminels le font-ils avec une intention bien précise : à ce jour, de nombreux fichiers cryptés par CryptoWall n’ont pas pu être décryptés, ce qui n’est pas le cas pour de multiples exemples observés d’infection par TeslaCrypt. Une fois l’infection réussie, le programme malveillant réclame une rançon de 500 dollars/Euros sous forme de bitcoins en échange de la clé de décryptage ; si la victime tarde à obtempérer, le montant de la rançon double.

Les premiers échantillons de TeslaCrypt ont été détectés en février 2015 et ce nouveau cheval de Troie s’est acquis une notoriété immédiate auprès de joueurs sur ordinateurs. Parmi d’autres types de fichiers ciblés, il tente d’infecter des fichiers typiques de l’univers des jeux : parties sauvegardées, profils d’utilisateurs, replays, etc. Cependant, TeslaCrypt ne crypte pas les fichiers dont la taille est supérieure à 268 Mo.

Mécanisme d’infection
Quand TeslaCrypt infecte une nouvelle victime, il génère une adresse Bitcoin distincte pour recevoir le paiement de sa rançon, ainsi qu’une clé secrète permettant de lever le cryptage. Les serveurs de commande C&C de TeslaCrypt se trouvent dans le réseau Tor. La version 2.0 du cheval de Troie utilise deux jeux de clés : l’un est unique au sein d’un système infecté, l’autre est généré à répétition chaque fois que le programme malveillant est relancé dans le système. En outre, la clé secrète servant à crypter les fichiers de l’utilisateur n’est pas enregistrée sur le disque dur, ce qui complique nettement leur décryptage.

Les malwares de la famille TeslaCrypt ont été observés se propageant via les kits d’exploitation de vulnérabilités Angler, Sweet Orange et Nuclear. Dans ce mécanisme de propagation, la victime visite un site Web infecté et le code malveillant exploite des vulnérabilités du navigateur, le plus souvent dans des modules additionnels, pour installer le malware spécialisé sur l’ordinateur cible.

Recommandations aux utilisateurs
·         Effectuez régulièrement des sauvegardes de tous vos fichiers importants. Les copies doivent être conservées sur des supports déconnectés physiquement de l’ordinateur aussitôt la sauvegarde effectuée.

·         Il est vital de mettre à jour vos logiciels à mesure que de nouvelles versions sont disponibles, en particulier votre navigateur et ses modules additionnels.

·         Au cas où un programme malveillant parvient néanmoins à s’infiltrer dans votre système, il sera le plus efficacement contré par la dernière version en date d’une solution de sécurité dont les bases de données sont actualisées et les modules de protection activés.

Cyber-attaque, DDoS, Piratage

DDoS : plus loin, plus fort

Une nouvelle enquête étudie les conséquences des attaques par DDoS et qualifie la réaction des entreprises face aux menaces actuelles.

Corero Network Security, spécialiste des solutions de sécurité contre les attaques par DDoS avec Première Ligne de Défense, publie les résultats d’une enquête menée lors d’Infosecurity en Europe et de la Conférence RSA 2015 aux Etats-Unis. Plus de la moitié des professionnels de la sécurité (52%) déclarent que la perte de confiance des clients est la conséquence la plus néfaste des attaques DDoS pour leurs entreprises. En outre, un cinquième des répondants (22%) indique que les attaques DDoS ont un impact direct sur leurs résultats – perturbant la disponibilité du service et empêchant que l’activité soit génératrice de revenus.

« La capacité d’une entreprise à maintenir la disponibilité du service pendant une attaque DDoS est primordiale pour conserver la clientèle, ainsi que pour gagner de nouveaux clients, sur un marché très concurrentiel », déclare à DataSecurityBreach.fr Dave Larson, CTO et Vice-Président Produits chez Corero Network Security. « Quand un utilisateur final se voit refuser l’accès à des applications Internet ou si des ralentissements le gênent, le résultat financier est immédiatement impacté. »

Un cinquième des personnes interrogées citent l’infection par virus ou par logiciel malveillant comme la conséquence la plus destructrice d’une attaque DDoS, alors que pour 11%, le vol de données ou la perte de propriété intellectuelle résultant d’une attaque DDoS reste le plus préoccupant.  Les attaques par DDoS sont souvent utilisées comme technique de diversion avec une arrière-pensée. Leur intention n’est pas toujours le déni de service. Il s’agit plutôt d’un moyen détourné, destiné à affaiblir les défenses sécuritaires, submerger les outils de logging et distraire les équipes informatiques tandis que diverses formes de malware se faufilent.

Près de la moitié des personnes interrogées admettent n’agir que par réaction aux attaques DDoS. Lorsqu’on leur demande comment elles savent qu’elles ont subi une attaque DDoS, 21% citent comme indicateur de l’attaque les plaintes des clients pour un problème de service, 14% les pannes d’infrastructure (par exemple, lorsqu’un pare-feu tombe), tandis que 14% évoquent les défaillances des applications, tel un site Web en panne pour les alerter qu’un DDoS est en cours. En revanche, moins de la moitié des répondants (46%) est capable de détecter par avance le problème, grâce à l’utilisation d’autres outils de sécurité réseau, remarquant les pics élevés de bande passante, signe avant-coureur qu’une attaque est imminente.

«  C’est malheureux – mais encore bien trop fréquent – que ce soit vos clients qui vous alertent d’une interruption de service. D’un point de vue technique, il est beaucoup plus difficile de faire face à une panne si vous n’êtes pas sur la défensive. La protection en temps réel est réellement le seul moyen pour combattre de manière proactive les attaques DDoS qui ciblent l’entreprise », remarque Dave Larson. « L’utilisation d’un centre de nettoyage hors site pour la mitigation des attaques DDoS revient à jouer au chat et à la souris. Avec 96% des attaques DDoS qui ne dépassent pas les 30 minutes, lorsque la demande de défense est engagée, il est déjà trop tard et les dommages sont faits. »

Environ 50% des personnes qui ont répondu comptent sur les infrastructures informatiques traditionnelles, comme les pare-feu ou les systèmes de prévention contre les intrusions pour se protéger des attaques DDoS ou bien dépendent de leur fournisseur en amont pour faire face aux attaques. Seulement 23% des personnes interrogées ont une protection dédiée contre les DDoS, via une technologie basée sur des appliances sur site ou provenant d’un fournisseur de services cloud anti-DDoS. Il semble cependant que de nombreuses organisations aient pris la mesure des conséquences des attaques DDoS, puisque 32% indiquent qu’elles ont l’intention d’adopter une solution de défense anti-DDoS dédiée pour mieux protéger leur entreprise à l’avenir.

Les attaquants inventent de nouvelles façons d’appliquer la tactique des DDoS et de masquer les logiciels malveillants et autres exploits de vulnérabilité, ce qui montre que le DDoS est un type de menace en mutation que l’entreprise connectée à Internet ne peut pas se permettre de négliger. On ne peut pas décider de compter sur l’infrastructure traditionnelle ou les services en amont pour se protéger contre les fréquentes attaques DDoS de plus en plus sophistiquées. Une technologie dédiée à la protection contre les DDoS, déployée en périphérie immédiate du réseau, ou l’appairage (peering) en mode Internet peut effectivement inspecter tout le trafic Internet et mitiger les attaques DDoS en temps réel, éliminant ainsi la menace sur votre entreprise avant que des dommages ne lui soient infligés.
L’enquête menée par Corero Network Security a étudié l’avis de 100 professionnels de la sécurité informatique présents aux conférences Infosecurity en Europe et RSA aux Etats-Unis. RSA s’est déroulée à San Francisco, en Californie du 20 au 24 Avril 2015 tandis qu’Infosecurity Europe a eu lieu à Londres du 2 au 4 Juin 2015.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Scada

La sécurité informatique au sein des environnements industriels 4.0 : le savoir est la meilleure protection

Avec l’Industrie 4.0, les entreprises du secteur industriel ont accès à l’Internet… mais risquent également d’ouvrir leurs portes aux pirates. La meilleure façon de se protéger des fuites de données et du sabotage est de tirer parti d’informations décisionnelles. Des initiatives comme Shodan et Conpot permettent aux équipes chargées de la sécurité de profiter de grandes quantités de renseignements sur leurs propres vulnérabilités et les méthodes des pirates. Comme le dit notre slogan, chez DataSecurityBreach.fr, s’informer, c’est déjà se sécuriser.

Les sites de production des sociétés industrielles et du secteur de l’énergie ont été relativement à l’abri des attaques au cours des dernières décennies. Les systèmes de contrôle industriel (ICS) les plus répandus tels que les SCADA étaient optimisés pour accroître le rendement, et tenus à l’écart d’Internet (créant ainsi le fameux « Air Gap », ou « lame d’air »). Ils communiquaient à l’aide de protocoles propriétaires tels que Modbus, Profibus, S7comm ou DNP3, et étaient rarement les cibles des cybercriminels.

La situation a changé. L’interconnexion des systèmes de production est la promesse de gains énormes en matière de rendement, ce qui pousse de plus en plus d’entreprises à ouvrir leurs réseaux. Cette approche leur permet de simplifier et de centraliser la gestion de leur système, facilite la fourniture de nouveaux services, et contribue à minimiser les temps d’arrêt liés à l’assistance et à la maintenance, ainsi que leurs coûts.

Connecter des réseaux ICS à Internet présente cependant des menaces réelles. Un pirate parvenant à accéder au réseau peut alors infiltrer l’environnement de production étape par étape. Le logiciel et le matériel propriétaires utilisés ne sont généralement pas intégrés avec les systèmes de sécurité, et sont donc essentiellement non protégés. Selon ses objectifs et ses intentions, le pirate peut commencer à récupérer des données sensibles, manipuler les processus de production ou même saboter l’environnement de production tout entier. Le potentiel de dégâts de ce type d’attaques (prenons l’exemple marquant d’une attaque menée à l’encontre d’une centrale) est évidemment nettement plus élevé que celui d’une attaque MITM (l’interception de communications entre deux parties) contre une entreprise du secteur tertiaire ou autre.

Au commencement, il y eut Stuxnet
Au cours des dernières années, de nombreuses attaques de ce genre ont été enregistrées, Stuxnet en étant l’exemple le plus connu. En 2010, le ver SCADA (qui sans doute a été développé par des organismes gouvernementaux occidentaux) a ainsi saboté le projet de recherche nucléaire iranien. Ce fut le premier logiciel malveillant prouvant (officiellement) que du code informatique pouvait provoquer des dégâts sur des équipements matériels. Depuis, bien d’autres ont été menées à l’encontre de sites industriels, souvent en utilisant des logiciels malveillants créés sur mesure avec des fonctionnalités destinés aux ICS, comme Duqu ou Havex.

L’organe ICS-CERT (géré par le département américain de la Sécurité intérieure, et spécialisée dans la protection des infrastructures critiques) énumère d’ailleurs plusieurs faits inquiétants dans son Rapport pour l’année 2014 : son équipe d’analyse de la sécurité a été consultée dans près de 250 cas afin de participer à l’analyse de cyberattaques lancées sur des cibles critiques. Une grande partie de ces attaques étaient ciblées, les pirates s’infiltrant souvent dans les entreprises par la partie connectée à Internet de leur réseau à l’aide de logiciels malveillants sur mesure. Les cybercriminels utilisent également une grande variété de techniques. Selon l’ICS-CERT, le Spear phishing (une variante de hameçonnage où les employés sont convaincus d’exécuter des logiciels malveillants grâce à des e-mails semblant provenir de leurs supérieurs) reste le vecteur d’attaque le plus populaire. Mais d’autres menaces gagnent aussi en popularité, comme les attaques aux « points d’eau » (« watering hole »), une stratégie consistant à remplacer les mises à jour logicielles sur les sites des éditeurs par des chevaux de Troie, eux aussi taillés sur mesure.

Le BSI répertorie les attaques contre les ICS

L’Office fédéral allemand pour la sécurité des technologies de l’information (BSI) brosse un tableau similaire. Son rapport annuel « État des lieux de la sécurité informatique en Allemagne en 2014 » documente, entre autres, une attaque réussie sur une aciérie allemande. Les pirates ont utilisé les méthodes du Spear Phishing et de l’ingénierie sociale pour accéder au réseau de l’entreprise victime. Ils ont alors infiltré l’environnement de production, où ils ont causé d’énormes dégâts en compromettant plusieurs systèmes de contrôle. Le BSI affirme que les cybercriminels possédaient des connaissances détaillées sur les systèmes de contrôle industriel et les processus de production, en plus de leurs évidentes compétences en informatiques.

L’information est d’une importance cruciale

La guerre cybernétique a donc atteint les sites de production. Cela ne signifie pas nécessairement que le secteur industriel devrait renoncer au potentiel offert par l’interconnectivité, ni même en ralentir la progression. Les services chargés de la sécurité informatique doivent utiliser des systèmes de sécurité existants pour faire en sorte que les réseaux soient connectés à l’Internet de façon sécurisée. Mais pour cela, il leur faut d’abord des informations décisionnelles et détaillées. Ils doivent également connaître les vulnérabilités de leurs réseaux de production, les vecteurs d’attaque et les outils de piratage, ce qui leur permettra d’analyser les attaques, de neutraliser les logiciels malveillants et de réparer les dégâts éventuels.

Les experts en matière de sécurité cherchant à rassembler ces informations peuvent également s’appuyer sur leurs grandes connaissances et leurs réseaux de renseignement établis : d’une certaine façon, les attaques contre les systèmes industriels sont assez similaires aux attaques classiques contre les environnements informatiques des entreprises du tertiaire. Mais, bien que la protection effective de certains systèmes ICS puisse être très étendue, le problème reste que les informations disponibles sont limitées. Heureusement, la situation évolue également à ce niveau. Plusieurs initiatives de sécurité innovantes sont axées sur la protection des milieux industriels, et ont clairement pour principal objectif de fournir aux professionnels de la sécurité les renseignements dont ils ont besoin sur les menaces et les vulnérabilités.

Shodan et honeypot Conpot ICS/SCADA, des initiatives intéressantes

Shodan : le moteur de recherche pour l’IdO
Le moteur de recherche Shodan a été créé par le développeur John Matherly en 2009, permettant ainsi aux utilisateurs de rechercher sur le web une grande variété de systèmes connectés à Internet. Contrairement aux moteurs orientés contenu comme Google, Shodan utilise les scans des ports des adresses IP disponibles, puis recueille et indexe les bannières qu’il reçoit ensuite. Il peut ainsi parcourir le Web à la recherche de serveurs ou de routeurs d’un certain type, ou même de terminaux possédant des adresses IP comme des caméras de sécurité ou des dispositifs médicaux. Les utilisateurs peuvent créer leurs requêtes en utilisant une grande variété d’options de filtrage, par exemple en combinant des noms de fournisseurs, des informations sur des ports, des codes ou des protocoles régionaux afin de trouver des serveurs SCADA dans leur pays. Shodan est donc un bon outil pour localiser les vulnérabilités ou les systèmes mal configurés au sein de votre réseau : si une recherche révèle que l’un des automates ou l’une des IHM sur la plage d’IP de votre entreprise est visible sur Internet, vous savez que l’un de vos systèmes est probablement mal configuré et avez la possibilité de corriger cette erreur. Les vulnérabilités causées par des systèmes non patchés, des ports ouverts ou des mots de passe par défaut inchangés peuvent être repérées et corrigées tout aussi facilement. Cependant, si vous trouvez votre système sur Shodan, il est probable que vous ne soyez pas le seul. La proactivité reste donc de mise.

En outre, ce moteur de recherche n’est pas sans détracteurs. Comme presque toutes les solutions de test et de gestion des vulnérabilités, Shodan est souvent critiqué car il peut être utilisé à mauvais escient comme outil de piratage puissant, ce qui est incontestable : des boîtes à outils de piratage avec des interfaces Shodan existent depuis longtemps sur le Darknet. Mais la plupart des experts en sécurité s’accordent sur le fait que des fonctions de recherche similaires sont également disponibles en utilisant des botnets. Les professionnels de la sécurité des environnements industriels devraient clairement envisager d’intégrer Shodan à leur gestion des vulnérabilités.

Analyser les vulnérabilités et minimiser la visibilité d’un ICS sur Internet est de toute évidence un premier pas important dans la sécurisation des environnements de production. Mais la recrudescence des menaces ciblées persistantes et complexes (APT), qui sont créées sur mesure pour passer à travers les mailles des systèmes de sécurité existants, oblige les équipes chargées de la sécurité à analyser l’éventail des menaces tout aussi minutieusement.

Malheureusement, peu d’informations sont disponibles sur la façon dont les attaques contre les sites industriels surviennent, ou alors ces renseignements sont publiés trop longtemps après un incident. En effet, peu de cas sont documentés, et peu d’informations tangibles sur les menaces ont été recueillies jusqu’à présent. L’initiative de sécurité Conpot a pour but de changer la donne.

Conpot : des pots de miel pour le secteur industriel

L’initiative Conpot (abréviation de « système de contrôle Honeypot ») a été créée sous l’égide du Projet Honeynet par un groupe de professionnels de la sécurité expérimentés, parmi lesquels Lukas Rist de Blue Coat Systems. Le principe est de créer partout sur Internet des systèmes virtuels interactifs se comportant exactement comme des serveurs ICS ou des réseaux industriels non protégés. Une fois ces systèmes en place, le développeur du système honeypot (« pot de miel ») n’a plus qu’à attendre qu’un pirate attaque le site, terminal distant (RTU) ou ICS ainsi émulé, et peut alors observer et analyser l’attaque étape par étape. Par nature, tous les cas permettent de procéder à une analyse utile de leur vecteur d’attaque. L’intérêt supérieur de ces pots de miel se manifeste lorsque les membres de cette initiative peuvent corréler les données de plusieurs dizaines d’attaques, puis analyser leurs tendances et évolutions, identifier d’éventuels axes régionaux ou thématiques d’attaque, et recueillir ainsi davantage des données précieuses.

Habituellement, pour un analyste, rechercher une anomalie dans son réseau de production est comme chercher une aiguille dans une botte de foin. En déployant un honeypot dans votre réseau, tous les événements qui atteignent ce terminal sont susceptibles d’être des « aiguilles » (par exemple les attaques ou dispositifs mal configurés), étant donné qu’aucun élément réel n’est censé communiquer avec ce pot de miel. Ce dernier peut également être vu comme un leurre : le temps qu’y passe le pirate ainsi piégé correspond au laps de temps dont vous disposez pour sécuriser votre infrastructure critique avant qu’elle ne soit compromise à son tour.

N’importe quel professionnel de la sécurité peut contribuer à Conpot. L’émulateur est disponible en tant que logiciel Open Source à l’adresse www.conpot.org. Avec cet outil puissant, chaque développeur a la possibilité de concevoir un modèle réaliste et virtuel de son environnement, et de le connecter à Internet. Ainsi, les responsables de la sécurité peuvent obtenir des renseignements utiles leur indiquant ce à quoi ils doivent s’attendre en connectant leurs systèmes à Internet, et peuvent planifier leurs défenses en conséquence.

Les cyberattaques menées à l’encontre d’environnements industriels sont un phénomène réel. Ces attaques suivent essentiellement les mêmes mécanismes que pour les environnements des entreprises classiques du tertiaire. Une grande partie des attaques ont des motifs professionnels : d’abord, parce que les lamers (ou « script kiddies ») ne sont pas encore vraiment actifs dans ce segment, et ensuite parce que l’énorme potentiel de dégâts (ou la valeur des actifs) suscite l’intérêt d’acteurs importants tels que des organismes gouvernementaux, des groupes terroristes et des voleurs de données professionnelles. Les entreprises cherchant à sécuriser leurs réseaux doivent donc vérifier et minimiser la visibilité de leurs systèmes ICS sur Internet. Face à la recrudescence des menaces complexes, il est de plus en plus important de collecter de renseignements sur les menaces. Les équipes de sécurité ont besoin d’informations détaillées sur les vecteurs d’attaque et sur l’ensemble du cycle de vie des menaces. Ils peuvent alors élaborer une stratégie de défense globale en s’appuyant sur ces informations. Des initiatives telles Shodan et Conpot sont d’ailleurs un bon point de départ pour la collecte des renseignements nécessaires.

En parallèle, les entreprises doivent mettre en œuvre des meilleures pratiques de sécurité et protéger minutieusement les parties de leurs réseaux accessibles au public. Des solutions de sécurité dédiées aux ICS existent également pour les environnements particulièrement sensibles. Par exemple, Blue Coat propose la solution d’analyse ICS Protection Scanner Station, qui protège les systèmes industriels des logiciels malveillants véhiculés par des périphériques USB. En outre, la solution Security Analytics Platform Analytics propose également un module SCADA ThreatBLADE permettant d’identifier en temps réel les activités potentiellement malveillantes ciblant les systèmes SCADA.

Le rêve d’une solution parfaitement intégrée pour la protection des environnements industriels ne deviendra réalité qu’une fois que l’ensemble des différentes normes industrielles propriétaires auront été remplacées par des systèmes informatiques standard, et ces derniers intégrés aux architectures de sécurité existantes. Les technologies nécessaires pour cela (le protocole réseau IPv6, la surveillance complète des réseaux et la gestion rigoureuse des correctifs et des vulnérabilités) existent maintenant depuis un certain temps. L’étape suivante est leur mise en œuvre complète, ce qui pourrait prendre un certain temps en raison des cycles de vie plus longs des équipements industriels. (Christophe Birkeland pour DataSecurityBreacg.fr. Il est directeur technique en charge de la division Malware Analysis chez Blue Coat Systems).

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

Cyber-sécurité : Les PME démunies face aux nouveaux risques

La sécurité pose un réel problème aux PME qui n’ont bien souvent pas les moyens d’avoir une équipe informatique dédiée afin de faire face à tous les challenges engendrés par les nouvelles technologies et les nouvelles habitudes de vie. A ces nouveaux challenges de sécurisation s’ajoute l’inventivité des hackers qui ne cessent de renouveler leurs techniques d’attaques.

Pour répondre à cette problématique, l’ANSSI (agence nationale de la sécurité des systèmes d’information) et la CGPME (conférence Générale des Petites et Moyennes Entreprises) ont publié un guide de bonnes pratiques de l’informatique relatant les 12 règles essentielles pour sécuriser les équipements informatiques. Les mesures sont variées, et pour certaines basiques : sécurisation des mots de passe, de la connexion wi-fi, sauvegardes régulières ou encore mise à jour des logiciels pour disposer des derniers patchs de sécurité. Mais, parmi ces mesures basiques, certaines règles viennent encadrer les nouveaux usages informatiques.

Règle n°3 : Bien connaître ses utilisateurs et ses prestataires
Le conseil pourrait sembler évident mais à l’heure des services hébergés en cloud, il est primordial de connaître les standards de son fournisseur en termes de sécurité et de conformité. Selon une étude Freeform Dynamics commandée par Barracuda Networks, 69% des entreprises prévoient une utilisation de plus en plus fréquente du cloud pour les services essentiels tels que les emails et la gestion de la relation client. Pour bien penser sa sécurité, il faut aussi comprendre quelle expérience les utilisateurs feront des infrastructures et des services informatiques.

Règle n°6 : Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur
Autre tendance pouvant affecter la sécurité de l’entreprise : l’utilisation croissante de tablettes et de smartphones – qu’ils soient personnels (BYOD) ou fournis par l’entreprise. Les collaborateurs utilisent ces terminaux pour travailler et pour accéder au réseau de l’entreprise, toujours selon l’étude Freeform Dynamics : 62% des interrogés prévoient une augmentation de l’accès mobile et à distance aux réseaux informatiques de l’entreprise.

Pourtant ce matériel reste très peu sécurisé et représente un danger notable. Chaque appareil personnel connecté au réseau représente une porte d’entrée potentielle pour les cyber-attaques.  Les entreprises doivent donc s’assurer de la sécurisation de ces terminaux, soit en les fournissant elles-mêmes à ses employés soit en offrant une solution pour sécuriser leurs propres appareils.

Les entreprises sont conscientes des problèmes de cyber-sécurité auxquelles elles se confrontent, mais ne savent pas par où les attaquer. Le guide prodigue les conseils essentiels, les avertit du danger, mais il est essentiel maintenant d’enseigner aux PME les bonnes pratiques de la sécurité informatique. (Par Stéphane Castagné, pour DataSecurityBreach.fr – Responsable Commercial France – Barracuda Networks)

BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Propriété Industrielle, Sauvegarde, Sécurité, Smartphone

Une technologie anti pirate signée Microsoft

Des milliers de cas démontrent que les pirates, une fois dans un serveur infiltré, se cachent et agissent sans même que le propriétaire s’en aperçoive. Il est souvent trop tard quand la première alerte apparait sur les prompteurs. Microsoft va proposer un cerbère capable de repérer la moindre modification.

Les pirates sont connus pour se cacher sur les réseaux d’entreprise, et cela durant des semaines, des mois. Ils collectent des données, surveillent ou se servent de l’espace à différentes fins (DDoS, Bot, Chat, stockage, entrainements, …). Microsoft affirme qu’il veut aborder ce problème pour ses clients et a annoncé que son Advanced Threat Analytics, qui sera proposé le mois prochain, est capable de bloquer les pirates. Son outil apprend, un peu à la sauce « Chappie » [Le film].

L’apprentissage de la machine et de l’analyse comportementale doivent permettre de détecter les activités malveillantes qui pourraient passer inaperçus normalement. Une technologie acquise, l’année derniére par Microsoft, lors de l’achat de la start-up israélienne Aorato.

L’ATA utilise les temps de déplacement et les données géographiques pour détecter une connexion saine, ou non. Bref, si vous travaillez à Dunkerque et que la connexion, ou des téléchargements, se font à Manille, ATA alerte et bloque. A suivre !

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, escroquerie, Espionnae, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde, Social engineering, Téléphonie, Vie privée

Fuite de données dans les poubelles de Motel 6

Retrouver des photocopies de permis de conduire, des copies de plaques d’immatriculations, des signatures ou encore des identités à la sortie d’un Hôtel, voilà une fuite de données pas courante… ou presque.

La chaîne américaine d’hôtels, Motel 6, fait face à une fuite de données peu courante. Une cliente a découvert des centaines de dossiers aux pieds des poubelles d’une des structures hôtelière du groupe. En regardant les dossiers, des contenus privés et sensibles allant des photocopies de permis de conduire, des numéros de téléphones, des numéros de plaques d’immatriculation et même des signatures de clients.

A première vue l’Oncle Sam a du mal à faire comprendre à certaines entreprises comment bien détruire les données privées et sensibles qu’elles collectent. Comme ces confettis utilisés pour fêtes les championnes du monde de football qui n’étaient rien d’autre que des dossiers médicaux découpés en petites bandes de papier… pour faire la fête ! (Image KalTv)

Apple, Cybersécurité, Entreprise, Fuite de données, ios, iOS, Logiciels, Mise à jour, OS X, Patch, Smartphone

L’Attaque Zero Day sur OSX et iOS : ce qu’il faut savoir

Comme beaucoup d’entre vous le savent probablement, un groupe de chercheurs a récemment révélé l’existence d’un ensemble d’exploits zero-day affectant aussi bien les dernières versions de Mac OSX que d’iOS. Vous trouverez ici des détails sur ces attaques, ainsi que le compte-rendu de recherche.

Dans le cadre de sa stratégie permanente de gestion des risques, l’équipe Good Technology Security a enquêté sur les rapports faisant état de vulnérabilités potentielles au niveau des systèmes d’exploitation Apple OS X et iOS.

Après l’examen du document technique publié par ces chercheurs, la conclusion est que la majorité des menaces évoquées s’appliquent à OS X, et que la seule menace pour iOS est le problème du « Scheme Hijacking », qui profite d’une faiblesse au niveau du système de communication inter processus (Inter-Process Communication ou IPC) d’iOS entre les applications. Selon les chercheurs, cette vulnérabilité empêche les applications d’authentifier correctement l’application à laquelle elles se connectent.

Fonctionnement de l’attaque

Apple iOS permet à différentes applications installées sur un même appareil iOS de communiquer entre elles. Cette communication ne nécessite d’origine aucune authentification. C’est ainsi qu’une application non autorisée/malveillante peut intercepter des données et des informations d’authentification destinées à une autre application.  Le rapport de recherche décrit un scénario selon lequel un système d’identification unique (SSO) Facebook pourrait être compromis. Le même scénario pourrait s’appliquer à une application d’entreprise transmettant des données d’authentification à l’aide du protocole OpenURL.

Analyse de Good Technology

Good n’est pas vulnérable à cette attaque, car nous n’utilisons pas uniquement l’IPC natif pour les communications entre applications. Pour cela, Good met en place un service sécurisé baptisé « Communications inter conteneurs » (ICC). Notre système ICC permet à chaque application Good d’authentifier de façon sécurisée l’autre application Good avant qu’elles soient autorisées à communiquer entre elles. L’ICC atténue la vulnérabilité de l’IPC et empêche les applications non autorisées d’intercepter des données sensibles, comme des informations d’authentification transmises via le protocole OpenURL, comme décrit précédemment.

Des rapports préliminaires du secteur indiquent que le trousseau d’Apple iOS est vulnérable. Après l’examen détaillé du document publié par les chercheurs, il est clair que l’attaque envers ce trousseau ne fonctionne que sur OS X. Cependant, dans l’éventualité d’un problème au niveau du trousseau d’iOS, Good ne serait pas affecté. En effet, par défaut, nous n’utilisons pas cette ressource afin de stocker des clés. Good stocke les identifiants professionnels dans des conteneurs sécurisés à l’aide de ses propres systèmes de contrôle, notamment le chiffrement certifié FIPS au niveau des applications.

Que faire

Ces révélations montrent pourquoi les organisations doivent adopter une approche à plusieurs niveaux en matière de sécurité afin de protéger les données professionnelles présentes sur les smartphones et tablettes grand public. Good recommande de respecter les étapes suivantes :

1) Continuez de sensibiliser vos utilisateurs quant aux différentes menaces que courent leurs appareils mobiles.  Cela permet non seulement de protéger vos données professionnelles, mais également d’aider vos employés à protéger leurs données personnelles.

a. Encouragez vos utilisateurs à télécharger des applications depuis des sources fiables. Cela ne permettra peut-être pas de limiter entièrement les problèmes soulevés dans ce rapport, mais le risque que des applications malveillantes interagissent avec l’appareil d’un utilisateur en sera atténué.

b. Encouragez vos utilisateurs à signaler les applications qui, selon eux, présentent des lacunes en matière de fonctionnalités de protection des données personnelles ou professionnelles.

2) Activez la détection de jailbreak si ce n’est pas encore le cas. Bien que cette attaque pourrait contourner le processus de validation d’applications d’Apple, il vaut toujours mieux s’assurer que les applications soient téléchargées à partir de sources fiables.

3) En outre, si vous êtes client de Good, fournissez à vos utilisateurs les applications sécurisées par Good nécessaires pour gérer leurs activités de façon adaptée et avec une bonne productivité. Le conteneur de Good utilisant des communications entre applications indépendantes de l’ICC d’Apple, il ne sera pas affecté par cette attaque.

4) Assurez-vous que les systèmes de protection contre la perte de données appropriés soient activés afin d’empêcher vos données de s’échapper des applications protégées.

a. « Empêchez la copie à partir d’applications GD vers des applications non sécurisées par GD »

b. « Empêchez la copie à partir d’applications non sécurisées par GD vers des applications GD »

5) Enfin, les services d’évaluation de la réputation des applications tels que NowSecure, FireEye et autres devraient vous fournir les outils nécessaires afin d’analyser les risques que représentent les appareils de vos employés. (Good).

Argent, backdoor, Banque, Cyber-attaque, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, loi, Paiement en ligne, Particuliers, Piratage, Vie privée

Arrestations des pirates présumés de la banque JPMorgan Chase

Les services secrets américains semblent avoir mis la main sur les présumés pirates informatiques de la banque JPMorgan Chase. Les polices américaine et isralienne ont arrêtés 4 hommes. Un cinquième est en fuite.

Quatre personnes ont été arrêtées en Israël et en Floride dans le cadre de l’enquête sur le piratage informatique de la banque américaine de la banque JPMorgan Chase. Les réseaux informatiques de la banque avaient été attaqués au mois d’août 2014. 6 millions de foyers, et 7 millions de PME, avaient été visés par ce pirarate. Le porte-parole de la police israélienne, Micky Rosenfeld, a confirmé à l’agence Reuters que trois personnes avaient été arrêtées. Ils ont été présentés devant le juge de Rishon Lezion (région de de Tel Aviv. L’agence Bloomberg indique qu’un cinquième suspect est en fuite. Les 5 présumés pirates sont aussi accusés de l’infiltration de plus de 500.000 PC via l’exploitation du botnet Qbot (aussi appelé Qakbot). 800 000 transactions bancaires en ligne auraient été compromises. 59 % des sessions appartenaient à cinq des plus importantes banques américaines. 52 % des systèmes infectés étaient des systèmes Windows XP ! Des arrestations qui font suite à l’affaire Darkode ?

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile