Cybersécurité, Drupal, Entreprise, Fuite de données, iOS, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle

Une faille corrigée dans Windows, problème pour Drupal et Yosemite

Depuis 19 ans, une faille présente dans Windows n’avait jamais été corrigée. Voilà qui est dorénavant de l’histoire ancienne.

Imaginez, un bug informatique connu et présent dans Windows depuis 19 ans. Depuis Windows 95, cette « faille » permettait dans certaines mesures difficiles (mais pas impossibles, ndlr zataz.com) de prendre la main sur un ordinateur. Une attaque possible à distance. Baptisée par les ingénieurs sécurité de chez IBM, inventeurs de la faille, WinShock, l’exploit permettait d’infiltrer un ordinateur sous Windows (95, 98, 2003, 2008, Vista, 7, 8) à distance. Il suffisait de mettre en place un site Internet particulièrement fabriqué (XSS, …) pour déclencher l’attaque via Internet Explorer. Microsoft a corrigé la faille… sauf pour Windows XP dont le support n’existe plus. « Les utilisateurs qui ont paramétré leur Windows de telle manière à recevoir automatiquement les mises à jour, ne doivent rien faire de particulier. Ils seront protégés » explique le service presse de Microsoft.

Pour novembre, Microsoft a publié un Patch Tuesday conséquent, avec 17 bulletins dont 5 concernent l’exécution de codes à distance (RCE), un type de vulnérabilité dont les pirates sont particulièrement friands. À ce jour, avec ces 17 bulletins, Microsoft en aura diffusé 79 en tout pour 2014. Nous finirons donc l’année sous la barre des 100 bulletins de sécurité, soit un peu moins qu’en 2013 et 2011 et à peu près autant qu’en 2012.

Pendant ce temps…
Une grave et importante faille a été découverte dans Drupal. La communauté Drupal, et son logiciel Open Source gratuit pour créer et administrer des sites Web, annonçait l’existence d’une vulnérabilité dans la couche d’API d’abstraction de base de données de Drupal 7. Cette vulnérabilité (CVE associé : CVE-2014-3704) permet à un pirate d’envoyer des requêtes personnalisées qui rendent arbitraire l’exécution de SQL. Selon le contenu des requêtes, ceci peut entraîner une élévation des privilèges, une exécution arbitraire de PHP ou d’autres attaques. Ce que nous savons La vulnérabilité affecte toutes les principales versions 7.x de Drupal antérieures à la 7.32. Survenue au moment de l’annonce de POODLE, cette vulnérabilité a été un peu occultée, même si elle est directement exploitable et similaire à Heartbleed.

Depuis le 15 octobre 2014, les exploits automatisés ciblant cette vulnérabilité spécifique ont semé le chaos sur Internet. L’équipe chargée de la sécurité Drupal conseille aux administrateurs de sites Web fonctionnant sous Drupal 7.x de considérer comme compromis les sites qui n’ont pas été mis à jour ou patchés avant le 15 octobre 2014, ou bien 7 heures après la première annonce de la vulnérabilité. Corriger ou mettre à niveau un site Web compromis ne suffira pas pour supprimer les portes dérobées et autres chevaux de Troie qui auraient pu être installés.

La société Qualys propose une vérification de cette vulnérabilité via son logiciel Qualys Freescan, accessible depuis son site Internet dédié.

Du côté d’Apple, une faille a été détectée dans la dernière version de l’OS de la grosse pomme, Mac OS X Yosemite. Le problème a été révélée par la société suédoise Truesec. Baptisée ‘RootPipe’, la faille pourrait permettre à un pirate, en local, de prendre la main sur l’ordinateur en mode administrateur. Un mode qui permet de faire tout et n’importe quoi dans la machine. Emil Kvarnhammar, l’inventeur de la probable faille n’a pas donné plus d’information. Il attend qu’Apple corrige. Un mot de passe sudo, il permet d’avoir des privilèges temporaires de super utilisateur, est demandé afin q’un administrateur puisse agir sur une machine sans pour autant être le Kalif à la place du Kalif. La faille RootPipe contournerait cette restriction sous  Mac OS X Yosemite, mais aussi sous Mountain Lion et Mavericks.

Entreprise, spam

SPAMPIONSHIP des douze pays émettant le plus de spams

Comme chaque trimestre, Sophos mesure le volume de spam envoyé dans le monde et publie le résultat des douze pays ayant émis le plus de spam.

Imaginez qu’un cybercriminel puisse à l’autre bout du monde et à n’importe quel moment, dicter les actions de votre ordinateur. Il exécuterait ou téléchargerait, comme vous, des programmes. Il visiterait les mêmes sites, cliquerait sur les mêmes liens, remplirait les mêmes formulaires, posterait les mêmes commentaires. Il ouvrirait les mêmes dossiers, corrigerait les mêmes documents, visualiserait les mêmes tableaux d’entreprise. Il se connecterait au même réseau social que vous.

N’importe quel ransomware que vous installeriez par erreur et qui effacerait toutes vos données, il pourrait l’installer volontairement. Voici exactement ce que peuvent faire les cybercriminels lorsque votre ordinateur est infecté par un vers (bot), également appelé zombie. Cette expression signifie que n’importe quel escroc peut prendre la main sur votre ordinateur, à votre insu, et lui ordonner à peu près n’importe quelle action, qui sera fort probablement illégale. Cependant, les zombies sont très connus pour une chose en particulier : l’envoi de spam.

Un PC personnel, avec une connexion internet personnelle peut facilement émettre jusqu’à 5 millions de spams par semaine et faire la promotion illégale de produits et de services obscurs, tout en dissimulant des malwares dans les pièces jointes. Ceci signifie que si nous cartographions les pays d’origine des spams, nous cartographions également ceux des zombies.

Pourquoi ces chiffres sont-ils importants ?
Si votre pays est en tête du classement sur le graphique des pays émetteurs de spams, cela signifie qu’il sera également en tête de celui recensant « là-où-les-cybercriminels-peuvent-faire-ce-qu’ils-souhaitent ». Pour le reste du monde, c’est une mauvaise nouvelle : cela signifie qu’il reçoit des tonnes de spams de votre part. C’est une mauvaise nouvelle pour vous également puisque cela fait peser un risque sur vos informations personnelles, vos finances et même votre identité. Soyons clairs : nous ne tentons pas de savoir quel pays compte le plus grand nombre de spammeurs ou de cybercriminels.

C’est la grande problématique autour du spam : la plupart des personnes qui relaient les emails d’une campagne de spams ne sont absolument pas des cybercriminels. Ils servent, malgré eux, de relais à un escroc qui agit probablement à partir d’un autre pays. Il est évidemment assez injuste de classer les pays en fonction du volume de spams qu’ils émettent : en effet, des pays très peuplés comme la Chine, ou extrêmement bien connectés, comme les USA arriveront indéniablement en tête des classements. Le classement des douze pays qui émettent le plus de spams est exactement le même qu’en Q2 2014 (avril, mai, juin). Comme on peut le voir, le bas du classement a quelque peu changé mais c’est à peu près tout. Les choses deviennent plus réalistes, et plus intéressantes, lorsque l’on divise le volume de spam d’un pays par le nombre approximatif d’habitants de ce même pays.

Nous avons désormais une évaluation du nombre de spams par personne. Il faut évidemment prendre un peu de distance par rapport à ce tableau, car bien entendu, tout le monde souhaite perdre le SPAMIONSHIP. Cependant, s’il nous fallait sélectionner le pays gagnant, car en réalité perdant, ce serait la Biélorussie qui continue de descendre dans le classement. Après avoir occupé la première place de Q2 2013 à Q1 2014, au trimestre dernier, la Biélorussie est descendue à la seconde place, pour atteindre la neuvième ce trimestre. La Biélorussie se place désormais derrière les six pays qui étaient dans les douze premiers au dernier classement. Ceci signifie que le pays a réussi à réduire considérablement son émission de spam, plutôt que d’avoir bénéficié d’une augmentation du volume dans d’autres pays. C’est un bon résultat. Cependant, dans sa globalité, le SPAMPIONSHIP nous rappelle deux choses importantes : Le spam est un problème d’envergure mondiale ; La prévention contre le spam démarre dans son propre pays. Choisissez donc de ne pas contribuer au problème, mais plutôt à sa solution. Tuez un zombie aujourd’hui !

BYOD, Cloud, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Cyber sécurité et protection des données personnelles : en avant marche !

2 commentaires

Deux jambes qui se doivent d’être coordonnées. Telles sont, d’un côté, la « cyber sécurité », et de l’autre la « protection des données personnelles ». Car si la liste des entreprises victimes de cyberattaques continue de s’allonger – Ebay, Orange et Domino’s Pizza ne sont qu’un échantillon des cibles atteintes en 2014 – il est évident que les moyens de lutte à privilégier doivent être aussi efficaces que respectueux, dans leur mise en œuvre, des règles en matière de protection des informations privées. Délicat équilibre.

Les autorités européennes ont déjà fait d’importants progrès en matière de cybercriminalité. Une  directive relative aux attaques contre les systèmes d’information a ainsi été adoptée en 2013, alors que des textes sur la protection du secret d’affaire, ainsi que sur l’identification électronique et les services de confiance pour les transactions électroniques ont été proposés au Parlement européen. Dernier en date : la directive sur la protection des systèmes d’information (NIS) – que la loi de programmation militaire française avait largement anticipée – a été adoptée en mars 2014. Les « opérateurs d’importance vitale » (IOV) se voient notamment imposer quelques obligations en matière de prévention et de notification des « incidents ».

Les solutions qui permettent de répondre de la manière la plus efficace possible à ces nouvelles obligations existent aussi. Certaines permettent ainsi de valider en quelques heures seulement la véracité d’un incident, d’identifier son origine, le chemin emprunté, l’agresseur et d’évaluer son impact… sachant qu’aujourd’hui le délai moyen actuel de découverte et d’identification d’une attaque se compte plutôt en semaines ou en mois ! Enfin, Bruxelles avance aussi sur la question des données personnelles – les discussions sur la directive dédiée devraient ainsi aboutir en 2015.

Reste que la coordination entre les deux jambes pourrait être améliorée. Le fait par exemple qu’il faille encourager le chiffrage des données pour sécuriser les informations personnelles, comme le recommande l’Agence Européenne de Cybersécurité ENISA, est incontestable. Mais les flux chiffrés sont aussi des voies d’accès privilégiées… pour les pirates. Quelles sont alors les conditions que les entreprises et organisations doivent respecter pour utiliser des outils de déchiffrage tout en respectant les impératifs en matière de protection des données personnelles ? A ce jour, aucun texte public – loi, règlement ou simple communication des autorités – ne répond clairement à la question. Rien non plus sur les règles internes à mettre en place pour utiliser des solutions d’enregistrement des données – qui permettent de « rembobiner le film » en cas d’attaque et donc d’identifier rapidement l’agresseur- tout en respectant les impératifs de protection des informations des individus. Résultat : certaines entreprises et organisations hésitent à se protéger…

Clarifier les conditions de mise en œuvre des solutions efficaces en matière de cybersécurité. Telle pourrait être une des priorités des nouvelles instances européennes. Pour faire de plus grands pas.(Par Dominique Loiselet, Directeur Général France Blue Coat)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, escroquerie, Espionnae, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Propriété Industrielle, Social engineering, Vie privée

Le paradoxe de la sécurité

Les salariés adoptent des pratiques à risques, alors qu’ils s’estiment sensibilisés sur la sécurisation des données.

Près de 3/4 des actifs interrogés se considèrent bien sensibilisés à la protection des données professionnelles, pourtant une majorité d’entre eux ont toujours des pratiques risquées. Les techniques de protection sophistiquées (changement de mot de passe régulier, système de cryptage des données) ne concernent qu’une moitié des actifs interrogés équipés d’un appareil mobile et seulement 30% disposent de ce type de protection sur l’ensemble de ces appareils fournis par leur entreprise. Le partage de fichiers en ligne via un service de cloud n’est pas jugé dangereux par la majorité des répondants (54%). Bien que les mots de passe soient imposés dans la majorité des entreprises (9/10), on observe de grandes disparités quant à leur élaboration et leur mise à jour, 63% laissent leur ordinateur allumé lorsqu’ils quittent le bureau en fin de journée ou ne le verrouillent pas en quittant leur poste.

De nombreuses études confirment l’influence des appareils mobiles sur le rétrécissement des frontières entre les sphères professionnelles et personnelles. Mais qu’en est-il de leur impact sur la sécurité des données des entreprises ? Les salariés sont-ils suffisamment sensibilisés sur les risques inhérents à ces nouveaux usages et mettent-ils en pratique les règles de sécurité ? Hiscox, en collaboration avec l’institut IFOP, s’est penché sur le sujet et les résultats de cette étude illustrent un important décalage entre le sentiment de connaître les consignes de sécurité et des pratiques à risques largement répandues dans les entreprises.

Des pratiques jugées sans risque par les salariés, mais qui exposent la sécurité de l’entreprise
72% des actifs interrogés se considèrent bien sensibilisés quant à la nécessité de protéger les données professionnelles. Ces actifs sont pourtant les mêmes à adopter des pratiques qui peuvent s’avérer dangereuses pour les données de l’entreprise. Les salariés équipés d’au moins un appareil mobile professionnel sont les plus concernés par ces pratiques risquées puisqu’ils sont 77% à déclarer transporter des fichiers professionnels sur une clé USB ou un disque dur externe (contre 63% pour l’ensemble du panel) et la moitié (53%) partage des fichiers en ligne via un service de cloud (contre 39% pour l’ensemble du panel).

Ces usages ne sont pourtant pas jugés risqués par les répondants : en effet, 54% estiment que le partage de fichiers via le cloud n’a pas d’incidence sur la sécurité et 57% ne voient aucun danger à transporter des données professionnelles sur une clé USB. De même, 63% des actifs laissent leur ordinateur allumé lorsqu’ils quittent le bureau ou ne le verrouillent pas en quittant leur poste. Moins de la moitié seulement perçoit cette pratique comme potentiellement imprudente.

Les petites entreprises plus vulnérables… Et friandes de solutions mobiles
Les salariés des petites entreprises (0 à 49 employés) font partie des publics qui identifient le moins ces pratiques comme pouvant mettre en péril la sécurité des données des entreprises. Des attitudes pourtant risquées quand on sait que les travailleurs « mobiles » et les salariés des très petites entreprises (moins de 10 salariés) sont également ceux disposant de la plus grande latitude en termes d’achats et d’opérations bancaires impliquant l’entreprise. 65% des employés travaillant dans des structures de moins de 10 salariés sont en effet amenés à effectuer des achats en ligne à titre professionnel contre 46% pour l’ensemble des actifs interrogés.

L’utilisation des appareils professionnels dans la sphère personnelle est un autre vecteur de menace pour la sécurité des données des entreprises. Les salariés des petites structures (moins de 10 employés) sont les mieux équipés en appareils mobiles. Ils font aussi partie de ceux  qui utilisent le plus leur matériel professionnel à titre personnel. 82% des salariés de ces entreprises se connectent à Internet au moins une fois par semaine pour des raisons personnelles à partir de leur appareil professionnel (contre 72% de l’ensemble des actifs).

Des usages qui pèsent d’autant plus sur la sécurité de ces entreprises qu’elles ne disposent pas de services informatiques ou de services généraux pour assurer le contrôle et la gestion des appareils mobiles.

Des disparités dans la mise en place des techniques de sécurisation
Pour se prémunir des risques auxquels elles sont exposées et assurer la protection de leurs ordinateurs fixes, 9 entreprises sur 10 s’appuient sur la mise en place d’un mot de passe. Cependant, la fréquence de mise à jour exigée n’est pas la même partout. Seuls 18% des actifs doivent changer leur mot de passe tous les mois quand 34% déclarent devoir le changer moins de 2 fois par an. Une disparité également observée dans son élaboration : 62% des entreprises imposent un nombre minimum de caractères, 56% demandent à leurs salariés de choisir un mot de passe incluant des chiffres et des caractères spéciaux et 57% interdisent de réutiliser un ancien mot de passe. De manière globale, 70% des entreprises imposent au moins une règle à leurs salariés pour le choix du mot de passe mais cette proportion chute à 51% dans les structures de moins de 10 salariés.

Parmi les autres techniques, 35% des actifs interrogés déclarent disposer d’outils de cryptage des données mais 22% ne savent pas s’ils peuvent bénéficier de cette technique dans leur entreprise. De même, si les accès au réseau sont contrôlés dans 61% des entreprises, 16% des actifs ne connaissent pas la politique utilisée par leur entreprise dans ce domaine.

Sur les appareils mobiles, le mot de passe est également le mode de protection le plus répandu. Il concerne en effet 81% des actifs disposant d’appareils mobiles. Les techniques plus sophistiquées (changement de mot de passe tous les 3 mois, système de contrôle d’accès renforcé de type Token, données cryptées non accessibles) ne concernent qu’une moitié des actifs interrogés équipés d’un appareil mobile et seulement 30% disposent de ce type de protection sur l’ensemble des appareils que leur fournit leur entreprise.

Au delà de revoir leur méthode de sensibilisation des salariés aux risques informatiques, les entreprises doivent également faire évoluer leurs dispositifs techniques de sécurité pour les adapter aux nouveaux usages.

« L’explosion des appareils et solutions mobiles dans les entreprises soulève plus que jamais des problématiques de sécurité importantes. La mesure préventive la moins onéreuse consiste à sensibiliser le personnel à l’importance de la sécurité des données. Les connaissances en la matière sont souvent limitées, surtout dans les petites entreprises, et le recours à un expert pour en expliquer les bases peut représenter l’un des meilleurs investissements d’une entreprise » conseille François Brisson, Responsable marché Technologie-Média-Télécom chez Hiscox. « Néanmoins en cas de problème, les sociétés doivent disposer d’un plan de réaction rapide afin de limiter les dommages et de prouver qu’elles prennent toutes les mesures nécessaires. Dans ce cadre, elles sontparfois amenées à faire appel à des spécialistes en gestion de crise, voire à des conseillers en relations publiques. Notre assurance Data Risks permet de couvrir ces coûts et de réduire les conséquences d’une violation de données ».

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Code malveillant dans les caisses enregistreuses

Alors que la chaîne américaine de magasins The Home Depot vient d’annoncer le vol de 53 millions d’adresses emails de clients* (en plus des 56 millions de données de cartes bancaires déjà déclarés en septembre), le G DATA SecurityLabs a découvert une nouvelle variante de FrameworkPOS, le code ayant ciblé cette entreprise. Nouveauté de ce code : il exfiltre les données volées par requêtes DNS (Domain Name System).

Cette analyse montre comment les cyber criminels travaillent à l’heure actuelle. La variante découverte envoie les données extraites via des requêtes DNS, ce qui est une technique très aboutie. Pour détecter ce type d’attaque, G Data conseille aux entreprises équipées de systèmes d’encaissement de mettre en place un système de DNS passif. Une analyse des requêtes facilite la détection de ce type d’attaque.

Qu’est-ce qu’un système PoS ?
Un système PoS (Point of Sales en anglais – Point de Vente en français) se compose en règle générale d’une caisse enregistreuse et d’un appareil pour lire les cartes de crédit. L’appareil POS enregistre les ventes des clients mais pas uniquement. Il sert également à l’inventaire, aux entrées et sorties de stocks.

Qu’est-ce qu’un DNS?
DNS signifie “Domain Name System”. Il s’agit du carnet d’adresse Internet. L’adresse d’un site internet est traduite en une adresse technique utilisant le système DNS. Il s’agit d’une combinaison de numéros appelée adresse IP (par exemple : 208.80.154.224). Un DNS passif est un système qui enregistre les requêtes DNS dans une base de données. Ainsi, on peut observer quelle valeur (adresse IP) un domaine a (ou inversement, quel nom/domaine est lié à telle adresse IP). (G Data)

* Le communiqué de presse de The Home Depot.

* ZATAZ Web TV du 09 novembre revient sur cette attaque informatique pas comme les autres.

Cybersécurité, Entreprise, Fuite de données, Logiciels

Attaques à l’encontre de serveurs SMTP

Depuis plusieurs jours, des pirates s’attaquent à certains serveurs SMTP avec la faille de sécurité Shellshock. Le mystére le plus complet plane sur cette attaque informatique.

Le CERT Renater, en charge de la sécurité informatique des établissements scolaires et universitaires s’est inquiété, le 4 novembre dernier, d’une mystérieuse attaque numérique visant des serveurs SMTP vulnérables à la faille Shellshock (Bash). L’objectif serait d’intégrer les serveurs faillibles à un réseau de botnet.

Un bot IRC écrit en PERL serait installé dans les serveurs piégés. Le CERT Renater indique que la France serait visée par ces tentatives d’infiltrations. La charge d’attaque est dissimulée dans des champs d’entête de courriers électroniques spécialement formatés (To, From, CC, Subject, Date, Comments, Keywords, Resent-Date, Resent-From, Message-ID, …). Les méthodes curl, wget, fetch sont invoquées pour récupérer le bot IRC via l’ip 178.254.31.165. « On ne trouve pas d’information pour l’instant sur la porte d’entrée recherchée par les attaquants » souligne le CERT. Le serveur SMTP sur lequel ce type d’attaque pourrait fonctionner reste un mystère. (Binary Defense)

 

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Particuliers

Piratage de carte bancaire NFC

5 commentaires

Intercepter les données d’une carte bancaire NFC, de la science fiction indique les lobbyistes des banques ? Un Français avait expliqué les dangers du NFC. Des chercheurs britanniques démontrent comment voler de l’argent risque de devenir un jeu d’enfant.

Les cartes sans contact permettent d’acheter des biens sans taper le moindre mot de passe. Il suffit juste de passer la carte à quelques centimètres d’un lecteur dédié pour payer (moins de 20€). Des cartes bancaires qui « balancent » dans les airs, via des ondes radios, données bancaires et validation de la transaction.

En France, Renaud Lifchitz, chercheur en sécurité informatique français mondialement connu et reconnu, avait mis à mal la sécurité du sans fil de nos CB. Depuis peu, une équipe de l’Université de Newcastle, au Royaume-Unis, a mis à jour une faille de sécurité considérée comme grave dans le système sans contact.

Lors de la conférence ACM (Conference on Computer and Communications Security) les ingénieurs ont expliqué comment il est facile de mettre en place un faux terminal de point de vente à partir d’un téléphone mobile (un concept qu’avait déjà démontré Renaud Lifchitz). A partir de ce « point de vente », les chercheurs ont montré qu’il était possible de créer une opération financiére pouvant atteindre 999,999.99 dollars, soit bien loin des 20€ normalement autorisés. « Il a fallu moins d’une seconde pour que la transaction soit approuvée » explique l’équipe britannique.

Pour contrer ce genre d’attaque, nous vous conseillons fortement de vous équiper d’un espace de protection que vous installez dans votre porte-feuille. La société Stop-RFID.fr propose plusieurs solutions de sécurisation physique de votre CB.

Visa, montré du doigt dans cette alerte, indique de son côté qu’il n’y a aucune cause d’inquiétude. « Nous avons examiné les conclusions de Newcastle dans le cadre de nos efforts constants sur la sécurité et la fraude des paiements. Les chercheurs ne tiennent pas compte des nombreuses mesures de protection mises en place par Visa« . Pour Visa, cette attaque ne fonctionne qu’en laboratoire, pas dans la vraie vie. (BBC)

BYOD, Cloud, Cybersécurité, DDoS, Entreprise, Mise à jour, Patch, Piratage

Faille pour les Linksys SMART WiFi

Les routeurs wifi Linksys SMART victimes de plusieurs failles qui pourraient permettre à un pirate de s’inviter dans les informations sensibles des boitiers.

Kyle Lovett, chercheur en sécurité informatique, a mis la main sur plusieurs failles ont été découvertes dans les routeurs de la marque Linksys. Le firmware des routeurs sont montrés du doigt. Un pirate, à distance,  peut être en mesure de lire ou de modifier les informations sensibles contenus dans les boitiers. Les linksys sensibles font parti de la gamme des EA. Les versions 2700, 3500, 4200v2, 4500, 6200, 6300, 6400, 6500, 6700 et 6900 sont faillibles.

Le problème a été découvert en juillet 2014. L’alerte officielle a été diffusée fin octobre par le KB Cert. Un attaquant non authentifié sur le réseau local (LAN) peut lire le fichier .htpassword du routeur en lançant la simple commande http://<router_ip>/.htpasswd. Le fichier .htpasswd contient le mot de passe de l’administrateur, chiffré en MD5. Même sanction pour les JNAP http://<router_ip>/JNAP/.

Une commande qui, dans certaines mesures, permet de lire et/ou modifier les informations sensibles sauvegardés sur le routeur. Deux ports ouverts ouvrent l’administration du routeur sans avoir besoin d’être authentifié : 100080 et 52000. LinkSys vient de diffuser une mise à jour qui est fortement conseillé d’installer. (nvd.nist.gov)

http://support.linksys.com/en-us/support/routers/E4200
http://support.linksys.com/en-us/support/routers/EA4500
http://support.linksys.com/en-us/support/routers/EA6200
http://support.linksys.com/en-us/support/routers/EA6300
http://support.linksys.com/en-us/support/routers/EA6400
http://support.linksys.com/en-us/support/routers/EA6500
http://support.linksys.com/en-us/support/routers/EA6700
http://support.linksys.com/en-us/support/routers/EA6900

Pendant ce temps…
Pensez aussi à protéger votre LinkSys des attaques du virus Moon. Ce malware « La Lune » a affecté certains Routeurs sélectionnés et anciens de série E de Linksys, et sélectionnés certains anciens points d’accès et routeurs Sans fil-N. Un correctif de micrologiciel est prévu au cours des prochaines semaines. Le malware The Moon contourne l’authentification sur le routeur en se connectant sans connaître les références de l’administrateur. Une fois infecté, le routeur commence à inonder le réseau avec des ports 80 et 8080 du trafic sortant. Bilan, ça rame ! Pour vous protéger, sélectionnez l’option « disabled » dans la partie Remote Managament Access dans votre administration de votre routeur. Assurez-vous aussi que l’option de Filter Anonymous Internet Requests sous Internet Filter est coché.

Hacking

Près de 20% des entreprises industrielles ont subi un vol de propriété intellectuelle

L’étude de Kaspersky Lab auprès de 3900 entreprises classe les répondants dans 17 secteurs différents, y compris la fabrication et l’énergie. Ces deux secteurs industriels se démarquent par l’architecture de leur réseau informatique, composé de machines gérées par des logiciels hautement spécifiques.

Propriété intellectuelle : 21% des organisations opérant dans le secteur de la production / fabrication ont dû faire face à une perte de leur propriété intellectuelle au cours des 12 derniers mois (le 5ème taux le plus important). Cela pourrait expliquer pourquoi elles donnent plus d’importance à la propriété intellectuelle (17%) que tous les autres secteurs.

Veille marché / Intelligence : les données de veille marché sont perçues comme étant de moyenne importance pour les entreprises de production, alors que les spécialistes de l’énergie les considèrent comme critiques. Les deux secteurs sont particulièrement touchés par le vol de ce type de données.

Informations clients : ces informations ne sont pas jugées comme critiques et ne sont pas la cible privilégiée des cyber criminels. Pourtant il faut prendre ces données très sérieusement, comme peut le montrer, très souvent, le protocole d’alerte de zataz.com.

Informations opérationnelles : les entreprises de production et énergétiques sont toutes particulièrement concernées par la perte de données internes liées à leur fonctionnement. Près de la moitié d’entre elles ont admis avoir perdu ce type d’informations après une fuite de données au cours des 12 derniers mois.

Les spécificités de la sécurité en secteur industriel
L’étude de Kaspersky Lab illustre les différences fondamentales qui existent entre les entreprises industrielles et les autres en matière d’informatique. Les entreprises traditionnelles se concentrent sur la protection des données, alors que les entreprises industrielles jugent critique la protection des process. Les données montrent l’importance accordée aux données liées au fonctionnement interne par rapport aux données clients, souvent considérées comme les plus sensibles dans d’autres secteurs.

À l’inverse, les données de moindre importance pour les entreprises classiques, comme la propriété intellectuelle, sont critiques dans le secteur industriel. 31% des entreprises de production sont convaincues que la propriété intellectuelle est directement visée lors d’attaques cyber criminelles. Tous secteurs confondus, c’est le taux le plus important après celui enregistré pour le secteur financier.

Il est clair que les réseaux informatiques industriels exigent une protection spécifique, en particulier face à des malware sophistiqués comme Wiper et Shamoon qui ont causé des millions d’euros de dommages en s’attaquant à des systèmes industriels. Kaspersky Lab a développé des solution de protection des infrastructures critiques, pensées pour répondre aux exigences de l’univers industriel en matière de contrôle et de sécurité.

Cybersécurité, DDoS, Entreprise, Piratage

Se protéger des attaques DDoS

Un commentaire

Les organisations doivent arrêter de compter sur leurs fournisseurs de services Internet pour les protéger des attaques DDoS et doivent prendre les choses en main. (Par Christophe Auberger, Directeur Technique France chez Fortinet pour datasecuritybreach.fr)

Les attaques par Déni de Services Distribués (DDoS) sont l’une des menaces Internet les plus anciennes et continuent d’être le principal risque pour les réseaux à travers le monde. En même temps que les protections ont évolué, la technologie utilisée par les hackers s’est adaptée et est devenue beaucoup plus sophistiquée. De nouveaux types d’attaques ciblent désormais les applications et services, et sont souvent cachées dans les couches 3 et 4, ce qui les rend difficilement détectables.

En matière d’attaques DDoS, le secteur financier est l’une des cibles privilégiées des cybercriminels, suivie de près par le secteur public. Outre le fait de perturber les opérations Internet par un assaut brutal de données, les attaques DDoS ont récemment été utilisées pour recueillir des informations financières et relatives au commerce en ligne. Ces attaques ont souvent pour objectif de perturber les opérations, principalement en détruisant l’accès à l’information.

Il y a généralement trois catégories de motivations derrière les attaques DDoS: politique, de représaille et financière. Les attaquants politiques ciblent ceux qui ne sont pas d’accords avec leurs convictions politiques, sociales ou religieuses. Lorsqu’un botnet ou un important réseau cybercriminel est démantelé, cela peut déclencher des attaques de représailles contre ceux qui ont aidé ou assisté les autorités. Les attaques motivées par l’argent suivent un schéma « pay-to-play » dans lequel les hackers sont compensés par une tierce partie qui leur demande de mener l’attaque pour elle. Quelle que soit la motivation, le résultat est le même – votre réseau et services en ligne deviennent indisponibles, et peuvent rester ainsi pendant un long moment.

Méfiez-vous des attaques DDoS avancées visant la couche applicative
Il existe de nombreux types d’attaques DDoS largement utilisés aujourd’hui, allant des anciennes méthodes des débuts de l’Internet aux dernières attaques avancées visant la couche 7 et ciblant les applications. L’inondation de requêtes SYN et HTTP GET sont les plus communes et utilisées pour surcharger les connexions réseau ou les serveurs derrière les pare-feux et système de prévention d’intrusion (IPS).

Toutefois, le plus inquiétant est que les attaques visant la couche applicative utilisent des mécanismes beaucoup plus sophistiqués pour attaquer les services et réseau des organisations. Plutôt que d’inonder simplement un réseau avec du trafic ou des sessions, ces types d’attaques ciblent des services et applications spécifiques pour épuiser lentement les ressources au niveau de l’application (couche 7).

Les attaques visant la couche applicative peuvent être très efficaces en utilisant peu de volumes de trafic, et peuvent être considérer comme tout à fait normales par la plupart des méthodes de détection DDoS traditionnelles. Cela rend les attaques visant la couche applicative beaucoup plus difficiles à détecter que les autres types d’attaques DDoS basiques.

Les options en matière de protection DDoS
La plupart des FAI offrent une protection DDoS des couches 3 et 4 pour empêcher les liens des organisations d’être inonder lors d’attaques volumétriques de masse. Cependant, ils n’ont pas la capacité de détecter les plus petites attaques visant la couche 7. Ainsi, les centres de données ne devraient pas uniquement compter sur leur FAI pour bénéficier d’une solution complète DDoS, dont la protection de la couche applicative. Au lieu de cela, ils devraient envisager de mettre en place une des mesures suivantes:

1. Les fournisseurs de services DDoS: Il existe beaucoup de solutions hébergées DDoS basées sur le cloud qui fournissent des services de protection des couches 3, 4 et 7. Elles vont des projets peu couteux pour les petits sites Web jusqu’à ceux pour les grandes entreprises qui requièrent la couverture de plusieurs sites Web. Elles sont en général très faciles à mettre en place et fortement poussées auprès des petites et moyennes entreprises. La plupart offre des options de tarification personnalisée et beaucoup ont des services de détection avancée de la couche 7 à disposition des grandes organisations qui nécessitent que des capteurs soient installés dans le centre de données. Beaucoup d’entreprises choisissent cette option, mais certaines d’entre elles doivent faire face à des frais excédentaires importants et imprévus lorsqu’elles sont frappées par des attaques DDoS en masse. Par ailleurs, la performance n’est parfois pas à la hauteur car les fournisseurs de services redirigent le trafic DDoS vers les centres de protection au lieu de les stopper en temps réel, ce qui est particulièrement problématique pour les attaques de courte durée, qui sont celles généralement rencontrées.

2. Pare-feu ou IPS: Presque tous les pare-feux et système de prévention d’intrusion (IPS) modernes revendiquent un certain niveau de défense DDoS. Les pare-feux nouvelles générations avancés  (NGFW) offrent des services DDoS et IPS et peuvent protéger de nombreuses attaques DDoS. Avoir un dispositif pour le pare-feu, IPS et DDoS est plus facile à gérer, mais peut être submergé par des attaques volumétriques DDoS, et peut ne pas avoir les mécanismes sophistiqués de détection pour la couche 7 que d’autres solutions ont. Un autre compromis à prendre en compte est que l’activation de la protection DDoS sur le pare-feu ou l’IPS peut impacter la performance globale du seul dispositif, entrainant des débits réduits et une augmentation de la latence pour les utilisateurs finaux.

3. Appliances dédiées à la protection d’attaques DDoS: Ce sont des dispositifs matériels qui sont déployés dans un centre de données et utilisés pour détecter et stopper les attaques DDoS basiques (couche 3 et 4) et avancées (couche 7). Déployées au point d’entrée principal pour tout le trafic Web, elles peuvent à la fois bloquer les attaques volumétriques en masse et surveiller tout le trafic entrant et sortant du réseau afin de détecter les comportements suspects des menaces visant la couche 7. En utilisant un dispositif dédié, les dépenses sont prévisibles car le coût est fixé quelque soit la fréquence des attaques, que l’entreprise soit attaquée une fois en six mois ou tous les jours. Les aspects négatifs de cette option sont que ces dispositifs sont des pièces matérielles supplémentaires à gérer, que les unités à faible bande passante peuvent être submergées lors d’attaques volumétriques en masse, et que de nombreux fabricants nécessitent des mises à jour fréquentes en matière de signatures.

Les solutions matérielles dédiées de protection des attaques DDoS existent en deux versions principales – celle pour les opérateurs télécoms et celles pour les entreprises. Les premières sont des solutions complètes conçues pour les réseaux mondiaux des FAI et sont très couteuses. La plupart des organisations qui veulent protéger leurs centres de données privés optent habituellement pour les modèles entreprises qui offrent une détection et protection DDoS rentable. Les modèles d’aujourd’hui peuvent gérer des attaques volumétriques en masse et assurer une protection à 100% des couches 3, 4 et 7 ou peuvent être utilisés pour compléter une protection fournie par le FAI contre les attaques DDoS en masse et assurer une détection et protection avancées de la couche 7. Bien que ces dispositifs nécessitent un investissement initial, ce qui n’est pas le cas des solutions hébergées, ils sont généralement beaucoup moins chers à long terme si l’on prend en compte les frais excédentaires dans le budget total.

Les entreprises devraient considérer des appliances de protection d’attaques DDoS qui utilisent des méthodes d’adaptation basées sur le comportement pour identifier les menaces. Ces appliances apprennent les bases de référence de l’activité normale des applications et ensuite surveillent leurs trafics par rapport à ces bases. Cette approche d’adaptation/d’apprentissage a l’avantage de protéger les utilisateurs des attaques zero-days inconnues puisque que le dispositif n’a pas besoin d’attendre que les fichiers signatures soient mis à jour.

Les attaques DDoS sont en hausse pour presque toutes les organisations, grandes ou petites. Les menaces potentielles et volumes augmentent à mesure que de plus en plus d’appareils, y compris les téléphones mobiles, accèdent à Internet. Si votre organisation a une propriété Web, la probabilité de subir une attaque n’a jamais été aussi élevée. La nature évolutive des attaques DDoS signifie que les entreprises ne peuvent plus compter uniquement sur leur FAI pour se protéger. Les organisations doivent commencer à effectuer des changements dès à présent pour une plus grande prévoyance et bénéficier de défenses plus proactives pour les services au niveau des applications et du réseau.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile