Cybersécurité, Linux

Une vulnérabilité sévère affecte toutes les distributions Linux

Des chercheurs annoncent la découverte d’une vulnérabilité par corruption de mémoire dans le composant pkexec de polkit, un utilitaire SUID accordant des privilèges racine aux utilisateurs et qui est installé par défaut sur les principales distributions Linux.

Le directeur du Lab Qualys déclare : « Nous continuons de dire que chaque nouvelle vulnérabilité sévère est un « coup de semonce », mais, dans les faits la communauté ne réagit pas. Pourtant, à l’ère des vulnérabilités Log4Shell, SolarWinds, MSFT Exchange, etc., il est essentiel que ces dernières soient rapportées de manière responsable et que, face à tel niveau de sévérité, elles soient corrigées et atténuées sans délai. »

Vu l’ampleur de la surface d’attaque de cette vulnérabilité à la fois sur des systèmes d’exploitation Linux et non Linux, Qualys recommande aux utilisateurs d’appliquer immédiatement les correctifs disponibles pour cette vulnérabilité. Les clients Qualys actifs peuvent rechercher la CVE-2021-4034 dans la base de connaissances des vulnérabilités pour localiser tous les identifiants QID et les actifs sensibles à cette vulnérabilité.

Divulgation de cette vulnérabilité pas à pas: 

  • Information technique :
    • Polkit (anciennement PolicyKit) est un programme qui permet de contrôler les privilèges système sur les systèmes d’exploitation de type Unix.
    • Il permet aux processus non privilégiés de communiquer de manière organisée avec les processus privilégiés.
    • polkit peut aussi être utilisé pour exécuter des commandes avec des privilèges élevés à l’aide de la commande pkexec suivi de la commande à exécuter (avec une permission racine).
  • Impact :
    • Connue de toute la communauté depuis plus de 12 ans, cette vulnérabilité affecte toutes les versions de pkexec depuis sa toute première version qui remonte à mai 2009.
    • S’il exploite cette vulnérabilité dans sa configuration par défaut, un utilisateur dépourvu de privilèges peut obtenir des privilèges racine complets sur un serveur vulnérable.
    • Cette vulnérabilité est extrêmement grave car elle affecte toutes les principales distributions Linux et qu’elle est facilement exploitable, raison pour laquelle l’équipe de chercheurs Qualys ne publie pas l’exploit associé.
    • Les chercheurs en sécurité Qualys ont pu, de manière indépendante, vérifier cette vulnérabilité, développer un exploit et obtenir des privilèges racine complets sur des installations par défaut de Ubuntu, Debian, Fedora et CentOS. D’autres distributions Linux sont vulnérables de la même manière et probablement exploitables.
Cybersécurité

Scanning Make Easy

Scanning Make Easy : la collection de scripts NMAP de la cybersécurité britannique.

Le National Cyber Security Center du Royaume-Uni a partagé publiquement une collection de scripts NMAP permettant d’analyser les réseaux à la recherche de vulnérabilités. Mission, aider les professionnels de l’informatique à combler les lacunes en matière de sécurité.

Une initiative baptisée SME (Scanning Make Easy).

Argent, Communiqué de presse

Comment choisir son forfait haut débit mobile ?

Le haut débit mobile désigne la connexion Internet de meilleure qualité fournie par les opérateurs de téléphonie mobile. En termes clairs, plus la connexion haut débit est rapide, plus la connectivité et la communication sont fluides et intéressantes. Découvrez ici comment choisir le forfait haut débit idéal à votre style de vie.

Consulter les offres disponibles

En fonction de votre disponibilité et de vos besoins, il faudra opter entre différentes offres. À titre illustratif, les personnes qui n’utilisent pas la télévision et le téléphone fixe à la maison peuvent opter pour une offre Internet seule. Les étudiants et apprenants chercheurs peuvent opter pour les offres plus adaptées à leurs besoins. À cet effet, plusieurs offres très haut débit sont disponibles auprès des opérateurs.

Évaluer vos besoins

Étant donné les diverses propositions de forfaits hauts débits disponibles sur le marché, il est impératif de faire le point de vos besoins avant de faire un choix. Ainsi, il faudra prendre en compte certains détails comme le débit de navigation, la consommation de données, les équipements.

Le débit de navigation

Le débit ou la vitesse de votre connexion mobile désigne la vitesse à laquelle les données sont transférées. Avec la génération du haut débit, cette vitesse est généralement exprimée en Mégabits par seconde (Mb/s) ou en Gigabits par seconde (Gb/s) pour les connexions ultrarapides via le réseau fibre optique. Plus cette vitesse est élevée, moins il vous faudra du temps pour télécharger un fichier, pour afficher des sites web et profiter d’une bonne qualité des chaines TV sur votre box.

 La consommation de données

Pour déterminer votre consommation de données, il faudra quantifier votre consommation en Internet fixe et mobile en Mo (Méga Octet) ou en Go (Giga Octet). Faites le point du nombre d’appareils qui devront se connecter à Internet simultanément. Le forfait illimité de haut débit est l’une des meilleures options pour les familles nombreuses.

Les équipements 

Vous pourrez aussi avoir besoin de louer des équipements de connexion auprès de votre fournisseur. Mais si vous disposez déjà d’équipement comme un routeur à la maison, il ne sera plus nécessaire d’en louer.

Déterminez la durée de votre engagement

Les fournisseurs d’accès Internet proposent souvent différentes durées d’engagement. Il serait donc préférable d’opter pour des forfaits de courte durée pour bénéficier à tout moment d’un nouveau forfait plus intéressant. Vous pourrez toujours souscrire une meilleure offre chez un concurrent. Cependant, il existe quelques conditions qui encadrent la résiliation de l’engagement auprès de votre fournisseur. Vous pourrez aussi payer des frais de résiliation.

Demander des avis

Pour ne pas faire un mauvais choix, il serait judicieux de consulter les avis de vos proches ou voisins. N’hésitez donc pas à leur poser des questions par rapport à leur connexion haut débit, la qualité des services de leurs fournisseurs Internet et d’autres renseignements utiles. Aussi, vous pouvez consulter des sites web et plateformes adaptés pour avoir des avis sur les différents forfaits haut débit, les avantages et inconvénients de chaque fournisseur d’accès mobile. Par ailleurs, certains fournisseurs proposent des tests d’éligibilité sur leur site. Cela vous permet d’avoir leurs prix et caractéristiques en fonction de votre habitation.

Bitcoin, Cybersécurité

BHUNT, voleurs de crypto wallet

BHUNT, une nouvelle famille de malwares voleurs de crypto wallet  découverte.

Les analystes de de la société Bit’defender ont déterminé que BHUNT est un voleur de crypto-monnaies capable d’exfiltrer le contenu des portefeuilles (Bitcoin, Litecoin, Ethereum, Jaxx, Atomic, Electrum, Exodus) ainsi que les mots de passe stockés dans le navigateur et les phrases de passe capturées dans le presse-papiers utilisé pour récupérer les comptes.

Le flux d’exécution de BHUNT est différent de ce que l’on voit habituellement. Le malware utilise VMProtect et Themida comme packers qui utilisent une machine virtuelle logicielle pour émuler des parties du code sur un CPU virtuel dont le jeu d’instructions est différent de celui d’un CPU conventionnel, ce qui rend la rétro-ingénierie extrêmement difficile.

Principales conclusions

– BHUNT utilise des scripts de configuration chiffrés qui sont téléchargés depuis des pages publiques Pastebin.

– Les échantillons de BHUNT obtenus semblent avoir été signés numériquement avec un certificat numérique émis par une société de logiciels, mais le certificat numérique ne correspond pas aux binaires.

– Les serveurs responsables de l’exfiltration utilisent Hopto.org, un service DNS dynamique pour masquer les adresses IP.

– La campagne semble cibler les utilisateurs particuliers et est répartie de manière homogène sur le plan géographique.

Cybersécurité, Securite informatique

Cybersécurité : les pirates Russes loucheraient sur le Canada

Le Centre Canadien pour la cybersécurité s’inquiète d’une augmentation d’activités de cybermenace qui pourraient être parrainées par de pirates Russes.

Mais que recherchent les pirates informatiques Russes sur le sol Canadiens ? Le froid ? Non, ils ont ! Les magnifiques étendues naturelles ? Non, ils ont aussi ! A première vue, selon le Centre Canadien pour la cybersécurité (L’ANSSI de nos cousins du Grand-Nord), ils loucheraient sur les infrastructures essentielles du Canada.

Parmi ces piratages, et ils ne sont pas que Russes à se pencher sur le Canada, infiltrer pour voler des données ; rançonner à coup de ransomware et réclamer une rançon ; jouer avec les cours de l’Energie en tentant de bloquer la production. « Le Centre canadien pour la cybersécurité (CCC) encourage la communauté canadienne de la cybersécurité, surtout les responsables de la défense des réseaux des IE, à prendre des mesures proactives de surveillance et d’atténuation sur les réseaux.« 

Le CCC rappel aussi que se doter « d’un plan d’intervention en cas de cyber incident, d’un plan de continuité des activités et d’un plan de communication, et se préparer à les appliquer » ne doit plus être une option.

Parmi les dernières victimes repérées par Data Security Breach, la société Medical Pharmacies, un leader en matière de gestion des médicaments, de services pharmaceutiques spécialisés et de fourniture de matériel et d’équipement médicaux à l’industrie canadienne des soins de santé. Le groupe de pirates Snatch a volé pour plus de 100 GB d’informations internes et diffusé plus de 260 Mo.

cyberattaque, Mise à jour

Patch Tuesday Janvier 2022

Microsoft a corrigé 126 vulnérabilités dont 9 sont classées comme critiques. Au moment de la publication de cette analyse aucune des 126 vulnérabilités n’est exploitée de manière active. Microsoft a  dans ses logiciels, dont des vulnérabilités exploitées par exécution de code à distance (RCE), des failles de sécurité facilitant une élévation de privilèges, l‘usurpation d’identité et de déni de service (DoS).

Vulnérabilités Microsoft critiques corrigées 

CVE-2022-21907 – Vulnérabilité par exécution de code à distance dans la pile du protocole HTTP 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Elle affecte les serveurs Windows configurés comme serveurs Web. Pour exploiter cette vulnérabilité, un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce vers un serveur vulnérable en s’appuyant sur la pile du protocole HTTP pour traiter des paquets. Cette vulnérabilité est connue pour se propager sous la forme de vers. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-21849 – Vulnérabilité par exécution de code à distance dans le composant IKE Extension de Windows 

Affichant un score de sévérité CVSSv3.1 de 9,8/10, cette vulnérabilité affecte les systèmes fonctionnant avec la version 2 du composant IKE (Internet Key Exchange). Même si pour l’instant peu d’informations sont disponibles sur cette vulnérabilité, un attaquant à distance peut déclencher plusieurs vulnérabilités lorsque le service IPSec est exécuté sur le système Windows, sans besoin d’être identifié. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21846 – Vulnérabilité par exécution de code à distance sur Microsoft Exchange Server 

Cette vulnérabilité a été découverte et signalée à Microsoft par la NSA (National Security Agency). Elle affiche un score de sévérité CVSSv3.1 de 9,0/10. L’attaque associée à cette vulnérabilité se limite au niveau protocolaire à une topologie logiquement adjacente. Elle ne peut donc tout simplement pas être lancée sur Internet et doit plutôt s’appuyer sur un élément spécifiquement lié à la cible, par exemple un même réseau physique partagé (Bluetooth ou IEEE 802.11 notamment), un réseau logique (par ex. un sous-réseau IP local) ou depuis un domaine administratif sécurisé ou limité (par exemple MPLS, un VPN sécurisé vers une zone administrative du réseau). De nombreuses attaques exigeant des configurations de type Man-in-the-middle ou tributaires d’un ancrage dans un autre environnement fonctionnent de la sorte. Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-21837 – Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,3/10. Un attaquant peut exploiter cette vulnérabilité pour accéder au domaine puis exécuter du code à distance sur le serveur SharePoint pour s’élever lui-même au rang d’administrateur SharePoint. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21840 – Vulnérabilité par exécution de code à distance dans Microsoft Office 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Elle ne peut être exploitée que si l’utilisateur ciblé ouvre un fichier malveillant.

Dans un scénario d’attaque par email, l’attaquant exploitera la vulnérabilité en envoyant un fichier malveillant spécifique sur la messagerie de la cible avant de le convaincre de l’ouvrir. 

L’attaquant peut aussi héberger un site Web (ou utiliser un site Web compromis qui accepte ou héberge du contenu fourni par un utilisateur) qui contient un fichier malveillant personnalisé pour exploiter une vulnérabilité dans le cas d’une d’attaque via le Web. Évaluation d’exploitabilité :Exploitation moins probable

Adobe Patch Tuesday – Janvier 2022 

Adobe a publié des mises à jour pour corriger 41 CVE affectant Adobe Acrobat et Reader, Bridge, Illustrator, InCopy et InDesign. Parmi ces 41 vulnérabilités, 22 sont considérées comme critiques. Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS qui permettent de corriger de nombreuses vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution de code arbitraire, une fuite de mémoire, un déni de service de type applicatif ainsi qu’un contournement des fonctions de sécurité et une élévation de privilèges.  

cyberattaque, DDoS

Le secteur industriel plus que jamais menacé

Cloudflare, spécialiste de la sécurité, la fiabilité et la performance d’internet, présente son rapport sur les attaques DDoS du 4ème trimestre 2021. Un palmarès qui souligne l’importance de la fortification des cyberattaques. La découverte, en décembre, de la vulnérabilité Log4, considérée comme l’une des plus importante et dangereuse en est la preuve.
  • Le secteur industriel plus que jamais menacé : Pour la première fois, l’industrie arrive en tête des secteurs les plus attaqués. Au dernier trimestre 2021, Cloudflare enregistrait une hausse de 641% du nombre d’attaques par rapport au trimestre précédent. Ces menaces viennent affaiblir un secteur déjà très affecté par la pénurie de matières premières et des difficultés de livraison qui l’empêchent de répondre à la demande croissante. En deuxième et troisième position, on retrouve respectivement les services aux entreprises et le secteur du gaming.
  • Les ransomwares continuent de progresser : Alors que le botnet Meris était en première ligne au trimestre précédent, la fin de l’année a vu le nombre de ransomwares augmenter de 175%. Dans une enquête réalisée par Cloudflare, 22% des répondants affirmaient avoir reçu une demande de rançon.
  • Une attaque de 2 Tbps déjouée : En novembre dernier, Cloudflare a subi une tentative d’attaque qui, à son plus haut pic, enregistrait de 2 Tbps. A ce jour, il s’agit de l’attaque la plus puissante ayant ciblée l’entreprise et ce, alors qu’elle n’a duré qu’une minute.

En savoir plus.

Mise à jour

Outils de production et chaînes industrielles

Focus sur deux axes principaux de vulnérabilités : Outils de production et chaînes industrielles, et évolutions des processus de gestion des actifs avec le télétravail

Si l’on se réfère à la source CVE Details, 2021 aura été l’année de la découverte du plus grand nombre de vulnérabilités logicielles, qu’il s’agisse de problèmes mineurs concernant des solutions logicielles de niche ou d’incidents critiques affectant des millions d’actifs informatiques. En parallèle, les entreprises auront dû gérer la sécurité sur les équipements distants, les services Cloud et les plateformes informatiques traditionnelles en raison du tumulte provoqué par la pandémie COVID-19.

En 2022, les entreprises seront contraintes de moderniser leurs processus pour gérer la sécurité. Cela implique notamment que l’équipe chargée de la sécurité IT endosse davantage de responsabilités dans d’autres domaines technologiques. Parmi les solutions, et elles sont nombreuses, se pencher sur les avantages d’un logiciel sur mesure.

Le télétravail a initié la nécessaire évolution des processus de gestion des actifs.

Avec le télétravail les équipes informatiques se sont adaptées aux nombreuses entreprises qui ont dû faire évoluer leurs pratiques opérationnelles en matière de sécurité alors que leurs employés achetaient de nouveaux équipements ou logiciels afin de pouvoir travailler à distance. Dans la panique, les programmes d’inventaire des actifs en place ont été ignorés et les équipes chargées des opérations et de la sécurité informatiques ont donc perdu la visibilité sur ce qui existait en raison des actifs qui n’étaient plus sur le réseau de l’entreprise. C’est donc la sécurité en général qui a souffert de cette situation.

Aujourd’hui, les employés se sont installés dans la routine du télétravail. Cependant, les entreprises restent dans le même mode urgence lorsqu’il s’agit de sécurité, plutôt que d’envisager cette dernière comme faisant partie intégrante des opérations quotidiennes de l’entreprise. Croiser des employés, dans des chambres d’hôtes, d’hôtel et ne pas faire attention à leur cyber est un risque qu’il n’est plus possible d’ignorer. Les « logeurs » doivent prendre en compte leur sécurité informatique. Un vecteur qui rassurera les futurs clients. Il existe du logiciel pour chambre d’hôtes qui font parfaitement l’affaire.

La sécurité est mise à mal lorsque l’entreprise ne dispose pas d’un inventaire des actifs actualisé qui indique les points d’extrémité existants, à savoir ceux qui restent sur le réseau de l’entreprise et ceux à distance. En 2022 ces entreprises seront mises en difficulté car certaines comptent sur un retour à la normale qui ne se produira sans doute pas. Les équipes doivent donc repenser leurs stratégie et processus pour prendre en charge en priorité leurs collaborateurs distants et appliquer la même approche aux différents sites de l’entreprise.

Les inventaires des actifs sont précis … et alors ?

Cette nouvelle priorité accordée à une gestion universelle, homogène et permanente des actifs est l’objectif que toutes les équipes de sécurité devraient se fixer. Cependant, la réalité de la conception et des responsabilités organisationnelles peut poser un frein, pourtant l’évolution vers le télétravail oblige à réviser les processus de gestion des mises à jour et de déploiement des correctifs.

Cela ne concerne pas tant la technologie que le mode de collaboration des équipes pour gérer les correctifs et les mises à jour des activités opérationnelles. Pour les plus grandes entreprises, cette tâche peut s’avérer difficile lorsqu’elle implique plusieurs équipes, et si il y a plusieurs entités à gérer avec différentes parties prenantes sur les décisions.

Les entreprises peuvent faire bouger les lignes en se penchant notamment sur l’intérêt de l’informatique pour l’activité de l’entreprise. Par exemple, faire de la sécurité une priorité métier est un sujet évoqué depuis des décennies. L’augmentation des attaques par ransomware et les coûts élevés associés, obligera les entreprises à prendre ce sujet à-bras-le-corps tandis que les décideurs définiront davantage d’objectifs pour garantir la sécurité de leurs systèmes. Aussi, responsabiliser les dirigeants notamment au déploiement des mises à jour permet de promouvoir cette approche de la gestion des risques métier.

 

Les machines et réseaux industriels devront s’aligner sur la sécurité informatique

Cette année, Gartner prévoit que les cyberattaquants se serviront des environnements à technologie d’exploitation (OT) comme armes pour cibler les humains d’ici 2025. Il est à craindre que cela arrive plus tôt, dès 2022. Le décès d’un nouveau-né en 2021 a par exemple été attribué à une attaque par ransomware contre un hôpital américain, dont l’ensemble de l’informatique était hors service. Davantage d’attaques ciblant des systèmes OT auront lieu et toucheront des infrastructures critiques si ces systèmes ne sont pas protégés de manière appropriée.

Or, les environnements OT reposent généralement sur des technologies obsolètes. Coûteux et devant durer des années, nombre de ces actifs présentent des failles de sécurité connues mais jamais corrigées, notamment parce que mettre à l’arrêt la chaîne de production pour appliquer un correctif peut coûter plusieurs millions d’euros en perte de productivité. De plus, il n’existe pas toujours de correctifs pour des failles qui affectent des équipements en fin de vie.

La protection de ces systèmes s’est traditionnellement appuyée sur l’air gapping, une mesure de sécurité qui permet notamment d’isoler complètement un réseau de l’Internet public. Aujourd’hui, les entreprises ne peuvent plus se passer de cette option car elles souhaitent exploiter en temps réel les données fournies par leurs systèmes pour mieux se positionner face à la concurrence, et ce malgré les risques liés à l’interconnexion de toujours plus de réseaux OT. En outre, de récentes recherches indiquent l’existence de nouveaux modes opératoires destinés à établir une passerelle avec les mesures d’air gapping si bien que s’en remettre aux seuls modèles de sécurité traditionnels ne suffit plus.

Des années durant, la technologie d’exploitation a été totalement tenue à l’écart de l’IT, au point que les équipes informatiques avaient du mal à comprendre ce qui était utilisé et à identifier les menaces. Dans la pratique, la sécurité OT a une décennie de retard par rapport à la sécurité informatique en matière de conception de bonnes pratiques et de processus. En 2022, la soif de données et les risques d’attaque contraindront à investir davantage pour renforcer cet aspect.

Les équipes en charge de la sécurité informatique seront sollicitées pour s’investir dans ce domaine car ce sont elles qui comprennent le mieux le paysage évolutif des menaces. L’entière collaboration de toutes les équipes sera requise, conditionnée par une vision globale de l’ensemble des actifs connectés, qu’il s’agisse du Cloud et des conteneurs qui peuvent être mis à jour en quelques secondes ou d’actifs OT déployés depuis des années et qui n’évolueront pas dans l’immédiat.

Définir les processus et les pratiques de sécurité qui prendront en compte tous ces actifs exigera de mettre en place une stratégie de gestion des risques adaptée. La même approche ne pourra pas être appliquée partout et définir des priorités sera indispensable au succès de cette stratégie. Il s’agira d’un travail nécessaire pour prévenir d’autres incidents comme les cyberattaques lancées contre l’opérateur américain d’oléoducs Colonial Pipeline et des établissements de santé.

En 2022, les attaques par ransomware affecteront plus souvent les actifs OT. Les cyberassureurs sont en train de revoir leur couverture concernant les attaques par ransomware afin que les entreprises ne puissent plus se reposer sur leur police d’assurance pour la prise en charge des frais. En lieu et place, les entreprises devront reconnaître l’existence de risques métier et les résoudre au lieu de se contenter de les consigner dans un registre et de faire le gros dos pour qu’une violation ne se produise pas. (Paul Baird, CTSO UK, Qualys)

Cybersécurité

Vol d’identifiant de connexion

Découverte d’un problème de sécurité dans un logiciel censé fournir des fonctions supplémentaires aux serveurs Web Microsoft. Des pirates seraient capable de voler les identifiants saisis lors d’une connexion à Outlook Web Access (OWA) via une faille exploitée dans un nouveau module IIS.

Baptisé Owowa, ce module IIS a été compilé entre fin 2020 et avril 2021. Il permet à des pirates d’accéder à distance au serveur sous-jacent. Cela constitue une méthode de vol furtive difficile à détecter via la surveillance du réseau. Résistant également aux mises à jour logicielles d’Exchange, il peut rester longtemps caché sur un appareil.

En 2021, les groupes de malveillants ont intensifié leur exploitation des vulnérabilités Microsoft Exchange Server. En mars 2021 par exemple, quatre failles critiques de serveurs ont permis aux black hat d’accéder à tous les comptes de messagerie enregistrés et d’exécuter du code arbitraire.

En recherchant d’autres implants potentiellement frauduleux dans Exchange, les experts ont découvert un module malveillant qui permet aux hackers malveillant de voler les identifiants de connexion à Outlook Web Access et d’exercer un contrôle à distance sur le serveur sous-jacent. Les fonctionnalités malveillantes de ce malware baptisé Owowa se déploient facilement via l’envoi de demandes d’apparence inoffensive, en l’occurrence des requêtes d’authentification OWA.

Bref, autant dire qu’un antivirus pour Windows est plus que nécessaire pour palier toute tentatives d’infiltration d’un code malveillant.

Les experts pensent que les cibles de cet outil pirate sont basés en Asie, et plus précisément en Malaisie, en Mongolie, en Indonésie et aux Philippines. La plupart étaient liées à des organisations gouvernementales et une autre à une société de transport d’État. Il est probable que d’autres victimes soient basées dans le monde depuis.

« Owowa est particulièrement dangereux car un attaquant peut l’utiliser pour voler passivement les identifiants d’utilisateurs qui accèdent légitimement à des services Web. C’est un moyen bien plus discret d’obtenir un accès à distance que l’envoi d’un e-mail de phishing. De plus, même si des outils de configuration IIS peuvent détecter ce type de menace, ils ne sont pas intégrés aux activités standard de surveillance des fichiers et des réseaux. Par conséquent, Owowa peut facilement passer inaperçu », souligne Pierre Delcher, Senior Security Researcher au sein de la Global Research and Analysis Team (GReAT).

« Puisque Owowa est un module IIS, il se maintient même en cas de mise à jour de Microsoft Exchange. La bonne nouvelle est que les attaques ne semblent pas très sophistiquées. Les entreprises doivent surveiller de près les serveurs Exchange, qui sont particulièrement sensibles et contiennent tous leurs échanges d’e-mails. Nous recommandons également de considérer tous les modules en cours d’exécution comme critiques et de les vérifier régulièrement », ajoute Paul Rascagneres, Senior Security Researcher, GReAT.

Cybersécurité

Ce que la cybersécurité a à apprendre des jeux vidéo

Les moyens mis en œuvre pour protéger la sécurité numérique des personnes et des États ne cessent d’évoluer avec le temps. Pour améliorer ces performances, les professionnels de la cybersécurité peuvent se tourner vers un secteur riche en enseignements, celui des jeux vidéo.

Le problèmes des outils de cybersécurité

Pour garantir notre protection, de nouvelles solutions de sécurité sont proposées chaque année par les industriels. Ces solutions, souvent faillibles, peinent à convaincre les utilisateurs puisqu’elles ne permettent pas une réelle implication de l’utilisateur. Pour s’améliorer, l’industrie de la cybersécurité devrait peut-être s’inspirer des règles et pratiques des jeux vidéo.

Les jeux vidéo et l’implication de l’utilisateur

Parmi les caractéristiques des jeux vidéo, et les raisons de la fidélité des joueurs, on trouve en premier lieu la notion de gameplay. Il s’agit de la sensation tactique et de l’interaction du joueur avec le jeu, en dehors des effets visuels et sonores. De la qualité du gameplay dépend le succès du jeu vidéo. S’inspirer de ce concept signifierait pour les industriels de la cybersécurité proposer des outils engageants pour l’utilisateur. En étant l’acteur de sa propre protection, il prendrait conscience de l’importance de perdre certaines mauvaises habitudes.

La force de la communauté des joueurs et l’ensemble des stratégies élaborées, notamment dans les jeux PVP comme Mech Arena ou Total Domination, sont un autre aspect à exploiter pour améliorer les performances des outils de protection numérique. La logique, la ténacité et la vigilance des joueurs sont autant d’attributs à transposer chez les utilisateurs de produits virtuels.

Les jeux RTS, une source d’inspiration méconnue

La cybersécurité et les jeux RTS, des principes communs

Parmi les nombreux types de jeux vidéo, il y en a un dont les mécanismes sont particulièrement intéressants pour la cybersécurité : les jeux RTS (Real-Time Strategy) ou STR en français (Stratégie en Temps Réel). Le principe de ces jeux est de construire des structures et des unités dans le but d’acquérir des ressources pour défendre les zones contrôlées par le joueur en temps réel.

Les similarités entre jeux RTS et protection numérique traditionnelle

Les principes et pratiques des jeux RTS rappellent les règles du monde de la cybersécurité. Dans les deux cas, l’utilisateur doit comprendre la nature du terrain ou de la structure, construire et gérer des structures ou des logiciels, prioriser les alertes et les attaques, gérer les ressources, évoluer dans un climat d’incertitude et maîtriser le micro management et le macro management.

Les différences entre la cybersécurité et les jeux RTS

Si ces similarités sont frappantes, les différences entre ces deux univers le sont tout autant puisqu’il est facile d’apprendre les règles des jeux RTS, mais très difficile de comprendre celles de la cybersécurité. De même, il est difficile de se défendre en équipe dans le monde réel alors que c’est la base des jeux vidéo. Et bien sûr, ne pas réussir à contrer une attaque dans un jeu RTS ne fait que redémarrer la partie, tandis que les conséquences sont bien plus graves lorsqu’il s’agit d’une agression dans la réalité.
En fait, ce sont ces différences qui devraient inspirer les concepteurs d’outils de protection numérique. En faisant des utilisateurs les acteurs de leur propre sécurité et en leur permettant d’apprendre rapidement et facilement les règles de la protection numérique, un grand nombre de menaces et d’attaques pourraient facilement être parées au quotidien.

Le monde de la cybersécurité a tout à gagner à tirer des enseignements d’autres secteurs, notamment ceux du divertissement, pour améliorer la performance de ses produits.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile