Securite informatique

CDN et DDoS : Ne pas mettre tous les œufs dans le même panier

Les réseaux de diffusion de contenu, les Content Delivery Network (CDN) ont été conçus pour optimiser les performances en matière de distribution de contenus sur Internet et pour optimiser les coûts de bande passante pour celui qui produit ce contenu, afin de faire face à des demandes de plus en plus nombreuses, et à une volumétrie de données à fournir, en forte croissance. Nous entendons souvent l’argument que la protection contre les attaques DDoS fournie par un CDN est LA solution permettant de se protéger : Voyons sur quoi se base cet argument.

En simplifiant, un CDN est constitué d’un ensemble de serveurs interconnectés, largement distribués du point de vue géographique et mais aussi logique au sein du maillage de l’Internet. Le CDN utilise ces serveurs distribués pour cacher le contenu de leurs clients et le diffuser à leurs utilisateurs. Une utilisation astucieuse du routage permet de s’appuyer sur les « caches » les plus proches de chaque client, permettant une livraison plus rapide du contenu, et d’éviter ainsi de consommer des ressources – y compris la bande passante – du serveur d’origine hébergeant le contenu original.

Quand un client demande une première fois une ressource – une image ou une page web, le CDN doit chercher ce contenu auprès du serveur d’origine pour servir le client. Par contre, à partir de ce moment, la ressource reste « en cache », distribuée au sein du CDN, afin de servir toute nouvelle demande, par n’importe quel client, à partir de ces caches.

Les CDN cachent typiquement le contenu statique, qui ne change pas, comme justement les images d’un site web. Cependant, les CDN ne peuvent pas ou sont plus limités en leur capacité de cacher du contenu dynamique, comme les informations concernant les stocks et les commandes d’un site de vente.

Le contenu dynamique typiquement hébergé par le site d’origine. Le site d’origine sollicité, non pas par ses utilisateurs, mais par le CDN, d’une part pour du contenu statique pas encore caché et d’autre part pour le contenu dynamique, qui ne peut pas être caché.

CDN ET PROTECTION CONTRE LES ATTAQUES DDOS

De par sa nature, le CDN dispose des mécanismes qui peuvent être utiles en face d’attaques par déni de service distribuée. Par exemple, un CDN dispose souvent de ressources importantes en termes de capacité réseau et de serveurs, lui permettant souvent tout simplement d’absorber une quantité plus importante de requêtes que le serveur d’origine.

De plus, par les mêmes mécanismes de distribution et de routage qui lui permettent de distribuer la charge des utilisateurs, les attaques distribuées amenées à viser non plus une cible unique, mais une cible distribuée en fonction de la localisation de chaque source d’attaque.

« THE DEVIL IS IN THE DETAILS »

Par contre, malgré ces couches de protection utiles, le fonctionnement même d’un CDN peut ouvrir de nouveaux vecteurs d’attaque ou rendre la défense du serveur d’origine plus

difficile. Par exemple, si une attaque, faisant usage d’un botnet, sollicite un site web pour des ressources non-existantes, et donc non-cachées, cela peut amener le CDN à solliciter à son tour le serveur d’origine à répétition pour ces ressources et provoquer une condition de déni de service pour le serveur d’origine.

En plus, l’attaque vue par le serveur d’origine semble provenir du CDN lui même ! Dans cette situation, il peut être difficile au serveur d’origine de se protéger car le CDN est en même temps l’origine de l’attaque et des requêtes légitimes: Des approches simples s’appuyant sur le blacklisting des sources au niveau du serveur d’origine ne peuvent plus être utilisées dans ce cas.

D’autre part, il ne faut pas oublier que les protections fournies par le CDN ne couvrent que le contenu caché. Le serveur d’origine, ainsi que plus généralement, l’entreprise à qui le site appartient, aura probablement besoin d’une connectivité fonctionnelle. Au-delà du serveur d’origine qui doit pouvoir fournir le contenu non-caché et dynamique pour le CDN, le service aura peut-être besoin d’interagir avec d’autres sites, l’entreprise de pouvoir envoyer et réceptionner des emails, ses équipes d’accéder aux services de Voix sur IP ou de se connecter à Internet d’une manière générale pour accéder à des services cloud comme Google GSuite ou Microsoft Office 365.

Tout cela nécessite que des services on-site ou à minima l’accès Internet de l’entreprise, qui ne peuvent pas être protégés par un CDN, continuent à fonctionner.

Protections de type volumétriques

De plus, en fonction du CDN, les protections fournies limitées aux protections de type volumétriques, alors que des attaques applicatives plus sophistiquées risquent de traverser le CDN et d’atteindre le site d’origine. En somme, la situation est souvent bien plus complexe qu’imaginée au premier abord.

Premièrement, il est important de bien comprendre le fonctionnement, pas seulement de son site Internet, mais de son entreprise dans sa globalité et d’effectuer une analyse de risque pour identifier les différentes menaces. Ensuite, selon les risques impliquant la disponibilité et/ou la qualité de service des communications, des services réseau et/ou des applications, il peut être utile de s’appuyer sur des fonctionnalités de protection fournies par son CDN – potentiellement plus capables pour des grosses attaques volumétriques – ou utiliser des protections plutôt de type « On-Premise », potentiellement plus précises et capables pour des attaques applicatives.

Souvent une protection optimale implique une protection hybride, combinant la précision et rapidité d’une solution « On-Premise », avec des capacités volumétriques suffisamment élevés proposées par un fournisseur de service de mitigation.

Dans certains cas le CDN peut-être un composant adapté, dans d’autres vous aurez besoin d’une capacité de protection volumétrique importante capable aussi à protéger votre site local. (Par Jouni Viinikka, Directeur R&D chez 6cure ; Frédéric Coiffier, Ingénieur Développement Logiciel chez 6cure)

backdoor, Cybersécurité, IOT

NAS et Routeurs Zyxel/Linksys dans la ligne de mire de pirates

Découvertes de plusieurs cyber attaques visant les utilisateurs de stockages connectés Zyxel et routeurs Linksys.

Une ne nouvelle variante de Mirai vise les stockages connectés Zyxel.

Appelé Mukashi, ce malware utilise des attaques par force brute. Mission, s’infiltrer via différentes combinaisons d’identifiants par défaut afin de se connecter aux produits de stockage en réseau Zyxel.

Une cyber attaque qui a pour mission de prendre le contrôle et d’ajouter à un réseau de dispositifs pouvant être utilisés pour conduire des attaques DDoS.

Le PoC (proof-of-concept) de la faille CVE-2020-9054 a été rendu public en février 2019. Une vulnérabilité rapidement exploitée pour infecter des modèles NAS de chez Zyxel avec une nouvelle variante de Mirai : Mukashi. Ce code malveillant utilise la force brute pour s’infiltrer en utilisant différentes combinaisons d’identifiants par défaut, tout en informant son serveur C2 (command & contrôle) de ses réussites. De nombreux serveurs NAS de Zyxel, si ce n’est tous, utilisant les versions de firmware allant jusqu’à 5.21 sont concernés par cette vulnérabilité.

Cette vulnérabilité classée critique (c’est-à-dire un score de 9,8 selon le CVSS v3.1) en raison de son incroyable facilité d’exploitation. Faille découverte à l’origine par la vente de son code en tant que 0-day. Les pirates indiquaient que cet exploit était désormais dans les mains d’un groupe de cyber criminels qui cherchaient à l’intégrer dans l’autre code malveillant, Emotet.

Bot contre Zyxel

Mukashi est un bot qui scanne les ports 23 TCP d’hôtes au hasard. Il utilise la force brute pour s’infiltrer en utilisant différentes combinaisons d’identifiants par défaut et qui renvoie ses essais réussis vers un serveur C2. Comme les autres variantes de Mirai, Mukashi peut également recevoir des ordres de son serveur C&C et de lancer des attaques par déni de service (DoS). Une fois exécuté, Mukashi affiche le message « Protecting your device from further infections. » sur la console. Le malware change alors le nom de son processus en dvrhelper, suggérant que Mukashi a pu hériter de certaines particularités de son prédécesseur.

Avant d’exécuter son opération, Mukashi se lie au port TCP 23448 pour s’assurer qu’il n’y a qu’une seule instance tournant sur le système infecté. Le malware décode quelques chaînes de caractères à la volée lors de son initialisation. Contrairement à ses prédécesseurs qui utilisent le chiffrement xor classique, Mukashi utilise une routine de décryptage personnalisée pour chiffrer ces commandes et ces informations d’identification.

Il est indispensable de mettre à jour le firmware pour ne pas laisser entrer les attaquants. Les dernières versions du firmware sont disponibles en téléchargement. Mieux vaut utiliser des couples identifiants/mots de passe complexes pour éviter les attaques par la force brute.

Chez Linksys

Pendant ce temps, Bitdefender découvrait une nouvelle attaque ciblant les routeurs Linksys. La cyber attaque a pour mission de modifier les paramètres DNS des matériels. Mission, diriger les utilisateurs vers une page web liée au COVID-19. Une page ayant pour mission diffuser des logiciels malveillants. L’attaque a débuté le 18 mars 2020. Elle utilisait le service de raccourcissement d’adresse web TinyURL et quatre stockages Bitbucket.

Les principaux pays touchés auraient été la France, l’Allemagne et les États-Unis. 1 193 téléchargements auraient été détectées en deux jours.

Kit Covi-19 : protéger son entreprise et ses employés

Besoin d’un outil pour sécuriser vos équipes lors du confinement ? Le Kit Cyber Covid-19 a été mis en place par plusieurs entreprises Françaises, à l’initiative de ITrust.

Hacking

Un antispam pour se protéger du Coronavirus 2.0

Depuis quelques jours, des millions de personnes découvrent le télétravail. Travailler et communiquer à distance, via Internet. Une nouveauté dangereuses pour autant de monde. Les cybercriminels en profitent pour diffuser leurs cyberattaques par courriel. La masse d’attaques coronavirus place ces mails piégés dans le top 1 des cyberattaques le plus utilisées !

Des chercheurs ont notamment observé de nouvelles attaques de cybercriminels provenant des groupes TA 505 ou encore TA 564. Des sigles qui cachent surtout des pirates aux multi-activités malveillantes.

TA505 est dans le domaine de la cybercriminalité depuis au moins quatre ans. Il s’agit du groupe derrière le tristement célèbre cheval de Troie bancaire Dridex et le ransomware Locky. Des codes pirates fournis par le biais de campagnes de courrier électronique malveillantes via le botnet Necurs.

Les autres logiciels malveillants associés au TA505 incluent les familles de rançongiciels Philadelphia et GlobeImposter.

TA 564 a utilisé des courriels de coronavirus ciblant des utilisateurs canadiens. Ils usurpaient l’Agence de la santé publique du Canada dans le but d’installer le code malveillant Ursnif.

Ursnif est un cheval de Troie bancaire qui vole des données stockées, y compris des mots de passe, sur des sites Web bancaires via des injections Web, des proxys et des connexions VNC.

 Autant dire que l’utilisation d’un outil de sécurité anti-spam est indispensable !

Exemples de fraudes

  • Diffusion du logiciel malveillant  RedLine Stealer. Il profite de la générosité des internautes qui souhaiter aider dans la découverte d’un remède au Covid-19.  Ce code pirate est loué/vendu dans des forums russes accessibles en deux clics de souris. Il est possible de l’utiliser avec des options. Prix de départ 100. Il vise mot de passe, fichiers de types Word, Excel, texte mais aussi tente d’intercepter les informations concernant les portefeuilles de cryptomonnaie.
  • De faux courriels à destination des parents et professeurs. Ils contenaient le code Ursnif. Comme pour les arnaques « j’ai piraté » votre webcam, les pirates affichent la véritable identité dans le courriel piège. Ils utilisent de vieille bases de données piratées pour exploiter les adresses électroniques.
  • Zataz a découvert plusieurs fausses boutiques proposant des guides de survie (sic!), ou encore des plantes « magiques ».

A chaque catastrophe mondiale, les pirates en profitent

Depuis deux mois, les campagnes d’emails malveillants COVID-19 se sont intensifiée, jouant sur les craintes, légitimes, du public. On parle ici de plusieurs millions de courriels. D’abord, une attaque par jour. Aujourd’hui, il y en aurait entre 3 et 10 ! Autant dire que les logiciels de filtrage, comme celui d’Altospam deviennent indispensable. Sept courriels sur 10 analysés par l’entreprise Proof Point contenaient des logiciels pirates. Ils tentent d’intercepter les données des victimes. TOUTES les données, et pas que les informations bancaires ! Bref, peu importe le sujet, les attaques restent les mêmes et semblent être toujours aussi imposante.

Cybersécurité, IOT

Alarme, caméra, … objets connectés et sécurité !

Selon un rapport de Gartner en 2019, l’adoption de l’IoT par les entreprises a progressé de 21,5 % entre fin 2018 et 2019 pour atteindre un total estimé de 4,8 milliards d’appareils.1 Alors que l’Internet des objets (IoT) ouvre la voie à de nouveaux usages et services novateurs dans tous les secteurs, il présente aussi de nouveaux risques de cybersécurité. Caméra, meuble de cuisine, alarme… la cybersécurité et la conformité deviennent indispensables.

Pour évaluer l’état actuel du paysage des menaces lié à l’IoT, l’équipe de veille de sécurité Unit 42 a analysé les incidents tout au long de 2018 et 2019 avec Zingbox®, sa solution de sécurité IoT (Palo Alto Networks). L’outil couvre 1,2 milliard d’appareils IoT sur des milliers de sites physiques dans des services informatiques d’entreprise et de santé aux États-Unis.

Première constatation, le niveau de sécurité général des appareils IoT baisse, rendant ces services vulnérables à de nouvelles attaques de malware ciblées ainsi qu’à d’anciennes techniques oubliées par les DSI depuis longtemps.

Le rapport révèle l’étendue du paysage des menaces lié à l’IoT, les appareils les plus sujets à une attaque, les principales menaces et les mesures pratiques à mettre en œuvre pour réduire immédiatement le risque.

Prenons l’exemple des alarmes, d’autant plus quand ces dernières sont à des fins professionnelles. Le contrôle, les tests et les mises à jour sont indispensables. Les différents canaux de communications réclamés par ce type d’outil ne peut se faire au hasard « Grâce à l’utilisation de plusieurs canaux de communication (GSM et connexion haut débit), vous bénéficiez d’une connexion rapide et sûre à notre centre de télésurveillance. » indique Sector Alarm.

L’étude revient sur d’autres chiffres et problématiques.

Défaut de chiffrement et de sécurité des appareils IoT

  • 98 % de tout le trafic des appareils IoT n’est pas chiffré, exposant des données à caractère personnel et confidentiel sur le réseau. Les hackers parvenant à contourner la première ligne de défense (le plus souvent via des attaques de phishing) et à prendre le commandement et le contrôle (C2) peuvent écouter le trafic réseau non chiffré, collecter des données personnelles ou confidentielles, puis les exploiter à des fins lucratives sur le dark Web.
  • 57 % des appareils IoT sont vulnérables à des attaques de gravité moyenne à élevée, ce qui les rend attractifs pour les pirates. Étant donné le faible niveau général de mise à jour corrective du matériel, les menaces les plus répandues sont des exploits de vulnérabilités connues et des attaques de mot de passe avec des valeurs par défaut.

Exécution de logiciels obsolètes par les appareils médicaux IoT

  • 83 % des appareils d’imagerie médicale utilisent des systèmes d’exploitation qui ne sont plus sous support, soit une hausse de 56 % par rapport à 2018, à la suite de la fin de vie de Windows® 7. Cette baisse générale du niveau de sécurité ouvre la voie à de nouvelles menaces, comme le cryptojacking (en augmentation de 0 % en 2017 à 5 % en 2019), et ravive des risques oubliés depuis longtemps comme Conficker, dont les DSI s’étaient auparavant préservées.
  • Les appareils IoMT (Internet des objets médicaux) les plus problématiques en termes de sécurité sont les systèmes d’imagerie, qui constituent un élément crucial du processus clinique. Pour les services de santé, 51 % des menaces concernent du matériel d’imagerie, nuisant à la qualité des soins et permettant aux hackers de récupérer des données de patient stockées sur ce matériel.

Déficience des pratiques de sécurité réseau des services de santé

  • Dans le secteur de la santé, 72 % des VLAN combinent des ressources IoT et IT, d’où la diffusion du malware des ordinateurs des utilisateurs aux appareils IoT vulnérables sur le même réseau. On note un taux de 41 % d’attaques exploitant des vulnérabilités matérielles, comme celles par analyse des appareils connectés au réseau pour tenter de déceler des faiblesses connues. On constate que les réseaux de bots IoT menant des attaques par déni de service laissent place à des menaces plus sophistiquées ciblant les identités de patient, les données d’entreprise, à des fins lucratives via un ransomware.

Ciblage d’anciens protocoles par les cyberattaques orientées IoT

  • On observe une évolution des menaces visant les appareils IoT via de nouvelles techniques, comme la communication C2 de pair à pair et l’auto-propagation d’éléments de type ver. Les hackers décèlent la vulnérabilité de protocoles OT vieux de dizaines d’années, comme DICOM®, et peuvent perturber des fonctions stratégiques des services.
Securite informatique

Hausse de la cybercriminalité, pourquoi protéger sa PME ?

Depuis quelques années maintenant, le constat est sans appel : la cybercriminalité est en constante hausse. Si l’on entend souvent parler des attaques à l’encontre de grands groupes internationaux, les PME sont également exposées. Ces dernières sont même aujourd’hui des cibles de choix pour les cybercriminels. Il est donc devenu une véritable nécessité pour les PME de se protéger contre ces criminels informatiques. Mais quels sont donc les risques qui menacent les PME et quels sont les moyens disponibles pour s’en prémunir efficacement ? Découvrez des éléments de réponse dans cet article.

Le phishing et le spear-phishing

Également connu sous le nom de « hameçonnage », le phishing est une méthode utilisée par les cybercriminels pour extorquer des données confidentielles et sensibles, souvent des coordonnées bancaires. Le but étant dans la plupart des cas de récupérer une grosse somme d’argent. Pour ce faire, les pirates informatiques envoient des mails d’apparence officielle et fiable. Cependant, il arrive qu’ils fassent également apparaître des fenêtres pop-up.

Quant au spear-phishing, il s’agit d’un hameçonnage très ciblé. Les cybercriminels prennent le temps de créer des messages personnels et pertinents. Pour duper leurs cibles, ils usurpent une adresse électronique et falsifient la section « de » de l’e-mail. Ils peuvent également cloner des sites web.

Pour lutter contre ce type d’attaques, la prudence reste la meilleure solution. Demandez à l’ensemble de votre personnel de bien analyser tous les mails qu’ils reçoivent avant de les ouvrir pour détecter tout mail frauduleux. Si les mails contiennent des liens, déplacez le curseur sur les liens avant de cliquer dessus. Vous pourrez ainsi voir vers quelles pages ils mènent. Toutefois, vous pouvez également recourir aux services d’Oppens, le coach cybersécurité des entreprises, pour sensibiliser et tester vos salariés.

Le pharming

Dans le cadre d’un phishing et d’un spear-phishing, les mails sont utilisés comme appât. Cependant, il arrive que les cybercriminels n’utilisent pas d’appât. On parle dans ce cas de pharming, autrement dit d’hameçonnage sans appât. Ce sont alors des malwares — programmes malveillants (virus, vers informatiques, chevaux de Troie) — qui sont utilisés à la place des mails. Lorsque ces malwares sont installés sur un ordinateur de votre PME, ils vous redirigent vers un site cloné où les cybercriminels vous extorqueront vos données personnelles.

Pour lutter contre le pharming, il est vivement recommandé d’installer un antivirus efficace et de vérifier régulièrement le certificat de sécurité des pages. Vérifiez également que le site sur lequel vous être redirigé est sécurisé et pour limiter les risques, choisissez toujours un fournisseur d’accès internet de confiance et reconnu. Si vous suspectez la présence d’un malware, détectez-le et détruisez-le avec votre antivirus. N’effectuez aucune transaction bancaire en ligne. Si vous avez des doutes, contactez par téléphone votre banque et demandez à votre conseiller de procéder à la modification de vos codes et autres mots de passe.

L’ingénierie sociale

Dans le cadre d’une telle attaque, le cybercriminel use de ruses pour gagner la confiance d’une personne de votre entreprise afin de lui soutirer par la suite des données et des informations sensibles telles qu’un mot de passe ou l’identité d’une personne clé au sein de l’entreprise. Cette manœuvre peut aussi avoir pour objectif d’inciter la personne dupée à télécharger inconsciemment un malware ou à cliquer sur des liens infectés.

Il existe plusieurs formes de techniques d’ingénierie sociale mais les plus courantes sont :

  • Le spoofing c’est-à-dire l’usurpation d’identité d’un collaborateur. Le cybercriminel peut usurper l’identité d’un collaborateur ou d’un administrateur système pour récupérer des mots de passe et des identifiants. Il peut également se faire passer pour un dirigeant ou un cadre afin d’ordonner un virement frauduleux. On parle alors de fraude au président.
  • Le phishing, le spear-phishing et le pharming.

Pour limiter les risques de se faire piéger, il est important de sensibiliser tous vos collaborateurs à ces manœuvres et à toutes les pratiques dangereuses sur internet. Il faut également penser à mettre en place une politique de sécurité efficace pour bien sécuriser tous vos terminaux informatiques, surtout ceux qui sont mobiles car ils sont les plus vulnérables.

Le ransomware

Le ransomware est connu sous de nombreux noms en français : le rançongiciel, le logiciel rançonneur, logiciel de rançon ou encore logiciel d’extorsion. Comme son nom l’indique, il s’agit d’un logiciel malveillant qui prend en otage des données d’un ordinateur ou encore d’un serveur. Pour ce faire, le cybercriminel chiffre et bloque vos données, notamment celles qui vous sont utiles pour bien fonctionner. Il demande ensuite une rançon souvent élevée en échange d’une clé qui donne droit au déchiffrage et au déblocage de vos ressources informatiques.

Le mode de paiement préféré des pirates informatiques dans le cadre d’une telle attaque est la cryptomonnaie (monnaie virtuelle) pour éviter tout risque d’être tracés. Si vous ne payez pas la rançon exigée, il peut exposer et rendre vos données publiques ou les livrer à vos concurrents. Il peut également tout simplement les supprimer. Dans tous les cas, vous serez dans une situation très embarrassante. Il est souvent recommandé de ne pas payer. Gérer la crise n’est pas simple alors faites vous aider.

Les écoutes illicites

Certains cybercriminels recourent aux écoutes clandestines pour obtenir les mots de passe, les coordonnées bancaires et autres coordonnées confidentielles de votre entreprise. Pour ce faire, ils interceptent le trafic réseau. Ces écoutes peuvent être :

  • Passives : le pirate informatique procède au vol de données et d’informations en écoutant les transmissions de messages sur le réseau.
  • Actives : le pirate informatique usurpe l’identité d’une personne liée à l’entreprise et envoie des requêtes pour s’emparer des données et des informations de l’entreprise. On parle dans ce cas de sondage, sabotage ou encore de scan.

Pour lutter contre ces écoutes illicites, la meilleure solution reste à ce jour le chiffrement des données. Il faut également sensibiliser votre personnel, surtout les employés en télétravail, à n’envoyer des données sur le réseau que lorsque c’est vraiment indispensable.

Bitcoin, cryptomonnaie

Cryptomonnaies : appât du gain, internautes et Youtube

Une chaîne de jeux diffusée sur Youtube, Neebs Gaming, piratée et exploitée durant quelques heures par des escrocs spécialistes des cryptomonnaies. Les pirates amassent plus de 24 000 dollars.

Cryptomonnaies – Voilà une nouvelle escroquerie Internet rondement menée. Des pirates ont réussi à dérober plus de 24 000 dollars à des internautes attirés par l’appât du gain. Les escrocs ont réussi à faire croire aux pigeons qu’ils toucheraient 10 fois la sommes qu’ils verseraient sur une adresse Bitcoin proposée par les voleurs.

Pourquoi rondement menée ? Les pirates ont d’abord ciblé un youtubeur à l’audience loin d’être négligeable : 1,8 million d’abonnés. Ensuite, créer une vidéo reprenant des contenus officiels. Le nom et la bannière de l’espace ont été changés. Les pirates ont ensuite diffusé le porte-feuille sur lequel les internautes ont été invités à verser leurs Bitcoins.

Les escrocs ont utilisé le nom du PDG de Coinbase Pro, Brian Armstrong, pour inciter les webspectateurs à cliquer sur un lien qui promettait des cadeaux sous forme de Bitcoin gratuits: « Le PDG de Coinbase a annoncé le plus grand crypto Air-Drop de 10 000 Bitcoins, en direct« .

95 000 internautes ont assisté à la diffusion en direct de l’arnaque. Plusieurs d’entre eux ont participé à hauteur de 2,465 BTC, soit plus de 24 000 $.

Fuite de données

Takeout de Google stockait chez des inconnus

Google corrige un « bug » dans Takeout qui a stocké des photos et vidéos dans le cloud de parfaits inconnus.

Vous utilisez Google Takeout ? Le géant américain a corrigé un « bug » dans son outil de sauvegarde. Ce dernier a soudainement stocké des photos et des vidéos dans les clouds d’inconnus. Un problème apparu fin novembre 2019.

La société a envoyé des mails aux utilisateurs pour les informer du problème. Pour une courte durée, certaines de leurs vidéos sauvegardées avaient été communiquées par erreur dans des archives d’étrangers.

Il est indiqué que les utilisateurs qui ont exporté leurs photos ou vidéos entre le 21 novembre et le 25 novembre 2019 via Google Takeout, ont été affectés par ce problème. »Nous avons résolu le problème sous-jacent et avons mené une analyse approfondie pour éviter que cela ne se reproduise. Nous sommes désolés que cela se soit produit « , a déclaré Google.

Google Takeout permet de sauvegarder les données tirées des différents services de la firme de Mountain View.

Cloud, Cybersécurité

L’évolution des menaces dans les Clouds

Un rapport met en lumière les vulnérabilités des clouds, les tactiques des cyber-attaquants, où et comment les menaces font surface dans le contexte actuel, celui du passage généralisé aux l’infrastructures clouds, sans négliger de plonger dans le DevSecOps.

Ces 18 derniers mois, L’U42 a constaté un changement radical dans la façon dont les équipes DevOps déploient leurs infrastructures cloud. Les entreprises adoptent en masse l’infrastructure as code (IAC) en essayant d’automatiser au maximum leurs processus dans le cloud. Quand les équipes passent à l’IaC, elles évitent la création et la configuration manuelle de leur infrastructure en passant par des lignes de codes à la place. Même si ce n’est pas une nouveauté, comme de nombreuses sociétés utilisent cette méthode pour la première fois, de nouveaux risques se présentent.

Les recherches montrent qu’alors que l’IaC propose aux équipes une façon programmable d’implanter les standards de sécurité informatique, cette fonctionnalité puissante reste largement sous-utilisée.

199 000 templates non sécurisés sont en usage. Pourquoi est-ce important ? Les chercheurs ont trouvé un nombre incroyable de templates présentant des failles de sécurité avec des menaces moyennes à hautes. Il suffit d’une de ces mauvaises configurations pour compromettre tout un environnement cloud.

Tout comme il suffit d’une fenêtre ouverte ou d’une porte non verrouillée pour laisser entrer un voleur

Ce taux élevé explique pourquoi dans un précédent rapport, L’Unit42 a montré que 65 % des incidents liés au cloud étaient dus à de mauvaises configurations utilisateurs. Sans utilisations de templates IAS sécurisées dès le départ, les environnements cloud sont mûrs pour des attaques.

43 % des bases de données dans le cloud ne sont pas chiffrées. Pourquoi est-ce important? Avoir des données en clair revient à avoir une maison avec des murs de verre.

Quelqu’un peut venir et voir exactement ce qu’il se passe à l’intérieur. Garder ses données chiffrées empêche les attaquants d’accéder à l’information stockée. Le chiffrement des données est également obligatoire dans certains standards comme PCI DSS ou HIPAA. Les récentes failles de Vistaprint et MoviePass en démontrent l’importance.

60 % des services de stockage dans le cloud ont leur procédure d’identification désactivée. Pourquoi est-ce important? Une société n’accepterait jamais d’avoir plus de la moitié de ses entrepôts sans surveillance ni contrôle d’accès, car cela rendrait impossible de savoir qui entre ou sort dans les lieux. En désactivant la procédure d’identification pour le stockage dans le cloud, des cybercriminels comme CloudHopper ou FancyBear pourraient entrer dans le réseau sans que personne ne le sache. Cette identification est cruciale pour déterminer l’étendue des dégats dans des incidents comme la fuite des listes électorales états-uniennes, ou la fuite de données de la National Credit Foundation.

Les templates IaC les plus couramment utilisés
37% Terraform
24 % des templates CloudFormation
39 % K8s YAML

Les templates IaC les plus vulnérables
22% Terraform
42 % des templates CloudFormation
9 % K8s YAML

Dans le rapport précédent, il était notifié que les sociétés devaient améliorer la supervision centralisée et la mise en place des configurations cloud sécurisées. En dehors des templates IaC, dans les mois qui ont suivi ce rapport, nous avons constaté que les entreprises ont mis du temps à apporter ces améliorations. Pire, il semblerait que certaines s’engagent dans la mauvaise vois.

Les principaux changements depuis le dernier rapport

76 % des charges dans le cloud ont une exposition SSH (port 22), en hausse de 20 % par rapport à l’édition précédente rapport.

Pourquoi est-ce important?

Exposer ses serveurs SSH à l’ensemble d’Internet est une pratique à risque. Les attaquants ciblent les services SSH, car ils fournissent des accès distants aux environnements clouds. Les équipes de sécurité devraient laisser tomber les modèles d’accès basés sur la confiance avec des comptes et des mots de passe. « Ne jamais se fier, toujours vérifier » comme le préconise l’approche Zero-trust. Il est inquiétant de voir que cette exposition des services est une tendance en hausse.

69 % des entreprises exposent leurs postes de travail distants (RDP) (Port 3389), en hausse de 30 % par rapport à la précédente édition rapport.

Pourquoi est-ce important?

Faites votre choix : le poste de travail distant ou SSH. Exposé publiquement, chacun de ces services permet aux attaquants de frapper à votre porte alors qu’ils ne devraient même pas connaître votre adresse. Les chercheurs déconseillent fortement d’exposer les postes de travail distants publiquement sur Internet. De nombreuses solutions existent comme Azure Bastion, un service PaaS proposé par Microsoft. Cette tendance dangereusement à la hausse est à surveiller attentivement d’ici le prochain rapport.

27 % des sociétés utilisent des versions dépassées de TLS (Transport Layer Security), en baisse de 34 % par rapport au précédent rapport.

Pourquoi est-ce important ?

TLS v1.1 a été abandonné en 2008 en raison de sa vulnérabilité croissante aux attaques. En plus de ne plus respecter les demandes de certains standards comme PCI DSS, les entreprises qui l’utilisent encore mettent en danger les données de leurs clients. Voir baisser cette tendance est une bonne chose pour la sécurité des clients et le respect de leur vie privée.

Les bonnes pratiques à avoir

Avoir et maintenir une visibilité pluri clouds

Il est très difficile de sécuriser ce qui n’est pas vu ou su. Les équipes de sécurité doivent être les premiers à réclamer des plateformes cloud sécurisées dès le départ (CNSPs). Une visibilité à travers les clouds publics, privés ou hybrides, mais également les conteneurs, les déploiements « serverless » et les pipelines CI/CD  indispensables.

Respecter les standards

La sécurité à l’échelle du cloud demande un respect strict des standards.  Et cela à travers les environnements cloud publics, privés ou hybrides.

Pas encore de norme de sécurité ? La société peut consulter les benchmarks créés par le Center for Internet Security (CIS).

Un standard sur le papier c’est bien… mais il faut s’assurer qu’il est régulièrement mis en applications.

Toujours plus tôt

La sécurité « shif-left » consiste à prendre en compte la sécurité le plus tôt possible dans le développement. Travaillez avec les équipes DevOps pour que ses standards de sécurité soient compris dans les templates IaC qu’elles utilisent. C’est une situation gagnante tant pour le DevOps que pour les responsables sécurité.

Banque, Cybersécurité

La sécurité des clients des banques améliorée avec la DSP2

La nouvelle directive des services de paiements (DSP2) est entrée en vigueur il y a maintenant deux ans, le 13 janvier 2018, dans le but notamment d’introduire de nouvelles exigences en matière de sécurité et de protéger les consommateurs. Dans cet objectif, elle impose une authentification forte lors des paiements en ligne afin de réduire l’ampleur de la fraude.

Andrew Shikiar, Executive Director de l’Alliance FIDO, explique comment la DSP2 améliore la sécurité des clients des banques au quotidien, et dans quelle mesure les acteurs traditionnels peuvent augmenter leur niveau de sécurité tout en adoptant davantage de services digitaux : « La nouvelle directive sur les services de paiements (DSP2) a été introduite pour améliorer la sécurité des transactions en ligne et réduire la fraude, en exigeant des institutions financières qu’elles déploient une authentification multifactorielle pour certains scénarios en fonction du montant de la transaction et du niveau de risque. Les consommateurs n’ont peut-être pas encore remarqué de grands changements dans leurs expériences de services bancaires en ligne ; L’Autorité Bancaire Européenne ayant en effet retardé la pleine mise en conformité des solutions d’authentification pour les paiements en ligne jusqu’en décembre 2020 pour donner au secteur plus de temps pour se préparer. Toutefois, la DSP2 signifiera en fin de compte que les consommateurs bénéficieront d’une expérience beaucoup plus sécuritaire lors de transactions bancaires en ligne. Par exemple, l’authentification forte du client (SCA), dans le cadre de la nouvelle directive, obligera les banques et les autres fournisseurs de services financiers à mettre en œuvre, à tester et à vérifier leurs mesures de sécurité, ce qui permettra d’améliorer les processus de gestion des fraudes.« 

Une révision des processus d’authentification traditionnels

Les banques traditionnelles sont pour leur part, à présent en concurrence avec de nombreux challengers qui opèrent exclusivement en ligne, tout en faisant face à des changements réglementaires tels que la DSP2, qui exige une révision des processus d’authentification traditionnels. Mais la bonne nouvelle est qu’il existe maintenant des normes qui offrent un moyen facile à déployer pour répondre aux exigences liées à l’authentification forte du client, tout en satisfaisant la demande des organisations et des utilisateurs en matière de simplicité dans le cadre des transactions.

Biométrie et DSP2

De plus, les banques ont la possibilité de tirer parti des appareils déjà entre les mains de la plupart des consommateurs, tels que les smartphones et les ordinateurs portables avec lecteur biométrique, pour répondre aux exigences de l’authentification forte requise par la DSP2. Cela peut aider les banques à offrir le niveau de commodité supérieur auquel s’attendent les utilisateurs des services bancaires en ligne d’aujourd’hui.

La sécurité, la confidentialité et la convivialité peuvent véritablement aller de pair, sans introduire une foule de complications supplémentaires pour les banques et les fournisseurs de services financiers. Les acteurs les plus performants du secteur seront ceux qui prendront des mesures pour saisir cette occasion sans tarder.

Communiqué de presse

L’identification des cybermenaces avec l’IA

Le webinair de la ITrust Community propose de traiter de l’identification des cybermenaces avancées avec l’intelligence artificielle. Un webinar gratuit qui se déroulera le mardi 25 février, de 11 heures à 12h.

Cybermenaces – La ITrust Community vous invite pour son webinar gratuit mensuel le mardi 25 février 2020 ? De 11h à 12h, retour sur les actualités qui ont marqué les dernières semaines de la cyber-sécurité mondiale, ainsi qu’un retour en démonstration sur l’identification des cybermenaces avancées avec l’intelligence artificielle.

Les inscriptions se font via cette page. Un webinair gratuit.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile