Communiqué de presse, Cybersécurité, Securite informatique

La confiance : plus qu’un simple mot dans le monde de la cybersécurité

La notion de confiance est aujourd’hui au centre de nombreux débats dans le secteur de la cybersécurité. Elle revêt une dimension stratégique qui amène sans cesse de nouvelles questions et les tensions géopolitiques, fortement perceptibles en 2018, ont eu de nouvelles répercussions dans le cyberespace. Les exemples ne manquent pas à ce sujet.

Outre les soupçons sur l’origine étatique de cyberattaques majeures ou l’ouverture d’écoles de cyber-espionnage dans certains pays, l’année 2018 a été marquée par l’annonce d’embargo contre certains fournisseurs pour risque d’espionnage, ou encore de nouvelles suspicions sur la présence de portes dérobées dans des technologies étrangères. Huawei, notamment, en a fait les frais. Ce contexte crée le doute en termes de fiabilité et d’intégrité des produits logiciels, notamment en ce qui concerne les solutions de cybersécurité. En effet, ces dernières sont particulièrement sensibles de par leur fonction de « gardien du temple ». Avoir le contrôle sur les systèmes de protection, c’est obtenir un accès direct aux ressources protégées. C’est pourquoi, le choix des partenaires cybersécurité n’a jamais été aussi crucial pour les entreprises et les institutions.

Sur l’épineuse question des portes dérobées ou de l’affaiblissement des mécanismes de chiffrement, les positions prises par les États diffèrent. La Russie a déjà légiféré pour obliger les éditeurs à fournir aux autorités un moyen d’accéder à des communications chiffrées. Les Etats membres de l’Alliance des Five Eyes* souhaitent également imposer l’introduction de faiblesses dans les logiciels. L’objectif principal et officiel est de pouvoir déchiffrer certains échanges qui pourraient être liés à des activités terroristes et de partager l’information entre les services de renseignement.

Bien entendu, lutter contre le terrorisme est une cause prioritaire. On peut cependant s’interroger sur le bien-fondé de cette volonté de créer des backdoors qui pourraient être un moyen détourné d’accéder aux informations sensibles des entreprises ou des particuliers. Tous les scénarii sont alors envisageables : espionnage étatique, accès à des secrets industriels, atteinte aux libertés individuelles, etc. Autant d’éléments qui ne sont en aucun cas liés à la guerre contre le terroriste et qui pourraient nuire gravement à la protection du patrimoine informationnel des entreprises et des institutions.

Comme évoqué précédemment, ces backdoors ne font pas l’unanimité. L’Europe notamment se positionne très clairement contre leur mise en place et préconise un chiffrement de bout en bout dans les communications afin d’en garantir une totale sécurité. Déjà en 2017, le Vice-Président de la Commission Européenne martelait cette position en mettant en avant la menace induite par l’utilisation de portes dérobées qui peuvent être exploitées par la cybercriminalité. En effet, l’affaiblissement d’un système de protection ou de chiffrement pourrait tout à fait être découvert puis utilisé par des personnes malintentionnées, leur offrant ainsi une voie royale pour réaliser leurs méfaits.

Ce constat montre encore une fois que la notion de confiance numérique va bien au-delà de considérations purement technologiques et fonctionnelles pour intégrer une dimension éminemment géopolitique. L’origine des technologies numériques, et notamment celles qui manipulent ou protègent des données sensibles, est un pilier de cette confiance numérique. Les entreprises doivent prendre en compte cette donnée stratégique dans leur raisonnement avant de confier les clés de la sécurisation de leur système d’information à un fournisseur. En ce sens, un travail de sensibilisation continue est nécessaire auprès des organisations privées et publiques. Les éditeurs européens doivent, de leur côté, être plus transparents sur leurs positions et adopter une posture commune. On peut également se féliciter des travaux en faveur de la confiance numérique entrepris à l’échelle européenne et par différentes agences gouvernementales à l’image de l’ANSSI. La qualification de produits de sécurité portée par l’agence française impose, par exemple, une revue de code source pour s’assurer du niveau de robustesse des fonctions de protection et de l’absence de portes dérobées. Gageons que cette initiative sera reprise plus largement dans le futur cadre de certification européen pour lequel a été récemment mandaté l’ENISA. (Matthieu Bonenfant – CMO Stormshield)

*Alliance qui réunit les services de renseignement des États-Unis, Australie, Nouvelle-Zélande, Royaume-Uni et Canada.

Communiqué de presse, Cybersécurité, Securite informatique

De la cybersécurité à la cyber-immunité

À l’époque où je travaillais sur notre premier antivirus, rares étaient les foyers équipés d’un ordinateur, technologie au prix alors quelque peu prohibitif. Le nombre d’internautes a explosé ces dernières années. On compte aujourd’hui 4 388 milliards d’internautes actifs[1] et de plus en plus de personnes sur la planète possèdent désormais un ou plusieurs appareils connectés à Internet. Pendant bon nombre d’années, nous étions connus comme l’entreprise qui vendait des logiciels antivirus.

Aujourd’hui, les solutions de protection des terminaux ne constituent que l’un de nos nombreux segments d’activité. Nous nous concentrons depuis plusieurs années déjà sur des domaines tels que la cybersécurité industrielle, l’apprentissage automatique, la sécurité de l’Internet des objets (IoT), la Threat Intelligence ou encore la cybersécurité des systèmes de transport. En 1998, soit un an après la création de notre entreprise, nous recensions chaque jour une cinquantaine de nouveaux échantillons de malware ; en 2019 – 21 ans plus tard –, ce sont 360 000 échantillons uniques de malware qui sont détectés quotidiennement !

Mais pourquoi ces comparaisons nostalgiques entre la fin des années 1990 et aujourd’hui ? Eh bien, nous évoluons à présent dans un cybermonde ultra-connecté guidé par la « révolution industrielle 4.0 ». Dans cet univers, la connectivité est vectrice d’opportunités remarquables, mais aussi source de vulnérabilités majeures pour les entreprises ordinaires, pour le secteur industriel et pour l’infrastructure critique. Un changement s’impose selon moi dans notre manière de protéger l’ensemble des technologies qui nous entourent.

Cybersécurité

Existe-t-il une solution miracle pour faire face aux menaces en apparence insurmontables de cette ère digitale ? Je crains bien que non. S’il y en avait une, je pourrais d’ores et déjà planifier ma retraite. En revanche, j’ai ma petite idée quant au futur de la cybersécurité, à la prochaine grande évolution de notre secteur ! À vrai dire, nous y travaillons déjà : il s’agit du concept de la « cyber-immunité », poussé à son paroxysme. Comment définir cette évolution ? Comme ceci : le coût d’une cyberattaque devrait excéder celui des dommages (pour la victime) ou des gains potentiels (pour le cyberpirate). En revanche, des entreprises comme All4tec, développe des solutions pour faire face au problème de cybersécurité notamment avec de la protection préventive.

Comment y parvenir ?

En revoyant notre manière de penser la sécurité des systèmes et des produits. À l’heure actuelle, notre travail consiste à bâtir une couche de protection autour d’une architecture informatique existante. Ne serait-il pas nettement plus simple de disposer de solutions « secure » à tous les niveaux dès leur conception et ne nécessitant en principe aucune protection supplémentaire ? Cette idée nous paraissant excellente, nous avons commencé à la mettre en œuvre dans le domaine de l’IoT. Plus de 20 milliards d’objets devraient être connectés l’an prochain[2], avec toutefois un niveau de protection quasi inexistant, les appareils connectés étant fréquemment exploités pour mener des attaques DDoS massives ou pour constituer des botnets. Comment résoudre ce problème ? Il nous faut concevoir de A à Z des appareils connectés « intelligents » dotés d’une architecture à micro-noyau ainsi que d’une couche de sécurité isolant l’ensemble de ses modules pour empêcher tout comportement inhabituel des équipements IoT. Il est déjà possible de mettre en œuvre ce concept à l’aide de notre système d’exploitation KasperskyOS, destiné aux technologies embarquées. Nous pouvons bien sûr en faire de même pour les systèmes et les produits plus complexes.

Peut-on espérer passer de la cybersécurité à la cyber-immunité dans un très proche avenir ?

J’aimerais beaucoup pouvoir répondre « oui », mais il faut savoir que la route sera longue et que le monde n’a pas encore amorcé cette transformation. D’ici là, il nous faut simplement continuer à communiquer sur les dangers d’un monde connecté vulnérable, pour que chacun prenne conscience de la nécessité de protéger toutes les technologies connectées qui nous entourent. Nous pouvons le faire ! Nous pouvons donner vie à la cyber-immunité ! (Tribune d’Eugene Kaspersky)

[1] We Are Social and Hootsuite’s latest collection of Global Digital 2019 reports.
[2] Gartner : « Leading the IoT »

backdoor, Cybersécurité, Mise à jour, Patch, Securite informatique

Des pirates mettent la main sur des mises à jour du logiciel ASUS

Des pirates informatiques ont réussi à s’infiltrer dans les mises à jour du constructeur Coréen ASUS. Ils ont installé, durant plusieurs semaines, des backdoors sur des milliers d’ordinateurs.

Imaginez, 12% des ordinateurs ASUS en France seraient concernés par cette infiltration. Selon des chercheurs de la société de cybersécurité Kaspersky Lab, « des pirates ont réussi l’année dernière à installer des logiciels malveillants à plus d’un million de propriétaires de PC de la marque ASUS – l’un des plus grands fabricants d’ordinateurs au monde –« . Ils auraient exploité le système de mise à jour logicielle du fabricant. Le fichier malveillant a été signé avec des certificats numériques ASUS légitimes pour donner l’impression qu’il s’agit d’une mise à jour logicielle authentique de la société.

Les certificats de signature de code utilisés pour savoir quelles sont les mises à jour à faire et quelles sont les machines à qui nous pouvons faire confiance. Ils sont dans les applications qui alimentent les voitures, les ordinateurs portables, les avions et plus encore. Presque tous les systèmes d’exploitation dépendent de la signature de code, et nous verrons beaucoup plus de certificats dans un avenir proche en raison de l’essor des applications mobiles, des DevOps et des périphériques IoT. « Cependant, les cybercriminels considèrent les certificats de signature de code comme une cible précieuse en raison de leur puissance extrême. explique à Data Security Breach Kevin Bocek, VP security strategy and threat intelligence chez Venafi. Avec un certificat de signature de code, les hackers peuvent donner l’impression que leurs logiciels malveillants sont dignes de confiance et échapper aux systèmes de protection contre les menaces.« 

Infiltration et manipulation

Malheureusement, dans de nombreuses organisations, la protection des processus de signature de code incombe principalement aux développeurs qui ne sont pas prêts à défendre ces actifs. En fait, la plupart des équipes de sécurité ne savent même pas si leurs développeurs utilisent la signature de code ou qui peut avoir accès au processus de signature de code. « Il est impératif que les organisations sachent quels certificats de signature de code elles utilisent et où, d’autant plus qu’il est probable que des attaques similaires se produiront à l’avenir.« 

Cette nouvelle attaque utilisant le matériel ASUS est parfaitement emblématique du nouveau cyber-monde dans lequel nous vivons. Elle présente toutes les caractéristiques d’une opération précise : ciblée, exige beaucoup de ressources et presque impossible à détecter. « Tout acteur menaçant aurait besoin de ressources et d’un soutien considérables pour acquérir les certificats authentiques d’ASUS afin de faire son entrée dans la chaîne logistique. Ceci initie bien sûr le jeu qui consiste à deviner qui pourrait être derrière la campagne et il n’est pas exagéré de prétendre que des États manquant de lois sur les cyber-infractions et hébergeant des réseaux internationaux de cyber-crimes pourraient être à l’origine de cette activité. » indique Justin Fier, de chez Darktrace.

Ciblage !

Mais la nature très ciblée de l’attaque est peut-être encore plus alarmante: c’est là que nous devrions concentrer notre attention. Dans le monde entier, ces pirates ne ciblaient que 600 machines. Ce n’est qu’une question de temps avant que nous apprenions que ces machines ou ces personnes ciblées ont un fil conducteur unique les reliant entre elles. Pour l’instant, la question pour toutes les entreprises utilisant du matériel ASUS devrait être d’identifier si l’une de leurs machines se trouvait dans la cible. Et au-delà de cela, toutes les organisations doivent réaliser qu’ASUS n’est qu’une seule entreprise. Y aura-t-il des attaques similaires contre Dell et Apple ?

Voler des certificats authentiques et les utiliser pour signer des codes malveillants ne fait que renforcer les arguments en faveur de technologies d’IA sophistiquées capables d’identifier même les plus petites anomalies indiquant une menace. Ce type de comportement serait si proche de la normale que seule l’IA pourrait comprendre la différence entre normal et malveillant. En luttant contre des attaques aussi sophistiquées que celles-ci, les approches traditionnelles deviendront inefficaces: la cyber IA doit être la voie à suivre.

Communiqué de presse, Securite informatique

Comment sécuriser l’information stratégique d’une entreprise ?

Prises de décisions importantes et nouveaux axes de travail d’une entreprise reposent parfois sur un choix de stratégie approximatif. Afin que votre entreprise puisse avancer sereinement dans une évolution dynamique, il est important de mettre en place une bonne gouvernance d’entreprise et de sécuriser l’information stratégique. Il faut également proposer une véritable visibilité sur les réunions, sur les acteurs qui doivent agir et sur le partage des informations.

Une information stratégique mieux structurée

Qu’importe la multiplication des réunions et des rencontres professionnelles si l’information stratégique est déstructurée ou est mal protégée. Sécurisez l’information stratégique avec Skope pour vous assurer une meilleure exploitation des idées échangées ou pour visualiser les décisions qui ont été prises, mais aussi l’état d’avancement de leur mise en place. Cette application est particulièrement appréciée pour fluidifier le processus de décision de votre entreprise.

En échangeant en amont des réunions, l’ordre du jour est affiné et mieux cerné par tous les participants. Il est possible d’annoter les informations ou de notifier des points que vous souhaitez aborder. Durant la réunion, les participants peuvent prendre des notes à relire à la suite de ces échanges. Enfin, c’est aussi particulièrement utile à la suite de la réunion. Il est possible de revenir sur les échanges, mais surtout de visualiser la responsabilité de chacun pour réaliser des tâches.

L’application est idéale pour attribuer les points d’action destinés à faire avancer un projet. La gouvernance de l’entreprise est mieux prise en charge grâce à la mise en place de réunions stratégiques efficaces. Toutes les entreprises de petite ou très grande taille devraient travailler sur la manière de rendre les réunions plus efficaces. Cette application est aussi très sécurisée, afin d’éviter la fuite d’informations importantes. La plupart des données sensibles qui sont perdues par une entreprise sont liées à une faille humaine et non au piratage d’une application Web.

L’Intelligence Economique

Encore peu répandue en France il y a quelques années, l’Intelligence Economique a réussi à s’imposer comme une nécessité de protéger les informations sensibles et de mieux maîtriser l’information stratégique d’une entreprise. En installant un vrai processus de protection de l’IE dans votre entreprise, vous bénéficiez de coups d’avance pour devancer la concurrence de votre secteur. Vous êtes ainsi plus efficient dans la signature de nouveaux contrats ou l’aboutissement de partenariats fructueux. L’intelligence économique est particulièrement utile pour les décideurs de votre entreprise et c’est un atout pour la mise en sécurité de votre patrimoine et de vos bonnes idées.

Définir un degré de confidentialité d’une information

Pour une information stratégique bien protégée, il est important de pouvoir qualifier cette information et lui donner une valeur particulière selon son importance dans la stratégie de l’entreprise. Réfléchissez sur la nécessité de protéger certaines informations plus que d’autres. En France, l’idée fait son chemin vers la nécessité de mettre en valeur et de tenir secrète une information importante qui devient alors stratégique.

Conquérir un nouveau marché ou se lancer dans l’association entre deux marques peuvent être des décisions primordiales dans la vie d’une entreprise. Si la concurrence connaît vos actions avant que vous ne les réalisiez, vous risquez de vous voir voler vos bonnes idées ou votre partenariat. Pour cela, il est important de mettre en place des outils numériques dédiés à la sécurité de vos informations.

Communiqué de presse, Cybersécurité

Patch Tuesday – Mars 2019 : 65 vulnérabilités dont 18 critiques

Le Patch Tuesday du mois de mars corrige 65 vulnérabilités dont 18 identifiées comme critiques. 13 de ces vulnérabilités critiques concernent les moteurs de scripts et des composants de navigateur et impactent les navigateurs Microsoft ainsi que la suite Office. Le Patch Tuesday de février 2019 comportait 74 vulnérabilités dont 20 critiques

Trois vulnérabilités entraînant une exécution de code à distance (RCE) sont corrigées sur le client DHCP de Windows de même qu’une vulnérabilité RCE sur le serveur TFTP exécutant des services de déploiement Windows et une élévation de privilèges dans Microsoft Dynamics 365. Le volume de patches publiés par Adobe ce mois-ci est plutôt léger et corrige seulement deux vulnérabilités et exposition courantes (CVE) dans Photoshop CC et Digital Editions.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script, ActiveX et MSXML sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont concernés les serveurs multi-utilisateurs qui servent de postes de travail distants à des utilisateurs.

Client DHCP Windows

Le client DHCP Windows étant utilisé sur les postes de travail et les serveurs, le déploiement de patches pour résoudre les trois vulnérabilités RCE doit être une priorité pour tous les systèmes Windows.

Serveur TFTP exécutant des services de déploiement Windows (WDS)

Si vous utilisez les services de déploiement Windows, ce patch doit être déployé en priorité dans la mesure où l’exploitation de la vulnérabilité affectant ces services peut entraîner l’exécution de code à distance sur le serveur concerné.

Microsoft Dynamics 365

Les déploiements sur site de Microsoft Dynamics 365 sont vulnérables aux élévations de privilèges si bien que le déploiement de correctifs pour ce système doit également être traité en priorité.

Avis de sécurité Microsoft

Microsoft a également publié trois avis de sécurité qui traitent différents sujets :

L’avis ADV190009 annonce la prise en charge de la signature du code SHA-2 pour Windows 7 SP1 et Windows Server 2008 R2. Cette mise à jour sera nécessaire pour tous les nouveaux correctifs publiés après juillet 2019. Les versions plus anciennes du serveur WSUS (Windows Server Update Services) doivent également être mises à jour afin de pouvoir distribuer les nouveaux patchs signés par l’algorithme de hachage SHA-2.

L’avis ADV190010 fournit des recommandations sur le partage entre plusieurs utilisateurs d’un même compte utilisateur. Microsoft déconseille ce comportement qu’il considère comme un risque de sécurité majeur.

L’avis ADV190005 fournit quant à lui des atténuations pour un possible déni de service dans http.sys lors de la réception de requêtes HTTP/2. Le patch permet de définir une limite pour le nombre de paramètres SETTINGS à envoyer lors d’une même requête.

Adobe

Adobe a publié des correctifs non sécuritaires pour Flash ainsi que des patchs de sécurité critiques pour Photoshop CC et Digital Editions, chacun de ces deux produits étant affecté par une vulnérabilité. (Jimmy Graham dans The Laws of Vulnerabilities)

Chiffrement, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Sécurisation des prothèses bioniques pour les personnes porteuses de handicap

Des experts en cybersécurité enquêtant sur les infrastructures cloud expérimentales utilisées pour les prothèses bioniques avancées ont identifié plusieurs failles de sécurité jusque-là inconnues, qui pourraient permettre à des tiers l’accès, la manipulation, le vol voire la suppression de données privées et d’autres éléments appartenant aux utilisateurs de ces appareils. Ces constatations ont été communiquées au fabricant Motorica, une start-up russe qui développe des prothèses bioniques de membres supérieurs destinées à des personnes en situation de handicap, afin que l’entreprise puisse remédier à ces problèmes de sécurité.

 L’Internet des objets ne se limite plus aux montres ou aux maisons connectées mais englobe également des écosystèmes complexes de plus en plus automatisés, notamment dans le domaine de la santé. A l’avenir, ces technologies pourraient ne plus servir uniquement à des équipements d’assistance, pour se généraliser et être utilisés par des consommateurs désireux d’étendre les pouvoirs ordinaires du corps humain grâce à un processus de cybernétisation.

Il importe donc que tout risque en matière de cybersécurité, susceptible d’être exploité par des acteurs malveillants, soit réduit au maximum par l’investigation et la correction des problèmes de sécurité touchant les produits actuels ainsi que les infrastructures sur lesquelles ils s’appuient.

Les chercheurs de Kaspersky Lab ICS CERT, en partenariat avec Motorica, ont entrepris d’évaluer la cybersécurité d’une solution logicielle de test pour une prothèse de main numérique conçue par la start-up russe. La solution elle-même est un système cloud distant, une interface permettant de suivre le statut de tous les équipements biomécaniques référencés. Ce système met également à la disposition des autres développeurs une palette d’outils pour analyser l’état technique d’équipements tels que des fauteuils roulants connectés ou encore des mains ou des pieds artificiels.

Les recherches initiales ont identifié plusieurs problèmes de sécurité, portant notamment sur une connexion http non sécurisée, des opérations incorrectes sur les comptes ou encore une validation insuffisante des informations saisies. En cours d’utilisation, la prothèse de main envoie des données au système cloud. A travers les failles détectées, un pirate pourrait :

  • accéder à des informations conservées dans le cloud à propos de tous les comptes connectés (notamment des identifiants et mots de passe en clair pour toutes les prothèses et leurs administrateurs) ;
  • manipuler, ajouter ou effacer des informations de ce type ;
  • ajouter ou supprimer leurs propres utilisateurs, normaux ou privilégiés (avec droits administrateurs).
  • « Motorica est une entreprise de haute technicité, fiable et socialement responsable, qui se donne pour mission de venir en aide aux personnes atteintes d’un handicap physique. Alors que l’entreprise se prépare à une phase de croissance, nous souhaitions l’aider à veiller à la mise en place des mesures de sécurité appropriées. Les résultats de notre analyse rappellent de manière opportune que la sécurité doit être intégrée dans les nouvelles technologies dès le départ. Nous espérons que les autres développeurs d’équipements connectés avancés accepterons de collaborer avec le secteur de la cybersécurité afin d’analyser et de corriger les failles de leurs appareils et systèmes, en traitant la sécurité des équipements comme faisant partie intégrante du développement », commente Vladimir Dashchenko, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.

« Les nouvelles technologies nous ouvrent un nouveau monde d’équipements d’assistance bioniques. Il devient aujourd’hui crucial pour les développeurs de ces technologies de collaborer avec les fournisseurs de solutions de cybersécurité. Cela nous permettra de rendre impossibles des attaques, même théoriques, contre le corps humain », conclut Ilya Chekh, CEO de Motorica.

APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

Un nouveau malware BabyShark cible les « Think Tanks » américains en charge de la sécurité intérieure

En février 2019, les chercheurs de l’Unité 42 au sein de Palo Alto Networks ont identifié des mails d’hameçonnage ciblé (spear phishing) envoyés en novembre 2018 qui contenaient un nouveau malware partageant la même infrastructure avec des playbooks(c’est-à-dire des feuilles de route listant les actions et les objectifs utilisés par un malware ou une famille de malware) associés aux campagnes nord-coréennes.

Ces mails étaient écrits comme s’ils émanaient d’un expert en sécurité nucléaire travaillant actuellement comme consultant pour des think tanks liés à la sécurité intérieure aux États-Unis. Ils ont été envoyés depuis une adresse publique avec le nom de l’expert et un sujet faisant référence au nucléaire nord-coréen. Ces messages avaient en pièce jointe un document Excel avec une macro infectée, qui ,quand elle était exécutée, menait à une nouvelle famille de malwares basée sur Microsoft Visual Basic (VB) que nous avons surnommé « BabyShark »

BabyShark est un malware récent. La version la plus ancienne que nous avons pu trouver dans des dépôts open source et nos propres jeux de données internes remontent à novembre 2018. Le malware se lance en exécutant à distance une requête HTML, qui peut être alors livrée au travers de différents types de fichiers comme des fichiers contenant des exécutables ou des documents malveillants. Babyshark extrait alors les informations du système vers un serveur C&C (Command and Control), se maintient au cœur du système et attend de nouvelles instructions de la part de l’opérateur.

BabyShark est utilisé pour une campagne limitée de spear phishing toujours en cours depuis novembre 2018. L’acteur derrière cette menace cherche clairement à glaner des informations liées à la sécurité nationale (américaine) en Asie du Nord-Est. Le soin apporté à la conception des mails d’hameçonnage et du camouflage laisse à penser que cet acteur connaît bien les cibles, et surveille de près les événements de cette communauté pour y récupérer les dernières informations. Sans pouvoir en être certains, nous pensons que l’acteur derrière BabyShark doit être en relation avec l’acteur (ou être le même groupe) qui a utilisé la famille de malwares KimJongRAT, et qui du moins partage des ressources avec l’acteur responsable de la campagne STOLEN PENCIL. Nous avons également remarqué des tests qui semblent indiquer que les attaquants travaillent sur de nouvelles versions d’exécutables pour envoyer BabyShark. Dans les prochaines campagnes, l’attaquant pourrait utiliser différentes méthodes pour déployer BabyShark.

Communiqué de presse, Cybersécurité, Securite informatique

Cyber-sensibilité, cyber-indiscipline et employés « fantômes », les entreprises doivent faire le tri

Les organisations ne protègent toujours pas correctement les accès à leurs données critiques, selon une étude CyberArk, conduite auprès de 1 000 employés britanniques. Il ressort que la moitié de ces derniers auraient accès à des informations sensibles, auxquelles seules des personnes habilitées devraient pouvoir accéder. Bien que la sensibilisation à la cybersécurité s’améliore dans les milieux professionnels, de mauvaises pratiques contribuent encore à la croissance des cybermenaces.

  • Près de la moitié (48 %) des employés ont, ou ont eu, accès à des documents financiers sensibles ;
  • 46 % ont pu accéder à des informations RH confidentielles ;
  • Près d’un tiers (29 %) ont, ou ont eu, un accès direct aux comptes en banque de leur entreprise ;
  • 37 % ont pu prendre connaissance des plans de recherche et développement (R&D) ou plans pour des nouveaux produits et services.

Ces chiffres démontrent que beaucoup plus d’employés que nécessaire accèdent à des informations sensibles, et que les organisations en général doivent absolument limiter la gestion des accès aux données sensibles, afin de mieux se protéger, ainsi que leurs clients.

Se méfier des « employés fantômes »

Comme démontré lors de récentes violations de données, le vol d’identifiants de connexion reste le moyen le plus courant et le plus efficace pour réussir une cyberattaque. Une approche laxiste de la protection des accès administrateurs – ou accès à privilèges – peut augmenter directement le risque d’une compromission de données. C’est pourquoi la gestion des privilèges est essentielle ; or, de nombreuses entreprises ne parviennent pas à verrouiller ces comptes clés, suite aux changements de personnel : un employé de bureau sur cinq (21 %) admet avoir quitté un emploi et gardé des identifiants donnant toujours accès à au moins un système confidentiel de l’entreprise (serveurs internes, résultats financiers ou bases de données RH). Ces employés « fantômes », soit d’anciens collaborateurs en possession d’informations de connexion professionnelles, peuvent alors accéder, sans autorisation, à des données sensibles de l’entreprise.

Pour Rich Turner, VP EMEA, chez CyberArk, « ces « employés fantômes » représentent une préoccupation majeure pour toute organisation. Non seulement, ils augmentent le risque de violation des données clés de l’entreprise en cas de cyberattaque ; mais ils offrent aussi la possibilité aux employés mécontents, ou aux entreprises concurrentes, de manipuler les données existantes, causant de graves dommages administratifs et financiers. Ces résultats sont symptomatiques des entreprises qui continuent de consacrer d’importantes sommes d’argent à la défense du périmètre, alors que l’approche la plus intelligente consiste à envisager l’inévitable – que les attaquants parviendront à s’introduire dans les systèmes – et à les empêcher de mettre la main sur les actifs et données sensibles. »

 Cyber-sensibilité vs cyber-indiscipline

Il ressort cependant que l’implication des employés s’améliore, montrant l’effet positif de la cyber-éducation, et l’espoir d’un avenir plus sûr pour les entreprises :

  • Près de quatre employés de bureau sur cinq (79 %) informeraient immédiatement le service informatique s’ils ouvraient une pièce jointe malveillante ;
  • Les trois quarts (75 %) exprimeraient leurs préoccupations s’ils ne comprenaient pas les communications de l’IT concernant la sécurité ;
  • Près des trois quarts (74 %) sont convaincus que leur équipe de sécurité protège efficacement l’ensemble de la société contre les menaces.

Une confiance qui contraste avec le comportement de nombreux employés, qui affichent toujours de mauvaises cyber-pratiques, avec un grand nombre de personnes qui continuent de dissimuler leur cyber-indiscipline à leurs collègues chargés de la sécurité – augmentant ainsi considérablement la vulnérabilité de leur entreprise :

  • Plus de la moitié (54 %) n’informent personne lorsqu’ils laissent leurs collègues utiliser leurs informations de connexion ;
  • 45 % des répondants déclarent télécharger des applications non-autorisées sur leur poste de travail à l’insu de leur service informatique. (CyberArk)
Communiqué de presse, Cybersécurité, Securite informatique

Forum économique mondial : il est temps d’apporter une réponse à la hauteur de la menace cybernétique !

Le rapport Global Risks Report 2019 du Forum économique mondial classe le vol de données et les cyberattaques parmi les cinq grands risques mondiaux qui risquent le plus de se concrétiser. La grande question qui se pose maintenant est de savoir comment les organisations vont réagir.

Les personnes sensibles devraient s’abstenir de lire le rapport annuel sur les risques mondiaux du Forum économique mondial. La 14e édition de ce rapport inclut une litanie de menaces existentielles, telles que les phénomènes météorologiques extrêmes et les catastrophes naturelles, qui pourraient considérablement perturber l’économie mondiale.

Cette année, les cinq principaux risques en termes de probabilité sont les phénomènes météorologiques extrêmes, l’échec de l’atténuation des changements climatiques et de l’adaptation à ceux-ci, les catastrophes naturelles, la fraude ou le vol de données et les cyberattaques.

En effet, la fraude et le vol de données et les cyberattaques sont deux des cinq principaux risques mondiaux les plus probables. En fait, c’est la troisième année consécutive que la fraude et le vol de données se classent parmi les cinq plus grandes menaces, et la deuxième année que la cyberattaque fait partie de la liste.

Le Global Risks Report 2019, créé en partenariat avec Marsh & McLennan Companies et The Zurich Group, est basé sur les résultats de l’enquête Global Risks Perceptions Survey, à laquelle participent 1 000 membres de la communauté du Forum économique mondial – composée de chefs de gouvernements, de dirigeants du secteur privé et d’universitaires – ainsi que des contributions d’experts du réseau mondial de l’organisation.

La cybersécurité s’est également hissée parmi les 10 risques mondiaux les plus importants en termes d’impact. Les cyberattaques et les défaillances au niveau des infrastructures et des réseaux critiques ont été classées au septième et au huitième rang pour les dommages potentiels qu’elles pourraient causer. Cela indique que les répondants ont conscience non seulement de la fréquence des cyberattaques, mais aussi du risque que ces incidents représentent pour notre économie numérique, et jusqu’à notre mode de vie. Ce classement reflète l’impact mondial qu’ont eu des incidents tels que WannaCry, Equifax et des centaines d’autres cyberattaques réussies sur notre conscience collective.

En fait, le cyber espace lui-même fait partie de ce que le rapport appelle les « biens communs mondiaux » qui ont besoin d’une protection particulière, au même titre que le climat, l’espace extra-atmosphérique et les régions polaires.

Pour tous ceux qui envisagent encore le futur avec sérénité après tout cela, le rapport comporte une section amusante intitulée « Chocs futurs », qui examine les effets à long terme de phénomènes comme l’informatique quantique, les outils de manipulation météorologique ou une rupture dans l »approvisionnement alimentaire. La section sur l’informatique quantique prédit que « quand les énormes ressources consacrées à la recherche quantique conduiront à l’utilisation de l’informatique quantique à grande échelle, beaucoup des outils qui forment la base de la cryptographie numérique actuelle seront rendus obsolètes. »

Cela ne surprendra pas les professionnels de la cybersécurité, mais il est toujours intéressant de prendre du recul et réfléchir un instant sur l’importance de notre travail quotidien dans ce contexte. Lorsque nous sommes pris dans le tourbillon du quotidien au travail, il est facile de perdre de vue l’importance réelle de la cybersécurité dans l’économie mondiale. Ce genre de mise en perspective est également pour expliquer en quoi le travail effectué sur la cybersécurité est important aux membres d’une organisation qui ne travaillent pas eux-mêmes dessus.

La grande question est de savoir comment les organisations vont réagir : l’acceptation des problèmes auxquels nous sommes confrontés est la première étape, mais la prochaine étape doit être l’action.

Nous devons tenir les dirigeants et les cadres supérieurs du monde entier garants d’une gestion responsable du risque cybernétique. En tant que société, nous devons l’exiger. En tant que clients, nous le méritons. La question ne doit plus être qui nous pouvons blâmer – des États-nations aux hackers – mais comment nous pouvons prévenir ces risques. Nous devons collectivement faire face à la réalité d’une économie numérique.

Tout est lié, ce qui signifie que chaque aspect du commerce et de l’industrie d’aujourd’hui est une accroche qui peut être utilisée pour une attaque potentielle. Nous devons élaborer des stratégies de sécurité pour faire face aux nouveaux risques créés par la transformation digitale. Ne pas le faire nous ferait prendre le risque d’événements aux conséquences irréparables. (Par Renaud Deraison, cofounder and CTO at Tenable).

Communiqué de presse, Cybersécurité, Securite informatique

La cybercriminalité est devenue la préoccupation n°1 des individus devant les agressions physiques

Selon l’étude SOS Cybercrime d’Affinion*, les mythes sur la cybercriminalité sont présents dans le monde entier. Un tiers de la population (35 %) croit, à tort, que le Wi-Fi public doit disposer d’une sécurité efficace, conformément à la loi (ce chiffre atteint 58 % en Turquie). De même, moins de la moitié de la population (46 %) sait que https:// signifie qu’un site internet est sécurisé (seulement 35 % en Suède et en Norvège) et un tiers de la population (33 %) n’est pas consciente que l’utilisation d’un même mot de passe pour plusieurs comptes augmente le risque de fraude. Ces informations sèment la confusion parmi les consommateurs et complexifient encore plus la lutte contre la cybercriminalité.

Le rapport, basé sur des recherches menées auprès de plus de 13 000 répondants dans 12 pays, révèle des lacunes majeures en matière de sensibilisation, ainsi que des inquiétudes à l’égard de la cybercriminalité. Le Brésil arrive en tête du classement mondial des pays les plus préoccupés par la cybercriminalité, suivi par les États-Unis (75 %) et l’Espagne (73 %).

Curieusement, les consommateurs sont davantage préoccupés par la cybercriminalité que par toute autre forme de criminalité – 61 % des consommateurs sont très ou légèrement préoccupés par la cybercriminalité, tandis que 52 % des personnes interrogées sont préoccupées par les crimes contre la propriété (par exemple les cambriolages), 54 % par la violence physique comme les agressions, et 45 % par la criminalité liée aux véhicules. Selon l’étude, la sensibilisation aux dangers de la cybercriminalité semble augmenter avec l’âge ; les personnes interrogées âgées de 18 à 24 ans étaient plus préoccupées par la violence physique que par la cybercriminalité, tandis qu’à partir de 35 ans, la cybercriminalité est considérée comme le risque le plus important.

Un tiers des personnes a déjà été victime, directement ou indirectement, d’usurpation d’identité. Les faux appels, liens envoyés par e-mail ou SMS, sont les formes les plus courantes de cybercriminalité (65 % de personnes concernées), suivis du piratage de comptes sur les réseaux sociaux ou d’adresses e-mail (56 % de personnes concernées), et des transactions financières frauduleuses (55 % de personnes concernées).

Les femmes sont plus particulièrement préoccupées que les hommes, toutes formes de criminalité confondues. La plus grande différence entre les genres concerne les fraudes relatives aux achats en ligne (67 % de femmes contre 59 % d’hommes), l’usurpation d’identité (68 % contre 60 %) et les transactions frauduleuses (69 % contre 61 %).

D’après l’étude, 70 % des personnes interrogées estiment que leur préoccupation s’accentue, car elles s’aperçoivent que le nombre d’incidents est en augmentation ; 46 % ont indiqué que c’était dû à une couverture médiatique plus importante du problème et 30 % parce qu’elles connaissent quelqu’un qui a été victime de cybercriminalité. Un tiers d’entre elles a indiqué se sentir plus vulnérable, car elles disposent de plusieurs comptes en ligne, et ressentir, par conséquent, une inquiétude accrue.

En ce qui concerne la lutte contre la cybercriminalité, un nombre impressionnant de personnes interrogées ne se sentent pas capables de se prémunir de la cybercriminalité (55%) et seulement 25 % estiment pouvoir résoudre un cybercrime. (étude)

A noter que le blog ZATAZ propose un service de veille concernant les données des internautes. ZATAZ surveille plus de 5 000 sites pirates et blackmarket, ce qui permet d’alerter sur des données volées/piratées dans la seconde de la découverte.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile