BankBot, un cheval de Troie s’est faufilé dans Google Play

Le cheval de Troie BankBot a été injecté dans des applications utilisées quotidiennement, compromettant ainsi les applications bancaires des utilisateurs à leur insu.

L’équipe de recherches de menaces mobiles d’Avast a récemment collaboré avec des chercheurs d’ESET et de SfyLabs pour examiner une nouvelle version de BankBot, un logiciel malveillant (malware) d’application mobile bancaire qui s’est inséré dans Google Play à de nombreuses reprises cette année. Il cible ainsi les applications de banques telles que WellsFargo, Chase, DiBa et Citibank, ainsi que leurs utilisateurs en France, aux États-Unis, en Australie, en Allemagne, aux Pays-Bas, en Pologne, en Espagne, au Portugal, en Turquie, en Grèce, en Russie, en République dominicaine, à Singapour et aux Philippines.

Au cours d’une première campagne, cette nouvelle version de BankBot s’est cachée dans des applications à priori fiables pour inciter les utilisateurs à les télécharger. Une seconde campagne a ensuite ciblé des jeux de Solitaire et une application de nettoyage, qui ont diffusé d’autres types de malwares appelés Mazar et Red Alert. Cependant, au lieu de divertir ou d’aider leurs utilisateurs, ces applications les espionnent, collectent leurs coordonnées bancaires et volent leur argent.

Google a supprimé les versions antérieures des applications BankBot du Play Store en quelques jours. Cependant, plusieurs versions sont restées actives jusqu’au 17 novembre, un délai suffisant pour que ces applications infectent des milliers d’utilisateurs.

Google a mis en place des mesures de numérisation et de validation pour toutes les applications soumises au Play Store, afin de s’assurer qu’aucun programme malveillant n’y soit disponible. Mais dans leurs dernières campagnes, les auteurs des applications bancaires mobiles de type cheval de Troie ont commencé à utiliser des techniques avancées pour contourner ces détections automatisées. Les activités malveillantes commencent alors deux heures après que l’utilisateur a donné des droits d’administrateur à l’application. En outre, ils ont publié des applications sous différents noms de développeurs, une technique souvent utilisée pour contourner les contrôles de Google.

Ces activités malveillantes comprennent aussi l’installation d’une fausse interface utilisateur, qui se place sur l’application bancaire lorsque l’utilisateur l’ouvre. Dès que les coordonnées bancaires sont saisies, elles sont donc collectées par le criminel. De plus, dans certains pays, les banques utilisent des numéros d’authentification de transaction (ou TAN, transaction authentication number), une forme d’authentification à deux facteurs nécessaire pour effectuer des transferts en ligne, souvent utilisée par les banques européennes. Les auteurs de BankBot interceptent le message texte de leurs victimes qui inclut le TAN mobile, ce qui leur permet d’effectuer des virements bancaires pour le compte de l’utilisateur.

« Une nouvelle version du cheval de Troie BankBot a été ajoutée à Google Play en octobre et en novembre, déguisée en lampe de poche, en jeux et en applications de nettoyage, assure Nikolaos Chrysaidos, Head of Mobile Threat Intelligence & Security chez Avast. Les cybercriminels ciblent environ 160 applications bancaires aux États-Unis, en Amérique latine, en Europe et dans la région Asie-Pacifique. Bien que Google supprime rapidement les programmes malveillants de Google Play, le problème est que les applications infectées par le cheval de Troie BankBot ont été en mesure de contourner ses contrôles de sécurité. Il est essentiel que les utilisateurs installent une application de sécurité sur leur téléphone pour les protéger de BankBot et d’autres chevaux de Troie bancaires. Ils doivent également être vigilants lorsqu’ils utilisent une application bancaire et rechercher des modifications inhabituelles à l’interface de l’application. L’ajout d’une sécurité supplémentaire, avec une authentification à deux facteurs lors de la connexion, est également conseillé. Les utilisateurs ne doivent compter que sur les app stores reconnus et de confiance pour télécharger des applications. Même si le malware était présent dans Google Play, son deuxième composant, la charge utile des logiciels malveillants, a été téléchargé à partir d’une source externe. » (Par Nikolaos Chrysaidos, Head of Mobile Threat Intelligence & Security chez Avast, Niels Croese, CTO chez SfyLabs, et Lukas Stefanko Malware, Analyst chez ESET)

Les 4 piliers pour maîtriser l’environnement multi-Cloud

Il existe quelques fondamentaux à respecter pour gagner en liberté et en sécurité et permettre à l’entreprise de tirer le meilleur parti de ses applications.

Le Cloud, qu’il soit public, privé ou hybride, ne cesse de gagner du terrain. Il offre aux entreprises une formidable opportunité de se développer rapidement et de fournir des services à valeur ajoutée pour répondre à la demande croissante des clients. Selon un récent rapport d’IDC, 86 % des entreprises adopteront une stratégie multi-Cloud d’ici deux ans. Cette évolution exerce de fortes pressions sur les départements informatiques, qui se voient contraints de réduire les coûts, d’assurer la protection des données et de sécuriser les applications critiques. Pour maîtriser l’univers multi-Cloud, l’accent doit être mis sur quatre piliers fondamentaux : stratégie, marché, opérations et valeur.

Stratégie du multi-cloud

Un plan de migration stratégique vers le Cloud aide les entreprises à aller de l’avant grâce à une architecture efficace qui sécurise les applications critiques, optimise le potentiel de l’entreprise, garantit la conformité des données et préserve l’expérience utilisateur. La question que doivent se poser les responsables est de savoir si la stratégie de migration vers le Cloud fournit le socle nécessaire à l’innovation, la croissance de l’activité et l’apport de valeur ajoutée aux clients. Les entreprises ont besoin de résultats tangibles qui ont un impact positif sur l’activité. La sécurité est une composante centrale de tout projet de migration, en particulier lorsque ce dernier intègre des services Cloud natifs s’appuyant sur des règles incompatibles avec les services déployés sur site. Parallèlement, investir dans des outils avancés et du personnel qualifié renforce la maîtrise technologique et l’alignement de la stratégie globale.

Marché

Une compréhension du marché des fournisseurs de services Cloud est fondamentale pour créer de la valeur et optimiser les performances. D’après le rapport State of Applications Delivery 2017 publié par F5, une entreprise sur cinq prévoit d’héberger plus de 50 % de ses applications dans le Cloud, ce qui ne fera qu’amplifier le problème de la sécurité des applications.

D’où l’importance de choisir une solution Cloud et un fournisseur de sécurité appropriés. Il est par exemple possible de combiner services sur site, services de Cloud public/privé et services SaaS (Software-as-a-Service). Le marché offre de nombreuses possibilités. Que l’entreprise opte pour le transfert des applications existantes vers le Cloud (migration de type « lift and shift ») ou pour des applications Cloud natives, il est important d’éviter toute dépendance vis-à-vis de fournisseurs de services Cloud spécifiques. Déployer la bonne combinaison de solutions dans le ou les bons environnements accélère la mise sur le marché, atténue les menaces et assure la cohérence, quel que soit le scénario opérationnel.

Opérations

Un modèle multi-Cloud transforme le département informatique en courtier de services, aidant ainsi les entreprises à renforcer la sécurité des applications tout en optimisant le rendement de l’infrastructure existante via la normalisation. Les entreprises prospères adoptent une approche intégrée du Cloud et évitent les silos départementaux. La sécurité des applications dépend de l’ensemble de l’architecture applicative, y compris de l’infrastructure réseau. Tout l’écosystème doit protéger pleinement les données et services vitaux en constante évolution. La sécurité ne doit pas être l’affaire d’un seul individu ni d’une seule fonction de l’entreprise. Pour une transition en douceur, toutes les parties prenantes doivent se synchroniser entre elles et parfaitement saisir les objectifs commerciaux. Une collaboration plus étroite entre les équipes DevOps et NetOps est attendue. De leur côté, les architectes des nouvelles solutions et nouveaux services applicatifs doivent mieux sensibiliser les dirigeants. Avantages de la migration vers le Cloud et aux aspects à normaliser.

Valeur

Il est indispensable de mettre en place des dispositifs de mesure, de surveillance et de gestion. Un écosystème de solutions de sécurité intégrées est requis. Il doit protéger les applications vitales contre des risques majeurs, où qu’elles résident.

Recourir à des outils robustes. Appréhender le paysage des menaces. Mettre à la disposition des spécialistes de la sécurité tous les moyens nécessaires aide les entreprises à protéger les données sensibles. Il doit faciliter le contrôle des accès en vue d’une meilleure expérience client.

Une mesure et une surveillance étroites des performances d’un projet Cloud permettent d’identifier les menaces. Connatre leur impact sur le bilan de l’entreprise.

L’adoption de technologies Cloud doit également être un moyen pour les entreprises de lancer de nouveaux services et d’innover. Croissance de l’activité, accélération de la mise sur le marché, flexibilité/efficacité opérationnelles et optimisation des performances applicatives sont des facteurs essentiels. Au final, le Cloud doit être une source de fierté pour l’entreprise et renforcer la réputation de la marque.

Conclusion : maîtriser ou subir son multi-cloud

De plus en plus d’entreprises adoptent un modèle multi-Cloud. Si elles ne veulent pas être laissées pour compte dans un monde numérique en rapide mutation, elles doivent agir. Ce sont la réputation de leur marque et la confiance des clients qui sont en jeu. En l’absence de vision et de stratégie, elles se laisseront dépasser par la complexité. Elles finiront par rejoindre les rangs des victimes de la cybercriminalité. Il est temps pour elles de devenir maîtres de leur destin. (Par Laurent Pétroque, expert sécurité chez F5 Networks)

Cadres, le RGPD pourrait vous coûter votre carrière

Le nouveau règlement sur les données privées, le RGPD, pourrait ralentir la carrière des cadres supérieurs dans le monde entier.

Les cadres supérieurs mettent en danger leur avancement de carrière en raison d’un grand manque de connaissances concernant la nouvelle législation sur la confidentialité des données. C’est ce que révèle une nouvelle étude internationale : si les cadres ne contribuent pas à l’hébergement de leurs données par des chasseurs de tête, ils risquent de manquer des opportunités de carrière cruciales et donc les augmentations de salaire typiques lorsque le Règlement général sur la protection des données (RGPD) sera entré en vigueur, en mai 2018.

Les cadres supérieurs risquent de passer à côté d’opportunités de carrière cruciales

L’étude Conséquences inattendues – Pourquoi le RGPD pourrait ralentir la carrière des cadres supérieurs dans le monde entier, a été réalisée par GatedTalent, un outil de mise en conformité avec le RGPD destiné au secteur du recrutement, auprès de plus de 350 cabinets de recrutement autour du monde. Elle montre que les cadres supérieurs sont généralement contactés par des chasseurs de tête au moins une fois par an, 32 % des répondants s’attendant même à être contactés trois à cinq fois par an. Pour que cela puisse être le cas, les cabinets de recrutement doivent pouvoir stocker les données reçues de cadres et dirigeants – mais le RGDP implique que bon nombre de recruteurs vont devoir changer la façon dont ils opèrent actuellement.

C’est le sentiment qu’exprime le Dr Bernd Prasuhn, de l’entreprise de recrutement Ward Howell, interviewé dans le cadre de la recherche : « Les cadres supérieurs qui espèrent atteindre un poste de direction un jour doivent être sur le radar des entreprises de recrutement des cadres, faute de quoi ils n’y parviendront jamais ».

Un manque considérable de connaissances sur le RGPD

Malgré tout, peu de cabinets de recrutement ayant participé à l’étude estiment que les cadres supérieurs sont conscients de la façon dont le RGPD risque d’affecter leur avancement. Jens Friedrich de l’entreprise de recrutement SpenglerFox, qui a été interrogé dans le cadre de l’étude, ne pense pas que les cadres supérieurs, qui comptent sur les chasseurs de tête pour leur proposer un nouveau poste, soient pleinement conscients de la façon dont le RGPD est susceptible d’affecter leurs options professionnelles, surtout quand on sait qu’un cadre supérieur change généralement de travail tous les 3 ou 4 ans. « Je pense que cela dépendra beaucoup des circonstances personnelles, à savoir s’ils travaillent dans un secteur susceptible d’être fortement affecté, par exemple, ou s’ils ont déjà été informés par une entreprise de recrutement. Cela variera vraisemblablement d’un pays à l’autre mais j’ai le sentiment que la prise de conscience sera minimale chez les cadres supérieurs ».

Interdit d’interdire ! La Chine bloque de nombreuses applications iPhone

Le Ministère de la Santé Chinoise fait interdire de nombreuses applications après la modification de la législation locale. Skype résiste, mais pour combien de temps ?

La Chine fait interdire la VoIP ! Les utilisateurs Chinois d’iPhone sont de moins en moins à la fête après la modification de la loi Internet voté par le gouvernement. De nombreuses applications permettant de communiquer en mode VoIP ont été censurées. Le ministère de la santé publique a fait retirer plusieurs applications Voice-over-Internet-Protocol (VoIP). La loi ne les autorise plus sur le territoire Chinois.

Les boutiques d’Apple et Google souhaitant continuer à faire du business en Chine, les deux géants américains se plient donc à la censure Chinoise.

Skype fonctionne encore pour le moment, mais il n’est plus possible depuis fin octobre de payer les services Skype via Apple.

Skype est l’un des derniers outils non-chinois à fonctionner. Il y a six mois, Gmail, Twitter, Telegram ou encore Snapchat avaient été interdits. En septembre 2017, WhatsApp a été bloqué.

Des outils qui peuvent revenir batifoler avec le cyberespionnage Chinois à la condition ou le chiffrement des applications soit retiré. La Chine a aussi interdit l’utilisation des VPN. Amende et prison pour ceux qui tenteraient de jouer avec le yaomo, le diable.

Votre smartphone vous suit à la trace ?

Même fermé, sans puce, les smartphones sont-ils capables de vous suivre à la trace ?

Trace or not trace ! Il ne se passe pas une journée ou je ne reçois par un courriel me demandant qu’elles sont les informations que collectent les téléphones portables. S’il fallait décortiquer l’ensemble des cas, vous jetteriez votre smartphone à la poubelle. Il faut savoir que les constructeurs indiquent ce qu’ils font avec nos appareils. Je vais prendre l’exemple de Google et de son système Android. Un OS qui équipe plusieurs centaines de millions d’appareils dans le monde.

Dans son espace Privacy, le géant américain indique que lorsque vous utilisez des services Google, ils sont susceptibles de collecter et traiter des données relatives à votre position exacte. Ils utilisent différentes technologies pour vous localiser : IP, signaux GPS. D’autres capteurs permettent d’identifier les appareils, les points WiFi, les antennes-relais à proximité.

https://twitter.com/fs0c131y/status/932249064208551936

Ce détail est intéressant car, par exemple, vous pouvez activer les services de localisation de Google pour optimiser les applications géo-dépendantes sur votre appareil. Si vous faites appel à ces services, votre appareil communique des informations concernant les points d’accès WiFi (telles que l’adresse MAC et la force du signal) et les antennes-relais qui se trouvent à proximité pour leur permettre de déterminer votre position. Vous pouvez utiliser les paramètres de votre appareil pour activer les services de localisation de Google.

Il s’avère que d’autres « capteurs » permettent de vous tracer avec une précision chirurgicale. Pour preuve, cet « espionnage » que Google orchestre depuis plusieurs mois via son outil Firebase Cloud Messaging. Une collecte d’information pas vraiment explicite de la part de l’américain. Son logiciel, qui ne peut être bloqué, fait une localisation de l’appareil. Une « option » usine qui doit disparaitre dans quelques semaines indique le journal Quartz.

Pour les autres appareils, Apple, Wiko, rassurez-vous, ils collectent aussi vos données, pour, parait-il, votre bien. (QZ)

Près de la moitié des entreprises ont subi une compromission de données en 2016

La forte progression du trafic Internet émanant de bots crée un sérieux angle mort pour la sécurité IT, et 79% des entreprises ne savent toujours pas si leur trafic web provient d’humains ou de bots selon une étude de Radware.

La publication d’une nouvelle étude intitulée Radware Research: Web Application Security in a Digitally Connected World ne laisse rien présagé de bon. Ce rapport, qui examine la façon dont les entreprises protègent leurs applications web, identifie des lacunes de sécurité au sein des actuelles pratiques DevOps, recense les principaux types et vecteurs d’attaques et identifie les principaux risques.

L’étude qui s’intéresse aux secteurs d’industrie les plus ciblés, comme la vente au détail, la santé et les services financiers, souligne la prolifération du trafic web généré par des bots et son impact sur la sécurité applicative des entreprises. En réalité, les bots sont à l’origine de plus de la moitié (52%) de tout le flux du trafic Internet. Pour certaines entreprises, les bots constituent plus de 75% du trafic total. Les résultats soulignent ainsi qu’une entreprise sur trois (33%) ne sait pas distinguer les « bons » bots des « mauvais ».

Le rapport révèle également que près de la moitié (45%) des sondés ont expérimenté une compromission de données l’année passée et que 68% ne sont pas certains de pouvoir préserver la sécurité de leurs informations internes. De plus, les entreprises protègent souvent mal leurs données sensibles. 52% n’inspectent pas le trafic échangé depuis et vers des API. 56% ne sont pas en capacité de suivre les données une fois qu’elles quittent l’entreprise.

Toute entreprise qui collecte les informations de citoyens européens va bientôt devoir se conformer aux réglementations strictes sur la confidentialité des données imposées par le nouveau règlement général sur la protection des données (GRPD) ou GDPR (General Data Protection Regulations).

Ces nouvelles obligations prendront effet en mai 2018. Toutefois, à moins d’un an de l’échéance, 68% des entreprises craignent de ne pas être prêtes à temps.

« Il est alarmant que les dirigeants d’entreprises qui recueillent les données sensibles de millions de consommateurs doutent de la sécurité des informations qu’ils détiennent », déclare Carl Herberger, vice-président des solutions de sécurité chez Radware. « Ils connaissent les risques mais des angles morts, potentiellement vecteurs de menaces, persistent. Tant que les entreprises ignoreront où se situent leurs vulnérabilités et qu’elles n’auront pas pris les bonnes mesures pour se protéger, les attaques d’ampleur et les compromissions de données continueront de faire les gros titres. » Selon le Dr Larry Ponemon, « Ce rapport montre clairement que la pression exercée à fournir des services applicatifs en continu limite la capacité des méthodes DevOps à assurer la sécurité des applications Web aux différentes étapes du cycle de vie des développements logiciels.»

La sécurité applicative est trop souvent négligée. Tout le monde veut bénéficier des avantages de l’automatisation totale et de l’agilité conférées permis par le déploiement continu. La moitié (49%) des sondés utilisent actuellement le déploiement continu des services applicatifs et 21% envisagent de l’adopter au cours des 12 à 24 mois. Toutefois, ce modèle peut aggraver les problématiques de sécurité du développement applicatif : 62% reconnaissent que la surface d’attaque s’en trouve étendue et la moitié environ déclare ne pas intégrer la sécurité au processus.

Les bots prennent le dessus. Les bots sont la dorsale du e-commerce aujourd’hui. Les e-commerçants utilisent les bots pour les sites comparateurs de prix, les programmes de fidélité électroniques, les chatbots, etc. 41% des commerçants ont même déclaré que plus de 75% de leur trafic émane de bots, alors que 40% ne font toujours pas la différence entre les bons et les mauvais bots. Les bots malveillants constituent un risque réel. Certaines attaques de web scrapping volent la propriété intellectuelle des commerçants, cassent les prix et rachètent des stocks de façon à écouler la marchandise via des canaux non autorisés en dégageant une marge. Mais les bots ne sont pas le seul problème des commerçants. Dans le secteur de la santé, où 42% du trafic émane de bots, 20% seulement des responsables de la sécurité IT étaient certains qu’ils pourraient identifier les « mauvais » bots.

La sécurité des API est souvent négligée. Quelque 60% des entreprises partagent et consomment des données via les API, y compris des informations personnelles, des identifiants et mots de passe, des détails de paiements, des dossiers médicaux, etc. Pourtant, 52% n’inspectent pas les données échangées avec leurs API, et 51% n’effectuent aucun audit de sécurité ni n’analysent les failles éventuelles des API en amont de l’intégration.

Les périodes de vacances sont à haut risque pour les commerçants. Les commerçants sont confrontés à deux menaces distinctes mais très dommageables pendant les périodes de vacances : les pannes et les compromissions de données. Des pannes d’Internet lors de la haute saison quand les commerçants dégagent le plus de bénéfices peuvent avoir des conséquences financières désastreuses. Pourtant, plus de la moitié (53%) ne sont pas certains de la disponibilité à 100% de leurs services applicatifs. Les périodes où la demande est forte comme celles du Black Friday et du Cyber Monday, exposent également les données des clients : 30% des détaillants laissent entendre qu’ils peinent à protéger correctement leurs données sensibles au cours de ces périodes.

Les données médicales des patients courent des risques également. 27% seulement des sondés dans le secteur de la santé ont confiance dans leur capacité à protéger les dossiers médicaux de leurs patients, même s’ils sont près de 80% à devoir se conformer aux réglementations d’état. Il est primordial de déployer des correctifs de sécurité pour faire face aux actuelles menaces et mieux pouvoir atténuer leur impact, mais 62% environ des sondés dans le secteur de la santé n’ont peu ou pas confiance dans la capacité de leur établissement à pouvoir adopter rapidement des correctifs de sécurité et déployer les mises à jour, sans compromettre la conduite des opérations. Plus de la moitié (55%) des établissements de santé déclarent n’avoir aucun moyen de suivre les données partagées avec une tierce partie une fois qu’elles ont quitté le réseau interne. Les organisations du secteur de la santé sont les moins enclines à rechercher des données volées sur le Darknet : 37% ont déclaré le faire contre 56% dans le secteur des services financiers et 48% dans le secteur de la vente au détail.

La multiplication des points de contact aggrave le niveau de risque. L’avènement des nouvelles technologies financières (comme celles liées aux paiements mobiles) facilite l’accès des consommateurs et leur degré d’engagement, ce qui a pour effet d’accroître le nombre des points d’accès comportant des vulnérabilités et de majorer le niveau de risque auquel sont confrontés les responsables de la sécurité. Alors que 72% des organisations de services financiers partagent les identifiants et mots de passe et que 58% partagent les détails des paiements réalisés via des API, 51% ne chiffrent pas le trafic, avec le risque d’exposer les données en transit des clients.

Les équipements médicaux seront-ils la prochaine cible des cybercriminels ?

Equipements médicaux et les pirates ! Le thème de l’édition 2017 du Cyber Security Weekend européen était “Next” – the near future and threats we will face ». A cette occasion, des experts de Kaspersky Lab, de KPN et d’EUMETSAT se sont réunis pour évoquer leurs prévisions et études respectives. Les participants ont ainsi pu écouter les prévisions sur ce que réservent les cybercriminels aux hôpitaux et aux patients en 2018.

Les données médicales contenus dans les équipements médicaux ont une très grande valeur sur le marché noir et les systèmes médicaux revêtent une importance vitale. Dès lors, les organisations de santé sont une proie de choix pour les tentatives d’extorsion. Il est donc essentiel que la communauté des spécialistes de la sécurité travaille en étroite collaboration avec le monde de la santé et ses fournisseurs dans le but de renforcer la protection des appareils utilisés, de veiller à ce que les nouveaux systèmes soient sécurisés et sûrs d’entrée de jeu, et pour que les équipes médicales soient bien formées aux questions de cybersécurité.

Le paysage en 2017

En 2017, les recherches ont montré à quel point les informations médicales et les données des patients stockées au sein d’une infrastructure de santé connectée étaient peu protégées et donc, accessibles en ligne par n’importe quel cybercriminel motivé. Les experts ont par exemple découvert que près de 1500 appareils utilisés pour le traitement des imageries médicales étaient accessibles au public. En outre, les recherches ont démontré qu’un nombre non négligeable de logiciels et d’applications en ligne de nature médicale, renferment des vulnérabilités pour lesquelles il existe des exploits publics. Ce risque se voit accru par la valeur des informations médicales, dont comptent bien profiter les cybercriminels pour leur bénéfice personnel. Ils savent en effet pertinemment qu’elles sont faciles d’accès et que les organismes médicaux seront toujours prêts à payer pour les récupérer.

A quoi faut-il s’attendre pour 2018 ?

Le secteur médical va être de plus en plus menacé, étant donné le nombre croissant d’appareils connectés et d’applications vulnérables déployés par les services de santé. Le monde de la santé est soumis à différents facteurs qui influent sur son fonctionnement : la nécessité d’en faire plus, à moindre coût, avec les ressources existantes ; le besoin croissant des soins à domicile pour les populations vieillissantes et les pathologies chroniques telles que le diabète ; l’aspiration du grand public à adopter un mode de vie plus sain ; et la prise de conscience que le partage de données et le suivi croisé des patients par différentes organisations sont la clé pour améliorer la qualité et l’efficacité des soins médicaux.

9 grandes menaces dans les 12 prochains mois

Les attaques ciblant les équipements médicaux avec un objectif d’enrichissement personnel, de malveillance pure, ou pour des motivations pire encore, seront en recrudescence. Les équipements médicaux spécialisés sont de plus à en plus nombreux à être connectés à des réseaux informatiques. Si ces derniers sont pour la plupart privés, une seule connexion peut suffire pour permettre à des attaquants de s’engouffrer dans la brèche et de diffuser des programmes malveillants à l’aide de ce réseau « pourtant fermé ». Or s’en prendre à des équipements peut perturber l’administration de soins, voire être fatal, ce qui augmente grandement les probabilités de versement de rançons en cas de tentative d’extorsion.

Il faut s’attendre à une hausse du nombre d’attaques ciblées visant à dérober des données. Le volume d’informations médicales et de données patients stockées et traitées par les systèmes de santé connectés, augmente tous les jours. Ce type de données est très coté sur le marché noir et peut servir à des fins de chantage et de tentative d’extorsion. D’autant que les criminels ne sont pas les seuls intéressés : l’employeur ou l’assureur d’une victime peuvent être intéressés de connaitre ce qui peut impacter les primes d’une personne ou son emploi.

Équipements médicaux dans la ligne de mire

Le nombre de cas d’attaques avec ransomware, visant les organismes médicaux, va augmenter. Ces tentatives s’appuieront sur le chiffrement de données et le blocage des appareils : les coûts exorbitants des équipements médicaux connectés et leur caractère souvent vital en feront des cibles de choix pour des attaques et tentatives de racket.

Le concept de périmètre professionnel clairement défini va continuer de s’effriter au sein des institutions médicales, dans la mesure où un nombre croissant d’appareils sont connectés à Internet – stations de travail, serveurs, appareils mobiles et équipements divers. Les criminels ont un choix toujours plus large pour tenter d’accéder à des informations médicales et à des réseaux. Mettre en place des systèmes de protection et sécuriser les utilisateurs finaux ou points de terminaison, va devenir le nouveau défi des équipes chargées de la sécurité dans les structures médicales. En effet, tous les nouveaux appareils créent autant de points d’accès à l’infrastructure.

Les données sensibles et confidentielles transmises aux professionnels de la santé par les appareils portables connectés, les implants notamment, vont être de plus en plus pris pour cible par des attaquants. En effet, ces appareils sont de plus en plus utilisés pour les diagnostics médicaux, les traitements et les soins préventifs. Les pacemakers et les pompes à insuline en sont de bons exemples.

Les systèmes d’information médicaux nationaux et régionaux qui échangent des données patients non-chiffrées, ou non sécurisées, avec des praticiens, des hôpitaux, des cliniques et autres établissements, vont être de plus en plus ciblés. Les attaquants vont chercher à intercepter les données lorsqu’elles se trouvent en dehors du pare-feu des réseaux. Il en sera de même pour les données échangées par les établissements médicaux et les compagnies d’assurance santé.

Équipements médicaux, mais pas que…

Le succès des petits appareils de santé et de fitness connectés est une aubaine pour les attaquants, car ils livrent de gros volumes de données personnelles généralement peu protégées. Avec l’engouement pour l’amélioration du bien-être, les bracelets, systèmes de suivi et autres montres connectées vont héberger et transmettre des grandes quantités de données personnelles, protégées à minima. Les cybercriminels n’hésiteront pas à profiter de cette véritable mine d’or.

Les attaques paralysantes – de type DDoS (avec refus de service) ou ransomware qui détruit les données (à l’instar de WannaCry) – posent un problème croissant pour les organismes de soins de santé de plus en plus digitalisés. Le nombre de stations de travail, processus informatisés de traitement des archives médicales et des données commerciales, qui sont le quotidien de toute organisation à la page, élargissent la surface d’attaque possible pour les cybercriminels. La situation est d’autant plus critique pour le monde de la santé dans les cas d’urgences avec pronostic vital engagé.

Enfin, et surtout, les technologies émergentes telles que les membres artificiels connectés, les implants destinés à apporter des améliorations physiologiques, la réalité augmentée embarquée conçues pour résoudre des problèmes de handicap et rendre l’être humain plus fort et en meilleure forme, constituent, elles aussi de nouvelles opportunités pour les attaquants imaginatifs armés d’intentions malveillantes. Ces nouvelles technologies médicales doivent donc être sécurisées dès le stade de leur conception.

Ce document est le premier d’une série publiée par Kaspersky Lab, consacrée aux prévisions annuelles de ses experts. Les autres annonces concerneront les domaines de l’automobile, des services financiers et de la fraude, de la sécurité industrielle et des crypto-monnaies. Tous seront accompagnés des traditionnelles prévisions de menaces ciblées. L’intégralité des Kaspersky Lab Threat Predictions for 2018 sera disponible sur Securelist dans la semaine.

La sécurité des objets connectés dans une motion aux Pays-Bas

Les Pays-Bas viennent d’adopter une motion imposant aux fabricants d’ objets connectés (IoT) des tests de sécurité informatique.

Voilà une loi traitant de la sécurité des objets connectés qui fait tendre l’oreille. Les Pays-Bas viennent de valider une motion qui impose des tests de piratage à l’encontre des objets connectés vendu dans le pays. Bref, l’Internet of Things (IoT) pris au sérieux et d’une maniérè sécuritaire. C’est l’idée du sénateur Maarten Hijink qui demande au gouvernement et aux entreprises d’organiser des « pentests », des tests de sécurité, afin de tester les appareils connectés. Il y a quelques mois, la Chambre des députés avait réclamé au gouvernement d’agir sur ce même thème, la sécurité des objets connectés. Dans cette nouvelle motion, l’état est inviter à des actions proactives, comme le « hack éthique » dont la mission est d’améliorer la sécurité des objets, donc des utilisateurs.

Cybersécurité : Malwarebytes dévoile les grandes tendances 2018

Prévisions en matière de cybersécurité pour 2018. MB prédit une augmentation des menaces reposant sur le cryptojacking via les navigateurs Web, des attaques basées sur PowerShell ainsi qu’une accélération de l’utilisation par les pirates de logiciels de sécurité comme porte dérobée. Ces agissements seront portées par la tendance croissante au « tout connecté » dans l’ensemble des secteurs. Par ailleurs, les domaines de l’éducation et de la santé devraient être de plus en plus touchés par les cyberattaques.

Prévisions – L’année 2017 a été le théâtre d’attaques d’ampleur mondiale reposant sur des ransomwares tels que Wannacry et NotPetya, des violations de données sans précédent comme le piratage massif dont a été victime Equifax ou encore la perte de 198 millions de dossiers électoraux. Dans ce contexte, les experts en cybersécurité de Malwarebytes Labs dressent une liste de tendances susceptibles d’affecter les entreprises et les particuliers en 2018. « Les résultats de nos laboratoires de R&D ne montrent aucun signe de ralentissement pour 2018. Les outils et les techniques de piratage sont de plus en plus sophistiqués et accessibles. Nous assistons à l’apparition d’une nouvelle vague de cybercriminalité, portée par la multiplications des logiciels malveillants peu coûteux et par la promesse de profit facile. Les attaques à venir nécessiteront davantage de formation en matière de cybersécurité, une meilleure sensibilisation et une approche à plusieurs niveaux de la sécurité des entreprises et des personnes. » confie Marcin Kleczynski, CEO de Malwarebytes.

Prévisions – « La ruée vers le Bitcoin » : le cryptojacking sera la priorité absolue des cybercriminels

L’activité de cryptojacking a explosé en fin d’année 2017 et nous prévoyons une intensification de cette pratique en 2018, à mesure que la valeur des crypto-monnaies augmentera. En une seule journée de 2017, Malwarebytes a bloqué 11 millions de connexions à des sites permettant le cryptojacking. Ce qui rend cette activité intéressante est le flou qui subsite entre l’internaute lambda et le cybercriminel. En effet, dans la mesure ou elle est réalisée de manière transparente et clairement identifiée, on peut tout a fait imaginer qu’elle vienne remplacer la publicité online traditionnelle et permette aux éditeurs de sites Web de créer une nouvelle source de revenus. Néanmoins, le cryptojacking reste encore majoritairement produit à partir de sites Web légitimes compromis par des cybercriminels. Quoi qu’il en soit, ce sera l’une des activités à surveiller en 2018 !

Prévisions – Les attaques basées sur PowerShell seront amenées à augmenter

Il y a quelque mois, des membres du gouvernement saoudien ont été attaquées via une macro du logiciel Word qui a infecté les ordinateurs avec des chevaux de Troie voleurs d’informations. Plutôt que de récupérer une charge utile binaire, l’attaque s’est appuyée sur des scripts malveillants pour communiquer avec des sites Web compromis. Ces attaques basées sur des scripts, et en particulier celles basées sur PowerShell, sont extrêmement difficiles à identifier et peuvent facilement échapper aux antivirus. Elles sont donc particulièrement attrayantes pour les cybercriminels et ous prévoyons de nombreuses autres attaques PowerShell dans l’année à venir.

Les établissements d’enseignement deviendront une cible de choix

Malgré une sophistication croissante, les cybercriminels vont continuer à cibler les points d’accès les plus faciles à pénétrer. Les établissements d’enseignement sont souvent un patchwork de systèmes sous-protégés et qui manquent de ressources pour se défendre. Par ailleurs, il y existe un nombre important de terminaux potentiellement attaquables et contenant une quantité massive de données exclusives sur les étudiants, les enseignants ou même les parents… et les vols concernent en général les données les plus enrichies ! Le domaine de l’éducation, qui combine à la fois des faiblesses en matière de cybersécurité et des données extrêments riches, se veut alors la cible la plus probable de cyberattaques.

La cybercriminalité clandestine continuera d’évoluer et de se développer

Bien que nous ayons l’impression d’être débordés par le nombre de cyberattaques, il ne faut pas s’attendre à un ralentissement en 2018. En effet, le nombre d’outils à la disposition des cybercriminels augmente tandis que le seuil de connaissance nécessaire pour mener une attaque diminue. Le contexte est donc propice à la multiplication du nombre de pirates ! Cette croissance est également portée par les médias qui ont fortement relayé le succès et la rentabilité de la cybercriminalité. Les ransomwares par exemple, représentent à eux seuls un milliard de dollars de profit sur l’année 2017. Devenir cybercriminel n’est par ailleurs plus un tabou car la stigmatisation de ces activités diminue dans certaines parties du monde. Pour certains, il s’agit d’une activité comme une autre. Dans le même temps, ceux qui sont déjà établis comme des « acteurs de premier plan » de la cybercriminalité vont devenir agressifs dans la défense de leurs territoires, de leurs zones d’opérations et de leurs sources de revenus. Nous pourrions commencer à observer des stratégies de fusion et d’acquisiton de la part des « multinationales de la cybercriminalité », voir à un recours à la violence dans le monde réel pour sécuriser et accroître leurs sources de revenus.

Les logiciels de sécurité auront une cible attachée dans le dos

En 2018, les cybercriminels cibleront et exploiteront davantage les logiciels de sécurité. En ciblant ces programmes de confiance et la chaîne d’approvisionnement logicielle et matérielle, les attaquants peuvent contrôler les dispositifs et manipuler sans réserve les utilisateurs. Les pirates informatiques tireront parti des produits de sécurité et les exploiteront, soit par une corruption directe de l’agent installé sur le poste de travail, soit en interceptant et en redirigeant le trafic du cloud pour atteindre leurs objectifs. Au fur et à mesure que ces pratiques seront plus connues du public, la perception des logiciels de sécurité, en particulier celle des antivirus traditionnels se détériorera encore davantage.

Les vers deviendront les vecteurs de lancement de malwares

En 2017, Wannacry et Trickbot ont utilisé les fonctionnalités de vers pour propager les logiciels malveillants. En 2018, nous devrions voir un plus grand nombre de familles de malwares utiliser cette technique, car les compromis réseau dus aux vers se propagent plus rapidement que la plupart des autres méthodes. Si les pirates informatiques peuvent comprendre comment utiliser les vers sans être trop bruyants, cette tactique peut faire un grand nombre de victimes en très peu de temps.

L’IoT va créer de nouveaux défis dans le domaine de la santé

La possibilité pour les dispositifs médicaux de se connecter au Web, rendue possible par l’Internet des objets (IoT) offre de nombreux avantages. Une plus grande connectivité signifie de meilleures données, une meilleure analyse et de meilleurs soins offerts aux patients. Mais elle ouvre aussi la porte à de nouvelles menaces comme la perte de données particulièrmeent sensibles puisqu’elles concernent la santé et à l’accès non autorisé aux appareils. Pour assurer la sécurité des patients, la vigilence sera donc primordiale ! Comme dans le cadre dela conversion des dossiers de santé électroniques (DSE), les protocoles de sécurité devront changer et évoluer pour faire face à l’évolution et à la croissance des menaces. Les appareils devront être équipés de méthodes d’authentification stricte, faire l’objet d’un accès limité, et bénéficier d’une surveillance accrue de leurs communications. Le cryptage sera par conséquent un élément crucial dans la sécurisation de ces dispositifs et une responsabilité qui, si elle n’est pas adoptée par les fournisseurs et les fabricants de dispositifs, sera vraisemblablement assumée par des tiers fournisseurs de services de sécurité.

Quand votre entreprise mine de la crypto-monnaie… pour les pirates

Votre ordinateur consomment-ils de l’énergie pour vos uniques intérêts ? L’extraction de cryptomonnaie présente une nouvelle menace pour les entreprises. Le tout dernier Threat Index de Check Point révèle une augmentation des extractions de cryptomonnaie en octobre, avec CoinHive en sixième place des logiciels les plus utilisés au monde.

Non, CoinHive ou les crypto-monnaies (cryptomonnaie) ne sont pas malveillantes. Leurs utilisations inapropriées par des malveillants transforment ces beaux projets en merdier sans nom. C’est un peu comme dire que la voiture est illégale car des chauffards roulent à 230kms heures et tuent des gens. Que des braqueurs se servent d’une automobile pour attaquer une banque. Toujours est-il que l’ambiance autour des monnaies démateriealisées ne va pas s’arranger dans les semaines à venir.

Suite à la récente étude de Check Point démontrant que les extracteurs de cryptomonnaie peuvent frauduleusement utiliser jusqu’à 65 % des ressources totales en CPU d’un utilisateur final, sans son approbation, la variante CoinHive a fait son apparition dans le Threat Index d’octobre en 6e position. Ce logiciel malveillant est conçu pour extraire la cryptomonnaie Monero lorsqu’un utilisateur consulte une page web, sans l’approbation de l’utilisateur. CoinHive implante du code JavaScript, qui utilise ensuite le CPU de l’utilisateur final, impactant gravement les performances de sa machine.

Comme en septembre, RoughTed et Locky sont les deux menaces les plus répandues. Cependant, le logiciel malveillant Seamless, un redirecteur transparent de trafic, a fait son entrée parmi les trois premiers. Ce logiciel malveillant redirige silencieusement ses victimes vers une page web pirate. Elle infecte à l’aide d’un kit d’exploitation de vulnérabilités. L’infection réussie permet au pirate de télécharger d’autres logiciels malveillants.

Maya Horowitz, Threat Intelligence Group Manager chez Check Point, précise : « L’émergence de Seamless et de CoinHive souligne une fois de plus le besoin en technologies avancées de prévention des menaces pour sécuriser les réseaux contre les cybercriminels. L’extraction de cryptomonnaie est un nouvel acteur silencieux et pourtant significatif dans le paysage des menaces. Elle permet à des pirates de générer d’importants revenus tandis que les postes et les réseaux des victimes souffrent de latence et d’une baisse de performance. »

Top 3 des logiciels malveillants en octobre 2017

RoughTed est un logiciel de publicité malveillante. Contournement les bloqueurs de publicités. RT déclenche une série d’escroqueries, d’exploitations de vulnérabilités et de logiciels malveillants. Il est en mesure d’attaquer n’importe quel type de plate-forme et de système d’exploitation. Il utilise des techniques de prise d’empreintes pour délivrer l’attaque la plus pertinente.

Locky est connu. Un ransomware diffusé en février 2016. Il se propage principalement via des mails et des pièces jointes au format Word ou Zip. Il télécharge et installe un logiciel qui chiffre les fichiers des utilisateurs.

Seamless est un système de répartition de trafic. Il redirige silencieusement ses victimes vers une page web malveillante. Elle infecte les machines à l’aide d’un kit d’exploitation de vulnérabilités. L’infection permet au pirate de télécharger d’autres logiciels malveillants.

La liste des logiciels malveillants les plus couramment utilisés pour attaquer les actifs mobiles des entreprises a connu un changement par rapport à septembre, avec le logiciel rançonneur LeakerLocker pour Android apparaissant en seconde position.

Top 3 des logiciels malveillants mobiles

Triada – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Triada charge également de fausses URL dans le navigateur. LeakerLocker – Un logiciel rançonneur sur Android accédant aux données personnelles de l’utilisateur, puis les lui présentant en le menaçant de les divulguer en ligne en cas de non-paiement d’une rançon. Lootor – Outil de piratage ciblant des vulnérabilités du système d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement. La liste complète des 10 principales familles de logiciels malveillants en octobre est disponible sur le Blog Check Point.

Pour la France, le top 5 comprend : Roughted, Locky, Pushdo, Seamless ou encore Conficker. CoinHive s’affiche à la 6ème position.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile