Archives par mot-clé : attaque

Cybersécurité, DDoS, Mise à jour, Patch, Piratage

70,2% des attaques DDoS par botnet ont utilisé des serveurs Linux au 2ème trimestre 2016

28 août 2016 Damien Bancal

Durant la période étudiée, ce sont les ressources de 70 pays qui ont été visées par des attaques DDoS, la Chine étant le pays le plus touché (77% du nombre total d’attaques). L’Allemagne et le Canada sont tous les deux sortis du top 10 des pays visés, remplacés par la France et les Pays-Bas.

La durée des attaques a largement augmenté ce trimestre. Si le nombre d’attaques ayant duré jusqu’à 4h a diminué – passant de 68% au 1er trimestre à 60% au 2nd trimestre – la proportion de très longues attaques a augmenté. 9% des attaques ont duré entre 20h et 49h (contre 4% au 1er trimestre) et 4% ont duré entre 50h et 99h (contre 1% au 1er trimestre). Au 2nd trimestre, l’attaque la plus longue a duré 291 heures (soit 12 jours), contre 8 jours au 1er trimestre.

Bien que les méthodes d’attaques les plus utilisées demeurent SYN DDoS, TCP DDoS et HTTP DDoS, la proportion d’attaques de type SYN DDoS a été multipliée par 1,4 par rapport au trimestre précédent (pour atteindre 76%). Cette augmentation s’explique principalement par la multiplication des attaques utilisant des botnets Linux – qui sont les plus efficaces pour les attaques SYN-DDoS. C’est la première fois que Kaspersky DDoS Intelligence enregistre un tel déséquilibre entre les bots basés sur Linux (70%) et Windows (30%).

« Les serveurs Linux contiennent souvent des vulnérabilités assez classiques, sans pour autant être protégés par une solution de sécurité robuste, ce qui les rend plus sujets aux infections de bots. Les attaques réalisées par des bots Linux sont simples mais efficaces ; elles peuvent durer plusieurs semaines, alors que le propriétaire du serveur n’a pas conscience d’être à l’origine d’une attaque. De plus, en utilisant un seul serveur, les cybercriminels peuvent lancer une attaque dont la puissance sera égale à celle de plusieurs centaines d’ordinateurs personnels. C’est pourquoi les entreprises doivent se protéger en amont contre ce type de scenario, quelles que soient la durée et la complexité des attaques », commente Oleg Kupreev, Lead Malware Analyst chez Kaspersky Lab.

Apache, Cyber-attaque, Cybersécurité, DDoS, Piratage

Les hébergeurs OVH et 123-Reg sous les coups de DDoS massifs

4 août 2016 Damien Bancal

Le britannique 123-Reg et le Français OVH ont subit ces derniers jours des attaques massives ayant eu pour mission de bloquer leurs services et serveurs.

Les attaques DDoS ne baissent pas. Leurs intensités ont même une fâcheuse tendance à s’intensifier. Derniers cas en date, des Dénis de Services Distribués (D.D.o.S.) massifs ayant visé le Britannique 123-Reg et le Français OVH.

#DDoS new record: 520Gbps, no impact pic.twitter.com/963ge3Rrrj

— Octave Klaba (@olesovhcom) July 30, 2016

Pour les nordistes d’OVH, 520 Gbps qui n’ont pas impactés les services de l’entreprise « à chaque instant, on a entre 50 et 150 IP qui se font DDoS » souligne Octave Klaba, le patron d’OVH.

Pour l’Anglais 123-Reg, l’attaque aura durée toute la journée du 2 août. 30 Gbps qui ont impactés les services et les clients de l’hébergeur. A noter qu’un petit Gbps est plus que suffisant pour faire tomber un service web.

Le record DDoS, constaté par la société Arbor Network, est de 579 Gbps. Il a été constaté en ce débit 2016.

Qui derrière ces attaques ?

Les pirates utilisent de plus en plus des attaques DDoS comme moyen de chantage à l’encontre des entreprises. Des sociétés, plus que troubles, commercialisent aussi des systèmes « stresser » qui, sur le papier, sont censés permettre de tester vos propres systèmes face aux DDoS. Des stresser qui, pour quelques Euros, servent surtout à bloquer d’autres sites et serveurs, comme ce fût le cas cet été à l’encontre d’éditeurs de jeux vidéo.

Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch, ransomware, Sauvegarde

Les équipes de sécurité sont dépassées par le nombre d’alertes de sécurité quotidiennes

17 janvier 2016 Damien Bancal

76% des professionnels de sécurité interrogés par Rapid7 déclarent ne pas arriver à gérer plus de 25 alertes par jour alors que 29% d’entre eux reçoivent quotidiennement plus de 75 alertes de sécurité.

Rapid7, éditeur de solutions de sécurité analytique des données, dévoile les résultats de son étude 2015 sur la détection des menaces et la réponse aux incidents de sécurité. Face aux enjeux cruciaux de la protection des données de l’entreprise dans des contextes de réseaux étendus, les équipes de sécurité augmentent progressivement leurs capacités de détection des menaces et de réponses à incidents.

A travers une étude menée auprès de 271 professionnels de sécurité dans 20 pays, Rapid7 a cherché à analyser et à mieux comprendre le contexte et les problématiques auxquelles sont confrontées les équipes de sécurité en entreprise – leurs initiatives, les outils utilisés et leurs défis au quotidien – en matière de détection des menaces et de réponses aux incidents de sécurité.

Les équipes sécurité dépassées par le nombre d’alertes de sécurité générées par les équipements
Parmi les enseignements importants de cette étude, il ressort que les équipes de sécurité sont submergées par un volume d’alertes de sécurité trop important et pour lesquelles elles ne peuvent procéder à des recherches approfondies :

– Les professionnels de la sécurité signalent un écart entre le nombre d’alertes générées par leurs systèmes de détection et le nombre de ces alertes que leurs équipes sont capables de gérer – c’est à dire de consulter, d’enquêter et de remédier.

76% des profs sécu interrogés par @rapid7 déclarent ne pas arriver à gérer plus de 25 alertes par jour. #cybersécurité #cyberdéfense @zataz

— Damien Bancal (@Damien_Bancal) 15 Janvier 2016

– 76% des personnes interrogées n’arrivent pas à gérer plus de 25 alertes par jour, alors que 29% d’entres elles reçoivent plus de 75 alertes de sécurité par jour

La détection du vol d’identifiants : le problème majeur des équipes sécurité
Bien que cela souligne la nécessité d’une meilleure contextualisation, corrélation et hiérarchisation des alertes, les entreprises ne sont toujours pas satisfaites de leur capacité à détecter le premier vecteur d’attaque à l’origine des failles de sécurité : le vol d’identifiants.

– 90% des professionnels interrogés s’inquiètent des attaques utilisant des identifiants dérobés, et 60% déclarent ne pas bénéficier de solutions adaptées pour détecter le vol d’identifiants.

Concrètement, les équipes de sécurité ont toutes le même défi : elles doivent gérer trop d’alertes de sécurité ; les enquêtes sur chaque alerte prennent trop de temps ; elles ont trop peu de visibilité contextuelle sur les utilisateurs et les risques sur leur réseau.

Face à ces problématiques, les professionnels interrogés ont mis en place trois grandes initiatives en 2015, (dans l’ordre) :
1)    Le déploiement et le maintien d’une solution SIEM
2)    Le développement de leur programme de gestion des vulnérabilités
3)    L’amélioration ou le remplacement de leur réseau de pare-feu

L’étude rapporte également que 52% des entreprises interrogées utilisaient déjà un SIEM en 2015 alors que 21% prévoyaient de s’équiper dans le futur. Alors que la capacité flexible à agréger et corréler les logs permet aux entreprises de surveiller simultanément les données issues de pare-feu, de terminaux et des DNS, les professionnels estiment qu’il subsiste toujours un manque à ce niveau pour les services Cloud, des protocoles DHCP et des honeypots.

Les services Cloud, une surface d’attaque à risque
Les services Cloud sont une surface d’attaque importante et à risque, puisque 79% des personnes sondées dans le cadre de l’étude Rapid7 déclarent utiliser au moins un service Cloud, particulièrement Office 365, Google Apps et Salesforce. Pour les cybercriminels, il s’agit de voler les identifiants pour accéder aux dossiers confidentiels placés dans ces services. Et à ce sujet, les professionnels sont 59% à signaler un manque de visibilité au niveau de la sécurité des services Cloud.

Léonard Dahan, Regional Sales Manager pour la région Europe du Sud de Rapid7 indique à DataSecurityBreach.fr que « les enseignements de cette étude démontrent que les équipes de sécurité doivent prioriser la détection des identifiants compromis et les comportements suspicieux, non seulement sur le réseau mais également en local sur les postes de travail, tout comme autour des services Cloud. Le point positif est que les entreprises continuent de s’équiper et de mettre en place des programmes de détection et de réponse à incidents. Mais les équipes de sécurité doivent également s’appuyer sur une approche qui leur permettra d’améliorer la précision des alertes détectées, d’accélérer les enquêtes post-incidents et de mettre en évidence les risques liés aux utilisateurs de leur terminal jusqu’au Cloud ».

Chiffrement, cryptage, Cybersécurité, DDoS, Piratage

Trois nouveaux vecteurs d’attaques DDoS

22 novembre 2015 Damien Bancal

Akamai met en garde contre trois nouveaux vecteurs d’attaques DDoS par réflexion.

Akamai Technologies, Inc. leader mondial des services de réseau de diffusion de contenu (CDN), publie une nouvelle alerte cybersécurité. Akamai a, en effet, observé ces derniers mois trois nouvelles attaques par déni de service distribué (DDoS) utilisant la réflexion.

Qu’est-ce qu’une attaque DDoS par réflexion ?

Une attaque DDoS par réflexion, ou attaque DrDoS, compte trois types d’acteurs: l’attaquant, sa cible et des serveurs, complices malgré eux. L’attaquant envoie une requête simple à un service d’une victime. Ce pirate falsifie (par usurpation d’adresse) sa requête, qui donne l’impression de provenir de la cible. La victime, en répondant à l’adresse usurpée, envoie du trafic réseau intempestif vers la cible du pirate. Si la réponse de la victime est largement supérieure, en volume, à la requête, le pirate opte pour l’attaque DDoS par réflexion, qui amplifie ses capacités. Il envoie plusieurs centaines ou milliers de requêtes à haut débit à une longue liste de victimes en automatisant le processus avec un outil d’attaque et déclenche, en retour, un flux de trafic indésirable et une interruption par déni de service sur la cible.

« Même si les attaques DDoS par réflexion sont courantes, ces trois vecteurs d’attaques exploitent de manière abusive différents services et, démontrent ainsi que les pirates sondent sans relâche l’Internet pour découvrir de nouvelles ressources dont ils pourront tirer parti », indique à DataSecurityBreach.fr Stuart Scholly, senior vice president et general manager d’Akamai. « C’est comme si aucun service UDP n’était épargné par les auteurs d’attaques DDoS ; il faut donc que les administrateurs de serveurs bloquent les services inutiles ou les protègent des réflexions malveillantes. La quantité de services UDP exploitables pour des attaques DDoS par réflexion sur Internet est stupéfiante. »

Les outils employés pour chacune de ces nouvelles attaques par réflexion sont liés – car tous sont des variantes du même code C. Chaque vecteur d’attaques procède de la même façon : un script envoie une requête via une adresse usurpée à une liste de victimes. Les options de commande en ligne sont identiques.

Attaque DDoS par réflexion via le serveur NetBIOS

L’attaque DDoS par réflexion de type NetBIOS – qui consiste, plus précisément, en une réflexion du protocole NBNS (NetBIOS Name Service) – a été observée sporadiquement par Akamai de mars à juillet 2015. L’objectif principal delde NetBIOS est de permettre à des applications situées sur des ordinateurs distincts de communiquer et d’ouvrir des sessions pour accéder à des ressources partagées et s’identifier les uns les autres sur un réseau local.

Cette attaque génère 2,56 à 3,85 fois plus de trafic de réponse envoyé à la cible que les requêtes initiales adressées par le pirate.. Akamai a observé quatre attaques par réflexion sur le serveur NetBIOS, la plus conséquenteatteignant 15,7 Gbit/s. Bien que les requêtes NetBIOS, légitimes et malveillantes, soient fréquentes, un afflux de réponses a, pour la 1ère fois, été détecté en mars 2015 lors d’une attaque DDoS neutralisée pour un client Akamai.

Attaque DDoS par réflexion via le mécanisme RPC portmap

La première attaque DDoS par réflexion via le mécanisme RPC portmap, observée et neutralisée par Akamai, s’est produite en août 2015 dans le cadre d’une campagne d’attaques DDoS multi-vectorielles. RPC portmap, ce mécanisme indique au client comment appeler une version spécifique du service ONC RPC (Open Network Computing Remote Procedure Call).

Le facteur d’amplification des réponses les plus massives s’est établi à 50,53. Le plus courant était de l’ordre de 9,65. Sur les quatre campagnes d’attaques par réflexion de type RPC neutralisées par Akamai, l’une dépassait 100 Gbit/s, attestant de son extrême puissance. Des requêtes malveillantes visant à déclencher des attaques par réflexion ont été observées par Akamai quasi-quotidiennement à l’encontre de diverses cibles en septembre 2015.

Attaque DDoS par réflexion via Sentinel

La première attaque DDoS par réflexion via Sentinel, observée en juin 2015 à l’université de Stockholm, est associée à une vulnérabilité du serveur de licences SPSS, logiciel d’analyse statistique. Akamai a neutralisé deux campagnes d’attaques DDoS par réflexion de ce type en septembre 2015. Parmi les sources d’attaques figuraient des serveurs performants à forte disponibilité en bande passante, tels que des serveurs universitaires.

Si le facteur d’amplification de cette attaque ressort à 42,94, seulement 745 sources de ce trafic d’attaques sont identifiées. Même avec une bande passante supplémentaire fournie par des serveurs en réseau, une attaque de ce type est limitée par le nombre de réflecteurs disponibles. L’une de ces attaques a culminé à 11,7 Gbit/s.

Neutralisation des attaques DDoS et renforcement des systèmes

Pour ces trois vecteurs d’attaques DDoS, un filtrage en amont peut être éventuellement utilisé pour les neutraliser ; sinon, il faudra faire appel à un prestataire de services spécialisés en mode cloud. L’alerte de cybersécurité propose une règle Snort permettant de détecter les requêtes malveillantes générées par l’outil d’attaque RPC portmap. Des règles similaires peuvent être conçues pour détecter le service Sentinel. « Les administrateurs devraient se demander si ces trois services doivent être accessibles à tous sur Internet », conclut Stuart Scholly. « Probablement non en ce qui concerne NetBIOS. Pour les deux autres, en revanche, il se peut que la réponse soit oui, et le défi consiste alors à les protéger. Les trafics RPC et Sentinel peuvent alors être contrôlés et maîtrisés avec un système de détection des intrusions. »

Cette alerte, qui détaille avec précision ces menaces via NetBIOS name server, le mécanisme RPC portmap et Sentinel, est téléchargeable sur www.stateoftheinternet.com/3-ddos-reflection

Chiffrement, cryptage, Cybersécurité, DDoS, Entreprise, Piratage, ransomware

L’évolution des techniques d’attaques par déni de service : une menace à reconsidérer

17 septembre 2015 Damien Bancal

Selon un rapport de sécurité publié par Akamai concernant le 2e trimestre 2015, les attaques par déni de service distribué (DDOS) se sont multipliées au cours des trois derniers trimestres. Ce type d’attaque, qui a principalement pour but de rendre un site, un serveur, un service ou une infrastructure indisponible et inutilisable en submergeant la bande passante de fausses requêtes, aurait même doublé entre 2014 et 2015.

Si elles existent depuis de nombreuses années, il semblerait que la puissance de ces menaces évolue. Le rapport révèle en effet que le nombre de méga-attaques a augmenté, leur fréquence, leur durée et leur sophistication atteignant même des niveaux encore jamais observés. Les pirates informatiques cherchent sans cesse de nouvelles méthodes pour exploiter la moindre vulnérabilité, pénétrer au cœur des systèmes d’information et arriver à leurs fins. Dans le cadre des attaques DDOS, les hackers peuvent utiliser plusieurs techniques pour dissimuler leur présence et la cible réelle de leurs actions. Parmi elles, les attaques dites volumétriques dont le but est de saturer la bande passante du réseau et de l’infrastructure. Mais comme l’indique le rapport d’Akamai, nous assistons également à l’exploitation croissante d’attaques applicatives qui ciblent des services et des applications spécifiques jusqu’à épuisement des ressources. Dans ce cas de figure, le vecteur d’attaque utilise un faible volume de trafic et sollicite beaucoup moins la bande passante, ce qui rend l’action encore plus difficile à détecter.

La plupart des entreprises craignent aujourd’hui d’être la cible de hackers mais pensent être à l’abri avec les solutions ‘traditionnelles’ de sécurité dont elles disposent, telles que des firewalls ou des systèmes de prévention d’intrusion (IPS). Ces outils représentent une première couche de sécurité mais ne suffisent pas à eux seuls pour résister à ces menaces multi-vectorielles et insidieuses d’un nouveau genre. De plus, dans la mesure où une attaque DDOS n’est exploitable que si elle ne sature pas la bande passante, certaines organisations préfèrent augmenter la vitesse de leur connexion plutôt que d’investir dans une solution de sécurité adaptée. Cette option n’est bien entendu, en aucun cas une solution efficace pour protéger ses données et ses ressources durablement.

Face à cette sophistication grandissante des attaques DDOS, les entreprises doivent s’adapter et revoir leur stratégie pour y faire face. Une mesure efficace serait la mise en place d’outils permettant de fournir une surveillance proactive, continue et en temps réel de l’activité sur leur réseau et de l’ensemble des équipements qui composent l’environnement IT. L’adoption de solutions de sécurité dites intelligentes disposant d’un moteur d’analyse puissant est également un atout majeur dans le cadre d’une stratégie globale de sécurité car ils permettent d’identifier la moindre activité anormale ou inhabituelle qui laisserait présager une menace. En combinant la surveillance des réseaux et des utilisateurs, les organisations peuvent avoir une meilleure visibilité en temps réel pour détecter beaucoup plus tôt les éventuelles attaques, et prendre très rapidement les mesures nécessaires pour les neutraliser avant qu’elles ne causent des dommages durables.

Les attaques DDOS ne sont pas nouvelles mais leur diversification et leur complexité changent clairement la donne. Cela signifie notamment que leur ampleur peut devenir plus critique : elles peuvent en effet paralyser les activités vitales d’une entreprise, dans certains secteurs tels que le e-commerce ou la banque en ligne. Si un site est indisponible, ne serait-ce que quelques heures, les pertes financières ainsi que l’impact en termes de réputation et de clientèle peuvent être extrêmement préjudiciables. C’est la raison pour laquelle aucune organisation, quel que soit son secteur d’activité, ne doit sous-estimer le risque qui plane sur ses ressources ni surestimer l’efficacité des solutions de sécurité en place. Il est ainsi primordial de faire évoluer sa stratégie globale et les outils adoptés en fonction de l’évolution du paysage des menaces et des techniques employées par les hackers. (Commentaires de Jean-Pierre Carlin, LogRhythm).

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Patch, Piratage, Propriété Industrielle

Du déni de service au contournement de la cyber-sécurité

27 mars 2015 Damien Bancal Un commentaire

Premier rapport trimestriel de Corero Network Security : du déni de service au contournement de la cyber-sécurité. Des attaques plus fréquentes et avec de nouvelles visées, voilà le constat inquiétant du premier rapport publié par Corero et réalisé à partir des données de ses clients.

Corero Network Security, éditeur de solutions de sécurité contre les attaques par DDoS comme Première Ligne de Défense, publie aujourd’hui la première édition de son étude trimestrielle sur les tendances et l’analyse des DDoS. En analysant les données des clients du quatrième trimestre 2014, Corero constate que les pirates ont évolué dans leur utilisation des attaques DDoS. Celles-ci servent désormais à contourner les solutions de cyber-sécurité des entreprises, à perturber la disponibilité des services et à infiltrer les réseaux des victimes.

Le Rapport trimestriel Corero sur les tendances et l’analyse des DDoS s’appuie sur des données provenant de ses clients – hébergeurs, data centers, FAI et entreprises en ligne – du monde entier et sur l’analyse de l’état de l’art faite par le SOC (Security Operations Center) de la société.

Des attaques plus courtes et à saturation partielle
DDoS était précédemment le nom consacré pour ces attaques car elles déniaient l’accès aux sites web ou aux solutions basées sur le web. Bien que ce soit encore le cas en certaines circonstances, les organisations sont également visées par un nouveau type de trafic d’attaque par DDoS. Les données des clients de Corero montrent deux nouvelles tendances : de courtes explosions du trafic au lieu d’épisodes qui se prolongent et des attaques par saturation partielle des liaisons au lieu de l’inondation complète du réseau, comme le terme déni de service l’évoquait historiquement.

Au lieu de longues attaques, environ 96% des attaques DDoS ciblant les clients de SmartWall Threat Defense System (TDS) de Corero ont duré 30 minutes ou moins. Le problème provient du fait que les clients Corero observent en moyenne 3,9 tentatives d’attaques journalières. Pour les organisations qui s’appuient sur des défenses hors bande ou sur le nettoyage anti-DDoS pour réacheminer le trafic après qu’une attaque ait été identifiée, cela peut prendre jusqu’à une heure pour que la solution cloud de mitigation des DDoS prenne le relais avec succès. Ce temps de réponse assez long signifie que même les principaux outils du cloud pour la défense contre les DDoS pourraient complètement rater une attaque. Les organisations subiraient alors les pannes que ces solutions sont censées prévenir.

En outre, 79% des tentatives d’attaque DDoS ciblant les clients de Corero entre le 1er Octobre et le 31 Décembre 2014 avaient des pics d’utilisation de la bande passante inférieurs à 5 Gbps. Ces attaques visaient à partiellement saturer la liaison Internet et détourner l’attention des équipes de sécurité de l’entreprise, tout en laissant suffisamment de bande passante disponible pour qu’une attaque ultérieure permette d’infiltrer le réseau de la victime et d’accéder aux données sensibles ou à la propriété intellectuelle du client.

Des DDoS à des fins de profilage
Alors que les attaques volumétriques par DDoS sont plus faciles à identifier et recueillent souvent la plus grande attention, Corero a constaté que les attaquants commencent à démultiplier les attaques multi-vecteur et adaptables à leur cible. Cela leur permet de profiler la stratégie de défense de la sécurité du réseau de la victime, puis de lancer de nouvelles attaques qui contourneront les outils de cyber-sécurité de l’organisation.

« Les attaques par déni de service ont été une menace pour la disponibilité du service pendant plus d’une décennie. Plus récemment, ces attaques sont devenues plus sophistiquées et multi-vectorielles, débordant les mécanismes traditionnels de défense ou les contre-mesures réactives », déclare à DataSecurityBreach.fr Dave Larson, CTO et vice-président Produits de Corero Network Security. « Comme les expériences de nos clients l’indiquent, la régularité de ces attaques souligne simplement le besoin croissant d’une protection adaptée pour vaincre les attaques DDoS à la périphérie du réseau et assurer l’accessibilité nécessaire à l’entreprise connectée à Internet ou aux fournisseurs d’accès Internet eux-mêmes. »

Pour que les organisations se défendent à la fois contre les méthodes d’attaque DDoS traditionnelles et évolutives, Corero préconise de mettre en œuvre une technologie pour détecter, analyser et répondre aux attaques DDoS en inspectant le trafic Internet brut par le débit de la ligne, pour identifier et bloquer les menaces dès les premiers paquets d’une attaque donnée. Mettre en place une stratégie de sécurité multicouche mettant l’accent sur la visibilité continue et l’application de la politique de sécurité pour installer une première ligne de défense proactive capable de lancer la mitigation des attaques DDoS, tout en maintenant une connectivité de plein service et la disponibilité du trafic légitime. Veiller à la visibilité totale des couches applicatives et du réseau lors événements de sécurité DDoS. Cette bonne pratique permet également l’analyse forensique des menaces passées et permet de disposer des rapports de conformité de l’activité de sécurité. (Le rapport)

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage

Sécurisation des données à l’heure du cloud

24 mars 2015 Damien Bancal

La sécurisation des données est un enjeu colossal à l’heure du cloud, notamment pour les entreprises et collectivités locales. Quatre choses essentielles doivent absolument être prises en compte.

Ces choses essentielles sont la sauvegarde, la sécurité des données personnelle et professionnelle, les usages de l’informatique et de l’importance de l’information/formation.

Sauvegarde
Les entreprises et les collectivités doivent faire face à un environnement toujours plus hétérogène et l’utilisation de plus en plus fréquente de l’informatique dématérialisée en fait partie. De nombreuses entreprises gèrent donc aujourd’hui des environnements physiques, des environnements virtuels ainsi que des environnements Cloud. De nombreuses entreprises recherchent une méthode efficace pour simplifier leurs processus de sauvegarde. Il peut être intéressant de penser la préservation des données au cœur même des logiciels ou avec les services Cloud. Mesures : Possibilité de revenir à une situation antérieure, si erreur lors d’une procédure lourde telle que la préparation du budget.

« Scheduler » : messages de recommandations au cœur des logiciels lors d’opérations particulières (ex. avant de commencer le budget, « nous vous conseillons de faire un archivage »).

Sécurité des données
Un exemple : 19.000 attaques de sites web suite aux attentats de Charlie Hebdo, y compris ceux des collectivités locales. Les collectivités et les entreprises ont souvent peu conscience des enjeux liés à la sécurité des données. Mais la sécurité est un travail d’équipe et il faut que les prestataires de Cloud ou de logiciels et leurs clients travaillent main dans la main pour proposer une sécurité optimum. Ce n’est pas au fournisseur de gérer la sécurité de son client, car ce dernier en est en fait le seul maître. Le fournisseur de Cloud met à disposition des outils permettant la mise œuvre d’une politique de sécurité, mais c’est au client de les utiliser à bon escient et de prendre conscience de la dangerosité de mettre à disposition des données informatiques, y compris en interne. 60% des piratages trouvent leur source en interne.

Mesures : Mettre en place des droits d’accès aux données restreints, gérer finement les profils d’utilisateurs ; mettre en place une charte informatique pour éduquer en interne et informer sur ce qu’il est possible de faire ou non ; ne pas hésiter à prendre conseil auprès de son prestataire informatique.

Usages de l’informatique
Les risques viennent souvent d’une méconnaissance de l’informatique et du web. Il faut être vigilant et ne pas « sortir » n’importe quelles données de la collectivité ou de l’entreprise. Attention également à ne pas télécharger n’importe quoi. Bien souvent, les entreprises et les communes ne savent pas si leurs sauvegardes sont bonnes. Elles sont formées par leur prestataire, mais elles ne se soucient pas vraiment, ne vérifient pas. Il n’y a pas de test de restauration, ce qui engendre parfois de mauvaises surprises …

Mesures : Formation, « éducation », aider à faire prendre conscience. Rappeler que les données ne doivent pas être sauvegardées que sur le poste mais aussi et surtout sur le serveur.

Importance de l’information/formation
Avant de sécuriser les réseaux, il faut éduquer les utilisateurs, mais aussi les cadres sur les enjeux, risques et bonnes pratiques. Par exemple, méconnaissance de la différence entre un virus et un malware. Un virus s’installe à votre insu sur votre machine et vient corrompre un programme existant. En revanche, un malware est interprété par le système comme un programme installé par l’utilisateur : en cliquant sur une PJ, en installant un petit programme, etc. Ainsi les antivirus sont inutiles face à cette menace ! Seule la vigilance de l’utilisateur peut le protéger.

Mesures : Etre vigilant sur l’ouverture de PJ quand on ne sait pas de qui vient le courriel. Se méfier des mails étrangers. Ne pas aller sur n’importe quel site et installer n’importe quel programme et ne pas hésiter à se tourner vers son prestataire informatique en cas de question.

Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Facebook, Fuite de données, ID, Identité numérique, Leak, Linkedin, Particuliers, Phishing, Pinterest, Piratage, Social engineering, Twitter, Vie privée

Attaques à l’encontre des comptes sociaux

19 février 2015 Damien Bancal

Après Le Monde en Janvier, CNN, Forbes et une vingtaine d’importants média en 2014, c’est au tour de Newsweek de voir son compte Twitter piraté pendant quelques heures par des pirates se réclamant du groupe Etat islamique (EI).

Comme nous le disions déjà lors de l’attaque subie par Le Monde, les comptes de réseaux sociaux tels que Twitter sont une cible de première importance pour les pirates. Si certaines entreprises ont mis en place des procédés et des moyens techniques pour protéger leur compte Twitter contre le hijacking, la plupart n’ont rien de cela et sont donc non seulement vulnérables au hijacking de leurs comptes de réseaux sociaux, mais sont aussi incapables de détecter ce hijacking de leurs propres comptes. Dans une récente étude auprès des entreprises du Fortune 100, les chercheurs de Proofpoint relevaient les points suivants :

· Il existe trois principaux types de menaces de réseaux sociaux parmi lesquels : le piratage de compte, les comptes non autorisés, et les menaces basées sur le contenu (ex : spam social, liens malveillants, etc.).
· En moyenne, deux comptes Facebook sur cinq (soit 40 %) semblant représenter une marque du classement Fortune 100 ne sont pas autorisés.
· En moyenne, un compte Twitter sur cinq (soit 20 %) semblant représenter une marque du classement Fortune 100 n’est pas autorisé.
· Les marques du classement Fortune 100 sont victimes d’au moins une intrusion sur leurs comptes de réseaux sociaux par jour ouvrable.
· Le volume de spams diffusés via les réseaux sociaux a été multiplié par sept depuis le milieu de l’année 2013, date de la publication du précédent rapport « State of Social Media Spam ».

Un compte compromis fournit aux pirates une plateforme idéale pour la distribution de spams, de liens malicieux, et autres contenus pouvant nuire à l’image de marque de l’entreprise touchée. Les comptes de réseaux sociaux des médias sont d’autant plus intéressants pour des personnes malintentionnées qu’ils bénéficient d’une forte audience et que leurs posts ont une large portée. Nous ne pourrions que trop recommander aux entreprises et aux médias de se prémunir de ce type d’attaque et de préparer des plans de réponses en cas de piratage (communication, personnes à alerter, processus de reprise en main des comptes, etc.). En effet, plus on est préparé et moins l’impact sera conséquent pour l’activité et l’image de l’entreprise.

backdoor, BYOD, Cloud, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage

État des lieux de la sécurité sur internet du 4ème trimestre 2014

5 février 2015 Damien Bancal

Sale ambiance numérique pour le dernier trimestre de 2014. Akamai indique que le nombre d’attaques DDoS a pratiquement doublé en un an ; le trafic DDoS a diversifié ses sources à l’échelon mondial et que près de la moitié des attaques DDoS ont exploité plusieurs vecteurs.

Akamai Technologies, l’un des principaux fournisseurs de services de cloud, d’optimisation et de sécurisation de contenus en ligne et d’applications professionnelles, annonce la publication du rapport « Etat des lieux de la sécurité sur internet » du 4ème trimestre 2014 sur les attaques DDoS. Produit par le PLXsert (Prolexic Security Engineering and Research Team), aujourd’hui rattaché à Akamai, qui rassemble des experts des services et stratégies de protection contre les attaques DDoS et de sécurisation cloud, il livre une analyse trimestriel et un éclairage sur les cyber-menaces et attaques à l’échelle mondiale, y compris sur les attaques DDoS observées sur le réseau PLXrouted.

« Un nombre impressionnant d’attaques DDoS ont eu lieu au 4ème trimestre, près du double par rapport à ce que nous avions observé à la même période un an plus tôt », souligne à DataSecurityBreach.fr John Summers, vice president, Security Business Unit chez Akamai. « Le déni de service est une menace répandue qui vise de nombreuses entreprises. Le trafic d’attaques DDoS n’a pas été cantonné à un secteur donné, comme celui du divertissement qui a pu faire la une des medias en décembre. Les attaques ont, au contraire, porté sur de multiples secteurs d’activité. »

Akamai a également observé une hausse de 52 % du débit moyen des attaques DDoS en comparaison du 4ème trimestre de l’année précédente. De volumineux paquets de trafic indésirable peuvent très vite anéantir la capacité d’une entreprise à traiter les requêtes légitimes de ses clients, et ce déni de service entraîner ainsi des pannes. Or, la plupart des sites non protégés sont incapables de résister à une attaque DDoS classique. Par conséquent, les attaques DDoS font aujourd’hui partie intégrante du paysage des menaces et de la cybersécurité que toute entreprise présente sur le Net se doit d’anticiper dans une évaluation des risques.

Le phénomène DDoS-for-hire et la montée en puissance des attaques par réflexion et multi vecteurs. Les suites de booters DDoS-for-hire, ont engagé peu de moyens puisqu’elles ont mis à profit des attaques DDoS par réflexion. Près de 40 % des attaques DDoS en tous genres ont fait appel à ces techniques, qui s’appuient sur des protocoles Internet pour générer un trafic en réponse considérablement amplifié et dispensent le hacker de prendre le contrôle du serveur ou du device.

La généralisation de services DDoS-for-hire a permis à des hackers amateurs d’acheter ces services prêts à l’emploi. L’essor de ce marché a également été propice à l’utilisation de campagnes multivectorielles, l’innovation des attaques étant stimulée par la concurrence. Les attaques multivecteurs observées ont été considérablement plus nombreuses – en hausse de 88 % par rapport au quatrième trimestre 2013. Plus de 44 % des attaques de toute nature ont exploité plusieurs vecteurs.

Répartition mondiale des cibles et des sources d’attaques DDoS
Le rythme des attaques DDoS a été plus homogène au 4ème trimestre lié à un nombre croissant de cibles importantes dans des zones géographiques jusqu’alors sous-représentées. Par ailleurs, l’origine géographique du trafic malveillant s’est déplacée. Les États-Unis et la Chine ont continué à répondre de la plupart du trafic DDoS, mais à la différence du 3ème trimestre 2014 marqué par la domination du groupe BRIC (Brésil, Russie, Inde et Chine), le trafic d’attaques DDoS, au 4ème trimestre 2014, a émané, pour l’essentiel, des États-Unis, de la Chine et de l’Europe occidentale. Quelques faits et chiffres marquants :

Par rapport au 4ème trimestre 2013
– Nombre d’attaques DDoS : + 57 %
– Débit crête moyen : + 52 %
– Nombre crête moyen de paquets par seconde : – 77 %
– Attaques de couches applicatives : + 51 %
– Attaques de couches d’infrastructure : + 58 %
– Durée moyenne des attaques : + 28 %
– Nombre d’attaques multivecteurs : + 84 %
– Attaques à plus de 100 Gb/s : + 200 % (9 contre 3)

Par rapport au 3ème trimestre 2014
– Nombre d’attaques DDoS :+ 90 %
– Débit crête moyen des attaques : + 54 %
– Nombre crête moyen de paquets par seconde : – 83 %
– Attaques de couches applicatives : + 16 %
– Attaques de couches d’infrastructure : + 121 %
– Durée moyenne des attaques : + 31 %
– Nombre d’attaques multivecteurs : + 38 %
– Attaques à plus de 100 Gb/s : – 47 % (9 contre 17)

Les botnets à la loupe
Les logiciels malveillants sont souvent utilisés pour favoriser la propagation des botnets DDoS. Leurs caractéristiques – infection multiplate-forme, détection du système d’exploitation et maliciels destructifs – sont exposées dans le Rapport de sécurité. Akamai a, par ailleurs, défini le profil de plusieurs botnets d’attaques visant des applications web au moyen d’une nouvelle technique d’analyse tirant parti de données glanées sur Akamai Intelligent Platform™. Les botnets en question visaient à automatiser la découverte de vulnérabilités dans ces applications web face à des attaques par injection de commandes RFI (Remote File Inclusion) et OS (Operating System). Les experts Akamai ont établi leur profil en isolant des URL et charges utiles de code malveillant identiques entre des attaques apparemment sans lien. Une charge utile a servi à regrouper les données et à cartographier l’activité des botnets, les acteurs en lice et les applications web victimes de ces attaques. Cette technique de profilage permettra de recenser d’autres sources d’attaques.

Neutralisation des bots, scrapers et autres spiders
Si les attaques par déni de service ralentissent considérablement les performances d’un site, les robots d’indexation ont, eux aussi, une incidence, mais dans un degré moindre. Les plus mal codés peuvent même s’apparenter à du trafic DDoS. Akamai établit un classement des robots d’indexation en fonction de leur intérêt et de leur impact sur les performances des sites. Le Rapport de sécurité documente la hiérarchisation et la neutralisation de leurs effets.(Le rapport)

Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Les nouvelles tendances en matière d’attaques ciblées avancées

4 décembre 2014 Damien Bancal

CyberArk, l’entreprise qui protège les organisations contre les cyberattaques ayant réussi à pénétrer dans le périmètre réseau, a annoncé la publication d’un nouveau rapport qui détaille les tendances actuelles des cyberattaques ciblées avancées, lesquelles ont communément adopté comme signature clé l’exploitation malveillante des comptes à privilèges.

L’étude intitulée « Privileged Account Exploits Shift the Front Lines of Security » apporte une expertise sur les récentes tendances des attaques ciblées, à partir de l’expérience de terrain des analystes les plus réputés au monde en matière de menaces informatiques et de résolution des attaques de sécurité les plus dévastatrices.

« Cette coalition rassemble certains des analystes des menaces informatiques les plus brillants, expérimentés et réputés au monde. C’est en comparant et en comprenant les points communs de nos recherches respectives que nous avons pu dresser un aperçu approfondi des modes de fonctionnement des attaques ciblées, explique Udi Mokady, PDG de CyberArk. Cette étude nous a permis de découvrir que presque chaque attaque avancée implique une exploitation de comptes à hauts pouvoirs, raison principale pour laquelle elles sont si difficiles à déceler et à stopper. Ces comptes permettent en effet aux assaillants d’accéder à des réseaux et bases de données sécurisés, d’effacer toute trace d’infraction, d’éviter toute détection et de créer des portes de sortie rendant leur éviction des réseaux quasi impossible. La sécurisation des comptes à privilèges est devenue la nouvelle priorité des systèmes de défense dans la bataille que les entreprises mènent actuellement face à la cybercriminalité. »

Les comptes à privilèges, qui se composent notamment des identifiants utilisés pour l’administration informatique des mots de passe par défaut et codés en dur ainsi que de backdoors d’applications, offrent aux pirates informatiques un véritable laissez-passer qui leur permet de se rendre où ils le souhaitent et de traverser le réseau sans le moindre obstacle. Ces comptes permettent également aux hackers d’effacer leurs traces et de soutirer des données en tous genres. Et dès que ceux-ci parviennent à obtenir un accès privilégié aux systèmes et applications critiques, il est extrêmement difficile de les arrêter et d’atténuer les risques de perte de données et de préjudice commercial.

Parmi les principales découvertes du rapport :
· Chaque secteur et chaque entreprise est aujourd’hui une cible : Les pirates informatiques ont élargi leur champ d’action et ciblent aujourd’hui les entreprises de toutes tailles, dans tous les secteurs confondus. Chaque attaque a souvent une cible bien déterminée, et les pirates visent fréquemment leurs partenaires et fournisseurs. Les analystes en sécurité ont étudié des attaques visant des cibles non-traditionnelles, telles que des sociétés de transport par camion et de nombreux autres prestataires de services professionnels (conseillers en gestion, auditeurs, avocats spécialisés dans les contentieux, etc.), lesquelles constituent une étape clé dans le processus d’attaque d’un partenaire commercial.

· La résistance de périmètre est futile : Les pirates parviendront tout de même à s’introduire dans le périmètre de sécurité, et les employés constitueront le point d’infection le plus probable. L’attaque par hameçonnage est la technique la plus répandue et ne fait que gagner en sophistication, ce qui a rendu les connexions des employés beaucoup plus simples à infiltrer que les réseaux ou autres logiciels.

· Les pirates restent cachés pendant plusieurs mois ou années : Lors de leur détection, la plupart des attaques étaient en cours depuis au moins 200 jours. Les attaques financières sont quant à elles décelables plus rapidement, en règle générale en moins de 30 jours. Les assaillants peuvent dissimuler leurs traces par le biais des comptes à privilèges, en supprimant l’historique des connexions ainsi que les autres preuves.

· Les pirates convoitent les accès à hauts pouvoirs : Dans presque chaque cyberattaque ciblée, des comptes à privilèges ont été piratés. D’après leurs recherches, les analystes de la sécurité déclarent qu’entre 80 et 100% des incidents de sécurité les plus graves avaient pour « signature » une exploitation malveillante de comptes à hauts pouvoirs au cours de leur processus d’attaque.

· Les menaces liées aux comptes à privilèges largement sous-estimées : Les risques et les failles de sécurité que présentent les comptes à privilèges sont bien plus importants que les entreprises ne le réalisent. Les sociétés sous-estiment grandement le nombre de comptes à hauts pouvoirs qu’elles possèdent et ignorent quels systèmes les hébergent. Les recherches de CyberArk ont démontré que les organisations comptent aujourd’hui au minimum trois à quatre fois plus de comptes à privilèges que d’employés.

· Les cyberattaques contre les comptes à privilèges sont de plus en plus sophistiquées : Les analystes de la sécurité ont recensé plusieurs types d’infractions au niveau des comptes à hauts pouvoirs, qui vont de l’attaque répétée des comptes de service à la violation des appareils embarqués de l’ « Internet des objets », en passant par la création d’identités multiples dans Microsoft Active Directory afin d’assurer la redondance des points d’accès et des portes dérobées. (Le rapport)

DATA SECURITY BREACH