Archives par mot-clé : pays bas

Cyber-attaque, Leak

Les cyberattaques subies par l’Europe émanent majoritairement de l’intérieur de l’Europe

Les données de Threat intelligence indiquent que les attaques subies par l’Europe émanent davantage de l’intérieur de ses frontières que de toute autre partie du monde. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes en Europe que les États-Unis et la Chine réunis

D’après une nouvelle analyse de F5 Labs, les cyberattaques qui frappent l’Europe émanent davantage de l’intérieur de ses frontières géographiques que de toute autre région du monde. Ce constat s’appuie sur une étude du trafic d’attaque à destination des adresses IP européennes entre le 1er décembre 2018 et le 1er mars 2019, de même que sur une comparaison avec les tendances observées aux États-Unis, au Canada et en Australie.

Principaux pays à l’origine des attaques

Les systèmes déployés en Europe sont ciblés par des adresses IP du monde entier. En examinant une carte mondiale, le F5 Labs a découvert que les pays originaires des attaques en Europe étaient analogues à ceux visant l’Australie et le Canada, mais différents de ceux s’attaquant aux États-Unis (qui subissent beaucoup moins d’attaques en provenance d’adresses IP européennes que l’Europe). Les Pays-Bas se classent en tête des 10 premiers pays à l’origine des attaques, devant les États-Unis, la Chine, la Russie, la France, l’Iran, le Vietnam, le Canada, l’Inde et l’Indonésie. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes européens que les États-Unis et la Chine réunis, et six fois plus que l’Indonésie.

Principaux réseaux (ASN) et FAI à l’origine des attaques

Le réseau néerlandais de HostPalace Web Solution (ASN 133229) est celui qui a lancé le plus grand nombre d’attaques, suivi par le Français Online SAS (ASN 12876). Vient ensuite NForce Entertainment (ASN 43350), lui aussi néerlandais. Ces trois entreprises sont des hébergeurs Web dont les réseaux apparaissent régulièrement dans les listes F5 Labs des principaux réseaux d’acteurs malveillants5.

72 % des ASN1 d’attaque répertoriés appartiennent à des fournisseurs d’accès Internet. 28 % à des hébergeurs Web. Dans le cadre de son analyse, F5 Labs a également identifié les 50 premières adresses IP qui s’attaquent à l’Europe2. Aussi les entreprises sont-elles désormais exhortées à vérifier leurs logs réseau afin de détecter les connexions émanant de ces adresses IP. De la même manière, les propriétaires de réseaux doivent enquêter sur les éventuelles violations imputables à ces adresses IP.

Principaux ports ciblés

L’examen des principaux ports ciblés a permis à F5 Labs d’établir le type de systèmes dans la ligne de mire des attaquants. En Europe, le port 5060 est celui qui a subi le plus d’attaques. Il est utilisé par le service SIP (Session Initiation Protocol) pour la connectivité VoIP (Voice over IP) aux téléphones et aux systèmes de vidéoconférence. L’analyse du trafic d’attaque visant une destination spécifique lors d’événements mondiaux majeurs, tels que les récents sommets entre Donald Trump et Kim Jung Un ou encore Vladimir Poutine, montre que ce port est systématiquement pris pour cible. Le port 445, dédié à Microsoft Server Message Block (SMB), est le deuxième le plus attaqué, devant le port 2222, couramment utilisé en tant que port Secure Shell (SSH) non standard.

Bien se protéger

Au vu des recherches il est recommandé aux entreprises de procéder à des analyses de vulnérabilité externes constantes afin d’identifier les systèmes exposés publiquement et de déterminer sur quels ports.

Il convient de bloquer les ports les plus sujets aux attaques sur tous les systèmes exposés publiquement (par exemple le port Microsoft Samba 445, ou les ports SQL 3306 et 1433) ou de mettre en place des mesures de gestion des vulnérabilités. Les applications Web qui reçoivent du trafic sur le port 80 doivent en outre être protégées au moyen d’un pare-feu pour applications Web (WAF), être continuellement analysées pour détecter les éventuelles vulnérabilités et se voir appliquer en priorité des mesures de gestion des vulnérabilités, notamment, sans s’y limiter, la correction des bugs et l’installation de correctifs.

Un grand nombre d’attaques par force brute sur les ports prenant en charge des services d’accès tels que SSH. C’est pourquoi toutes les pages de connexion publiques doivent disposer de mécanismes de protection adéquats contre ce type d’attaques.

Les logs !

Les administrateurs réseau et les ingénieurs en sécurité doivent passer en revue les logs réseau afin d’identifier toutes les connexions vers les principales adresses IP à l’origine d’attaques. Dès lors qu’une entreprise subit des attaques émanant d’une de ces adresses IP, elle doit porter plainte pour violation auprès des FAI et des propriétaires des ASN de manière à ce qu’ils procèdent à la mise hors service de ces systèmes d’attaque.

Sara Boddy, directrice de la division Threat Research chez F5 Labs explique : « Concernant le blocage des adresses IP, l’établissement de longues listes de blocage peut se révéler difficile, tout comme le blocage d’adresses IP de FAI offrant des services Internet à des abonnés susceptibles de figurer parmi ses clients. Dans ces cas de figure, un appareil IoT infecté à l’insu de son propriétaire sera probablement utilisé comme système d’attaque et ne sera sans doute jamais désinfecté. Bloquer l’intégralité du trafic d’ASN ou de FAI peut poser problème pour la même raison. Le blocage de tout leur réseau empêcherait des clients d’engager des relations commerciales avec son entreprise. Sauf s’il s’agit d’un FAI desservant un pays dans lequel son entreprise n’exerce pas d’activités. Dans ce cas, le blocage géolocalisé au niveau d’un pays peut être un moyen efficace de filtrer un grand volume de trafic d’attaque et d’épargner à son système un traitement inutile. Il est par conséquent préférable de bloquer le trafic en fonction du schéma d’attaque sur ses pare-feu réseau et WAF.« 

BYOD, Chiffrement, Cybersécurité, Entreprise, Fuite de données, IOT, Justice, loi, Patch, Securite informatique

La sécurité des objets connectés dans une motion aux Pays-Bas

Les Pays-Bas viennent d’adopter une motion imposant aux fabricants d’ objets connectés (IoT) des tests de sécurité informatique.

Voilà une loi traitant de la sécurité des objets connectés qui fait tendre l’oreille. Les Pays-Bas viennent de valider une motion qui impose des tests de piratage à l’encontre des objets connectés vendu dans le pays. Bref, l’Internet of Things (IoT) pris au sérieux et d’une maniérè sécuritaire. C’est l’idée du sénateur Maarten Hijink qui demande au gouvernement et aux entreprises d’organiser des « pentests », des tests de sécurité, afin de tester les appareils connectés. Il y a quelques mois, la Chambre des députés avait réclamé au gouvernement d’agir sur ce même thème, la sécurité des objets connectés. Dans cette nouvelle motion, l’état est inviter à des actions proactives, comme le « hack éthique » dont la mission est d’améliorer la sécurité des objets, donc des utilisateurs.

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Obligation de notification en cas de fuite de données

Les entreprises des Pays-Bas vont être obligées de notifier leurs clients en cas de fuite de données dès janvier 2016.

Alors que la France est toujours en attente d’une vraie obligation de protéger les utilisateurs d’Internet face à une fuite de données visant les entreprises hexagonales, les sociétés Néerlandaises vont être obligées d’alerter leurs clients en cas de piratage de leurs bases de données.

Les entreprises néerlandaises vont devoir, dès janvier 2016, alerter la CNIL locale, la DPA, et les personnes ciblées par une fuite de leurs données personnelles en cas de piratage, backup oublié, perte d’un ordinateur… L’absence de notification pourra conduire à des amendes allant jusqu’à 500 000 €.

Toutes les entreprises locales, ou étrangères, ayant des serveurs au Pays-Bas, sont concernées par cette loi. Bilan, si un hébergeur Français, Suisse, Belge, Américain… se fait pirater sur le sol Néerlandais, il aura obligation d’en informer les autorités.

En Europe

Depuis le 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).

Cette procédure comprend 3 obligations à la charge du professionnel :

  • La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
  • La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
  • Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.