Archives par mot-clé : piratage

Piratage à l’OSCE

L’Organisation pour la sécurité et la coopération en Europe (OSCE) confirme avoir fait l’objet d’un incident majeur de sécurité informatique.

L’OSCE, Le chien de garde international chargé de la sécurité et des droits de l’homme, a confirmé avoir été victime d’une violation de sa sécurité informatique en novembre 2016.

Selon un porte-parole de l’Organization for Security and Co-operation in Europe, les systèmes de l’organisation sont désormais sûrs : « Nous avons reçu de nouveaux mots de passe« .

Devinez qui est montré du doigt ? Le journal Le Monde indique qu’il s’agit, selon une source, de pirates Russes, très certainement le groupe APT28 – qui est aussi connu sous le nom de Fancy Bear, Pawn Storm ou Sofacy Group.

Espérons que cette source soit mieux renseignée que ceux qui annonçaient que les Russes avaient visé plusieurs états américains lors des élections américaines. Des pirates à la solde de Poutine qui n’étaient en fait que des « tests » de l’U.S. Department of Homeland.

Nouveau piratage Yahoo : Des Français concernés

Un nouveau piratage informatique de Yahoo! vient d’être confirmé par le géant de l’Internet Américain. Cette fois, 1 milliard de données clients sont concernées. Des Francophones sont visées par cette fuite de données massive.

Depuis quelques heures, Yahoo!, partout dans le monde, écrit aux clients de ses services (mails, …) concernés par une nouvelle fuite de données concernée par un nouveau piratage de données. Comme le confirmait ZATAZ.COM depuis le mois d’août 2016, les attaques et fuites d’informations sensibles appartenant au géant américain ne font que commencer tant les failles et « tuyaux percées » étaient nombreux.

En novembre 2016, les autorités policières ont fourni à Yahoo des fichiers de données qu’un tiers déclarait être des données d’utilisateurs Yahoo. « Nous avons analysé ces données avec l’aide de spécialistes externes et avons découvert qu’il s’agit de données d’utilisateurs Yahoo » indique le courriel envoyé aux internautes Francophones concernés. D’après les résultats de l’analyse plus approfondie qu’ont réalisé les spécialistes sur ces données, un tiers (1 seul ?) non autorisé a dérobé en août 2013 des données associées à un ensemble de comptes utilisateur « y compris le vôtre » annonce la missive. « Nous n’avons pas été en mesure d’identifier l’intrusion associée à ce vol. Nous avons des raisons de penser que cet incident est probablement distinct de celui que nous avons révélé le 22 septembre 2016« .

Il est possible que les informations dérobées dans les comptes utilisateur concernent des noms, des adresses mail, des numéros de téléphone, des dates de naissance, des mots de passe cryptés (au format MD5) et, dans certains cas, des questions/réponses chiffrées ou non chiffrées concernant la sécurité. Votre compte ne comporte peut-être pas toutes ces données. Les recherches indiquent que les informations dérobées n’incluent ni les mots de passe en texte clair, ni les données de carte de paiement, ni les informations concernant les comptes bancaires. Les données de carte de paiement et les informations relatives aux comptes bancaires ne sont pas stockées dans le système que nous pensons être concerné. Pour ce qui concerne le mot de passe, un « simple » hash MD5 qui se « crack » très rapidement si votre mot de passe est connu des bases de données.

Nous vous invitons à suivre ces recommandations concernant la sécurité :

  • Changez vos mots de passe et les questions/réponses de sécurité de vos autres comptes si vous avez repris des informations identiques ou semblables à celles que vous utilisez pour vous connecter à Yahoo.
  • Examinez vos comptes à la recherche de toute trace d’activité suspecte.
  • Faites preuve de la plus grande prudence si vous recevez des mails non sollicités vous demandant de fournir des informations personnelles ou qui vous envoient sur une page Web où vous devez indiquer des informations personnelles.
  • Évitez de cliquer sur des liens ou de télécharger des pièces jointes à des mails suspects.

Par ailleurs, pensez à utiliser une clé de compte Yahoo : cet outil d’authentification simple évite d’avoir à utiliser un mot de passe pour vos connexions avec Yahoo. Je vous conseille aussi, mais je ne suis pas le seul, à utiliser la double authentification, dont celle proposée par Yahoo! depuis peu ou encore Dailymotion, Google, Linkedin, Facebook, Twitter, Amazon ou encore votre propre site Internet.

La Loterie nationale obligée de changer le mot de passe de 26.500 joueurs

Camelot, l’opérateur en charge de la Loterie Nationale du Royaume-Uni, a dû réinitialiser les mots de passe de ses joueurs après la découverte du piratage de 26.500 comptes d’utilisateurs.

Camelot, l’opérateur de la Loterie Nationale du Royaume-Uni, a annoncé que 26.500 comptes de joueurs en ligne ont été piratés, probablement en raison de mot de passe utilisés sur d’autres sites par ses propres clients. Camelot ne pense pas que ses propres systèmes ont été compromis. Pour l’entreprise, le fautif est le client qui utilise les mêmes identifiants sur plusieurs sites Internet. L’un d’eux a dû être piraté, bilan, l’accès au compte Camelot était facilité pour les pirates. Camelot possède 9,5 millions de joueurs. Les 26.500 comptes semble sortir tout droit des dernières fuites de données en date, DailyMotion en tête. Camelot confirme que 50 comptes clients ont été malmenés ces dernières heures. (SCM)

300.000 dollars volés à un investisseur de monnaie dématérialisée

Un pirate informatique vole et liquide pour 300.000 dollars de monnaie dématérialisée Augur à une société de capitale risque.

Un important investisseur de l’industrie des blockchains vient de perdre plus de 300.000 dollars après le passage d’un pirate informatique. 110.000 REP (plus de 300.000 $) dérobés sous forme de monnaie numérique Augur. Les pirates ont aussi mis la main sur une somme inconnue supplémentaire en Ether, la crypto-monnaie Ethereum, détenue par Bo Shen, le fondateur de la société VC Fenbushi Capital.

Une intéressante manipulation prouvant qu’il existe actuellement une équipe de pirates ciblant une liste d’investisseurs Augur dans le cadre d’une série d’attaques qui ont eu lieu ces dernières semaines. Les pirates ont expliqué leur action par une phrase claire comme de l’eau de roche : « Pour l’argent, évidemment« . Logique ! [CD]

Un cheval de Troie a leurré les clients de 18 banques françaises

Les Français sont de plus en plus mobiles et veulent pouvoir effectuer certaines activités quotidiennes où qu’ils se trouvent. Par exemple, selon un récent sondage du Conseil Supérieur de l’Audiovisuel (CSA), 92 % des personnes possédant un téléphone portable l’utilisent pour consulter leurs comptes bancaires. Bien que ces applications soient utiles à de nombreux égards, elles représentent aussi des portes dérobées pour les hackers à l’affût de données sensibles.

D’ailleurs, une déclinaison du cheval de Troie GM Bot, appelé aussi Acecard, Slembunk et Bankosy, vise actuellement les clients de plus de 50 banques dans le monde, dont 18 en France, y compris BNP Paribas, la Société Générale ou encore Le Crédit Agricole. Rien que le trimestre dernier, GM Bot a pris pour cible des centaines de milliers d’utilisateurs de portables. Nikolaos Chrysaidos, Responsable des menaces et de la sécurité mobile chez Avast, revient sur les procédés de ce malware nuisible et sur les façons de s’en protéger : « GM Bot est un cheval de Troie qui ressemble, à première vue, à une application inoffensive. Il est surtout téléchargeable sur des plateformes tierces de téléchargement d’applications qui disposent de contrôles de sécurité bien moins pointus que sur ceux des stores d’Apple et de Google. GM Bot se déguise souvent en une application dont le contenu est réservé aux adultes ou à un plug in, comme Flash ».

Une fois téléchargée, l’icône de l’application disparait de la page d’accueil de l’appareil, mais cela ne signifie pas pour autant que le programme malveillant a quitté le terminal. L’application demande alors constamment des identifiants de connexion divers et variés. S’il parvient à se les procurer, le malware peut rapidement causer de sérieux dégâts.

Doté des identifiants de connexion, GM Bot peut contrôler tout ce qui se passe sur l’appareil infecté. Le malware s’active quand une application préalablement listée s’ouvre, liste comprenant principalement des services bancaires. Lorsque l’utilisateur ouvre l’une de ces applications, GM Bot affiche un cache ressemblant à la page d’accueil au lieu d’ouvrir la page de l’appli légitime. Berné, la victime rentre ses identifiants sur ce cache, et ses informations sont directement envoyées aux cybercriminels. Cette technique d’ingénierie sociale est très souvent utilisée pour tromper l’utilisateur et l’inciter à révéler ses données personnelles.

Pire encore ! GM Bot peut intercepter les SMS et est donc en mesure de voler les codes d’authentification à deux facteurs lors d’une transaction sans que le propriétaire ne s’en rendre compte. Ainsi, le malware récupère et partage des informations tels que le cryptogramme de sécurité au verso de la carte bancaire, les codes reçus par SMS, ou encore les numéros de téléphones.

Le code source du cheval de Troie GM Bot a fuité en décembre 2015, il est donc désormais à la portée de n’importe qui possédant quelques notions d’informatique.  Les cybercriminels peuvent même aller plus loin et ajuster le code du malware afin d’obtenir plus d’informations. Cela signifie que de nouvelles versions aux capacités changeantes sont constamment créées. Dans certains cas, par exemple, les hackers infiltrés demandent aux victimes d’envoyer les scans recto-verso de leur carte d’identité.

Heureusement, il existe des solutions efficaces qui détectent et bloquent le cheval de Troie et tout type de logiciel malveillant avant que celui-ci ne compromette l’appareil de l’utilisateur. Toutefois, il est également crucial de télécharger toutes ses applications depuis des plateformes sûres et sécurisées, telles que l’App Store d’Apple et le Play Store de Google. Les autres sources proposent certes des applications qu’on ne trouve pas toujours sur les plateformes de confiance ou offrent des applis habituellement payantes, mais cela est bien souvent trop beau pour être vrai. Enfin, les utilisateurs doivent être vigilants et ne pas donner les droits administrateurs de leurs applis à n’importe qui. Cette mesure est capitale car la personne qui détient ces droits est alors en mesure de contrôler l’appareil via l’appli en question.

Les auteurs des menaces, maîtres des faux indices

Les auteurs d’attaques ciblées emploient un éventail de plus en plus vaste de techniques de leurre afin de brouiller les pistes, en implantant dans leur code de « faux drapeaux » (horodatage, chaînes de caractères, malware, etc.) et en opérant sous couvert de groupes fictifs.

Tout le monde souhaite connaître l’identité des groupes qui se cachent derrière les cyberattaques ciblées alors même que la réponse est difficile, sinon impossible, à donner avec précision. Afin de démontrer le niveau croissant de complexité et d’incertitude lié à l’identification des responsables, deux experts de Kaspersky Lab publient un article révélant comment les auteurs des menaces les plus avancées emploient des « faux drapeaux » (des indices falsifiés) pour leurrer leurs victimes et les chercheurs en sécurité.

Voici à cet égard les indicateurs les plus utilisés par les chercheurs pour identifier la provenance des attaques, ainsi que des exemples de leur manipulation par un certain nombre d’auteurs de menaces connues :

Horodatage
Les fichiers malveillants comportent la date et l’heure de leur compilation. Si des échantillons sont recueillis en nombre suffisant, cela peut permettre de déterminer les horaires de travail des développeurs et donc leur fuseau horaire. Or ce type d’horodatage est incroyablement facile à falsifier.

Marqueurs linguistiques
Les fichiers malveillants contiennent souvent des chaînes de caractères et des chemins de débogage susceptibles de fournir des indications sur l’identité des auteurs du code. L’indice le plus évident est la ou les langues utilisées ainsi que le niveau de maîtrise linguistique. Les informations de débogage peuvent également révéler un nom d’utilisateur ou encore les noms internes donnés aux projets ou campagnes. En outre, les documents de phishing peuvent regorger de métadonnées enregistrant des informations de lieux à l’insu de l’auteur et risquant de trahir l’ordinateur utilisé.

Or les auteurs des menaces peuvent aisément manipuler ces marqueurs linguistiques dans le but de leurrer les chercheurs. Par exemple, le malware Cloud Atlas renferme des chaînes en arabe dans la version BlackBerry, des caractères hindi dans la version Android ou les mots « JohnClerk » dans le chemin de projet pour la version iOS, alors que beaucoup soupçonnent le groupe responsable d’avoir en fait des liens avec l’Europe de l’Est. Le malware Wild Neutron contenait pour sa part des chaînes en roumain et en russe.

Infrastructure et connexions sous-jacentes
Localiser les serveurs de commande et de contrôle (C&C) utilisés par les acteurs malveillants revient à trouver l’adresse de leur domicile. La maintenance de ce matériel peut être coûteuse et difficile, c’est pourquoi même les auteurs d’attaques bien pourvus en ressources ont tendance à réutiliser la même infrastructure C&C ou de phishing. Les connexions sous-jacentes peuvent donner une idée de l’identité des assaillants si ceux-ci ne parviennent pas à anonymiser parfaitement leur accès Internet lorsqu’ils récupèrent des données exfiltrées, préparent un serveur d’attaque ou de phishing ou se connectent à un serveur piraté.

Parfois, cependant, cette dissimulation imparfaite est intentionnelle : Cloud Atlas a ainsi tenté d’embrouiller les chercheurs en utilisant des adresses IP en Corée du Sud.

Kits d’outils : malware, code, mots de passe, exploitation de vulnérabilités
Bien que certains auteurs de menaces recourent désormais à des outils disponibles dans le domaine public, bon nombre d’entre eux préfèrent encore créer leurs propres outils (backdoors, mouvement latéral, kits d’exploitation de vulnérabilités) et les gardent jalousement. L’aspect d’une famille spécifique de malware peut donc aider les chercheurs à remonter jusqu’au groupe responsable.

Les auteurs de la menace Turla ont décidé de mettre à profit cette hypothèse lorsqu’ils se sont fait « coincer » dans un système infecté. Au lieu de se borner à retirer leur code malveillant, ils ont également installé un malware chinois très rare, communiquant avec une infrastructure située à Pékin, totalement sans rapport avec Turla. Tandis que l’équipe de réponse aux incidents de l’entreprise ciblée était occupée à poursuivre ce leurre, Turla désinstallait en toute discrétion son propre malware et effaçait tutes ses traces des systèmes de la victime.

Victimes ciblées
Les cibles des attaques constituent un autre indice potentiellement révélateur mais l’établissement d’un lien précis nécessite des compétences d’interprétation et d’analyse. Dans le cas de Wild Neutron, par exemple, la liste des victimes était si hétéroclite qu’elle n’a fait que semer la confusion quant à l’origine de l’attaque.

En outre, certains auteurs de menaces abusent du désir du public d’établir un lien clair entre les assaillants et leurs cibles, en opérant sous couvert d’un groupe (souvent fictif) d’hacktivistes. C’est ce qu’a tenté de faire le groupe Lazarus en se présentant sous la dénomination « Guardians of Peace » lors de son attaque contre Sony Pictures Entertainment en 2014. Nombreux sont ceux qui pensent que les auteurs de la menace connue sous le nom de Sofacy ont mis en œuvre une tactique similaire en se faisant passer pour un certain nombre de groupes militants.

Enfin et surtout, les auteurs des attaques tentent parfois d’en faire porter la responsabilité à une autre menace. C’est la méthode adoptée par TigerMilk[i] dont les responsables, encore non identifiés à ce jour, ont signé leurs backdoors avec le même certificat volé déjà utilisé précédemment par Stuxnet.

« La détermination de l’identité des auteurs d’attaques ciblées est complexe, peu fiable et subjective, et ceux-ci s’efforcent de plus en plus de manipuler les indicateurs dont se servent les chercheurs afin de brouiller davantage encore les pistes. Nous pensons qu’une identification précise est souvent quasi impossible. En outre, la veille des menaces a une valeur profonde et mesurable qui va bien au-delà de la question de l’identité des auteurs. Il est nécessaire, au niveau mondial, de comprendre les principaux prédateurs dans l’écosystème des malwares et de fournir des informations solides et exploitables aux entreprises qui le souhaitent : ce doit être notre priorité », commente Brian Bartholomew, chercheur senior en sécurité chez Kaspersky Lab.

Contrer les cyber menaces qui ont le vent en poupe

Entre malware, vols de mots de passe et hameçonnage, les menaces en ligne sont de plus en plus nombreuses et sophistiquées. Les experts révèlent d’ailleurs que le marché des logiciels de cyber-sécurité génèrera près de 7 milliards de dollars en Europe de l’Ouest d’ici 2020, en partie pour contrer la multiplication des attaques.

Toutefois, bien que les utilisateurs puissent compter sur des outils performants, la sensibilisation et la vigilance peuvent également aider à éviter certaines menaces présentes sur le web. Les cyber risques prennent différentes formes et sont conçus pour piéger les gens. C’est pourquoi il est impératif de prendre de bonnes habitudes préventives contre certaines attaques répandues. De cette façon, les internautes peuvent apprendre à reconnaitre les menaces et ainsi réduire les risques de se faire pirater.

« L’expansion des technologies nous incite à utiliser davantage les services en ligne au quotidien : effectuer un virement depuis notre compte bancaire, réserver un billet d’avion ou encore télécharger une application, commente Par Michal Salat, Directeur du Service de Renseignements sur les Menaces Informatiques chez Avast. Tout cela est bien pratique, mais expose aussi davantage l’utilisateur aux attaques s’il n’est pas attentif et n’applique pas quelques bonnes pratiques pour se protéger.« 

Attention aux données partagées publiquement
Les nombreuses plateformes de réseaux sociaux nous poussent à mettre en avant nos moments de joie, nos sentiments, les endroits dans lesquels nous sortons et les personnes que nous fréquentons. Alors que ce sont des choses agréables à partager avec nos amis et notre famille, ces informations peuvent devenir dangereuses en tombant entre de mauvaises mains. Les hackers sont en mesure de collecter les données personnelles exposées publiquement qui leur permettront non seulement d’en savoir le plus sur nous, mais également de deviner un mot de passe ou de personnaliser des attaques ciblées. Par exemple, les utilisateurs ne se méfient pas lorsqu’ils révèlent qui ils sont sur Facebook, mais ils oublient à quel point il est facile de trouver le nom de jeune fille de leur mère – qui est souvent une question posée lorsque l’on veut réinitialiser son mot de passe. C’est pourquoi il faut absolument faire attention au type d’informations personnelles que nous mettons en ligne, aux personnes que nous autorisons à voir ces données que nous postons et éviter de poster celles qui pourraient permettre aux hackers de « deviner » nos identifiants et s’en servir à des fins malhonnêtes. Pour limiter ce risque, les utilisateurs doivent tout d’abord régulièrement vérifier les paramètres « vie privée » de leurs réseaux sociaux et savoir exactement qui voit leurs posts. De plus, les utilisateurs doivent s’efforcer de choisir des mots de passe aléatoires, longs, complexes, et composés de lettres, de chiffres et de caractères spéciaux. Il est également conseillé de créer un mot de passe différent pour chaque compte et de les changer régulièrement.

Les arnaques au phishing
Cette tactique, qui découle directement de l’ingénierie sociale, est fréquemment utilisée par les hackers. Une fois que le pirate a récolté des informations personnelles, il peut créer des arnaques si personnalisées qu’elles trompent facilement la confiance des utilisateurs. En utilisant ces données ainsi que les codes visuels d’organisations telles que les banques, les pirates cherchent en général à accéder aux comptes bancaires, ou encore à infecter les appareils dans le but d’obtenir les informations de connexion et de dérober de l’argent. La première chose fondamentale dont il faut se rappeler est que la majorité des organismes officiels et notamment les établissements bancaires ne demandent jamais à leurs clients d’envoyer leurs identifiants ou mots de passe par email. Par ailleurs, si le message contient un lien ou un fichier suspect, dans le doute, mieux vaut ne pas les ouvrir, supprimer immédiatement l’email par précaution et se renseigner auprès d’interlocuteurs fiables afin de vérifier de vive voix ce qu’il en est réellement.

Des logiciels malveillants bien trop présents
En termes de menaces en lignes, les malwares sont également légions. Ils sont partout, dans les sites web piratés, les publicités, les démos de jeux, des photos ou encore des fichiers musicaux frauduleux. Les hackers utilisent ces malwares à de nombreuses fins, mais principalement par appât du gain. La méthode ransomware est très populaire en ce moment, et surtout la pire de toutes ! Une fois qu’ils ont infiltré le système, les cybercriminels accèdent aux informations personnelles, chiffrent ces données ou verrouillent complètement l’appareil et demandent une rançon à la victime pour les rendre de nouveau accessibles. Pour s’en préserver, deux astuces imparables : ne pas ouvrir de pièces jointes ou de liens provenant d’expéditeurs inconnus et télécharger des jeux, musiques et autres applications depuis des sites officiels uniquement. Il est également impératif de s’équiper d’outils capables de détecter et de supprimer les malwares, et de mettre régulièrement à jour son antivirus, son routeur ou sa box Wifi, ainsi que les systèmes d’exploitation de ses appareils afin de mettre toutes les chances de son côté pour ne pas tomber dans les pièges.

C’est une chance d’avoir accès à des solutions de sécurité de qualité, mais ce n’est malheureusement pas toujours suffisant. Prendre l’habitude de suivre ces quelques conseils peut faire toute la différence et permettre de protéger ses données personnelles mais également de préserver ses deniers !

65% des DSI anticipent une fuite massive de données dans les prochains mois

Un rapport d’OKTA montre un paradoxe saisissant : les entreprises migrent de plus en plus sur le cloud, mais n’investissent pas suffisamment en sécurité. La sécurité reste le parent pauvre du cloud, et les DSI peinent à convaincre de son impact positif sur la productivité.

Okta, le leader de la gestion des identités et des terminaux à l’heure du cloud et de la mobilité d’entreprise, annonce les résultats de la première édition de son rapport Secure Business Agility. Selon les données compilées à l’issue d’une enquête menée auprès de 300 DSI et RSSI, la plupart des organisations sont intimement convaincues de la nécessité absolue d’offrir les meilleures technologies à leurs utilisateurs pour stimuler leur productivité. Pourtant, nombreuses sont celles qui peinent à faire preuve d’agilité, à cause d’une vision de la sécurité dépassée et focalisée sur leurs systèmes internes.

L’incapacité des organisations à adapter et à mettre à niveau leurs outils de sécurité représente pour elles un risque sur le plan de la sécurité. Ainsi, 65% des répondants s’attendent à ce que leur organisation soit victime d’une fuite de données dans les 12 prochains mois, à moins qu’elles ne parviennent à mettre à jour leurs solutions de sécurité à temps.

« Dans un souci de productivité, les organisations du monde entier investissent dans des technologies cloud et mobiles permettant à leur personnel de travailler virtuellement de n’importe où. Néanmoins, cette approche n’est pas la garantie d’une véritable agilité. Les organisations étant de plus en plus connectées, l’idée que l’on se fait traditionnellement des frontières de leurs réseaux est en train de disparaître. Les entreprises doivent donc renforcer leur sécurité en priorité », déclare David Baker, responsable de la sécurité des systèmes d’information chez Okta. « Afin de bien maîtriser leur nouveau périmètre et d’éviter de compromettre la sécurité et la productivité des salariés, les DSI doivent adopter des outils allant au-delà des frontières classiques des sociétés et de leurs réseaux, et rendre l’ensemble de leur organisation agile.»

Les principaux enseignements du rapport :
–      Les organisations sont divisées quant à l’impact positif ou négatif de leurs stratégies de sécurité sur leur productivité et leur agilité : On constate des divergences d’opinions au sein des personnes interrogées sur l’effet favorable ou non de leurs mesures de sécurité sur la productivité. Ainsi, plus de la moitié des répondants (52%) affirment que leurs solutions de sécurité actuelles compromettent la productivité, tandis que 48% d’entre eux estiment que les mesures en place permettent à leur organisation d’adopter des solutions de premier plan favorisant la productivité et l’agilité. Le DSI est pris dans l’étau, entre sa mission qui est d’assurer une sécurité maximale à l’entreprise et sa volonté de ne pas brider la productivité.

–       La visibilité sur l’utilisation des applications est limitée : Selon les résultats de notre enquête, 85% des DSI souffriraient d’un manque d’informations sur les individus ayant accès aux différentes applications au sein de leur organisation. Plus inquiétant encore : 80% des répondants considèrent que la faiblesse des mots de passe ou des contrôles d’accès constitue une problématique de sécurité.

–       Investir dans de nouvelles technologies mobiles, d’automatisation et cloud s’avère être une stratégie payante pour les organisations : 92% des personnes interrogées estiment que leur organisation pourrait faire davantage pour intégrer et prendre en charge des applications cloud dans leurs infrastructure et systèmes. Les équipes informatiques ont donc une formidable opportunité de réduire ce pourcentage en augmentant l’agilité et la productivité au sein de leur entreprise.

Pour plus de renseignements sur les facteurs encourageant le renforcement de la sécurité via le cloud, et sur les risques liés au maintien d’une approche statique basée sur des technologies dépassées, consultez le rapport Secure Business Agility ICI.

L’hygiène informatique dans les hôpitaux, un enjeu de sécurité publique

La numérisation de la société et des services publics n’épargne pas les hôpitaux et autres institutions de soins. Mais depuis plusieurs mois, ces établissements sont la cible de pirates dont les attaques représentent un vrai danger pour l’intégrité de notre système de santé.

Hygiène informatique dans les hôpitaux – C’est un chiffre qui a de quoi étonner : en 2015, en France, 1300 attaques informatiques ont été dirigées contre des établissements de santé, hôpitaux inclus. A l’échelle quotidienne, le chiffre est encore plus saisissant avec une moyenne de 3 à 4 actions malveillantes par jour à l’encontre des systèmes informatiques (SI) de ces établissements. Et encore, on ne parle ici que des actes de piratage officiellement déclarés aux ministères des Affaires sociales et de la Santé. La discrétion observée dans le milieu ne laisse entrevoir que la partie émergée de l’iceberg. Pour des raisons de sécurité mais aussi de réputation…

Aujourd’hui, le bon fonctionnement d’un hôpital dépend toujours de l’organisation et des compétences de son personnel. Mais plus seulement ! Il dépend aussi des outils numériques utilisés à tous les étages. Tous ces équipements connectés qui constituent l’hôpital moderne, désigné officiellement par les pouvoirs publics comme l’hôpital numérique.

A l’accueil par exemple, c’est l’ordinateur qui permet de créer un dossier patient sur le système central de l’établissement. C’est la borne interactive destinée à orienter les visiteurs. En salle d’opération, ce sont les écrans d’aide à l’intervention chirurgicale, les moniteurs de suivi du patient.

Dans le stock de médicaments, ce sont les robots préparateurs en pharmacie. Dans les chambres, c’est le système de divertissement et d’informations médicales consultable par le patient sur tablette tactile.

C’est aussi le réseau Wi-Fi local qui permet au personnel de consulter les dossiers médicaux à partir de n’importe quelle pièce, de n’importe quel support, vers n’importe quelle source, interne ou externe…

15 000 euros de rançon
Chacun de ces appareils connectés à l’avantage de faire gagner du temps, de la précision, et de l’argent. Mais ils ont le principal défaut d’être le plus souvent reliés à un seul et même réseau. Pour des raisons de coût et de négligence…

Un caillou jeté dans cette vitrine technologique, et c’est le fonctionnement de tout l’établissement qui s’en trouve perturber. Le centre médical presbytérien d’Hollywood, aux États-Unis, en a fait l’amère expérience en février 2016.

Un ransomware, baptisé Locky, a été injecté dans le réseau de l’établissement, verrouillant l’accès aux serveurs et ordinateurs utilisés par le personnel. Moyennant une somme négociée à 15 000 euros avec les pirates à l’origine de cette paralysie, le centre a pu retrouver l’accès à son réseau.

En France, quelques semaines plus tard, c’est le centre hospitalier d’Épinal qui était la cible d’une attaque. Croyant recevoir un mail de son avocat, un médecin a cliqué sur la pièce jointe au message. Le geste a contaminé l’ensemble du réseau de l’hôpital. La direction de l’établissement est restée très évasive sur ce piratage, sans confirmer l’attaque du ransomware avancée par le site spécialisé Zataz.

Comme son nom l’indique, le ransomware, ou rançongiciel en français, a vocation à permettre de soutirer une rançon avant de redonner accès aux outils numériques d’un établissement. Où il est ici « seulement » question d’argent.

Mais l’attaque d’un hôpital peut provoquer plus de dégâts, encore hypothétiques aujourd’hui. Tout d’abord sur le matériel, comme l’a expérimenté le spécialiste en cybersécurité, Sergey Lozhkin.

Hygiène informatique dans les hôpitaux

Le vrai-faux pirate a réussi à prendre le contrôle du scanner médical d’un hôpital via le réseau interne wi-fi de l’établissement. Rien de malveillant dans l’intention. Juste la démonstration qu’aux commandes de la machine, il pouvait en dérégler les paramètres, jusqu’à provoquer une panne sur un outil précieux, tant du point de vue médical que financier.

Ce qui peut être fait sur un scanner, peut l’être tout autant sur une climatisation ou, pire, sur un appareil d’assistance branché sur un malade. Et dans ce cas, le changement des paramètres peut alors avoir des conséquences bien plus fatales…

Face à ces attaques, les hôpitaux et autres établissement de santé se donnent-ils pour autant la force d’agir et de réagir ? Oui, pour une grande majorité si l’on se réfère à l’Atlas 2016 des systèmes d’information hospitaliers (SIH). Selon ce rapport annuel délivré par la Direction Générale de l’Offre de Soins (DGOS), 88% des établissements de santé disent avoir engagé une politique de sécurité du système informatique, contre 74% l’année précédente. L’objectif imposé par l’Etat dans son programme Hôpital numérique est de 100% d’ici à 2018.

La sensibilisation du personnel à l’ Hygiène informatique

Mais reste à savoir quels moyens cela implique. Un chiffre relativise cette notion de politique de sécurité : seuls 8% des établissements ont un référent à temps complet. L’implication est plus importante pour les CHU et CHR, avec un Monsieur -ou une Madame- Sécurité SI à temps complet dans 42% des cas. Les autres mutualisent ou externalisent.

Quelle que soit la formule choisie, la politique de sécurité informatique d’un hôpital passe par la sensibilisation de son personnel. Car le point d’entrée le plus vulnérable d’un réseau, c’est bien l’humain. Sa méconnaissance des dangers, comme l’ouverture d’une pièce jointe dans un mail, peut conduire à la catastrophe. Ou l’affichage d’un mot de passe sur un bout de papier collé sur un bureau pour l’ensemble d’un service…

L’hygiène informatique en milieu hospitalier passe aussi par une évaluation de la solidité du réseau et des matériels connectés, des ordinateurs jusqu’à l’IRM. Par une protection anti-virus et l’utilisation de mots de passe complexes, pour accéder au réseau, puis à chacun des appareils connectés. Par une utilisation des derniers logiciels, et un suivi régulier de leurs mises à jour.

Tout comme les infections nosocomiales, les virus informatiques représentent une réelle menace pour les hôpitaux et autres établissements de santé. Ils n’ont donc d’autres choix, aujourd’hui et demain plus encore, que d’appliquer une politique d’hygiène informatique stricte. Il y va de la confidentialité de nos dossiers médicaux, mais aussi et surtout de l’intégrité du système de santé et de son bon fonctionnement au service du public. (Tanguy de Coatpont, directeur général de Kaspersky Lab France)

Oodrive et Atos se joignent pour répondre aux nouvelles réglementations

Répondre aux nouvelles réglementations ! Oodrive, professionnel du Cloud computing en France, et Atos, au travers de sa marque technologique Bull, s’engagent dans une coopération technique. À ce titre Atos fournit des boîtiers HSM (Hardware Security Module) au leader français du Cloud.

Nouvelles réglementations et technologies ! Face aux nouvelles exigences réglementaires de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), des nouvelles réglementations et actions relatives à la cybersécurité, nombreuses sont les entreprises et OIV (Opérateur d’Importance Vitale) à devoir s’équiper de solutions ultra-sécurisées. Depuis la loi de programmation militaire adoptée en décembre 2013, les OIV font face à de nouvelles obligations que les éditeurs de logiciels sont contraints de prendre en compte. En effet, les cyberattaques se multiplient, deviennent de plus en plus sophistiquées et ont un impact qui peut être destructeur.

C’est pourquoi, afin de préserver la confidentialité des informations sensibles échangées sur ses solutions BoardNox, DilRoom et iExtranet, Oodrive s’est équipé des boîtiers HSM TrustWay Proteccio® de Bull. Ainsi, Oodrive permet à ses utilisateurs de bénéficier d’un service cryptographique certifié et de protéger les données de toutes les cybermenaces.

Les HSM TrustWay Proteccio® sont des boîtiers de chiffrement permettant de générer, stocker et protéger des clés cryptographiques à l’intérieur d’un coffre-fort virtuel. Les informations sensibles sont donc manipulées uniquement dans l’environnement protégé du HSM.

« TrustWay Proteccio® répond à des critères de sécurité de haut niveau. Ce nouveau HSM constitue la seule solution de sécurité de référence reconnue par l’ANSSI », déclare René Martin, Directeur de l’unité TrustWay chez Atos. « Grâce à ce partenariat commercial, les solutions Oodrive répondent aux préconisations sécuritaires de l’État », annonce de son côté Frederic Fouyet, Directeur Sécurité, Innovation et Produits chez Oodrive.

… pour des solutions Cloud ultra-sécurisées destinées à répondre aux nouvelles réglementations
L’enjeu est tout aussi important du côté de l’éditeur de logiciels avec lequel les entreprises s’engagent à travailler. Les DSI sont contraints aujourd’hui de gérer un parc informatique de plus en plus disparate pour lequel les solutions doivent offrir le même degré de sécurité et ce, quel que soit le périphérique concerné (tablette, PC, smartphones, etc.).

En effet, L’ANSSI est catégorique sur ce point : lorsque des informations à caractère sensible doivent être partagées, leur diffusion doit se faire dans un cadre défini et maîtrisé. « Dans l’environnement professionnel, la circulation d’informations à caractère sensible s’effectue désormais majoritairement par voie électronique. Cela représente un véritable défi en termes de sécurité et de confidentialité, explique Frederic Fouyet. Les cybermenaces sont en constante augmentation, et représentent un risque que les entreprises ont parfaitement intégré. Et c’est pour répondre à ces exigences toujours plus élevées que nous avons décidé d’associer notre expertise à celle d’Atos. Nous sommes convaincus que nos savoir-faire sont complémentaires et nous permettront de bâtir ensemble un Cloud à la fois très accessible et ultra-sécurisé. »

Si le recours à des clés de chiffrement protégées au sein d’un coffre-fort virtuel répond à la problématique de confidentialité des données, encore faut-il l’associer à un système d’authentification forte, pour gérer la protection des accès depuis internet. C’est ce que fait Oodrive en s’appuyant sur l’expertise de sa filiale CertEurope, qui travaille avec Atos depuis plus de dix ans pour la génération de certificats électroniques.