Articles

Nouvelles vagues de rançongiciels : comportement, conseil, solution

Les actes de cybercriminalités se comptent en nombre et de façon récurrente. Beaucoup d’entreprises, d’administrations ou de commerces sont victimes de cyberattaques. Parmi ces attaques nous trouvons des logiciels malveillants comme les rançongiciels. Pour citer l’ANSSI, « c’est une technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. »

Ces rançongiciel sont de plus en plus présents en ce moment et se renouvellent. Actuellement les alertes portent sur le rançongiciel Locky qui se propage via un e-mail de relance qui contient une facture sous le format Word. Ce serait ce même logiciel qui aurait attaqué il y a quelques jours un centre hospitalier américain, perturbant et endommageant considérablement ses activités.

http://www.lefigaro.fr/secteur/high-tech/2016/02/16/32001-20160216ARTFIG00205-un-hopital-americain-paralyse-par-des-pirates-informatiques.php

http://www.lemonde.fr/pixels/article/2016/02/18/un-hopital-americain-paye-une-rancon-a-des-pirates-informatiques_4867296_4408996.html

Malheureusement ce type de logiciel malveillant n’est pas nouveau et s’inspire même de maliciels déjà connus comme le trojan bancaire Dridex. Plusieurs campagnes de prévention avaient été déployées suite à l’identification de ce maliciel par l’ANSSI notamment, mais également par Cyberprotect, service de contrôle et de prévention en continu de la cybersécurité en entreprise :

https://www.cyberprotect.fr/bulletin-dalerte-Cyberprotect-campagne-courriel-malveillant-trojan-bancaire-dridex/

La principale raison d’être et/ou motivation de ces cyberattaques est d’extorquer de l’argent à leur victime, comme ce fut le cas pour cet hôpital américain cité plus haut qui a dû s’acquitter de 17 000 dollars de rançon pour pouvoir rétablir son activité. Et ce n’est qu’une victime parmi d’autres. La propriété intellectuelle de l’entreprise est également visée par ce type d’attaque.

Se pose maintenant la question : comment se prémunir contre ces cyberattaques ?

Une première chose est de ne pas cliquer sur un lien ou d’ouvrir une pièce jointe dont on ne connait pas la provenance. Maintenir le système d’exploitation ainsi que les antivirus à jour est également une bonne pratique. Toutefois, avec le volume de données échangées, il est devenu plus difficile d’éviter ces attaques dont les techniques d’infection se font toujours plus subtiles et discrètes.

Des solutions existent pour contrôler l’efficacité de votre sécurité et les comportements sur votre réseau comme le propose le service Cyberprotect. Par l’analyse du comportement sur votre réseau, Cyberprotect est capable de détecter une malveillance (non connue par les antivirus). Lorsque ce comportement anormal est détecté, l’alerte est immédiatement envoyée au centre d’opération Cyberprotect qui interviendra alors sur cet événement. Par la suite, et en attendant que les éditeurs d’antivirus fournissent des signatures, de nouvelles règles de comportement sont créées et communiquées aux clients Cyberprotect pour être appliquées en prévention de l’attaque identifiée.

Sécuriser les données personnelles : Les directives de l’ENISA relatives aux solutions cryptographiques

L’ENISA lance aujourd’hui deux rapports. Le rapport de 2014 « Algorithmes, taille clé et paramètres » est le document de référence fournissant un ensemble de directives aux preneurs de décisions, en particulier, les spécialistes qui conçoivent et mettent en œuvre les solutions cryptographiques pour la protection des données personnelles au sein des organisations commerciales ou des services gouvernementaux pour les citoyens. L’ « étude sur les protocoles cryptographiques » fournit une perspective de mise en œuvre, en couvrant les directives relatives aux protocoles exigées pour protéger les communications commerciales en ligne contenant des données personnelles.

« Algorithmes, taille clé et paramètres »

Ce rapport est un ensemble de propositions sous une forme facile à utiliser, mettant l’accent sur les services commerciaux en ligne qui recueillent, conservent et traitent les données personnelles des citoyens de l’Union européenne. Il fournit une mise à jour du rapport 2013, sur les directives cryptographiques relatives aux mesures de sécurité exigées pour protéger les données personnelles dans les systèmes en ligne. Par rapport à l’édition 2013, le rapport a été étendu pour inclure une section sur les canaux latéraux de matériel informatique et de logiciels, la génération de nombres aléatoires, une gestion clé de la durée de vie, alors que la partie sur les protocoles est étendue pour 2014 et est une étude indépendante sur les protocoles cryptographiques.

Le rapport explique deux aspects des mécanismes cryptographiques :

Si des données primitives ou un programme peuvent être envisagés pour être utilisés actuellement, dans le cas où ils sont déjà déployés ; si des données primitives ou un programme conviennent en vue d’un déploiement dans des systèmes nouveaux ou à venir.

Les questions de conservation des données à long terme sont analysées avec un nombre de problèmes généraux liés au déploiement des données primitives et des programmes. L’ensemble des mécanismes abordés dans ce rapport sont jusqu’à un certain point normalisés, et ils ont été soit déployés ou il est prévu de les déployer, dans les systèmes réels.

« Étude sur les protocoles cryptographiques »

Le second rapport se concentre sur le statut actuel dans les protocoles cryptographiques et encourage une recherche plus approfondie. Un bref aperçu est présenté sur les protocoles qui sont utilisés dans des domaines d’application relativement limités, tels que le domaine sans fil, les communications mobiles, le domaine bancaire ((Bluetooth, WPA/WEP, UMTS/LTE, ZigBee, EMV) et des environnements spécifiques mettant l’accent sur le « cloud computing ».

L’accent principal du rapport porte sur les directives aux chercheurs et aux organisations dans le domaine, qui comprennent :

Les protocoles de sécurité et cryptographiques, qui doivent être conçus par les experts en matière de protocole cryptographique, plutôt que jusqu’à présent par le réseautage et les experts en matière de protocole. De plus, les chercheurs doivent simplifier l’analyse et permettre aux outils automatisés pour fournir des garanties informatiques solides.
Une attention plus soutenue requise pour la vérification automatisée, afin que la mise en œuvre d’un protocole puissent répondre aux objectifs en matière de sécurité, et examine la manière dont les outils automatisés peuvent garantir la mise en œuvre correcte de la conception d’un protocole.
De petits changements insignifiants dans les protocoles peuvent avoir pour effet l’invalidation des preuves de garantie.
Les protocoles futurs doivent être conçus en utilisant des principes d’ingénierie solides et bien établis, faciliter l’analyse de sécurité officielle, et en conjonction avec des preuves de sécurité officielle, conçus dans la cryptanalyse de leurs constituants primitifs.
Les protocoles futurs ne doivent plus être plus complexes qu’ils n’ont besoin de l’être.
De plus amples travaux doivent être réalisés sur la vérification des API pour les protocoles d’application.

Udo Helmbrecht a déclara à propos de ce rapport : « Ce qui est mis en exergue est le besoin de programmes de certification dans toutes les phases du cycle de vie technologique. Les processus et les produits intégrés de « sécurité par la conception ou par défaut », sont des principes de base pour la confiance. La normalisation des processus est un élément essentiel dans l’assurance de l’application correcte de la réforme de protection des données dans le service aux citoyens européens et son marché intérieur. Les directives de l’ENISA s’efforcent de fournir le cadre adéquat dans la sécurisation des systèmes en ligne. »

Le règlement CE 611/2013 référence l’ENISA en tant que corps consultatif, dans le processus d’établissement d’une liste des mesures de protection cryptographiques appropriée pour la protection des données personnelles. Les directives cryptographiques de l’ENISA doivent servir de documents de référence. Dans cette optique, les principes directeurs sont relativement conservateurs, fondés sur la recherche de pointe actuelle, en abordant la construction de nouveaux systèmes commerciaux avec un long cycle de vie.

Pour les rapports complets : « Algorithmes, taille clé et paramètres » & « Étude sur les protocoles cryptographiques »

Retrouvez ce communiqué de presse sur le site de l’ENISA : http://www.enisa.europa.eu/media/press-releases/securiser-les-donnees-personnelles-les-directives-de-l-ENISA-relatives-aux-solutions-cryptographiques

OpenSSL, ce que l’on peut dire sur la faille Heartbleed

Ces dernières 48h ont mis en émoi la communauté de la cybersécurité suite à la découverte d’une faille dans OpenSSL.

Nous souhaitons faire un point, à froid, sur ce qu’il en est de cette faille baptisée “Heartbleed”.

OpenSSL est une bibliothèque logicielle qui permet d’implémenter des fonctions cryptographiques. C’est ce qui se retrouve dans le processus de chiffrement des communications SSL/TLS (avec le fameux HTTPS).

Par exemple, lorsqu’on se connecte à un service bancaire en ligne (https://mabanque.fr) et que l’on saisit ses identifiant et mot de passe, ces derniers sont chiffrés et transmis au site Internet de la banque. En cas d’interception, votre mot de passe n’apparaitra pas en clair.

La faille découverte permet d’aller lire dans la mémoire du serveur utilisant OpenSSL, les informations qu’il est en train de traiter. Ces informations apparaissent en clair !

OpenSSL est utilisé sur une grande partie des services Web.

Ainsi, bien que votre mot de passe ait été chiffré lorsque vous l’avez saisi, il peut potentiellement être lu par un tiers.

Cela signifie que si vous avez saisi votre mot de passe sur un site utilisant le protocole SSL/TLS, il a potentiellement pu être dérobé.

Par mesure de précaution, nous vous recommandons donc de changer tous vos mots de passe.

Aussi, si vous administrez des serveurs utilisant OpenSSL ou si vos équipements l’utilisent, vous êtes concerné par la mise à jour vers la dernière version qui corrige cette faille (version corrigée 1.0.1g disponible sur https://www.openssl.org/).

Les clés de chiffrement ont pu être dérobées, il est donc recommandé de regénérer les clés et renouveler les certificats.

Seules les versions OpenSSL 1.0.1 et la version OpenSSL 1.0.2-beta1 sont vulnérables.

La version OpenSSL 1.0.0l n’est pas concernée.

Le support Cyberprotect se tient à votre disposition pour tout complément d’information.

 

Plus d’information sur https://openssl.org/