Articles

[Résumé] Veille Cyberprotect Juillet 2016

Pour les vacanciers de retour au bureau, voici notre veille du mois de Juillet !

Les Faits Marquants

La cybercriminalité toujours aussi active -> lire 

Manque de personnel qualifié : première cause d’échec de la stratégie en cybersécurité -> read

Connaissez-vous tous les coûts cachés d’une cyberattaque ? -> lire 

Le temps : facteur essentiel dans la réponse à incident -> lire

Autour du chiffre 80…

80% des cyberattaques ciblent les PME -> lire

80% des entreprises ne peuvent détecter leurs failles internes -> lire

88% des ransomwares sont détectés dans le secteur de la santé -> read

Avant de partir en vacances, faites le point cybersécurité…

La check-list des vacances en infographie avec Cyberprotect ! -> lire

 

Venez échanger avec nous sur nos réseaux ! TwitterLinkedInFacebook

Cybercriminalité : les entreprises ciblées et leurs points faibles

Avec la hausse du nombre de cyberattaques, leur diversification et leur évolution constante, la cybersécurité et la gestion du risque sont devenues des problématiques incontournables pour les entreprises aujourd’hui. En effet, dans le dernier rapport MIPS du CLUSIF, il est constaté, par exemple, une hausse de 31% de la mise en place de solutions de sécurité et 69% des entreprises ont formalisé une PSSI.

Pour autant, la classification des données sensibles et la réalisation d’analyses de risques représentent toujours un point faible. A cela s’ajoute un autre point faible qui n’est malheureusement pas nouveau : la cybersécurité dans les TPE/PME.

Il faut savoir qu’actuellement, près de 80% des cyberattaques ciblent les PME.

Pourquoi les TPE/PME sont-elles des cibles ?

Tout d’abord, parce qu’elles représentent plus des ¾ des entreprises en France. Aussi la probabilité qu’une PME souffre d’une cyberattaque est plus importante.

De plus, ces entreprises qui manquent souvent de budget et qui se concentre donc sur leur cœur d’activité pour réaliser de la croissance, ne sont pas protégées ou trop peu. Elles se rendent ainsi vulnérables à toute intrusion ou cyberattaque.

Le piratage des données 

Selon le rapport du CLUSIF, les infections par virus arrivent en tête à 44%, les fraudes informatiques et télécoms (11%), le chantage ou extorsion informatique (11%)… Les pirates s’attaquent ainsi aux données (vol, détention contre rançon, altération etc), aux finances de l’entreprise (fraude au président), réalisent de l’espionnage économique, ou encore sabote le réseau. Pour cela, ils exploitent non seulement les failles techniques (logiciels et systèmes) mais également les failles humaines (social engineering).

Le réseau d’entreprises

Enfin, ces petites et moyennes entreprises sont la cible privilégiée des cyberattaques car elles constituent une passerelle vers une autre entreprise, une autre potentielle victime : ses clients, ses fournisseurs, ses partenaires…

Plus les entreprises sont connectées entre elles et plus le risque de cyberattaque grandit. Une entreprise mal protégée représente un chemin vers d’autres entreprises qu’il est facile aux pirates de suivre. Ils n’ont plus qu’à se balader d’entreprise en entreprise et exercer leurs méfaits.

Finalement, les grandes entreprises ne sont pas plus ciblées que les PME. Ce qui compte pour un pirate informatique c’est bien 1) la valeur des données de l’entreprise et 2) son interconnexion avec d’autres.

Protégez son entreprise et son réseau contre les cyberattaques est aujourd’hui une priorité essentielle et vitale pour l’économie. En plus des bonnes pratiques à mettre en oeuvre en entreprise, des services tels que Cyberprotect garantissent l’efficacité de votre cybersécurité au quotidien.

 

 

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Cécile FIORE – CM & Marketing – Cyberprotect

[Résumé] Veille Cyberprotect Mai 2016

Si vous avez passé votre mois de mai à essayer de « décryptolocker » votre PC, Cyberprotect vous propose sa veille !

Les faits marquants

Les pirates sont toujours aussi actifs… : exemple du site météo france -> lire
… et piège doublement leurs victimes ! -> lire
Infographie : SIEM, Cyberprotect, quelle différence ? -> lire
Infographie : la gestion d’une malveillance inconnue -> lire
Les administrations publiques : oubliées de la cybersécurité mais pas des pirates informatiques ! -> lire
SWIFT : cyberattaques contre des banques -> lire
Cybersécurité et cadres dirigeants : Wall Street s’alarme ! -> lire

Les chiffres

Le Référentiel Général de Sécurité (RGS): moins de 15% des collectivités en ont pris connaissance -> lire
2200 milliards de dollars : c’est le poids du marché des systèmes intelligents en 2020 -> lire
La cybersécurité : une priorité pour seulement 8% des dirigeants EMEA (11% en France) -> lire 

Ce qui nous a fait rire

Cela commence très tôt… !

La gestion des risques avec Cyberprotect

Pour tout comprendre du fonctionnement Cyberprotect en matière de gestion du risque informatique, lisez notre infographie !

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

[Bulletin d’alerte Cyberprotect] Faille critique Bash sur systèmes Unix/Linux

Une faille critique touchant un grand nombre de systèmes Linux et Mac OS X vient d’être rendue publique. Elle concerne l’exploitation d’une vulnérabilité dans Bash.

Bash est un environnement console disponible sur les systèmes afin d’exécuter des commandes.

Le fait que la majorité des systèmes utilise Bash rend cette vulnérabilité particulièrement critique, notamment les serveurs Web qui, eux, sont exposés à l’Internet.

Cette faille de Bash permet d’exécuter n’importe quelle commande sur les machines vulnérables avec pour conséquences la prise de contrôle de la machine. Cette faille est exploitable à distance.

Nous constatons déjà des scans de vulnérabilités sur Internet visant à découvrir les machines vulnérables, l’exploitation de cette vulnérabilité est donc déjà en cours.

Il est facile de vérifier si votre machine est vulnérable, il suffit d’exécuter la commande suivante :

 

 

si la commande retourne

vous etes vulnerable
ceci est un test

Et bien c’est que votre système est vulnérable !

Un premier correctif de sécurité a été publié mais une variante de la vulnérabilité a été découverte.

Vous pouvez vérifiez si votre machine est vulnérable, en exécutant la commande suivante :


si la commande retourne quelque chose comme

bash: X: line 1: syntax error near unexpected token `=’
bash: X: line 1: `’
bash: error importing function definition for `X’
Thu Sep 24 22:19:25 CEST 2014

avec la date affichée à la fin, c’est que votre système est vulnérable !

Les deux vulnérabilités ont pour référence :

CVE-2014-6271 –> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271

et

CVE-2014-67169 –> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169

Des correctifs de sécurité commencent à être publiés par les éditeurs corrigeant les deux variantes de la vulnérabilité. Dans le cas où les tests se sont révélés positifs, merci de vérifier régulièrement, si des correctifs sont disponibles. Une fois les correctifs de sécurité appliqués sur vos systèmes, réessayez les deux commandes précédentes afin de vous assurer de l’efficacité des correctifs.

N’hésitez pas à diffuser ce message à vos contacts.

 

Informations complémentaires  sur le bulletin du CERT-FR –> http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/CERTFR-2014-ALE-006.html

Les services Web : une cible privilégiée

Depuis que Akamai procède à l’analyse des attaques, c’est la première fois en 5 ans qu’il est constaté que le port le plus scanné n’est plus le port 445 (Service de partage de fichiers Windows). Le port 445 rétrograde même à la 3ème place.

Les attaquants se sont réorientés vers les ports 80 (HTTP) et 443 (HTTPS), c’est-à-dire de manière globale : les services Web. Il est d’ailleurs étonnant que cette tendance soit nouvelle.

En effet, la grande majorité des interactions qui se font sur Internet se font à travers les services Web, il est donc logique de privilégier cette voie. Ce sont également les ports les plus ouverts sur l’extérieur.

Compromission de sites Internet, intrusion dans les systèmes d’information, connexion à des services de messagerie… La sécurisation est généralement mise en second plan, on privilégie surtout le coté pratique pour les utilisateurs. Les services Web sont donc la porte d’entrée entrouverte qui permet le plus facilement d’entrer dans les systèmes d’information.

Autre changement notable dans le rapport du second trimestre 2013, l’Indonésie remplace la Chine à la tête des pays d’où les attaques sont originaires.

[Source]

Utilisateurs de Windows XP : prenez vos précautions !

La date du 8 avril 2014 est à entourer  en rouge dans le calendrier. C’est précisément ce jour là que Microsoft va arrêter de supporter Windows XP.

Commercialisé entre 2001 et 2008, ce système d’exploitation a connu un succès sans précédent dans les entreprises.

Avec un compte à rebours lancé depuis Avril 2012 (http://www.google.com/hostednews/afp/article/ALeqM5jxMq_yMUroig1MpQfXzFJdxThO3A) , les parts de marchés de Windows XP n’ont pas beaucoup diminué. Il tient même le second rang, avec 37% de part de marché à moins de 9 mois de sa « fin ».


Source : Netmarket Share, Juillet 2013
(http://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0&qpsp=175&qpnp=1&qptimeframe=M&qpct=3)

 

Les risques qui en découlent

La fin du support des mises à jour signifie qu’en cas de vulnérabilité découverte sur Windows XP, Microsoft ne publiera pas de correctif de sécurité permettant de maintenir les ordinateurs à l’abri de l’exploitation de cette vulnérabilité par des pirates. C’est comme si l’on trouvait la combinaison pour ouvrir un cadenas et que l’on ne vous autorisait plus un changer son code… Le risque est bien réel et imminent.

Petite anecdote dans les choses aberrantes que l’on nous rapporte, un responsable informatique d’une collectivité locale avait déclaré « il n’est pas inutile de migrer les postes ayant Windows XP pour des raisons de sécurité, les pirates ne vont pas s’amuser à attaquer un système obsolète ».

Ils n’attendent que cela ! En effet, lorsqu’une vulnérabilité non connues est exploitée par des malwares, un correctif de l’éditeur est émis quelques temps après, mais là, les failles resteront présentes.

Il est fort probable que les attaques visant des vulnérabilités non connues vont connaitre un ralentissement ces prochains mois et que les pirates les garderont sous le coude pour les exploiter dès le mois d’Avril en évitant ainsi qu’elles soient corrigées par Microsoft.

A partir d’avril, les pirates pourront également se procurer les patchs de sécurité réservés aux professionnels ayant l’extension de support pour pouvoir étudier les vulnérabilités corrigés et les réutiliser sur les versions de Windows XP ne bénéficiant pas de l’extension de support.

Se préparer au changement

Les solutions à cette problématique sont simples : prendre l’option d’extension de support de Microsoft qui fournira des correctifs de sécurité ou migrer les postes de travail vers un autre système d’exploitation.

Au vue des tarifs importants de l’extension de support (environ 200$ par licence pour la première année), il est souvent recommandé de mettre en place la seconde option.

Cependant, sans y être bien préparé, une migration de masse des postes de travail peut engendrer des problèmes d’exploitation liés à certaines incompatibilités avec des logiciels métiers ainsi que des coûts indirects

Il est donc important de réfléchir dès aujourd’hui à la fin de Windows XP pour ne pas se retrouver avec des systèmes vulnérables aux attaques.

En revanche, pour les particuliers, la solution la plus sage semblerait être le changement de système d’exploitation.

Les gamers français visés par 29 300 attaques par an

La France se classe en 4ème position des pays européens les plus touchés par ces attaques.

Kaspersky Lab publie ses derniers chiffres concernant le nombre d’attaques dans l’univers des jeux vidéo. A ce jour, 4,4 millions de programmes malveillants ciblant les Gamers[1] ont été recensés. 

Ce chiffre est bien plus élevé qu’en 2012 ; année au cours de laquelle ont été dénombrés déjà 3,3 millions de malwares ciblant les jeux vidéo [1].

En outre, l’appât du gain semble la motivation principale des cybercriminels, via le vol des données contenues sur les comptes des joueurs ainsi que celui de leurs objets virtuels, dont la valeur peut atteindre plusieurs milliers d’euros pour certains.

Kaspersky Lab a dressé le top 10 des pays européens les plus touchés par les tentatives d’attaques survenues entre janvier et juin 2013 :

–       l’Espagne arrive en première position avec 94 700 attaques annuelles,

–       Pologne (85 000)

–       Italie (52 200)

–       La France se trouve en 4ème position avec 29 300 attaques ciblées recensées

–       l’Allemagne (18 300 attaques),  puis l’Ukraine, la Grèce, la Roumanie, le Portugal et la Serbie.

Au niveau mondial, une augmentation de cyber-attaques visant des joueurs de jeux vidéo en particulier a également été identifiée. Au premier semestre 2013, plus de deux millions d’attaques contre des joueurs dans le monde ont été dénombrées, soit environ 11 500 attaques par jour alors que ce nombre atteignait 7 000[1] en 2012.

« Les gamers continuent d’être une cible lucrative pour les cybercriminels. L’utilisation croissante d’argent réel pour acheter des objets virtuels leur permet des rendements élevés », déclare Nicolas Brulez, Principal Malware Researcher chez Kaspersky Lab. « En plus des attaques de malwares, le phishing est également aussi très présent et s’est adapté aux codes du jeux vidéo. Nous observons d’ailleurs depuis quelques années des exemples particulièrement convaincants en ce qui concerne l’écriture mais aussi en matière de mise en page et de graphisme. »

Même si le nombre d’attaques visant les gamers augmente, il est possible de s’en prémunir en suivant des règles de sécurité élémentaires. Kaspersky Internet Security [2] propose ainsi un mode gaming dans lequel le joueur peut s’aventurer dans le monde virtuel sans limitation et en toute sécurité.

Pour plus d’information, Kaspersky Lab sera présent au salon international Gamescon à Cologne en Allemagne du 21 au 22 août, dans le stand Rheinsaal Sektion 5/6, Congress Centre North. Kaspersky Lab animera une table ronde sur le thème « L’industrie du jeu vidéo assiégée ». Christian Funk, Senior Virus Analyst, Global Research & Analysis Team de Kaspersky Lab sera également présent pour répondre à vos questions si vous le souhaitez.

 

[1] D’après une analyse des chiffres du réseau réseau Kaspersky Security Network

* Ces données ont été recueillies en toute confidentialité avec l’accord des participants du réseau Kaspersky Security Network (KSN), qui réunit des millions d’utilisateurs des produits de Kaspersky Lab à travers le monde. KSN collecte automatiquement des informations sur les tentatives d’infection, de téléchargement et de lancement de programmes suspects sur les ordinateurs des utilisateurs. Ces informations sont ensuite utilisées aux fins d’analyse par les serveurs centraux de Kaspersky Lab.
[2] http://www.kaspersky.com/fr/internet-security

Retrouvez ce communiqué de presse sur le site Kaspersky [ici]

Cyber-attaques: le Parlement Européen adopte des sanctions communes plus strictes

Les cybercriminels seront soumis à des peines européennes plus strictes, conformément à un projet de directive adopté par le Parlement ce jeudi. Les nouvelles règles font déjà l’objet d’un accord informel avec les États membres. Elles visent également à faciliter la prévention et à renforcer la coopération policière et judiciaire en la matière. Dans le cas d’une cyber-attaque, les pays de l’Union devront répondre aux demandes d’aide urgentes dans un délai de huit heures.

Le texte exige que les États membres fixent une peine de prison maximale au minimum à deux ans pour les crimes suivants: l’accès illégal aux systèmes d’information ou interférence illicite dans ces systèmes, l’interférence illicite dans des données, l’interception illégale de communications ou la production et la vente intentionnelle d’outils utilisés pour commettre ces délits. Les cas « mineurs » sont exclus, mais il appartient à chaque État membre de déterminer la définition de cas « mineur ». La résolution rédigée par Monika Hohlmeier (PPE, DE) a été adoptée par 541 voix pour, 91 contre et 9 abstentions.

 

« Réseaux zombies »

Le projet de directive introduirait également une peine d’au moins trois ans d’emprisonnement pour l’utilisation de « réseaux zombies », visant à établir un contrôle à distance d’un nombre significatif d’ordinateurs en les infectant de maliciels par le biais de cyber-attaques ciblées.

 

Attaques d’infrastructures critiques

La peine maximale d’emprisonnement pour des attaques contre des infrastructures critiques, telles que des centrales nucléaires, des réseaux de transport et gouvernementaux, pourrait être d’au moins cinq ans. La même peine s’applique si une attaque est commise par une organisation criminelle ou si elle cause de sérieux dommages.

 

Délai de huit heures pour les demandes urgentes

Les points de contacts désignés par les États membres seront tenus de répondre aux demandes urgentes dans un délai de huit heures en cas de cyber-attaques, afin de rendre la coopération policière plus efficace.

 

Responsabilité des personnes morales

Les personnes morales, telles que les entreprises, seraient responsables des infractions commises pour leur compte (par exemple pour avoir engagé un pirate informatique afin d’obtenir l’accès à une base de données d’un concurrent). Mettre fin à l’octroi d’un avantage ou d’une aide publics ou fermer l’établissement concerné font partie des sanctions envisagées.

 

Prochaines étapes

Le texte adopté devrait rapidement être adopté formellement par le Conseil. La nouvelle directive repose sur des règles qui sont en vigueur depuis 2005. Une fois adoptée, les États membres auront deux ans pour la transposer dans le droit national.

 

Retrouvez ce communiqué de presse sur le site du Parlement Européen [ici]

Drupal attaqué, les utilisateurs priés de changer leur mot de passe

Dans un billet du blog de Drupal, son directeur exécutif Holly Ross, a annoncé que les sites Drupal.org et groups.drupal.org ont été compromis et que les données des utilisateurs ont été consultées par les attaquants.

Cette compromission a été possible par l’exploitation d’une vulnérabilité présente sur un logiciel tiers utilisé dans leur infrastructure. La vulnérabilité n’a aucun rapport avec le CMS Drupal.

Les sites fonctionnant sous Drupal ne sont pas concernés par une quelconque vulnérabilité.

Les données compromises comprennent identifiants, adresses email, mots de passe hashés, et pays. Seules les personnes ayant un compte sur drupal.org et groups.drupal.org seront obligées de changer de mot de passe.

A priori aucune autre donnée n’a été dérobée, cependant, les investigations des équipes de sécurité continuent afin de délimiter l’étendu des dégâts. Drupal souligne qu’ils ne stockent pas les informations de carte de crédit, de sorte qu’elles ne peuvent  pas avoir été volée de cette manière. Néanmoins, ils conseillent aux utilisateurs de surveiller leurs comptes financiers pour voir si une transaction de la part de l’association drupal.org  n’a pas été opérée ou dans le cas où ils utiliseraient un mot de passe le même sur le site de leur banque.

[Source]