Articles

Le contrôle en continu : élément clé d’une cybersécurité assurée

La cybersécurité est devenue un élément incontournable et essentielle à prendre en compte dans la vie d’une entreprise. Aujourd’hui, il existe de nombreuses solutions de sécurité afin de protéger les infrastructures d’éventuelles attaques. Cependant, ces solutions n’empêcheront jamais qu’un incident, mineur ou majeur, intervienne au sein des sociétés. Actuellement, une intrusion par un virus, un malware, … est détectée environ deux à trois mois après sa première intrusion. Pendant ce laps de temps, un certain nombre de données peuvent être récupérées ou compromises (mot de passe, données confidentielles, etc), ce qui est nuisible au bon fonctionnement et à la réputation des entreprises. Afin de répondre à ce problème, il est devenu nécessaire de pouvoir contrôler en continu l’ensemble des flux réalisés au sein des systèmes d’informations.

Un rôle réactif mais également préventif

Prenons l’exemple de l’hameçonnage (ou phishing). Lorsqu’une personne renseigne ses coordonnées bancaires sur un site non légitime ayant pris l’apparence d’un site officiel, le temps de détection de la fraude est bien trop long pour empêcher toutes actions du pirate informatique. De manière générale, et malgré l’augmentation des sensibilisations, il est devenu compliqué de corriger techniquement la faille humaine sans impacter le travail du personnel. Avec le contrôle des flux en continu, le temps de détection est considérablement réduit et les actions permettant de contrer les menaces peuvent rapidement être effectuées. De plus, le contrôle en continu peut également avoir un rôle préventif. Dans ce cas, il permet de détecter les failles présentes sur le réseau et de remonter l’ensemble des informations pour effectuer les corrections nécessaires avant qu’une attaque soit réalisée.

Retour d’expérience du CERT Cyberprotect

Pour continuer dans l’exemple précédent, le CERT Cyberprotect est intervenu sur une tentative d’hameçonnage ayant abouti chez un de ses clients. Le 12 juillet 2016 à 11h58, une personne, qui pensait visiter le site de sa banque, a saisie l’ensemble de ses informations de connexion (identifiant + mot de passe) et l’ensemble de ses informations bancaires (numéro de carte bancaire, cryptogramme visuel, numéro de compte, …). L’alerte est rapidement remontée par l’équipement présent chez le client, puis analysée par le CERT Cyberprotect. L’information de l’hameçonnage réussi est alors transmise au client à 12h27 pour que ce dernier puisse prendre les dispositions nécessaires auprès de son établissement bancaire. Dans ce cas de figure, le faux site internet avait repris, à l’identique, les mêmes pages internet que le site web d’origine. Seul l’url aurait pu permettre à la personne concernée de suspecter une tentative d’hameçonnage bien que l’url contenait le nom de la banque. Le contrôle en continu a permis une détection et une intervention rapide pour bloquer les prélèvements sur le compte bancaire concerné. De plus, le faux site bancaire a été signalé à « Phishing initiative » par le CERT Cyberprotect pour éviter que d’autres personnes ne renseignent leurs données sur ce site.

Schéma Cyberprotect

Le contrôle en continu par Cyberprotect

La gestion du risque par Cyberprotect

Pour répondre à ce besoin de contrôle, Cyberprotect a mis en place un service de gestion du risque pour les entreprises, à travers la surveillance et l’optimisation en continue de leur cybersécurité. A la différence des SIEM (voir l’article https://www.cyberprotect.fr/siem-vs-cyberprotect/),  Cyberprotect contrôle en continu, et de manière indépendante, la cybersécurité de ses clients afin de  détecter si le système d’information est victime d’une cyberattaque. En cas de connexion suspecte, les équipes du CERT Cyberprotect procèdent alors à une levée de doute, et en cas de forte suspicion ou d’infection, fournissent les mesures nécessaires à l’éradication de la menace. A travers des solutions telles que Cyberprotect, qui utilise et exploite le contrôle des flux en continu, les entreprises bénéficient d’un niveau de service leur permettant d’assurer leur cybersécurité, et par conséquent, le bon fonctionnement de leur entreprise.

Yoann JOUVENT – Coordinateur au CERT Cyberprotect

 

Comment un courriel reçu peut bloquer toute l’entreprise, retour d’expérience

Voici un retour d’expérience fait par nos équipes sur les évènements qui ont pu se produire ces deux dernières semaines chez nos clients et qui illustrent parfaitement la nécessité de maintenir une vigilance particulière sur ce qu’il se passe sur les réseaux d’entreprises.

Tout commence par l’envoi d’un courriel d’apparence légitime faisant croire à un problème sur le traitement d’une demande qui aurait été faite. L’utilisateur est invité à consulter le dossier en question dans une pièce jointe dans laquelle se trouve un fichier malveillant.

Un exemple de ce courrier a été analysé par le chercheur en sécurité Malekal (http://www.malekal.com/2013/11/22/stealer-spam-malicieux-en-francais/)

Comme on peut le constater dans l’article, seulement un antivirus détectait la pièce jointe comme étant frauduleuse (aujourd’hui quasiment tous les antivirus la détecte comme malveillante). Aussi, le fichier exécutable utilise un icône “PDF” le rendant moins dangereux aux yeux de l’utilisateur. Si l’affichage des extensions de fichiers n’est pas activé, on peut croire qu’il s’agit bien d’un PDF.

Attention, il faut noter qu’un fichier PDF requiert également une certaine prudence lors de son ouverture.

Une fois que l’utilisateur ouvre ce fichier malveillant, son poste de travail est immédiatement infecté. Cette compromission est totalement transparente pour l’utilisateur.

A partir de ce moment là, la machine tente de communiquer avec son serveur de Commande et Contrôle qui lui remet sa « liste de mission ». Au programme : envoyer du courrier indésirable (SPAM).

Il s’ensuit un envoi massif de courriel avec un rendement d’environ 100 messages par heure.

Les messages que nous avons pu relevés étaient des tentatives de hameçonnage (Phishing) faisant croire à un problème de carte bancaire lors d’un achat en ligne et invitant la future victime à se rendre sur un faux site aux couleurs d’une célèbre entreprise financière américaine (voir illustration ci-dessous).

 

Les conséquences pour l’entreprise ayant le poste infecté sur son réseau ne se fait pas attendre. En effet, la conséquence immédiate de cet envoi massif de « pourriel » est d’enregistrer l’adresse IP publique de l’entreprise dans les listes noires « publiques » (blacklist).

De ce fait, lorsqu’un courriel légitime est envoyé depuis le réseau de l’entreprise, celui-ci sera refusé par le serveur destinataire car il considère la provenance comme étant douteuse.

L’activité de l’entreprise peut ainsi être partiellement paralysée en quelques heures.

Nous avons également relevé le cas où un prestataire de service possédant une machine infectée par ce même malware se connectait au réseau de l’entreprise. Le résultat est le même, puisqu’il envoie des SPAM depuis le réseau de l’entreprise, l’adresse IP publique identifiée comme ayant un comportement malveillant est celui de l’entreprise.

On peut également noter, que la méthode d’infection peut varier. Bien que dans ce cas, la compromission du poste est “déclenché” par l’utilisateur qui ouvre un fichier compromis, l’infection peut également être faite sans action de l’utilisateur comme dans les cas de malvertising (voir http://labo.cyberprotect.fr/?p=1381)

Il faut donc détecter au plus vite l’infection afin d’éviter d’être black-listé mais également, lorsqu’il est trop tard, procéder au plus vite au retrait de l’adresse IP des listes noires.

Il est rappelé par cette occasion qu’il faut être vigilant avec les courriels que l’on reçoit et particulièrement lorsque des pièces jointes y sont attachées. Comme nous pouvons le constater dans cet exemple, bien qu’il soit un élément de base de la sécurité, l’antivirus n’est pas suffisant pour maintenir à lui seul un niveau de sécurité suffisant, cela au regard de la complexité et de la diversité des menaces et vulnérabilités actuelles qui pèsent sur un système d’information.

Les méthodes de fraude bancaire évoluent !

Les banques et autres institutions financières ont mis en place des contrôles plus stricts afin de minimiser les pertes engendrées par les attaques de phishing. Selon les chercheurs de TrendMicro, les cybercriminels n’ont pas tardé à produire de nouveaux outils pour automatiser la fraude bancaire en ligne, on parle d’ATS pour Automatic Transfer Systems.

La famille de logiciels malveillants de type ZeuS et SpyEye injectait des fichiers afin de modifier les sites internet des organismes ciblés comme les banques. Ainsi, une fois que la victime navigue sur le site compromis, les informations de connexions et les données bancaires sont dérobées.

Avec les nouveaux systèmes de transfert automatique (ATS), les attaquants ne volent plus les informations de manière passive. Ils réalisent instantanément des transactions financières débitant directement les comptes bancaires de la victime et créditant le compte des cybercriminels.

Cette méthode se développe en infectant directement les machines des victimes via des courriels d’hameçonnage ou par des compromissions par drive-by downloads. Lorsque la victime se connecte sur le site de sa banque, le malware va ordonner, de manière transparente, des ordres de virements.

Une fois la machine de la victime infectée, il est difficile de détecter les fraudes. Il reste primordial de contrôler régulièrement ses comptes et les transactions qui y ont été effectuées.

Retrouvez l’étude de TrendMicro [ici] et un schéma explicatif [ici]

Campagne (de phishing) HADOPI

Une campagne de phishing a ciblé les internautes français. Un mail d’avertissement aux couleurs d’Hadopi averti les personnes que leur ordinateur a été identifié comme ayant servi à visiter des sites internet illégaux.

L’internaute est alors convié à se connecter sur un site aux couleurs de l’autorité administrative afin de consulter un rapport sur les faits reprochés.

La nouveauté est qu’un identifiant et un mot de passe sont nécessaires pour cela et qu’il faut envoyer un SMS surtaxé pour obtenir l’accès. Les numéros surtaxés ont rapidement été coupé par les autorités compétentes.