Articles

Cybercriminalité : les entreprises ciblées et leurs points faibles

Avec la hausse du nombre de cyberattaques, leur diversification et leur évolution constante, la cybersécurité et la gestion du risque sont devenues des problématiques incontournables pour les entreprises aujourd’hui. En effet, dans le dernier rapport MIPS du CLUSIF, il est constaté, par exemple, une hausse de 31% de la mise en place de solutions de sécurité et 69% des entreprises ont formalisé une PSSI.

Pour autant, la classification des données sensibles et la réalisation d’analyses de risques représentent toujours un point faible. A cela s’ajoute un autre point faible qui n’est malheureusement pas nouveau : la cybersécurité dans les TPE/PME.

Il faut savoir qu’actuellement, près de 80% des cyberattaques ciblent les PME.

Pourquoi les TPE/PME sont-elles des cibles ?

Tout d’abord, parce qu’elles représentent plus des ¾ des entreprises en France. Aussi la probabilité qu’une PME souffre d’une cyberattaque est plus importante.

De plus, ces entreprises qui manquent souvent de budget et qui se concentre donc sur leur cœur d’activité pour réaliser de la croissance, ne sont pas protégées ou trop peu. Elles se rendent ainsi vulnérables à toute intrusion ou cyberattaque.

Le piratage des données 

Selon le rapport du CLUSIF, les infections par virus arrivent en tête à 44%, les fraudes informatiques et télécoms (11%), le chantage ou extorsion informatique (11%)… Les pirates s’attaquent ainsi aux données (vol, détention contre rançon, altération etc), aux finances de l’entreprise (fraude au président), réalisent de l’espionnage économique, ou encore sabote le réseau. Pour cela, ils exploitent non seulement les failles techniques (logiciels et systèmes) mais également les failles humaines (social engineering).

Le réseau d’entreprises

Enfin, ces petites et moyennes entreprises sont la cible privilégiée des cyberattaques car elles constituent une passerelle vers une autre entreprise, une autre potentielle victime : ses clients, ses fournisseurs, ses partenaires…

Plus les entreprises sont connectées entre elles et plus le risque de cyberattaque grandit. Une entreprise mal protégée représente un chemin vers d’autres entreprises qu’il est facile aux pirates de suivre. Ils n’ont plus qu’à se balader d’entreprise en entreprise et exercer leurs méfaits.

Finalement, les grandes entreprises ne sont pas plus ciblées que les PME. Ce qui compte pour un pirate informatique c’est bien 1) la valeur des données de l’entreprise et 2) son interconnexion avec d’autres.

Protégez son entreprise et son réseau contre les cyberattaques est aujourd’hui une priorité essentielle et vitale pour l’économie. En plus des bonnes pratiques à mettre en oeuvre en entreprise, des services tels que Cyberprotect garantissent l’efficacité de votre cybersécurité au quotidien.

 

 

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Cécile FIORE – CM & Marketing – Cyberprotect

Partir en vacances en toute cybersérénité

Juillet, le soleil, la clôture des dossiers et… les vacances ! Se reposer, voyager, refaire le plein d’énergie… et concernant la cybersécurité de votre entreprise ? Malheureusement les pirates informatiques ne se reposent pas !

Alors pour que vos vacances ne tournent pas au cauchemar, découvrez nos conseils Cyberprotect !

infographie vacances-cyberserenite

 

Et vous, quels sont vos conseils pour passer des vacances en toute cybersérénité ?

Partagez les avec nous sur nos réseaux ! TwitterLinkedInFacebook

Cécile FIORE – CM & Marketing – Cyberprotect

[Résumé] Veille Cyberprotect Mai 2016

Si vous avez passé votre mois de mai à essayer de « décryptolocker » votre PC, Cyberprotect vous propose sa veille !

Les faits marquants

Les pirates sont toujours aussi actifs… : exemple du site météo france -> lire
… et piège doublement leurs victimes ! -> lire
Infographie : SIEM, Cyberprotect, quelle différence ? -> lire
Infographie : la gestion d’une malveillance inconnue -> lire
Les administrations publiques : oubliées de la cybersécurité mais pas des pirates informatiques ! -> lire
SWIFT : cyberattaques contre des banques -> lire
Cybersécurité et cadres dirigeants : Wall Street s’alarme ! -> lire

Les chiffres

Le Référentiel Général de Sécurité (RGS): moins de 15% des collectivités en ont pris connaissance -> lire
2200 milliards de dollars : c’est le poids du marché des systèmes intelligents en 2020 -> lire
La cybersécurité : une priorité pour seulement 8% des dirigeants EMEA (11% en France) -> lire 

Ce qui nous a fait rire

Cela commence très tôt… !

Nouvelles vagues de rançongiciels : comportement, conseil, solution

Les actes de cybercriminalités se comptent en nombre et de façon récurrente. Beaucoup d’entreprises, d’administrations ou de commerces sont victimes de cyberattaques. Parmi ces attaques nous trouvons des logiciels malveillants comme les rançongiciels. Pour citer l’ANSSI, « c’est une technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. »

Ces rançongiciel sont de plus en plus présents en ce moment et se renouvellent. Actuellement les alertes portent sur le rançongiciel Locky qui se propage via un e-mail de relance qui contient une facture sous le format Word. Ce serait ce même logiciel qui aurait attaqué il y a quelques jours un centre hospitalier américain, perturbant et endommageant considérablement ses activités.

http://www.lefigaro.fr/secteur/high-tech/2016/02/16/32001-20160216ARTFIG00205-un-hopital-americain-paralyse-par-des-pirates-informatiques.php

http://www.lemonde.fr/pixels/article/2016/02/18/un-hopital-americain-paye-une-rancon-a-des-pirates-informatiques_4867296_4408996.html

Malheureusement ce type de logiciel malveillant n’est pas nouveau et s’inspire même de maliciels déjà connus comme le trojan bancaire Dridex. Plusieurs campagnes de prévention avaient été déployées suite à l’identification de ce maliciel par l’ANSSI notamment, mais également par Cyberprotect, service de contrôle et de prévention en continu de la cybersécurité en entreprise :

https://www.cyberprotect.fr/bulletin-dalerte-Cyberprotect-campagne-courriel-malveillant-trojan-bancaire-dridex/

La principale raison d’être et/ou motivation de ces cyberattaques est d’extorquer de l’argent à leur victime, comme ce fut le cas pour cet hôpital américain cité plus haut qui a dû s’acquitter de 17 000 dollars de rançon pour pouvoir rétablir son activité. Et ce n’est qu’une victime parmi d’autres. La propriété intellectuelle de l’entreprise est également visée par ce type d’attaque.

Se pose maintenant la question : comment se prémunir contre ces cyberattaques ?

Une première chose est de ne pas cliquer sur un lien ou d’ouvrir une pièce jointe dont on ne connait pas la provenance. Maintenir le système d’exploitation ainsi que les antivirus à jour est également une bonne pratique. Toutefois, avec le volume de données échangées, il est devenu plus difficile d’éviter ces attaques dont les techniques d’infection se font toujours plus subtiles et discrètes.

Des solutions existent pour contrôler l’efficacité de votre sécurité et les comportements sur votre réseau comme le propose le service Cyberprotect. Par l’analyse du comportement sur votre réseau, Cyberprotect est capable de détecter une malveillance (non connue par les antivirus). Lorsque ce comportement anormal est détecté, l’alerte est immédiatement envoyée au centre d’opération Cyberprotect qui interviendra alors sur cet événement. Par la suite, et en attendant que les éditeurs d’antivirus fournissent des signatures, de nouvelles règles de comportement sont créées et communiquées aux clients Cyberprotect pour être appliquées en prévention de l’attaque identifiée.

[Bulletin d’Alerte Cyberprotect] Campagne d’infection Web (Adobe Flash Player)

Une campagne d’infection de sites Internet sous WordPress est actuellement en cours d’exploitation.

Il s’agit de sites Internet légitimes qui redirigent la navigation Internet de l’utilisateur à son insu dans le but de télécharger des virus.

Le vecteur de compromission des postes est principalement le logiciel Adobe Flash Player.

Nous vous recommandons d’appliquer une expression régulière sur vos différents équipements de sécurité permettant de bloquer les pages de sites Internet contenant la redirection malveillante.

\\"\]\]\.join\(\\"\\"\);"\)\);\s*/\*[a-f0-9]{32}

Nous insistons également sur le fait qu’il est impératif de maintenir les versions d’Adobe Flash Player à jour sur vos machines utilisateurs et, si  possible, de désinstaller complètement Adobe Flash Player.

[Bulletin d’alerte Cyberprotect] Faille critique Ghost sur systèmes GNU/Linux

Une faille critique touchant un grand nombre de systèmes GNU/Linux vient d’être rendue publique. Elle concerne l’exploitation d’une vulnérabilité dans Glibc (GNU C Library)

Glibc une bibliothèque standard permettant d’implémenter des opérations courantes programmées dans le langage C

Le fait que la majorité des systèmes utilise Glibc rend cette vulnérabilité particulièrement critique, notamment les serveurs Web et toutes autres machines exposées à l’Internet.

Cette faille de Glibc permet d’exécuter n’importe quelle commande sur les machines vulnérables avec pour conséquences la prise de contrôle de la machine, et ce, sans besoin d’authentification

Cette faille semble être facilement exploitable depuis l’extérieur puisqu’il semblerait que l’on puisse prendre la main sur un serveur de messagerie simplement en envoyant un courriel.

La vulnérabilité a pour référence :

CVE-2015-0235 –> https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-0235

Des correctifs de sécurité corrigeant la vulnérabilité sont disponibles auprès des éditeurs des différentes distributions GNU/Linux.

Nous vous invitons à mettre à jour vos systèmes en vous focalisant en priorité sur les machines accessibles depuis l’extérieur de votre réseau (serveur de messagerie, serveur Web,…)

N’hésitez pas à diffuser ce message à vos contacts.

Cyber-assurance, au-delà du questionnaire…

Voici le cas (réel) d’une entreprise lyonnaise qui a subi un préjudice important suite à un défaut de sécurité.

Il s’agit d’un ordre professionnel qui assure la gestion comptable d’une profession règlementée.

Ironie du sort, il s’agissait d’un prospect qui ne voyait pas l’intérêt de la solution Cyberprotect car je cite : “jusqu’à maintenant l’informatique fonctionne bien”.

Ce cas mérite de s’y arrêter quelques minutes car il réunit plusieurs aspects de la cyber-assurance.

 

Contexte

Tout commence par un appel le lundi matin du gérant paniqué : un rançongiciel a bloqué le serveur sur lequel est installé le logiciel de comptabilité (qui est donc leur cœur de métier).

Dans notre prise d’information sur le niveau de sécurité du réseau de l’entreprise, nous avons posé quelques questions de base :

– Avez-vous un pare-feu ? (réponse de l’entreprise = oui)

– Avez-vous, d’habitude, un accès à votre réseau depuis l’extérieur ? (réponse de l’entreprise = non)

 

Et bien, la réalité nous a démontré le contraire. En effet, le serveur de comptabilité (qui servait aussi de serveur AD) était accessible depuis l’extérieur.

Il est vrai qu’il y avait un pare-feu, mais il n’était pas branché…

Le serveur a été compromis par un rançongiciel qui a chiffré toutes les données qui s’y trouvaient.

Résultat final, il faut réinstaller le serveur de comptabilité (heureusement des sauvegardes étaient faites).

 

Le coût d’un tel sinistre

On s’aperçoit très vite, que le facteur temps à un rôle important, on est dans une course contre la montre.

Plus l’activité est stoppée et plus les répercussions financières seront importantes.

Il faut dans un premier temps faire un diagnostic de l’étendue du sinistre : quelles sont les données qui ont été impactées, peut-on les récupérer, faut-il exploiter une sauvegarde, le système est-il corrompu ?

Dans notre cas, il fallait procéder à la réinstallation complète du serveur, reconfigurer l’application métier, réintégrer la dernière sauvegarde, revoir les règles de sécurité…

Ceci est le point de vue technique qui nécessite entre 2 et 3 jours d’intervention.

Pendant cette intervention, les employés ne peuvent que se préparer à devoir rattraper le temps perdu…car pendant la phase de réinstallation, on va parler de “chômage technique” qui a un coût certain pour l’employeur.

 

Ce dernier doit en effet payer ses employés pendant qu’ils ne peuvent pas travailler, mais doit également prévoir un surcoût pour rattraper les jours perdus. Soit par la forme d’heures supplémentaires, soit par l’appel à des travailleurs intérimaires.

Un autre coût caché qui est apparu est celui des pénalités de retard. On se trouvait en effet en fin de mois, et il fallait absolument clôturer les éléments comptables relatifs aux impôts et taxes.

 

Quel est l’intérêt d’une cyber-assurance dans ce cas ?

Une cyber-assurance va permettre de couvrir les frais liés à la survenance d’un sinistre.

Depuis ces deux dernières années, le marché des cyber-assurances s’est enrichi d’acteurs et de nouvelles alliances entre monde de l’informatique et monde de l’assurance.

Cependant, il y a trois problématiques majeures auxquelles on ne retrouve pas la réflexion faite par Cyberprotect voilà maintenant bientôt 10 ans : comment évaluer le risque de l’entreprise, comment réduire ce risque et comment faire l’apport de preuve en cas de sinistres ?

 

Comment évaluer sérieusement le niveau de sécurité d’une entreprise ?

On constate que dans les offres de cyber-assurances on utilise souvent des questionnaires pour évaluer le niveau de sécurité.

Or ici, dans le cas d’un questionnaire, à la question “Avez-vous un pare-feu”, le client aurait répondu “oui” et l’étude ne serait pas allée bien plus loin.

Mais cela nécessite une vision plus large: comment évaluer un niveau de sécurité sur la base d’un questionnaire.

Sans mettre en cause la bonne foi du client, il n’est pas forcément capable de s’auto-évaluer. Un courtier en assurances ne peut pas non plus beaucoup aider à affiner cette évaluation.

L’exemple sur lequel on peut facilement s’appuyer est la configuration du pare-feu. Avec les ajouts, suppressions, modifications de règles, on arrive très vite à une configuration complexe alors qu’elle n’aurait pas lieu d’être. En y regardant de plus près, on trouvera systématiquement des choses inadéquates.

Aussi, une question ou un audit est un état des lieux à un instant “t” , qu’en est-il dans la durée ?

Nous constatons régulièrement des changements (volontaires ou non) de configuration du pare-feu dans les entreprises, exposant ainsi une ou plusieurs machines à des attaques depuis l’extérieur du réseau. Sans une surveillance en continue des flux, il devient difficile de détecter un changement de comportement…

Sur une offre en cyber-assurance on retrouve parfois un ajustement de la prime, du montant de garantie et des franchises en fonction du niveau de sécurité mais encore faut-il évaluer de niveau de la manière la plus juste.

 

Cyberprotect : une gestion complète du risque

 

La prévention une arme efficace

C’est très bien d’avoir une solution organisationnelle ou financière lorsqu’un sinistre ce produit, mais c’est encore mieux lorsqu’on peut éviter ce sinistre.

La plupart des brèches de sécurité peuvent être évitées si l’on applique un contrôle sur ce qu’il se passe dans un Système d’Information.

Bien que le sinistre soit couvert par une garantie financière, n’est-il pas plus judicieux de réduire le risque afin de minimiser les probabilités et les impacts d’un sinistre ?

Ce qui a été fatale ici, est le serveur de production ouvert sur l’extérieur. En mettant en place un service de prévention, il aurait été simple de détecter une mauvaise configuration ou absence du pare-feu et d’émettre une recommandation afin de fermer cette brèche de sécurité.

De plus, un autre aspect aurait pu être intéressant dans cette affaire. Si le serveur avait été supervisé par le SOC Cyberprotect (Centre Opérationnel de Sécurité), on aurait pu (dans certains cas) conserver les traces de l’attaque et voir la clé de chiffrement utilisée par le rançongiciel.

Dans le cas, où la prévention n’aurait pas permis de révéler une vulnérabilité exploitable, l’entreprise aurait été indemnisée pour les coûts directs et indirects liés à l’attaque : perte d’exploitation, remise en état du serveur, communication auprès des partenaires, paiement pour le travail supplémentaire, remise en état du serveur, pénalités de retard…

 

L’apport de preuve permettant l’indemnisation

Effectivement, il y a une réflexion qui doit-être menée dans les cyber-assurances : l’apport de la preuve.

Dans notre cas, comment faire pour apporter la preuve, en sachant que les logs du serveur ont été chiffrés ? De plus comme on l’a vu, on ne peut pas se fier aux logs du pare-feu qui, pour rappel, n’était pas branché.

Il est donc nécessaire d’avoir un équipement neutre qui va jouer ce rôle de traçabilité et qui pourra être exploité pour l’apport de preuve. A l’instar d’une boite noire, Cyberprotect trace et conserve toutes les flux d’activités du réseau de l’entreprise.

Ce service de traçabilité est reconnu contractuellement par l’assurance. En effet, les services délivrés par Cyberprotect ont été optimisés conjointement avec les compagnies d’assurance, pour leur permettre de bénéficier d’un ensemble de services performants et intègres, tant pour la prévention que pour la gestion des incidents.

 


On s’est appuyé ici sur le manquement de certaines offres en cyber-assurance mais on aurait très bien pu développer les réflexions du point vu des acteurs de la cyber-sécurité car en cas de défaillance il n’y a qu’une garantie de moyen et face à un sinistre, l’entreprise devra supporter toute seule les charges financières qui en découlent. Aucune garantie financière n’est assurée.

 

Daniel DIAZ – Ingénieur en Sécurité des Systèmes d’Information – Cyberprotect

[Bulletin d’alerte Cyberprotect] Campagnes malveillantes visant les logiciels Java, Flash Player et Silverlight

Outre l’actualité particulière de la semaine dernière (http://labo.cyberprotect.fr/?p=1567), nous avons constaté la présence d’un script malveillant sur plusieurs sites légitimes français.

Cette injection de script a pour but de rediriger la navigation de l’utilisateur, à son insu, dans le but de télécharger des logiciels malveillants.

Après analyse du code malveillant par nos équipes, il s’avère que le script vérifie les versions des logiciels suivants : Java, Adobe Flash Player et Microsoft Silverlight.

Ainsi, si le poste de travail de l’utilisateur possède une version non à jour de l’un de ces logiciels, un exploit sera téléchargé par sa machine dans le but de la compromettre par des virus.

Ces étapes sont totalement transparentes pour l’utilisateur.

Nous vous rappelons qu’il est important de maintenir ces logiciels à jour, nous insistons encore sur la particularité de Java, Adobe Flash Player, et ici Microsoft Silverlight, qui sont des cibles privilégiées dans la compromission du réseau de l’entreprise.

Il est essentiel vérifier que vos postes utilisent bien les dernières versions de ces logiciels :

– Java 1.7.0_51 –> http://www.java.com/fr/download/
– Adobe Flash Player 13.0.0.182 → get.adobe.com/fr/flashplayer
– Microsoft Silverlight 5.1.20913.0 →  http://www.microsoft.com/silverlight/ (ou via Windows Update)

Ces logiciels ne sont pas toujours indispensables dans l’utilisation de services Web. Il est fortement recommandé de les désinstaller s’ils ne sont pas nécessaires à votre activité.

Nous recommandons également de bloquer les plages d’adresses IP suivantes :82.146.35.0/24 et 213.229.69.0/24 ainsi que le domaine suivant “jscriptload[point]com” sur vos équipements de sécurité périmétriques (pare-feu, proxy,…)

N’hésitez pas à diffuser ce bulletin d’alerte.

Des comptes utilisateurs GitHub victimes de compromission

GitHub, le service Web de gestion de développement de logiciels, a annoncé sur son blog que de nombreux comptes utilisateurs ont été la cible d’attaques par brute-force sur  leur mots de passe.

L’attaque a été réalisée à partir d’un dictionnaire de mots de passe courant, ce qui ciblent les mots de passe faibles. Ces tentatives d’intrusions ont été faites de manières lentes et distribués (avec plus de 40 000 adresses IP publiques différentes) dans le but d’outre passer les systèmes de surveillance.

La bonne nouvelle est que GitHub a revu sa politique de mots de passe et renforce l’obligation d’utiliser des mots de passe plus complexes.

Les utilisateurs ayant subi une compromission de leur compte ont été alertés par GitHub et leurs comptes ont été réinitialisés.

[Source]

Utilisateurs de Windows XP : prenez vos précautions !

La date du 8 avril 2014 est à entourer  en rouge dans le calendrier. C’est précisément ce jour là que Microsoft va arrêter de supporter Windows XP.

Commercialisé entre 2001 et 2008, ce système d’exploitation a connu un succès sans précédent dans les entreprises.

Avec un compte à rebours lancé depuis Avril 2012 (http://www.google.com/hostednews/afp/article/ALeqM5jxMq_yMUroig1MpQfXzFJdxThO3A) , les parts de marchés de Windows XP n’ont pas beaucoup diminué. Il tient même le second rang, avec 37% de part de marché à moins de 9 mois de sa « fin ».


Source : Netmarket Share, Juillet 2013
(http://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0&qpsp=175&qpnp=1&qptimeframe=M&qpct=3)

 

Les risques qui en découlent

La fin du support des mises à jour signifie qu’en cas de vulnérabilité découverte sur Windows XP, Microsoft ne publiera pas de correctif de sécurité permettant de maintenir les ordinateurs à l’abri de l’exploitation de cette vulnérabilité par des pirates. C’est comme si l’on trouvait la combinaison pour ouvrir un cadenas et que l’on ne vous autorisait plus un changer son code… Le risque est bien réel et imminent.

Petite anecdote dans les choses aberrantes que l’on nous rapporte, un responsable informatique d’une collectivité locale avait déclaré « il n’est pas inutile de migrer les postes ayant Windows XP pour des raisons de sécurité, les pirates ne vont pas s’amuser à attaquer un système obsolète ».

Ils n’attendent que cela ! En effet, lorsqu’une vulnérabilité non connues est exploitée par des malwares, un correctif de l’éditeur est émis quelques temps après, mais là, les failles resteront présentes.

Il est fort probable que les attaques visant des vulnérabilités non connues vont connaitre un ralentissement ces prochains mois et que les pirates les garderont sous le coude pour les exploiter dès le mois d’Avril en évitant ainsi qu’elles soient corrigées par Microsoft.

A partir d’avril, les pirates pourront également se procurer les patchs de sécurité réservés aux professionnels ayant l’extension de support pour pouvoir étudier les vulnérabilités corrigés et les réutiliser sur les versions de Windows XP ne bénéficiant pas de l’extension de support.

Se préparer au changement

Les solutions à cette problématique sont simples : prendre l’option d’extension de support de Microsoft qui fournira des correctifs de sécurité ou migrer les postes de travail vers un autre système d’exploitation.

Au vue des tarifs importants de l’extension de support (environ 200$ par licence pour la première année), il est souvent recommandé de mettre en place la seconde option.

Cependant, sans y être bien préparé, une migration de masse des postes de travail peut engendrer des problèmes d’exploitation liés à certaines incompatibilités avec des logiciels métiers ainsi que des coûts indirects

Il est donc important de réfléchir dès aujourd’hui à la fin de Windows XP pour ne pas se retrouver avec des systèmes vulnérables aux attaques.

En revanche, pour les particuliers, la solution la plus sage semblerait être le changement de système d’exploitation.