Articles

[Résumé] Veille Cyberprotect Juillet 2016

Pour les vacanciers de retour au bureau, voici notre veille du mois de Juillet !

Les Faits Marquants

La cybercriminalité toujours aussi active -> lire 

Manque de personnel qualifié : première cause d’échec de la stratégie en cybersécurité -> read

Connaissez-vous tous les coûts cachés d’une cyberattaque ? -> lire 

Le temps : facteur essentiel dans la réponse à incident -> lire

Autour du chiffre 80…

80% des cyberattaques ciblent les PME -> lire

80% des entreprises ne peuvent détecter leurs failles internes -> lire

88% des ransomwares sont détectés dans le secteur de la santé -> read

Avant de partir en vacances, faites le point cybersécurité…

La check-list des vacances en infographie avec Cyberprotect ! -> lire

 

Venez échanger avec nous sur nos réseaux ! TwitterLinkedInFacebook

[Bulletin d’Alerte Cyberprotect] Campagne Rançongiciel, techniques préventives

Les campagnes de Rançongiciel, notamment Locky (https://www.cyberprotect.fr/nouvelles-vagues-de-rancongiciels-comportement-conseil-solution/), continuent petit à petit à faire des victimes.

Pour rappel, la technique est simple : un courriel parfaitement rédigé en Français, reprenant les logos et couleurs de sociétés existantes est envoyé en masse aux entreprises.

Le courriel contient une pièce jointe, souvent un fichier Javascript « .js » qui une fois ouvert va chiffrer les fichiers présents sur le poste de l’utilisateur ainsi que ceux accessibles via un partage réseau.

Inutile donc de préciser que les dégâts peuvent-être considérables.

Parfois difficile à bloquer via les outils Anti-SPAM, le CERT CYBERPROTECT a cherché une mesure simple pour limiter la portée de l’ouverture de ces pièces jointes.

La première mesure est évidemment de sensibiliser les utilisateurs au traitement de leur courriel : https://www.cyberprotect.fr/labo/conseils/courriel/

La seconde est plus technique mais permet de limiter l’impact si un utilisateur ouvre une pièce jointe : il suffit de changer sur les postes, le programme par défaut qui ouvre les fichiers .js ou .vbs (deux types de fichiers exécutants des scripts).

Il suffit de modifier certaines clés du registre Windows. Pour cela, modifier les entrées « Edit », « Open » et « Open2 » suivantes :

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command

Modifiez les entrées par défaut « C:\Windows\System32\CScript.exe %1 » et « C:\Windows\System32\WScript.exe %1 »

par « C:\Windows\System32\Notepad.exe %1 »

Ainsi, si un utilisateur ouvre un fichier .js , il ne sera pas exécuté mais simplement ouvert avec le Bloc Note.

Cette solution semble intéressante car elle peut être déployée sur l’ensemble d’un parc via GPO.

Vos paramètres AntiSPAM

Voici nos recommandations de paramétrage pour votre outil de messagerie.

Les extensions devant être considérées comme malveillantes lorsqu’elles sont en pièce jointe :

“.exe”, “.pif”, “.application”, “.gadget”, “.msi”, “.msp”, “.com”, “.scr”, “.hta”, “.cpl”, “.msc”, “.jar”
“.bat”, “.cmd”, “.vb”, “.vbs”, “.vbe”, “.js”, “.jse”, “.ws”, “.wsf”, “.wsc”, “.wsh”, “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.msh”, “.msh1”, “.msh2”, “.mshxml”, “.msh1xml”, “.msh2xml”
“.scf”, “.lnk”, “.inf” , “.reg”, “.dll”
“.wax”, “.wm”, “.wma”, “.wmd”, “.wmv”, “.wmx”, “.wmz”, “.wvx”
“.docm”, “.dotm”, “.xlsm”, “.xltm”, “.xlam”, “.pptm”, “.potm”, “.ppam”, “.ppsm”, “.sldm”

Les extensions suivantes sont souvent légitimes et ne doivent pas subir un blocage mais elles peuvent contenir des éléments malveillants. Il faut donc être prudent lorsqu’on les ouvre :
“.zip”, “.rar”, “.ace”, “.gz”, “.tar”, “.7z”, “.z”, “.bz2”, “.xz”, “.iso”
“.htm”, “.html”
“.pdf”, “.doc”, “.rtf”, “.ppt”, “.xls”, “.docx”, “.rtfx”, “.pptx”, “.xlsx” ,“.odt”

Les sauvegardes

Nous vous rappelons également qu’il est important d’effectuer des sauvegardes régulières des fichiers contenant des données importantes.

Ces sauvegardes doivent-être vérifiées de manière périodique et être conservées séparément du réseau bureautique (sinon lorsqu’un rançongiciel se propage sur le réseau, il va chiffrer vos sauvegardes…)

En cas de doute, n’hésitez pas à nous solliciter.

Nouvelles vagues de rançongiciels : comportement, conseil, solution

Les actes de cybercriminalités se comptent en nombre et de façon récurrente. Beaucoup d’entreprises, d’administrations ou de commerces sont victimes de cyberattaques. Parmi ces attaques nous trouvons des logiciels malveillants comme les rançongiciels. Pour citer l’ANSSI, « c’est une technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. »

Ces rançongiciel sont de plus en plus présents en ce moment et se renouvellent. Actuellement les alertes portent sur le rançongiciel Locky qui se propage via un e-mail de relance qui contient une facture sous le format Word. Ce serait ce même logiciel qui aurait attaqué il y a quelques jours un centre hospitalier américain, perturbant et endommageant considérablement ses activités.

http://www.lefigaro.fr/secteur/high-tech/2016/02/16/32001-20160216ARTFIG00205-un-hopital-americain-paralyse-par-des-pirates-informatiques.php

http://www.lemonde.fr/pixels/article/2016/02/18/un-hopital-americain-paye-une-rancon-a-des-pirates-informatiques_4867296_4408996.html

Malheureusement ce type de logiciel malveillant n’est pas nouveau et s’inspire même de maliciels déjà connus comme le trojan bancaire Dridex. Plusieurs campagnes de prévention avaient été déployées suite à l’identification de ce maliciel par l’ANSSI notamment, mais également par Cyberprotect, service de contrôle et de prévention en continu de la cybersécurité en entreprise :

https://www.cyberprotect.fr/bulletin-dalerte-Cyberprotect-campagne-courriel-malveillant-trojan-bancaire-dridex/

La principale raison d’être et/ou motivation de ces cyberattaques est d’extorquer de l’argent à leur victime, comme ce fut le cas pour cet hôpital américain cité plus haut qui a dû s’acquitter de 17 000 dollars de rançon pour pouvoir rétablir son activité. Et ce n’est qu’une victime parmi d’autres. La propriété intellectuelle de l’entreprise est également visée par ce type d’attaque.

Se pose maintenant la question : comment se prémunir contre ces cyberattaques ?

Une première chose est de ne pas cliquer sur un lien ou d’ouvrir une pièce jointe dont on ne connait pas la provenance. Maintenir le système d’exploitation ainsi que les antivirus à jour est également une bonne pratique. Toutefois, avec le volume de données échangées, il est devenu plus difficile d’éviter ces attaques dont les techniques d’infection se font toujours plus subtiles et discrètes.

Des solutions existent pour contrôler l’efficacité de votre sécurité et les comportements sur votre réseau comme le propose le service Cyberprotect. Par l’analyse du comportement sur votre réseau, Cyberprotect est capable de détecter une malveillance (non connue par les antivirus). Lorsque ce comportement anormal est détecté, l’alerte est immédiatement envoyée au centre d’opération Cyberprotect qui interviendra alors sur cet événement. Par la suite, et en attendant que les éditeurs d’antivirus fournissent des signatures, de nouvelles règles de comportement sont créées et communiquées aux clients Cyberprotect pour être appliquées en prévention de l’attaque identifiée.

Cyber-assurance, au-delà du questionnaire…

Voici le cas (réel) d’une entreprise lyonnaise qui a subi un préjudice important suite à un défaut de sécurité.

Il s’agit d’un ordre professionnel qui assure la gestion comptable d’une profession règlementée.

Ironie du sort, il s’agissait d’un prospect qui ne voyait pas l’intérêt de la solution Cyberprotect car je cite : “jusqu’à maintenant l’informatique fonctionne bien”.

Ce cas mérite de s’y arrêter quelques minutes car il réunit plusieurs aspects de la cyber-assurance.

 

Contexte

Tout commence par un appel le lundi matin du gérant paniqué : un rançongiciel a bloqué le serveur sur lequel est installé le logiciel de comptabilité (qui est donc leur cœur de métier).

Dans notre prise d’information sur le niveau de sécurité du réseau de l’entreprise, nous avons posé quelques questions de base :

– Avez-vous un pare-feu ? (réponse de l’entreprise = oui)

– Avez-vous, d’habitude, un accès à votre réseau depuis l’extérieur ? (réponse de l’entreprise = non)

 

Et bien, la réalité nous a démontré le contraire. En effet, le serveur de comptabilité (qui servait aussi de serveur AD) était accessible depuis l’extérieur.

Il est vrai qu’il y avait un pare-feu, mais il n’était pas branché…

Le serveur a été compromis par un rançongiciel qui a chiffré toutes les données qui s’y trouvaient.

Résultat final, il faut réinstaller le serveur de comptabilité (heureusement des sauvegardes étaient faites).

 

Le coût d’un tel sinistre

On s’aperçoit très vite, que le facteur temps à un rôle important, on est dans une course contre la montre.

Plus l’activité est stoppée et plus les répercussions financières seront importantes.

Il faut dans un premier temps faire un diagnostic de l’étendue du sinistre : quelles sont les données qui ont été impactées, peut-on les récupérer, faut-il exploiter une sauvegarde, le système est-il corrompu ?

Dans notre cas, il fallait procéder à la réinstallation complète du serveur, reconfigurer l’application métier, réintégrer la dernière sauvegarde, revoir les règles de sécurité…

Ceci est le point de vue technique qui nécessite entre 2 et 3 jours d’intervention.

Pendant cette intervention, les employés ne peuvent que se préparer à devoir rattraper le temps perdu…car pendant la phase de réinstallation, on va parler de “chômage technique” qui a un coût certain pour l’employeur.

 

Ce dernier doit en effet payer ses employés pendant qu’ils ne peuvent pas travailler, mais doit également prévoir un surcoût pour rattraper les jours perdus. Soit par la forme d’heures supplémentaires, soit par l’appel à des travailleurs intérimaires.

Un autre coût caché qui est apparu est celui des pénalités de retard. On se trouvait en effet en fin de mois, et il fallait absolument clôturer les éléments comptables relatifs aux impôts et taxes.

 

Quel est l’intérêt d’une cyber-assurance dans ce cas ?

Une cyber-assurance va permettre de couvrir les frais liés à la survenance d’un sinistre.

Depuis ces deux dernières années, le marché des cyber-assurances s’est enrichi d’acteurs et de nouvelles alliances entre monde de l’informatique et monde de l’assurance.

Cependant, il y a trois problématiques majeures auxquelles on ne retrouve pas la réflexion faite par Cyberprotect voilà maintenant bientôt 10 ans : comment évaluer le risque de l’entreprise, comment réduire ce risque et comment faire l’apport de preuve en cas de sinistres ?

 

Comment évaluer sérieusement le niveau de sécurité d’une entreprise ?

On constate que dans les offres de cyber-assurances on utilise souvent des questionnaires pour évaluer le niveau de sécurité.

Or ici, dans le cas d’un questionnaire, à la question “Avez-vous un pare-feu”, le client aurait répondu “oui” et l’étude ne serait pas allée bien plus loin.

Mais cela nécessite une vision plus large: comment évaluer un niveau de sécurité sur la base d’un questionnaire.

Sans mettre en cause la bonne foi du client, il n’est pas forcément capable de s’auto-évaluer. Un courtier en assurances ne peut pas non plus beaucoup aider à affiner cette évaluation.

L’exemple sur lequel on peut facilement s’appuyer est la configuration du pare-feu. Avec les ajouts, suppressions, modifications de règles, on arrive très vite à une configuration complexe alors qu’elle n’aurait pas lieu d’être. En y regardant de plus près, on trouvera systématiquement des choses inadéquates.

Aussi, une question ou un audit est un état des lieux à un instant “t” , qu’en est-il dans la durée ?

Nous constatons régulièrement des changements (volontaires ou non) de configuration du pare-feu dans les entreprises, exposant ainsi une ou plusieurs machines à des attaques depuis l’extérieur du réseau. Sans une surveillance en continue des flux, il devient difficile de détecter un changement de comportement…

Sur une offre en cyber-assurance on retrouve parfois un ajustement de la prime, du montant de garantie et des franchises en fonction du niveau de sécurité mais encore faut-il évaluer de niveau de la manière la plus juste.

 

Cyberprotect : une gestion complète du risque

 

La prévention une arme efficace

C’est très bien d’avoir une solution organisationnelle ou financière lorsqu’un sinistre ce produit, mais c’est encore mieux lorsqu’on peut éviter ce sinistre.

La plupart des brèches de sécurité peuvent être évitées si l’on applique un contrôle sur ce qu’il se passe dans un Système d’Information.

Bien que le sinistre soit couvert par une garantie financière, n’est-il pas plus judicieux de réduire le risque afin de minimiser les probabilités et les impacts d’un sinistre ?

Ce qui a été fatale ici, est le serveur de production ouvert sur l’extérieur. En mettant en place un service de prévention, il aurait été simple de détecter une mauvaise configuration ou absence du pare-feu et d’émettre une recommandation afin de fermer cette brèche de sécurité.

De plus, un autre aspect aurait pu être intéressant dans cette affaire. Si le serveur avait été supervisé par le SOC Cyberprotect (Centre Opérationnel de Sécurité), on aurait pu (dans certains cas) conserver les traces de l’attaque et voir la clé de chiffrement utilisée par le rançongiciel.

Dans le cas, où la prévention n’aurait pas permis de révéler une vulnérabilité exploitable, l’entreprise aurait été indemnisée pour les coûts directs et indirects liés à l’attaque : perte d’exploitation, remise en état du serveur, communication auprès des partenaires, paiement pour le travail supplémentaire, remise en état du serveur, pénalités de retard…

 

L’apport de preuve permettant l’indemnisation

Effectivement, il y a une réflexion qui doit-être menée dans les cyber-assurances : l’apport de la preuve.

Dans notre cas, comment faire pour apporter la preuve, en sachant que les logs du serveur ont été chiffrés ? De plus comme on l’a vu, on ne peut pas se fier aux logs du pare-feu qui, pour rappel, n’était pas branché.

Il est donc nécessaire d’avoir un équipement neutre qui va jouer ce rôle de traçabilité et qui pourra être exploité pour l’apport de preuve. A l’instar d’une boite noire, Cyberprotect trace et conserve toutes les flux d’activités du réseau de l’entreprise.

Ce service de traçabilité est reconnu contractuellement par l’assurance. En effet, les services délivrés par Cyberprotect ont été optimisés conjointement avec les compagnies d’assurance, pour leur permettre de bénéficier d’un ensemble de services performants et intègres, tant pour la prévention que pour la gestion des incidents.

 


On s’est appuyé ici sur le manquement de certaines offres en cyber-assurance mais on aurait très bien pu développer les réflexions du point vu des acteurs de la cyber-sécurité car en cas de défaillance il n’y a qu’une garantie de moyen et face à un sinistre, l’entreprise devra supporter toute seule les charges financières qui en découlent. Aucune garantie financière n’est assurée.

 

Daniel DIAZ – Ingénieur en Sécurité des Systèmes d’Information – Cyberprotect