Articles

Le contrôle en continu : élément clé d’une cybersécurité assurée

La cybersécurité est devenue un élément incontournable et essentielle à prendre en compte dans la vie d’une entreprise. Aujourd’hui, il existe de nombreuses solutions de sécurité afin de protéger les infrastructures d’éventuelles attaques. Cependant, ces solutions n’empêcheront jamais qu’un incident, mineur ou majeur, intervienne au sein des sociétés. Actuellement, une intrusion par un virus, un malware, … est détectée environ deux à trois mois après sa première intrusion. Pendant ce laps de temps, un certain nombre de données peuvent être récupérées ou compromises (mot de passe, données confidentielles, etc), ce qui est nuisible au bon fonctionnement et à la réputation des entreprises. Afin de répondre à ce problème, il est devenu nécessaire de pouvoir contrôler en continu l’ensemble des flux réalisés au sein des systèmes d’informations.

Un rôle réactif mais également préventif

Prenons l’exemple de l’hameçonnage (ou phishing). Lorsqu’une personne renseigne ses coordonnées bancaires sur un site non légitime ayant pris l’apparence d’un site officiel, le temps de détection de la fraude est bien trop long pour empêcher toutes actions du pirate informatique. De manière générale, et malgré l’augmentation des sensibilisations, il est devenu compliqué de corriger techniquement la faille humaine sans impacter le travail du personnel. Avec le contrôle des flux en continu, le temps de détection est considérablement réduit et les actions permettant de contrer les menaces peuvent rapidement être effectuées. De plus, le contrôle en continu peut également avoir un rôle préventif. Dans ce cas, il permet de détecter les failles présentes sur le réseau et de remonter l’ensemble des informations pour effectuer les corrections nécessaires avant qu’une attaque soit réalisée.

Retour d’expérience du CERT Cyberprotect

Pour continuer dans l’exemple précédent, le CERT Cyberprotect est intervenu sur une tentative d’hameçonnage ayant abouti chez un de ses clients. Le 12 juillet 2016 à 11h58, une personne, qui pensait visiter le site de sa banque, a saisie l’ensemble de ses informations de connexion (identifiant + mot de passe) et l’ensemble de ses informations bancaires (numéro de carte bancaire, cryptogramme visuel, numéro de compte, …). L’alerte est rapidement remontée par l’équipement présent chez le client, puis analysée par le CERT Cyberprotect. L’information de l’hameçonnage réussi est alors transmise au client à 12h27 pour que ce dernier puisse prendre les dispositions nécessaires auprès de son établissement bancaire. Dans ce cas de figure, le faux site internet avait repris, à l’identique, les mêmes pages internet que le site web d’origine. Seul l’url aurait pu permettre à la personne concernée de suspecter une tentative d’hameçonnage bien que l’url contenait le nom de la banque. Le contrôle en continu a permis une détection et une intervention rapide pour bloquer les prélèvements sur le compte bancaire concerné. De plus, le faux site bancaire a été signalé à « Phishing initiative » par le CERT Cyberprotect pour éviter que d’autres personnes ne renseignent leurs données sur ce site.

Schéma Cyberprotect

Le contrôle en continu par Cyberprotect

La gestion du risque par Cyberprotect

Pour répondre à ce besoin de contrôle, Cyberprotect a mis en place un service de gestion du risque pour les entreprises, à travers la surveillance et l’optimisation en continue de leur cybersécurité. A la différence des SIEM (voir l’article https://www.cyberprotect.fr/siem-vs-cyberprotect/),  Cyberprotect contrôle en continu, et de manière indépendante, la cybersécurité de ses clients afin de  détecter si le système d’information est victime d’une cyberattaque. En cas de connexion suspecte, les équipes du CERT Cyberprotect procèdent alors à une levée de doute, et en cas de forte suspicion ou d’infection, fournissent les mesures nécessaires à l’éradication de la menace. A travers des solutions telles que Cyberprotect, qui utilise et exploite le contrôle des flux en continu, les entreprises bénéficient d’un niveau de service leur permettant d’assurer leur cybersécurité, et par conséquent, le bon fonctionnement de leur entreprise.

Yoann JOUVENT – Coordinateur au CERT Cyberprotect

 

Administrations publiques : les oubliées de la cybersécurité mais pas des pirates informatiques !

Cyber-risques, cyber-attaques, les menaces informatiques sont aujourd’hui bien présentes dans l’esprit des entrepreneurs français. D’autres victimes telles que les particuliers sont également de plus en plus concernées. Il y a toutefois d’autres cibles rarement évoquées et qui pourtant jouent un rôle primordial dans la vie des citoyens et dans leur sécurité, notamment informatique. Ce sont les administrations publiques.

Parmi leurs fonctions, la gestion directe des services publics tel que l’aide sociale, l’éducation nationale, ou encore la gestion du service de l’eau par exemple. Ces administrations connaissent, elles aussi, la numérisation de leur fonctionnement : les documents, les déclarations et autres démarches administratives sont désormais enregistrées informatiquement et stockées sur le réseau de l’administration. De plus en plus de services sont également accessibles en ligne pour récupérer des données, des informations ou des documents.

Si actuellement les entreprises se posent cette question majeure et essentielle de savoir qui gère la sécurité informatique en leur sein, qu’en est-il des administrations publiques ?

Qui gère la sécurité informatique et qui est responsable de la cybersécurité de l’organisme ?

S’il y a un responsable, il n’est malheureusement souvent pas connu. D’après le rapport Primofrance paru en Septembre 2015, 85% des collectivités ne savent pas si un agent est affecté à la problématique de la sécurité informatique et moins de 15% des collectivités ont pris connaissance du Référentiel Général de Sécurité édité par l’ANSSI (RGS).

Quel est le risque, l’impact si une administration publique est touchée par une cyber-attaque ?

Plusieurs conséquences :
– paralysie d’un ou plusieurs services pouvant empêcher le bon fonctionnement de l’éclairage public par exemple ou du service des eaux
– paralysie de la communication sur le territoire puisqu’en effet les administrations publiques ont un devoir d’information notamment en cas de risques (naturels, technologiques…).
– atteinte aux données sensibles : vol des données personnelles (identités, informations relatives aux impôts ou encore au domaine de la santé comme l’assurance maladie par exemple), divulgation ou revente des données, perte pure…

L’impact est donc fort car la population est également victime en cas de malveillances dirigées contre une administration publique.

Le retard dans cette prise de conscience et dans les actions mises en œuvre est malheureusement dû à un manque d’information et de formation (10% des sondés organisent des formations de sensibilisation) mais également dû à un budget qui n’est pas, ou trop peu, attribué à la sécurité informatique.

Quelle solution pour ces collectivités ?

Au-delà de la mise en pratique immédiate des bonnes pratiques, de la sensibilisation active des agents concernant la sécurité informatique, des services tels que Cyberprotect proposent des solutions packagées pour assurer la cybersécurité de l’organisme.

 

Retrouvez tous nos articles et bulletins d’alerte sur https://www.cyberprotect.fr/labo/

Qu’avez-vous pensé de cet article ? Venez échanger avec nous sur Twitter, LinkedIn, Facebook

Cécile FIORE – CM & Marketing – Cyberprotect

[Bulletin d’Alerte Cyberprotect] Vulnérabilité critique sur OpenSSL

De nouvelles vulnérabilités concernant OpenSSL ont été rendues publiques (CVE-2016-0701 et CVE-2015-3197).

La première vulnérabilité (CVE-2016-0701) permet à un attaquant de pouvoir récupérer des informations essentielles au décryptage de la clé de chiffrement en utilisant des nombres premiers dit « non sûr » dans l’algorithme de Deffie-Hellman.

Les versions affectées par cette vulnérabilité sont toutes les versions 1.0.2. Les versions en 1.0.1 ne sont pas affectées par cette vulnérabilité.

Un correctif a été apporté dans la version 1.0.2f.

La deuxième vulnérabilité (CVE-2015-3197) permet à une personne malveillante de négocier avec le chiffrement SSLv2 et de compléter la jonction SSLv2 même si la méthode de chiffrement SSLv2 a été désactivée sur le serveur.
Le protocole SSLv2 ne doit pas être désactivé via le paramètre SSL_OP_NO_SSLv2 pour que la vulnérabilité soit exploitée.
L’attaquant peut alors intercepter les communications.

Les versions affectées par cette vulnérabilité sont toutes les versions 1.0.1 et 1.0.2.
Solution :
•    mettre à jour vers 1.0.1r pour les utilisateurs de la version 1.0.1
•    mettre à jour vers 1.0.2f pour les utilisateurs de la version 1.0.2

Le CERT Cyberprotect recommande à tous les utilisateurs de OpenSSL de mettre à jour leur version de OpenSSL en version 1.0.1r ou 1.0.2f.

Références :
https://www.openssl.org/news/secadv/20160128.txt
https://www.kb.cert.org/vuls/id/257823

Répertoire de téléchargement des dernières versions de OpenSSL :
https://www.openssl.org/source/

Vulnérabilité « Poodle » sur protocole SSLv3, attention à vos connexions HTTPS !

Google a annoncé avoir découvert une vulnérabilité (CVE 2014-3566) dans le protocole SSLv3. Cette vulnérabilité peut permettre à un attaquant de décrypter les données contenues dans une connexion chiffrée.

SSL (Secure Sockets Layers) est un protocole de sécurisation utilisé dans les échanges sur Internet.

Par exemple, lorsqu’on se connecte à un service bancaire en ligne (https://mabanque.fr) et que l’on saisit son couple identifiant /mot de passe, ce dernier est chiffré et transmis au site Internet de la banque. En cas d’interception, votre couple identifiant / mot de passe n’apparaitra pas en clair mais dans le cas de cette vulnérabilité, on pourra récupérer ces informations.

La version SSLv3, aujourd’hui en cause, est obsolète mais encore utilisée par de nombreux services Internet. Il est toutefois maintenu en production afin d’assurer une certaine compatibilité avec les anciens navigateurs qui ne prennent pas en charge les protocoles actuelles (TLSv1.1 et TLSv1.2).

L’exploitation de la vulnérabilité est difficile à mettre en place mais reste néanmoins possible.

Il faut réunir trois éléments pour exploiter la vulnérabilité :

1) Le serveur contacté doit supporter le protocole SSLv3
2) Le client (navigateur de l’utilisateur) doit supporter le protocole SSLv3
3) L’attaquant doit pouvoir intercepter le trafic entre l’utilisateur et le serveur

Par défaut, le navigateur utilisera la version du protocole la plus récente, mais s’il n’est pas à jour, il peut utiliser le protocole SSLv3 si le serveur qu’il contacte l’utilise.

Que dois-je faire ?

Coté administrateur : Désactiver l’utilisation du protocole SSLv3 sur vos serveurs (cela peut avoir un impact si des utilisateurs utilisent un navigateur obsolète ou des versions anciennes de Java)

Coté utilisateur : S’assurer d’utiliser un navigateur à jour et désactiver l’utilisation du protocole SSLv3 si cela est possible. Vous pouvez vérifier la vulnérabilité de votre navigateur en faisant un test sur ce site https://www.poodletest.com/

 

Source [ici]

[Bulletin d’alerte Cyberprotect] Faille critique Bash sur systèmes Unix/Linux

Une faille critique touchant un grand nombre de systèmes Linux et Mac OS X vient d’être rendue publique. Elle concerne l’exploitation d’une vulnérabilité dans Bash.

Bash est un environnement console disponible sur les systèmes afin d’exécuter des commandes.

Le fait que la majorité des systèmes utilise Bash rend cette vulnérabilité particulièrement critique, notamment les serveurs Web qui, eux, sont exposés à l’Internet.

Cette faille de Bash permet d’exécuter n’importe quelle commande sur les machines vulnérables avec pour conséquences la prise de contrôle de la machine. Cette faille est exploitable à distance.

Nous constatons déjà des scans de vulnérabilités sur Internet visant à découvrir les machines vulnérables, l’exploitation de cette vulnérabilité est donc déjà en cours.

Il est facile de vérifier si votre machine est vulnérable, il suffit d’exécuter la commande suivante :

 

 

si la commande retourne

vous etes vulnerable
ceci est un test

Et bien c’est que votre système est vulnérable !

Un premier correctif de sécurité a été publié mais une variante de la vulnérabilité a été découverte.

Vous pouvez vérifiez si votre machine est vulnérable, en exécutant la commande suivante :


si la commande retourne quelque chose comme

bash: X: line 1: syntax error near unexpected token `=’
bash: X: line 1: `’
bash: error importing function definition for `X’
Thu Sep 24 22:19:25 CEST 2014

avec la date affichée à la fin, c’est que votre système est vulnérable !

Les deux vulnérabilités ont pour référence :

CVE-2014-6271 –> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271

et

CVE-2014-67169 –> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169

Des correctifs de sécurité commencent à être publiés par les éditeurs corrigeant les deux variantes de la vulnérabilité. Dans le cas où les tests se sont révélés positifs, merci de vérifier régulièrement, si des correctifs sont disponibles. Une fois les correctifs de sécurité appliqués sur vos systèmes, réessayez les deux commandes précédentes afin de vous assurer de l’efficacité des correctifs.

N’hésitez pas à diffuser ce message à vos contacts.

 

Informations complémentaires  sur le bulletin du CERT-FR –> http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/CERTFR-2014-ALE-006.html

Kaspersky Lab révèle l’opération « NetTraveler », une campagne internationale de cyberespionnage ciblant les administrations et les organismes de recherche

Un ensemble d’outils malveillants infecte 350 victimes pour leur dérober des données et les espionner

Rueil-Malmaison, le 4 juin 2013 – L’équipe d’experts de Kaspersky Lab publie aujourd’hui une nouvelle étude concernant NetTraveler, une famille de programmes malveillants utilisés par des auteurs d’attaques de type « APT », ou « Menace Persistente Avancée »,  pour toucher plus de 350 victimes dans 40 pays.

Le groupe NetTraveler a ainsi infecté de multiples établissements du secteur public comme privé : administrations, ambassades, compagnies pétrolières et gazières, centres de recherche, sous-traitants de la défense, organisations militantes…

Selon le rapport de Kaspersky Lab, cette menace est active depuis 2004, cependant le pic d’activité a été observé sur la période 2010-2013. Dernièrement, les principaux centres d’intérêt de NetTraveler en matière de cyberespionnage incluent plusieurs secteurs dont l’exploration spatiale, les nanotechnologies, la production d’énergie (notamment nucléaire), les lasers, la médecine et les télécommunications.

Méthodes d’infection

· Les victimes ont été touchées par la méthode du « spear-phishing », c’est-à-dire l’envoi d’e-mails ciblés accompagnés de pièces jointes Microsoft Office malveillantes exploitant deux vulnérabilités bien connues (CVE-2012-0158 et CVE-2010-3333). Bien que Microsoft ait déjà publié des correctifs pour ces failles, celles-ci sont encore utilisées dans des attaques ciblées…

· Les titres des pièces jointes malveillantes reflètent la personnalisation des attaques NetTraveler en fonction des cibles visées. Exemples :

o   Army Cyber Security Policy 2013.doc

o   Report – Asia Defense Spending Boom.doc

o   Activity Details.doc

o   His Holiness the Dalai Lama’s visit to Switzerland day 4

o   Freedom of Speech.doc

Vol et exfiltration de données

· Au cours de leur analyse, les experts de Kaspersky Lab ont pu obtenir les journaux d’infection de plusieurs des serveurs de commande et de contrôle (C&C) de NetTraveler. Ces serveurs sont employés pour introduire des malwares supplémentaires sur les machines infectées et exfiltrer les données volées. Les experts de Kaspersky Lab estiment à plus de 22 gigaoctets le volume de données volées stockées sur les serveurs C&C de NetTraveler.

· Les données exfiltrées depuis les machines infectées sont généralement des listes de fichiers, des enregistrements de frappes, ainsi que divers types de fichiers (PDF, feuilles Excel, documents Word…). En outre, le kit NetTraveler a pu installer un malware supplémentaire sous la forme d’une « backdoor », pouvant être personnalisée pour voler d’autres types d’informations sensibles, telles que les détails de configuration d’une application ou bien des fichiers de CAO.

Statistiques mondiales de l’infection

· D’après l’analyse par Kaspersky Lab des données C&C de NetTraveler, on dénombre au total 350 victimes dans une quarantaine de pays dont les Etats-Unis, Canada, Royaume-Uni, Russie, Chili, Maroc, Grèce, Belgique, Autriche, Ukraine, Lituanie, Bélarus, Australie, Hong Kong, Japon, Chine, Mongolie, Iran, Turquie, Inde, Pakistan, Corée du Sud, Thaïlande, Qatar, Kazakhstan, Jordanie, etc.

· En conjonction avec l’analyse des données C&C, les experts de Kaspersky Lab se sont appuyés sur le réseau KSN (Kaspersky Security Network) afin de rassembler des statistiques supplémentaires sur l’infection. Les dix principaux pays où des victimes ont été recensées par KSN sont, par ordre décroissant, la Mongolie, la Russie, l’Inde, le Kazakhstan, le Kirghizistan, la Chine, le Tadjikistan, la Corée du Sud, l’Espagne et l’Allemagne.

Autres observations

· Au cours de leur analyse de NetTraveler, les experts de Kaspersky Lab ont identifié six victimes infectées à la fois par NetTraveler et Red October, une autre opération de cyberespionnage étudiée en janvier 2013. Bien qu’aucun lien direct n’ait été observé entre ces deux menaces, le fait que certaines victimes soient atteintes par les deux campagnes indique que ces cibles de haut niveau sont l’objet de menaces multiples car la valeur des informations qu’elles détiennent est importante pour les auteurs des attaques.

 

Pour lire l’analyse complète de Kaspersky Lab, répertoriant notamment les indicateurs d’infection, les techniques de neutralisation ainsi que les caractéristiques détaillées de NetTraveler et de ses composants malveillants, consultez le site Securelist.

 

Retrouvez ce communiqué de presse sur le site de Kaspersky [ici]

Drupal attaqué, les utilisateurs priés de changer leur mot de passe

Dans un billet du blog de Drupal, son directeur exécutif Holly Ross, a annoncé que les sites Drupal.org et groups.drupal.org ont été compromis et que les données des utilisateurs ont été consultées par les attaquants.

Cette compromission a été possible par l’exploitation d’une vulnérabilité présente sur un logiciel tiers utilisé dans leur infrastructure. La vulnérabilité n’a aucun rapport avec le CMS Drupal.

Les sites fonctionnant sous Drupal ne sont pas concernés par une quelconque vulnérabilité.

Les données compromises comprennent identifiants, adresses email, mots de passe hashés, et pays. Seules les personnes ayant un compte sur drupal.org et groups.drupal.org seront obligées de changer de mot de passe.

A priori aucune autre donnée n’a été dérobée, cependant, les investigations des équipes de sécurité continuent afin de délimiter l’étendu des dégâts. Drupal souligne qu’ils ne stockent pas les informations de carte de crédit, de sorte qu’elles ne peuvent  pas avoir été volée de cette manière. Néanmoins, ils conseillent aux utilisateurs de surveiller leurs comptes financiers pour voir si une transaction de la part de l’association drupal.org  n’a pas été opérée ou dans le cas où ils utiliseraient un mot de passe le même sur le site de leur banque.

[Source]

Dorkbot prolifère sur Facebook

Une nouvelle variante du malware Dorkbot infecte les utilisateurs de Facebook à travers le monde via la messagerie instantanée. Il circule principalement aux États-Unis, en Inde, au Portugal, au Royaume-Uni, en Allemagne, en Turquie et en Roumanie.

Ce malware espionne la navigation Web et récupère des données de l’internaute. Il se présente comme un fichier image (.jpg) sur la fenêtre de chat de Facebook et se propage entre les différents contacts. Dorkbot n’est pas propre à Facebook, il se diffuse sur le même principe à travers d’autres services de messagerie instantanée  mais également via les périphériques USB.

En plus du vol des identifiants et mots de passe, BitDefender annonce qu’il peut aussi opérer au téléchargement d’autres logiciels malveillants et se mettre lui-même à jour.

La prolifération de se mode de propagation s’appuie sur l’appât provenant d’un message aguichant de la part d’un « ami » présent dans sa liste de contact. Cependant, les nombreuses campagnes de sensibilisation aux méthodes d’ingénierie sociale sur les réseaux sociaux tendent à ralentir le taux de réussite.

[Source]

[Analyse de Dorkbot par BitDefender]

Cybersécurité : trop d’entreprises sont encore convaincues qu’elles sont à l’abri

Des recherches récentes du cabinet Deloitte ont mis en évidence que les entreprises du secteur des technologies, des médias et de la télécommunication sont convaincues qu’elles sont à l’abri des cyber-attaques et des violations de données.

L’étude révèle que 88% des entreprises interrogées ont indiqué qu’elles ne pensaient pas être vulnérables aux cyber-menaces externes. Malgré cette confiance, 74% ont exprimé une crainte vis-à-vis d’un manquement de sécurité d’un tiers, 70% estiment que les erreurs des employés sont une menace majeure car il y a un manque de sensibilisation à la sécurité.

Encore une fois, on met en évidence le fait que les principaux intéressés sont conscients des risques en matière de cybersécurité mais que cela n’arrive qu’aux autres. Les cyber-attaques ont des conséquences de plus en plus importantes, notamment lorsque les informations relatives à des données commerciales sont dérobées.

Les entreprises ont besoin d’être plus avant-gardiste, en prenant des mesures dès le départ qui permettront  non seulement d’assurer le respect des règles de conformité, mais aussi de garantir que les informations critiques de l’entreprise seront à l’abri des menaces internes et externes.

Il est temps pour le département informatique de s’éloigner de la routine quotidienne de lutte contre l’incendie, et de se concentrer au mieux pour protéger l’entreprise contre les menaces de demain.

[Source]

88% des entreprises ont des bases de données vulnérables à des attaques

GreenSQL a révélé que 88% des entreprises participants à son enquête de Décembre 2012 ne protègent pas leurs bases de données des menaces internes et externes, et près d’une sur cinq ne mettent aucun mécanisme de protection.

Sur 350 professionnels de l’informatique, la moitié  assure la sécurité des bases en améliorant la qualité du code. Selon Amir Sadeh, CEO de Green SQL «l’enquête révèle que presque toutes les entreprises sont toujours vulnérables aux menaces liées aux bases de données […] La grande majorité risque des dommages liées la réputation de l’entreprise, des amendes, des poursuites, et la perte de confiance des partenaires ».

Suite à d’éventuelles fuites de données, les pertes financières directes et indirectes peuvent être fatales pour l’entreprise. Selon les chiffres, les attaques SQL peuvent se produire plus de 70 fois par heure. Les cybercriminels tentent d’injecter du code malveillant dans les bases de données en utilisant les formulaires en ligne pour lire, modifier ou écrire des informations dans les bases de données.

GreenSQL recommandent de se concentrer sur 4 points : l’amélioration de l’écriture du code, la protection des bases contre les attaques par injection SQL, l’utilisation d’un pare-feu applicatif et l’utilisation d’un pare-feu de base de données.

[Source]