Les Français face à la cybercriminalité: une fraude de 6 milliards d’euros en 2017

Selon Norton by Symantec, le coût de la cybercriminalité visant le grand public a plus que triplé en France. La fraude par carte bancaire arrive en tête des préjudices subis.

La note est salée pour la France : en 2017, plus de 19 millions de personnes ont été victimes d’actes de piratage, soit 42 % de la population d’internautes adultes.

Les pertes financières cumulées atteignent 6,1 milliards d’euros et elles ont passé l’équivalent de deux jours pour réparer les dommages causés.

Ces chiffres issus du dernier rapport Norton by Symantec sur les cyber-risques (*) montrent une très forte progression de la cybercriminalité. Lors de la précédente édition,  la facture s’élevait à « seulement » 1,783 milliard d’euros.

Quand on regarde plus en détail la nature des préjudices, on trouve la fraude par carte bancaire (1212 euros en moyenne), devant le détournement du réseau Wi-Fi domestique (496 euros) et les vols de données associés au paiement sur smartphone (463 euros).

Les cyber-victimes semblent présenter un profil similaire, sous le prisme de Norton. Ultra-connectées, elles possèdent de multiples appareils qu’elles utilisent à domicile ou en déplacement. Elles font aussi des achats sur mobile hors domiciles.

Paradoxalement, cette appétence pour les nouvelles technologies ne les rend pas plus matures en matière de cybersécurité.

De fait, les victimes françaises de la cybercriminalité ont plus tendance à utiliser le même mot de passe en ligne sur tous leurs comptes (23 % des victimes contre 12 % chez les non-victimes) ou à communiquer le mot de passe d’au moins un compte à des tiers (41 % contre 21 %). Et si elles utilisent des mots de passe différents, elles sont presque deux fois plus susceptibles de les enregistrer dans un fichier !

Des comportements à risques qui rappellent ceux observés en entreprise selon une récente étude d’Ovum et LastPass.

Dans le même ordre d’esprit, la moitié des Français avouent ne jamais faire de sauvegarde et plus d’un sur vingt reconnaissent ne jamais appliquer les mises à jour logicielles.

Les cyber-victimes dans le déni

Le rapport Norton montre une forme de déni. En dépit de leur expérience malheureuse, 43 % des victimes ont confiance dans leur capacité à protéger elles-mêmes leurs données et informations personnelles contre de futures attaques et une sur quatre estiment que leur risque de subir des actes de cybercriminalité était faible.

Spécialiste en cybersécurité chez Norton by Symantec, Laurent Heslault évoque « une frappante déconnexion de la réalité ». Un comble pour des personnes hyperconnectées.

Parmi les principales typologies d’attaques, on trouve à égalité (45 %) le malware et le phishing, puis le piratage d’un compte d’e-mail ou de réseau social (34 %). Autre indication : 22 % des utilisateurs impactés par un ransomware ont payé la rançon sans rien obtenir en retour.

Enfin, le rapport montre qu’une part non négligeable des Français ont une définition élastique du respect de la vie privée. 21 % trouvent qu’il est toujours ou parfois acceptable d’installer un logiciel espion sur l’appareil d’une autre personne et 15 % de dérober les informations personnelles d’un tiers.

(*) Le Norton Cyber Security Insights Report est une enquête en ligne réalisée du 5 au 24 octobre 2017 par le cabinet d’études Reputation Leaders auprès de 21 549 individus majeurs dans 20 pays, pour le compte de Norton by Symantec. Les données concernant la France portent sur 1 059 adultes de plus de 18 ans.

Le RGPD arrive : les responsables de la sécurité IT sous pression

Etude CESIN: Les Responsables de la sécurité des systèmes d’information sont fébriles entre les assauts en nombre et la mise en conformité avec le RGPD.

Les cyberattaques se multiplient à l’approche de l’entrée en vigueur, le 25 mai prochain, du Règlement général sur la protection des données (RGPD) qui constituera en Europe le nouveau cadre de référence  de l’exploitation de la data à l’ère numérique.

L’activité des Responsables de la sécurité des systèmes d’information (RSSI) et les budgets des entreprises sont directement impactés.

C’est le principal enseignement de la 3e édition du baromètre de la cybersécurité des entreprises du CESIN.

L’enquête a été réalisée par OpinionWay auprès de 142 RSSI de grands groupes français membres du Club des experts de la sécurité de l’information et du numérique.

Selon les résultats de l’enquête, 79% des entreprises ont été touchées par des cyberattaques en 2017. Et leur nombre a augmenté pour près d’une entreprise sur deux.

Les organisations ont le plus souvent été victimes d’attaques de ransomware (73%).

La demande de rançon pour récupérer le contrôle du système compromis devançant largement l’attaque virale générale (38%).

La fraude externe (30%) et la fuite d’informations (30%) figurent également au Top 3 des attaques subies.

Cyberattaques multiples, budgets serrés

Dans un cas sur deux, ces attaques ont un impact concret sur l’activité des entreprises touchées, observe le CESIN.

L’activité des entreprises peut être en partie freinée par : une indisponibilité de leur site Internet (15%), l’arrêt de la production pendant une période significative (12%). Ou encore la perte de chiffre d’affaires (9%) et le retard de livraison auprès des clients (7%).

Pour faire face aux attaques, les entreprises déploient, en plus des antivirus et pare-feu, une dizaine de solutions en moyenne : dont les VPN (85%), le filtrage Web (78%) et l’antispam (75%).

D’autres solutions et techniques, dont le chiffrement et la double authentification, sont considérées comme efficaces. Pourtant, elles sont encore peu utilisées.

Par ailleurs, malgré la prégnance des cyberattaques, la sécurité représente moins de 5% du budget IT des deux tiers des entreprises.

C’est un sujet sensible, tout comme le Règlement général sur la protection des données (RGPD)

RSSI, un DPO en puissance ?

Se conformer au RGPD permettra un réel renforcement de la protection des données personnelles pour 8 répondants sur 10 à l’enquête CESIN.

Mais ils sont plus nombreux encore à redouter son impact sur les budgets des organisations et la charge de travail des RSSI.

Ainsi, 94% des professionnels interrogés pensent que la mise en conformité au RGPD représente un coût supplémentaire pour les entreprises.

Et 89% redoutent une charge de travail supplementaire pour les RSSI.

Le cumul des fonctions de RSSI et de délégué à la protection des données (DPO en anglais) étant considéré comme compatible par plus d’un tiers (39%) des répondants.

Shadow IT redouté

Par ailleurs, 94% estiment que la sécurisation des données hébergées dans le Cloud nécessite des outils spécifiques. Le Shadow IT (les applications et services informatiques qui échappent au contrôle du département informatique) est redouté.

73% des RSSI jugent que les salariés sont sensibilisés aux risques, mais qu’ils restent peu proactifs.

62% des organisations ont donc mis en place des procédures de vérification du respect des recommandations de sécurité par les collaborateurs.

La gestion du cyber-risque passe également par la souscription d’une cyberassurance pour 40% des grandes entreprises. 22% envisagent de le faire. Il reste du chemin à parcourir sur le volet de la couverture.

Par ailleurs, 71% des RSSI pensent que les enjeux de cybersécurité et gouvernance des données sont bien pris en compte par le COMEX.

Enfin, l’entité jugée la plus légitime pour informer les entreprises en matière de cyber-risques est l’ANSSI (Agence nationale de sécurité des systèmes d’information).

Ce qui s’explique par son engagement de longue date auprès d’acteurs des secteurs privé et public. Parallèlement à l’accompagnement des opérateurs d’importance vitale (OIV).

crédit photo © Olivier le Moal-Shutterstock

Meltdown et Spectre : qu’est-ce que c’est et pourquoi ces failles de sécurité sont graves ?

Meltdown et Spectre sont les noms donnés à deux failles de sécurité majeures annoncées début janvier 2018 par deux chercheurs du projet Google Zero. Ces failles ne sont pas de banales failles logicielles, mais des failles de sécurité directement liées…

Cet article Meltdown et Spectre : qu’est-ce que c’est et pourquoi ces failles de sécurité sont graves ? est apparu en premier sur PhonAndroid.

Meltdown et Spectre sont les noms donnés à deux failles de sécurité majeures annoncées début janvier 2018 par deux chercheurs du projet Google Zero. Ces failles ne sont pas de banales failles logicielles, mais des failles de sécurité directement liées à la manière dont certains processeurs sont conçus, en particulier les processeurs Intel, AMD et ARM. Elle donnent accès à la mémoire système, et de là à une infinité de manières de pirater un ordinateur, un smartphone voire une tablette. Des patchs de sécurité sont en cours de publication, mais ceux-ci pourraient lourdement impacter les performances de certaines machines.

Sommaire

  • Meltdown et Spectre : qu’est-ce que c’est ?
  • Est-ce dangereux ? Quels sont les risques ?
  • Quels sont les ordinateurs, smartphones et tablettes concernés par Spectre et Meltdown ?
  • Le patch contre Meltdown et Spectre affecte lourdement les performances : faut-il vraiment faire le correctif ?
  • Comment vraiment se débarrasser une bonne fois pour toutes de Meltdown et Spectre ?
  • Conclusion : il va falloir s’armer de patience

Mercredi 3 janvier 2018, dans la soirée, deux équipes de chercheurs emmenées par Jann Horn (Google Project Zero) ont révélé l’existence de deux failles de sécurité majeures affectant virtuellement tous les processeurs Intel fabriqués depuis 1995 à nos jours, ainsi que potentiellement des processeurs AMD et ARM. Il s’agit de failles un peu particulières puisque celles-ci sont liées à la manière dont les processeurs sont concrètement conçus. Des patchs commencent à être déployés mais ces derniers impactent parfois lourdement les performances des machines touchées. Les risques pour la sécurité sont pourtant tels qu’il est vivement conseillé d’appliquer dès que possible le correctif.

Meltdown et Spectre : qu’est-ce que c’est ?

Meltdown casse la barrière qui isole normalement les applications de l’utilisateur du système d’exploitation. Cette faille permet donc à un programme spécialement conçu d’accéder à la mémoire vive, et de là à quantité d’informations sensibles comme vos mots de passe, clés de chiffrement… En bref, grâce à Meltdown, ce sont des dispositifs de sécurité vraiment basiques qui s’effondrent : vous pouvez en théorie prendre le contrôle de n’importe quel système affecté par le problème et en découvrir tous les secrets simplement en utilisant l’exploit.

Spectre casse quant à lui la barrière entre les applications. On peut grâce à Spectre obtenir des informations sensibles sur des applications en cours d’exécution, même si celles-ci sont particulièrement bien cadenassées. Spectre est plus difficile à exploiter que Meltdown, mais est également plus difficile (voire impossible) à patcher. Faisant peser un risque sérieux et permanent sur la sécurité des données de vos applications.

Est-ce dangereux ? Quels sont les risques ?

Ces deux failles sont extrêmement dangereuses car, on vous le disait, elles concerne de nombreux ordinateurs (et autres smartphones et tablettes) vendus potentiellement depuis 1995. On ne peut pas vraiment détecter une intrusion via cette attaque : aucune trace n’est laissée dans aucun log système. Le payload contenant Meltdown et/ou Spectre, autrement dit la partie du code malicieuse dans une application leurre, est par ailleurs plus difficile à détecter pour les antivirus. Les chercheurs de Google expliquent néanmoins que les logiciels antivirus pourront détecter ultérieurement les deux failles dans certains cas par comparaison du code.

On le voit, Meltdown et Spectre permettent, via une attaque indétectable, de soutirer des informations potentiellement très sensibles de votre ordinateur. On ne sait pas pour l’instant si cette faille a déjà été exploitée par le passé, ou si des groupes de hackers et services de renseignements l’utilisent encore aujourd’hui. Le problème c’est que les failles matérielles de ce type ne sont pas si faciles à patcher – cela se fait au prix de compromis assez imparfaits, voire inacceptables pour certains utilisateurs. Voici à quoi ressemble l’extraction des données issues de votre RAM via l’exploit Meltdown – tout ce qui passe par le processeur est en clair !

Quels sont les ordinateurs, smartphones et tablettes concernés par Spectre et Meltdown ?

Les chercheurs ont principalement testé leurs exploits sur des processeurs Intel lancés jusqu’en 2011. Ils affirment que toutes les machines dotées d’un processeur Intel vendues depuis 1995 jusqu’à nos jours sont concernées. Cela représente donc déjà une majorité de PC, mais aussi les macs qui n’utilisent plus de processeurs PowerPC depuis 2006. Dans un premier temps, les chercheurs de Google Zero expliquaient qu’ils ne savaient pas si les processeurs AMD et ARM éteint également touchés. Or on apprend que les chercheurs ont également fini par faire fonctionner une variante de Meltdown sur un processeur AMD FX-8320, et un AMD Pro A8-9600 R7.

Tous les processeurs AMD n’ont pas encore été testés, on ne sait donc pas pour le moment l’étendue du problème dans le lineup de la firme. AMD explique dans un post que le problème peut être résolu via une mise à jour « avec un impact négligeable sur les performances« . Le fabricant de SoC et processeurs mobile ARM a également reconnu que certains de ses coeurs, les Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 et A75 peuvent être affectés par une variante ou une autre de ces exploits. Les Cortex sont souvent intégrés dans des SoC fabriqués par des concurrents, qui eux-même sont intégrés dans les smartphones et tablettes.

Par exemple le tout dernier Snapdragon 845 qui se retrouvera notamment dans le Galaxy S9 devrait comporter quatre coeurs Cortex A75 concernés par la faille et quatre coeurs Cortex A53 (non concernés officiellement). Les S9 et autres smartphones sous Exynos 9810 sont a priori épargnés par la faille. Tandis que ceux sous le nouveau Kirin 970 comme le Huawei Mate 10 contiennent des Cortex A73, et peuvent donc être en théorie touchés. On ne sait pas encore si les SoC Apple sont également affectés – ils embarquent normalement eux-aussi des coeurs ARM. Que les possesseurs d’iPhone voient à nouveau les performances de leur smartphone réduites après le scandale des batteries serait sans aucun doute plein d’ironie.

Le patch contre Meltdown et Spectre affecte lourdement les performances : faut-il vraiment faire le correctif ?

On vous le disait, patcher un problème de conception matérielle avec une solution logicielle n’est pas facile. C’est même pratiquement mission impossible. Néanmoins les ingénieurs de Google Zero ont prévenu les entreprises concernées depuis déjà plusieurs mois. Microsoft, Apple, Linux Foundation… tous ont annoncé ou ont déjà déployé des correctifs. Android ne sera pas de reste, avec une mise à jour de sécurité dès vendredi. Les navigateurs web Chrome et Firefox vont également publier un patch pour éviter tout risque d’attaque via le web. Or, ces correctifs ont tous le même prix : un impact plus ou moins important sur les performances.

Les premiers tests montrent d’ailleurs que cela risque de ne pas du tout faire les affaires de nombreux utilisateurs : les pertes sont dans une fourchette de 5% à 30%. Le problème serait particulièrement grave pour les datacenters : les pires baisses de performances touchent en effet surtout les serveurs. Les premiers tests semblent montrer que Or, le problème, c’est que pour l’instant il reste des zones d’ombres sur l’étendue du problème – certains processeurs AMD sont-ils par exemple réellement immunisés contre Meltdown ? D’autant que de nouveaux ordinateurs, smartphones et tablettes vont prochainement sortir avec des processeurs toujours concernés par la faille.

Pour réellement contourner le problème il faudra également concevoir de tous nouveaux processeurs, ce qui peut prendre du temps. En tout cas bien davantage que lorsqu’il s’agit simplement de modifier un bout de code. Bref, hélas, la question de savoir si l’on doit ou non appliquer le correctif ne se pose plus vraiment, maintenant que les failles sont divulguées. À moins que vous souhaitiez laisser n’importe qui pirater vos mots de passes et autres données sensibles à votre insu… Il ne vous reste plus qu’à croiser les doigts pour que dans votre cas, cela n’impacte pas trop les performances de votre ordinateur.

Comment vraiment se débarrasser une bonne fois pour toutes de Meltdown et Spectre ?

À terme pour réellement se débarrasser de ces failles de sécurité sans le moindre impact sur les performances, il faudra nécessairement changer de matériel. On ne peut pas changer le design d’un processeur ou SoC une fois qu’il a été forgé. Une option d’autant plus incontournable que s’il existe un correctif pour empêcher Meltdown, il n’en existe pas vraiment pour Spectre, l’exploit qui permet d’accéder aux données sensibles d’autres applications. Du coup si la sécurité est un incontournable pour vous, vous en êtes quitte pour mettre votre ordinateur à la poubelle. Mais il y a un autre problème : savoir par quoi le remplacer.

Car il faudra certainement du temps pour savoir si d’autres processeurs AMD, ou ARM ne sont pas également touchés. Il faudra aussi certainement du temps pour qu’une nouvelle architecture évitant par design ce type de faille ne soit conçue. La conception de nouveaux processeurs peut prendre un temps relativement long en fonction des cas de figure et de l’équipe qui s’y consacre – de 1 à 10 ans. Les failles découvertes par Google Project Zero risquent d’obliger les ingénieurs à revoir de fond en comble le fonctionnement du processeur ce qui peut prendre potentiellement encore plus de temps.

Conclusion : il va falloir s’armer de patience

Le caractère matériel de cette faille de sécurité est, on le voit, particulièrement handicapant. Les failles matérielles Meltdown et Spectre font en effet sauter un verrou fondamental de la sécurité des systèmes d’exploitation. Sans qu’il soit possible de totalement colmater la brèche. La faille touche la plupart des ordinateurs du marché, et virtuellement tous les OS. Mais aussi, potentiellement, de nombreux smartphones et tablettes sous ARM (et Android). Il ne semble pas qu’il y ait pour l’heure d’alternative raisonnable à appliquer le correctif en attendant de changer de machine lorsque celle-ci sera vraiment en fin de vie. Les alternatives qui vous garantissent à 100% de ne pas être touché par le problème n’étant pas encore sur le marché.

Cet article Meltdown et Spectre : qu’est-ce que c’est et pourquoi ces failles de sécurité sont graves ? est apparu en premier sur PhonAndroid.

Meltdown et Spectre : deux failles pour un désastre sans précédent

Les conséquences informatiques pourraient être accompagnées de retombées écologiques, liées au remplacement des puces et aux rustines appliquées.

Dévoilées quelques dizaines d’heures après le nouvel an, les failles Spectre et Meltdown ont ouvert la liste des catastrophes informatiques de 2018. Et elles sont d’une ampleur gigantesque, puisqu’elles touchent la quasi-totalité des appareils informatiques, de l’ordinateur à la TV connectée en passant par le smartphone ou la tablette. Elles peuvent permettre à des hackers chevronnés d’accéder à des données confidentielles (étatiques, bancaires ou personnelles par exemple) au moment où elles sont traitées par le processeur.

Spectre et Meltdown sont d’autant plus graves qu’elles ne sont pas liées à un logiciel, relativement facile à corriger, mais à l’architecture même des puces. « Il s’agit d’un problème dans la conception interne des processeurs, qui ne peut pas être mis à jour », nous explique Hervé Schauer, expert en sécurité informatique depuis plus de 30 ans.

Impossible de changer tous les processeurs

Concrètement, la faille vient d’une optimisation : pour maximiser les performances, les fabricants Intel, AMD et ARM autorisent des codes à s’exécuter de façon prédictive, quitte à aller piocher des données dans un code voisin censé être confidentiel. Seule rustine possible : brider les processeurs pour en désactiver certaines optimisations fautives. La perte de performance se situerait entre 5 et 20 %, voire 30 %, en fonction des processeurs et des logiciels exécutés.

Mais même avec de telles mesures, les experts affirment qu’il faudra changer de processeur (et donc, souvent, d’appareil) pour être totalement protégé. « Réparer ce problème va nécessiter de développer une génération de processeurs totalement nouvelle, ce qui est extrêmement coûteux », nous explique Nik Simpson, vice-président du cabinet d’analyse Gartner pour la zone Europe, qui « n’imagine pas une seule seconde que les entreprises vont renouveler tous leurs processeurs », en raison du coût prohibitif.

Les systèmes cruciaux dans la tourmente

Cependant, si les particuliers et la plupart des utilisateurs professionnels peuvent accepter un faible risque de piratage jusqu’à la fin de vie de leur matériel, le remplacement pourrait être incontournable pour certains systèmes cruciaux des États, des hôpitaux, des banques, des industries, des transports, etc. Lorsque de nouvelles puces dépourvues d’optimisations défaillantes seront en vente, au mieux dans quelques mois, les opérateurs de serveurs sensibles devront donc choisir s’ils remplacent leurs équipements ou s’ils vivent avec le risque.

Dans l’industrie du cloud en particulier, les conséquences d’un tel piratage pourraient être désastreuses, car les machines sont partagées entre des milliers d’utilisateurs différents. Les données volées dans un seul processeur peuvent donc concerner de nombreuses victimes. De quoi effrayer Google, Amazon, Microsoft ou encore Facebook, qui vont dans un premier temps devoir stopper leurs serveurs pour appliquer les correctifs en urgence.

L’impact écologique oublié

Autre conséquence peu évoquée jusqu’à présent : l’écologie. Outre les processeurs traitant les données les plus sensibles qui devront être remplacés avant leur fin de vie, il va falloir combler le manque de puissance lié au bridage des processeurs qui seront conservés. En effet, si les puces perdent 5 à 30 % de leur capacité de calcul, il faudra en acheter plus pour faire le même travail…

Or, un produit informatique nécessite deux fois plus d’énergie pour être fabriqué que pour fonctionner durant toute sa durée de vie, et les matériaux qui le composent sont de plus en plus rares et polluants à extraire comme à recycler.

Le PDG d’Intel profite du désastre

Les conséquences de Meltdown et de Spectre ne seront donc pas seulement informatiques, elles seront aussi économiques et surtout écologiques. Toutefois, « il faut relativiser cet impact environnemental face à l’absurdité écologique du bitcoin et des cryptomonnaies, qui sont immensément pires pour la planète », tonne Hervé Schauer. Les cryptomonnaies (dont le bitcoin) nécessitent en effet une puissance de calcul pharaonique au quotidien, ce qui consomme d’énormes quantités d’énergie le plus souvent produite avec des combustibles fossiles très polluants.

Pendant ce temps, le PDG d’Intel, Brian Krzanich a bien profité du désastre. Il a vendu pour 24 millions de dollars d’actions Intel, le maximum dont il pouvait se séparer sans perdre son poste, en novembre 2017, soit pile au moment où tous les géants développaient des correctifs. S’est-il délesté de ses actions en toute connaissance de cause, se rendant ainsi suspect d’un possible délit d’initiés ? On peut en douter. Cette vente est « sans rapport » avec les failles découvertes, a quant à lui répondu un porte-parole du groupe. Sans toutefois en dire davantage…

WannaCry : la Corée du Nord instigatrice du plus ravageur des rançongiciels ?

L’administration Trump accuse la Corée du Nord d’avoir commandité la propagation du rançongiciel WannaCry qui a marqué les esprits en 2017.

La Corée du Nord derrière WannaCry ? Les Etats-Unis accusent cet “Etat renégat” comme l’instigateur du plus ravageur des rançongiciels (“ransomware”) qui a provoqué des dégâts considérables dans le monde à partir du 12 mai 2017.

Ce n’est pas vraiment une révélation concernant la source commanditaire. Des experts en sécurité avaient déjà pointé du doigt la responsabilité présumée du régime de Pyong Yang dans la diffusion de ce malware qui avait affecté 300 000 ordinateurs dans 150 pays (dont la France avec des grandes entreprises touchées comme Renault ou Saint-Gobain) en 72 heures.

Le préjudice global s’élèverait à des milliards [de dollars]”, selon Tom Bossert, conseiller à la sécurité intérieure du président américain Donald Trump, cité dans le Wall Street Journal.

Il faut prendre du recul dans les accusations visant la Corée du Nord en raison des tensions géopolitiques vives avec les Etats-Unis. Néanmoins, le gouvernement britannique est arrivé à des conclusions similaires de son côté alors que le système de santé public NHS avait été infecté par WannaCry.

Difficile de remettre en cause l’ampleur des dégâts. Dans une contribution blog, l’éditeur de solutions de sécurité IT KnowBe4 (installé en Floride) évaluait à un milliard le préjudice de WannaCry sur les quatre premiers jours de propagation courant mai.

“WannaCry a été irresponsable”, tonne Tom Bossert contre la Corée du Nord qui “agit mal, de manière quasi incontrôlée”. Tout en poursuivant : “Nous continuerons à exercer un maximum de pression sur Pyongyang pour afin de limiter sa capacité à mener des attaques, informatiques ou autres.”

Dans un rapport publié dans la foulée de la propagation de WannaCry, l’éditeur américain de solutions antivirus Symantec mettait en cause le groupe de pirates Lazarus soupçonné d’entretenir des liens troubles avec la Corée du Nord et d’avoir mené des assauts marquant contre Sony Pictures ou la banque centrale du Bangladesh.

Vulnérabilité d’usurpation d’identité dans plusieurs clients de messagerie

Le 4 décembre 2017, le chercheur en sécurité Sabri Haddouche a rendu publique une vulnérabilité nommée mailsploit.

Cette vulnérabilité permet lors de l’envoi de courriel de falsifier le champ émetteur qui sera affiché au destinataire et ainsi d’usurper potentiellement une identité expéditeur.

En effet, il est possible de tirer parti de la représentation des caractères et de leur encodage dans le champs « From » de l’entête d’un courriel pour amener un client de messagerie à n’interpréter qu’une partie des informations fournies. La différence entre la valeur du champ « From » et ce qui est affiché peut alors permettre à un utilisateur malveillant de falsifier les informations sur l’émetteur qui seront présentées au destinataire.

D’autre part, la vulnérabilité mailsploit rend possible l’injection de code dans le champ « From » qui pourra dans certains cas être interprété par le client de messagerie.

Contournement provisoire

Le CERT-FR met en garde contre les risques de hameçonnages liés à l’utilisation de cette vulnérabilité. De manière générale, le CERT-FR recommande la plus grande précaution quant aux liens ou pièces jointes accompagnant un courriel non sollicité ou dont la provenance peut sembler suspicieuse. Dans le cas présent, il faut faire preuve d’une vigilance accrue même si l’émetteur annoncé du courriel est considéré digne de confiance.

Solution

Pour les systèmes pour lesquels un correctif est disponible, le CERT-FR recommande de s’assurer que la version utilisée profite bien des dernières mises à jour.

Comment endiguer le cauchemar du shadow IT

Les risques du shadow IT ont le potentiel de perturber le bon fonctionnement des activités d’une entreprise. Comment les neutraliser ?

Le shadow IT est un spectre qui hante les cauchemars de tous les administrateurs informatiques. Il peut être décrit comme un matériel ou un logiciel utilisé par une entreprise mais qui n’est pas approuvé officiellement par cette entreprise.

La négativité du terme est justifiée par le fait que les employés d’une certaine entreprise, utilisent, au sein de l’espace IT de cette même entreprise, une technologie dont le département IT n’a pas connaissance, et qu’il n’a donc pas autorisée – un scénario qui mène droit au désastre.

Les risques du shadow IT sont bien connus et ont le potentiel de perturber le bon fonctionnement des activités d’une entreprise. Et pourtant, les entreprises doivent continuellement attirer l’attention des employés sur les dangers inhérents à l’utilisation de logiciels non autorisés par la direction.

Ces dernières années, le shadow IT n’a fait que croître en raison d’employés contournant la règlementation interne de leur entreprise. Avec une utilisation toujours plus répandue d’applications Cloud telles que Slack et d’outils commerciaux en ligne comme Skype qui aident à travailler plus rapidement et plus efficacement, le risque d’utilisation du shadow IT par les employés ne fait qu’augmenter.

Les développements technologiques tels que BYOD (bring your own device), bien qu’offrant des avantages significatifs et répondant à un besoin d’entreprise spécifique, ont également favorisé l’augmentation de fournisseurs tiers sur le lieu de travail, sans l’aval du département IT.

Le risque le plus important posé par le shadow IT est bien sûr lié à la sécurité. Des applications non autorisées par le département IT peuvent très rapidement créer des brèches de sécurité.

Les logiciels doivent respecter le protocole établi par le département informatique de l’entreprise car, sans cette conformité et cette surveillance, les conséquences négatives ne tardent pas à apparaitre.

Par exemple, partager ou transmettre des données à des utilisateurs ou des collaborateurs externes en-dehors du pare-feu de l’entreprise, là où la gouvernance et la conformité des données ne sont plus garanties, pose un réel danger.

De plus, la bande passante d’une entreprise peut être diminuée par les données transitant sur le réseau, créant une situation dont les administrateurs IT n’ont pas connaissance.

Une grande partie de l’attrait qu’ont les employés pour les logiciels non pris en charge réside dans la simplicité d’utilisation et la productivité offertes par ces outils.

Leur intention n’est donc pas malveillante car c’est souvent un désir d’être plus productif qui est à l’origine de l’utilisation de ces logiciels non compatibles avec la politique informatique de l’entreprise.

Malheureusement, le résultat final est tout autre, et finit même par diminuer l’efficacité de l’employé sur le long terme car il met en péril la sécurité et la conformité de l’entreprise, tout en créant une fragmentation des types de logiciels utilisés par différentes personnes au sein de l’organisation.

Neutraliser ces risques et éliminer le shadow IT requièrent donc une parfaite compréhension des défis auxquels doit faire face l’entreprise et des besoins de ses employés.

Les deux aspects doivent aller de pair afin de supprimer les motivations initiales qui poussent des employés à trouver des logiciels non pris en charge en leur offrant d’emblée un accès à des outils autorisés, simples et attractifs à utiliser.

Il est judicieux par exemple, de proposer une plateforme qui associe sécurité de pointe, gouvernance et outils d’authentification afin de veiller à ce que la sécurité, la gouvernance et la conformité exigées par le département IT soient respectées, et ce, quel que soit le choix de l’utilisateur.

Cette plateforme serait comme un point de contrôle central qui servirait à diminuer, et puis éliminer, l’utilisation du shadow IT et ainsi accroître la conformité de l’organisation.

Et bien que les entreprises souhaitent mettre en place les modèles de sécurité les plus rigoureux, tant que les employés n’adopteront pas les technologies approuvées par le département IT, aucune sécurité, gouvernance ou conformité ne sera possible.

Les entreprises doivent savoir trouver le juste équilibre entre contrôle et ressources offertes aux employés, et elles cherchent des solutions leur permettent d’y parvenir.

Globalement, les entreprises doivent prendre conscience qu’il existe des alternatives aux OneDrive et Dropbox, des solutions capables de satisfaire les utilisateurs tout en relevant le défi de sécurité des données.

En termes de matériel et de logiciels sur le lieu de travail, il existe des rôles clairement définis aussi bien pour les départements IT que pour les utilisateurs individuels.

Les entreprises prospères de demain seront celles qui auront compris cette nouvelle réalité, et qui auront mis en œuvre des politiques IT adaptées aux besoins de l’organisation et permettant aux employés de s’épanouir et de travailler efficacement.

Pour y parvenir, elles devront proposer des outils de partage, de stockage et de protection appréciés par les employés et approuvés par les administrateurs IT.

RGPD : une “culture de conformité” s’impose dans les entreprises

Prime ou sanction ? Les entreprises veulent inciter les employés à adapter leur comportement aux exigences du Règlement général sur la protection des données (RGPD), selon une étude de Veritas.

L’entrée en vigueur, le 25 mai 2018, du Règlement général sur la protection des données (RGPD ou GDPR en anglais) pousse les entreprises à diffuser en interne une “culture de conformité” des données. C’est le principal enseignement d’une enquête internationale rendue publique par Veritas.

88% des dirigeants et managers interrogés veulent inciter les employés à adapter leur comportement pour se conformer au RGPD. Et ce par le biais de la formation, d’incitations financières, voire de sanctions.

L’enquête commandée par l’éditeur de solution de gestion de données a été réalisée par le cabinet Vanson Bourne. Au total, 900 décideurs d’entreprises d’au moins 1000 employés ont été interrogés entre février et mars 2017. Huit pays sont couverts : États-Unis, Royaume-Uni, France, Allemagne, Singapour, Corée, Japon et Australie.

Récompenser ou sanctionner

Intégrer le respect de la conformité au RGPD dans les contrats de travail est le levier le plus souvent cité (par 47% des répondants). La mise en place de procédures disciplinaires en cas de non respect des règles arrive ensuite (41%).

Cette option devance à la fois la formation aux bonnes pratiques en matière de conformité (37%) et le versement éventuel de primes (34%). Ces dernières viendraient “récompenser” des employés considérés comme vertueux dans ce domaine.

La mise en place de mesures strictes et la restriction d’accès aux donnnées arrivent ensuite (31%). Réduire les avantages accordés aux employés ne serait que le dernier recours (25%).

Former… la DSI d’abord !

Les données sont des ressources essentielles pour les entreprises. Toutefois, elles sont nombreuses « à lutter pour mettre en place les bonnes pratiques, et cela commence souvent par les salariés », déclare par voie de communiqué Daniel De Prezzo, responsable technologie pour l’Europe du Sud chez Veritas. Par ailleurs, « notre étude montre qu’elles prennent aussi des mesures concrètes pour conduire à un changement culturel en interne ».

Une faille WPA 2 rend les connexions WiFi vulnérables

Une sévère faille dans le protocole de sécurité WPA 2 rend le trafic réseau WiFi ouvert à des exploits allant du hijacking et aux attaques par injection de code malveillant.

 

Vent de panique sur la sécurité des connexions WiFi. Plusieurs chercheurs en sécurité ont lancé ce week-end une alerte sur la découverte de vulnérabilités liées au protocole WPA 2 permettant de protéger le trafic sans fil entre ordinateurs et points d’accès. L’exploit qui a été créé, et présenté à l’organisme US-Cert, a été baptisé Krack pour Key Reinstallation Attacks. « L’US-Cert a été averti de plusieurs vulnérabilités de gestion clé dans le protocole de sécurité WiFi Protected Access II », indique les chercheurs. « L’impact de l’exploit de ces vulnérabilités incluent le déchiffrement, le packet replay, le hijacking de connexion TCP, l’injection de contenu HTTP, entre autres. Notez que la plupart des implémentations correctement effectuées de ce standard sont affectés. Le Cert/CC et un chercheur de l’université de Ku Leuven vont publiquement révéler ces vulnérabilités le 16 octobre 2017. »

Des détails de ces failles seront présentés lors de l’ACM Conference on Computer and Communications Security qui va se tenir à Dallas le 1er novembre prochain. Les chercheurs qui participeront seront Mathy Vanhoef et Frank Piessens de l’université belge KU Leuven et d’imec-DistriNet, Maliheh Shirvanian et Nitesh Saxena de l’université d’Alabama de Birmingham, Yong Li de Huawei Technologies à Düsseldorf en Allemagne, et Sven Schäge de l’université de Ruhr Bochum en Allemagne. The researchers presented this related research in August at the Black Hat Security Conference in Las Vegas.

HTTPS, STARTTLS et Secure Shell comme alternatives

Les vulnérabilités découvertes sont référencées sous les index suivants : CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088. L’un des chercheurs ayant travaillé sur cette découverte a indiqué à notre confrère Ars Technica que les fournisseurs de points d’accès réseau Aruba et Ubiquiti ont déjà effectué des mises à jour pour pallier ces failles. Pour autant, un grand nombre de points d’accès tarderont à être mis à jour et présenteront de grands risques de sécurité. Si le WiFi reste la seule option de connexion possible, mieux vaut alors penser à se tourner vers des protocoles réputés fiables comme HTTPS, STARTTLS ou encore Secure Shell pour chiffrer le trafic web et email.

Virus Bad Rabbit

Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d’Europe de l’Est.

Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017.

Cependant, dans les cas constatés d’infection initiale, Bad Rabbit n’exploite aucune vulnérabilité pour s’installer. Des sites légitimes compromis ont servi un script javascript redirigeant les utilisateurs vers un serveur contrôlé par l’attaquant. De là, l’attaquant a incité les utilisateurs à installer le maliciel en se faisant passer pour une mise à jour Adobe Flash Player. Si l’utilisateur a explicitement accepté, le fichier install_flash_player.exe était téléchargé. Dans les cas observés, l’utilisateur devait alors manuellement lancer l’exécution de ce binaire. Ensuite, si l’utilisateur possédait les privilèges administrateurs, la machine était considérée infectée.

Install_flash_player.exe dépose sur le disque C:\Windows\infpub.dat et l’exécute par le biais de rundll32.exe avec les arguments #1 et 15. #1 est l’ordinale de la table d’export servant de point d’entrée et 15 le nombre de minutes avant de lancer la procédure de chiffrement du disque.  Infpub.dat crée deux tâches planifiées. La première est chargée de lancer discpci.exe, dont le rôle est de modifier le Master Boot Record (MBR), afin de pouvoir afficher la note de rançon au prochain démarrage. Discpci.exe communique aussi avec le pilote de DiskCryptor (ici cscc.dat), un logiciel de chiffrement disponible en source ouverte. La deuxième tâche planifiée sert à redémarrer le système et effacer certains événements des journaux. Après au plus dix-huit minutes (15 plus 3) , la procédure de chiffrement des fichiers avec des extensions choisies se lance. Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la clé AES récupérée. Bad Rabbit tente également de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz.

Pour se propager dans le réseau interne, Bad Rabbit envoie des requêtes ARP et se fie aux réponses afin de se construire une liste des hôtes présents. Pour chacune de ces adresses, des tentatives de connexion sont effectuées par le biais de requêtes SMB en testant une liste de noms d’utilisateurs/mots de passe couramment utilisés. Si ces tentatives échouent, Bad Rabbit cherche à exploiter la vulnérabilité EternalRomance, corrigée au mois de mars 2017 par Microsoft (cf. section Documentation).

Bad Rabbit et NotPetya possèdent des similitudes au niveau du code ainsi qu’au niveau de l’infrastructure de livraison. Toutefois, une différence fondamentale peut expliquer la différence d’impact. NotPetya était injecté dans le réseau interne par le biais d’une mise à jour d’un logiciel dit de confiance. A l’inverse, Bad Rabbit requiert une action utilisateur, sinon rien ne se passe. Au niveau de la latéralisation, Bad Rabbit est également moins virulent.

Le respect des bonnes pratiques, notamment le guide d’hygiène informatique de l’ANSSI (cf. section Documentation) permet de neutraliser ces vecteurs d’infection.

A ce jour, le CERT-FR n’a pas connaissance de victimes françaises.