Synthèse - ALSYSE NEWS

Aller au contenu

Menu principal :

Produits Kaspersky - Les restrictions vont crescendo

Depuis quelques années, les logiciels de l'éditeur Kaspersky, spécialisés dans la sécurité informatique, sont dans le viseur et soumis à des restrictions, voire même des interdictions de la part de pays occidentaux, notamment en Amérique du Nord et en Europe. En juin dernier, le gouvernement américain a annoncé l'interdiction des antivirus Kasperky ainsi que de leurs mises à jour, de la signature de nouveaux contrats et de toute collaboration avec la société et ses filiales à partir du 29 septembre 2024. Au fur et à mesure que le conflit entre l'Ukraine et la Russie s'intensifie, les restrictions, à l'égard de Kaspersky, vont crescendo.

Kaspersky est une société bien implantée dans le monde entier avec des bureaux dans 31 pays et 400 millions d'utilisateurs. D'origine russe et dans un contexte géopolitique très tendu, l'éditeur doit affronter les soupçons des occidentaux, malgré ses efforts pour prouver sa bonne foi, son indépendance en tant qu'entrepreneur et le respect de ses clients.

La méfiance des pays, comme les Etats-Unis, le Canada, l'Allemagne, la France,  l'Italie, repose sur une hypothèse, selon laquelle Kaspersky aiderait de gré ou de force la Russie à espionner les systèmes d'information et les données sensibles de pays occidentaux et notamment ceux des Etats-Unis. Les restrictions ont été annoncées et appliquées progressivement. Dès l'année 2017, l'utilisation de ces produits a été interdite dans les agences fédérales aux Etats-Unis.

En 2018, dans le cadre d'une coopération entre l'UE et l'Otan, le Parlement Européen a voté pour une exclusion des produits Kaspesky Lab jugés comme malveillants. La décision prise concernait uniquement le partenariat de la société visée avec les institutions d'Etat (sujet développé dans le livre "Cybermenaces, un état de siège"). Aujourd'hui en Europe, les mesures appliquées sont plutôt des restrictions ou bien des recommandations destinées à tous les utilisateurs, afin de les orienter vers des solutions alternatives et d'envisager d'autres options.

En France, il n'y a pas d'interdiction formelle des produits Kaspersky. Dans une publication du 2 mars 2022, intitulée "Tensions internationales-Menace cyber" et mise à jour le 16 mai de la même année, l'ANSSI (Agence Nationale de la Sécurité des Systèmes Informatiques)  recommande aux utilisateurs de prendre des précautions et de rechercher des solutions de substitution à moyen terme. En Allemagne, le BSI (Office fédéral de la sécurité des technologies de l’information - Bundesamt für Sicherheit in der Informationstechnik) avait émis un avertissement, une mise en garde contre l'antivirus Kaspersky, qui est toujours d'actualité. Toutefois, l'Office ne dispose pas de base juridique pour prononcer une interdiction.

L'exclusion récente de grande envergure des logiciels Kaspersky sur le territoire des Etats-Unis, appliquée aussi  à tous les américains vivant à l'étranger, a créé un climat d'inquiétude à travers le web, notamment en Europe. Plusieurs spécialistes s'empressent de proposer des solutions alternatives aux entreprises déjà équipées avec ces produits.

Nous constatons ainsi, que les bouleversements géopolitiques affectent fortement la vie des entreprises, notamment, si elles ont des activités internationales. Kaspersky n'est pas un cas isolé. Les zones commerciales subissent des changements rapides, souvent compliqués. On voit, en outre, que cybersécurité et cyberdéfense sont des notions, qui interfèrent, car l'internet n'a pas de frontières. Aujourd'hui, les professionnels doivent s'adapter à un contexte mondial, instable, où rien n'est figé.


Extorsion mails
 
A la mi-janvier 2007, aux Etats-Unis, un mode opératoire de cyberattaque, très particulier, a ciblé des internautes aux revenus confortables (dentistes, vendeurs de voitures et bien d'autres). Des courriels malveillants ont été envoyés par un pirate, se présentant comme un tueur à gages à ses victimes.
 
Il s'agissait de spam d'un contenu effrayant, parvenu dans les boîtes mail de certains destinataires dans le but de leur extorquer des fonds. La rançon demandée s'élevait à 80.000 dollars. Si chaque victime réglait ce montant, elle pourrait sauver sa vie et découvrir, en "bonus", l'identité du commanditaire. Le spammeur proposait un 1er paiement en acompte de 20.000 dollars.
 
Bien entendu, le centre IC3 (Internet Crime Complaint Center), une task force du FBI, a enregistré les plaintes des internautes, touchés par cette tentative d'arnaque et alerté les autorités.
 
Plusieurs années plus tard, en novembre 2018, une vague similaire de fausses menaces de mort est apparue par e-mails avec une demande de rançon plus modérée, soit de 4.000 dollars et avec un ultimatum de 38h. Le cybercriminel indiquait, qu'il offrait des services dans le Dark Web, où il opérait ses transactions. Dans ses messages frauduleux, il assurait d'avoir l'emprise sur les boîtes mail de ses victimes et connaître les moindres de leur mouvements.
 
Aujourd'hui, ce type de menace arrive en France. En effet, le 11 juillet 2023, le site Cybermalveillance.gouv.fr (dispositif national d'assistance aux victimes de cybermalveillance) a publié une information, relative à une campagne de messages d'arnaque au tueur à gages.
 
Un spammeur s'attribue le nom "Ange de la mort" (Death Angel) et se déclare prêt à tout pour exécuter sa commande. Il illustre son mail par un dessin de la Mort, portant des ailes, un habit long et sombre et tenant son outil de fauche ancestral. Il donne un ultimatum de 48h à ses destinataires pour obtenir une rançon, faute de quoi, il mettra en œuvre une série d'actes innommables, allant crescendo, destruction de biens, enlèvement, meurtre.
 
Vous avez bien compris, qu'il s'agit d'une tentative d'arnaque. Si vous recevez un mail similaire, il ne faut surtout pas payer de rançon mais plutôt porter plainte.
 
Dans le site cybermalveillance.gouv.fr, une panoplie de bons conseils est mise à votre disposition, pour vous permettre d'éviter de devenir victime de ce type d'acte malveillant.



 

Délai :  72 heures

Le 25 mai 2018, le RGPD (Règlement Général européen sur la Protection des Données) a imposé aux entreprises et organismes, de déclarer toute violation de données à caractère personnel de leurs clients ou usagers, dans un délai de 72 heures. Tout manquement expose les organisations à des sanctions, dont la graduation dépend du degré de non-respect de cette réglementation.

Aujourd’hui, un autre délai de 72 heures vient s’inscrire au tableau des obligations des professionnels. Une nouvelle mesure vise plutôt à assurer leur protection dans le cadre de leur activité, s’ils sont victimes d’actes de cyber malveillance.

En effet, depuis le 24 avril 2023, les entreprises et travailleurs ou entrepreneurs indépendants, doivent déposer une plainte dans un délai de 72 heures pour tout sinistre, pertes ou dommages subis, suite à une cyberattaque. Au-delà de ce délai, si la victime bénéficie d’une couverture d’assurance, elle ne pourra pas prétendre à des indemnisations.

Il s’agit de l’article 5 de la loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur (LOPMI).

Il convient de s’informer auprès de son assureur, afin de savoir si le contrat d’assurance prévoit les sinistres, consécutifs au piratage informatique.

Il est important de vérifier, s'il y a des clauses spécifiques dans les conventions, soumettant les indemnisations à des conditions préalables. Elles pourraient être relatives au type de matériel ou infrastructures utilisés par l’assuré, au niveau de sécurisation (pare-feu, anti-virus, appliances) ainsi qu'à l’application de bonnes pratiques de la sécurité informatique par les utilisateurs.
 


RSAConference, San Francisco, USA

Du 24 au 27 avril 2023, a eu lieu la RSAConference à San Francisco aux Etats-Unis. Un nombre important d’expositions, conférences, sessions, trainings et séminaires virtuels, se sont déroulés dans le prestigieux parc d’expositions Moscone.

La Conférence, sponsorisée par des sociétés leaders dans le domaine des technologies de l’Internet et de la cybersécurité, réunit des dizaines de milliers de visiteurs chaque année. Parmi les sponsors, on peut citer CISCO, VMWARE, FORTINET, IBM, PALO ALTO, BLACKBERRY, INTEL, F5, JUNIPER, VERIZON, THALES.

Au programme, figuraient des thèmes innovants, des formations pour des RSSI (Responsables de Systèmes de la Sécurité Informatique), un Forum de partage autour de la prévention de la cyber fraude (e-fraud), un Forum international sur la Cybersécurité. Des sessions d’information étaient destinées aux cadres de la sécurité informatique et de nombreuses autres manifestations ont été consacrées aux étudiants.

Au cours de l’évènement, des experts de renommée ont partagé leur expérience et échangé avec les professionnels de l’industrie, soucieux de connaître les dernières innovations en matière de cybersécurité et de voir des idées audacieuses prendre vie.

Plusieurs vidéos sont consultables sur le site de la Conférence.

Mots clés  :  2023 USA RSA Conference

Un phishing terrifiant

Depuis fin 2021, des mails de phishing, aux méthodes très malveillantes, visent les boîtes mail d’internautes en France.
En objet de ces messages, apparaissent les mots ci-après :
« Convocation »
« Faits retenus contre vous… »
 « Contrôle général… »
« Re : Appliquer un droit… »
Les titres de ces mails ont un caractère alarmant, ce qui incite les récepteurs, à les ouvrir immédiatement.

Et là, oh surprise, des convocations, portant des logos officiels de la police, de la gendarmerie et d’Europol, apparaissaient en pièces jointes. Les lecteurs de ce type de messages se retrouvent accusés d’actes de cyber pornographie et pédophilie et sont invités à donner des explications aux autorités.

Toutefois, les documents attachés aux mails reçus, malgré leur apparence véridique, sont faux. Les noms des fonctionnaires, à première vue, signataires des mails et documents, sont parfois fictifs ou bien réels mais usurpés par des hackers. Il s’agit donc d’attaques informatiques, perpétrées par des cyber escrocs, qui se font passer pour les autorités et visent des particuliers innocents.

Il a été constaté, qu’il ne s’agit pas de vraies convocations. En réalité, les internautes, ayant reçu ce type de mails, sont ciblés par des pirates. Ces derniers ont comme but de piéger leurs victimes et leur demander de payer un montant important, pour obtenir l’abandon des soi-disant charges et accusations portées.

Depuis plusieurs années, dans le « palmarès » des cyberattaques, les méthodes prédominantes des hackers étaient appuyées sur la technicité informatique. Actuellement, les tendances des pirates sont plutôt diversifiées. En effet, les entreprises et administrations  améliorent  leur niveau de résilience progressivement, en renforçant leurs systèmes de sécurité informatique, ce qui constitue un obstacle sérieux aux actions des pirates. Afin de pouvoir poursuivre leurs actes malveillants, les cybercriminels trouvent ainsi des alternatives et de surcroît, ils s’orientent vers l’exploitation de la faille humaine des particuliers.

Fini les sourires amusants des internautes ayant reçu des mails de phishing du genre «quelqu’un a consulté votre compte American Express » (ou Facebook ou bien Netflix), notamment lorsqu’ils savent, pertinemment, n’avoir jamais créé de compte sur ces plateformes. Dorénavant, les cybercriminels jouent sur l’émotion, la peur et se mettent à diffuser des mails de phishing particulièrement anxiogènes, qui génèrent un stress intense à leurs victimes.

Il s’avère, qu’ils y arrivent, car ils réussissent à extorquer des milliers d’euros à certains internautes et demandent des virements allant jusqu’à 18.000 euros.

Des attaques similaires ont aussi été signalées en Belgique.

Tout compte fait, à réception d’un tel phishing, l’internaute, ne doit surtout pas payer. Une fois remis de ses émotions, il a intérêt de faire une analyse très fine du message, qu’un malfrat a pu lui envoyer.

Dans un premier temps, avant même d’ouvrir le mail porteur d’un titre alarmant, il faut faire un glissement de la souris de l’ordinateur sur le nom de l’émetteur du message reçu. S’il voit se dévoiler une adresse mail, qui se termine par @gmail.com ou @hotmail.com, alors il doit prendre du recul. Evidemment, il ne s’agit pas de noms de domaine de la police ou de la gendarmerie et la provenance du mail est toute autre.

Il se peut même que, l’adresse mail de l’émetteur affiche un nom, qui rappelle celui d’un criminel de faits divers, connu pour sa cruauté. Dans ce cas, pas de panique. En effet, les auteurs du message frauduleux, supposent que certains de leurs destinataires peuvent être des geeks ou experts informatiques et ne manqueront pas d’examiner le mail en détails. Les malfrats s’attribuent ainsi des noms, pouvant inspirer la peur même à ceux, qui connaissent les subtilités techniques de l’informatique, possèdent les connaissances nécessaires pour découvrir la fraude et éviter de tomber dans le piège.

L’internaute, doit aussi regarder, s’il est le destinataire direct du mail. Si ce n’est pas le cas et son adresse apparaît dans le champ copie de l’en-tête (CC) ou en copie cachée (CCI ou BCC), alors il peut se rendre compte de la ruse d’un pirate.

Si cela vous arrive, faites immédiatement une déclaration au site dédié du Ministère de l’Intérieur :
https://www.interieur.gouv.fr/actualites/communiques/escroquerie-au-faux-courriel

Les autorités ont déjà identifié ce type de phishing et communiqué de nombreuses informations utiles. Plusieurs signalements ont été traités et comme ce type d'attaques a duré pendant plusieurs mois et risque même de réapparaître sous une autre forme, la plus grande vigilance s'impose.

Le fait, que des hackers connaissent l’adresse mail d’une personne, peut être préoccupant. Il y a un moyen de savoir s’ils ont divulgué des données personnelles. On peut se connecter sur le site :
« Have I been pwned ? » (voir Wikipedia)
L'internaute peut saisir sa propre adresse mail dans la case prévue à cet effet et valider.

S'il s’affiche la réponse « Good news – no pwnage found ! », à priori  l’adresse mail et les données, qui y sont liées, n’ont pas été divulguées.

Il est aussi très utile de lancer une analyse complète et profonde de l’antivirus de l’ordinateur personnel, afin de permettre d’éradiquer tout logiciel malveillant, notamment, si par curiosité, l’internaute a téléchargé au moins une des pièces attachées au mail reçu. Certaines d’entre elles sont même des fichiers illisibles sans extensions informatiques.



Appel à provisions face au risque d’une cyberattaque d’ampleur

Dans une interview, parue le 3 mai 2022 dans le journal Handelsblatt (quotidien économique allemand), la ministre fédérale allemande de l’Intérieur, Nancy Faeser a souligné la nécessité de constituer des stocks d’urgence. Elle a recommandé à ses concitoyens de faire des provisions de nourriture, de médicaments et de produits de première nécessité, permettant de tenir pendant 10 jours. Son message a même été repris et diffusé par des médias internationaux.

Dans une perspective de la guerre en Ukraine, la ministre a souhaité sensibiliser le public face au risque d’une cyberattaque, pouvant viser des infrastructures critiques de son pays. De la même manière, qu’une inondation ou une intempérie puisse entraîner l’invalidation des services vitaux, avec des coupures d’électricité, l’arrêt des transports, des télécommunications et l’interruption des chaînes d’approvisionnement, la cybermenace doit être prise en compte au même titre qu’un risque de catastrophe naturelle.

Madame Faeser a fait référence au site du BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe), Office Fédéral de la protection de la population et de l'aide en cas de catastrophe, qui publie un véritable guide de survie. On y trouve une chek-list, permettant d’identifier des articles d’alimentation, médicaments, produits d’hygiène, vêtements de protection, documents certifiés et sécurisés à avoir à portée des mains, voire même de bagages d’urgence, s’il s’avère nécessaire de quitter son domicile. Il est aussi conseillé de prévoir une radio avec des piles suffisamment chargées, afin d’écouter les informations, si l’électricité et le téléphone ne fonctionnent plus.

L’appel aux provisions est susceptible de créer une tension ponctuelle dans les chaînes d’approvisionnement, notamment si le public se presse de répondre à cette recommandation et effectue de nombreux achats. Toutefois la période de survie préconisée de 10 jours sous-entend des stocks raisonnables et ne peut conduire à  des pénuries importantes de produits. On peut aussi en déduire, qu’en cas de catastrophe cybernétique, une durée équivalente représente le délai, dont les autorités auront besoin pour la remise en fonctionnement des infrastructures, pouvant être affectées ainsi que pour le rétablissement des chaines d’approvisionnement.


Guerre ou paix

Depuis le début de la guerre en Ukraine, une multitude d’alertes et de conseils de sécurité  informatique font leur apparition sur le web mondial. Des experts et des entreprises spécialisées s’empressent de renseigner sur les moyens de protection existants. Ils tentent aussi de rappeler les bonnes pratiques, que particuliers et entreprises doivent adopter, afin d’éviter d’éventuelles cyberattaques. Ils s’interrogent sur les secteurs d’activité, pouvant constituer des cibles potentielles dans un climat défavorable, voire même hostile sur la scène internationale.

De la même manière que, pendant une guerre physique, la privation de ressources et de services essentiels peut survenir, suite à une attaque sur des systèmes informatiques d’entreprises et d’administrations. Dans une guerre virtuelle, les secteurs visés peuvent être aussi l’énergie, l’eau, les banques, la santé, les chaînes d’approvisionnement.

Toutefois, même par temps de paix, ce type d’attaques perpétrées par des gangs isolés, n’est pas totalement inconnu et peut provoquer des situations de crise, accentuée par la crainte de pénuries de biens. L’année dernière, le 7 mai, un assaut sur le système informatique de la société Colonial Pipeline l’a contrainte de fermer un grand oléoduc,  paralysant la distribution de 45% de carburant sur la côte sud-est des Etats-Unis.

Il s’agissait d’une cyberattaque par ransomware, invalidant des serveurs de la société victime, rendant des écrans de postes de travail figés et « garnis » d’une demande de forte rançon. Pour récupérer ses données, la société a versé  environ 4,4 millions de dollars aux auteurs de l’attaque, un groupe connu sous le nom DarkSide.

Selon un communiqué de la Maison-Blanche, Joe Biden avait affirmé, qu’il y avait de bonnes raisons de croire que, les hackers vivaient en Russie. Toutefois, il a insisté sur le fait, qu’il était en communication avec Moscou et ne pensait pas que le gouvernement russe était impliqué dans cette attaque. Il est à noter, que Darkside était réputé être apolitique.

L’incident a eu pour conséquence l’apparition de files d’attente interminables d’automobilistes devant les stations-services, pour faire le plein de carburant par peur de pénurie. Les consommateurs ont aussi précipité, pour faire des provisions dans les supermarchés. Le pays était dans un véritable état de crise.

La sécurité informatique peut être vue sous deux angles différents et on s’interroge :

Guerre ou paix ?
Les risques cybernétiques diffèrent-ils d’une situation à l’autre ?

Certes, il n’est pas toujours possible de quadriller les réseaux, pour détecter toutes les menaces multiples et complexes et faire des prédictions sur la façon, dont elles vont se manifester. En effet, certaines sont complètement imprévisibles et inédites.

Par ailleurs, on observe que jusqu’à présent, il n’y a pas eu de guerre cybernétique frontale. C’est peut-être la raison pour laquelle, depuis quelques années, le savoir-faire dans le domaine de la cybersécurité a atteint un niveau très élevé et les entreprises, qui s’y sont investies, présentent actuellement une forte résilience.

Malgré tout, un piège existe, c’est celui de l’inattention et du manque de vigilance.
Le meilleur moyen, de pallier ce défaut, consiste à faire des rappels et d’augmenter la surveillance des systèmes d’information et des réseaux.

Les conseils principaux, qui défilent sur le net aujourd’hui sont les suivants :

  • Changer tous les mots de passe des utilisateurs dans les grandes infrastructures
  • Donner des consignes au personnel, afin de ne pas ouvrir des mails d’expéditeurs inconnus. Surtout, ne pas cliquer sur des liens dans un message suspect, ni télécharger de pièce jointe. Autrement, les hackers auraient un accès au réseau attaqué et les ordinateurs seraient figés en 1 minute.
  • Le back-up et la sauvegarde des données sensibles sur des supports physiques non connectés doivent être envisagés et effectués régulièrement. Certains experts conseillent le stockage de données dans un cloud très sécurisé.
  • En cas de grande privation de ressources en matière de télécommunications, la meilleure solution pour assurer l’autonomie d’une organisation, afin de de rester connectés et de continuer à communiquer avec le monde entier, consiste à s’équiper avec un ou plusieurs points d’accès et téléphones satellite.

Pour rappel, vous trouverez une liste complète des actions à entreprendre pour renforcer vos systèmes informatiques et réseaux dans le livre « Cybermenaces, un état de siège », chapitre « Défendre sa forteresse », disponible sur AMAZON.


War on line

Une guerre en ligne

Dans le domaine de la cybersécurité civile, qui touche les particuliers et les entreprises, le hit-parade des cybermenaces a souvent mis en scène le phishing, les ransomwares et les attaques par déni de service DDos (Distributed Denial of Service). Même en période de paix, des milliards d’attaques sont perpétrées sans cesse et se déroulent comme une guerre silencieuse.

Depuis le 24 février 2022, les yeux se tournent vers l’Europe de Est et le rideau s’ouvre vers un spectacle douloureux, le conflit entre la Russie et l’Ukraine. Il s’agit bien d’une guerre réelle, qui se déroule avec le défilement d’une cascade d’images très dures à regarder et choquantes.

Impuissants, les yeux rivés sur nos écrans, nous tentons de retenir nos larmes mais en vain. Une guerre physique implacable s’abat sur l’Ukraine avec des dégâts humains et matériels considérables.

En même temps, une autre guerre se prépare dans les coulisses internationales, « virtuelle », électronique cette fois-ci, à travers les systèmes informatiques et les réseaux de télécommunications. Certes, elle avait donné des signes d’existence entre nations dans le passé, invisible, secrète et disparate, à travers le web mondial.

Aujourd’hui, depuis le début officiel des hostilités, annonçant une guerre frontale, qui a lieu aux portes de l’Union Européenne, les cyberattaques à travers les réseaux se multiplient et prennent une allure de « war on line », une guerre en ligne.

Une vague d’informations à travers le net, retrace la situation en Ukraine et relate des cyberattaques subies par le pays sur plusieurs de ses services ces derniers mois. Le 24 février, ses ministères de la Défense, de l’Intérieur et certaines de ses banques, ont été ciblés par des attaques par déni de service.

Cela consiste à inonder les serveurs visés par un flot de tentatives de connexion, provoquant une saturation et rendant les systèmes d’information atteints, difficilement accessibles par les utilisateurs légitimes. Plusieurs sites internet attribuent ces attaques à l’agence d’espionnage militaire russe GRU, direction des renseignements de l’état-major des forces armées.

Du côté russe, on apprend, dès le 26 février, que le site web officiel du Kremlin était tombé en panne. Le porte-parole présidentiel a confirmé, qu’il s’agissait d’une cyberattaque. Un rapport informait sur une série d’autres incidents similaires, survenus sur des sites internet gouvernementaux et de médias russes.

Anonymous, groupe hacktiviste a pris position dans le conflit. Il a annoncé sur Twitter avoir réussi à accéder à la base de données du ministère russe de la Défense et divulgué des données personnelles de fonctionnaires (e-mail, téléphone, mots de passe). Toutefois leur tweet a été supprimé, en tant que contraire aux règles internes. Anonymous a aussi retiré le lien, qui conduisait vers ces informations confidentielles.

Par ailleurs des entreprises de cybersécurité mettent à disposition des applications téléchargeables permettant de perpétrer des cyberattaques. On peut ainsi s’attendre à une guérilla on line sans frontières, de contre-attaque aux russes.

Les pays occidentaux ne souhaitent pas encourager une escalade du conflit mais les sanctions économiques imposées à la Russie risquent de provoquer une riposte et déclencher une recrudescence des assauts informatiques. Dans une situation internationale particulièrement tendue, il faut rester vigilant et s’organiser pour mieux se protéger.

Les attaques par déni de service DDos sont, en général, détectables par des parefeux (firewalls) informatiques placés à des endroits stratégiques d’un réseau. Ces appareils ont la capacité de rejeter les paquets malveillants mais il faut appliquer des réglages adaptés, afin d’empêcher qu’un flux surabondant inonde les serveurs à protéger.

Le back-up (ou clone) en sécurité informatique est l’arme absolue contre les attaques distantes en ligne. Le matériel et l’équipement logiciel de secours, toujours disponible et prêt à fonctionner, est indispensable pour assurer une reprise d’activité rapide après une attaque informatique invalidante.

Il est impératif de faire des sauvegardes régulières et systématiques des fichiers et des données, notamment sensibles. Tout doit être stocké sur des mémoires, et des supports physiques externes, déconnectés et mis à l’abri.

Face aux événements récents, il y a un sentiment général, ressenti dans le monde des médias. Journalistes et interviewés expriment un grand étonnement et un profond regret. Un écho retentit, selon lequel, personne ne pouvait imaginer qu’une guerre aurait lieu sur le sol européen au XXIe siècle.

Cette amertume ne peut que conduire la pensée vers les paroles d’un grand écrivain français :
« Un jour viendra où vous France, vous Russie, vous Italie, vous Angleterre, vous Allemagne, vous toutes nations du continent, sans perdre vos qualités distinctes et votre glorieuse individualité, vous vous fondrez dans une unité supérieure et vous constituerez la fraternité européenne… »

Aujourd’hui, le rêve de Victor Hugo semble s’éloigner des esprits des citoyens du vieux continent. Toutefois, toute guerre a un début et une fin. L’avenir va nous réserver sans doute, tôt une tard, un nouvel équilibre européen et mondial.

 
 
 
 

Cyber Monday

Cyber, un mot très à la mode.

Il s’agit d’un terme provenant du mot cybernétique, d’origine étymologique grecque, qui désigne généralement la gouvernance. Au fil du temps, la cybernétique devient synonyme de standardisation des mécanismes des systèmes d’information et d’efficacité aux échanges dans un contexte scientifique.

Cyber est un préfixe.

Dans le monde moderne et le langage courant, il évoque tout ce, qui est lié à l’appropriation des technologies nouvelles et par extension des moyens techniques, permettant d’atteindre un niveau de développement important, collectif ou individuel. Cela sous-entend l’utilisation de l’électronique (p.e. l'audiovisuel) et notamment de l’informatique et l’automatique, dont les applications sont innombrables.

La cybernétique est à la base d’un progrès et d’un épanouissement considérable du savoir-faire et des activités humaines. Dans la société de consommation, les différents acteurs se sont emparés du terme et depuis quelques années, une idée, qui vient des Etats-Unis, s’est instaurée sous le nom de Cyber Monday.

Sa date est fixée le 29 Novembre. Il s’agit d’une journée de promotions commerciales de produits électroniques, high-tech et bien d’autres, durant laquelle, les clients des géants de la vente en ligne, pourront bénéficier de prix réduits pour une grande liste de produits.

Toutefois, une inquiétude ambiante se répand dans le web mondial.

En cette période d’offres intéressantes et notamment à l’approche des fêtes de Noël, les cybercriminels mettent en œuvre plein d’astuces pour tromper le public.

Bien entendu, ils utilisent leur méthode préférée, le phishing.

Si vous recevez un e-mail, qui ressemble comme une goutte d’eau à une annonce de grande enseigne commerciale, vous informant qu’une certaine commande à votre nom (par exemple une TV de 900 euros), est prête à être expédiée à votre domicile, ne paniquez pas.

Regardez plutôt attentivement le texte. Le fraudeur, soucieux de donner un aspect légitime  et véridique à son mail, y aura inséré un lien permettant d’annuler la commande.

Et c’est là, que se trouve le piège. Surtout, ne cliquez pas sur le lien « annuler ». Si vous cliquez dessus, vous serez redirigés vers le site du cybercriminel et la saisie des coordonnées de votre carte bancaire, vous sera demandée.

Contactez plutôt directement l’enseigne, dont l’identité a été usurpée. Sans doute, ils vous confirmeront, que le n° de commande citée, dans le mail frauduleux, n’est pas valide. Ils vous conseilleront même de prévenir votre banque.

En évitant de tomber dans le piège de hackers malveillants, vous pourrez vivre l’évènement de cette journée sans souci particulier.

Bon shopping ! Heureux Cyber Monday !
 


Lorsqu’on fait confiance aux hackers

Un été pas comme les autres.

En août 2021, le Ministère de Défense du Royaume-Uni fait appel à des hackers pour découvrir les vulnérabilités et tester la résilience de ses systèmes informatiques et réseaux internes. Dans le cadre du programme, il charge la société HackerOne de réunir des hackers éthiques, capables d’y participer avec efficacité.

L’équipe, constituée notamment de chercheurs en sécurité informatique, compte un peu plus d’une vingtaine de personnes et s’engage pour une mission d’une durée d’un mois. Bien entendu, les hackers bénéficient de primes, connues sous le nom de « bug bounty ». Il s’agit de récompenses pour la découverte de failles dans un système de serveurs, ordinateurs et de réseaux.

L’objectif du programme est celui d’identifier des faiblesses des infrastructures, afin d’apporter par la suite les corrections ainsi que les améliorations, qui s’imposent. Les hackers ont eu un accès direct, voire même privilégié, aux systèmes et applications web internes du ministère. Certains d’entre eux y ont même accédé confortablement, depuis leur bureau personnel via un réseau VPN sécurisé.

Une expérience similaire avait été mise en place aux Etats-Unis en mars 2016 avec le programme « Hack the Pentagon ». Une équipe d’ingénieurs a mené à bien ce projet, pionnier dans son genre, ce qui était une première pour le gouvernement américain.

La démarche, qui consiste à confier la sécurité des systèmes informatiques à des hackers et leur permettre d’accéder à des réseaux, porteurs d’informations sensibles d’un ministère, peut paraître paradoxale mais lorsqu’il s’agit de protéger des attaques un pays, souvent l’audace l’emporte.



Quelque chose se prépare …

Les botnets sont des programmes automatisés, des robots informatiques, connectés sur l’internet. Ils sont légitimes, s’ils répondent aux exigences des RFC, recommandations officielles et spécifications techniques de la communauté scientifique de l’internet. En général, ils gèrent des services d’échanges de données avec des utilisateurs et assurent l’indexation web.

Une dérive de ces logiciels robots, constituent les botnets malveillants, qui attaquent silencieusement les serveurs, ordinateurs et objets connectés, d’une manière automatisée à travers les réseaux informatiques. Depuis mars 2021, une information inquiétante circule sur le web.

Selon les résultats de recherche de deux experts de la sécurité de la société Guardicore, une recrudescence des attaques est observée, perpétrées par le fameux botnet PURPLE FOX (renard violet). Le nombre de ce type d’actes malveillants a augmenté de 600% depuis mai 2020. Le système ciblé est bien entendu Windows.

Le mode opératoire est très particulier. La menace, un virus, se propage via e-mail par la méthode, très connue, de phishing ou par l’utilisation de kits d’exploitation. Ces derniers sont installés et contrôlés par des cyberassaillants, à l’insu des internautes, lors de leur navigation sur des sites internet.

Le malware s’empare des fonctionnalités des machines attaquées, en bloquant certains ports de communication (TCP et UDP) au moyen de filtres et les isole face à d’autres intrusions éventuelles. Les hackers obtiennent ainsi l’exclusivité de l’emprise sur les serveurs et ordinateurs infectés et se trouvent libres d’opérer, sans le risque de voir leurs actions perturbées par des attaques tierces.

Plus précisément, selon Guardicore, les charges virales partent d’environ 2000 serveurs compromis et se répandent, notamment, via des campagnes de phishing. Si une victime, récepteur du mail malveillant, tombe dans le piège, le virus s’installe dans son ordinateur.

Ensuite, il exécute un programme malicieux, déguisé en mise à jour de Windows, sans demander d’interaction de la part de l’utilisateur. Parmi les charges du package introduit, il y a un fichier rootkit chiffré (malware capable de contrôler un ordinateur infecté et non détectable par les anti-virus). Des commandes netsh découvrent des paramètres de connexion réseau de leur victime et installent une interface IPV6.

Lorsque le malware est exécuté, il exerce une « brute force » via SMB sur les logins et les mots de passe de connexion des utilisateurs, liés à ce protocole d’échange de fichiers entre ordinateurs et serveurs. Des adresses IP d’autres machines du réseau sont affichées après analyse du port 445. Le processus de propagation et d’infection se met ainsi en route.

Tout au long de son attaque, le malware reste silencieux et ne provoque aucun dégât apparent. On peut ainsi se demander, quel peut être le but final de cette prise de contrôle malveillante de machines sur le réseau. Plusieurs professionnels ne peuvent s’empêcher de penser que :

Quelque chose se prépare…

Les entreprises et organisations doivent rester vigilantes et renforcer le niveau de surveillance de leurs infrastructures.

Rappelons, tout de même, que les plateformes internet IIS des serveurs compromis ont des versions non parmi les plus récentes. Par ailleurs, le malware aura du mal à s’introduire dans les systèmes, si les utilisateurs du service e-mail ont une discipline sans faille, en évitant d’ouvrir les pièces jointes ou de cliquer sur des liens de messages d’origine inconnue et en naviguant sur l’internet avec prudence.
 
Mots clés : Guardicore Purple Fox


Voice Phishing et faille humaine

D’habitude, lorsque vous vous connectez au site internet de votre banque, il vous est demandé de saisir vos données confidentielles (identifiant et mot de passe), vous permettant d’accéder à votre compte. Depuis un certain temps, vous devez en plus taper un code, une série de chiffres, envoyée par le serveur de la banque, que vous recevez sur votre smartphone.

Il s’agit de ce que l’on appelle un 2FA (two-factor authentification) c’est-à-dire un double facteur d’authentification et de sécurisation d’accès. Si vous n’êtes pas en possession de votre smarphone, alors vous ne pouvez pas lire ce code temporaire pour le saisir, ni accéder à votre compte et réaliser des opérations.

Depuis toujours, les hackers appliquent de multiples méthodes pour obtenir des identifiants et mots de passe d’utilisateurs de services web. Lors de campagnes malveillantes, ils arrivent à obtenir des données sensibles et frauder sur des comptes bancaires. Avec l’apparition du 2FA, ils ont été confrontés à une difficulté majeure, car même s’ils possédaient des données confidentielles, il leur était impossible d’accéder aux comptes ciblés.

Comme les hackers n’ont pas l’habitude de baisser les bras, ils ont inventé le Voice Phishing ou Vishing, qui consiste à «œuvrer» en s’appuyant sur la faille humaine et notamment en utilisant le contact téléphonique.

L’arrivée de la pandémie du Covid19 et la conversion des postes classiques en postes de télétravail dans les entreprises, ont quelque peu éloigné les personnels du management de proximité et certaines bonnes pratiques de la sécurité n’ont pu être suivies rigoureusement. Depuis la mi-juillet 2020 aux Etats-Unis, des cybercriminels ont trouvé ainsi un terrain favorable pour contacter les personnels des organisations par téléphone, en se faisant passer pour des interlocuteurs légitimes.

Avant de procéder au vishing, ils recherchaient des informations au préalable sur chaque personne visée, à partir de réseaux sociaux et d’outils de recrutement de sociétés et obtenaient ainsi nom d’employeur, position, ancienneté, numéro de téléphone personnel et parfois même adresse du domicile. Ensuite, ils appelaient les victimes en disant, qu’ils s’occupaient de maintenance informatique en interne ou en intervention externe.

Ils obtenaient la confiance des appelés grâce aux informations déjà récoltées. Ensuite, ils proposaient un lien de connexion, où l’appelé devait se connecter à distance et saisir ses login et mot de passe d’accès sécurisé de son entreprise. Les cybercriminels pouvaient capturer ces données confidentielles, car le lien proposé conduisait en réalité à leur propre site frauduleux, site miroir de l’entreprise de la personne ciblée. Ils avaient ainsi le moyen de consulter par la suite les informations internes de l’entreprise en se connectant eux-mêmes sur le vrai site.

Parfois, ils allaient jusqu’à obtenir des données personnelles de leurs victimes, liées à leurs comptes téléphoniques. Les hackers n’avaient plus qu’à se mettre en contact avec les opérateurs, en se faisant passer pour leur victime et demandant l’activation d’une nouvelle carte sim sur son numéro. La ligne téléphonique étant ainsi détournée et entrée en leur possession (méthode dite sim swap), ils obtenaient l’accès et la maîtrise totale au 2e facteur de sécurisation, à savoir qu’ils recevaient eux-mêmes les textos de la banque contenant le code 2FA. Le temps que leur victime s’aperçoive de l’indisponibilité de sa propre carte et d’effectuer les démarches de récupération de sa ligne, les hackers pouvaient opérer frauduleusement sur son compte bancaire, réinitialiser le mot de passe et aussi détourner les appels.

Des actions ont été menées par le FBI (Federal Bureau of Investigation) et la CISA (Cybersecurity & Infrastructure Security Agency) contre ces pratiques et des conseils pour les citoyens ont été diffusées par les institutions. L’université de Michigan a publié un article complet sur la détection des vishings et les méthodes à employer pour s’en protéger.

Actuellement en France, avec la deuxième vague de l’épidémie, le télétravail s’impose plus que jamais. Afin d’éviter les risques du Voice Phishing, les entreprises et organisations doivent alerter leur collaborateurs. Une panoplie de bons conseils figure sur le site du Ministère de l’Intérieur.

Mots clés : vishing Ministère de l’Intérieur

Linux n’est pas à l’abri non plus

Selon une impression générale, le système Linux serait inattaquable. Les statistiques de la sécurité informatique laissent penser, que la plupart des incidents provoqués par des actes malveillants concernent surtout Windows. Les postes des utilisateurs, dotés majoritairement de ce dernier système, constituent une porte d’entrée privilégiée pour des hackers, à l’origine d’intrusions dans les réseaux informatiques des organisations.

Des spécialistes s’interrogent : faudrait-il plutôt appuyer cette constatation sur le fait, que la profession de la sécurité focalise ses efforts sur Windows, dans un souci de préserver la partie des réseaux, « vues » de l’extérieur et situées en première ligne ? C’est ainsi qu’une panoplie de solutions s’adresse en priorité, à ce qui semble être accessible par un grand nombre de personnes et on se préoccupe moins des serveurs, dont on peut ignorer l’emplacement, voire même l’existence.

Au début du mois d’avril dernier, la réalité a démenti les idées reçues et des experts de sécurité de Blackberry (Research and Intelligence Team) ont découvert une série d’attaques, ayant duré pendant presque 10 ans et ciblé notamment des serveurs Linux de sociétés aux activités sensibles de pays occidentaux. Des serveurs fonctionnant sous Windows et des terminaux Android n’ont pas été épargnés non plus.

Dans des articles largement diffusés sur le web mondial, il a été révélé qu’une campagne malveillante d’espionnage économique et stratégique avait été menée secrètement, dans le but d’obtenir illicitement des procédés technologiques et des informations sur la propriété intellectuelle des organisations ciblées. Des données stockées dans des serveurs ont ainsi été exfiltrées.

Cinq groupes APT (Advanced Persistent Threat), liés sous le nom WINNNTI Group, ont perpétré des attaques persistantes et durables, afin d’exploiter les vulnérabilités de serveurs Linux, système longuement négligé. Les principes du mode opératoire, allant du plus simple au plus sophistiqué, leur ont permis de dérober des données en développant des backdoors (portes dérobées). Cela consistait à introduire du code malicieux dans des serveurs visés et d’en prendre le contrôle.

Avec la création et l’utilisation de kernel rootkits (logiciels espions du noyau système), les pirates ont réussi à pérenniser l’accès aux systèmes, tout en restant inaperçus. Pour compléter le travail, ils ont associé aux backdoors des RAT, leur permettant d’obtenir des droits d’administrateur et de surveiller les serveurs à distance.

Les hackers n’ont pas manqué à mettre en œuvre la méthode C2 (Command and Control) pour obtenir une prise de contrôle aussi à distance. Des attaques automatisés DDos ont mobilisé des botnets (robots malveillants), similaires au Linux XOR DDos Botnet, déjà connu depuis 2014. Dans un rapport, publié par Blackberry, il apparaît que les groupes de hackers étaient liés à la Chine.

Force est de constater, que les serveurs Linux sont aussi des vecteurs d’attaques informatiques. Il s’en suit, qu’il n’existe pas de système informatique, sûr à 100%. D’ailleurs, des tentatives d’intrusion venues du monde entier, notamment de pays industrialisés, prolifèrent et comptent par milliers chaque jour. Les serveurs, réseaux et systèmes méritent bien de bénéficier de protections d’un niveau très élevé et parfaitement maîtrisé.


Des excuses pour leurs victimes – Une première
 
Le monde des hackers, non éthiques, est secret et ne voit jamais le jour. Le mobile principal des cyberattaquants étant le gain financier, les acteurs malveillants se soucient rarement des souffrances infligées à ceux, qui les subissent. Bien entendu, on ne s’attend jamais à une manifestation d’empathie de leur part à l’égard de leurs cibles.

Toutefois, vers la fin du mois d’avril dernier, le monde de l’internet a été surpris d’apprendre, que des hackers ont présenté des excuses à leurs victimes à la suite d’une attaque, qu’ils ont perpétrée par rançongiciel. En effet, il s’agissait d’un acte malveillant opérée avec le malware Shade, connu aussi sous le nom Troldesh ou Encoder 858.

Les données des ordinateurs ciblés ont été verrouillées par chiffrage et leur déblocage était possible uniquement par le paiement d’une rançon. Plus tard, les cybercriminels ont présenté leurs excuses en publiant un message très particulier sur Github (plateforme de développeurs appartenant à Microsoft).

Leur publication annonçait la mise à disposition de plus de 750.000 clés de déchiffrement du ransomware permettant de récupérer les données verrouillées. Les hackers conseillaient, en outre, de demander recours aux éditeurs d’antivirus pour réussir le déverrouillage.

Ce message ne figure plus sur la plateforme.

Certes, le geste des hackers a soulevé un vent d’espoir au sein de la communauté des internautes, pensant que des cybercriminels pouvaient changer de comportement et devenir bons. Admettons, tout de même, qu’en règle générale, les excuses sont crédibles et recevables, seulement si elles vont de pair avec le remboursement des montants perçus illégalement. Des indemnités doivent aussi s’y ajouter, des dommages et intérêts pour le préjudice moral subi par les institutions visées.

A défaut, il s’agit plutôt d’un mea culpa pas tout à fait convaincant, laissant entrevoir une certaine ironie envers les victimes.

 
 
Retourner au contenu | Retourner au menu