Powershell l’associé préféré des hackers

Cyberattaque Cybersécurité Microsoft

Windows PowerShell est un interpréteur de commandes et un langage script conçu pour les tâches d’administration du système. Les commandes PowerShell permettent de gérer des infrastructures Windows.  

 

PowerShell

 

La version 7 très attendue  

PowerShell offre de nombreuses commandes qui facilitent les tâches d’administration du système. Il prend notamment en charge un large choix de tâches telles que l’administration d’Active Directory, la gestion des utilisateurs et des autorisations et l’extraction de données relatives aux configurations de sécurité. De plus, PowerShell est maintenant disponible sur Linux et sur macOS et Microsoft a annoncé la sortie prochainement de la version 7 de PowerShell. Cela s’explique par la popularité croissante de PowerShell notamment dû à la progression très rapide des lancements de PoweShell, en particulier dans les environnements Linux.  

Avec la version 7, Microsoft à une ambition qui est de pousser au remplacement complet de Windows Powershell 5.1. L’objectif étant de permettre aux utilisateurs de Windows Powershell et Powershell Core d’utiliser la même version de Powershell pour tout automatiser entre Windows, Linux et macOSMicrossoft souhaite aussi garantir un haut niveau de comptabilité avec les modules Windows Powershell. La version 7 devrait pouvoir assurer une comptabilité de plus de 90% avec les modules Windows Powershell en s’appuyant sur Net Core 3.0.  

 

Hacker

 

Une aubaine pour les cyber-attaquants  

D’après un rapport publié par Red Canary, Powershell serait utilisé par les cyber-délinquants. Les explications avancées par Red Canary sont que PowerShell est inclus par défaut dans chaque système d’exploitation depuis 2009. Son ubiquité a contribué à sa popularité parmi les adversaires. Ce logiciel très puissant donne possibilité de réaliser une multitude de tâches d’administration et d’automation avec un utilitaire qui est rarement contraint, il est aussi très peu blocable.  

L’utilisation de Powershell par les attaquants est loin d’avoir reculé. Kaspersky a souligné que l’utilisation de ce framework était croissante, notamment lorsqu’il s’agit de réduire les capacités d’attribution des attaques. En décembre 2018, MacAfee faisait une progression de 24 % du nombre de nouveaux scripts Powershell malicieux au troisième trimestre. Symantect à relever une tendance comparable en assurant que l’utilisation de scripts powershell malveillants a augmenté de 1000 % l’année dernière. Même si Symantec bloque 115 000 scripts Powershell malveillants par mois, cela représente moins d’un pour cent de leur utilisation globale. De plus, les hackers à l’origine du rançongiciel LockerGoga semble également mettre à profit Powershell 

La fin de Windows 7 dès 2020

Microsoft

Microsoft a annoncé la fin des mises à jour de sécurité sur Windows 7 en janvier 2020. Toutes les entreprises devront alors migrer vers Windows 10 sous risque d’être une cible facile pour les hackers.  

 

Windows 7

 

Des notifications vont être lancées pour prévenir la fin du support de ce système d’exploitation. Microsoft parle d’un rappel de courtoisie qui servira d’alerte pour les utilisateurs de Windows 7. La forme exacte des notifications n’a pas été dévoilée mais Microsoft assure que ses alertes seront conçues pour fournir de l’information, une option sera tout de même proposée pour permettre de ne plus recevoir ses notifications à l’avenir. Certaines entreprises auront la possibilité d’avoir une extension de support en mettant la main à la poche avec l’offre Windows 7 Extended Security Updates (ESU). Cependant, les coûts de ce support seront élevés et augmenteront chaque année. De plus, la disponibilité des patchs payants prendra finalement fin en janvier 2023. Aujourd’hui, la part d’utilisateurs de Windows 7 représente plus de 38 % des utilisateurs et Windows 10 représente plus de 40 % des utilisateurs de Windows.  

 

Quels sont les risques ?  

Le message de Microsoft est clair, « Même si vous pouvez continuer à utiliser votre PC sous Windows 7 sans mise à jour continue des logiciels et de la sécurité, vous pourrez être exposé à un risque accru de virus et logiciels malveillants ». Après 2020, si les entreprises qui utiliseront Windows 7 et qui n’achèteront pas le support étenduprésenteront un risque important même avec un pare-feu, un antivirus et des protections anti phishing. Les risques et les coûts liés aux attaques potentielles dépassent les coûts du support étendu et des mises à niveau tant sur le plan matériel que logiciel. Les responsables IT qui auraient choisi de ne pas passer sur Windows 10 pourront être accusés de malversation si leur entreprise est victime d’une attaque qui se révèle matériellement significative.  

Selon nous, la solution la moins coûteuse est de remplacer ses anciens matériels sous Windows 7 par de nouveaux PC et par un système d’exploitation en cours. Il faut tout de même prendre une décision rapidement car le 14 janvier 2020 arrive vite.   

Les Malwares et les attaques de Phishing toujours d’actualité selon Microsoft

Cyberattaque Cybersécurité Microsoft

Nous savons que les Malwares présentent des risques pour les entreprises et les salariés comme la perte de données, le vol de propriété intellectuelle, ou des pertes monétaires… Cela peut mettre des entreprises et des individus en danger. Les attaques de phishing ont fortement augmenté et présentent un risque majeur pour les entreprises. Microsoft continue de renforcer sa protection contre ce type d’attaques en utilisant des outils et techniques permettant d’identifier et bloquer les Malwares en mettant en place des moyens supplémentaires contre l’hameçonnage.  

 

Malware

 

En 2017, le taux de rencontre d’un logiciel malveillant variait de 5% à plus de 7%. Puis en 2018, cela a un peu diminué pour aller jusqu’à 4%.  Le taux de rencontre d’un logiciel malveillant exprime le pourcentage des ordinateurs utilisant Windows Defender Antivirus qui ont déclaré avoir été infectés pendant ce mois. Notamment par des tentatives de virus qui ont bloqué Windows Defender. Les raisons de cette baisse en 2018 sont sûrement dues à l’adoption massive de Windows 10 et de l’utilisation de Windows Defender pour se protéger. 

Dans le monde, les endroits où l’on a rencontré le plus de Malware sont ; l’Ethiopie, le Pakistan, territoires palestiniens, le Bangladesh et l’Indonésie.  Les endroits où le taux de logiciel malveillant est le plus élevé en 2018 se trouvaient dans les 40% des pays et régions les plus pauvres de l’indice des technologies de l’information et des communications (TIC) de 2017. Pour les lieux où les logiciels malveillants ont été le plus faible au cours de la même période sont l’Irlande, le Japon, la Finlande, la Norvège et les Pays-Bas.  

 

phishing

 

En 2018, les hackers continuent d’utiliser fortement le phishing comme méthode d’attaque d’après les analystes de ma menace informatique de Microsoft. Le phishing promet d’être un vrai problème à l’avenir, car il implique des décisions et un jugement humain difficile face aux efforts des cybercriminels. Microsoft scanne environ 470 milliards de messages électroniques chaque mois à la recherche de phishing et de programmes malveillants. Cela montre la tendance considérable de ces techniques d’attaques. De plus, les messages de phishing ont augmenté de 250% entre janvier et décembre 2018.  

Les techniques pour protéger les gens du phishing ont beaucoup évoluées, c’est maintenant aux hackers de s’adapter eux-mêmes. Les attaques de phishing peuvent se présenter sous différentes formes, ce qui signifie que les hackers n’utilisent pas une seule URL ou adresse IP pour envoyer du courrier. Ils utilisent souvent une infrastructure variée avec plusieurs points d’attaque. La nature des attaques a également évolué, avec des campagnes modernes qui peuvent durer quelques minutes à des à des campagnes beaucoup plus grande en volume. Il a été observé une augmentation de l’utilisation de comptes compromis afin de distribuer davantage de courriels malveillants à l’intérieur et à l’extérieur d’une organisation.  

Comme pour la distribution de logiciels malveillants, les campagnes de phishing varient d’attaques ciblées à des attaques générique de grande envergure. Bien que les attaques très sophistiquées génèrent des gains plus importants, les attaques plus génériques génèrent moins d’argent mais cible un ensemble plus large d’utilisateur.  

Office 365 et G Suite ; les mots de passe sont-ils lâchés dans la nature ?

Cyberattaque Cybersécurité Microsoft

Dans un billet de blog, la société anglaise Proofpoint a évoqué des attaques visant IMAP d’une centaine de milliers d’ouvertures de sessions non autorisées sur des comptes utilisateurs surveillés.  

Office 365 + G Suite

C’est au cours d’une étude de six mois portant sur les principaux locataires de services cloud que les chercheurs de Proofpoint ont découvert qu’environ 60% des locataires de Microsoft Office 365 et G Suite étaient ciblés par des attaques par mot de passe IMAP. Environ 25% d’entre eux ont réussi une violation avec un taux de succès de 44% par attaquant. D’après les chercheurs, les campagnes de pulvérisation de mots de passe sur IMAP sont particulièrement efficaces. De plus, ces opérations visent spécifiquement des utilisateurs à haute valeur comme des dirigeants et leurs assistants administratifs.  

Pour cacher leurs traces, les attaquants passent par des appareils connectés répartis dans le monde entier. On a pu voir que plus de la moitié des opérations visant des accès IMAP se trouvaient en Chine. L’étude montre également que les adresses IP brésiliennes représentent 39% des attaques et celles des Etats Unis représentent 31%. CependantProofpoint insiste en rappelant qu’il n’y a pas forcément de lien entre la localisation de l’adresse IP et la nationalité réelle des attaquants. La difficulté avec IMAP, est qu’il est indispensable lors d’une consultation de la messagerie électronique de Google via des clients tels qu’Outlook ou Apple mail.  

 

cyberattaque

 

IMAP (protocole d’accès aux messages internet) est un protocole d’authentification qui permet d’accéder à un compte à partir de plusieurs appareils. Il est notamment utilisé par les clients de messagerie de bureau pour récupérer les emails du serveur de la messagerie. De plus, le support IMAP est activé par défaut sur Office 365 et G Suite, les hackers misent sur le fait que les administrateurs laissent IMAP en place. Ces attaques par mot de passe sont effectuées en utilisant un grand nombre d’utilisateurs et en combinant avec un seul mot de passe. L’avantage avec les attaques par mot de passe est qu’elles évitent le verrouillage des comptes qui déclenchent des alarmes parce qu’elles montrent un échec de connexion isolé.  

Les hackers ont utilisé des milliers de réseaux périphériques piratés dans le monde entier. En particulier des routeurs et des serveurs vulnérables. Selon Proofpoint, le secteur de l’éducation semble être plus vulnérable aux attaques. En effet, plus de 13% des attaques réussies visaient des établissements d’enseignement. Les hackers cherchent à accéder à des données précieuses comme la recherche scientifique. Cependant, ils utilisent des comptes facilement compromis pour lancer des campagnes de spam et les impacts des attaques vont bien au-delà des établissements d’enseignement. Il est conseillé que les administrateurs désactivent l’IMAP et les autres protocoles existants pour leur domaine. Si ce n’est pas le cas, ils deviennent des cibles pour toutes tentatives d’utilisation de mot de passe.  

 

 

 

Investir dans la cybersécurité

Cyberattaque Cybersécurité

Investir dans la cybersécurité ne parait pas une évidence pour tout le monde, surtout que l’entrée en vigueur du RGPD n’est pas toujours bien compris pour tout le monde. Mais avec le climat défiance qui règne dans le cyberspace cela paraît essentiel.  

 

cybersécurité

 

La sécurité informatique devient un enjeu stratégique pour les entreprises et le marché de la cybersécurité est en forte progression. Cette évolution est dû à la transformation digitale ainsi qu’aux progrès technologiques. De plus, les hackers utilisent des techniques de plus en plus sophistiquées ce qui oblige les entreprises à employer des stratégies de défense solides 

Face à la vague qui agite le cyberspace en ce moment, les grandes entreprises ainsi que les éditeurs de logiciels s’organisent. En France, la cybersécurité est considérée comme une priorité nationale notamment avec l’appui du gouvernement. En effet, cela représente un enjeu économique important qui consiste à garder nos compétences et nos savoirs-faires. L’enjeu est également géopolitique car la France doit préserver son autonomie de décision et d’action dans les domaines diplomatique et militaire.  

La réglementation du RGPD a boosté le marché de la cybersécurité qui est actuellement en forte progression. Selon le cabinet d’étude IDC le marché mondial de la sécurité informatique devrait augmenter de 10% par an jusqu’à 2021 pour atteindre 120 milliards de de dollar de chiffre d’affaires. Ce marché est largement dominé par les acteurs américains qui ont réussi à se positionner bien avant les autres. Si les grandes entreprises sont visées en majorité par les hackers, les petites entreprises auraient tort de ne pas se sentir concernées. En effet, elles sont souvent bien plus vulnérables, en particulier les fournisseurs des groupes. Parfois, pour ce type d’entreprise, beaucoup de données sont accessibles en ligne n’ayant pas de protection de haut niveau.  

Au vu des risques, la meilleure des solutions est l’investissement en amont. Une fois cette implantation réalisée, l’entreprise diminuera ses dépenses dédiées à sa sécurité. Notamment, la veille des menaces, la mise à jour des protections à des tests de vulnérabilité ou encore l’éducation des salariés. Il faut prendre conscience que ces coûts sont nettement plus faibles que pour ceux causés par les cyberattaques.