5 tendances concernant la cybersécurité en 2018

Cloud

Avec l’importante montée des cyberattaques partout dans le monde ainsi que l’arrivée du RGPD (Règlement Général sur la Protection des Données personnelles), la cybersécurité est devenue un sujet clé au sein des entreprises qui s’est intégré dans les besoins technologiques et d’innovations. 

cyber-security-2296269_960_720

 

1 – La démocratisation des cyberattaques 

Après les attaques mondiales Wannacry et Petya, les entreprises ont réagi et compris l’enjeu que représente la cybersécurité. Celles-ci confirment à 71% la hausse de cyberattaques dont elles font l’objet. Les institutions ont donc commencé à mettre en place quatre grandes mesures : la formation et la sensibilisation des employés, l’instauration d’une nouvelle organisation avec la nomination de responsables (RSSI, CIL, DPO), la mise en place d’une nouvelle politique de gestion des habilitations et des accès, et enfin le chiffrement des données. 

 

2 – L’arrivée de cyberassurances pour contrer les cybermenaces 

Le sujet de la cybersécurité doit être appréhendée désormais sous un nouvel angle. Les entreprises sont constamment exposées à des attaques qui peuvent venir de toutes parts. L’organisation est censée pouvoir répondre à un incident à court, moyen et long terme pour assurer le rétablissement durable de l’activité. De plus, celle-ci doit prévoir les assurances à souscrire pour couvrir les éventuels dommages. Cependant, aujourd’hui très peu d’entreprises ont souscrit à ce type de service et s’exposent donc à des risques éventuels. Les cyberassurances permettent de minimiser l’impact financier suite à une attaque mais aussi d’anticiper ces dernières en évaluant le niveau de sécurité de l’entreprise.  

 

3 – L’humain, premier acteur de la cybersécurité 

Plus de la moitié des incidents de sécurité sont causés par un collaborateur actif au sein des effectifs. Même si l’entreprise possède un système informatique hautement sécurisée, une erreur de la part d’un employé peut mettre à mal ce dernier. Il est donc important de vérifier que chaque collaborateur ne possède pas de droit d’accès étendu non nécessaire. L’idéal pour une entreprise est de disposer de personnel formé à la cybersécurité (RSSI) pour gérer les systèmes d’information de manière transverse au sein de l’entreprise. 

 

4 – Les avancées technologiques au service de la cybersécurité 

Avec l’arrivée d’attaques toujours plus inventives pour mettre à mal les systèmes d’information des entreprises, il est important pour celles-ci d’utiliser des outils à la pointe de la technologie. Il existe plusieurs outils répondant à ce besoin : tout d’abord les services de sécurité sur la base de solutions Cloud, les offres des fournisseurs cloud de garantie en matière de sécurité et de protection des données ainsi que l’utilisation d’une architecture cloud permettant des capacités de stockage et de traitement de données très importante et nécessaire pour la gestion des évènements de sécurité. De plus, la Data peut être intéressante dans le cas de prédiction de cyberattaques. Enfin, l’utilisation d’n mot de passe seul ne permet plus de se protéger donc les entreprises sont contraintes à trouver des moyens alternatifs pour se connecter aux applications et données critiques comme l’utilisation d’un 2ème facteur d’authentification (sms, biométrie etc…). 

 

5 – De nouvelles réglementations face aux nouvelles menaces 

 

  • RGPD : (Règlement général sur la protection des données), qui entrera en vigueur en 2018, oblige les organisations à s’assurer du consentement explicite des individus quant à l’utilisation qui sera faite de leurs données. 

 

  • LPM : (Loi de Programmation Militaire), entrée en vigueur en juillet 2016, concerne 200 entreprises classées « Opérateurs d’Importance Vitale » (OIV) qui sont tenues de renforcer leur niveau de sécurité (contrôles réguliers, détection des événements, alerte suite à un incident) sous peine de dispositions pénales. 

 

  • DP 2 : (Directive sur les services de paiement 2), entrée en vigueur en janvier 2018, définit les règles concernant les nouveaux acteurs sur le marché des paiements (FinTechs). Les services d’agrégation d’information et d’initiation de paiement sont dorénavant encadrés et des mesures de sécurité exigées (sécurisation des API, authentification forte, etc.). 

 

  • Programme sécurité de SWIFT : ensemble de standards de sécurité qui deviendra obligatoire dès janvier 2018. Chaque membre SWIFT sera tenu de publier une auto-attestation annuelle faisant état du respect des points de contrôle obligatoires (sécurisation de l’environnement, contrôle et limite des accès, détecter et répondre).  

Le Malware Zyklon

Cloud

Des chercheurs en sécurité ont repéré une nouvelle opération malveillante dans la nature qui propage un Malware botnet avancé en exploitant au moins trois vulnérabilités récemment révélées dans Microsoft Office. 

31229519675_f1bf6f8521_b

Historique du Malware Zyklon 

Surnommé « Zyklon », ce logiciel malveillant a refait surface après presque deux ans et a principalement été ciblé sur les télécommunications, l’assurance et les services financiers. 

Actif depuis début 2016, Zyklon est un malware botnet HTTP qui communique avec ses serveurs de commandement et de contrôle sur le réseau d’anonymat Tor. Il permet aux attaquants de voler à distance des keylogs, des données sensibles, comme les mots de passe stockés dans les navigateurs web. 

Les logiciels malveillants Zyklon sont également capables d’exécuter des plugins supplémentaires, y compris en utilisant secrètement des systèmes infectés pour les attaques DDoS et l’extraction de crypto-monnaie. 

Différentes versions du malware Zyklon ont déjà été trouvées sur un marché clandestin populaire pour 75 $ (build normal) et 125 $ (build compatible Tor). 

Les trois vulnérabilités de Microsoft Office exploitées par Zyklon 

Selon un rapport récemment publié par FireEye, les attaquants derrière l’opération exploitent les trois vulnérabilités suivantes dans Microsoft Office qui exécutent un script PowerShell sur les ordinateurs ciblés pour télécharger la charge utile finale de son serveur C&C. 

1) Vulnérabilité RCE .NET Framework (CVE-2017-8759) – cette vulnérabilité d’exécution de code à distance existe

lorsque Microsoft .NET Framework traite des données non fiables, permettant à un attaquant de prendre le contrôle d’un système affecté en incitant les victimes à ouvrir un document malveillant spécialement conçu envoyé par e-mail. Microsoft a déjà publié un correctif de sécurité pour cette faille dans les mises

à jour de septembre. 

2) Vulnérabilité Microsoft Office RCE (CVE-2017-11882): une faille de corruption de mémoire de 17 ans corrigée par Microsoft lors de la mise à jour de correctif de novembre permet à un attaquant distant d’exécuter du code malveillant sur les systèmes ciblés sans nécessiter d’intervention de l’utilisateur après l’ouverture d’un document malveillant. 

3) Dynamic Data Exchange Protocol (DDE Exploit) – Cette technique permet aux pirates d’exploiter une fonctionnalité intégrée de Microsoft Office, appelée DDE, pour exécuter du code sur le périphérique ciblé sans nécessiter l’activation des macros ou la corruption de la mémoire. 

Le mode opératoire 

Comme expliqué par les chercheurs, les pirates exploitent activement ces trois vulnérabilités pour fournir des logiciels malveillants Zyklon en utilisant des courriels de spear phishing, qui arrivent généralement avec un fichier ZIP attaché contenant un fichier doc Office malveillant. 

Une fois ouvert, le fichier doc malveillant équipé de l’une de ces vulnérabilités exécute immédiatement un script PowerShell, qui télécharge finalement la charge utile finale, c’est-à-dire, le malware HTTP Zyklon, sur l’ordinateur infecté. 

Comment se protéger ? 

Le meilleur moyen de protéger votre organisation contre de telles attaques malveillantes est de : 

  • Ne pas autoriser les messages entrant avec des pièces jointes de type Office (si possible) 
  • Mettre en place sur le Firewall un filtre interdisant l’usage d’Anomyzer (possible uniquement avec Webfiltering) 
  • Mettre en place sur le Firewall une règle de filtrage pour bloquer les connexions sur les sites C&C (toujours possible) 

Surtout, gardez toujours vos logiciels et systèmes à jour, car les acteurs de la menace intègrent des vulnérabilités récemment découvertes, mais corrigées, dans des logiciels populaires. Microsoft Office dans le cas présent pour augmenter le potentiel de succès des infections. 

Les failles Spectre et Meltdown

Cloud

Spectre-und-Meltdown-14079_PIC1

Récemment, les virus Spectre et Meltdown ont fait trembler le monde informatique. Ils affectent la plupart des processeurs courant commercialisés par Intel, ARM et AMD. Cela signifie que n’importe quel ordinateur, serveur, smartphone ou tablette est concerné par le problème. 

 

Que sont réellement Spectre et Meltdown ? 

 

Ces deux failles concernent les processeurs des ordinateurs qui servent à traiter les données. Elles sont également dotées d’une mémoire protégée qui permet à l’ordinateur d’exploiter les informations en temps réel. Cependant, Spectre et Meltdown permettent à un logiciel malveillant d’y accéder. En y accédant ils peuvent extraire des identif

iants de connexion ou encore le contenu de certains e-mails et documents.  

Qu’est-ce qui les différencient ? 

 

Les deux virus sont clairement identifiables. Meltdown retire les protections entre les applications et le système d’exploitation. Spectre, plus dangereux, quant à lui brise l’isolation entre différentes applications. Le pirate informatique peut ainsi passer d’une application à une autre pour récupérer les données.  

 

Quels sont les risques encourus ? 

 

Dans tous les cas le risque est l’accès d’un des deux virus à la mémoire de l’appareil et donc de ses données sensibles. Toutes les informations traitées par l’ordinateur ou autre appareil, peuvent être accessibles.  

Les entreprises concernées par le bug (Intel, Microsoft, Apple, OVH etc…) travaillent sur un patch pour régler le problème concernant Meltdown. Pour Spectre en revanche, il n’existe pour le moment aucun patch logiciel total, puisque le bug est inhérent à la manière dont les puces sont produites. Cependant, les fabricants de matériel informatique ont annoncé la mise à disposition de firmware et microcode pour les composants matériel. 

 

Ces virus présentent donc un sérieux problème pour le monde informatique car dans le cas de Meltdown, aucun patch ne résout entièrement le problème et dans le cas de Spectre c’est la façon dont sont produits les processeurs et donc les ordinateurs qui doit être repensée. Il n’existe donc pas de solution à court terme pour le moment.  

 

Quelles sont les solutions ? 

 

Pour être protégé il faut il faut donc réunir plusieurs conditions : 

  • Appliquer le correctif de l’éditeur du système d’exploitation 
  • Mettre à jour tous les navigateurs présents sur la machine  
  • Vérifier et le cas échéant mettre à jour le BIOS/UEFI de la machine 

 

L’application de ces de ces correctifs peut toutefois impacter la performance des machines puisque la vulnérabilité exploite une méthode qui fait fonctionner le processeur plus rapidement. 

Les 10 cyberattaques qui ont marqué l’année 2017

Cloud

Hiscox, spécialiste de la cyberassurance, est revenu sur les cyberattaques les plus frappantes de 2017. 

NETHERLANDS-CYBER-ATTACKS-SECURITY

1 – WannaCry / NSA  Mai

Considérée comme la plus importante cyberattaque par ransomware de l’histoire, WannaCry a infecté en quelques heures plus de 300 000 ordinateurs, dans plus de 150 pays. Parmi ses victimes : FedEx, Renault, ou encore le ministère de l’intérieur russe. Cette attaque a été revendiquée par le groupe de hackers Shadow Brokers, ceux-là mêmes qui, au premier trimestre 2017, avaient réussi à s’introduire dans le réseau informatique de la NSA, et à y dérober un attirail considérable de failles, virus et autres outils informatiques, dont la faille exploitée par WannaCry, baptisée Eternal Blue. Il s’agissait d’une faille déjà identifiée par Microsoft, mais le patch correctif proposé n’avait pas été suffisamment massivement installé pour que l’attaque échoue. In fine, les coûts de WannaCry ont été évalués autour d’un milliard de dollars, sans compter bien évidemment toutes les conséquences indirectes qu’ont pu subir ses victimes.

2 – Petya / NotPetya  Juin

Parmi les cyberattaques qui ont marqué l’année, il faut encore citer Petya / NotPetya. Petya, ransomware apparu en 2016, avait déjà réussi à contaminer des milliers d’ordinateurs, via la même faille de sécurité Windows, exigeant le paiement d’une rançon de 300 dollars (en bitcoins bien sûr) en échange de la récupération des fichiers. NotPetya, quant à lui, a vu le jour en juin 2017 : il s’agissait en réalité d’un virus déguisé en un ransomware ayant pour vocation de rappeler son prédécesseur Petya. Cette cyberattaque bien plus puissante, dont on ne connait pas l’origine, s’est propagée presque sans intervention humaine (contrairement à Petya qui requérait le téléchargement d’un spam envoyé par email) : il suffisait d’un seul poste non mis à jour sur un réseau pour que l’ensemble du réseau soit potentiellement compromis, sans compter que l’intégralité du disque dur était touchée (et non seulement, comme Wannacry, le système d’exploitation et les fichiers stockés). On estime à plus de 2 000 le nombre de sociétés qui ont été infectées par ce virus. Parmi elles, Saint-Gobain (coût de 220 millions d’euros) et la SNCF, mais aussi le publicitaire WPP ou encore le labo pharmaceutique Merck ; le système de surveillance des radiations de la centrale nucléaire ukrainienne de Tchernobyl a lui aussi été infecté. Les victimes ne pouvaient même pas payer la rançon pour récupérer la clé de décryptage, l’adresse mail associée à l’attaque étant invalide…

3 – Deloitte  Septembre

Durant près de 6 mois, le prestigieux cabinet de conseil et d’audit a été victime d’une importante cyberattaque durant laquelle des pirates ont réussi à accéder à des informations privées, telles que des mails échangés entre le cabinet et ses clients. Les hackers ont utilisé l’identifiant et le mot de passe d’un compte administrateur, leur permettant ainsi d’accéder au Cloud Azure de Miscrosoft, plateforme hébergeant une partie des données de Deloitte.

4 – Equifax – Septembre

La célèbre société de crédit américaine, également spécialisée dans la protection des données, a été victime d’un piratage informatique important au cours de l’année. Les informations de plus de 140 millions d’américains et plus de 200 000 numéros de cartes bancaires de consommateurs ont été consultés par les pirates, qui ont exploité une faille dans l’une des applications de la société, leur permettant ainsi d’accéder à certains fichiers. Quelques jours après l’attaque, le PDG de l’entreprise annonçait sa démission.

5 – Netflix  Septembre

La plateforme de streaming Netflix a été victime d’un piratage d’envergure, plus précisément d’une campagne de scam visant directement ses utilisateurs des millions d’entre eux ont reçu des mails depuis l’adresse supportnetflix@checkinformation.com, les invitant à communiquer leurs coordonnées bancaires afin d’éviter que leur compte ne soit clôturé. Comme à l’accoutumée, tout avait soigneusement été pensé afin de tromper les victimes : site internet reprenant la charte graphique de la véritable plateforme, recours à un ton et à un design similaires à ceux employés par Netflix.

6 – DoubleLocker  Octobre

Avec le ransomware DoubleLocker, ce ne sont pas les ordinateurs qui ont été touchés, mais les appareils mobiles fonctionnant sous Androïd. Pour la première fois, un virus a été capable de changer le code PIN des utilisateurs et de chiffrer les données de leur smartphone ou tablette. Ces derniers, alors dans l’incapacité de récupérer leurs fichiers ou d’utiliser leur appareil, n’ont eu d’autres choix que de payer la rançon demandée par les hackers.

7 – PowerShell  Novembre

L’Arabie Saoudite fait régulièrement l’objet d’attaques informatiques, et 2017 n’a pas fait exception à cette règle : le NCSC (Centre national de sécurité saoudien) a signalé une campagne de « menaces persistantes avancées », menée via le logiciel Powershell (habituellement utilisée, en particulier, par le groupe MuddyWater), très difficile à détecter. Il semble que cette attaque se soit inscrite dans le cadre plus global d’une campagne massive de cyber-espionnage dirigée contre l’Arabie Saoudite.

8 – Imgur  Novembre

Cette attaque informatique contre le site de partage d’images, qui a eu lieu en 2014, n’a pourtant été découverte qu’en 2017, et ce grâce à un signalement externe. En effet, les données de l’attaque ont été transmises à Troy Hunt, fondateur du site haveibeenpwned.com, qui a immédiatement alerté Imgur. Près de 1,7 millions d’utilisateurs du site d’hébergement d’images ont été victimes de cette cyberattaque, qui visait à dérober leurs données personnelles (adresses email et mots de passe, puisque la société ne demande pas les noms, adresses ou numéros de téléphones des utilisateurs). Utilisé par plus de 150 millions d’internautes, Imgur a tout de suite demandé à ses utilisateurs de changer leur mot de passe au plus vite, en utilisant des combinaisons différentes pour chaque site et application.

9 – Uber  Novembre

Il y a un an environ, près de 57 millions de comptes utilisateurs de la plateforme Uber ont été piratés. L’entreprise américaine, leader mondial des VTC, aurait alors pris la décision de payer une rançon aux hackers de 100 000 dollars en échange de la destruction des données piratées, sans avoir l’assurance que celle-ci soit réellement effectuée. Cette affaire, contre-modèle de bonne communication sur le sujet, mise sous silence pendant une année, a éveillé les consciences en matière de cyber-sécurité, devenue un enjeu majeur pour les entreprises et pour les consommateurs. La Commission européenne a quant à elle jugé irresponsable la gestion par Uber des données de ses clients et de ses chauffeurs.

10 – NiceHash  Décembre

Ces dernières semaines, l’envolée du Bitcoin a rythmé l’actualité, éveillant ainsi l’intérêt tout particulier des hackers. La célèbre plateforme slovène de minage de Bitcoins, NiceHash, a été victime d’une cyberattaque durant laquelle 4 700 bitcoins ont été dérobés, soit l’équivalant de près de 64 millions de dollars. 

Microsoft en dit plus sur son futur service VMware dans Azure

Cloud Microsoft perenne-it
Microsoft_Azure_VMware
VMware

L’offre de cloud VMware sur Azure en cours de déploiement chez Microsoft s’appuie sur des plates-formes FlexPod de Cisco et NetApp, des plates-formes par ailleurs déjà utilisées pour les services SAP d’Azure. Microsoft en a donc dévoilé un peu plus sur les technologies qui motoriseront ce cloud. 

 

Un service bâti sur une infrastructure FlexPod Cisco/NetApp 

Cette semaine, l’éditeur de Redmond a fourni des précisions sur la façon dont il entend construire son offre. Lors de son annonce initiale, l’éditeur de Redmond avait indiqué qu’il s’appuierait sur des partenaires certifiés VMware pour son offre. La version Preview de son offre de cloud VMware sur Azure s’appuie ainsi sur des infrastructures FlexPod combinant des serveurs Cisco UCS et des baies de stockage NetApp. 

Les deux sociétés sont des partenaires de poids de VMware et leur architecture FlexPod fait partie des architectures convergées les plus vendues au monde.

L’éditeur revendique plus de 4000 partenaires dans le cloud, de l’intégrateur de quartier à des acteurs globaux comme IBM, Amazon, OVH, T-Systems ou Orange. 

 

Microsoft et NetApp : une alliance de plus en plus solide 

Il est à noter que ce n’est pas la première fois que Microsoft et NetApp s’allient pour la construction de services dans Azure. Les deux sociétés ont tout d’abord collaboré sur le développement de l’offre d’hébergement SAP dans Azure, basée sur des systèmes FlexPod. 

Plus récemment, ils ont aussi annoncé le lancement d’Azure Enterprise Network File System, un service de stockage NFS natif à Azure, s’appuyant sur les technologies de NetApp. Dans la pratique, Microsoft a confié à NetApp la production et l’administration du service NFS (basé sur l’OS OnTap de NetApp) dans son cloud et a intégré le service dans la console Azure.