Lorsque l’être humain est oublié

Publié le par

attacks

Fig 1 : Attaques en temps réel

Dans les précédents articles, nous évoquions la gouvernance de la cybersécurité, tant au niveau organisationnel qu’au niveau opérationnel. C’est une excellente idée que de bien gouverner ces deux aspects, mais avons-nous oublié que les attaques effectuées par les cybercriminels sont dues à des être humains ? Oui, nous l’avons pratiquement oublié, centrés sur les attaques technologiques, plutôt que de nous centrer sur les aspects humains et psychologiques de ces attaques.

Une compétition acharnée

Pourquoi existe-il des attaques cybernétiques sur les systèmes d’information ? Cela s’explique facilement. Les groupes cybercriminels se sont associés ces dernières années pour offrir , jusqu’à ces derniers mois, des services en ligne qui offrent des multiples possibilités comme le MAAS : Malware As A Service)  et qui rapportent des gains financiers colossaux :  D’après le rapport DBIR 2016 de Verizon, 89% des attaques cybernétiques  ont un motif financier ou d’espionnage. L’aspect financier est le plus représentatif : 85% des entreprises attaquées ont pour but un gain financier pour ces groupes malfaisants.

Alors, pourquoi s’en prendre aux informations des entreprises ? C’est simple: toutes les informations sont vendues ! Des places de marche existent sur le Darkweb et cela remplit les poches des groupes cybercriminels en Bitcoins. Une compétition existe à la fois entre des groupes de cybercriminels et les pirates (Hats) eux-mêmes. En fait, la compétition qui existe entre les entreprises dans le monde des affaires existe également en cybercriminalité : le miroir existe donc bel et bien. Aussi, une autre compétition existe également entre les attaquants et les attaqués…qui va avoir la meilleure stratégie ?
Pour le moment, la majorité des entreprises perdent car elles n’ont pas de vision sur la réelle sécurité à mettre en place : celle centrée sur l’être humain est primordiale.
Pourquoi ?

Une stratégie humano-technologique

Aujourd’hui, il est important de se rappeler que ce sont des êtres humains qui créent les attaques et qui utilisent des systèmes informatiques ou des techniques psychologiques pour tromper les autres et ainsi, d’accéder aux informations. C’est pour cela que les RSSI doivent devenir plus préventifs dans la gouvernance de la sécurité de l’information.
Cette prévention est basée sur une stratégie qui, du premier abord est assez simple :
faire revenir l’être humain au centre de la gouvernance de la cybersécurité. Qu’est-ce que cela entends précisément ? Qu’être trop focalisé sur des solutions technologiques de protection de l’information est une erreur.Elles ont leur importance mais ce qui est plus intéressant, c’est de savoir que les attaques perpétrées ont du succès car elles sont, tout d’abord très bien étudiées par les cybercriminels. Les informations échangées au sein d’une entreprise sont variées et elles représentent de l’argent. On ne sécurise pas de la même façon des informations sans importance que des informations confidentielles n’est-ce pas ? Pourtant, nous avons constaté lors de nos audits de sécurité et lors d’analyses de risques que, par exemple, la classification des informations n’existe pas ou peu et que leur sécurité ne peut-être réelle  que si cette classification ai été effectuée au préalable. Cette classification des données (de la moins confidentielle à la plus secrète) permet d’affiner la sécurité-même des données et de mettre en place, par exemple, le cryptage des données et  de sécuriser les échanges électroniques. Rien que de prendre en considération cette pratique, permet de réduire les risques. En ayant toujours à l’esprit que pour les cybercriminels l’information = de l’argent, vous allez remettre en place des mécanismes de sécurité de l’information qui vont renforcer la sécurité cybernétique existante.

Comment renforcer la sécurité de l ‘information de mon entreprise ?

Comme nous venons de le dire, l’être humain est la pièce maîtresse de votre sécurité. Sans les êtres humains qui gèrent les systèmes de sécurité, elle ne serait pas bien gouvernée de façon opérationnelle. Il en est de même que de sensibiliser à la sécurité de l’information l’ensemble de l’entreprise et non pas uniquement le personnel. Les dirigeants et les managers ne sont pas à « mettre de côté ». Diriger une entreprise demande d’être stratège : mais si-celle -ci ne prends pas en compte le fait de bien sécuriser le patrimoine informationnel et de connaître les risques auxquels l’entreprise fait face, elle se met en danger elle-même et cela peut avoir des répercussions sur le présent et l’avenir de l’entreprise. Sécuriser son patrimoine informationnel est, pour l’entreprise d’aujourd’hui essentiel.

sec_globale

Fig 2 : Exemple de gouvernance globale de la sécurité de l’information

L’image ci-dessus démontre l’une des possibilités de gouvernance globale : comme un millefeuille, vous renforcez la sécurité technologique (Firewalls, filtrages applicatifs) jusqu’aux stations de travail à protéger. En mode organisationnel, la gouvernance s’appuie sur une politique Générale de sécurité (PGSSI) des procédures qui enclenchent des audits de sécurité et la sensibilisation des utilisateurs. Plus les être humains qui travaillent pour le succès de l’entreprise sont conscients de leur rôle en matière de sécurité, plus celle-ci e renforcera.

Votre cybersécurité est avant tout humaine

attaques_big

Fig 3 : Exemples d’attaques sur des environnements Big Data

Former l’ensemble de l’entreprise afin qu’elle devienne elle-même actrice de sa propre cybersécurité : Voilà un projet à mener et qui s’associe très étroitement au renforcement de la cybersécurité technologique existante dans votre entreprise. Aussi, que le RSSI travaille avec le service Juridique et celui des ressources humaines est tout aussi important. Par exemple, la sensibilisation des RH aux possibilités d’infiltration du personnel est un atout car les techniques de recrutement évolueront vers une plus grande vigilance envers le personnel existant mais surtout sur les nouveaux arrivants. Le vol de données ou la malveillance depuis un ou des utilisateurs est monnaie courante aujourd’hui.

Renforcer la sécurité des usages de votre système d’information par les utilisateurs est également un sujet majeur qui rentre dans le renforcement humain de la cybersécurité. Plus les femmes et les hommes de l’entreprise sont conscients de leur rôle, plus il est aisé de gouverner la sécurité dans son ensemble. Le RSSI , le DSI , les RH , le services Juridique , le PDG et les dirigeants de l’entreprise collaborent ensemble pour que l’entreprise soit plus à même d’être davantage sécurisée. Ce renforcement se fait connaître très rapidement auprès de vos clients, vu les investissements faits, mais aussi auprès des cybercriminels qui, comme vous le voyez dans l’image en Figure 2, utilisent diverses techniques et moyens pour accéder à l’information. Ce renforcement permet à ces cybercriminels de pas pouvoir accéder à l’information.

Gouverner n’est pas imposer

La gouvernance de la cybersécurité opérationnelle et organisationnelle doit-être davantage comprise par les différents acteurs de l’entreprise (Des dirigeants au personnel). C’est pourquoi il est bienvenu d’orienter votre gouvernance vers l’acceptation par les membres de l’entreprise d’une gouvernance humano-technologique, via la sensibilisation et à la mise en place d’une Politique de sécurité, de directives et de procédures qui responsabilisent les êtres au lieu de leur imposer un fonctionnement.

A l’heure où l’intelligence artificielle (IA) permet aux outils de sécurité de renforcer la sécurité opérationnelle de votre système d’information,  seule une gouvernance plus humaine permettra à votre entreprise d’être réellement plus sécurisée et de devenir celle que vous souhaitez,même si celle-ci fonctionne grâce à des outils technologiques.

 

Pour une gouvernance préventive de la cybersécurité

Publié le par

social-media-748110_1920

J’ai proposé à Nadine TOUZEAU, des suites de la lecture de son livre « Net-profiling : analyse comportementale des cybercriminels« , d’écrire un article à quatre mains avec nos visions métiers que je considère comme complémentaires et indispensables pour combattre la cybercriminalité.
Je vous laisse en découvrir notre retour suivant notre métier à tous deux.

PP : A l’heure actuelle, la sécurité des systèmes d’information est axée depuis une dizaine d’années sur la protection contre les menaces cybernétiques au niveau technologique. Cette sécurité est donc de nature technique et elle permet de protéger des actifs techniques contre toute atteinte. Malheureusement, les menaces cybernétiques ont considérablement évolué ces dernières années et sont devenues polymorphes : de l’ingénierie sociale au malware cryptant des données, ces menaces ont pourtant toutes une origine commune : l’homme.

NT : Notre comportement encré dans nos schémas depuis des années nous demande souvent de répondre à des attaques et non à les anticiper. Notre réaction est plus de subir que d’anticiper face aux attaques, cyber ou pas. On va créer des logiciels pour répondre aux attaques le rendant de fait obsolète puisque les hats auront déjà travaillé sur d’autres failles, augmenter le parc en sécurité physique, définir des lois, fermer des portes comme lever un pont levis. Mais on n’intègrera pas la nouveauté, on ne tirera pas des leçons de ces attaques, et l’on ne s’entourera pas de nouveaux métiers, en d’autres termes, on refait avec les mêmes cerveaux d’autres barricades sans intégrer le cœur même de ces attaques avec un maximum de neutralité. Pour se faire, il faut commencer par considérer les êtres humains derrière tout cela. Les considérer avec neutralité exige en priorité de ne pas les juger.

 Humain vs technologie

PP : Notre société a évolué grâce à des inventions et des technologies et, depuis ces quarante dernières années, l’évolution des systèmes d’information a été rapide et elle a créé des besoins qui ont créé des océans de données différentes. Les systèmes d’information ont été créés par des hommes qui ont bénéficié de la création des systèmes d’exploitation et des logiciels, ainsi que des réseaux d’entreprise. Depuis le début des années quatre-vingt, des hommes ont cherché à connaître les systèmes d’exploitation et à utiliser leurs faiblesses : on leur a donné le nom de Pirates, en référence aux Pirates d’antan, mais en oubliant qu’à l’origine ces femmes et ces hommes cherchaient simplement le défi technologique et l’on ne parlait alors pas de vulnérabilités de ces systèmes : l’accent était mis sur la possibilité d’utiliser le système à des fins criminelles :
les entreprises étaient alors en danger. Les pirates, que l’on appelle aujourd’hui les cybercriminels ou Hats, nous démontrent combien il est possible de voler des données, alors que les systèmes de sécurité installés sur les systèmes d’information sont de mieux en mieux gérés par les équipes de sécurité opérationnelles dans les entreprises.

NT : Le potentiel des hats est sous-estimé. Certes, on considère leur niveau une fois qu’ils ont réussi leur intrusion, « piratage »,etc…Mais ce qui vous échappe, c’est leur intelligence et un savoir-être qui, notamment est utilisé pour avoir su déjouer les barrages afin d’atteindre leur objectif. L’une de ces intelligences est l’intelligence virtuelle, une des théories que j’ai développée dans mes travaux de recherches qui consiste à considérer une adaptation et évolution de l’Homme dans un espace nouveau, irréel et créé de toute pièce par l’Homme. Ce qui est considéré comme un piratage n’est parfois qu’un challenge, un jeu pour les hats.

Une véritable gouvernance active et préventive

PP : Aujourd’hui, les RSSI font face à des attaques multiples (DDOS, malwares divers et variés, rançonnage via le ransomware) et les solutions technologiques n’arrivent plus à faire face, vu l’industrialisation de la cybercriminalité existante au niveau planétaire. Les attaques sont de plus en plus violentes, aussi bien techniquement que par l’approche sociale des attaques qui permet à leurs auteurs d’avoir d’excellents résultats. Beaucoup de RSSI ne gouvernent pas la sécurité de l’information. Celle-ci est pourtant simple : associer la gouvernance de la sécurité opérationnelle (réponses aux incidents et remédiation, tableaux de Bord de sécurité, mise à jour des solutions de sécurité, gestion des vulnérabilités, audits de sécurité) et de créer une gouvernance de la sécurité au niveau organisationnel permet d’avoir une meilleure prévention des risques.L’association des deux gouvernances est aujourd’hui indispensable, vu la nature même des risques auxquels les systèmes d’information d’entreprises font face, mais cela touche en fait l’information elle-même que l’entreprise créé et dépasse le cadre du système d’information lui-même. Le RSSI devient donc naturellement un stratège de la sécurité de l’information : il se doit, avec les managers des différents départements et avec la Direction Générale de son entreprise de bâtir cette gouvernance de la sécurité de l’information. Celle-ci va lui permettre d’axer la cyber sécurité de ces informations vers davantage de prévention.

NT : Il devient évident qu’il faut être proactif en matière de cybercriminalité en intégrant bien sur le terrorisme. Considérant que l’humain est au cœur du sujet, le prédictif ne passera qu’en intégrant véritablement la compréhension de ces femmes et hommes. Il ne s’agit pas uniquement de comprendre les hats mais aussi ses propres collaborateurs. Savoir prévoir un ensemble de malveillances bien souvent involontaires c’est déjà faire du prédictif.
Cela s’apprend et il ne s’agit pas de materner la personne en lui expliquant qu’il ne faut pas ouvrir un lien malveillant, il s’agit bien de comportement : le sien et celui des autres. Plus l’humain sera compris et intégré dans le processus, et plus performantes seront nos réponses face aux situations de délit, de danger, de prévoyance. Acquérir des bons réflexes est possible par des formations et un accompagnement. Se former à comprendre les hats permet de mieux se préparer à des futures attaques à venir; voire de développer des logiciels prédictifs vraiment performants.

Savoir est-il synonyme de prévoir ?

PP : La connaissance des différents types d’attaques est essentielle. Aujourd’hui, les attaques perpétrées par les cybercriminels sont créées dans un but précis.
En cela, les analyses des profilers en cybercriminalité entrent naturellement dans la prévention des attaques car, ce sont bien des êtres humains qui les lancent ! Donc, il est logique de savoir comment les cybercriminels pensent et agissent.

NT : Mes travaux de recherche sur le comportement des cybercriminels m’ont conduit à comprendre que le comportement des hats est différent dans le virtuel que dans le réel, sachant qu’il peut aussi s’appliquer dans le réel. De fait, un profiler doit se former au net-profilage pour appréhender les hats. Mais il est clair que les professionnels RSSI et autres dans ces univers informatiques doivent se former, s’instruire et s’entourer de professionnels tel qu’un net-profiler afin de diminuer leur risque sécurité en cybercriminalité.

Les attaques Swift et les nouveaux malwares

Publié le par

attacksLes cybercriminels continuent leurs actions à l’encontre du réseau d’échange interbancaire Swift

Une banque Ukrainienne a été victime fin juin d’une attaque similaire à celle effectuée en début de mois sur la banque Equatorienne Del Austro. Cette action a été couronnée de succès pour les cybercriminels car, non seulement la banque Ukrainienne (dont le nom n’a pas été dévoilé) a été touchée avec un vol de 10 Millions de Dollars, mais le Backbone (la tête de réseau d’échanges interbancaire) a lui-même été touché. Les fichiers malveillants à l’origine de l’attaque continuent d’agir par rebond ; c’est à dire qu’ils effectuent des virements frauduleux  sur une première banque en touchant d’autres banques une seconde fois et, pour cette attaque, ce sont des banques Russes et Ukrainiennes qui ont été les victimes. Les montants des actions frauduleuses n’ont pas été communiqués.
Quelles actions sont à prévoir suite au piratage du Backbone du réseau Swift ?

Pour le moment, rien n’a été communiqué sur les analyses en cours mais il est à prévoir que d’autres banques vont être impactées, compte-tenu de l’évolution du malware et des actions d’ingénierie sociale déjouant tous les plans anti-fraude :

http://www.silicon.fr/banque-ukrainienne-nouvelle-victime-fraude-swift-151666.html

Et pendant ce temps-là, les nouveaux malwares continuent leurs oeuvres…

De nouvelles versions de malwares deviennent de plus en plus complexes

Les nouveaux fichiers malveillants dont les ransomwares, sont de plus en plus développés avec une grande rigueur au niveau du code. Certains d’entre-eux s’attaquent aux systèmes Apple (Backdoor.MAC.Eleanor)  : Eleanor modifie les registres système et installe un service relié au réseau Tor  qui est caché, ainsi qu’un service web en php et un client Pastebin ce qui permet aux cybercriminels d’accéder à la machine infectée…D’autres s’attaquent aux systèmes via des campagnes de courriers électroniques de masse : c’est la cas de la nouvelle version de Locky :
http://www.silicon.fr/wp-content/themes/kamino/js/html5.js
Locky se dissimule dans un fichier ZIP présenté comme une facture (d’une vague commande livrée en retard) joint à l’e-mail infectieux. Mais « au lieu d’une facture, l’archive ZIP contient un chargeur Locky écrit en JavaScript », détaille FireEye. Et les auteurs de Locky ont pris le temps d’améliorer leur code pour contrer les fonctions de détection et les tests de simulation réalisés dans le bac-à-sable pour multiplier les chances d’infection. Les modifications du malware utilisé pour les récentes attaques sur le réseau Swift utilisent des souches du malware qui a servi à l’attaque sur Sony Pictures…et celui-ci aurait des mécanismes qui ressemblent à Stuxnet, le malware utilisé contre les centrifugeuses nucléaires en Iran il y a quelques années. Et des variantes de Locky circulent déjà : c’est le cas de Zepto !

Les malwares actuels deviennent des fichiers malveillants qui embarquent des outils de détection de solutions anti-virales et ont des automatismes que l’on connaissait il y a plus de 8 ans lors de la découverte des virus polymorphiques : la capacité de se changer en une autre « sorte » de fichier pour échapper aux contrôles antiviraux. Certains se cachent donc sur les serveurs dans des endroits presque inaccessibles voire dans des répertoires cachés pour se réveiller un beau jour. Ce qui est la même chose que d’installer une porte dérobée (Backdoor) sur les systèmes (ce qui est le cas pour Eleanor sur Mac). Ces techniques sont utilisées pour faire d’une machine infectée un relais inclus dans des réseaux de Botnets, mais elles peuvent aussi avoir d’autres effets. Prendre en main à distance votre machine et y voler les informations confidentielles puis s’en servir pour tout type d’action. Mais, il n’y a pas que les ordinateurs et les serveurs qui sont la cible des cybercriminels : il y a aussi les caméras de surveillance ! Elles sont utilisées pour des attaques de Denis de Service (DDOS).Aussi, les téléphones mobiles sont également ciblés : les smartphones sous Androïd sont les victimes d’une série malwares qui infectent 85 millions de téléphones et qui rapportent 300 000 $ par mois à leurs créateurs !

De nouveaux outils de sécurité avancés sont nécessaires

Aujourd’hui, et plus que jamais, il est nécessaire aux entreprises de prendre conscience de l’escalade technologique des malwares et de s’en protéger plus efficacement. Plus de 35 000 nouveaux malwares sont créés chaque jour sur Terre. Les solutions antivirales  à base de fichiers de signature ne peuvent plus suivre cette création effrénée qui, de plus, est de haute volée ! L’industrialisation de la cybercriminalité oblige les entreprises à effectuer un changement très rapide dans leurs outils de sécurité antivirales et de passer à des solutions pro-actives telles que Panda Adaptive Defense qui permet de bien mieux se protéger contre ces nouveaux malwares et, dans un même temps, de mettre en place une gouvernance de la sécurité globale dans l’entreprise  !

Et les systèmes de paiement sont également touchés…

Depuis l’attaque sur le géant de la grande distribution Américaine Target en 2015, les malwares spécifiques aux systèmes et moyens de paiement continuent aussi d’évoluer : le cas de Punkey POS en est un vibrant exemple ! Ce malware s’installe dans les systèmes de caisse et vole les données des cartes bancaires…

Puis les systèmes connectés dans les hôpitaux aussi…

Oui, c’est une réalité aujourd’hui. Entre les demandes de rançon en cas de cryptage des données hospitalières et le contrôle à distance possible des appareils de santé connectés dans les hôpitaux, les risques sont grands, vu que les systèmes d’information hospitaliers ne sont pas suffisamment sécurisés. Les cybercriminels le savent et utilisent leurs méthodes et les fichiers malveillants pour s’attaquer aux données médicales mais également de pouvoir contrôler à distance les terminaux de santé…Donc, il est plus qu’urgent que les systèmes d’information des hôpitaux et des entreprises soient sécurisés par de nouveaux moyens technologiques, mais les RSSI (aussi bien des hôpitaux que des entreprises de toutes tailles) se doivent de prendre les mesures nécessaires pour devenir plus proactifs et d’être des stratèges car les risques auxquels les entreprise Françaises l’exigent maintenant !

 

 

 

 

 

Piratage de Swift, d’autres attaques à venir ?

Publié le par

1.     Les attaques du système Swift, une action de longue haleine

La banque Equatorienne Del Austro De Cuenca vient d’être victime d’une action malveillante. C’est la troisième banque depuis le début de l’année à être victime des actions des cybercriminels qui utilisent les vulnérabilités du système SWIFT. Le piratage de la banque Del Austro de Cuenca a permis aux cybercriminels de voler 12 Millions de Dollars. Ces attaques ont déjà été testées, notamment lors d’une première attaque en 2013 sur la Banque Sonali au Bengladesh qui avait permis, à l’époque, de rapporter 0,25 Millions de Dollars aux Cybercriminels. Le test a été validé ensuite en 2015 pour une action de plus grande envergure pour toucher la Banque Equatorienne Del Austro qui vient d’être victime d’une nouvelle attaque similaire à la précédente.

Comment se fait-il que des cybercriminels utilisent le système d‘échange SWIFT ?

En février dernier, les cybercriminels ont volé 81 millions de Dollars via les systèmes de la banque centrale du Bengladesh, alors que quelques jours auparavant le SWIFT (Society for Worldwide Interbank Financial Telecommunications) a annoncé qu’une seconde banque commerciale venait d’être victime d’une action de piratage sans en divulguer le nom.
Le crime apparaît comme faisant partie d’une attaque en ligne visant le système bancaire mondial. Vu cette information, il est clair que nous faisons face à une attaque cybernétique mondiale touchant l’industrie financière. Les acteurs de cette attaque prennent pour cible le principal composant de son infrastructure : le système SWIFT.

Alors qu’une récente seconde attaque a été confirmée, Mme Natasha de Teran, Head of Corporate affairs de SWIFT a révélé l’existence de plusieurs similarités relatives à l’attaque perpétrée contre la Banque Centrale du Bengladesh et ajoute que ces deux attaques font partie d’une plus vaste campagne de piratage hautement étudiée et adaptée pour cibler les banques. Les cybercriminels exploitent les faiblesses de SWIFT, qui est le système utilisée par les banques pour transférer des millions de Dollars où d’Euros chaque jour.

Le sujet de ce jour est centré sur la troisième attaque dont souffre la banque Equatorienne Del Austro (DBA) : Dans ce cas, les acteurs de cette action cybercriminelle ont volé 12 millions de $ à l’institution. Cette attaque ressemble à une précédente effectuée en Janvier 2015 sur cette même banque, en impactant directement la banque Américaine Wells Fargo. L’étude de cette attaque avait révélé que la banque Wells Fargo avait négligé de suivre la politique de détection des fraudes, permettant ainsi que des transactions frauduleuses aient lieu. La Wells Fargo aurait dû détecter ou bloquer les transactions qui a permis le vol de 12 millions de $ sur une période de 10 jours. Ces transactions étaient effectuées entre la banque Equatorienne Del Austro et Wells Fargo.

Le système d‘échange SWIFT utilise des logiciels de transfert de fonds qui respectent des instructions précises, et permettent l’accord des transferts de fonds via des messages authentifiés. Dans toutes les attaques, les cybercriminels ont utilisé des fichiers malveillants qui ont compromis les réseaux bancaires et permis l’accès au logiciel de messagerie interne de SWIFT. Une fois à l’intérieur du système corrompu, les attaquants envoient des messages frauduleux via SWIFT afin de transférer des millions de Dollars pris sur les comptes bancaires.

Ces attaques ont fait l’objet de recherches par la société BAE qui ont découvert la présence d’un fichier malveillant appelé evtdiag.exe dans les systèmes de la banque du Bengladesh. Le code de ce fichier a été utilisé pour manipuler le logiciel client SWIFT connu sous le nom d’Alliance Access. Les cybercriminels ont pris le contrôle de l’application SWIFT grâce aux autorisations d’accès existants sur le logiciel Alliance Access SWIFT qui était compromis et a permis d’effectuer des transferts illicites. Egalement, d’autres recherches menées par le laboratoire de recherche en sécurité informatique de Symantec ont révélé l’utilisation d’un autre fichier malveillant de type Backdoor (Backdoor.Contopee) qui est la modification d’un autre programme appelé Backdoor.Destover qui avait été utilisé comme arme de destruction lors de l’attaque contre Sony Pictures en 2015. L’attaque effectuée contre la banque Centrale du Bengladesh a révélé l’utilisation du Backdoor Banswift (voir Figure 2 ) .

D’après les chercheurs des deux sociétés, et le FBI, il apparaîtrait que ces attaques proviendraient de la Corée du Nord, mais cela serait toutefois contredit, vu l’utilisation de ce pays dont la mauvaise réputation le désignerait comme exécutant des attaques alors que cela n’est peut-être pas le cas. D’autres groupes de cybercriminels peuvent être les réels exécutants de ce plan et d’autres actions sont donc à craindre.

Comment l’attaque est-elle effectuée ?

Le fichier malveillant a été utilisé pour effectuer ce travail de transfert de fonds.

Dans l’étude de son code, Il est démontré qu’un niveau important de connaissance du fonctionnement du logiciel client SWIFT Alliance est associé à un haut niveau de développement du code du fichier malveillant.

Cette information est révélée par un article sur le blog publié par la firme BAE.

modele_attaque_swift

Fig 1 : synoptique du déroulement de lattaque

 SWIFT-hackers-2

Fig 2 : Mode opératoire du Backdoor Banswift

2.     Une longue liste de victimes et un mode opératoire testé

 swift_attacks

Fig 2 : Des actions internationales touchant de nombreux acteurs Bancaires

Cette image démontre les banques impactées par les attaques utilisant les faiblesses de SWIFT tout en l’utilisant pour transférer des montants atteignant des sommes colossales : 951 Millions de Dollars pour la seule attaque sur la banque Centrale du Bengladesh.

3.     Une action planifiée qui rapporte gros

 Ces actions ont été planifiées depuis 2013 en respectant un mode opératoire précis :

  • 2013: Un test du fonctionnement du malware sur une petite banque du Bengladesh, la banque SONALI pour un montant de 0.25 Millions de Dollars et une banque Turque qui a été également touchée par cette même attaque et dont le montant n’a pas été révélé.
  • 2014: Aucune attaque. Mais le groupe cybercriminel qui a conçu l’attaque en 2013 peaufine l’approche et planifie un nouveau mode opératoire avec de nouveaux malwares.
  • 2015: La Banque Equatorienne Del Austro est touchée et impacte directement la Banque Wells Fargo : les attaques en double vont s’intensifier, jusqu’à effectuer une autre attaque
  • Attaque effectuée pas en ciblant une banque, mais par un partenaire financier Singapourien (non révélé) qui impacte une banque Slovène dont le montant n’a pas été révélé.
  • 2016: Nouvelles attaques en double et les montants augmentent !

Ces attaques sont effectuées en double : c’est-à-dire que les ordres SWIFT et les malwares associés impactent non pas une seule banque mais plusieurs. Lorsque l’attaque est bien effectuée, elle peut impacter plusieurs banques différentes.

Année Banque touchée Pays Montant Autre banque impactée par l’attaque Pays Montant
2013 Banque Sonali Bangladesh 0,25 M$ Banque Turque inconnue Turquie ?
 
2015 Banco Del Austro Equateur 12 M$ Wells Fargo USA
2015 Partenaire bancaire Singapour 12M$ ? Bank Slovenie  ?
KB Kookmin Bank Corée du Sud ?
Total 24 M$ United Overseas Bank Singapour ?
Australia/New Zealand Banking Group Australie ?
Bank of Tokyo-Mitsubishi Japon ?
Mizuho Corporate Bank Japon ?
ICBC Hanoï Vietnam ?
Unicredi SPA Italie ?
ICBC New-York Branch USA ?
Tien Phong Bank Vietnam BLOCKED
2016 Bangladesh Bank Bangladesh 951M$ Réserve Fédérale Américaine USA 20M$
Banco Del Austro Equateur 12 M$
Total 963 M$ 20 M$

En 2013, le test a été effectué sur la Banque SONALI pour un montant déjà important, mais faible comparé à ceux des attaques actuelles. Il est important pour les cybercriminels de tester l’attaque avant qu’elle ne passe dans un autre mode d’action. Ensuite, en 2015, la Banque Equatorienne Del Austro est impactée une première fois pour un montant de 12 Millions de Dollars vers la Wells Fargo. L’attaque se poursuit (voir tableau 2) en impactant 4 autres banques DE Hong-Kong (HSBC et Hang Seng). Une Banque de Dubaï (non indiquée) est également impactée ainsi que la Citibank et, de nouveau la Wells Fargo. Les montants sont conséquents : 9,1 Millions de Dollars puis 1 Million pour la Banque de Dubaï et 1,8 pour la Citibank et 1,5 Million pour la Wells Fargo. Seul le montant de la Banque Hang Seng n’est pas indiqué. Le total de cette attaque en gain pour les cybercriminels est de 25,4 Millions de Dollars.

Quelques semaines plus tard, les cybercriminels rééditent cette attaque, mais cette fois en passant par un intermédiaire financier de Singapour pour voler 12 Millions de Dollars. Cette nouvelle attaque en double cible une banque Slovène et, de nouveau des banques situées dans l’hémisphère Sud ( Corée du Sud, Australie, Japon, Vietnam) avant de revenir en Europe, plus précisément en Italie pour toucher la Banque Italienne UNICREDI, de passer par New York via ICBC puis de revenir au Vietnam par la Banque Tien Phong qui ne sera pas un succès car l’attaque est stoppée.

Les montants des attaques ne sont pas indiqués. Il est à supposer que la divulgation des sommes pourrait porter un préjudice d’image auprès des clients de ces mêmes banques.

  • 2016: Banque Centrale du Bengladesh : 951 Millions de Dollars volés. La Réserve Fédérale Américaine est également impactée pour une somme faible : 20 millions de dollars (un test pour une attaque plus virulente par la suite ?).
  • Il y a juste une dizaine de jours, la Banque Equatorienne Del Austro, (déjà touchée par une attaque en 2015) est de nouveau impactée pour 12 Millions de Dollars. L’attaque en double est stoppée sur la Banque Sri-Lankaise Pan Asia Bank, mais touche la banque Philippine RCBC Bank pour 81 Millions de Dollars.
  1. Blanchiment de l’argent volé

Les vols de l’attaque effectuée sur la Banque Philippine RCBC ont été blanchis via trois casinos :

  • Weikang Xu
  • Solaire Resort
  • Eastern Hawaï Leisure

Les 81 Millions de dollars sont donc bien transférés vers le groupe de cybercriminels en passant par ces casinos. Est-ce que le même procédé aurait été utilisé lors des précédentes attaques ? Cela est bien possible. Les investigations actuelles n’ont démontré que ces trois acteurs pour le moment.

Tableau 2 : Attaques secondaires effectuées en même temps que l’attaque principale

Autre banque touchée par l’attaque Pays Montant Argent Blanchi par Pays Montants
HSBC Bank Hong-Kong 9,1M$
Hang Seng Bank Hong-Kong ?
? Bank Dubaï 1M$
Citibank USA 1,8M$
Wells Fargo USA 1,5M$
Total 13,4 M$
CASINOS
Weikang Xu 31M$
Pan Asia Bank Sri Lanka BLOCKED Solaire Resort 29M$
RCBC Bank Phillipines 81M$ Eastern Hawaï Leisure USA 21M$
94,4M$ 81 M$
Total Global 1077,4 M$

4.     Est-ce que ces attaques vont continuer ?

Les attaques ont permis aux cybercriminels d’utiliser le système SWIFT en utilisant des malwares spécialisés que sont les Backdoors de divers types. Egalement, via le logiciel Access Alliance installé sur des systèmes d’information de banques, situés dans des pays qui ne procèdent pas à une véritable lutte contre la fraude, ou qui ne gèrent mal leur sécurité opérationnelle, ces attaques ont été un succès même si, dans les attaques, il y ait eu de rares détections et des tentatives qui n’ont pas abouti, le modèle d’attaques en double continuera de persister.

Bien que SWIFT ai effectué une mise à jour de son logiciel client Access Alliance, l’étude des attaques montre que les cybercriminels possèdent une solide connaissance des procédures de transferts de fonds via ce système et les systèmes anti fraudes existant dans les banques Européennes. Alors que, même si la mise à jour du logiciel client permet d’éviter l’utilisation frauduleuse des systèmes d’autorisation des transferts de fonds, c’est aux banques de prendre l’initiative de protéger plus efficacement ce système en ayant une meilleure sécurité antivirale et en étant tout aussi actifs dans la lutte contre la fraude.

La gouvernance de la cybersécurité :un atout majeur pour les entreprises

Publié le par

tbesTableau de bord de gouvernance organisationnelle

Gouverner, voilà un mot que les hommes politiques aiment. Mais il ne s’agit pas, dans le contexte de la cybersécurité, du même type de gouvernance. Gouverner la sécurité de l’information et la cybersécurité de l’entreprise passe par un type de gouvernance précis et qui allie deux spécialités complémentaires qui garantissent la sécurité globale de l’information de l’entreprise : la sécurité opérationnelle et la sécurité organisationnelle.

Qui gouverne la sécurité de l’information de l’entreprise ?

Le CISO (Chief Information Security Officer) ou RSSI (Responsable de la Sécurité du Système d’Information) est le garant même de cette gouvernance. Il est , en fait, le stratège même de celle-ci, et il n’agit pas seul, car il conçoit cette gouvernance avec les dirigeants de l’entreprise afin de permettre que ce qu’il conçoit pour gouverner la sécurité de l’information, rejoigne les objectifs d’affaires de l’entreprise. Gouverner la sécurité de l’information suppose déjà d’accepter de ne pas être seul. La cybercriminalité existante à l’extérieur des murs de l’entreprise et les actions possibles d’utilisateurs en interne peuvent compromettre la sécurité de l’information, car elle n’est pas uniquement numérique mais aussi de nature physique. Beaucoup d’entreprises n’ont pas mis en place une réelle sécurité de l’information car cela suppose des investissements importants, et c’est justement en émettant cette pensée cette pensée que ces entreprises se trompent. Qu’est-ce qui est le plus important pour l’entreprise ? Engranger davantage de profits. Malheureusement, ce modèle oublie que pour assurer sa rentabilité, une entreprise doit de se protéger efficacement contre toutes sortes de malversations pouvant, en peu de temps, mettre en danger la vie même de l’entreprise, entraînant, du même coup des crises pouvant nuire à son image de marque jusqu’aux  aux salariés eux-mêmes voire à l’existence de l’entreprise.

Alors que se doit de faire une entreprise pour sauvegarder son image, ses services et ses affaires ? La réponse est dans la mise en place par le RSSI, en étroite collaboration avec les dirigeants de l’entreprise, d’une gouvernance qui va allier politique, directives et procédures de sécurité avec la sécurité opérationnelle déjà en place, le tout géré par des outils logiciels et de management de la sécurité de l’information qui vont lui permettre de réellement gouverner la sécurité de l’information de l’entreprise dans son ensemble et ainsi, de garantir la pérennité des affaires.

Comment créer une véritable gouvernance de  la sécurité de l’information ?

Les normes internationales de sécurité de l’ISO (27001,27002, 27005 et suivantes) permettent au RSSI de mettre en place un système de management de la sécurité de l’information (SMSI), via la norme ISO 27001 par le mise en place de politiques , de directives et de procédures de sécurité mais cela n’est pas suffisant : les bonnes pratiques de sécurité ISO 27002:2013) est là pour aider le RSSI à mettre en place les bonnes pratiques de sécurité, au sein même de l’entreprise. Enfin, le RSSI s’appuie également sur d’autres personnes qui gèrent dans l’entreprise les aspects opérationnels de la sécurité : Le RSO (Responsable de la sécurité Opérationnelle)  lui, gère la sécurité opérationnelle de l’entreprise au niveau des technologies de sécurité implémentées sur le système d’information pour assurer la sécurité de celui-ci. Le CIL (Correspondant Informatique et Libertés), le services des ressources humaines et les Responsables juridiques doivent également l’assister dans la gouvernance de la sécurité de l’information.

Gouverner c’est prévoir :

Notre cabinet de conseil assiste ses clients dans la mise en place de la gouvernance de la sécurité de l’information et également dans le renforcement de cette même sécurité via des missions de conseil et d’assistance auprès des RSSI et des DSI. Les cybermenaces sont bien réelles et plus de 70 % des entreprises Françaises ne sont pas suffisamment bien protégées et, vu cet état de fait, ne gouvernent pas la sécurité des informations qu’elles produisent. Les récentes attaques les plus médiatisées (ainsi que d’autres qui le sont moins) sont là pour attester de la véracité de ces informations. C’est pour cela que l’adage « Gouverner c’est prévoir » prend tout son sens. Que vous soyez une PME ou une grande entreprise, il vous faut dès maintenant penser à véritablement gouverner votre sécurité.

Ces derniers mois, nous avons constaté que cette gouvernance organisationnelle et opérationnelle est parfois mise en place mais en oubliant un facteur essentiel dans sa mise en place dans l’entreprise : informer les collaborateurs de l’entreprise via des sessions de sensibilisation. Mais il n’y a pas que les collaborateurs qu’il faut sensibiliser : les dirigeants également. Trop souvent, les attaques ont lieu et les entreprises ont beaucoup de mal à y  faire face car les dirigeants n’ont pas pris les mesures nécessaires car étant eux mêmes non sensibilisés. Les réseaux cybercriminels sont devenus très puissants financièrement et rivalisent d’ingéniosité et commettent des attaques de plus en plus sophistiquées. Cette course technologique n’oublie pas les techniques d’ingénierie sociale qui vise à utiliser les collaborateurs des entreprises comme transmetteurs d’informations via des contacts directs (par téléphone) ou par des rendez-vous et même via des technologies logicielles capables de remonter des informations sensibles. Alors, que vont faire maintenant les dirigeants des entreprises Françaises en 2016 ? Faisons ensemble mentir ces statistiques qui indiquent un niveau de sécurité moyen des entreprises Françaises et apprenez à véritablement gouverner la sécurité des informations produites par votre entreprise et vous mettrez véritablement en place ce système double de gouvernance qui permettra à votre entreprise d’être enfin prête à faire face et à réagir de la meilleure façon qui soit face aux attaques : avec l’exigence, la rapidité et l’efficacité voulue afin que votre entreprise et vos affaires soient pérennes.

Sommes nous vigilants à propos de la Surveillance ?

Publié le par

Ce que l’on appelle la Cyber-surveillance sur Internet existe réellement. Ce n’est pas de la science fiction comme vous le démontre cette vidéo très bien résumée sur la question. Voici un autre article publié sur notre second blog  et mis à jour aujourd’hui à propos de la cyber-surveillance et pourquoi nous n’y attachons que bien peu d’importance, alors qu’elle est tout aussi dangereuse que la cybercriminalité.

Pourquoi le grand public ne protège pas sa vie numérique ?

Bonjour à tous,

greenwald

Dans un article précédent, nous avons évoqué l’excellent livre de Glenn Greenwald “Nulle part où se cacher” qui révèle les informations que l’ancien consultant de la NSA Edward Snowden à transmis à Glenn Greenwald, journaliste du Guardian et ancien avocat, afin de révéler au monde les incroyables atteintes à la vie privée des internautes au niveau international perpétrées par la NSA depuis sa création et qui se révèlent être d’une ampleur sans précédent.

Glenn Greenwald effectue aussi des conférences, et il vient d’être interviewé par le site internet d’information alternative Alternet qui révèle que le grand public ne protège pas assez sa vie numérique. Cela est également le cas des  entreprises. Il est vrai que les informations transmises par Edward Snowden ont de quoi faire bondir n’importe quel internaute où RSSI, tant les informations transmises sont exactes, vérifiées et ont été publiées par de nombreux articles (journaux, internet, télévision) au niveau international. Malgré ces informations, le grand public peine à croire que leur communications par mail,par téléphone, sur internet où via les réseaux sociaux ne peut intéresser les services de la NSA car il n’y a rien de dangereux où que leur vie est trop “banale” pour être ainsi sous surveillance. Ce que révèlent les informations transmises par Edward Snowden c’est que chaque internaute est la cible et que la somme d’informations collectées par jour remplit des datacenters de la NSA. Cette incroyable somme d’information collectée à l’insu des personnes serait-elle faite à d’autres fins que celle prônée depuis le 11 septembre 2001 à savoir de protéger la nation Américaine   contre toute attaque terroriste ?

Pourquoi protéger sa vie numérique ?

Le principe de la vie privée, c’est qu’elle l’est pour tout le monde et que personne n’a le droit de venir “voir” ce qui se passe sur un ordinateur où de tout savoir sur vos moindre faits et gestes, hormis si vous avez agi à l’encontre de la loi et que vous faites l’objet d’une surveillance connue et vérifiée par les services de police et de la justice et que celle ci soit bien encadrée et vérifiée. Mais, ce qui est vrai, c’est que  la surveillance orwellienne de la NSA existe bel et bien et ce n’est pas de la science-fiction.Tout le monde à l’échelon international fait l’objet de cette surveillance (également faite par des pays alliés des États-Unis) et c’est pour cela que des hommes de courage que sont les lanceurs d’alerte informent les internautes par voie de presse et par Internet via des sites d’information alternatifs afin que cela cesse. Ce sont des êtres courageux qui risquent leur vie afin d’apporter au plus grand nombre des faits qui portent gravement atteinte à la vie privée.

Protéger sa vie privée, que l’ont soit en utilisation privée où professionnelle, est normal et ce n’est pas anormal ni malvenu de le faire. Ce n’est pas pour cacher quoi que ce soit que cela devient nécessaire car il est constaté  que les risques ne sont plus uniquement d’origine criminelle, mais qu’ils viennent aussi de services gouvernementaux qui sont sensés protéger les nations contre toute forme de terrorisme. Edward Snowden à raison de nous avoir ainsi informé et nous vous demandons d’en savoir davantage en lisant le livre de Glenn Greenwald.

Des outils simples de protection

Tout d’abord, pensez à protéger votre ordinateur (portable, de bureau, votre tablette et votre téléphone) contre toute intrusion. Les anti-virus ne sont plus à même de vous protéger car ils sont maintenant technologiquement dépassés, vu que les techniques d’attaque ont progressé et que les fichiers malveillants sont étudiés pour devenir presque indétectables par les techniques classiques utilisées par les anti-viraux. Pour les particuliers et les entreprises, les logiciels de sécurité globale existent.Comme nous sommes en France, des solutions Françaises et Européennes existent.

Logiciels pour les particuliers

Ces logiciels sont créés par des sociétés connues, qui, depuis plusieurs décennies sont spécialisées en sécurité globale de l’information. Ces outils comportent :

  • Firewall (pare feux)
  • Systèmes anti-intrusion (IDS-IPS) de dernière génération
  • Anti-virus (internet, courrier électronique, fichiers incluant des systèmes d’analyse heuristiques et de chat)
  • Anti-spam
  • Anti-Bannière (enlève les bannières publicitaires qui peuvent contenir des liens malveillants lors de la navigation)
  • Systèmes de protection bancaire (sécurité des achats en ligne)

Ces logiciels sont disponibles chez Kaspersky Labs, Trend Micro et Panda Security

Vous doter de l’une de ces solutions est le premier acte de sécurité et de protection de votre vie privée à mettre en place.Si vous avez une solution de sécurité de “base” de type gratuiciel, il faut tout d’abord désinstaller le logiciel et de procéder ensuite à l’installation de votre solution de sécurité.
Une fois installée sur votre ordinateur (qu’il soit sous Windows (Vista,7 et 8.1, Linux ou Mac Os), analysez votre disque dur pour savoir si votre ordinateur (bureau, portable où tablette) est infecté où possède des fichiers malveillants. Une fois que votre solution de sécurité aura balayé la totalité de votre ordinateur par une analyse approfondie, votre terminal est donc protégé contre toute action malveillante.Toutes ces solutions sont disponibles par téléchargement et en essai durant un mois. Vous achetez la licence quelques jours avant l’expiration de l’essai.

Comment mieux protéger votre vie privée sur Internet

Evitez d’utiliser les navigateurs Internet Explorer et Google Chrome (ils sont vulnérables et gardent les traces de votre navigation). Nous vous conseillons Mozilla Firefox qui est développé par la fondation Mozilla et qui milite très activement pour un Internet libre. Dans sa dernière version (43.0.4), les développeurs ont tout prévu pour que vous avez une vie plus privée lors de vos voyages sur la toile. Coté courrier électronique, n’utilisez pas Outlook mais plutôt Mozilla Thunderbird. Une fois le lecteur installé, vous pouvez définir, grâce aux assistants votre où vos comptes de courrier électronique. C’est simple et facile à utiliser.

Afin de communiquer par courriel avec davantage de sécurité, (que vous communiquiez avec vos proches où vos amis où que vous soyez un professionnel indépendant par exemple), un outil supplémentaire de signature électronique et de cryptage de vos fichiers en pièces jointes existe en complément de Thunderbird. Il s’agit d’Egnimail.Vous pourrez ainsi avoir une meilleure vie privée lorsque vous envoyez où recevez des courriels. Une autre application est intéressante pour vous qui passez du temps à échanger avec vos amis en utilisant votre outil de chat (clavardage) préféré qui n’est autre que Pidgin.Pidgin est un client de messagerie instantanée (MI) gratuit et de source ouverte qui vous permet d’organiser et de gérer vos différents comptes de messagerie instantanée avec une seule et unique interface. Avant de commencer à utiliser Pidgin, vous devez disposer d’au moins un compte de MI. Par exemple, si vous possédez un compte de courriel Gmail, vous pouvez utiliser le service de MI Google Talk avec Pidgin. Utilisez les détails de connexion associés à votre compte de MI pour y accéder via Pidgin. Déjà, avec ces simples outils, vous vous permettez d’avoir une vie privée numérique.

Pour les téléphones mobiles

Nos smartphones sont de véritables ordinateurs portables et sont, eux aussi attaqués par les cybercriminels pour les données qu’ils contiennent et également par les Etats. Echanger des sms entre amis ou pour des messages plus confidentiels dans le cadre de votre travail, vous pouvez télécharger sur votre Store préféré (pour Android et IOS) l’application Signal.Elle crypte vos échanges et vous préservez ainsivotre vie privée.

Les solutions pour les entreprises

Pour les entreprises, et ce, quelque soit leur taille, la vie privée numérique est essentielle car elle permet de protéger le patrimoine numérique de l’entreprise, surtout lors des échanges par courriel. L’exemple précédent pour les particuliers de Thunderbird est éloquent car, dans bon nombre d’entreprises, ce sont les serveurs Microsoft Exchange qui sont utilisés comme serveurs de courriel et comme lecteur Outlook qui est installé sur les postes de travail sous Windows.Pourquoi ne pas utiliser Thunderbird et Egnimail comme solution tout en rattachant les comptes sur le serveur Exchange de l’entreprise ?

A propos de la sécurité opérationnelle en entreprise

Il est important de savoir pour vous qui êtes en entreprise que beaucoup de solutions de sécurité, de gestion du réseau et d’appliances dédiées à la sécurité des données sont d’origine Américaine. Hors, depuis les attentats du 11 septembre 2001, une loi importante à été votée: le Patriot Act (qui est toujours en vigueur).
Le gouvernement Américain de l’époque à demandé à toutes les sociétés technologiques du pays de collaborer et de permettre à la NSA de pouvoir intercepter des communications au travers de portes dérobées (backdoors) où de puces installées en usine dans les routeurs où dans des appliances, ce qui est  le cas de Cisco.

Les grandes entreprises de l’Internet (Google, Facebook, Twitter…) ont été également pointés du doigt depuis le premières révélations d’Edward Snowden.Vu ces dispositions offertes par la loi,  la NSA est donc constamment informée par ces dispositions techniques de ce qui est conçu, produit et vendu dans les entreprises étrangères : c’est donc de l’intelligence économique directe. En matière de sécurité informatique, il ne s’agit plus de combattre le cybercrime “classique” mais également d’empêcher toute intrusion dans le système d’origine gouvernementale. Plusieurs entreprises se tournent actuellement vers des solutions Françaises et Européennes pour éviter cet “espionnage économique” mais également de permettre aux utilisateurs d’avoir des échanges électroniques plus sûrs . Il faut dire que les solutions Françaises (Wallix, 6cure, Bee ware et d’autres solutions Européennes sont techniquement très en avance par rapport à leurs consoeurs Américaines. Ce qui est dommage, c’est qu’elles sont moins connues (marketing moins agressif).

Comment mieux protéger la vie privée des entreprises ?

Devant une telle complexité pour assurer la sécurité de l”information, il est à conseiller de faire externaliser la sécurité opérationnelle et d’être conseillé par des consultants qui, grâce à leur expérience et leur pragmatisme, vous assisteront à gouverner la sécurité de l’information de votre entreprise. Plusieurs grands acteurs existent sur le marché. Nous tenons à vous faire part de l’existence d’un acteur moins grand mais qui, de par son professionnalisme et la  rigueur des équipes, est là pour vous permettre d’accroître considérablement le niveau de sécurité de l’information de votre entreprise. Voici notre recommandation. La société Française Conix possède un centre opérationnel de sécurité et des équipes dédiées à la sécurité opérationnelle et organisationnelle.

Nous espérons que cet article vous permettra d’avoir une meilleure vie privée numérique, tant au niveau de votre vie personnelle qu’au niveau professionnel.

Meilleurs voeux et bonne sécurité

Publié le par

En ce début du mois de janvier 2016, le cabinet Expert Security vous adresse ses meilleurs voeux de santé, de bonheur et de réussite pour cette nouvelle année. Aussi, ces voeux sont aussi tournés vers une meilleure sécurité pour votre entreprise, mais qu’est-ce une « meilleure sécurité » en 2016 ?

Comment avoir une meilleure sécurité en 2016 ?

La sécurité informatique à évolué ces dernières années pour se globaliser au sein de l’entreprise. Sécuriser l’information même de l’entreprise est maintenant devenu une obligation. Sécuriser les informations numériques de votre entreprise exige de gouverner la sécurité technologique qui permet de protéger votre système d’information des accès non autorisés, mais également de lutter pour une meilleur sécurité antivirale, d’avoir beaucoup moins de spams et d’éviter que des données sensibles (numéros de cartes bancaires sur les sites internet commerciaux par exemple) et les données confidentielles de votre entreprise ne se retrouvent dans les méandres du Deep Web * voire du Dark Web ou Dark net*, entre les mains des réseaux cybercriminels.

Cette sécurité technologique doit être bien gouvernée, c’est à dire qu’elle soit bien gérée et suivie au quotidien par vos équipes, voire par des consultants externes spécialistes de la sécurité dite « opérationnelle » de votre système d’information. Pour aller plus loin dans la sécurité globale de l’information de votre entreprise, il faut alors créer une sécurité dite « organisationnelle » qui elle, est gouvernée par un Responsable de la sécurité des Systèmes d’Information (RSSI). Ce ou cette responsable aura en charge de créer des politiques de sécurité, des directives et parfois des procédures spécifiques à la sécurité de l’information, mais également de gérer cette même sécurité via des tableaux de Bord de sécurité qui sont présentés en comité de direction afin de permettre aux dirigeants de voir ce qu’est cette sécurité à deux visages managée par le département informatique.

Pourquoi sécuriser l’information ?

Les réponses à cette question sont multiples. Mais la plus importante à donner est que l’information de votre entreprise intéresse les cybercriminels qui, mis à part leurs possibilités d’attaques directes ou indirectes sur votre système d’information, ils s’intéressent également à d’autres techniques dites d’ingénierie sociale (manipulation de l’être humain) pour accéder par d’autre biais aux informations de toute nature (de la moins confidentielle à la plus critique). Donc, sécuriser la patrimoine informationnel de votre entreprise est primordial. Les normes internationales et les lois Européennes et Internationales vous y obligent: il y a une obligation réglementaire qui s’applique afin de renforcer la sécurité de vos informations, quelles soient documentaires ou numériques.

Des risques en constante augmentation

Les nouvelles attaques informatiques se sont concentrées en 2015 sur les nouveaux types de fichiers malveillants pouvant détecter les systèmes de sécurité antivirales et de s’installer sur votre système d’information à votre insu et de ne pas être détectés. Il est important pour votre entreprise de prendre conscience de l’évolution de ces risques viraux et de modifier la politique antivirale et les systèmes antiviraux existants sur votre système d’information afin de pouvoir contrer ces nouvelles menaces. Dans l’article précédent, nous vous parlons de ces nouveaux malwares.  Les risques actuels sont également orientés vers la modification de vos données à distance par les cybercriminels. Le but de ces manipulations étant de modifier l’image de votre entreprise via ce type d’attaque, qui est bien plus destructrice que le vol même de vos données. La cybercriminalité évolue mais elle n’est pas la seule à porter atteinte à vos informations : Aujourd’hui, la cybersurveillance de masse existe également via des états désireux de connaître les actions des entreprises sous couvert de lutte contre le terrorisme. La question à se poser est : qui vous surveille ?

Toutes les entreprises menacées ?

Oui, toutes les entreprises, quelque soit leur taille intéresse les cybercriminels et les Etats. Les médias font état d’attaques informatiques spectaculaires, mais sachez qu’à l’heure actuelle, toutes les entreprises sont visées, attaquées par diverses techniques. Comment donc se protéger ? Déjà, il s’agit pour vous de ne pas tomber dans le déni car sachez que les cybercriminels et les Etats sont très bien outillés techniquement et hautement financés. La sécurité de l’information de votre entreprise passe par cette prise de conscience, sans toutefois tomber dans la paranoïa et la peur.

Protéger efficacement les informations s’effectue par la sensibilisation à la sécurité et via l’assistance de consultants qui, durant une mission de courte, moyenne ou de longue durée, vous permettent de renforcer la sécurité de votre système d’information et de la sécurité globale de l’information de votre entreprise. Alors, pour une meilleure sécurité en 2016, n’hésitez pas, osez !

Les nouveaux Malwares et la sécurité de votre système d’information

Publié le par

nemanja

Les nouveaux malwares (fichiers malveillants) sont de plus en plus évolués de part leur conception et également dans les objectifs qu’ils sont censés atteindre. Les derniers en date comme Carbanak ciblent les institutions financières (banques) et volent non seulement des données, mais également transfèrent de l’argent au moyen de virements (entre 300 Millions à Un milliard de $ de « recette »). Ce malware existe depuis 2013 et à fait l’objet d’une étude d’ingenierie inverse du code effectué par les chercheurs en sécurité de l’éditeur Kaspersky Labs.

Ingénierie sociale et développement de haute qualité

Le groupe de cybercriminels qui à créé ce malware à étudié durant une longue période les cibles a atteindre afin de connaître leur personnel, les adresses mail des employés des banques et ont développé un fichier malveillant capable d’effectuer différentes tâches comme, par exemple,une recherche de la solution de sécurité antivirale ou d’analyse existante sur le système d’information ciblé et, une fois la solution découverte par le malware, de  transformer le fichier transféré en un fichier tout à fait banal afin de ne pas être découvert durant l’analyse antivirale. Ce fichier se mettait alors en mode « dormant » afin d’être réveillé par un processus interne à une date et une heure donnée .

Le mode de transmission de ce malware s’effectue par voie de courrier électronique. Les cybercriminels ont créé des mails « officiels »comprenant des documents  joints aux mails reprenant l’apparence de véritables documents internes et envoyés par courrier électronique vers des employés. Les documents joints comprenait le fichier malveillant.
Une fois que l’employé cliquait sur le fichier joint, le malware s’installait alors sur la machine hôte et effectuait un ensemble de contrôles :  (scanner le réseau interne, connaître les adresses IP des distributeurs de billets des agences par exemple et  envoyait ces informations sur des serveurs spécifiques tout en cryptant les informations). Carbarnak comportait un outil d’administration à distance, piloté par les cybercriminels et, grâce à celui-ci, ont pu transmettre des ordres de virement de fonds depuis les distributeurs de billets vers des serveurs cachés en utilisant les services d’administration à distance des  distributeurs de billets, et les fonctions de virement existants . Ainsi, les cybercriminels ont pu voler des sommes colossales aux banques ciblées. Les montants volés par les transactions ne dépassaient jamais un certain plafond durant les transferts, ce qui permettait à ces mouvements financiers de ne pas être découverts par les systèmes d’alerte des banques relatifs aux montants des fonds transférés depuis leurs systèmes vers l’extérieur.

Comment lutter contre ces nouvelles menaces ?

Les solutions de sécurité antivirales basées sur des signatures de fichiers malveillants découvertes par les éditeurs de logiciels antiviraux ne sont plus à même de faire face à ce type d’attaque pour bien protéger les serveurs des entreprises et les stations de travail des utilisateurs vu que les paramètres techniques deviennent complexes :

  • le nombre de variantes des APT (Advanced Persistent Threats) conçus par jour est en constante augmentation
  • la complexité de ces nouveaux « virus » du point de vue développement est très avancée
  • L’entrée de nouveaux fichiers comportant des fonctions de cryptage de données appelés Cryptolokers (Cryptoloker 4.0 est le plus avancé :  cryptage de disques durs et demande de rançon par les cybercriminels pour « débloquer » le disque dur affecté ou le serveur affecté). Ces fichiers sont appelés Ransomwares.

Partant de ce constat, peu d’éditeurs de solutions antivirales ce sont lancés dans des développements spécifiques de nouvelles solutions embarquant des fonctions d’analyse issues de l’intelligence artificielle permettant une analyse complète des flux entrants et du code malveillant et mettant en place une zone sécurisée permettant au logiciel antiviral d’effectuer une analyse complète des fichiers ayant un comportement « suspect » voire anormal (bac à sable ou zone d’analyse sécurisée).

Les seuls éditeurs ayant conçu des solutions avancées sont les suivants :

  1. Panda Security avec leur solution Adaptive Defense
  2. Kaspersky Labs (solutions entreprises)
  3. Trend Micro avec la solution Deep Security

Il est important que la solution de sécurité puisse analyser les comportements à risques des fichiers pouvant porter atteinte à votre système d’information.

Conseil : Si vous utilisez une solution de sécurité pour vos serveurs à base de signatures, mettez à jour les fichiers de définition toutes les heures et renforcez également votre système d’information par des analyses des flux entrants via les firewalls  périmétriques de dernière génération ou par des firewalls applicatifs (Beeware par exemple) et les proxys de dernière génération (blue coat ). Dans un même temps, la sécurité des terminaux utilisés par vos employés est également à renforcer (pc fixes, ordinateurs portables, tablettes numériques et smartphones) via des solutions de sécurité baptisées Endpoint Security. Pour les smartphones, les applications sur IOS et sur Androïd existant sur les plateformes d’applications. Installez les applications de la solution de sécurité qui protège votre informatique (voir liste plus haut).

Le renforcement de la sécurité antivirale est primordiale à l’heure actuelle et ce, quelque soit la taille de votre entreprise. Toutes les entreprises sont visées car ce qui intéresse les cybercriminels, ce sont les données qu’ils volent afin de les revendre. Renforcer la sécurité de votre patrimoine informationnel est donc un enjeu majeur.

Corriger les vulnérabilités

En étroite association avec la lutte antivirale, corriger les vulnérabilités des systèmes et des logiciels que vous utilisez sur votre système d’information est également à mettre en pratique. Effectuez des audits de vulnérabilité de vos serveurs et de vos stations de travail afin de connaître votre niveau de vulnérabilité qui peut permettre aux cybercriminels d’atteindre vos systèmes en utilisant les bugs non corrigées via des attaques spécifiques.

Vous pouvez faire appel à nos consultants pour différentes missions de courte, moyenne et longue durée afin de vous permettre de renforcer la sécurité de votre informatique et du patrimoine informationnel de votre entreprise.

Informations complémentaires

 

 

 

Gemalto ou le vol de données par la cyber intelligence gouvernementale

Publié le par

malware

Edward Snowden avait raison lors de ses premières interviews auprès de Glenn Greenwald du Guardian, l’Agence Nationale de Sécurité Américaine, la fameuse NSA espionne au niveau mondial, aidée également par des pays amis, via leurs propres services de Cyber intelligence. C’est ce qui vient d’arriver à la prestigieuse société internationale de sécurité sur carte SIM qu’est la société Française Gemalto. Ce qui est incroyable sans cette histoire, c’est non seulement pour le niveau technique des attaques perpétrées par les services Anglais du GCHQ (British counterpart Government Communications Headquarters) et de la NSA (National Security Agency), qui, ensemble on volé les clés d’encryptage des cartes SIM de Gemalto.

Dans quel but une telle attaque envers une grande société a-t-elle été commise ? Dans un document remis par Edward Snowden en 2010 à Glenn Greenwald, il est révélé la surveillance de masse via les téléphones mobiles par le GCHQ. Hors, nos téléphones mobiles utilisent dans la carte SIM qu’ils embarquent, des clés de cryptage qui permettent aux opérateurs de bien reconnaître que vous êtes l’utilisateur de votre téléphone.Le groupe Gemalto fabrique pour plus de 450 opérateurs de télécommunication internationaux dans 85 pays ces puces sécurisées qui ont permis à Gemalto, de devenir la société la plus évoluée et la plus reconnue dans le domaine au niveau mondial.

Une attaque de cette envergure permet donc aux deux agences Américaine et Anglaise d’avoir accès à des millions de téléphones mobiles et d’écouter, d’avoir accès et de pouvoir intercepter les communications et des documents transmis en dehors de toute demande officielle validée et surveillée par un juge. Dans ce cas-ci,  les attaques ont été perpétrées sur leur réseau interne mais également sur les employés. Un espionnage hulain et technologique de haute volée…Tout à donc été minutieusement préparé à l’avance et, chez Gémalto, c’est la consternation. Sécuriser une telle société est un travail titanesque car il faut penser à tout. Chaque processus de sécurité est créé, analysé, testé et approuvé avant toute mise en oeuvre. Il est facile d’imaginer que les technologies de sécurité les plus avancées sont utilisées par Gemalto et que tout est bien gouverné, aussi bien en sécurité opérationnelle qu’en organisationnelle. Je n’ose imaginer ce que cette attaque peut provoquer dans l’esprit du Directeur de sécurité et des équipes concernées.

Ce qui m’étonne, c’est l’apparente facilité avec laquelle les deux agences ont pu avoir accès à ces données confidentielles. Je me suis souvent dit que les lois Américaines dans le domaine technologique ont évolué dans le temps après les attentats du 11 Septembre 2001, et que certaines de ces lois demandent aux sociétés Américaines de technologie de laisser les portes d’entrée à la NSA sur les produits technologiques fabriqués aux Etats-Unis.

La sécurité informatique opérationnelle est le domaine dans lequel tous les accès informatiques sur un réseau d’entreprise sont systématiquement filtrés, analysés et interceptés par des logiciels ou des appliances de sécurité (firewalls, firewalls applicatifs,systèmes antiviraux…) lorsque cela est nécessaire. Hors, comment croire que, lors de cette attaque, lors des analyses post-mortem effectuées sur des serveurs et des portables des employés qu’aucune trace n’est été décelée ? Après réflexion, je me dis que les portes d’entrée sont donc bien réelles et que, grâce aussi à des fichiers malveillants dormants et redoutablement efficaces déposés aux endroits stratégiques (serveurs, postes de travail) quelques mois auparavant, les données ont pu être transmises aux agences, sans créer d’alerte. Si cela était prouvé, cela viendrait à dire que les produits d’origine Américaine seraient à proscrire sur les réseaux vu la cyber surveillance existante et qu’une grande majorité de sociétés Françaises et Internationales devraient prendre des mesures radicales quand à leurs choix de fournisseurs de solutions de sécurité.

Une affaire à suivre…

Il est important de savoir quelles vont être les décisions prises par Gemalto et quelles vont être les suites de ce piratage et espionnage. Tout comme les autres grandes sociétés qui, fin 2014 ont défrayé la chronique comme Target, le cas de Gemalto nous pousse a être bien plus vigilants encore qu’auparavant. Non seulement la cybercriminalité « classique » est très active, il faut maintenant prendre d’autres mesures plus strictes encore pour avoir une véritable sécurité opérationnelle et organisationnelle pour protéger le patrimoine informationnel des entreprises.

 

En route vers 2015

Publié le par

Chers lecteurs,

Nous nous dirigeons vers la nouvelle année très rapidement. Toute l’année 2014 à été marquée par des attaques nouvelles effectuées par l’utilisation de vulnérabilités qui n’avaient jamais été corrigées, des attaques DDOS de plus en plus actives, de nouveaux fichiers malveillants de plus en plus sophistiqués (REGIN en est le parfait exemple). Face à ces nouveaux risques, l’arsenal de protection s’étoffe également de nouvelles possibilités, que ce soit pour être davantage protégé contre les Denis de service , les nouveaux APT et le vol de données financières.

Notre cabinet est heureux et fier d’apporter à ses clients son expérience afin que votre patrimoine informationnel soit davantage protégé et vous souhaite une très bonne année 2015 !

N’hésitez pas à lire les articles précédents et à nous rendre visite sur notre site internet.

En route vers 2015 !