Des attaques dont les objectifs sont souvent difficiles à cerner

L’actualité le montre trop régulièrement, les actes cybercriminels se multiplient et visent tous types d’organisation. Certains sont revendiqués et leurs objectifs sont rapidement connus. C’est le cas pas exemple de l’attaque visant le site Ashley Madison où les motivations sont explicites.

Mais dans la plupart des cas, les objectifs de l’attaquant sont beaucoup plus difficiles à identifier ! Il est pourtant crucial de le faire pour pouvoir réagir au mieux et protéger rapidement ce qui n’a pas encore été touché par l’attaque.

Une des clés pour mieux comprendre une attaque consiste à exploiter les erreurs des attaquants. En effet, malgré leur niveau de compétences potentiellement élevé, les pirates restent des humains et commettent souvent des erreurs. Des fautes qu’il est possible d’exploiter pour mieux comprendre l’attaque et la contrer, mais aussi pour identifier ceux à son origine.

Utiliser les erreurs des attaquants pour mieux les comprendre

Le cas récent d’Ashley Madison semble être un bon exemple, même s’il faudra attendre les investigations complètes pour confirmer tous les éléments. Les attaquants auraient diffusé les données volées via BitTorrent en utilisant un serveur loué chez un hébergeur aux Pays Bas. Ils auraient cependant oublié de sécuriser ce serveur, en particulier ils n’ont pas mis de mot de passe sur les interfaces d’administration web. Même si cela ne permet pas de les identifier directement, il s’agit d’une piste de premier choix pour les forces de l’ordre en charge des investigations. Il faut cependant rester prudent car cela peut aussi être une forme de diversion réalisée par les attaquants. Affaire à suivre !

Autre exemple, le cas « Red October ». C’est l’affaire d’une vaste opération de cyber espionnage qui a commencé en mai 2007 et qui a été découverte par le cabinet Kaspersky quelques années plus tard. Le cabinet a réussi à identifier, bloquer et neutraliser le logiciel malveillant en utilisant une faille de l’attaque. En effet, les noms de domaines pour les serveurs d’exfiltration qui étaient utilisés dans le code malveillant n’avaient pas été réservés par les attaquants. Cela a permis à Kaspersky de simuler un de ces serveurs et de voir qui était infecté et quelles données étaient capturées.

Parfois, ces erreurs permettent même d’identifier les auteurs de l’attaque, comme ce fut le cas avec la traque de la personne derrière le malware PlugX.

Nos consultants ont d’ailleurs eux aussi rencontré ce genre de situation dans le cadre d’une attaque ciblée chez un de nos clients. Les pirates avaient en effet « oublié » la présence d’un keylogger sur les serveurs internes utilisés pour l’exfiltration des données, ce qui a permis à nos experts d’identifier quelles données étaient ciblées et où elles étaient envoyées. Nous avons même pu récupérer le login et le mot de passe utilisés par les attaquants. Le concept de « l’arroseur arrosé » remis au goût du jour.

Savoir tirer parti de ces informations pour mieux gérer la crise

Les informations obtenues grâce à ces erreurs sont très précieuses, elles permettent ensuite d’adapter la réponse à l’incident. D’autant plus que les attaquants utilisent parfois des mécanismes de diversion « bruyants » (redémarrage de machines, effacement de fichiers, forte activité CPU, voir déni de service…) afin de détourner l’attention des vrais données qu’ils visent. Une compréhension « métier » des objectifs de l’attaque permet d’éviter de se focaliser sur ces pièges.
Il est même souvent intéressant de laisser l’attaque se dérouler pour mieux la comprendre.

Les réflexes face aux incidents de sécurité « classiques » (déployer des signatures antivirales, réinstaller des serveurs…) sont donc aujourd’hui largement révolus. Il faut adopter une approche dynamique de la crise, s’intéresser à son objectif métier et utiliser les erreurs des attaquants pour être plus pertinent, en pouvant même envisager des réponses « actives » à l’attaque. Un challenge pour les équipes de réponses à incidents, qui doivent adapter leurs méthodologies et leurs réflexes, mais un objectif crucial pour lutter contre ces attaques

Cet article Cybercriminalité : savoir profiter des erreurs des attaquants est apparu en premier sur RiskInsight.

Des virus ou vers massifs : les premiers impacts généralisés

Les codes malveillants ont ensuite évolué, devenant de plus en plus visibles et entraînant des impacts bien réels dans les entreprises. C’est au début des années 2000 qu’ils ont fait le plus parler d’eux. Nimda (2001), Blaster (2003), Sasser (2004), tous ces noms donnent encore des sueurs froides aux responsables des postes de travail ou des réseaux. Ces codes malveillants entraînaient des indisponibilités massives en saturant les réseaux et ont mis en lumière les vulnérabilités et la fragilité du SI. Leurs effets sont somme toute restés limités à des indisponibilités et à des efforts humains importants de nettoyage au sein de la DSI. Conficker marque le dernier évènement marquant de cette catégorie… et il date maintenant de 2008. On trouve encore dans certains SI un peu de ces « anciens » codes malveillants, assez simples à nettoyer et dont on peut se protéger par des mesures basiques (application de correctif, blocage de flux sur les réseaux…).

Au-delà des dénis de service, les malwares deviennent des plateformes d’espionnage et de destruction

Aujourd’hui la situation a bien changé, et depuis le début des années 2010, nous voyons apparaître des codes malveillants d’un tout autre niveau. Des codes très impactants et pouvant provoquer des incidents majeurs. Nous  pouvons citer les malwares « incapacitants » ou « destructeurs », comme ceux ayant visé la Corée ou l’Arabie Saoudite, et ayant entraîné la destruction de postes de travail, ou encore le fameux ransomware Cryptolocker qui rend les données inaccessibles. Dans cette catégorie, Stuxnet représente certainement le code malveillant le plus abouti sur les systèmes industriels.

Certains codes malveillants sont aussi capables de devenir de véritables espions de l’activité d’une entreprise. Les fameux Gauss, Duqu, ou encore très récemment The Mask, sont capables de s’installer sur le SI d’une entreprise, de prendre le contrôle de postes de travail et d’exfiltrer des informations très sensibles sans être facilement détectés. Aujourd’hui ces codes malveillants sont issus de vrais groupes organisés, dotés de moyens importants et d’équipes entraînées. La révélation de The Mask le montre bien : le code malveillant et son infrastructure de contrôle disposaient de mécanismes pour bloquer les équipes des éditeurs de sécurité et une fois révélé, toute l’infrastructure a été décommissionée en 4 jours. L’organisation derrière ce malware avait bien prévu un « kill switch » pour disparaître en cas de compromission. Le changement de niveau technique et de moyens est bien réel, car les enjeux eux aussi ont beaucoup évolué depuis les années 1980 et la digitalisation progressive de notre société.

La fin du support de Window XP verra-t-elle ressurgir des menaces historiques ?

Il est évident que des codes malveillants « avancés » vont être révélés régulièrement. Les attaquants voient tout l’intérêt de continuer à faire évoluer leurs « armes numériques » et la montée en puissance est encore en cours. Les révélations sur la NSA montrent que les services de renseignement ont encore un cran d’avance avec des mécanismes d’attaques avancés, très discrets, et prévus pour se cacher en cas d’investigation.

Mais des problèmes que l’on croyait appartenir au passé reviendront-ils  à court terme ? En effet la fin du support de Windows XP peut faire ressurgir la crainte d’un ver réseau incapacitant qui se répandrait sur les systèmes d’information, utilisant encore cette version du système d’exploitation. La crainte est réelle dans les entreprises face à cet ancien type de menaces, et nous accompagnons de nombreuses structures qui se préparent à cette éventualité en revoyant leur processus de crise et en prévoyant des moyens de réactions et de préventions adéquates aujourd’hui.

Cet article De « I Love You » à « Blaster », va-t-on voir un retour des codes malveillants du passé ? est apparu en premier sur RiskInsight.

Si la gestion de crise lors d’une attaque doit suivre les 4 principes clés évoqués dans notre précédent article, elle doit surtout en intégrer l’anticipation dans ses mécanismes.

Une stratégie à moyen terme basée sur l’anticipation des attaques ciblées

Dès aujourd’hui, il est nécessaire de refondre les processus de gestion de crise. Les scénarios de cybercriminalité doivent être inclus dans les procédures opérationnelles (modalités de réponse, SI spécialisé…). Les relations avec les autorités compétentes doivent être créées ou renforcées dans le but d’accélérer la phase de mobilisation de ces acteurs et de maîtriser les circuits de communication.

Une stratégie de communication claire doit être définie en fonction des acteurs évoluant dans et autour de l’organisation. Les obligations de demain (notification aux clients des fuites de données à caractère personnel…) doivent être anticipées afin de garantir le moment venu un respect des règlementations en vigueur. De ce fait, il ne sera plus possible de garder la confidentialité sur le fait qu’une crise est en cours.

Les attaques ciblées étant souvent constituées d’une somme d’incidents unitaires, il est nécessaire de revoir en parallèle les processus de gestion des incidents pour s’inscrire dans une démarche itérative, garantissant un état de veille constant, une rapidité d’intervention et une prise de recul.

À moyen terme, évaluer son attractivité et connaître ses actifs clés permettent de déterminer les informations attirantes pour des attaquants. Le secteur d’activité et le positionnement sur le marché sont des éléments déterminants. Au-delà de données internes, les relations entretenues avec certains partenaires et / ou clients peuvent augmenter l’attractivité du SI aux yeux d’attaquants. Cette évaluation doit s’inscrire dans une revue régulière des risques avec les métiers.

Enfin, il faut mettre en place des mesures avancées pour permettre une sécurisation renforcée des cibles identifiées avec les métiers en sanctuarisant les périmètres les plus sensibles (applications métiers clés, VIP / COMEX…) mais aussi les systèmes techniques clés (serveurs et postes d’administration, infrastructure à effet d’amplification comme la télédistribution ou l’Active Directory).

Des approches plus actives (demande de fermeture des sites utilisés pour l’exfiltration, honeypot …) peuvent être envisagées.

Complexifier l’attaque pour en diminuer sa rentabilité

Les attaques ciblées représentent un challenge pour les grandes organisations qui ne sont pas habituées à gérer ce type de crise silencieuse, à grande échelle, mêlant métier et SI et entraînant une perte de confiance dans ce dernier. Leur gestion nécessite de revoir les processus en place mais également de prévoir des actions pour rendre l’attaque plus difficile, faciliter leur détection et renforcer les capacités de réaction.

La mise en place de ces éléments permettra de complexifier les actions de l’attaquant et, à terme, de rendre l’attaque moins rentable ! C’est certainement une des clés de réponse face à ces nouvelles menaces.

Lire la première partie

Pour en savoir plus, lire le focus attaques ciblées, une refonte nécessaire de la gestion de crise.

Cet article Attaques ciblées : comment gérer le risque en amont ? est apparu en premier sur RiskInsight.

Chercher dans la bonne direction

À quoi peut servir une campagne ? Deux objectifs se dégagent principalement des campagnes que nous avons réalisées : soit mesurer le niveau de sécurité sur un échantillon de thèmes et cibles techniques, à consolider ensuite en risques à destination des métiers, soit à l’inverse évaluer à partir des processus métier les vulnérabilités techniques pouvant porter atteinte à leurs enjeux.

Deux objectifs distincts qui induisent des approches différentes lors du cadrage : soit basée sur les cibles techniques, soit sur les actifs et processus métier à protéger.

La phase de cadrage se révèle alors clé dans l’efficacité de la campagne et l’atteinte de ses objectifs. Afin de donner de l’intérêt et du relief aux constats, les périmètres à enjeux forts doivent être privilégiés. D’un point de vue plus pragmatique : il s’avère important d’aller dans les détails dès le pré-cadrage, pour identifier non seulement la charge à prévoir, mais aussi valider l’intérêt de la cible, et s’intégrer le cas échéant dans le cycle projet de la cible.

Il faut trouver l’aiguille et non pas brasser du foin ! La tendance actuelle est de raccourcir la durée des audits, dans le but de livrer une synthèse des points les plus saillants, par opposition à un rapport exhaustif de 200 pages…

Enfin, une campagne d’audit demande de rester flexible pour faire face à l’imprévu : il faut conserver une marge de manœuvre afin d’absorber les extensions de périmètre ou les demandes de dernières minutes justifiées par l’actualité ou les incidents.

Savoir faire preuve de souplesse et d’efficience dans la recherche

Si le cadrage doit être précis, le savoir-faire des auditeurs ne se limite pas à dérouler un plan prédéfini !

Il leur incombe de faire preuve d’agilité par rapport au périmètre défini, pour passer moins de temps sur les parties peu vulnérables ou peu critiques, et se concentrer sur les sujets intéressants (présence de vulnérabilités ou criticité élevée).

Un autre aspect où la souplesse est de mise : la gestion des ressources. Le démarrage de la campagne, focalisé sur le cadrage, nécessite une forte présence du pilotage mais peu de réalisation d’audits. Une réduction des ressources peut par ailleurs être anticipée sur les périodes creuses.

Enfin, le pilotage doit s’assurer de remonter en temps réel les alertes relatives aux vulnérabilités les plus critiques mises en évidence.

Les objectifs ont-ils été atteints ?

En fin de campagne, le bilan doit être fait sur 2 aspects. En premier lieu sur la forme : intérêt a posteriori des cibles choisies ? Améliorations à apporter au déroulement de la campagne ? Mais également sur le fond : quels sont les principaux risques identifiés ? Quels sont les périmètres en danger, les enjeux ou processus à renforcer ?

C’est bien lors de la consolidation de l’ensemble des résultats que la campagne prend son sens, et la restitution finale doit apporter des réponses aux objectifs fixés lors du cadrage.

La préparation de la campagne suivante peut ainsi s’envisager après identification des axes d’amélioration, et en capitalisant sur les périmètres d’audit intéressants identifiés tout au long des audits : la prochaine fois, on trouvera l’aiguille plus vite !

Cet article Campagnes d’audit de sécurité : comment trouver une aiguille dans une botte de foin ? est apparu en premier sur RiskInsight.

La demande explosant, le besoin d’industrialisation se fait ressentir. Cette situation aboutit « naturellement » à la création d’offres de « Hack As A Service ». Conçu sur le modèle des services cloud, elle consiste à disposer des services de hacking, simple d’accès, forfaitaire et dont les coûts sont maîtrisés. Balbutiant depuis plusieurs années, ce marché  se développe et se structure de plus en plus.Voici un florilège des évolutions récentes qui montrent indubitablement cette tendance de fond.

Remarque : afin d’éviter toute mise en avant de sites offrant ce type de biens ou de prestations, aucun nom ne sera cité directement.

La fourniture de logiciels d’attaques performantes

Pour des tarifs « raisonnables », tournant généralement entre 500$ et 4000$, il est facile de se procurer des kits de logiciels, comme Poison Ivy ou encore Zeus / Spyeye, permettant de mener soi-même des attaques. En plus de fournir des outils permettant de trouver des mots de passe, rebondir sur le réseau et faciliter l’exfiltration de données, ces kits fournissent tout le nécessaire pour assurer la discrétion et l’anonymisation des attaquants. Grâce à ces outils, plus besoin d’être un professionnel du domaine pour échapper aux protections classiques tels que l’antivirus, ces kits sont souvent vendus avec des mises à jour régulière pour conserver leur avance.

La réalisation d’actions malicieuses « au forfait »

De plus en plus fréquentes et de moins en moins chères, ces offres sont parmi les plus simples à utiliser. En effet, aucune connaissance n’est requise. Les prestations sont variées et peuvent aller d’un simple déni de service à un vol de données sensibles en passant par du défacement de sites web. Par exemple, hacker un compte Gmail se chiffre autour de 400$ . Le paiement peut lui aussi être anonyme en passant par le principe de monnaies virtuelles encore peu encadré aujourd’hui.

Le recel d‘informations personnelles ou bancaires

Pourquoi attaquer quand les informations convoitées sont d’ores et déjà exfiltrées ? C’est le principe des plates-formes de recel de données personnelles et bancaires. Le prix des cartes de crédit, suivant la qualité des données et le type de carte y évolue de quelques dollars à plusieurs centaines dans certains cas. Des mécanismes de type « try & buy » permettent d’ailleurs de vérifier aisément la qualité des données. Tout comme LeBoncoin ou eBay, ces places de marché permettent la vente de ces informations. D’autres données peuvent y être vendues, comme par exemple celles à caractère personnel (adresses numéros de téléphone, etc.) qui peuvent s’y échanger pour pas moins de 25 centimes . Ces trafics seraient à l’origine d’un rendement financier supérieur à celui du trafic de drogue en Russie.

La vente d’exploit zero-day

Ce marché est encore limité car les prix et la capacité à exploiter les données d’un exploit nécessitent des compétences et des moyens particuliers. Cependant, il s’agit d’une arme imparable pour pénétrer les réseaux et bien utiliser ces exploits devient vite très rentable. Les prix oscillent entre 5 000 $ pour des exploits simples, visant par exemple Adobe Reader et 250 000 $ pour des attaques visant les plateformes mobiles, l’iOS en particulier.

Que retenir de la démocratisation de ce marché ?

La création de ces nouveaux services montre explicitement qu’il ne faut plus être un attaquant chevronné, disposer de contacts dans le milieu ou encore avoir d’importants moyens financiers pour lancer une attaque. La probabilité d’être visé augmente donc aussi rapidement que les services se démocratisent et que les prix baissent.

Ces exemples peuvent être d’intéressantes pistes pour sensibiliser des équipes trop réticentes ou encore trop naïve sur les moyens nécessaires pour attaquer une entreprise, ses collaborateurs et ses clients !

[Article rédigé en collaboration avec Xavier Paquin]

Cet article Le Hack As A Service (HaaS), un marché florissant ! est apparu en premier sur RiskInsight.

On l’a dit, ces jumelles ciblaient tout particulièrement les sites étrangers.

Bien plus, la version de travail en cours allait même jusqu’à exclure explicitement les sites gérés par des registres de niveau 1 (Top Level Domain – TLD) américains, c’est-à-dire tous les sites dont l’extension est .com, .org ou encore .net.

Et pour cause : l’arsenal juridique nord-américain permet déjà aux Etats-Unis d’avoir la main sur l’ensemble de ces sites, soit plus de la moitié de l’internet mondial.

En ce sens, la fermeture, le 20 janvier dernier, de Megaupload.com par le FBI est particulièrement instructive.

Megaupload, Méga-blackout J+1

Le sujet a déjà été longuement commenté. En particulier, il a été beaucoup rappelé que Megaupload, site de téléchargement direct, était géré par une société basée à Hong-Kong.

Il s’agit pourtant bien d’un site ciblant le marché américain : outre une interface rédigée en anglais et un nom de domaine en .com, c’est une grande partie de son business model qui apparait made in the USA : près d’un millier de serveurs hébergés aux États-Unis pour un coût de plusieurs millions de dollars US par an, des paiements reçus de résidents américains ou des primes versées par Megaupload vers ces mêmes citoyens, par l’intermédiaire d’une société américaine (PayPal), des revenus générés par des publicités gérées par des entreprises américaines (Google AdSense et AdBrite), etc.

S’applique alors un principe sur lequel converge aujourd’hui le droit mondial : puisque Megaupload générait des bénéfices sur une juridiction américaine, légitimement, Megaupload doit se conformer à sa législation et donc se soumettre à ses sanctions.

De plus, l’ICE – les douanes américaines (US Immigration and Custom Enforcement) – dispose déjà d’un arsenal juridique lui permettant de saisir les noms de domaines.

C’est ainsi sur la base du PRO-IP Act de 2008, que Verisign, l’entreprise qui gère la racine .com pour le compte de l’ICANN, déconnectait Megaupload, tandis que les serveurs de la société hébergés dans l’État de Virginie étaient saisis.

Vers la fin de l’internet ?

En France, l’entrée en application de la loi Hadopi a eu pour effet pervers la popularisation extrêmement rapide de technologies permettant de la contourner et le développement prodigieux d’autres modes de piratage.

D’ores et déjà, d’aucuns n’ont pas manqué de signaler qu’un blocage au niveau DNS peut être aisément contourné par un certain nombre d’outils, dont il est fort à parier qu’ils se diffuseront tout aussi rapidement en cas de vote des lois PIPA et SOPA, les rendant de facto obsolètes.

Par ailleurs, le risque d’assister au développement de DNS alternatifs est grand, échappant à toute tentative de régulation de la part des États. Les fondateurs de Piratebay, célèbre site de téléchargement majoritairement illégal, ont ainsi déjà annoncé travailler à un DNS décentralisé, en mode peer-to-peer.

Plus généralement, fleurissent de plus en plus des initiatives visant à empêcher tout contrôle, en contournant la semi-centralisation de l’internet mondial. En particulier, et de façon tout-à-fait ironique, citons les projets soutenus par le gouvernement américain pour soutenir les dissidents face à des régimes exerçant une censure sur le web.

Il est donc possible que ce type de législation, plus que réguler Internet, en précipite la transformation. Web social poussé dans ses ultimes retranchements, le web 3.0 pourrait être l’avènement du web maillé, en peer-to-peer.

Aujourd’hui, la lutte tout à fait légitime contre le piratage pourrait de fait totalement bouleverser l’architecture même d’internet.

L’enfer est, dit-on, pavé de bonnes intentions.

Lire l’épisode 1 : Mega-blackout

Cet article Captain America contre la ligue des gentlemen téléchargeurs returns – Épisode 2 : Megaupload est apparu en premier sur RiskInsight.

S’il s’agit bien évidemment de lutter contre la contrefaçon de biens, c’est bien le piratage et ses multiples avatars, du peer-to-peer au streaming via le téléchargement direct, qui sont en ligne de mire.

Les législateurs mondiaux en quête d’un modèle contre la violation de droits d’auteur en ligne

Contre ce téléchargement, les initiatives se sont multipliées, et elles voient de plus en plus grand.

En France, l’Hadopi, technologiquement dépassée avant même sa naissance , en 2009, car ne ciblant ni le streaming si le téléchargement direct, permettait de couper la ligne des personnes soupçonnées de téléchargement illégal.

En Europe, avant d’être contredite par la Cour de Justice en 2010, la Belgique ordonnait à un FAI le blocage de l’accès à des sites soupçonnés de mettre en ligne des contenus illégaux.

Aux États-Unis, deux projets de loi en cours de discussion, PIPA (Protect IP Act) et SOPA (Stop Online Piracy Act), visent la pure et simple suppression de ces sites.

PIPA / SOPA, armes de destruction massive 2.0 ?

Le projet PIPA s’inscrit dans la droite ligne du PRO-IP Act, loi fédérale signée par le président G.W. Bush en octobre 2008. celle-ci, qui doublait déjà les sanctions possibles en cas de contrefaçon, donnait  au Department of Justice la possibilité de lancer des poursuites au nom des ayant-droits.

Contrairement à la PRO IP Act, qui visait les sites américains, PIPA vise tout spécifiquement les sites étrangers. Elle définit ainsi une série de mesures radicales contre les atteintes à la propriété intellectuelle :

• Asphyxie financière, à travers la suspension de la publicité ou l’interdiction des transactions depuis les services de paiement américains (Paypal, etc.).

• Blocage d’accès, notamment à travers un déréférencement des moteurs de recherche voire un blocage par les principaux fournisseurs d’accès américains.

Bien plus, le tribunal peut exiger la mise en œuvre de toutes mesures techniques faisables et raisonnables pour empêcher l’accès à ces sites. Ainsi, il peut être ordonné à des prestataires de noms de domaine ou des gestionnaires de registres de bloquer ou supprimer les noms de domaine délictueux.

Déposé auprès de la Chambre des représentants, le projet SOPA, très proche du PIPA sénatorial, pousse la logique plus loin en mettant directement l’ayant-droit au cœur du dispositif. C’est en effet directement lui, et non plus un tribunal, qui peut s’adresser à ces intermédiaires techniques ou financiers pour mettre fin au préjudice dont il s’estime victime.

Les réactions ne se sont pas faites attendre. Le 18 janvier, certains des sites internet les plus visités au monde se faisaient l’écho de l’inquiétude des abonnés en organisant une des premières « grèves » du web, une journée de blackout durant laquelle Google, Wikipédia, Tumblr, Mozilla, Vimeo, Flickr, Craiglist et des centaines d’autres sites ont a minima affiché un message de protestation en lieu et place de leur page d’accueil habituelle.

De son côté, la Maison Blanche elle-même annonçait qu’elle userait de son droit de véto pour bloquer tout texte mettant en question l’architecture même d’Internet.

Un collectif d’éminents juristes, de son côté, publiait une tribune démontrant les limites et surtout l’inconstitutionnalité du projet.

Le 20 janvier, le Congrès, rassemblant la Chambre des Représentants et le Sénat, reportait sine die l’examen des projets SOPA et PIPA.

Mais l’affaire n’en reste pas là… Car même sans ces textes de lois, des actions sont possibles. (A suivre…)

Lire l’épisode 2 : Megaupload

Cet article Captain America contre la ligue des gentlemen téléchargeurs – Épisode 1 : Mega-blackout est apparu en premier sur RiskInsight.

Cette révélation pose la question de la validation par Apple des applications pour son écosystème iOS, réputée pointilleuse. Mais que doit-on réellement tirer de la nouvelle ? Faut-il s’alarmer quant au manque de fiabilité du système ?

En réalité, il a toujours été illusoire de penser qu’Apple pouvait procéder à une revue systématique et en bonne et due forme du code de chaque application. Peu d’informations filtrent sur le détail des vérifications qui sont faites, mais les rejets sont généralement plutôt justifiés par des défauts d’ergonomie de l’application, ou le fait que des API non autorisées par Apple sont utilisées.

La grande nouveauté tient dans le fait que Miller ait réussi à publier son application, qu’elle soit restée disponible pendant plusieurs semaines, et qu’elle le serait sans doute restée s’il n’avait lui-même révélé le subterfuge. Il s’agit plutôt d’une confirmation qu’un tel contournement des protections est possible, plutôt qu’une découverte tout à fait inattendue.

Il faut donc tempérer cette révélation : la faille est loin d’être la première sur le système iOS et ne sera certainement pas la dernière. Elle n’est par ailleurs sans doute pas à la portée du premier développeur venu.

L’écosystème d’applications d’Apple reste tout de même relativement robuste d’un point de vue de la sécurité, même si les applications ne font pas l’objet de tests de sécurité poussés au cas par cas. Rappelons enfin que c’est le même Charlie Miller qui vantait récemment cette robustesse de l’App Store, qu’il comparait à l’Android Market, moins sûr selon lui (car plus ouvert).

Beaucoup d’observateurs s’étonnent que la réaction première d’Apple ait été de bannir l’application de son App Store et Miller de son programme pour développeurs. Il s’agit pourtant là d’une violation des règles d’utilisation, et ce dernier savait certainement à quelle sanction il s’exposait.

En tout état de cause, les attaquants souhaitant tirer parti d’applications malveillantes n’auront pas attendu la révélation de cette faille pour tenter de les faire valider. Apple ne pourra dorénavant que redoubler d’effort pour conserver un App Store sain…

Cet article Faille révélée dans le système de validation pour les applications pour iOS : que faut-il en penser ? est apparu en premier sur RiskInsight.

Les attaques ciblées, historiquement peu nombreuses et très discrètes, défraient maintenant l’actualité. L’attaque de Bercy en est la dernière itération mais de nombreux autres évènements ont marqué l’actualité ces derniers mois : Dragon Night, Aurora… Autant de cas, autant de motivations différentes mais presque toujours les mêmes moyens d’attaques : ingénierie sociale, spear-phishing et utilisation de faille 0day pour entrer dans un périmètre puis après rebondir en interne afin de capturer les informations recherchées. Sans être particulièrement complexe ces attaques montrent bien que des acteurs sont aujourd’hui suffisamment déterminés et compétents pour attaquer avec succès des systèmes d’information pourtant protégés de manière classique.

Une vraie rupture pour la Sécurité

Le socle sécurité, construit au fil des années pour assurer un niveau de protection fait aux menaces globales telles que les virus, atteint sa limite pour éviter une attaque ciblée. Le RSSI doit donc orienter ses plans d’actions pour pouvoir lutter potentiellement contre ce type d’attaques en adoptant une approche ciblée de protection des données et des personnels clés de l’organisation. Les mécanismes existent en partie, d’autre sont certainement à inventer, mais dans tous les cas se doter de processus et d’outils pour prévenir, détecter et réagir face à ces attaques est aujourd’hui une priorité bien réelle…

Lire la tribune de Gérôme Billois dans Mag IT

Spear-phishing : attaque visant une organisation et recherchant un accès non autorisé à des données confidentielles
0day : dans le domaine de la sécurité informatique, on parle de 0day lorsque l’on exploite une faille de sécurité inconnue ou non corrigée

Cet article Attaques ciblées : la menace se précise, même en France est apparu en premier sur RiskInsight.