Des méthodes de détection statiques à de l’analyse comportementale

Les attaques évoluant de plus en plus rapidement et de manière toujours plus élaborée, le SOC (Security Operations Center) est forcé de revoir son approche concernant les outils en place car les mécanismes de détection statiques deviennent trop rapidement obsolètes :

• L’approche historique repose sur la reconnaissance de comportements et d’empreintes connues (ex : signatures de malwares). Cette méthode, appelée misuse-based, remonte des alertes explicites et simples à analyser pour les opérationnels, mais seules les attaques déjà subies et détectées pourront être reconnues.
• La nouvelle approche vise à analyser les actions déviant du comportement normalement observé sans avoir à définir explicitement et exhaustivement un acte malveillant (ex : comportement d’un individu s’éloignant de celui de ses collègues). Cette approche anomaly-based permet de détecter des attaques non renseignées directement dans les outils mais nécessite d’exploiter de plus larges volumes de données.

L’approche anomaly-based exploite les capacités de corrélation des algorithmes d’apprentissage non supervisé mettant en avant des liens dans des données non labellisées (non catégorisées comme normales ou anormales).

Recette de l’été : détection d’anomalies sur lit de Machine Learning

Pour savoir si le Machine Learning convient à son contexte, la meilleure solution reste de réaliser un PoC (Proof of Concept). Comment l’implémenter ? Quels sont les points d’attention ? Voici les étapes clés de notre développement.

Entrée, plat ou dessert : définir le cas d’usage

Faire du Machine Learning, c’est bien. Savoir pourquoi, c’est mieux. Définir un cas d’usage revient à répondre à la question « Que voulez-vous observer ? » et déterminer les moyens disponibles pour y répondre.

Dans notre contexte, un cas d’usage est un scénario de menace portant sur un ou des groupes de comptes (administrateurs malveillants, exfiltration de données sensibles…). Pour les évaluer, plusieurs critères sont à prendre en considération :

• Utilité: quel serait l’impact si le scénario se réalisait ?
• Disponibilité des données: quelles sont les sources de données utiles disponibles ?
• Complexité des données: les données disponibles sont-elles structurées (nombres, tableaux) ou non structurées (images, texte) ?

Nous avons choisi de travailler sur la compromission de comptes de services : certains peuvent avoir des droits importants, et leurs actions automatisées génèrent des données relativement structurées. Dans le cadre d’un PoC, un périmètre restreint et des sources de données homogènes et facilement accessibles sont à privilégier pour obtenir des résultats concrets et exploitables, avant d’envisager des cas d’usages plus ambitieux.

Pesée des ingrédients : déterminer le modèle de données

Afin d’exploiter au mieux les données, il est nécessaire de définir une représentation permettant de modéliser un comportement à partir des informations disponibles. Ici intervient notamment l’expertise métier : une action isolée peut-elle être signe de compromission ou faut-il plutôt prendre en compte une série d’actions pour détecter un comportement malveillant ?

Dans un premier temps, nous avons défini un modèle basé sur l’analyse de logs unitaires et de même famille (ex : connexions, accès aux ressources…) pour évaluer le fonctionnement global. Cependant, un modèle trop simple ignorera des signaux faibles cachés dans des corrélations d’actions, tandis qu’une représentation trop complexe ajoutera du temps de traitement et sera plus sensible aux biais de modélisation.

Sélection des ustensiles : choisir l’algorithme

Plusieurs types d’algorithmes peuvent être employés pour la détection d’anomalies :

• Certains tentent d’isoler chaque point : si un point est facile à isoler, il est éloigné des autres et donc plus anormal.
• Les algorithmes de clustering créent des groupes de points qui se ressemblent et calculent le barycentre de chacun correspondant au comportement moyen : si un point est trop éloigné du barycentre, il est considéré comme anormal.
• Moins fréquents, les auto-encodeurs sont des réseaux de neurones artificiels qui apprennent à recréer le comportement normal avec moins de paramètres : les erreurs de reproduction du comportement pourront être considérées comme un score d’anomalie.

D’autres approches existent encore, jusqu’aux plus exotiques systèmes immunitaires artificiels qui imitent les mécanismes biologiques pour créer un outil de détection évolutif. Il faut cependant ne pas oublier qu’un outil simple et bien optimisé est souvent plus efficace qu’un outil trop complexe.

L’algorithme de clustering des k-moyennes a été sélectionné dans notre cas : utilisé notamment dans la détection de fraude bancaire, il simplifie le réentrainement qui permet à l’outil de rester adapté malgré les évolutions des comportements.

Tous ces algorithmes peuvent également être enrichis, selon le modèle de comportements choisi, pour prendre en compte une suite d’actions. Ainsi, des réseaux de neurones convolutifs ou récurrents peuvent être ajoutés en amont pour prendre en compte des séries temporelles.

Préparation des ingrédients : transformer les données

Une fois que l’algorithme a été sélectionné, il faut traiter les données brutes afin de les rendre exploitables. Ce traitement s’effectue en plusieurs étapes :

• Le nettoyage: correction des erreurs de parsing, suppression des informations inutiles et ajout des informations manquantes
• L’enrichissement: ajout des données venant d’autres sources et retraitement des champs pour mettre en avant une information (ex : indiquer si une date est un jour férié…)
• La transformation: création de colonnes binaires pour les données qualitatives (ex : nom de compte, type d’événement…) ne pouvant pas être directement transformées en nombres (une colonne pour chaque valeur unique, indiquant si la valeur est présente ou non)
• La normalisation : retraitement des valeurs afin qu’elles soient toutes comprises entre 0 et 1 (pour éviter qu’un champ ne prenne l’ascendant sur un autre)

En raison de la variété d’événements possibles et de la complexité des logs, nous avons fait le choix d’automatiser ce processus : pour chaque champ, l’algorithme détecte le type de données et sélectionne la transformation adaptée dans une bibliothèque prédéfinie. L’opérateur peut ensuite interagir avec l’outil pour modifier ce choix avant de continuer le processus.

Assaisonnement : tester et optimiser l’outil

Une fois le modèle défini, l’algorithme choisi et les données transformées, l’outil développé devrait être en capacité de lever des alertes sur des anomalies. Ces alertes ont-elles du sens ou sont-elles des faux positifs ?

Afin d’évaluer la performance de l’outil, nous avons effectué deux types de tests :

• La simulation d’intrusion en effectuant des actions malveillantes pour vérifier si elles sont bien détectées comme anormales (cette approche peut être également traitée en ajoutant directement de « faux » logs dans les sets de données)
• L’analyse des anomalies en vérifiant si les alertes levées correspondent effectivement à des comportements malveillants

De nombreux paramètres peuvent être ajustés dans les algorithmes permettant d’affiner la détection. L’optimisation des performances se fait par itérations, en modifiant les paramètres et en observant l’effet sur un set de données de validation. Chronophage manuellement, elle peut être améliorée par l’approche AutoML qui cherche à automatiser certaines étapes par l’utilisation d’algorithmes d’optimisation.

Cependant, l’optimisation des paramètres ne suffit pas : les résultats de notre PoC nous ont permis de constater que la qualité d’une détection basée sur de l’analyse comportementale repose en grande partie sur la pertinence des comportements définis en amont du développement de l’algorithme.

ML or not ML: that may not be the question

Malgré ses atouts indéniables, le Machine Learning est un outil à utiliser de manière raisonnée : les frameworks deviennent de plus en plus accessibles et simples d’utilisation, mais les étapes cruciales restent la définition du use-case et du modèle de comportement. Ces choix, où l’expertise métier est indispensable, influenceront de manière irréversible le choix des données, la sélection de l’algorithme de détection et les tests à effectuer.

La question n’est donc plus « Où puis-je mettre du Machine Learning dans mon SOC ? », mais « Parmi toutes les approches disponibles, quelle est la plus efficace pour répondre à mon problème ? ».

Pour le savoir, une seule solution : allumez les fourneaux !

Cet article Détecter des incidents cyber par Machine Learning : notre maquette en 5 étapes clefs ! est apparu en premier sur RiskInsight.

Tu quoque mi programme

Pour se faire une idée un peu plus détaillée et précise de cette menace, commençons par définir ce qu’est une fileless attack. Également nommée non-malware attack (attaque sans malware), zero-footprint attack (attaque sans empreinte) ou living-off-the-land attack (attaque hors sol), la particularité de ce type de menace est qu’elle n’impose pas à l’attaquant d’installer un programme sur la machine cible pour exécuter des actions malveillantes. En effet, le principe même de l’attaque est de détourner l’usage d’outils ou de programmes parfaitement licites et déjà installés sur les équipements informatiques à des fins, elles, illicites. Comment procèdent donc les attaquants pour arriver à leurs fins ?

Dans la majorité des cas, Pour établir cette tête de pont, ils utilisent la plupart du temps des techniques classiques de phishing ou spear-phishing. En effet, il est important de bien garder à l’esprit que la particularité de cette typologie d’attaque consiste dans la non-installation du programme malveillant chez la cible, ce qui ne préjuge pas de l’utilisation de fichiers à d’autres moments (comme lors d’un phishing). Alternativement, des attaques par force brute ou la mise à profit d’exploit permettant l’exécution de code à distance peuvent également permettre d’accéder à la machine cible et de perpétrer des attaques sans fichiers.

Quelle que soit la technique utilisée, l’objectif final est, comme on l’a vu, de détourner l’usage d’un programme légitime. La cible principale de ce « programme-jacking » est PowerShell (Windows Management Instrumentation étant également un bon client). Cet outil système, installé de manière native sur certaines machines tournant avec un système d’exploitation Windows, a la particularité de pouvoir exécuter des tâches instruites depuis la console de commande directement dans la mémoire vive de l’appareil. Dans certains cas, une simple macro bien construite sur un fichier Word malveillant, l’exploitation d’une faille de Flash ou la redirection vers un site malveillant suffit à invoquer PowerShell. Une fois celui-ci ouvert, il se connecte alors à un serveur de command & control et télécharge un script malveillant qui s’exécute donc depuis la mémoire vive et qui peut procéder à toute une variété d’actions, comme par exemple localiser et envoyer des données vers l’attaquant ou miner des crypto-monnaies. Des fileless attacks exploitant les vulnérabilités de Java (Java Process) sont également connues.

 Malware : le grand remplacement

Et il faut croire que cette typologie d’attaque est facile à mettre en œuvre si on jette un œil aux chiffres.  , pour 77% des entreprises reconnaissant avoir subi une attaque ayant réussi à compromettre le système d’information de l’entreprise, la technique utilisée est une fileless attack. Symantec a signalé en juillet dernier qu’entre le premier semestre 2017 et le premier semestre 2018, l’usage malveillant de PowerShell avait augmenté de 661%. Ainsi, Carbon Black a annoncé dans son rapport de menace 2017 que 97% de ses clients avaient subi une tentative de la sorte et que les attaques sans fichier utilisant des failles PowerShell ou WMI ont représenté au global 52% du total des attaques en 2017, dépassant pour la première fois de l’histoire les attaques classiques utilisant des malwares installés en dur sur la machine cible.

La raison principale de l’explosion de cette typologie de menaces trouve son origine dans la façon même qu’ont les organisations de se défendre. d’analyser de manière statique les signatures des fichiers sur le disque afin d’identifier les programmes illicites, et éventuellement de les exécuter dans des bacs à sables. La plupart de ces antivirus utilisent une fonctionnalité de l’OS pour être notifiés des nouvelles écritures sur le disque et ainsi déclencher un scan. Or, pas de fichier, pas de notification, et pas de notification, pas de scan. Les attaquants étant des personnes pragmatiques, ils ont simplement décidé de court-circuiter cette étape et de mettre ainsi en défaut l’ensemble des défenses basées sur ces anti-virus traditionnels fonctionnant par base de signatures, ces derniers devenant de plus en plus performants.

Les pirates de leur côté s’équipent afin de procéder plus facilement aux attaques en systématisant et simplifiant les manipulations à faire pour contourner ces anti-virus. Certains outils d’attaque actuels, comme Metasploit, facilitent les fileless attacks grâce à la construction de charges utiles malveillantes clefs en main à charger directement depuis Powershell.

Comment chasser un malware qui n’existe pas ?

Les méthodes de défense traditionnelles étant peu adaptées, il est nécessaire de repenser son approche. Si certaines menaces peuvent être stoppées simplement en redémarrant la machine (son arrêt stoppant les programmes actifs), les hackers ont trouvé la parade par l’installation d’un script dans le registry de Windows, entraînant la résurgence de la brèche au redémarrage par son exécution automatique avec le reste des scripts systèmes, eux légitimes. Si ce script est suffisamment court, il n’a même pas besoin d’être enregistré dans un fichier. Certaines attaques plus complexes peuvent demander l’enregistrement de leur script dans un fichier, ce qui en fait une catégorie hybride de fileless attack, où si un fichier est effectivement nécessaire, ça n’est toujours pas le malware en lui-même.

Depuis quelques années, le développement des solutions de type Endpoint Detection Response se trouve être au cœur de l’activité des éditeurs antivirus. Ces produits ne se limitent plus à la simple analyse de fichiers mais adoptent des techniques d’étude comportementale. L’idée derrière cette nouvelle façon de procéder est d’identifier les activations de programmes qui, individuellement, seraient légitimes mais dont l’exécution en parallèle ou séquentielle est suspicieuse. Par exemple, la consultation du web, l’utilisation d’une macro Microsoft Word ou l’exécution de PowerShell est légitime. En revanche, leur activation concomitante peut résulter d’un phishing réussi emmenant l’utilisateur sur un site web malveillant, déclenchant l’activation en cascade de PowerShell à travers une faille du premier. La solution antivirale peut donc réaliser qu’il ne s’agit pas d’une situation normale de fonctionnement et procéder aux actions de sécurité nécessaires.

Néanmoins, ces solutions étant basées sur des heuristiques, elles sont par définition faillibles. L’équilibre entre l’exhaustivité des détections et le nombre de faux positifs, entraînant potentiellement des incidents d’exploitation, est difficile à atteindre. Des solutions de plus en plus stables et performantes apparaissent néanmoins progressivement sur le marché, et permettent de lutter contre cette menace grandissante de manière efficace, pour peu que les terminaux utilisateurs en soient équipés.

Cet article Fileless attack : Le retour à la terre est apparu en premier sur RiskInsight.

Améliorer la connaissances des menaces et des attaquants : plateformes CTI (-Cyber-Threat Intelligence)

La Cyber Threat Intelligence (CTI ou Threat Intel’) est une discipline regroupant la récolte, la consolidation et l’exploitation de toutes les informations sur les cyber-menaces. “Connais ton ennemi” indique Sun Tzu dans l’Art de la Guerre. Bien que cette citation fasse référence aux guerres « physique », le principe reste vrai… et l’est sans doute même davantage pour les luttes « cyber ».

En effet, aujourd’hui, un nombre important de dispositifs de sécurité s’appuient sur une connaissance des attaques : approche par signature des anti-virus et IDS, scénarios de détection ciblés… Même si la tendance s’inverse (notamment avec la détection d’anomalies), la grande majorité des produits de sécurité s’appuient toujours -et continueront de s’appuyer- sur des principes de Threat Intelligence.

Les besoins des entreprises étant de plus en plus spécifiques, et les attaquants de plus en plus spécialisés, les solutions de Threat Intel’ se démocratisent et proposent directement leurs services aux entreprises. En complément des offres commerciales, de plus en plus de plateformes d’échanges et de partenariats permettent de collaborer directement avec d’autres entreprises (de même secteur, zone géographique…).

Les services rendus par la Threat Intel’ sont multiples. D’une part la Threat Intel’ « stratégique » aide les SOC à mieux connaître le contexte et les menaces spécifiques à leur entreprise. Pour cela, les risques pesant sur chaque écosystème sont étudiés : aspects géographique, politique, idéologique, sectorielle… Ces informations permettent aux équipes sécurités de mieux connaître les menaces les concernant, et d’orienter leurs décisions pour définir leur stratégie « long terme » (solutions à déployer…).

D’autre part, la Threat Intel’ « tactique » donne des informations plus précises sur les méthodes des attaquants et permet notamment au SOC de faciliter la détection et d’adapter les mesures existantes : nouveaux scénarios de menaces à surveiller, ports à bloquer….

En complément de ces approches, la Threat Intel’ « technique » participe grandement à l’analyse des évènements de sécurité en fournissant, sur demande (depuis un SOAR notamment, voir partie suivante), des éléments permettant de juger de la véracité d’une alerte : appartenance d’une IP à un botnet, hash de fichier correspondant à un virus connu…

Les dispositifs de Threat Intelligence figurent donc parmi les outils les plus polyvalents du SOC, en permettant de tirer parti au mieux des dispositifs existant, en restant à jour et priorisant les menaces à détecter, et en orientant vers les prochains outils et mesures à déployer.

Exemples d’éditeurs Threat Intelligence :

Industrialiser et automatiser le processus de réaction : SOAR

Les SOAR (pour Security Orchestration, Automation & Response) sont issus de la combinaison de trois outils du SOC : les SIRP (Security Incident Response Plateform, plus de détails ici), les SOA (Security Orchestration & Automation, les solutions d’industrialisation et d’automatisation) et une partie des fonctionnalités de plateformes de Threat Intelligence. Pour résumer, ce sont des plateformes d’aide et d’automatisation de la réaction aux incidents de sécurité. Ces solutions se rapprochent d’outils de ticketing (ITSM) classiques, mais embarquent des fonctionnalités spécifiques aux problématiques de cybersécurité. Les SOAR offrent principalement trois capacités, chacune liée à l’un des trois types d’outils à leur origine.

Premièrement, comme les SIRP, ils permettent la définition de processus de réaction adaptés à chaque évènement de sécurité. Ceux-ci sont basés sur des playbooks prédéfinis par l’éditeur, publiés par la communauté de la solution, ou créés manuellement pour une meilleure adaptation aux besoins de l’entreprise. Cette tâche impose notamment aux équipes de réaction d’établir un processus clairement défini, les aidant ainsi à se poser les bonnes questions lors de la création de procédures de réaction, et à capitaliser et stocker ces connaissances.

Le gain des SOAR repose cependant davantage sur l’automatisation des différentes étapes suivant la détection. Lors de la phase d’analyse, l’outil va automatiquement enrichir l’évènement de sécurité en allant récupérer des informations de contexte sur le SI (identité dans l’AD, criticité d’une ressource…), et en interrogeant des services de Threat Intelligence externes (via des API) ou proposés avec la solution. Outre l’automatisation de l’enrichissement et des étapes d’analyse, les SOAR facilitent aussi le travail des analystes -investigation de postes, interrogation de VirusTotal… en un clic-  lorsque leur intervention est nécessaire.

Mais l’automatisation ne s’arrête pas là ! Bien que polémique, l’automatisation de la réaction (via la connexion aux équipements de sécurité, héritage du SOA) peut représenter un gain important pour les équipes de sécurité : blocage d’URL, génération de signature de fichier et propagation aux antivirus, blacklisting d’IP…

L’objectif des SOAR est donc clair : faciliter la tâche des équipes en charge de l’analyse et de la réaction, en les aidant à définir des processus et en automatisant les tâches au maximum. Même si les SOAR sont très adaptables, et peuvent donc aider à répondre à toute type d’attaque, ils brillent tout particulièrement pour automatiser le traitement des attaques courantes (ransomware, phishing…), très répétitives et mobilisant les efforts des équipes de réaction.

Une fois ces tâches automatisées, les équipes sécurité en charge de la réaction peuvent se concentrer sur les alertes plus complexes, où leurs connaissances apportent une véritable valeur ajoutée.

À conditions d’être prêt à fournir l’effort initial (formalisation des processus…), les gains en réactivité et en charge attendus sont donc conséquents. Les SOAR sont amenés à changer le mode de travail des équipes SOC, en particulier pour les analystes de premier niveau. Même si ces solutions sont encore peu déployées en France, ils devraient devenir l’un des indispensables du SOC dans les années qui viennent.

Exemples d’éditeurs SOAR :

Même si l’outillage n’est qu’une partie du SOC, chacune de ces solutions présente des avantages certains qui aideront les équipes de détection à rester d’actualité face à l’évolution du SI et des menaces.

Tous ces outils sont prometteurs, et certains arrivent à maturité. Cependant, il est important de garder à l’esprit que l’outillage actuel lève déjà de nombreuses alertes, difficiles à prendre en compte. Il est donc conseillé de finir de déployer et d’industrialiser l’existant (en utilisant un SOAR par exemple), avant de se tourner vers de nouvelles solutions.

Et, comme pour tout produit innovant, il faut savoir garder la tête froide : le déploiement d’une nouvelle solution doit être motivé par des besoins bien définis.

Cet article SOAR, UEBA, CASB, EDR et autres acronymes… suivez la saga de l’été pour comprendre et choisir parmi les nouveaux outils du SOC (3/3) est apparu en premier sur RiskInsight.

Ce vecteur d’attaque est applicable à tous les services utilisant une solution de SSO basée sur le protocole SAML2 (hors implémentation HSM).

Explication du Golden SAML

Le titre du billet n’est pas anodin puisque le « Golden SAML » s’apparente au « Golden Ticket » qui frappe le protocole Kerberos. Comme le Golden Ticket, le Golden SAML permet à un attaquant d’accéder à des ressources protégées par des agents SAML (exemples :  Azure, AWS, vSphere, Okta, Salesforce, …) avec des privilèges élevés grâce à un « ticket en or ». Elle permet en outre à l’attaquant d’agir dans l’ombre sans se faire repérer, puisque suite à l’attaque les jetons peuvent être générés hors du SI sans sollicitation du fournisseur d’identité (IDP).

Dans une cinématique standard SAML :

1. Le client tente d’accéder à une application (Service Provider).
2. L’application génère une requête « SAML AuthRequest » afin d’authentifier l’utilisateur.
3. Le fournisseur d’identité (Identity Provider ou IDP) authentifie l’utilisateur et envoie à l’utilisateur une réponse « SAML response » qu’il peut utiliser pour accéder à des ressources exposées par un fournisseur de service (Service Provider ou SP).
4. Le SP vérifie la réponse et identifie l’utilisateur qui est désormais habilité à utiliser le service.

L’attaque repose sur la falsification de la réponse SAML qui permet d’identifier et d’authentifier l’utilisateur. La réponse est signée par la clé privée du fournisseur d’identité et éventuellement chiffrée, selon l’implémentation. En vérifiant l’intégrité de la réponse SAML grâce à sa signature, l’application s’assure que celle-ci a bien été forgée par le fournisseur d’identité et n’a pas été modifiée durant son transit.

Afin de falsifier la réponse, plusieurs informations sont nécessaires :

• La clé privée du fournisseur d’identité ;
• Le certificat public du fournisseur d’identité ;
• Le nom du fournisseur d’identité ;
• Le nom du rôle à usurper (exemple : administrateur).

La seule information réellement complexe à obtenir est la clé privée de signature des réponses SAML. Les trois autres sont des données facilement accessibles, notamment dans les réponses.

Il est possible d’exporter la clé privée en accédant à l’IdP avec un compte admin AD FS. Une première attaque sur ce compte est donc nécessaire.

Une fois ces informations collectées, l’attaquant peut alors librement générer des réponses valides en dehors du domaine sans être repéré. La mise en place d’une authentification forte sur les comptes visés ne protège pas d’avantage de l’attaque puisque la preuve de cette authentification reste portée par la réponse SAML qui peut désormais être falsifiée.

Tant que le certificat de l’IdP n’est pas modifié et que ce changement n’est pas pris en compte sur l’ensemble des fournisseurs de services, l’attaque peut perdurer.

Décryptage de l’attaque

Malgré le ton alarmiste du billet, la vulnérabilité décrite peut tout au plus être assimilée à un choix de conception discutable du protocole SAML 2 qui utilise des jetons signés, mais non à une faille réelle de sécurité. En effet, la condition nécessaire est d’avoir compromis un compte administrateur AD FS pour récupérer la clé privée du domaine. Cependant, l’impact est fort puisque l’attaquant peut, de manière illimitée et hors domaine, accéder à des services protégés par des agents SAML faisant confiance au domaine. La récupération du compte IdP peut être détectée mais les falsifications de réponse peuvent se faire en toute discrétion a posteriori.

En outre, si la compromission d’un compte d’administrateur IdP est détectée, le changement de mot de passe de ce compte ne rendra pas la confidentialité de la clé privée et ne permettra pas de contrer le Golden SAML. Ainsi, la seule solution pour bloquer l’attaquant est de changer la clé privée, ce qui peut avoir un impact fort pour les fournisseurs de service faisant confiance à l’IdP à savoir le rejet temporaire des réponses signées avec la nouvelle clé.

En définitive, le vol de clé privée permet de rendre vulnérable la fédération d’identité et ceci n’est pas nouveau. Les IdP SAML sont concernés comme tout protocole de sécurité émettant des documents signés (OpenID Connect, PKI …)

Comment se prémunir ?

La sécurité des jetons SAML reposant avant tout sur celle de la clé privée de l’IdP, il est impératif de mettre en œuvre tous les moyens nécessaires pour la protéger.

Deux approches sont possibles pour stocker et utiliser cette clé : la solution logicielle et la solution matérielle.

Solution logicielle

Dans le premier cas, la clé est stockée sur un serveur qui porte la responsabilité de la conserver secrète et de réaliser les opérations de signature des réponses. On devra ainsi s’assurer que la machine et son environnement soient bien protégés. Pour cela, il est recommandé d’appliquer certaines recommandations habituelles de sécurité à savoir : isoler cette machine sur un VLAN d’administration, restreindre son accès aux opérateurs essentiels à son fonctionnement, sécuriser ─ via une authentification forte ─ les comptes à privilège permettant d’accéder à la clé, appliquer régulièrement les correctifs de sécurité sur la machine, journaliser les accès, mettre en place des règles SIEM appropriées à l’IdP pour détecter les intrusions, etc.

Si ces mesures de préventions permettent de limiter les risques de compromission de la clé, elles ne peuvent garantir de manière certaine que celle-ci n’ait pas été ou ne sera pas exfiltrée. Il est donc souhaitable que le certificat de l’IdP et sa clé privée puissent être renouvelés à intervalles réguliers, ou en cas de doute sur le maintien de sa confidentialité. Suite au renouvellement du certificat de l’IdP, il sera nécessaire que les fournisseurs de service puissent accepter les jetons sans interruption des accès; en s’assurant qu’ils soient en capacité de récupérer le certificat de manière synchrone et d’accepter les jetons signés par cette clé tout en rendant l’ancien certificat invalide. Cela pourra se faire en exposant le nouveau certificat sur une ressource dédiée.
Toutefois, il est souvent constaté que des effets de bords apparaissent lors d’une rotation de clés (exemple : impacts sur le Service Provider). De même, il est rare qu’un Service Provider puisse supporter une révocation de clé via CRL.

Solution matérielle

La solution matérielle, qui repose sur l’utilisation d’un HSM (Hardware Security Module), est bien plus robuste car elle garantit l’inviolabilité de la clé de signature. Le module se charge de protéger la clé et de réaliser l’ensemble des opérations cryptographiques nécessaires à la signature des réponses. La clé ne sort donc jamais du HSM et une génération de jeton à l’extérieur du SI devient impossible.

Cependant, l’IdP devra protéger le secret lui permettant d’interroger le HSM en suivant les recommandations usuelles exposées précédemment. Si ce secret est compromis, il pourra être généré de nouveau sans impacter les fournisseurs de service.

Cet article Décryptage de l’attaque « Golden SAML » de CyberArk est apparu en premier sur RiskInsight.

Une évolution dans les technologies et les usages de l’Internet

Du côté des utilisateurs, les usages apparus dans la dernière décennie ne feront que se confirmer et s’amplifier à l’horizon 2020. La croissance et la diversification des réseaux sociaux permettra d’accélérer encore le partage de données personnelles avec une hausse des performances techniques et du nombre d’utilisateurs. Ce phénomène, profondément générationnel, pourrait poursuivre son développement et soulever avec lui de nombreuses questions relatives à la confiance en l’information et aux limites de la liberté d’expression.

Du côté des entreprises, dans la continuité de la virtualisation du poste de travail, le télétravail devient un thème dans les feuilles de route stratégiques de nombreux groupes qui y voient une opportunité de réduire les charges de l’immobilier qui constituent ordinairement leur second poste de dépenses. Le Cloud Computing se renforce et permet l’intégration de parts toujours plus vastes du capital informationnel des entreprises par des prestataires spécialisées, notamment dans la sécurité des infrastructures.

Enfin, l’IoT et le Machine Learning provoqueront un bouleversement important des business models et du positionnement des acteurs historiques dans tous les secteurs. 3 nouveaux besoins de société devront impérativement être pris en compte pour être compétitif : la mobilité, la connaissance et la confiance.

Un cadre reglementaire encore a definir

Les récentes démonstrations de puissance des GAFA, capables d’associer des bases de données d’utilisateurs gigantesques à des méthodes d’intelligence artificielle de pointe, initient une nouvelle ère consacrée à l’ultra-personnalisation des services mais aussi à la surveillance de masse. En effet, les immenses opportunités ouvertes dans le champ du marketing par le biais de l’ultra-personnalisation des services et la surveillance de masse cachent une réalité préoccupante : un cadre législatif qui protège très imparfaitement les internautes face aux utilisations abusives et discriminantes d’acteurs publics comme privés.

Dans ce contexte, les « lois renseignement » émergent dans de nombreux pays occidentaux afin de poser un cadre normatif à des pratiques déjà courantes de ces services. Posant la question de libertés individuelles menacées sous le prétexte de lutte antiterroriste, ces textes sont régulièrement adoptés en dépit de fortes protestations de la société civile.

Après plusieurs révélations sur les activités de la NSA en Europe, l’Union Européenne décidait d’invalider en octobre 2015 le Safe Harbour qui permettait jusque-là aux Etats-Unis et à l’Europe d’échanger librement leurs données considérant que son partenaire outre-Atlantique n’était plus en mesure de garantir à ces données un niveau de protection suffisant ou adéquate. Afin de combler le vide juridique entourant l’usage des données personnelles, le GDPR constitue le nouveau texte de référence pour la protection des données à caractère personnel en Europe, applicable par les 28 états de la zone à partir du printemps 2018. Ce texte protègera en effet les utilisateurs au détriment des entreprises qui verront leurs possibilités restreintes a minima à un impératif de consentement « explicite et positif ». De même, la directive européenne NIS, pour la sécurité des services numériques, sera progressivement traduite dans les juridictions nationales, notamment en France en lien avec la loi de programmation militaire.

Finalement, les récents bras de fer entre les géants du web et l’administration américaine ont prouvé l’incapacité du gouvernement à imposer à Apple et Google l’application du Patriot Act. Cela a permis à ces acteurs d’affirmer une primauté du respect des libertés individuelles et une certaine autonomie face aux organes politiques, jusqu’ici seuls maitres à bord dans ce type de situation. Une évolution décisive des rapports de force historiques s’amorce doucement avec la mise en retrait des autorités étatiques face aux acteurs majeurs de l’économie et il est encore difficile aujourd’hui de savoir où cette évolution nous mènera.

Ainsi, deux compétences seront déterminantes d’ici 2020 et même après pour s’adapter à l’époque technologique, innover et survivre à l’évolution rapide des règles de la concurrence : une grande maitrise des limites et contraintes réglementaires, d’une part, et une capacité à tirer le meilleur des données à disposition, sans sortir d’un cadre légal autorisé et évolutif. Tout l’enjeu d’un futur environnement basé sur le web 3.0 sera donc de construire et sauvegarder une relation de confiance mutuelle avec les clients comme avec les parties-prenantes, notamment étatiques.

De nouvelles menaces dans le cyberespace

Dans le cadre d’une analyse prospective visant à établir les évolutions de la cybercriminalité à horizon 2020, un comité d’expert s’est prononcé sur les typologies de menaces attendues de manière récurrentes envers les entreprises privées et les individus. Ainsi, les entreprises auraient à craindre en priorité les atteintes à la disponibilité de leurs systèmes, telles des dénis de service, les vols de données stratégiques motivés par la mise en concurrence et des attaques visant l’image de la société (compagnes de désinformation et de diffamation). Du côté des individus, les escroqueries et les détournements sont les menaces les plus importantes à considérer et auxquelles s’ajouteraient les attaques visant les systèmes d’alarmes et domotiques en soutien à des intrusions physiques.

Deux scénarios se démocratiseront et s’entre-alimenteront pour décrire un paysage d’ensemble de la menace en 2020 :

• L’attaque « as a service » : La croissance rapide et continue du nombre de connexions sur le Web entraînera mathématiquement l’ouverture d’une très large surface d’attaque. Les attaques non ciblées ou basées sur des réseaux de machines esclaves (machines contrôlées à distance par un attaquant et utilisées en grand nombre pour saturer des services web, par exemple) pourront ainsi se déployer de manière massive et gagner une force de frappe dont on peine à imaginer les limites à l’heure actuelle. Une étude d’universitaires israéliens estimait que 6 000 smartphones sont suffisants pour venir à bout d’un système d’appel d’urgence du type 911 aux États-Unis ; que ne pourrait-on pas faire avec un réseau de millions, voire de milliards, d’objets infectés par des Botnet malwares (logiciels malveillants permettant à un hacker de contrôler à distance les machines infectées) ? Ces attaques, de faible complexité mais à l’impact massif.
• La guerre économique : Un contexte de compétition exacerbée entre les acteurs économiques majeurs des pays industrialisés aboutira à un renforcement des menaces « géostratégiques ». L’Internet deviendra un nouveau terrain de conflit sur lequel se joueront les intérêts économiques et politiques des Nations. Les menaces seront ciblées et iront des actions de sabotage, comme ce fut le cas avec le virus Stuxnet, à l’espionnage industriel. Ces offensives pourront atteindre de hauts niveaux de complexité et seront mis en œuvre par des équipes de professionnels bénéficiant de protections diverses et de ressources financières et opérationnelles importantes voire illimitées.

Avec la généralisation du Cloud Computing et des objets connectés, les usages « digitaux » qui émergent aujourd’hui se conforteront largement à horizon 2020. En lien avec cette évolution, de nouvelles menaces, moins ciblées pour les entreprises et les individus et plus ciblées pour les états, sont attendues. Le cadre législatif, fortement évolutif, vise aujourd’hui autant à protéger les internautes, qu’à soutenir les entreprises et l’issue des rapports de force est incertaine.

Cet article Quelle sécurité pour le cyberespace en 2020 ? est apparu en premier sur RiskInsight.

Il n’y a pas que les athlètes qui préparent l’événement sportif international de l’année, les cybercriminels également. Chaque spécialité est bien représentée et va lutter pour obtenir la médaille d’or de la méthode la plus efficace de vol et de fraude. Tour d’horizon des équipes en présence et de leur stratégie.

L’équipe Phishing et son lancer de faux emails

Habituée des grands événements, l’équipe Phishing inonde les boîtes emails de faux messages demandant de communiquer des données sensibles comme ses identifiants ou ses coordonnées bancaires. Leur meilleure technique pendant les JO : vous proposer des loteries pour gagner des tickets gratuits ou des accès à des retransmissions TV ! Le meilleur moyen de leur résister ? Être attentif aux messages trop alléchants, trop urgents et qui contiennent des fautes de frappe ou de grammaire. Un bon réflexe : ne jamais aller sur un site en cliquant sur un lien depuis un email, mais le retaper directement dans le navigateur.

Les cybersquatters et leurs tours de passe-passe quasi indétectables

Les cybersquatters affutent leurs méthodes depuis plusieurs mois, ils ont créé près de 4000 faux sites web dont l’adresse ressemble étrangement à celle des sites officiels mais qui vous emmènent dans leurs pièges ! Quoi de plus ressemblant entre www.rio-olympics.com et www.rio-olympisc.com ? Restez donc attentifs aux sites que vous visitez en vous assurant qu’ils ne contiennent pas d’erreur dans leur nom. Vous éviterez ainsi de tomber sur des sites dangereux qui pourraient vous forcer à télécharger des logiciels malveillants ou vous demander des données personnelles.

L’équipe Ransomware et sa clé de bras numérique

Cette équipe a un moyen très efficace pour vous soutirer de l’argent, elle bloque votre ordinateur et/ou votre téléphone portable et vous demande une rançon ! Une vraie clé de bras numérique digne d’un lutteur ou d’un judoka. L’équipe Ransomware joue collectif car elle fait souvent alliance avec les équipes Phishing et Cybersquatteurs qui leurs ouvrent la route via des faux emails ou des faux sites qui ensuite vous demande d’installer des logiciels complémentaires… Et c’est là où l’équipe Ransomware surgit et qu’elle déploie ses outils qui bloqueront votre ordinateur. Pour éviter d’être piégé, soyez très attentif et surtout n’installez pas d’applications alléchantes qui vous propose des accès gratuits à des flux TV ou à du contenu exclusif. Utilisez les boutiques d’applications officielles qui disposent d’un choix très fourni et légal.

Les cybercriminels locaux et leurs faux points d’accès Wi-Fi

Une équipe à domicile est toujours plus forte, c’est bien connu ! Et il faut s’attendre à ce que les cybercriminels brésiliens, présent sur place, essaient de détourner les bornes Wifi mises à disposition des visiteurs dans les lieux publics pour intercepter leurs échanges et ainsi voler des données. Le meilleur réflexe c’est d’acheter une carte SIM locale pour utiliser votre téléphone et accéder à Internet. Pour les plus férus de technologies, un VPN apportera également un bon niveau de protection, il existe de nombreuses applications comme celle d’Opera. Et si vous devez vraiment utiliser du Wi-Fi, restez attentifs au moindre message d’erreur concernant la sécurité. Lorsque vous allez sur des sites Internet et que de tels messages apparaissent, c’est un signe que le point d’accès est peut-être piraté : déconnectez-vous immédiatement.

L’équipe APT et sa précision redoutable

Cette équipe ne vise pas le grand public, elle cherche à gagner la course en s’introduisant frauduleusement dans les systèmes de l’organisation des JO. Elle pourra ainsi y voler directement les données des athlètes, des spectateurs, mais aussi aller jusqu’à modifier des résultats, interrompre des compétitions ou empêcher leur rediffusion ! Le CIO est mobilisé sur ces menaces depuis de nombreuses années et met en œuvre un dispositif spécifique de cybersécurité. Le retour des JO de Londres nous montre clairement la réalité de cette menace avec plus de 165 millions d’événements liés à la cybersécurité qui ont conduit à 6 attaques majeures. Rio devrait subir une pression encore plus forte au regard de l’évolution de la cybercriminalité sur ces 4 dernières années.

Un bon réflexe : ce qui est trop beau pour être vrai est certainement un piège

Ne tombez pas dans les pièges des cybercriminels, soyez attentifs lorsque vous surfez et lisez vos emails. Et n’oubliez pas de faire une sauvegarde de vos données, de mettre à jour votre ordinateur et votre téléphone en appliquant les correctifs de sécurité proposés et en vous assurant d’avoir un anti-virus à jour.

Voici l’entraînement que vous devez suivre pour vivre des Jeux Olympiques en toute cybersécurité !

Cet article JO2016 : qui aura la médaille d’or chez les cybercriminels ? est apparu en premier sur RiskInsight.

Des ransomwares d’un nouveau genre

Les ransomwares sont aujourd’hui très répandus, des milliers d’attaques ont lieu chaque jour et de très nombreuses entreprises sont touchées. Mais cela uniquement par « malchance » car les ransomwares que nous connaissons aujourd’hui ne ciblent personne en particulier. Ils sont  en effet envoyés dans des vagues massives de faux emails, avec des pièces jointes véroles. L’ouverture de  ces pièces jointes permettra au ransomware de se télécharger et entrainera le chiffrement des données présentes sur le poste de travail mais également sur  les disques réseaux partagés.

Quelques postes, quelques serveurs touchés, la gestion de l’incident est alors réalisée en quelques heures, voire quelques jours et les pertes sont souvent limites si des sauvegardes existent.

Mais ce schéma « classique » pourrait se voir supplanter par un nouveau type de ransomware : les ransomwares ciblés.

Des cas récents de ransomwares ciblés

Trois grandes sociétés aux États-Unis auraient été touchées très récemment.  Le mode opératoire de ces nouveaux ransomware rappellent les attaques ciblées : les attaquants s’introduisent sur le réseau en compromettant un poste puis rebondissent jusqu’à prendre le contrôle des infrastructures centrales. A la différence des attaques ciblées classiques, les attaquants ne volent pas de données mais utilisent les droits d’administration acquis pour distribuer un ransomware sur l’ensemble des postes d’une entreprise. Ce n’est alors plus quelques postes de travail qui sont touchés, mais plusieurs milliers. Les impacts sont alors considérables et se rapprochent de ceux subits lors d’attaque visant à détruire les machines comme chez Sony ou chez Saudi Aramco.

Repenser la cyber résilience pour inclure l’évolution de la menace

Même si ces attaques sont encore peu répandues et qu’elles n’ont pas totalement réussies, ces révélations posent beaucoup de questions sur les motivations des attaquants. Ces attaques peuvent  en effet être très lucratives, car pour retrouver les données infectées, le ransomware demande de payer une rançon. La question est de savoir si certaines entreprises paieront cette rançon. Si c’est  le cas, cela motivera encore plus les attaquants. Rappelons le cas de l’hôpital américain qui avait finalement payé la demande de rançon de 17 000 dollars en février dernier pour récupérer les données de leurs patients.

Pour les entreprises il est essentiel de se prémunir de ces attaques mais aussi de savoir les gérer. Se prémunir passe par une bonne hygiène informatique et surtout par une sécurisation poussée des mécanismes d’administration massive du SI (Active Directory, télédistribution…) et en particulier par la sécurisation des postes utilisés par les administrateurs du SI. La compartimentation du SI est aussi clé pour être capable de limiter les impacts (principe des cloisons étanches du bateau). Ces chantiers sont souvent en cours dans les grandes entreprises mais l’apparition de cette nouvelle menace ne peut que renforcer leur priorité.

D’autre part les processus de gestion de crise doivent être adaptés pour prendre en compte ce scénario qui pose le problème de la capacité même à gérer la crise si plus aucun poste de travail ou serveur n’est disponible. On retrouve alors certains mécanismes déjà prévus pour les scénarios destructifs comme l’approvisionnement rapide de machine ou l’existence d’un parc alternatif (avec des OS différents et/ou hors systèmes de gestion de parc classique) pour a minima gérer la crise. Les systèmes dans le cloud peuvent aussi être une réponse au moins partielle à cette problématique. À nouveau, ces réflexions sont en cours mais la prise en compte de ce scenario de risque est certainement à réévaluer.

Les ransomwares évoluent, ils se professionnalisent et font courir aux entreprises des risques forts d’indisponibilité massive du SI. Ces risques sont aujourd’hui inacceptables dans bons nombres d’entreprises. Il faut donc évaluer ces risques et les prendre en compte dans les prochains plans d’action.

Cet article Le jour où les ransomwares ont changé de dimension ? est apparu en premier sur RiskInsight.

Comprendre les mouvances « hacktivistes »

Équivalent « cyber » des activistes dans le monde physique, ces groupes sont constitués de multiples mouvances, souvent auto-organisées, qui se lient à une cause et utilisent des moyens d’attaques dans le cyber espace pour faire passer leur message. Il est difficile de parler de groupes « organisés » étant donné le nombre de structures qui existent, les différences d’idéologies revendiquées, et la multiplicité de causes défendues (lutte contre la finance, le terrorisme, la police, les « pollueurs »…).

Ils réalisent des actions telles que la publication d’information volées sur des sites, la modification de sites web officiels (defacement) ou encore des attaques en dénis de service visant à saturer des sites web et à les rendre indisponibles.

Leur force repose aussi sur la capacité à rendre publiques et visibles leurs actions, en particulier grâce à de nombreuses communications via les réseaux sociaux et le lancement « d’opérations » qui se fédèrent autour d’un thème et d’un hashtag associé.

Les premières attaques relatives à la COP21

C’est justement l’une des mouvances les plus connues, Anonymous, qui a fait parler d’elle. Tout d’abord le lundi 30 novembre, où le groupe d’abord attaqué le site de l’UNFCC (« United Nations Framework Convention on Climate Change »), réussissant à dérober des informations confidentielles telles que les noms, prénoms, coordonnées, mots de passe chiffrés, questions secrètes… Plus de 1500 personnes enregistrées sur le site seraient touchées par l’attaque.

Puis une deuxième attaque aurait touché un système de diffusion de vidéo révélant potentiellement les comptes et les mots de passe de 300 utilisateurs et employés de la société fournissant des systèmes utilisés par l’UNFCC. La sensibilité de ces données, en particulier vis-à-vis du rôle des personnes touchées, doit encore être confirmée. La motivation de ces attaquants : dénoncer les arrestations de dimanche à Paris suite aux manifestions en partie violente.

Un autre mouvement vise à révéler des informations compromettantes sur des entreprises ou des organisations accusés d’abuser des ressources naturelles. Cette campagne « #OpCanary », existante depuis plusieurs mois, connaît une activité plus forte depuis la semaine dernière et vise actuellement particulièrement le Canada et la société Barrick Gold.

Des conséquences sur les négociations ?

Même si la véracité des attaques et des données doit encore être confirmée, le premier objectif de ces attaquants est en partie atteint : ils font passer leur message publiquement. Au-delà des révélations de données, il est important de souligner que d’autres attaques pourraient être réalisées grâce aux données volées. En particulier les mots de passe, si les personnes concernées ont utilisés les mêmes sur plusieurs sites ou ordinateurs (ce qui est très courant comme le montrait une étude de l’OFCOM au Royaume-Uni avec des taux de réutilisation supérieur à 55%), leur révélation pourraient entraîner d’autres fuites de données. Et, si des officiels sont touchés, cela pourrait être encore plus dommageable en particulier sur les teneurs des négociations.

Affaire à suivre …

Cet article COP21, quand les hacktivistes s’en mêlent… est apparu en premier sur RiskInsight.

Que sait-on de l’attaque contre TV5Monde ? Qui sont les attaquants ?

Le 8 avril au soir, les comptes de TV5Monde sur les réseaux sociaux diffusent des messages favorables à l’État Islamique. En parallèle, la chaîne arrête d’émettre et les téléspectateurs se retrouvent devant un écran noir. Dès le 9 avril au matin, de nombreux articles manquant de sérieux ont prétendu décrypter l’attaque en détail, et ont malheureusement été repris par de nombreux médias. Peu d’informations sont en fait disponibles publiquement à ce jour, et il faudra sans doute attendre les résultats de l’enquête pour en savoir davantage.

Cela étant, quelques éléments sont déjà connus avec un bon niveau de certitude. Tout d’abord, il s’agit d’une attaque préparée et coordonnée. De nombreuses sources évoquent un mail de phishing ayant piégé un ou plusieurs employés de la chaîne, permettant à des attaquant de prendre le contrôle de leur poste de travail, puis de rebondir à l’intérieur du système d’information. Les premiers comptes compromis ont peut-être été ceux des community managers de réseaux sociaux. Rappelons au passage que même un mot de passe très long et très complexe ne résisterait pas à cette méthode, puisque c’est l’utilisateur qui le « donne » à l’attaquant sans le savoir.

Une fois que les attaquants ont réussi à atteindre les serveurs assurant le multiplexage et permettant d’interrompre la diffusion. Ils ont lancé toutes les actions malfaisantes en parallèle : réseaux sociaux et diffusion. Ces éléments laissent à penser que l’attaque a nécessité une équipe de réalisation composée de plusieurs personnes et compétences. Attention toutefois à une attribution de l’attaque trop hâtive : elle pourrait effectivement avoir été menée par un groupe idéologique, mais elle pourrait également avoir été commanditée à un groupe de « cyber mercenaires » avec une unique motivation financière.

S’agit-il d’une attaque exceptionnelle ?

De ce que l’on sait aujourd’hui, l’attaque n’est pas extraordinaire par son mode opératoire. Les attaquants ont probablement suivi le schéma classique : une phase de reconnaissance, puis d’intrusion, et enfin de propagation jusqu’à atteindre les systèmes ciblés. Son objectif, une destruction à visée idéologique, n’est pas nouveau non plus en soi.

On ne peut pas parler de « cyberguerre » à ce stade, mais plutôt de « cyber-vandalisme », comme l’a fait Barack Obama pour le cas Sony Pictures fin 2014. Si l’attaque a été exceptionnelle, c’est surtout par sa couverture médiatique : tous les médias généralistes ou presque en ont parlé (chaînes télévisées, journaux papiers et web, magazines), en France comme à l’international.

À cela, il y a plusieurs explications. D’une part, l’aspect symbolique et très visible de l’attaque : TV5Monde est une chaîne francophone, diffusée partout dans le monde. Elle porte donc indirectement l’image de la France, et se retrouve au milieu d’une guerre médiatique. D’autre part, l’impact de l’attaque : la chaîne a arrêté d’émettre ses programmes, ce qui est son principal métier. Cela a créé une frayeur dans beaucoup de médias, qui redoutent d’être les prochaines victimes et ont donc tenté de comprendre l’attaque.

Les médias vont-ils devenir une cible privilégiée pour les pirates ? Y a-t-il un moyen pour eux de se prémunir contre ce type d’attaque ?

L’essence d’un média est sa visibilité, ce qui en fait une cible de choix pour qui veut diffuser un message de propagande idéologique. Il est donc aujourd’hui important pour les médias, comme pour beaucoup d’entreprises, de se préoccuper de leur sécurité informatique. C’est tout de même déjà bien souvent le cas, mais nous pouvons rappeler quelques priorités pour réduire la probabilité qu’une telle attaque réussisse.

Tout d’abord, il faut systématiquement faire auditer les infrastructures informatiques exposées sur Internet, et bien sûr corriger les éventuelles faiblesses découvertes. Il est également nécessaire de sensibiliser les collaborateurs aux bonnes pratiques « d’hygiène » en sécurité informatique, en portant une attention particulière aux utilisateurs disposant de données ou de droits particuliers (tels que les community managers de réseaux sociaux, les administrateurs informatiques, et les dirigeants).

Enfin, l’affaire TV5Monde a mis en exergue un point intéressant à garder à l’esprit : il est vital que la cybersécurité soit un domaine de collaboration entre entreprises, et non de compétition ! En particulier, le partage des IOC (indicateurs de compromission permettant de détecter les traces d’une attaque) entre entreprises du même secteur devient une priorité. C’est l’un des axes que l’ANSSI promeut auprès des différents acteurs et qui a été mis en oeuvre lors de cette attaque.

Après une chaîne de télévision, qu’est-ce qui empêche l’attaque d’infrastructures plus critiques de notre pays ?

Les spécialistes de la sécurité n’ont pas découvert l’existence d’attaques avec celle de TV5Monde, loin de là. Des entreprises aux activités sensibles sont attaquées tous les jours, parfois avec succès : ce risque est connu ! C’est bien pour cela que les sociétés concernées travaillent depuis des années sur leur sécurité informatique, et que le sujet est pris de plus en plus au sérieux par les directions générales.

Par ailleurs, l’état se donne aujourd’hui les moyens de sécuriser les infrastructures informatiques les plus sensibles : d’importants budgets sont mis en œuvre pour protéger les services étatiques et accompagner celle des entreprises (Opérateurs d’Importance Vitale en particulier), voire leur imposer dans certains cas.

Une attaque n’est bien sûr pas exclue, et il faudrait idéalement pouvoir en faire davantage sur le sujet de la cybersécurité. Mais la situation va dans la bonne direction et il est important de rester rationnels suite à l’attaque contre TV5Monde, tout en continuant les efforts de sécurisation.

Cet article TV5Monde : une cyberattaque de grande ampleur… médiatique ! est apparu en premier sur RiskInsight.

Cet article Cybercriminalité : et si ça nous arrivait ? est apparu en premier sur RiskInsight.

Télécommunications : le réseau mobile Orange down

Si l’on demandait aux Français quelle panne les a le plus marqués en 2012, il y a fort à parier qu’ils parleraient d’Orange : au mois de juillet, l’opérateur (et d’autres par ricochet) a subi une interruption de son réseau mobile pendant plusieurs heures suite à un incident logiciel. Moins d’une semaine plus tard, c’était au tour d’O₂ de subir le même sort au Royaume-Uni pour quasiment 24h. Preuve, s’il en fallait une, que l’on ne doit pas considérer la résilience des réseaux mobiles comme une évidence.

Énergie : la plus grosse panne électrique de l’histoire

Il en va de même pour les réseaux électriques. Si la dernière panne générale en France remonte à 1978, des interruptions significatives ont été enregistrées récemment (Chili et Japon en 2011, USA en 2008 et 2003). Fin juillet 2012, l’Inde a établi un triste record : la plus grande panne d’électricité jamais enregistrée, avec 670 millions d’usagers touchés pendant plusieurs jours. En cause : une capacité de production qui a du mal à suivre la croissance de la population et de la demande, combinée à une sècheresse qui a diminué la production hydro-électrique du pays.

Banque et finance : un des bugs les plus coûteux après le blackout aux USA de 2003 et la destruction d’Ariane 5 en 1996

Les pannes et bugs logiciels occupent une bonne place cette année dans le top des causes des incidents majeurs. C’est ce qui s’est passé pour Knight Capital, qui a subi en août l’un des bugs les plus chers de l’histoire : 440 millions de dollars envolés. Un système de trading haute fréquence mal qualifié est à l’origine du désastre, qui ne manquera pas d’alimenter les détracteurs de la finance. Knight Capital est d’ailleurs passé proche de la banqueroute et n’a pu éviter le rachat par un de ses concurrents début 2013.

Dans le secteur bancaire, impossible de passer sur la panne informatique de Royal Bank of Scotland (RBS). Provoquée par une erreur dans un batch, elle a exigé d’importantes et nombreuses opérations manuelles des équipes informatiques ce qui a fortement retardé le traitement. Plus de 15 millions de clients ne pouvaient plus retirer de l’argent ou faire des virements pendant une semaine ! Résultat : 219 millions d’euros de dédommagements pour la banque.

Services informatiques : le cloud, toujours le cloud !

Les belles promesses de résilience de l’informatique dans les nuages avaient déjà pris un sacré coup en 2011, avec des interruptions importantes chez la plupart des acteurs majeurs du secteur. L’année 2012 a fini de tuer le rêve.

Amazon est le grand vainqueur avec au moins 4 pannes majeures en 2012, dont une le jour de Noël. Les causes sont diverses : tempête et panne électrique, bug logiciel, erreurs réseau ou erreur humaine. Chez Microsoft, la panne mondiale d’Azure en février a viré au tragicomique lorsqu’il fut révélé qu’elle provenait d’une erreur logicielle liée à l’année bissextile ! Enfin, bien que moins importantes, Google a aussi connu son lot de pannes en 2012, tout comme Facebook et Twitter.

Catastrophes naturelles : l’ouragan Sandy … entre autres

Impossible de terminer ce panorama sans évoquer les catastrophes naturelles : inondations aux Philippines, séisme en Iran et en Chine, ouragan Sandy en Amérique du Nord… Selon le réassureur allemand Munich Re, les catastrophes naturelles ont causé environ 160 milliards de dollars de pertes en 2012 (400 en 2011 selon la même source, année la plus coûteuse de l’histoire en la matière), sans parler des nombreuses victimes.

Et en bonus…

Moins importants en termes d’impacts que ceux mentionnés ci-dessus, deux exemples d’incidents nous semblent pourtant pouvoir donner matière à réflexion.

En cette année d’élections en France où une nouvelle fois la question du vote électronique a été posée,  deux incidents informatiques ont perturbé des processus électoraux : dans le canton de Vaud en Suisse et lors des primaires du Likoud en Israël.

Pour clore ce panorama, on se doit de citer les actes malveillants, liés à la cybercriminalité notamment, par exemple les importantes attaques DDoS contre des institutions financières aux USA ou l’infection de 30000 PC de Saudi Aramco (première compagnie pétrolière mondiale) par le virus très perfectionné Shamoon. On notera également les révélations du New York Times concernant l’implication des USA et d’Israël dans le virus Stuxnet en 2010, faisant encore monter d’un cran la pression sur la cyber-guerre.

Les années passent, les interruptions d’activité restent

Les années se suivent et ne se ressemblent pas¹, mais les interruptions d’activité, catastrophes et autres bugs informatiques continuent de provoquer des problèmes majeurs.

S’il est important de mettre des moyens sur leur prévention, il est tout aussi nécessaire de savoir réagir. Le risque zéro n’existe pas et certains accidents sont aussi inattendus qu’inévitables. Dans ce cas,  un PCA accompagné d’une gestion de crise efficace peuvent permettre de limiter grandement les dégâts !

[Article écrit en collaboration avec Gérôme Billois]

¹Voir notre rétrospective des incidents 2011.

Cet article La fin du monde a (presque) eu lieu : revue de 5 incidents marquants en 2012 est apparu en premier sur RiskInsight.

Ce nouveau cas est en ligne avec ce que nous observons actuellement de manière plus globale et confirme deux grandes tendances : l’attaque a lieu en période de faiblesse du système d’information et la compromission des systèmes centraux est quasi systématique.

 Attaquer pendant une période de faiblesse

Le cas de l’Élysée montre que les attaquants savent tirer profit de l’actualité de leur cible. L’attaque de l’Élysée a eu lieu entre les deux tours, pendant une période de changement pour cette structure et par conséquent moment privilégié pour s’installer et se « cacher » dans le SI avant l’arrivée du nouvel occupant.

Il est courant pour les attaquants de viser les périodes de faiblesse des organisations. Une majorité d’attaque se déroule le week-end ou pendant les heures non ouvrées. Aujourd’hui la plupart des organisations ne disposent ni des moyens ni des équipes pour assurer un tel niveau de  protection et de surveillance. Et les attaquants le savent !

 Compromettre les systèmes centraux

On estime souvent qu’il faut protéger en priorité les serveurs métiers les plus critiques. Les attaques récentes montrent cependant que ce sont bien souvent les systèmes centraux de gestion du SI les cibles initiales des attaquants. Nous avons observé une majorité d’attaques sur l’Active Directory mais également sur d’autres éléments  tels que la télédistribution. Ces systèmes sont utilisés pour prendre le contrôle de l’ensemble du SI puis par rebond d’accéder aux serveurs métiers et aux précieuses informations qu’ils contiennent. Prendre pied à ce niveau autorise également une installation dans la durée et une capacité d’action sur l’ensemble des postes de travail de l’entreprise.

 Rester sur ses gardes et renforcer les processus d’administration

L’évolution des menaces nécessite de reposer certains fondamentaux de la protection. Les équipes sécurité doivent aujourd’hui se doter de moyens pour surveiller le SI et agir 24h sur 24. Si ce n’est possible pour les équipes internes, le recours à un service tiers couplé à une organisation d’astreinte permet de répondre au besoin. Cette surveillance, qui lorsqu’elle existe est souvent centrée sur la périphérie du réseau, doit se réorganiser pour ajouter les systèmes métiers sensibles et les services centraux.

Mais attention : la surveillance ne fait pas tout. Il est nécessaire d’éviter la compromission initiale et sur le volet des systèmes centraux, il reste beaucoup à faire ! En effet, les pratiques d’administration sont souvent génératrices de risques : multiplication des comptes administrateurs et des serveurs, utilisation de poste d’administration pour des usages personnels (messagerie, surf internet…), authentification simple et mot de passe partagé… Un audit sur ce périmètre révèle souvent bien des mauvaises surprises et nécessite d’ajouter une rigueur nécessaire vue la criticité des systèmes manipulés pour l’organisation.

Les attaques se suivent et bien souvent se ressemblent. Il est maintenant grand temps d’agir sur les zones les plus à risque et les retours d’expériences montre clairement où elles se trouvent !

Cet article Attaque du SI de l’Elysée : la confirmation de nouvelles tendances en matière de cybercriminalité ? est apparu en premier sur RiskInsight.