Cyber

ADINT contre zero-click : la nouvelle bataille

Le paysage de la cybersécurité est en constante évolution, et les vecteurs d’infection ne font pas exception. Là où les vulnérabilités zero-day et zero-click ont longtemps dominé le marché, une nouvelle bataille se profile : ADINT (Advertising Intelligence).

Les enjeux du marché de l’infection

Traditionnellement, le marché de l’infection informatique reposait sur l’achat et la vente de vulnérabilités zero-day et zero-click. Ces failles, souvent coûteuses à exploiter, permettaient aux attaquants d’infiltrer des systèmes sans que l’utilisateur ait besoin d’interagir. Cependant, les coûts croissants et la raréfaction des vulnérabilités ont poussé les acteurs du secteur à explorer de nouvelles approches.

ADINT : la publicité comme vecteur d’infection

L’ADINT (Advertising Intelligence) est une tendance émergente qui consiste à utiliser la publicité comme vecteur d’infection. Plutôt que de s’appuyer sur des failles techniques, les attaquants ciblent les utilisateurs via des publicités malveillantes. Voici comment cela fonctionne :

  1. Publicités ciblées : Les cybercriminels diffusent des publicités malveillantes sur des sites web populaires, ciblant des utilisateurs spécifiques en fonction de leurs habitudes de navigation.
  2. Exploitation des navigateurs : Ces publicités contiennent des scripts ou des liens vers des sites compromis. Lorsque l’utilisateur clique sur la publicité, son navigateur est exploité pour télécharger et exécuter du code malveillant.
  3. Infection silencieuse : L’utilisateur ne se rend pas compte qu’il a été infecté, car l’attaque se déroule en arrière-plan. Aucune interaction de l’utilisateur n’est nécessaire.

Conséquences et défenses

L’ADINT présente des avantages pour les attaquants, mais aussi des risques pour les utilisateurs et les entreprises. Pour se protéger, voici quelques mesures à prendre :

  • Mises à jour régulières : Assurez-vous que vos navigateurs et logiciels sont à jour pour réduire les vulnérabilités.
  • Bloquer les publicités suspectes : Utilisez des bloqueurs de publicités pour limiter l’exposition aux annonces malveillantes.
  • Sensibilisation des utilisateurs : Informez vos employés sur les risques liés aux publicités et encouragez-les à être prudents lors de leur navigation en ligne.

En somme, la bataille entre ADINT et les vecteurs d’infection traditionnels est en cours. Les entreprises et les utilisateurs doivent rester vigilants et adopter des pratiques de sécurité solides pour se protéger contre ces menaces émergentes.


Cyber : "leaks" le risque de fuite de données

En ces temps de guerre de l'information, la fuite de données depuis les appareils et réseaux civils est une préoccupation majeure. Cette menace est exacerbée par l’escalade de la guerre numérique. Les informations les plus convoitées sont les données industrielles, technologiques, médicales et toutes les données personnelles. La raison est assez simple : les cybercriminels adoptent de plus en plus une stratégie de double extorsion.

En plus de l’utilisation de ces données pour des attaques futures de phishing, de smishing ou d’ingénierie sociale visant le gain financier, ces vols de données deviendront de plus en plus un moyen plutôt qu’une fin. Ils visent à influencer et à déstabiliser. Contrairement à la désinformation industrielle, les fuites sont des données « réelles » utilisées par les nations.

Une fuite de données peut être attribuée à diverses sources internes à l’entreprise, telles qu’un employé, un prestataire ou même un stagiaire malintentionné qui pourrait récupérer vos informations via une clé USB. Lors de son audit, la société International ICS intervient pour constater et formuler des recommandations.

La technique du « hack-and-leak » sera toujours d’actualité, dans le but de déstabilisation politique dans les entreprises, mais pas seulement. Ces données seront utilisées pour l’espionnage. Les tensions géopolitiques croissantes augmentent les risques d'ingérence entre les sociétés.

Les partis politiques et les grandes industries sont d’excellentes sources de renseignements. Ces menaces proviennent principalement de l’extérieur de l’organisation, mais la menace interne est en forte augmentation et reste pourtant sous-estimée.

Voici quelques exemples de grandes fuites de données :

  • Fuite de données de la Sécurité Sociale : En 2024, une cyberattaque sans précédent a touché deux organismes français du tiers payant, Viamedis et Almerys. Les données de santé de plus de 33 millions d'assurés français ont été compromises. Les données volées comprenaient l'état civil, la date de naissance, le numéro de Sécurité sociale, le nom de l'assureur santé et les garanties du contrat souscrit.
  • Compilation of Many Breaches (COMB) : En février 2021, une énorme base de données contenant plus de 3,2 milliards de combinaisons d'identifiants et de mots de passe a été mise en ligne sur un forum de hackers. Cette fuite, appelée COMB, comprenait des données provenant de LinkedIn, Netflix, Gmail, Hotmail, Facebook et bien d'autres. Il s'agit probablement de la plus grande compilation d'informations d'identification d'utilisateurs piratées jamais publiée en ligne.
  • Fuite de données de SocialArks : En janvier 2021, l'entreprise de cybersécurité SafetyDetectives a révélé que le fichier de données de 214 millions de comptes de SocialArks, une startup chinoise, était laissé en accès complètement libre, sans la moindre protection. Environ 800 000 comptes français étaient concernés.
  • Fuite de données de Tencent et Weibo : Une fuite de données a été découverte dans une instance cloud ouverte par Bob Dyachenko. Elle se compose de 26 milliards de données réparties dans 3800 dossiers, chacun correspondant à une fuite de données distincte. Les fuites de données les plus importantes concernent deux entités chinoises : Tencent avec 1,5 milliard d’entrées et Weibo avec 504 millions.
  • Fuite de données d'Ashley Madison : En juillet 2015, un groupe de hackers a annoncé avoir piraté les serveurs d’Ashley Madison, le site de rencontre extra-conjugales numéro 1 aux États-Unis. Ils ont menacé de publier toutes les données interceptées si l'application n'était pas fermée.
  • Fuite de données de Pôle Emploi : Pôle Emploi, l'agence nationale pour l'emploi en France, a également été victime d'une fuite de données. Le nombre de violations de données en France est passé de 4,5 par jour à 7 en un an et demi.

Ces incidents soulignent l'importance de la cybersécurité et la nécessité de protéger nos informations personnelles en ligne. Il est recommandé de changer régulièrement vos mots de passe et d'utiliser des mots de passe uniques pour chaque compte pour minimiser les risques.

Les fuites de bases de données auront encore de beaux jours devant elles dans le futur. Il ne faut jamais oublier que les données personnelles sont l’actif le plus précieux. Les entreprises doivent donc mettre en place des mesures de sécurité contre le cyber-espionnage. Il est conseillé de changer régulièrement vos mots de passe sur vos comptes. Les cybercriminels qui auraient récupéré vos informations d'identification peuvent les tester sur plusieurs sites si ils ont aussi vos identifiants.

Restez toujours vigilant.


Démêler les termes de cryptographie et de chiffrement

Dans le monde numérique, la sécurité des informations est primordiale. Cependant, un malentendu courant persiste autour des termes “cryptographie” et “chiffrement”. Bien que souvent utilisés de manière interchangeable, ils désignent en réalité deux concepts distincts. Le terme « crypter » est dérivé du mot grec ancien kruptos, qui signifie « caché ». Dans le domaine de l’informatique, le cryptage désigne le processus de rendre les données inintelligibles grâce à un algorithme. Lorsqu’on détient la clé pour coder ou décoder, on utilise alors le terme de chiffrement. Il est important de noter que les mots « crypter » et « cryptage » sont fréquemment utilisés de manière incorrecte, en raison de la confusion avec le mot anglais encryption, qui se traduit par « chiffrement ».

Cryptographie : L’Art Ancien de la Communication Secrète

La cryptographie est une discipline ancienne qui englobe l’étude des principes et des techniques permettant de sécuriser la communication. Son objectif est de garantir que seuls les destinataires prévus puissent comprendre le message envoyé. La cryptographie ne se limite pas au chiffrement ; elle inclut également la stéganographie, l’authentification et l’intégrité des données.

L’histoire de la cryptographie remonte à l’Antiquité, avec des exemples tels que la recette secrète d’un potier babylonien gravée sur une tablette d’argile. Cette recette était écrite avec des modifications orthographiques pour masquer sa véritable signification aux non-initiés. Au fil des siècles, des techniques telles que le carré de Polybe, le code de César et le Grand Chiffre de Louis XIV ont été développées, utilisant la substitution de lettres ou de chiffres pour protéger les informations.

Chiffrement : La Technique de Protection des Données

Le chiffrement, quant à lui, est une sous-branche de la cryptographie qui se concentre sur la transformation de l’information claire en un format illisible sans la clé appropriée. Cette clé, connue uniquement du destinataire légitime, est nécessaire pour décrypter le message et le rendre à nouveau lisible.

L’un des exemples les plus célèbres de chiffrement est la machine Enigma utilisée par l’Allemagne pendant la Seconde Guerre mondiale. Alan Turing et son équipe ont réussi à “casser” le code d’Enigma, un exploit qui a eu un impact significatif sur le cours de la guerre.

Lorsque nous communiquons par le biais d’applications mobiles telles que Olvid ou Signal, nous faisons usage d’un service de messagerie chiffrée.

L’Ère Moderne : Chiffrement et Cryptographie Quantique

Avec l’avènement de l’informatique, le chiffrement est devenu un standard pour la protection des données. L’algorithme DES, initialement utilisé à des fins militaires, a été adopté par les entreprises dans les années 70. Plus tard, l’algorithme RSA a introduit le concept de clés publiques et privées, une avancée majeure dans la cryptographie asymétrique.

Aujourd’hui, nous entrons dans l’ère de la cryptographie quantique, où les propriétés de la physique quantique promettent de révolutionner la sécurité des données. Les ordinateurs quantiques pourraient rendre obsolètes les méthodes de chiffrement actuelles, y compris les clés RSA, en raison de leur capacité à résoudre des problèmes complexes à une vitesse sans précédent.

Le Chiffrement au Quotidien : De la Théorie à la Pratique

Le chiffrement est désormais omniprésent, souvent sans que nous en soyons conscients. Il sécurise nos communications par e-mail, nos messages instantanés et nos transactions en ligne. Le chiffrement de bout en bout, en particulier, assure que seuls l’expéditeur et le destinataire peuvent lire le contenu d’un message, empêchant toute interception par des tiers.

Il est essentiel de comprendre la distinction entre cryptographie et chiffrement pour apprécier pleinement les mesures de sécurité qui protègent nos informations les plus sensibles. Alors que la cryptographie est l’étude globale de la communication sécurisée, le chiffrement est la technique spécifique utilisée pour masquer le contenu des messages. Ensemble, ils forment la base de notre confiance dans la sécurité numérique moderne.


iCloud : Comment fonctionne le chiffrement

La sécurisation des informations sur iCloud est intrinsèquement connectée à la manière dont les données sont stockées. Cela commence avec les frameworks d’application et les API CloudKit, qui sont utilisés par les applications et les systèmes logiciels pour sauvegarder les données de l’utilisateur sur iCloud et synchroniser ces informations entre les différents appareils et le Web.

CloudKit est un cadre d’application robuste et flexible offert par Apple, qui offre aux développeurs d’applications une plateforme pour stocker et gérer divers types de données dans le cloud, plus précisément dans iCloud. Ces données peuvent être des paires clé-valeur, des données structurées, ou même des ressources plus volumineuses qui sont stockées en dehors de la base de données, comme des images ou des vidéos.

CloudKit offre une prise en charge pour deux types de bases de données : les bases de données publiques et privées. Ces bases de données sont regroupées dans des conteneurs pour une gestion efficace. Les bases de données publiques sont généralement utilisées pour stocker des ressources génériques. Elles sont partagées à l’échelle mondiale et ne sont pas chiffrées, ce qui signifie que les données qu’elles contiennent sont accessibles à tous les utilisateurs. D’autre part, les bases de données privées sont destinées à héberger les données iCloud spécifiques à chaque utilisateur. Ces données sont protégées et ne sont accessibles qu’à l’utilisateur concerné.

L’un des aspects clés de CloudKit est son utilisation d’une hiérarchie de clés qui correspond à la structure des données stockées. Cette hiérarchie de clés assure la sécurité et l’intégrité des données. La base de données privée de chaque conteneur est protégée par cette hiérarchie de clés, qui est enracinée dans une clé asymétrique appelée clé de service CloudKit. Cette clé est unique à chaque utilisateur d’iCloud et est générée sur l’appareil de confiance de l’utilisateur.

Lorsqu’un utilisateur écrit des données dans CloudKit, toutes les clés d’enregistrement sont générées sur son appareil de confiance. Ces clés sont ensuite enveloppées dans la hiérarchie de clés appropriée avant que les données ne soient téléversées. Cela garantit que les données sont sécurisées et protégées tout au long du processus de téléversement. En somme, CloudKit offre une solution de stockage en nuage sécurisée et efficace pour les développeurs d’applications, tout en assurant la confidentialité et la sécurité des données des utilisateurs.

 

La protection des informations chiffrées dans CloudKit est assurée par la sûreté des clés de chiffrement associées. Les clés de service CloudKit se divisent en deux types : « chiffrées de bout en bout » et « accessibles après authentification ».

Il est vivement conseillé aux utilisateurs d’iCloud d’activer l’option “Protection avancée des données pour iCloud”.

  • Clés de service chiffrées de bout en bout. Pour les services iCloud qui sont chiffrés de bout en bout, les clés de service CloudKit privées associées ne sont jamais accessibles aux serveurs d’Apple. Les paires de clés de service, y compris les clés privées, sont générées localement sur un appareil de confiance de l’utilisateur, puis transférées aux autres appareils de l’utilisateur en utilisant la sécurité du trousseau iCloud. Bien que les processus de récupération et de synchronisation du trousseau iCloud utilisent les serveurs d’Apple, des méthodes de chiffrement empêchent ces derniers d’accéder aux données du trousseau de l’utilisateur. En cas de perte de l’accès au trousseau iCloud et à tous ses moyens de récupération, les données chiffrées de bout en bout dans CloudKit sont perdues. Apple ne peut pas aider à récupérer ces données. Seuls vos appareils approuvés, sur lesquels vous êtes connecté avec votre identifiant Apple, peuvent déchiffrer vos données chiffrées de bout en bout. Aucun tiers, y compris Apple, ne peut accéder à ces informations. Même en cas de violation de données dans le cloud, vos données restent sécurisées. En cas de perte d’accès à votre compte, vous êtes le seul à pouvoir récupérer vos données, que ce soit grâce au code d’accès ou au mot de passe de votre appareil, à un contact de récupération ou à une clé de secours.

 

  • Clés de service accessibles après authentification. Pour les autres services, tels que Photos et iCloud Drive, les clés de service sont conservées dans les modules de sécurité matériels iCloud dans les centres de données Apple et sont accessibles par certains services Apple. Lorsqu’un utilisateur se connecte à iCloud sur un nouvel appareil en utilisant son identifiant Apple, les clés sont accessibles par les serveurs d’Apple sans action supplémentaire de l’utilisateur. Par exemple, une fois connecté à iCloud.com, l’utilisateur peut immédiatement voir ses photos en ligne. Ces clés de service sont des clés accessibles après authentification.

Quand la protection avancée des données est activée, certaines métadonnées et données d’utilisation conservées dans iCloud demeurent sous la protection standard des données. Par exemple, les informations telles que les dates et heures de modification d’un fichier ou d’un objet sont utilisées pour organiser vos données. De plus, les sommes de contrôle des données de fichiers et de photos aident Apple à éliminer les doublons et à optimiser votre stockage iCloud et sur votre appareil, sans qu’Apple ait accès à vos fichiers et photos. Ces métadonnées sont toujours chiffrées, mais Apple conserve les clés de chiffrement.

En conclusion, la protection des données sur iCloud est un élément essentiel de la stratégie de sécurité d’Apple. iCloud utilise des mesures de sécurité telles que l’authentification à deux facteurs et le chiffrement de bout en bout pour protéger les données des utilisateurs. Cependant, bien que ces mesures soient robustes, il est important de noter que la sécurité des données dépend également des pratiques de l’utilisateur. Par conséquent, il est recommandé aux utilisateurs de maintenir des mots de passe forts et uniques, et de rester vigilants face aux tentatives de phishing. En fin de compte, bien que iCloud offre une protection des données solide, la responsabilité de la sécurité des données incombe à la fois à Apple et à l’utilisateur.


Cyber : les règles d'or de la sauvegarde

Les données sont un actif précieux pour toute entreprise. Elles contiennent des informations stratégiques, financières, commerciales, techniques, ou personnelles qui sont essentielles pour le fonctionnement et le développement de l’activité. Cependant, les données sont aussi exposées à de nombreux risques, tels que les pannes, les pertes, les vols, les fuites, ou les attaques cybercriminelles. Ces risques peuvent avoir des conséquences graves pour l’entreprise, comme la perte de revenus, de clients, de réputation, ou de confiance.

Pour protéger ses données, une entreprise doit mettre en place une politique de sauvegarde et de restauration efficace et adaptée à ses besoins. Cette politique consiste à définir les règles et les procédures pour copier, stocker, sécuriser, et récupérer les données en cas de besoin. Elle doit permettre à l’entreprise de garantir la disponibilité, l’intégrité, et la confidentialité de ses données, ainsi que de respecter les obligations légales et réglementaires en matière de protection des données.

Dans cet article, nous allons vous présenter les bonnes pratiques pour construire et protéger vos données grâce à une politique de sauvegarde et de restauration adaptée. Nous allons vous expliquer comment élaborer une stratégie de sauvegarde en fonction de la criticité et de la fréquence de vos données, comment traiter les opérations de sauvegarde et de restauration comme des opérations sensibles qui nécessitent des protections appropriées, comment assurer l’autonomie et le contrôle d’accès de votre infrastructure de sauvegarde, comment être attentif à la sensibilité des données sauvegardées en cas de solution hors-site, dans un cloud public ou chez un prestataire externe, comment adapter votre infrastructure de sauvegarde en permanence selon les changements de vos systèmes d’information et les risques potentiels, et comment anticiper et réagir en cas d’attaque ou de perte des données. Nous allons également vous donner des exemples concrets et des conseils pratiques pour mettre en œuvre ces bonnes pratiques.

Construire et protéger vos données

  • Élaborez une stratégie de sauvegarde en déterminant les données essentielles pour le fonctionnement de votre entreprise et en indiquant la périodicité à laquelle il est nécessaire de les sauvegarder.
  • Traitez les opérations de sauvegarde et de restauration comme des opérations délicates d’administration qui doivent disposer des protections appropriées : poste d’administration renforcé, flux dans un réseau d’administration, etc.
  • Assurez l’autonomie de votre infrastructure de sauvegarde par rapport à vos annuaires de production (Active Directory, etc.)
  • Veillez au contrôle d’accès à vos sauvegardes pour assurer qu’elles ne seront ni altérées ni modifiées et toujours accessibles, surtout dans le cas de l’utilisation d’offres de sauvegarde Cloud.
  • Soyez attentif sur la sensibilité des données sauvegardées en cas de solution hors-site, dans un cloud public ou chez un prestataire externe. Cryptez les sauvegardes au préalable par vos propres moyens si besoin.
  • Adaptez votre infrastructure de sauvegarde en permanence selon les changements de vos SI (virtualisation, cloud, etc.) et les risques potentiels. Ne gardez pas une infrastructure dépassée en production.

Anticiper et réagir en cas d'attaque ou de perte des données

  • Élaborez une stratégie de restauration, en cohérence avec votre PRA et en considérant les principaux scénarios d’attaque possibles sur vos SI (rançongiciels, espionnage, etc.). Effectuez fréquemment des tests de restauration. Associez la direction sur les modes dégradés tolérables en cas de crise Cyber.
  • Veillez à inclure les médias d’installation et les configurations de vos applications métier dans vos sauvegardes.
  • Effectuez souvent et obligatoirement des sauvegardes hors-ligne (débranchées du SI).
  • Concevez une procédure d’isolation d’urgence du système de sauvegarde (serveurs, médias, etc.) en cas de doute de compromission ou d’attaque en cours.

Si vous avez été victime d’un incident de sécurité informatique, vous devez être prudent lorsque vous utilisez vos sauvegardes pour restaurer vos systèmes ou vos données. En effet, il se peut que vos sauvegardes contiennent les éléments qui ont permis aux attaquants de pénétrer dans votre réseau ou de compromettre vos machines. Ces éléments sont appelés des vecteurs de compromission. Ils peuvent prendre la forme de fichiers malveillants, de logiciels espions, de mots de passe volés, de clés de chiffrement, etc. Si vous restaurez vos sauvegardes sans vérifier qu’elles sont exemptes de vecteurs de compromission, vous risquez de réintroduire les failles de sécurité que vous essayez de corriger. Notamment les risques sur les systèmes Cyber ICS (Industrial Control Systems).

Pour éviter ce scénario, vous devez suivre quelques bonnes pratiques lorsque vous restaurez vos sauvegardes après un incident. Tout d’abord, vous devez choisir des sources de confiance pour restaurer vos systèmes d’exploitation, vos applications ou vos logiciels. Il s’agit de sources qui vous garantissent que les fichiers que vous téléchargez ou que vous installez sont authentiques et intègres. Par exemple, vous pouvez utiliser des images officielles fournies par les éditeurs des systèmes d’exploitation ou des applications, ou des binaires d’installation signés numériquement par les développeurs des logiciels. Ces sources vous permettent de vérifier que les fichiers que vous utilisez n’ont pas été modifiés ou altérés par des tiers malveillants.

Ensuite, vous devez contrôler la conformité des configurations de vos systèmes, de vos applications ou de vos logiciels. Il s’agit de vérifier que les paramètres que vous utilisez respectent les normes de sécurité en vigueur et ne présentent pas de vulnérabilités connues. Par exemple, vous pouvez vous assurer que vos systèmes sont à jour avec les derniers correctifs de sécurité, que vos applications utilisent des protocoles de communication sécurisés, ou que vos logiciels respectent les bonnes pratiques de développement. Ces vérifications vous permettent de détecter et de corriger les éventuelles erreurs de configuration qui pourraient faciliter l’accès des attaquants à vos systèmes ou à vos données.

Enfin, vous devez faire un scan antivirus des données que vous restaurez à partir de vos sauvegardes. Il s’agit de scanner les fichiers que vous récupérez avec un logiciel antivirus à jour et performant. Ce logiciel est capable de détecter et de supprimer les éventuels fichiers malveillants qui se seraient infiltrés dans vos sauvegardes. Ces fichiers malveillants peuvent être des virus, des chevaux de Troie, des rançongiciels, des logiciels espions, etc. Ils peuvent endommager vos systèmes, voler vos données, chiffrer vos fichiers, ou ouvrir des portes dérobées pour les attaquants. En faisant un scan antivirus, vous vous assurez de ne pas restaurer des données infectées qui pourraient compromettre à nouveau la sécurité de vos systèmes.

En résumé, après un incident, vous devez tenir compte du fait que vos sauvegardes peuvent contenir les vecteurs de compromission qui ont permis aux attaquants de pénétrer dans votre réseau ou de compromettre vos machines. Pour éviter de réintroduire ces failles de sécurité, vous devez restaurer vos systèmes et vos données à partir de sources de confiance, contrôler la conformité des configurations, et faire un scan antivirus des données. Ces bonnes pratiques vous permettent de restaurer vos systèmes et vos données en toute sécurité.


Cyber : menaces sur vos ports USB

Envisageons un scénario dans un environnement de systèmes de contrôle industriel (Industrial Control Systems soit ICS). Où une procédure de maintenance qui nécessite le transfert de fichiers entre des machines sur un même site industriel. Pour des raisons de sécurité, ces systèmes automatisés ne sont pas connectés à Internet. De plus, certaines tâches de maintenance sont effectuées par des sous-traitants externes qui n’ont pas nécessairement accès au réseau. Cela conduit généralement à l’utilisation de périphériques de stockage sous format USB par des entreprises tierces sur les systèmes. Il est fréquent que l’employé de l’entreprise tierce doive travailler sur plusieurs sites industriels par jour, en utilisant le même périphérique USB.

Cependant, lors de sa journée de travail sur le troisième site industriel visité, l’employé n’avait pas prévu qu’un script de type "autorun" s’exécuterait et propagerait un ransomware (un rançongiciel en français) sur la machine dès qu’il brancherait son périphérique USB. La solution antivirus installée sur la machine analyse instantanément le périphérique. Mais le logiciel malveillant échappe à la détection de la dernière version de la solution antivirus du système informatique. Enfin, le ransomware se propage alors latéralement dans le réseau industriel et chiffre des données vitales.

La politique de cyber-sécurité pour les systèmes industriels spécifiques devrait être plus stricte : il n’est pas acceptable d’insérer une clé USB dans un dispositif industriel sans garantir que la clé USB est exempte de tout logiciel malveillant.

Dans ce cas, il est conseillé d’utiliser un dispositif spécialisé appelé station de décontamination, station blanche ou “sheep-dip” pour s’assurer qu’aucun logiciel malveillant n’est introduit par un support amovible. C’est une pratique que les employés et les sous-traitants doivent connaître. De même, les responsables des systèmes industriels devraient toujours surveiller les activités des sous-traitants lorsqu’ils sont sur place pour éviter une évaluation incorrecte des risques cybernétiques. La sensibilisation des employés est cruciale dans ce domaine. Il est également important de veiller à ce que les employés des sous-traitants soient sensibilisés à la cybersécurité.

Un contrôle de l'ensemble des points d'injections de données sont inspectés lors d'une opération de TSCM, contre-mesures de surveillance technique par la société INTERNATIONAL ICS.


Cyberattaque : 5 mesures d'anticipation

L’importance de ces mesures de cybersécurité prioritaires est indéniable, et leur mise en place rapide peut réduire le risque d’une cyberattaque et minimiser ses effets éventuels. Cependant, pour qu’elles soient totalement efficaces, elles doivent s’intégrer dans une stratégie globale et à long terme de cybersécurité. Le département Cyber de International ICS vous présente ces mesures.

Les cybercriminels ont des motivations diverses pour lancer des cyberattaques, allant du simple vol au sabotage. Ils emploient différents moyens, tels que les logiciels malveillants, les pièges par ingénierie sociale ou le piratage de mots de passe, pour accéder illégalement aux systèmes visés.

Les cyberattaques peuvent avoir des conséquences graves, voire catastrophiques, pour une entreprise. Le coût moyen d’une atteinte à la sécurité des données est de 4 millions d'euros. Ce montant inclut les dépenses liées à la détection et à la résolution de l’incident, aux interruptions d’activité et aux pertes de chiffre d’affaires, ainsi qu’à l’impact négatif sur la réputation et l’image de marque d’une entreprise à long terme.

1/ Améliorer l’authentification sur les systèmes d’information.

Pour minimiser le risque d’une cyberattaque, il est préconisé de renforcer l’authentification des comptes les plus vulnérables, notamment ceux des administrateurs qui ont accès à toutes les ressources critiques du système d’information et ceux des individus à haut risque de l’organisation (cadres dirigeants, personnel de direction, etc.).

Il est donc fortement recommandé d’implémenter une authentification forte qui nécessite l’utilisation de deux facteurs d’authentification distincts, soit :

  • un mot de passe, un schéma de déverrouillage ou une signature ;
  • un dispositif matériel (carte à puce, jeton USB, carte magnétique, RFID) ou, à défaut, un autre code reçu par un autre canal (SMS, OLVID...).

Pour les administrateurs, l’activation d’une authentification renforcée doit être appliquée à tous leurs comptes : Active Directory, administration d’applications, cloud, etc.

2/ Accroître la supervision de sécurité.

Il est nécessaire d’instaurer un système de surveillance des événements enregistrés pour détecter toute compromission potentielle et intervenir rapidement. Ces événements peuvent également faciliter la compréhension d’un incident et accélérer sa résolution. En l’absence de supervision de sécurité, il est recommandé de centraliser les journaux des éléments les plus critiques du système d’information, tels que les points d’accès VPN, les bureaux virtuels, les contrôleurs de domaine et les hyperviseurs.

Il est essentiel de renforcer la vigilance des équipes de supervision en enquêtant sur les anomalies qui pourraient être négligées en temps normal. Plus précisément, dans un environnement Active Directory, les connexions inhabituelles sur les contrôleurs de domaine doivent être examinées. Les alertes dans les consoles d’antivirus et EDR concernant des serveurs sensibles doivent également être systématiquement étudiées.

Pour les organisations qui en ont la capacité, il est conseillé d’accélérer le déploiement d’outils offrant une visibilité sur l’état de sécurité des systèmes d’information, tels que Sysmon, EDR, XDR.

3/ Créer une liste hiérarchisée des services numériques

Il est essentiel d’avoir une compréhension précise de ses systèmes d’information et de leur importance pour prioriser les mesures de sécurité et réagir efficacement en cas d’incident. Il est donc recommandé aux organisations, en collaboration avec les départements concernés, de dresser un inventaire de leurs services numériques et de les classer en fonction de leur importance pour la continuité des activités de l’entreprise. Les dépendances à l’égard des fournisseurs doivent également être identifiées.

4/ Sauvegarde Hors-ligne

Il est nécessaire d’effectuer des sauvegardes régulières de toutes les données, y compris celles stockées sur les serveurs de fichiers, d’infrastructures et d’applications métier essentielles. Pour prévenir leur chiffrement, à l’instar des autres fichiers, ces sauvegardes, du moins les plus critiques, doivent être déconnectées du système d’information.

L’utilisation de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, permet de protéger les sauvegardes contre une infection des systèmes et de conserver les données essentielles pour la reprise d’activité.

Il est également recommandé de mettre à jour fréquemment ces sauvegardes sans jamais le faire en ligne.

5/ Veiller à la mise en place d’un dispositif de gestion de crise approprié pour faire face à une cyberattaque.

Une attaque informatique peut perturber le fonctionnement des organisations. Les services de soutien tels que la téléphonie et la messagerie, ainsi que les applications métier, peuvent être rendus inutilisables. Dans ce cas, il faut adopter un mode de fonctionnement dégradé, ce qui peut parfois signifier un retour aux méthodes traditionnelles de papier et de crayon. En général, l’attaque entraîne une interruption partielle de l’activité et, dans les cas les plus extrêmes, une interruption totale. Il est donc essentiel de définir des points de contact d’urgence, y compris avec les fournisseurs de services numériques, et de s’assurer que ces coordonnées sont disponibles en format papier.

De plus, les organisations doivent élaborer un plan de réponse aux cyberattaques, qui s’inscrit dans le cadre du dispositif de gestion de crise, si celui-ci existe. Ce plan vise à garantir la continuité de l’activité et son retour à la normale. La mise en place d’un plan de continuité informatique permet à l’organisation de maintenir son fonctionnement en cas de perturbation plus ou moins importante du système d’information. Le plan de reprise informatique, quant à lui, a pour objectif de remettre en service les systèmes d’information qui ont été défaillants. Il doit notamment prévoir la restauration des systèmes et des données.

Thomas d. C.
La rédaction International ICS.


Mobile : Predator, le cyber espionnage

Ce logiciel malveillant créé par un ancien officier israélien spécialisé dans le cyber espionnage est vendu par Cytrox, une entreprise basée en Macédoine du Nord. Ce Predator semble prendre petit à petit la place du célèbre Pegasus, devenu un peu trop connu pour un dispositif censé rester discret.

Predator permet au parrain de l’attaque de pendre le contrôle complet du mobile à l’insu de son propriétaire. Le système espion peut lire tout le contenu de la mémoire (contacts, messages, photos…) et activer le micro et les caméras à distance. Le système utilise de faux comptes sur les réseaux sociaux et la copie de sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé amenant à l'installation de ce dispositif malveillant.

Des chercheurs ont réussi à examiner deux versions de Predator, une pour iOS, le système d’exploitation des appareils mobiles d’Apple, et une autre pour les téléphones Android. Le rapport ne liste pas explicitement les actions possibles sur un téléphone pour un attaquant utilisant Predator, mais ces logiciels espions, comme Pegasus, sont conçus pour s’installer dans les appareils et obtenir l’autorisation d’activer le micro, la caméra, de lire les messages et d’enregistrer l’activité d’autres applications. De plus, le Citizen Lab n’a pas pu analyser les vecteurs d’infection utilisés par Predator pour contourner les sécurités d’ iOS et Android et s’installer sur les téléphones. Cependant, une piste potentielle est que les deux victimes ont reçu, lors de la phase d’approche, des messages contenant des liens vers des noms de domaine appartenant à l’infrastructure de Cytrox.

Certains pays qui utilisaient la solution Pegasus, utilisent désormais Predator pour espionner l'adversaire.

De manière intéressante, les chercheurs ont mis en évidence, sur la version iOS du logiciel, un mécanisme de persistance. C’est-à-dire un outil qui assure la présence continue du mouchard dans l’appareil, même après que celui-ci a été éteint et rallumé. Une telle fonctionnalité n’a pas été identifiée sur la version Android de Predator.

Predator, il repose sur deux composants : Tcore, la boîte à outils de l’espion parfait, et Kmem. Le premier comprend un enregistreur audio, la collecte d’informations à partir de Signal, WhatsApp et Telegram, ainsi que d’autres applications. Le second offre un accès arbitraire en lecture et en écriture à l’espace d’adressage du noyau. Cet accès est offert par Alien qui exploite la CVE-2021-1048, permettant au logiciel espion d’exécuter la plupart de ses fonctions.

Êtes-vous piégé ? International ICS analyse votre mobile pour vous.


Cyber : L'attaque de l'homme du milieu

Une attaque dite "Man-in-the-Middle", littéralement en français « l'homme du milieu », consiste pour l'attaquant d'intercepter et usurper des messages entre deux parties qui pensent communiquer entre elles.

Une méthode courante est l'empoisonnement du protocole d'adresse (ARP), généralement sur un réseau sans fil. Lorsqu'il se trouve sur le réseau, le pirate envoie un message au terminal d'un utilisateur ciblé pour lui demander d'utiliser l'appareil de l'attaquant comme passerelle.

Le pirate envoie un message d'empoisonnement ARP à la passerelle par défaut indiquant que l'adresse IP de l'utilisateur ciblé doit être associée a l'ordinateur de l'attaquant plutôt qu'à celui de l'utilisateur ciblé. Le terminal de l'attaquant se trouve au “milieu” de la communication entre l'utilisateur ciblé et la passerelle (routeur dans la plus part du temps), ce qui permet au pirate d'intercepter l'ensemble des données. Les principales catégories d'attaques MitM sont les suivantes ; le détournement d'e-mails, le détournement de session, l'usurpation d'adresse IP, l'usurpation de DNS et interception des paquets de communications Wi-Fi. Ainsi vos emails, mots de passe, appels par VOIP, navigations web sont interceptés.

Nous analysons et recherchons pour vous les failles de vos systèmes.


Mobile : le logiciel d'espionnage Pegasus

Le logiciel espion en question est connu sous le nom très suggestif de Pegasus. Il est uniquement vendu à des États ou des agences gouvernementales, avec l’approbation du gouvernement israélien, par une entreprise appelée NSO, qui compte 750 employés à Herzliya, dans la banlieue de Tel Aviv, ainsi qu’à Chypre et en Bulgarie. Officiellement, son objectif est d’aider les services de renseignement à combattre la criminalité.

Sur son site web, NSO indique qu’elle “développe des technologies qui aident les agences gouvernementales à prévenir et à enquêter sur le terrorisme et la criminalité, afin de sauver des milliers de vies à travers le monde”.

Pour ce faire, Pegasus s’infiltre dans les smartphones, qu’ils soient équipés du système d’exploitation d’Apple, iOS ou de celui de Google, Android. Il a alors accès à tout : contacts, photos, mots de passe. Le logiciel Pegasus peut lire les courriels, suivre les conversations, même sur les messageries dites "cryptées", géolocaliser le smartphone et activer les micros et les caméras pour transformer le smartphone en véritable espion dans la poche.

“Nous nous engageons à vérifier l’utilisation appropriée de notre technologie (…) et nous enquêtons sur toute allégation crédible d’un mauvais usage de nos produits”, assure NSO sur son site. Il est vrai que la société a mis en place une adresse email dédiée aux lanceurs d’alerte qui auraient des informations sur un possible détournement de l’utilisation de son logiciel.

Des spécialistes ont traqué le logiciel espion Pegasus pendant un certain temps et avaient quelques pistes à son sujet. Ils ont récemment trouvé ce logiciel sur le téléphone portable d’un opposant. Lorsque ce dernier effectuait une recherche en ligne, une URL de redirection était automatiquement générée. Cette URL était associée à une signature liée à l’entreprise NSO Group. On peut alors se demander comment le logiciel a pu être installé sur le smartphone. Dans ce cas précis, il s’agit d’une attaque par injection de SMS silencieux sur le réseau, soit via un intercepteur IMSI, une station de base BTS compromise, ou directement par l’intermédiaire d’un opérateur mobile. Il est important de noter que ces URL de redirection ne se limitaient pas à surveiller l’activité en ligne, mais également l’activité sur d’autres applications comme Twitter à travers les liens partagés.

En approfondissant leurs recherches, les spécialistes ont mis au jour dans l’une des deux bases de données SQLite (plus précisément DataUsage.sqlite) présentes dans le système d’exploitation iOS, l’existence d’un processus étrange appelé « bh ». En mettant en parallèle leurs découvertes avec celles réalisées par Lookout, ils supposent que « bh » est une référence à BridgeHead, qui est le nom d’un module de Pegasus au sein du NSO Group. Ce composant a pour rôle de préparer le terrain en vue de l’installation de Pegasus.

En plus de l’injection réseau effectuée par les clients du NSO Group, l’entreprise israélienne propose d’exploiter des failles critiques dans les systèmes d’exploitation mobiles (iOS ou Android) ou certaines applications en mode zéro clic, c’est-à-dire sans aucune action de l’utilisateur. Cela a été le cas en 2019 avec plusieurs vulnérabilités découvertes sur iMessage et FaceTime, utilisées pour installer Pegasus sur des appareils. Le service Apple Music est également soupçonné d’être un moyen de compromission.

L'expert a également examiné l’infrastructure informatique derrière Pegasus et les nombreux domaines recueillis au cours de ses enquêtes. Ces dernières ont révélé que le NSO Group utilise récemment l’offre AWS CloudFront (CDN) pour lancer ses premières attaques. Suite à cette découverte, le fournisseur de cloud a rapidement réagi en annonçant dans un communiqué “la fermeture de toutes les infrastructures et les comptes concernés” (reconnaissant ainsi explicitement le lien contractuel entre AWS et NSO Group). De plus, l’étude montre que l’entreprise israélienne héberge ses serveurs dans plusieurs centres de données en Allemagne, au Royaume-Uni, en Suisse, aux États-Unis et en France (OVH). En France, elle disposerait de 35 serveurs chez l’hébergeur roubaisien. Amnesty International note que le NSO Group utilise principalement les centres de données européens gérés par des opérateurs américains pour gérer une grande partie de l’infrastructure d’attaque de ses clients.

La détection du système d'interception des données "Pegasus" peut s’avérer particulièrement difficile a détecter. Mais la société INTERNATIONAL ICS sait aujourd'hui analyser un smartphone et alerter son utilisateur en cas d'infection.


Privacy Preference Center