Cyber
Cyber : les règles d'or de la sauvegarde
Les données sont un actif précieux pour toute entreprise. Elles contiennent des informations stratégiques, financières, commerciales, techniques, ou personnelles qui sont essentielles pour le fonctionnement et le développement de l’activité. Cependant, les données sont aussi exposées à de nombreux risques, tels que les pannes, les pertes, les vols, les fuites, ou les attaques cybercriminelles. Ces risques peuvent avoir des conséquences graves pour l’entreprise, comme la perte de revenus, de clients, de réputation, ou de confiance.
Pour protéger ses données, une entreprise doit mettre en place une politique de sauvegarde et de restauration efficace et adaptée à ses besoins. Cette politique consiste à définir les règles et les procédures pour copier, stocker, sécuriser, et récupérer les données en cas de besoin. Elle doit permettre à l’entreprise de garantir la disponibilité, l’intégrité, et la confidentialité de ses données, ainsi que de respecter les obligations légales et réglementaires en matière de protection des données.
Dans cet article, nous allons vous présenter les bonnes pratiques pour construire et protéger vos données grâce à une politique de sauvegarde et de restauration adaptée. Nous allons vous expliquer comment élaborer une stratégie de sauvegarde en fonction de la criticité et de la fréquence de vos données, comment traiter les opérations de sauvegarde et de restauration comme des opérations sensibles qui nécessitent des protections appropriées, comment assurer l’autonomie et le contrôle d’accès de votre infrastructure de sauvegarde, comment être attentif à la sensibilité des données sauvegardées en cas de solution hors-site, dans un cloud public ou chez un prestataire externe, comment adapter votre infrastructure de sauvegarde en permanence selon les changements de vos systèmes d’information et les risques potentiels, et comment anticiper et réagir en cas d’attaque ou de perte des données. Nous allons également vous donner des exemples concrets et des conseils pratiques pour mettre en œuvre ces bonnes pratiques.
Construire et protéger vos données
- Élaborez une stratégie de sauvegarde en déterminant les données essentielles pour le fonctionnement de votre entreprise et en indiquant la périodicité à laquelle il est nécessaire de les sauvegarder.
- Traitez les opérations de sauvegarde et de restauration comme des opérations délicates d’administration qui doivent disposer des protections appropriées : poste d’administration renforcé, flux dans un réseau d’administration, etc.
- Assurez l’autonomie de votre infrastructure de sauvegarde par rapport à vos annuaires de production (Active Directory, etc.)
- Veillez au contrôle d’accès à vos sauvegardes pour assurer qu’elles ne seront ni altérées ni modifiées et toujours accessibles, surtout dans le cas de l’utilisation d’offres de sauvegarde Cloud.
- Soyez attentif sur la sensibilité des données sauvegardées en cas de solution hors-site, dans un cloud public ou chez un prestataire externe. Cryptez les sauvegardes au préalable par vos propres moyens si besoin.
- Adaptez votre infrastructure de sauvegarde en permanence selon les changements de vos SI (virtualisation, cloud, etc.) et les risques potentiels. Ne gardez pas une infrastructure dépassée en production.
Anticiper et réagir en cas d'attaque ou de perte des données
- Élaborez une stratégie de restauration, en cohérence avec votre PRA et en considérant les principaux scénarios d’attaque possibles sur vos SI (rançongiciels, espionnage, etc.). Effectuez fréquemment des tests de restauration. Associez la direction sur les modes dégradés tolérables en cas de crise Cyber.
- Veillez à inclure les médias d’installation et les configurations de vos applications métier dans vos sauvegardes.
- Effectuez souvent et obligatoirement des sauvegardes hors-ligne (débranchées du SI).
- Concevez une procédure d’isolation d’urgence du système de sauvegarde (serveurs, médias, etc.) en cas de doute de compromission ou d’attaque en cours.
Si vous avez été victime d’un incident de sécurité informatique, vous devez être prudent lorsque vous utilisez vos sauvegardes pour restaurer vos systèmes ou vos données. En effet, il se peut que vos sauvegardes contiennent les éléments qui ont permis aux attaquants de pénétrer dans votre réseau ou de compromettre vos machines. Ces éléments sont appelés des vecteurs de compromission. Ils peuvent prendre la forme de fichiers malveillants, de logiciels espions, de mots de passe volés, de clés de chiffrement, etc. Si vous restaurez vos sauvegardes sans vérifier qu’elles sont exemptes de vecteurs de compromission, vous risquez de réintroduire les failles de sécurité que vous essayez de corriger. Notamment les risques sur les systèmes Cyber ICS (Industrial Control Systems).
Pour éviter ce scénario, vous devez suivre quelques bonnes pratiques lorsque vous restaurez vos sauvegardes après un incident. Tout d’abord, vous devez choisir des sources de confiance pour restaurer vos systèmes d’exploitation, vos applications ou vos logiciels. Il s’agit de sources qui vous garantissent que les fichiers que vous téléchargez ou que vous installez sont authentiques et intègres. Par exemple, vous pouvez utiliser des images officielles fournies par les éditeurs des systèmes d’exploitation ou des applications, ou des binaires d’installation signés numériquement par les développeurs des logiciels. Ces sources vous permettent de vérifier que les fichiers que vous utilisez n’ont pas été modifiés ou altérés par des tiers malveillants.
Ensuite, vous devez contrôler la conformité des configurations de vos systèmes, de vos applications ou de vos logiciels. Il s’agit de vérifier que les paramètres que vous utilisez respectent les normes de sécurité en vigueur et ne présentent pas de vulnérabilités connues. Par exemple, vous pouvez vous assurer que vos systèmes sont à jour avec les derniers correctifs de sécurité, que vos applications utilisent des protocoles de communication sécurisés, ou que vos logiciels respectent les bonnes pratiques de développement. Ces vérifications vous permettent de détecter et de corriger les éventuelles erreurs de configuration qui pourraient faciliter l’accès des attaquants à vos systèmes ou à vos données.
Enfin, vous devez faire un scan antivirus des données que vous restaurez à partir de vos sauvegardes. Il s’agit de scanner les fichiers que vous récupérez avec un logiciel antivirus à jour et performant. Ce logiciel est capable de détecter et de supprimer les éventuels fichiers malveillants qui se seraient infiltrés dans vos sauvegardes. Ces fichiers malveillants peuvent être des virus, des chevaux de Troie, des rançongiciels, des logiciels espions, etc. Ils peuvent endommager vos systèmes, voler vos données, chiffrer vos fichiers, ou ouvrir des portes dérobées pour les attaquants. En faisant un scan antivirus, vous vous assurez de ne pas restaurer des données infectées qui pourraient compromettre à nouveau la sécurité de vos systèmes.
En résumé, après un incident, vous devez tenir compte du fait que vos sauvegardes peuvent contenir les vecteurs de compromission qui ont permis aux attaquants de pénétrer dans votre réseau ou de compromettre vos machines. Pour éviter de réintroduire ces failles de sécurité, vous devez restaurer vos systèmes et vos données à partir de sources de confiance, contrôler la conformité des configurations, et faire un scan antivirus des données. Ces bonnes pratiques vous permettent de restaurer vos systèmes et vos données en toute sécurité.
Cyber : menaces sur vos ports USB
Envisageons un scénario dans un environnement de systèmes de contrôle industriel (Industrial Control Systems soit ICS). Où une procédure de maintenance qui nécessite le transfert de fichiers entre des machines sur un même site industriel. Pour des raisons de sécurité, ces systèmes automatisés ne sont pas connectés à Internet. De plus, certaines tâches de maintenance sont effectuées par des sous-traitants externes qui n’ont pas nécessairement accès au réseau. Cela conduit généralement à l’utilisation de périphériques de stockage sous format USB par des entreprises tierces sur les systèmes. Il est fréquent que l’employé de l’entreprise tierce doive travailler sur plusieurs sites industriels par jour, en utilisant le même périphérique USB.
Cependant, lors de sa journée de travail sur le troisième site industriel visité, l’employé n’avait pas prévu qu’un script de type "autorun" s’exécuterait et propagerait un ransomware (un rançongiciel en français) sur la machine dès qu’il brancherait son périphérique USB. La solution antivirus installée sur la machine analyse instantanément le périphérique. Mais le logiciel malveillant échappe à la détection de la dernière version de la solution antivirus du système informatique. Enfin, le ransomware se propage alors latéralement dans le réseau industriel et chiffre des données vitales.
La politique de cyber-sécurité pour les systèmes industriels spécifiques devrait être plus stricte : il n’est pas acceptable d’insérer une clé USB dans un dispositif industriel sans garantir que la clé USB est exempte de tout logiciel malveillant.
Dans ce cas, il est conseillé d’utiliser un dispositif spécialisé appelé station de décontamination, station blanche ou “sheep-dip” pour s’assurer qu’aucun logiciel malveillant n’est introduit par un support amovible. C’est une pratique que les employés et les sous-traitants doivent connaître. De même, les responsables des systèmes industriels devraient toujours surveiller les activités des sous-traitants lorsqu’ils sont sur place pour éviter une évaluation incorrecte des risques cybernétiques. La sensibilisation des employés est cruciale dans ce domaine. Il est également important de veiller à ce que les employés des sous-traitants soient sensibilisés à la cybersécurité.
Un contrôle de l'ensemble des points d'injections de données sont inspectés lors d'une opération de TSCM, contre-mesures de surveillance technique par la société INTERNATIONAL ICS.
Cyberattaque : 5 mesures d'anticipation
L’importance de ces mesures de cybersécurité prioritaires est indéniable, et leur mise en place rapide peut réduire le risque d’une cyberattaque et minimiser ses effets éventuels. Cependant, pour qu’elles soient totalement efficaces, elles doivent s’intégrer dans une stratégie globale et à long terme de cybersécurité. Le département Cyber de International ICS vous présente ces mesures.
Les cybercriminels ont des motivations diverses pour lancer des cyberattaques, allant du simple vol au sabotage. Ils emploient différents moyens, tels que les logiciels malveillants, les pièges par ingénierie sociale ou le piratage de mots de passe, pour accéder illégalement aux systèmes visés.
Les cyberattaques peuvent avoir des conséquences graves, voire catastrophiques, pour une entreprise. Le coût moyen d’une atteinte à la sécurité des données est de 4 millions d'euros. Ce montant inclut les dépenses liées à la détection et à la résolution de l’incident, aux interruptions d’activité et aux pertes de chiffre d’affaires, ainsi qu’à l’impact négatif sur la réputation et l’image de marque d’une entreprise à long terme.
1/ Améliorer l’authentification sur les systèmes d’information.
Pour minimiser le risque d’une cyberattaque, il est préconisé de renforcer l’authentification des comptes les plus vulnérables, notamment ceux des administrateurs qui ont accès à toutes les ressources critiques du système d’information et ceux des individus à haut risque de l’organisation (cadres dirigeants, personnel de direction, etc.).
Il est donc fortement recommandé d’implémenter une authentification forte qui nécessite l’utilisation de deux facteurs d’authentification distincts, soit :
- un mot de passe, un schéma de déverrouillage ou une signature ;
- un dispositif matériel (carte à puce, jeton USB, carte magnétique, RFID) ou, à défaut, un autre code reçu par un autre canal (SMS, OLVID...).
Pour les administrateurs, l’activation d’une authentification renforcée doit être appliquée à tous leurs comptes : Active Directory, administration d’applications, cloud, etc.
2/ Accroître la supervision de sécurité.
Il est nécessaire d’instaurer un système de surveillance des événements enregistrés pour détecter toute compromission potentielle et intervenir rapidement. Ces événements peuvent également faciliter la compréhension d’un incident et accélérer sa résolution. En l’absence de supervision de sécurité, il est recommandé de centraliser les journaux des éléments les plus critiques du système d’information, tels que les points d’accès VPN, les bureaux virtuels, les contrôleurs de domaine et les hyperviseurs.
Il est essentiel de renforcer la vigilance des équipes de supervision en enquêtant sur les anomalies qui pourraient être négligées en temps normal. Plus précisément, dans un environnement Active Directory, les connexions inhabituelles sur les contrôleurs de domaine doivent être examinées. Les alertes dans les consoles d’antivirus et EDR concernant des serveurs sensibles doivent également être systématiquement étudiées.
Pour les organisations qui en ont la capacité, il est conseillé d’accélérer le déploiement d’outils offrant une visibilité sur l’état de sécurité des systèmes d’information, tels que Sysmon, EDR, XDR.
3/ Créer une liste hiérarchisée des services numériques
Il est essentiel d’avoir une compréhension précise de ses systèmes d’information et de leur importance pour prioriser les mesures de sécurité et réagir efficacement en cas d’incident. Il est donc recommandé aux organisations, en collaboration avec les départements concernés, de dresser un inventaire de leurs services numériques et de les classer en fonction de leur importance pour la continuité des activités de l’entreprise. Les dépendances à l’égard des fournisseurs doivent également être identifiées.
4/ Sauvegarde Hors-ligne
Il est nécessaire d’effectuer des sauvegardes régulières de toutes les données, y compris celles stockées sur les serveurs de fichiers, d’infrastructures et d’applications métier essentielles. Pour prévenir leur chiffrement, à l’instar des autres fichiers, ces sauvegardes, du moins les plus critiques, doivent être déconnectées du système d’information.
L’utilisation de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, permet de protéger les sauvegardes contre une infection des systèmes et de conserver les données essentielles pour la reprise d’activité.
Il est également recommandé de mettre à jour fréquemment ces sauvegardes sans jamais le faire en ligne.
5/ Veiller à la mise en place d’un dispositif de gestion de crise approprié pour faire face à une cyberattaque.
Une attaque informatique peut perturber le fonctionnement des organisations. Les services de soutien tels que la téléphonie et la messagerie, ainsi que les applications métier, peuvent être rendus inutilisables. Dans ce cas, il faut adopter un mode de fonctionnement dégradé, ce qui peut parfois signifier un retour aux méthodes traditionnelles de papier et de crayon. En général, l’attaque entraîne une interruption partielle de l’activité et, dans les cas les plus extrêmes, une interruption totale. Il est donc essentiel de définir des points de contact d’urgence, y compris avec les fournisseurs de services numériques, et de s’assurer que ces coordonnées sont disponibles en format papier.
De plus, les organisations doivent élaborer un plan de réponse aux cyberattaques, qui s’inscrit dans le cadre du dispositif de gestion de crise, si celui-ci existe. Ce plan vise à garantir la continuité de l’activité et son retour à la normale. La mise en place d’un plan de continuité informatique permet à l’organisation de maintenir son fonctionnement en cas de perturbation plus ou moins importante du système d’information. Le plan de reprise informatique, quant à lui, a pour objectif de remettre en service les systèmes d’information qui ont été défaillants. Il doit notamment prévoir la restauration des systèmes et des données.
Thomas d. C.
La rédaction International ICS.
Mobile : Predator, le cyber espionnage
Ce logiciel malveillant créé par un ancien officier israélien spécialisé dans le cyber espionnage est vendu par Cytrox, une entreprise basée en Macédoine du Nord. Ce Predator semble prendre petit à petit la place du célèbre Pegasus, devenu un peu trop connu pour un dispositif censé rester discret.
Predator permet au parrain de l’attaque de pendre le contrôle complet du mobile à l’insu de son propriétaire. Le système espion peut lire tout le contenu de la mémoire (contacts, messages, photos…) et activer le micro et les caméras à distance. Le système utilise de faux comptes sur les réseaux sociaux et la copie de sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé amenant à l'installation de ce dispositif malveillant.
Des chercheurs ont réussi à examiner deux versions de Predator, une pour iOS, le système d’exploitation des appareils mobiles d’Apple, et une autre pour les téléphones Android. Le rapport ne liste pas explicitement les actions possibles sur un téléphone pour un attaquant utilisant Predator, mais ces logiciels espions, comme Pegasus, sont conçus pour s’installer dans les appareils et obtenir l’autorisation d’activer le micro, la caméra, de lire les messages et d’enregistrer l’activité d’autres applications. De plus, le Citizen Lab n’a pas pu analyser les vecteurs d’infection utilisés par Predator pour contourner les sécurités d’ iOS et Android et s’installer sur les téléphones. Cependant, une piste potentielle est que les deux victimes ont reçu, lors de la phase d’approche, des messages contenant des liens vers des noms de domaine appartenant à l’infrastructure de Cytrox.
Certains pays qui utilisaient la solution Pegasus, utilisent désormais Predator pour espionner l'adversaire.
De manière intéressante, les chercheurs ont mis en évidence, sur la version iOS du logiciel, un mécanisme de persistance. C’est-à-dire un outil qui assure la présence continue du mouchard dans l’appareil, même après que celui-ci a été éteint et rallumé. Une telle fonctionnalité n’a pas été identifiée sur la version Android de Predator.
Predator, il repose sur deux composants : Tcore, la boîte à outils de l’espion parfait, et Kmem. Le premier comprend un enregistreur audio, la collecte d’informations à partir de Signal, WhatsApp et Telegram, ainsi que d’autres applications. Le second offre un accès arbitraire en lecture et en écriture à l’espace d’adressage du noyau. Cet accès est offert par Alien qui exploite la CVE-2021-1048, permettant au logiciel espion d’exécuter la plupart de ses fonctions.
Êtes-vous piégé ? International ICS analyse votre mobile pour vous.
Cyber : L'attaque de l'homme du milieu
Une attaque dite "Man-in-the-Middle", littéralement en français « l'homme du milieu », consiste pour l'attaquant d'intercepter et usurper des messages entre deux parties qui pensent communiquer entre elles.
Une méthode courante est l'empoisonnement du protocole d'adresse (ARP), généralement sur un réseau sans fil. Lorsqu'il se trouve sur le réseau, le pirate envoie un message au terminal d'un utilisateur ciblé pour lui demander d'utiliser l'appareil de l'attaquant comme passerelle.
Le pirate envoie un message d'empoisonnement ARP à la passerelle par défaut indiquant que l'adresse IP de l'utilisateur ciblé doit être associée a l'ordinateur de l'attaquant plutôt qu'à celui de l'utilisateur ciblé. Le terminal de l'attaquant se trouve au “milieu” de la communication entre l'utilisateur ciblé et la passerelle (routeur dans la plus part du temps), ce qui permet au pirate d'intercepter l'ensemble des données. Les principales catégories d'attaques MitM sont les suivantes ; le détournement d'e-mails, le détournement de session, l'usurpation d'adresse IP, l'usurpation de DNS et interception des paquets de communications Wi-Fi. Ainsi vos emails, mots de passe, appels par VOIP, navigations web sont interceptés.
Nous analysons et recherchons pour vous les failles de vos systèmes.
Mobile : le logiciel d'espionnage Pegasus
Le logiciel espion en question est connu sous le nom très suggestif de Pegasus. Il est uniquement vendu à des États ou des agences gouvernementales, avec l’approbation du gouvernement israélien, par une entreprise appelée NSO, qui compte 750 employés à Herzliya, dans la banlieue de Tel Aviv, ainsi qu’à Chypre et en Bulgarie. Officiellement, son objectif est d’aider les services de renseignement à combattre la criminalité.
Sur son site web, NSO indique qu’elle “développe des technologies qui aident les agences gouvernementales à prévenir et à enquêter sur le terrorisme et la criminalité, afin de sauver des milliers de vies à travers le monde”.
Pour ce faire, Pegasus s’infiltre dans les smartphones, qu’ils soient équipés du système d’exploitation d’Apple, iOS ou de celui de Google, Android. Il a alors accès à tout : contacts, photos, mots de passe. Le logiciel Pegasus peut lire les courriels, suivre les conversations, même sur les messageries dites "cryptées", géolocaliser le smartphone et activer les micros et les caméras pour transformer le smartphone en véritable espion dans la poche.
“Nous nous engageons à vérifier l’utilisation appropriée de notre technologie (…) et nous enquêtons sur toute allégation crédible d’un mauvais usage de nos produits”, assure NSO sur son site. Il est vrai que la société a mis en place une adresse email dédiée aux lanceurs d’alerte qui auraient des informations sur un possible détournement de l’utilisation de son logiciel.
Des spécialistes ont traqué le logiciel espion Pegasus pendant un certain temps et avaient quelques pistes à son sujet. Ils ont récemment trouvé ce logiciel sur le téléphone portable d’un opposant. Lorsque ce dernier effectuait une recherche en ligne, une URL de redirection était automatiquement générée. Cette URL était associée à une signature liée à l’entreprise NSO Group. On peut alors se demander comment le logiciel a pu être installé sur le smartphone. Dans ce cas précis, il s’agit d’une attaque par injection de SMS silencieux sur le réseau, soit via un intercepteur IMSI, une station de base BTS compromise, ou directement par l’intermédiaire d’un opérateur mobile. Il est important de noter que ces URL de redirection ne se limitaient pas à surveiller l’activité en ligne, mais également l’activité sur d’autres applications comme Twitter à travers les liens partagés.
En approfondissant leurs recherches, les spécialistes ont mis au jour dans l’une des deux bases de données SQLite (plus précisément DataUsage.sqlite) présentes dans le système d’exploitation iOS, l’existence d’un processus étrange appelé « bh ». En mettant en parallèle leurs découvertes avec celles réalisées par Lookout, ils supposent que « bh » est une référence à BridgeHead, qui est le nom d’un module de Pegasus au sein du NSO Group. Ce composant a pour rôle de préparer le terrain en vue de l’installation de Pegasus.
En plus de l’injection réseau effectuée par les clients du NSO Group, l’entreprise israélienne propose d’exploiter des failles critiques dans les systèmes d’exploitation mobiles (iOS ou Android) ou certaines applications en mode zéro clic, c’est-à-dire sans aucune action de l’utilisateur. Cela a été le cas en 2019 avec plusieurs vulnérabilités découvertes sur iMessage et FaceTime, utilisées pour installer Pegasus sur des appareils. Le service Apple Music est également soupçonné d’être un moyen de compromission.
L'expert a également examiné l’infrastructure informatique derrière Pegasus et les nombreux domaines recueillis au cours de ses enquêtes. Ces dernières ont révélé que le NSO Group utilise récemment l’offre AWS CloudFront (CDN) pour lancer ses premières attaques. Suite à cette découverte, le fournisseur de cloud a rapidement réagi en annonçant dans un communiqué “la fermeture de toutes les infrastructures et les comptes concernés” (reconnaissant ainsi explicitement le lien contractuel entre AWS et NSO Group). De plus, l’étude montre que l’entreprise israélienne héberge ses serveurs dans plusieurs centres de données en Allemagne, au Royaume-Uni, en Suisse, aux États-Unis et en France (OVH). En France, elle disposerait de 35 serveurs chez l’hébergeur roubaisien. Amnesty International note que le NSO Group utilise principalement les centres de données européens gérés par des opérateurs américains pour gérer une grande partie de l’infrastructure d’attaque de ses clients.
La détection du système d'interception des données "Pegasus" peut s’avérer particulièrement difficile a détecter. Mais la société INTERNATIONAL ICS sait aujourd'hui analyser un smartphone et alerter son utilisateur en cas d'infection.