27 juin 2017: via une variante de Petya nouvelle cyber-attaque mondiale: pourquoi ? Les réponses des principaux experts ( labos et speakers d'éditeurs )

EternalBlue à nouveau utilisé pour répandre

un ransomware

plus puissant que WannaCrypt

 

source ESET Comm. Corporate  

 

 

Pour se diffuser, il utilise une combinaison de l'exploit SMB EternalBlue, utilisée

par WannaCryptor pour se propager dans le réseau via PsExec.

 

 

 

 

 

Ransomware-27-06-2017-Borys

 

Source: christian Borys 2017

 

 

 

 

Détectée par ESET® comme Win32/Diskcoder.C Trojan., une nouvelle attaque de ransomware

liée à la famille Petya cible l’Ukraine. S'il infecte le MBR, le ransomware chiffre l’intégralité

du disque. En cas d’échec, il chiffre tous les fichiers, comme cela a été le cas pour le malware Mischa.

Ce nouveau ransomware se répand très rapidement en utilisant EternalBlue et PsExec. Les experts

ESET espèrent que la forte médiatisation de WannaCrypt a permis aux entreprises de corriger

leurs vulnérabilités. Il suffit qu’un ordinateur ne soit pas patché pour que le ransomware

s’infiltre dans le réseau. Le malware peut alors obtenir des droits d'administrateur

et se propager sur d'autres ordinateurs.

 

 

Apres la premiere vague de cyberattaque : http://cyberisques.com/fr/mots-cles-1/667-dpo-news

-cyberisques-jpbichard-ransomware-wannacry-massive-attack cette seconde vague (GoldenEye) cible

plusieurs acteurs majeurs de nombreux secteurs. 

Rappelons les impacts finaciers imputés à une telle cyberattaque (cf section BONUS en fin d'article). 

 

Pour suivre les cyberattaques: http://map.norsecorp.com/#/

 

 Goldeneyes

 

 

Le journaliste Christian Borys, par exemple, a tweeté que la cyberattaque aurait frappé les banques,

les réseaux électriques ou encore les entreprises postales. De plus, il semble que le gouvernement

ukrainien ait été attaqué. Christian Borys a également tweeté une image mise sur Facebook® par le

Premier ministre adjoint de l'Ukraine, Pavlo Rozenko, qui montre qu'un ordinateur est

apparemment chiffré.

La Banque Nationale d'Ukraine a averti sur son site Internet les autres banques :

« Le secteur financier

a renforcé ses mesures de sécurité et contré les pirates accédant aux acteurs

du marché financier. »

Forbes a déclaré que bien qu'il semble y avoir des similitudes avec WannaCrypt (d'autres le

décrivant comme WannaCry-esque), il est probable qu’il s’agisse plutôt d’une variante de Petya.

Le message envoyé par les cybercriminels est semblable à celui envoyé aux victimes de

WannaCrypt. Il proviendrait du Groupe IB : « Si vous voyez ce texte, vos fichiers ne sont plus

accessibles, car ils ont été chiffrés ... Nous vous garantissons que vous pouvez récupérer tous vos

fichiers en toute sécurité et facilement. Tout ce que vous devez faire pour cela, c’est de

payer [300 bitcoins]

et acheter la clé de déchiffrement. »

Il semble que l'attaque de ransomware ne soit pas spécifique à l'Ukraine.

 The Independent déclare

que l'Espagne et l'Inde ont également été infectées, ainsi que la compagnie de transport

maritime danoise Maersk® et la société de publicité britannique WPP®.

WPP a depuis confirmé sur Twitter® qu'il a été victime d'une cyberattaque :

« Les systèmes informatiques

de plusieurs entreprises de WPP ont été infectés par une cyberattaque. Nous prenons les mesures

appropriées et nous mettrons à jour nos systèmes au plus vite. »

 

 

 

 

BONUS: 

Les risques financiers liés au numérique et à un systèmes

d’information non sécurisé ou pas suffisamment contrôlé, sont

de plus en plus prégnants rappelle la Compagnie régionale des

commissaires aux comptes de Paris (CRCC) .

 

1,5 million d’euros : il s’agit du montant des les pertes

financières liées aux cyberattaques en France pour 2016*, un coût

pourtant réduit de moitié par un investissement par entreprise

de 3,9 millions d’euros dans la sécurité des systèmes d’information

*enquête annuelle PwC

 

 

Réactions autres éditeurs (speakers et labos): 

 

 Juniper: 

La famille de malwares Petya n'est pas nouvelle et l'un de nos chercheurs a déjà réalisé un post de blog

concernant  ce malware par le passé . Il s'agit d'un ransomware disponible sous forme de service: il épargne

aux cybercriminels de développer leur propre malware.

 

Le ransomware fait en sorte que l'utilisateur infecté ne puisse récupérer ses données qu'après le paiement d'une

rançon équivalant à 300 dollars en bitcoins. Il est important de noter qu'aucun paiement jusqu'à présent n'a abouti à un décryptage réussi.

 

 

Mode de propagation

 

Cette dernière variante utilise trois principaux moyens d'attaque pour se propager:

  • Une fois que le malware s'est exécuté, l'ordinateur infecté tente une connexion à 84.200.16.242/myguy.xls qui est un fichier MS HTA. Cela se traduit par la connexion à french-cooking[.]com qui télécharge et dépose un autre exécutable (myguy.exe, enregistré) sur le système local <random> .exe, pour lequel <random> est un nombre aléatoire compris entre 0 et 65535).

  • Une fois que le ransomware a infecté le poste, il tente d'utiliser le second vecteur, en passant par MS017-010 (Vulnérabilité d'exécution de code à distance SMB de Windows ) et en utilisant l'exploit 'ETERNALBLUE' - un vecteur d'infection basé sur le réseau pour se répandre sur des réseaux internes - soit la même vulnérabilité exploitée par 'WannaCry', le malware qui a fait parlé de lui récemment.

  • Le logiciel malveillant semble exploiter Windows WMI ( Microsoft Windows Management Interface ) pour se répandre sur les réseaux internes si les informations d'identification des administrateurs sont disponibles. La méthode d'escalade des privilèges et / ou le vol d'identité qui facilite cette action est encore en cours d'analyse.

Impact de l'infection.

 

Il semble que ce ransomware visait initialement des cibles en Ukraine, via un logiciel de comptabilité, bien

que des rapports plus récents semblent confirmer que l'attaque affecte également des systèmes en Espagne,

en France, en Russie et en Inde. En effet, un plus grand nombre d'organisations de par le monde pourraient bien  

être affectées au fur et à mesure que les gouvernements et les entreprises du monde entier se retrouvent exclus

de leurs propres machines.

Ce malware est plus malveillant que la plupart des variétés de ransomware. En effet, Petya ne crypte pas uniquement les fichiers sur un système ciblé un par un - il crypte également la table de fichiers maîtres du disque dur (MFT), ce qui qui rend le secteur d'amorçage (MBR) inutilisable et empêche le système de démarrer.

 

 

 

 IBM

Dès le mardi 27 juin, des informations ont commencé à circuler sur des organisations en Ukraine et ailleurs en Europe qui subissaient des attaques de type ransomware. Il est vite apparu que cette attaque, appelée Petya pourrait égaler voire surpasser l'attaque WannaCry du mois de mai.

La propagation de WannaCry a connu un vrai succès parce qu'elle a été alimentée par une vulnérabilité dans le système Windows, et bien que Microsoft ait publié un correctif pour résoudre cette faille, de nombreuses entreprises ne l'ont pas appliqué avant le déclenchement/l'épidémie. Heureusement, les entreprises en dehors de la zone d'attaque initiale de l'Union Européenne ont réussi à patcher leurs systèmes pour éviter un impact international de plus grande ampleur.

Malheureusement, les auteurs de cette variante du ransomware ont appris du passé. L'épidémie actuelle de ransomware Petya peut être transmise à des systèmes non patchés via le même programme que WannaCry, mais elle peut également effectuer un mouvement latéral afin d'infecter des systèmes patchés sur des réseaux connectés à l'aide de « Windows Management Instrumentation Command Line » (WMIC) et PsExec, un outil de commande à distance de Microsoft.

 

Qu'est-ce que Petya ?

La plupart des professionnels de la sécurité signalent le ransomware en tant que Petya, toutefois, au moins une entreprise de sécurité croit qu'il s'agit d'une imitation et non d'une véritable variante de Petya. À l'heure actuelle, IBM X-Force a identifié au moins trois échantillons que nous pensons être des variantes de Petya mises à jour.

Le ransomware Petya est apparu pour la première fois en 2016. Il est unique dans le domaine des ransomwares car il crypte le master boot record (MBR) et le master file table (MFT) sur les hôtes infectés. Petya est souvent déployé avec Mischa, qui agit comme une solution de repli; Si Petya ne peut pas accéder au compte administrateur pour chiffrer le MBR, Mischa lance et crypte des fichiers individuels (de type .DOC, .PPT et .XLS). Un autre aspect unique de Petya est qu'il peut fonctionner même si un système est déconnecté. Il ne nécessite pas de connexion directe à un serveur de commande et de contrôle (C&C).

Dans cette épidémie récente, il semble que la « payload »actuelle de Petya soit distribuée en utilisant le même mécanisme EternalBlue qui faisait partie des fuites appelées Shadow Brokers qui ont alimenté la propagation de WannaCry.

Comme dans l'épidémie WannaCry, ce malware est modulaire. En plus de la « payload » de Petya, certains rapports indiquent qu'il pourrait inclure le cheval de Troyes Loki Bot.

 

Détails techniques

L'épidémie Petya a fait la une pour s'être répandue très rapidement le 27 juin 2017, mais les éléments qui la composent ne sont pas nouveaux.

Mouvement latéral: SMB Wormholes

Une des façons dont Petya se déplace et se propage passe par le scan du port 445 de protocole de contrôle de transmission (TCP) pour identifier et cibler des machines qui utilisent des versions non corrigées du bloc de message serveur (SMB). Si cela vous semble familier suite à vos lectures lors de l'épidémie WannaCry, vous avez raison. C'est le même.

 

Exécution à distance: EternalBlue, WMIC et PsEXEC

Les services de réponse aux incidents et de renseignement d'IBM X-Force (XF-IRIS) ont confirmé que les échantillons de l'épidémie actuelle utilisaient EternalBlue. Selon la publication de Shadow Brokers, EternalBlue exploite la vulnérabilité CVE-2017-0144, qui permet aux attaquants d'exécuter des codes arbitraires sur un système cible. Cela peut inclure un code qui analyse la présence d'un code d'exploitation tel que DOUBLEPULSAR, ou d'analyser des systèmes proches et essayer de les infecter avec un code d'exploitation.

WMIC et PsExec ne sont pas des vulnérabilités : ce sont des outils Microsoft qui aident les administrateurs à gérer les systèmes et les réseaux. WMIC permet aux utilisateurs d'exécuter des processus et des scripts, tandis que PsExec permet à un utilisateur distant de contrôler à distance un système. Entre les mains des administrateurs, ce sont des outils importants et utiles, mais lorsqu'un attaquant y accède, ils peuvent être utilisés pour installer un logiciel malveillant– tel que Petya - sur des systèmes cibles.

Une fois sur le système, le ransomware se copie lui-même dans le répertoire C: \ Windows \ et installe un fichier PE dans C: \ Windows \ dllhost.dat. Pour brouiller les pistes, le ransomware utilise schtasks(outil de planification des tâches Windows) pour créer un fichier de tâches qui redémarre le système à une heure programmée. Pour brouiller davantage les pistes, le ransomware utilise wevtutil.exe pour effacer les journaux de configuration, de système, de sécurité et d'application, et utilise fsutil.exe pour supprimer des informations dans le journal de modifications.

 

Ne payez pas la rançon

De nombreuses entreprises peuvent être tentées de payer la rançon pour remettre leurs systèmes en service. Dans le cas de cette épidémie, il semble que les agresseurs n'ont jamais tenté de restaurer les fichiers aux victimes. À l'avenir, adressez le point de la segmentation et des sauvegardes du réseau afin que, si les systèmes sont verrouillés, ils puissent être déconnectés et restaurés rapidement.

L'entité sécurité d'IBM recommande :

  • De vous assurer que les systèmes sont patchés (MS17-010) et que tous les programmes antivirus sont à jour.
  • De déterminer si les systèmes de sauvegarde sont correctement configurés.
  • De restaurer uniquement à partir de sauvegardes sécurisées avec des snapshots sûrs et connus ou de reconfigurer complètement les systèmes.
  • D'isoler tout système non patché pour éviter les mouvements latéraux de Petya.
  • De vérifier les méthodes de surveillance de tous les systèmes et réseaux critiques.
  • De créer ou conserver des revues régulières de la protection des informations d'identification privilégiées afin d'éviter tout nouvel accès via des outils légitimes sur un réseau.
  • De revoir les plans de réponse aux incidents et de contingence.

 

Du fait de la gravité de cet événement, IBM rend tous ses résultats accessibles publiquement via un recueil X-Force Exchange mise à jour en permanence.

 

 

 

KL:

Kaspersky Lab, en tant que spécialiste de la cyber sécurité, enquête sur cette attaque. Ses premières conclusions :

 

-          Il ne s’agit pas de Petya ;

-          Près de 2000 utilisateurs auraient été ciblés ;

-          Une version modifiée d’un exploit EternalBlue est utilisé ;

-          La France fait partie des pays touchés.

 

« Les analystes de Kaspersky Lab enquêtent actuellement sur une nouvelle vague d’attaques de ransomware qui cible des organisations partout dans le monde. Nos premières découvertes suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya, comme cela a été publiquement annoncé, mais bien un nouveau ransomware qui n’a jamais été observé jusqu’à présent. C’est pourquoi nous l’avons appelé NotPetya.

Nos données télémétriques indiquent que près de 2000 utilisateurs auraient été attaqués jusqu’à présent. Des organisations en Russie et en Ukraine sont les plus infectées, et d’autres ont également été touchées en Pologne, en Italie, au Royaume-Uni, en Allemagne, en France, aux Etats-Unis et dans d’autres pays.

Il semblerait que nous ayons affaire à une attaque complexe qui implique plusieurs vecteurs d’attaque. Nous pouvons confirmer qu’un exploit EternalBlue modifié est utilisé pour la propagation de la menace, au moins sur les réseaux d’entreprise. 

Nous recommandons à toutes les entreprises de mettre à jour leurs logiciels Windows, de vérifier leur solution de sécurité et de vérifier qu’elles ont un système de sauvegarde actif, ainsi qu’une solution de détection des ransomwares. » 

 

 

F5 Networks:

 

– Commentaire de Vincent Lavergne, expert en cyberattaques chez F5 Networks :

Les fuites d’informations de la NSA/CIA, sources de nouvelles attaques de malwares plus furtifs, plus rapides et plus performants

 

 

Nous vivons une année phare pour les cybercriminels. En mai, Wikileaks a commencé à publier la documentation Vault7 relative aux outils de cyberguerre et de cyberespionnage utilisés par la CIA. En parallèle, le groupe de pirates Shadow Brokers a publié des informations sur les exploits utilisés par la NSA et comprenant notamment l'exploit Windows EternalBlue. Ce dernier a été très rapidement transformé en arme pour devenir le ransomware WannaCry qui a récemment fait une apparition fracassante sur Internet et qui continue de faire de nombreuses victimes. Le ransomware « NotPetya » qui a récemment fait surface en Europe de l'Est avant de se répandre au niveau mondial s'appuierait également sur EternalBlue pour infecter les machines. Ces informations sont plutôt inquiétantes, mais ce qui est pire, c'est la révélation sur la manière dont la communauté du renseignement utilise des outils et des méthodologies pour trouver des vulnérabilités et créer des exploits. Cela rappelle la façon dont le principe d’interchangeabilité des pièces d’Eli Whitney et qui a marqué le début de la révolution industrielle. Les informations issues de ces fuites apportent un plan détaillé sur la façon de construire une fabrique semi-automatisée de logiciels malveillants. Ce mode d'emploi représente l’équivalent d’un saut quantique dans le domaine des techniques de piratage, et les cybercriminels n’ont pas trainé pour apprendre à s’en servir. Ces méthodologies d’agences de renseignement liées à des attaques très puissantes telles que FuzzBunch, Athena/Hera et OddJob sont toutes décrites avec des notes techniques, des instructions de montage et des commentaires expérimentaux. C'est l’équivalent d’un trésor pour quelqu'un qui cherche à construire un système similaire.

 

 

A quoi peut-on s’attendre ?

Des choses effrayantes. Au cours des 12 à 36 prochains mois, nous allons voir les cybercriminels de tous horizons utiliser ces techniques pour créer une nouvelle génération d'attaques. On peut s'attendre à :

 

  • Des tempêtes régulières de logiciels malveillants : Les attaques du type de WannaCry seront la nouvelle norme. Les entreprises doivent se préparer à faire face à des attaques continues s'appuyant sur des exploits zéro day et capables de cibler toutes les applications et toutes les plates-formes. Le rayonnement du coté obscur d'Internet va atteindre un nouveau niveau de toxicité.

 

  • Des leurres parfaits : Avec l’exploitation du big data, de l'apprentissage machine et de moteurs de traitement du langage naturel, on peut s'attendre à ce que les emails de phishing et les faux sites web soient quasiment indiscernables des vrais. Les outils de traitement du langage naturel élimineront les formulations linguistiques maladroites qui permettent souvent d’écarter les faux sites. Il est déjà assez difficile pour nombre d’utilisateurs de discerner la réalité. Cela va être encore pire.

 

  • Des attaques sans clic : Il ne faut pas uniquement imaginer avoir affaire à de nouveaux vers, mais aussi imaginer l'équivalent d'une attaque internet étendue aux services majeurs et même aux plates-formes mobiles. Cela signifie que des attaques cibleront les principales plates-formes applicative et que la simple utilisation d'une application client sur un téléphone pourra impliquer d’être touché par quelque chose de nuisible.

 

  • Des attaques intraçables : Des attaques seront lancées à partir de réseaux C&C qui n'ont jamais été vus avant et ne seront plus jamais revus. L'analyse des domaines pour les réseaux C&C malveillants deviendra un art obsolète. Les filtres de réputation IP deviendront inutiles.

 

Se préparer à l’assaut

 

 

Si on peut s’attendre à des attaques continues exploitant un grand nombre d'exploits zéro day, alors les entreprises vont avoir besoin de fortes capacités de détection intelligente des menaces (threat intelligence), de stratégies de réponse aux incidents et d’une solide stratégie anti-DDoS. Afin de faire face aux nouveaux types d’attaques, les organisations doivent dès à présent mettre en œuvre des mesures techniques et des solutions défensives plus avancées et être sûres d’appliquer les règles de base consistant à patcher et mettre à jour le plus rapidement possible.

 

 

 

FireEye

 

Le 27 juin 2017, plusieurs organisations - notamment en Europe - ont signalé des perturbations importantes qu'elles attribuent à Petya ransomware. Sur la base des informations initiales, cette variante de la Petya ransomware peut se propager via l'exploit EternalBlue utilisé dans l'attaque WannaCry du mois dernier.

Les sources fiables et les rapports open source ont suggéré que le vecteur d'infection initial pour cette campagne était une mise à jour qui avait été corrompu pour la suite de logiciels MeDoc, un progiciel utilisé par de nombreuses organisations ukrainiennes. Le calendrier d'une mise à jour du logiciel MeDoc, qui a eu lieu le 27 juin, est conforme aux rapports initiaux de l'attaque de ransomware, et le timing est en corrélation avec le mouvement PSExec que nous avons observé dans les réseaux de victimes à partir d'environ 12h12 UTC. En outre, le site MeDoc affiche actuellement un message d'avertissement en russe indiquant: "Sur nos serveurs se produit une attaque de virus. Nous nous excusons pour les inconvénients temporaires!"

Notre analyse initiale des artefacts et du trafic réseau sur les réseaux de victimes indique qu'une version modifiée de l'exploit SMB EternalBlue a été utilisée, au moins en partie, pour se propager latéralement avec les commandes WMI, MimiKatz et PSExec pour propager d'autres systèmes. L'analyse des artefacts associés à cette campagne est toujours en cours.

 

 

  

 

 

Fortinet: 

 

 Christophe Auberger, Directeur Technique France chez Fortinet

   

Nous étudions une nouvelle variante de ransomware, nommée Petya, qui se propage actuellement dans le monde. Cette menace cible de nombreux secteurs d'activité et organisations, et notamment les infrastructures critiques dans les domaines de l'énergie, de la banque et des transports.

Cette nouvelle génération de ransomware tire avantage de vulnérabilités récentes. La version actuelle capitalise d'ailleurs sur la même vulnérabilité que celle utilisée par Wannacry en mai dernier. Cette récente attaque, nommée Petya, est ce que nous appelons un « ransomworm ». Une telle variante ne se contente pas de cibler une seule organisation mais s'inscrit dans une attaque à périmètre large qui cible tous les dispositifs identifiés et susceptibles d'être infectés par le ver.

Il semble que cette attaque ait été initiée à l'aide d'un fichier Excel qui tire parti d'une vulnérabilité connue de Microsoft Office. Dès qu'un dispositif est infecté par ce vecteur, Petya utilise alors la vulnérabilité associée à WannaCry pour se propager à d'autres équipements. Ce comportement typique d'un ver initie une analyse des serveurs SMB à la recherche de vulnérabilités. Le malware semble se propager via EternalBlue et WMIC. 

Lorsqu'une vulnérabilité est identifiée, Petya s'en prend au MBR (Master Boot Record ou zone amorce), puis affiche une demande de rançon à l'intention de l'utilisateur lui indiquant le chiffrement de ses données et exigeant une somme d'environ $300 à régler en Bitcoins. Il est également précisé que toute tentative de mise à l'arrêt du système infecté aboutira à une perte irréversible des données et fichiers qui y sont hébergés.

Cette approche est quelque peu différente de celles d'autres ransomware qui utilisent un compte à rebours avant suppression des données ou la suppression progressive des fichiers de données. Le principal risque avec la majorité des attaques par ransomware est celui de la perte de données. Petya ne s'en contente pas et va jusqu'à altérer le MBR, avec comme risque, la perte du système dans son intégralité. De plus, ce ransomware initie un redémarrage du système sur un cycle d'une heure, ce qui associe un déni de service à l'attaque.

Curieusement, au-delà des vulnérabilités de Microsoft Office, Petya utilise le même vecteur d'attaque que Wannacry et tire parti des vulnérabilités de Microsoft identifiées par le groupuscule Shadow Brokers plus tôt cette année. Cependant, ce malware utilise un vecteur d'attaque supplémentaire et le patching seul n'est pas suffisant pour stopper totalement l'infection : il s'agit donc d'associer le patching à des outils de sécurité et à des pratiques pertinentes. À titre d'exemple, les utilisateurs de Fortinet étaient protégés après détection et neutralisation des vecteurs d'attaques par nos solutions ATP, IPS et de pare-feu NGFW. Notre équipe dédiée aux antivirus a également mis à disposition une nouvelle signature quelques heures après identification de l'attaque, pour ainsi renforcer la ligne de défense.

  

Cette attaque présente des spécificités particulièrement intéressantes.

 En premier lieu, en dépit de l'annonce des vulnérabilités de Microsoft et des patchs associés, et de la dimension mondiale de l'attaque Wannacry qui s'en est suivie, il y a cependant des milliers d'organisations, et parmi elles certaines en charge d'infrastructures critiques, qui n'ont toujours pas procédé au patching de leurs systèmes. D'autre part, il pourrait bien s'agir d'un test préalable à l'exécution d'attaques futures ciblant de nouvelles vulnérabilités identifiées.

Dans un second temps, du point de vue financier, Wannacry n'a pas rapporté ce que ses concepteurs attendaient de ce malware, les chercheurs en sécurité ayant pu trouver une parade pour neutraliser l'attaque. Petya en revanche, est bien plus sophistiqué, même s'il est encore trop tôt pour savoir si ce malware sera plus rentable que son prédécesseur.

A ce jour, nous sommes sûrs de deux choses : 1) Les organisations sont encore trop nombreuses à se contenter d'une sécurité déficiente. Lorsqu'un malware exploite une vulnérabilité connue et disposant d'un patch depuis plusieurs mois, les victimes sont les premiers coupables. Petya a su cibler des vulnérabilités dont les patchs étaient disponibles depuis un certain temps déjà. 2) Ces mêmes organisations ne disposent pas d'outils pertinents pour détecter ce type d'infection.

Cette année, la famille des ransomware s'est donc enrichie de deux nouveaux venus de poids. Avec Wannacry, les concepteurs de malware ont su, pour la première fois, associer un ransomware à un ver, pour accélérer la propagation du malware et élargir le périmètre d'attaque. Aujourd'hui, avec Petya, nous sommes face à un malware capable de s'en prendre au Master Boot Record, avec des conséquences bien plus graves : en cas de rançon non réglée, ce ne sont plus que les fichiers, d'ailleurs souvent sauvegardés, qui sont perdus. Le risque supplémentaire est de perdre totalement le système infecté.

 Voici quelques recommandations à l'intention des organisations souhaitant se protéger contre ce nouveau malware :

 

Directions informatiques

  • Sauvegardez les fichiers de vos systèmes critiques, avec une copie de ces sauvegardes hors ligne.
  • Assurez-vous de disposer d'un disque et de configurations de référence pour votre système d'exploitation, ce qui vous permettra de restaurer votre poste de travail en toute confiance.
  • Déployez les patchs nécessaires.
  • Assurez-vous de disposer des patchs les plus récents.

Utilisateurs

  • Ne pas exécuter les fichiers joints provenant de sources inconnues.

Sécurité

  • Mettez à disposition les signatures antivirales nécessaires.
  • Utilisez une sandbox pour les fichiers joints.
  • Utilisez un monitoring comportemental.
  • Au niveau des pare-feux, tentez d'identifier les preuves de communications Command & Control.
  • Segmentez votre réseau, pour entraver la propagation du malware et sauvegardez les données qui sont chiffrées.
  • Désactivez le protocole RDP (Remote Desktop Protocol) et/ou assurez-vous que l'authentification est configurée de manière appropriée. De manière générale, il s'agit de limiter la capacité du malware à se propager latéralement.

Conseils généraux

  • En cas d'infection, ne pas régler la rançon.
  • Partagez vos données sur l'infection avec des organisations de confiance, pour aider l'univers de la sécurité à mener ses actions de diagnostic, de confinement et de restauration.

  

 

 

 

 

Acronis - Commentaire de Samy Reguieg, Directeur Général d’Acronis en France

 

« Une nouvelle attaque par Ransomware frappe et affecte de nombreuses sociétés de renom à travers le monde : Bayer, Nivea, Maersk, Merck, Mondelez, Saint Gobain ou WPP. Le fait qu’il puisse s’agir d'une nouvelle version de Petya (détecté pour la première fois en 2016) n’est pas encore confirmé, mais il est clair que ce ransomware utilise le même exploit qui a aidé WannaCry à attirer l'attention des médias : EternalBlue. »

« Malheureusement, avec actuellement plus de 80 entreprises touchées en Ukraine, en Russie et dans divers pays européens, on constate une fois encore que les entreprises ne semblent toujours pas préparées. Il s'agit d'un avertissement et d'une nouvelle démonstration de l'importance de mettre en œuvre une stratégie de sauvegarde des données efficace permettant de se prémunir contre les attaques de type ransomware. Les fichiers importants doivent faire l’objet de sauvegardes régulières, à intervalles réduits, de préférence vers un espace de stockage cloud sécurisé proposé par le fournisseur de la solution de sauvegarde ou sélectionné par l’entreprise. »

« Enfin, il est impératif d’appliquer le patch SMB proposé par Microsoft et d’activer les mises à jour automatiques. Il en va de même pour tous les autres logiciels installés sur les ordinateurs d’une entreprise. Ces mises à jour apportent de nouvelles fonctionnalités ou réparent les failles de sécurité exploitées par les cybercriminels. En installant ces correctifs le plus tôt possible, le système d’information de l’entreprise a moins de chance d’être infiltré par un ransomware. »

 

 

 

 

Varonis – Commentaire de Christophe Badot, Directeur Général France de Varonis

 

« Une cyberattaque mondiale massive qui a débuté en touchant un grand nombre d’ordinateurs du gouvernement Ukrainien s'est depuis répandue dans le monde entier infectant nombre d’infrastructures majeures : banques, grandes entreprises, sociétés de transports, etc. »« Cette attaque par ransomware qui fait écho à WannaCry, a le potentiel de faire beaucoup plus de dégâts, car elle ne semble pas être dotée d’un kill switch (option d’arrêt d’urgence), ce qui avait été le facteur majeur pour arrêter la propagation de WannaCry. Il s'agit d'une nouvelle « attaque mixte », utilisant les mêmes exploits NSA que WannaCry (EternalBlue), mais ajoutant une nouvelle variante de ransomware, baptisée "NotPetya". Celle-ci empêche les victimes de redémarrer leur ordinateur, en chiffrant leurs postes qui affichent ensuite une demande de rançon. Ainsi cette attaque ne se contente pas seulement de chiffrer les données mais elle empêche totalement les ordinateurs de fonctionner. »« 

 

Selon VirusTotal, seuls 4 des 61 logiciels AntiVirus de postes listés étaient capables de détecter cette souche de ransomware lors de son apparition.

 

Cela souligne la nécessité de mettre en place des solutions de défense sans signature et une approche par couche pour la sécurité des données. »« La première chose que les entreprises devraient faire pour éviter d'être touchée est d'appliquer le patch SMB que Microsoft a publié suite à l’attaque WannaCry. Il est, comme toujours, essentiel de mettre à jour les systèmes avec les derniers correctifs et d’examiner les politiques de sécurité en place afin de s'assurer qu'elles s'adaptent à l'environnement de menace d'aujourd'hui. Cela implique de verrouiller les données sensibles, de maintenir un modèle de moindre privilège et surveiller le comportement des fichiers et des utilisateurs (UBA – User Behavior Analytics) afin d’être en mesure d’identifier immédiatement une attaque. »

 

 

En savoir plus via les liens sélectionnés :

https://researchcenter.paloaltonetworks.com/2017/06/unit42-threat-brief-petya-ransomware/?utm_source=Adobe%20Campaign%20-%20ACS&utm_medium=email&utm_campaign=20170627_Unit42_threat_alert_petya_ransomware

 

https://nakedsecurity.sophos.com/2017/06/27/breaking-news-what-we-know-about-the-global-ransomware-outbreak/

https://cert.europa.eu/GraphTest/clustergraph.html

https://www.welivesecurity.com/2017/06/27/new-ransomware-attack-hits-ukraine/

 https://posteo.de/en/blog/info-on-the-petrwrappetya-ransomware-email-account-in-question-already-blocked-since-midday

 https://forums.juniper.net/t5/Security-Now/Rapid-Response-New-Petya-Ransomware-Discovered/ba-p/309653

 

@DPO_News @cyberisques @jpbichard Ransomware: WannaCry Massive attack

Phot-JPB-DPO NEWS 

@jpbichard *

 

WannaCrypt Massive Attack Ransomware  

 

https://www.nytimes.com/interactive/2017/05/12/world/europe/wannacry-ransomware-map.html?smid=tw-nytimes&smtyp=cur&_r=0

 

WannaCrypt-ransomware 

 

Last update: 16 mai 10h40 

 

 

Le 12 mai,  une cyberattaque basée sur la technique "ransomware" s'est produite à l'échelle planétaire. Si le service public de santé britannique (NHS) ou encore le centre d'alerte et de réaction aux attaques informatiques (CERT) espagnol ont lancé des alertes plus tôt dans la journée, ce ne sont pas moins de 150 pays qui auraient été touchés par plus de 45 000 attaques, selon le spécialiste de la cybersécurité Kaspersky Lab.

 L’attaque a été baptisée WannaCrypt.

 

Microsoft vient de publier un bulletin public listant les correctifs pour Windows XP, Windows 8 et certaines plates-formes serveur qui n'ont pas reçu la mise à jour MS17-010 d'origine. L’annonce est disponible à cette adresse 

 

:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ .

 

 

Moyens utilisés:

Microsoft n'aurait pas protégé "démocratiquement" certains utilisateurs en leur faisant payer les mises à jour au lieu de les offrir. L'agence US NSA aurait laissé fuiter des outils de "hacking" sur Internet. 

 

 

Combien d'entreprises sont touchées en France ?

une différence entre la perception du risque et le risque réel ? 

  

Contrairement à ce qu'affirme le CIFREF dans son CP du 15 mai (extrait ci dessous) Lundi 15 mai à 8h00 sur Fr Inter Guillaume Poupard * directeur général de l'ANSSI - Agence Nationale de la Sécurité des Systèmes d'information a révélé que "Renault n'était pas la seule entreprise en France touchée par cette famille de ransomawre".  Rappelons que le CIGREF pour sa part, table ses statistiques sur les 143 entreprises membre de cette association. 

 

BEAZLEY-Cyberisques-News-2017

 

Cependant, les chiffres connus sur les infections de ransomwares - notamment chez les cyber-assureurs -  laissent penser a moins d'optimisme au regard de l'ensemble des entreprises, PME PMI incluses.

 

Selon une des plus récentes études connues reprises par Trend Micro -  http://www.databreachtoday.com/whitepapers/2016-ransomware-response-study-w-2983 * plus de la moitié des répondants (53 %) déclare avoir été victime d'une attaque de ransomware en 2016 et 42 % avouent ne pas avoir connaissance de la fréquence des attaques qu'ils subissent.

Néanmoins, près de 3 responsables de la sécurité informatique sur 5 (59 %) estiment que les solutions qu’ils ont mises en place pour se prémunir contre ces attaques ont une efficacité supérieure à la moyenne. Ces chiffres soulignent bien le décalage qui existe entre la perception que les entreprises ont des solutions de sécurité implémentées et le nombre d'attaques de ransomware effectives.

D'apres m'éditeur spécialisé SentinelOne « 52% des entreprises FR ont été victimes d’un ransomware en 2016. 31 % des organisations en France ont été victimes de 3 à 4 attaques par ransomware au cours des 12 derniers mois » (https://go.sentinelone.com/rs/327-MNM-087/images/SentinelOne_RW_French.pdf)

 

D'autres chiffres intéressants sont publiés par les compagnies d'assurance sur les risques "cyber". 

Une étude menée par Hiscox auprès de 3000 entreprises en Grande-Bretagne, USA et Allemagne montre que plus de la moitié des entreprises ne sont pas protégées face à une cyber-attaque. Pourtant, si les hackers sont toujours plus habiles pour déceler les faiblesses informatiques, certaines mesures peuvent être instaurées pour les éviter.

 

Hiscox France, Astrid-Marie Pirson, directrice de la souscription :

 

« Au cours des 24 derniers mois, nous avons assisté à un nombre accru d'attaques de type ransomware. Ces attaques sont généralement résolues très rapidement : si la victime dispose d'une bonne maintenance de son système informatique et d'un process de sauvegarde régulier, elle pourra récupérer ses données sans avoir à payer la rançon (et ainsi prendre le risque d'une nouvelle demande) ; sinon, ses données seront souvent irrémédiablement perdues.

 

https://www.hiscox.co.uk/cyber-readiness-report/

 

 

Dans le cas de Wannacry, le ransomware se propage via un exploit de la NSA qui avait été divulgué il y a quelques mois, qui a lui a permis de se répandre plus facilement et de s'attaquer à une faille connue du système Microsoft Windows. Ainsi, cette opération de piratage d'ampleur mondiale affecte potentiellement tout ordinateur fonctionnant sur ce système d'exploitation et qui n'aurait pas installé le patch de sécurité disponible depuis le mois de mars (bulletin MS17-010). »

 

 

 Selon une autre rapport de Kaspersky Lab, au cours du troisième triomestre de l'année, 32 091 nouvelles versions de ransomware ont été détectées contre seulement 2 900 au cours du premier trimestre. « Au total, nous avons comptabilisé 62 nouvelles familles de malwares de cette catégorie cette année », a indiqué l’entreprise de sécurité. Ce type de malwares est toujours autant apprécié des cybercriminels, car le taux de réussite est très haut. L'enquête révèle que ce sont surtourt les petites et moyennes entreprises qui ont été les plus touchées. En effet, dans les 12 derniers mois, 42 % d'entre elles ont été victimes d'une attaque par un ransomware, et si une PME sur trois a payé la rançon, une sur cinq n'a jamais récupéré ses fichiers après le paiement. « Au total, 67 % des entreprises touchées par un ransomware ont perdu une partie ou la totalité de leurs données d'entreprise et une victime sur quatre a passé plusieurs semaines à essayer de retrouver l'accès à ses fichiers », selon le rapport de l'entreprise spécialisée en sécurité Kaspersky Lab. 

Pour Kaspersky Lab, le ransomware le plus populaire cette année est indéniablement CTB-Locker, utilisé dans 25 % des attaques. Ensuite, vient Locky pour 7 % des attaques et TeslaCrypt pour 6,5 % même si cette dernière n'a été active jusqu'en mai seulement. Les cibles des acteurs des attaques par ransomware ont évoluées : les entreprises ciblées concernent des secteurs de l'industrie où le manque de disponibilité des données est très dommageable à leur activité.

  

 * publiée le 6 février 2017 « Ransomware Response Study ») et conduite en partenariat avec le groupe de presse Information Security Media Group (ISMG) auprès de plus de 225 entreprises américaines.

 * Guillaume Poupard :  https://www.franceinter.fr/emissions/l-invite-de-7h50/l-invite-de-7h50-15-mai-2017

  

 CIGREF: "Hormis le groupe Renault qui a indiqué à la presse qu’il était touché par cette attaque, les grandes entreprises et administrations françaises membres du CIGREF ne semblent pas à ce stade avoir été impactées par ce rançongiciel. Certaine ont activé leur cellule de crise "cyber" afin d’établir un diagnostic complet de l’état de leurs systèmes d’information, lancer les mises à jour de sécurité qui pourraient se révéler nécessaires et préparer le traitement d’éventuelles alertes qui se manifesteraient lundi matin."

http://www.cigref.fr/

 Lire aussi la face cachée du Net : DarNet et DeepWeb  Tribune de B. Grunemwald 

 

 

 

 

 

Sur la cyberattaque WannaCrypt

 

  • L’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif ;
  • L’extension “.WCRY” est ajoutée au nom de fichier des données chiffrées ;
  • Kaspersky Lab a dénombré plus de 45 000 attaques du ransomware WannaCry dans 74 pays à travers le monde, principalement en Russie. Il est important de noter que la visibilité de Kaspersky Lab peut être limitée et incomplète. Cela signifie que le nombre et l’éventail de victimes sont probablement bien plus larges.

 

 Attribution: 

Le 16 mai, Kaspersky Lab annonce qu'un chercheur en sécurité de Google a posté sur Twitter un objet qui pourrait pointer du doigt une connexion entre les récentes attaques du ransomware WannaCry et le malware attribué au tristement célèbre groupe de hackers Lazarus, responsable d’une séries d’attaques dévastatrices contre des organisations gouvernementales, des médias et des institutions financières. Les plus importantes opérations associées au groupe Lazarus incluent les attaques contreSony Pictures en 2014, le cyber-braquage de la banque centrale du Bangladesh en 2016 et d’autres attaques similaires en 2017.

 

 

Réactions et conseils : 

 

 

ANSSI: 

 

Selon l'Agence nationale de la sécurité des systèmes d'informations, l'attaque informatique n'a pour l'instant pas fait d'autre victime en France que Renault.

L'ANSSI recommande:

 

- Il faut absolument que les organisations appliquent les correctifs de sécurité», a insisté la porte-parole.

- l'application immédiate des mises à jour de sécurité, qui permettent de corriger les failles exploitées pour la propagation» du virus informatique, et la déconnexion des équipements compromis en cas d'incident.

- ne pas payer de rançon. «Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé»

 

 https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel-2/

 

 

 

 

 

 

ESET: https://www.welivesecurity.com/2017/05/13/wanna-cryptor-ransomware-outbreak/

 

The Responsible Response (ESET Blog)

Fortunately, to protect yourself against this latest threat, there is much that you can do, and you should probably get started sooner rather than later:
Install Anti-malware Software – You may have heard this over and over, and it seems very repetitive mentioning it now. However, if I had not encountered multiple instances where I was told, “It is a server, and we have firewalls, so I will leave anti-malware off of this machine” or “I have too many problems to install antivirus on this server”, I would not mention it. But, that has happened. So, I am stating it. Please install reputable anti-malware and give yourself a fighting chance at stopping this before you are affected.
As an example, ESET’s network protection module was already blocking attempts to exploit the leaked vulnerability at the network level before this particular malware was even created. ESET increased the protection level by adding detection for this specific threat as Win32/Filecoder.WannaCryptor.D; first detected in the 15404 VSDs, released May-12-2017, 13:20 CEST (UTC/GMT +02:00). Prior to that, ESET LiveGrid protected against this particular attack starting around 11:26AM CEST.
Update Your Windows Machines – Please! I know that patches can be very, very difficult to get deployed across the entire network. This one, you will want to install. It has been available since mid-April and actually stops the exploit from gaining a foothold in your environment. The patch listing for the entire listing of Equation Group files can be located here.
Be Intelligent! – As a person who researches infections, exploits and various other information security related items, knowing is half the battle. Especially when items are being leaked and created in this kind of rapid-fire fashion. Using Threat Intelligence , I was able to create the appropriate YARA rules that identified the droppers, files and characteristics pertaining to the Equation Groups leaked exploitation files. There has been a LOT of detections of these objects. My dashboard lit up like a Christmas tree within the last few weeks, and I do not expect it to stop anytime soon. This kind of intel, and more importantly, the feeds that are provided, could help you to make better decisions on what to protect and how to protect it (as in apply MS patches, are they targeting MY business, etc.)

 

 

Cyberisques-News-Fireyes-2017

 

Source FireEye

 

 

 

 Acronis Samy Reguieg, DG 

 

« Si l’attaque WannaCry a mis abruptement le public au fait des Ransomware, certains oublient que les cybercriminels exploitant les ransomware ont extorqué plus de 1 milliard de dollars aux victimes l'année dernière et que près de 47 % des entreprises ont déjà subi au moins une attaque de type ransomware. Bien qu'il soit relativement tentant de payer la rançon, c'est un mauvais pari : une victime sur cinq qui paie ne reçoit jamais le remède promis et le paiement ne contribue pas à dissuader l’attaquant d’effectuer d'autres attaques. Accepter l'extorsion par ransomware encourage les criminels et contribue à financer un peu plus leurs efforts de développement. Vous devez soit mettre en place une défense efficace, soit vous résoudre à devenir une victime répétée. »

« Ce que WannaCry démontre efficacement, c'est que les cybercriminels exploitent continuellement les possibilités qu’ils détectent. La progression du ransomware-as-a-service, grâce auquel les cybercriminels éditeurs de logiciels malveillants enrôlent des armées de criminels non qualifiés pour infecter les machines cibles fournit une preuve supplémentaire de la sophistication croissante et de la portée de cette menace qui se développe rapidement. »

« Le cataclysme que représente l’attaque survenue vendredi dernier forcera de nombreuses entreprises à prendre au sérieux la menace du ransomware. Le plus efficace pour véritablement sécuriser les données contre les ransomware - même contre les attaques aussi raffinées que WannaCry – reste de pouvoir bénéficier d’une solutions de protection des données combinant une défense active (solution de sécurité en temps réel) qui détecte et arrête le ransomware - même les variantes utilisant des exploits zero-day -  et un défense passive (solution de sauvegarde automatisée) qui répare automatiquement les fichiers endommagés par le ransomware et protège vos copies de sauvegarde de toute destruction/corruption. C’est ce que propose Acronis. »

« Les professionnels de la sécurité informatique recommandent également une approche multicouche et approfondie : maintenir un régime de sauvegarde rigoureux ; installer scrupuleusement les patchs correctifs concernant les vulnérabilités identifiées touchant les systèmes d'exploitation et les applications; déployer des solutions de protection de postes et les maintenir à jour ; segmenter les réseaux avec des pare-feux et des VLAN pour éviter la propagation de programmes malveillants ; et surtout éduquer les utilisateurs et les inviter à être vigilants face aux vecteurs d'infiltration, tels que des pièces jointes et/ou des liens douteux, des publicités en ligne infectées (malvertising) et des terminaux USB infectés.

Acronis vous recommande de bien mettre en place toutes ces mesures. » 

 

http://www.acronis.com/en-us/blog/posts/ransomware-just-became-global-pandemic-only-acronis-has-vaccine

 

 

 

 

Juniper Networks

 

Tandis que WannaCry (Wanna, Wcr ransomware), un ransomware auto-réplicant affecte les ordinateurs du monde entier et perturbe entreprises, fournisseurs de services pour les entreprises, gouvernements et particuliers, les acteurs de la sécurité informatique cherchent à comprendre les mécanismes de l’attaque pour adapter leurs recommandations.

Parmi eux, Juniper Networks, a publié le blog post suivant (incluant de nombreuses captures d’écran) :

https://forums.juniper.net/t5/Security-Now/Rapid-Response-The-WannaCry-Ransomware-Outbreak/ba-p/307835

Une nouvelle variante de WannaCry qui n'utilise pas le mécanisme "Killswitch" original a déjà été repérée. Les chercheurs soupçonnent actuellement que ce mécanisme cache une tentative de contournement de certains types de moteurs d'analyse dynamique qui répondent automatiquement aux demandes GET arbitraires, empêchant ainsi la « détonation » dans l'environnement et évitant de ce fait la détection.

De manière plus générale, concernant WannaCry, les informations au moment de la rédaction semblaient indiquer que le point d'infection initial au sein de la plupart des organisations repose sur des mécanismes traditionnels, principalement des courriels et des fichiers PDF livrés sur Internet grâce au botnet Necurs. La spécificité de WannaCry est évidemment sa capacité à s’éloigner du modèle «Patent Zero»  pour se propager rapidement sur un réseau compatible SMBv1.

L'exécution de code à distance non authentifiée SMBv1 (RCE) qui a permis le succès de WannaCry a été publiée dans le dépôt effectué par les ShadowBrokers le 14 avril 2017. Surnommée de manière non-officielle "EternalBlue", cette vulnérabilité a été traitée de manière préventive par Microsoft le 14 mars dans le bulletin de sécurité MS17 -010 .

 

Un regard sur le code de l'un des exemples publics d'EternalBlue révèle pourquoi il est si efficace : il ne nécessite absolument aucune interaction de la part de l'attaquant et facilite un mécanisme de distribution efficace pour le ransomware au sein des entreprisse vulnérables.

 

 

 

Sur la base de notre analyse, il est très probable que ce code soit utilisé directement par WannaCry

Si Microsoft s’est montré proactif en lançant un patch pour combler la vulnérabilité (MS17-010), de nombreux utilisateurs n'ont toujours pas déployé le correctif, comme en témoigne le succès de WannaCry. De plus, aucun patch n'a été publié pour Windows XP, système d’exploitation qui reste répandu dans certaines industries et régions du monde.

 

 

 

 

 C oLY70WAAEwycl

 

SOPHOS: 

 

Le ransomware WCry 2.0 : tout ce qu’il faut savoir !

Mises à jour en date du samedi 13 mai 2017, 13h15 ET :

  • Plusieurs rapports se sont concentrés sur la façon dont cette attaque a été lancée en utilisant un code de la NSA divulgué par un groupe de pirates appelés Shadow Brokers. C’est certainement ce qui semble avoir eu lieu sur la base de l’enquête menée par le SophosLabs. Un bilan plus détaillé à ce sujet sera établi en début de semaine prochaine.
  • Sophos continuera à mettre à jour son KBA (Knowledge Base Article) pour ses clients, à mesure que les événements se dérouleront. Plusieurs mises à jour ont été ajoutées aujourd’hui et sont résumées ci-dessous dans la section « Plus de conseils de la part de Sophos« .
  • Microsoft a pris l’initiative très inhabituelle de sortir une mise à jour de sécurité pour les plates-formes avec un support personnalisé (tel que Windows XP). Le géant du logiciel a déclaré dans un communiqué : « Nous savons que certains de nos clients utilisent des versions de Windows qui ne sont plus prises en charge. Ainsi, ces clients n’ont certainement pas reçu la mise à jour de sécurité publiée en mars dernier. Cependant, compte tenu de l’impact potentiel pour les clients et leurs entreprises, nous avons pris la décision de sortir une mise à jour de sécurité uniquement pour les plates-formes bénéficiant d’un support personnalisé, Windows XP, Windows 8 et Windows Server 2003, largement disponible en téléchargement.
  • Avec le code responsable de l’attaque de vendredi dernier dans la nature, nous devrons nous attendre à des répliques de ce dernier pour alimenter d’autres campagnes dans les prochains jours, afin de profiter de cette opportunité de gagner de l’argent, a déclaré Dave Kennedy, PDG et fondateur du conseil en sécurité informatique TrustedSec.
  • L’attaque aurait pu être pire, si elle n’avait pas été découverte accidentellement par un expert qui utilisait la handle Twitter @MalwareTechBlog, et qui est tombé sur un kill switch caché dans le code. L’expert a publié un compte rendu détaillé de ses résultats. Dans le post, il a écrit : « Une chose qui est très importante de noter, c’est que notre système de screening n’a arrêté que cet échantillon, et rien n’empêche les hackers de supprimer la vérification du domaine et d’essayer à nouveau, il est donc très important que tous les systèmes non patchés soient mis à jour aussi rapidement que possible. »

 

 

 

Avast: Jakub Kroustek, Threat Lab Team Lead chez Avast

« Nous avons observé un pic massif d’attaques WanaCrypt0r 2.0 hier, avec plus de 36 000 détections à date. Nous avons notamment constaté que les attaques semblent avoir ciblé principalement la Russie, l’Ukraine et Taiwan.

Cette attaque démontre de nouveau que le ransomware est une arme puissante qui peut aussi bien être utilisée contre les consommateurs que les entreprises.

Nous avons récemment observé des souches majeures de ransomwares délivrées à travers des documents Offices malveillants contenant des macros envoyés par email, ainsi que via des kits d’exploitation. Si le ransomware infecte via la pièce-jointe de l’email, un document Office malveillant doit d’abord être ouvert et les macros activées afin de permettre au ransomware d’être téléchargé. Lorsqu’un ransomware infecte via une exploitation, en général un site malveillant est visité et un ordinateur avec une vulnérabilité Zero-Day est ensuite exploité pour l’infecter avec le dit ransomware.

L’impact financier de l’attaque sur Telefonica, le National Health Service (NHS) britannique ou encore Renault, pour ne citer qu’eux, devrait être significatif et dépasser la demande de rançon. Il ressort que 85 % des ordinateurs de l’opérateur ont été touchés, et Telefonica aurait demandé à ses employés d’éteindre leurs ordinateurs et de rentrer chez eux, ce qui devrait entrainer de sérieuses conséquences financières pour l’entreprise.

Telefonica et les autres victimes de cette attaque ne devraient pas mettre trop de temps à retirer le ransomware, mais s’ils n’ont pas sauvegardés récemment les données et fichiers des employés, ils risquent de mettre un peu de temps à s’en remettre, en particulier si ces fichiers ont été chiffrés par le ransomware. »

 

 

BitDefender:

Les utilisateurs actuellement menacés par l'attaque mondiale de ransomware visant les ordinateurs Windows dans plus de 70 pays peuvent protéger leur système avec des solutions de sécurité telles que Bitdefender, ainsi qu'en appliquant les dernières mises à jour de sécurité de Microsoft, selon les experts. Le ransomware WannaCry chiffre les fichiers du PC infecté. Les hackers réclament une rançon pour récupérer les fichiers chiffrés.

 

 

Que faire pour rester protégés ?

 

1. Désactiver le service « Server Block Message » sur l'ordinateur si le patch est impossible.

 

2. Installer le patch

 

3. Sauvegarder ses données sur des disques durs non connectés au réseau ou à l'ordinateur.

 

4. Mettre à jour son logiciel et activer les mises à jour automatiques Windows

 

 

 

Les utilisateurs actuellement menacés par l'attaque mondiale de ransomware visant les ordinateurs Windows dans plus de 70 pays peuvent protéger leur système avec des solutions de sécurité telles que Bitdefender, ainsi qu'en appliquant les dernières mises à jour de sécurité de Microsoft, selon les experts. Le ransomware WannaCry chiffre les fichiers du PC infecté. Les hackers réclament une rançon pour récupérer les fichiers chiffrés.

Les utilisateurs actuellement menacés par l'attaque mondiale de ransomware visant les ordinateurs Windows dans plus de 70 pays peuvent protéger leur système avec des solutions de sécurité telles que Bitdefender, ainsi qu'en appliquant les dernières mises à jour de sécurité de Microsoft, selon les experts. Le ransomware WannaCry chiffre les fichiers du PC infecté. Les hackers réclament une rançon pour récupérer les fichiers chiffrés.

Pour rester protégé, il est important de maintenir son système d'exploitation Windows à jour avec les derniers correctifs de sécurité, via le système de mises à jour automatiques de Windows.

Ces attaques ont causé de serieuses perturbations à des hôpitaux, des télécoms mais aussi des usines. Le service de santé national du Royaume-Uni (NHS) fait partie des organisations les plus affectées.

 

En quoi cette attaque de ransomware est-elle différente ?

Contrairement à d'autres familles de ransomware, la souche virale de WannaCry ne se propage pas via des e-mails ou des liens infectés. Elle tire profit d'une faille de sécurité présente dans la plupart des versions de Windows pour s'exécuter automatiquement sur l'ordinateur de la victime. Selon divers rapports, cette attaque a été développée par la NSA (National Security Agency) aux États-Unis comme une cyber-arme et elle a été divulguée au grand public en avril, ainsi que d'autres informations classifiées, qui ont prétendument été volées à l'agence.

C'est en analysant le mécanisme d'infection que l'on peut déduire que WannaCry est une des plus grandes menaces visant aussi bien les entreprises que les particuliers. La liste des PC Windows vulnérables peut être trouvée via un simple scan Internet. Le code peut quant à lui être exécuté à distance, sans aucune interaction de la part de l'utilisateur. Une fois le PC infecté, il agit comme un vers ; il se réplique afin de se propager à d'autres ordinateurs

Notre analyse révèle que le composant de type ver est basé sur l'exploit EternalBlue, divulgué à travers les fuites de documents de la NSA. C'est une souche rare de malware qui associe le mécanisme de propagation agressif d'une cyber-arme avec le potentiel de destruction irréversible du ransomware. Jusqu'à présent, ce sont plus de 120 000 ordinateurs qui ont été infectés dans le monde.

Bitdefender a développé des technologies anti-ransomware afin de protéger ses utilisateurs contre ce type d'attaque sophistiqué, en forte croissance ces dernières années.

Etant donné que cette attaque peut infecter un nombre très important d'ordinateurs dans le monde, Bitdefender travaille actuellement sur un outil de déchiffrement gratuit pour aider les victimes à récupérer leurs données sans payer de rançon. Suivez Bitdefender sur Facebook ou Twitter pour être notifié de sa disponibilité.

Découvrez si vous êtes vulnérable. La vulnérabilité MS07-010 est présente dans quasiment toutes les versions de Windows, y compris Windows XP, Windows Vista et Windows Server2003. Dû à l'importance de la menace, Microsoft a décidé de patcher cette vulnérabilité sur tous les systèmes, même s'ils ne sont plus supportés. Si votre système n'a pas encore appliqué ce patch spécifique, vous êtes donc vulnérable et vous devez mettre à jour votre système immédiatement.

 

https://www.av-comparatives.org/wp-content/uploads/2017/04/avc_factsheet2017_03.pdf

Bitdefender travaille activement sur le développement d'un outil gratuit de déchiffrement pour aider les victimes à récupérer leurs données sans payer la rançon.

 

 

 

Trend Micro: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/wannacry-wcry-ransomware-how-to-defend-against-it

 

 

 

 

FireEye: 

 

« Le 12 mai 2017, une campagne de ransomware WannaCry très prolifique a touché les organisations à l'échelle mondiale, en particulier en Europe et au Moyen-Orient (EMEA). Les rapports initiaux indiquent que la prolifération de ransomware de WannaCry utilise une vulnérabilité SMB. Compte tenu de la distribution rapide et prolifique de ce système de ransomware, nous considérons que cette activité pose des risques élevés que toutes les organisations utilisant des machines Windows potentiellement vulnérables doivent répondre. Les organisations qui cherchent à prendre des mesures de gestion des risques liées à cette campagne peuvent implémenter un correctif pour le bulletin de sécurité Microsoft MS17-010 et tirer parti des indicateurs de compromis identifiés comme associés à cette activité. FireEye prend déjà des mesures pour sécuriser pleinement ses clients. »

 

John Miller - Manager Threat Intelligence

 

 https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html

 

The ransomware is spread using a known, and patched, vulnerability (MS17-010) that came from a leaked NSA set of exploits that we reported on our blog in April. Our research shows the encryption is done with RSA-2048 encryption. That means that decryption will be next to impossible, unless the coders have made a mistake that we haven’t found yet.

(source malwarebytes)


 

 Kroll Ontrack : 

Les particuliers et entreprises les plus exposés doivent prendre certaines précautions pour réduire les risques et amoindrir les effets d'une attaque. Ci-dessous se trouve une liste des mesures à prendre :


• Ne payez jamais la rançon car il se peut que les agresseurs ne débloquent jamais les données. Il existe de nombreux cas de victimes de ransomware ayant payé la rançon exigée et n'ayant jamais vu leurs données restituées. Plutôt que de courir ce risque, les entreprises doivent travailler avec les experts en récupération des données, lesquels peuvent être en mesure de récupérer l'accès aux données par le biais d'une ingénierie inversée du logiciel malveillant


• Créez un plan de sauvegarde et de récupération et suivez-le. Faites-en sorte que votre plan intègre le stockage des sauvegardes hors site


• Prenez soin de tester les sauvegardes de façon régulière. Les organisations doivent être au fait de ce qui est stocké dans les archives de sauvegarde et s'assurer que les données les plus critiques soient accessibles dans le cas où les ransomware cibleraient les sauvegardes


• Mettre en place des politiques de sécurité. Utilisez les logiciels antivirus et anti-malware les plus récents et contrôlez en permanence afin de prévenir toute infection


• Développez des politiques en matière de technologies et d'informatique qui limitent les infections sur les autres ressources réseau. Les entreprises doivent mettre en place des protections afin qu'un appareil infecté par un ransomware ne permette pas à ce dernier de se propager dans tout le réseau


• Assurez la formation des utilisateurs afin que tous les employés puissent repérer une attaque potentielle. Assurez-vous que les employés soient au fait des meilleures pratiques pour éviter le téléchargement accidentel d'un ransomware ou l'ouverture du réseau aux personnes extérieures.

 

Christophe Badot, DG Varonis

L¹attaque par ransomware a franchi un nouveau palier. Les entreprises partent désormais du principe que les hackers peuvent chercher à pénétrer leur réseau. Mais dans le cas présent, si une entreprise a un serveur dont les patchs ne sont pas à jour, alors elle fait le jeu des attaquants. Cette attaque par exploit particulièrement agressive subvertit les postes de travail et les contrôles d'accès aux données. Bien qu¹elle chiffre les fichiers comme n¹importe quelle campagne de ransomware, la différence ici est que les cybercriminels tirent profit des outils de piratage issus de la fuite de données de la NSA afin de répandre l'infection latéralement sur tous les appareils connectés au réseau. Une fois ce ransomware sur un serveur partagé, toutes les données sont susceptibles d¹être corrompues. Le principal risque de ce ransomware est que, une fois entré, il se répandra très largement, très rapidement et sera en mesure de corrompre l¹ensemble du système d¹information.

Pûre coïncidence : Trump signait au moment même où ce malware se répandait, une ordonnance désignant les « vulnérabilités connues mais encore incontrôlées » comme la plus grande menace de cybersécurité pesant sur les ministères et organismes gouvernementaux. Toutefois, la taille et la portée de cette infection montrent que la gestion des correctifs est également un problème d¹envergure mondiale pour les entreprises.

Sans surveillance de l¹activité des fichiers, les entreprises prennent des risques. Et cette cécité permet à l'attaque de se poursuivre plus longtemps et de se répandre plus rapidement. Les données ont besoin de micro-périmètres combinés à une surveillance active et une analyse comportementale afin de repérer immédiatement ces attaques de type « zero day ».

 

RADWARE: https://security.radware.com/ddos-threats-attacks/ddos-attack-types/wannacry-ransomware/

  

* Jean Philippe Bichard Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu immédiat) et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

This email address is being protected from spambots. You need JavaScript enabled to view it.

@cyberisques @jpbichard @DPO_NEWS

 

BONUS:

 

https://www.ft.com/content/af74e3f4-373d-11e7-99bd-13beb0903fa3

 

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

 

 

 

@DPO_News @cyberisques #GDPR #DPOLaurent Heslault: "en moyenne les entreprises européennes utilisent plus de 900 applications partagées dans les Clouds alors qu'elles pensent en utiliser que 50 !"

Avis d'expert: Symantec 

USElection-Cyberisques-News-Symantec-Report-2017

 

 

Laurent Heslaut: "en moyenne les entreprises européennes utilisent plus de 900 applications partagées dans les Clouds alors qu'elles pensent en utiliser que 50 !"

 

A l'occasion de la publication du 22e rapport annuel sur les cyber menaces de Symantec, Laurent Heslault, Directeur des Stratégies de Sécurité chez l'éditeur précise certains points en rapport avec la mise en application du GDPR.

 

"DPO as a service" : Symantec y croit ?

Oui bien sur. Mais en collaboration avec les principaux services chez nos clients.

 

 

Quels services ?

Ceux qui s'emparent du texte! En fait cela dépend des secteurs mais globalement les Directions juridiques avec un comité composé de managers RH, marketing, IT... Il s'agit d'un pilotage transversal. C'est l'intention qui compte. Et n'oublions pas que les premiers textes sur la protection des datas existent depuis 1978.

 

Le GDPR pour Symantec représente quel type de challenge ?

Pour Nous, le "data protection" ne constitue pas une nouveauté puisqu'il existe aux US depuis 14 ans. En terme de solutions, le chiffrement et de nombreuses autres solutions notamment issues de l'acquisition récente de Bluecoat intéressent les entreprises. Des applications Cloud via les logs de parefeu sont particulièrement ciblées par le GDPR. Le problème c'est non seulement la cartographie des données mais pour bon nombre d'entreprises de recenser le nombre exact d'applications qu'elle utilisent dans le cloud. Ainsi, en moyenne les entreprises européennes utilisent plus de 900 applications partagées dans les Clouds alors qu'elles pensent en utiliser que 50 ! Notre rapport (1) indique aussi que plus d'un quart des des données sont partagées sans restrictions.

 

 

En termes de cartographie des données à caractère personnel, quels outils suggérez-vous ?

Les outils GRC (gestion de la conformité) sont trè utiles. Nous les avons aménagé de façon spécifique pour effectuer une intégration de 40 questions « GDPR » avec 200 réponses potentielles en fonction des configurations. Il s'agit de connaître le niveau d'évolution de « compliance » filiale par filiale par exemple au sein d'une grande organisation.

 

 

En interne, un éditeur tel que Symantec propose quel compatibilité GDPR sur ses propres données avec quelle labellisation Européenne ?

Nos outils sont tous "critères communs". Coté Cloud nos données sont totalement anonymisées et ce n'est pas nouveau. C'est préférable avec 175 millions de postes protégés dans le monde. Pour l'hébergement nous confions toutes nos données à Amazon.

 

 

Que souligne l'édition 2017 du rapport Symantec ?

En matière de protection des données traitées par les IoT nous constatons que de nombreuses cyber-attaques peuvent cibler la modification de l’intégrité des données des IoT notamment au niveau des paramètres. C'est pour cette raison que nous avons développé depuis deux ans un ensemble de simulateurs sur des IoT. En moyenne il faut moins de 2 mn pour qu'un IoT soit attaqué dès sa connexion à Intrenet (caméras IP par exemple). C'est ce qu on avait sur Windows en 2004. Mais sur les IoT aucune sécurité n'est prévue à ce jour. Quand il s'agit de données liées au contrôle d'un voiture ou d'un avion, les enjeux s'avèrent stratégiques.

 

Email-Spam-Cyberisques-News-Symantec-2017

 

 

BONUS

(Source Communication Corporate Symantec)

1 - des résultats du 22e rapport annuel sur les cyber menaces de Symantec, l'occasion pour les chercheurs et experts en cyber sécurité de l'entreprise de livrer leur analyse et leurs enseignements sur les menaces qui ont marqué l'année 2016 et les tendances qui émergent.

Leurs conclusions sont disponibles dans le communiqué de presse en pièce-jointe, les principaux points à retenir sont les suivants :

  • La France reste dans le Top 10 mondial et le Top 5 européen: l'Hexagone faisait son entrée dans le Top 10 mondial des pays les plus actifs en matière de cybercriminalité l'an dernier et cela se confirme encore cette année : la France se classe au 8e rang mondial et au 4e rang européen en 2016, soit 1 rang de plus qu'en 2015 dans les deux classements. Les Etats-Unis passent devant la Chine et le Brésil prend la 3e place, juste devant l'Inde.

  • Les risques liés à l'Internet des Objets (IoT) se confirment: Les chercheurs de Symantec pointaient déjà du doigt les risques liés à l'IoT depuis 2013 et alors qu'il était difficile de prédire le niveau d'attention ou de quantifier le risque, la raison qui pousse à la prudence se résume en un mot : Mirai. Le botnet Mirai a été utilisé dansla plus grande attaque DDoS massive fin 2016 levant le voile sur le niveau de risque lié à l'IoT et à son émergence fulgurante. Symantec a utilisé la technique du « pot de miel » pour traquer les tentatives d'attaques et les analyser. En 12 mois, le nombre d'attaques a doublé. En moyenne, un peu plus de 4 adresses IP uniques par heure ont attaqué le « pot de miel » durant le mois de janvier 2016 pour finir à un peu plus de 8 en décembre dernier. Au plus fort de l'activité, lorsque Mirai se développait, Symantec enregistrait des attaques toutes les 2 minutes.

  • Le ransomware continue d'augmenter, sauf en France : Symantec a en effet enregistré une hausse de 36 % du nombre de ransomware et en a identifié plus de 100 nouvelles familles dans le monde. Cette activité se rélève toujours lucrative pour les cyber criminels mais il semblerait que les français soient moins enclins à payer les rançons que les américains, les Etats-Unis se positionnant en tête du classement et concentrant un tiers des attaques par ransomware. 64 % des vicitimes de ransomware aux Etats-Unis sont prêtes à payer la rançon, deux fois plus que la moyenne française (30 %) et la moyenne mondiale (36 %).

  • La France reste dans le Top 10 mondial des pays où la cyber criminalité est la plus active et dans le Top 5 européen ;

  • Les experts Symantec notent une hausse alarmante du nombre d’attaques à des fins de sabotage politique ou encore motivées par un fort gain financier ;

  • Au niveau mondial, les attaques par ransomware ont augmenté de 36 %, les Etats-Unis étant devenus un territoire de choix pour les cyber attaquants.

L’année 2016 a marqué un tournant en matière de cyber criminalité, selon la 22e édition du rapport annuel de Symantec(Nasdaq : SYMC) sur les cyber menaces (ISTR). De nouvelles ambitions et motivations ont fait leur apparition l’an passé, une année marquée par des attaques sans précédent comme des cyber casses bancaires s’élevant à plusieurs millions de dollars ou encore des tentatives non dissimulées de manipulation des élections américaines, soutenues par des Etats.

« L’évolution du niveau de sophistication et l’innovation sont l’essence même qui constitue le paysage des cyber menaces, mais cette année nous avons assisté à une profonde mutation des motivations et de la concentration des attaques, » explique Laurent Heslault, Directeur des Stratégies de Sécurité chez Symantec. « Le paysage mondial des cyber menaces en 2016 a été marqué par l’augmentation du nombre d’attaques politisées et du nombre de campagnes de manipulation par des états. En parallèle, nous notons des perturbations sans précédent causées par des cyber criminels qui n’hésitent plus à recourir à des outils technologiques relativement simples et des services cloud. »

La France reste dans le Top 10 mondial et le Top 5 européen

L’Hexagone faisait son entrée dans le Top 10 mondial des pays les plus actifs en matière de cybercriminalité l’an dernier et cela se confirme encore cette année : la France se classe au 8e rang mondial et au 4e rang européen en 2016, soit 1 rang de plus qu’en 2015 dans les deux classements. Les Etats-Unis passent devant la Chine et le Brésil prend la 3e place, juste devant l’Inde.

La France se distingue principalement par l’augmentation du pourcentage d’attaques réseau dont elle est la source, et enregistre également une augmentation du pourcentage mondial d’attaques web et de phishing.

Les attaques subversives et de sabotage émergent au premier plan

Comme c’est le cas chaque année, les cyber criminels montrent régulièrement leur capacité à s’adapter à tout type de contexte. 2016 n’échappe pas à la règle : les attaques motivées par des raisons politiques ont été dévastatrices l’an dernier. Menées contre le parti démocrate américain, les cyber attaques ayant conduit à d’importantes fuites et au vol d’informations reflètent l’intérêt des cyber criminels d’employer des campagnes d’attaques manifestes et ultra médiatisés afin de déstabiliser et perturber les organisations ciblées ou encore les pays. Alors que les initiatives de cyber sabotage sont généralement rares, le succès perçu de plusieurs campagnes, comme celles incluant les élections américaines et Shamoon, montrent que la tendance est à l’influence politique dans le but de semer la discorde dans d’autres pays.

La subversion étant une motivation en hausse et le potentiel de discorde et de confusion ayant été démontré, il est probable que ces techniques soient de nouveau utilisées dans le but de déstabiliser d’autres pays. D’autant que 2017 est une année électorale pour la France et l’Allemagne.

Les Etats-nations à la recherche de gains majeurs

Un nouveau profil d’attaquants révèle de fortes ambitions financières, les gains générés pouvant servir à financer d’autres activités souterraines et subversives. Aujourd’hui, les plus gros casses bancaires sont menés de façon virtuelle dans le cyber espace, avec des gains s’élevant à plusieurs milliards de dollars. Alors que certaines de ces attaques sont le fruit de groupes criminels organisés, pour la première fois en 2016, un Etat-nation a semble-t-il était impliqué. Symantec a découvert plusieurs preuves liant la Corée du Nord aux attaques bancaires qui ont ciblé le Bangladesh, le Vietnam, l’Equateur et la Pologne.

« Cette attaque était incroyablement audacieuse et sans précédent. Pour la première fois, des indices forts montre l’implication d’un Etat-nation dans un cyber crime financier, » observe Kevin Haley, Directeur Security Response chez Symantec. « Alors que leur objectif était encore plus grand, les cyber attaquants ont volé au moins 94 millions de dollars. »

L’Internet des Objets et le cloud : les nouvelles frontières

Les attaques contre les ordinateurs et serveurs continuent de dominer le paysage des cyber menaces en nombre. En revanche, d’autres terminaux et plateformes sont activement ciblées ou deviennent suffisamment matures pour devenir des cibles de choix. L’adoption grandissante des services cloud et l’émergence fulgurante des technologies de l’Internet des Objets (IoT) ouvrent la voie à de nouvelles menaces dont le nombre a augmenté en 2016.

  • L’IoT – Les chercheurs de Symantec pointaient déjà du doigt les risques liés à l’IoT depuis 2013 et alors qu’il était difficile de prédire le niveau d’attention ou de quantifier le risque, la raison qui pousse à la prudence se résume en un mot : Mirai. Le botnet Mirai a été utilisé dans la plus grande attaque DDoS massive fin 2016 levant le voile sur le niveau de risque lié à l’IoT et à son émergence fulgurante.

Afin de traquer les tentatives d’attaques contre les objets connectés, Symantec a utilisé la technique du « pot de miel ». Le principe est d’utiliser des machines vulnérables qui « attendent » la menace afin de récolter des données puis de les analyser, permettant ainsi aux chercheurs de Symantec de voir comment les attaques IoT se multiplient et le niveau de visibilité des objets pour les cyber attaquants. Lors de cette expérience, Symantec a vu le nombre d’attaques doubler en 12 mois. En moyenne, un peu plus de 4 adresses IP uniques par heure ont attaqué le « pot de miel » durant le mois de janvier 2016 pour finir à un peu plus de 8 en décembre dernier. Au plus fort de l’activité, lorsque Mirai se développait, Symantec enregistrait des attaques toutes les 2 minutes.

Les données analysées grâce à cette expérience permettent également de déterminer les pays qui concentrent le plus de sources d’attaques. Avec 26,5 % des attaques, la Chine se place en tête du classement, suivie des Etats-Unis avec 17,7 %. La Russie (5,8 %), l’Allemagne (4,9 %) et la France (2,5 %) figurent dans le top 7 de ce classement.

  • Le cloud – L’adoption massive des services cloud rend les entreprises de plus en plus vulnérables. Des dizaines de milliers de base de données cloud ont été piratées et prises en otage contre rançon en 2016, en grande partie à cause du manque de vigilance des utilisateurs qui laissent volontiers ces bases obsolètes ouvertes sans activer aucune authentification.

Pour les entreprises, la sécurité du cloud reste un challenge pour les DSI et responsables informatiques. Selon des données de Symantec, les départements informatiques ont du mal à identifier le nombre d’applications cloud utilisées au sein de leur entreprise. Lorsque la question est posée, la majorité d’entre eux en déclare une quarantaine alors qu’en réalité, ce nombre est plutôt proche du millier. Cet écart peut mener à une absence de règles et de procédures claires sur la manière dont les employés accèdent aux services cloud, rendant l’utilisation de ces applications risquée. Les brèches prennent forme dans le cloud et Symantec prédit que si les départements informatiques ne prennent pas de mesures plus strictes, ils verront un nombre grandissant de menaces entrer dans leur environnement informatique.

Le ransomware continue son ascension… mais diminue en France

Symantec a en effet enregistré une hausse de 36 % du nombre de ransomware et en a identifié plus de 100 nouvelles familles dans le monde. Cette activité se révèle toujours lucrative pour les cyber criminels mais il semblerait que les français soient moins enclins à payer les rançons que les américains, les Etats-Unis se positionnant en tête du classement et concentrant un tiers des attaques par ransomware. 64 % des victimes de ransomware aux Etats-Unis sont prêtes à payer la rançon, deux fois plus que la moyenne française (30 %) et la moyenne mondiale (36 %).Cela n’est pas sans conséquence : le montant moyen d’une rançon a augmenté de 266 %, les cyber criminels exigeant en moyenne 1 007 dollars par victime.

La France se classe au 11e rang mondial des pays les plus ciblés par le ransomware et au 6e rang européen.

Les attaquants arment des logiciels couramment utilisés et l’e-mail devient une arme de choix

En 2016, Symantec a constaté une utilisation grandissante de PowerShell par les cyber criminels, un langage script commun installé sur les ordinateurs, ou encore l’utilisation de fichiers Microsoft Office transformés en armes. Alors que les administrateurs systèmes peuvent utiliser ces outils technologiques répandus et communs pour des tâches quotidiennes de gestion, les cyber criminels de leur côté utilisent de plus en plus cette combinaison d’outils pour mener leurs campagnes de cyber crime. La raison ? Cela leur permet de laisser une faible empreinte et donc de passer plus facilement inaperçus. Au total, 95 % des fichiers PowerShell qui se trouvent dans la nature et étudiés par Symantec ont été détectés comme malveillants.

L’e-mail a également était très exploité par les cyber attaquants, devenant une arme de premier choix et une véritable menace pour les utilisateurs. La tendance se confirme au niveau international, 1 email sur 131 envoyés contenait une pièce-jointe ou un lien malveillant, le plus fort taux enregistré depuis 5 ans, alors qu’en France cette proportion s’élève à 1 email sur 209. Et les entreprises ne sont pas épargnées : la « fraude au président » ou « arnaque au dirigeant » ont généré pas moins de 3 milliards de dollars de pertes pour les entreprises ces trois dernières années, ciblant plus de 400 organisations chaque jour.

Affaire #macronleaks : « qui » piège « qui » ?

Phot-JPB-DPO NEWS

@jpbichard *

 

Affaire #macronleaks : « qui » piège « qui » ?

 

Les informations présentées comme volées sont aussi parfois ...fausses et peuvent donner lieu sur les réseaux sociaux à des « Fake News ». En cybersécurité, l'attaquant peut parfois se trouver piégé par l'attaqué. On touche là à une forme de « cyber-game » avec différents niveaux de « faux » entre pirates et victimes. L'affaire nommée à tord #macronleaks illustre ces pratiques de « faussaires » déclinées en politique.

 

 

Que vaut une information non authentifiée ? En théorie pas grand chose mais sur Internet c'est tout le contraire. C'est une des leçons du #macronleaks. Mais commençons par le début. Personne n'en parle mais c'est le nom donné par les experts en cybercriminalité pour ce type de cyber-attaque.  BEC pour Business Email Compromise ou compromission de mails spécifiques au « business » monde politique inclut.

Sur plus de 430 millions de malwares - logiciels malveillants - détectés en 2016 en France combien concernent les BEC  ? Le FBI (1) vient de publier (mai 2017) un rapport révélant que les pertes liées aux cyberattaques ciblant les mails professionnels des messageries d'entreprise dépassent la barre des 5 milliards de dollars. Selon cette étude, ce serait près de 40 000 incidents BEC qui auraient été signalés entre octobre 2013 et décembre 2016.

Cette tendance s'explique : peu onéreuses et très lucratives tout en préservant l'anonymat, les attaques « BEC » attirent les cybercriminels et de plus en plus de cyber-mercenaires. Les « BEC » reposent en majorité sur les principes anciens d'usurpation d'identité d'un email. Mais un mail ciblé à la différence des attaques de masse. Coté « outils », l'éventail « BEC » en intègre plusieurs accompagnés de méthodes. Parmi les méthodologies, l'une des plus répandue se nomme « spearphishing ».

Des stratégies payantes car on l'ignore souvent, ce type d'attaques a généré plus de pertes auprès des entreprises, organisations, associations, secrétariats et services administratifs que les fameux « ransomwares » (ou rançongiciels) largement plus répandus.

Au delà des « avantages financiers » retirés par les attaquants, ces cyber- attaques menées par des cybercriminels aguerris menacent directement des cibles VIP précises. Il s'agit de décideurs y compris politiques et de leurs équipes, services, départements, secrétariats... Ces cyber-attaques se distinguent car elles ne sont pas basées sur l’appât du gain ou le chantage souvent « payant » ( http://bit.ly/2qzQDNi ) mais sur l'influence via le vol d'informations stratégiques très ciblées. Il ne s'agit plus d'arnaques financières mais davantage d'opérations de déstabilisation menées auprès de décideurs influents ou de leurs équipes. Aucun secteur ne se trouve à l'abri. Hier les milieux d'affaires occupaient la première place. 2017 marque  « l'entrée » officielle dans le monde des cyber-attaques de nouvelles cibles « spearphishing »: les politiques.

Les récentes attaques sur les sites d’Hillary Clinton et du mouvement « En Marche ! » illustrent cette évolution. Et c'est sur ce point que nous retrouvons comme par hasard ce que certains décrivent comme « l'affaire #macronleaks ».

 

2017 marquera  « l'entrée » officielle dans le monde des cyber-attaques de nouvelles cibles: les politiques

MacronLea ks ? Si l'on se souvient que pour les experts, un « leak » correspond à la définition d'une fuite organisée de documents destinés à des journalistes qui les vérifient, le nom est mal choisi. Dans le cas du mouvement du nouveau Président Français, les faits indiquent une intrusion de cyberattaquants en mode « spearphishing » afin de voler des données « stratégiques ». Objectifs politiques : déstabiliser un candidat voire influencer des résultats électoraux.

Lors de la campagne présidentielle d'Emmanuel Macron, son équipe a été selon les premiers éléments de l'enquête - en cours actuellement - la cible de plusieurs attaques menées par des groupes cyber dont Un nommé « Pawn Storm ». D'autres sont suspectés avec pour origine les milieux conservateurs nord américains. Concernant « Pawn Storm » si cette piste est confirmée, il s'agirait d'une association de « black hackers » présentée comme très proche du GRU, la direction générale des renseignements des forces armées russes. Mais aucune preuve n'est encore apportée par les enquêteurs. Attribuée une cyberattaque à un auteur - généralement un groupe de cybercriminels parfois cyber-mercenaires - demeure extrêmement complexe. C'est d'ailleurs l'un des problèmes de ce type de cyberisques.

La technique de « spearphishing » utilisée par les attaquants sur les serveurs du mouvement « En Marche ! » a consisté à envoyer à des membres de l'équipe des emails en usurpant une identité connue des destinataires. Mis en confiance, ces « users » ouvrent les pièces jointes ou cliquent sur les liens (malveillants) intégrés aux mails. Ce qui permet aux cybercriminels d'obtenir les identifiants de connexion et l'accès aux boites mails « piégées ». Les attaquants accèdent aussi – on ne le souligne pas assez - aux « droits » rattachés à chaque utilisateur piraté. Munis de ce « sésame numérique », les cybercriminels peuvent consulter, modifier, dupliquer, effacer, voler, publier...des documents « stratégiques ». A condition toutefois que ces documents se révèlent authentiques. Nous verrons que cet aspect du problème est de loin le plus important. Que vaut une information non authentifiée ? En théorie pas grand chose mais sur Internet c'est tout le contraire.

 

 

A qui attribuer les cyberattaques #macronleak ?

Pour l'attaque « #macronleak » en plus de l'usurpation d'identité, une autre méthode a été retenue par les cybercriminels. Ils ont créé des noms de domaines « falsifiés », très proches de ceux très souvent consultés par les collaborateurs du nouveau Président (à l'époque encore candidat). Via ces faux sites, les attaquants auraient réussi a tromper la vigilance des équipes du candidat. Cette méthode classique de phishing est connue. En confiant leurs « id » et « password » sur ces « faux sites », les collaborateurs d'Emmanuel Macron auraient « ouvert » les accès aux serveurs réservés aux équipes « En Marche ! ». Sauf que...

Avertis de ces tentatives d'attaques, les équipes d'Emmanuel Macron auraient décidé volontairement de laisser accessibles aux cybercriminels de faux documents. Selon elles, ce sont ces « faux documents » qui seraient aujourd'hui en consultation libre sur Internet (lire la section Bonus en fin d'article).

Pour parvenir à mettre en place cette ruse, les « geeks marcheurs» auraient toujours selon une source interne, tendu un piège aux attaquants. Prévoyant une attaque de type « spearphishing », la « task force » numérique du candidat aurait créée un « honeypot » ou pot de miel. Ce terme que tous les experts en cybersécurité connaissent résume une architecture de sécurité qui oriente les attaquants vers de fausses destinations (serveurs) et de fausses données. Les "faux" serveurs permettent ainsi d'observer le comportement des "vrais" attaquants tout en protégeant les documents ciblés. Officiellement c'est ce qui s'est produit chez "En Marche!". Il est exact que les documents publiés (15 Go en ligne sur le Net) ne « révèlent » rien (pour les consulter : section BONUS en fin d'article).

On peut penser qu'au sein du mouvement politique d'Emmanuel Macron (39 ans) les véritables échanges « confidentiels » s'effectuent via des messageries chiffrées de type Telegram. Conseillé de près par l'ANSSI (Agence nationale de la sécurité des systèmes d’information), Emmanuel Macron que le numérique intéresse a dû retenir des solutions de sécurité renforcées pour ses échanges mail avec ses plus proches collaborateurs. Aucun document publié n'est effectivement signé par lui. Bref, assistons-nous a une simple tempête numérique dans un verre d'eau de big data ? Pas si simple.

 

original.98252.zoom

 

 

Des cyber-attaques non attribuées mais amplifiées par les réseaux sociaux

Pas si simple en effet. Si l'impact de l'attaque demeure sans gravité, son origine intéresse tout le monde. Pour les enquêteurs en charge de l'affaire #macronleaks, il faut donner des « attributions » à ces attaquants afin de prouver l'origine des cyber-attaques. Les équipes de la BEFTI (Brigade d'enquêtes sur les fraudes aux technologies de l'information) s'appuient entre autres sur les traces d'informations laissées par les attaquants : adresses IP, structure des malwares, profil des liens malveillants, structure des mails, méthodologie de l'attaque, comportement dans les "pots de miel"...

Reste que ces cyber-enquêtes débouchent rarement sur des attributions « concrètes » et pas toujours rendues publiques...

Pourquoi ? pour deux raisons : la première touche aux difficultés techniques pour remonter aux sources d'une cyber-attaque. La seconde plus « géopolitique » relève des principes liés aux relations internationales. En effet, de plus en plus de pays se dotent d'une « cyber-force » officielle dans le cadre de leur doctrine de cyber-défense. Ces cyber-forces dans certains pays collaborent plus ou moins officiellement avec des groupes de « hackers » internationaux dont certains offrent des services que l'on peut rapprocher de ceux fournis par des officines de « cyber mercenaires ». Bref une nébuleuse un peu trouble et très « underground ». Au delà des motivations, ces affaires de « rumeurs 4.0 » soulignent le rôle crucial de "caisse de résonance" joué par les réseaux sociaux.

 

Les journalistes ne sont pas des internautes comme les autres

On le sait, la reprise massive « d' informations non vérifiées » via des documents « non authentifiés » et donc susceptibles d'êtres des faux aurait pu avoir des conséquences sur les résultats des élections. Rappelons-le : «  Facebook » et « YouTube » cumulent plus de 2 milliards d'abonnés dans le monde. Twitter 317 millions. En France, Facebook regroupe 31 millions d'utilisateurs, YouTube 26 millions et Twitter 14 millions. Et combien de « fake news » au total ?

De plus en plus de documents « préfabriqués » accompagnent des tweets et autres messages sur les réseaux sociaux. On touche avec ce phénomène au « doublement faux » en incitant des internautes honnêtes et parfois mal-intentionnés à diffuser volontairement ou pas des « faux » sur la toile. Internet devient en plus du réseau mondial qu'il incarne, un amplificateur géant de rumeurs 4.0 !  

En soulignant cette nouvelle dimension d'internet, on touche là au cœur de la « cyber-perversité » des réseaux sociaux considérés à tord ou à raison comme des diffuseurs d'informations trop souvent au même titre que les médias traditionnels. A la différence que dans des médias dignes de ce nom, travaillent des journalistes professionnels. Dis autrement, les journalistes ne sont pas des internautes comme les autres. Ce sont des professionnels qui vérifient et authentifient l'information avant de la publier. Que ça plaise ou pas, cette différence demeure essentielle. Vouloir mélanger les contenus des médias traditionnels avec ceux des réseaux sociaux sans distinction au préalable, c'est assassiner la presse professionnelle. C'est aussi favoriser les « rumeurs 4.0 » et favoriser de nouveaux #macronleaks.

 

@jpbichard

  

* Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

 

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

 

En plus d'animations (avec compte-rendu immédiat) et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

 

This email address is being protected from spambots. You need JavaScript enabled to view it.

 

@cyberisques @jpbichard @DPO_NEWS

 

 

 

 

 

BONUS :

https://mobile.nytimes.com/2017/05/09/world/europe/hackers-came-but-the-french-were-prepared.html?smid=tw-nytimes&smtyp=cur&_r=1&referer=https://t.co/pWdoRdmfrg

 

http://www.cyberisques.com/fr/component/content/article/83-categorie-3/661-dpo-news-cyberisques-chiffrement-la-lettre-du-conseil-national-du-numerique-au-ministre-de-l-interieur

 

//medium.com/@lemebfr/ce-quil-y-a-vraiment-dans-les-macronleaks-pas-grand-chose-3de14d82f662">https://medium.com/@lemebfr/ce-quil-y-a-vraiment-dans-les-macronleaks-pas-grand-chose-3de14d82f662>

 

http://tnova.fr/etudes/la-triche-electorale-en-ligne

 

http://www.securityweek.com/who-hacked-french-president-elect-emmanuel-macrons-campaign

 

 

 

Comment tracer la désinformation de type "fake news " ?

 

Quelles sont les sources de production ? Quels sont leviers de circulation et de réception de la désinformation sur le Web et les plates-formes numériques ? Au delà des botnets, trolls, "fact-checking "... de nouvelles « méthodes » existent. Destiné aux journalistes, aux chercheurs, aux étudiants, aux organisations de la société civile et aux institutions publiques, le guide proposé par Public Data Lab cartographie les fausses nouvelles puis les analyse en termes d'impact. le projet Public Data Lab a été développé en collaboration avec First Draft (firstdraftnews.com), une initiative visant à améliorer les compétences et les normes sur le partage d'informations en ligne.

 http://publicdatalab.org/

 *

 

 

 

 

 

#DPO_News #cyberisques #GDPR Difenso : le "chiffrement secure" des données pour n'importe quel Cloud

 

#DPO_News #cyberisques #GDPR #DPO #CIL

 

 

Difenso : le "chiffrement secure" des données pour n'importe quel Cloud 

 


Seul CASB européen, Difenso est le premier à
 obtenir la certification CSPN de l'ANSSI pour son service de protection des données dans le cloud.

 

Il semblerait qu'avec Difenso, la France tienne enfin une cyber-pépite en cryptographie. « Puisque les GAFA occupent le terrain des services de partage et de stockage, occupons celui de la confidentialité et de l'intégrité » se sont dit les fondateurs de Difenso. Une façon comme une autre de résoudre les problématiques de stockage de données à caractère personnel en Europe de citoyens européens tout en assurant leur parfaite intégrité.

Parfaite intégrité ? « Oui affirme les fondateurs. Avec notre solution il faudrait au moins 30 ans aux meilleurs algo de la NSA pour commencer a obtenir le début d'un résultat ». Chez DPO_NEWS après en avoir discuté avec la rédaction de Cyberisques News on s'est dit que çà valait le détour d'autant que Difenso est le premier CASB (Cloud Access Security Broker) à obtenir la certification CSPN (Certification de Sécurité de Premier Niveau)de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).

Le 17 février prochain, un autre label de l'ANSSI sera accordé à Difenso. Pas peu fiers, les dirigeants affirment que leur start-up est « l'unique opérateur européen de sécurisation des données dans le Cloud ». Et ce n'est qu'un début. Ce jeune acteur, unique représentant de la cryptographie française lors d'un récent cyber-événement majeur à l’international annoncera prochainement une solution en partenariat avec des acteurs institutionnels (La Poste?) pour gérer des données chiffrées de... particuliers en toute confiance. Le E-Coffre-fort de Madame « Dupontconnectée » serait-il enfin disponible ? Why not ?

Difenso chiffre déjà nativement les données sensibles de tout utilisateur utilisant les services SaaS publics ou privés des plus grands acteurs d'internet (Microsoft, Google, Apple, Salesforce, Dropbox, Box, Facebook, etc...). Alors...

Outils compatible GDPR certifie l'ANSSI

Pour l'heure les ingénieurs à l'origine de cette start-up*  expliquent que leurs techno demeure agnostique aux différents formats des données et pourrait parfaitement se montrer « compatible GDPR » (lire notre encadré).

En 2017, les outils « compatibles GDPR » vont se multiplier, business oblige. Pour réaliser un tri de bon niveau un œil sur les technologies proposées s'impose. Dans le cas de Difenso rien n'est stocké y compris les clés générées sur un mode aléatoire. Pour le déchiffrement la clé est reconstruite a partir du vecteur d'initialisation sorte de cœur technologique de l'offre SaaS de la start-up.

Difenso mise sur une technologie disruptive de chiffrement de la donnée « à la volée ». C'est précisément cette approche atypique que l'ANSSI reconnaît comme digne de l'obtention de la certification CSPN. Pour l'agence française, cette technologie est stratégique pour protéger les données des entreprises en Europe. « Elles pourront utiliser les meilleures solutions SaaS d'éditeurs de n'importe quelle origine sans avoir à se soucier de la confidentialité de leurs données ou de celles de leurs clients de surcroît avec une garantie juridique puisque la solution est conforme aux exigences des institutions européennes» estime Eric Stefanello. 

Jusqu'ici il n'existait que des solutions américaines ou israéliennes de protection des données dans le Cloud. Difenso devient via la certification de l'ANSSI la seule solution européenne certifiée. Dans un contexte de renforcement de la protection des données prévu par le règlement UE 2016/679 qui est applicable dès mai 2018 – GDPR : lire http://www.cyberisques.com/fr/component/content/article/137-mots-cles-30-reglementation/636-dpo-news-cyberisques-dpo-un-cil-2-0

Avec la certification ANSSI, Difenso joue non seulement sa carte sécure mais aussi conformité. Le certificat valide le fait que la solution de Difenso est technologiquement efficiente et respecte les contraintes légales. Bien joué. Reste à convaincre le marché sans doute avec un coup de pouce de l'ANSSI... Difenso évoque peu la CNIL qui en matière de GDPR a aussi son mot a dire. Vers un label CNIL distinct de celui de l'ANSSI ? Au dernier congrès de l'AFCDP le secrétaire général de la CNIL Édouard Geffray ne l'a pas exclut. (lire : http://www.cyberisques.com/fr/mots-cles-5/137-mots-cles-30-reglementation/636-dpo-news-cyberisques-dpo-un-cil-2-0)

Pour l'usage des services de Difenso, le portail « Difenso Secure Portal » est présenté par les fondateurs comme le premier portail de cyber-sécurité couvrant la majorité des applications SaaS (Software As A Service) ; il est accessible tant par l'utilisateur final que par les communautés métiers sensibles aux normes (lire encadré 2), les administrations ou les entreprises en respectant les normes françaises et le règlement UE 2016/679 du 27 avril 2016 sur la protection des données. 
  «
 L'enjeu de Difenso est de soulager les entreprises et administrations de toutes les obligations liées à la protection des données et aux réglementations associées » précise Eric Stefanello, Bel enjeu. Combien de noms sont déjà inscrits au carnet de commande ? ...

 

00 breach happens-100540479-orig


 

Une technologie disruptive : chiffrer la donnée native en garantissant la sécurité de son cycle de vie

Fruit de 4 ans de R&D, la solution Difenso nommée Difenso Core System (DCS) repose sur la gestion de clés de chiffrement uniques pour chaque donnée. Les données devenues totalement inviolables peuvent alors être transportées et stockées librement notamment vers des logiciels hébergés en mode SaaS ou dans des Cloud vulnérables. Les solutions Difenso utilisent un Module de Sécurité Hardware (HSM) Bull-Atos, lui-même certifié.

Les solutions de Difenso peuvent aussi être directement appelées par tout éditeur de logiciel SaaS ou tout hébergeur de données souhaitant protéger les données de ses propres clients.

Reste certains enjeux qui parfois dépassent les meilleures intentions. Ainsi la présence « officielle » de backdoor pour « permettre » a certains services d’états de prendre connaissance de mails « attribués » à des terroristes ou journalistes (un exemple parmi d'autres) est-ll possible au moyen de la technologie Difenso ? « impossible et nous ne le souhaitons pas » répondent les fondateurs en précisant « Les services vont comprendre que tout n'est pas possible  affirment-ils en précisant dans un monde ou il faut se protéger au niveau des données on ne peut pas compromettre les technos ». C'est dit et en clair comme diraient les experts en chiffrement.

@jpbichard

 

@DPO_NEWS

@cyberisques

 

 

 

*Fondateurs :

Eric Stefanello, CEO, co-fondateur, ingénieur de l'Armement et ancien directeur des programmes stratégiques militaires de la DGA

Denis Diguet, René-Claude Dahan, Jérôme Razniewski

 

1 - GDPR et certification ANSSI : permettre aux entreprises de remplir leurs obligations légales 

Selon les fondateurs, la certification ANSSI ouvre à Difenso des perspectives à court terme de développement sur toute l'Europe, en mode SaaS ou en mode Appliance (On Premise) pour la protection des données sensibles des grands groupes, des structures bancaires, industrielles, juridiques ou médicales en direct ou via les ESN développeurs/intégrateurs de solutions IT. En dehors de l'Europe les solutions seront soit franchisées soit licenciées.

Le service de chiffrement de Difenso intégrés :

Maîtrise totale des données par le client : les clés de chiffrement/déchiffrement étant dérivées d'une « clé maîtresse » propriété du client, protégée au sein d'un HSM physique ou virtuel, ce dernier est le seul à pouvoir déchiffrer ses données.

Gestion humaine des autorisations (ajout/suppression des utilisateurs autorisés à accéder aux clés de chiffrement).

Traçabilité des accès aux clés de chiffrement (date début de validité, expiration, désactivation de la clé à la main du propriétaire de la donnée...).

Protection légale. Chaque transaction historisée est opposable aux tiers dans le cas d'une procédure judiciaire.

Maintien de l'agilité business grâce à une intégration et une ergonomie étudiée qui respecte une cinématique simple à utiliser et un impact de la latence du service Difenso « couche technologique supplémentaire » limité autour de 3%.

Offre dédiée et sécurisée à l'attention des OIV (Opérateurs d'Importance Vitale).

Efficace dans tout environnement : SaaS (Cloud) & Intranets (Systèmes d'Informations privés).

 

 

2 - Normes de certifications internationales prises en compte par la plateforme « Difenso » :

• ANSSI – CSPN

• ISO 27001 à 27005 (un ensemble de 133 règles qui ne sont pas obligatoires, mais sont utilisées par les systèmes de gestion et pour la sécurité de l’information)

• SAS 70 & ISAE 3402

• SOC 3 SysTrust/WebTrust Audit & Assurance

• FIPS 140-2

• Évaluation de Sécurité Réseau (directive 97/66/CE)

• UE et Suisse Certification Critères Communs (CC) normes ISO 15408

• Protection des données personnelles G29 (CNIL)

(source Difenso)

 


 

BONUS :

http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

https://www.difenso.com/fr/solution/services/


 

DPO News-2017
 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information