#RGPD #privacy #datasecurity Messageries chiffrées : bras de fer entre le politique et l'ingénieur

 

Messageries chiffrées : bras de fer entre le politique et l'ingénieur

 

Phot-JPB-DPO NEWS

@jpbichard

 

 

« Backdoors d’État » contre vie privée voire intime de milliards d'internautes : le débat fait rage entre défenseur de l’intégrité des solutions cryptographiques et certains candidats à l'élection présidentielle française. État des lieux sur un enjeu majeur tant pour la sécurité nationale que pour la protection de nos vies numériques.

Récemment, à moins de deux semaines du premier tour des élections présidentielles en France, un candidat à l’Élysée (cf ; Photo ci-dessous) déclarait lors d'une conférence de presse le 10 avril à Paris: « Les organisations qui nous menacent abusent des facilités offertes par la cryptologie moderne pour dissimuler leurs projets. Ils utilisent des messageries instantanées, fortement « cryptées » (chiffrées en bon français note de la rédaction). Les grands groupes de l'internet ont refusé de communiquer leurs clés de chiffrement ou de donner accès au contenu au motif qu'ils ont garanti contractuellement aux clients que leurs communications étaient protégées, cette situation est inacceptable ».

Situation jugée donc « inacceptable » selon le candidat Emmanuel Macron (mais il n'est pas isolé dans les classes politiques européennes). Reste que l'aménagement de portes dérobées pour certains services ne l'est pas plus acceptable pour bon nombre d'experts techniques qui obtiennent par ailleurs le soutien de la CNIL ou de l'ANSSI (Agence nationale de la sécurité des systèmes d’information).

Bref le débat existe. Tentons d'y voir clair en décodant... sans rien trahir. La cryptologie rappelons-le incarne par l'étude du chiffrement la « science du secret ». Le chiffrement est une discipline qui comporte différentes facettes comme la cryptographie - protection par le chiffrement - et la cryptanalyse ou comment casser un code chiffré pour faire simple.

Revenons à ces fameuses « backdoors d'Etat » et les problèmes techniques voire sociétaux qu'elles posent. Techniquement d'abord : peut-on aménager ce type de portes dérobées (ou backdoors) pour laisser des « services » accéder aux données stratégiques pour la défense et la sécurité des États ?

Les experts soutiennent que c'est techniquement peu réalisable. En clair un flux de données est chiffré ou il ne l'est pas. Au niveau de la finalité d'une telle option, placer des solutions de type « backdoors d'Etat » « c'est en conséquence affaiblir des systèmes cryptographiques qui par nature doivent êtres forts » expliquent les ingénieurs. D'autres experts en cryptologie soulignent que l'on peut comparer la situation à une clé glissée sous le paillasson devant... une porte blindée. Dans ce cas, un autre paramètre s'invite: le hasard. Qui va trouver la clé ? Est-on certain que celui qui utilisera la clé appartient à un service « autorisé » ? Comment contrôler que l'utilisateur de la clé est un « gentil » ou un « méchant » ?

 

 

Pourquoi affaiblir les systèmes cryptographiques ?

Au niveau des Ministères de l'Intérieur, Euractiv (2) site officiel européen, note que le ministre de l’Intérieur allemand, Thomas de Maizière, a déclaré, en compagnie de Matthias Fekl, son homologue français, vouloir que les administrations des deux pays puissent demain « intercepter » les données (data chiffrées) comme aujourd'hui les appels vocaux en s’adressant aux opérateurs télécoms.

A la Commission européenne sur ce dossier sensible « trois ou quatre options » sont attendues pour juin 2017. Comme le relève Numérama, la commissaire européenne en charge de la justice, Věra Jourová, précise « que les solutions poussées par les décideurs politiques ne correspondent pas à une vision « européenne » du dossier. Ce n’est pas de cette manière que nous pouvons aider et assurer la sécurité des Européens ». On le voit, garantir la sécurité de la vie privée des citoyens tout en bénéficiant pour les services officiels de davantage d’accès à des informations « claires » s'avèrent complexe également au plan diplomatique. En gros, sur ce dossier la position européenne se situe entre celle du politique et celle de l'ingénieur.

Coté pays membres, Pays-Bas et Allemagne souhaitent conserver un haut niveau de protection, là où des pays comme la France et le Royaume-Uni, suggèrent un « affaiblissement légal » des mesures de sécurité (comprenez revoir les solutions de cryptographie).

Pour la législation actuelle, si la clé est détenue par l’éditeur de l’application comme pour les opérateurs télécoms, la loi prévoit une obligation de fournir les « conventions permettant le déchiffrement des données ». Dans ce cas - messageries non chiffrées « de bout en bout » - les opérateurs qui détiennent les clés de déchiffrement ont l’obligation de la livrer, voire même de déchiffrer eux-mêmes. Pour l'autre option, celle du chiffrement de « bout en bout » propre aux utilisateurs de services de messageries sécurisées comme Whatsapp ce sont les utilisateurs qui génèrent leur propre clé pour chiffrer et déchiffrer leurs messages. Dès lors, toute la problématique est concentrée au niveau du possesseur de la clé qui elle rappelons-le peut parfois se trouver sous le paillasson... 

Rappelons pour la culture technique de certains hommes politiques en particulier que les messageries sécurisées reposent sur un système asymétrique: les clefs ne sont donc pas les mêmes pour chiffrer et déchiffrer les messages. Impossible d'intervenir « en amont » ou « en aval » pour lire les données. En fait ce sont deux philosophies qui apparaissent avec l'usage de messageries « semi-publiques» (clé en possession des opérateurs) et l'usage de messagerie « semi-privées » (clé en possession des utilisateurs).

Parmi les acteurs de services de messageries « semi-privées », on trouve Whatsapp soit plus d'un milliard d'utilisateurs dans le monde et...60 milliards de messages chiffrés échangés chaque jour.  D'autres fournisseurs occupent également ce marché comme Telegram et quelques autres. Tous gèrent une technologie ou la clé de chiffrement et de déchiffrement n’est détenue que par l’utilisateur et son interlocuteur.

Le cœur du débat sur le respect de la vie privée se trouve là. Les politiques veulent aller plus loin que les ingénieurs qui dans leur grande majorité défendent les systèmes cryptographiques sans vouloir les affaiblir. Le pouvoir politique veut aussi soumettre le pouvoir des GAFA et de nombreux autres acteurs de l'économie numérique. Outre les industriels de la Silicon Valley, les politique devront faire face (on peut l'espérer) à... la loi. En effet, le législateur ne peut contraindre l'utilisateur a livré sa clé. Cette approche est condamnée par le droit international sur les des droits de l’homme. Un « détail » que certains politiques semblent oublier... Numérama rappelle qu'au plan individuel, des dissidents politiques utilisent ces messageries « sécurisées » pour échapper à la surveillance d’États autoritaires. Bref, il n y a pas que des terroristes qui utilisent ces services de messageries privées sécurisées.

  

Deux pistes de réflexion sont à l'étude

La première idée défendue par une partie de la classe politique européenne, c'est l’interdiction pure et simple des messageries qui pratiquent un chiffrement de « bout en bout », ce qui est irréaliste puisqu’il y aura toujours des développeurs pour en créer de nouvelles solutions d'échanges. Si une telle une interdiction intervenait, elle serait de surcroît difficile à  mettre en oeuvre car elle impliquerait vraisemblablement et arbitrairement la fermeture des services de WhatsApp, Telegram, Signal, iMessage...

La seconde option présente dans certains programmes politiques, on l'a expliqué, c'est d’obliger les hébergeurs de services de messagerie à intégrer des portes dérobées (backdoors), ce qui ne sera pas simple à mettre en œuvre voire impossible comme l'affirment les experts pour les applications « chiffrées de bout en bout ». De plus, cette approche ne règle pas un autre problème sécuritaire : le risque que ces accès secrets soient trouvés et exploités par d'autres Etats voire des... terroristes. Du coup, le « politique » l'UE et d'autres organisations porteraient une lourde responsabilité dans cette approche de légalisation des « backdoors d'Etat » sans pour autant régler le problème de l'usage des messageries sécurisées par les terroristes. Les populations d'internautes pouraient aussi ne pas comprendre ces stratgies "liberticides" d'atteinte à leurs données privées. 

Reste que le problème n'est pas simple à résoudre. Ainsi, bon nombre d'informations publiées par des médias d'origine US affirment que la CIA parviendrait déjà à contourner les applications sécurisées de WhatsApp et Telegram avant qu'elles ne soient chiffrées (1). Étrange mais... pas impossible si ce n'est totalement illégal. Dans ce cas, l'agence américaine comme d'autres exploiterait des vulnérabilités, nombreuses sur les solutions de sécurité installées et pas toujours signalées par ceux qui peuvent discrètement les exploitées.

@jpbichard

 

Dernière mise à jour:

http://cyberisques.com/83-categorie-3/661-dpo-news-cyberisques-chiffrement-la-lettre-du-conseil-national-du-numerique-au-ministre-de-l-interieur

 

Chiffrement-CNN-Avril-2017

 

1 - http://www.francetvinfo.fr/faits-divers/affaire/assange/wikileaks-revele-que-la-cia-peut-espionner-via-des-smartphones-ou-des-teles-connectees_2086479.html#xtor=AL-79-[article]-[contenu]

2 -http://www.euractiv.fr/section/innovation-entreprises/news/messageries-chiffrees-la-france-et-lallemagne-demandent-a-leurope-dagir/

 

* Jean Philippe Bichard 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

 

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_News consacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les IT Managers et DPO. 

 

This email address is being protected from spambots. You need JavaScript enabled to view it.

 

@cyberisques @jpbichard @DPO_NEWS

 

 

#RGPD Communication Corporate: RGPD : le chiffrement ESET, meilleure solution selon AV-Comparatives

Communication Corporate ESET

 

 

 

Communiqué de presse

Vendredi 07 avril 2017


RGPD : le chiffrement ESET, meilleure solution selon AV-Comparatives

 

En prenant en considération l'importance de la sécurisation des données, notamment avec l’arrivée du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais), AV-Comparatives® a pour la première fois effectué un test de solutions de chiffrement. Le laboratoire définit ESET® comme la référence à suivre en matière de chiffrement, considérant le produit DESlock+® Pro comme performant et simple à configurer pour les PME et ETI.

 

Le chiffrement des disques durs et des supports amovibles doit être considéré comme l’une des plus importantes mesures de sécurité pour toutes les entreprises, quelle que soit leur taille. En effet, l’Union européenne a récemment introduit de grands changements règlementaires en publiant le RGPD qui sera applicable en mai 2018. Ce texte identifie le chiffrement comme solution à la protection des données. Malgré l’imminence de son application et l’importante tâche que représente cette mise en conformité, IDC® affirme que 21% des PME et ETI ne sont pas préparées à la nouvelle règlementation et 59% travaillent encore à l’être.

Pour son premier test de solutions de chiffrementAV-Comparatives considère ESET DESlock+ Pro comme le produit leader à destination des PME et ETI. Selon les résultats, DESlock+ Pro se classe au-dessus des quatre autres produits testés. Le rapport confirme que la solution d’ESET permet aux PME et ETI d’avoir accès à une gamme complète d’options de chiffrement, devenant ainsi la référence du marché.

 

Guider-2017

 

« Nous sommes impressionnés par les capacités de DESlock+ Pro d'ESET et nous la considérons comme la solution la plus performante pour les PME et ETI qui cherchent une solution de chiffrement efficace et conviviale, » déclare Andreas Clementi, CEO d'AV-Comparatives.

« Les PME et ETI n’ont jamais eu autant besoin d’offres de qualité en matière de chiffrement que maintenant. En effet, avec l’arrivée du RGPD, protéger efficacement les données personnelles passe par une solution de chiffrement. Nous sommes fiers de proposer une solution de premier plan destinée aux PME et ETI, reconnue comme innovante par AV-Comparatives, » déclare David Tomlinson, Manager of DESlock business unit chez ESET. « Nous avons développé des solutions de chiffrement efficaces et accessibles spécialement conçues pour les PME et ETI, non seulement pour nous assurer qu'elles respectent les règles de sécurité des données imposées par le RGPD, mais aussi pour protéger les entreprises et leurs données les plus sensibles ».

BONUS: 

https://encryption.eset.com/fr/

 

 

Symantec Endpoint Protection 14 : Symantec parie sur la protection multicouche pour rendre plus autonomes les devices

Communication corporate: 

 

Symantec dévoile Symantec Endpoint Protection 14

et redéfinit l'avenir de la sécurité des terminaux

 

 

Paris-La-Défense – 2 novembre 2016  Symantec Corp. (NASDAQ : SYMC), leader mondial de la cyber-sécurité, annonce le lancement de Symantec Endpoint Protection 14 (SEP14), qui se révèle être plus qu’une nouvelle version de sa solution innovante de protection des terminaux. En intégrant l'intelligence artificielle à la fois au niveau du cloud et du terminal, SEP14 est la première solution du marché à intégrer dans un agent unique des technologies de protection des terminaux essentielles, des fonctions avancées de Machine Learning et de réduction des exploits au niveau de la mémoire. Cette protection multicouche permet de protéger contre les attaques sophistiquées au niveau des terminaux et d’organiser la réponse, quel quoi soit le mode opératoire de l’attaque.

 

 

SEP14 est une solution légère offrant une protection puissante. La solution se distingue par un taux d'efficacité de 99,9 %, un nombre de faux positifs limité et une empreinte réduite de 70 % par rapport à la précédente génération grâce à de nouvelles fonctions avancées d'analyse basée sur le cloud. En conjuguant sa télémétrie de sécurité et de détection des menaces avec celle de Blue Coat, Symantec protège désormais 175 millions de terminaux (entreprises et particuliers), 163 millions d'usagers de la messagerie électronique et 80 millions d'utilisateurs de proxy web, tout en traitant quotidiennement près de huit milliards d’événements de sécurité sur l’ensemble de ces produits.

 

 

 

Forrester-2016-Endpoint

 

 

 

 

« Avec Symantec Endpoint Protection 14, la protection des terminaux fait un formidable bond en avant en intégrant, sur une seule plateforme, les dernières innovations en termes de sécurité », déclare Mike Fey, Président et Chief Operating Officer de Symantec. « Mettant à profit l'intelligence artificielle, le cloud et le plus vaste réseau civil de surveillance des menaces au monde, cette technologie multicouche constitue le meilleur choix pour protéger les terminaux. Symantec Endpoint Protection 14 est une composante clé de la stratégie de cyberdéfense intégrée que les entreprises doivent déployer pour lutter contre les attaques avancées. »

 

 

Les entreprises sont confrontées à de nouvelles menaces qui se diffusent à un rythme effréné et atteignent un niveau de sophistication sans précédent. En 2015, Symantec avait détecté et boqué plus de 430 millions nouveaux programmes malveillants — un chiffre qui devrait encore augmenter cette année. Symantec Endpoint Protection 14 intègre un agent unique et des fonctions de gestion qui permettent de faire face aux menaces de manière inédite : 

 

 

  • Le Machine Learning avancé utilisant les données du réseau mondial de surveillance des menaces de Symantec (le « Symantec Global Intelligence Network ») lui confère un niveau d’information inégalé ;
  • L'intégration avec l'infrastructure en place via les API publiées permet de gérer facilement plusieurs milliers de terminaux à différents endroits et sur divers systèmes d'exploitation et plateformes ;
  • L'accès à la technologie cloud de détection intelligente des menaces de Symantec réduit de 70 % les mises à jour quotidiennes des fichiers de définition, ce qui améliore considérablement la disponibilité de la bande passante sur le réseau de l'entreprise ;
  • L'intégration avec la solution Symantec Advanced Threat Protection permet de détecter et gérer les attaques furtives sur les terminaux à l'aide d'un agent unique ;
  • La protection simultanée des terminaux et du réseau des clients est assurée grâce à l'intégration étroite de SEP14 avec la passerelle web sécurisée de Blue Coat, Blue Coat Secure Web Gateway.

 

Selon le rapport Forrester Wave 2016 sur les suites de sécurité pour les terminaux, « Symantec propose la suite de sécurité de terminaux la plus complète sur le marché. Les puissantes solutions de sécurité de Symantec comprennent une gamme de fonctions de prévention, de détection et de remédiation. Presque toutes les surfaces d'attaque possibles sont couvertes lorsque les acheteurs utilisent toute l'étendue de ce portefeuille. »

 

 

Tarifs et disponibilité

Symantec Endpoint Protection 14 est d'ores et déjà disponible dans le monde entier. Pour en savoir plus, cliquez ici.

 

 

Ressources :

Avec plus de 300 000 clients, Symantec est l'un des leaders de la protection des données des entreprises. Grâce aux données collectées sur plus de 175 millions de points de contrôle, le Symantec Global Intelligence Network offre une visibilité sur les menaces à une échelle réellement mondiale.

 

 

  • Magic Quadrant de Gartner : Symantec a été classé parmi les leaders des plateformes de protection des terminaux¹ dans le Magic Quadrant de Gartner ;

 

  • La solution Symantec Endpoint Protection a été reconnue comme leader dans le rapport 2016 de Forrester Wave sur les suites dédiées à la protection des terminaux² ;

 

  • SC Magazine : SEP 14 a obtenu les meilleurs scores dans SC Magazine, qui en recommande l'achat ;

 

 

 

 

BONUS: 

 

https://www.symantec.com/ ou sur les réseaux sociaux Facebook, Twitter et LinkedIn.

1Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Eric Ouellet, 1er février 2016, Gartner

2The Forrester Wave™: Endpoint Security Suites, Q4 2016, Chris Sherman, 19 octobre 2016, Forrester

 

 

#Cyberisques : Sophos: tendances actuelles et émergentes pour la cybersécurité en 2017

Communication Corporate: Paris, 22 décembre 2017

 

Sophos : tendances actuelles et émergentes pour la cybersécurité en 2017

 

 

C-4

Photo Cyberisques 2016


 
 L’année 2016 a été marquée par un grand nombre de cyberattaques très diverses, allant d’attaques de type DDoS par le bais de caméra de sécurité connectées, jusqu’au supposé piratage de partis politiques durant les élections américaines. Nous avons aussi constaté une forte augmentation des fuites de données, aussi bien au niveau des petites que des grandes organisations, avec des pertes significatives de données personnelles des utilisateurs. En cette fin d’année, nous réfléchissons donc aux directions que vont prendre ces tendances en 2017.
Les tendances actuelles et émergentes :
 
Les attaques destructives de type DDoS utilisant les objets connectés vont augmenter.


En 2016, Mirai a montré le potentiel destructeur important que pouvaient avoir les attaques DDoS, du fait notamment du manque de sécurité des objets connectés. Les attaques de Mirai exploitaient seulement un faible nombre d’équipements et de vulnérabilités, en utilisant des techniques simples pour deviner les mots de passe. Cependant, d’autres cybercriminels n’auront aucun mal à étendre la portée de ce type d’attaque, du fait du nombre considérable d’objets connectés contenant des codes obsolètes, ainsi que des applications et systèmes d’exploitation non mis à jour contenant souvent des vulnérabilités bien connues. Il faut s’attendre à une utilisation plus systématique des exploits présents au sein des objets connectés et de techniques avancées permettant de deviner les mots de passe, pour compromettre une plus grande variété d’objets connectés, afin de mener des attaques de type DDoS ciblant d’autres équipements connectés à votre réseau.


 
Les attaques ciblées d’ingénierie sociale seront plus sophistiquées.


Les cybercriminels sont de plus en plus expérimentés pour exploiter la première des vulnérabilités : l’être humain.  Des attaques ciblées de plus en plus sophistiquées et convaincantes cherchent à duper et à amadouer les utilisateurs, afin de les pousser à se mettre en danger eux-mêmes. Par exemple, il est courant de voir des emails s’adressant à leurs destinataires par leurs noms et qui prétendent que ces deniers ont une dette impayée, que l’expéditeur en question serait autorisé à collecter. La peur, l’intimidation et les menaces de recouvrement au nom de la loi, sont des tactiques très utilisées et assez classiques. L’email en question vous redirige alors vers un lien malveillant, sur lequel les utilisateurs cliquent dans la panique, amorçant alors l’attaque. De telles attaques par hameçonnage (phishing), ne peuvent plus être détectées à la lecture par de simples erreurs grossières commises par les cybercriminels.


 
Les infrastructures financières deviendront des cibles privilégiées.


Les attaques ciblées de phishing, et particulièrement celles ciblant les dirigeants (whaling), vont continuer de croître. Ces attaques utilisent des informations détaillées concernant les dirigeants d’entreprises, afin de duper les employés et les inciter à envoyer de l’argent à des cybercriminels, ou à compromettre certains comptes bancaires. Nous nous attendons aussi à voir davantage d’attaques ciblant des infrastructures financière sensibles, telles que l’attaque ayant pris pour cible les institutions connectées au système SWIFT, qui a coûté à la banque centrale du Bangladesh 81 millions $, en février dernier. SWIFT a récemment admis que d’autres attaques de ce type avaient eu lieu, et qu’il s’attendait à en voir davantage en déclarant, dans une lettre adressée aux clients de la banque : « La menace est très persistante, adaptative et sophistiquée. Il faut s’attendre à ce qu’elle continue de sévir. ».


 
L’exploitation de l’infrastructure intrinsèquement non sécurisée d’Internet va se poursuivre.


Tous les internautes font encore confiance à de vieux protocoles fondateurs, que leur omniprésence empêche de réorganiser ou de remplacer. Ces protocoles archaïques qui ont pendant longtemps été les piliers de l’Internet et des réseaux professionnels sont aujourd’hui fragilisés, parfois d’une manière surprenante. Par exemple, les attaques contre BGP (Border Gateway Protocol) auraient pu, en théorie, perturber ou même mettre hors service une bonne partie du Web. Les attaques DDoS visant Dyn en octobre dernier (lancées depuis une multitude d’objets connectés) ont mis hors service un fournisseur majeur de services DNS, et ont de ce fait rendu inaccessible une partie de l’Internet. Il s’agissait de l’un des plus importants assauts jamais observés, et ceux à l’origine de ces attaques ont déclaré qu’il s’agissait seulement d’un coup d’essai. Les fournisseurs d’accès Internet et les entreprises peuvent bien évidemment prendre des mesures pour se protéger, mais pourraient trouver difficile d’éviter tous les dégâts importants potentiellement causés par des individus ou des états qui auront choisi d’exploiter les failles de sécurité les plus profondes du Web.


 
La sophistication des attaques va augmenter.


Le nombre d’attaques continue à augmenter, avec une sophistication croissante des techniques et de l’ingénierie sociale, qui reflète une analyse minutieuse et répétée des organisations et des réseaux de leurs victimes. Les cybercriminels peuvent compromettre de nombreux serveurs et stations de travail bien avant de commencer à voler des données ou agir de façon plus agressive. Ces attaques, en général pilotées par des experts, sont plus stratégiques que tactiques, et peuvent au final causer des dommages considérables. Il s’agit ici d’un monde très différent des attaques par malwares programmés et automatisés dont nous avons l’habitude. C’est un monde où la stratégie et la patience jouent un rôle beaucoup plus important pour échapper aux détections.


 
De plus nombreuses attaques utiliseront des outils d’administration intégrés.


Nous voyons davantage d’exploits basés sur PowerShell, le langage et kit de développement de Microsoft pour l’automatisation des tâches administratives. En tant que langage de script, PowerShell contourne les détections visant les exécutables. Nous voyons également plus d’attaques utilisant des tests de pénétration et d’autres outils d’administration existants, sans qu’ils soient à priori infiltrés et en général suspectés. Ces outils puissants demandent une vigilance toute particulière et des contrôle plus robustes.


 
Les ransomwares vont continuer à progresser.


Comme de plus en plus d’utilisateurs sont conscients de l’existence du risque d’attaques par ransomware via les emails, les cybercriminels exploitent d’autres vecteurs. Certains expérimentent des malwares qui infectent à nouveau le système ultérieurement, longtemps après que la rançon ait été payée. D’autres commencent à utiliser des outils intégrés, à la place de malwares exécutables, afin d’éviter d’être détectés par les solutions de protection Endpoint qui se focalisent sur des fichiers exécutables. De récents exemples ont proposé de déchiffrer les fichiers de leurs victimes si elles acceptaient de diffuser le ransomware vers deux autre contacts, et que ces personnes acceptent de payer. Les ransomwares commencent également à utiliser des techniques autres que le chiffrement, par exemple en détruisant ou corrompant les en-têtes de fichiers. Qui plus est, avec le grand nombre de ransomwares qui persistent sur le Web, les utilisateurs peuvent se retrouver victimes d’attaques sans espoir de pouvoir payer en dernier recours, car le système de paiement ne fonctionne plus.

 

Des attaques visant des objets personnels connectés vont émerger.


Les utilisateurs d’objets connectés domestiques s’imaginent rarement que leur veilleuse écoute-bébé puisse être piratée pour attaquer des sites internet. Cependant, dès qu’un pirate contrôle un équipement connecté à un réseau domestique, il peut plus facilement pirater d’autres équipements de ce réseau, tels que des ordinateurs portables contenant des données personnelles sensibles. Nous nous attendons à voir plus d’attaques de ce genre, ainsi que des attaques impliquant des caméras vidéo ou des microphones afin d’espionner les foyers. Les cybercriminels trouvent toujours un moyen de tirer profit de leurs attaques.


 
Le malvertising et la corruption des écosystèmes de publicités en ligne vont s’étendre.


Le malvertising, qui fonctionne en répandant des malwares sur les réseaux publicitaires et les pages web, existe déjà depuis plusieurs années. Cependant, nous avons pu observer en 2016 une recrudescence de ce phénomène. Ces attaques mettent en évidence des problèmes plus importants au sein de l’écosystème des publicités en ligne, telle que la fraude au clic, qui génère des clics payants et ne correspondent pas en réalité aux véritables centres d’intérêts de l’internaute. Le malvertising a engendré la fraude au clic, mettant les utilisateurs en danger et abusant les annonceurs par la même occasion.


 
La diffusion du chiffrement entraînera des problèmes collatéraux.


Le chiffrement se diffuse très largement et il est devenu plus difficile pour les solutions de sécurité d’inspecter le trafic, facilitant ainsi la vie des cybercriminels qui cherchent à s’infiltrer sans être repérés. Sans surprise, les cybercriminels utilisent le chiffrement de manière créative. Les produits de sécurité vont devoir rapidement intégrer les protections réseaux et client afin de pouvoir détecter des évènements pouvant affecter la sécurité après que le code ait été déchiffré au niveau des systèmes Endpoint.


 
Les cybercriminels s’intéresseront aux exploits des systèmes virtualisés dans le Cloud.


Les attaques contre des composants physiques (exemple de Rowhammer) ouvrent la voie à de nouveaux exploits potentiellement dangereux contre des systèmes cloud virtualisés. Les cybercriminels peuvent abuser d’un hôte ou bien d’un invité sur un système hôte partagé, attaquer la gestion des privilèges et potentiellement accéder aux données de tiers. De plus, comme Docker et les écosystèmes de conteneurs logiciels (« serverless ») deviennent de plus en plus populaires, les cybercriminels vont certainement se mettre à chercher des failles à exploiter dans le cadre de cette nouvelle tendance des systèmes d’information. Nous nous attendons donc à voir des tentatives actives pour rendre de telles attaques opérationnelles.


 
Des attaques techniques visant les Etats et les populations apparaîtront. 

Les attaques technologiques sont devenues hautement politiques. Les populations doivent faire face à des risques grandissants en matière de désinformation (« les fausses nouvelles ») et concernant les systèmes de vote. Par exemple, les experts ont démontré l’existence d’attaques permettant à un électeur, au niveau local, de voter de manière répétitive sans aucune détection. Même si les Etats n’organisent jamais d’attaques contre leurs adversaires aux élections, le sentiment que ce type d’attaques puisse exister est en soi une arme puissante.


 
Que peuvent faire les organisations pour se protéger contre ces nouvelles menaces ?


Malheureusement, encore trop d’organisations n’ont toujours pas mis en place les mesures de bases en matière de cybersécurité. Voici six mesures que les organisations devraient mettent en place pour tenir ces menaces à distance.


 
Passez d’une sécurité par couches à une sécurité intégrée.


Beaucoup d’organisations possèdent à présent de nombreuses solutions, qui à l’époque étaient les meilleurs choix possibles, mais qui aujourd’hui s’avèrent coûteuses et difficiles gérer. En vous orientant vers des solutions intégrées, où les divers éléments communiquent entre eux et travaillent ensemble, vous pourrez résoudre ce problème. Par exemple, si un malware désactive le logiciel de protection d’un système Endpoint, la sécurité réseau le détectera et pourra automatiquement mettre l’équipement en quarantaine, réduisant ainsi les risques encourus pour tout votre réseau.


 
Déployez une protection de dernière génération sur vos systèmes Endpoint.


Comme les ransomwares sont de plus en plus présents et les systèmes Endpoint de plus en plus variés, les organisations doivent changer leur vision en matière de cybersécurité. Les solutions à base de signatures ne sont plus suffisantes seules, et peuvent prêter le flanc à des attaques de type zero-day. Choisissez des solutions qui détectent et vous protègent contre les techniques et les approches utilisées par la plupart des exploits.


 
Etablissez les priorités de votre stratégie de sécurité en vous basant sur les risques encourus.


Aucune organisation ne possède les ressources suffisantes pour se protéger systématiquement contre toutes les menaces et le rêve d’une prévention efficace à 100% n’est plus réaliste. Aussi, il faut clarifier les risques associés à chaque système et focaliser vos efforts en conséquence. Les risques changent rapidement : choisissez des outils qui permettent de les suivre de manière dynamique et de répondre de manière appropriée. Cependant, assurez-vous que ces outils soient aussi faciles et pratiques à utiliser.


 
Automatisez les fondamentaux.


Vous ne pouvez pas vous permettre de perdre votre temps en éditant toujours les mêmes rapports et en réalisant répétitivement les mêmes actions de sécurité que vous avez déjà effectuées. Automatisez dès que possible, de manière simple et facile, afin de pouvoir dédier vos ressources limitées aux risques les plus importants et aux tâches à forte valeur ajoutée.


 
Mettez en place des équipes et des processus pour contrer les attaques par ingénierie sociale.


Depuis que les attaques par ingénierie sociale prédominent, l’éducation des utilisateurs et leur implication dans la prévention sont devenues encore plus importantes. Concentrez-vous sur l’éducation et la sensibilisation aux menaces que chaque groupe est susceptible de rencontrer. Assurez-vous que ces conseils soient bien à jour : des conseils obsolètes concernant des sujets tels que le phishing peuvent réellement être contreproductifs, offrant ainsi un faux sentiment de sécurité.


 
Améliorez la coordination de votre défense.


Le cybercrime est un crime organisé : la défense doit l’être aussi. Cela signifie qu’il faut choisir des outils et des processus qui réduisent au maximum les barrières au sein de l’organisation, de manière à favoriser les réponses rapides et coordonnées de tous face une attaque. Cela signifie également la recherche des opportunités pratiques et légales de collaboration avec d’autres entreprises et avec le gouvernement, afin de minimiser les attaques les plus répandues et apprendre de celles qui ont déjà frappé.

 

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

This email address is being protected from spambots. You need JavaScript enabled to view it.

#Cyberisques

 

 

 

 

 


 

 

ESET au Gartner Security & Risk Management: annonce d'une nouvelle version crypto-ransomware TorrentLocker

Communication PR Corporate: 

 

ESET découvre une nouvelle version du crypto-ransomware TorrentLocker

 

Aujourd'hui et demain aura lieu le sommet « Gartner Security & Risk Management » à Londres. ESET dévoilera ses dernières technologies dédiées aux entreprises, répondra aux menaces informatiques face à l’augmentation rapide des ransomwares et discutera des questions politiques liées à l’industrie (en particulier les règles de confidentialité et de chiffrement des données au sein de l’UE).

L’un des sujets brûlants qui sera mis en évidence lors du sommet Gartner est la croissance rapide des crypto-ransomwares, qu’ESET abordera au moyen de deux systèmes de détection et de recherches approfondies. « L’une des nuisances principales de nos jours est le ransomware. De nombreux utilisateurs ne se protègent pas correctement et ne prêtent pas suffisamment attention aux risques existants en ligne », affirme Juraj Malcho, Chief Research Officer chez ESET et qui sera présent au sommet Gartner.

L’autre point fort abordé concernera le RGPD. « La protection des données est un élément clé de la règlementation européenne qui rend obligatoire pour les entreprises de protéger correctement les données personnelles. Les produits et la technologie ESET sont bien équipés pour traiter des aspects essentiels de la règlementation : des mesures techniques particulières assurent la sécurité, l’intégrité et la confidentialité des données personnelles grâce à nos produits de chiffrement, d’authentification et de sécurité des terminaux », explique Benoît Grunemwald, Directeur des Opérations chez ESET France.

 

TorrentLocker, le crypto-ransomware ciblant des pays spécifiques, a reçu des améliorations le rendant plus difficile à traquer et à analyser. Il fournit également des mesures supplémentaires pour éviter d’attaquer les utilisateurs venant des pays sélectionnés.

Analysé par ESET en 2014, le crypto-ransomware TorrentLocker est toujours actif et, grâce à la façon dont il choisit ses victimes potentielles via des spams ciblés, n’attire pas l’attention que l’on prête généralement aux crypto-ransomwares. Cependant, les chercheurs ESET ont continué de garder un œil sur ce malware.

« Le gang derrière TorrentLocker semble toujours être de la partie. Les cybercriminels ont amélioré leurs tactiques et ont apporté progressivement des innovations au ransomware tout en veillant à rester sous les radars », explique Marc-Etienne Léveillé, ESET Malware Researcher.

TorrentLocker se présente sous la forme d’un e-mail qui encourage à ouvrir le document joint (prétendant un projet de loi ou un code suivi). Si le document infecté est téléchargé et ouvert par l’utilisateur, TorrentLocker s’exécute. Il débute alors une communication avec le serveur C&C et chiffre les fichiers de la victime.

Une caractéristique bien connue de TorrentLocker réside dans la localisation du téléchargement, de la rançon et des pages de paiement. Les victimes reçoivent ensuite des informations dans leur propre langue et dans leur monnaie locale.

Les améliorations apportées récemment à TorrentLocker portent sur les mécanismes de protection des utilisateurs d’Internet dans les pays sélectionnés.

En contactant les serveurs C&C, TorrentLocker attaque la protection du serveur C&C via une couche supplémentaire de chiffrement tout en réduisant le rôle des mécanismes de chiffrement propres aux utilisateurs.

L’une des améliorations notables de cryptolocker est aussi l’ajout d’un script dans la chaîne menant au fichier « .exec » infecté.

« Le lien contenu dans le message de l'e-mail infecté dirige désormais vers un script PHP hébergé sur un serveur compromis. Ce script vérifie si le visiteur est situé dans le pays visé et, si oui, redirige vers la page où le malware sera téléchargé. Sinon, le visiteur est redirigé vers Google », explique Marc-Etienne Léveillé.      

En analysant le malware et ses campagnes, les chercheurs ESET ont constaté que 22 pays ont reçu une version localisée de la page de rançon ou de paiement. Cependant, 7 d’entre eux n’ont pas été touchés jusqu’à présent par une campagne massive de spams TorrentLocker : La France, le Japon, le Portugal, la République de Corée, Taïwan et la Thaïlande.

Les détails concernant le crypto-malware TorrentLocker sont disponibles sur WeLiveSecurity.

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information