Vols massifs : réflexions d'experts sur le cas Yahoo!

 

 

Vols massifs : réflexions d'experts sur le cas Yahoo!

 

 

Jeremiah Grossman, Responsable de la Stratégie de Sécurité chez SentinelOne (précédemment « infosec officer » chez Yahoo! pendant deux ans) :

·         Yahoo!, comme quelques autres grandes entreprises, a des réseaux vastes et tentaculaires comptant des centaines de milliers d'utilisateurs. Cela représente une énorme surface d'attaque pour quiconque souhaite se protéger efficacement, tout le temps. De ce fait, il n’est pas surprenant que des incidents même de cette ampleur, ait lieu. Yahoo! n’est certainement pas le premier, et il ne sera pas le dernier.



·         En raison de la taille de Yahoo!, le groupe a souvent dû compter sur des solutions technologiques propriétaire car, historiquement, peu de produits sur le marché sont capables d’évoluer pour répondre aux exigences de leur système. Il se pourrait que cette approche ait créé des lacunes au sein de leur programme de sécurité car Yahoo! n’est pas en mesure d'utiliser les produits de sécurité de pointe conçus pour contrecarrer les menaces actuelles.

·         Il y a encore beaucoup de questions sans réponse pour le moment, la plus grande étant que si nous savons que les informations ont été volées fin 2014, en revanche nous ne disposons d'aucune indication quant au moment où Yahoo! a appris ce piratage. Ceci est un détail important dans cette histoire quand on lit certaines critiques.

·         De plus, il y a des points auxquels il faut répondre notamment la déclaration de Yahoo! disant que le piratage aurait été effectué sous l’égide d’un État. Les attaquants opérants pour un État ne partagent généralement pas publiquement des données volées, ni ne les vendent, comme c’est le cas avec le groupe de pirates "Peace of Mind" qui cherche à faire des profits. Peace of Mind était sur le point de vendre les données qu’il a dérobé à Yahoo!, il est donc peu probable qu'il ait été parrainé par un État. Et si toutefois c’était le cas, cela pourrait signifier que nous pourrions avoir potentiellement affaire à deux cas de piratage différents de Yahoo! avec deux groupes de pirates qui auraient accédé à leur système.



·         En termes de motivation visant à expliquer pourquoi un État pourrait cibler Yahoo!, il y a des parallèles entre cette affaire et les attaques ayant ciblées Google en 2010 lors de l’opération Aurora. Je dirais que l'État belligérant qui ciblerait des réseaux tels que ceux de Yahoo! le ferait parce que le groupe représente une source précieuse d'informations sur la stratégie potentielle de votre adversaire. Si vous êtes un État et que vous souhaitez déterminer si l'un de vos espions en activité a été découvert, vous mettez des robinets sur Google, Yahoo!, Microsoft, etc. plutôt que sur les réseaux gouvernementaux. Bien sûr, il y a toujours la motivation de pouvoir nommer des dissidents politiques.

·         Il y a beaucoup de mauvais conseils envoyés aux utilisateurs affectés. Alors que Yahoo! n'a aucune preuve que les attaquants soient encore actuellement dans le réseau, à titre de précaution, je recommande de changer immédiatement non seulement votre mot de passe Yahoo!, mais plus important encore, ceux des autres comptes pour lesquels vous pourriez avoir utilisé les mêmes identifiants. Les attaquants vont certainement tirer parti des identifiants dérobés pour les tester sur plusieurs services jusqu'à ce qu'ils réussissent.

 

 Joël Mollo, Directeur EMEA de Skyhigh Networks :
 
Lorsqu’un service cloud populaires tel que Yahoo est piraté, la première réaction des entreprises devrait être de vérifier le « qui, quoi, quand, et où » concernant l'utilisation de l'application et applications liées au sein de l'entreprise. Dans le cas d'un piratage de cette envergure, les entreprises se doivent d’avoir un plan d'intervention bien huilé. Tout d'abord, il convient de mesurer l'exposition que peut faire courir ce piratage à l’entreprise en identifiant le nombre d'employés utilisant ce service web. Ensuite, il faut prendre des mesures afin de prévenir les menaces immédiates en incitant les employés à changer leurs mots de passe. Enfin les entreprises peuvent envisager de bloquer temporairement le téléchargement de données sur le service concerné afin d'éviter d'autres dommages.
 
Les retombées d'une fuite de données ne s’arrêtent pas là et le plan de réponse des entreprises non plus. Les employés réutilisent souvent les mots de passe, et les pirates peuvent utiliser des mots de passe volés pour accéder à d'autres comptes. Les entreprises doivent donc mettre en œuvre des analyses comportementales pour surveiller les activités suspectes entre les comptes affectés - l'équivalent informatique de la surveillance d’un compte bancaire après un piratage.
 
Voici quelques données utilisateurs concernant les applications de Yahoo! :
 
Flickr (classé n°8 sur la liste des services cloud grand public en nombre d'utilisateurs)
• Nombre moyen d'utilisateurs en entreprise : 3 651
• Pourcentage d’entreprises avec plus de 100 utilisateurs : 82 %
 
Tumblr (classé n °13 sur la liste des services cloud grand public en nombre d'utilisateurs)
• Nombre moyen d'utilisateurs en entreprise : 2 588
• Pourcentage d’entreprises avec plus de 100 utilisateurs : 81 %
 
Yahoo! Mail (classé n°14 sur la liste des services cloud grand public en nombre d'utilisateurs)
• Nombre moyen d'utilisateurs en entreprise : 1 753
• Pourcentage d’entreprises avec plus de 100 utilisateurs : 70 %
 
Yahoo! Music
• Nombre moyen d'utilisateurs en entreprise : 406
• Pourcentage d’entreprises avec plus de 100 utilisateurs : 34 %
 
Un rapport de Digital Shadow montrait récemment que les derniers piratages de services web majeurs (comme Adobe, LinkedIn ou Myspace par exemple) induisent que pour 1 000 des plus importantes sociétés mondiales, près 5 millions d'identifiants de salariés seraient désormais à vendre sur le darknet. Les piratages d’identifiants (login et mots de passe) utilisés pour accéder à des services web ne sont donc pas aussi anodins que ce que les utilisateurs pourraient le penser. C’est d’autant plus inquiétant lorsque l’on sait que de nombreux utilisateurs ont la fâcheuse mauvaise habitude de réutiliser un mot de passe pour plusieurs applications web, y compris pour les accès à des applications d’entreprise. Cette pratique de mot de passe unique fait peser un risque non négligeable sur l’ensemble des services si jamais le mot de passe vient à être découvert. 
 
L’utilisation de mots de passe trop simples est également source de problème puisqu’ils seront faciles à deviner. C’est une tendance que nous avons constaté lorsque Skyhigh Networks a analysé 11 millions de mots de passe mis en vente sur le Darkweb et utilisés pour accéder à des services Cloud. Parmi les observations qui sont remontées :
• 10,3 % des utilisateurs choisissent un des 20 mots de passe figurant parmi les plus courants (liste ci-après). Actuellement, en moins de 20 tentatives quelqu’un est susceptible de pirater un compte sur dix en moyenne.
• La suite “123456” représente 4,1 % des mots de passe
• 79,9 % des applications cloud acceptent l’utilisation de mots de passe faibles
• 31 % des utilisateurs réutilisent leurs mots de passe pour différents services
 
Ces chiffres montrent qu’il y a encore un travail conséquent à mener en matière de sensibilisation et d'information des utilisateurs sur l’importance d’utiliser un mot de passe fort et unique pour chaque service. Les différents fournisseurs de services cloud ont également un rôle clé à jouer. Premièrement, en favorisant l’utilisation de mots de passe forts ou des services tels que la double authentification. Deuxièmement, en informant leurs clients/utilisateurs dès qu’une compromission concernant leurs identifiants est constatée. »

 

Gary Rider, Vice President Sales chez Proofpoint

L'e-mail est la première menace en termes de cybersécurité et les cyber-criminels pénètrent dans les organisations les plus importantes du monde grâce à celui-ci. La récente brèche dont a été victime Yahoo est la preuve que ces criminels ciblent tout autant les boîtes de réception de sociétés que celle de l'utilisateur lambda et ce, avec la même agressivité.
 
L'e-mail est aujourd'hui un incontournable dans notre société du tout numérique et les cyber-assaillants travaillent constamment pour l'exploiter. Il créer un lien direct entre un cyber-criminel et sa victime. Si votre boite de messages personnelle est compromise, et qu'un attaquant usurpe votre identité, vous exposez instantanément vos contacts à une menace et permettez à l’intrus de réinitialiser tous les mots de passe de vos autres comptes. Vos informations d'identification de messagerie sont vos données les plus sensibles, les cybercriminels font donc tout pour les obtenir.
 

 
Bertrand Delabrouhe, Area Vice President Southern EMEA & Mediterranean chez Imperva

La facilité d'obtenir des tonnes de mots de passes volées, ajoutée au fait que les utilisateurs continueront toujours de réutiliser les mêmes mots de passe tout simplement parce qu'ils sont humains, font que les attaques par "brute force" sont plus efficaces que jamais, forçant les fournisseurs d'applications à prendre des mesures appropriées pour protéger leurs utilisateurs.

Les données issues de l'exploitation de failles sont une marchandise précieuse pour les deux acteurs de la sécurité que sont les professionnels de la protection et les pirates qui les vendent au marché noir.

Pour prévenir les attaques par "brute force", les services de sécurité ne devraient pas compter uniquement sur les politiques de mot de passe, mais devraient prendre des mesures de détection spécifiques comme le taux de tentatives de connexion, la détection de tentatives de connexion émanent de navigateurs automatisés, traiter avec attention les tentatives de connexions de pays inattendus et de sources anonymes et comparer les données de connexion aux mots de passe populaires et aux données volées.

Comme nous l'indiquons dans notre blog, il y a un nombre important de types de violations qui ont eu lieu en 2012, mais dont leur gravité a été sous-estimée et trop peu rapportée. Les organisations ne devraient pas se réjouir trop vite qu'il n'y ait pas de méga brèches en 2016 car elles pourraient le regretter en 2020.
 

 
Erwan Jouan, Territory Manager SEMEA chez Tenable Network Security

Avec les environnements informatiques professionnels toujours plus complexes et riches en données, il persiste toujours un fort risque de fuite de données clients vers le dark web. Pourtant alors que nous continuons d’ajouter des technologies de protection sur nos réseaux, les attaques deviennent de plus en plus sophistiquées. II est donc crucial que les organisations réagissent rapidement suite à une infraction pour en déterminer l’impact et mettre en place une approche solide de suivi des retombées post-violation.
 
Si vous avez un compte Yahoo! et que vous avez utilisé le même mot de passe sur d’autres sites, il serait judicieux de changer de mots de passe et d’en créer de nouveaux pour éviter le risque de propagation et de fuite de données personnelles sur d’autres comptes que vous utilisez.  Pour réduire l'impact de la prochaine violation de ce type qui est inévitable, les utilisateurs doivent se protéger en ayant des mots de passe individuels pour chaque service ou abonnement, là où très souvent ils n’en utilisent qu’un ou deux. Les navigateurs modernes ont pourtant la capacité de générer et de stocker des mots de passe complexes, tout comme d’ailleurs les nombreux gestionnaires de mots de passe.
 
Un des aspects les plus préoccupants de ce vol massif est le fait que les questions et réponses de sécurité (dites questions personnelles) n’étaient pas cryptées. La plupart des utilisateurs ont utilisé des réponses valides à ces questions comme le nom de jeune fille de leur mère, la marque de leur première voiture ou leur premier animal de compagnie…  des informations qui pourraient être exploitées par la suite lors de nouveaux abus.

 

M. Carrere, directeur commercial, Gémalto

 « Il est bien entendu inquiétant que Yahoo ait subi une brèche de données, mais ce qui est encore plus préoccupant est qu'il a fallu plus d'un mois pour la confirmer, en particulier dans la mesure où ce sont les informations personnels des consommateurs qui sont exposées. La bonne nouvelle c'est que les données sensibles qui sont maintenant en vente, telles que les noms d'utilisateur, adresses e-mail et dates de naissance, sont chiffrées - mais ces données pourraient être facilement déchiffrées si la société n'a pas mis en œuvre une gestion adéquate des clés de chiffrement. De plus, Yahoo aurait certainement pu en faire davantage pour éviter l'incident dans un premier temps, en mettant en place en interne l'authentification à deux facteurs qui peut protéger les employés en cas d'attaque de type hameçonnage. Il s'agit d'un problème mondial - notre Breach Level Index a révélé que 554 millions d'enregistrements de données ont été compromises au 1er semestre 2016. Toutefois, en implémentant de simples procédures de sécurité, les organisations à travers le monde pourraient assurer la protection de ces données. »

  

 

Kévin Bocek, VP Threat Intelligence and Security Strategy chez Venafi (spécialiste de la protection des clés et certificats):

  

" Il est quasi certain que les hackers ont utilisé le propre chiffrement de Yahoo contre lui. Il est impossible que toutes ces données puissent être volées sans le chiffrement déjà utilisé pour obtenir les données du réseau Yahoo. Si cela n'avait pas été le cas, les alarmes auraient sonné haut et fort. Fait inquiétant, c'est probablement pour cette raison que Yahoo ne saura pas si les hackers sont toujours actifs ou présent dans son système informatique comme ils pourraient utiliser le chiffrement pour paraître digne de confiance et avoir le droit d'être dans le réseau Yahoo. On peut se demander si Yahoo a remplacer ses clés de cryptage et ses certificats - si cela n'a pas été fait complètement, les 500 millions de comptes utilisateurs ne seront que la partie visible de l'iceberg et dans les prochaines semaines nous entendrons parler d'autres données et systèmes qui ont été compromis".

 

 

 BONUS: 

 

An Important Message to Yahoo Users on Security

September 22, 2016 02:28 PM Eastern Daylight Time

SUNNYVALE, Calif.--(BUSINESS WIRE)--A recent investigation by Yahoo! Inc. (NASDAQ:YHOO) has confirmed that a copy of certain user account information was stolen from the company’s network in late 2014 by what it believes is a state-sponsored actor. The account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (the vast majority with bcrypt) and, in some cases, encrypted or unencrypted security questions and answers. The ongoing investigation suggests that stolen information did not include unprotected passwords, payment card data, or bank account information; payment card data and bank account information are not stored in the system that the investigation has found to be affected. Based on the ongoing investigation, Yahoo believes that information associated with at least 500 million user accounts was stolen and the investigation has found no evidence that the state-sponsored actor is currently in Yahoo’s network. Yahoo is working closely with law enforcement on this matter.

Yahoo is notifying potentially affected users and has taken steps to secure their accounts. These steps include invalidating unencrypted security questions and answers so that they cannot be used to access an account and asking potentially affected users to change their passwords. Yahoo is also recommending that users who haven’t changed their passwords since 2014 do so.

Yahoo encourages users to review their online accounts for suspicious activity and to change their password and security questions and answers for any other accounts on which they use the same or similar information used for their Yahoo account. The company further recommends that users avoid clicking on links or downloading attachments from suspicious emails and that they be cautious of unsolicited communications that ask for personal information. Additionally, Yahoo asks users to consider using Yahoo Account Key, a simple authentication tool that eliminates the need to use a password altogether.

Online intrusions and thefts by state-sponsored actors have become increasingly common across the technology industry. Yahoo and other companies have launched programs to detect and notify users when a company strongly suspects that a state-sponsored actor has targeted an account. Since the inception of Yahoo’s program in December 2015, independent of the recent investigation, approximately 10,000 users have received such a notice.

Additional information will be available on the Yahoo Security Issue FAQs page, https://yahoo.com/security-update, beginning at 11:30 am Pacific Daylight Time (PDT) on September 22, 2016.

About Yahoo

Yahoo is a guide to digital information discovery, focused on informing, connecting, and entertaining through its search, communications, and digital content products. By creating highly personalized experiences, Yahoo helps users discover the information that matters most to them around the world -- on mobile or desktop. Yahoo connects advertisers with target audiences through a streamlined advertising technology stack that combines the power of Yahoo's data, content, and technology. Yahoo is headquartered in Sunnyvale, California, and has offices located throughout the Americas, Asia Pacific (APAC) and the Europe, Middle East and Africa (EMEA) regions. For more information, visit the pressroom (pressroom.yahoo.net) or the Company's blog (yahoo.tumblr.com).

Statements in this press release regarding the findings of Yahoo’s ongoing investigation involve potential risks and uncertainties. The final conclusions of the investigation may differ from the findings to date due to various factors including, but not limited to, the discovery of new or additional information and other developments that may arise during the course of the investigation. More information about potential risks and uncertainties of security breaches that could affect the Company's business and financial results is included under the caption “Risk Factors” in the Company’s Quarterly Report on Form 10-Q for the quarter ended June 30, 2016, which is on file with the SEC and available on the SEC's website at www.sec.gov.

Yahoo!, the Yahoo family of marks, and the associated logos are trademarks and/or registered trademarks of Yahoo! Inc. Other names are trademarks and/or registered trademarks of their respective owners.

 https://yahoo.com/security-update

 

http://www.lemonde.fr/pixels/article/2016/09/23/les-principaux-vols-de-donnees-personnelles-depuis-2013_5002435_4408996.html?utm_medium=Social&utm_campaign=Echobox&utm_source=Twitter&utm_term=Autofeed#link_time=1474630288

 

Etude Iron Mountain: Cadres, premier maillon faible en cybersécurité ?


Les cadres supérieurs et dirigeants des PME sont ceux qui portent le plus préjudice aux informations confidentielles et à l’intégrité de la propriété intellectuelle

 

 


Une étude révèle que les hauts responsables contournent volontiers les protocoles mettant en péril la réputation et la réussite à long terme de l’entreprise

 

 


Alors même qu’ils sont amenés à traiter les informations les plus sensibles et confidentielles de leur entreprise, les cadres supérieurs et dirigeants des PME pourraient bien être le maillon faible de la chaîne de protection de l’information. Une étude sur les pratiques de sécurité et de gestion de l’information des PME, commandée par le spécialiste des services de conservation et de gestion de l’information, Iron Mountain (NYSE: IRM), suggère que les personnes les plus haut placées dans la hiérarchie sont celles qui se montrent les plus négligentes vis-à-vis des informations sensibles.

 

 

 

PONEMON-2015-JP-BICHARD

Source Ponemon 2015

 

 

 

Des informations confidentielles laissées dans l’imprimante ou envoyées via des emails personnels

Plus de la moitié (57%) des membres de la direction générale et des services interrogés reconnaissent avoir déjà laissé des informations confidentielles ou sensibles dans l’imprimante au vu et au su de tout le monde : un peu moins de la moitié (49%) envoient des informations sensibles via leur compte e-mail personnel ; 40% ont déjà envoyé des informations via un réseau sans fil sécurisé ; 43% ont déjà jeté des documents dans une corbeille librement accessible, et39% admettent avoir oublié et perdu des informations professionnelles dans un lieu public. Comparés aux salariés occupant d’autres postes dans la hiérarchie des PME, les directeurs de services sont ceux à qui l’on peut reprocher le plus de manquements aux bonnes pratiques de gestion des informations.

 

 

Un dirigeant sur cinq trouve les processus de protection de l’information trop complexes

Selon le baromètre de confiance 2016 Edelman Trust Barometer[1], pour lequel 33000 personnes ont été consultés dans 28 pays, la confiance vis-à-vis des dirigeants a progressé de 8% depuis 2015 pour atteindre 49%. Or en ce qui concerne la protection des informations de l’entreprise, il apparaît que cette confiance n’est pas méritée par les directeurs de services. Interrogés pour cette enquête d’Iron Mountain au sujet des processus conçus pour protéger l’intégrité de l’information, garantir la sécurité d’administration et maintenir la conformité aux politiques internes et/ou aux obligations légales, un directeur de service sur cinq (21%) déclare trouver ces processus trop complexes et rechercher une alternative. Un sur sept (14%) ne suit pas les politiques internes régissant la sécurité de l’information car il les trouve trop compliquées, et 6% déclarent ignorer complètement l’existence de règles à ce sujet.

 

 

Plus d’un chef de service sur deux admettent sortir des informations sensibles du lieu de travail

L’étude montre que les chefs de service et responsables de sites suivent de près les directeurs de services en ce qui concerne les mauvaises habitudes de traitement des données, avec plus de la moitié (56%) qui admettent sortir des informations sensibles ou confidentielles du lieu de travail et 48% qui reconnaissent avoir envoyé de telles informations au mauvais destinataire.

 

 

Le personnel administratif un peu meilleur, mais pas parfait

A l’autre bout de la hiérarchie, le personnel administratif se classe bien en comparaison, mais peut toutefois se montrer négligent vis-à-vis de la gestion de l’information. Un peu moins d’un tiers (29%) reconnaît avoir oublié des informations confidentielles dans l’imprimante, un sur cinq (21%) admet avoir traité négligemment des données ou les avoir communiquées au mauvais destinataire et 15% avouent avoir égaré des documents professionnels dans un lieu public.

Arnaud Revert, PDG d’Iron Mountain France, commente l’étude : « Il ressort de notre étude que les cadres supérieurs et membres de la direction des PME sont plus enclins que tout autre salarié à exposer des informations sensibles à des risques. Ils contournent volontiers les protocoles mis en place pour préserver la sécurité de l’information. Au vu des conséquences potentiellement désastreuses, ce constat est inquiétant. Les sanctions financières qu’encourent les sociétés déclarées non conformes aux obligations de traitement et de sécurité des données deviennent de plus en plus lourdes. Mais outre les pénalités financières, les dommages pour la réputation d’un cas de compromission de données, risquent fort d’entamer la confiance et la fidélité des clients et d’impacter les résultats de l’entreprise. Face à de tels enjeux, les entreprises ont intérêt à mettre en place des politiques et des processus garants d’une bonne gouvernance de l’information. Mais surtout, les entreprises doivent sensibiliser l’ensemble de leurs collaborateurs à adopter des comportements propices à la protection des informations sensibles. Pour beaucoup, cela suppose un changement culturel qui passe par le comportement exemplaire des plus hauts membres de la direction. Malheureusement, nombre d’entreprises sont très loin de réunir les conditions.»

 

 

A propos de l’étude

Pour cette recherche réalisée par Opinion Matters pour Iron Mountain, 4 006 salariés d’entreprises entre 250 et 3 000 salariés (250-5 000 en Amérique du Nord) ont été interrogés au Royaume-Uni, en France, en Allemagne, aux Pays-Bas, en Belgique, en Espagne et en Amérique du Nord.

Il s’agissait de salariés d’entreprises des secteurs de la fabrication et de l’ingénierie, des assurances, des laboratoires pharmaceutiques, de l’énergie, des services financiers et juridiques, occupant différents postes des services RH, juridique, IT, de la direction générale et direction des services, des achats, des ventes, du marketing, des chefs de service et responsables de sites, des fonctions administratives (y compris assistants personnels et secrétaires), et des personnes assumant des responsabilités de gestion de l’information. L’étude sous forme d’entretiens en ligne a été réalisée en avril et mai 2016.

 

 

Rapport Q4 2015 McAfee: nette augmentation de 72 % des malwares mobiles

Etude: 

Le nouveau rapport McAfee Labs d’Intel Security : 
seuls 42 % des professionnels de la sécurité partagent 
des renseignements sur les cyber-menaces

 

Le rapport révèle les résultats de l’enquête sur la perception de la valeur du partage des renseignements sur les menaces en entreprise et revient sur l’évolution du paysage de cyber-menaces au 4ème trimestre 2015

Faits saillants du rapport :

  • Seuls 42 % des professionnels de la sécurité consultés utilisent le partage de renseignements sur les cyber-menaces ;

  • 97 % des adeptes du partage des renseignements estiment que l’échange des informations leur a permis de renforcer la sécurité de leur entreprise ;   

  • Parmi les professionnels interrogés, 91 % souhaitent recevoir des renseignementssur les cyber-menaces dans leur domaine tandis que seuls 63 % seraient d’accord pour partagerles informations dont ils disposent ;

  • McAfee Labs a constaté également la progression de 26 % de nouveaux ransomwares au 4ème trimestre 2015, par rapport au trimestre précédent ;

  • Pour les mêmes périodes, les chercheurs ont noté une augmentation de 72 % des nouveaux exemples de malwares mobiles.

Paris, le 22 mars 2016 – Le rapport McAfee Labs Threats Report: March 2016révèle les résultats de l’étude d’Intel Security sur l’adoption du partage des renseignements sur les cyber-menaces dans les entreprises. Le rapport passe également à la loupe les outils d’administration à distance (RAT) Adwind et détaille la progression des malwares, notamment celle des ransomwares et des malwares mobiles, au 4ème trimestre 2015.

Partage des renseignements sur les menaces en entreprise
En 2015, Intel Security a mené une enquête auprès de 500 professionnels de la sécurité en Europe, en Amérique du Nord et en région Asie-Pacifique, pour évaluer la sensibilisation des entreprises au partage des renseignements sur les menaces. Bien que les résultats de l’étude mettent en évidence l’intérêt des entreprises à la nouvelle tendance dans le domaine de la cybersécurité, l’enquête pointe du doigt les obstacles à l’adoption plus large :

  • Adoption et la valeur perçue.Sur les 42 % des professionnels qui partagent des renseignements sur les menaces, 97 % estiment que cette pratique leur a permis de mieux protéger leur entreprise.

  • Renseignements spécifiques au secteur.Avec une quasi-unanimité, 91 % des professionnels consultés s’intéressent à des renseignements sur les cyber-menaces, et notamment sur les menaces spécifiques à leur secteur. L’étude souligne que le secteur des services financiers et les opérateurs d’importance vitale (OIV) pourraient bénéficier le plus du partage des renseignements spécifiques, vu la grande spécialisation des menaces dans ces deux secteurs critiques.

  • Volonté de partager.63 % des professionnels consultés déclarent qu’ils pourraient apporter également les données dont ils disposent à condition que le partage se fasse sur un système privé et sécurisé.

  • Types de données à partager. Les données les plus susceptibles d’être partagées concernent le comportement des malwares (72 %), la réputation des URL (58 %), la réputation d’adresses IP externes (54 %), la réputation de certificats (43 %) et la réputation de fichiers (37 %)

  • Les obstacles au partage des renseignements sur les menaces.Au sein des entreprises qui n’ont pas adopté la pratique du partage des renseignements, les professionnels citent la politique de l’entreprise (54 %) ou encore les réglementations du secteur (24 %) comme obstacles principaux. Presqu’un quart de répondants (24%) se disent intéressés par les possibilités offertes par le partage des renseignements mais soulignent le manque de connaissances nécessaires sur le sujet. Plus d’un répondant sur cinq (21 %) craint que les informations partagées puissent permettre d’identifier l’entreprise, voire les individus qui partagent les renseignements. Ces témoignages suggèrent un manque d’expérience sur les diverses options possibles d’intégration du partage de renseignements sur les menaces, ainsi qu’un manque de compréhension sur les implications légales du partage des informations.

« Le partage des renseignements sur les menaces pourrait devenir un facteur important pour permettre aux spécialistes de cybersécurité de prendre une longueur d’avance sur les cybercriminels », déclare Vincent Weafer, vice-président du groupe McAfee Labs d’Intel Security.« Mais afin que les entreprises puissent exploiter tout le potentiel de la cyber intelligence, elle doit surmonter les obstacles tels que la politique d’entreprise, les restrictions réglementaires, les risques juridiques et le manque de connaissance sur son implémentation. »

 

Les outils d’administration à distance (RAT) Adwind
Le rapport trimestriel d’Intel Security inspecte également l’outil d’administration à distance (RAT) Adwind (un cheval de Troie de type « backdoor » en Java), qui cible diverses plates-formes compatibles avec les fichiers Java. En général, le RAT Adwind est propagé via des campagnes de spam qui utilisent des pièces jointes truffées de malwares, des pages web compromis et des téléchargements indésirables. Le rapport de McAfee Labs met en évidence une augmentation très rapide (426 %) du nombre d’exemples de fichiers .jar identifiés par ses chercheurs en tant qu’Adwin, passant de 1.388 au 1er trimestre 2015 à 7.295 au 4ème trimestre.

Statistiques pour le 4ème trimestre 2015
Après trois trimestres de recul, le nombre total de nouveaux exemples de malwares a repris sa progression au 4ème trimestre.

  • Les malwares rebondissent. 42 millions de nouvelles signatures malveillantes ont été découvertes, soit 10 % de plus qu’au 3ème trimestre, et le deuxième record enregistré par McAfee Labs. Cette croissance au 4ème trimestre résulte en partie de celle des malwares mobiles, avec 2,3 millions de nouveaux exemples, soit 1 million de plus qu’au 3ème trimestre.

  • Le ransomware reprend sa progression.Après un léger ralentissement en milieu d’année, le nouveau ransomware a repris une croissance rapide, avec une augmentation de 26 % au 4ème trimestre 2015. Les codes de ransomware en open source et le Ransomware-as-a-Service continuent de simplifier le lancement des attaques, les campagnes Teslacrypt et CryptoWall 3 continuent de progresser, et les campagnes de ransomware continuent d’être lucratives. Une analyse de CryptoWall 3 conduite en octobre 2015 a mis en évidence l’échelle financière de ces attaques : les chercheurs de McAfee Labs ont montré qu’une seule de ces campagnes a extorqué 325 millions de dollars aux victimes.

  • Le malware mobile décolle.Le 4ème trimestre 2015 a vu une augmentation de 72 % des nouveaux exemples de malwares mobiles, dont la production semble avoir été plus rapide.

  • Les rootkits en chute libre.Le nombre d’exemples de nouveaux rootkits a fortement chuté au 4ème trimestre, poursuivant une tendance de longue date pour ce type d’attaque. Ce déclin a débuté au 3ème trimestre 2011, et McAfee Labs l’attribue en partie à l’adoption de processeurs Intel® 64 bits ainsi que de Microsoft Windows 64 bits, dont des fonctions comme Kernel Patch Protection et Secure Boot améliorent la protection contre des menaces telles que les rootkits.

  • Les binaires malveillants signés sont sur le déclin.Le nombre de nouveaux binaires malveillants a diminué chaque trimestre au cours de l’an passé, le 4ème trimestre 2015 atteignant le plus bas niveau depuis le 2ème trimestre 2013. McAfee Labs estime que ce déclin découle en partie du fait que les certificats plus anciens, notablement présents sur le marché noir, expirent ou sont révoqués car les entreprises passent à des fonctions de hachage plus fortes. En outre, des méthodes comme Smart Screen (qui fait partie de Microsoft Internet Explorer mais s’étend à d’autres parties de Windows) représentent des tests complémentaires de confiance, qui pourraient rendre la signature de binaires malveillants moins rentable pour les auteurs de malwares.

 

BONUS: 

Pour consulter le rapport du McAfee Labs dans son intégralité, cliquez ici.


Pour découvrir des conseils pour mieux protéger votre entreprise des menaces décrites dans le rapport de McAfee Labs de ce trimestre, visitez Enterprise Blog.


A propos de McAfee Labs
McAfee Labs est l’entité spécialisée dans la recherche de menaces informatiques d’Intel Security. Elle est l'une des principales sources de référence à l'échelle mondiale en matière d'études et de renseignements sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cyber-sécurité font autorité. Forte de plus de 400 chercheurs, son équipe rassemble des données provenant de millions de sondes et des principaux vecteurs de menaces : fichiers, Web, messagerie électronique et réseau. Elle exécute ensuite des analyses de corrélation des menaces entre vecteurs et procure, via son service de cloud McAfee Global Threat Intelligence, des renseignements en temps réel sur les menaces aux produits de sécurité McAfee hautement intégrés pour la protection des terminaux et du réseau. McAfee Labs met aussi au point des technologies de base pour la détection des menaces (profilage des applications, gestion des listes grises, etc.) qui sont incorporées dans la gamme de produits de sécurité la plus large sur le marché.


A propos d’Intel Security

McAfee fait désormais partie intégrante d’Intel Security. Avec sa stratégie de sécurité connectée, son approche novatrice en termes de sécurité matérielle avancée et son savoir-faire unique en termes de ‘Global Threat Intelligence’, Intel Security est fortement concentré sur le développement de solutions et de services de sécurité avant-gardistes en mesure de protéger les systèmes, les réseaux et les appareils mobiles à usage professionnel et personnel dans le monde d’aujourd’hui et de demain.Intel Security associe l'expérience et l'expertise de McAfee à l'innovation et à la performance éprouvée d’Intel pour faire de la sécurité un élément essentiel de toute architecture et plate-forme informatique.La mission d'Intel Security est de donner à chacun la confiance nécessaire pour vivre et travailler en toute sécurité dans le monde digital.

Benoit Grunemwald: Quand les entreprises accordent leur cyber-confiance

Cyber-expert: Benoit Grunemwald directeur commercial et marketing  ESET France 

 

 

Quand les entreprises accordent leur cyber-confiance

 

L'affaire dévoilé fin 2015 mettant en cause Volkswagen suite à la découverte d'un logiciel « trafiqué » sur les modèles diesel de la marque afin de « réussir » les contrôles anti pollution est révélatrice. Un climat de confiance entre marques et clients se construit sur le long terme; une situation de crise ou la méfiance s'installe peut considérablement entamé ce capital confiance. Dans le secteur de la cybersécurité, une crise de ce type peut survenir rapidement suite à une cyber-attaque. Sony, Target et d'autres en ont fait l'expérience. Elle pourrait aussi toucher des fournisseurs et éditeurs. Dès sa création, ESET a joué la carte de la cyber-confiance.

 

La confiance se gagne. Elle doit aussi se partagée. Techniquement, on le voit, le protocole IP joue la rôle d'un fédérateur à tous les niveaux des architectures des SI. D'un coté les réseaux et routeurs évoluent vers des environnements virtuels. D'un autre coté, IP fédère l’informatique de gestion (mobiles inclus) avec les SI d’autres prestataires (Cloud, telco..) et les SI de contrôles industriels sous architectures SCADA. Bref, les risques augmentent avec l'extension des périmètres des SI interconnectés. S'ajoute aujourd'hui une autre dimension avec la venue d'objets connectés étrangers au SI. Exemple : la « valise » qui permet de diagnostiquer l’informatique embarquée dans une voiture est connectée au SI du constructeur. La voiture illustre bien la problématique des objets connectés BtoB coté constructeurs et BtoC coté utilisateurs (automobilistes, garagistes, assureurs...).

Ces imbrications supposent un élargissement des domaines de la confiance qui auparavant étaient limités à un seul acteur (constructeur, éditeur, prestataires d'infrastructures, sociétés de services …). Ces domaines étaient aussi géographiquement concentrés. Aujourd'hui, c'est donc toute une chaîne de confiance entre acteurs qu'il faut construire, souvent à l'échelle mondiale. D'où le partage de la confiance. 

ESET, éditeur européen, présent depuis de nombreuses années au cœur de très nombreuses entreprises offre dans ce paysage remodelé deux avantages stratégiques pour les entreprises de toutes tailles. Toutes les solutions d'ESET sont adaptées aux environnements hétérogènes. Elles sont également toutes compatibles entres elles. ESET n'oblige pas les entreprises a changer mais leur propose d'enrichir l'existant en fonction des évolutions majeures que connaissent les SI. En ce sens, l'innovation chez ESET suit l'évolution des parcs installés des clients. Simplicité d'évolution et économies d'échelles constituent des avantages reconnus. L'offre d'ESET se trouve toujours en phase avec les besoins des clients. Les solutions développées par les chercheurs ne se trouvent jamais décalées par rapport aux technologies présentes dans les parcs installés. Des parcs en forte progression. 

En 1987, 200 000 machines étaient connectés au Net. En 2025, on attend 10 milliards de machines IP. En 2003, il y avait 500 millions d’adresses IP. En 2016, elles seront plus de 20 milliards. En 2020, entre 50 et 80 milliards en intégrant les adresses des « Iot » (Internet des objets). La multiplication des « points d'entrée » peut inquiéter. Rien n’est plus facile que d’attaquer des entreprises en passant par les connexions extérieures de prestataires, services WEB, appareils mobiles… 

Face a cette envolée, les entreprises veulent des partenaires lucides, solides, efficaces et dignes de confiance. Situé au coeur de l Europe, ESET préconise une approche pragmatique. Il est un des rares acteurs en sécurité a bénéficier d'un taux de renouvellement de ses solutions supérieur à 90 % auprès des entreprises de plus de 200 postes. Cette stratégie dictée par le bon sens propulse ESET dans le top 5 des éditeurs de sécurité informatique - marchés BtoC et BtoB - selon la dernière étude du Gartner (2015).

Le cabinet d'analyse indique qu’en 2014, la croissance d’ESET® a été 8 fois plus importante que celle constatée sur le marché solutions logicielles de sécurité. L'éditeur bénéficie d'une cyber-confiance méritée. Et ce n'est qu'un début.

 

Benoit Grunemwald directeur commercial et marketing  ESET France 

http://www.eset.com/fr/

http://www.eset.com/int/business/

V9 Malware History 1

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires