Embargo, ce nouveau groupe de ransomware qui fait du sur-mesure Menaces
Nomios rachète Dionach Actualités
IA : les gendarmes des données personnelles planchent sur une position commune Actualités
Mobile, IoT et OT : des vecteurs de menace toujours plus préoccupants Menaces
56% des professionnels de la cyber se disent épuisés  Études
IBM lance un projet pilote pour former des lycéens à la cybersécurité Actualités
Actualités

Docker : l'Anssi livre ses bonnes pratiques

Les conteneurs et leurs images peuvent contenir du code malveillant : ils sont ainsi exploités par des cryptojackers. L'Anssi livre en ce début octobre un guide des bonnes pratiques de sécurité quant au déploiement et à l'exécution de conteneurs Docker. 

A l'occasion de la Black Hat 2017, deux chercheurs démontraient que les conteneurs Docker pouvaient servir à dissimuler des malwares. Et depuis, de Graboid à Doki, les exemples ne manquent pas quant à l'utilisation des conteneurs et de leurs images à des fins malveillantes. L'Anssi a pris le problème à bras le corps et vient de publier un guide de bonnes pratiques de sécurité à l'attention des développeurs et des DSI relatives au déploiement et à l’exécution de conteneur Docker. 

Le document ne traite pas de Docker daemon et la gestion des images Docker, quand bien même ces derniers sont souvent pointés du doigt comme présentant des vulnérabilités exploitables par des attaquants. 

Sécuriser le conteneur

"Docker Community Edition (CE) présente peu de vulnérabilités connues. La plupart d’entre elles concernent la création de conteneur à partir d’une image malveillante. Cependant, la sécurité de Docker repose principalement sur les mécanismes de sécurité du noyau et sur des composants externes. Des vulnérabilités les affectant peuvent donc être exploitées pour compromettre Docker ou son hôte" précise l'Anssi. 

Le document livre donc ses recommandations, notamment sur le cloisonnement du conteneur et de ses ressources, la restriction des privilèges (écriture de l'espace de stockage, lecture du système de fichiers racine, stockage des données non persisantes, restrictions du répertoire et des fichiers sensibles, namespaces dédiés...) ou encore la journalisation du conteneur. Des recommandations qui suivent le document de référence publié sur le même sujet par le Center for Internet Security (CIS).

 

 

Actualités

Pour le Trésor américain, payer une rançon est punissable

Si la sempiternelle recommandation des autorités est de ne surtout pas payer de rançons, certaines victimes de ransomwares, parfois conseillées par leurs partenaires, finissent par accéder aux demandes de leurs attaquants. Ce sont ces partenaires qui s’exposent désormais à des sanctions du Trésor américain, qui n’apprécie guère que ces rançons versées servent à des acteurs menaçant la sécurité des États-unis. 

Il ne faut jamais payer les rançons demandées par les opérateurs de ransomware. D’une part car la victime n’est en rien assurée de récupérer ses fichiers, de l’autre parce que céder au chantage conforte les criminels quant à la rentabilité de leur activité. Tels sont les conseils dispensés par l’ANSSI et tant d’autres autorités étatiques sur les ransomwares. Toutefois, les cas de versement d’une rançon ont été plus amplement médiatisés ces dernier mois, au point que le Trésor américain ne décide de mettre les points sur les i. 

Dans une note, l’Office of Foreign Assets Control, ou OFAC, sort les crocs. En effet, en vertu de plusieurs lois, les ressortissants américains ne sont pas autorisés à marchander avec une longue liste de personnes et de pays, soit qu’ils représentent une menace à la sécurité nationale, soit qu’ils font l’objet de sanctions, à l’instar de la Crimée, de la Syrie, de l’Iran ou encore de Cuba. 

Sanctionner le versement de rançons

“L'OFAC peut imposer des sanctions civiles pour les violations de sanctions fondées sur la responsabilité stricte, ce qui signifie qu'une personne soumise à la juridiction américaine peut être tenue civilement responsable même si elle ne savait pas ou avait des raisons de savoir qu'elle s'engageait dans une transaction avec une personne interdite” écrit cette branche du Trésor.

Ce qui nous amène aux ransomwares. Voici quelques temps que nous rapportons que telles victimes, conseillées par son prestataire en cybersécurité ou son assureur, a cédé aux demandes des attaquants, s’acquittant du paiement d’une rançon. Or, selon l’OFAC, “les paiements de ransomware profitent aux acteurs illicites et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis”. Et sont donc susceptibles de faire l’objet d’enquêtes quant au contournement desdites sanctions. 

Evidemment, il ne s’agit pas pour le Trésor américain d’inquiéter les entreprises victimes, qui double le coût de rétablissement de leur SI lorsqu’elles paient une rançon. Le texte vise les entreprises “qui s'engagent avec des victimes d'attaques de ransomwares, telles que celles impliquées dans la fourniture de cyberassurance, de criminalistique numérique et de réponse aux incidents, et les services financiers pouvant impliquer le traitement de paiements de rançon”. 

Actualités

Un géant hospitalier américain paralysé par une cyberattaque

Le groupe hospitalier UHS est la cible d’une attaque informatique qui l’oblige à recourir à des outils hors ligne. Le coupable serait Ryuk, un ransomware désormais bien connu. 

Universal Health Services, UHS pour les intimes, est l’un des plus grands groupes hospitaliers aux États-Unis, avec plus de 400 établissements de santé répartis sur le territoire. Depuis le matin du 27 septembre, ses employés sont revenus au papier et au crayon... ou du moins à des outils hors-ligne prévus en back-up. En cause, un “incident de sécurité informatique” contraignant le groupe à bloquer les accès à ses applications. 

Le communiqué d’UHS est particulièrement lapidaire, se contentant d’indiquer que “cette affaire peut entraîner des perturbations temporaires de certains aspects de nos opérations cliniques et financières” et n’avoir pour l’heure aucune preuve de l’accès aux données de ses patients et employés. Le ton des messages envoyés auxdits employés est tout autre. 

Les machines paralysées

Dans des SMS consultés par Reuters, le groupe recommande à ses salariés de n’accéder en aucun cas au réseau de l’entreprise avec leurs terminaux, professionnels ou personnels. Une attitude révélatrice d’une infection par un malware se propageant sur le réseau de l’entreprise, tandis que plusieurs sources pointent le ransomware Ryuk comme derrière la paralysie du SI d’UHS. 

Sur Reddit plusieurs utilisateurs indiquent que les fichiers des hôpitaux du groupe ont été chiffrés et portent l’extension .ryk, marque de fabrique de Ryuk. Ils signalent en outre que l’attaque aurait débuté dans la nuit de samedi à dimanche et que les ordinateurs ne sont pas les seuls affectés : ECG, appareils de radiologie ou encore ERM seraient eux aussi paralysés. Des informations qui ne sont néanmoins pas vérifiables pour le moment, et donc à prendre avec des pincettes, à l’instar de celle selon laquelle plusieurs patients seraient décédés faute d’une prise en charge adaptée consécutive à cette cyberattaque. 

Le secteur de la santé particulièrement visé

La crise sanitaire a vu une multiplication des attaques dirigées contre les établissements de santé.  L'AP-HP, le Health and Human Services Department américain ou encore l'hôpital de Brno, en République Tchèque, ont tous été victimes ici de DDoS, là de ransomwares ou encore de vol de données. L’Accompagnement Cybersécurité des Structures de Santé avait émis en mars en France plusieurs recommandations suivant celles précédemment formulées par l’OMS. Pour Pierre-Louis Lussan, de Netwrix, "nos récentes recherches sur les cybermenaces indique que ce secteur a subi le plus d'attaque de ransomware depuis le début de la crise sanitaire - avec une organisation de santé sur trois qui admet avoir été visée. Concernant l’attaque d’UHS, nous ne savons pas encore si les données des patients ont été seulement chiffrées, ou si elles ont également quitté le réseau de l’organisation. Plusieurs installations d’UHS sont affectées dans au moins quatre États et dans la ville de Washington, ce qui montre un déplacement latéral rapide du malware".

 
Actualités

McAfee prêt à retrouver la bourse

Depuis l’été 2019, la rumeur court que le vieux géant chercherait un retour en bourse. C’est désormais officiel : Mc Afee en remplit son formulaire d’introduction près de dix ans après son rachat par Intel et sa sortie des marchés financiers. La cybersécurité est un secteur porteur et ce n’est pas l’entrée tonitruante en bourse de CrowdStrike qui prouvera le contraire. Le vénérable Mc Afee a senti le vent tourné : l’été dernier, on lui prêtait des vues sur le Nasdaq. Racheté en 2011 par Intel, il était sorti de bourse, avant que le fondeur ne revende le vieux géant des antivirus, en 2016, au fonds TPG. Qui donnait une seconde jeunesse à McAfee et lui permettait une opération particulièrement juteuse : le rachat de Skyhigh Networks.  Ce faisant il ajoutait une corde CASB à son arc, dépassant son image d’antivirus monolithique. Fort de ce positionnement, et avec l’entrée du fonds Thomas Bravo à son capital en 2018, McAfee semblait pouvoir, tel le phénix, renaître de ses cendres. Le retour est désormais officiel puisque l’entreprise a rempli son formulaire d’introduction auprès de la SEC américaine. 
Nouveau patron
L’an dernier, son chiffre d’affaires a bondi de 9,4%, à 2,64 milliards de dollars, tandis que l’entreprise réduisait ses pertes de moitié, de 512 millions de dollars en 2018 à 236 millions l’année suivante. En janvier, McAfee choisissait pour CEO un vétéran de la tech en la personne de Peter Leav, ex-patron de BMC Software et de Polycom. 
Actualités

Doublé d’Ivanti, qui s’empare de MobileIron et de Pulse Security

L’éditeur de logiciels renforce sa branche cybersécurité en rachetant coup sur coup deux étoiles montantes du secteur, MobileIron et Pulse Secure. A l’aide des solutions de sécurisation de parcs mobiles du premier et de celles Zero Trust du second, Ivanti compte bien profiter du boom du télétravail pour devenir le champion de la gestion du poste de travail. 

Ivanti fournit déjà une solution de sécurisation des endpoints

Ivanti est quelque peu touche-à-tout : ITSM, supply chain, sécurité, gestion du poste de travail... L’entreprise de Salt Lake City, née du rachat par le fonds Clearlake de Landesk en janvier 2017, a récemment reçu le soutien financier d’un autre investisseur, TA Capital. Et c’est fort de ce nouvel investissement qu’Ivanti s’en est allé faire ses emplettes. Et c’est sur le secteur de la cybersécurité qu’il a jeté son dévolu.

D’abord en mettant la main pour 872 millions de dollars sur MobileIron. Cette jeune pousse est spécialisée dans la protection des parcs mobiles des entreprises, qu’il s’agisse de l’intégration des nouveaux appareils, des accès en mode conditionnel, de l’application de règles de sécurité à l’ensemble d’une flotte ou encore de la détection et élimination des menaces. En bref, un portefeuille de services complet qui faisait encore défaut à Ivanti. 

Des rachats très Zero Trust

Vient ensuite Pulse Secure, dont l’éditeur fait l’acquisition pour un montant non dévoilé. Lui oeuvre plutôt dans la sécurisation des accès aux applications, dans la droite lignée de l’approche Zero Trust. Il vend certes du VPN, mais aussi et surtout de l’Application Delivery Controller, du Network Access Control et même un soupçon de gestion unifiée des endpoints, domaine qui est loin d’être inconnu à Ivanti. 

L’entreprise explique qu'avec ces rachats, il "renforce la position de leader d'Ivanti en matière de gestion unifiée du poste client, de sécurité Zero Trust et de gestion des services d'entreprise, fonctions critiques dans l'environnement de télétravail actuel". Il n'évoque guère comment les solutions de Pulse Secure et de MobileIron seront intégrées à ses propres offres, sinon qu'il permettra à ses clients de "découvrir, gérer, sécuriser, offrir des services et automatiser tous les types de devices, via la plateforme d'hyper-automatisation Ivanti Neurons".

« En réunissant MobileIron, Pulse Secure et Ivanti, nous créons une entreprise leader des marchés importants et en pleine croissance que sont la gestion unifiée du poste client, la sécurité et la gestion des services d'entreprise. Nous possédons maintenant la gamme la plus complète de solutions logicielles pour répondre aux besoins croissants du marché pour l'environnement de travail à venir, où travailler partout et sur tous types de terminaux sera la nouvelle norme. En fusionnant nos connaissances du secteur et nos offres produit complémentaires, nous mettons Ivanti dans une position idéale pour fournir à notre immense base de clients les outils indispensables pour relever les défis IT qu'entraîne cette nouvelle norme. » Jim Schaper CEO d'Ivanti
Actualités

La plateforme de cryptomonnaies KuCoin dévalisée

La plateforme d’échange singapourienne spécialisée dans les cryptomonnaies rapporte avoir repéré samedi des mouvements de fonds suspects, avant de constater que ses portefeuilles de monnaie virtuelle avaient été vidés. Le butin de ce cambriolage numérique est estimé à 150 millions de dollars.  Les vols de cryptomonnaies font moins les gros titres, les ransomwares leur ayant volé la place. Pourtant, les attaques dirigées contre les plateformes d’échanges n’ont pas cessées. Dernière en date, KuCoin, plateforme basée à Signapour, a révélé samedi avoir été victime d’un cambriolage en règle. Samedi, un peu avant 3 heures du matin, heure de Singapour, le système de gestion des risques de KuCoin remonte une première alerte signalant une transaction anormale en ETH (Ethereum). Dans les minutes qui suivent, d’autres transactions du même type ont lieu avant que, peu après 3 heures, le système alerte sur le montant restant anormal sur les hot wallets (portefeuilles de cryptomonnaies connectés à Internet, par opposition aux cold wallets).
150 millions de dollars dérobés
KuCoin sonne l’alarme mais le mal est déjà fait : les portefeuilles ont été siphonnés. La plateforme réagit en suspendant toute forme de transactions et en s’assurant de la sécurité de ses cold wallets, et y transférant les actifs restants de ses hot wallets. L’entreprise s’est également mise en contact avec l’ensemble de ses partenaires au sein de l’écosystème. A l’origine de ce siphonnage en règle, la compromission de la clé privé de KuCoin. La plateforme ne précise cependant pas comment les attaquants s’y sont pris pour obtenir ce précieux sésame. Malgré un livestream de son CEO, l’entreprise n’a pas communiqué sur le montant dérobé, estimé à 150 millions de dollars en bitcoins, ethers et autres monnaies virtuelles. Les voleurs auront toutefois du mal à en profiter puisque, en plus de l’audit de sécurité mené par la plateforme, associée à SlowMist, une entreprise spécialisée dans la sécurité de la blockchain, ses partenaires se sont mobilisés pour invalider les tokens dérobés. Ainsi, ce ne sont pas loin de 130 millions de dollars de cryptomonnaies qui ont été swappés par leurs plateformes respectives au moment où nous écrivons ces lignes. En outre, KuCoin a précisé à plusieurs reprises qu’elle et son assurance couvriront les pertes subies par les utilisateurs.
Actualités

CMA CGM paralysé par un ransomware

Quelques jours après Gefco, c’est au tour du géant français du fret maritime de subir une cyberattaque. Les systèmes de réservation de CMA CGM sont paralysées par un ransomware, Ragnar Locker, dont les opérateurs demandent une rançon. 

Gefco, géant français de la logistique industrielle, subissait la semaine dernière une cyberattaque impactant son activité, probablement un ransomware. Voici désormais que son compatriote sur mer, CMA CGM, rapporte être lui aussi attaqué. Dans un communiqué publié plus tôt dans la journée sur son site, le groupe de fret maritime a annoncé faire l’objet “d’une cyberattaque sur des serveurs périphériques”. Il semble que le système de réservation soit le principal service impacté, bien que l’entreprise explique avoir interrompu l’accès externe à ses applications pour éviter la propagation du virus. 

Les équipes informatiques s'efforcent de résoudre l'incident pour assurer la continuité des activités” indique CMA CGM dans son communiqué, précisant que l’accès à ses SI reprend “progressivement”. Si la société ne précise pas la nature de l’attaque, les opérateurs du ransomware Ragnar Locker se sont manifestés, exigeant le paiement d’une rançon en échange de la clé de déchiffrement. 

Ragnar dans le SI

Le groupe CMA CGM est l’un des géants dans le secteur du fret maritime, avec 750 entrepôts et plus de 500 navires sur 285 lignes desservant 420 ports commerciaux dans le monde. Christophe Lambert, Directeur Technique Grands Comptes EMEA chez Cohesity commente l’attaque en soulignant que “au-delà des données subtilisées et rendues inaccessibles, c’est la mise en arrêt total des processus métiers essentiels à la conduite des affaires qui peut s’avérer préjudiciable. Le secteur de la logistique repose sur une chorégraphie complexe de systèmes et de services, il faut donc être en mesure de restaurer rapidement les infrastructures et les données sous peine de pénaliser l’entreprise et l’ensemble de ses clients”.

CMA CGM mentionne une enquête lancée en interne et avec l’aide d’experts externes et promet de plus amples informations en fin de journée.  

L'hebdo de l'Info-CR

Abonnez-vous gratuitement 😊

 

Mon panier

 x 

Panier Vide

Notre préférence

Copyright © 2024 L'INFORMATICIEN
- L1FO par l'Informaticien -
Tous droits réservés L'Informaticien
Le magazine L'Informaticien et le site linformaticien.com sont édités par la société PC Presse
Contacts :
  • 88, boulevard de la Villette, 75019 PARIS - FRANCE
  • Tél. +33 1 74 70 16 30
  • Rédaction : [email protected]
  • Abonnements : [email protected]
  • Directeur de la publication : Gaël Chervet
  • Rédacteur en Chef : Bertrand Garé
  • Rédacteur en Chef Adjoint : Victor Miget
  • Partenariats / Publicité : +33 1 74 70 16 30 / [email protected]
  • Chef de studio : Franck Soulier
  • L'INFOCYBERRISQUES est édité par PC PRESSE SA au capital de 130.000 euros, 443 043 369 RCS PARIS
Une société du Groupe Ficade
Powered by Mediamatis