Embargo, ce nouveau groupe de ransomware qui fait du sur-mesure Menaces
Nomios rachète Dionach Actualités
IA : les gendarmes des données personnelles planchent sur une position commune Actualités
Mobile, IoT et OT : des vecteurs de menace toujours plus préoccupants Menaces
56% des professionnels de la cyber se disent épuisés  Études
IBM lance un projet pilote pour former des lycéens à la cybersécurité Actualités
Actualités

Besançon victime d’une cyberattaque

La métropole, la ville et le Centre Communal d’Action Sociale de Besançon ont été victimes début septembre d’une cyberattaque. Ici, pas de ransomware, du moins pour l’instant car le spectre d’Emotet plane sur cette attaque qui exploite des techniques de phishing pour se répandre dans les réseaux de la collectivités. 

Ces derniers mois, de nombreuses collectivités ont été la cible d'attaques, bien souvent des ransomwares. On a appris ce week-end, par voie de communiqué, que la métropole du Grand Besançon, la ville de Besançon ainsi que son Centre communal d'action sociale sont victimes d'une cyberattaque, qui dure depuis le 4 septembre. Ici, pas de cryptolocker ni de DDoS, mais l'infection du SI de la collectivité par "des logiciels malveillants inclus dans des mails, qui se propagent au sein du réseau informatique et dont l’un des objectifs est d’exfiltrer des données de la collectivité" indique le communiqué.

On ignore pourquoi la collectivité a décidé de communiquer aussi tardivement, près de trois semaines après l'attaque. La Cnil ainsi que l'Anssi ont été notifiées tandis que l'attaque aurait été contenue. Selon la métropole, "la mobilisation immédiate et soutenue des équipes informatiques [...] a permis d’éviter le blocage du système d’information, de freiner la diffusion interne du virus pour progressivement l’éradiquer et de stopper aussi rapidement que possible les fuites de données".

Le mode opératoire d'Emotet

Néanmoins, des données ont été dérobées dans les comptes mails compromis, notamment "le contenu et les pièces jointes de courriels ainsi que des carnets d’adresses électroniques des agents".  Données qui sont désormais utilisées dans le cadre de campagnes d'hameçonnage des contacts de la collectivité, qui déplore ne rien pouvoir faire à ce sujet mais recommande à ses administrés et partenaires la plus grande prudence.

Un modus operandi qui n’est pas sans rappeler un certain Emotet. Le trojan bancaire, découvert en 2014, a fait l’objet récemment d’un avertissement de l’Anssi. Qui justement signalait que, après cinq mois d’absence, le malware avait refait surface en juillet dernier et, "depuis, nombre de ses campagnes d’hameçonnage exploitent une technique de détournement des fils de discussion des courriels (email thread hijacking technique)."

Une fois la boîte courriel d’un employé de l’entité victime (ou la boîte courriel générique de l’entité elle-même) compromise, le code malveillant Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces derniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes. Ces courriels, d’apparence légitime, sont envoyés à des contacts de la victime, et plus particulièrement aux tierces parties de l’entité (clients et prestataires notamment) ayant participé au fil de discussion originel, afin d’accroître leur crédibilité auprès des destinataires. Agence Nationale de la Sécurité
des Systèmes d'Information CERTFR-2020-ALE-019

L'attaque visant Besançon n'est pas sans rappeler une autre, récente, qui visait le Tribunal de Paris, ses juges et avocats. "La France représente une cible des campagnes récentes d’Emotet" signalait justement l'Anssi dans son bulletin d'alerte. Si la forme de l'attaque peut sembler relativement bénigne comparée à un cryptolocker, il ne faut pourtant surtout pas sous-estimer Emotet. Le malware a en effet abandonné son rôle de Trojan bancaire depuis 2017, pour lui préférer la distribution de payloads malveillants sur les systèmes qu'il infecte, tels TrickBot, Qbot ou encore Dridex. Dans les faits, les opérateurs d'Emotet commercialisent les réseaux infectés à d'autres attaquants qui exploitent le malware pour injecter dans le SI visé leurs propres programmes malveillants.

Actualités

Cyber Risques devient L'1FO-CR Le journal des risques cyber

Le numéro 1 est paru le 21 septembre.
Télécharger L'1FO-CR n°1 (accès abonnés)

Né au début de l'année, distribué vaille que vaille durant le début du confinement fin mars, Cyber Risques, nouvelle publication dédiée à la sécurité informatique créée à la suite de Mag-Securs, n'a pas pu bénéficier de la part de l'INPI d'un enregistrement de marque classique, sans réserves. Il est en effet de plus en plus difficile de donner à un titre de presse un nom clair et explicite comme Femme actuelle, Auto-Moto, Le Télégramme, Le Bien public. Toute expression du langage commun est désormais rejetée. Le nom Cyber Risques ne peut donc pas être protégé comme marque déposée.

Comme il était exclu de prendre le moindre risque de prêter à confusion ou de ne pas être en conformité avec la législation en vigueur -ce qui est la moindre des choses pour une publication consacrée à la SSI-, ceci nous a conduit à renoncer à utiliser le titre Cyber Risques et à rapprocher davantage notre publication du portail d'informations L'1FO de L'Informaticien en l'appelant désormais «L'1FO-CR, le journal des risques cyber». Format (grand) et contenu (diversifié) sont repris de l'un à l'autre. L'1FO-CR est votre nouveau rendez-vous trimestriel ! Vous pouvez acheter le dernier numéro depuis cette page ou mieux vous abonner.

Morceau choisi du n°1

Disponible sur notre boutique en ligne (achat sécurisé SSL via la passerelle de paiement Stripe) :

S'abonner à L'1FO-CR (4 parutions par an).

Actualités

CrowdStrike s'empare de Preempt Security​

Le spécialiste de l'EDR rachète pour 96 millions de dollars Preempt Security, un jeune éditeur à l'origine d'une solution de contrôle des accès. Ce faisant, CrowdStrike fait un pas de plus vers le Zero Trust, tendance dont l'EDR semble parfois le parent pauvre. 

CrowdStrike a annoncé hier son projet de rachat de Preempt Security. La société spécialisée dans la protection des endpoints débourse environ 96 millions de dollars, dont 86 millions en cash et le reste en stock options, pour s’offrir cette jeune pousse opérant pour sa part dans le monde de la sécurité des accès.  

“Avec cette acquisition, CrowdStrike prévoit d'étendre ses capacités Zero Trust pour intégrer des informations critiques autour de l'identité et nous prévoyons de fournir un nouveau module dans le cadre de la plate-forme CrowdStrike Falcon, une fois l'intégration de Preempt terminée. George Kurtz, CEO et cofondateur de Crowdstrike Fondée en 2014, Preempt fournit à ses clients une solution de gestion des accès dite de “conditional access” (lire plus bas). Concrètement, sa plateforme répertorie tous les utilisateurs du réseau d’une entreprise et va s’appuyer sur les identités, les comportements et les risques pour détecter une éventuelle menace et réguler les accès de manière appropriée. Elle s’appuie sur des algorithmes de machine learning et sur les règles de l’entreprise pour ce faire. 
 Zero Trust

Ainsi, Preempt s’inscrit dans une démarche Zero Trust alors que les architectures toujours plus hybrides rendent la sécurité périmétrique obsolète (lorsque seule ligne de défense d’une entreprise). Et ça, les éditeurs d’EDR le savent. Le rachat de la jeune pousse permettra à CrowdStrike de combiner la sécurité des workloads avec la protection par l’identité. 

CrowdStrike entend intégrer la technologie d’accès conditionnel de Preempt à sa plateforme Falcon, afin de renforcer les capacités Zero Trust de cette dernière. Falcom, principale offre de CrowdStrike, comprend jusqu’à présent de la détection de menaces, des outils de réponse aux incidents et de la visibilité sur le réseau de l’entreprise.

L’accès conditionnel, c’est quoi ?
Le Conditional Access, ou accès conditionnel, domaine dans lequel oeuvre Preempt, est une stratégie de contrôle des accès aux ressources (données, applications, etc.) de l’entreprise. Il s’agit d’un système que l’on pourrait schématiser en if/then, dans lequel des signaux sont agrégés (par exemple tel utilisateur souhaite accéder à telle ressource à telle heure depuis tel endroit) de sorte à fournir la marche à suivre (bloquer ou autoriser l’accès ou encore demander un étape d’authentification supplémentaire par rapport aux politiques d’accès (en fonction de l’emplacement de l’IP, des droits de l’utilisateur ou encore du type d’appareil qu’il utilise). La finalité de cette forme de contrôle d’accès est de garantir la sécurité du SI sans toutefois freiner l’utilisateur (et donc réduire sa productivité). Schéma du Conditional Access selon Microsoft.
Actualités

Le Campus Cyber s'installera à La Défense

Le projet de Campus Cyber porté par Michel Van Den Berghe posera ses valises en septembre 2021 à La Défense, en région parisienne, dans la tour Eria. Y est attendu un millier de salariés du secteur de la cybersécurité, de l'Anssi à Orange en passant par l'Epita.

L'immeuble Eria, situé dans le quartier Bellini à Puteaux, en contrebas de l'Esplanade de la Défense, doit être livré ce trimestre.

On sait désormais où le Campus Cyber prendra ses quartiers. Fin juillet, Michel Van Den Berghe, le patron d'Orange Cyberdefense mandaté en juillet 2019 par Matignon pour piloter ce projet, nous confiait avoir remis au gouvernement cinq propositions, dont trois à La Défense (interview à lire dans InfoCR numéro 2). Etaient recherchés des lieux existants offrant entre 17 000 et 20000 mètres carrés, susceptibles d'accueillir entre 800 et 1000 spécialistes. Une décision était prévue courant octobre, à l'occasion des Assises de la Sécurité qui se tiendront à Monaco, en attendant que le gouvernement se prononce sur l'option de son choix. Nous étions alors au lendemain du remaniement.

Depuis, Cédric O a retrouvé son poste de secrétaire d'Etat au Numérique et les choses se sont, semble-t-il, accélérées. Selon Le Figaro, le choix de l'exécutif s'est porté sur la Tour Eria. Cet immeuble de 26 000 mètres carrés dont la construction doit s'achevée ce trimestre coche en effet toutes les cases du cahier des charges de Michel Van Den Berghe. Situé dans le quartier Bellini, à Puteaux, en contrebas de l'Esplanade de la Défense, il est situé à quelques minutes de marche de la Ligne 1 du métro et est desservi par plusieurs lignes de bus.

Ouverture en septembre 2021

La tour hébergera donc le millier de salariés attendu en septembre 2021. Une date surprenante : le patron d'Orange Cyberdefense nous expliquait en juillet vouloir tenir le calendrier initial, c'est-à-dire  avoir un lieu prêt à accueillir les entreprises dès la fin du premier trimestre 2021. Toujours est-il qu'une soixantaine d'entreprises, d'organismes de formation et d'agences de l'Etat ont adhéré au projet de Campus Cyber, parmi lesquelles Atos, Orange, Capgemini, l'Anssi ou encore l'Epita.

Et ce ne sera qu'un début. L'immeuble Eria est en effet destiné à accueillir des activités surtout tertiaires. La "deuxième jambe" du Campus Cyber sera quant à elle posée au plateau de Satory, dans les Yvelines, pour la cybersécurité du secteur industriel et les activités qui exigent plus de surface. En outre, se refusant à une démarche jacobine, Michel Van Den Berghe entend mettre en place un réseau de campus en s'appuyant sur des structures existantes ou à créer en région. “Nous avons des soutiens forts. La région des Hauts de France réfléchit à une unité satellite dédiée à la sécurisation des PME et PMI, tandis que les Pays de Loire sont sur la partie smart cities, et la Bretagne sur tout ce qui touche à la défense et aux activités sensibles. Nous regardons à l’extérieur de Paris et avons déjà des accords tacites avec plusieurs régions” soulignait-il.

Actualités

Zoom ajoute l'authentification multifactorielle pour tous

L'outil de vidéoconférence, un temps montré du doigt pour sa sécurité un brin défaillante, fait depuis amende honorable en multipliant les fonctionnalités de sécurité. Il annonce ainsi le support de l'authentification double facteur pour l'ensemble de ses utilisateurs toutes plateformes confondues.

Zoom active la 2FA sur desktop et mobile pour tous ses utilisateurs

On se rappellera que Zoom, au début du confinement, suscitait la controverse sur les questions de sécurité et de protection des données. L’entreprise a eu fort à faire pour corriger le tir. Non sans un certain succès, en témoignent ses résultats trimestriels. Poussant plus loin cette démarche, Zoom annonce qu’il supporte désormais la double authentification, 2FA pour les intimes. 

Dans les faits, Zoom offrait déjà la double authentification, mais uniquement dans la version web de son service. Elle est désormais disponible pour les clients mobiles et desktop, et pour l'ensemble des utilisateurs, y compris les titulaires de comptes gratuits. En outre, l'outil ne proposait jusqu'à présent que le 2FA par le biais d'applications dédiée, telle que Google Authentification.

Sécurité renforcée

Désormais Zoom offre deux possibilités pour s'authentifier. "Avec la double authentification, les utilisateurs ont l'option d'utiliser des applications d'authentification qui supportent le protocole Time-Based  One-Time Password (TOTP) (à l'instar de Google Authenticator, Microsoft Authenticator et FreeOTP), ou que Zoom envoie un code par SMS ou appel téléphonique en tant que second facteur du processus d'authentification" écrit Zoom dans un post de blog. Un choix qui s'explique sans doute par la volonté de simplifier l'authentification, notamment pour les clients légers, mais qui appelle à la prudence. La faiblesse de plus en plus flagrante du 2FA par SMS est fréquemment pointée du doigt comme aisément contournable par un attaquant. 

Notons que Zoom en profite également pour proposer des codes de récupération, utile pour récupérer l'accès à son compte en cas de perte ou vol du terminal.

La double authentification est accessible depuis le Dashboard de Zoom, sous Avancé puis Sécurité. Des options dédiées aux administrateurs permettent également d'administrer plus finement l'option, par exemple en fonction de comptes ou de groupes spécifiques, ainsi que forcer la réinitialisation de l'authentification double facteur pour un utilisateur. Moins chère qu'un SSO, la solution conviendra notamment, selon Zoom, aux entreprises et autres organisations qui n'ont ni les moyens ni le temps de mettre en place un système de gestion des identifiants et des mots de passe.

Actualités

BLURtooth : une vulnérabilité permet de contourner les clés d’authentification

Une faille s’est glissée dans les versions 4.2 à 5.0 du protocole Bluetooth. Affectant un composant utilisé pour configurer les clés d’authentification, cette vulnérabilité écrase ces dernières, ou au mieux affaibli leur chiffrement, permettant à un attaquant de se connecter au terminal ciblé. 

Encore une faille dans le protocole Bluetooth ! CVE-2020-15802 affecte le composant CTKD, pour Cross-Transport Key Derivation, du protocole. Entre les versions 4.2 et 5.0, ce composant permet de générer les clés de chiffres lors de l’appairage de deux appareils prenant en charge le Low Energy et le BR/EDR (Basic Rate/Enhanced Data Rate). On parle de Dual-mode : les appareils décident qui de BLE ou de BR/EDR ils préfèrent utiliser, sans avoir à s’appairer une seconde fois sachant que CTKD permet d’écraser les clés de chiffrement . 

Ce qui, dans le cas de BLURtooth, permet une attaque de type man-in-the-middle, l’attaquant écrasant les autres clés d’authentification Bluetooth sur l’appareil ciblé et de s’y connecter. Et donc d’accéder à tout dossier et application qui seraient partagés par ce biais. 

Clés écrasées

Le Bluetooth Special Interest Group précise néanmoins que “pour que cette attaque réussisse, un appareil attaquant doit être à portée d'un appareil Bluetooth vulnérable prenant en charge les transports BR/EDR et LE et CTKD entre les transports et permet l'appariement sur le transport BR / EDR ou LE soit avec aucune authentification (par exemple JustWorks) ou aucune restriction d'accès contrôlée par l'utilisateur sur la disponibilité de l'appairage”. 

Si la norme 5.1 du protocole contient les options permettant d’empêcher l’exploitation de BLURtooth, ce n’est pas le cas des versions antérieures. Quant aux patchs, distribués par chacun des fabricants de terminaux, on ignore encore quand ils pourront être diffusés.

En attendant, le SIG recommande des tests de conformité supplémentaires pour garantir que l’écrasement d’une clé autorisée par une clé non légitime ou plus faible ne soit pas autorisé. Il conseille en outre de limiter les appairages aux seules interactions de l’utilisateur ainsi que la durée du Dual-mode lorsque l’utilisateur n’a pas explicitement appairé son terminal avec un autre appareil.

L'hebdo de l'Info-CR

Abonnez-vous gratuitement 😊

 

Mon panier

 x 

Panier Vide

Notre préférence

Copyright © 2024 L'INFORMATICIEN
- L1FO par l'Informaticien -
Tous droits réservés L'Informaticien
Le magazine L'Informaticien et le site linformaticien.com sont édités par la société PC Presse
Contacts :
  • 88, boulevard de la Villette, 75019 PARIS - FRANCE
  • Tél. +33 1 74 70 16 30
  • Rédaction : [email protected]
  • Abonnements : [email protected]
  • Directeur de la publication : Gaël Chervet
  • Rédacteur en Chef : Bertrand Garé
  • Rédacteur en Chef Adjoint : Victor Miget
  • Partenariats / Publicité : +33 1 74 70 16 30 / [email protected]
  • Chef de studio : Franck Soulier
  • L'INFOCYBERRISQUES est édité par PC PRESSE SA au capital de 130.000 euros, 443 043 369 RCS PARIS
Une société du Groupe Ficade
Powered by Mediamatis