Retrouvrer les traces d’une attaque informatique peut s’avérer complexe et coûteuse

Lorsqu’un incident survient, il est généralement difficile pour l’entreprise de définir qui a accédé à son système d’information et ce que cette personne – ou groupe de personnes – a fait. La tâche se complique encore un peu plus lorsque cet incident provient d’utilisateurs internes bénéficiant d’un haut niveau de privilèges sur le système – voire même de la personne en charge de prévenir les attaques sur le réseau.
Que l’incident soit le résultat d’une action malveillante d’un utilisateur interne, d’une erreur humaine ou d’une faille, dès lors que l’entreprise n’est pas capable de remonter les informations, elle passe à côté de preuves cruciales, et rend l’enquête beaucoup plus longue et onéreuse.

 
Le facteur temps : la clé de la réussite
Dans toutes investigations post-incident de sécurité, le temps est un facteur crucial. Pour mener à bien une enquête, il est plus facile, plus précis et généralement moins couteux de conduire une analyse criminalistique, dite forensics, poussée immédiatement, plutôt que plusieurs semaines voire plusieurs mois après l’incident.
L’examen approfondi des logs : remonter les étapes d’une attaque
Lorsqu’une faille est avérée, l’entreprise dépend des logs générés par les terminaux et les applications sur le réseau, pour déterminer la cause initiale et remonter les étapes de l’attaque. En pratique, trier les informations peut prendre des jours – en d’autres termes, cela revient à chercher une aiguille dans une botte de foin.
L’intégrité des logs : le respect du standard des preuves
Si les logs ont été modifiés et qu’ils ne peuvent pas être présentés dans leur format original, l’intégrité des données de logs peut être remise en question lors d’une procédure légale. Les logs doivent respecter le standard légal des preuves, en étant collectés de manière inviolable. A contrario, les logs qui ont été modifiés ou qui n’ont pas été stockés de manière sécurisée, ne seront pas acceptés comme preuve légale dans une cour de justice.
Cependant, même pour les organisations qui ont implémenté des solutions fiables de collecte et de gestion des logs, l’information cruciale peut manquer et ce chainon manquant peut empêcher l’entreprise de reconstituer tout le cheminement de l’incident et ainsi de retrouver la source initiale du problème.

Les comptes à privilèges : une cible fructueuse pour les cybercriminels
En ciblant les administrateurs du réseau et autres comptes à privilèges qui disposent de droits d’accès étendus, voire sans aucune restriction au système d’information, aux bases de données, et aux couches applicatives, les cybercriminels s’octroient le pouvoir de détruire, de manipuler ou de voler les données les plus sensibles de l’entreprise (financières, clients, personnelles, etc.).

L’analyse comportementale : un rempart nouveau pour les entreprises
Les nouvelles approches de sécurité basées sur la surveillance des utilisateurs et l’analyse comportementale permettent aux entreprises d’analyser l’activité de chacun des utilisateurs, et notamment les événements malveillants, dans l’intégralité du réseau étendu.

Ces nouvelles technologies permettent aux entreprises de tracer et de visualiser l’activité des utilisateurs en temps réel pour comprendre ce qu’il se passe sur leur réseau. Si l’entreprise est victime d’une coupure informatique imprévue, d’une fuite de données ou encore d’une manipulation malveillante de base de données, les circonstances de l’événement sont immédiatement disponibles dans le journal d’audit, et la cause de l’incident peut être identifiée rapidement.

Ces journaux d’audit, lorsqu’ils sont horodatés, chiffrés et signés, fournissent non seulement des preuves recevables légalement dans le cadre d’une procédure judiciaire, mais ils assurent à l’entreprise la possibilité d’identifier la cause d’un incident grâce à l’analyse des données de logs.
Lorsque ces journaux sont complétés par de l’analyse comportementale, cela offre à l’entreprise une capacité à mener des investigations forensics beaucoup plus rapidement et à moindre coût, tout en répondant pro activement aux dernières menaces en temps réel…. [Lire la suite]

Réagissez à cet article

Waze : les hackeurs peuvent vous suivre à la trace

Réagissez à cet article

Un botnet de 777.000 PC démantelé

Encore une fois, l’opération a été menée conjointement par Interpol et des acteurs privés de la sécurité informatique comme Kaspersky Lab et Trend Micro. Simda était présent dans plus de 770.000 PC dans 190 pays. Dix serveurs de commande et contrôle ont été saisis aux Pays-Bas, mais des équipements contrôlant ce botnet ont été démantelés aux États-Unis, en Russie, au Luxembourg et en Pologne.

Kaspersky explique que Simda était actif depuis fin 2012 et utilisé pour distribuer de manière décentralisée des malwares divers et variés notamment destinés à détourner (c’est original) des données bancaires. Il s’incrustait dans Windows via une modification des fichiers HOSTS permettant de faire passer pour légitimes des sites Web qui ne l’étaient pas.

Afin de vérifier si votre PC fait ou faisait partie du botnet Simda, Kaspersky a mis en ligne cette page : http://www.generation-nt.com/simda-botnet-malware-interpol-microsoft-kaspersky-trend-micro-actualite-1914093.html

Cette nouvelle victoire illustre l’efficacité des actions internationales et coordonnées public/privé. D’ailleurs dès 2010, le Clusif faisait état des progrès accomplis dans la lutte contre les botnets, grâce notamment à l’implication de différents acteurs clés de l’Internet, et notamment des opérateurs télécoms.. [Lire la suite]

Réagissez à cet article

La France largement ciblée par les attaques DDoS au premier trimestre 2016

Dans le précédent rapport, de la société Incapsula, l’attention sur un nombre croissant d’attaques DDoS de type « flood » à très haut débit lancées contre les clients de l’entreprise au niveau de la couche réseau. Dans ce type d’attaques, des paquets de données de petite taille, ne dépassant généralement pas 100 octets, sont émis à un rythme extrêmement élevé de façon à saturer la capacité des commutateurs réseau, ce qui aboutit à un déni de service pour les utilisateurs légitimes.

La vitesse d’émission des paquets est mesurée en Mpps (millions de paquets par seconde). Au 1^er trimestre 2016, la fréquence de ces attaques présentant un nombre élevé de Mpps a été sans précédent. En moyenne, nous avons neutralisé une attaque de plus de 50 Mpps tous le quatre jours et une de plus de 80 Mpps tous les huit jours. Plusieurs de ces attaques ont franchi le cap des 100 Mpps, la plus intense culminant à plus de 120 Mpps.

Nous pensons que ces attaques à très haut débit sont une tentative pour mettre en échec les solutions de neutralisation DDoS de la génération actuelle.

A l’heure actuelle, la majorité des services et appliances de neutralisation sont d’une grande efficacité face aux assauts présentant un nombre élevé de Gbit/s. Cependant, comme les auteurs des attaques s’en rendent compte, bon nombre de ces mêmes solutions n’offrent pas une capacité identique contre les très hauts débits de paquets, car elles n’ont pas été conçues pour en traiter un volume aussi important.

Fait intéressant, nous avons également observé dans le nouveau rapport d’incapsula, l’emploi fréquent d’une combinaison de différents vecteurs pour constituer des assauts plus complexes, avec un débit élevé à la fois en Mpps et en Gbit/s.

Le scénario le plus courant ici est la combinaison d’une attaque de type UDP Flood à très haut débit et d’une attaque par amplification DNS, grosse consommatrice de bande passante. En conséquence, au 1^er trimestre 2016, la fréquence des attaques par amplification DNS a augmenté de 6,3 % par rapport au trimestre précédent.

En outre, nous avons également constaté un accroissement notable du nombre d’attaques multivecteurs. Globalement, celles-ci ont représenté 33,9 % de l’ensemble des assauts sur la couche réseau, soit une hausse de 9,5 % par rapport au trimestre précédent. En termes absolus, le nombre d’attaques multivecteurs est passé de 1326 au 4^ème trimestre 2015 à 1785 au 1^er trimestre 2016.

Couche application : des robots DDoS plus malins

Les attaques DDoS sur la couche réseau, nous avons vu au premier trimestre 2016 les auteurs d’attaques passer à la vitesse supérieure et se concentrer sur des méthodes susceptibles de contourner les mesures de sécurité. La meilleure illustration en est une augmentation du nombre de robots DDoS capables de se glisser au travers des mailles du filet, à savoir les tests couramment utilisés pour filtrer le trafic d’attaque.

Au 1^er trimestre 2016, le nombre de ces robots a explosé pour atteindre 36,6 % du trafic total des botnets, contre 6,1 % au trimestre précédent. Dans le détail, 18,9 % étaient capables d’accepter et de conserver des cookies, tandis que les 17,7 % restants pouvaient également interpréter du code JavaScript.

De telles capacités, combinées à une empreinte HTTP d’apparence authentique, rendent les robots malveillants indétectables par la plupart des méthodes. Les attaques DDoS se démultiplient !

En dehors de l’utilisation de robots plus sophistiqués, les assaillants explorent de nouvelles méthodes d’exécution des attaques sur la couche application. Les plus notables d’entre elles sont de type HTTP/S POST flood, employant des requêtes très longues pour tenter de saturer la connexion réseau de la cible.

Enfin, nous avons également observé un accroissement continu de la fréquence des assauts. Au premier trimestre 2016, un site sur deux victime d’une attaque a été ciblé plusieurs fois. Le nombre de sites attaqués entre deux et cinq fois est passé de 26,7 % à 31,8 %.

Les attaques DDoS : la Corée du Sud en tête des pays à l’origine des attaques

A partir du deuxième trimestre 2015, nous avons enregistré une forte recrudescence de l’activité des botnets DDoS provenant de Corée du Sud, une tendance qui s’est poursuivie ce trimestre. Cette fois, étant à l’origine de 29,5 % de l’ensemble du trafic DDoS sur la couche application, le pays s’est hissé en tête de liste des attaquants.

Un examen plus approfondi des données concernant les attaques DDoS révèle que la majorité du trafic d’attaque émanant de Corée du Sud provient de botnets Nitol (52,9 %) et PCRat (38,2 %). Plus de 38,6 % de ces attaques ont été lancées contre des sites web japonais et 30,3 % contre des cibles hébergées aux Etats-Unis.

Il est intéressant de noter, au cours de ce trimestre, une forte augmentation de l’utilisation de Generic!BT bot, un chevalde Troie connu pour infecter les ordinateurs Windows. Celui-ci a été identifié pour la première fois en 2010 et nous voyons aujourd’hui ses variantes employées pour pirater des machines dans le monde entier.

Au 1^er trimestre 2016, des variantes de Generic!BT ont ainsi été utilisées dans des attaques DDoS issues de 7756 adresses IP distinctes réparties dans 52 pays, principalement en Europe de l’Est. La majorité de cette activité a été tracée jusqu’en Russie (52,6 %) et en Ukraine (26,6 %).

Conclusion : les attaques DDoS conçues contre les solutions de neutralisation

Les années précédentes, la plupart des attaques observées avaient pour but de causer un maximum de dommages aux infrastructures ciblées. Il s’agissait typiquement d’assauts de force brute, de type « flood », frappant avec une grande capacité et sans faire de détail. Les attaques plus sophistiquées étaient alors rares.

Cependant, au cours des derniers mois, nous avons enregistré un nombre croissant d’attaques orchestrées par rapport aux solutions de neutralisation DDoS. La diversité des méthodes d’attaque ainsi que l’expérimentation de nouveaux vecteurs semblent indiquer un changement de priorité, les assauts étant de plus en plus conçus pour paralyser les solutions de neutralisation, et non plus uniquement la cible.

D’une part, cela dénote l’omniprésence des services et appliances de protection DDoS, qui sont appelés à devenir partie intégrante de la majorité des périmètres de sécurité pour espérer contrer les attaques DDoS. D’autre part, cela illustre également le défi auquel le secteur de la neutralisation DDoS va être confronté : des attaques de plus en plus élaborées qui exploitent les points faibles de ses propres technologies… [Lire la suite]

Réagissez à cet article

Une faille du Login de Facebook corrigée

Les Bitdefender Labs ont révélé une vulnérabilité  lors de l’authentification en ligne sur des sites Web tiers via Facebook. Un manque de mesure de sécurité lors de la validation permet aux pirates d’usurper l’identité des internautes et d’accéder, sans mot de passe, à leurs comptes en ligne.

Les social logins sont une alternative à l’authentification traditionnelle et un mode apprécié par les utilisateurs pour leur côté pratique : ils permettent aux utilisateurs de se connecter à leurs comptes Web sans saisir leur nom d’utilisateur ni leur mot de passe. La plupart des sites offrent des social logins via Facebook, LinkedIn, Twitter ou Google Plus.

Les chercheurs des Bitdefender Labs ont trouvé un moyen d’usurper l’identité de l’utilisateur et d’avoir accès à ses comptes Web en utilisant le plug-in Facebook Login.

« Il s’agit d’une vulnérabilité grave qui permet aux pirates de créer un compte avec une adresse e-mail ne leur appartenant pas et de changer l’adresse e-mail liée au compte d’un site par une autre adresse non vérifiée », prévient Ionut Cernica, chercheur spécialiste des vulnérabilités chez Bitdefender. « Cela signifie qu’un pirate peut effectuer des paiements en ligne au nom de l’utilisateur, arrêter son moteur antivirus pour infecter ses périphériques, propager des malwares à ses contacts et bien plus encore. »

Pour que l’attaque réussisse, l’adresse e-mail de la victime ne doit pas déjà être enregistrée sur Facebook. La plupart des internautes ont plus d’une adresse e-mail publiée sur différents sites Web, accessibles à tout le monde. Il est donc assez simple pour le pirate d’obtenir une de ces adresses et de créer un compte Facebook avec cette dernière.

Pour vérifier l’identité d’un utilisateur sans exposer ses identifiants d’authentification, Facebook Login utilise le protocole OAuth. Grâce à OAuth, Facebook est autorisé à partager certaines informations de l’utilisateur avec le site Web tiers… [Lire la suite]

Réagissez à cet article

Le hacking légal et rémunéré, vous connaissez ?

« Toute personne qui a tenté de commettre ou commis le délit prévu au présent article est exempte de peine si elle a immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause d’un risque d’atteinte aux données ou au fonctionnement du système ».

Cet amendement, nommé « Bluetouff » en référence à l’arrêt de la Cour de cassation du 20 mai 2015 qui avait condamné un internaute pour s’être maintenu frauduleusement dans l’intranet de l’ANSES, prévoit, comme en matière d’association de malfaiteurs, une exemption de peine pour toute personne qui, après avoir constaté, voire exploité, une faille de sécurité en informe immédiatement l’autorité publique ou le maître du système.

Il ne s’agit là que d’une exemption de peine, et non d’une exemption de poursuites, ce qui en d’autres termes signifie que l’auteur du hacking, du piratage pourra être poursuivi et déclaré coupable, mais n’aura pas à exécuter de peines pénales.

Par cet amendement, le Gouvernement entend poursuivre un double objectif. D’abord donner une alternative presque légale au hacker du dimanche qui par défi personnel, et non intention de nuire, est parvenu à s’introduire dans un système d’information. A ce titre, il est regrettable que l’amendement Bluetouff ne prévoit qu’une exemption de peine, l’assurance de ne pas être poursuivi pour hacking aurait, à n’en pas douter, été plus convaincante.

En second lieu, il permettrait de participer à la sécurité du réseau. Garantie en poche de ne pas être pénalisés, nombre d’experts en informatique pourraient collaborer avec les sociétés développant des sites internet, applications ou logiciels pour identifier et corriger les vulnérabilités.

Ce dispositif serait, toutefois, incomplet s’il ne pouvait, par ailleurs, s’appuyer sur des initiatives de plus en plus courantes du secteur privé.

Les grands noms de l’internet et de l’informatique sont de plus en plus nombreux à proposer, souvent contre rémunération, aux hackers bien intentionnés de collaborer avec eux pour détecter les failles de sécurité.

Calqué sur ce qui existe déjà aux Etats-Unis avec la plateforme HackerOne, le site européen Bounty Factory mettant en relation hackers et entreprises du net permet depuis peu, en échange de récompenses pour toute faille décelée et corrigée, de signaler en ligne les vulnérabilités.

Législateur et secteur privé s’acheminent progressivement vers un droit au hacking. En attendant, le Code pénal nous rappelle qu’ « accéder ou se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 euros d’amende ».

Virginie Bensoussan-Brulé
Julien Kahn
Lexing Pénal numérique

Réagissez à cet article

Chrome et Safari perdent face aux hackeurs 

La communauté des white hackeurs joue un rôle fondamentale dans la sécurité des applications. Ces experts tentent effectivement de déceler des failles avant qu’elles ne soient exploitées par des personnes malveillantes. Pour inciter ces travaux, les éditeurs de navigateurs offrent des récompenses tout au long de l’année mais prennent également part à des concours. Le plus connu reste certainement Pwn2Own organisé chaque année.

Après une première journée Chrome, Safari et le lecteur Flash n’ont pas résisté aux exploits des hackeurs. Par la même occasion ces vulnérabilités ont permis de mettre à mal les dernières versions de Windows et OS X.

L’équipe 360Vulcan, de la société chinoise Qihoo 360, a réussi à exploiter une faille de Flash Player lui permettant d’exécuter du code à distance avec une autre affectant le kernel de Windows pour obtenir une élévation des droits du système. Ils ont obtenu 80 000 dollars (60 000 pour Flash Player et 20 000 pour Windows).

Cette même équipe a réussi à malmener le navigateur de Google sur le système Windows. Ils ont cette fois combiné 4 vulnérabilités : une au sein de Chrome, deux dans Flash Player et une dans le kernel de Windows. Cet exploit n’a en revanche été récompensé qu’à moitié puisque la faille de Chrome avait précédemment été partagée avec Google… quand bien même 360Vulcan n’était pas au courant. Ils ont toutefois obtenu 52 000 dollars.

De son côté le chercheur coréen JungHoon Lee a obtenir une élévation de droits sur OS X via un hack sur Safari. Il a obtenu 60 000 dollars. L’année dernière, l’homme s’était fait remarquer en obtenant au total 225 000 dollars. Il montrera la semaine prochaine deux autres attaques contre Chrome et Microsoft Edge sur Windows.

Le magazine Computerworld, qui rapporte l’information, ajoute que l’équipe de sécurité de Tencent a obtenu 40 000 dollars en faisant tomber Safari, et 50 000 dollars en présentant une attaque contre Flash Player…. [Lire la suite]

Réagissez à cet article

Adobe alerte sur une (nouvelle) faille critique dans Flash

Les raisons de détester Flash ne manquent pas. Depuis des années, le format conçu par Adobe fait l’objet de vives critiques tout à fait justifiées : de la lourdeur du logiciel à l’intégration médiocre avec le web, en passant par les soucis d’interopérabilité et le fait qu’il s’agisse d’une technologie propriétaire, Flash traîne une vilaine réputation. Pas étonnant que de nombreux acteurs souhaitent le voir disparaître.

À cette liste déjà gratinée, il faut aussi inclure les problèmes de sécurité récurrents. Cela s’est encore vérifié récemment avec la découverte d’une vulnérabilité critique qui affecte toutes les versions du format, y compris la dernière disponible sur le site d’Adobe (numérotée 21.0.0.197). Et le pire, c’est que la brèche en question, identifiée sous le code CVE-2016-1019 est déjà exploitée.

« Une vulnérabilité critique (CVE-2016-1019) existe dans Adobe Flash Player 21.0.0.197 et les versions précédentes dans Windows, Macintosh, Linux et Chrome OS. Une exploitation réussie pourrait provoquer un crash et permettre en théorie à un assaillant de prendre le contrôle du système affecté », commente Adobe, qui confirme que la brèche est d’ores et déjà en cours d’utilisation.

Un correctif est attendu le 7 avril

« Adobe est au courant des informations indiquant que CVE-2016-1019 est en train d’être activement exploité sur les systèmes utilisant Windows 7 et Windows XP avec Flash Player en version 20.0.0.306 et inférieur ». Adobe explique qu’une solution permettant d’atténuer le problème est disponible avec la branche 21.0.0.182, de façon à empêcher l’exploitation de cette faille.

Les utilisateurs sont invités à mettre à jour sans tarder le logiciel Flash, même s’il n’existe pas encore de patch colmatant une bonne fois pour toutes cette brèche. En effet, l’usage d’une version réduisant l’exposition à un piratage à distance constitue déjà une protection supplémentaire. Adobe prévoit de publier dès demain, jeudi 7 avril, une mise à jour de sécurité qui réglera le problème … [Lire la suite]

Réagissez à cet article

Les autorités US invitent les hackers à pirater le Pentagone 

 
Les autorités militaires américaines ont procédé à l’enregistrement des participants au projet Hack the Pentagone (Piratez le Pentagone), a annoncé le porte-parole du Pentagone Peter Cook.
Anonymous déclare la guerre à Donald Trump
Les projets de ce type ont fait leurs preuves dans nombreuses compagnies privées des Etats-Unis et ont pour but de révéler les failles dans leur système de sécurité. En analysant les cyberattaques, les experts peuvent détecter les brèches dans la défense informatique, en vue de les colmater avant que les malfaiteurs ne causent des dégâts.
« Dans le cadre du programme, les participants auront à travailler avec certains sites du département américain de la Défense, ceux-ci étant désignés à la veille du concours », indique le site du Pentagone.

cyberguerre
© PHOTO. PIXABAY
Pourquoi n’a-t-on pas encore coupé la connexion Internet de Daech?
Le projet se déroulera du 18 avril au 12 mai. En cas de succès, les gagnants se partageront une cagnotte de 150.000 dollars. Tous les participants, qui doivent être des citoyens américains, seront soumis à un contrôle de leurs données personnelles.
Le 1er mars, le secrétaire américain à la Défense a présenté le projet à San Francisco, dans le cadre du « Commonwealth Club ». C’est la première fois que l’administration américaine se tourne vers des pirates pour tester sa sécurité.

… [Lire la suite]

Réagissez à cet article

Des Box pourraient être piratées pour mener des attaques DDOS ?

Construire des botnets à partir de routeurs, modems, points d’accès sans fil et autres terminaux réseaux ne nécessite pas d’exploits très sophistiqués. C’est le cas par exemple de Remaiten, un nouveau ver exploitant les routeurs domestiques sous Linux en tirant partie d’une faiblesse liée aux mots de passe du service de gestion réseau distant Telnet.

Remaiten n’est autre que la dernière incarnation de bots Linux distribués spécialement conçus pour lancer des attaques par déni de service (DDoS). Lorsqu’il scanne des points d’entrée, Remaiten tente de se connecter à des adresses IP aléatoires sur le port 23 (Telnet) et, en cas de connexion fructueuse, il tente de s’authentifier en utilisant une combinaison de nom d’utilisateur et mot de passe en provenance d’une liste d’authentifiants communs, ont indiqué dans un billet de blog les chercheurs de l’éditeur en solutions de sécurité Eset. Ce n’est pas la première fois que les routeurs domestiques sont exposés à du piratage. On se souvient que l’année dernière 700 000 avaient été exposés à cause d’une faille NetUSB et plus récemment, des failles avaient été trouvées dans de nombreux routeurs WiFi Netgear et D-Link.

Scan de ports et fermeture du service Telnet pour se protéger
En cas de succès, le bot exécute plusieurs commandes pour déterminer l’architecture système avant de transférer un petit programme compilé pour permettre de télécharger l’ensemble des commandes de contrôle du botnet. Le ver dispose de versions pour jeux d’instructions mips, mipsel, armeabi et armebeabi. Une fois installé, il se connecte à un canal IRC et attend les commandes d’un pirate distant. Ce bot supporte une variété de commandes pour lancer différentes attaques DDoS et peut même scanner d’autres bots DDoS afin de les désinstaller.

Il est surprenant que de nombreux terminaux réseau utilisent encore Telnet pour la gestion réseau à distance plutôt que le protocole plus sécurisé SSH. Il est encore plus malheureux que de nombreux terminaux soient livrés avec le service Telnet ouvert par défaut. Afin de se protéger, il est recommandé d’utiliser un outil de scan de port en ligne et, dans le cas où le port 23 est ouvert, de fermer le service Telnet depuis la console d’administration web. Une possibilité qui n’est malheureusement pas offerte par tous les fournisseurs d’accès à leurs clients… [Lire la suite]

Réagissez à cet article