Risques d’infection dans le médical des Objets Connectés

Un des problèmes de la montée en puissance de l’Internet des objets ? La sécurité.

Spécialistes, constructeurs, éditeurs répètent à longueur de conférences qu’il faut absolument que l’IoT soit « secure by design ». Entendez par là que les capteurs, le protocole de communication, la plateforme de traitement de l’information, l’architecture soient sécurisés dès leur conception.

Oui mais voilà, c’est sans compter sur le fameux héritage technique. Le monde de la santé rentre typiquement dans ce cadre et tout particulièrement les outils médicaux connectés. On pense ici aux IRM, scanners, radios, ou pompes à insuline. Ces équipements sont de plus en plus ciblés par les cyberattaquants, car ils sont moins bien protégés que des PC ou des serveurs.

Conséquence de cette faible sécurité, les vieux virus se rappellent aux bons souvenirs des administrateurs et des RSSI. Un rapport de la société de sécurité TrapX Labs, disséquant une attaque baptisée MEDJACK.2, montre que les attaques utilisent des malwares comme networm32.kido.ib ou le ver Conficker en complément de menaces plus sophistiquées. Moshe Ben Simon, co-fondateur de TrapX, résume bien ce paradoxe : « un loup intelligent déguisé avec des vieux habits de mouton ».

Mise en place de backdoors

Premier constat, les équipements médicaux connectés à Internet fonctionnent avec des versions de Windows non corrigées allant de XP (qui n’est plus supporté par Microsoft) aux versions 7 et 8. Des cibles de choix pour les anciens virus. « Ces vieux virus sont utilisés avec des malwares (en l’occurrence MEDJACK.2) plus élaborés pour installer des backdoors dans l’établissement de santé et ensuite mener une campagne par exfiltration de données, voire se transformer en #ransomware », souligne le rapport.

Les échantillons de Conficker que les experts de la société de sécurité ont analysé, montrent que le ver a été modifié pour avoir une meilleure capacité à se déplacer dans un réseau. Pire, son évolution fait qu’il est devenu indétectable pour les équipements médicaux. Dans son enquête auprès de 3 hôpitaux, TrapX relève qu’aucune alerte n’a été remontée par les établissements sur la présence de Conficker.  A son apogée en 2009, Conficker avait infecté entre 9 et 15 millions d’ordinateurs. Il avait, comme capacité, de casser les mots de passe, d’enrôler les PC dans des botnets, etc. La version actuelle est diffusée par phishing envoyé aux personnels de l’hôpital.

Les données patients : la ruée vers l’or

L’objectif de ces attaques : obtenir les dossiers patients. Des informations très demandées sur le Dark Web et affichant une forte valeur marchande au marché noir. « Les cybercriminels peuvent voler l’identité d’un patient pour se faire rembourser par les assurances des traitements coûteux et, en plus, revendre ces traitements au marché noir ». TrapX estime qu’un dossier médical se monnaye entre 10 et 20 dollars sur le marché, contre 5 dollars pour une information financière. En début de semaine, on apprenait le vol de 9,3 millions de données de santé de citoyens américains. Le calcul est vite fait…

Article original de Jacques Cheminat

Réagissez à cet article

Cybersécurité : êtes-vous bien protégé?

« Ces dommages peuvent nuire à la réputation d’un cabinet, l’exposer à des pertes financières et perturber gravement ses activités », prévient l’Association canadienne des courtiers de fonds mutuels (ACFM) dans un bulletin sur la cybersécurité publié la semaine dernière.

Selon des sondages réalisés aux États-Unis en 2011 et 2014 par le Financial Industry Regulatory Authority (FINRA), le secteur des valeurs mobilières est exposé à trois menaces de cybersécurité principales :

1. Les pirates informatiques qui infiltrent les systèmes d’une entreprise;
2. Les initiés qui compromettent les données d’un cabinet ou de ses clients;
3. Les risques opérationnels.

QUE FAIRE?

Pour se prémunir contre ces menaces, l’ACFM suggère à ses membres de se doter d’un cadre de cybersécurité, adapté à la taille de leur cabinet, en cinq étapes :

1. Identifier les biens qui doivent être protégés, de même que les menaces et les risques à leur égard;
2. Protéger ces biens à l’aide des mesures appropriées;
3. Détecter les intrusions et les infractions à la sécurité;
4. Intervenir s’il se produit un évènement de cybersécurité potentiel;
5. Évaluer l’incident et améliorer les mesures de sécurité à la lueur des évènements.

Pour mener à bien ce plan, l’ACFM propose de nombreuses pistes d’action que les cabinets peuvent suivre selon l’envergure de leurs activités.

Parmi elles, assurer la sécurité physique des lieux, notamment contre les menaces humaines, mais aussi environnementales, s’avère un incontournable, tout comme la mise en place de mesures de protection des systèmes (pare-feu récents, chiffrement des réseaux sans fil, processus de sauvegarde et de récupération, protocoles de mots de passe, etc.).

L’Association suggère également de se doter d’une procédure d’enquête sur le personnel, les sous-traitants et les fournisseurs, ainsi que d’instaurer une politique de cybersécurité et une formation continue obligatoire à ce sujet. Former une équipe d’intervention en cas d’incident peut aussi s’avérer une bonne idée.

Il importe de tester régulièrement la vulnérabilité des systèmes pour en détecter les failles et mieux les corriger. En cas d’incident, il est essentiel de le divulguer, rappelle l’ACFM, notamment au commissaire à la protection de la vie privée dans certains cas.

Finalement, il existe des assurances spécifiquement pour les menaces de cybersécurité.

Article original de conseiller.ca

Réagissez à cet article

Facebook vous suit à la trace pour vous suggérer des amis

La fonction « Vous connaissez peut-être » de Facebook est souvent surprenante par sa précision, suggérant généralement des contacts pertinents. Si le site n’a jamais révélé vraiment les méthodes utilisées pour faire mouche aussi souvent, un de ses secrets vient en revanche d’être découvert : la géolocalisation permettrait de déterminer les personnes que vous fréquentez et qui disposent d’un compte. Concrètement, si deux personnes disposant d’un compte Facebook se trouvent au même endroit et ont activé la géolocalisation, le site proposera alors de les mettre en relation sur le réseau social.
« La localisation elle-même ne suffit pas à déterminer que deux personnes peuvent être amies », indique un porte-parole de Facebook au journal anglais The Telegraph. Et c’est justement un des arguments avancés par les détracteurs de cette fonction, qui y voient une atteinte à la vie privée. Le site n’étant pas capable de déterminer si deux personnes se trouvant au même endroit sont amies, ou même si elles se connaissent réellement, l’usage d’une telle fonction peut sembler abusif sur certains aspects, et poser quelques problèmes concernant l’anonymat que certains voudraient conserver en public. Facebook a cependant indiqué que cette fonction n’était aujourd’hui plus active sur son application mobile, et que celle-ci avait simplement fait l’objet d’un test limité. Les plus inquiets peuvent néanmoins désactiver la géolocalisation pour l’application.

Article original de Nicolas AGUILA

Réagissez à cet article

Des chercheurs volent des données en utilisant le bruit des ventilateurs d’un PC

Réagissez à cet article

Inquiétantes intrusions dans les réseaux d’entreprises

Le Secrétariat général de la défense et la sécurité nationale (SGDSN) et l’Anssi, deux services rattachés à Matignon, ont présenté lundi les trois premiers arrêtés liés à la protection des opérateurs d’importance vitale dans la santé, la gestion de l’eau et l’alimentation, qui entreront en vigueur le 1er juillet.
« Il y a de plus en plus d’attaquants, ce sont des agents dormants qui préparent les choses », a expliqué Guillaume Poupard à des journalistes. « Il y a eu beaucoup de cas à traiter ces derniers mois ».
Ces intrusions, par exemple par le biais d’emails piégés envoyés dans les entreprises, permettent aux attaquants de cartographier un réseau en toute discrétion et, en passant d’un réseau à l’autre, de pénétrer dans des zones inattendues.
« Ils prennent pied progressivement (..) et on les retrouve très profond au sein des réseaux d’entreprises, à des endroits où il n’y a même plus d’informations secrètes à voler, par exemple sur les systèmes de production de contrôle qualité », a ajouté Guillaume Poupard.
Ce nouveau type d’intrusion est d’autant plus inquiétant qu’il est presque plus facile d’entrer dans un réseau pour en modifier le fonctionnement ou en prendre le contrôle que pour voler des données, a-t-il souligné.
Au contraire de la banque, de l’aérospatiale et de l’automobile, habitués à surveiller de près leurs réseaux, l’industrie est encore mal préparée, étant moins sujette aux vols de données, a noté Guillaume Poupard.
« L’idée que des gens qui depuis l’autre bout du monde puissent chercher à détruire leur système de production c’est un nouveau scénario qui n’a pas vraiment d’équivalent dans le monde réel », a-t-il souligné.
Pour mieux défendre les PME, « un des maillons faibles », cible rêvée d’un attaquant, il prône le recours aux solutions de « cloud computing » des spécialistes de la sécurité numérique et à l’intégration de systèmes de protection dans les machines outils et les automates industriels dès leur conception. (Cyril Altmeyer, édité par Jean-Michel Bélot)

Réagissez à cet article

Des caméras de surveillance piratées pour mener des attaques DDoS

Des caméras de surveillance piratées pour former un botnet

Il y a quelques heures, l’entreprise Sucuri, spécialisée dans la sécurité informatique, a découvert que des hackers avaient réussi à prendre le contrôle de quelques 25 000 caméras de surveillance présentes au quatre coins de la planète.

Mais l’objectif des pirates n’était pas que de récupérer des images ou d’espionner des individus puisqu’ils ont utilisé les caméras de surveillance pour créer un botnet, autrement dit un réseau de machines contrôlées à distance par un seul et même individu.

Capables d’agir ensemble, les 25 000 caméras ont ainsi pu être à l’origine d’attaques DDoS contre plusieurs sites Internet. En effet, les hackers se sont servis du réseau de caméras de surveillance pour envoyer des requêtes simultanées sur des sites causant ainsi leur paralysie pendant de longues minutes.

Une preuve supplémentaire de la menace que laissent planer les objets connectés

Si l’utilisation d’objets connectés par les pirates pour mener des attaques DDoS est tout sauf une nouveauté, c’est l’ampleur de l’attaque qui surprend. En effet, même les spécialistes sont restés « coi » devant la capacité d’un réseau de 25 000 caméras de surveillance à générer autant de requêtes simultanément.

L’autre surprise tient au fait que les caméras piratées sont dispatchées aux quatre coins de la planète. 2% seraient d’ailleurs basées en France alors que c’est aux Etats-Unis, en Indonésie et à Taïwan que la majorité d’entre elles se situerait.

Sucuri a d’ailleurs cherché à comprendre ce que pouvait avoir en commun l’ensemble de ces appareils et la piste la plus sérieuse mène à BustyBox, un système qui serait intégré à tous. Or, une importante faille avait été découverte au printemps dans celui-ci ce qui aurait pu permettre à des pirates de l’exploiter pour commettre leurs actions.

Affaire à suivre…

Article original de Jérôme DAJOUX

Réagissez à cet article

Vidéo sur l’étude du marché de la cybersécurité par Xerfi

[vimeo 132436686 w=640 h=360]Article original de Alexandre Boulègue

Réagissez à cet article

Edward Snowden dénonce une loi « Big Brother » et la « surveillance de masse » en Russie

« La nouvelle loi russe Big Brother constitue une violation inapplicable et injustifiable des droits qui ne devrait jamais être promulguée », a écrit sur Twitter le lanceur d’alerte, qui a fui les Etats-Unis pour révéler l’ampleur de la surveillance menée par les services de renseignement américains.

« La surveillance de masse ne marche pas. Ce texte va coûter de l’argent et de la liberté à chaque Russe sans améliorer la sécurité », a-t-il insisté dans un second message.

Des lois extrêmement répressives

Adoptés vendredi lors de la dernière séance de la Douma (chambre basse) avant les législatives du 18 septembre, les projets de loi en question obligent en particulier les opérateurs de télécommunications et internet à stocker les messages, appels et données des utilisateurs pendant six mois pour les transmettre aux « agences gouvernementales appropriées » à leur demande.

Les réseaux sociaux se voient également obligés de stocker les données pendant six mois, selon l’un de ces textes qui doivent encore être approuvés par le Conseil de la Fédération (chambre haute) et promulgués par M. Poutine.

Ce délai de six mois « n’est pas seulement dangereux, il est inapplicable », a prévenu M. Snowden, qui avait été critiqué, par le passé, pour ne pas critiquer assez sévèrement le régime de Vladimir Poutine.

Ces lois ont été dénoncées par l’opposition russe comme une tentative de « surveillance totale » de la part des autorités, mais aussi par les entreprises du numérique qui ont critiqué un coût exorbitant.

Elles introduisent par ailleurs des peines de prison pour la non-dénonciation d’un délit, abaissent l’âge de la responsabilité pénale à 14 ans et introduisent des peines allant jusqu’à sept ans de détention pour la« justification publique du terrorisme », y compris sur internet.

Article original Le Monde

Réagissez à cet article

Bulletin sécurité du 13 juin 2016 du CERTFR

Voici le dernier bulletin d’actualité : CERTFR-2016-ACT-024

1 – Sonde de détection d’intrusions réseau – Comment implémenter les points de mesure ?

Une sonde de détection d’intrusions réseau est un équipement passif, elle ne s’insère donc pas en coupure sur un flux de production. Il est donc nécessaire, pour implémenter les points de mesure définis, d’assurer une duplication en temps réel de l’activité réseau à analyser.

Deux techniques différentes existent pour dupliquer un trafic réseau : la première, généralement appelée « port miroir », est logicielle, et s’appuie sur les équipements réseau déjà en place ; la seconde, généralement appelée « tap », s’appuie sur des boîtiers matériels dédiés à cette fonction. Nous allons voir les avantages et les inconvénients de ces deux solutions.

Port miroir

La majorité des commutateurs du marché permettent de configurer une recopie logicielle de tout ou partie du trafic sur un ou plusieurs ports physiques dédiés. Le port miroir peut être un choix peu coûteux, si les équipements existants d’un réseau disposent déjà de cette fonctionnalité.

Toutefois, la recopie logicielle du trafic n’est pas sans risque. En effet, si l’équipement atteint sa limite de capacité sur ses fonctions « principales » (comme par exemple : la commutation de paquets, le routage, etc.), des fonctions annexes comme la recopie de paquets peuvent être dégradées, entraînant dans un tel cas des pertes sur l’activité à superviser.

La recopie logicielle peut également altérer le signal, car les couches basses réseau sont analysées et traitées par les commutateurs. Cette technique ne garantit donc pas la recopie de l’intégralité du trafic commuté sur le réseau de production. Étant donné qu’un seul paquet perdu sur un flux volumineux peut empêcher l’analyse par la sonde ou l’évader, il est primordial de considérer ce problème et de superviser la charge des commutateurs, si cette technique est mise en place.

La mise en place d’un port miroir sur un équipement du réseau augmente aussi la consommation de ressources : cela peut donc également dégrader le réseau de production. Une attention particulière doit être apportée au fond de panier, car le débit total commuté par l’équipement est décuplé.

D’autre part, il est important d’intégrer les ports miroirs dans les procédures d’exploitation : lors du remplacement d’un équipement ou d’un changement de configuration, il faut s’assurer que la recopie est toujours opérationnelle et qu’il n’y a pas de perte d’une partie des flux.

Une erreur de configuration peut également autoriser des communications depuis le réseau de duplication, voire même entre la sonde et le réseau de production.

Par contre, la mise en oeuvre d’un port miroir peut se faire sans interruption du réseau en production à superviser, à condition de disposer de suffisamment de ports physiques libres au niveau des commutateurs où les points de mesure sont effectués.

TAP

Un TAP garantit la recopie stricte du signal reçu : aucune analyse des couches au-delà de celle physique n’est réalisée. Le signal est régénéré électriquement pour des TAP cuivre, et la lumière est divisée sur deux chemins pour les TAP fibre. La mise en oeuvre d’une duplication de trafic sur un réseau en production nécessite une brève interruption du lien à superviser : celle-ci correspond au temps nécessaire pour placer le boîtier TAP en « coupure », c’est-à-dire sur le chemin de câble.

Pour les TAP alimentés, un défaut d’alimentation arrête la duplication, mais le TAP reste passant pour le lien coupé, moyennant généralement une microcoupure de quelques millisecondes.

Pour les TAP fibre, une partie de la lumière incidente étant réfléchie et l’autre réfractée, le signal est affaibli en fonction de proportions précisées dans la documentation du TAP.

Contrairement au port miroir, le TAP garantit également l’isolation entre le réseau de production et le réseau de détection.

Le prix d’un boîtier de duplication de trafic (TAP) varie entre une centaine d’euros et un millier, en fonction du type de média à dupliquer.

Conclusion

En conclusion, bien que ces deux méthodes permettent la duplication du trafic, il est conseillé de privilégier l’utilisation d’équipement dédié afin de garantir la séparation entre le réseau de production et le réseau de détection, ainsi qu’une recopie à l’identique des flux réseau.

2 – Rappel des avis émis

Dans la période du 06 au 12 juin 2016, le CERT-FR a émis les publications suivantes :

• CERTFR-2016-AVI-190 : Vulnérabilité dans VLC Media Player
• CERTFR-2016-AVI-191 : Multiples vulnérabilités dans Google Android (Nexus)
• CERTFR-2016-AVI-192 : Multiples vulnérabilités dans Wireshark
• CERTFR-2016-AVI-193 : Multiples vulnérabilités dans Mozilla Firefox
• CERTFR-2016-AVI-194 : Multiples vulnérabilités dans les produits Symantec
• CERTFR-2016-AVI-195 : Multiples vulnérabilités dans PHP
• CERTFR-2016-AVI-196 : Multiples vulnérabilités dans SCADA les produits Siemens
• CERTFR-2016-AVI-197 : Vulnérabilité dans Citrix Xenserver
• CERTFR-2016-AVI-198 : Multiples vulnérabilités dans les produits VMware
• CERTFR-2016-AVI-199 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu

Réagissez à cet article

Finalement Apple collectera des données personnelles, avec votre accord

 
Point d’achoppement et de différence avec Google, Facebook et autres, votre vie privée et les données qui y sont associées sur vos appareils n’intéressent pas Apple.
Jusqu’alors, Apple s’est toujours refuser à accéder ou collecter vos données.

Cependant les nouvelles fonctionnalités de suggestion et d’identification d’iOS 10 ne peuvent se prétendre pertinentes sans avoir accès à un minimum de données !
Les techniques de « differential privacy » mises en oeuvre pour iOS 10 ne permettront pas une identification de l’utilisateur qui fournit ses données mais Apple, selon Recode, vous- demandera votre accord avant d’attaquer toute collecte d’information.

Dans un premier temps, le type de données collectées sera limité à quatre domaines :
– les nouveaux mots ajoutés au dictionnaire personnel d’iOS,
– les émoticônes utilisées,
– les liens profonds marqués comme public dans les applications,
– les suggestions de recherche dans les notes.

Pour ne pas rater le train de l’intelligence artificielle, Cupertino ne pouvait pas rester à l’écart d’une forme de collecte et d’exploitation de données. Cependant, ne souhaitant pas en faire directement commerce ni renier ses grands principes, Apple se doit de naviguer entre deux eaux et d’innover dans ce domaine.

On est encore loin de la façon de procéder de compagnies comme Google et Facebook !

Article original de bpepermans

Réagissez à cet article