Du déjà vu sous forme de mail depuis 2006 par le FBI, mais plus récent via SMS et envoyé récemment à des centaines d’australiens. On espère que personne ne sera tombé dans l’énoooorme panneau !

Texte complet : (Sum1 = someone)

“Sum1 paid me to kill you. get spared, 48hrs to pay $5000. If you inform the police or anybody, death is promised…E-mail me now: killerxxxx@xxxxx.com”

Dans la série, voici un autre message datant décembre dernier,et bien réel celui-ci, envoyé par erreur par l’opérateur à de nombreux américains . Il s’agissait semble-t-il d’un exercice d’alerte, qui aurait un peu échappé à ses auteurs…

Imaginons le même en Français (genre : TOUS AUX ABRIS, MAINTENANT !!!),  quelle pourrait-être la réaction ???

Comme tous les grands événements planétaires, les Jeux Olympiques attirent l’attention du plus grand nombre, et donc également des plus malveillants…

Or comme on peut le voir dans l’étude suivante, de plus en plus de passionnés utilisent l’internet (même l’internet mobile) pour accéder à l’information et assister aux épreuves, et ceci notamment en France :

• 26% des personnes interrogées comptent suivre tout ou partie des jeux sur un ordinateur ou une tablette.
• Contre 20% aux USA et en Allemagne et 15% seulement au Royaume Uni.

<- On lit encore en France ?… ah oui, L’EQUIPE…

<- plus de Français connectés !

<- Des Allemands très mobiles…

Et comme de bien entendu, les cyber-arnaques ou cyber-attaques sur le sujet vont fleurir…

En vrac :

• SEO Poisoning : détournement d’algorithmes des moteurs de recherches pour envoyer vers des sites infectés
• Désinformation via réseaux sociaux ou micro-blogging
• Cyber-manifestations diverses pour ou contre tel pays
• Drive by download : téléchargement forcé et invisible de maliciels via des vulnérabilités du navigateur ou des plugins
• Arnaques via spam ou réseaux sociaux : vente de billets, loteries, etc…etc…
• Applications malveillantes pour mobiles et tablettes
• Vrai ou faux sites de streaming (passant les pare-feux…) pour voir les épreuves au bureau (payant parfois !)
• Paris en ligne sauvages
• et probablement d’autres…

Donc, comme toujours : VIGILANCE  et TECHNOLOGIE DE PROTECTION de dernière génération !

Sur internet, quand c’est trop beau pour être honnête, c’est le cas.

Moi.

Pas de pause estivale pour les cyber-criminels, bien au contraire…

Probablement suite à une opération de “phishing” réussie, voici le type de message que vous pourriez recevoir d’une personne ayant votre adresse mail dans son carnet d’adresse ou d’un “ami” de votre réseau social.

Mais évidement, votre vigilance légendaire vous aurait alerté ! (…..ou pas ?)

Exemple le week-end dernier :

Objet : Besoin de ton aide,

Bonjour, J’espère que je ne te dérange pas ?

Aurais tu un bout de ton temps si précieux à me consacrer, car j’ai un besoin pressant de ton aide financier, un petit prêt que je te rembourserai à mon retour de voyage.

Tu peux me contacter par mail, car je suis injoignable téléphoniquement suite à ce qui m’est arrivée.

Je voudrais aussi que cela reste secret entre nous, j’ai besoin de toute ta discrétion.

Pour l’instant je n’ai contacté personne parce que je sais que je peux compter sur toi et aussi que tu peux me venir en aide.

J’attends impatiemment ta réponse.

A très vite j’espère,

[prénom de l'émetteur]

 

Pour mémoire, les 10 priorités parmi 50 recommandations proposées par le Sénateur Bockel dans son rapport sur la cyber-défense : un nouvel enjeu de sécurité nationale.
De très bonnes choses dans l’ensemble, et surtout l’espoir d’une VRAIE prise de conscience générale.

Comme le rapport du Député Lasbordes il y a 6 ans, celui du Sénateur Romani il y a 4 ans…

Alors bonne lecture !

• Priorité n°1 : Faire de la cyberdéfense et de la protection des systèmes d’information une priorité nationale, portée au plus haut niveau de l’Etat, notamment dans le contexte du nouveau Livre blanc. S’interroger sur la pertinence de formuler une doctrine publique sur les capacités offensives ;
• Priorité n°2 : Renforcer les effectifs, les moyens et les prérogatives de l’Agence
  nationale de sécurité des systèmes d’information, ainsi que les effectifs et les moyens
  dédiés au sein des armées, de la direction générale de l’armement et des services
  spécialisés, et développer une véritable politique des ressources humaines ;
• Priorité n°3 : Introduire des modifications législatives pour donner les moyens à
  l’ANSSI d’exercer ses missions et instituer un pôle juridictionnel spécialisé à
  compétence nationale pour réprimer les atteintes graves aux systèmes d’information ;
• Priorité n°4 : Améliorer la prise en compte de la protection des systèmes
  d’information dans l’action de chaque ministère, en renforçant la sensibilisation à tous
  les niveaux, en réduisant le nombre de passerelles entre les réseaux et l’Internet, en
  développant les systèmes d’analyse permettant de détecter les attaques, ainsi qu’en
  rehaussant l’autorité des fonctionnaires de sécurité des systèmes d’information ;
• Priorité n°5 : Rendre obligatoire pour les entreprises et les opérateurs d’importance
  vitale une déclaration d’incident à l’ANSSI en cas d’attaque importante contre les
  systèmes d’information et encourager les mesures de protection par des mesures
  incitatives ;
• Priorité n°6 : Renforcer la protection des systèmes d’information des opérateurs
  d’importance vitale, en réduisant le nombre de passerelles entre les réseaux et
  l’Internet, en développant les systèmes d’analyse, en généralisant les audits, en rendant
  obligatoire la déclaration des processus et automates industriels connectés à Internet et
  en favorisant la mise en place, de manière sectorielle, de centres de détection communs ;
• Priorité n°7 : Soutenir par une politique industrielle volontariste, à l’échelle nationale
  et européenne, le tissu des entreprises françaises, notamment des PME, spécialisées
  dans la conception de certains produits ou services importants pour la sécurité
  informatique et, plus largement, du secteur des technologies de l’information et de la
  communication, et renforcer la coopération entre l’Etat et le secteur privé ;
• Priorité n°8 : Encourager la formation d’ingénieurs spécialisés dans la protection des
  systèmes d’information, développer la recherche et les activités de conseil, et
  accentuer la sensibilisation du public, notamment au moyen d’une campagne de
  communication inspirée de la prévention routière ;
• Priorité n°9 : Poursuivre la coopération bilatérale avec nos principaux alliés, soutenir
  l’action de l’OTAN et de l’Union européenne, engager un dialogue avec la Chine et la
  Russie et promouvoir l’adoption au niveau international de mesures de confiance ;
• Priorité n°10 : Interdire sur le territoire national et à l’échelle européenne le déploiement
  et l’utilisation de « routeurs » ou d’autres équipements de cœur de réseaux qui
  présentent un risque pour la sécurité nationale, en particulier les « routeurs » et
  certains équipements d’origine chinoise.

Bon, on revient dans un an pour un point sur l’avancement des travaux  ?

Ah, j’oubliais un détail : Flamer n’est pas 20 fois plus puissant que Stuxnet, il est juste 20 fois plus GROS (je dis ça, je dis rien…)

Alors que ce matin le Sénateur Bockel remettait son rapport sur la cyber-défense, voici pour information, ce qu’il faut savoir sur “Madi” (Trojan.Madi), campagne d’attaque ciblées visant notamment le moyen-orient et s’appuyant sur de l’ingénierie sociale.

Ce maliciel est capable de dérober de l’information, y compris les frappes clavier, mais sait également se mettre à jour et communiquer avec des serveurs de Command&Control hébergés en Iran, et plus récemment en Azerbaïdjan.

Alors que Flamer, Duqu ou encore Stuxnet utilisaient des techniques évoluées pour pénétrer les systèmes (telles que les vulnérabilités 0-day), l’attaque “Madi” repose sur de l’ingénierie sociale pour accéder aux machines visées.

Les cibles de cette campagne sont nombreuses, et incluent :

• des compagnies pétrolières
• des “think tanks” américains
• un consulat
• des agences gouvernementales
• des agences dans le secteur de l’énergie

Voici un exemple de message ciblé, qui contient un fichier Powerpoint (PPS) infecté :

Dans cet exemple, le lancement du fichier attaché affiche une série d’images provenant d’une vidéo montrant la destruction d’un jet par un missile. Le dernier slide ouvre une fenêtre de dialogue qui demande l’autorisation au destinataire d’exécuter un programme !

Bien que “Madi” ait été détecté un peu partout dans le monde, il cible clairement le moyen-orient, et notamment Israel (chiffres au 18 juillet) :

Si des cibles comme Israël ou l’Arabie Saoudite pourraient suggérer l’implication d’un état, les recherches n’ont rien pu mettre en évidence à ce stade. Les éléments trouvés indiquent plutôt que ces attaques seraient œuvre d’un attaquant inconnu (pour l’instant…), parlant le persan.

A suivre…

Soit 2.887 applications malveillantes sur les 2.047.804 disponibles, d’après le projet SymDroid (voir plus bas…).

Cela peut paraître faible (quoique…) mais cela reste un chiffre à surveiller car en croissance constante. Voici d’ailleurs les statistiques concernant les maliciels ANDROID sur une année :

Il est possible de “creuser” dans ces données (nouvelles applications par mois, par catégorie, niveau de risque…) en utilisant le widget suivant (cliquer sur l’image) :

Par exemple, 88.000 nouvelles applications en février 2011, contre 822.000 en juillet 2012.

Et pour mémoire, le projet SymDroid, c'est ça :

Le très sérieux ICS-CERT vient de publier un rapport détaillé sur les “cyber-incidents” qui ont impacté des organisations possédant et gérant des systèmes de contrôles industriels et faisant partie d’infrastructures critiques, de 2009 à fin 2011 aux USA. De nombreux cas (anonymisés) sont présentés ainsi qu’un état des lieux sans concession (c’est le moins que l’on puisse dire…) des niveaux de sécurité constatés et des mesures à prendre.

Bel effort de transparence en tous les cas…

Voici quelques morceaux choisis, avec pour commencer la “légère” évolution du nombre d’incidents :

Et la ventilation des incidents 2011 par secteur :

Très logiquement, le constat des manques s'étend aux 3 dimensions classiques : PERSONNES, PROCESSUS et TECHNOLOGIE.

PERSONNES :

1. Manque de compréhension globale des risques de sécurité sur les systèmes de contrôle.
2. Manque de considération de l'impact technique de politiques de sécurité inadéquates ou mal implémentées
3. Manque de compétences cyber-sécurité nécessaires à la protection du réseau contre les attaques

PROCESSUS :

1. Manque ou insuffisance de planning concernant la réponse aux incidents (prévention, détection, préservations des preuves, stratégies de reprise)
2. Manque de politiques ou processus pour faire évoluer la sécurité d'un niveau tactique à un niveau business
3. Manque ou insuffisance de stratégies et de politiques de sécurité nécessaire à la mise en œuvre d'une sécurité adéquate et mature (notamment concernant les médias amovibles)
4. Manque de standard et fonctions sécurité basiques.

TECHNOLOGIE :

1. L'évaluation des risques n'identifie ni ne prioritise les risques techniques les plus importants et les impacts potentiels sur les opérations démontrant la nécessité d'investir en cyber-sécurité
2. Manque d'un cadre de travail autour du management de la sécurité dont résulte une posture de protection inconsistante, notamment au niveau du réseau.
3. Manque de politique de gestion des correctifs et des configuration, permettant d'adresser les vulnérabilités connues et d'offrir une protection à jour contre les cyber-menaces les plus communes.
4. Manque de gestion des contrôles d'accès (mots de passe par défaut, accès privilégiés...)
5. Manque de surveillance des communications réseau entrantes et sortantes, et architecture non adaptée aux besoins de sécurité
6. Les systèmes intégrés ou embarqués (firmware) ne supportent pas les évolutions de sécurité
7. Manque d'expertise en sécurité intégrée autour des systèmes d'exploitation ( Systèmes de contrôle, sécurité opérationnelle, opérations IT, processus...)
8. Manque de système de cycle de développement de produits des vendeurs, intégrateurs ou opérateurs aboutissant à la non mise en place des contrôles de sécurité adéquats.

Voilà voilà...

Le rapport in extenso est ici :

• http://www.us-cert.gov/control_systems/pdf/ICS-CERT_Incident_Response_Summary_Report_09_11.pdf

A noter aussi un guide de bonnes pratiques en la matière :

• http://www.us-cert.gov/control_systems/pdf/ICS-TIP-12-146-01.pdf

Et toujours, le guide de l’ANSSI sur la protection des systèmes industriels :

Comme quoi, du virtuel au réel, il n’y a qu’un pas…

Et le feu d’artifice du 4 juillet dernier de San Diego en aurait fait l’expérience. Selon l’un des responsables de l’entreprise Garden State Fireworks, c’est peut-être un “virus” (bon, passons sur le terme générique…) qui serait à l’origine du couac ayant mené au lancement de tous les effets pyrotechniques en 15 secondes au lieu de 20 minutes…

Voyez plutôt :

Remarques :

• Il a bon dos le virus, et il ne peut même pas se défendre !
• Cela dit, ce n’est pas impossible…
• Dans leur une grande majorité, les maliciels sont nettement plus discrets.
• C’est bientôt le 14 juillet, Mesdames et Messieurs et les Artificiers, mettez vos anti-virus à jour !!!
• En cas de doute, éloignez les pétards des ordinateurs

…par an, aux entreprises.

Et les entreprises peinent encore à protéger leurs données efficacement : 56% des entreprises françaises déclarent avoir perdu d’importantes informations au cours des 12 derniers mois.

A lire les résultats de cette première édition de l’étude State of Information Survey, menée auprès de plus de 4.500 entreprises sur 38 pays, dont la France. Selon cette étude, les informations coûtent chaque année 877 milliards d’euros aux entreprises du monde entier, soit 1 100 milliards de dollars. Depuis les informations confidentielles sur leurs clients jusqu’aux transactions financières, en passant par la propriété intellectuelle, les entreprises possèdent d’énormes quantités d’informations qui leur permettent non seulement d’être compétitives et efficaces, mais également et tout simplement de continuer leur activité. Cette étude révèle que les informations numériques représentent jusqu’à 49 % de la valeur totale d’une entreprise. Les entreprises françaises ont quant à elle tendance à minimiser la valeur de leurs données, estimant qu’elles représentent 30 % de la valeur de leur entreprise, soit une moyenne bien inférieure aux résultats enregistrés dans les autres pays.

Le volume des données monte en flèche et leur gestion est coûteuse

• Les entreprises de toutes tailles doivent gérer d’énormes quantités de données. Le volume total des informations stockées aujourd’hui par toutes les entreprises est de 2,2 zettaoctets. Les PME ont en moyenne 563 téraoctets de données, contre 100 000 téraoctets pour les grandes entreprises. L’étude révèle également que le volume des informations devrait augmenter de 67 % au cours de la prochaine année pour les grandes entreprises et de 178 % pour les PME.
• En moyenne, les grandes entreprises dépensent 38 millions de dollars chaque année pour leurs informations, tandis que les PME dépensent 332 000 dollars. Toutefois, le coût annuel par employé pour les PME est beaucoup plus élevé (3 670 dollars) que pour les grandes entreprises (3 297 dollars). Par exemple, une petite entreprise de 50 employés dépensera 183 500 dollars pour la gestion de ses informations, tandis qu’une grande entreprise qui compte 2 500 collaborateurs y consacrera 8,2 millions de dollars.

Conséquences de la perte d’informations pour l’entreprise

• Les conséquences de la perte d’informations seraient désastreuses pour les entreprises. « Nous serions contraints à une décroissance pendant au moins quelques années avant de pouvoir reprendre nos activités », souligne un responsable informatique d’une grande entreprise d’ingénierie, interrogé sur les conséquences de la perte d’informations pour l’entreprise. Pour les entreprises interrogées à l’échelle mondiale, les principales conséquences de la perte de données sont les suivantes : perte de clients (49 %), dégradation de la réputation et de l’image de marque (47 %), perte de chiffre d’affaires (41 %), augmentation des dépenses (39 %) et chute du cours de l’action (20 %). Sur le territoire français, les résultats obtenus diffèrent sensiblement : si les entreprises françaises considèrent également la perte de clients (50 %) comme principale conséquence, elles classent en 2ème position l’augmentation des dépenses (39 %), puis la dégradation de la réputation et de l’image de marque (34 %) et enfin, la perte de chiffre d’affaires (33 %).

Les mesures de protection sont insuffisantes

• Compte tenu de l’enjeu, la protection des informations devrait être une priorité absolue dans les entreprises. Force est de constater des carences dans ce domaine. L’année dernière, 69 % des entreprises ont subi des pertes d’informations pour diverses raisons, notamment des erreurs humaines, des pannes matérielles, des atteintes à la sécurité ou des pertes et des vols d’appareils. En outre, 69 % ont constaté que des informations confidentielles avaient été exposées à l’extérieur de l’entreprise et 31 % ont eu des problèmes de non-conformité liés aux données. La quantité d’informations dupliquées stockées par les entreprises constitue également un défi; en moyenne : 42 % des données sont dupliquées en moyenne. Le taux d’utilisation du stockage est également faible : seulement 31 % à l’intérieur du pare-feu et 18 % à l’extérieur.
• En France, le constat est tout aussi inquiétant. Au premier plan, il y a la question de la duplication des données. Ainsi, les entreprises sollicitées estiment que 45 % de leurs informations sont des données dupliquées. Un autre enjeu : le taux d’utilisation du stockage. Il est particulièrement faible dans l’hexagone : seulement 30 % à l’intérieur du pare-feu et 16 % à l’extérieur. La perte de données demeure sans aucun doute la première préoccupation puisque plus de la moitié des entreprises françaises interrogées ont eu à déclarer une perte d’informations ces 12 derniers mois (56 %). De plus, près des 2 tiers d’entre elles (63 %) ont constaté que des informations confidentielles avaient été exposées en dehors de la société, et 29 % ont eu des problèmes de non-conformité liés aux données.

En raison de ces risques et inefficacités, les entreprises dépensent plus que nécessaire pour le stockage et la protection de leurs informations. 30 % des entreprises interrogées considère comme un problème clé la prolifération des informations (26% pour les entreprises françaises) : les données sans cesse croissantes ne sont pas organisées, difficiles d’accès et souvent dupliquées ailleurs.

Dans « technologies de l’information », il y a “information”…

Pour aider les entreprises à protéger plus efficacement leurs informations, Symantec propose les recommandations suivantes :

• Se concentrer sur les informations, pas sur les appareils ni le datacenter : en raison de l’utilisation des appareils personnels sur le lieu de travail et des technologies de cloud computing, les informations ne résident plus dans l’enceinte de l’entreprise. La protection doit avoir pour point de départ les données, et non sur les appareils ni le datacenter.
• Toutes les informations n’ont pas la même valeur : les entreprises doivent être en mesure de séparer les données inutiles des informations essentielles et les protéger en conséquence.
• Être efficace : la déduplication et l’archivage aident les entreprises à mieux protéger les informations et à moins en stocker pour faire face à leur croissance exponentielle.
• La cohérence est essentielle : il est important de définir des politiques cohérentes qui peuvent être appliquées partout où les informations se trouvent, que ce soit dans un environnement physique, virtuel et de cloud computing.
• Rester agile : planifier les besoins futurs en mettant en œuvre une infrastructure flexible adaptée à l’augmentation constante des données.

Vous trouverez tous l’étude, la présenation et le reste ici :

• Rapport: State of Information Survey Results 2012
• Présentation SlideShare: State of Information Survey Results 2012
• Blog: State of Information

RATTRAPAGE : Le maliciel “DNSChanger” a fait et fait encore parler de lui pour une très bonne raison. Un grand nombre d’internautes pourraient perdre leur accès internet, s’il ne font rien avant le 9 juillet prochain.

Alors, si nécessaire, petite séance de question/réponse :

Q: pourquoi entend-on parler de “DNSchanger” en ce moment ?

R: c’est un maliciel qui change le paramètrage du Domain Name System (DNS) de la machine infectée, d’où son nom.

Q: que sont ces paramètres DNS et comment pourrais-je être affecté ?

Figure 1. Fonctionnement d’un DNS

R: Le DNS est un service de l’internet qui convertit les noms de domaines en adresses IP, pour que les ordinateurs puissent se “parler”. Quand vous entrez un nom de domaine dans votre navigateur, votre machine contacte un serveur DNS pour déterminer l’adresse IP du site web et s’y connecter. La configuration réseau de votre ordinateur comprend l’adresse du DNS, qui est généralement opéré par votre fournisseur d’accès internet .

Q: OK compris; alors que fait DNSChanger ?

Figure 1. Fonctionnement de DNSChanger

R: En modifiant le paramètrage DNS, le cyber-criminel peut contrôler vers quels sites web la machine se connecte, ici un DNS pirate (rogue DNS), et peut facilement rediriger l’ordinateur infecté vers un site malveillant (www.badsite.com), à partir duquel les attaques plus habituelles (chevaux de troie…) seront lancées.

Q: bon, mais que va-t-il se passer le 9 juillet alors ?

R: La fin de l’opération Ghost Click, lancée par le FBI et qui a permis d’arrêter les auteurs en fin d’année dernière. Le FBI, suivant une décision judiciaire, avait demandé à l’ISC (Internet Systems Consortium) de déployer et maintenir des DNS “propres” en lieu et place de ceux positionnés par les cyber-criminels, pour donner suffisamment de temps aux internautes victimes de supprimer la menace. Cette solution est temporaire et les serveurs opérés par l’ISC seront déconnectés. Dès lors, toutes les machines, toujours infectées et/ou pointant toujours vers ces DNS, perdront leur accès internet.

Le 9 juillet 2012, c’est lundi prochain, en gros !