Benoit Grunemwald ESET France: « Pas de garantie de réelle protection sans un éditeur indépendant de tous les pouvoirs »

Entretien Cyberisques News / Jean Philippe Bichard

21 septembre 2017

 

 

Benoit Grunemwald ESET France:  « Pas de garantie de réelle protection sans un éditeur indépendant de tous les pouvoirs »

 

 

 

Cyberisques NEWS: Assises 2017 : ESET annonce un partenariat avec Bluecyforce, de quoi s'agit il ?

Benoit Grunemwald: Les utilisateurs chez nos clients restent le maillon humain primordial en cybersecurité. Pour augmenter leur efficacité face aux cybermenaces, au delà de la formation le training avec Bluecyforce apporte des idées nouvelles. L'idée c'est d'utiliser au maximum les opportunités qui se présentent aux utilisateurs. En pratique on met en situation réelle deux équipes qui s'affrontent (blue team et red team) avec différents scénarios d'attaques. Destiné aux clients cette opération ne concerne pas directement le channel plus orienté aux opération d'assistance.

 

 

Comment ESET se différencie sur l'idée d'être un partenaire de confiance notamment sur la protection des informations sensibles ?

En 2017, au delà des protections « basiques » des données, applications , messageries et sites WEB garantir la protection de « business data » avec des engagements sur les notions de respect du secret et de la confidentialité deviennent des priorités. Cette approche pour être crédible suppose un éditeur indépendant, libre à l'écoute de ses chercheurs. En 2013 déjà ESET affichait beaucoup de prudence notamment en matière d'attributions suite à des attaques car beaucoup d'erreurs sont commises sur ce point. Le secret des affaire va jouer un rôle considérable dans les année à venir dans sa déclinaison « numérique ». N’hésitons pas à le dire la transparence a des limites notamment au niveau des informations stratégiques. Il faut donc qu'un éditeur européen comme ESET apporte de réelles garanties sur ce point aux directions générales (lire le CP sur FinFischer en section BONUS). C'est ce que nous faisons depuis des années en travaillant notamment avec de grandes institutions européennes et l'ANSSI en France. J'ajoute qu'au delà des grands comptes souvent stratégiques par nature nous collaborons avec bon nombre d'acteurs dont de grands ministères par ailleurs client d'ESET.

 

 

En plus du RGPD / GDPR pour les données personnelles, les données d'affaires sont également tres sensibles pour mener le « business ». Quelles solutions spécifiques offre ESET ?

Nous avons parfaitement conscience de la valeurs de certaines données affaires d'autant que les outils disponibles pour les attaquants sont de plus en plus puissants. Chez ESET nous ne voyons pas seulement le marché comme une opportunité d'acheter des outils mais aussi comme une nécessité de protection de différents « eco systèmes » chez nos clients.

 

 

Désirez vous engager ESET France vers une stratégie business mettant en œuvre une approche sectorielle ?

Oui absolument dans le secteur de l'administration notamment. Les IT Managers des ministères par exemple sont très intéressés par une spécificité d'ESET. Depuis 30 ans (voir la vidéo : lien en section BONUS), ESET profite toujours de l’expérience considérable de chercheurs et développeur de codes à l'origine de ses solutions installées chez nos clients. Ces personnalités sont toujours présentes chez ESET dans les nombreux labos et forment une nouvelle génération. Actuellement, ESET embauche une nouvelle personne chaque jour. En outre les labos au Canada attirent des cerveaux francophones.

 

 

Dans un univers ou de nombreux partenariats s'établissent on peut percevoir ESET comme un éditeur qui se tient à l'écart. Pourquoi ?

C'est en partie vraie et en partie inexact. Mais nous restons discrets et je comprends cette remarque. Notre discrétion, nos clients l'apprécient. L'indépendance est un corollaire à la confiance pour ESET. Nous possédons une forme de charte non écrite mais réelle dans les faits qui fixe les limites et chacun de Nous les connaît. Discrétion et respect des clients et de leurs secrets appartiennent à cette culture.

 

 

Dans les faits ça se traduit comment ? Vous citez très peu de clients. Pourquoi ?

Nos clients ne désirent pas toujours communiquer et cela peut se comprendre. A Monaco lors des Assises 2017 nous serons accompagnés par

ENGIE (http://www.engie.com/sites-du-groupe/) et la Mairie de Compiègne. Pour information, nous avons même chez ENGIE, monté une boutique virtuelle dédiée aux users BtoC. Encore une spécificité de ESET : pour Nous, un même niveau de protection doit accompagner un utilisateur BtoC et BtoB.

 

 

Précisément en termes de solutions techniques, quelles nouvelles fonctions seront dévoilées aux Assises 2017 ?

Il faut évidemment aller plus loin que l'anti malware traditionnel afin de déceler une capillarité plus fine des APT de dernière génération et des menaces plus « subtiles » que celles actuellement détectées par les outils du marché. Aujourd'hui notre module EDR c'est un « add on » et dans le futur ce sera un module indépendant.

 

 

En France ou en est la collaboration avec l'ANSSI ?

Un lancement prochain sera opérationnel. On ne peut en dire plus aujourd'hui. En interne, nous renforçons les équipes grands comptes avec des embauches en France.

 

 

Avec les IoT ESET semble une fois encore discrète sur les niveaux de protection apportés...

Beaucoup de ces objets communiquent via des smartphones que nous protégeons depuis longtemps notamment au niveau des abus dans les demandes de certaines application un peu trop curieuses sur la vie privée des users.

Propos recueillis par @jpbichard

 

BONUS :

ASSISES 2017 MONACO : Conférence ESET sur la cybercriminalité et les stratégies d’anticipation

Face à la mutation des cyberattaques, ESET crée une base de données mondiale pour anticiper les menaces imminentes. Au travers de cas réels, ESET partage son expertise et revient sur sa coopération avec les forces de l’ordre dans la lutte contre la cybercriminalité.

Pour assister à cette conférence présentée par Jean-Ian Boutin, expert en logiciels malveillants chez ESET, rendez-vous jeudi 12 octobre à 10h.

 

https://www.youtube.com/watch?v=tmwcZYXTjB0

 

 

 

FinFisher : 7 pays sous surveillance via des applications de type What’s App


 
Les chercheurs ESET® ont détecté des campagnes d'espionnage liées à FinFisher, le célèbre spyware également connu sous le nom de FinSpy. Sept pays sont infectés.


 
FinFisher est programme « de type spyware » commercialisé en tant qu’outil de surveillance et d’intrusion informatique. 

Il est vendu à une vingtaine d’organismes gouvernementaux à travers le monde. ESET pense qu'il a également été utilisé par des régimes autoritaires.


Les capacités d’espionnage de FinFisher s’étendent à :

la surveillance via les webcams et les microphones (images retransmises en direct)
l'enregistrement de frappe (keylogger)
l'exfiltration des fichiers

Ce logiciel espion a reçu un certain nombre de modifications via des correctifs dans sa dernière version. Elles améliorent ses fonctions pour se montrer plus intrusif. FinFisher peut ainsi rester sous le radar de détection des solutions de sécurité et empêcher une analyse approfondie de son comportement. L'innovation la plus importante reste la méthode pour pénétrer les machines ciblées.
Lorsqu'un utilisateur ciblé est sur le point de télécharger une application populaire telle que WhatsApp®, Skype® ou VLC Player®, il est automatiquement redirigé vers le serveur de l'attaquant. La victime installe alors une version qui inclut un malware de type Trojan et se trouve ainsi directement infectée par FinFisher.

Mécanisme d'infection de la dernière variante de FinFisher

 

infographie-CP-2017-FinFischer

 

« Sur deux des sept campagnes menées, les logiciels espions se sont propagés au moyen d'une attaque man-in-the-middle. Autrement dit, les communications sont interceptées à l’insu des parties concernées. Nous pensons que les principaux fournisseurs d'accès à Internet de ces deux pays ont joué un rôle crucial dans cette infection », explique Filip Kafka, Malware Analyst chez ESET et à l'origine de cette recherche.
Ces campagnes sont les premières à révéler publiquement la probable implication (volontaire ou pas) d'un fournisseur d'accès à Internet dans la diffusion de malwares. "Les campagnes FinFisher sont des projets de surveillance perfectionnés et tenus secrets. Les méthodes utilisées associées à la portée de ces attaques en font une menace sans précédent", poursuit Filip Kafka.
Par le passé, ESET a publié un certain nombre d'articles sur les campagnes FinFisher. Vous pouvez les consulter ici. Les experts ESET ont également rédigé un article détaillé sur cette nouvelle campagne. Pour plus de détails, notre cybersecurity leader Benoît Grunemwald peut répondre à vos questions.


Note pour les éditeurs:

FinFisher, le soi-disant malware du gouvernement et l'approche de l'industrie de la sécurité sont sous les feux de la rampe. Pour ESET, il n'existe pas de malware dans la mesure où ce programme a été acheté d’une part puis modifié et détourné d’autre part par des individus mal intentionnés.

Lire la réponse d'ESET à une lettre ouverte adressée à Bits of Freedom, un groupe de défense des droits numériques.

 

ESET: les réseaux de BOTNETs utilisent de plus en plus des IoT

boutin test

Jean-Ian Boutin malware researcher chez ESET : « les réseaux de BOTNETs utilisent de plus en plus des IoT »

 

Suite à l'annonce du lancement de la V.10 ( http://www.cyberisques.com/fr/mots-cles-5/587-eset-nouvelle-version-tpe-home-market-compatible-rgpd ) de passage à Paris, Jean-Ian Boutin ESET malware researcher a fait le point sur plusieurs tendances en cybersécurité (IoT, Cybercrime...).

« Ma mission explique Jean-Ian Boutin, chercheur au sein des laboratoires d'ESET, consiste entre autres a récupérer les données des serveurs de botnet pour comprendre à qui ils donnent des ordres ». Cette approche se fait en collaboration avec des organisations telles que le FBI, Microsoft, Interpol... « L'idée c'est de savoir qui se cache derrière les botnets ».

Les objets connectés (ou IoT) deviennent de plus en plus des cibles évidentes pour batir le premier étage de la fusée botnet. « Les IoT constituent des cibles faciles comme les routeurs perso, box d'opérateurs, webcam... mais aussi les plateformes Android » affirme Jean-Ian Boutin. Les raisons sont simples. Ces objets facilement accessibles et relativement peu protégés offrent un avantage indéniable pour construire un botnet car ils sont de surcroit tres nombreux*. « Du coup, la construction d'un botnet basé sur les IoT de type box wifi par exemple permet de réaliser pour les attaquants des attaques simples via un scan sur le Net d'autant que les mots de passe résistent car souvent trop simples ou laissés à zéro par défaut ».

Parmi les tendances fortes en matière de cyber-attaques le chercheur de chez ESET dont le labo est basé au Canada constate au niveau du « grand public » notamment aux Etats-Unis l'augmentation de « ventes » de followers pour les utilisateurs du réseau social Twitter. Ces ventes se réalisent sur le DarkWeb. Les pirates y vendent des « faux » followers constitués à partir de vrais comptes récupérés au moyen des botnets d'ioT (objets connectés). Les prix sont souvent cassés : 5000 followers pour 33,99 dollars.

En matière de cybercrime, de plus en plus de cyber-attaques ciblent les institutions financieres en s'infiltrant au niveau applicatif pour réaliser des process précis. Dans le domaine du trading, des modifications d'ordres de transferts et de cours de devises se développent. Autre tendance : les cyber-attaquants font appel à des logiciels spécifiques pour attaquer des ATM à distance sans qu'aucune présence physique soit nécessaire pour effectuer un « virement » suite à un retrait « virtuel ». « Une autre méthode se pratique en amérique du Nord révèle le chercheur d'ESET il s'agit d'effectuer un retrait physique de l'argent puis de réaliser virtuellement une annulation logique du retrait ».

Les risques sont réels. Les cyberattaques ciblant des institutions ont malheureusement « fait leurs preuves ». On se souvient du réseau SWIFT piraté qui a donné acces aux cyber-attaquants aux serveurs de la banque centrale du Bangladesh en mars 2016. Résultats : 81 millons de dollars envolés. « les outils utilisés lors de cette compromission précise Jean-Ian Boutin sont identiques à ceux de la cyber-attaque sur Sony par des pirates nord coréens ». Sur ce dernier point, selon le chercheur, l'une des tendances fortes identifiées par l'ensemble des laboratoires d'ESET c'est l'usage par les pirates d'outils « ouverts », parfois disponibles directement sur les serveurs des sites attaqués. Une autre façon de ne pas se faire remarquer. En matière d'évolution dans la finalité des cyber-attaques, les chercheurs d'ESET redoutent un « glissement » allant du cyberespionnage vers le cybersabotage industriels notamment sur les systèmes industriels de type Scada. Et là, les solutions de sécurité ne sont pas encore en place.

@jpbichard

 

  • *A l'échelle mondiale, les objets qualifiés de « connectés », « communicants » ou « intelligents », pourraient être entre 50 et 80 milliards d’ici 2020. On en dénombre en 2016 selon plusieurs sources près de 25 milliards. Le marché lié à l'exploitation des services et données de ces objets est porteur: de 48 milliards d'euros en 2013 il devrait évoluer à 118 milliards d'euros en 2016 (source Livre Blanc ESET sur les IoT : https://www.eset.com/fr/livres_blancs/livre_blanc_resoudre_nouvelles_problematiques_securite/)

 

BONUS:

 

http://cyberisques.com/fr/mots-cles-5/587-eset-nouvelle-version-tpe-home-market-compatible-rgpd

 

Sony Pictures hack: The White House: Executive Order -- Imposing Additional Sanctions with Respect to North Korea

Executive Order -- Imposing Additional Sanctions with Respect to North Korea

EXECUTIVE ORDER

- - - - - - -

IMPOSING ADDITIONAL SANCTIONS WITH RESPECT TO NORTH KOREA

By the authority vested in me as President by the Constitution and the laws of the United States of America, including the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.) (IEEPA), the National Emergencies Act (50 U.S.C. 1601 et seq.), section 212(f) of the Immigration and Nationality Act of 1952 (8 U.S.C. 1182(f)), and section 301 of title 3, United States Code; and in view of United Nations Security Council Resolution (UNSCR) 1718 of October 14, 2006, UNSCR 1874 of June 12, 2009, UNSCR 2087 of January 22, 2013, and UNSCR 2094 of March 7, 2013,

January 02, 2015, BARACK OBAMA, President of the United States of America, find that the provocative, destabilizing, and repressive actions and policies of the Government of North Korea, including its destructive, coercive cyber-related actions during November and December 2014, actions in violation of UNSCRs 1718, 1874, 2087, and 2094, and commission of serious human rights abuses, constitute a continuing threat to the national security, foreign policy, and economy of the United States, and hereby expand the scope of the national emergency declared in Executive Order 13466 of June 26, 2008, expanded in scope in Executive Order 13551 of August 30, 2010, and relied upon for additional steps in Executive Order 13570 of April 18, 2011. To address this threat and to take further steps with respect to this national emergency, I hereby order:

Section 1. (a) All property and interests in property that are in the United States, that hereafter come within the United States, or that are or hereafter come within the possession or control of any United States person of the following persons are blocked and may not be transferred, paid, exported, withdrawn, or otherwise dealt in: any person determined by the Secretary of the Treasury, in consultation with the Secretary of State:

(i) to be an agency, instrumentality, or controlled entity of the Government of North Korea or the Workers' Party of Korea;

(ii) to be an official of the Government of North Korea;

(iii) to be an official of the Workers' Party of Korea;

(iv) to have materially assisted, sponsored, or provided financial, material, or technological support  for, or goods or services to or in support of, the Government of North Korea or any person whose property and interests in property are blocked pursuant to this order; or

(v) to be owned or controlled by, or to have acted or purported to act for or on behalf of, directly or indirectly, the Government of North Korea or any person whose property and interests in property are blocked pursuant to this order.

(b) The prohibitions in this order apply except to the extent provided by statutes, or in regulations, orders, directives, or licenses that may be issued pursuant to this order, and notwithstanding any contract entered into or any license or permit granted prior to the effective date of this order.

Sec. 2. I hereby determine that the making of donations of the type of articles specified in section 203(b)(2) of IEEPA (50 U.S.C. 1702(b)(2)) by, to, or for the benefit of any person whose property and interests in property are blocked pursuant to section 1 of this order would seriously impair my ability to deal with the national emergency declared in Executive Order 13466, and I hereby prohibit such donations as provided by section 1 of this order.

Sec. 3. The prohibitions in this order include but are not limited to:

(a) the making of any contribution or provision of funds, goods, or services by, to, or for the benefit of any person whose property and interests in property are blocked pursuant to this order; and

(b) the receipt of any contribution or provision of funds, goods, or services from any such person.

Sec. 4. I hereby find that the unrestricted immigrant and nonimmigrant entry into the United States of aliens determined to meet one or more of the criteria in section 1(a) of this order would be detrimental to the interests of the United States, and I hereby suspend entry into the United States, as immigrants or nonimmigrants, of such persons. Such persons shall be treated as persons covered by section 1 of Proclamation 8693 of July 24, 2011 (Suspension of Entry of Aliens Subject to United Nations Security Council Travel Bans and International Emergency Economic Powers Act Sanctions).

Sec. 5. (a) Any transaction that evades or avoids, has the purpose of evading or avoiding, causes a violation of, or attempts to violate any of the prohibitions set forth in this order is prohibited.

(b) Any conspiracy formed to violate any of the prohibitions set forth in this order is prohibited.

Sec. 6. For the purposes of this order:

(a) the term "person" means an individual or entity;

(b) the term "entity" means a partnership, association, trust, joint venture, corporation, group, subgroup, or other organization;

(c) the term "United States person" means any United States citizen, permanent resident alien, entity organized under the laws of the United States or any jurisdiction within the United States (including foreign branches), or any person in the United States; and

(d) the term "Government of North Korea" means the Government of the Democratic People's Republic of Korea and its agencies, instrumentalities, and controlled entities.

Sec. 7. For those persons whose property and interests in property are blocked pursuant to this order who might have a constitutional presence in the United States, I find that because of the ability to transfer funds or other assets instantaneously, prior notice to such persons of measures to be taken pursuant to this order would render those measures ineffectual. I therefore determine that for these measures to be effective in addressing the national emergency declared in Executive Order 13466, there need be no prior notice of a listing or determination made pursuant to section 1 of this order.

Sec. 8. The Secretary of the Treasury, in consultation with the Secretary of State, is hereby authorized to take such actions, including the promulgation of rules and regulations, and to employ all powers granted to the President by IEEPA, as may be necessary to carry out the purposes of this order. The Secretary of the Treasury may redelegate any of these functions to other officers and agencies of the United States Government consistent with applicable law. All agencies of the United States Government are hereby directed to take all appropriate measures within their authority to carry out the provisions of this order.

Sec. 9. This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.

BARACK OBAMA

BONUS:

http://www.cyberisques.com/fr/component/content/article/78-mots-cles-promotionnels/383-cybermenaces-quels-risques-pour-les-entreprises-en-2015-partie-2-mcafee-palo-alto

http://www.cyberisques.com/fr/component/content/article/78-mots-cles-promotionnels/386-hack-sony-heureusement-que-ces-types-n-etaient-pas-la-quand-chaplin-a-fait-le-dictateur

SONY-1

 

 

 

 

  

Skyhigh Networks: Shadow IT, optez pour la sensibilisation plutôt que la répression

Libre opinion: Joël Mollo, Directeur Europe du Sud Skyhigh Networks

 

 

Shadow IT : optez pour la sensibilisation plutôt que la répression

 

 

 

Paris, le 12 septembre 2016 - Les spécialistes le martèlent régulièrement : l’un des points les plus sensibles de la sécurité en entreprise reste l’employé et la manière dont il utilise les outils informatiques mis à sa disposition, ainsi que ce qu’il fait des données auxquelles il peut accéder. Ces comportements à risques, on les retrouve aussi bien au niveau des matériels (clés USB, connexion à des réseaux non protégés), que de la messagerie (phishing, rançongiciels, etc.) et via l’utilisation des applications web.

Pour partager des fichiers, convertir un fichier au format PDF, réaliser une présentation sous un format particulier, etc. une simple recherche sur le web permet de trouver toute une liste d’applications que l’employé peut utiliser, parfois même sans avoir à créer de compte. Cette facilité est appréciée par les employés car ils n’ont plus l’obligation de passer par le service informatique ou leur direction pour formuler une demande afin de bénéficier d’une application ou d’un service répondant à un besoin ponctuel. Le problème c’est que ces nouvelles pratiques se font le plus souvent sans le consentement de l’équipe informatique et que cela échappe même à leurs radars. C’est ce que l’on appelle plus communément le Shadow IT. 

Les statistiques de l’étude Cloud Adoption & Risk Report de Skyhigh Networks basées sur les observations de plus de 500 clients, montrent ainsi que les départements informatiques ne sont conscients que d’environ 5 % des services cloud utilisés au sein de leur entreprise, laissant 95 % de zones d’ombre. Ce rapport mettait également en avant le fait que 28,1 % des employés ont déjà téléchargé un fichier contenant des données sensibles vers le Cloud et qu’une entreprise partage en moyenne des documents avec 849 domaines via les services Cloud.

Or les services Cloud utilisés n’offrent pas tous le niveau de protection et de garantie de confidentialité défini par la politique de sécurité de l’entreprise. Fuite ou vol de données sont des menaces sérieuses qui pèsent alors sur les données de l’entreprise.

Jusqu’à présent, lorsque la DSI identifiait l’utilisation de services non-conformes par un salarié, c’est le plus souvent qu’un problème en avait découlé. Cela se traduisait au mieux par un rappel de la politique de l’entreprise en la matière, au pire par des sanctions pouvant parfois aller jusqu’à un licenciement.

 

 

La sensibilisation : un facteur clé de la sécurité

 

Comme le soulignait Guillaume Poupard, directeur général de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, « La cybersécurité n’est pas qu’un travail réservé aux experts. Tout le monde doit se sentir concerné. Du dirigeant à l’employé, chacun doit avoir les bons réflexes face à son environnement de travail. ». Pour cela, il convient néanmoins que l’entreprise fasse le nécessaire pour sensibiliser ses employés aux différentes problématiques de sécurité et les informe des bonnes pratiques à respecter et des outils à utiliser.

Côté sensibilisation justement, il y a encore des progrès à faire. Ainsi, une récente étude de l’institut Ponemon pour Experian montre que le phishing ou l’ingénierie sociale figurent parmi les sujets les plus souvent abordés en formation aux risques de sécurité, mais que l’utilisation sûre des services Cloud ne serait évoquée que pour 29 % des sondés.

 

 

L’intérêt d’une solution CASB pour participer à la sensibilisation

 

Le Gartner définit un Cloud Access Security Broker ou CASB comme « un point d’accès unique au Cloud permettant de contrôler simultanément plusieurs services Cloud pour tout utilisateur ou dispositif d’accès ». Un CASB permet d’ajouter des fonctions de sécurité qui sont devenues courantes pour les services sur site, telles que l'authentification unique, l'enregistrement complet de l'utilisateur, le chiffrement et la détection d'anomalies, permettant ainsi aux entreprises de migrer vers le cloud à moindre risque. Ces solutions répondent tout particulièrement à la problématique du shadow IT.

L’utilisation d’un CASB permet en effet de détecter l’utilisation intempestive de services Cloud par les employés. Cependant, outre le blocage de l’application non conforme, le CASB permet de faire parvenir à l’utilisateur un message qui permettra premièrement, de l’informer du motif du blocage et dans un deuxième temps, de l’orienter vers un choix de solutions conformes à la politique de l’entreprise.

Il y a donc un double intérêt à l’utilisation d’une solution CASB. A la fois pour le personnel informatique qui récupère ainsi pleinement le contrôle des services web utilisés au sein de l’entreprise et lui donne la possibilité d’entamer le dialogue avec les utilisateurs. Ensuite pour sensibiliser les utilisateurs à la problématique de sécurité des services cloud gratuits, et en même temps mieux les informer des solutions à leur disposition.

« Mieux vaut prévenir que guérir » dit le dicton. C’est exactement ce que permettent les CASB.

 

 

A propos de Skyhigh Networks

Skyhigh Networks est le plus plus important Cloud Access Security Broker (CASB) et un partenaire de confiance de Microsoft. Il aide de grandes entreprises à se standardiser sur Office 365 en leur donnant une visibilité sur la manière dont les services sont utilisés, en leur permettant d’éduquer leurs employés sur les politiques d’utilisation sécurisés et en renforçant les politiques de DLP en temps réel lorsque les utilisateurs téléchargent des données vers Office 365 et partagent des fichiers.

 

 

Cyberdéfense : les 6 clés d’une attaque

Cyberdéfense : les 6 clés d’une attaque



La deuxième édition de la « Journée de la réserve citoyenne en cyberdéfense » se tenait le 27 mars à l’EPITA. Organisée par le ministère de la Défense pour sensibiliser les étudiants aux problématiques de cybersécurité, elle permettait aux Epitéens de mieux comprendre les différentes missions de l’armée en la matière.

Alors que la question de la cybersécurité devient un enjeu majeur de l’économie, l’EPITA continue son engagement dans ce domaine. Après le lancement officiel de SecureSphere, son centre de formation continue spécialisé sur la question, et une présence remarquée lors du Forum international de la cybersécurité (FIC) (avec notamment la co-fondation du CECyF, le Centre expert de lutte contre la cybercriminalité français), l’école a accueilli le 27 mars la deuxième édition de la « Journée de la réserve citoyenne en cyberdéfense ». Un évènement important pour les étudiants, et plus spécialement ceux de la majeure Systèmes, Réseaux et Sécurité (SRS), qui ont pu en apprendre davantage sur les différents organismes spécialisés de la grande muette. Grâce à des intervenants issus du Centre d'analyse de lutte informatique défensive (CALID), de la Direction de la protection et de la sécurité de la défense (DPSD) ou encore de l’Agence Nationale de la Sécurité Informatique (ANSI), les Epitéens ont eu l’occasion de mieux comprendre comment la France se protège sur le Net. Anticipation, cybersurveillance, investigation numérique, vérification régulière des systèmes, typologie des attaques, mise en place de réponses, protection des capacités opérationnelles de la défense nationale… autant de missions et d’actions à mener quotidiennement pour avoir une cyberdéfense solide et adaptée à une époque où une cyber-attaque se lance toutes les 1,5 secondes et où la qualité des systèmes d’information tend à régir la sécurité des nations. « Sans SI, il n’y a plus aucune capacité militaire, annonce ainsi le Lieutenant-Colonel Dossé lors de son intervention. Cela fait de l’informatique un véritable enjeu moderne, au cœur des combats. D’où l’engagement nécessaire des armées dans le cyberespace. »

Le mode opératoire d’une cyber-attaque ciblée en 6 étapes

Si n’importe qui peut être victime d’une attaque sur Internet, toutes les attaques n’ont pas le même but. En première position des attaques les plus virulentes se trouvent les Advanced Persistent Threat (APT), des « menaces persistantes avancées » utilisées pour « faire du mal et récupérer les informations » dixit le Lieutenant Bardou du CALID. Ces opérations offensives se répètent afin de mieux cerner puis envahir le système visé à l’aide de malware très performants, parfois développés par des équipes composées de plusieurs dizaines de membres. Elles fonctionnent selon un processus divisé en 6 étapes distinctes :

Le Ciblage
Le choix de la cible est le point de départ de toute attaque. L’assaillant va d’abord trouver un site ou un serveur susceptible de l’intéresser. Un email contenant un malware est ensuite envoyé pour infiltrer la cible. Cette étape peut se répéter par la suite avec l’envoi de malwares plus « puissants » si l’attaquant le juge opportun.

L’exploitation de la vulnérabilité
Le malware installé, l’attaquant recherche alors les potentielles failles de la machine, du serveur ou du réseau. Il s’agit de voir par exemple ce que permettent les statuts d’utilisateurs et d’administrateurs, de « comprendre » le mode de fonctionnement de la cible.

La reconnaissance technique
C’est là que l’attaque commence à prendre formes. Le « pirate » élève ses privilèges et obtient les droits d’administrateur qui lui permettent d’agir directement et de manière plus discrète.

Le déploiement
Il s’agit d’une simple vérification : l’attaquant vérifie si sa méthode est utile pour lui permettre d’atteindre ses objectifs. Si ses codes et malwares sont opérationnels, il pourra procéder à l’étape suivante. Il peut éventuellement préparer un « écran de fumée » pour camoufler l’intention première de l’attaque.

Lancement de l'attaque
La vérification effectuée, l’attaque est définitivement entamée. Les informations sensibles sont récupérées et transmises à des serveurs « amis ».

Préparation du sabotage
L’opération terminée et toutes les informations récupérées, l’assaillant peut choisir de saboter le réseau attaqué et de détruire les données, voire l’outil informatique. Plus « simple » à mettre en place, la destruction de données est d’ailleurs souvent préconisée plutôt que leur exfiltration.


Arnaud Rollet / Rédacteur WEB EPITA


www.ionis-group.com

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires