CHECK POINT RAPPORT SÉCURITÉ 2013

Transcription

CHECK POINT
RAPPORT
SÉCURITÉ
2013
JANVIER 2013
CHECK POINT - RAPPORT SÉCURITÉ 2013
CheCk Point
RaPPoRt séCuRité 2013
01
02
03
04
05
06
AN
introduction et méthodologie
004
Menaces pour votre entreprise
006
applications utilisées dans l'espace de travail de l'entreprise
020
Fuites de données dans votre réseau
030
Résumé et stratégie de sécurité
036
À propos de Check Point software technologies
038
annexes
042
003
recommandé par
01
inTroducTion
eT mÉTHodologie
« TouT comme l’eau n’a pas de
forme consTanTe, l’arT de la guerre
n’esT pas fixe. »1
Bien que cette phrase soit âgée de
2 600 ans, elle reste étonnamment
pertinente, et reflète la guerre
moderne d'aujourd'hui : la
cyBerguerre.
Les techniques employées par les pirates sont en constante
évolution et font appel à des méthodes d'attaque plus
avancées et plus sophistiquées. Elles repoussent les défis de la
sécurité à des niveaux sans précédent. Les centres de données,
les ordinateurs et les téléphones mobiles des employés sont
des cibles de choix pour les pirates qui déploient une variété
inépuisable de logiciels malveillants tels que bots, chevaux de
Troie et infections par téléchargements automatiques. Les
pirates utilisent la ruse et l'ingénierie sociale pour manipuler
d'innocents utilisateurs et accéder aux informations
de l'entreprise, telles que documents internes, dossiers
financiers, numéros de cartes de paiement et informations
d'identification des utilisateurs, ou pour tout simplement
empêcher le bon fonctionnement de l'activité de l'entreprise
par des attaques de déni de service. Cette guerre moderne
de menaces et d'attaques avancées n'est pas prête de s'arrêter.
La quantité d'informations professionnelles stockées dans
des centres de données, des serveurs, des ordinateurs et des
téléphones mobiles augmente à la vitesse de la lumière, et
plus de données et de plates-formes signifient encore plus de
risques. Enfin, la liste des menaces ne diminue pas, et chaque
nouvelle attaque révèle un niveau de sophistication encore
plus avancé.
Quels ont été les principaux risques de sécurité pour votre
environnement réseau l'année dernière ? Quels seront les
risques l'année prochaine ? Telles étaient les questions clés
qui ont occupé les équipes de recherche de Check Point
ces quelques derniers mois. Pour répondre à ces questions,
Check Point a procédé à une analyse intensive de la sécurité.
Ce rapport fournit un aperçu des événements de sécurité
réseau qui se sont produits en 2012 dans des entreprises
à travers le monde. Le rapport présente les événements
de sécurité découverts dans ces entreprises, ainsi que
des exemples d'incidents annoncés publiquement, des
explications sur la manière dont certaines de ces attaques ont
été menées, suivies de recommandations sur la manière de se
protéger contre de telles menaces. Le rapport est divisé en
trois parties. Chaque partie est dédiée à un aspect spécifique
de la sécurité. La première partie se concentre sur les menaces
représentées par les bots, les virus, les failles de sécurité
et les attaques. La seconde partie traite des applications
web à risque qui compromettent la sécurité d'un réseau
d'entreprise. La dernière partie est consacrée aux fuites de
données occasionnées par les actions non intentionnelles des
employés.
Méthodologie
Le Rapport Sécurité 2013 de Check Point repose sur une
étude et une analyse collaboratives des événements de
sécurité rassemblés à partir de quatre sources principales :
Les rapports d'analyse des passerelles sécurité de Check
Point2, Check Point ThreatCloud™3, le réseau Check Point
SensorNet™ et les rapports de Check Point Endpoint
Security.
Une méta-analyse des événements de sécurité réseau de
888 entreprises a été effectuée à partir des données recueillies
sur les passerelles sécurité Check Point chargées d'analyser en
direct le trafic entrant et sortant de ces entreprises. Le trafic
a été inspecté grâce à la technologie multi-couche Check
Point Software Blades afin de détecter différents types de
menaces tels que les applications à haut risque, les tentatives
004
recommandé par
01 _ INTRODUCTION ET MÉTHODOLOGIE
4% Conseil 31
7 % Télécommunication 59
10 % Gouvernement 89
14 % Finance 128
Source : Check Point Software Technologies
20 % APAC* 178
40 % Amériques 356
Enfin, une méta-analyse de 628 rapports de sécurité de
postes de travail provenant de différentes entreprises a été
effectuée. L'analyse de la sécurité évaluait notamment chaque
hôte pour estimer les risques de fuites de données, les risques
d'intrusions et les risques liés aux logiciels malveillants.
L'analyse a été réalisée avec l'outil de reporting Check Point
Endpoint Security pour vérifier la présence d'un antivirus
sur les hôtes, s'il est à jour, si les logiciels utilisés sont les
dernières versions, et plus encore. Cet outil est gratuit et
disponible publiquement. Il peut être téléchargé depuis le
site de Check Point4.
s
39 % Industrie 346
Des références pour les données des menaces ont été
recueillies par le réseau de capteurs Check Point SensorNet™,
du 1er juillet au 30 septembre 2012. Check Point SensorNet
est un réseau mondial de capteurs distribués, qui fournissent
des informations de sécurité et des statistiques de trafic à un
système central d'analyse. Ces données sont analysées afin
de détecter les tendances et les anomalies, et développer une
vision en temps réel de la sécurité dans le monde.
teur
Sec
26 % Autre 235
En outre, plus de 111,7 millions d'événements extraits
de 1 494 passerelles de sécurité ont été analysés à l'aide
des données générées par Check Point ThreatCloud™.
ThreatCloud est une base de données massive mise à jour
en temps réel à partir de données de sécurité provenant d'un
vaste réseau mondial de capteurs placés stratégiquement
autour du globe, qui collectent des informations sur les
menaces et les attaques de logiciels malveillants. ThreatCloud
permet d'identifier les nouvelles tendances mondiales de
sécurité et de menaces, pour constituer un réseau collaboratif
de lutte contre la cybercriminalité. Pour notre étude, nous
avons analysé les données de ThreatCloud recueillies sur une
période de 3 mois entre août et octobre 2012.
ions
Rég
40 % EMEA* 354
d'intrusions, les virus et les bots, les fuites de données
confidentielles, etc. Le trafic réseau de chaque entreprise
était surveillé en temps réel via le mode en ligne ou le mode
surveillance des passerelles sécurité de Check Point, pendant
134 heures en moyenne. Les entreprises étudiées sont issues
d'un large éventail de secteurs et sont situées dans le monde
entier comme le montre les graphiques 1-A et 1-B.
Graphiques 1-A et 1-B
* APAC- Asie Pacifique et Japon. EMEA- Europe, Moyen-Orient et Afrique
Ce rapport repose sur des données recueillies à partir de ces
sources.
Spécification des secteurs
Industrie – Chimie/Raffinerie, Santé, Pharmacie,
Informatique, Production, Transport, Service public,
Infrastructure.
Finance – Finance, Comptabilité, Services bancaires,
Investissement.
Gouvernement – Administration publique, Armée.
Télécommunication – Télécommunication, Opérateurs,
FAI, Services managés.
Conseil – Services de conseil.
Autres – Publicité/Médias, Distributeur, Éducation, Justice,
Loisirs/Hospitalité, Commerce de détail et de gros, Valeurs
et titres, Autre.
005
recommandé par
02
MENACES POUR VOTRE
ENTREPRISE
dernières nouvelles :
une nouvelle cyberattaque découverte
En 2012, les cyberattaques ont continué de proliférer et
faire la une des journaux. Presque tous les jours, les menaces
de logiciels malveillants, les attaques et les botnets, sont
en première page, démontrant ainsi la réussite des pirates
à dérober des données, paralyser l'activité des entreprises,
ou espionner des entreprises et des gouvernements. Les
exemples suivants ne sont que la partie visible de l'iceberg
des cyberattaques qui se sont produites en 2012 : des
pirates attaquant le réseau de la Maison Blanche6, le groupe
d'hacktivistes Anonymous stoppant le fonctionnement des
sites Internet des associations de commerce U.S. Telecom
Association et TechAmerica7, des cyberattaques ciblant
Capital One Financial Corp., BB&T Corp., HSBC Bank
USA8 et de nombreuses autres institutions financières.
Menaces persistantes avancées
Les cybercriminels ne sont plus de simples amateurs isolés.
Ils appartiennent dans de nombreux cas à des groupes
bien structurés ressemblant à des organisations terroristes,
avec du financement, de la motivation et des objectifs. Les
cybercriminels semblent consacrer beaucoup de temps
« IL N'EXISTE QUE DEUX TYPES
D'ENTREPRISES, CELLES QUI ONT ÉTÉ
PIRATÉES ET CELLES QUI LE SERONT. »
Robert Mueller, Directeur du FBI, mars 20125
et de ressources à recueillir des renseignements. Leurs
activités criminelles causent de graves dommages aux
entreprises, telles que des fuites de données confidentielles,
l'interruption de l'activité, l'atteinte à la réputation et bien
sûr des pertes financières. Les attaques et à long terme les
plus sophistiquées, menées dans un but prédéterminé et très
spécifique, sont appelées « menaces persistantes avancées »
(APT). Ces attaques ne sont généralement pas détectées par
les systèmes de sécurité traditionnels, mettant ainsi en danger
les gouvernements, les petites entreprises aussi bien que les
grandes entreprises, et les réseaux personnels.
Dans une attaque APT, la première action consiste
typiquement à effectuer une reconnaissance de la cible pour
recueillir des renseignements. Ensuite, les agresseurs font
une première intrusion dans le réseau de la cible pour ouvrir
une porte dérobée et rester actif dans le réseau. Ceci est
BLACKHOLE - LE kIT d'ExPLOITATION dES
VULNéRAbILITéS dE MONSIEUR TOUT LE MONdE
Le succès des activités malveillantes de l'année dernière
peut-être en partie attribuée aux pirates qui utilisent
des outils d'attaque prêts à l'emploi. Un seul clic suffit à
télécharger une suite d'attaque complète et hautement
sophistiquée. BlackHole, une application web très
répandue d'exploitation de vulnérabilités, est un exemple
de ce type de suite. Elle intègre un ensemble d'outils qui
exploitent les failles de sécurité des navigateurs pour
télécharger des virus, des bots, des chevaux de Troie et
autres formes de logiciels malveillants sur les ordinateurs
des victimes. Les prix de ces kits varie de quelques dizaines
d'euros pour une utilisation à la journée à 1 300 euros
pour une année complète9.
recommandé par
02 _ MENACES POUR VOTRE ENTREPRISE
FUITES DE DONNÉES
EN 2012
De nombreux incidents ayant pour conséquence des fuites de données se sont produits cette année, exposant les
données liées aux cartes de paiement, aux clients, aux élèves ou aux patients, stockées sur des serveurs d'entreprise.
Ces activités malveillantes ont pour objectif commun d'obtenir des informations confidentielles. La liste suivante
présente quelques exemples :
Global Payments Inc.
Une entreprise mondiale de traitement des paiements
piratée en juin 2012. Les données de plus de 1,5 million
de cartes de paiement ont été dérobées.
Une intrusion à l'Université du Nebraska
a permis le vol de plus de 650 000 fichiers de données
personnelles relatives aux élèves, anciens élèves, parents
et employés depuis la base de données du système
d'information étudiants de l'université.
Clarksville, Tennessee, États-Unis
En juin 2012, des pirates se sont introduits dans le
système informatique des écoles du comté de ClarksvilleMontgomery, et ont dérobé les noms, numéros
de sécurité sociale et autres données personnelles
d'environ 110 000 personnes. Les pirates ont utilisé les
informations postées par des employés et des étudiants
en ligne pour accéder au système10.
Département des Services Technologiques
de l'Utah, États-Unis
En mars 2012, 780 000 dossiers de patients liés à des
demandes de remboursement du programme de santé
Medicaid ont été dérobés dans un serveur par des
pirates probablement situés en Europe de l'Est.
Sécurité sociale du Royaume-Uni
Serco Thrift Savings Plan
En mai 2012, une attaque informatique menée contre
Serco aux États-Unis a permis de dérober les données
personnelles de 123 000 employés fédéraux.
Entre juillet 2011 et juillet 2012, la Sécurité sociale du
Royaume-Uni a subi plusieurs attaques qui ont exposé
les dossiers de près de 1,8 million de patients11.
habituellement accompli en infectant un hôte à l'aide d'un
bot permettant aux agresseurs de communiquer avec l'hôte
infecté sans être détectés. Les agresseurs tentent ensuite
d'accéder à d'autres ressources du réseau et compromettre
encore plus de nœuds. Après cette étape, les agresseurs ont
atteint leur cible, et peuvent maintenant exploiter les hôtes
infectés pour collecter des données ou causer les dommages
prévus, à distance et tout en restant hors d'atteinte sur le
long terme.
DES KITS DE BOTS SONT VENDUS EN
LIGNE POUR QUELQUES CENTAINES
D'EUROS ET LEURS DOMMAGES
COÛTENT DES MILLIONS D'EUROS
Les botnets ne disparaîtront pas de sitôt.
Ils sont une des menaces les plus importantes auxquelles
les entreprises doivent aujourd'hui faire face pour protéger
leur réseau. Un bot est un logiciel malveillant qui envahit et
infecte un ordinateur pour permettre à des criminels de le
contrôler à distance. L'ordinateur infecté peut effectuer des
activités illégales telles que le vol de données, la diffusion de
spam, la diffusion de logiciels malveillants et la participation
à des attaques de déni de service (DoS). Le propriétaire
de l'ordinateur infecté n'est généralement pas conscient de
ces activités. Les bots jouent également un rôle clé dans les
attaques APT ciblées.
Il existe deux grandes tendances motivant les attaques de bots
dans le paysage actuel des menaces. La première tendance
en forte croissance est celle de la cybercriminalité à des fins
lucratives, comprenant les opérateurs et les fournisseurs de
007
recommandé par
logiciels malveillants, des programmeurs, et des programmes
d'affiliation. Ses « produits et services » peuvent être
facilement achetés en ligne sur de nombreux sites (par
exemple : kits de logiciels malveillants, envoi de spam, vol
de données, attaque de déni de service) et les entreprises ont
beaucoup de mal à lutter contre ces attaques. La seconde
tendance est celle des attaques idéologiques et des attaques
lancées par des états contre des individus et des entreprises
cibles pour promouvoir une cause politique ou mener une
campagne de cyberguerre.
Les botnets ne disparaîtront pas de sitôt. Contrairement aux
virus et autres logiciels malveillants traditionnels statiques
(dont le code et la forme restent les mêmes), les botnets sont de
nature dynamique, et peuvent changer rapidement de forme et
de modèle de communication. Des boîtes à outils de création
de bots sont vendues en ligne pour quelques centaines d'euros
et leurs attaques coûtent des millions d'euros aux entreprises.
Le problème des bots est devenu un problème d'envergure.
ACTIVITÉS DES BOTNETS
Répandre
des virus
Envoyer
du spam
diffuser
des logiciels
malveillants
Attaquer des
ordinateurs et
des serveurs
dérober
des données
recommandé par
63 %
DES ENTREPRISES ÉTUDIÉES
SONT INFECTÉES PAR DES BOTS
Responsable
de botnet
DDoS
48 % 1 à 3 hôtes
10 % 7 à 9 hôtes
Ordinateurs
sur Internet
, virus,
6 % Plus de 21 hôtes
Commande
et contrôle
Bot
Sp
am
Nombre d'hôtes infectés par des bots
(% des entreprises)
Fonctionnement des botnets
Un botnet se compose généralement d'un certain nombre
d'ordinateurs infectés par des logiciels malveillants qui
établissent une connexion réseau avec un système de contrôle
appelé « serveur de commande et de contrôle ». Lorsqu'un
bot infecte un ordinateur, il prend le contrôle de l'ordinateur
et neutralise les défenses antivirus. Les bots sont difficiles
à détecter car ils se cachent à l'intérieur des ordinateurs et
modifient la manière dont ils se comportent pour les logiciels
antivirus. Le bot se connecte alors au serveur de commande
et de contrôle pour obtenir des instructions de la part des
cybercriminels. De nombreux protocoles de communication
sont utilisés pour ces connexions, y compris IRC, HTTP,
ICMP, DNS, SMTP, SSL, et dans certains cas, des protocoles
personnalisés créés par les auteurs des botnets.
18 % 10 à 21 hôtes
Les réseaux de zombies sont partout. Cette
situation est-elle alarmante ?
Il est estimé que plus d'un quart de tous les ordinateurs
personnels connectés à Internet font partie d'un botnet.12. Nos
récentes recherches montrent que dans 63 % des entreprises,
au moins un bot a été détecté. La plupart des entreprises sont
infectées par une variété de bots.
18 % 4 à 6 hôtes
Graphique 2-A
009
recommandé par
TOUTES LES 21 MINUTES
UN BOT COMMUNIQUE AVEC
SON SERVEUR DE COMMANDE
ET DE CONTRÔLE
avec leur serveur de commande et de contrôle au moins
une fois toutes les 2 heures. La majorité des activités de
commande et de contrôle se situent aux États-Unis, puis en
Allemagne, aux Pays-Bas et en France, comme le montre le
graphique 2-C.
Les différents types de communication des bots avec leur
serveur de commande et de contrôle comprennent le
signalement de nouveaux hôtes infectés, les messages de
maintien d'activité (« keep-alive »), et les données recueillies
sur le système hôte. Nos recherches montrent qu'en moyenne,
un bot communique avec son serveur de commande et de
contrôle une fois toutes les 21 minutes.
Activités de commande et de contrôle
Les bots revêtent différentes formes et peuvent effectuer de
nombreuses activités. Dans de nombreux cas, un seul bot
peut créer de multiples menaces. Une fois sous le contrôle
du serveur de commande et de contrôle, le botnet peut être
activé par un pirate pour mener des activités illégales à l'insu
de l'utilisateur. Ces activités comprennent l'infection d'autres
machines afin de les ajouter au botnet, l'emailing de masse, les
attaques DDoS, et le vol de données personnelles, financières
ou confidentielles. Les bots sont également souvent utilisés
comme outils d'attaque APT ciblant des individus ou des
entreprises.
Le graphique 2-B présente la fréquence des communications
des bots avec leur serveur de commande et de contrôle. 70 %
des bots détectés durant nos recherches communiquaient
Quels sont les botnets auxquels nous devrions
faire attention ?
Des milliers de botnets existent aujourd'hui.
Le tableau suivant présente les principaux botnets découverts
durant nos recherches. Pour mieux comprendre ces menaces
furtives, des informations complémentaires sur chaque
menace ont été compilées dans l'Annexe A.
Fréquence des communications des bots avec
leur serveur de commande et de contrôle
6 %
eures
h
2à4
24 %
de 4
Plus
1à
45 %
s
heure
res
2 heu
25 %
eure
'à 1 h
u
q
s
u
J
Famille de bots
Activité malveillante
Zeus
Vol d'identifiants bancaires en ligne
Zwangi
Présentation de publicités
indésirables
Sality
Virus auto-diffusé
Kuluoz
Activation de fichiers à distance
Juasek
Actions malveillantes à distance :
ouverture de l'invite de commandes,
rech./créa./suppr. de fichiers, etc.
Papras
Vol de données financières et accès à
distance
Détails supplémentaires dans l'Annexe A
Graphique 2-B
010
recommandé par
Principales localisation des serveurs de
commande et de contrôle
7%
Pays-Bas
9%
Allemagne
3%
Canada
7%
France
3%
Roumanie
58 %
États-Unis
4%
Chine
3%
Venezuela
Graphique 2-C
DANS
3%
Argentine
75 %
DES ENTREPRISES, DES HÔTES
ACCÈDENT À DES SITES WEB
MALVEILLANTS
recommandé par
3%
Australie
18 % 3 à 4 hôtes
20 % 5 à 8 hôtes
31 % 1 à 2 hôtes
Accès à des sites malveillants par nombre d'hôtes
(% des entreprises)
16 % 9 à 16 heures
Graphique 2-D
15 % Plus de 16 hôtes
14 % Jusqu'à 2 heures
Téléchargements de logiciels malveillants
(% des entreprises)
19 % 2 à 6 heures
Comment votre entreprise peut être infectée
par un logiciel malveillant
Il existe de nombreux points d'entrée pour pénétrer les
défenses d'une entreprise, dont notamment les vulnérabilités
des navigateurs, les téléphones mobiles, les pièces jointes
malveillantes et les supports amovibles, pour n'en citer que
quelques exemples. L'explosion du nombre d'applications
web 2.0 et des réseaux sociaux utilisés comme outils
professionnels fournit également aux pirates des armes pour
tromper leurs victimes et les inciter à cliquer sur des liens
malveillants ou de fausses publicités présentées sur des sites
légitimes.
Même si les botnets sont considérés comme l'une des menaces
les plus graves aujourd'hui, les entreprises sont toujours
confrontées par ailleurs aux menaces présentées par les
logiciels malveillants : virus, vers, logiciels espions, logiciels
publicitaires, chevaux de Troie, etc. Nos recherches montrent
que dans 75 % des entreprises, un hôte accède à un site web
malveillant.
Le graphique suivant présente le nombre d'hôtes qui a accédé
à des sites web malveillants par pourcentage d'entreprises.
Dans plus de 50 % des entreprises, au moins cinq hôtes ont
accédé à des sites web malveillants.
Un logiciel malveillant peut être téléchargé par un utilisateur
ou un bot qui a déjà infecté l'hôte. Nous avons découvert
que dans 53 % des entreprises, un logiciel malveillant a été
téléchargé depuis le réseau de l'entreprise. Dans plus de 50 %
de ces entreprises, nous avons également découvert que plus
de quatre hôtes ont téléchargé des logiciels malveillants.
TOUTES LES 23 MINUTES
UN HÔTE ACCÈDE À UN
SITE WEB MALVEILLANT
43 % Plus d'une journée
12 % 12 à 24 heures
12 % 6 à 12 heures
Graphique 2-E
Le graphique suivant présente la fréquence moyenne de
téléchargement de logiciels malveillants dans les entreprises
étudiées.
Le graphique 2-G présente le nombre d'hôtes qui a
téléchargé des logiciels malveillants. Dans plus de 50 % des
entreprises, au moins cinq hôtes ont téléchargé des logiciels
malveillants.
Nos recherches montrent que la majorité des logiciels
malveillants proviennent des États-Unis, puis du Canada et
du Royaume-Uni, comme indiqué dans le graphique 2-F.
La protection antivirus est une des méthodes de protection
contre les infections de logiciels malveillants. Toutefois, nos
recherches montrent que 23 % des hôtes en entreprise ne
mettent pas leur antivirus à jour quotidiennement. Un hôte ne
012
recommandé par
PRINCIPALES SOURCES DE LOGICIELS
MALVEILLANTS
4%
RoyaumeUni
3%
Allemagne
8%
Canada
2%
France
3%
Israël
2%
Slovaquie
2%
République
tchèque
71 %
États-Unis
2%
Chine
3%
Turquie
Graphique 2-F
20 % Plus de 33
12 % 17 à 32 hôtes
10 % 9 à 16 hôtes
13 % 5 à 8 hôtes
45 % 1 à 4 hôtes
Graphique 2-G
Hôtes ayant téléchargé des logiciels malveillants
(% des entreprises)
disposant pas d'un antivirus à jour est exposé aux virus. Nous
avons également découvert que 14 % des hôtes en entreprise
ne disposent même pas d'un antivirus. Les probabilités
d'infection par logiciels malveillants des hôtes qui ne sont pas
équipés d'un antivirus sont extrêmement élevées.
Nous vous présentons « miniFlame », le petit
frère encore plus dangereux de Flame
Il semble que le logiciel malveillant Flame découvert plus
tôt cette année n'était que le premier de sa série. Il existe
désormais un programme similaire appelé « miniFlame »,
capable de mener des attaques plus précises sur des cibles
situées au Moyen-Orient. miniFlame intègre une porte
013
recommandé par
ATTAQUE EUROGRABBER
PLUS DE 36 MILLIONS D'EUROS DÉROBÉS SUR PLUS
DE 30 000 COMPTES BANCAIRES
En 2012, une attaque sophistiquée, multi-dimensionnelle
et ciblée, a réussi à détourner plus de 36 millions d'euros
provenant de plus de 30 000 comptes d'usagers de
plusieurs banques à travers toute l'Europe. Les usagers des
services bancaires en ligne ne savaient absolument pas qu'ils
étaient infectés par des chevaux de Troie, que leurs sessions
bancaires en ligne étaient compromises et que des fonds
avaient été dérobés de leurs comptes. Une fois découverte,
cette vague d'attaques a été nommée « Eurograbber » par
Versafe et Check Point Software Technologies. L'attaque
Eurograbber emploie une nouvelle variante très efficace
du cheval de Troie ZITMO (Zeus-In-The-Mobile). À ce
jour, les attaques n'ont été constatées que dans les pays de
la zone euro, mais une variante pourrait très bien affecter
des banques de pays situés hors de l'Union Européenne
L'attaque en plusieurs étapes a infecté les ordinateurs et
les appareils mobiles des usagers des services bancaires en
Plus de vulnérabilités donc plus d'exploitation
des vulnérabilités
Les vulnérabilités bien connues sont des cibles clés
pour les pirates qui tablent sur le simple fait que de
nombreuses entreprises ne mettent pas leurs logiciels à jour
régulièrement. Plus les entreprises sont grandes, plus il est
difficile pour les administrateurs de sécurité de maintenir
tous les systèmes à jour. Ainsi, dans de nombreux cas,
une ancienne vulnérabilité déjà corrigée peut-être encore
utilisée pour infiltrer les systèmes des petites et des grandes
entreprises qui n'ont pas mis leur système à jour avec les tous
derniers correctifs.
Le nombre de vulnérabilités découvertes chaque année est
impressionnant, avec plus de 5 00013 nouvelles façons en
Nombre total de vulnérabilités courantes
Source : CVE (vulnérabilités courantes)
dérobée permettant le contrôle, le vol de données et la
possibilité de faire des captures d'écran, à distance.
ligne, et une fois que le cheval de Troie Eurograbber a été
installé sur les deux, les sessions des usagers ont pu être
complètement surveillées et manipulées par les agresseurs.
Le mécanisme d'authentification à deux facteurs utilisé
par les banques pour assurer la sécurité des transactions
bancaires en ligne a été contourné lors de l'attaque, et
même utilisé par les agresseurs pour authentifier leurs
propres transferts illicites. Le cheval de Troie utilisé pour
attaquer les appareils mobiles a été développé à la fois pour
Blackberry et Android afin de maximiser le nombre de
cibles. Il a ainsi pu infecter aussi bien des particuliers que
des entreprises usagers des services bancaires, et détourner
des sommes allant de 500 à 250 000 euros par compte. Des
informations complémentaires sur l'attaque Eurograbber, y
compris le détail de ses étapes, sont disponibles dans l'étude
de cas d'Eurograbber12 sur le site web de Check Point.
2
5 67
5
5 23
9
5 27
2
5 13
Graphique 2-H
014
recommandé par
2012
2011
2010
2009
2012 pour les pirates de provoquer des dommages et accéder
à des systèmes. Et de nombreuses vulnérabilités non encore
découvertes sont activement utilisées par les cybercriminels.
Le graphique 2 démontre que les produits les plus populaires
Nombre de vulnérabilités par éditeur
o
Micr
222
ox
Firef
Adob
119
119
118
oog
80 G
e
Cisco
IBM
le
HP
62 P
P
59 H
Source : CVE (vulnérabilités courantes)
150
événements de sécurité par éditeur
% des entreprises
racle
%O
15
68 % Microsoft
soft
384 Oracle
e
Appl
260
d'exploitation. Ne pas utiliser les tous derniers Service Packs
signifie s'exposer à des risques.
De plus, nous avons découvert que des événements de
sécurité liés aux produits Microsoft se sont produits dans
68 % des entreprises. Des événements de sécurité liés à
d'autres éditeurs tels qu'Adobe et Apple se sont produits
dans un nombre nettement moins élevé d'entreprises. Il est
intéressant de noter que bien qu'Apple soit second en nombre
de vulnérabilités, seul un faible pourcentage d'entreprises ont
ob e
% Ad
13
vell
No
5 %
Ap
5 %
ache
ple
Ap
4 %
H
3 %
P
Graphique 2-J
Graphique 2-I
utilisés par quasiment toutes les entreprises dans le monde
entier sont également les plus vulnérables, avec Oracle, Apple
et Microsoft en tête des éditeurs les plus vulnérables.
Nos recherches montrent que 75 % des hôtes des entreprises
n'utilisent pas les toutes dernières versions (par exemple :
Acrobat Reader, Flash Player, Internet Explorer, Java Runtime
Environment, etc.). La conséquence étant que les hôtes
sont exposés à un grand nombre de vulnérabilités pouvant
être exploitées par des pirates. Nos recherches montrent
également que 44 % des hôtes des entreprises n'utilisent pas
les tous derniers Service Packs de Microsoft. Les Service
Packs incluent généralement des mises à jour pour le système
subi des événements de sécurité liés aux produits Apple.
Les pirates utilisent de nombreuses techniques appelées
vecteurs d'attaques. Le graphique 2-K liste certains de ces
vecteurs d'attaques en fonction du pourcentage d'entreprises
qui les ont subies. Corruption de la mémoire, dépassement de
tampon, et déni de service sont les vecteurs d'attaques les plus
populaires découverts dans nos recherches.
015
recommandé par
0
Graphique 2-L
016
recommandé par
t.
oc
28
t.
14
oc
.
30
se
pt
.
16
se
pt
.
2
se
pt
ût
19
ao
ût
ao
5
ju
22
À quoi ressemble une attaque d'injection SQL ?
Chronique d'une injection SQL
Ce qui suit est un véritable exemple d'une série d'attaques
par injection SQL qui se sont déroulées de juillet à octobre
2012 dans un environnement client Check Point. Ces
attaques ont été détectées et bloquées par une passerelle
Check Point. Cet exemple nous est rapporté par l'équipe des
services managés Check Point ThreatCloud.
il.
50
0
1
Graphique 2-K
00
0
1
50
0
2
1%
Taux d'injections SQL
Nombre d'injections SQL
50
ion
rmat
o
f
n
i
'
ll
d
ur nu
Fuite
e
t
n
i
%
8
e po
ent d
m
e
c
n
fére
Déré
%
6
ges
rivilè
p
e
d
ade
Escal
%
on
5
tamp
e
d
t
on
emen
ficati
épass
i
t
D
n
e
2%
'auth
ent d
m
e
n
our
Cont
L'injection SQL peut être effectuée manuellement (un pirate à
son clavier) où automatiquement (attaque par script). Dans le
cas présent, tel que démontré dans le graphique 2-L, un pic de
4 184 tentatives d'attaques (très certainement automatisées)
s'est produit pendant deux jours, à l'aide du même code et
provenant de la même adresse IP source.
2
D
10 %
24 %
e
de pil
t
n
e
ssem
Dépa
%
ent
19
strem
i
g
e
r
n d'en
patio
r
u
s
U
15 %
ier
d'ent
t
n
e
em
épass
ion
xécut
E
de
de co
0
2%
n3
ampo
t
e
d
ent
%
ssem
e 32
Dépa
moir
é
m
n
uptio
Corr
2%
ice 3
v
r
e
s
de
Déni
L'injection SQL est une exploitation de vulnérabilité
(CVE-2005-0537) par laquelle un agresseur ajoute du
code SQL au champ d'un formulaire web pour obtenir
l'accès à des ressources ou modifier les données stockées. Le
graphique 2-M montre à quoi ressemble l'attaque. Le texte
surligné correspond aux données auxquelles le pirate a tenté
d'accéder via l'injection SQL (des noms d'utilisateurs et des
mots de passe dans le cas présent). Les commandes SQL
utilisées sont : select, concat et from.
L'attaque a été menée depuis 99 adresses IP différentes. Bien
que l'entreprise ciblée soit située en Europe, les attaques
provenaient de nombreux pays différents, tel qu'illustré
dans le graphique 2-M.
00
Principaux vecteurs d'attaque
INJECTIONS SQL PAR
PAYS D'ORIGINE
9
36
198
-B
Pays
as
98
130 Algérie
122
Russ
ie
Éta
t
s-U
nis
Graphique 2-M
TOP 10
e
agn
em
Al l
58 E
spagn
e
http:// ______________/ns/index.
53 Géorgie
php?action=com_clan&cid=185 and 1=2
union select 1,2,3,4,5,6,concat(0x26,
e
52 Ukrain
42
R
0x26,0x26,0x25,0x25,0x25,nom_utilisateur,
anie
m
u
o
0x3a mot_de_passe 0x25,0x25,0x25,0x26,
0x26,0x26),8 from jos_users--
37 Royaume-Uni
RECOMMANDATIONS DE SÉCURITÉ
PLUSIEURS COUCHES DE SÉCURITÉ
Les menaces devenant de plus en plus sophistiquées, les
problématiques de sécurité continuent de se complexifier.
Pour maximiser la sécurité réseau de l'entreprise, un
mécanisme de protection multicouche est nécessaire
afin d'offrir une protection contre les différents vecteurs
d'attaques :
• Un antivirus pour identifier et bloquer les logiciels
malveillants
• Un antibot pour détecter et empêcher les dommages causés
par les bots
• Un système de prévention d'intrusions proactif
• Le filtrage des URL et le contrôle des applications pour
empêcher l'accès à des sites web hébergeant/propageant
des logiciels malveillants
• Des données sur les menaces en temps réel et collaboration
mondiale
• Une surveillance intelligente permettant des analyses
proactives
017
recommandé par
2012, UNE ANNÉE D'HACKTIVISME
Le climat de turbulence politique qui a débuté en
2010 par le soulèvement de nombreux pays arabes s'est
poursuivi en 2012 par des manifestations publiques dans
d'autres pays. c'est donc sans surprise que nous avons
constaté une vague de cyberattaques reposant sur ces
agendas idéologiques.
Foxconn, un fournisseur d'Apple à Taiwan, a été piraté
par le groupe Swagg Security. Ce groupe réagissait
apparemment aux annonces faites dans la presse des
conditions de travail déplorables dans les entreprises du
constructeur électronique en Chine14.
Le groupe d'activistes Anonymous a annoncé avoir
piraté un serveur du département de la justice américaine
hébergeant le site des statistiques du bureau de la justice, et
a publié 1,7 Go de données dérobées. Le groupe a publié
l'annonce suivante à propos des données volées : « Nous
publions ces données pour mettre fin à la corruption et
véritablement libérer ceux qui sont oppressés. »15.
Blocage des fichiers malveillants entrants
Les entreprises doivent s'équiper d'une solution antimalwares
analysant les fichiers entrant dans le réseau et capable de
décider en temps réel si les fichiers sont infectés par des
logiciels malveillants. Cette solution doit empêcher les
fichiers malveillants d'infecter le réseau interne et également
empêcher l'accès aux sites web infestés de logiciels malveillants
qui tentent d'effectuer des téléchargements automatiques.
Protection antibot multicouches
La protection contre les bots comporte deux phases :
la détection et le blocage.
Pour maximiser sa capacité à détecter un bot dans un réseau,
un mécanisme de détection multicouche est nécessaire pour
couvrir tous les aspects du comportement des bots. Une
solution de détection de bot doit intégrer un mécanisme de
vérification de la réputation capable de détecter les adresses
IP, URL et DNS utilisées par les agresseurs pour se connecter
aux botnets. Il est également très important que cette
Le Vatican a également subit pendant une semaine des
attaques du groupe Anonymous sur ses sites web et ses
serveurs de messagerie internes. Le groupe a revendiqué
son action en indiquant que les transmetteurs du système
radio du Vatican situés dans les campagnes aux alentours
de Rome posaient soi-disant un risque de santé. Le groupe
prétendais que les émetteurs provoquaient « des leucémies
et des cancers » chez les personnes habitant à proximité.
Le groupe a également justifié son attaque en indiquant
que le Vatican avait soi-disant aidé les nazis à détruire des
ouvrages de valeur historique, et que le clergé commettait
des agressions sexuelles sur des enfants16.
Lors d'une autre cyberattaque, Anonymous a stoppé le
fonctionnement des sites Internet des associations de
commerce U.S. Telecom Association et TechAmerica.
Ces attaques ont apparemment été mené en raison du
soutien de ces associations à la loi sécuritaire proposée
par le républicain Mike Rogers. Cette loi permettrait
à des sociétés privées et au gouvernement de partager
directement des informations « sur des vulnérabilités ou
des menaces » pesant sur des réseaux d'ordinateurs17.
protection inclut la possibilité de détecter les protocoles et
les modèles de communication uniques à chaque famille
de botnet. La détection des actions des bots est une autre
fonction essentielle de la protection antibot. La solution
doit être capable d'identifier les activités des bots, telles que
l'envoi de spam, le détournement de clics et l'autodiffusion.
La seconde phase faisant suite à la découverte des machines
infectées est le blocage des communications sortantes des
bots vers les serveurs de commande et de contrôle. Cette
phase neutralise la menace et s'assure que les bots ne peuvent
ni communiquer d'informations confidentielles ni recevoir
d'instructions pour d'autres activités malveillantes. Les
dommages causés par les bots sont ainsi immédiatement
neutralisés. Cette approche permet aux entreprises de
maintenir la continuité de leur activité. Les utilisateurs
peuvent travailler normalement, sans avoir conscience que
les communications spécifiques des bots sont bloquées
et que l'entreprise est protégée, sans aucun impact sur la
productivité.
018
recommandé par
Collaboration mondiale en temps réel
Le problème des cyberattaques est trop vaste pour qu'une
entreprise seule s'y attaque. Les entreprises ont plus de chance
de maîtriser ce défi croissant en collaborant et en bénéficiant
d'une assistance professionnelle. Lorsque les cybercriminels
utilisent des logiciels malveillants, bots et autres formes
de menaces avancées, ils ciblent souvent plusieurs sites et
entreprises pour augmenter les chances de réussite de leurs
attaques. Lorsque les entreprises combattent ces menaces
séparément, de nombreuses attaques ne peuvent être
détectées car les entreprises ne sont pas en mesure de partager
d'informations sur les menaces. Pour continuer de devancer
les menaces, les entreprises doivent collaborer et partager des
données sur les menaces. La protection ne peut se renforcer et
devenir plus efficace que si elles joignent leurs efforts.
Prévention d'intrusions
La prévention d'intrusions est une couche de sécurité
obligatoire pour combattre les différents vecteurs des
cyberattaques. Une solution de prévention d'intrusions est
requise pour inspecter le trafic en profondeur, et empêcher
les tentatives d'infiltration et d'accès aux ressources de
l'entreprise. Une solution adéquate intègre les fonctionnalités
suivantes :
• Validation des protocoles et détection des anomalies,
Identification et blocage du trafic non conforme
avec les protocoles standards, et pouvant entraîner le
malfonctionnement des équipements ou des problèmes de
sécurité.
• Blocage des charges inconnues capables d'exploiter une
vulnérabilité spécifique.
• Blocage des communications excessives indiquant une
attaque de déni de service (DoS).
Voir la section Paysage des menaces et mesures
Une visibilité claire sur les événements de sécurité et les
tendances est un autre composant clé de la lutte contre la
cybercriminalité. Les administrateurs de sécurité doivent
être constamment et clairement en mesure de comprendre
l'état de la sécurité du réseau pour contrer les menaces et les
attaques ciblant l'entreprise. Cette compréhension requiert
une solution de sécurité capable de fournir une visibilité
de haut niveau sur les protections, et mettre en évidence
les informations critiques et les attaques potentielles. La
solution doit également être en mesure d'analyser des
éléments spécifiques en profondeur. La possibilité de prendre
immédiatement des mesures à partir de ces informations
est essentielle pour empêcher les attaques en temps réel et
bloquer proactivement les menaces futures. La solution de
sécurité doit intégrer un mécanisme d'administration intuitif
et souple pour simplifier l'analyse des menaces et réduire le
coût d'adaptation.
Mises à jour de sécurité et assistance
En raison des menaces en constante évolution, les défenses
doivent évoluer pour continuer de les devancer. Les
produits de sécurité ne peuvent traiter efficacement les tous
derniers logiciels malveillants et vulnérabilités que si leurs
éditeurs sont en mesure d'effectuer des recherches et fournir
des mises à jour fréquentes.
Un excellent service de sécurité repose sur :
• La recherche interne de l'éditeur et sa capacité à collecter
des informations depuis différentes sources
• Des mises à jour de sécurité fréquentes pour toutes les
technologies appropriées, dont la prévention d'intrusions,
l'antivirus et l'antibot
• Une assistance pratique et facile d'accès capable de
répondre aux questions et traiter les problèmes spécifiques
à l'environnement de ses clients
019
recommandé par
03
APPLICATIONS UTILISÉES DANS
L'ESPACE DE TRAVAIL DE L'ENTREPRISE
Les règles du jeu ont changé.
Les règles du jeu ont changé. Les applications Internet
étaient autrefois considérées comme un passe-temps, un
moyen de voir les photos de voyage de ses amis et regarder
des films drôles. Les applications du web 2.0 sont devenues
des outils essentiels pour les entreprises modernes. Nous
communiquons avec des collègues, clients et partenaires,
nous partageons des informations, et nous nous tenons
informé de l'actualité et des opinions d'autres internautes.
Des outils Internet tels que Facebook, Twitter, Webex,
LinkedIn et Youtube pour n'en citer que quelques-uns, sont
de plus en plus répandus dans les entreprises qui les utilisent
comme des facilitateurs.
Dans cette section de notre étude, nous détaillons les risques
introduits par les applications du web 2.0 et leur infrastructure,
puis nous nous concentrons sur les applications spécifiques
utilisées par les entreprises de notre étude. Les résultats sont
illustrés à l'aide de véritables exemples d'incidents.
Les applications web ne sont pas des jeux
L'évolution de la technologie entraîne la complexification des
problématiques de sécurité. Les outils Internet introduisent
également de nouveaux risques de sécurité. De nombreuses
applications Internet légitimes sont utilisées comme outil
d'attaque contre les entreprises ou entraînent des failles de
sécurité dans les réseaux. Des applications d'anonymat, de
stockage et de partage de fichiers, de partage de fichiers en P2P,
d‘administration à distance et les réseaux sociaux, sont utilisés
par des agresseurs pour exploiter les failles des entreprises.
Il existe une multitude de plates-formes et d'applications
pouvant être utilisées à des fins personnelles ou
professionnelles. Chaque entreprise doit être consciente de ce
que font ses employés, et à quelles fins, puis définir sa propre
politique d'utilisation d'Internet.
Il est à noter que 91 % des entreprises utilisent des applications
capables de potentiellement contourner la sécurité, masquer
les identités, provoquer des fuites de données et même
introduire des infections à leur insu.
DONNÉES CONFIDENTIELLES PARTAGÉES PAR DES
APPLICATIONS DE PARTAGE DE FICHIERS EN P2P
En juin 2012, la FTC (agence américaine de régulation
des échanges commerciaux) a allégué que deux entreprises
avaient publié des informations confidentielles sur des
réseaux de partage de fichiers en P2P, mettant en danger
des milliers de consommateurs. La FTC a indiqué que l'une
des entreprises, EPN, Inc., une agence de recouvrement de
créances, avait rendu des données confidentielles, y compris
les numéros de sécurité sociale, les numéros d'assurés sociaux
et les diagnostics médicaux de 3 800 patients, disponibles
à tout ordinateur connecté au réseau de P2P. La FTC a
indiqué que l'autre entreprise, Franklin‘s Budget Car Sales,
Inc., un concessionnaire automobile, avait exposé les données
de 95 000 consommateurs sur un réseau de P2P. Les données
comprenaient les noms, adresses, numéros de sécurité sociale,
dates de naissance et numéros de permis de conduire18.
En 2010, la FTC a signalé à une centaine d'entreprises que
des informations personnelles, comprenant des données
confidentielles sur des consommateurs et/ou des employés,
avaient été partagées sur leurs réseaux et étaient disponibles
sur les réseaux de partage de fichiers en P2P. N'importe quel
utilisateur de ces réseaux pouvait utiliser les données à des fins
d'usurpation d'identité ou de fraude19.
recommandé par
DANS
61%
03 _ APPLICATIONS UTILISÉES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE
DES ENTREPRISES, UNE APPLICATION DE
PARTAGE DE FICHIERS EN P2P EST UTILISÉE
utella
Gn
11 %
Sop
10 %
7 %
7
6
cast
ows
Wind
esh
Live M
esh
% iM
d
xClou
o
B
%
Graphique 3-A
Des informations supplémentaires sur les principales applications de P2P
sont disponibles dans l'Annexe B.
Graphique 3-B
55 % EMEA
lSeek
62 % Amériques
Sou
19 %
Utilisation d‘applications de partage
de fichiers en P2P par région
(% des entreprises)
72 % APAC
ule
eM
20 %
40 % BitTorrent
Principales applications de partage
de fichiers en P2P
(% des entreprises)
de partager des dossiers et provoquer d'éventuelles fuites de
données confidentielles, et peuvent rendre les entreprises
responsables d'acquisitions illégales par leurs employés via les
réseaux P2P. Nous avons constaté un fort taux d'utilisation
des applications de P2P. Elles sont utilisées dans plus de la
moitié des entreprises (61 %). Les clients BitTorrent sont les
outils de partage de fichiers en P2P les plus utilisés.
D'un point de vue régional, le graphique suivant montre
qu'en Asie-Pacifique, les applications de partage de fichiers
en P2P sont plus populaires que dans d'autres régions.
Les applications de P2P ouvrent des portes
dérobées dans votre réseau
Les applications de P2P (pair à pair) sont utilisées pour
partager des fichiers entre utilisateurs. La technologie P2P
est de plus en plus prisée par les agresseurs pour propager
des programmes malveillants parmi les fichiers partagés. Les
applications de P2P sont essentiellement des portes dérobées
pour accéder à votre réseau. Elle permettent aux utilisateurs
Les applications d'anonymat contournent les
règles de sécurité des entreprises
Un anonymiseur (ou proxy anonyme) est un outil permettant
de masquer toute trace des activités des utilisateurs sur
Internet. Une telle application utilise un serveur de proxy qui
agit en tant que filtre entre les ordinateurs des clients et le reste
d'Internet. Elle accède à Internet à la place des utilisateurs, en
masquant les informations personnelles de leur ordinateur
et la destination à laquelle ils accèdent. Les applications
0021
recommandé par
7
6 %
y Ass
ide M
H
%
achi
Ham
r
opste
H
7 %
Graphique 3-D
Comment fonctionne l'anonymiseur Ultrasurf ?
Ultrasurf est un anonymiseur extrêmement sophistiqué
fonctionnant sous forme de proxy client et créant un tunnel
HTTP chiffré entre l'ordinateur des utilisateurs et un pool
central de serveurs de proxy, pour permettre aux utilisateurs
de contourner les pare-feux et la censure. Le mécanisme
de découverte des serveurs de proxy d'Ultrasurf est très
résistant, et intègre un cache des adresses IP des serveurs, des
requêtes DNS qui renvoient les adresses IP des serveurs de
proxy chiffrées, des documents chiffrés dans Google Docs,
et une liste programmée en dur dans l‘outil des adresses IP
des serveurs de proxy. Ces techniques rendent sa détection
encore plus difficile.
Proxy
Ultrasurf
Graphique 3-C
Des informations supplémentaires sur les principales applications d'anonymat
sont disponibles dans l'Annexe B.
49 % Amériques
rf
trasu
Ul
8 %
23 % Tor
13
roxy
GI-P
C
%
40 % EMEA
Applications d'anonymat les plus populaires
(% des entreprises)
Utilisation des applications
d'anonymat par région
(% des entreprises)
35 % APAC
d'anonymat peuvent être utilisées pour contourner les règles
de sécurité qui sont essentiellement construites autour des
identités des utilisateurs et des sites/URL de destination. En
utilisant des anonymiseurs, les utilisateurs se matérialisent
à partir d'une adresse IP différente et accèdent à une
destination différente. Les règles de sécurité ne peuvent être
appliquées sur ces nouvelles adresses IP/destinations. Dans
certains cas, les anonymiseurs peuvent être également utilisés
pour dissimuler des activités criminelles.
Dans 43 % des entreprises de notre étude, au moins une
application d'anonymat est utilisée. Dans 86 % des entreprises
utilisant ce type d'application, l'utilisation n'est pas légitime
et contradictoire à la politique de sécurité.
Lorsque nous regardons l'utilisation des applications
d'anonymat par région, nous pouvons voir qu'elles sont plus
populaires dans les Amériques et moins en Asie-Pacifique.
Internet
Serveur
web
Ultrasurf
se connecte à un
de ses serveurs
de proxy
Client
Ultrasurf
022
recommandé par
DANS
43 %
DES ENTREPRISES,
DES ANONYMISEURS SONT UTILISÉS
L'ANONYMISEUR TOR COMPROMET LA SÉCURITÉ
% VN
C
52 % TeamViewer
17
43 % LogMeIn
Outils d'administration à distance utilisés pour
des attaques malveillantes
Les outils d'administration à distance sont généralement des
outils légitimes lorsqu'ils sont utilisés par des administrateurs et
des services d'assistance. Toutefois, plusieurs attaques menées ces
dernières années ont fait appel à de tels outils pour contrôler à
distance des machines infectées, infiltrer des réseaux, enregistrer
des frappes au clavier et dérober des informations confidentielles.
Étant donné que ces outils sont habituellement utilisés en
entreprise, ils ne devraient pas être bloqués systématiquement.
Cependant, leur utilisation doit être surveillée et contrôlée pour
empêcher toute utilisation malintentionnée.
81 % des entreprises de notre étude utilisent au moins une
application d'administration à distance ; Microsoft RDP étant
la plus populaire.
Principales applications d'administration
à distance
(% des entreprises)
mgar
Bo
4 %
ridge
Gb
3 %
58 % MS-RDP
81 % DES ENTREPRISES UTILISENT
DES OUTILS D'ADMINISTRATION
À DISTANCE
soit très populaire, son utilisation en entreprise pose
plusieurs problèmes de sécurité. Tor peut également être
facilement utilisé pour contourner les règles de sécurité
de l'entreprise puisqu'il est spécifiquement conçu pour
rendre ses utilisateurs anonymes. Lors de l'utilisation de
Tor pour accéder à des ressources sur Internet, les requêtes
envoyées depuis un ordinateur sont redirigées de manière
aléatoire au travers d'une série de nœuds mis à disposition
volontairement par d'autres utilisateurs de Tor.
Des recherches récentes ont identifié un botnet contrôlé
par des agresseurs dans un serveur IRC fonctionnant sous
forme de service caché dans le réseau Tor. Les connexions
entre les utilisateurs et les nœuds Tor étant chiffrées sur
plusieurs niveaux, il est extrêmement difficile pour les
systèmes de surveillance fonctionnant au niveau du réseau
local ou du FAI de déterminer la véritable destination
des utilisateurs20. Le principal objectif du réseau Tor est
de rendre la navigation sur Internet anonyme. Bien qu'il
Graphique 3-F
Des informations supplémentaires sur les principales applications d'administration
à distance sont disponibles dans l'Annexe B.
023
recommandé par
PIRATÉ PAR DES OUTILS D'ACCÈS À DISTANCE
De juillet à septembre 2011 s'est déroulée une campagne
d'attaques nommée « Nitro ». Des agresseurs ont utilisé
un outil d'accès à distance appelé Poison Ivy pour dénicher
des secrets dans près d'une cinquantaine d'entreprises,
la plupart dans les secteurs de la chimie et de la défense.
Poison Ivy a été introduit dans les PC sous Windows
de victimes d'une escroquerie envoyée par email. Les
emails contenaient des demandes de réunion de la part
de partenaires commerciaux de bonne réputation, ou
dans certains cas, des mises à jour de logiciels antivirus ou
d'Adobe Flash Player. Lorsque les utilisateurs ouvraient
les pièces jointes, Poison Ivy s'installait sur leur ordinateur
à leur insu. Les agresseurs pouvaient alors envoyer des
Partager ne signifie pas toujours se soucier
L'expression « partager c'est se soucier » signifie
généralement que lorsque quelqu'un partage avec d'autres
cela signifie qu'elle se soucie des autres. Mais ce n'est pas
toujours le cas lorsque l'on partage des fichiers en entreprise à
er
tLock
% Pu
10
9 %
ive
kyDr
S
ft
o
os
Micr
Graphique 3-G
Des informations supplémentaires sur les principales applications de stockage
et de partage de fichiers sont disponibles dans l'Annexe B.
nc
garsy
% Su
13
51 % Windows Live Office
22
dIt
uSen
o
Y
%
69 % Dropbox
Principales applications de stockage et
de partage de fichiers
(% des entreprises)
instructions aux ordinateurs compromis pour obtenir
des mots de passe d'accès à des serveurs hébergeant des
données confidentielles, et envoyer les informations
dérobées à des systèmes contrôlés par les pirates. 29 des
48 entreprises attaquées faisaient partie du secteur de la
commercialisation de produits chimiques et avancés, dont
certaines avec des connexions à des véhicules militaires,
tandis que les 19 autres provenaient de différents
secteurs, y compris la défense21. Nitro n'est pas le seul
exemple d'utilisation malintentionnée des outils d'accès à
distance ; RSA breach, ShadyRAT et l'opération Aurora
en sont d'autres. Poison Ivy était cependant utilisé dans
tous les cas.
80 % DES ENTREPRISES UTILISENT DES
APPLICATIONS DE STOCKAGE
ET DE PARTAGE DE FICHIERS
l'aide d'applications de stockage et de partage de fichiers.
Une des plus grandes caractéristiques du web 2.0 est la
possibilité de générer du contenu et le partager avec d'autres,
mais cela présente également un risque. Des informations
confidentielles peuvent tomber dans de mauvaises mains
lorsque des fichiers confidentiels sont partagés. Notre étude
porte également sur les applications de stockage et de partage
de fichiers pouvant provoquer des fuites de données ou des
infections de logiciels malveillants à l'insu des utilisateurs.
Notre étude montre que 80 % des entreprises utilisent au
moins une application de stockage ou de partage de fichiers
dans leur réseau. L'utilisation de Dropbox compte pour 69 %
des événements de sécurité, Windows Live Office arrivant en
seconde place avec 51 %.
Utilisation des applications à haut risque par
secteur d'activité
Check Point a analysé l'utilisation des applications à haut
risque d'un point de vue sectoriel. Le graphique 3-E montre
que les entreprises industrielles et les administrations
publiques sont les plus importantes utilisatrices
d'applications à haut risque. L'utilisation de certaines de ces
applications peut être légitime en entreprise, par exemple
0024
recommandé par
POURCENTAGE DES
ENTREPRISES UTILISANT
< Pe
DES APPLICATIONS À
rtine
nce
a
HAUT RISQUE PAR
di
sta
nc
de
l'e
n
tre
pr
ise
ier
s
ité
ge
ur
48 %
38 %
42 %
44 %
44 %
29
%
An
on
ym
Pa
rta
ge
Conseil
ise
de
fic
hi
ers
St
oc
ka
en
P
ge
2P
et
pa
rta
Administration publique
Finance
ti v
de
Ad
m
Industrie
l'ac
fic
h
in
ist
rat
ion
à
(% des entreprises)
Télécommunication
e
SECTEUR D'ACTIVITÉ
ve c
55
59
%
%
82 2 %
8
84
63
%
%
%
62
71 %
70 %
71 %
81
%
82
%
81
%
%
76 %
Graphique 3-E
0025
recommandé par
DEUX INCIDENTS MAJEURS SUR
DROPBOX EN DEUX ANS
sur les sites web de différentes institutions financières,
puis sur des comptes Dropbox pouvant potentiellement
contenir des informations plus lucratives.
En 2011, un bug d'une mise à jour de Dropbox a permis
à quiconque de se connecter à n'importe quel compte
Dropbox, lorsque l'adresse email du détenteur du
compte était connue. Ce bug a exposé les informations
et documents partagés des utilisateurs. Le problème a
été corrigé en quelques heures, mais il a servi de mise en
garde aussi bien aux utilisateurs qu'aux entreprises dont les
employés utilisent des services de stockage et de partage
de fichiers tels que Dropbox et Google Docs pour stocker
des informations d'entreprise confidentielles23.
En juillet 2012, une attaque a été menée contre des
utilisateurs de Dropbox. Des noms d'utilisateurs et mots
de passe Dropbox publiés sur un site web ont été testés sur
des comptes Dropbox. Les pirates ont utilisé un mot de
passe dérobé pour se connecter au compte d'un employé
de Dropbox contenant un document avec les adresses
email des utilisateurs. Des spammeurs ont utilisé ces
adresses email pour envoyer du spam22.
Cet incident illustre une tactique fréquemment utilisée
par les pirates. Les pirates dérobent souvent des noms
d'utilisateurs et mots de passe de sites qui semblent à
première vue ne pas contenir d'informations personnelles
ou financières de valeur. Ils testent ensuite ces identifiants
l'utilisation d'outils d'administration à distance pour des
services d'assistance. La barre horizontale de ce graphique
indique en conséquence le niveau d'utilisation légitime dans
un environnement professionnel.
itter
% Tw
13
12
In
inked
L
%
Graphique 3-H
0026
recommandé par
59 % Facebook
Utilisation de la bande passante par les
réseaux sociaux
Utilisation moyenne calculée dans les applications
de réseaux sociaux
Message légitime sur Facebook ou virus ?
Avec la popularité croissante des réseaux sociaux, les
entreprises font face à de nouvelles problématiques. Poster
des informations confidentielles par inadvertance peut
nuire à la réputation de l'entreprise, et entraîner la perte de
l'avantage concurrentiel ou des pertes financières. Les pirates
tirent également parti de techniques de piratage associées à
l'ingénierie sociale pour diriger l'activité des botnets. Les
vidéos et les liens intégrés aux pages des réseaux sociaux sont
en train de devenir des moyens populaires pour les pirates
d'intégrer des logiciels malveillants. En plus des risques de
sécurité, les applications de réseaux sociaux étouffent la bande
passante. Facebook est sans aucun doute le réseau social le
plus utilisé. Twitter et LinkedIn sont d'autres réseaux sociaux
visités durant les heures de travail (mais nettement moins que
Facebook).
Un lien Facebook menant à un site malveillant :
Étude de cas des attaques d'ingénierie sociale
De récentes attaques démontrent que les pirates migrent
des emails traditionnels aux réseaux sociaux comme canal
de diffusion. Le cas suivant est tiré d'une véritable attaque
qui s'est produite en août 2012. Des pirates ont utilisé des
techniques d'ingénierie sociale Twitter et Facebook pour
diffuser des contenus malveillants. À l'aide d'un compte
Twitter compromis, les pirates ont envoyé directement des
messages à toutes les personnes suivant le compte piraté. Le
message indiquait : « que faisiez-vous dans ce film (URL
Facebook]... c'est choquant ».
L'URL pointait sur une application Facebook nécessitant
des « identifiants Twitter ». L'écran d'identification était un
serveur web appartenant aux pirates et utilisé pour collecter
les identifiants Twitter des destinataires.
À l'aide des identifiants Twitter, les pirates ont pu répéter
que Gmail, Facebook, etc., mais pire encore, ils peuvent les
utiliser pour accéder à des comptes bancaires ou encore des
services pour entreprises telles que SalesForce et autres.
RECOMMANDATIONS POUR SÉCURISER
L'UTILISATION DES APPLICATIONS WEB DANS
VOTRE RÉSEAU
Comment développer une protection web 2.0 efficace ?
La première étape pour sécuriser l'utilisation des applications
web en entreprise consiste à utiliser une solution de
sécurité capable de contrôler et d'appliquer des règles de
sécurité à tous les aspects de l'utilisation du web. Une
visibilité complète sur toutes les applications utilisées dans
l'environnement est requise, avec la possibilité de contrôler
leur utilisation. Ce niveau de contrôle doit être maintenu sur
les applications client (telles que Skype) et également sur les
aspects les plus traditionnels du web via URL : les sites web.
Comme de nombreux sites (tels que Facebook) permettent
à de nombreuses applications d'utiliser leur URL, il est
essentiel de disposer d'une granularité au-delà des URL ; par
exemple pour le chat Facebook et des applications de jeux.
Les entreprises sont alors en mesure de facilement bloquer les
applications mettant leur sécurité en danger.
Autorisation des réseaux sociaux pour l'activité de
l'entreprise
le même processus avec les nouveaux comptes piratés pour
obtenir encore plus de mots de passe. Les pirates peuvent
utiliser ces identifiants dérobés avec d'autres services tels
Des entreprises choisissent de bloquer Facebook dans
certains cas, mais celui-ci est un outil de travail indispensable
pour de nombreuses entreprises. Les entreprises publient
souvent des informations sur leurs prochains webinaires et
événements, des informations sur les produits et les toutes
dernières nouveautés, des liens vers des articles intéressants
et des vidéos.
Comment pouvons-nous permettre l'utilisation des réseaux
sociaux dans l'entreprise sans compromettre la sécurité ?
En contrôlant les fonctionnalités et les widgets de ces
applications et plates-formes. En autorisant l'utilisation de
Facebook tout en bloquant ses fonctionnalités moins utiles à
l'entreprise, il est possible de rendre ce réseau social utile tout
en minimisant ses risques de sécurité.
0027
recommandé par
Différents utilisateurs ont différents besoins
Les différents utilisateurs de l'entreprise ont des besoins
différents, et la politique de sécurité doit maximiser le
potentiel des activités, et non les freiner. Par exemple, le
service commercial peut utiliser Facebook pour rester en
contact avec ses clients et partenaires, alors que le service
informatique peut l'utiliser pour se tenir informé des toutes
dernières actualités. Comment pouvons-nous alors assurer
que les utilisateurs bénéficient de l'accès dont ils ont besoin ?
Est-il pratique de demander au responsable de la sécurité de
savoir ce à quoi chaque utilisateur ou groupe devrait ou ne
devrait pas avoir accès ?
Une solution pratique doit pouvoir identifier les utilisateurs,
les groupes et les postes de manière granulaire afin de
distinguer facilement les employés des autres (invités et soustraitants).
Un autre aspect important est la possibilité d'engager et
sensibiliser les utilisateurs en temps réel lorsqu'ils utilisent
des applications. Lorsqu'un utilisateur se rend sur un site
web douteux ou lance une application douteuse, un message
apparaît lui demandant de justifier de son utilisation pour
pouvoir y accéder. Sa réponse est journalisée et supervisée.
Le message peut également l'informer sur la politique
d'utilisation professionnelle d'Internet, et lui signifier que
son utilisation de telles applications est surveillée.
La « compréhension » est un composant essentiel du
contrôle du web
Les administrateurs doivent avoir une vue d'ensemble des
événements de sécurité Internet pour assurer le contrôle
du web. Une solution de sécurité fournissant une visibilité
claire et étendue sur tous les événements de sécurité liés au
web est nécessaire. La solution doit fournir une visibilité et
des fonctions de supervision telles qu'une vue d'ensemble
graphique, une chronologie des événements, et une liste des
LA SÉCURISATION DU WEB 2.0
REQUIERT UNE APPROCHE INTÉGRÉE
DU FILTRAGE DES URL, DE CONTRÔLE
DES APPLICATIONS, D'IDENTIFICATION
DES UTILISATEURS, DE SENSIBILISATION
DES UTILISATEURS ET D'UNE MANIÈRE
D'AUGMENTER LA VISIBILITÉ SUR
LE CONTRÔLE DU WEB POUR LES
ADMINISTRATEURS.
événements pouvant être ordonnés, regroupés et triés par
utilisateur, application, catégorie, niveau de risque, utilisation
de la bande passante, du temps, etc. Il est important de pouvoir
également générer des rapports pour mettre en évidence les
principales catégories, applications, sites et utilisateurs, afin
de connaître les tendances et planifier les capacités.
Résumé
Les règles du jeu ont changé. Sécuriser le web 2.0 ne revient
plus simplement à bloquer une URL inappropriée. Il ne s'agit
plus de seulement empêcher une application de s'exécuter.
Sécuriser le web 2.0 requiert une approche intégrée de
protection multicouche avec filtrage des URL, contrôle
des applications, protection antimalwares et antibots, ainsi
que l'identification des utilisateurs, la sensibilisation des
utilisateurs, et des outils sophistiqués de supervision et
d'analyse des événements pour permettre aux administrateurs
de conserver le contrôle de toutes les situations.
0028
recommandé par
recommandé par
04
FUITES DE DONNÉES DANS
VOTRE RÉSEAU
Les données des entreprises : leur bien le plus
précieux
Les données des entreprises sont de plus en plus accessibles
et transmissibles que jamais auparavant, et la majorité des
données sont confidentielles. Certaines sont confidentielles
car elles contiennent tout simplement des données internes
à l'entreprise qui ne sont pas destinées à être communiquées
publiquement. D'autres sont également confidentielles pour
des raisons de conformité avec la politique de l'entreprise, et des
législations nationales et internationales. Dans de nombreux
cas, la valeur des données dépend de leur confidentialité.
C'est le cas notamment de la propriété intellectuelle et des
informations sur les concurrents de l'entreprise.
Pour complexifier encore plus les choses, au-delà de la gravité
des fuites de données, nous disposons maintenant d'outils et
de pratiques qui facilitent encore plus les erreurs irréversibles :
serveurs dans le cloud, Google docs, et tout simplement
le non respect des procédures de l'entreprise, lorsque des
employés emportent par exemple leur travail à domicile. En
fait, la plupart des cas de fuites de données se produisant sont
des fuites involontaires.
Les fuites de données peuvent arriver à tout le
monde
Des fuites de données peuvent être provoquées non seulement
par des cybercriminels, mais également involontairement par
des employés. Un document confidentiel peut être envoyé
par erreur à la mauvaise personne, partagé sur un site public,
ou envoyé sur un compte de messagerie personnelle non
autorisé. N'importe lequel de ces scénarios peut se arriver à
chacun d'entre nous, avec des conséquences désastreuses. Les
fuites de données confidentielles portent préjudice à l'image
de l'entreprise, entraînent des non-conformités et même de
lourdes amendes.
Notre étude
Lorsque des entreprises doivent préciser les données qui ne
devraient pas sortir de l'entreprise, de nombreuses variables
doivent être prises en compte. De quel type de données s'agitil ? Qui en est le propriétaire ? Qui en est l'expéditeur ? Qui
est le destinataire prévu ? Quand sont-elles envoyées ? Quel
est le coût de l'interruption des processus métiers lorsque la
politique de sécurité est plus stricte que nécessaire ?
54 %
DES ENTREPRISES DE NOTRE ÉTUDE ONT
SUBI AU MOINS UN INCIDENT POTENTIEL
DE FUITE DE DONNÉES
recommandé par
OUPS... J'AI ENVOYÉ L'EMAIL
À LA MAUVAISE ADRESSE
En october 2012, le conseil municipal de Stokeon-Trent au Royaume-Uni a été condamné à verser une
amende de 120 000 livres après la découverte de l'envoi
d'informations confidentielles à la mauvaise adresse par un
membre de son service juridique. Onze emails destinés à un
avocat travaillant sur un dossier ont été envoyés à une autre
adresse email suite à une faute de frappe.
Le journal japonais Yomiuri Shimbun a licencié un de
ses journalistes en octobre 2012 pour avoir accidentellement
envoyé les informations confidentielles d'une enquête
aux mauvais destinataire. Le journaliste avait l'intention
d'envoyer les résultats de ses recherches à des collègues par
email, mais a envoyé les messages à plusieurs bureaux de
presse à la place, dévoilant ainsi l'identité de ses sources24.
Nous avons analysé dans notre étude le trafic transitant de
l'intérieur vers l'extérieur des entreprises. Nous avons examiné
le trafic HTTP et SMTP. Par exemple, dans le cas d'emails
envoyés à un destinataire externe, des appareils Check Point
ont inspecté le corps du message, les destinataires et les pièces
jointes (même compressées). Nous avons également inspecté
les activités web, telles que la publication de messages et les
webmails. Comme règles de sécurité sur ces appareils, nous
avons choisi les types de données prédéfinis par défaut
pour détecter les données confidentielles, les formulaires et
les modèles (tels que numéros de cartes de paiement, code
source, données financières et autres) pouvant constituer
des fuites de données potentielles si elles tombaient dans de
mauvaises mains. Une liste détaillée des types de données est
disponible dans l'Annexe D.
Fuites de données potentielles dans votre
entreprise
Nos recherches ont montré que dans 54 % des entreprises,
au moins un événement de sécurité relevant potentiellement
En avril 2012, l'Institut militaire de Virginie à
Lexington aux États-Unis a involontairement envoyé les
notes des étudiants sous forme de pièce jointe. Un email a
été envoyé au président de classe contenant une feuille de
calcul révélant les notes de chaque senior. Ignorant de la
présence de la pièce jointe, le président a ensuite transmis le
message à 258 étudiants. L'intention initiale était d'envoyer
un email avec une feuille de calcul ne contenant que les noms
et adresses postales des étudiants afin qu'ils confirment leurs
coordonnées25.
L'Université A&M du Texas a envoyé par accident
un email avec une pièce jointe contenant les numéros de
sécurité sociale, noms et adresses de 4 000 anciens étudiants,
qui ont ensuite informé l'université de son erreur. L'accident
s'est produit en avril 201226.
Pourcentage d'entreprises avec au moins un
événement de fuite de données potentielle
par secteur d'activité
b.
in. pu
(% des entreprises)
m
d
A
70 %
e
nanc
Voici quelques exemples de fuites de données provoquées
involontairement par des employés en 2012 :
Fi
61 %
ie
dustr
In
50 %
tion
unica
m
m
léco
% Té
45
nseil
Co
33 %
tres
Au
54 %
Graphique 4-A
031
recommandé par
04 _ FUITES DE DONNÉES DANS VOTRE RÉSEAU
DANS 28 % DES ENTREPRISES, un
email interne a été envoyé
à un destinataire externe
Emails internes envoyés à l'extérieur de
l'entreprise
Dans de nombreux cas, des fuites de données se produisent
involontairement lorsque des employés envoient des
emails aux mauvais destinataires. Nous avons analysé deux
types d'email pouvant relever de tels cas. Le premier type
comprend des emails envoyés à des destinataires internes
visibles (champs À et CC) et des destinataires externes dans
le champ BCC. Dans la plupart des cas, ces emails semblent
internes mais sortent effectivement de l'entreprise. Le second
type comprend des emails envoyés à plusieurs destinataires
internes et un seul destinataire externe. De tels emails
sont généralement envoyés involontairement au mauvais
destinataire externe. Des événements de ces deux types se
sont produits dans 28 % des entreprises étudiées.
Quels sont les types de données envoyés par
les employés à des destinataires externes ou
publiés en ligne ?
Le graphique 4-C montre les principaux types de données
envoyées à des tiers à l'extérieur de l'entreprise. Les informations
sur les cartes de paiement sont en tête de liste, suivis des codes
source et des fichiers protégés par mot de passe.
Votre entreprise est-elle conforme à PCI ?
Les employés envoient leur propre numéro de carte de
paiement et ceux de leurs clients sur Internet. Ils envoient
des reçus de paiement des clients contenant leur numéro de
carte de paiement sous forme de pièces jointes. Ils répondent
aux emails des clients contenant initialement leur numéro
de carte de paiement dans le corps du message. Ils envoient
même quelquefois des feuilles de calcul contenant des
donnés client à des comptes de messagerie personnels ou des
partenaires commerciaux. Les incidents liés aux numéros de
cartes de paiement sont souvent le résultat d'un processus
métier défaillant ou d'une inattention. Ces incidents peuvent
également indiquer que la politique de sécurité de l'entreprise
ne répond pas aux objectifs de sensibilisation à la sécurité et
d'utilisation prudente des ressources de l'entreprise.
De plus, l'envoi de numéros de cartes de paiement sur
Internet n'est pas conforme à la norme PCI DSS stipulant
que les données des titulaires de cartes de paiement doivent
être chiffrées lors des transmissions sur des réseaux publics
ouverts. La non conformité à la norme PCI DSS peut nuire
à la réputation de l'entreprise, et entraîner des poursuites
et des dédommagements, des annulations de contrats, des
problèmes de cartes de paiement et des amendes.
Pourcentage
d'entreprises
par
secteur
dans lesquelles des informations de cartes de
paiement ont été envoyées à des ressources
externes
b.
in. pu
(% des entreprises)
Adm
47
%
e
nanc
d'une fuite de données se produit en moyenne tous les
6 jours. Nous avons pris en compte des événements liés à
des informations internes (voir la liste des types de données
dans l'Annexe D) envoyées à des ressources externes, soit par
l'envoi d'un email à un destinataire externe ou la publication
d'un message en ligne.
Nos recherches montrent que les administrations publiques
et les entreprises du secteur financier sont les plus exposées
aux risques de fuites de données (voir graphique 4-A).
Fi
36 %
ie
dustr
In
26 %
ion
nicat
u
m
lécom
Té
18 %
l
onsei
C
11 %
tre
% Au
26
Graphique 4-B
032
recommandé par
36 %
DES ENTREPRISES DU SECTEUR FINANCIER ONT
ENVOYÉ DES INFORMATIONS DE CARTES DE
PAIEMENT À L'EXTÉRIEUR DE L'ENTREPRISE
DONNÉES ENVOYÉES À
L'EXTÉRIEUR DE L'ENTREPRISE
PAR DES EMPLOYÉS
(% des entreprises)
ésig
7%
ail d
Em
e
mm
o
c
né
iel
ent
d
fi
n
t co
n
a
t
é
p
t de
o
té
pro
r
e
hi
gé
m
par
e
ass
ic
F
4%
%
f
In
recommandé par
aim
Inf
orm
ati
on
sd
d
ns
o
i
at
m
r
o
%
29
s
te
ar
c
e
13
%
24
p
de
e
d
Co
t
en
rce
u
o
s
er
ém
un
éra
6%
tio
n
Do
ssie
rs d
3%
'en
tre
Nu
pri
mé
se
ros
de
com
pte
21
s
%A
utre
1
Graphique 4-C
Nous avons inspecté le trafic sortant des entreprises et analysé
le contenu de tous les messages, y compris les pièces jointes et
les archives, à la recherche de numéros de cartes de paiement
ou de données sur leurs titulaires. Les analyses utilisent des
expressions régulières, la validation des sommes de contrôle,
et les règles de conformité aux normes PCI DSS.
Dans 29 % des entreprises, au moins un événement a été
découvert, indiquant que des informations liées à PCI ont
été envoyées à l'extérieur de l'entreprise. Dans 36 % des
entreprises du secteur financier, qui sont généralement
obligées d'être conformes aux normes PCI, au moins un
événement s'est produit.
HIPAA
Les règles de confidentialité HIPAA aux États-Unis ont
pour objectif de protéger les informations de santé et
donner aux patients un certain nombre de droits quant à ces
informations. Elles permettent cependant de communiquer
des informations de santé lorsque cela est requis pour le
traitement des patients ou autre nécessité.27
Elles permettent aux organismes de santé d'utiliser la
messagerie électronique pour discuter des problèmes de
santé avec leurs patients, à condition de mettre en place des
garde-fous raisonnables. Le chiffrement n'est pas obligatoire,
cependant, un niveau de confidentialité raisonnable doit être
garanti. Comment laisser le canal de communication ouvert avec
les patients et les partenaires tout en protégeant la confidentialité
DANS
et en maintenant la conformité avec HIPAA ?
Nous avons surveillé le trafic sortant des entreprises tout
en analysant les emails et les pièces jointes, à la recherche
d‘informations privées sur les patients, par identification des
données personnelles (telles que des numéros de sécurité
sociale) et des termes médicaux.
Dans 16 % des entreprises de santé et d‘assurance, des
informations confidentielles sont envoyées à l'extérieur des
entreprises, à des destinataires externes ou publiées en ligne.
RECOMMANDATIONS DE SÉCURITÉ
Dans un monde où les pertes de données sont un phénomène
croissant, les entreprises doivent se charger elles-mêmes de
la protection de leurs données confidentielles. La meilleure
solution pour empêcher les fuites de données involontaires
consiste à implémenter des règles de sécurité automatiques
qui détectent les données protégées avant qu'elles ne quittent
l'entreprise. Une telle solution est appelée « prévention des
pertes de données » (DLP). Les produits de DLP intègrent
un ensemble complet de fonctionnalités, et les entreprises
disposent de plusieurs options pour les déployer. Avant
de déployer une solution de DLP, les entreprises doivent
développer des stratégies précises avec des critères concrets
précisant ce qui est considéré comme étant des informations
confidentielles, qui peut les envoyer, etc.
16 %
DES ENTREPRISES DES SECTEURS DE LA SANTÉ
ET DES ASSURANCES, DES INFORMATIONS
CONFIDENTIELLES ONT ÉTÉ ENVOYÉES
À L'EXTÉRIEUR DE L'ENTREPRISE
recommandé par
Moteur de classification des données
L'identification fiable des données confidentielles est un
composant essentiel de la solution de DLP, qui doit être
en mesure de détecter les informations personnellement
identifiables, les données de conformité, et les données
confidentielles. Elle doit inspecter les flux de contenus et
appliquer les règles de sécurité dans les protocoles TCP les
plus utilisés et les webmail. Elle doit également effectuer des
analyses reposant sur des correspondances avec des modèles et
des classifications de fichiers, pour identifier les types de contenu
quel que soit l'extension des fichiers et leur compression.
De plus, la solution de DLP doit être en mesure de reconnaître
et protéger les formulaires confidentiels, selon des modèles
prédéfinis et la correspondance fichiers/formulaire. Une
fonctionnalité importante de la solution de DLP est la possibilité
de créer des types de données personnalisés en plus des types de
données fournis par l'éditeur, pour maximiser la souplesse.
Autoremédiation des incidents
Les solutions de DLP traditionnelles peuvent détecter, classifier
et même reconnaître des documents spécifiques et différents
types de fichiers, mais elles ne peuvent déterminer l'intention des
utilisateurs lorsqu'ils partagent des informations confidentielles.
La technologie seule n'est pas suffisante car elle ne peut identifier
cette intention et prendre les décisions qui s'imposent. Ainsi,
une bonne solution de DLP doit engager les utilisateurs en leur
permettant de remédier eux-mêmes aux incidents en temps
réel. Elle doit informer les utilisateurs que leurs actions peuvent
provoquer des fuites de données, et leur permettre de stopper
leurs actions ou de les effectuer malgré tout. La sécurité est
améliorée grâce à la sensibilisation aux politiques d'utilisation des
données, en alertant les utilisateurs d'erreurs potentielles et en
leur permettant d'y remédier immédiatement, tout en autorisant
les communications légitimes. L'administration est également
simplifiée, car les administrateurs peuvent suivre les événements
de DLP pour les analyser, sans qu‘il leur soit nécessaire de traiter
en temps réel les demandes d'envoi de données vers l'extérieur.
Protection contre les fuites de données internes
Une autre fonctionnalité importante de la DLP est la possibilité
d'empêcher les fuites de données internes, en inspectant et en
contrôlant les emails confidentiels entre départements. Des
règles de sécurité peuvent être définies pour empêcher des
données confidentielles d'atteindre les mauvais départements,
notamment les schémas de rémunération, les documents
confidentiels de ressources humaines, les documents de
fusions/acquisitions et les formulaires médicaux.
Protection des données sur disques durs
Les entreprises doivent protéger les données des ordinateurs
portables pour compléter leur politique de sécurité. Sans
protection des données, des tiers malintentionnés peuvent
obtenir des données importantes en cas de perte ou de vol des
ordinateurs portables, et entraîner des répercussions juridiques
et financières. Une solution appropriée doit empêcher les
utilisateurs non autorisés d'accéder aux informations en
chiffrant les données sur tous les disques durs des postes de
travail, y compris les données utilisateur, les fichiers du système
d'exploitation, les fichiers temporaires et les fichiers supprimés.
Protection des données sur supports amovibles
Pour empêcher les données d'entreprise de tomber dans de
mauvaises mains via des périphériques de stockage USB et autres
supports amovibles, le chiffrement et la prévention des accès
non autorisés sont nécessaires sur ces appareils. Les employés
combinent souvent des fichiers personnels (musique, photos
et documents) avec des fichiers professionnels sur des supports
amovibles, ce qui rend encore plus difficile le contrôle des données
d'entreprise. Les fuites de données peuvent être minimisées par le
chiffrement des appareils de stockage amovibles.
Protection des documents
Des documents d'entreprise sont régulièrement stockées sur le
web, envoyés sur des smartphones personnels, copiés sur des
supports amovibles et partagés avec des partenaires commerciaux
externes. Chacune de ces opérations met les données en danger :
risques de fuites, d'utilisation malintentionnée, ou d'accès par
des individus non autorisés. Pour protéger les documents
d'entreprise, la solution de sécurité doit pouvoir les chiffrer via
des règles de sécurité et contrôler leur accès.
Gestion des événements
La définition de règles de DLP répondant à la politique
d'utilisation des données de l'entreprise doit s'accompagner
de solides fonctions de supervision et de reporting. Pour
minimiser les fuites de données potentielles, la solution de
sécurité doit intégrer la surveillance et l'analyse des événements
de DLP passés et en temps réel, pour apporter une visibilité
claire et étendue sur les informations envoyées à l'extérieur et
leurs sources, et la possibilité d'agir en temps réel si nécessaire.
035
recommandé par
05
résUmé et
stratéGie de sécUrité
Nous coNcluoNs ce rapport par
uNe autre citatioN de suN tzu tirée
de l'art de la guerre : uN coNseil
pour uN géNéral d'armée :
vers un processus métier efficace. Check Point recommande
aux entreprises de considérer trois dimensions lorsqu'elles
déploient une stratégie et une solution de sécurité : les règles
de sécurité, le facteur humain, et la mise en application des
règles de sécurité.
« Une fois son armée constitUée, ses
forces focaLisées, iL doit mixer Les
différents éLéments et harmoniser
L’esPrit de ses troUPes avant de
choisir Un LieU de camPement »28
2 600 ans plus tard, la même approche est parfaitement
adaptée à la lutte contre la cyberguerre. La meilleure sécurité
est obtenue par l'harmonisation des différentes couches de
protection du réseau pour lutter contre les différents angles
des menaces.
Ce rapport a couvert les différents aspects des risques
de sécurité que Check Point a détecté dans un grand
nombre d'entreprises. Il a montré que les bots, les virus, les
failles et les attaques sont une menace réelle et constante
pour les entreprises. Le rapport a ensuite montré que
certaines applications web utilisées par les employés
peuvent compromettre la sécurité du réseau. Enfin, il a
montré que les employés effectuent involontairement de
nombreuses actions pouvant entraîner des fuites de données
confidentielles.
Les règles de sécurité
Une politique de sécurité bien définie, largement comprise et
étroitement alignée sur les besoins et la stratégie de l'entreprise,
plutôt qu'un assemblage de technologies disparates et de
vérifications au niveau des systèmes, est le point d'entrée de la
sécurité. Les règles de sécurité devraient prendre en compte
les priorités de l'entreprise et suggérer des moyens d'assurer
son activité dans un environnement sécurisé.
Par exemple, durant notre étude, nous avons découvert que
certains employés utilisent des applications web nécessaires
à leur métier mais qui peuvent également compromettre la
sécurité. Si nous déployons uniquement des technologies
qui bloquent de telles applications web, le résultat serait des
plaintes en masse auprès des administrateurs de sécurité,
ou pire encore, les employés trouveraient des moyens de
contourner les règles de sécurité, créant ainsi encore plus
de problèmes. Au lieu de cela, Check Point recommande
la création d'une politique de sécurité qui reconnaît les cas
d'utilisation de telles applications et définit une procédure
permettant leur utilisation de manière sécurisée. Les
utilisateurs devraient être informés automatiquement de
toute application nécessaire des règles de sécurité.
Pour votre stratégie de sécurité : la
technologie seule n'est pas suffisante
L'approche de Check Point pour obtenir le niveau de
sécurité requis pour protéger une entreprise reconnaît que la
technologie seule n'est pas suffisante. La sécurité doit évoluer
d'une simple superposition de technologies et de pratiques
Le facteur humain
Les utilisateurs des systèmes informatiques font partie
intégrante du processus de sécurité. Ce sont souvent les
utilisateurs qui commettent des erreurs provoquant des
infections de logiciels malveillants et des fuites de données.
Les entreprises doivent s'assurer que les utilisateurs sont
impliqués dans le processus de sécurité. Les employés
036
recommandé par
05 _ RÉSUMÉ ET STRATÉGIE DE SÉCURITÉ
doivent être informés et sensibilisés à la politique de sécurité,
et ce qui est attendu d'eux lorsqu'ils surfent sur Internet ou
partagent des données confidentielles. La sécurité devrait
être aussi transparente que possible, sans modifier leur façon
de travailler.
L'implémentation d'un programme de sécurité devrait
comprendre :
• Un programme de formation garantissant que tous
les utilisateurs sont conscients que les systèmes sont
potentiellement vulnérables à des attaques et que leurs
actions peuvent les favoriser ou les empêcher.
• De la technologie indiquant aux employés en temps réel
que certaines actions sont risquées et comment les effectuer
de manière sécurisée.
La mise en application des règles de sécurité
Le déploiement de solutions technologiques de sécurité telles
que des passerelles de sécurité et des logiciels de protection
de postes est vital pour protéger les entreprises des failles et
des fuites de données. Des passerelles de sécurité devraient
être installées à tous les points de connexion pour garantir
que seul le trafic approprié et autorisé entre ou sort de
l'entreprise. Cette validation devrait être effectuée à tous
les niveaux de la sécurité et sur toutes les communications,
protocoles, méthodes, requêtes, réponses et charges, à l'aide
de solutions de sécurité telles que : pare-feu, contrôle des
applications, filtrage des URL, prévention des fuites de
données, prévention des intrusions, antivirus et antibot.
037
recommandé par
06
À PROPOS DE CHECK POINT
SOFTWARE TECHNOLOGIES
Check Point Software Technologies Ltd. (www.checkpoint.
com), le leader mondial de la sécurité sur Internet, assure aux
clients un niveau optimal de protection contre tous les types de
menaces, simplifie l'installation et la maintenance des dispositifs
de sécurité, et réduit leur coût total de possession. Précurseur
de la technologie Firewall-1 et du standard de la sécurité des
réseaux Stateful Inspection, Check Point est toujours à la pointe
de la technologie. Check Point continue d'innover, notamment
via l'Architecture Software Blades, et propose aujourd'hui des
solutions à la fois fiables, flexibles et simples d'utilisation, pouvant
être totalement personnalisées pour répondre aux besoins
spécifiques de chaque entreprise. Check Point est le seul éditeur
qui transforme la sécurité en un véritable processus métier. Check
Point 3D Security combine le facteur humain, la politique de
sécurité et sa mise en application, pour une protection renforcée
des données, et aide les entreprises à implémenter des plans de
sécurité qui s'alignent avec leurs besoins. Check Point compte
parmi ses clients toutes les sociétés figurant dans les listes Fortune
100 et Global 100, ainsi que des dizaines de milliers d'entreprises
de toute taille. Les solutions ZoneAlarm de Check Point
protègent les PC de millions de particuliers contre les pirates, les
logiciels espions et les vols de données.
Check Point 3D Security
Check Point 3D Security redéfinit la sécurité comme étant
un processus métier tridimensionnel combinant le facteur
humain, la politique de sécurité et sa mise en application, pour
une protection renforcée et étendue à l'ensemble des couches
de sécurité – y compris le réseau, les données et les postes. Pour
parvenir au niveau de protection requis en ce 21ème siècle, la
sécurité doit évoluer d'une simple superposition de technologies
vers un processus métier efficace. Avec 3D Security, les entreprises
peuvent implémenter un schéma de sécurité allant bien au-delà
du cadre de la technologie pour garantir l'intégrité des systèmes
informatiques.
Check Point 3D Security permet aux entreprises de redéfinir
la sécurité en intégrant les dimensions suivantes au sein d'un
processus :
Des politiques de sécurité qui prennent
en charge les besoins de l'entreprise et
transforment la sécurité en un processus
métier
Une sécurité intégrant le facteur
humain dans la définition de la politique
de sécurité, la sensibilisation des
utilisateurs et la résolution des incidents
La mise en application, la consolidation
et le contrôle de toutes les couches de
sécurité : réseau, données, applications,
contenus et utilisateurs
Architecture Software Blade de Check Point
Outil clé d'une véritable sécurité complète, l'Architecture
Software Blades de Check Point permet aux entreprises
d'appliquer des règles de sécurité tout en y sensibilisant les
utilisateurs. L'architecture Software Blade est la toute première
et la seule architecture de sécurité offrant une protection
complète, souple et administrable, aux entreprises de toute
taille. De plus, l'Architecture Software Blade de Check Point
étend les services de sécurité à la demande, rapidement et de
manière souple, pour faire face aux nouvelles menaces ou à de
nouveaux besoins, sans ajouter de nouveaux équipements et
sans rendre l'ensemble plus complexe à administrer. Toutes
les solutions sont administrées de manière centralisée à partir
d'une console unique réduisant la complexité et les coûts de
fonctionnement. Une protection multicouche est essentielle
aujourd'hui pour combattre les menaces dynamiques telles
que bots, chevaux de Troie et menaces persistantes avancées
(APT). Les pare-feux ressemblent de plus en plus à des
passerelles multifonction, mais toutes les entreprises n'ont pas
besoin des même fonctions de sécurité. Elles recherchent une
souplesse et un contrôle sur leurs ressources de sécurité.
Les blades sont des applications de sécurité ou des modules
tels que pare-feu, réseau privé virtuel (VPN), système de
038
recommandé par
prévention d'intrusions (IPS), ou contrôle des applications
pour n'en citer que quelques un, indépendantes, modulaires
et administrées de manière centralisée. Elles permettent
aux entreprises d'adapter leur configuration de sécurité afin
d'obtenir un équilibre parfait entre sécurité et investissement.
Les blades peuvent être rapidement activées et configurées
sur n'importe quelle passerelle et système d'administration,
d'un simple clic de souris, sans qu'il soit nécessaire de faire
évoluer le matériel, le micro-logiciel ou les pilotes. En cas
d'évolution des besoins, des blades supplémentaires peuvent
être facilement activées pour étendre la sécurité d'une
configuration existante sur le même équipement de sécurité.
Check Point propose une administration centralisée des
événements pour tous les produits Check Point y compris
les systèmes tiers. La visualisation des événements en temps
réel permet de saisir rapidement la situation de la sécurité et
agir en conséquence, depuis une console unique. L'affichage
sous forme de chronologie permet de voir les tendances
Check Point Security Gateway
SmartDashboard. Écran d'activation des
blades
et la propagation des attaques. L'affichage sous forme de
graphique fournit des statistiques en camembert ou en
barres. L'affichage sous forme de carte permet d'identifier les
menaces potentielles par pays.
Administration des événements de sécurité Check Point SmartEvent. Visibilité en temps réel.
039
recommandé par
Renseignements de sécurité en temps réel
ThreatCloud™
ThreatCloud est un réseau collaboratif et une base de
connaissances dans le cloud qui fournit des renseignements
dynamiques de sécurité en temps réel aux passerelles de
sécurité. Ces renseignements sont utilisés pour identifier les
foyers émergents et les tendances des menaces. ThreatCloud
et la blade Anti-Bot permettent aux passerelles d'analyser
les adresses IP, DNS et URL continuellement changeantes
des serveurs de commande et de contrôle connus. Comme
le traitement est fait dans le cloud, des millions de signatures
de logiciels malveillants peuvent être analysées en temps réel.
La base de connaissances ThreatCloud est mise à jour
dynamiquement via des données provenant de passerelles à
travers le monde, d'un réseau mondial de capteurs de menaces,
des laboratoires de recherche de Check Point et des meilleurs
flux antimalwares du marché. Les données corrélées sur les
menaces sont ensuite partagées collectivement entre toutes
les passerelles.
Appliances Check Point
Dans les environnements réseau actuels, les passerelles
de sécurité sont plus que des pare-feux. Ce sont des
équipements de sécurité qui doivent faire face à un nombre
toujours croissant de menaces sophistiquées. Elles doivent
faire appel à différentes technologies pour contrôler les accès
au réseau, détecter les attaques sophistiquées et fournir des
fonctionnalités de sécurité supplémentaires, telles que la
prévention des pertes de données et la prévention contre les
attaques provenant du web, et sécuriser un nombre croissant
d'appareils mobiles tels qu'iPhone et tablettes utilisés
dans l'entreprise. Ces menaces et ces fonctions de sécurité
avancées nécessitent des appliances de sécurité performantes
et polyvalentes.
Grâce à Check Point GAiA, le système d'exploitation de
future génération, les appliances Check Point combinent
des possibilités multicœur haute performance avec des
technologies réseau rapides afin de proposer une sécurité
de haut niveau pour les données, le réseau et les employés.
Appliance Check Point 61000
Optimisées pour l'architecture Software Blades, chaque
appliance est en mesure d'intégrer n'importe quelle
combinaison de blade, dont les blades Firewall, IPsec
VPN, IPS, Application Control, Mobile Access, DLP,
URL Filtering, Anti-Bot, Antivirus, Anti-spam, Identity
Awareness et Advanced Networking & Clustering, pour
fournir la souplesse et le niveau de sécurité précis pour
toute entreprise et à tout niveau du réseau. En consolidant
plusieurs technologies de sécurité dans un passerelle de
sécurité unique, les appliances sont conçues pour fournir
des solutions de sécurité intégrées et avancées répondant à
tous les besoins en sécurité des entreprises. Lancé en août
2011, SecurityPower™ est un indice de mesure de la capacité
d'une appliance à effectuer plusieurs fonctions avancées
de sécurité dans un volume de trafic spécifique. Il fournit
un référentiel révolutionnaire qui permet aux clients de
sélectionner l'appliance de sécurité appropriée à leur scénario
de déploiement spécifique. Les indices SecurityPower
reposent sur du trafic réel, plusieurs fonctions de sécurité et
des politiques de sécurité typiques.
040
recommandé par
Protection des postes Check Point
Les blades Check Point Endpoint Security fournissent une
souplesse, un contrôle et une efficacité sans précédent pour le
déploiement et l'administration de la protection des postes.
Les responsables informatiques peuvent choisir parmi six
blades Endpoint Security pour déployer uniquement la
protection requise, avec la possibilité de pouvoir renforcer la
protection à tout moment. La blade Full Disk Encryption
(chiffrement des disques) protège automatiquement et
en toute transparence les données situées sur les disques
durs des postes. L’authentification multifacteur avant
l’initialisation garanti l'identité des utilisateurs. La blade
Media Encryption (chiffrement des supports) permet une
mise en application granulaire et centralisée du chiffrement
des supports de stockage amovibles, avec la possibilité de ne
chiffrer que les données liées à l'activité de l'entreprise tout
en engageant et en sensibilisant les utilisateurs. La blade
Remote Access VPN (VPN avec accès distant) fournit aux
utilisateurs un accès sécurisé et transparent au réseau et aux
ressources de l'entreprise, lorsqu'ils sont en déplacement ou
travaillent à distance. La blade Anti-Malware and Program
Control (antimalwares et contrôle des programmes) détecte
et supprime efficacement en une seule analyse les logiciels
malveillants. Le contrôle des programmes garantit que
seuls les programmes légitimes et approuvés sont utilisés sur
les postes. La blade Firewall and Security Compliance
Verification (pare-feu et vérification de la conformité)
protège le trafic entrant et sortant de manière proactive afin
d'empêcher des logiciels malveillants d'infecter les systèmes
des postes, bloque les attaques et stoppe le trafic indésirable.
La vérification de la conformité garantit que les postes
sont toujours conformes à la politique de sécurité définie
dans l'entreprise. La blade WebCheck Secure Browsing
(sécurisation de la navigation web) protègent contre les
toutes dernières menaces web, y compris les téléchargements
automatiques, les sites de phishing et les attaques « zeroday ». Les sessions du navigateur sont exécutées dans un
environnement virtuel sécurisé.
Client Check Point Endpoint Security
041
recommandé par
A
ANNEXE A :
PRINCIPAUX LOGICIELS MALVEILLANTS
Cette annexe fournit des informations complémentaires sur
les principaux logiciels malveillants décrits dans notre étude.
La base de données complète de Check Point sur les logiciels
malveillants est disponible à l'adresse threatwiki.checkpoint.
com
Zeus est un bot ouvrant des portes dérobées sur la plate-
forme Windows. Une porte dérobée est une méthode
permettant de contourner les procédures d'authentification.
Lorsqu'un système est compromis, une ou plusieurs portes
dérobées peuvent être installées pour faciliter un accès
ultérieur29. Nos recherches ont permis de découvrir des bots
Zeus générés par la boîte à outils Zeus version 2.0.8.9. Zeus
est une famille de chevaux de Troie bancaires disposant d'un
nombre considérable de versions et de variantes. Ce logiciel
malveillant permet à des agresseurs d'accéder à distance à
des systèmes infectés. Son objectif principal est le vol des
identifiants bancaires des utilisateurs pour accéder à leur
compte bancaire.
Zwangi est un logiciel publicitaire ciblant la plate-forme
Microsoft Windows. Il s'installe en tant qu'objet d'un
navigateur dans un système infecté. Il peut éventuellement
créer une barre d'outils personnalisée dans Internet Explorer
et présenter à l'utilisateur des publicités indésirables. Ce
logiciel malveillant infecte des systèmes via des bundles
logiciels.
Sality est un virus se diffusant par infection et modification
de fichiers exécutables, et en se recopiant sur des disques
amovibles et des dossiers partagés.
Kuluoz est un bot ciblant la plate-forme Microsoft Windows.
Ce bot est envoyé dans des messages de spam provenant
prétendument des services postaux américains. Il envoie des
informations système et reçoit en retour des instructions de
la part d'un serveur distant pour télécharger et exécuter des
fichiers malveillants sur les ordinateurs infectés. De plus, il
ajoute des informations à la base de registre pour s'exécuter
après redémarrage de l'ordinateur.
Juasek est un bot ouvrant des portes dérobées sur la plateforme Windows. Ce logiciel malveillant permet à des
agresseurs distants et non authentifiés d'effectuer des actions
malveillantes, telles que l'ouverture de l'invite de commande,
le téléchargement de fichiers, la création de nouveaux
processus, l'arrêt de processus, la recherche/création/
suppression de fichiers et la collecte d'informations système.
Il s'installe également sous forme de service pour rester actif
après redémarrage des ordinateurs infectés.
Papras est un cheval de Troie bancaire ciblant la plate-forme
Windows 32 et 64 bits. Ce logiciel malveillant envoie des
informations système et demande des informations de
configuration à un hôte distant. Il détourne les fonctions
réseau et surveille les activités en ligne des utilisateurs pour
dérober des informations financières confidentielles. De
plus, sa fonctionnalité de création de porte dérobée donne à
des agresseurs distants un accès non autorisé aux ordinateurs
infectés. Les commandes acceptées comprennent le
téléchargement d'autres fichiers malveillants, la collecte de
cookies et d'informations sur les certificats, le redémarrage
et l'arrêt du système, l'envoi de journaux, la prise de captures
d'écran, la configuration d'une connexion à un hôte distant
pour d'autres activités, etc. Papras s'injecte dans des processus
et injecte éventuellement d'autres fichiers malveillants dans
les processus ciblés.
042
recommandé par
B
ANNEXE B : PRINCIPALES
APPLICATIONS À HAUT RISQUE
Cette annexe fournit des informations complémentaires sur
les principales applications décrites dans notre étude. La base
de données complète de Check Point sur les applications est
disponible à l'adresse threatwiki.checkpoint.com
Anonymiseurs
Tor est une application prévue pour garantir l'anonymat en
ligne. Le logiciel client Tor redirige le trafic Internet vers
un réseau mondial de serveurs bénévoles pour masquer la
localisation géographique et les activités des utilisateurs de
toute surveillance ou analyse du trafic réseau. L'utilisation
de Tor complique la traçabilité des activités Internet jusqu'à
ses utilisateurs, y compris pour les visites sur des sites web,
les publications en ligne, les messages instantanés et autres
formes de communication.
CGI-Proxy est une interface-passerelle. Il s'agit d'une page
web permettant à ses utilisateurs d'accéder à un site différent.
Les protocoles pris en charge sont HTTP, FTP et SSL.
Hopster est une application permettant de contourner des
pare-feux et des proxies, pour surfer et communiquer de
manière anonyme.
Hide My Ass est un proxy web gratuit masquant l'adresse IP
de ses utilisateurs pour leur permettre de se connecter à des
sites web de manière anonyme.
Hamachi est un réseau privé virtuel. Il est utilisé pour établir
des connexions sur Internet émulant la connexion sur un
réseau local.
Ultrasurf est un proxy gratuit permettant à ses utilisateurs
de contourner des pare-feux et des logiciels de blocage des
contenus Internet.
OpenVPN est un logiciel open source gratuit qui implémente
des techniques de réseau privé virtuel pour créer des
connexions sécurisées de point à point ou de site à site, dans
des configuration routage ou pont, et des sites distants.
Partage de fichiers en P2P
BitTorrent est un protocole de communication pour le partage
de fichiers de pair à pair. C'est une méthode de distribution
étendue de grandes quantités de donnée ne nécessitant pas
pour l'émetteur initial la prise en charge de la totalité du coût
en termes de matériel, d'hébergement et de bande passante.
Lorsque les données sont diffusées à l'aide du protocole
BitTorrent, chaque destinataire fournit une partie des données
à d'autres destinataires, ce qui réduit ainsi le coût et la charge
de chaque source individuelle, permet une redondance contre
les problèmes système, et réduit la dépendance à l'émetteur
initial. Il existe de nombreux clients BitTorrent créés à l'aide
de différents langages de programmation et fonctionnant sur
différentes plates-formes.
eMule est une application de partage de fichiers de pair à pair
se connectant aux réseaux eDonkey et Kad. Le logiciel permet
le partage direct des sources entre les clients, la récupération
de téléchargements corrompus, et comprend l'utilisation d'un
système de crédit pour récompenser les gros fournisseurs.
eMule transmet des données compressées pour économiser la
bande passante.
Soulseek est une application de partage de fichiers de pair
à pair. Elle est principalement utilisée pour partager de la
musique, même si ses utilisateurs sont en mesure de partager
d'autres types de fichiers.
Gnutella est un réseau populaire de partage de fichiers et un des
protocoles P2P les plus populaires utilisé par des applications
telles que BearShare, Shareaza, Morpheus et iMesh. Il est
communément utilisé pour partager des fichiers musicaux au
format MP3, des vidéos, des applications et des documents.
Sopcast est une application de streaming via réseaux P2P.
Sopcast permet à ses utilisateurs de diffuser des contenus à
d'autres utilisateurs ou de regarder les contenus diffusés par
d'autres utilisateurs.
043
recommandé par
ANNEXE
Outils d'administration à distance
RDP (Remote Desktop Protocol) est une application
propriétaire développée par Microsoft fournissant à ses
utilisateurs une interface vers d'autres ordinateurs.
Team Viewer permet à ses utilisateurs de contrôler des
ordinateurs distants à l'aide d'un logiciel client ou en
s'identifiant sur un site web.
LogMeIn est une suite de services logiciels fournissant un
accès à distance à des ordinateurs sur Internet. Les différentes
versions du produit sont prévues pour des utilisateurs finaux
ou des professionnels des services d'assistance. Les produits
d'accès à distance LogMeIn utilisent un protocole RDP
propriétaire transmis sur SSL. Les utilisateurs accèdent à des
postes distants à l'aide d'un portail web ou de l'application
LogMeIn Ignition.
VNC est un logiciel composé d'une application serveur
et d'une application client utilisant le protocole VNC
(Virtual Network Computing) pour contrôler d'autres
ordinateurs à distance. Le logiciel fonctionne avec les
systèmes d'exploitation Windows, Mac OS X et Unix. VNC
fonctionne également sur la plate-forme Java, ainsi que sur
l'iPhone, l'iPod touch et l'iPad d'Apple.
Applications de stockage et de partage de
fichiers
Dropbox est une application permettant à ses utilisateurs de
partager des fichiers. Dropbox est le service d'hébergement
de fichiers proposé par la société Dropbox, Inc. avec stockage
dans le cloud, synchronisation des fichiers et logiciel client.
En bref, Dropbox permet à ses utilisateurs de créer un
dossier spécial sur leur ordinateur, avec lequel Dropbox se
synchronise afin qu'il soit identique (même contenu) quel
que soit l'ordinateur utilisé pour le consulter. Les fichiers
placés dans ce dossier sont également accessibles via un site
web et une application mobile.
Windows Live Office est un outil en ligne de stockage,
d'édition et de partage de documents Microsoft Office, créé
par Microsoft. Grâce aux applications Office Web Apps,
les utilisateurs peuvent créer, visualiser, éditer, partager et
collaborer sur des documents, feuilles de calcul et notes en
ligne, en tout lieu via une connexion Internet.
Curl est un outil en ligne de commande permettant à ses
utilisateurs de transmettre des données à l'aide d'une syntaxe
de type URL. Il prend notamment en charge les protocoles
FILE, FTP, HTTP, HTTPS et les certificats SSL.
YouSendIt est un service d'expédition numérique de fichiers.
Le service permet à ses utilisateurs d'envoyer, recevoir et
suivre des fichiers à la demande.
044
recommandé par
C
ANNEXE C : CONCLUSIONS
SUPPLÉMENTAIRES - UTILISATION DES
APPLICATIONS WEB
Utilisation par catégorie
(% des entreprises)
61
43 %
Utilisation par région
(% des entreprises)
ls d
Outi
tion
istra
in
'adm
es
ériqu
AC
% AP
77
nce
dista
s
hier
de fi
age
Part
82
AC
% AP
72
AC
% AP
72
2P
chi
62
ues
mériq
A
%
% EM
55
seur
% EM
40
35
EA
EA
ues
mériq
A
%
49
i
nym
ues
mériq
A
%
% EM
81
nP
ers e
Graphique C-A
Ano
EA
% Am
80
c
à
de fi
ation
r
age
t
t
r
s
i
a
s
n
p
mi
hier
e et
% Ad
de fic
kag
e
c
g
o
1
a
t
t
S
8
r
ge/pa
ocka
t
S
%
P
80
en P2
s
r
e
i
h
de fic
rtage
a
P
%
ur
ymise
n
o
n
A
EM
83 %
nce
sta
à di
Les données suivantes fournissent des détails
supplémentaires sur les résultats de l'étude présentés dans la
section « Applications utilisées dans l'espace de travail de
l'entreprise ».
Les graphiques C-A et C-B résument l'utilisation des
applications par catégorie et par région.
EA
AC
% AP
Graphique C-B
045
recommandé par
ANNEXE
Les tableaux suivants fournissent des informations supplémentaires sur les clients BitTorrent et Gnutella les plus populaires
Principaux clients BitTorrent Nombre d'entreprises
Principaux clients Gnutella Nombre d'entreprises
Vuze
108
BearShare
52
Xunlei
74
uTorrent
55
LimeWire
23
BitComet
25
FrostWire
16
FlashGet
21
Foxy
2
QQ Download
8
Autres
31
Pando
7
P2P Cache
7
Transmission
6
Autres
242
Le tableau suivant fournit des informations supplémentaires sur les principales applications utilisées, par catégorie
et par région
Catégorie d'application
Région
Nom de l'application
Anonymiseur
Amériques
Tor
CGI-Proxy
Hamachi
Hopster
Ultrasurf
Tor
CGI-Proxy
Hamachi
Hopster
Hide My Ass
Tor
Hopster
CGI-Proxy
Hamachi
Hide My Ass
EMEA
APAC
% des entreprises
24 %
16 %
8%
8%
7%
23 %
12 %
4%
7%
7%
20 %
6%
6%
6%
7%
046
recommandé par
ANNEXE
% des entreprises
Région
Partage de fichiers en P2P
Amériques
Clients BitTorrent
SoulSeek
eMule
Windows Live Mesh
Sopcast
Clients BitTorrent
SoulSeek
eMule
Sopcast
iMesh
Clients BitTorrent
eMule
SoulSeek
Sopcast
BearShare
35 %
23 %
21 %
8%
8%
33 %
19 %
15 %
12 %
10 %
62 %
26 %
11 %
10 %
8%
Dropbox
Windows Live Office
Curl
YouSendIt
ZumoDrive
Dropbox
Windows Live Office
Curl
YouSendIt
ImageVenue
Dropbox
Windows Live Office
Curl
YouSendIt
Hotfile
73 %
52 %
28 %
26 %
12 %
71 %
51 %
22 %
21 %
18 %
57 %
50 %
26 %
16 %
10 %
EMEA
APAC
Stockage et partage de fichiers
Amériques
EMEA
APAC
047
recommandé par
ANNEXE
% des entreprises
Région
Administration à distance
Amériques
MS-RDP
LogMeIn
TeamViewer
VNC
59 %
51 %
45 %
14 %
Bomgar
MS-RDP
TeamViewer
LogMeIn
VNC
pcAnywhere
TeamViewer
MS-RDP
LogMeIn
VNC
Gbridge
8%
60 %
55 %
44 %
20 %
3%
58 %
51 %
26 %
16 %
3%
EMEA
APAC
048
recommandé par
D
ANNEXE D :
TYPES DE DONNÉES DE DLP
Notre étude comprend l'inspection de douzaines de types
de données différents, à la recherche d'éventuelles fuites de
données. La liste suivante présente les principaux types de
données de DLP inspectées et détectées par la blade Check
Point DLP.
Code Source - Correspond aux données contenant des lignes
de langages de programmation, tels que C, C++, C#, JAVA
et autres, indiquant une fuite de propriété intellectuelle.
Information de cartes de paiement - Comprend deux types de
données : les numéros de cartes de paiement et les données
d'authentification PCI.
• Numéros de cartes de paiement :
Critères de correspondance : Des données contenant
des numéros de cartes de paiement MasterCard, Visa,
JCB, American Express, Discover et Diners Club ;
correspondance reposant sur le modèle (expression
régulière) et la validation des sommes de vérification du
schéma défini dans l'Annexe B de ISO/IEC 7812-1 et dans
JTC 1/SC 17 (algorithme Luhn MOD-10) ; indique une
fuite de données confidentielles.
Exemple : 4580-0000-0000-0000.
• Données d'authentification PCI :
Critères de correspondance :
Des informations
correspondant à des données d'authentification
confidentielles selon la norme de sécurisation des données
de PCI (DSS). Contrairement aux informations portant
sur les titulaires de cartes de paiement, de telles données
sont extrêmement confidentielles et PCI DSS n'autorise
pas son stockage. Correspondance avec des informations
contenant les données des pistes magnétiques des cartes de
paiement (pistes 1, 2 ou 3), le code PIN chiffré ou non, et
le code de sécurité (CSC).
Exemples : %B4580000000000000^JAMES
/L.^99011200000000000?, 2580.D0D6.B489.DD1B,
2827.
Fichier protégé par mot de passe - Correspond à des fichiers
protégés par mot de passe ou chiffrés. De tels fichiers
peuvent contenir des informations confidentielles.
Fichier de bulletin de salaire - Correspond à des fichiers
contenant un bulletin de salaire ; indique une fuite de
données personnelles.
Email confidentiel - Correspond à des messages Microsoft
Outlook désignés par l'expéditeur comme étant
« confidentiels » ; de tels emails contiennent généralement
des données confidentielles. Remarque : Microsoft Outlook
permet aux expéditeurs de désigner des emails par différents
degrés de confidentialité ; ce type de données correspond
aux emails désignés comme étant « confidentiels » à l'aide
de l'option de confidentialité d'Outlook.
Information de rémunération - Correspond aux documents
contenant des mots et des phrases liés aux données de
rémunération des employés, tels que : salaire, prime, etc.
D'autres types de données ont été détectés durant les recherches :
Cartes d'identité à Hong Kong, rapports financier¸ numéros
de comptes bancaires, codes IBAN en Finlande, numéros
de sécurité sociale au Canada, FERPA - dossiers scolaires
confidentiels, codes postaux américains, numéro de TVA
au Royaume-Uni, numéros de sécurité sociale au Mexique,
numéros de sécurité sociale aux États-Unis, GPA - notes
des étudiants, cartes d'identité à Hong Kong, numéros de
comptes bancaires, rapports Salesforce, numéro d'identité
en Finlande, ITAR - Réglementation du trafic d'armes
international, dossiers personnels confidentiels, fichiers
de CAO/DAO ou de conception graphique, HIPAA informations protégées sur la santé, numéros de sécurité
sociale en France, noms des employés, revenus en NouvelleZélande, PCI - Données des titulaires de cartes de paiement,
numéros de permis de conduire aux États-Unis, HIPAA Numéros de dossiers médicaux, numéros de sécurité sociale
au Canada, codes IBAN en Finlande, HIPAA - ICD-9,
codes IBAN au Danemark, numéros de TVA en Finlande,
numéros d'identité en Finlande, codes IBAN, cartes
d'identité à Hong Kong et autres.
049
recommandé par
RéféRences
L'Art de la guerre par Sun Tzu, http://suntzusaid.com/artofwar.pdf
http://www.checkpoint.com/campaigns/3d-analysis-tool/index.html
3
http://www.checkpoint.com/products/threatcloud/index.html
4
http://supportcontent.checkpoint.com/file_download?id=20602
5
http://www.nytimes.com/2012/03/05/technology/the-bright-side-of-being-hacked.html?pagewanted=2&ref=global-home
6
http://edition.cnn.com/video/#/video/bestoftv/2012/10/01/exp-erin-cyberattack-nuclear-networks-leighton.cnn?iref=allsearch
7
http://www.networkworld.com/news/2012/071312-security-snafus-260874.html?page=4
8
http://www.businessweek.com/news/2012-10-18/bank-cyber-attacks-enter-fifth-week-as-hackers-adapt-to-defenses
9
http://arstechnica.com/security/2012/09/blackhole-2-0-gives-hackers-stealthier-ways-to-pwn/
10
http://www.networkworld.com/slideshow/52525/#slide1
11
http://www.ihealthbeat.org/articles/2012/10/30/breaches-at-uks-nhs-exposed-nearly-18m-patient-health-records.aspx
12
http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf
13
http://cve.mitre.org/index.html
14
http://www.networkworld.com/news/2012/020912-foxconn-said-to-have-been-255917.html
15
http://news.cnet.com/8301-1009_3-57439718-83/anonymous-attacks-justice-dept-nabbing-1.7gb-of-data/
16
http://news.cnet.com/8301-1009_3-57396114-83/vatican-anonymous-hacked-us-again/
17
http://news.cnet.com/8301-1023_3-57411619-93/anonymous-hacks-into-tech-and-telecom-sites/
18
http://www.ftc.gov/opa/2012/06/epn-franklin.shtm
19
http://www.ftc.gov/opa/2010/02/p2palert.shtm
20
http://www.networkworld.com/news/2012/091212-botnet-masters-hide-command-and-262402.html
21
http://www.computerworld.com/s/article/9221335/_Nitro_hackers_use_stock_malware_to_steal_chemical_defense_secres
22
http://bits.blogs.nytimes.com/2012/08/01/dropbox-spam-attack-tied-to-stolen-employee-password/
23
http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/
24
http://japandailypress.com/newspaper-reporter-fired-for-emailing-sensitive-info-to-wrong-people-159277
25
http://www.roanoke.com/news/roanoke/wb/307564
26
http://tamutimes.tamu.edu/2012/04/13/am-acting-on-email-message-that-inadvertently-included-some-alumni-ss-numbers/
27
www.hhs.gov/ocr/privacy/hipaa/index.html
28
L'Art de la guerre par Sun Tzu, http://suntzusaid.com/artofwar.pdf
29
http://en.wikipedia.org/wiki/Malware#Backdoors
1
2
050
recommandé par
Design : RoniLevit.com
www.checkpoint.com
Pour plus d’informations, contactez
Votre interlocuteur privilégié : Juliette Bertrandy
[email protected]
01 40 83 12 65 - 06 10 77 23 42
En partenariat avec
[email protected]
01 41 85 15 82
CONTACTS CHECK POINT
Siège mondial
5 Ha’Solelim Street, Tel Aviv 67897, Israël | Tél. : +972 3 753 4555 | Fax : +972 3 624 1100 | Email : [email protected]
Siège français
1 place Victor Hugo, Les Renardières, 92400 Courbevoie, France | Tél. : +33 (0)1 55 49 12 00 | Fax : +33 (0)1 55 49 12 01
Email : [email protected] | URL : http://www.checkpoint.com
© 2003-2013 Check Point Software Technologies Ltd. Tous droits réservés. Check Point, AlertAdvisor, Application Intelligence, Check Point 2200, Check Point 4000 Appliances, Check Point
4200, Check Point 4600, Check Point 4800, les Appliances Check Point 12000, Check Point 12200, Check Point 12400, Check Point 12600, Check Point 21400, Check Point 6100 Security
System, Check Point Anti-Bot Software Blade, Check Point Application Control Software Blade, Check Point Data Loss Prevention, Check Point DLP, Check Point DLP-1, Check Point Endpoint
Security, Check Point Endpoint Security On Demand, le logo Check Point, Check Point Full Disk Encryption, Check Point GO, Check Point Horizon Manager, Check Point Identity Awareness,
Check Point IPS, Check Point IPSec VPN, Check Point Media Encryption, Check Point Mobile, Check Point Mobile Access, Check Point NAC, Check Point Network Voyager, Check Point
OneCheck, Check Point R75, Check Point Security Gateway, Check Point Update Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra
Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet, DynamicID, Endpoint Connect VPN Client, Endpoint Security, Eventia, Eventia Analyzer, Eventia
Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless
Security, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, R75, Software Blade, IQ Engine, MailSafe, le logo the More, better, Simpler Security, Multi-Domain
Security Management, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1,
Provider-1, PureAdvantage, PURE Security, le logo puresecurity, Safe@Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform,
SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, SecurityPower, Series 80 Appliance, SiteManager-1, Smart-1,
SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security, SmartLSM,
SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP,
SMP On-Demand, SocialGuard, SofaWare, Software Blade Architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector,
UserCheck, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro,
VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus +
Firewall, ZoneAlarm DataLock, ZoneAlarm Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro Firewall, ZoneAlarm Internet Security Suite, ZoneAlarm Security
Toolbar, ZoneAlarm Secure Wireless Router, Zone Labs, et le logo Zone Labs sont des appellations commerciales ou des marques déposées de Check Point Software Technologies Ltd. ou de
ses filiales. ZoneAlarm est une société du groupe Check Point Software Technologies, Inc. Tous les noms de produits mentionnés dans ce document sont des marques commerciales ou des
marques déposées appartenant à leurs propriétaires respectifs. Les produits décrits dans ce document sont protégés par les brevets américains No. 5 606 668, 5 835 726, 5 987 611, 6 496 935,
6 873 988, 6 850 943, 7 165 076, 7 540 013, 7 725 737 et 7 788 726, et sont éventuellement protégés par d’autres brevets américains, étrangers ou des demandes de brevet en cours.
Janvier 2013
Catégorie : [Protégé] - Tous droits réservés.

CHECK POINT RAPPORT SÉCURITÉ 2013

Transcription

Documents pareils

Nous pouvons vous aider à garder le témoin Check Engine éteint et

SEJOUR MINCEUR DETOX 740 €/pp 950

background check consent form - Governor in Council Appointments

RECEPTIONNISTE

Heater New Installation Checklist

Formulaire de consentement à la vérification des antécédents

Caloritech HX Straight Unfinned Tubular Heater / IX Formed

révolutionne l`approche appliance Choisissez la

Vocabulaire récurrent au TOEIC File - Plateforme e