rapport sur les menaces de sécurité des sites web i 2015
Transcription
rapport sur les menaces de sécurité des sites web i 2015
RAPPORT SUR LES MENACES DE SÉCURITÉ DES SITES WEB I 2015 SOMMAIRE Introduction 3 Avant-propos 4 Cybermenaces 5 Cybercrime 21 Attaques ciblées 36 Violations de données 53 Réseaux sociaux et arnaques 63 Perspectives 77 Recommandations 79 L’entreprise Symantec 82 2 I Symantec Website Security Solutions INTRODUCTION Symantec dispose du système de cyberveille le plus exhaustif de la planète. Son nom : Symantec™ Global Intelligence Network. Doté de plus de 41,5 millions de détecteurs d’attaques, cet observatoire enregistre des milliers d’événements à la seconde. Pour surveiller l’activité sur le front des menaces dans plus de 157 pays et territoires, le Global Intelligence Network associe plusieurs produits et services Symantec (Symantec DeepSight™ Intelligence, Symantec™ Managed Security Services, Symantec Website Security Solutions, produits Norton™, etc.) à des sources de données externes. Symantec gère par ailleurs l’une des bases de données de vulnérabilités les plus complètes au monde, avec à ce jour plus de 60 000 vulnérabilités répertoriées sur plus de 54 000 produits développés par plus de 19 000 constructeurs informatiques et éditeurs de logiciels. Nos statistiques sur les « pourriels » (spams), le hameçonnage (phishing) et les maliciels (malwares) proviennent de diverses sources, dont notamment le Symantec Probe Network – un système de plus de 5 millions de comptes leurres –, Symantec.cloud, les produits Symantec Website Security Solutions d’analyse antimalware et de détection des vulnéra bilités, et plusieurs autres technologies de sécurité signées Symantec. Skeptic™, la technologie heuristique développée par Symantec.cloud, est capable de détecter de nouvelles menaces ciblées et ultra perfectionnées en amont, avant qu’elles ne frappent les réseaux des clients. Plus de 8,4 milliards de messages électroniques sont ainsi traités chaque mois, tandis que plus de 1,7 milliard de requêtes Web sont filtrées chaque jour dans 14 data centers. Symantec assure également une veille des activités de phishing à travers un vaste écosystème d’entreprises, d’éditeurs de solutions de sécurité et plus de 50 millions de consommateurs. Symantec Website Security Solutions garantit une disponibilité à 100 % et traite au quotidien plus de 157 Symantec gère l’une des bases de données de vulnérabilités les plus complètes au monde constructeurs 19 000 et éditeurs 54 000 produits vulnérabilités 60 000 répertoriées Skeptic™ : la technologie heuristique développée par Symantec.cloud 14 data centers de requêtes 1,7 MILLIARD Web messages 8,4 MILLIARDS de électroniques 6 milliards de recherches OCSP (Online Certificate Status Protocol), utilisées pour vérifier l’éventuelle révocation de certificats numériques X.509 à travers le monde. Forts de ces ressources exclusives d’une richesse incomparable, les analystes Symantec ont pu identifier, analyser et commenter les dernières tendances en matière d’attaques, de propagation de codes malveillants, de phishing et de spam. Le tout est ensuite compilé dans le rapport Symantec sur les menaces de sécurité des sites Web (Website Security Threat Report) qui synthétise les informations indispensables à une sécurisation efficace des systèmes de particuliers et d’entreprises de toutes tailles – aujourd’hui comme demain. 3 I Symantec Website Security Solutions AVANT-PROPOS 2014 restera comme l’année de Heartbleed, un bug qui a fait vaciller la cybersécurité sur ses bases. Ce séisme, on ne le doit pas à la ruse des cybercriminels, mais aux vulnérabilités inhérentes à des logiciels développés de la main de l’homme. Pour toute la communauté Internet, le bug a sonné comme un rappel à ses obligations de vigilance, de rigueur et de constance dans le domaine de la sécurité. Pendant que Heartbleed défrayait la chronique, les cyberdélinquants restaient à pied d’œuvre, profitant des retombées des exploits, vols et perturbations engendrées. La sophistication et l’agressivité de leurs modes opératoires témoignent d’une professionnalisation accrue de la cybercriminalité en 2014, dont les entreprises et les particuliers sont les premières victimes. Des vulnérabilités qui nous fragilisent tous Heartbleed n’est pas la seule vulnérabilité à avoir frappé cette année. Poodle et ShellShock ont également permis aux pirates d’utiliser des sites Web infectés comme vecteurs d’infiltration de serveurs, d’installation de malwares et d’exfiltration de données. Chiffre intéressant : les infections par malware ont plongé en 2014 et ne concernent plus qu’un site Web sur 1126, soit deux fois moins que l’année précédente. Pourtant, la proportion de sites Web comportant des vulnérabilités demeure inchangée, soit trois quarts des sites Web analysés. Si l’on est tenté d’attribuer cette baisse au renforcement de la sécurité des sites Web, l’évolution des méthodes d’injection de malwares en est peut-être la vraie responsable – les cybercriminels pri vilégiant désormais les réseaux sociaux et les publicités malveillantes comme vecteur d’infection. Mais plus globalement, les utilisateurs portent également leur part de responsabilité. En oubliant trop souvent d’installer les correctifs logiciels, ils laissent la porte ouverte à une exploitation des failles de leurs terminaux et serveurs. La tâche est d’autant plus aisée pour les malfaiteurs qu’à l’aide d’un injecteur spécial, vraisemblablement transmis via une attaque de passage (drive-by) ou une arnaque sur les réseaux sociaux, ils détectent et exploitent les vulnérabilités connues et non corrigées. 1. http://www.symantec.com/connect/blogs/underground-blackmarket-thriving-trade-stolen-data-malware-and-attack-services 2 http://www.symantec.com/connect/blogs/australiansincreasingly-hit-global-tide-cryptomalware Les cybercriminels passent à la vitesse supérieure À l’instar de l’industrie high-tech légitime, les bas-fonds d’Internet connaissent l’émergence de spécialités, de fournisseurs de services et de fluctuations qui témoignent d’une professionnalisation de la cybercriminalité en 2014. Un kit d’attaque drive-by se loue ainsi entre 100 et 700 dollars par semaine, mises à jour et assistance 24h/7j comprises. Pour une attaque par déni de service distribué (DDoS), le tarif est compris entre 10 et 1 000 dollars par jour1. Sur le marché noir, les informations de cartes bancaires s’achètent entre 0,50 et 20 dollars par carte, et il en coûte entre 2 et 12 dollars pour l’achat de 1000 followers sur un réseau social. Des tactiques vicieuses et agressives Les cybercriminels n’ont jamais fait grand cas de leurs victimes, mais leur malveillance a atteint de nouveaux sommets en 2014. D’après Symantec, le nombre de cryptowares a été mul tiplié par 14 entre mai et septembre2. Photos, contrats stratégiques ou factures : cette variante de rançongiciel crypte tous les fichiers présents sur la machine de la victime avant d’exiger une rançon pour la clé de décryp tage. Pour rester invisibles et ne pas se faire prendre, les pirates demandent souvent à leurs victimes de verser la rançon en Bitcoins sur une page Tor. Le phishing et les arnaques sur les réseaux sociaux surfent sur les peurs des internautes (alertes de piratage informatique, messages alarmistes de santé publique, etc.) pour les inciter à cliquer sur un lien malveillant. Les arnaqueurs sont alors rémunérés en fonction du nombre de clics et d’inscriptions à des programmes d’affiliation, des téléchargements de malwares ou des saisies de données sur des sites frauduleux. Symantec Website Security Solutions I 4 CYBERMENACES 5 I Symantec Website Security Solutions EN BREF 1 La vulnérabilité Heartbleed a exposé près d’un demi-million de sites pro 2 Heartbleed a entraîné une prise de conscience qui s’est traduite par une vo- 3 Les cybercriminels exploitent les technologies et infrastructures des réseaux 4 5 3 tégés par SSL à un risque de violation de données majeur en avril 20143. lonté d’améliorer les standards d’implémentation des protocoles SSL et TLS. publicitaires légitimes pour attaquer et arnaquer leurs cibles. Dans un contexte de hausse du nombre total de sites Web infectés (+5 %), les sites d’anonymisation sont entrés dans le Top 10 des sites les plus infectés en 2014. Depuis 2013, le nombre total de cas recensés de sites infectés par malwares a quasiment été divisé par deux. http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html Symantec Website Security Solutions I 6 INTRODUCTION D’une ampleur inédite et d’une agressivité redoublée, les cybermenaces ont exposé les failles des outils et protocoles de cryptage les plus courants en 2014. Jamais il n’a été aussi difficile d’échapper aux griffes des cybermalfaiteurs. Pour preuve, le bilan 2014 de la cybercriminalité est particulièrement lourd, et la tendance devrait se poursuivre en 2015. Face aux vulnérabilités et nouvelles variantes de malwares, la cybersécurité constitue un enjeu stratégique qui requiert une mobilisation de tous les instants. 4 Au moment où nous rédigions ce rapport, début 2015, une nouvelle vulnérabilité SSL/TLS baptisée FREAK était identifiée par plusieurs chercheurs en sécurité4. FREAK permet de lancer des attaques par interception (Man-inthe-Middle) sur les communications cryptées entre un internaute et le site Web visité. Une fois interceptés, les échanges entre clients et serveurs infectés sont ensuite décryptés. Les pirates peuvent ainsi faire main basse sur des mots de passe et autres informations personnelles, avant d’éventuellement lancer d’autres attaques contre le site Web infecté. http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack 7 I Symantec Website Security Solutions LES VULNÉRABILITÉS À LA UNE Heartbleed La révélation d’une vulnérabilité dans la bibliothèque logicielle cryptographique OpenSSL a fait grand bruit en avril 2014. Baptisée Heartbleed, cette faille permettait aux pirates d’accéder aux données en mémoire des serveurs Web pendant une session cryptée. Et qui dit données en mémoire dit absolument toutes les données, y compris les numéros de cartes bancaires, les mots de passe et même les clés privées permettant de déchiffrer l’intégralité d’un échange crypté.5 À l’époque, les estimations faisaient état d’une exposition de 17 % de tous les serveurs Web SSL utilisant des certificats SSL et TLS émis par des autorités de certification de confiance6. L’impact a donc été très lourd, tant sur les entreprises que sur les particuliers. Mais au-delà de l’énorme volume de données sensibles exposées, il a fallu également sensibiliser le public aux dangers de Heartbleed et lui expliquer le timing à respecter pour changer son mot de passe. Les propriétaires de sites Web devaient dans un premier temps mettre à jour leurs serveurs avec la version corrigée d’OpenSSL, puis installer de nouveaux certificats SSL avant de révoquer les anciens. La procédure devait être appliquée à la lettre pour que le changement de mot de passe joue à plein contre la menace – une démarche difficile à expliquer à l’internaute lambda. Heureusement, la réactivité a été à la hauteur de la me nace. En cinq jours, tous les sites du Top 1 000 d’Alexa étaient immunisés contre Heartbleed, et seul 1,8 % des sites du Top 50 000 restait vulnérable7. ShellShock et Poodle Mais la planète Web n’est pas restée longtemps foca lisée sur Heartbleed. Septembre 2014 a été marqué par la découverte de « Bash Bug », également appelé « ShellShock », une vulnérabilité qui a impacté la plupart des versions de Linux et Unix, ainsi que Mac OSX. Pour les propriétaires de sites, ShellShock a illustré la précarité de la situation sécuritaire sur Internet. La sécurité d’un serveur peut ainsi être remise en cause du jour au lendemain, avec des patchs soudainement incomplets et à réinstaller de toute urgence. Les pirates ont emprunté la voie la plus directe, à savoir l’ajout d’une commande malveillante à une variable environnementale du serveur via l’interface CGI (Common Gateway Interface) – le système couramment utilisé pour générer des contenus Web dynamiques. La commande était alors interprétée et exécutée par Bash, le compo sant du serveur contenant la vulnérabilité8. ShellShock a ainsi permis d’injecter des malwares sur de nombreux serveurs et leurs réseaux dans le but d’infecter et d’espionner de multiples appareils. Puis, au mois d’octobre, la découverte par Google de Poodle a remis le chiffrement sur le devant de la scène. Principale cible : les serveurs prenant encore en charge le SSL 3.0, une version ancienne du protocole. En interférant dans le processus handshake de vérification des protocoles compatibles, Poodle force ainsi le serveur à utiliser le SSL 3.0, malgré la prise en charge de protocoles plus récents9. En cas de succès, l’exploit permet au pirate d’intercepter les communications (Man-in-the-Middle), puis de décrypter les cookies HTTP sécurisés pour voler des informations, voire prendre le contrôle des comptes en ligne de ses victimes. Heureusement, Poodle s’est avéré moins dangereux que Heartbleed dans la mesure où pour exploiter la vulnérabilité, le pirate doit avoir accès au réseau utilisé par le client et le serveur, comme sur un hotspot Wi-Fi public par exemple. 5 http://www.symantec.com/connect/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers 6 http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html 7 http://www.symantec.com/connect/blogs/heartbleed-reports-field 8 http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-vulnerability 9 http://www.symantec.com/connect/blogs/poodle-vulnerability-old-version-ssl-represents-new-threat Symantec Website Security Solutions I 8 VULNÉRABILITÉS « STARS » Vulnérabilités « stars » et délais de patching Certificats SSL et TLS : des remparts indispensables Si les attaques commises peu après l’annonce de ces vulnérabilités ont été fortement médiatisées, elles différaient cependant des vulnérabilités zero-day qui font généralement les gros titres. En visant davantage les serveurs que les terminaux, Heartbleed et ShellShock s’établissaient en effet comme une classe à part dans le monde des vulnérabilités. Leur retentissement s’explique également par la prévalence des logiciels concernés, présents sur de très nombreux systèmes et appareils. Cette omniprésence explique en grande partie l’ampleur des attaques et l’exploitation des vulnérabilités dans les heures qui ont suivi leur divulgation. Notons cependant que malgré les secousses enregistrées en 2014 sur le front de la cybersécurité, les certificats SSL et leurs équivalents plus récents, les certificats TLS, restent à la fois opérationnels et indispensables. L’incident Heartbleed a d’ailleurs prouvé la rapidité avec laquelle l’industrie de la sécurité en ligne sait réagir face aux cybermenaces. Les pics d’activité mettent en évidence une vague mondiale d’assauts dans le sillage immédiat du signalement des vulnérabilités, et ce en dépit de la mise en place quasi immédiate des signatures Symantec pour détecter et bloquer les attaques. Ainsi, il n’a fallu que quatre heures aux pirates pour exploiter la vulnérabilité Heartbleed. Les travaux et la vigilance d’organismes tels que le CA Browser Forum, dont Symantec fait partie, permettent d’améliorer en permanence les normes et standards en vigueur. Autrement dit, les remparts de la sécurité, qui protègent votre site et vos visiteurs, restent solides et continuent de se renforcer. NOMBRE D’ATTAQUES HEARTBLEED ET SHELLSHOCK DANS LE MONDE, AVRIL À NOVEMBRE 2014 40 Attaques Heartbleed 35 MILLIERS 30 Attaques Shellshock 25 20 15 5 0 M J J Source : Symantec 9 I Symantec Website Security Solutions A S O N VULNÉRABILITÉS : LES CHIFFRES CLÉS Malgré de légères fluctuations d’une année sur l’autre, le nombre de vulnérabilités continue de progresser. Il existe des correctifs, des solutions ou des patchs pour la majeure partie des vulnérabilités signalées. Or, ces mises à jour sont loin d’être appliquées par tous, ce qui permet aux auteurs de malwares d’exploiter aisément les vulnérabilités les plus connues. Dans de nombreux cas, l’attaquant se sert d’un injecteur spécial pour rechercher des failles de sécurité connues et non corrigées, pour ensuite s’y engouffrer et installer du code malveillant. On n’insistera donc jamais assez sur l’importance cruciale des mises à jour. Pour preuve, des kits d’exploits Web comme Sakura et Blackhole permettent encore aux pirates d’exploiter des vulnérabilités non corrigées et connues depuis plusieurs mois, voire plusieurs années. Chaque vulnérabilité pouvant faire l’objet de différents types d’exploits, un kit d’attaques Web commence par analyser le navigateur afin d’identifier les plug-ins potentiellement vulnérables et déterminer le meilleur schéma d’attaque. Or, si un exploit ancien suffit à profiter d’une vulnérabilité récente, les kits d’attaque n’iront généralement pas chercher plus loin. Les exploits zero-day sont en revanche rares et très recherchés par les pirates informatiques, notamment pour les attaques ciblées du « point d’eau ». NOUVELLES VULNÉRABILITÉS 2014 2013 2012 6 549 6,549 6,787 6 787 5,291 5 291 -3.6% -3,6 % +28% +28 % Source : Symantec | Deepsight Symantec Website Security Solutions I 10 2010 6 253 2011 4 989 5 291 6 787 2011 2009 4 814 2012 2008 5 562 891 2013 2007 4 644 351 591 2014 2006 4 842 2012 VULNÉRABILITÉS DES NAVIGATEURS, 2011 – 2014 2013 NOMBRE TOTAL DE VULNÉRABILITÉS, 2006 – 2014 639 Opera 2014 Mozilla Firefox Microsoft Internet Explorer Google Chrome 6 549 Apple Safari Source : Symantec I Deepsight Source : Symantec I Deepsight VULNÉRABILITÉS DES PLUG-INS (MOIS PAR MOIS), 2013 – 2014 Java 80 Apple 71 70 Adobe 60 54 54 50 40 ActiveX 53 48 48 45 30 31 29 27 20 10 5 F M Source : Symantec I Deepsight A M J J 11 8 A 2013 4 S 30 23 29 17 J 37 36 35 O N 13 8 2 D J F M A M J J A S O N D 2014 Malgréreported While les risques vulnerabilities que représentent represent les vulnérabilités a general risk,connues, zero-dayles vulnerabilities vulnérabilités arezero-day potentially – à savoir much more cellesserious. qui ne sont These are vulnerabilities découvertes qu’après avoir that étéare exploitées only discovered – sont potentiellement after they are exploited plus dangereuses. by attackers. Nous reviendrons sur ce point dans le chapitre consacré aux attaques ciblées. 11 I Symantec Website Security Solutions Plug-in Vulnerabilities by Month SITES COMPROMIS En 2014, les trois quarts des sites Web analysés par Symantec comportaient des vulnérabilités, un chiffre stable par rapport à 2013. La proportion de failles consi dérées comme critiques passait en revanche de 16 à 20 %. Inversement, le nombre de sites Web infectés par malware chutait, avec 1 site sur 566 en 2014 contre 1 sur 1 126 l’année précédente. Ce chiffre semble donc être en rapport direct avec la baisse de 12,7 % des attaques bloquées chaque jour. On peut néanmoins en déduire que chaque site infecté a été à l’origine d’un plus grand nombre d’attaques. Principale raison avancée : la conception de kits d’attaques Web pour une utilisation dans le Cloud, en mode SaaS. Ainsi, un site Web compromis peut utiliser une balise HTML iframe ou un JavaScript masqué pour injecter du code malveillant à partir du kit d’exploit SaaS, au lieu de lancer directement l’attaque à partir d’un exploit hébergé sur le site Web compromis. La baisse de 47 % du nombre de nouveaux domaines frauduleux pour l’hébergement de malwares (qui passe à 29 927 en 2014 contre 56 158 en 2013) corrobore cette hypothèse d’une augmentation du nombre de kits d’exploits SaaS. Les kits d’attaques Web recherchent les plug-ins vulnérables sur l’ordinateur des victimes afin de lancer l’attaque qui a le plus de chances d’aboutir. Ces kits SaaS sont souvent hébergés sur des services insaisissables qui, pour brouiller les pistes, changent très rapidement d’adresse IP et génèrent des noms de domaines dynamiques. Difficile dans ces conditions de localiser et neutraliser l’infrastructure SaaS malveillante. Les cybermalfaiteurs peuvent également contrôler le mode opératoire des exploits. Ainsi, pour éviter que le code malveillant ne soit repéré par les moteurs de recherche et les experts en sécurité, ils peuvent choisir de ne lancer leurs attaques qu’à condition qu’un cookie ait été défini par le premier site compromis. Nous reviendrons sur les kits d’attaques Web plus loin dans ce chapitre. Les sites d’anonymisation font leur entrée dans le Top 10 des sites Web les plus fréquemment exploités cette année. Une évolution intéressante qui traduit l’adaptation constante des cybercriminels aux compor tements des internautes – ces derniers cherchant de plus en plus à échapper à la surveillance des fournisseurs d’accès Internet et autres pour naviguer incognito sur Internet. TOP 10 DES VULNÉRABILITÉS NON CORRIGÉES DÉTECTÉES SUR LES SERVEURS WEB ANALYSÉS CLASSEMENT NOM 1 Vulnérabilité Poodle SSL/TLS 2 Cross-site scripting (XSS) 3 Détection de la prise en charge du SSL v2 4 Prise en charge de suites de cryptage SSL faibles 5 Chaîne de certificat SSL non valide 6 Attributs de sécurité manquants dans un cookie de session cryptée (SSL) 7 Vulnérabilité de renégociation des protocoles SSL et TLS 8 Vulnérabilité dans la communication d’informations via la fonction 'strrchr()' de PHP 9 Attaque http TRACE XSS 10 Vulnérabilité « OpenSSL 'bn_wexpend()' Error Handling Unspecified » Source : Symantec I Website Security Solutions Symantec Website Security Solutions I 12 SITES WEB ANALYSÉS COMPORTANT DES VULNÉRABILITÉS... … % DE VULNÉRABILITÉS CRITIQUES 76 % 20 % -1 % +4 % 77 % 16 % +25 % +8 % 55 % 24 % 2014 2014 2013 2013 2012 2012 Source : Symantec I Website Security Solutions Source : Symantec I Website Security Solutions En 2014, 20 % de toutes les vulnérabilités identifiées (1 sur 5) sur des sites Web légitimes étaient considérées comme critiques, au point de permettre aux pirates d’accéder à des données sensibles, de modifier le contenu d’un site Web ou de compromettre les ordinateurs des internautes. SITES WEB ANALYSÉS COMPORTANT DES MALWARES 1250 1 SUR 1000 1 126 750 500 532 566 250 2012 Source : Symantec I Website Security Solutions 13 I Symantec Website Security Solutions Plug-in Vulnerabilities by Month 2013 2014 CLASSEMENT DES SITES WEB LES PLUS EXPLOITÉS EN 2013–2014 2014 – Top 10 des catégories de sites les plus attaquées CLASSEMENT Pourcentage 2014 du nombre total de sites Web infectés Pourcentage 2013 2013 – Top 10 1 High-Tech 21,5 % High-Tech 9,9 % 2 Hébergement 7,3 % Business 6,7 % 3 Blogs 7,1 % Hébergement 5,3 % 4 Business 6,0 % Blogs 5,0 % 5 Sites d’anonymisation 5,0 % Sites illégaux 3,8 % 6 Divertissement 2,6 % Sites marchands 3,3 % 7 Sites marchands 2,5 % Divertissement 2,9 % 8 Sites illégaux 2,4 % Automobile 1,8 % 9 Page de remplissage (placeholder) Communautés virtuelles 2,2 % Éducation 1,7 % 1,8 % Communautés virtuelles 1,7 % 10 Source : Symantec | SDAP, Safe Web, Rulespace ATTAQUES WEB BLOQUÉES CHAQUE MOIS ENTRE 2013 ET 2014 900 Linéaire (2013) 800 Linéaire (2014) 700 MILLIERS 600 500 400 300 200 100 J F Source : Symantec | SDAP M A M J J 2013 A S O N D J F M A M J J A S O N D 2014 Symantec Website Security Solutions I 14 Plug-in Vulnerabilities by Month NOUVEAUX DOMAINES WEB UNIQUES MALVEILLANTS 2014 2013 2012 2011 29 927 56 158 74 001 55 000 -47 % -24 % +34 % Source : Symantec | .cloud En 2014, la baisse de 47 % du nombre de domaines Web uniques malveillants traduit une progression de l’utilisation des kits SaaS basés dans le Cloud. ATTAQUES WEB BLOQUÉES PAR JOUR 2014 2013 2012 2011 496 657 568 734 464 100 190 000 -12,7 % +23 % +144 % Source : Symantec | SDAP Sur la plupart de ces sites, la baisse de 12,7 % du nombre moyen d’attaques bloquées chaque jour s’est principalement concentrée sur le deuxième semestre 2013, le repli observé tout au long de l’année 2014 ayant été bien plus modeste. La présence de vulnérabilités sur la majorité des sites Web révèle un manque général de régularité dans les contrôles de détection des vulnérabilités. S’ils concentrent probablement toute leur attention sur les ana lyses antimalware, mieux vaudrait prévenir que guérir ! L’injection de malwares passe en effet souvent par l’exploitation initiale des vulnérabilités d’un site. 15 I Symantec Website Security Solutions Face à la masse de sites potentiellement vulnérables, les cybercriminels ont sans aucun doute marqué des points. Ils sont également nombreux à s’être engouffrés très rapidement dans les failles SSL et TLS découvertes en 2014. Par ailleurs, l’explosion en 2014 des arnaques sur les réseaux sociaux et des publicités malveillantes témoigne du succès croissant de ces méthodes alternatives d’injection de malware auprès des cybermalfaiteurs. CINQ PRINCIPAUX KITS D’ATTAQUES WEB EN 2012 CINQ PRINCIPAUX KITS D’ATTAQUES WEB EN 2013 8% 17 % 3% 7% 10 % 5 10 % 41 % 5 14 % 26 % 23 % 19 % 22 % Blackhole Autres Sakura G01 Pack Phoenix Blackhole Redkit Sakura Nuclear Styx Autres Coolkit Source : Symantec I SDAP, Wiki Source : Symantec I SDAP, Wiki CINQ PRINCIPAUX KITS D’ATTAQUES WEB EN 2014 ÉVOLUTION CHRONOLOGIQUE DES CINQ KITS D’ATTAQUES WEB LES PLUS UTILISÉS EN 2014 100 % 50 % 5 23 % 10 % 7% 5 %5 % 0% J Sakura Nuclear Styx Orange Kit Blackhole Autres Source : Symantec I SDAP, Wiki F M A M J J A S O N D Autres Blackhole Orange Kit Styx Nuclear Sakura Source : Symantec I SDAP, Wiki Symantec Website Security Solutions I 16 Plug-in Vulnerabilities by Month PUBLICITÉS MALVEILLANTES Au croisement des genres entre rançongiciels et publicités malveillantes, l’année 2014 aura aussi été marquée par un nombre record de redirections de victimes vers le site Web Browlock. Browlock est l’une des formes de rançongiciels les moins agressives. Ici, pas de code malveillant qui s’exécute sur l’ordinateur de la victime, mais une page Web qui utilise du JavaScript pour empêcher la victime de fermer l’onglet de son navigateur. Le site localise la victime pour afficher une page Web dans sa langue, l’accusant de consultation illégale de sites pornographiques passible d’une amande auprès des autorités locales. Il semblerait que les pirates Browlock achètent des espaces publicitaires sur des réseaux légitimes dans le but de générer du trafic vers leur site. La publicité renvoie alors l’internaute sur la page d’un site pour adultes avant de le rediriger vers le site Web Browlock. Les pirates Browlock achètent leurs espaces à plusieurs sources, en majorité des sites réservés à un public adulte10. Pour échapper à ces arnaques, il suffirait aux victimes de fermer leur navigateur. Les investissements engagés par les cybercriminels dans l’achat d’espaces semblent néanmoins indiquer que les victimes payent la rançon. Explication possible : la victime culpabilise d’avoir cliqué sur une publicité de site pornographique avant d’atterrir sur la page Web Browlock. La culpabilité est un sentiment puissant que les pirates savent exploiter. Publicité malveillante : état des lieux La publicité malveillante ne se limite pas à la diffusion de rançongiciels : elle redirige également vers des sites qui installent des chevaux de Troie. Certaines de ces publicités sont même capables d’infecter un terminal sans que la victime clique sur la publicité. On parle alors d’attaques de passage, ou drive-by. La méthode séduit les cybermalfaiteurs car elle permet de frapper des sites Web légitimes qui génèrent d’importants volumes de trafic. De plus, grâce au ciblage extrêmement précis opéré par les réseaux publicitaires, les malfaiteurs peuvent personnaliser leurs arnaques. Ils pourront par exemple viser les personnes à la recherche de services financiers. Les réseaux publicitaires légitimes mâchent parfois incidemment le travail des malfaiteurs. Pour ne pas se faire repérer, les cybercriminels changent aussi de tactique. Ils publieront par exemple une publicité légitime pendant plusieurs semaines, le temps de passer inaperçus, avant de la convertir en malvert. Pour contre carrer leurs plans, les réseaux publicitaires doivent donc effectuer des analyses régulières, et non uniquement lors de la mise en ligne d’une nouvelle publicité. Sans contrôle direct sur les réseaux publicitaires et leurs clients, les propriétaires de sites Web peinent à lutter contre la publicité malveillante. Pour réduire les risques, ils peuvent néanmoins choisir des réseaux qui limitent certaines fonctionnalités, empêchant ainsi les annonceurs d’intégrer du code malveillant à leurs promotions. La plus grande vigilance reste naturellement de mise lors du choix d’un réseau publicitaire. Exemple de page Web Browlock exigeant le paiement d’une amende pour navigation illégale sur un site pornographique11 10 http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware 11 http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware 17 I Symantec Website Security Solutions DÉNI DE SERVICE Les attaques par déni de service (DoS) font depuis longtemps partie de l’arsenal des pirates à l’encontre des entreprises ou administrations. Pour bloquer l’accès aux sites Web et messageries, les malfaiteurs n’hésitent pas à inonder ces systèmes critiques de requêtes qui, en perturbant l’activité, peuvent provoquer de véritables désastres financiers. 87 % d’entre elles14. Extorsion d’argent, manœuvres de diversion, hacktivisme ou vengeance constituent les principaux motifs de ces attaques. Les attaques DDoS peuvent désormais se louer sur le marché noir en ligne. Les prix d’appel de 10 à 20 dollars augmentent en fonction de la durée et de l’intensité souhaitées. Si les attaques par déni de service distribué (DDoS) ne sont pas nouvelles, elles augmentent cependant en intensité et en fréquence12. Ainsi, entre janvier et août 2014, Symantec a constaté une augmentation de 183 % des attaques par amplification DNS13. D’après une étude Neustar, 60 % des entreprises ont été visées par une attaque DDoS en 2013, à plusieurs reprises pour TRAFIC DES ATTAQUES DDOS OBSERVÉ PAR LE SYMANTEC GLOBAL INTELLIGENCE NETWORK Total des attaques DDoS 8 Attaque par amplification DNS 7 Attaque par inondation de paquets ICMP standards MILLIONS 6 Attaque DDoS par inondation de paquets TCP SYN standards 5 4 3 2 1 0 J F M A M J J A S O N D Source : Symantec I DeepSight Symantec Global Intelligence Network 12 http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong 13 http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong 14 http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf Symantec Website Security Solutions I 18 DES VULNÉRABILITÉS EN HAUSSE Par Tim Gallo Ces dernières années, la question d’une gestion des vulnérabilités a suscité de nombreux débats. Malgré son intérêt, elle reste cependant reléguée au second plan par rapport aux priorités que sont les interventions sur incident et la traque des pirates. Or, l’année 2014 illustre de manière criante l’importance des vulnérabilités. Avec Poodle, ShellShock et Heartbleed, trois grandes vulnérabilités se sont invitées sur le devant de la scène, non seulement dans la presse spécialisée, mais aussi dans les médias grand public. Elles sont apparues là où les processus de gestion des vulnérabilités étaient absents à l’époque. Jusqu’à récemment, la gestion des vulnérabilités se concentrait sur les ordinateurs portables et les serveurs, avec la publication régulière de vulnérabilités et la diffusion rapide de correctifs par Adobe et Microsoft. Même si de nouvelles vulnérabilités sont apparues, et continueront d’apparaître dans ces domaines, les processus de déploiement de correctifs, de publication des vulnérabilités et de gestion globale des correctifs sont désormais bien huilés. L’automatisation du déploiement de correctifs par les éditeurs de systèmes d’exploitation et d’applications a contraint les attaquants à revoir leurs tactiques. Sans parler de nouvelles méthodes à proprement parler, les malfaiteurs sont en fait revenus à la recherche et la découverte de vulnérabilités. Avec ce retour aux sources, les pirates ont à nouveau passé les applications au peigne fin et décelé des vulnérabilités sur des points jusqu’ici jugés sécurisés. Prenons ShellShock, l’une de ces vulnérabilités, pour nous projeter sur ce que pourrait nous réserver les prochaines années. Fonction défectueuse dans le meilleur des cas, ou faille de conception du BASH (Bourne Again Shell)15 dans le pire, ShellShock est passée inaperçue pendant plus de 25 ans avant d’être découverte et révélée au public. ShellShock fait partie intégrante du tissu Internet depuis la naissance du Réseau des Réseaux. 15 La vulnérabilité Heartbleed s’est même vu attribuer son propre logo. L’exploitation de cette vulnérabilité ne visait pas uniquement les routeurs ou serveurs Web Linux, mais également les serveurs de messagerie et même les robots de DDoS qui utilisent le Shell – en clair, tout ce qui est basé sur Unix et utilise le BASH. our ceux qui ne maîtrisent pas bien la terminologie Unix, un shell est une interface en ligne de commande qui permet d’interagir avec P le système d’exploitation. Dans le cas présent, BASH est l’un des shells les plus couramment utilisés dans l’univers Unix et Linux. 19 I Symantec Website Security Solutions Pour un certain nombre de raisons, ce type de vulnéra bilité devrait se banaliser dans les années à venir. Tout d’abord, les pirates devront bien cesser de recycler les bonnes vieilles méthodes et les bons vieux exploits. Pour élargir leur surface d’attaque, ils vont investir dans la recherche de nouvelles vulnérabilités sur des infrastructures d’ancienne génération mais encore largement répandues. Outre la présence de failles dans des pans majeurs de l’infrastructure Internet, ces trois vulnérabilités auront révélé l’un des secrets peu avouables du développement applicatif : le recyclage de code. Lorsqu’il recycle du code, le développeur copie des sections entières du code d’applications existantes pour les réutiliser dans de nouvelles applications. Pratiquée depuis toujours, cette réutilisation engendre des vulnérabilités dans des systèmes qui n’ont a priori aucun rapport entre eux. Dans le cas de Heartbleed, l’utilisation légitime de la bibliothèque OpenSSL illustre bien les problématiques du recyclage de code. Considéré comme fiable, ce code ne faisait souvent l’objet d’aucun test. La découverte de nouvelles vulnérabilités dans la bibliothèque a néanmoins contraint les développeurs du monde entier à se replonger dans le code réutilisé pour y trouver d’éventuelles vulnérabilités. Les programmes d’incitation à la découverte de bugs se sont par ailleurs développés et les pouvoirs publics ne menacent plus de peines de prison les chercheurs en vulnérabilités, comme c’était le cas autrefois16. Dans ce contexte, les chercheurs n’ont plus à craindre les conséquences d’une divulgation irresponsable ou d’être taxés de mercenaires. 16 Reste à espérer que les actions correctives et le renforcement des pratiques sécuritaires finiront par s’imposer. Pour tout informaticien qui se respecte, il suffit généra lement de quelques semaines de nuits blanches pour en arriver à la conclusion que gouverner, c’est prévoir. Un meilleur contrôle des configurations, des règles et des correctifs sur l’ensemble des infrastructures ne peut être que bénéfique. Quant à la migration des infrastructures vers le Cloud, elle permettra à des informaticiens débordés de consacrer davantage de temps à ces questions. Si l’on se penche sur la notion de « détection et correction » du cycle de la sécurité, le retour au premier plan des vulnérabilités représente un point crucial pour la compréhension des cybermenaces. Si, en tant que professionnels de la sécurité, nous voulons renforcer l’efficacité de notre action, nous devons réfléchir à la manière dont nous « protégeons et réagissons », mais aussi dont nous « informons et évaluons ». En clair, nous devons non seulement améliorer nos capacités de planification et de test, mais également décortiquer les informations de cyberveille et connaître suffisamment notre environnement pour savoir si des actions doivent être engagées. Nous devons admettre la présence probable de trous dans le tissu d’Internet. À nous de faire preuve de vigilance pour pouvoir, le moment venu, traiter les nouvelles vulnérabilités découvertes dans une démarche programmatique axée sur des processus bien définis. Ne pas le faire reviendrait à hypothéquer notre avenir. http://www.wired.com/2013/03/att-hacker-gets-3-years Symantec Website Security Solutions I 20 CYBERCRIME ET MALWARE 21 I Symantec Website Security Solutions EN BREF 1 2 3 4 5 La stabilité des prix dans l’économie souterraine laisse supposer que la demande de données personnelles volées, de malwares et de services de cybercriminalité reste au beau fixe. Si le nombre de vulnérabilités recule par rapport à 2013, la tendance générale reste à la hausse. Le nombre de nouvelles variantes de malwares a progressé de 317 256 956 en 2014, soit une hausse de 26 % par rapport à la croissance enregistrée en 2013. Les rançongiciels sont à la fois plus agressifs et plus nombreux. Le nombre de crypto-rançongiciels a également été multiplié par 45 par rapport à 2013. Les robots ou bots ont reculé de 18 % en 2014. Symantec Website Security Solutions I 22 INTRODUCTION Chaque jour, des arnaques aux e-mails et sites Web frauduleux permettent de récupérer des coordonnées bancaires. Des ordinateurs infectés par malware sont utilisés pour diffuser du spam ou lancer des attaques DDoS. Quant aux plus malchanceux, ils se retrouvent avec leurs fichiers cryptés et leur ordinateur verrouillé par un rançongiciel. L’e-mail reste un support efficace de diffusion de spams, arnaques et malwares, comme en témoigne la hausse globale de la proportion d’e-mails contenant des malwares. Les cybercriminels maîtrisent les rouages de l’économie souterraine du Net pour acheter et vendre leurs services et malwares, mais également pour écouler des botnets et des données de cartes bancaires volées. En collaboration avec des sociétés spécialisées dans la cybersécurité, dont Symantec, les autorités de police sont parvenues à démanteler certains botnets et procé der à des arrestations. Les effets sur le niveau global de cybercriminalité n’ont pas tardé à se faire sentir, même s’ils ne sont que provisoires. L’économie souterraine Le marché noir est en plein essor. Les bas-fonds d’Inter net grouillent d’un commerce florissant de données volées, de malwares et de service d’attaques17. Jamais à court d’idées pour tenir leurs activités illicites à l’abri des regards, les cybercriminels utilisent par exemple le réseau anonyme Tor et restreignent l’accès aux seuls utilisateurs montrant patte blanche18. Les variations de prix constituent un bon indicateur de l’offre et de la demande. Si les tarifs des adresses e-mail plongent, ceux des informations de cartes bancaires ne fléchissent que légèrement, tandis que les coordonnées bancaires se monnaient sensiblement au même prix. Converti au principe de la division du travail, ces marchés sont organisés autour de spécialistes de divers domaine, dont le codage de chevaux de Troie et de virus, la diffu sion de malwares et de botnets, ou encore la revente d’informations de cartes bancaires volées. Si certains de ces marchés existent depuis plus de 10 ans, Symantec a observé un phénomène de professionnalisation sur tous les plans. De même, tous les produits ou services présentant un potentiel lucratif direct pour les acheteurs se maintiennent à des tarifs élevés19. Un kit d’attaque drive-by se loue entre 100 et 700 dollars la semaine, mises à jour et assistance 24h/7j incluses. Le malware bancaire en ligne SpyEye (Trojan.Spyeye) se loue entre 150 et 1250 dollars pour six mois, et les attaques DDoS se négocient entre 10 et 1000 dollars par jour20. Malwares, kits d’attaques et modes d’emploi de vulné rabilités : sur le marché noir, les cybercriminels peuvent se procurer des outils clé en main. On y trouve également des solutions « crimeware-as-a-service », sorte d’offres cloud proposant une infrastructure complète pour le déploiement d’arnaques en ligne. Prix des cartes bancaires volées dans différents pays sur le marché noir 17 http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services 18 http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services 19 http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services 20 http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services 23 I Symantec Website Security Solutions VALEUR DES INFORMATIONS VENDUES SUR LE MARCHÉ NOIR 1 000 adresses e-mail volées 0,50 $ - 10 $ Spam, Phishing Informations de cartes bancaires 0,50 $ - 20 $ Achats frauduleux Copies de vrais passeports 1$-2$ Usurpation d’identité Comptes de jeux en ligne volés 10 $ - 15 $ Mainmise sur des articles virtuels de valeur Malwares personnalisés 12 $ - 3 500 $ Détournement d’argent, vol de Bitcoins 1 000 followers sur les réseaux sociaux 2 $ - 12 $ Augmentation de la visibilité Comptes cloud volés 7$-8$ Hébergement d’un serveur de commande et contrôle (C&C) 1 million d’adresses de spam vérifiées 70 $ - 150 $ Spam, Phishing Carte SIM de mobile russe enregistrée et activée 100 $ Fraude Source : Symantec Symantec Website Security Solutions I 24 MALWARES Fin 2013, les autorités russes ont arrêté ‘Paunch’, l’auteur présumé du kit d’exploits Blackhole responsable de très nombreuses infections à travers le monde21,22. Une arrestation au parfum de victoire, certes modeste, dans la longue guerre contre les malwares sous toutes leurs formes. D’autres kits d’attaques ont inévitablement comblé le vide et les malwares conçus pour dérober des coordonnées bancaires restent très présents. L’année 2014 a également vu les malwares cibler de nouveaux marchés, avec notamment l’offensive du cheval de Troie Snifula contre des établissements financiers japonais23 et l’émergence au Moyen-Orient d’un groupe local armé du malware njRAT24. En octobre, seulement 7 % des spams infectés contenaient des liens URL. Après un bond à 41 % en novembre, les spams infectés ont continué leur progression début décembre. En cause : l’explosion des e-mails malveillants de notification de fax et de messagerie vocale s’inspirant des techniques d’ingénierie sociale. Les liens contenus dans ces e-mails renvoient vers une page d’accueil PHP sur un domaine détourné. En cliquant sur le lien, l’utilisateur est redirigé vers un fichier infecté. Nous avons notamment constaté l’utilisation de Downloader.Ponik et de Downloader.Upatre dans ces e-mails. Ces chevaux de Troie bien connus sont utilisés pour télécharger d’autres malwares sur les ordinateurs compromis notamment des « voleurs d’informations » comme Trojan.Zbot (également connu sous le nom de Zeus)25. Après un pic en 2013, la diffusion de malwares par e-mail a reculé en 2014. NOUVELLES VARIANTES DE MALWARES (AJOUTÉES CHAQUE ANNÉE) Source : Symantec I .cloud 317 256 956 251 789 458 2014 2013 +26 % Avec plus de 317 millions de nouveaux malwares recensés en 2014, soit près d’un million de nouveaux malwares uniques chaque jour, le nombre total de logiciels malveillants avoisine désormais les 2 milliards (1,7 Md). E-MAILS DE PROPAGATION DE MALWARE PAR URL VS. PIÈCE JOINTE Source : Symantec I .cloud 12 % -13 % 25 % +2 % 23 % 2014 2013 21 http://en.wikipedia.org/wiki/Blackhole_exploit_kit 22 http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/ 23 http://www.symantec.com/connect/blogs/snifula-banking-trojan-back-target-japanese-regional-financial-institutions 24 http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene 25 http://www.symantec.com/connect/blogs/malicious-links-spammers-change-malware-delivery-tactics 25 I Symantec Website Security Solutions 2012 TAUX DE MALWARES PRÉSENTS DANS LES E-MAILS (TAUX GLOBAL) 1 244 1 196 SUR 1 291 SUR 2014 SUR 2013 2012 Source : Symantec I .cloud POURCENTAGE D’E-MAILS DE PROPAGATION DE MALWARE PAR URL VS. PIÈCE JOINTE, MOIS PAR MOIS % POURCENTAGE 60 50 40 30 20 10 0 J M M J S N J M 2012 Source : Symantec I .cloud M J S N J M 2013 M J S N 2014 12 % des e-mails infectés en 2014 contenaient un lien vers des sites malveillants plutôt qu’une pièce jointe, contre 25 % l’année précédente. PROPORTION D’E-MAILS CONTENANT DES VIRUS, 2012 – 2014 100 150 1 SUR 200 250 300 350 400 J Source : Symantec I .cloud M M J 2012 S N J M M J 2013 S N J M M J S N 2014 Symantec Website Security Solutions I 26 RANÇONGICIELS Entre 2013 et 2014, les attaques par rançongiciel ont plus que doublé, passant de 4,1 millions à 8,8 millions. Phénomène plus inquiétant, sur la même période, les rançongiciels qui cryptent les fichiers sur les postes infectés (ce que Symantec appelle les crypto-rançongiciels) ont été multipliés par 45, soit une augmentation de 8 274 à 373 342 sur un an. rançon pour débloquer ces fichiers. La meilleure solution consiste encore à conserver une sauvegarde externe des fichiers, de préférence hors-ligne, à partir de laquelle vous pourrez restaurer vos données. En 2013, les crypto-rançongiciels ne représentaient encore que 0,2 % (soit 1/500) des rançongiciels. Fin 2014, leur proportion atteignait 4 %, soit 1/25. Sur le plan humain, le rançongiciel est l’une des formes d’attaques les plus agressives pour les victimes. Les cybercriminels utilisent leurs malwares pour crypter les données stockées sur le disque dur de leurs cibles. Ils verrouillent ainsi photos de famille, mémoires de soutenance, fichiers audio et tout ce qui constitue notre patrimoine numérique personnel, avant d’exiger une Aucun système d’exploitation n’est totalement immunisé face aux multiples formes de rançongiciels26. Et même s’il reste déconseillé de céder au chantage, de nombreuses entreprises et particuliers finissent par payer. Ce faisant, ils alimentent le système et font de cette arnaque un business juteux pour les malfaiteurs. NOMBRE DE RANÇONGICIELS ENTRE 2013 ET 2014 900 800 700 MILLIERS 600 500 400 300 200 100 J F M A M J J A S O N D J 2013 Source : Symantec I Response 26 http://www.symantec.com/connect/blogs/windows-8-not-immune-ransomware-0 27 I Symantec Website Security Solutions F M A M J J 2014 A S O N D CRYPTO-RANÇONGICIELS Tandis que le nombre de rançongiciels doublait entre 2013 et 2014, les cryptorançongiciels ont été multipliés par 45 sur la même période27. Identifié en mars, le crypto-rançongiciel CryptoDefense illustre le niveau de dangerosité de ce type d’attaque et les difficultés rencontrées pour traquer ses utilisateurs. Transmis par des pièces jointes piégées, le virus chiffre les fichiers de la victime au moyen de techniques de cryptographie à clé publique, avec un chiffrement fort RSA 2 048 bits. Qu’il s’agisse de Cryptolocker28, CryptoDefense29 ou Cryptowall30, les familles de crypto-rançongiciels sont nombreuses, mais toutes procèdent de la même manière. Au lieu de verrouiller votre poste de travail derrière une muraille, le crypto-rançongiciel crypte vos fichiers personnels et conserve les clés privées de décryptage sur un site distant. La clé n’est évidemment remise que contre rançon. L’attaque est donc bien plus vicieuse qu’un rançongiciel classique. Le paiement de la rançon doit être effectué en Bitcoins sur une page Web du réseau Tor31. Ce procédé permet aux maîtres-chanteurs d’agir sans être repérés, ce qui complique terriblement le démantèlement de ce type d’arnaques. Si les méthodes varient, le mode d’infection le plus répandu reste néanmoins la fausse facture de gaz ou d’électricité, voire même une simple image. L’infection proprement dite est généralement commise par d’autres malfaiteurs que les pirates qui exécutent le cryptorançongiciel. C’est là l’une des faces les plus sombres de l’économie souterraine où des cybercriminels proposent leurs services pour « infecter x ordinateurs pour une somme forfaitaire de y dollars ». Évidemment, la motivation n’est autre que le profit. D’après Symantec, les cybercriminels derrière CryptoDefense auraient empoché plus de 34 000 dollars en à peine un mois32. Pas étonnant, au vu de ces chiffres, que le crypto-rançongiciel soit considéré comme l’activité cybercriminelle la plus lucrative du moment. NOMBRE DE CRYPTO-RANÇONGICIELS ENTRE 2013 ET 2014 80 72 70 62 MILLIERS 60 50 43 48 46 40 36 30 24 0,2 % POUR TOUTE L'ANNÉE 2013 20 10 J F M A M J J 2013 A S O N D 6 5 J F 10 12 9 M M A J J 2014 A S O N D Source : Symantec I Response En 2013, les crypto-rançongiciels représentaient environ 0,2 % de l’ensemble des attaques par rançongiciel. Fin 2014, ce chiffre dépassait les 4 %. http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99 29 http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-99 30 http://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-99 31 Tor est à la fois un logiciel et un réseau ouvert qui protège ses utilisateurs de toute analyse de trafic, ce qui leur permet de conserver leur anonymat et la confidentialité de leurs échanges en ligne. S’il n’est pas répréhensible en soi, Tor permet aussi de protéger l’anonymat de cybercriminels. 32 http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month 27 28 Symantec Website Security Solutions I 28 BOTS ET BOTNETS Les robots, ou bots, ont reculé de 18 % en 2014 par rapport à l’année précédente. Dans une large mesure, cette baisse est le résultat des démantèlements et arrestations menés par le FBI, le centre européen contre la cybercriminalité (EC3) d’Europol et d’autres forces de police internationales, avec la collaboration de Symantec et d’autres sociétés high-tech. Le botnet Gameover Zeus est tombé en 2014, après avoir fait des millions de victimes dans le monde depuis sa création en 201133,34. Si l’événement a fait grand bruit, il s’inscrit dans une série d’opérations de démantèlement menées de concert par des forces de police et des sociétés informatiques35,36. ACTIVITÉ MALVEILLANTE PAR SOURCE : BOTS, 2012–2014 Pays/Région Classement des bots en 2014 Pourcentage de bots en 2014 Classement des bots en 2013 Pourcentage de bots en 2013 Chine 1 16,5 % 2 9,1 % États-Unis 2 16,1 % 1 20 % Taïwan 3 8,5 % 4 6% Italie 4 5,5 % 3 6% Hongrie 5 4,9 % 7 4,2 % Brésil 6 4,3 % 5 5,7 % Japon 7 3,4 % 6 4,3 % Allemagne 8 3,1 % 8 4,2 % Canada 9 3,0 % 10 3,5 % Pologne 10 2,8 % 12 3,0 % Source : Symantec I GIN La Chine et les États-Unis comptent parmi les pays les plus peuplés au monde, y compris en termes d’internautes. En 2014, la Chine a détrôné les États-Unis de la tête du classement des pays où les bots malveillants ont été les plus actifs. Un chassé-croisé qui pourrait s’expliquer par le démantèlement de Gameover Zeus. 33 http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network 34 http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/ 35 http://www.computerweekly.com/news/2240185424/Microsoft-partnership-takes-down-1000-cybercrime-botnets 36 http://www.computerweekly.com/news/2240215443/RSA-2014-Microsoft-and-partners-defend-botnet-disruption 29 I Symantec Website Security Solutions NOMBRE DE BOTS -18 % 1,9 MILLION 2,3 MILLIONS -33 % 3,4 MILLIONS 2014 2013 2012 Source : Symantec I GIN La baisse du nombre de bots en 2014 s’explique en partie par le démantèlement du botnet GameOver Zeus dans le cadre de « l’Opération Tovar ». Largement utilisé pour des actes de fraude bancaire, ce botnet avait également contribué à la diffusion du rançongiciel CryptoLocker37. TOP 10 DES BOTNETS D’ENVOI DE SPAM, 2014 Pourcentage de spams par botnets Nombre de spams par jour KELIHOS 51,6 % INCONNU/ AUTRES Nom du botnet de spam Pays d’origine des spams envoyés par botnets No 1 No 2 No 3 884 044 Espagne 10,5 % États-Unis 7,6 % Argentine 7,3 % 25,3 % 432 594 États-Unis 13,5 % Brésil 7,8 % Espagne 6,4 % GAMUT 7,8 % 133 573 Russie 30,1 % Vietnam 10,1 % Ukraine 8,8 % CUTWAIL 3,7 % 63 015 Russie 18,0 % Inde 8,0 % Vietnam 6,2 % DARKMAILER5 1,7 % 28 705 Russie 25,0 % Ukraine 10,3 % Kazakhstan 5,0 % DARKMAILER 0,6 % 9 596 Russie 17,6 % Ukraine 15,0 % Chine 8,7 % SNOWSHOE 0,6 % 9 432 Canada 99,9 % États-Unis 0,02 % Japon 0,01 % ASPROX 0,2 % 3 581 États-Unis 76,0 % Canada 3,4 % Royaume-Uni 3,3 % DARKMAILER3 0,1 % 1 349 États-Unis 12,7 % Pologne 9,6 % Corée du Sud 9,1 % GRUM 0,03 % 464 Canada 45,7 % Turquie 11,5 % Allemagne 8,5 % Source : Symantec I .cloud 37 http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network Plug-in Vulnerabilities by Month Symantec Website Security Solutions I 30 OSX DANS LE COLLIMATEUR Pour contrer les menaces qui visent son système d’ex ploitation depuis quelques années, Apple a intégré à OSX deux fonctions de sécurité ô combien nécessaires. Ainsi, XProtect analyse les fichiers téléchargés et avertit les utilisateurs en cas de présence d’un malware répertorié par Apple. Quant à GateKeeper, il contrôle les signatures de code des applications avant d’autoriser leur exécution dans OSX. GateKeeper peut appliquer différents niveaux de protection qui vont du plus strict (seules les applications officielles du Mac App Store peuvent être installées) à des formules plus souples qui autorisent toutes les applications signées par leur développeur. Or, si ces fonctions de sécurité ont empêché un certain nombre d’infections sur OSX, certaines attaques ont cependant réussi à franchir les barrières. Toute solution de sécurité basée sur les signatures peut en effet être prise de vitesse. Ainsi, une application malveillante pourra infecter des ordinateurs avant que sa signature ne soit intégrée à la solution. Certaines applications malveillantes sont également apparues revêtues d’une signature légitime, qui n’était autre qu’une fausse signature ou une signature légitime volée. Les menaces les plus couramment observées en 2014 présentaient un comportement similaire à celles affec tant d’autres OS. Certains chevaux de Troie ont été injec tés via des failles dans les paramètres de sécurité des navigateurs (browser exploits). De même, des menaces tristement célèbres comme Flashback, à l’origine de l’infection de plus de 600 000 Mac en 2012, sont toujours d’actualité. Deux de ses variantes se classent ainsi en troisième et dixième position du Top 10 des malwares Mac OSX bloqués en 2014. Autres menaces en vogue : les attaques qui modifient des paramètres comme le DNS, le navigateur ou les paramètres de recherche sur un ordinateur OSX. Deux cybermenaces OSX ont mis en évidence un problème majeur : les applications OSX piratées qui contiennent des malwares. OSX.Wirelurker est un cheval de Troie doublement dangereux, dans la mesure où il vise à la fois les Mac sous OSX et les terminaux iOS connectés à un ordinateur infecté. Sa découverte dans 467 applications OSX hébergées sur un App Store OSX indépendant en Chine 38 http://www.thesafemac.com/iworm-method-of-infection-found/ 31 I Symantec Website Security Solutions a fait grand bruit. Ces applications malveillantes avaient été téléchargées plus de 356 000 fois avant qu’Apple n’intervienne et ne les neutralise. Quant à OSX.Luaddit (également appelé iWorm) il ajoutait les ordinateurs compromis à un botnet OSX. Le malware a été découvert dans des copies piratées de produits commerciaux comme Adobe Photoshop, Microsoft Office et Parallels38. Postées sur des sites Torrent, ces applications ont été téléchargées des milliers de fois. Les menaces OSX.Stealbit.A et OSX.Stealbit.B ont également fait parler d’elles. Ces « voleurs de Bitcoins » surveillent en effet le trafic des navigateurs afin d’intercepter des identifiants d’accès aux plateformes d’échange de Bitcoins. Signe de son succès, OSX.Stealbit.B a fait son entrée dans le top 5 des menaces OSX observées en 2014. D’après les observations, OSX.Slordu est un cheval de Troie qui serait utilisé pour récolter des informations sur l’ordinateur infecté. Point intéressant : cette menace semble être le port OSX jumeau d’une célèbre porte dérobée sous Windows. OSX.Ventir est une menace modulaire assortie de composants optionnels capables d’ouvrir une porte dérobée, d’enregistrer des saisies clavier ou d’installer du spyware. Suivant les objectifs du pirate, différents modules peuvent être téléchargés et installés sur l’OSX de l’ordinateur compromis. OSX.Stealbit.A est un « voleur de Bitcoins » qui surveille le trafic des navigateurs afin d’intercepter des identi fiants d’accès aux plateformes d’échange de Bitcoins. TOP 10 DES MALWARES MAC OSX BLOQUÉS SUR DES TERMINAUX OSX, 2013–2014 Classement Nom du malware Pourcentage des menaces Mac en 2014 Nom du malware Pourcentage des menaces Mac en 2013 1 OSX.RSPlug.A 21,2 % OSX.RSPlug.A 35,2 % 2 OSX.Okaz 12,1 % OSX.Flashback.K 10,1 % 3 OSX.Flashback.K 8,6 % OSX.Flashback 9,0 % 4 OSX.Keylogger 7,7 % OSX.HellRTS 5,9 % 5 OSX.Stealbit.B 6,0 % OSX.Crisis 3,3 % 6 OSX.Klog.A 4,4 % OSX.Keylogger 3,0 % 7 OSX.Crisis 4,3 % OSX.MacControl 2,9 % 8 OSX.Sabpab 3,2 % OSX.FakeCodec 2,3 % 9 OSX.Netweird 3,1 % OSX.Iservice.B 2,2 % 10 OSX.Flashback 3,0 % OSX.Inqtana.A 2,1 % Source : Symantec I SDAP Symantec Website Security Solutions I 32 Plug-in Vulnerabilities by Month MALWARES SUR SYSTÈMES VIRTUELS La virtualisation n’offre aucune garantie de protection contre les malwares. Loin d’abandonner lorsqu’il se retrouve sur une machine virtuelle, un malware saura de plus en plus souvent adapter son comportement pour éviter d’être repéré39. Historiquement, la proportion de malwares capables de détecter s’ils s’exécutaient sur une machine virtuelle VMware a plafonné à 18 %. Début 2014, de chiffre est passé à 28 %40. Ce type de fonctionnalité n’est toutefois pas uniquement utilisé pour échapper à la vigilance des chercheurs en sécurité. Une fois installé sur une machine virtuelle (VM), le malware pourra rebondir sur d’autres VM hébergées sur le même matériel, voire infecter l’hyperviseur luimême. À mesure que la contagion gagne, les risques se multiplient et l’attaque devient de plus en plus difficile à stopper41. Ce comportement a déjà pu être observé sur le terrain, à l’image du malware W32.Crisis qui tente d’infecter les images des VM stockées sur un même hôte42. Pour les responsables informatiques, ces attaques représentent des risques très spécifiques. Elles ont de fait toutes les chances de passer à travers les mailles de solutions de sécurité du périmètre comme les systèmes de détection des intrusions ou les pare-feu qui utilisent des machines virtuelles pour détecter les menaces sur les « sandbox » virtuelles. Par ailleurs, les machines virtuelles ne bénéficient pas toujours du même niveau de protection que les clients ou serveurs traditionnels, car l’on croit souvent, à tort, que les machines virtuelles sont immunisées contre les malwares. Les entreprises doivent donc intégrer des technologies comme les équipements réseau, les hyperviseurs et les réseaux définis par logiciels (SDN) à leurs plans de sécurité et cycles d’application de correctifs. http://www.symantec.com/connect/blogs/does-malware-still-detect-virtual-machines Ibid 41 http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/threats_to_virtual_environments.pdf 42 Ibid 39 40 33 I Symantec Website Security Solutions EXTORSION DIGITALE : PETIT RAPPEL HISTORIQUE DES RANÇONGICIELS Par Peter Coogan Les crypto-rançongiciels ont beaucoup fait parler d’eux en 2014. Dans la triste saga des rançongiciels, le cryptorançongiciel se révèle nettement plus néfaste que la version classique. Alors que cette dernière se contente de verrouiller un équipement physique, le dernier-né crypte les fichiers stockés sur l’équipement compromis. Dans la plupart des cas, la victime n’a alors plus aucun moyen de récupérer ses données. Dans les deux variantes, la finalité reste cependant la même : extorquer une rançon à la victime en échange du déblocage de sa machine. Si ce type de malware circule depuis une bonne décennie, il s’est considérablement développé ces dernières années, à mesure que les cybercriminels abandonnaient la création de faux antivirus au profit de ce créneau beaucoup plus lucratif. Du faux antivirus au rançongiciel, avant de passer à sa version crypto, les auteurs de ces malwares ont été à pied d’œuvre. Si bien que l’on peut d’ores et déjà entrevoir les nouvelles orientations de ces professionnels de l’extorsion digitale. Comme son nom l’indique, le faux antivirus est un logiciel de sécurité qui fait payer l’utilisateur pour se débarrasser d’un malware. En circulation depuis quelque temps déjà, ces logiciels ont connu leur apogée autour de 2009. À l’époque, un rapport Symantec faisait état de 43 millions de tentatives d’installation de faux anti-virus à partir de 250 programmes différents, pour un prix d’achat variant entre 30 et 100 dollars43. Un rançongiciel verrouille l’accès à l’ordinateur infecté. Ce logiciel malveillant s’inspire ensuite des formats de messages de réseaux sociaux pour exiger le versement d’une rançon en échange de la levée des restrictions. En 2012 déjà, Symantec alertait sur la montée des rançongiciels. On parlait alors de tarifs compris entre 50 et 100 euros en Europe, et pouvant atteindre 200 dollars aux États-Unis44. Inspirés par le succès du cheval de Troie Trojan.Cryptolocker45 en 2013, les auteurs de malwares se sont attelés à la création de crypto-rançongiciels du même type. D’où le foisonnement observé en 2014. Si des nouveautés font leur apparition aux côtés de fonctionnalités éprouvées, le but reste toujours le même : extorquer de l’argent aux victimes. Trojan.Cryptodefense46 (alias Cryptowall) est l’un des crypto-rançongiciels les plus prolifiques de l’année 2014. Apparu à la fin du mois de février, il a tout d’abord été commercialisé sous le nom de CryptoDefense. Utilisation de Tor et de Bitcoins pour garantir l’anonymat des malfaiteurs, cryptage fort des données (RSA 2048) et mesures d’intimidation des victimes étaient au menu de ce nouveau-venu. Si la rançon initiale était fixée à 500 dollars/euros, le montant passait rapidement à 1000 dollars/euros lorsque la victime tardait à s’exécuter. Sauf que ses auteurs avaient commis une étourderie de taille en laissant la clé de cryptage privée sur le système de la victime, qui pouvait ainsi se libérer elle-même de l’emprise de ses maîtres-chanteurs. Mais une fois l’information rendue publique, les auteurs du malware se sont empressés de résoudre ce problème et ont rebaptisé leur menace Cryptowall. Depuis, Cryptowall a renforcé son arsenal avec l’escalade de privilèges, des dispositifs anti-détection et l’utilisation du réseau Invisible Internet Project (I2P) pour anonymiser les communications. D’après les observations, Cryptowall aurait rapporté au moins 34 000 dollars le premier mois47, les chercheurs établissant ses profits à plus d’un million de dollars sur six mois48. Les PC sous Windows ont constitué une cible lucrative pour les auteurs de rançongiciels et devraient le rester. En 2014, les attaquants ont jeté leur dévolu sur d’autres plateformes. Ainsi, le gang Reveton a sorti des rançongiciels Android baptisés Android.Lockdroid.G49 (alias Koler). À l’aide d’un système de distribution du trafic, le gang a pu mener ses attaques en trois temps. En fonction du site Web utilisé pour accéder au site sous son contrôle, le trafic était redirigé vers un rançongiciel adapté. http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99 46 http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-99 47 http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month 48 http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/ 49 http://www.symantec.com/security_response/writeup.jsp?docid=2014-050610-2450-99 43 44 45 Symantec Website Security Solutions I 34 Du jour au lendemain, le rançongiciel s’était affranchi de toute dépendance vis-à-vis de telle ou telle plateforme. Les utilisateurs Android étaient redirigés vers Android.Lockdroid.G, et ceux d’Internet Explorer vers le kit Angler Exploit qui libérait sa charge active Trojan.Ransomlock.G50. Quant aux autres navigateurs sous Windows, Linux ou Mac, ils étaient orientés vers Browlock51, une autre forme de rançongiciel qui verrouille un ordinateur et demande une rançon à son propriétaire via les outils de son navigateur Web. Le premier crypto-rançongiciel pour Android, Android.Simplocker,52 a été découvert en juin 2014. La demande de rançon initiale était en russe, mais dès juillet 2014, une version anglaise est apparue (Android.Simplocker.B53) utilisant des techniques d’ingénierie sociale pour se faire passer pour le FBI. En octobre 2014, Android. Lockdroid.E54 (alias Porndroid) s’inscrivait dans la même veine FBIesque, à la différence près qu’il utilisait la caméra de l’ordinateur pour prendre une photo de la victime – photo ensuite insérée dans la demande de rançon. Android.Lockdroid s’est ensuite fait remarquer sous de nouvelles variantes comprenant des fonctions de ver classiques – autoréplication via des messages SMS envoyés à tout le carnet d’adresses d’un équipement infecté – couplées à des techniques d’ingénierie sociale pour ferrer leurs proies. Tout en continuant de sévir sur les terminaux mobiles, les auteurs de rançongiciels se sont mis à la recherche de nouveaux gisements d’opportunités. En ce sens, les périphériques NAS constituaient une cible intéressante dans la mesure où ils stockent d’importants volumes de fichiers. C’est ainsi que Trojan.Synolocker55 (alias Synolocker), est parvenu à exploiter une vulnérabilité jusqu’alors inconnue du logiciel de gestion Synology DiskStation pour accéder aux périphériques NAS Synology, crypter les données et réclamer une rançon. Depuis, la faille a été corrigée mais l’incident révèle bien l’ingéniosité et la ténacité dans la recherche de nouveaux terrains d’attaque. Menace du rançongiciel Android « Porndroid ». Pourquoi une telle explosion des rançongiciels ? La réponse est dans les chiffres. Avec des rançons comprises entre 100 et 500 dollars, il s’agit d’un marché porteur pour les cybercriminels. En 2014, le Bitcoin est devenu la monnaie d’échange pour le versement des rançons. En protégeant l’anonymat des transactions, le Bitcoin permet aux cybermalfaiteurs de rester facilement dans l’ombre et de blanchir leur argent sans être inquiétés. Outre l’apparition de nouvelles familles de rançongiciels, Symantec a également constaté une forte augmentation globale de ce type d’attaque. Les cas mettant en cause des rançongiciels ont en effet progressé de 113 % par rapport à 2013. L’arrivée de nouveaux rançongiciels et le potentiel économique de ce « marché » laissent présager une poursuite de la tendance haussière sur ce type d’arnaques. http://www.symantec.com/security_response/writeup.jsp?docid=2011-051715-1513-99 http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware http://www.symantec.com/security_response/writeup.jsp?docid=2014-060610-5533-99 53 http://www.symantec.com/security_response/writeup.jsp?docid=2014-072317-1950-99 54 http://www.symantec.com/security_response/writeup.jsp?docid=2014-103005-2209-99 55 http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99 50 51 52 35 I Symantec Website Security Solutions ATTAQUES CIBLÉES Symantec Website Security Solutions I 36 2014 EN BREF 1 Les affaires de cyberespionnage commanditées par des États sont en 2 Les malwares utilisés sont de plus en plus perfectionnés, démontrant un 3 augmentation professionnalisme et une ingénierie logicielle de pointe Les campagnes de cyberattaques Dragonfly, Waterbug et Turla sont parvenues à infiltrer des systèmes industriels, des ambassades et d’autres cibles sensibles Le nombre de campagnes de spear-phishing a augmenté de 8 %, dans un 4 contexte général de baisse des attaques quotidiennes : les pirates prennent désormais le temps d’élaborer des attaques plus sophistiquées, en effectuant des reconnaissances à plus long terme et en attendant le moment propice pour déclencher leur offensive 37 I Symantec Website Security Solutions INTRODUCTION En 2014, Symantec a analysé plusieurs campagnes de cyberespionnage dans le but de décrypter les modes d’infiltration de milliers d’organisations à caractère hautement sensible à travers le monde. Cette étude révèle une sophistication préoccupante des méthodes employées. Mettez-vous un instant à la place du RSSI d’une représentation diplomatique en Europe de l’Est. Vous êtes en 2014 et vous suspectez la présence d’un cheval de Troie avec porte dérobée sur les ordinateurs de vos ambassades et consu lats. Vous faites appel à un cabinet spécialisé qui confirme vos pires soupçons. Après enquête, vous découvrez qu’un e-mail personnalisé a été envoyé à certains membres du personnel dans le cadre d’une campagne de spear-phishing extrêmement ciblée. Résultat : leurs ordinateurs ont été discrètement infectés. En conjuguant exploits zero-day, e-mails soigneusement élaborés et attaques dites du point d’eau, l’infiltration est passée inaperçue pendant suffisamment longtemps pour compromettre 4 500 ordinateurs dans plus d’une centaine de pays56. L’ingéniosité de ces attaques sonne comme un rappel de l’importance d’une sécurité informatique renforcée autour d’une application systématique de bonnes pratiques. Car la menace ne provient pas uniquement de filières étatiques. Pirates à la fibre patriotique exacerbée, hacktivistes, cyberdélinquants spécialistes de l’extorsion, voleurs de données et autres hackers emploient des techniques similaires, même s’ils ne disposent pas des mêmes ressources et compétences techniques. Si le modus operandi des attaques par e-mail reste peu ou prou inchangé, le cyberespionnage fait davantage appel à des kits clé-en-main combinant différents types d’exploits. Arsenal classique des cybercriminels, ces kits ont aujour d’hui le vent en poupe auprès des cyberespions. Ce scénario inquiétant n’a rien d’irréaliste puisqu’il décrit le schéma opératoire de l’attaque Waterbug. Étant donné le choix des cibles et la sophistication des modes opératoires, Symantec est convaincu que Waterbug – tout comme Turla et Regin – est l’acte d’un groupe à la solde d’un État57. 56 57 http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf Ibid Symantec Website Security Solutions I 38 CYBERESPIONNAGE En 2014, les experts en sécurité Symantec ont passé près de huit mois à disséquer l’un des malwares les plus élaborés jamais découvert dans une affaire de cyber espionnage. Baptisé Regin, ce logiciel malveillant donnait à ses détenteurs de puissants outils d’espionnage de cibles allant des gouvernements aux opérateurs d’infrastructures, en passant par les entreprises, les chercheurs et même les particuliers. Dans le cas précis des opérateurs télécom, il semblerait que les attaques lancées aient eu pour but d’intercepter des appels routés sur leur infrastructure58. L’installation de ce malware complexe s’effectue en cinq étapes discrètes et sa conception modulaire permet d’ajou ter ou de supprimer des fonctionnalités. Si le chargement multi-étapes et la modularité n’ont rien de révolutionnaire, Regin se distingue en revanche par son haut niveau de tech nicité et le professionnalisme de son développement. Il possède ainsi des dizaines de modules aux fonctionnalités variées : accès à distance, captures d’écran, vol de mots de passe, surveillance du trafic réseau ou encore récupération de fichiers supprimés59. Développé sur plusieurs mois, voire plusieurs années, Regin a mobilisé d’importantes ressources. Voué aux opérations de surveillance continue et à long terme, ce malware est si perfectionné que seul un État peut en être à l’origine. Même constat pour Turla, un malware en cause dans une autre affaire de cyberespionnage étudiée par Symantec60. Pour lancer leurs attaques contre des gouvernements et des ambassades de pays de l’ancien bloc de l’Est, les pirates ont associé techniques de spear-phishing et attaques du point d’eau (voir plus bas). Une fois les ordinateurs ciblés infectés, les malfaiteurs ont pu y accéder à distance pour copier ou supprimer des fichiers, et se connecter aux serveurs. Étant donné les cibles choisies et la sophistication des malwares, Turla a selon toute vraisemblance été commandité par un État61. L’actualité 2014 a également été marquée par le déman tèlement de l’« Equation Group »62. Doté d’énormes moyens, ce groupe avait à son actif diverses opérations de cyberespionnage menées depuis plusieurs années dans le cadre d’attaques hyper spécialisées. Outre leur perfectionnement technique, ces groupes s’approvisionnent également en exploits, kits d’attaques zero-day et autres codes personnalisés sur un marché noir florissant. Les opérations ayant permis de démasquer l’Equation Group auront mis en évidence le professionnalisme avec lequel leurs attaques ont été développées. Les groupes de cyberespionnage appliquent en effet les mêmes méthodes de développement logiciel que les éditeurs légitimes. http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance http://www.symantec.com/en/uk/outbreak/?id=regin 60,61 http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats 62 http://www.symantec.com/connect/blogs/equation-advanced-cyberespionage-group-has-all-tricks-book-and-more 58 59 39 I Symantec Website Security Solutions CYBERSÉCURITÉ EN MILIEU INDUSTRIEL Avec l’explosion du nombre de terminaux connectés à Internet, c’est un véritable boulevard qui s’ouvre aux pirates, augmentant d’autant le risque de sabotage pour les entreprises. En première ligne, on retrouve les terminaux industriels, également appelés Systèmes de Contrôle Industriels (SCI), dont l’utilisation s’est généralisée partout dans le monde, notamment dans les secteurs de la production industrielle et les services d’utilité publique (électricité, gaz, etc.). Pour faciliter leur surveillance et leur contrôle, ces équipements sont souvent connectés à Internet. VULNÉRABILITÉS DÉCOUVERTES DANS LES SYSTÈMES ICS/SCADA ENTRE 2012 ET 2014 90 80 70 75 13 60 9 50 39 40 35 7 30 14 Vulnérabilités 12 Fournisseurs uniques 10 8 Source : Symantec I Deepsight 6 4 20 2 10 2012 2013 2014 D’après les observations de Symantec, les attaques contre les systèmes de contrôle industriels ont augmenté en 2014, à l’image de Dragonfly, une campagne de cyberespionnage menée contre des infrastructures énergétiques, des centrales électriques, des exploitants de pipelines pétroliers et des fabricants d’équipements industriels63. La plupart des victimes étaient situées aux États-Unis, en Espagne, en France, en Italie, en Allemagne, en Turquie et en Pologne. En s’attaquant aux systèmes de contrôle industriels, Dragonfly marche dans les traces de Stuxnet qui s’en était pris au programme nucléaire iranien. Dragonfly semble cependant poursuivre des desseins moins destructeurs. Il s’inscrit en effet dans une démarche d’espionnage et d’accès permanent, plutôt que dans une volonté de sabotage. Mais avec les importants soutiens dont il dispose, le groupe aux manettes de l’attaque bénéficie d’informations sur des systèmes industriels stratégiques pour, le cas échéant, frapper plus fort un jour. À base de programmes codés sur mesure et de malwares « prêts à l’emploi » achetés sur des forums russophones, l’assaut a combiné e-mails de spear-phishing et attaques Web du point d’eau. Pour atteindre leur cible finale, les attaquants sont passés par certains de ses fournisseurs, plus petits et moins bien protégés. 63 64 Nombre de vulnérabilités identifiées sur les systèmes SCI et SCADA, avec indication du nombre de fournisseurs concernés chaque année. http://www.symantec.com/connect/blogs/dragonfly-western-energycompanies-under-sabotage-threat http://fr.wikipedia.org/wiki/OLE_for_Process_Control Les entreprises peuvent parfois rencontrer des difficultés pour protéger les systèmes en place. C’est notamment le cas lorsqu’elles ne peuvent se permettre d’interrompre leur activité pour installer des correctifs, ou encore lorsqu’elles utilisent des technologies propriétaires ou mal protégées. Prenons l’exemple d’OPC64 (OLE for Process Control), un protocole très répandu dans les systèmes d’automatisation industriels. Bien documenté, ce standard ouvert relègue cependant le cryptage, l’authentification et d’autres mesures de sécurité au second plan. Résultat : OPC est vulnérable aux attaques de logiciels malveillants. Dragonfly ne s’y est d’ailleurs pas trompé en cherchant notamment à recueillir des informations sur les systèmes OPC en place dans les entreprises visées. En ciblant spécifiquement les serveurs de mise à jour logi cielle des fournisseurs de systèmes SCI, Dragonfly a donné aux attaques du point d’eau une dimension toute nouvelle. Ce type d’attaque exploite les vulnérabilités de sites Web tiers que la véritable cible est amenée à consulter. L’atta quant infiltre le site puis, tel le prédateur, attend patiemment la venue de sa victime pour lui injecter un malware. En exploitant les serveurs de mise à jour logicielle du sys tème SCI de ses proies, Dragonfly a permis aux pirates de compromettre leur chaîne d’approvisionnement – marquant ainsi un véritable tournant dans les attaques du point d’eau. Symantec Website Security Solutions I 40 ATTAQUES DE RECONNAISSANCE Outre les campagnes de spear-phishing et les attaques du point d’eau, dont les techniques d’ingénierie sociale reposent sur le facteur humain, les pirates continuent de chercher de nouveaux angles d’attaques pour s’infiltrer sur le réseau de leurs cibles. Ils y parviennent notamment en s’engouffrant dans les failles décelées en périphérie du réseau. La reconnaissance constitue donc une étape déterminante pour l’attaquant. Cette première phase du processus de piratage permet de récupérer des informations sur les systèmes en place et d’en détecter les points faibles. Si l’on revient sur les grands exploits zero-day de 2014, la reconnaissance a manifestement joué un rôle clé. En tête des vulnérabilités zero-day les plus répandues, on retrouve CVE-2013-7331. Certes, on est loin du simple exploit visant à s’engouffrer dans une faille pour accéder à un système vulnérable. Ici, la récolte d’informations précieuses sur le réseau convoité constitue la principale motivation – ces données étant particulièrement utiles en vue d’attaques ultérieures. Une fois en possession de renseignements tels que les noms d’hôte, les adresses IP et les différents chemins d’accès sur le réseau interne de la cible, un attaquant peut tranquillement mettre sur pied son prochain plan d’attaque. Autre point important : cette faille zero-day est restée sans correctif pendant très longtemps. Si elle a été inscrite au CVE en 2013, elle n’a été publiée qu’en février 2014, et il a fallu patienter jusqu’en septembre 2014 pour la sortie du correctif. Au total, 204 jours se sont donc écoulés entre la publication de la vulnérabilité et la diffusion de son correctif – un laps de temps plus que confortable pour les pirates. 41 I Symantec Website Security Solutions Comment expliquer un tel manque de réactivité ? La me nace n’a sans doute pas été jugée suffisamment sévère. L’exploit ne permettant pas à un pirate de prendre directement le contrôle d’un ordinateur fragilisé, le patching de la vulnérabilité a donc été relégué au second plan. Cela n’a pas échappé aux malfaiteurs qui ont ainsi pu profiter de la vulnérabilité pour recueillir des renseignements sur les réseaux visés – autant d’informations utiles pour parvenir à leurs fins. Ce volet de la cybersécurité mériterait que l’on s’y intéresse de plus près. Si une faille permettant de récolter des informations sur un réseau, un ordinateur ou un périphérique paraît a priori moins dangereuse que si elle autorisait l’escalade de privilèges, elle n’en reste pas moins tout aussi nocive dans la mesure où elle aide les attaquants à repérer des systèmes vulnérables qu’ils n’auraient pas pu découvrir autrement. LES ATTAQUES DU POINT D’EAU ET L’ENJEU DES FAILLES ZERO-DAY Découvert en septembre 2013, le groupe de hackers mercenaires Hidden Lynx a encore frappé en 2014. Il a notamment profité d’une vulnérabilité zero-day (CVE2014-0332)65 pour lancer une attaque du point d’eau qui lui a permis d’installer une porte dérobée sur les ordinateurs utilisés pour consulter le site compromis, ouvrant ainsi la voie à de futures attaques et opérations d’exfiltration. Menées à l’encontre du secteur français de l’aérospatial et plusieurs sites Web japonais, d’autres attaques du point d’eau sont également passées par une vulnérabilité zero-day (CVE-2014-0332). D’après nous, ces attaques n’auraient cependant aucun lien avec le groupe Hidden Lynx et nous privilégions la piste d’autres acteurs66. Toujours dans la catégorie du point d’eau, une attaque d’envergure a permis d’exploiter une vulnérabilité zeroday d’Adobe Flash (CVE-2014-0515) associée au logiciel parfaitement légitime d’un autre éditeur. On note ici le côté ultra ciblé de l’attaque, dans la mesure où sa réussite dépendait de l’installation des deux logiciels côté cible. Lors d’un épisode différent, une vulnérabilité Microsoft Windows encore inconnue avait permis au groupe de cyberespionnage Sandworm d’installer un malware dans de grandes organisations67 comme l’OTAN, des organismes publics ukrainiens et d’Europe occidentale, ainsi que des groupes énergétiques et des opérateurs de télécommunications. Identifiée en 2012, la plateforme Elderwood est toujours très active, avec notamment l’exploitation de trois nouvelles vulnérabilités zero-day début 201468. En 2014, 24 failles zero-day ont été découvertes, soit une de plus que l’ancien record de 2013, marquant ainsi une nouvelle évolution dans le nombre de vulnérabilités zeroday identifiées et exploitées. À ce jour, il existe sans doute de nombreuses autres failles de ce type que les pirates se gardent bien de révéler... révéler extrêmement productif pour celui qui saura mettre à profit le délai entre la découverte de la vulnérabilité et la sortie d’un correctif. Son déploiement à grande échelle peut en effet prendre plusieurs jours, plusieurs semaines, voire plusieurs mois, si ce n’est plus. Dans le top 5 des vulnérabilités zero-day les plus souvent exploitées, le délai entre la date de signalement par l’éditeur et la sortie du correctif a littéralement explosé, passant de 19 jours en 2013 à 295 jours l’an dernier. À l’échelle de tous les zero-day, le délai moyen bondit également de 4 jours en 2013 à 59 jours en 2014. CVE-20137331 fut de loin la vulnérabilité zero-day la plus souvent exploitée en 2014. Identifiée pour la première fois en 2013, son existence n’a cependant été révélée au public que l’année suivante et il aura encore fallu patienter 204 jours avant la publication du correctif. Pour les deux autres exploits zero-day du podium, il aura également fallu s’armer de patience – respectivement 22 et 53 jours. Ces chiffres sont supérieurs aux délais moyens constatés en 2013. Les groupes de cyberespionnage misent tout sur cette fenêtre de vulnérabilité pour mener à bien leurs offensives. Ainsi, un site Web déjà infecté par un point d’eau cessera d’utiliser un exploit zero-day dès lors que l’éditeur du logiciel en question aura révélé l’existence de la vulnéra bilité – et ce, même s’il n’existe pas encore de correctif. Les pirates opteront alors pour un exploit encore « confidentiel », laissant ainsi présager de l’étendue des ressources à leur disposition. Pour un pirate, l’exploitation d’une vulnérabilité zero-day présente un double intérêt. Tout d’abord, une faille non publiée présentera une valeur énorme pour celui qui saura l’exploiter pour ouvrir un accès distant ou mener ses opérations de reconnaissance. Ensuite, un exploit pourra se http://www.symantec.com/connect/blogs/emerging-threat-ms-ie-10-zeroday-cve-2014-0322-use-after-free-remote-code-execution-vulnerabi http://www.symantec.com/connect/blogs/zero-day-internet-vulnerabilitylet-loose-wild 67 http://www.symantec.com/connect/blogs/sandworm-windows-zero-dayvulnerability-being-actively-exploited-targeted-attacks 68 http://www.symantec.com/connect/blogs/how-elderwood-platform-fueling2014-s-zero-day-attacks 65 66 Symantec Website Security Solutions I 42 VULNÉRABILITÉS ZERO-DAY 24 +4 % 2014 23 +64 % 14 2012 2013 Source : Symantec I Deepsight, SDAP, Wiki TOP 5 DES VULNÉRABILITÉS ZERO-DAY, DÉLAIS DE PATCHING ET SIGNATURES 19 jours 4 jours 2013 Durée totale d’exposition cumulée 2013 Délai moyen avant patching +276 jours +51 jours 295 jours 55 jours 2014 Durée totale d’exposition cumulée 2014 Délai moyen avant patching Source : Symantec I Deepsight, SDAP, Wiki Source : Symantec I Deepsight, SDAP, Wiki En 2014, 57 % des attaques contre le top 5 des vulnérabilités ont été perpétrées après ajout d’une signature (sous 90 jours) et avant la sortie du correctif par l’éditeur. 57 % 2014 Classement Vulnérabilité (CVE) Pourcentage global 2014 1 Microsoft ActiveX Control CVE-2013-7331 81 % 2 Microsoft Internet Explorer CVE-2014-0322 9,5 % 3 Adobe Flash Player CVE-2014-0515 7,3 % 4 Adobe Flash Player CVE-2014-0497 2% 5 Microsoft Windows CVE-2014-4114 OLE <1% Dans le top 5 des vulnérabilités les plus exploitées, le délai entre le signalement par l’éditeur et la date de sortie du correctif est passé de 19 jours en 2013 à 295 jours l’année suivante. 57 % des attaques exploitant les vulnérabilités zero-day du top 5 ont été bloquées en moins de 90 jours grâce à la technologie Symantec Endpoint, souvent avant même la sortie d’un correctif. 43 I Symantec Website Security Solutions TOTAL ANNUEL DES VULNÉRABILITÉS ZERO-DAY, 2006 – 2014 25 24 23 20 15 13 15 14 14 12 10 9 8 5 2006 2007 2008 2009 2010 2011 2012 2013 2014 Source : Symantec | SDAP CINQ PLUS GRANDES VULNÉRABILITÉS ZERO-DAY 4 19 2013 59 2014 Délai moyen de publication d’un correctif par l’éditeur Durée totale d’exposition cumulée pour les cinq plus grandes vulnérabilités zero-day 295 NOMBRE D’ATTAQUES DÉTECTÉES (EN MILLIERS) 25 81 % Microsoft ActiveX Control CVE-2013-7331 20 81 % 10 % Microsoft Internet Explorer CVE-2014-0322 15 10 7% Adobe Flash Player CVE-2014-0515 2% Adobe Flash Player CVE-2014-0497 Microsoft ActiveX Control < 1 % Microsoft Windows CVE-2014-4114 OLE 5 0 25 50 75 100 125 150 175 200 225 250 275 300 NOMBRE DE JOURS APRÈS PUBLICATION DE LA VULNÉRABILITÉ Pour les zero-day les plus souvent exploités, la fenêtre de vulnérabilité – le délai entre la date de signalement et la sortie du correctif – s’est allongée en 2014. Les vulnérabilités CVE-2014-0322, CVE-2014-0515 et CVE-2014-4114 ont toutes été exploitées l’an dernier dans le cadre de plusieurs attaques ciblées – y compris des attaques mettant en cause Hidden Lynx et Sandworm. Symantec Website Security Solutions I 44 FACE AUX MENACES, DES CELLULES DE VEILLE Pour bien cerner les menaces auxquelles leurs réseaux sont exposés, les entreprises doivent impérativement assurer une veille des menaces. Car, aussi performante soit-elle, aucune technologie ne peut résoudre à elle seule l’ensemble du problème. Une protection efficace doit associer cyberveille, gestion du risque et solutions techniques de pointe. Elle pourra ainsi non seulement identifier la cible exacte, mais aussi comprendre le déroulé de l’attaque et les motivations des assaillants. Aujourd’hui, la question pour les entreprises n’est plus de savoir si elles sont exposées à un risque, mais plutôt à quel moment l’attaque aura lieu – d’où l’importance de bien cerner la nature des menaces. 45 I Symantec Website Security Solutions Les attaques avancées utilisent des kits d’exploits visant à la fois à percer des vulnérabilités anciennes et des failles zero-day. Une bonne défense sera donc plus difficile à prendre à revers. En ce sens, l’instauration d’un système de cyberveille permettra de croiser les informations disponibles dans l’entreprise pour établir une liste des incidents suspects. De même, une évaluation continue des personnes, des compétences et des processus apportera la meilleure réponse possible, tout en réactualisant en permanence les processus et les compétences. S’il est plus difficile d’entrer par cybereffraction, les pirates devront redoubler d’efforts. À vous de jouer pour ne pas être le maillon faible. TECHNIQUES MISES EN ŒUVRE DANS LES ATTAQUES CIBLÉES TAILLE DES ENTREPRISES CIBLÉES PAR LE « SPEAR-PHISHING » ENTRE 2011 ET 2014 Source : Symantec | .cloud Grandes entreprises (plus de 2 500 salariés) Entreprises de taille intermédiaire (entre 251 et 2 500 salariés) Petites et moyennes entreprises (PME) (entre 1 et 250 salariés) 100 % 50 % 39 % 41 % 31 % 25 % 31 % 30 % 34 % 2012 2013 2014 50 % 19 % En 2014, 41 % des e-mails de spearphishing ont été adressés à de grands groupes. Comme en 2013, le nombre d’attaques de spear-phishing ciblant des PME prouve bien qu’une taille plus modeste et un anonymat relatif ne constituent en rien un gage d’immunité. Au contraire, les schémas d’attaques observés en 2014 révèlent que les pirates les plus déterminés déjouent la sécurité de leur cible en s’attaquant à sa chaîne d’approvisionnement. 31 % 18 % 0 2011 RATIO DE RISQUE D’ATTAQUE DE SPEAR-PHISHING PAR TAILLE D’ENTREPRISE Source : Symantec I .cloud, SRL Ratio de risque en 2014 Ratio de risque en 2014 (%) Ratio de risque en 2014 Ratio de risque en 2013 (%) Grandes entreprises de plus de 2 500 salariés 1 sur 1,2 83 % 1 sur 2,3 43 % Entreprises de taille intermédiaire − entre 251 et 2 500 salariés 1 sur 1,6 63 % 1 sur 3,5 33 % Petites et moyennes entreprises (PME) − entre 1 et 250 salariés 1 sur 2,2 45 % 1 sur 5,2 19 % En 2014, 83 % des grandes entreprises ont fait l’objet de campagnes de spear-phishing, contre 43 % en 2013. Symantec Website Security Solutions I 46 DIX SECTEURS D’ACTIVITÉS LES PLUS CIBLÉS PAR LE « SPEAR-PHISHING » ENTRE 2013 ET 2014 Production / Fabrication Services non traditionnels 18 13 11 Services professionnels Commerce de gros 15 10 5 Transport, gaz, transport, communications Sur l’ensemble de l’année 2014, l’industrie manufacturière a payé le plus lourd tribut aux attaques de spear-phishing, avec 20 % des cas recensés. 20 14 Finances, assurances et immobilier 7 6 5 Administration publique Grande distribution 20 13 2 Exploitation minière 1 1 Construction 1 1 16 3 2013 5 10 2014 15 20 25 % Source : Symantec | .cloud RATIO DE RISQUE D’ATTAQUE DE SPEAR-PHISHING PAR SECTEUR D’ACTIVITÉ Secteur d'activité – 2014 Ratio de risque en 2014 Ratio de risque en 2014 (%) Secteur minier 1 sur 2,3 43 % Secteur minier 1 sur 2,7 37 % Vente en gros 1 sur 2,9 34 % Administrations publiques (État) 1 sur 3,1 32 % Production manufacturière 1 sur 3,0 33 % Production manufacturière 1 sur 3,2 31 % Transports, communications, électricité, gaz et services sanitaires 1 sur 3,4 29 % Vente en gros 1 sur 3,4 29 % 1 sur 3,9 26 % 1 sur 4,8 21 % 1 sur 6,6 15 % Secteur d'activité – 2013 Transports, communications, électricité, gaz et services sanitaires Ratio de risque en 2013 Ratio de risque en 2013 (%) Administration publique 1 sur 3,4 29 % Finance, assurance et immobilier 1 sur 4,8 21 % Grande distribution 1 sur 4,8 21 % Services – non traditionnels 1 sur 6,5 15 % Bâtiment 1 sur 11,3 8% Services professionnels 1 sur 6,9 15 % Agriculture, exploitation forestière et pêche 1 sur 12,0 8% Finance, assurance et immobilier Services – non traditionnels Source : Symantec | .cloud, SRL En 2014, la majorité des attaques se sont concentrées sur l’industrie minière ; avec 43 % des entreprises du secteur (soit 1 sur 2,3) visées au moins une fois sur la période. Dans la classification minière sont comprises les entreprises d’extraction de matières énergé tiques, ainsi que les sociétés d’exploitation de mines métallifères et d’extraction de minerais. 47 I Symantec Website Security Solutions E-MAILS DE SPEAR-PHISHING PAR JOUR 73 83 -12 % 2014 -28 % 116 2012 2013 Source : STAR Malware Ops Le nombre d’e-mails de spear-phishing détectés par Symantec recule légèrement, tandis que les attaques ciblées connaissent une légère hausse. Les campagnes d’attaques par e-mail sont en augmentation et les e-mails de spear-phishing se perfectionnent, avec des malwares personnalisés et des messages bien conçus qui s’inspirent des techniques d’ingénierie sociale pour déjouer les dispositifs de sécurité. E-MAILS DE SPEAR-PHISHING PAR JOUR 2014 Évolution 2013 Évolution 2012 Campagnes 841 +8 % 779 +91 % 408 Destinataires par campagne 18 -20 % 23 -81 % 111 Attaques par campagne 25 -14 % 29 -76 % 122 Durée moyenne d'une campagne 9 jours +13 % 8 jours +173 % 3 jours Source : Symantec I .cloud, SRL En 2014, les attaques ciblées lancées dans le cadre de campagnes de spear-phishing ont augmenté de 8 %, et ce malgré une baisse globale de 12 % du nombre d’e-mails de spear-phishing envoyés chaque jour. En ciblant un nombre restreint de destinataires, le spear-phishing se différencie du spam de masse. Avant de déclencher l’offensive, les attaquants prennent le temps de planifier et de coordonner leurs attaques, avec notamment une reconnaissance minutieuse. Symantec a également observé plusieurs « attaques ciblées distribuées » menées conjointement et de façon coordonnée par plusieurs groupes. Et malgré les volumes d’e-mails en jeu, la planification et la diffusion de ces attaques ont été telles qu’elles n’ont pas été identifiées comme spam. NUAGE DE MOTS CLÉS Mots les plus couramment utilisés dans les e-mails de « spear-phishing » Source: Symantec I .cloud, SRL Symantec Website Security Solutions I 48 RATIO DE RISQUE D’ATTAQUE DE SPEAR-PHISHING PAR FONCTION 2014 Ratio de risque 2014 Quelle: Symantec I .cloud, SRL Ratio 2014 (%) Marketing/Ventes 1 sur 2,9 35 % Opérationnel 1 sur 3,8 27 % Finance 1 sur 3,3 30 % R&D 1 sur 4,4 23 % Informatique 1 sur 5,4 19 % Ingénierie 1 sur 6,4 16 % RH et Recrutement 1 sur 7,2 14 % Autre fonction 1 sur 9,3 11 % Les collaborateurs exerçant une fonction commerciale ou marketing ont représenté la première cible en 2014, avec une personne sur 2,9 visée au moins une fois – soit 35 % des salariés du pôle Marketing/Ventes. RATIO DE RISQUE D’ATTAQUE DE SPEAR-PHISHING PAR NIVEAU HIÉRARCHIQUE 2014 Ratio de risque 2014 Source : Symantec I .cloud, SRL Ratio de risque (%) Manager 1 sur 3,8 26 % Employé individuel 1 sur 3,7 27 % Stagiaire 1 sur 3,9 26 % Directeur 1 sur 5,4 19 % Support 1 sur 7,6 13 % Autre 1 sur 9,3 11 % Les managers ont représenté le niveau hiérarchique le plus souvent visé en 2014, avec une personne sur 3,8 prise pour cible au moins une fois – soit 26 % des salariés occupant une fonction managériale. 49 I Symantec Website Security Solutions MOYENNE QUOTIDIENNE D’ATTAQUES PAR « SPEAR-PHISHING » ENTRE 2012 ET 2014 250 225 200 175 150 125 100 75 50 25 0 J M Source : Symantec I .cloud M J S N J M M 2012 J S N J 2013 M M J S N 2014 ANALYSE DES E-MAILS DE SPEAR-PHISHING UTILISÉS DANS LES ATTAQUES CIBLÉES, 2013 – 2014 Classement Type d’exécutable Pourcentage global en 2014 Type d’exécutable Pourcentage global en 2013 1 .doc 41,2 % .exe 31,3 % 2 .exe 24,0 % .scr 18,4 % 3 .scr 9,7 % .doc 7,9 % 4 .au3 8,7 % .pdf 5,3 % 5 .jpg 4,9 % .class 4,7 % 6 class 3,6 % .jpg 3,8 % 7 .pdf 3,3 % .dmp 2,7 % 8 .bin 2,0 % .dll 1,8 % 9 .txt 1,5 % .au3 1,7 % 10 .dmp 1,1 % .xls 1,2 % Les fichiers Office en pièce jointe d’e-mails ont remplacé les fichiers exécutables traditionnellement utilisés dans les attaques de spear-phishing. On les retrouve désormais dans 41 % des attaques. 35 % des attaques de spear-phishing auraient pu être évitées si les entreprises avaient bloqué au niveau de la passerelle de messagerie les fichiers exécutables et économiseurs d’écran envoyés en pièces jointes. L’utilisation d’un système de filtrage fort dans le Cloud aurait également permis d’identifier et de supprimer les attaques de spear-phishing en désamorçant les pièces jointes malveillantes avant qu’elles n’atteignent la passerelle de messagerie. Source : Symantec I .cloud Symantec Website Security Solutions I 50 SÉCURISATION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS Par Preeti Agarwal Depuis l’époque des tentatives d’intrusions « amateurs », les attaques ciblées ont évolué pour devenir une pièce incontournable de l’arsenal du cyberespionnage. Les systèmes de contrôle industriels (SCI) constituent des cibles de choix pour des pirates motivés par des enjeux qui relèvent souvent de la sécurité nationale. Cette escalade inquiétante a conduit les États à augmenter leurs investissements et leurs efforts pour renforcer la sécurité de leurs systèmes SCI. Le terme de « système de contrôle industriel » regroupe tous les équipements qui contrôlent, surveillent et gèrent les infrastructures critiques d’entreprises de secteurs comme l’électricité, l’eau et les eaux usées, le pétrole et le gaz naturel, les transports, etc. Ces systèmes se déclinent eux-mêmes en différentes catégories comme les systèmes de contrôle et d’acquisition de données (SCADA, Supervisory Control and Data Acquisition), les contrôleurs logiques programmables (PLC), les systèmes de contrôle distribué (DCS), etc. La généralisation des attaques contre les systèmes SCI peut avoir de lourdes conséquences sur le plan socioéconomique. Le silence autour de ces offensives permet certes de limiter le préjudice d’image pour la victime, mais il empêche aussi de prendre toute la mesure du problème. Du cyberespionnage aux actes de sabotage de services d’utilité publique, les responsables de ces attaques ont affi ché des intentions diverses. La découverte du ver Stuxnet en 2010 avait révélé l’existence d’une opération menée contre des systèmes SCADA spécifiques pour endommager les installations du programme nucléaire iranien. Depuis, l’arsenal de malwares destructeurs a proliféré, comme l’illustrent les attaques de 2014. Les auteurs de Dragonfly, une campagne de cyberespionnage principalement axée sur des cibles énergétiques, ont réussi à compromettre plusieurs systèmes SCI stratégiques d’entreprises de ces secteurs. S’ils avaient exploité les fonctions de sabotage à leur disposition, ils auraient pu créer de sérieux dégâts et perturbations dans l’approvisionnement énergétique des pays concernés. Plus récemment, la campagne Sandworm a compromis l’interface IHM de plusieurs grands fournisseurs de systèmes SCI. Pour ce faire, les attaquants sont passés par les IHM connectées à Internet pour exploiter les vulnérabilités des logiciels SCI en question. Ces intrusions pourraient avoir servi à des opérations de reconnaissance en vue d’attaques ultérieures. Dernier incident recensé en 2014, une cyberattaque contre le réseau d’une aciérie allemande a provoqué de graves incidents sur ses hauts fourneaux69. Les attaques contre les systèmes SCI n’ont pas seulement gagné en fréquence, mais aussi en maturité. La sécurité de ces systèmes est donc aujourd’hui un enjeu crucial et urgent. De nombreux systèmes SCI en place restent opérationnels très longtemps. Leurs règles de sécurité sont ancrées dans une logique de « sécurité par l’obscurité » (techniques d’isolation physique, utilisation de protocoles propriétaires et équipements spécialisés) censée assurer leur sécurité. Développés avant l’adoption des technologies Internet en entreprise, ces systèmes ont, pour la plupart, été conçus pour répondre aux exigences de fiabilité, de maintenance et de disponibilité, sans tenir compte – ou presque – de la sécurité. Mais les impératifs d’accessibilité à distance et de connectivité ont considérablement augmenté la surface d’attaque, exposant ainsi de nouvelles vulnérabilités. Principal point d’entrée ? Les équipements d’infrastructures critiques mal protégés et connectés à Internet. Pour être accessibles à distance, certains éléments des systèmes SCADA – utilisés pour surveiller et contrôler les usines et leurs équipements – sont connectés à Internet via les réseaux de l’entreprise. Or, cette connexion expose le réseau de contrôle et augmente le risque d’attaque (par analyse, investigation, force brute et accès non autorisé aux équipements). https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile 69 51 I Symantec Website Security Solutions Souvent accessible depuis le réseau de l’entreprise, l’inter face IHM constitue l’un des vecteurs d’attaques sur ces matériels. En exploitant une vulnérabilité zero-day, un pirate peut compromettre les hôtes de l’entreprise, identifier ceux qui ont accès au réseau de contrôle, et tenter d’utiliser ces renseignements pour s’infiltrer dans les systèmes SCI. Une IHM directement connectée à Internet offre également une voie d’accès aux systèmes SCI. Avec les grands moteurs de recherche, rien de plus facile que d’identifier ces machines connectées à Internet. Une fois le périphérique de contrôle identifié, l’exploitation d’une mauvaise configuration ou d’une vulnérabilité suffit à le compromettre. Pas besoin d’être un cador du piratage pour mener ce type d’attaque. Outre ces points d’entrée, une personne mal intentionnée peut aisément s’engouffrer dans les vulnérabilités inhérentes aux systèmes SCI et à leurs logiciels. Ainsi, bon nombre de leur applications Web propriétaires existantes comportent des vulnérabilités facilitant les débordements de mémoire tampon, l’injection de SQL ou les attaques XSS (Cross-Site Scripting). Un pirate peut aussi profiter d’un manque de rigueur dans les processus d’authentification et d’autorisation pour accéder aux fonctionnalités critiques du SCI. Des lacunes dans l’authentification au niveau des protocoles SCI facilitent notamment les attaques de type Manin-the-Middle par réinjection de paquets (packet replay) et usurpation (spoofing). Un pirate peut alors envoyer des commandes malveillantes aux contrôleurs logiques programmables (PLC) ou un statut falsifié aux IHM. Brique critique en environnement SCI, la logique Ladder est utilisée pour programmer les PLC. Or, il suffit qu’un poste de travail utilisé pour développer et charger cette logique Ladder PLC soit compromis pour que l’attaquant élabore son offensive par rétroingénierie. La sécurisation des environnements SCI nécessite un plan de sécurité exhaustif pour accompagner l’organisation dans la définition de ses objectifs de sécurité – standards, conformité réglementaire, facteurs de risques potentiels, impact sur les métiers et étapes d’intervention. La mise en place d’un environnement SCI sécurisé passe par l’inté gration du facteur sécurité à chaque phase des processus industriels, de la planification jusqu’aux opérations quotidiennes. La séparation entre réseau de contrôle et réseau de l’entre prise devrait être un impératif absolu pour réduire les risques d’attaques provenant du réseau de l’entreprise. Toutefois, pour des raisons pratiques, le système SCI doit parfois être connecté au réseau de l’entreprise. Si tel est le cas, les points d’accès devront être limités et protégés par un pare-feu. On privilégiera par ailleurs des canaux de communication sécurisés, comme les VPN. Les environnements SCI évoluent. Pour preuve, certains fournisseurs étendent leur prise en charge aux logiciels de sécurité sur les équipements de contrôle pour les serveurs SCADA généralistes et les stations de travail d’ingénierie. Les contrôleurs logiques programmables (PLC) et systèmes de contrôle distribués (DCS) sont toujours, eux, équipés de systèmes d’exploitation propres à chaque fournisseur. Or, une fois installés, ces systèmes de contrôle disposent de ressources limitées et ne tolèrent pas la moindre interruption. Les perspectives de déploiement de solutions classiques de sécurité des systèmes d’information en sont donc d’autant réduites. Au regard de ces difficultés, aucun remède miracle ne garantit la sécurité des systèmes SCI. Le meilleur moyen de se prémunir est d’instaurer une sécurité de tous les instants à chaque niveau de l’architecture : périmètre du réseau, points d’accès aux réseaux internes et externes de l’entreprise, réseau, hôtes et applicatifs. Le facteur sécurité doit par ailleurs être intégré en natif aux périphériques de contrôle. Cette responsabilité incombe aux constructeurs. Les technologies mobiles devraient se généraliser dans les années à venir, ouvrant les accès distants aux IHM et aux options de contrôle. Si la mobilité présente de nombreux avantages pour l’administration des systèmes, elle ne fera qu’accroître la surface d’attaque. Les techniques d’attaque sur les SCI pourraient également se développer. En ce sens, l’apparition de kits d’exploits SCI sur le marché sous-terrain n’est pas à exclure. On assisterait alors à une hausse irrémédiable des attaques sur les SCI. Comme Stuxnet et ses nombreuses déclinaisons, les variantes d’attaques SCI présentent de fortes similitudes en termes de vecteurs d’attaques et d’artefacts, et s’articulent autour de protocoles SCI courants et des chevaux de Troie généralistes. En ce moment même, certains systèmes SCI ont probablement été infiltrés à l’insu de tous, les atta quants attendant patiemment leur heure. Ils trouveront sans doute une bonne raison de les activer à un moment ou un autre. Nous assisterons alors à une exploitation de vulnérabilités infrastructurelles critiques guidée par de sombres desseins. Symantec Website Security Solutions I 52 VIOLATIONS DE DONNÉES 53 I Symantec Website Security Solutions EN BREF 1 Réduction du nombre de violations de grande ampleur en 2014 (exposant plus de 10 millions d'identités) par rapport à 2013 2 Augmentation du nombre global de violations de données 3 Pirates responsables des violations à 49 % 4 Perfectionnement et recrudescence des attaques menées contre les terminaux sur points de vente 5 D’après une enquête Symantec, 57 % des personnes interrogées seraient préoccupées par la sécurité de leurs données 54 I Symantec Website Security Solutions INTRODUCTION L’année 2014 aura été marquée par la poursuite de vols massifs de données personnelles. On retiendra notamment les attaques frontales menées contre des établissements bancaires et de grandes enseignes de la distribution, via leurs terminaux de points de vente. La banque américaine JPMorgan Chase a ainsi admis la compromission de données associées à 83 millions de comptes – soit 76 millions de foyers et 7 millions de PME – dans l’une des affaires de violation de données les plus retentissantes de toute l’histoire70. confidentialité. D’après Apple, le dispositif de sécurité de la firme ne serait pas en cause. Les pirates auraient selon toute vraisemblance lancé des attaques ultra ciblées et personnalisées pour s’emparer des images sur chacun des comptes visés74. En septembre, une violation de données sur près de 56 millions de numéros de carte bancaire frappait la société Home Depot de plein fouet. Avec un million de coordonnées de cartes bancaires volées, Staples fut également l’une des grandes victimes du pilonnage mené contre les terminaux de points de vente de grandes enseignes71. Plus inquiétant encore, de nombreuses violations de sécurité, si ce n’est la majorité, ne sont ni signalées, ni même détectées72,73. Si le nombre de « méga violations » a reculé par rapport à 2013, le total de violations marque lui une forte augmen tation (+23 %). Étant donnée la valeur des données personnelles et financières sur le marché noir, les cyberdélinquants vont continuer à tenter de gros coups contre les grands groupes, tout en se faisant la main sur les PME. De nom breuses violations pourraient cependant être évitées avec des mesures de sécurité appropriées : solutions de préven tion de la perte de données, cryptage et systèmes de détection des intrusions, sans oublier la mise en place de formations et de politiques de sécurité efficaces. Largement relayée dans la presse, la publication de près de 200 photos de célébrités sur le site Web 4chan en août 2014 a nourri les angoisses du public sur les questions de TOTAL DES VIOLATIONS 312 +23 % 2014 Source : Symantec I CCI 253 +62 % 156 2012 2013 VIOLATIONS DE DONNÉES AYANT EXPOSÉ PLUS DE 10 MILLIONS D’IDENTITÉS 4 2014 -50 % 8 +700 % 2013 Source : Symantec I CCI 1 2012 Malgré une baisse du nombre de « méga violations » en 2014 (plus de 10 millions d’identités exposées en une attaque), le nombre total de violations a battu le record de 2013, marquant le début d’une nouvelle ère pour ce type d’activité malveillante. http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T20141003 http://staples.newshq.businesswire.com/press-release/corporate/staples-provides-update-data-security-incident http://www.insurancejournal.com/news/west/2014/03/07/322748.htm 73 http://www.ponemon.org/news-2/7 Symantec 74 https://www.apple.com/uk/pr/library/2014/09/02Apple-Media-Advisory.html 70 71 72 Website Security Solutions I 55 PRINCIPALES CAUSES DE VIOLATIONS DE DONNÉES ENTRE 2013 ET 2014 80 2014 70 2013 % POURCENTAGE 60 50 49 40 30 34 29 20 27 22 21 10 8 6 0 Hackers Exposition accidentelle Source : Symantec | CCI Vol ou perte d’ordinateur ou disque dur / clé USB Vol interne Les attaquants externes sont à 49 % responsables des violations recensées, contre 34 % en 2013. Autres causes possibles de violations : la révélation accidentelle au public, qui intervient dans 22 % des cas, ou encore le vol ou la perte d’un ordinateur ou d’un disque dur pour 21 % des incidents. Dans ces deux scénarios, le cryptage de données permettrait cependant de lutter efficacement contre les conséquences fâcheuses de données tombant dans de mauvaises mains. Point positif : ce chiffre est en baisse par rapport aux 56 % de 2013. CHRONOLOGIE DES VIOLATIONS DE DONNÉES, 2013 – 2014 40 159 160 35 147 140 130 120 30 113 25 100 20 78 80 60 15 59 53 INCIDENTS IDENTITÉS EXPOSÉES (EN MILLIONS) 180 43 10 40 32 23 20 12 3 6 8 J J 0 J F 2013 M A M .3 .8 A S 8 O N D 5 10 3 2 J F 2014 M 1 1 A M J J A S O 6,5 N 0,4 0 D Source : Symantec I CCI L’une des baisses marquantes de l’année 2014 concerne le net recul des identités exposées à la suite d’une violation de données. En 2013, nous faisions état de 552 millions d’identités exposées. Or, ce chiffre est redescendu à 348 millions en 2014. 56 I Symantec Website Security Solutions TOTAL D’IDENTITÉS EXPOSÉES 384 -37 % MILLIONS 552 +493 % 93 MILLIONS MILLIONS 2013 2012 2014 Source : Symantec I CCI MOYENNE D’IDENTITÉS EXPOSÉES 1 116 767 2 181 891 604 826 2014 2013 2012 -49 % +261 % Source : Symantec I CCI MÉDIANE DES IDENTITÉS EXPOSÉES 7 000 +3 % 6 777 2014 2013 -19 % 8 350 2012 Source : Symantec I CCI En apparence, le nombre d’identités exposées semble bel et bien avoir baissé. La diminution du nombre de violations d’envergure (portant sur plus de 10 millions d’identités) y a joué un grand rôle, ne serait-ce qu’en termes de « volumes ». Les violations retentissantes survenues fin 2013 ont également pu provoquer un resserrement des politiques de sécurité dans les grands groupes et administrations. La mise en place de solutions DLP (Prévention de la perte de données) aura ainsi empêché l’exfiltration d’une grande partie des données, même en cas d’intrusion sur le réseau. Mais si ces facteurs ont indéniablement joué un rôle, nos analystes penchent en faveur d’une autre hypothèse : de plus en plus d’organisations passent sous silence le nombre d’identités exposées. En 2013, sur 253 violations recensées, 34 victimes (13 %) n’ont rien révélé du nombre d’identités exposées. L’an dernier, cette part est passée à 20 %, avec 61 violations de données sans mention du nombre d’identités exposées sur les 312 cas signalés. Pour résumer, l’ampleur des dégâts est dissimulée dans 1 cas de violation sur 5. Difficile d’expliquer les raisons d’une telle omerta. Si certaines organisations rencontrent parfois des difficultés pour définir le nombre d’identités exposées, d’autres préfèrent taire cette information pour tenter de sauver la face dans des situations de crise qui jette indéniablement le discrédit sur elles. Un grand nombre de violations pourraient donc être cachées au public, ce qui est très préoccupant. Dans des secteurs d’activité comme la santé et certaines administrations publiques, les lois de certains pays exigent que toute violation soit signalée. La majorité des secteurs n’y est cependant pas soumise. Résultat : certaines entreprises décident de cacher les cas de violation pour protéger leur réputation et éviter des sanctions. Cela pourrait changer dans les années à venir, à mesure que les pouvoirs publics à travers le monde réfléchissent à la réglementation des signalements de violations de données. Symantec Website Security Solutions I 57 TOP 10 DES SECTEURS TOUCHÉS PAR DES VIOLATIONS DE DONNÉES (PAR NOMBRE D’INCIDENTS) Source : Symantec I CCI Classement Secteur 1 Santé 116 37,2 % 2 Grande distribution 34 10,9 % 3 Éducation 31 9,9 % 4 Administration et secteur public 26 8,3 % 5 Services financiers 19 6,1 % 6 Logiciels 13 4,2 % 7 Hôtellerie 12 3,8 % 8 Assurances 11 3,5 % 9 Transports 9 2,9 % 10 Arts et médias 6 1,9 % Nombre d’incidents Pourcentage d’incidents TOP 10 DES TYPES D’INFORMATIONS EXPOSÉES Source : Symantec I CCI Classement Type en 2014 % en 2014 Type en 2013 % en 2013 1 Noms réels 68,9 % Noms réels 71,5 % 2 Numéros de sécurité sociale 44,9 % Dates de naissance 43,1 % 3 Adresses postales 42,9 % Numéros de sécurité sociale 39,5 % 4 Informations financières 35,5 % Adresses postales 37,5 % 5 Dates de naissance 34,9 % Dossiers médicaux 33,6 % 6 Dossiers médicaux 33,7 % Numéros de téléphone 19,0 % 7 Numéros de téléphone 21,2 % Informations financières 17,8 % 8 Adresses e-mail 19,6 % Adresses e-mail 15,4 % 9 Noms d’utilisateur et mots de passe 12,8 % Noms d’utilisateurs et mots de passe 11,9 % 10 Assurance 11,2 % Assurance 5,9 % Noms réels, numéros de sécurité sociale et adresses postales figurent dans le top 3 des informations les plus compromises en 2014. La plus forte progression du top 10 concerne les informations financières, qui sont passées du 7e (17,8 %) au 4e rang (35,5 %). 58 I Symantec Website Security Solutions LA GRANDE DISTRIBUTION DANS LE VISEUR À en juger par l’augmentation des violations de données de nature financière, la grande distribution est manifestement dans le collimateur des pirates. Ce secteur est de loin le plus touché par les violations massives de données, avec 60 % de toutes les d’identités exposées en 2014, soit le double de 2013. Cette forte augmentation coïncide avec la progression des informations financières au 4e rang des types d’informations les plus exposées en cas de violation. Là aussi, on observe un doublement des cas recensés, de 17,8 % en 2013 à 35,5 % en 2014. TOP 10 DES SECTEURS LES PLUS TOUCHÉS PAR DES VIOLATIONS DE DONNÉES (PAR NOMBRE D’IDENTITÉS EXPOSÉES) Classement Secteur Nombre d’identités exposées 1 Grande distribution 205 446 276 59,0 % 2 Services financiers 79 465 597 22,8 % 3 Logiciels 35 068 405 10,1 % 4 Santé 7 230 517 2,1 % 5 Administration et secteur public 7 127 263 2,0 % 6 Réseaux sociaux 4 600 000 1,3 % 7 Télécommunications 2 124 021 0,6 % 8 Hôtellerie 1 818 600 0,5 % 9 Éducation 1 359 190 0,4 % 10 Arts et médias 1 082 690 0,3 % Outre les coordonnées bancaires et les documents fiscaux, les données de carte bancaire représentent les données financières les plus convoitées. Si les cybermarchands sont en première ligne, on recense cependant davantage d’attaques sur les terminaux de point de vente, ces appa reils de paiement par carte désormais présents dans tous les commerces. Même si les premières attaques de ce genre remontent à 2005, Symantec a constaté une forte recrudescence en 2014. À tel point qu’il s’agit aujourd’hui de l’une des principales sources de vol de données de cartes bancaires75, en cause dans les violations de données les plus spectaculaires en 2013 et 2014. Pourquoi les terminaux de point de vente sont-ils particu lièrement vulnérables ? Leur sécurité est globalement défaillante : absence ou lacunes dans le cryptage des données, 75 76 Source : Symantec I CCI Pourcentage d’identités exposées vulnérabilités des logiciels, obsolescence de systèmes d’exploitation comme Microsoft Windows XP (arrivé en fin de support en 2014) et freins à l’adoption des cartes à puce avec code PIN en dehors de l’Europe. Toutefois, le dévelop pement de ces cartes aux États-Unis, associé à l’arrivée de nouveaux modes de paiement comme Apple Pay, devraient renforcer la sécurité des données sur les points de vente dans les prochaines années. À court terme, ces données devraient cependant rester une cible prioritaire. Les organismes de cartes bancaires sont très prompts à repérer les comportements d’achat anormaux, tout comme les détenteurs de cartes les plus vigi lants. Les cybercriminels doivent donc se réapprovisionner régulièrement en « nouveaux » numéros de carte bancaire. La Net économie constitue à ce titre un formidable marché pour les acheteurs comme pour les vendeurs76. http://securityresponse.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/attacks_on_point_of_sale_systems.pdf http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks Symantec Website Security Solutions I 59 SÉCURITÉ DES DONNÉES ET CONFIDENTIALITÉ La multiplication des violations de données de ces dernières années a certainement éveillé les consciences des consommateurs sur la confidentialité de leurs données. Dans son rapport « State of Privacy Report » de 2015, Symantec publie les conclusions de son enquête sur la confidentialité dans l’Union européenne77. Ainsi, 59 % des personnes interrogées déclarent avoir déjà été confrontées à un problème en rapport avec la protection de leurs données. Outre les notifications de violations de données par une société externe, ces personnes ont également rapporté des incidents allant du piratage d’un compte de messagerie au vol de données bancaires, en passant par l’usurpation d’identité en ligne, les virus informatiques, le piratage de comptes sur les réseaux sociaux ou encore les arnaques en ligne et les e-mails déguisés. D’une manière globale, 57 % de ces personnes se disent préoccupées par la sécurité de leurs données. Le sujet mé rite que l’on s’y intéresse : la sécurité des données constitue en effet un critère essentiel dans le choix d’une entreprise pour 88 % des consommateurs, devant la qualité du produit (86 %) et l’expérience client (82 %). De plus, seuls 14 % des sondés indiquaient accepter volon tiers le partage de leurs données avec des tiers, contre 47 % de personnes réticentes à tout partage et 35 % exigeant une forme de contrôle sur la nature exacte des données partagées. Les personnes interrogées disent également se soumettre à une sorte d’autodiscipline pour reprendre le contrôle de leurs données. D’après l’étude Symantec, plus de la moitié (57 %) du panel évitent désormais de publier des informations personnelles en ligne. Cette autodiscipline a de quoi 77 inquiéter des acteurs économiques du Net, dans la mesure où un internaute sur trois admet transmettre de fausses informations pour protéger sa vie privée. De leur côté, les pirates font preuve d’une patience redou table. Une fois infiltrés sur le réseau de l’entreprise, ils attendent dans l’ombre, observant l’activité et les schémas comportementaux des utilisateurs : ils apprennent ainsi qui fait quoi, et comment, pour non seulement cibler leurs proies avec davantage de précision, mais aussi se faire passer pour elles et exploiter leurs privilèges. Ces attaques de longue haleine ont en effet pour but de voler et d’utiliser des identifiants légitimes pour dissimuler les actes malveillants sous couvert de normalité et passer inaperçus le plus longtemps possible. Elles se différencient ainsi des attaques au grand jour qui donnent immédiatement l’assaut après une violation. Les contours de l’entreprise ne sont pas aussi nets qu’ils l’étaient autrefois – et la généralisation des terminaux mobiles ne fait que compliquer les choses. Quant aux données, elles sont de plus en plus stockées sur ces terminaux, mais aussi et surtout dans le Cloud. Le terminal mobile est donc un véritable sésame pour l’accès aux données, d’autant plus qu’il est davantage susceptible de stocker les mots de passe en clair dans son cache, contrairement à l’ordinateur portable volé sur lequel les informations sont généralement cryptées. http://www.symantec.com/content/en/us/about/presskits/b-state-of-privacy-report-2015.pdf 60 I Symantec Website Security Solutions VIOLATIONS DE DONNÉES DANS LE SECTEUR DE LA SANTÉ Par Axel Wirth Sous l’impulsion des marchés et d’une volonté d’améliorer les soins de santé, de réduire les coûts et de se conformer aux exigences réglementaires, les prestataires de santé adoptent en masse les dossiers électroniques et le numérique pour les soins cliniques. La gestion des maladies chroniques d’une population vieillissante, l’émergence de méthodologies de diagnostic plus performantes et l’augmentation du nombre de patients couverts contribuent également à l’explosion des volumes de données. Résultat : les infrastructures informatiques se complexifient, les besoins d’intégration et d’échange d’informations se font de plus en plus pressants, de nouveaux modèles d’administration des soins et de remboursements font leur apparition, et les données s’accumulent. La conjonction de ces tendances fait de la santé une cible de choix pour les pirates, augmentant d’autant le risque de violations de données – intentionnelles ou pas. Dans le secteur de la santé, le nombre de violations de données a connu une hausse de 23 % en 2014. Contrairement aux violations de données dans leur globalité, les cas recensés dans la santé mettent principalement en cause l’erreur humaine et le vol de matériel – en rapport ou non avec les données présentes sur l’appareil. De fait, la perte ou le vol d’équipements sont responsables de la majorité des violations commises – 45 % plus précisément selon le Norton Cybercrime Index, soit une hausse de 10 % par rapport à l’année précédente. La divulgation d’identités par erreur progresse également d’environ 11 % par rapport à 2014. Plus préoccupant encore, on note une augmentation des actes de malveillance visant à usurper l’identité des victimes, ou à commettre des fraudes financières ou à l’assurance santé. Dans leur quête de données personnelles identifiables ou de données de santé protégées, les malfaiteurs semblent déterminés à pirater les systèmes des organismes de santé ou s’attirer des complicités internes pour mettre la main sur les dossiers numériques ou imprimés des patients. De fait, les violations de données de santé résultant de vols internes ont plus que doublé en 2014, tandis que celles qui sont le fait d’actes de piratage sont en hausse de 82 %. 78 À l’image des incidents survenus dans la grande distribution, des attaques plus avancées cibleront de plus gros volumes de dossiers numériques dans le but d’usurper l’identité des victimes. L’extorsion, le chantage et les indiscrétions à l’encontre de célébrités viennent compléter le tableau des actes malveillants dans le domaine de la santé. Les violations atteignent des chiffres record partout dans le monde. Et contrairement aux autres secteurs d’activité, elles touchent tous les types d’organismes de santé – du grand CHU à la clinique de proximité. Ni le lieu ni la taille ne semblent être un gage de protection, comme en témoigne le cas d’un petit hôpital de 22 lits en milieu rural (aux ÉtatsUnis, dans le sud de l’Illinois), victime d’un vol de données de patients et d’une demande de rançon sous la menace de publication de ces renseignements78. Si certains hôpitaux ont mis en place des programmes de cybersécurité renforcés, d’autres peinent encore à instaurer un système de cryptage pour protéger les données stockées sur les terminaux mobiles, ordinateurs portables, ou autres supports de stockage en cas de perte ou de vol. Faute d’investir suffisamment dans la cybersécurité, trop d’établissements de santé tombent sous les coups d’attaques toujours plus ciblées et élaborées. Hôpitaux, laboratoires pharmaceutiques ou biotechnologiques, fabricants d’appareillages médicaux, assureurs et mutuelles de santé, administration… la plupart des acteurs de la santé sont mal préparés face aux risques de cyberattaques d’aujourd’hui. « Illinois hospital reports data blackmail » ; PC World ; 15 décembre 2014 ; http://www.pcworld.com/article/2859952/illinois-hospital-reports-data-blackmail.html Symantec Website Security Solutions I 61 Le SANS Institute (SysAdmin, Audit, Network, Security), le Département américain de la sécurité intérieure, le FBI, la FDA (Food and Drug Administration) et de nombreux orga nismes ont tous émis des avertissements à faire froid dans le dos. Le problème ne concerne pas uniquement les ÉtatsUnis puisque des violations de données ont été signalées dans d’autres pays. Sur un marché souterrain en plein boom, les malfaiteurs monétisent ces données médicales de toutes sortes de façons, et pour toutes sortes de raisons. Les informations médicales semblent tout d’abord plus complètes que ce que l’on peut se procurer ailleurs. Données démographiques, numéros de sécurité sociale, informations sur les comptes et cartes bancaires, réfé rences des polices d’assurance/mutuelles, bilans de santé, descripteurs physiques… tous ces renseignements sont compris et peuvent servir à l’usurpation d’identité, la fraude financière, les fausses ordonnances, l’obtention de services médicaux ou la revente sur le marché noir. Les caractéristiques physiques des patients peuvent également être détournées pour se procurer de faux passeports, visas ou autres documents d’identité79. Pour une personne mal intentionnée, difficile de résister devant cette masse de données de qualité ! Mais pour les victimes, les conséquences d’une usurpation médicale vont bien au-delà de la simple arnaque financière. Difficilement corrigibles, les données erronées d’un dossier médical peuvent entraîner des erreurs ou des retards de diagnostic ou de traitement, sans parler des répercussions sur le plan professionnel. Contrairement à la fraude financière où la responsabilité du consommateur est limitée, il n’existe que peu de protection contre la fraude médicale et ses conséquences à long terme80. Si les numéros de carte bancaire se revendent entre 0,50 et 1 dollar l’unité sur le marché noir, des informations d’identité et d’assurance de base peuvent se monnayer entre 1081 et 50 dollars82, suivant le nombre de renseignements qu’elles contiennent – carte d’assuré, permis de conduire et carte bancaire, par exemple. L’augmentation actuelle du nombre de violations de données médicales devrait se poursuivre. Si les pertes ou les vols de matériel représentent historiquement la principale cause de compromission pour les organismes de santé, ils sont désormais confrontés à une hausse des attaques ciblées dont les répercussions peuvent être très graves, tant pour eux-mêmes que pour leurs patients. Même si les causes non intentionnelles (perte involontaire de matériel ou exposition accidentelle de données) restent le premier facteur, les violations commises par des cybermalfaiteurs ou des complices internes s’accélèrent. Dans ce contexte, les organismes de santé doivent non seulement mettre en place les processus nécessaires en cas de perte ou de vol de matériel, mais également se protéger de la convoitise d’éléments extérieurs sur leurs données. « Medical identity theft proves lucrative in myriad ways » ; Fierce Health IT ; 21 octobre 2014 ; http://www.fiercehealthit.com/story/medical-identify-theft-proveslucrative-myriad-ways/2014-10-21?utm_medium=nl&utm_source=internal « The Growing Threat of Medical Identity Fraud: A Call to Action » ; Medical Identity Fraud Alliance (MIFA) ; juillet 2013 ; http://medidfraud.org/wp-content/ uploads/2013/07/MIFA-Growing-Threat-07232013.pdf 81 « Your medical record is worth more to hackers than your credit card » ; Reuters ; 24 septembre 2014 ; http://www.reuters.com/article/2014/09/24/uscybersecurity-hospitals-idUSKCN0HJ21I20140924 82 « Stolen EHR Charts Sell for $50 Each on Black Market » ; MedScape ; 18 avril 2014 ; http://www.medscape.com/viewarticle/824192 79 80 62 I Symantec Website Security Solutions RÉSEAUX SOCIAUX ET ARNAQUES Symantec Website Security Solutions I 63 EN BREF 1 Sur les réseaux sociaux, les arnaqueurs courent après les commissions de programmes d’affiliation. Ils font miroiter de l’argent, du sexe et des pertes de poids aux socionautes pour les inciter à cliquer et s’inscrire. 2 De nombreux internautes utilisent le même mot de passe sur de multiples réseaux, ce qui permet aux cybercriminels de spammer plusieurs comptes à la suite d’un seul et unique acte de piratage. 3 Les arnaqueurs exploitent le pouvoir de la preuve sociale en s’appuyant sur des personnes réelles plutôt que sur des botnets pour diffuser leur arnaque. 4 De nombreuses attaques de phishing se basent sur des faits avérés ou inventés pour exploiter les peurs de tout un chacun (piratage informatique, alertes de santé publique, etc.) ou encore le goût de nombreux socionautes pour le sensationnel. 64 I Symantec Website Security Solutions INTRODUCTION En 2014, les cybercriminels se sont emparés du principe de « preuve sociale », l’idée selon laquelle nous attribuons davantage de valeur à ce que d’autres partagent ou approuvent. Le parfait exemple reste celui de deux restaurants, dont l’un est plein et l’autre vide. Les gens auront toujours tendance à faire la queue devant le restaurant qui affiche complet, car sa popularité est synonyme de qualité à leurs yeux. Les cybercriminels ont repris cette théorie à leur compte en piratant des comptes réels sur des plates-formes comme Snapchat. Leur but : faire passer un faux produit ou un lien frauduleux pour une recommandation de l’une de vos connaissances, et ainsi gagner votre confiance. En 2014, les internautes ont également sous-évalué le pouvoir de leurs données, fournissant librement leur adresse e-mail et autres identifiants sans vérifier la légitimité du site Web visité. Bien que les arnaqueurs aient sans aucun doute perfectionné leurs tactiques, tout en s’aventurant sur de nouveaux terrains en 2014, ils doivent encore une grande part de leur succès à la propension des internautes à tomber dans des pièges prévisibles et faciles à éviter. Symantec Website Security Solutions I 65 ARNAQUES SUR LES RÉSEAUX SOCIAUX Les cybercriminels vont là où se trouvent leurs victimes potentielles. De fait, l’énorme popularité des grands réseaux sociaux les transforme en véritables terrains minés. De même, le succès grandissant des applis de messagerie et de rencontres a attiré la convoitise d’arnaqueurs qui y exercent de plus en plus leurs funestes talents. Par exemple, les arnaqueurs ont profité du décès de l’acteur Robin Williams pour partager une soi-disant vidéo d’adieu. Mais avant de pouvoir visionner cette vidéo, les victimes devaient la partager avec des amis, répondre à un questionnaire, télécharger un logiciel ou se voir redirigées vers un faux site d’information. La vidéo n’existait évidemment pas.83 Facebook, Twitter et Pinterest Cette année, le curseur des arnaques « sociales » s’est déplacé vers les partages manuels. On parle de partage manuel lorsque les socionautes postent volontairement, ou à leur insu, des vidéos, des news, des photos et des offres alléchantes contenant des liens vers des sites malveillants ou affiliés. Boîte de dialogue de partage Facebook avec commentaires et partages factices Un site d’arnaque demande à l’utilisateur d’installer un faux plugin Facebook MÉDIAS SOCIAUX, 2012 – 2014 % POURCENTAGE 80 2012 81 70 2013 60 2014 50 70 56 40 30 20 23 10 18 10 0 Fausses offres 7 5 Life-jacking 0 0 1 Comment-jacking 3 2 1 Fausses applis 2 Partage manuel Source : Symantec | Safe Web 83 http://www.symantec.com/connect/blogs/robin-williams-goodbye-video-used-lure-social-media-scams 66 I Symantec Website Security Solutions En 2014, 70 % des attaques sur les réseaux sociaux se sont propagées par les utilisateurs eux-mêmes, contre seulement 2 % en 2013. Avec le partage manuel, nul besoin de piratage ou de détournement de session : les victimes et leur réseau font tout le travail. Dans d’autres types d’arnaques sociales, les cybercriminels doivent cependant se démener un peu plus. À commencer par les détournements du bouton ‘J’aime’ (likejacking) ou des commentaires. Cette pratique consiste à demander aux victimes de cliquer sur un bouton ‘Continuer’ ou ‘Vérifier’ pour accéder à du contenu racoleur. En fait, elles ‘aiment’ sans le savoir le post en question, ce qui augmente sa popularité et sa visibilité. Les victimes ne voient aucun danger à fournir leurs coordonnées. D’après notre rapport d’enquête Norton Mobile Apps, 68 % des personnes interrogées fournissent volontiers diverses informations privées en échange d’une appli gratuite.87 En fait, certaines sont même prêtes à envoyer un euro de frais de ports à l’arnaqueur pour recevoir un prétendu cadeau qui n’arrivera évidemment jamais. Le montant est si négligeable que personne ne s’en inquiète, mais les victimes livrent plus d’informations précieuses et les arnaqueurs reçoivent du cash en bonus.88 Instagram Ce type d’arnaque est particulièrement fréquent sur Instagram, notamment parce qu’il n’existe aucun système de vérification de la légitimité des comptes. En outre, dès qu’un internaute mord à l’hameçon, ses followers verront la photo postée et se précipiteront eux aussi dans les filets de l’arnaqueur. La plate-forme de partage de photos Instagram possède désormais plus d’utilisateurs actifs mensuels que Twitter. Cette popularité n’a pas échappé aux services marketing des grandes marques.84,85 En 2014, parmi les arnaques les plus vues sur Instagram figuraient celles où des cybercriminels tentaient de monétiser des comptes préremplis de photos et d’imiter des offres d’utilisateurs professionnels légitimes. Un autre mode opératoire consiste à créer des comptes de soi-disant gagnants du loto prêts à partager leurs gains avec tout nouveau follower. Autre cas de figure : les arnaqueurs se réclament d’une marque célèbre distribuant des bons-cadeaux. Pour recevoir le bon, les utilisateurs d’Instagram sont invités à suivre le compte frauduleux et à transmettre leurs informations personnelles (adresse e-mail, etc.) dans un commentaire. Une fois qu’un compte frauduleux a acquis suffisamment de followers, les cybercriminels en modifient le nom, la photo et la bio. Ainsi, lorsque les victimes découvrent le subterfuge, plus possible de retrouver le compte pour le signaler comme spam. Ensuite, les cybercriminels n’ont plus qu’à monnayer ce compte remaquillé et tous ses followers au plus offrant. Peu de temps après, un nouveau compte apparaît géné ralement sous l’apparence du faux profil d’origine, affir mant que l’ancien compte avait été piraté, et l’arnaque repart pour un nouveau tour. Comptes Instagram via lesquels des arnaqueurs se font passer pour de vrais gagnants du loto86 http://blog.instagram.com/post/104847837897/141210-300million https://investor.twitterinc.com/releasedetail.cfm?ReleaseID=878170 86 Image issue de : http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers 87 http://www.slideshare.net/symantec/norton-mobile-apps-survey-report 88 http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers 84 85 Symantec Website Security Solutions I 67 Plates-formes de messagerie Cette année, ce fut au tour de Snapchat, l’appli sociale permettant d’envoyer des images et vidéos qui s’auto détruisent au bout de 10 secondes après ouverture du message, de se retrouver dans la tourmente. Au mois d’octobre, plusieurs comptes Snapchat ont été piratés, diffusant aussitôt à leurs contacts des messages contenant des liens « live » faisant la promotion de pilules d’amaigrissement. Snapchat affirme que ces comptes ont été compromis car certains utilisateurs auraient réutilisé le même mot de passe sur plusieurs sites Web, dont l’un aurait été piraté.89 Souvent, les politiques de sécurité et de confidentialité de ces nouveaux réseaux sociaux ne sont pas aussi strictes qu’elles pourraient ou devraient l’être. Pour ne rien arranger, les utilisateurs ont tendance à utiliser le même mot de passe sur plusieurs plates-formes, sans parler des applis tierces douteuses censées améliorer leur expérience d’utilisation. À moins que les socionautes prennent enfin conscience des dangers auxquels ils s’exposent, ce type de piratage de compte devrait être monnaie courante en 2015, quelle que soit la prochaine plate-forme en vogue. Les services de raccourcissement d’URL sont bien connus des socionautes et des spammeurs. Pour ces derniers, leur attractivité réside dans le fait qu’ils masquent le nom de domaine du site de spam. Mieux encore, en ajoutant un signe « + » à la fin de l’URL bit.ly, les spammeurs et leurs affiliés peuvent désormais accéder aux statistiques de clics et autres indicateurs démographiques. Les URL raccourcies apparaissent souvent dans les formes de spam classiques et nouvelles (e-mail, SMS et réseaux sociaux). En octobre, Symantec a également été témoin d’un incident qui a vu resurgir des images Snapchat censées avoir été détruites. Baptisée « snappening » sur la Toile, cette attaque provenait d’une appli tierce non validée que certains utilisaient pour archiver leurs photos Snapchat. Exemple de compromission d’un compte utilisateur légitime pour l’envoi de spams à son cercle d’amis. La victime est rapidement prévenue par Snapchat. 3 2 1 19 janvier 2015 24 janvier 2015 Exemple de taux de clics pour l’URL incluse dans l’exemple de spam Snapchat ci-dessus 89 http://www.symantec.com/connect/blogs/hacked-snapchat-accounts-use-native-chat-feature-spread-diet-pill-spam 68 I Symantec Website Security Solutions 29 janvier 2015 Arnaques sur les sites de rencontres Cybercrime et contenus à caractère sexuel ont toujours fait bon ménage, et ce n’est pas 2014 qui contredira cet état de fait. L’année dernière, ces arnaques aux contenus pour adultes ont frappé des applis de rencontres comme Tinder, ainsi que les services de messagerie comme Snapchat et Kik Messenger. L’objectif est d’inciter des personnes à cliquer et s’inscrire sur des sites Web externes, l’arnaqueur touchant au passage sa commission dans le cadre d’un programme d’affiliation.90 blamcams a en effet récolté près d’un demi-million de clics à travers sept URL, et ce en moins de quatre mois.92 Tant pour les affiliés à des programmes que pour les arnaqueurs qui récupèrent des numéros de cartes bancaires sur de faux sites de webcams, il s’agit d’une excellente source de revenus. Certains programmes d’affiliation opèrent un système de commission au clic, tandis que d’autres ne paient que pour une inscription effective ou des informations de carte bancaire. Certains sites versent jusqu’à 6 $ par inscription et jusqu’à 60 $ en cas de souscription d’une offre premium.91 En d’autres termes, ces programmes d’affiliation peuvent constituer une véritable poule aux œufs d’or pour les cybercriminels. (Pour en savoir plus sur le marketing d’affiliation, voir Programmes d’affiliation : nids à arnaques sur les réseaux sociaux.) En règle générale, l’arnaque commence par la création d’un profil de jeune femme proposant un service de webcam pour adultes, du sexting ou une rencontre. Sur Tinder, on a même vu des photos assorties d’un texte superposé offrant des services de prostitution. Les arnaqueurs intègrent le texte à l’image afin de passer à travers les filtres antispam. Le destinataire doit ensuite cliquer sur un lien ou se rendre manuellement sur un site Web d’affiliation pour prolonger la rencontre. En réalité, ces filles ne sont rien d’autre que des bots opérant sous couvert de photos sexy. Il n’y a donc personne à l’autre bout du réseau. Ces promesses de contenu à caractère sexuel marchent très fort : une seule campagne autour d’un site baptisé Exemples de spam de type « cam-girl » apparaissant comme nouveau chat sur Kik Messenger93 Exemples de faux profils de prostituées sur Tinder http://www.symantec.com/connect/blogs/adult-webcam-spam-all-roads-lead-kik-messenger http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 93 Source : http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 90 91 92 Symantec Website Security Solutions I 69 Code malveillant sur les médias sociaux Essor des réseaux « antisociaux » Bien que l’objectif de la plupart des arnaques au « share » soit d’engranger des clics et de toucher des commissions sur les programmes d’affiliation, l’une des arnaques sur Facebook en 2014 redirigeait la victime vers le kit d’exploit Nuclear. En cas de succès, le pirate pouvait prendre le contrôle de l’ordinateur de sa victime pour envoyer des e-mails de spam et télécharger d’autres fichiers malveillants.94 Les atteintes répétées à la vie privée – révélations de surveillance par les États et accumulation excessive de données personnelles par les fournisseurs de services – sont à l’origine de nouveaux réseaux sociaux qui privilégient le secret, la confidentialité et/ou l’anonymat, parmi lesquels Secret, Cloaq, Whisper, ind.ie et Post Secret. Toutefois, ces plates-formes sont devenues le paradis des potins et confessions en tous genres, et parfois même des pires travers de la nature humaine. Pour certains, le secret est l’avenir des réseaux sociaux95,96. Pour d’autres, les forums anonymes comme 4chan créent un véritable sanctuaire d’impunité pour les trolls, harceleurs et autres criminels97. Quant aux réseaux sociaux comme Twitter et Facebook, ils ont répondu aux inquiétudes des utilisateurs par une plus grande transparence et un renforcement de leurs politiques de confidentialité. Ainsi, Facebook publie désormais le nombre de requêtes de divulgation de données formulées par des États98, Twitter envisage la mise en place d’un mode « chuchotage »99 et Google a amélioré le cryptage de son service de messagerie Gmail100. C’est pourquoi les socionautes devraient se méfier de posts d’amis qui semblent suspicieusement racoleurs. Plutôt que de cliquer sur ces liens, mieux vaut se rendre directement sur un site d’information fiable pour y rechercher l’information en question. Même si la notion d’anonymat séduit les internautes, il est important de garder à l’esprit les inconvénients de telles pratiques. Certaines entreprises ont mis en place des règles et politiques très strictes sur le comportement en ligne de leurs salariés. Toutefois, beaucoup ne sont encore qu’en phase d’adaptation à ces environnements où des individus peuvent dire ce qu’ils veulent en toute impunité. Les entreprises doivent donc veiller à ce que leurs politiques de communication électronique répondent à ces problèmes, tout en mettant en place des technologies de détection d’éventuels manquements. Bien qu’un blocage pur et simple puisse être contre-productif, la surveillance s’avère elle indispensable. http://www.symantec.com/connect/blogs/facebook-scam-leads-nuclear-exploit-kit http://www.wired.com/2014/02/can-anonymous-apps-give-rise-authentic-internet/ 96 http://www.technologyreview.com/review/531211/confessional-in-the-palm-of-your-hand/ 97 Voir les nombreux problèmes révélés sur http://en.wikipedia.org/wiki/4chan 98 https://www.facebook.com/about/government_requests 99 http://thenextweb.com/twitter/2014/04/30/twitter-ceo-dick-costolo-whisper-mode-encourage-friends-privately-discuss-public-conversations/ 100 http://techcrunch.com/2014/03/20/gmail-traffic-between-google-servers-now-encrypted-to-thwart-nsa-snooping/ 94 95 70 I Symantec Website Security Solutions PHISHING TAUX D’E-MAILS DE PHISHING (HORS SPEAR PHISHING) 1 SUR 1000 965 750 500 250 414 392 2012 2013 2014 Source : Symantec I .cloud Malgré une chute entre juin et septembre, le taux global de phishing en 2014 était d’un e-mail sur 965, contre un sur 392 en 2013. Vers la fin de l’année, les attaques de phishing ont connu une nouvelle embellie dans le sillage du fameux piratage de comptes iCloud ayant causé le vol et la publication de photos de célébrités nues. Historiquement, les ID Apple ont toujours été une proie recherchée. Mais le scandale des photos a rendu les utilisateurs particulièrement réceptifs aux messages concernant la sécurité de leur compte iCloud. Une aubaine pour les phisheurs qui n’ont pas tardé à surfer sur ces craintes. TAUX DE PHISHING, 2012 – 2014 200 400 600 800 1 SUR 1000 1200 1400 1600 1800 2000 2200 J Source: Symantec I .cloud M M J 2012 S N J M M J 2013 S N J M M J S N 2014 Symantec Website Security Solutions I 71 Ainsi, le botnet Kelihos a envoyé des messages notifiant la victime d’un achat effectué sur son compte iCloud depuis un appareil et une adresse IP inhabituels. Le message l’incitait à vérifier son ID Apple en cliquant sur le lien qui la redirigeait à son insu vers une page de phishing. Le faux site Apple demandait à l’utilisateur de saisir son ID et son mot de passe, qui étaient ensuite exploités ou revendus par les cybercriminels.101 Des variations sur ce thème ont été observées tout au long de l’année 2014, avec en ligne de mire des informations de compte bancaire, de messagerie et de réseaux sociaux. brouiller les pistes avec l’utilisation de l’algorithme AES (Advanced Encryption Standard). Ce cryptage rend les sites de phishing plus difficiles à repérer. De fait, une analyse de base ne révélera aucun contenu de phishing puisque celui-ci se trouve dans du texte crypté, et donc indétectable. Faute de mise en garde par les logiciels de sécurité et les navigateurs, les internautes sont plus nombreux à tomber dans le piège.103 La plupart du phishing se propage via des e-mails ou des URL postées sur les réseaux sociaux. Sur ces sites, les pirates misent souvent sur des gros thèmes d’actualité comme l’épidémie d’Ebola, ou sur le dernier scandale de la presse people, pour appâter les internautes et leur demander de fournir des informations avant d’accéder à l’article ou à la vidéo promise. Par e-mail, le procédé de phishing reste sensiblement le même, à la différence près que la cible se compose généralement de professionnels auxquels les pirates cherchent à soutirer des logins de comptes bancaires, LinkedIn, de messagerie ou de stockage dans le cloud.102 Certains de ces e-mails se présentent comme des mises à jour de sécurité ou des signalements d’activité inhabituelle qui exigent du destinataire qu’il remplisse un formulaire sur un site, avec les cybercriminels à l’autre bout du réseau. L’origine de ces sites de phishing est souvent masquée afin d’empêcher le déclenchement d’alertes de sécurité dans les navigateurs des victimes. Cette année, les cybercriminels ont encore progressé dans l’art de Exemple d’e-mail de phishing envoyé aux victimes104 NOMBRE DE LIENS DE PHISHING SUR LES MÉDIAS SOCIAUX, 2009 – 2014 Source : Symantec I .cloud 60 50 Milliers 40 30 20 10 0 2010 2011 2012 2013 2014 101 http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign 102 LinkedIn : http://www.symantec.com/connect/blogs/linkedin-alert-scammers-use-security-update-phish-credentials Google Docs : http://www.symantec.com/connect/blogs/google-docs-users-targeted-sophisticated-phishing-scam Dropbox : http://www.symantec.com/connect/blogs/dropbox-users-targeted-phishing-scam-hosted-dropbox 103 http://www.symantec.com/connect/blogs/fresh-phish-served-helping-aes 104 Source : http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign 72 I Symantec Website Security Solutions ARNAQUES PAR E-MAIL ET SPAM C’est n’est pas seulement chez les phisheurs que l’e-mail a moins la cote. Le taux de spams mondial est lui aussi à la baisse. Depuis trois ans, le taux de spam global décline (69 % en 2012, 66 % en 2013, et 60 % en 2014). Même si l’on peut se réjouir d’une telle tendance, l’e-mail reste encore un gros vecteur d’arnaques très rentables pour leurs auteurs. Ce type d’arnaque a le vent en poupe du fait de la capacité des systèmes de sécurité à mieux filtrer les pièces jointes malveillantes. Toutefois, ces dernières restent encore très répandues du fait de l’incapacité de certaines entreprises à agir sur ce terrain. Au mois d’octobre, Symantec a signalé la prolifération d’e-mails autour d’un modus operandi bien précis. Souvent envoyés à des collaborateurs du service comp tabilité/finance des entreprises, ces messages de mise en demeure exigeaient un paiement immédiat par carte bancaire ou virement électronique. Les informations de l’expéditeur étaient soit inventées de toutes pièces, soit attribuées au PDG ou à un autre dirigeant de l’entreprise de la victime. Dans certains cas, les coordonnées bancaires se trouvaient en pièce jointe, dans d’autres, la victime devait les demander par retour d’e-mail. Vers la fin de l’année, les URL malveillantes ont néanmoins semblé prendre le dessus sur les pièces jointes, une tendance symptomatique d’un changement de tactique et de l’essor du spam par ingénierie sociale.105 TAUX DE SPAM GLOBAL 60 % 2014 66 % -6 % 2013 69 % -3 % 2012 Source : Symantec I Brightmail ESTIMATION DES VOLUMES QUOTIDIENS DE SPAM DANS LE MONDE 2014 2013 2012 Source : Symantec I Brightmail 105 28 milliards 29 milliards 30 milliards -1 % -1 % Symantec Website Security Solutions I 73 http://www.symantec.com/connect/blogs/scammers-pose-company-execs-wire-transfer-spam-campaign PROGRAMMES D’AFFILIATION : NIDS À ARNAQUES SUR LES RÉSEAUX SOCIAUX par Satnam Narang Si vous êtes allé sur les réseaux sociaux ces dix dernières années, vous aurez très certainement vu ce type d’offre s’afficher dans vos pages d’accueil et de profil : •Smartphones et billets d’avion gratuits, ou bons cadeaux •News à sensation et derniers ragots de la presse people (sex tape, décès) •Gros titres d’actualité (en particulier les catastrophes naturelles) •Offres de webcams voyeuristes ou de soi-disant escort girls Désormais, lorsqu’un réseau social a la cote, les arnaqueurs ne sont jamais bien loin. Bien que chaque plate-forme et chaque arnaque aient leurs particularités, les réseaux d’affiliation s’affichent comme le véritable moteur de ces combines. Très prisé des entreprises, le marketing d’affiliation constitue un formidable outil à générer de l’activité en ligne, notamment pour la vente de produits. Par exemple, un affilié pourra faire la promotion d’un livre sur sa page Web et rediriger vers un site revendeur. Sur chaque vente réalisée, l’affilié recevra une petite commission. Côté arnaqueurs, la méthode est la même. Il arrive même que l’entreprise soit légitime, mais que certains de ses affiliés usent de méthodes peu scrupuleuses pour profiter du programme. Pour que l’entreprise sache d’où vient le clic, les membres d’un programme d’affiliation ajoutent un numéro d’identification à la fin de l’URL de renvoi. Cela permet de comptabiliser la contribution de chaque affilié et de calculer les commissions dues. 74 I Symantec Website Security Solutions Pour les arnaqueurs, les réseaux d’affiliés sur les médias sociaux sont une véritable mine d’or. Chaque fois qu’un utilisateur doit remplir un questionnaire ou souscrire une offre premium, il devient filleul du programme d’affiliation en question. À force de ruse pour inciter les utilisateurs à effectuer ce genre d’action, l’arnaqueur s’enrichit. Les entreprises légitimes et certains réseaux d’affiliés tentent de lutter contre le problème des arnaques sur leurs plates-formes. Mais tant que l’argent coulera à flots, les pratiques frauduleuses ne sont pas prêtes de disparaître. En tant qu’entreprise, il est donc important de bien connaître les affiliés avec lesquels vous travaillez et leurs pratiques. Difficile d’y voir clair sur ces affiliés douteux et sur leurs modes de rémunération. Nombre d’entre eux ne divulguent aucune information à ce sujet. Toutefois, la plupart des réseaux d’affiliés mettent en ligne des annonces d’entreprises qui indiquent clairement ce qu’elles considèrent comme une conversion. Dans l’exemple cidessus, une publicité pour des cartes cadeaux Visa d’une valeur de 1 500 $, le programme comptabilise une conversion par adresse e-mail envoyée par le parrain. Pour cette entreprise en particulier, la conversion se monnaie à 1,40 $ l’unité pour l’affilié. Quant aux socionautes, ils devraient utiliser les réseaux avec circonspection, et se méfier des offres de gadgets, cartes cadeaux, billets d’avion gratuits, et autres invitations de jeunes femmes à rejoindre des sites de webcams et de rencontres pour adultes. Si quelqu’un vous demande de remplir un questionnaire ou de vous abonner à un service par carte bancaire, il s’agit très probablement d’une arnaque. Et comme le dit le vieil adage : si c’est trop beau pour être vrai, c’est que c’est sûrement le cas. Sur la fameuse application de rencontres Tinder, nous avons trouvé des liens vers des services de rencontres pour adultes et des sites de webcams. Ces sites promeuvent au grand jour leurs programmes d’affiliation. Ainsi, l’un d’entre eux verse à l’affilié jusqu’à 6 $ par nouvelle inscription, et jusqu’à 60 $ pour un abonnement à un service premium, qui implique généralement un paiement par carte bancaire. Au vu de tels tarifs, les conversions au service premium peuvent s’avérer extrêmement lucratives. Toutefois, les arnaqueurs attirent tellement d’internautes sur ces sites que même les inscriptions de base, à 6 $ l’unité, leur assurent une manne suffisante. Dans ces conditions, les abonnements à un service premium ne constituent pour eux que la cerise sur le gâteau. Symantec Website Security Solutions I 75 LE PHISHING DANS DES PAYS INATTENDUS par Nicholas Johnston Symantec analyse une proportion importante de trafic e-mail dans le monde. Récemment, nous avons été surpris par le pays d’origine de certaines attaques de phishing à l’encontre de certains établissements financiers. L’Angola et le Mozambique sont deux pays du sud de l’Afrique, respectivement à l’ouest et l’est du vaste continent. Or, ces pays sont loin d’être les premiers qui vous viennent à l’esprit lorsque vous pensez au phi shing, un procédé visant à collecter des informations sensibles à des fins lucratives. Pays en développement, le Mozambique dépend encore beaucoup de l’aide étrangère malgré des ressources naturelles abondantes. Avec un PIB juste sous la barre des 6 000 $ par habitant, l’Angola s’en sort mieux que le Mozambique (600 $ par habitant). Mais ils restent tous deux des pays pauvres. À titre de comparaison, le PIB mondial moyen par habitant avoisine les 10 400 $, tandis que celui des États-Unis s’élève à environ 52 800 $. Une campagne de phishing récente s’est attaquée à un grand établissement financier africain. Déguisés sous l’apparence d’une banque du Mozambique, les messages avaient pour objet « Mensagens & alertas: 1 nova mensagem! » (Messages et alertes : 1 nouveau message !) Le corps du message contenait un lien vers une version factice du site Web de la banque, où la cible devait saisir un certain nombre d’informations bancaires, permettant ainsi au pirate d’accéder au vrai compte bancaire de la victime. Pourquoi cibler les établissements financiers de ces pays ? On ne peut en être sûrs, mais l’un des principaux dangers du phishing demeure la facilité avec laquelle les pirates peuvent créer des sites factices. Au fil des ans, nous avons constaté l’existence de nombreux kits 76 I Symantec Website Security Solutions de phishing – des fichiers zip contenant des sites clé en main, qu’il ne reste plus qu’à déployer sur un serveur Web nouvellement compromis. Du point de vue des criminels, les barrières à l’entrée sont donc peu élevées. En ciblant des établissements plus petits ou sur des marchés plus niches, les phisheurs évitent également d’entrer en compétition avec leurs pairs. En outre, les internautes des pays en développement sont moins sensibilisés aux dangers du phishing qu’aux États-Unis ou en Europe, par exemple. Selon toute vraisemblance, les arnaques au phishing ciblant l’Angola et le Mozambique proviennent de l’intérieur ou de pays voisins. Les phisheurs des pays développés ne s’intéresseront pas à la manne financière relativement faible de comptes bancaires en Angola ou au Mozambique. En revanche, le butin peut sembler plus alléchant pour un habitant d’Angola, du Mozambique ou d’un pays voisin avec un niveau de vie similaire. De même, les phisheurs de ces pays auront davantage de facilité à utiliser eux-mêmes les identifiants volés localement plutôt qu’à les revendre. Dans un contexte d’intensification des interactions en ligne, le phishing est appelé à se développer. De fait, les cibles sont légions et les barrières à l’entrée conti nueront de baisser. Même les établissements du petit royaume enclavé du Bhoutan, dans l’est de l’Himalaya, ont déjà été la cible d’attaques de phishing. Conclusion : plus personne n’est à l’abri. PERSPECTIVES RÉTROSPECTIVE + ANALYSE = PROSPECTIVE 77 I Symantec Website Security Solutions PERSPECTIVES Ludification de la sécurité Comme le remarquait très justement Nicholas Machiavel, célèbre conseiller en sécurité du XVe siècle, « les hommes sont si simples et si faibles que celui qui veut tromper trouvera aisément des dupes. » La sécurité sur Internet repose tout autant sur l’humain que sur les technologies. Si les internautes étaient mieux avisés, ils courraient certainement moins de risques. Cela s’applique autant aux consommateurs face aux arnaques qu’aux salariés des pouvoirs publics en proie à l’ingénierie sociale. Dans ce contexte, la ludification106 (de l’anglais gamification) peut aider à transformer « les impulsions du moment » en bonnes habitudes durables. La clé : des récompenses psychologiques et la gratification immédiate propre aux petits jeux sur PC. Par exemple, la ludification peut servir à sensibiliser les utilisateurs aux dangers des e-mails de phishing, ou à générer, mémoriser et utiliser des mots de passe forts. Dans les années à venir, de telles formations sont appe lées à constituer un marché porteur pour répondre à un besoin colossal. Simulation d’attaque Pour mieux se préparer à une cyberattaque et évaluer la solidité des défenses en place, les entreprises peuvent recourir aux jeux et simulateurs de « guerre cybernétique ». En prolongeant les tests d’intrusion conventionnels par une simulation d’intervention et de résolution, elles pourront mieux former leurs effectifs et hausser leur niveau de préparation. Les États l’ont bien compris. Ainsi, en janvier 2015, le Premier ministre britannique David Cameron et le Président des États-Unis Barack Obama ont accepté de simuler une guerre cybernétique entre leurs deux nations107. Cette année, des entreprises devraient suivre leur exemple. Les chances sont du côté de l’attaquant Dans la guerre qui oppose les hackers aux services de sécurité informatique des entreprises, un seul coup de chance suffit aux attaquants. Les départements IT, eux, ne peuvent se permettre la moindre malchance. Partant de ce constat, les responsables informatiques (et, bien entendu, les particuliers) doivent se préparer au pire. Aucune technologie ne vous met 100 % à l’abri du cybercrime ou des attaques ciblées de groupes déterminés. Mieux vaut donc partir du principe que vous avez été piraté ou que vous êtes sur le point de l’être. Bref, plutôt qu’une vision binaire (sécurisé/non sécurisé) de votre protection, adoptez une approche plus nuancée, presque médicale, des tendances et des symptômes, ainsi que de la prévention, du diagnostic et du traitement des comportements. Gamification from Efrain Ortiz interview http://www.bbc.co.uk/news/uk-politics-30842669 108 Partez du principe que vous avez été piraté, tiré de l’entretien d’Efrain Ortiz 109 Efrain Ortiz 110 http://www.informationweek.com/software/operating-systems/windowsxp-stayin-alive/d/d-id/1279065 111 Entretien avec Candid Wueest 112 Entretien avec Vaughn Eisler D’un point de vue technique, une telle approche implique l’installation d’un bon logiciel de prévention des pertes de données sur chaque terminal, passerelle et serveur de messagerie afin d’empêcher l’exfiltration de données. Elle accorde également bien plus d’importance aux sauvegardes et à la reprise d’activité, ainsi qu’à la détection et aux plans d’intervention. Ceci n’est pas un constat d’échec – la prévention doit évidemment continuer à jouer son rôle de dissuasion –, mais mieux vaut se préparer au pire que d’être pris au dépourvu108. De l’importance du partage de données entre entreprises Le partage de données entre entreprises s’avère essentiel au maintien de la sécurité109. Historiquement, les entreprises ont toujours eu des réticences à divulguer trop d’informations, si bien qu’elles se sont retrouvées seules dans la bataille contre le cybercrime. Nous sommes convaincus qu’elles doivent mutualiser leurs dispositifs de veille et partager leurs expériences pour mieux lutter ensemble. Dans cette optique, les outils permettant cette mutualisation, tout en maintenant un certain degré de protection IP, sont appelés à se développer. Par exemple, des plates-formes d’échange de données électroniques de sécurité pourraient partager des hachages, des attributs binaires, des symptômes, etc. sans révéler aucun secret ni information d’entreprise potentiellement utile pour une attaque. Systèmes d’exploitation non sécurisés En juillet 2014, un quart des PC étaient encore sous Windows XP et Office 2003110, et ce malgré la fin du support et des mises à jour par Microsoft. Beaucoup préfèrent fermer les yeux111, au risque de se retrouver sans défense face aux nouvelles menaces. Cette situation représente un grave risque de sécurité pour l’année à venir. Pour les appareils embarqués équipés de systèmes d’exploitation obsolètes, les entreprises devront trouver de nouveaux moyens de les protéger jusqu’à leur remplacement ou leur mise à niveau. Internet des objets À mesure que les consommateurs s’équipent de montres intelligentes, de trackeurs d’activité, de casques holographiques et autres wearables inventés dans la Silicon Valley et à Shenzhen, tous ces produits devront être de plus en plus sécurisés. Dans cet univers bouillonnant de nouvelles idées, l’innovation prime encore sur la vie privée. Faute d’une législation adaptée, d’un scandale dont les médias sont friands et d’une sensibilisation des consommateurs aux dangers existants, il est peu probable que les questions de sécurité et de confidentialité bénéficient de toute l’attention qu’elles méritent112. 106 107 Symantec Website Security Solutions I 78 RECOMMANDATIONS ET BONNES PRATIQUES 79 I Symantec Website Security Solutions En dépit des vulnérabilités apparues cette année, les technologies SSL et TLS sont et restent la référence absolue pour la protection des visiteurs de votre site Web et de leurs informations. En fait, avec tout le tapage autour du bug Heartbleed, jamais les entreprises n’ont été aussi nombreuses à s’attirer les services de développeurs SSL pour travailler sur le code et rectifier les erreurs. En d’autres termes, la vulnérabilité des bibliothèques SSL a permis de faire le ménage et d’instaurer un ensemble de bonnes pratiques. 2014 fut aussi l’année d’un renforcement sans précédent des algorithmes des certificats SSL. Ainsi, Symantec et d’autres AC sont passées au cryptage SHA-2 par défaut, sur fond de retrait progressif des certificats racines à clés 1 024 bitsI. Renforcement de votre parc SSL Microsoft et Google prévoient d’invalider tous les certificats SHA-1 expirant à partir du 1er janvier 2016II. Autrement dit, si vous n’avez pas migré vers SHA-2 d’ici là, tout accès à votre site dans Chrome pourra déclencher un avertissement de sécurité. Quant à Internet Explorer, il ne reconnaîtra plus les certificats SHA-1 à partir du 1er janvier 2017. Symantec recommande également l’utilisation de l’algorithme ECC, dont le cryptage est beaucoup plus puissant que RSA. Tous les principaux navigateurs, même mobiles, prennent en charge les certificats ECC sur les dernières plates-formes, avec à la clé trois grands avantages : 1.Sécurité renforcée. Par rapport à une clé RSA standard de 2 048 bits, les clés ECC de 256 bits sont 64 000 fois plus complexes à déchiffrerIII. En d’autres termes, pour craquer cet algorithme, il faudrait une puissance de calcul phénoménale et une attaque par force brute infiniment plus longue. 2.Meilleures performances. Auparavant, les propriétaires de sites craignaient que l’installation de certificats SSL ne ralentisse leur site Web. Cette situation a conduit de nombreux sites à n’opter pour une utilisation que partielle du SSL, d’où de sérieuses vulnérabilités. Par rapport à RSA, ECC consomme beaucoup moins de ressources CPU et peut donc gérer simultanément plus d’utilisateurs et de connexions. Ainsi, l’implémentation d’Always-On SSL devient aussi sensée que viable. 3.Perfect Forward Secrecy (PFS). Bien que la confidentialité persistante (Perfect Forward Secrecy, PFS) soit une option disponible sur RSA comme sur ECC, les certificats ECC affichent de bien meil leures performances. L’avantage pour vous ? Sans PFS, si un hacker s’empare de vos clés privées, il pourra rétrospectivement déchiffrer toutes les données qu’il aura exfiltrées. Or, comme Heartbleed nous l’a rappelé, ce risque est bel et bien réel pour de très nombreux sites. Avec PFS, même en possession des clés privées de vos certificats SSL, un hacker ne pourra décrypter que les informations protégées par ces clés ultérieurement. Impossible de déchiffrer des données passées. Comme nous avons pu le voir en 2014, l’efficacité de la technologie SSL dépend tout autant de son implémentation que de sa maintenance. Nos recommandations : •Optez pour Always-On SSL. Protégez toutes les pages de votre site Web par SSL afin de crypter et d’authentifier toutes les interactions entre votre site et vos visiteurs. Du bon usage de la technologie SSL •Gardez vos serveurs à jour. Au-delà des bibliothèques SSL de serveurs, installez tout correctif ou mise à jour aussi rapidement que possible. Après tout, ils sont publiés pour une bonne raison : réduire, voire éliminer, une vulnérabilité. • Affichez des marques de confiance reconnues (comme le sceau Norton Secured) sur des points stratégiques de votre site Web, comme gage de votre sérieux sur les questions de sécurité. • Procédez à des analyses régulières. Gardez un œil sur vos serveurs Web afin de détecter tout malware ou vulnérabilité. •Gardez la configuration de vos serveurs à jour. Désactivez les anciennes versions du protocole SSL non sécurisées (SSL2 et SSL3) au profit des nouvelles versions du protocole TLS (TLS1.1 et TLS1.2). Utilisez des outils comme la Symantec SSL Toolbox pour vérifier la configuration de vos serveursiv. http://www.symantec.com/page.jsp?id=1024-bit-certificate-support http://www.symantec.com/en/uk/page.jsp?id=sha2-transition iii http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa iv https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp i ii Symantec Website Security Solutions I 80 Pour garantir la protection de vos sites et serveurs, il est primordial de faire preuve de bon sens et d’adopter les bons réflexes : •Veillez à ce que vos salariés n’ouvrent pas les pièces jointes d’expéditeurs inconnus. Sensibilisation de vos salariés •Sensibilisez-les aux risques des réseaux sociaux : offres trop belles pour être vraies, sujets d’actualité comme appâts pour les arnaques, liens vers des pages de connexion frauduleuses, etc. •Encouragez-les à opter pour une authentification à deux facteurs sur tous les sites Web et toutes les applis qui le proposent. •Assurez-vous qu’ils utilisent différents mots de passe pour chaque compte de messagerie, application et login – en particulier pour les sites et services professionnels. •Rappelez-leur quelques règles de bon sens – leur antivirus ne les immunise par contre les sites Web malveillants ou suspects. Les cybercriminels sont devenus plus agressifs, plus habiles et plus impitoyables que jamais pour profiter des faiblesses du Net. Toutefois, les particuliers et les entreprises peuvent faire beaucoup pour limiter leur impact. La sécurité, une question de réputation v Le grand public a pris conscience des enjeux de la technologie SSL et de la sécurité des sites Web. À vous de prendre les bonnes mesures pour éviter le purgatoire de HTTP Shaming, site de dénonciation des applis et services laxistes sur les questions de sécurité.v Pour les entreprises et leurs sites Web, un bon dispositif de sécurité bien implémenté reste encore le meilleur garant de leur réputation et de leur stabilité financière. Alors en 2015, sécurisez votre site Web avec Symantec. http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/ 81 I Symantec Website Security Solutions L’ENTREPRISE SYMANTEC Spécialiste de la protection de l’information, Symantec Corporation (NASDAQ : SYMC) met son expertise au service des particuliers, des entreprises et des pouvoirs publics qui cherchent à exploiter toutes les potentialités des nouvelles technologies. Fondée en avril 1982, Symantec fait aujourd’hui partie des entreprises du Fortune 500 et opère l’un des réseaux de cyberveille les plus vastes au monde. Leader des solutions de sécurité, de sauvegarde et de disponibilité, l’entreprise protège l’information aux points de stockage, d’accès et de partage. Symantec emploie plus de 20 000 personnes dans plus d’une cinquantaine de pays à travers le monde. 99 % des sociétés du Fortune 500 font confiance à Symantec. Sur l’exercice 2013, l’entreprise a réalisé un chiffre d’affaires de 6,9 milliards de dollars. Pour en savoir plus, rendez-vous sur www.symantec.fr ou retrouvez Symantec sur les réseaux sociaux : www.symantec.com/fr/fr/social. Pour plus d’informations • Symantec France : http://www.symantec.fr/ • ISTR et ressources des équipes de veille Symantec : http:/www.symantec.com/fr/fr/threatreport/ • Symantec Security Response : http://www.symantec.com/fr/fr/security_response/ • Norton Threat Explorer : http://fr.norton.com/security_response/threatexplorer/ • Norton Cybercrime Index : http://fr.norton.com/cybercrimeindex/ 82 I Symantec Website Security Solutions Retrouvez sur notre site la liste de nos bureaux nationaux et leurs coordonnées téléphoniques. Pour plus d’informations sur nos produits, composez le : 0800 90 43 51 ou +41 (0) 26 429 77 24 Symantec France Symantec Website Security Solutions, Tour Egée, 17, avenue de l’Arche 92671 Courbevoie Cedex France www.symantec.fr/ssl © 2015 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, le logo en forme de coche et le logo Norton Secured sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux États-Unis et dans d’autres pays. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs.