rapport sur les menaces de sécurité des sites web i 2015

Transcription

RAPPORT SUR LES MENACES DE SÉCURITÉ
DES SITES WEB I 2015
SOMMAIRE
Introduction
3
Avant-propos
4
Cybermenaces
5
Cybercrime
21
Attaques ciblées
36
Violations de données
53
Réseaux sociaux et arnaques
63
Perspectives
77
Recommandations
79
L’entreprise Symantec
82
2
I Symantec Website Security Solutions
INTRODUCTION
Symantec dispose du système de cyberveille le plus exhaustif de la planète. Son
nom : Symantec™ Global Intelligence Network. Doté de plus de 41,5 millions de
détecteurs d’attaques, cet observatoire enregistre des milliers d’événements à la
seconde.
Pour surveiller l’activité sur le front des menaces dans
plus de 157 pays et territoires, le Global Intelligence
Network associe plusieurs produits et services Symantec
(Symantec DeepSight™ Intelligence, Symantec™
Managed Security Services, Symantec Website
Security Solutions, produits Norton™, etc.) à des
sources de données externes.
Symantec gère par ailleurs l’une des bases de données
de vulnérabilités les plus complètes au monde, avec
à ce jour plus de 60 000 vulnérabilités répertoriées
sur plus de 54 000 produits développés par plus de
19 000 constructeurs informatiques et éditeurs de
logiciels.
Nos statistiques sur les « pourriels » (spams), le
hameçonnage (phishing) et les maliciels (malwares)
proviennent de diverses sources, dont notamment
le Symantec Probe Network – un système de plus
de 5 millions de comptes leurres –, Symantec.cloud,
les produits Symantec Website Security Solutions
d’analyse antimalware et de détection des vulnéra
bilités, et plusieurs autres technologies de sécurité
signées Symantec.
Skeptic™, la technologie heuristique développée par
Symantec.cloud, est capable de détecter de nouvelles
menaces ciblées et ultra perfectionnées en amont,
avant qu’elles ne frappent les réseaux des clients.
Plus de 8,4 milliards de messages électroniques sont
ainsi traités chaque mois, tandis que plus de 1,7 milliard de requêtes Web sont filtrées chaque jour dans
14 data centers. Symantec assure également une
veille des activités de phishing à travers un vaste
écosystème d’entreprises, d’éditeurs de solutions de
sécurité et plus de 50 millions de consommateurs.
Symantec Website Security Solutions garantit une
disponibilité à 100 % et traite au quotidien plus de
157
Symantec gère l’une des bases de
données de vulnérabilités les plus
complètes au monde
constructeurs
19 000 et éditeurs
54 000 produits
vulnérabilités
60 000 répertoriées
Skeptic™ : la technologie heuristique
développée par Symantec.cloud
14 data centers
de requêtes
1,7 MILLIARD Web
messages
8,4 MILLIARDS de
électroniques
6 milliards de recherches OCSP (Online Certificate Status
Protocol), utilisées pour vérifier l’éventuelle révocation de
certificats numériques X.509 à travers le monde. Forts de
ces ressources exclusives d’une richesse incomparable,
les analystes Symantec ont pu identifier, analyser
et commenter les dernières tendances en matière
d’attaques, de propagation de codes malveillants, de
phishing et de spam.
Le tout est ensuite compilé dans le rapport Symantec sur les menaces de sécurité des sites Web
(Website Security Threat Report) qui synthétise les informations indispensables à une sécurisation
efficace des systèmes de particuliers et d’entreprises de toutes tailles – aujourd’hui comme demain.
3
AVANT-PROPOS
2014 restera comme l’année de Heartbleed, un bug qui a fait vaciller la cybersécurité
sur ses bases. Ce séisme, on ne le doit pas à la ruse des cybercriminels, mais aux
vulnérabilités inhérentes à des logiciels développés de la main de l’homme. Pour
toute la communauté Internet, le bug a sonné comme un rappel à ses obligations de
vigilance, de rigueur et de constance dans le domaine de la sécurité.
Pendant que Heartbleed défrayait la chronique, les
cyberdélinquants restaient à pied d’œuvre, profitant des
retombées des exploits, vols et perturbations engendrées.
La sophistication et l’agressivité de leurs modes opératoires témoignent d’une professionnalisation accrue de
la cybercriminalité en 2014, dont les entreprises et les
particuliers sont les premières victimes.
Des vulnérabilités qui nous fragilisent tous
Heartbleed n’est pas la seule vulnérabilité à avoir frappé
cette année. Poodle et ShellShock ont également permis
aux pirates d’utiliser des sites Web infectés comme
vecteurs d’infiltration de serveurs, d’installation de
malwares et d’exfiltration de données.
Chiffre intéressant : les infections par malware ont
plongé en 2014 et ne concernent plus qu’un site Web
sur 1126, soit deux fois moins que l’année précédente.
Pourtant, la proportion de sites Web comportant des
vulnérabilités demeure inchangée, soit trois quarts des
sites Web analysés. Si l’on est tenté d’attribuer cette
baisse au renforcement de la sécurité des sites Web,
l’évolution des méthodes d’injection de malwares en est
peut-être la vraie responsable – les cybercriminels pri
vilégiant désormais les réseaux sociaux et les publicités
malveillantes comme vecteur d’infection.
Mais plus globalement, les utilisateurs portent également leur part de responsabilité. En oubliant trop
souvent d’installer les correctifs logiciels, ils laissent
la porte ouverte à une exploitation des failles de leurs
terminaux et serveurs. La tâche est d’autant plus aisée
pour les malfaiteurs qu’à l’aide d’un injecteur spécial,
vraisemblablement transmis via une attaque de passage
(drive-by) ou une arnaque sur les réseaux sociaux, ils
détectent et exploitent les vulnérabilités connues et non
corrigées.
1.
http://www.symantec.com/connect/blogs/underground-blackmarket-thriving-trade-stolen-data-malware-and-attack-services
2
http://www.symantec.com/connect/blogs/australiansincreasingly-hit-global-tide-cryptomalware
Les cybercriminels passent à la vitesse supérieure
À l’instar de l’industrie high-tech légitime, les bas-fonds
d’Internet connaissent l’émergence de spécialités, de
fournisseurs de services et de fluctuations qui témoignent
d’une professionnalisation de la cybercriminalité en
2014.
Un kit d’attaque drive-by se loue ainsi entre 100 et
700 dollars par semaine, mises à jour et assistance
24h/7j comprises. Pour une attaque par déni de service distribué (DDoS), le tarif est compris entre 10 et
1 000 dollars par jour1. Sur le marché noir, les informations de cartes bancaires s’achètent entre 0,50 et
20 dollars par carte, et il en coûte entre 2 et 12 dollars
pour l’achat de 1000 followers sur un réseau social.
Des tactiques vicieuses et agressives
Les cybercriminels n’ont jamais fait grand cas de leurs
victimes, mais leur malveillance a atteint de nouveaux
sommets en 2014.
D’après Symantec, le nombre de cryptowares a été mul
tiplié par 14 entre mai et septembre2. Photos, contrats
stratégiques ou factures : cette variante de rançongiciel
crypte tous les fichiers présents sur la machine de la
victime avant d’exiger une rançon pour la clé de décryp
tage. Pour rester invisibles et ne pas se faire prendre, les
pirates demandent souvent à leurs victimes de verser la
rançon en Bitcoins sur une page Tor.
Le phishing et les arnaques sur les réseaux sociaux
surfent sur les peurs des internautes (alertes de piratage
informatique, messages alarmistes de santé publique,
etc.) pour les inciter à cliquer sur un lien malveillant. Les
arnaqueurs sont alors rémunérés en fonction du nombre
de clics et d’inscriptions à des programmes d’affiliation,
des téléchargements de malwares ou des saisies de données sur des sites frauduleux.
Symantec Website Security Solutions I
4
CYBERMENACES
5
EN BREF
1
La vulnérabilité Heartbleed a exposé près d’un demi-million de sites pro
2
Heartbleed a entraîné une prise de conscience qui s’est traduite par une vo-
3
Les cybercriminels exploitent les technologies et infrastructures des réseaux
4
5
3
tégés par SSL à un risque de violation de données majeur en avril 20143.
lonté d’améliorer les standards d’implémentation des protocoles SSL et TLS.
publicitaires légitimes pour attaquer et arnaquer leurs cibles.
Dans un contexte de hausse du nombre total de sites Web infectés (+5 %),
les sites d’anonymisation sont entrés dans le Top 10 des sites les plus infectés en 2014.
Depuis 2013, le nombre total de cas recensés de sites infectés par malwares
a quasiment été divisé par deux.
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
6
INTRODUCTION
D’une ampleur inédite et d’une agressivité redoublée, les cybermenaces ont exposé
les failles des outils et protocoles de cryptage les plus courants en 2014. Jamais il
n’a été aussi difficile d’échapper aux griffes des cybermalfaiteurs.
Pour preuve, le bilan 2014 de la cybercriminalité
est particulièrement lourd, et la tendance devrait se
poursuivre en 2015. Face aux vulnérabilités et nouvelles
variantes de malwares, la cybersécurité constitue un
enjeu stratégique qui requiert une mobilisation de tous
les instants.
4
Au moment où nous rédigions ce rapport, début 2015,
une nouvelle vulnérabilité SSL/TLS baptisée FREAK était
identifiée par plusieurs chercheurs en sécurité4. FREAK
permet de lancer des attaques par interception (Man-inthe-Middle) sur les communications cryptées entre un
internaute et le site Web visité. Une fois interceptés, les
échanges entre clients et serveurs infectés sont ensuite
décryptés. Les pirates peuvent ainsi faire main basse sur
des mots de passe et autres informations personnelles,
avant d’éventuellement lancer d’autres attaques contre
le site Web infecté.
http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack
7
LES VULNÉRABILITÉS À LA UNE
Heartbleed
La révélation d’une vulnérabilité dans la bibliothèque
logicielle cryptographique OpenSSL a fait grand bruit
en avril 2014. Baptisée Heartbleed, cette faille permettait aux pirates d’accéder aux données en mémoire des
serveurs Web pendant une session cryptée. Et qui dit
données en mémoire dit absolument toutes les données,
y compris les numéros de cartes bancaires, les mots de
passe et même les clés privées permettant de déchiffrer
l’intégralité d’un échange crypté.5
À l’époque, les estimations faisaient état d’une exposition de 17 % de tous les serveurs Web SSL utilisant des
certificats SSL et TLS émis par des autorités de certification de confiance6. L’impact a donc été très lourd, tant
sur les entreprises que sur les particuliers.
Mais au-delà de l’énorme volume de données sensibles
exposées, il a fallu également sensibiliser le public
aux dangers de Heartbleed et lui expliquer le timing à
respecter pour changer son mot de passe. Les propriétaires de sites Web devaient dans un premier temps
mettre à jour leurs serveurs avec la version corrigée
d’OpenSSL, puis installer de nouveaux certificats SSL
avant de révoquer les anciens. La procédure devait être
appliquée à la lettre pour que le changement de mot de
passe joue à plein contre la menace – une démarche difficile à expliquer à l’internaute lambda.
Heureusement, la réactivité a été à la hauteur de la me
nace. En cinq jours, tous les sites du Top 1 000 d’Alexa
étaient immunisés contre Heartbleed, et seul 1,8 % des
sites du Top 50 000 restait vulnérable7.
ShellShock et Poodle
Mais la planète Web n’est pas restée longtemps foca
lisée sur Heartbleed. Septembre 2014 a été marqué
par la découverte de « Bash Bug », également appelé
« ShellShock », une vulnérabilité qui a impacté la plupart
des versions de Linux et Unix, ainsi que Mac OSX. Pour
les propriétaires de sites, ShellShock a illustré la précarité de la situation sécuritaire sur Internet. La sécurité
d’un serveur peut ainsi être remise en cause du jour au
lendemain, avec des patchs soudainement incomplets et
à réinstaller de toute urgence.
Les pirates ont emprunté la voie la plus directe, à savoir
l’ajout d’une commande malveillante à une variable environnementale du serveur via l’interface CGI (Common
Gateway Interface) – le système couramment utilisé pour
générer des contenus Web dynamiques. La commande
était alors interprétée et exécutée par Bash, le compo
sant du serveur contenant la vulnérabilité8.
ShellShock a ainsi permis d’injecter des malwares sur
de nombreux serveurs et leurs réseaux dans le but
d’infecter et d’espionner de multiples appareils.
Puis, au mois d’octobre, la découverte par Google de
Poodle a remis le chiffrement sur le devant de la scène.
Principale cible : les serveurs prenant encore en charge
le SSL 3.0, une version ancienne du protocole. En interférant dans le processus handshake de vérification des
protocoles compatibles, Poodle force ainsi le serveur à
utiliser le SSL 3.0, malgré la prise en charge de protocoles plus récents9.
En cas de succès, l’exploit permet au pirate d’intercepter
les communications (Man-in-the-Middle), puis de
décrypter les cookies HTTP sécurisés pour voler des
informations, voire prendre le contrôle des comptes en
ligne de ses victimes. Heureusement, Poodle s’est avéré
moins dangereux que Heartbleed dans la mesure où
pour exploiter la vulnérabilité, le pirate doit avoir accès
au réseau utilisé par le client et le serveur, comme sur un
hotspot Wi-Fi public par exemple.
5
http://www.symantec.com/connect/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers
6
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
7
http://www.symantec.com/connect/blogs/heartbleed-reports-field
8
http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-vulnerability
9
http://www.symantec.com/connect/blogs/poodle-vulnerability-old-version-ssl-represents-new-threat
8
VULNÉRABILITÉS « STARS »
Vulnérabilités « stars » et délais de patching
Certificats SSL et TLS : des remparts indispensables
Si les attaques commises peu après l’annonce de ces
vulnérabilités ont été fortement médiatisées, elles différaient cependant des vulnérabilités zero-day qui font
généralement les gros titres. En visant davantage les
serveurs que les terminaux, Heartbleed et ShellShock
s’établissaient en effet comme une classe à part dans le
monde des vulnérabilités. Leur retentissement s’explique
également par la prévalence des logiciels concernés,
présents sur de très nombreux systèmes et appareils.
Cette omniprésence explique en grande partie l’ampleur
des attaques et l’exploitation des vulnérabilités dans les
heures qui ont suivi leur divulgation.
Notons cependant que malgré les secousses enregistrées
en 2014 sur le front de la cybersécurité, les certificats
SSL et leurs équivalents plus récents, les certificats
TLS, restent à la fois opérationnels et indispensables.
L’incident Heartbleed a d’ailleurs prouvé la rapidité avec
laquelle l’industrie de la sécurité en ligne sait réagir face
aux cybermenaces.
Les pics d’activité mettent en évidence une vague mondiale d’assauts dans le sillage immédiat du signalement
des vulnérabilités, et ce en dépit de la mise en place quasi
immédiate des signatures Symantec pour détecter et
bloquer les attaques. Ainsi, il n’a fallu que quatre heures
aux pirates pour exploiter la vulnérabilité Heartbleed.
Les travaux et la vigilance d’organismes tels que le CA
Browser Forum, dont Symantec fait partie, permettent
d’améliorer en permanence les normes et standards en
vigueur. Autrement dit, les remparts de la sécurité, qui
protègent votre site et vos visiteurs, restent solides et
continuent de se renforcer.
NOMBRE D’ATTAQUES HEARTBLEED ET SHELLSHOCK DANS LE MONDE,
AVRIL À NOVEMBRE 2014
40
Attaques
Heartbleed
35
MILLIERS
30
Attaques
Shellshock
25
20
15
5
0
M
J
J
Source : Symantec
9
A
S
O
N
VULNÉRABILITÉS : LES CHIFFRES CLÉS
Malgré de légères fluctuations d’une année sur l’autre,
le nombre de vulnérabilités continue de progresser. Il
existe des correctifs, des solutions ou des patchs pour
la majeure partie des vulnérabilités signalées. Or, ces
mises à jour sont loin d’être appliquées par tous, ce qui
permet aux auteurs de malwares d’exploiter aisément les
vulnérabilités les plus connues. Dans de nombreux cas,
l’attaquant se sert d’un injecteur spécial pour rechercher
des failles de sécurité connues et non corrigées, pour ensuite s’y engouffrer et installer du code malveillant. On
n’insistera donc jamais assez sur l’importance cruciale
des mises à jour.
Pour preuve, des kits d’exploits Web comme Sakura et
Blackhole permettent encore aux pirates d’exploiter des
vulnérabilités non corrigées et connues depuis plusieurs
mois, voire plusieurs années. Chaque vulnérabilité
pouvant faire l’objet de différents types d’exploits, un kit
d’attaques Web commence par analyser le navigateur
afin d’identifier les plug-ins potentiellement vulnérables
et déterminer le meilleur schéma d’attaque. Or, si un exploit ancien suffit à profiter d’une vulnérabilité récente,
les kits d’attaque n’iront généralement pas chercher plus
loin. Les exploits zero-day sont en revanche rares et très
recherchés par les pirates informatiques, notamment
pour les attaques ciblées du « point d’eau ».
NOUVELLES VULNÉRABILITÉS
2014
2013
2012
6 549
6,549
6,787
6
787
5,291
5
291
-3.6%
-3,6
%
+28%
+28
%
Source : Symantec | Deepsight
Symantec Website Security Solutions I 10
2010
6 253
2011
4 989
5 291
6 787
2011
2009
4 814
2012
2008
5 562
891
2013
2007
4 644
351
591
2014
2006
4 842
2012
VULNÉRABILITÉS DES
NAVIGATEURS,
2011 – 2014
2013
NOMBRE TOTAL
DE VULNÉRABILITÉS,
2006 – 2014
639
Opera
2014
Mozilla Firefox
Microsoft Internet
Explorer
Google Chrome
6 549
Apple Safari
Source : Symantec I Deepsight
VULNÉRABILITÉS DES PLUG-INS (MOIS PAR MOIS), 2013 – 2014
Java
80
Apple
71
70
Adobe
60
54 54
50
40
ActiveX
53
48
48
45
30
31
29
27
20
10
5
F
M
A
M
J
J
11
8
A
2013
4
S
30
23
29
17
J
37
36
35
O
N
13
8
2
D
J
F
M
A
M
J
J
A
S
O
N
D
2014
Malgréreported
While
les risques
vulnerabilities
que représentent
represent
les vulnérabilités
a general risk,connues,
zero-dayles
vulnerabilities
vulnérabilités
arezero-day
potentially
– à savoir
much more
cellesserious.
qui ne sont
These are vulnerabilities
découvertes
qu’après avoir
that
étéare
exploitées
only discovered
– sont potentiellement
after they are exploited
plus dangereuses.
by attackers.
Nous reviendrons sur ce point
dans le chapitre consacré aux attaques ciblées.
11 I Symantec Website Security Solutions
Plug-in Vulnerabilities by Month
SITES COMPROMIS
En 2014, les trois quarts des sites Web analysés par
Symantec comportaient des vulnérabilités, un chiffre
stable par rapport à 2013. La proportion de failles consi
dérées comme critiques passait en revanche de 16 à 20 %.
Inversement, le nombre de sites Web infectés par malware chutait, avec 1 site sur 566 en 2014 contre 1 sur
1 126 l’année précédente. Ce chiffre semble donc être
en rapport direct avec la baisse de 12,7 % des attaques
bloquées chaque jour. On peut néanmoins en déduire
que chaque site infecté a été à l’origine d’un plus grand
nombre d’attaques. Principale raison avancée : la conception de kits d’attaques Web pour une utilisation dans
le Cloud, en mode SaaS. Ainsi, un site Web compromis
peut utiliser une balise HTML iframe ou un JavaScript
masqué pour injecter du code malveillant à partir du kit
d’exploit SaaS, au lieu de lancer directement l’attaque à
partir d’un exploit hébergé sur le site Web compromis.
La baisse de 47 % du nombre de nouveaux domaines
frauduleux pour l’hébergement de malwares (qui passe
à 29 927 en 2014 contre 56 158 en 2013) corrobore
cette hypothèse d’une augmentation du nombre de kits
d’exploits SaaS.
Les kits d’attaques Web recherchent les plug-ins
vulnérables sur l’ordinateur des victimes afin de
lancer l’attaque qui a le plus de chances d’aboutir.
Ces kits SaaS sont souvent hébergés sur des services
insaisissables qui, pour brouiller les pistes, changent
très rapidement d’adresse IP et génèrent des noms de
domaines dynamiques. Difficile dans ces conditions de
localiser et neutraliser l’infrastructure SaaS malveillante. Les cybermalfaiteurs peuvent également contrôler
le mode opératoire des exploits. Ainsi, pour éviter que
le code malveillant ne soit repéré par les moteurs de
recherche et les experts en sécurité, ils peuvent choisir
de ne lancer leurs attaques qu’à condition qu’un cookie
ait été défini par le premier site compromis. Nous reviendrons sur les kits d’attaques Web plus loin dans ce
chapitre.
Les sites d’anonymisation font leur entrée dans le
Top 10 des sites Web les plus fréquemment exploités
cette année. Une évolution intéressante qui traduit
l’adaptation constante des cybercriminels aux compor
tements des internautes – ces derniers cherchant de
plus en plus à échapper à la surveillance des fournisseurs d’accès Internet et autres pour naviguer incognito
sur Internet.
TOP 10 DES VULNÉRABILITÉS NON CORRIGÉES DÉTECTÉES SUR LES SERVEURS WEB ANALYSÉS
CLASSEMENT
NOM
1
Vulnérabilité Poodle SSL/TLS
2
Cross-site scripting (XSS)
3
Détection de la prise en charge du SSL v2
4
Prise en charge de suites de cryptage SSL faibles
5
Chaîne de certificat SSL non valide
6
Attributs de sécurité manquants dans un cookie de session cryptée (SSL)
7
Vulnérabilité de renégociation des protocoles SSL et TLS
8
Vulnérabilité dans la communication d’informations via la fonction 'strrchr()' de PHP
9
Attaque http TRACE XSS
10
Vulnérabilité « OpenSSL 'bn_wexpend()' Error Handling Unspecified »
Source : Symantec I Website Security Solutions
SITES WEB ANALYSÉS
COMPORTANT DES
VULNÉRABILITÉS...
… % DE VULNÉRABILITÉS
CRITIQUES
76 %
20 %
-1 %
+4 %
77 %
16 %
+25 %
+8 %
55 %
24 %
2014
2014
2013
2013
2012
2012
En 2014, 20 % de toutes les vulnérabilités identifiées (1 sur 5) sur des sites Web légitimes étaient considérées comme critiques,
au point de permettre aux pirates d’accéder à des données sensibles, de modifier le contenu d’un site Web ou de compromettre les
ordinateurs des internautes.
SITES WEB ANALYSÉS COMPORTANT DES MALWARES
1250
1 SUR
1000
1 126
750
500
532
566
250
2012
2013
2014
CLASSEMENT DES SITES WEB LES PLUS EXPLOITÉS
EN 2013–2014
2014 – Top 10 des
catégories de sites
les plus attaquées
CLASSEMENT
Pourcentage 2014
du nombre total
de sites Web infectés
Pourcentage
2013
2013 – Top 10
1
High-Tech
21,5 %
High-Tech
9,9 %
2
Hébergement
7,3 %
Business
6,7 %
3
Blogs
7,1 %
Hébergement
5,3 %
4
Business
6,0 %
Blogs
5,0 %
5
Sites d’anonymisation
5,0 %
Sites illégaux
3,8 %
6
Divertissement
2,6 %
Sites marchands
3,3 %
7
Sites marchands
2,5 %
Divertissement
2,9 %
8
Sites illégaux
2,4 %
Automobile
1,8 %
9
Page de remplissage
(placeholder)
Communautés
virtuelles
2,2 %
Éducation
1,7 %
1,8 %
Communautés
virtuelles
1,7 %
10
Source : Symantec | SDAP, Safe Web, Rulespace
ATTAQUES WEB BLOQUÉES CHAQUE MOIS ENTRE 2013 ET 2014
900
Linéaire (2013)
800
Linéaire (2014)
700
MILLIERS
600
500
400
300
200
100
J
F
Source : Symantec | SDAP
M
A
M
J
J
2013
A
S
O
N
D
J
F
M
A
M
J
J
A
S
O
N
D
2014
NOUVEAUX DOMAINES WEB UNIQUES MALVEILLANTS
2014
2013
2012
2011
29 927
56 158
74 001
55 000
-47 %
-24 %
+34 %
Source : Symantec | .cloud
En 2014, la baisse de 47 % du nombre de domaines Web uniques malveillants traduit une progression de l’utilisation
des kits SaaS basés dans le Cloud.
ATTAQUES WEB BLOQUÉES PAR JOUR
2014
2013
2012
2011
496 657
568 734
464 100
190 000
-12,7 %
+23 %
+144 %
Sur la plupart de ces sites, la baisse de 12,7 % du nombre moyen d’attaques bloquées chaque jour s’est principalement
concentrée sur le deuxième semestre 2013, le repli observé tout au long de l’année 2014 ayant été bien plus modeste.
La présence de vulnérabilités sur la majorité des sites
Web révèle un manque général de régularité dans les
contrôles de détection des vulnérabilités. S’ils concentrent probablement toute leur attention sur les ana
lyses antimalware, mieux vaudrait prévenir que guérir !
L’injection de malwares passe en effet souvent par
l’exploitation initiale des vulnérabilités d’un site.
Face à la masse de sites potentiellement vulnérables,
les cybercriminels ont sans aucun doute marqué des
points. Ils sont également nombreux à s’être engouffrés
très rapidement dans les failles SSL et TLS découvertes
en 2014. Par ailleurs, l’explosion en 2014 des arnaques
sur les réseaux sociaux et des publicités malveillantes
témoigne du succès croissant de ces méthodes alternatives d’injection de malware auprès des cybermalfaiteurs.
CINQ PRINCIPAUX KITS
D’ATTAQUES WEB EN 2012
8%
17 %
3%
7%
10 %
5
10 %
41 %
5
14 %
26 %
23 %
19 %
22 %
Blackhole
Autres
Sakura
G01 Pack
Phoenix
Blackhole
Redkit
Sakura
Nuclear
Styx
Autres
Coolkit
Source : Symantec I SDAP, Wiki
ÉVOLUTION CHRONOLOGIQUE DES CINQ KITS
D’ATTAQUES WEB LES PLUS
UTILISÉS EN 2014
100 %
50 %
5
23 %
10 %
7%
5 %5 %
0%
J
Sakura
Nuclear
Styx
Orange Kit
Blackhole
Autres
F
M
A
M
J
J
A
S
O
N
D
Autres
Blackhole
Orange Kit
Styx
Nuclear
Sakura
PUBLICITÉS MALVEILLANTES
Au croisement des genres entre rançongiciels et publicités malveillantes, l’année 2014 aura aussi été marquée
par un nombre record de redirections de victimes vers le
site Web Browlock.
Browlock est l’une des formes de rançongiciels les moins
agressives. Ici, pas de code malveillant qui s’exécute
sur l’ordinateur de la victime, mais une page Web qui
utilise du JavaScript pour empêcher la victime de fermer
l’onglet de son navigateur. Le site localise la victime pour
afficher une page Web dans sa langue, l’accusant de
consultation illégale de sites pornographiques passible
d’une amande auprès des autorités locales.
Il semblerait que les pirates Browlock achètent des espaces publicitaires sur des réseaux légitimes dans le but
de générer du trafic vers leur site. La publicité renvoie
alors l’internaute sur la page d’un site pour adultes avant
de le rediriger vers le site Web Browlock. Les pirates
Browlock achètent leurs espaces à plusieurs sources, en
majorité des sites réservés à un public adulte10.
Pour échapper à ces arnaques, il suffirait aux victimes
de fermer leur navigateur. Les investissements engagés
par les cybercriminels dans l’achat d’espaces semblent
néanmoins indiquer que les victimes payent la rançon.
Explication possible : la victime culpabilise d’avoir cliqué
sur une publicité de site pornographique avant d’atterrir
sur la page Web Browlock. La culpabilité est un sentiment puissant que les pirates savent exploiter.
Publicité malveillante : état des lieux
La publicité malveillante ne se limite pas à la diffusion
de rançongiciels : elle redirige également vers des sites
qui installent des chevaux de Troie. Certaines de ces
publicités sont même capables d’infecter un terminal
sans que la victime clique sur la publicité. On parle alors
d’attaques de passage, ou drive-by.
La méthode séduit les cybermalfaiteurs car elle permet de
frapper des sites Web légitimes qui génèrent d’importants
volumes de trafic. De plus, grâce au ciblage extrêmement
précis opéré par les réseaux publicitaires, les malfaiteurs
peuvent personnaliser leurs arnaques. Ils pourront par
exemple viser les personnes à la recherche de services
financiers. Les réseaux publicitaires légitimes mâchent
parfois incidemment le travail des malfaiteurs.
Pour ne pas se faire repérer, les cybercriminels changent
aussi de tactique. Ils publieront par exemple une publicité
légitime pendant plusieurs semaines, le temps de passer
inaperçus, avant de la convertir en malvert. Pour contre
carrer leurs plans, les réseaux publicitaires doivent donc
effectuer des analyses régulières, et non uniquement
lors de la mise en ligne d’une nouvelle publicité.
Sans contrôle direct sur les réseaux publicitaires et leurs
clients, les propriétaires de sites Web peinent à lutter
contre la publicité malveillante. Pour réduire les risques,
ils peuvent néanmoins choisir des réseaux qui limitent
certaines fonctionnalités, empêchant ainsi les annonceurs d’intégrer du code malveillant à leurs promotions.
La plus grande vigilance reste naturellement de mise lors du choix d’un réseau
publicitaire.
Exemple de page Web Browlock
exigeant le paiement d’une amende
pour navigation illégale sur un site
pornographique11
10
http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware
11
DÉNI DE SERVICE
Les attaques par déni de service (DoS) font depuis longtemps partie de l’arsenal
des pirates à l’encontre des entreprises ou administrations. Pour bloquer l’accès
aux sites Web et messageries, les malfaiteurs n’hésitent pas à inonder ces systèmes
critiques de requêtes qui, en perturbant l’activité, peuvent provoquer de véritables
désastres financiers.
87 % d’entre elles14. Extorsion d’argent, manœuvres
de diversion, hacktivisme ou vengeance constituent les
principaux motifs de ces attaques. Les attaques DDoS
peuvent désormais se louer sur le marché noir en ligne.
Les prix d’appel de 10 à 20 dollars augmentent en
fonction de la durée et de l’intensité souhaitées.
Si les attaques par déni de service distribué (DDoS)
ne sont pas nouvelles, elles augmentent cependant en
intensité et en fréquence12. Ainsi, entre janvier et août
2014, Symantec a constaté une augmentation de 183 %
des attaques par amplification DNS13. D’après une
étude Neustar, 60 % des entreprises ont été visées par
une attaque DDoS en 2013, à plusieurs reprises pour
TRAFIC DES ATTAQUES DDOS OBSERVÉ PAR LE SYMANTEC GLOBAL INTELLIGENCE
NETWORK
Total des attaques DDoS
8
Attaque par amplification DNS
7
Attaque par inondation de
paquets ICMP standards
MILLIONS
6
Attaque DDoS par inondation
de paquets TCP SYN standards
5
4
3
2
1
0
J
F
M
A
M
J
J
A
S
O
N
D
Source : Symantec I DeepSight Symantec Global Intelligence Network
12
http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong
13
http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong
14
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf
DES VULNÉRABILITÉS EN HAUSSE
Par Tim Gallo
Ces dernières années, la question d’une gestion des vulnérabilités a suscité de
nombreux débats. Malgré son intérêt, elle reste cependant reléguée au second plan
par rapport aux priorités que sont les interventions sur incident et la traque des
pirates. Or, l’année 2014 illustre de manière criante l’importance des vulnérabilités.
Avec Poodle, ShellShock et Heartbleed, trois grandes vulnérabilités se sont invitées
sur le devant de la scène, non seulement dans la presse spécialisée, mais aussi dans
les médias grand public.
Elles sont apparues là où les processus de gestion des
vulnérabilités étaient absents à l’époque. Jusqu’à récemment, la gestion des vulnérabilités se concentrait sur les
ordinateurs portables et les serveurs, avec la publication
régulière de vulnérabilités et la diffusion rapide de correctifs par Adobe et Microsoft. Même si de nouvelles vulnérabilités sont apparues, et continueront d’apparaître
dans ces domaines, les processus de déploiement de
correctifs, de publication des vulnérabilités et de gestion
globale des correctifs sont désormais bien huilés.
L’automatisation du déploiement de correctifs par les
éditeurs de systèmes d’exploitation et d’applications a
contraint les attaquants à revoir leurs tactiques. Sans
parler de nouvelles méthodes à proprement parler, les
malfaiteurs sont en fait revenus à la recherche et la
découverte de vulnérabilités. Avec ce retour aux sources,
les pirates ont à nouveau passé les applications au
peigne fin et décelé des vulnérabilités sur des points
jusqu’ici jugés sécurisés.
Prenons ShellShock, l’une de ces vulnérabilités, pour
nous projeter sur ce que pourrait nous réserver les prochaines années. Fonction défectueuse dans le meilleur
des cas, ou faille de conception du BASH (Bourne Again
Shell)15 dans le pire, ShellShock est passée inaperçue
pendant plus de 25 ans avant d’être découverte et révélée au public. ShellShock fait partie intégrante du tissu
Internet depuis la naissance du Réseau des Réseaux.
15
La vulnérabilité
Heartbleed s’est
même vu attribuer
son propre logo.
L’exploitation de cette vulnérabilité ne visait pas uniquement les routeurs ou serveurs Web Linux, mais également les serveurs de messagerie et même les robots de
DDoS qui utilisent le Shell – en clair, tout ce qui est basé
sur Unix et utilise le BASH.
our ceux qui ne maîtrisent pas bien la terminologie Unix, un shell est une interface en ligne de commande qui permet d’interagir avec
P
le système d’exploitation. Dans le cas présent, BASH est l’un des shells les plus couramment utilisés dans l’univers Unix et Linux.
Pour un certain nombre de raisons, ce type de vulnéra
bilité devrait se banaliser dans les années à venir. Tout
d’abord, les pirates devront bien cesser de recycler les
bonnes vieilles méthodes et les bons vieux exploits. Pour
élargir leur surface d’attaque, ils vont investir dans la
recherche de nouvelles vulnérabilités sur des infrastructures d’ancienne génération mais encore largement
répandues.
Outre la présence de failles dans des pans majeurs de
l’infrastructure Internet, ces trois vulnérabilités auront
révélé l’un des secrets peu avouables du développement applicatif : le recyclage de code. Lorsqu’il recycle
du code, le développeur copie des sections entières du
code d’applications existantes pour les réutiliser dans
de nouvelles applications. Pratiquée depuis toujours,
cette réutilisation engendre des vulnérabilités dans des
systèmes qui n’ont a priori aucun rapport entre eux.
Dans le cas de Heartbleed, l’utilisation légitime de la
bibliothèque OpenSSL illustre bien les problématiques
du recyclage de code. Considéré comme fiable, ce code
ne faisait souvent l’objet d’aucun test. La découverte
de nouvelles vulnérabilités dans la bibliothèque a
néanmoins contraint les développeurs du monde entier
à se replonger dans le code réutilisé pour y trouver
d’éventuelles vulnérabilités.
Les programmes d’incitation à la découverte de bugs
se sont par ailleurs développés et les pouvoirs publics
ne menacent plus de peines de prison les chercheurs
en vulnérabilités, comme c’était le cas autrefois16. Dans
ce contexte, les chercheurs n’ont plus à craindre les
conséquences d’une divulgation irresponsable ou d’être
taxés de mercenaires.
16
Reste à espérer que les actions correctives et le renforcement des pratiques sécuritaires finiront par s’imposer.
Pour tout informaticien qui se respecte, il suffit généra
lement de quelques semaines de nuits blanches pour en
arriver à la conclusion que gouverner, c’est prévoir. Un
meilleur contrôle des configurations, des règles et des
correctifs sur l’ensemble des infrastructures ne peut être
que bénéfique. Quant à la migration des infrastructures
vers le Cloud, elle permettra à des informaticiens débordés de consacrer davantage de temps à ces questions.
Si l’on se penche sur la notion de « détection et correction » du cycle de la sécurité, le retour au premier
plan des vulnérabilités représente un point crucial pour
la compréhension des cybermenaces. Si, en tant que
professionnels de la sécurité, nous voulons renforcer
l’efficacité de notre action, nous devons réfléchir à la
manière dont nous « protégeons et réagissons », mais
aussi dont nous « informons et évaluons ». En clair,
nous devons non seulement améliorer nos capacités de
planification et de test, mais également décortiquer les
informations de cyberveille et connaître suffisamment
notre environnement pour savoir si des actions doivent
être engagées.
Nous devons admettre la présence probable de trous
dans le tissu d’Internet. À nous de faire preuve de vigilance pour pouvoir, le moment venu, traiter les nouvelles
vulnérabilités découvertes dans une démarche programmatique axée sur des processus bien définis. Ne pas le
faire reviendrait à hypothéquer notre avenir.
http://www.wired.com/2013/03/att-hacker-gets-3-years
CYBERCRIME
ET MALWARE
EN BREF
1
2
3
4
5
La stabilité des prix dans l’économie souterraine laisse supposer que la
demande de données personnelles volées, de malwares et de services de
cybercriminalité reste au beau fixe.
Si le nombre de vulnérabilités recule par rapport à 2013, la tendance générale reste à la hausse.
Le nombre de nouvelles variantes de malwares a progressé de 317 256 956
en 2014, soit une hausse de 26 % par rapport à la croissance enregistrée en
2013.
Les rançongiciels sont à la fois plus agressifs et plus nombreux. Le nombre
de crypto-rançongiciels a également été multiplié par 45 par rapport à 2013.
Les robots ou bots ont reculé de 18 % en 2014.
INTRODUCTION
Chaque jour, des arnaques aux e-mails et sites Web frauduleux permettent de récupérer des coordonnées bancaires. Des ordinateurs infectés par malware sont utilisés pour diffuser du spam ou lancer des attaques DDoS. Quant aux plus malchanceux, ils se retrouvent avec leurs fichiers cryptés et leur ordinateur verrouillé par un
rançongiciel.
L’e-mail reste un support efficace de diffusion de
spams, arnaques et malwares, comme en témoigne la
hausse globale de la proportion d’e-mails contenant des
malwares. Les cybercriminels maîtrisent les rouages de
l’économie souterraine du Net pour acheter et vendre
leurs services et malwares, mais également pour écouler
des botnets et des données de cartes bancaires volées.
En collaboration avec des sociétés spécialisées dans la
cybersécurité, dont Symantec, les autorités de police
sont parvenues à démanteler certains botnets et procé
der à des arrestations. Les effets sur le niveau global de
cybercriminalité n’ont pas tardé à se faire sentir, même
s’ils ne sont que provisoires.
L’économie souterraine
Le marché noir est en plein essor. Les bas-fonds d’Inter
net grouillent d’un commerce florissant de données
volées, de malwares et de service d’attaques17. Jamais
à court d’idées pour tenir leurs activités illicites à l’abri
des regards, les cybercriminels utilisent par exemple le
réseau anonyme Tor et restreignent l’accès aux seuls
utilisateurs montrant patte blanche18. Les variations
de prix constituent un bon indicateur de l’offre et de
la demande. Si les tarifs des adresses e-mail plongent,
ceux des informations de cartes bancaires ne fléchissent
que légèrement, tandis que les coordonnées bancaires
se monnaient sensiblement au même prix.
Converti au principe de la division du travail, ces marchés
sont organisés autour de spécialistes de divers domaine,
dont le codage de chevaux de Troie et de virus, la diffu
sion de malwares et de botnets, ou encore la revente
d’informations de cartes bancaires volées. Si certains de
ces marchés existent depuis plus de 10 ans, Symantec
a observé un phénomène de professionnalisation sur
tous les plans. De même, tous les produits ou services
présentant un potentiel lucratif direct pour les acheteurs
se maintiennent à des tarifs élevés19.
Un kit d’attaque drive-by se loue entre 100 et 700 dollars
la semaine, mises à jour et assistance 24h/7j incluses.
Le malware bancaire en ligne SpyEye (Trojan.Spyeye)
se loue entre 150 et 1250 dollars pour six mois, et les
attaques DDoS se négocient entre 10 et 1000 dollars par
jour20.
Malwares, kits d’attaques et modes d’emploi de vulné
rabilités : sur le marché noir, les cybercriminels peuvent
se procurer des outils clé en main. On y trouve également des solutions « crimeware-as-a-service », sorte
d’offres cloud proposant une infrastructure complète
pour le déploiement d’arnaques en ligne.
Prix des cartes bancaires volées dans
différents pays sur le marché noir
17
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
18
19
20
VALEUR DES INFORMATIONS VENDUES SUR LE MARCHÉ NOIR
1 000 adresses
e-mail volées
0,50 $ - 10 $
Spam, Phishing
Informations de
cartes bancaires
0,50 $ - 20 $
Achats frauduleux
Copies de vrais
passeports
1$-2$
Usurpation d’identité
Comptes de jeux
en ligne volés
10 $ - 15 $
Mainmise sur des articles virtuels de valeur
Malwares personnalisés
12 $ - 3 500 $
Détournement d’argent, vol de Bitcoins
1 000 followers sur
les réseaux sociaux
2 $ - 12 $
Augmentation de la visibilité
Comptes cloud volés
7$-8$
Hébergement d’un serveur de commande et contrôle
(C&C)
1 million d’adresses
de spam vérifiées
70 $ - 150 $
Spam, Phishing
Carte SIM de mobile
russe enregistrée et
activée
100 $
Fraude
Source : Symantec
MALWARES
Fin 2013, les autorités russes ont arrêté ‘Paunch’, l’auteur présumé du kit d’exploits
Blackhole responsable de très nombreuses infections à travers le monde21,22. Une
arrestation au parfum de victoire, certes modeste, dans la longue guerre contre les
malwares sous toutes leurs formes.
D’autres kits d’attaques ont inévitablement comblé le
vide et les malwares conçus pour dérober des coordonnées bancaires restent très présents. L’année 2014 a
également vu les malwares cibler de nouveaux marchés,
avec notamment l’offensive du cheval de Troie Snifula
contre des établissements financiers japonais23 et
l’émergence au Moyen-Orient d’un groupe local armé du
malware njRAT24.
En octobre, seulement 7 % des spams infectés contenaient des liens URL. Après un bond à 41 % en novembre, les spams infectés ont continué leur progression
début décembre. En cause : l’explosion des e-mails
malveillants de notification de fax et de messagerie
vocale s’inspirant des techniques d’ingénierie sociale.
Les liens contenus dans ces e-mails renvoient vers une
page d’accueil PHP sur un domaine détourné. En cliquant sur le lien, l’utilisateur est redirigé vers un fichier
infecté. Nous avons notamment constaté l’utilisation
de Downloader.Ponik et de Downloader.Upatre dans ces
e-mails. Ces chevaux de Troie bien connus sont utilisés
pour télécharger d’autres malwares sur les ordinateurs
compromis notamment des « voleurs d’informations »
comme Trojan.Zbot (également connu sous le nom de
Zeus)25.
Après un pic en 2013, la diffusion de malwares par
e-mail a reculé en 2014.
NOUVELLES VARIANTES DE MALWARES (AJOUTÉES CHAQUE ANNÉE)
Source : Symantec I .cloud
317 256 956
251 789 458
2014
2013
+26 %
Avec plus de 317 millions de nouveaux malwares recensés en 2014, soit près d’un million de nouveaux malwares uniques chaque jour,
le nombre total de logiciels malveillants avoisine désormais les 2 milliards (1,7 Md).
E-MAILS DE PROPAGATION DE MALWARE PAR URL VS. PIÈCE JOINTE
12 % -13 % 25 % +2 % 23 %
2014
2013
21
http://en.wikipedia.org/wiki/Blackhole_exploit_kit
22
http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/
23
http://www.symantec.com/connect/blogs/snifula-banking-trojan-back-target-japanese-regional-financial-institutions
24
http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene
25
http://www.symantec.com/connect/blogs/malicious-links-spammers-change-malware-delivery-tactics
2012
TAUX DE MALWARES PRÉSENTS DANS LES E-MAILS (TAUX GLOBAL)
1 244
1 196
SUR
1 291
SUR
2014
SUR
2013
2012
POURCENTAGE D’E-MAILS DE PROPAGATION DE MALWARE PAR URL
VS. PIÈCE JOINTE, MOIS PAR MOIS
% POURCENTAGE
60
50
40
30
20
10
0
J
M
M
J
S
N
J
M
2012
M
J
S
N
J
M
2013
M
J
S
N
2014
12 % des e-mails infectés en 2014 contenaient un lien vers des sites malveillants plutôt qu’une pièce jointe, contre 25 % l’année
précédente.
PROPORTION D’E-MAILS CONTENANT DES VIRUS, 2012 – 2014
100
150
1 SUR
200
250
300
350
400
J
M
M
J
2012
S
N
J
M
M
J
2013
S
N
J
M
M
J
S
N
2014
RANÇONGICIELS
Entre 2013 et 2014, les attaques par rançongiciel ont plus que doublé, passant
de 4,1 millions à 8,8 millions. Phénomène plus inquiétant, sur la même période,
les rançongiciels qui cryptent les fichiers sur les postes infectés (ce que Symantec
appelle les crypto-rançongiciels) ont été multipliés par 45, soit une augmentation de
8 274 à 373 342 sur un an.
rançon pour débloquer ces fichiers. La meilleure solution
consiste encore à conserver une sauvegarde externe des
fichiers, de préférence hors-ligne, à partir de laquelle
vous pourrez restaurer vos données.
En 2013, les crypto-rançongiciels ne représentaient encore que 0,2 % (soit 1/500) des rançongiciels. Fin 2014,
leur proportion atteignait 4 %, soit 1/25.
Sur le plan humain, le rançongiciel est l’une des formes
d’attaques les plus agressives pour les victimes. Les
cybercriminels utilisent leurs malwares pour crypter
les données stockées sur le disque dur de leurs cibles.
Ils verrouillent ainsi photos de famille, mémoires de
soutenance, fichiers audio et tout ce qui constitue notre
patrimoine numérique personnel, avant d’exiger une
Aucun système d’exploitation n’est totalement immunisé
face aux multiples formes de rançongiciels26. Et même
s’il reste déconseillé de céder au chantage, de nombreuses entreprises et particuliers finissent par payer.
Ce faisant, ils alimentent le système et font de cette
arnaque un business juteux pour les malfaiteurs.
NOMBRE DE RANÇONGICIELS ENTRE 2013 ET 2014
900
800
700
MILLIERS
600
500
400
300
200
100
J
F
M
A
M
J
J
A
S
O
N
D
J
2013
Source : Symantec I Response
26
http://www.symantec.com/connect/blogs/windows-8-not-immune-ransomware-0
F
M
A
M
J
J
2014
A
S
O
N
D
CRYPTO-RANÇONGICIELS
Tandis que le nombre de rançongiciels doublait entre 2013 et 2014, les cryptorançongiciels ont été multipliés par 45 sur la même période27.
Identifié en mars, le crypto-rançongiciel CryptoDefense
illustre le niveau de dangerosité de ce type d’attaque et
les difficultés rencontrées pour traquer ses utilisateurs.
Transmis par des pièces jointes piégées, le virus chiffre
les fichiers de la victime au moyen de techniques de
cryptographie à clé publique, avec un chiffrement fort
RSA 2 048 bits.
Qu’il s’agisse de Cryptolocker28, CryptoDefense29 ou
Cryptowall30, les familles de crypto-rançongiciels sont
nombreuses, mais toutes procèdent de la même manière.
Au lieu de verrouiller votre poste de travail derrière une
muraille, le crypto-rançongiciel crypte vos fichiers personnels et conserve les clés privées de décryptage sur un
site distant. La clé n’est évidemment remise que contre
rançon. L’attaque est donc bien plus vicieuse qu’un
rançongiciel classique.
Le paiement de la rançon doit être effectué en Bitcoins
sur une page Web du réseau Tor31. Ce procédé permet
aux maîtres-chanteurs d’agir sans être repérés, ce qui
complique terriblement le démantèlement de ce type
d’arnaques.
Si les méthodes varient, le mode d’infection le plus
répandu reste néanmoins la fausse facture de gaz ou
d’électricité, voire même une simple image. L’infection
proprement dite est généralement commise par d’autres
malfaiteurs que les pirates qui exécutent le cryptorançongiciel. C’est là l’une des faces les plus sombres de
l’économie souterraine où des cybercriminels proposent
leurs services pour « infecter x ordinateurs pour une
somme forfaitaire de y dollars ».
Évidemment, la motivation n’est autre que le profit.
D’après Symantec, les cybercriminels derrière CryptoDefense auraient empoché plus de 34 000 dollars en à
peine un mois32. Pas étonnant, au vu de ces chiffres, que
le crypto-rançongiciel soit considéré comme l’activité
cybercriminelle la plus lucrative du moment.
NOMBRE DE CRYPTO-RANÇONGICIELS ENTRE 2013 ET 2014
80
72
70
62
MILLIERS
60
50
43
48
46
40
36
30
24
0,2 % POUR TOUTE L'ANNÉE 2013
20
10
J
F
M
A
M
J
J
2013
A
S
O
N
D
6
5
J
F
10 12
9
M
M
A
J
J
2014
A
S
O
N
D
Source : Symantec I Response
En 2013, les crypto-rançongiciels représentaient environ 0,2 % de l’ensemble des attaques par rançongiciel. Fin 2014, ce chiffre
dépassait les 4 %.
http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware
http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99
29
30
31
Tor est à la fois un logiciel et un réseau ouvert qui protège ses utilisateurs de toute analyse de trafic, ce qui leur permet de conserver leur anonymat
et la confidentialité de leurs échanges en ligne. S’il n’est pas répréhensible en soi, Tor permet aussi de protéger l’anonymat de cybercriminels.
32
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
27
28
BOTS ET BOTNETS
Les robots, ou bots, ont reculé de 18 % en 2014 par
rapport à l’année précédente. Dans une large mesure,
cette baisse est le résultat des démantèlements et
arrestations menés par le FBI, le centre européen
contre la cybercriminalité (EC3) d’Europol et d’autres
forces de police internationales, avec la collaboration
de Symantec et d’autres sociétés high-tech. Le botnet
Gameover Zeus est tombé en 2014, après avoir fait des
millions de victimes dans le monde depuis sa création
en 201133,34. Si l’événement a fait grand bruit, il s’inscrit
dans une série d’opérations de démantèlement menées
de concert par des forces de police et des sociétés
informatiques35,36.
ACTIVITÉ MALVEILLANTE PAR SOURCE : BOTS, 2012–2014
Pays/Région
Classement des bots
en 2014
Pourcentage de bots en
2014
Classement des bots
en 2013
Pourcentage de bots
en 2013
Chine
1
16,5 %
2
9,1 %
États-Unis
2
16,1 %
1
20 %
Taïwan
3
8,5 %
4
6%
Italie
4
5,5 %
3
6%
Hongrie
5
4,9 %
7
4,2 %
Brésil
6
4,3 %
5
5,7 %
Japon
7
3,4 %
6
4,3 %
Allemagne
8
3,1 %
8
4,2 %
Canada
9
3,0 %
10
3,5 %
Pologne
10
2,8 %
12
3,0 %
Source : Symantec I GIN
La Chine et les États-Unis comptent parmi les pays les plus peuplés au monde, y compris en termes d’internautes. En 2014, la Chine a
détrôné les États-Unis de la tête du classement des pays où les bots malveillants ont été les plus actifs. Un chassé-croisé qui pourrait
s’expliquer par le démantèlement de Gameover Zeus.
33
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
34
http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/
35
http://www.computerweekly.com/news/2240185424/Microsoft-partnership-takes-down-1000-cybercrime-botnets
36
http://www.computerweekly.com/news/2240215443/RSA-2014-Microsoft-and-partners-defend-botnet-disruption
NOMBRE DE BOTS
-18 %
1,9 MILLION
2,3 MILLIONS -33 %
3,4 MILLIONS
2014
2013
2012
Source : Symantec I GIN
La baisse du nombre de bots en 2014 s’explique en partie par le démantèlement du botnet GameOver Zeus dans le cadre de
« l’Opération Tovar ». Largement utilisé pour des actes de fraude bancaire, ce botnet avait également contribué à la diffusion du
rançongiciel CryptoLocker37.
TOP 10 DES BOTNETS D’ENVOI DE SPAM, 2014
Pourcentage de
spams
par
botnets
Nombre
de spams
par jour
KELIHOS
51,6 %
INCONNU/
AUTRES
Nom du botnet
de spam
Pays d’origine des spams envoyés par botnets
No 1
No 2
No 3
884 044
Espagne 10,5 %
États-Unis 7,6 %
Argentine 7,3 %
25,3 %
432 594
États-Unis 13,5 %
Brésil 7,8 %
Espagne 6,4 %
GAMUT
7,8 %
133 573
Russie 30,1 %
Vietnam 10,1 %
Ukraine 8,8 %
CUTWAIL
3,7 %
63 015
Russie 18,0 %
Inde 8,0 %
Vietnam 6,2 %
DARKMAILER5
1,7 %
28 705
Russie 25,0 %
Ukraine 10,3 %
Kazakhstan 5,0 %
DARKMAILER
0,6 %
9 596
Russie 17,6 %
Ukraine 15,0 %
Chine 8,7 %
SNOWSHOE
0,6 %
9 432
Canada 99,9 %
États-Unis 0,02 %
Japon 0,01 %
ASPROX
0,2 %
3 581
États-Unis 76,0 %
Canada 3,4 %
Royaume-Uni 3,3 %
DARKMAILER3
0,1 %
1 349
États-Unis 12,7 %
Pologne 9,6 %
Corée du Sud 9,1 %
GRUM
0,03 %
464
Canada 45,7 %
Turquie 11,5 %
Allemagne 8,5 %
37
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
OSX DANS LE COLLIMATEUR
Pour contrer les menaces qui visent son système d’ex
ploitation depuis quelques années, Apple a intégré à OSX
deux fonctions de sécurité ô combien nécessaires. Ainsi,
XProtect analyse les fichiers téléchargés et avertit les
utilisateurs en cas de présence d’un malware répertorié
par Apple. Quant à GateKeeper, il contrôle les signatures
de code des applications avant d’autoriser leur exécution
dans OSX. GateKeeper peut appliquer différents niveaux
de protection qui vont du plus strict (seules les applications officielles du Mac App Store peuvent être installées) à des formules plus souples qui autorisent toutes
les applications signées par leur développeur.
Or, si ces fonctions de sécurité ont empêché un certain
nombre d’infections sur OSX, certaines attaques ont
cependant réussi à franchir les barrières. Toute solution de sécurité basée sur les signatures peut en effet
être prise de vitesse. Ainsi, une application malveillante
pourra infecter des ordinateurs avant que sa signature
ne soit intégrée à la solution. Certaines applications
malveillantes sont également apparues revêtues d’une
signature légitime, qui n’était autre qu’une fausse signature ou une signature légitime volée.
Les menaces les plus couramment observées en 2014
présentaient un comportement similaire à celles affec
tant d’autres OS. Certains chevaux de Troie ont été injec
tés via des failles dans les paramètres de sécurité des
navigateurs (browser exploits). De même, des menaces
tristement célèbres comme Flashback, à l’origine de
l’infection de plus de 600 000 Mac en 2012, sont toujours d’actualité. Deux de ses variantes se classent ainsi
en troisième et dixième position du Top 10 des malwares
Mac OSX bloqués en 2014. Autres menaces en vogue :
les attaques qui modifient des paramètres comme le
DNS, le navigateur ou les paramètres de recherche sur
un ordinateur OSX.
Deux cybermenaces OSX ont mis en évidence un problème
majeur : les applications OSX piratées qui contiennent
des malwares.
OSX.Wirelurker est un cheval de Troie doublement
dangereux, dans la mesure où il vise à la fois les Mac
sous OSX et les terminaux iOS connectés à un ordinateur infecté. Sa découverte dans 467 applications OSX
hébergées sur un App Store OSX indépendant en Chine
38
http://www.thesafemac.com/iworm-method-of-infection-found/
a fait grand bruit. Ces applications malveillantes avaient
été téléchargées plus de 356 000 fois avant qu’Apple
n’intervienne et ne les neutralise.
Quant à OSX.Luaddit (également appelé iWorm) il
ajoutait les ordinateurs compromis à un botnet OSX. Le
malware a été découvert dans des copies piratées de
produits commerciaux comme Adobe Photoshop, Microsoft Office et Parallels38. Postées sur des sites Torrent,
ces applications ont été téléchargées des milliers de fois.
Les menaces OSX.Stealbit.A et OSX.Stealbit.B ont également fait parler d’elles. Ces « voleurs de Bitcoins » surveillent en effet le trafic des navigateurs afin d’intercepter
des identifiants d’accès aux plateformes d’échange de
Bitcoins. Signe de son succès, OSX.Stealbit.B a fait son
entrée dans le top 5 des menaces OSX observées en
2014.
D’après les observations, OSX.Slordu est un cheval de
Troie qui serait utilisé pour récolter des informations
sur l’ordinateur infecté. Point intéressant : cette menace
semble être le port OSX jumeau d’une célèbre porte
dérobée sous Windows.
OSX.Ventir est une menace modulaire assortie de
composants optionnels capables d’ouvrir une porte
dérobée, d’enregistrer des saisies clavier ou d’installer
du spyware. Suivant les objectifs du pirate, différents
modules peuvent être téléchargés et installés sur l’OSX
de l’ordinateur compromis.
OSX.Stealbit.A est un « voleur de Bitcoins » qui surveille
le trafic des navigateurs afin d’intercepter des identi
fiants d’accès aux plateformes d’échange de Bitcoins.
TOP 10 DES MALWARES MAC OSX BLOQUÉS
SUR DES TERMINAUX OSX, 2013–2014
Classement
Nom du malware
Pourcentage des
menaces Mac en
2014
Nom du malware
Pourcentage des
menaces Mac en
2013
1
OSX.RSPlug.A
21,2 %
OSX.RSPlug.A
35,2 %
2
OSX.Okaz
12,1 %
OSX.Flashback.K
10,1 %
3
OSX.Flashback.K
8,6 %
OSX.Flashback
9,0 %
4
OSX.Keylogger
7,7 %
OSX.HellRTS
5,9 %
5
OSX.Stealbit.B
6,0 %
OSX.Crisis
3,3 %
6
OSX.Klog.A
4,4 %
OSX.Keylogger
3,0 %
7
OSX.Crisis
4,3 %
OSX.MacControl
2,9 %
8
OSX.Sabpab
3,2 %
OSX.FakeCodec
2,3 %
9
OSX.Netweird
3,1 %
OSX.Iservice.B
2,2 %
10
OSX.Flashback
3,0 %
OSX.Inqtana.A
2,1 %
Source : Symantec I SDAP
MALWARES SUR SYSTÈMES VIRTUELS
La virtualisation n’offre aucune garantie de protection contre les malwares. Loin
d’abandonner lorsqu’il se retrouve sur une machine virtuelle, un malware saura
de plus en plus souvent adapter son comportement pour éviter d’être repéré39.
Historiquement, la proportion de malwares capables de détecter s’ils s’exécutaient
sur une machine virtuelle VMware a plafonné à 18 %. Début 2014, de chiffre est
passé à 28 %40.
Ce type de fonctionnalité n’est toutefois pas uniquement
utilisé pour échapper à la vigilance des chercheurs en
sécurité. Une fois installé sur une machine virtuelle (VM),
le malware pourra rebondir sur d’autres VM hébergées
sur le même matériel, voire infecter l’hyperviseur luimême. À mesure que la contagion gagne, les risques se
multiplient et l’attaque devient de plus en plus difficile
à stopper41. Ce comportement a déjà pu être observé
sur le terrain, à l’image du malware W32.Crisis qui tente
d’infecter les images des VM stockées sur un même
hôte42.
Pour les responsables informatiques, ces attaques
représentent des risques très spécifiques. Elles ont de
fait toutes les chances de passer à travers les mailles de
solutions de sécurité du périmètre comme les systèmes
de détection des intrusions ou les pare-feu qui utilisent
des machines virtuelles pour détecter les menaces sur
les « sandbox » virtuelles. Par ailleurs, les machines
virtuelles ne bénéficient pas toujours du même niveau
de protection que les clients ou serveurs traditionnels,
car l’on croit souvent, à tort, que les machines virtuelles
sont immunisées contre les malwares. Les entreprises
doivent donc intégrer des technologies comme les
équipements réseau, les hyperviseurs et les réseaux
définis par logiciels (SDN) à leurs plans de sécurité et
cycles d’application de correctifs.
http://www.symantec.com/connect/blogs/does-malware-still-detect-virtual-machines
Ibid
41
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/threats_to_virtual_environments.pdf
42
Ibid
39
40
EXTORSION DIGITALE : PETIT RAPPEL
HISTORIQUE DES RANÇONGICIELS
Par Peter Coogan
Les crypto-rançongiciels ont beaucoup fait parler d’eux
en 2014. Dans la triste saga des rançongiciels, le cryptorançongiciel se révèle nettement plus néfaste que la version classique. Alors que cette dernière se contente de
verrouiller un équipement physique, le dernier-né crypte
les fichiers stockés sur l’équipement compromis. Dans
la plupart des cas, la victime n’a alors plus aucun moyen
de récupérer ses données. Dans les deux variantes, la
finalité reste cependant la même : extorquer une rançon
à la victime en échange du déblocage de sa machine.
Si ce type de malware circule depuis une bonne décennie, il s’est considérablement développé ces dernières
années, à mesure que les cybercriminels abandonnaient
la création de faux antivirus au profit de ce créneau
beaucoup plus lucratif. Du faux antivirus au rançongiciel,
avant de passer à sa version crypto, les auteurs de ces
malwares ont été à pied d’œuvre. Si bien que l’on peut
d’ores et déjà entrevoir les nouvelles orientations de ces
professionnels de l’extorsion digitale.
Comme son nom l’indique, le faux antivirus est un
logiciel de sécurité qui fait payer l’utilisateur pour se
débarrasser d’un malware. En circulation depuis quelque
temps déjà, ces logiciels ont connu leur apogée autour
de 2009. À l’époque, un rapport Symantec faisait état de
43 millions de tentatives d’installation de faux anti-virus
à partir de 250 programmes différents, pour un prix
d’achat variant entre 30 et 100 dollars43.
Un rançongiciel verrouille l’accès à l’ordinateur infecté.
Ce logiciel malveillant s’inspire ensuite des formats de
messages de réseaux sociaux pour exiger le versement
d’une rançon en échange de la levée des restrictions. En
2012 déjà, Symantec alertait sur la montée des rançongiciels. On parlait alors de tarifs compris entre 50 et
100 euros en Europe, et pouvant atteindre 200 dollars
aux États-Unis44.
Inspirés par le succès du cheval de Troie Trojan.Cryptolocker45 en 2013, les auteurs de malwares se sont
attelés à la création de crypto-rançongiciels du même
type. D’où le foisonnement observé en 2014. Si des nouveautés font leur apparition aux côtés de fonctionnalités
éprouvées, le but reste toujours le même : extorquer de
l’argent aux victimes.
Trojan.Cryptodefense46 (alias Cryptowall) est l’un des
crypto-rançongiciels les plus prolifiques de l’année
2014. Apparu à la fin du mois de février, il a tout d’abord
été commercialisé sous le nom de CryptoDefense.
Utilisation de Tor et de Bitcoins pour garantir l’anonymat
des malfaiteurs, cryptage fort des données (RSA 2048)
et mesures d’intimidation des victimes étaient au menu
de ce nouveau-venu. Si la rançon initiale était fixée à
500 dollars/euros, le montant passait rapidement
à 1000 dollars/euros lorsque la victime tardait à
s’exécuter. Sauf que ses auteurs avaient commis une
étourderie de taille en laissant la clé de cryptage privée
sur le système de la victime, qui pouvait ainsi se libérer
elle-même de l’emprise de ses maîtres-chanteurs.
Mais une fois l’information rendue publique, les
auteurs du malware se sont empressés de résoudre
ce problème et ont rebaptisé leur menace Cryptowall.
Depuis, Cryptowall a renforcé son arsenal avec
l’escalade de privilèges, des dispositifs anti-détection
et l’utilisation du réseau Invisible Internet Project
(I2P) pour anonymiser les communications. D’après
les observations, Cryptowall aurait rapporté au moins
34 000 dollars le premier mois47, les chercheurs
établissant ses profits à plus d’un million de dollars sur
six mois48.
Les PC sous Windows ont constitué une cible lucrative
pour les auteurs de rançongiciels et devraient le rester.
En 2014, les attaquants ont jeté leur dévolu sur d’autres
plateformes. Ainsi, le gang Reveton a sorti des rançongiciels Android baptisés Android.Lockdroid.G49 (alias
Koler). À l’aide d’un système de distribution du trafic,
le gang a pu mener ses attaques en trois temps. En
fonction du site Web utilisé pour accéder au site sous
son contrôle, le trafic était redirigé vers un rançongiciel
adapté.
http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf
46
47
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
48
http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/
49
43
44
45
Du jour au lendemain, le rançongiciel s’était affranchi de toute
dépendance vis-à-vis de telle ou telle plateforme. Les utilisateurs
Android étaient redirigés vers Android.Lockdroid.G, et ceux
d’Internet Explorer vers le kit Angler Exploit qui libérait sa charge
active Trojan.Ransomlock.G50. Quant aux autres navigateurs sous
Windows, Linux ou Mac, ils étaient orientés vers Browlock51,
une autre forme de rançongiciel qui verrouille un ordinateur
et demande une rançon à son propriétaire via les outils de son
navigateur Web.
Le premier crypto-rançongiciel pour Android, Android.Simplocker,52
a été découvert en juin 2014. La demande de rançon initiale était
en russe, mais dès juillet 2014, une version anglaise est apparue
(Android.Simplocker.B53) utilisant des techniques d’ingénierie
sociale pour se faire passer pour le FBI. En octobre 2014, Android.
Lockdroid.E54 (alias Porndroid) s’inscrivait dans la même veine FBIesque, à la différence près qu’il utilisait la caméra de l’ordinateur
pour prendre une photo de la victime – photo ensuite insérée
dans la demande de rançon. Android.Lockdroid s’est ensuite fait
remarquer sous de nouvelles variantes comprenant des fonctions
de ver classiques – autoréplication via des messages SMS envoyés
à tout le carnet d’adresses d’un équipement infecté – couplées à
des techniques d’ingénierie sociale pour ferrer leurs proies.
Tout en continuant de sévir sur les terminaux mobiles, les auteurs
de rançongiciels se sont mis à la recherche de nouveaux gisements
d’opportunités. En ce sens, les périphériques NAS constituaient
une cible intéressante dans la mesure où ils stockent d’importants
volumes de fichiers. C’est ainsi que Trojan.Synolocker55 (alias
Synolocker), est parvenu à exploiter une vulnérabilité jusqu’alors
inconnue du logiciel de gestion Synology DiskStation pour accéder
aux périphériques NAS Synology, crypter les données et réclamer
une rançon. Depuis, la faille a été corrigée mais l’incident révèle
bien l’ingéniosité et la ténacité dans la recherche de nouveaux
terrains d’attaque.
Menace du rançongiciel Android « Porndroid ».
Pourquoi une telle explosion des rançongiciels ? La réponse est dans
les chiffres. Avec des rançons comprises entre 100 et 500 dollars,
il s’agit d’un marché porteur pour les cybercriminels. En 2014, le
Bitcoin est devenu la monnaie d’échange pour le versement des
rançons. En protégeant l’anonymat des transactions, le Bitcoin
permet aux cybermalfaiteurs de rester facilement dans l’ombre et
de blanchir leur argent sans être inquiétés.
Outre l’apparition de nouvelles familles de rançongiciels, Symantec
a également constaté une forte augmentation globale de ce type
d’attaque. Les cas mettant en cause des rançongiciels ont en effet
progressé de 113 % par rapport à 2013. L’arrivée de nouveaux
rançongiciels et le potentiel économique de ce « marché » laissent
présager une poursuite de la tendance haussière sur ce type
d’arnaques.
53
54
55
50
51
52
ATTAQUES CIBLÉES
2014 EN BREF
1
Les affaires de cyberespionnage commanditées par des États sont en
2
Les malwares utilisés sont de plus en plus perfectionnés, démontrant un
3
augmentation
professionnalisme et une ingénierie logicielle de pointe
Les campagnes de cyberattaques Dragonfly, Waterbug et Turla sont parvenues à infiltrer des systèmes industriels, des ambassades et d’autres cibles
sensibles
Le nombre de campagnes de spear-phishing a augmenté de 8 %, dans un
4
contexte général de baisse des attaques quotidiennes : les pirates prennent
désormais le temps d’élaborer des attaques plus sophistiquées, en effectuant des reconnaissances à plus long terme et en attendant le moment
propice pour déclencher leur offensive
INTRODUCTION
En 2014, Symantec a analysé plusieurs campagnes de cyberespionnage dans le but
de décrypter les modes d’infiltration de milliers d’organisations à caractère hautement sensible à travers le monde. Cette étude révèle une sophistication préoccupante des méthodes employées.
Mettez-vous un instant à la place du RSSI d’une représentation diplomatique en Europe de l’Est. Vous êtes en 2014 et
vous suspectez la présence d’un cheval de Troie avec porte
dérobée sur les ordinateurs de vos ambassades et consu
lats. Vous faites appel à un cabinet spécialisé qui confirme
vos pires soupçons. Après enquête, vous découvrez qu’un
e-mail personnalisé a été envoyé à certains membres du
personnel dans le cadre d’une campagne de spear-phishing
extrêmement ciblée. Résultat : leurs ordinateurs ont été
discrètement infectés. En conjuguant exploits zero-day,
e-mails soigneusement élaborés et attaques dites du point
d’eau, l’infiltration est passée inaperçue pendant suffisamment longtemps pour compromettre 4 500 ordinateurs
dans plus d’une centaine de pays56.
L’ingéniosité de ces attaques sonne comme un rappel de
l’importance d’une sécurité informatique renforcée autour
d’une application systématique de bonnes pratiques. Car la
menace ne provient pas uniquement de filières étatiques.
Pirates à la fibre patriotique exacerbée, hacktivistes, cyberdélinquants spécialistes de l’extorsion, voleurs de données
et autres hackers emploient des techniques similaires,
même s’ils ne disposent pas des mêmes ressources et
compétences techniques.
Si le modus operandi des attaques par e-mail reste peu ou
prou inchangé, le cyberespionnage fait davantage appel à
des kits clé-en-main combinant différents types d’exploits.
Arsenal classique des cybercriminels, ces kits ont aujour
d’hui le vent en poupe auprès des cyberespions.
Ce scénario inquiétant n’a rien d’irréaliste puisqu’il décrit le
schéma opératoire de l’attaque Waterbug.
Étant donné le choix des cibles et la sophistication des
modes opératoires, Symantec est convaincu que Waterbug
– tout comme Turla et Regin – est l’acte d’un groupe à la
solde d’un État57.
56
57
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf
Ibid
CYBERESPIONNAGE
En 2014, les experts en sécurité Symantec ont passé près de huit mois à disséquer
l’un des malwares les plus élaborés jamais découvert dans une affaire de cyber
espionnage. Baptisé Regin, ce logiciel malveillant donnait à ses détenteurs de
puissants outils d’espionnage de cibles allant des gouvernements aux opérateurs
d’infrastructures, en passant par les entreprises, les chercheurs et même les particuliers. Dans le cas précis des opérateurs télécom, il semblerait que les attaques
lancées aient eu pour but d’intercepter des appels routés sur leur infrastructure58.
L’installation de ce malware complexe s’effectue en cinq
étapes discrètes et sa conception modulaire permet d’ajou
ter ou de supprimer des fonctionnalités. Si le chargement
multi-étapes et la modularité n’ont rien de révolutionnaire,
Regin se distingue en revanche par son haut niveau de tech
nicité et le professionnalisme de son développement. Il
possède ainsi des dizaines de modules aux fonctionnalités
variées : accès à distance, captures d’écran, vol de mots de
passe, surveillance du trafic réseau ou encore récupération
de fichiers supprimés59.
Développé sur plusieurs mois, voire plusieurs années, Regin
a mobilisé d’importantes ressources. Voué aux opérations
de surveillance continue et à long terme, ce malware est si
perfectionné que seul un État peut en être à l’origine.
Même constat pour Turla, un malware en cause dans une
autre affaire de cyberespionnage étudiée par Symantec60.
Pour lancer leurs attaques contre des gouvernements et des
ambassades de pays de l’ancien bloc de l’Est, les pirates ont
associé techniques de spear-phishing et attaques du point
d’eau (voir plus bas). Une fois les ordinateurs ciblés infectés, les malfaiteurs ont pu y accéder à distance pour copier
ou supprimer des fichiers, et se connecter aux serveurs.
Étant donné les cibles choisies et la sophistication des malwares, Turla a selon toute vraisemblance été commandité
par un État61.
L’actualité 2014 a également été marquée par le déman
tèlement de l’« Equation Group »62. Doté d’énormes moyens,
ce groupe avait à son actif diverses opérations de cyberespionnage menées depuis plusieurs années dans le cadre
d’attaques hyper spécialisées. Outre leur perfectionnement
technique, ces groupes s’approvisionnent également en
exploits, kits d’attaques zero-day et autres codes personnalisés sur un marché noir florissant. Les opérations ayant
permis de démasquer l’Equation Group auront mis en
évidence le professionnalisme avec lequel leurs attaques
ont été développées. Les groupes de cyberespionnage
appliquent en effet les mêmes méthodes de développement logiciel que les éditeurs légitimes.
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
http://www.symantec.com/en/uk/outbreak/?id=regin
60,61
http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats
62
http://www.symantec.com/connect/blogs/equation-advanced-cyberespionage-group-has-all-tricks-book-and-more
58
59
CYBERSÉCURITÉ EN MILIEU INDUSTRIEL
Avec l’explosion du nombre de terminaux connectés à Internet, c’est un véritable
boulevard qui s’ouvre aux pirates, augmentant d’autant le risque de sabotage pour
les entreprises. En première ligne, on retrouve les terminaux industriels, également
appelés Systèmes de Contrôle Industriels (SCI), dont l’utilisation s’est généralisée
partout dans le monde, notamment dans les secteurs de la production industrielle
et les services d’utilité publique (électricité, gaz, etc.). Pour faciliter leur surveillance et leur contrôle, ces équipements sont souvent connectés à Internet.
VULNÉRABILITÉS DÉCOUVERTES DANS LES SYSTÈMES ICS/SCADA ENTRE 2012 ET 2014
90
80
70
75
13
60
9
50
39
40
35
7
30
14
Vulnérabilités
12
Fournisseurs
uniques
10
8
6
4
20
2
10
2012
2013
2014
D’après les observations de Symantec, les attaques contre
les systèmes de contrôle industriels ont augmenté en 2014,
à l’image de Dragonfly, une campagne de cyberespionnage menée contre des infrastructures énergétiques, des
centrales électriques, des exploitants de pipelines pétroliers
et des fabricants d’équipements industriels63. La plupart
des victimes étaient situées aux États-Unis, en Espagne, en
France, en Italie, en Allemagne, en Turquie et en Pologne.
En s’attaquant aux systèmes de contrôle industriels,
Dragonfly marche dans les traces de Stuxnet qui s’en était
pris au programme nucléaire iranien. Dragonfly semble
cependant poursuivre des desseins moins destructeurs.
Il s’inscrit en effet dans une démarche d’espionnage et
d’accès permanent, plutôt que dans une volonté de sabotage. Mais avec les importants soutiens dont il dispose, le
groupe aux manettes de l’attaque bénéficie d’informations
sur des systèmes industriels stratégiques pour, le cas échéant, frapper plus fort un jour.
À base de programmes codés sur mesure et de malwares
« prêts à l’emploi » achetés sur des forums russophones,
l’assaut a combiné e-mails de spear-phishing et attaques
Web du point d’eau. Pour atteindre leur cible finale, les
attaquants sont passés par certains de ses fournisseurs,
plus petits et moins bien protégés.
63
64
Nombre de vulnérabilités identifiées sur les
systèmes SCI et SCADA, avec indication du
nombre de fournisseurs concernés chaque
année.
http://www.symantec.com/connect/blogs/dragonfly-western-energycompanies-under-sabotage-threat
http://fr.wikipedia.org/wiki/OLE_for_Process_Control
Les entreprises peuvent parfois rencontrer des difficultés
pour protéger les systèmes en place. C’est notamment le
cas lorsqu’elles ne peuvent se permettre d’interrompre leur
activité pour installer des correctifs, ou encore lorsqu’elles
utilisent des technologies propriétaires ou mal protégées.
Prenons l’exemple d’OPC64 (OLE for Process Control), un
protocole très répandu dans les systèmes d’automatisation
industriels. Bien documenté, ce standard ouvert relègue
cependant le cryptage, l’authentification et d’autres
mesures de sécurité au second plan. Résultat : OPC est
vulnérable aux attaques de logiciels malveillants. Dragonfly
ne s’y est d’ailleurs pas trompé en cherchant notamment à
recueillir des informations sur les systèmes OPC en place
dans les entreprises visées.
En ciblant spécifiquement les serveurs de mise à jour logi
cielle des fournisseurs de systèmes SCI, Dragonfly a donné
aux attaques du point d’eau une dimension toute nouvelle.
Ce type d’attaque exploite les vulnérabilités de sites Web
tiers que la véritable cible est amenée à consulter. L’atta
quant infiltre le site puis, tel le prédateur, attend patiemment la venue de sa victime pour lui injecter un malware.
En exploitant les serveurs de mise à jour logicielle du sys
tème SCI de ses proies, Dragonfly a permis aux pirates de
compromettre leur chaîne d’approvisionnement – marquant
ainsi un véritable tournant dans les attaques du point d’eau.
ATTAQUES DE RECONNAISSANCE
Outre les campagnes de spear-phishing et les attaques du point d’eau, dont les techniques d’ingénierie sociale reposent sur le facteur humain, les pirates continuent de
chercher de nouveaux angles d’attaques pour s’infiltrer sur le réseau de leurs cibles.
Ils y parviennent notamment en s’engouffrant dans les failles décelées en périphérie
du réseau.
La reconnaissance constitue donc une étape déterminante
pour l’attaquant. Cette première phase du processus de
piratage permet de récupérer des informations sur les systèmes en place et d’en détecter les points faibles.
Si l’on revient sur les grands exploits zero-day de 2014, la
reconnaissance a manifestement joué un rôle clé. En tête
des vulnérabilités zero-day les plus répandues, on retrouve
CVE-2013-7331. Certes, on est loin du simple exploit visant
à s’engouffrer dans une faille pour accéder à un système
vulnérable. Ici, la récolte d’informations précieuses sur le
réseau convoité constitue la principale motivation – ces
données étant particulièrement utiles en vue d’attaques
ultérieures. Une fois en possession de renseignements tels
que les noms d’hôte, les adresses IP et les différents chemins d’accès sur le réseau interne de la cible, un attaquant
peut tranquillement mettre sur pied son prochain plan
d’attaque.
Autre point important : cette faille zero-day est restée sans
correctif pendant très longtemps. Si elle a été inscrite au
CVE en 2013, elle n’a été publiée qu’en février 2014, et il a
fallu patienter jusqu’en septembre 2014 pour la sortie du
correctif. Au total, 204 jours se sont donc écoulés entre la
publication de la vulnérabilité et la diffusion de son correctif – un laps de temps plus que confortable pour les pirates.
Comment expliquer un tel manque de réactivité ? La me
nace n’a sans doute pas été jugée suffisamment sévère.
L’exploit ne permettant pas à un pirate de prendre directement le contrôle d’un ordinateur fragilisé, le patching de
la vulnérabilité a donc été relégué au second plan. Cela n’a
pas échappé aux malfaiteurs qui ont ainsi pu profiter de
la vulnérabilité pour recueillir des renseignements sur les
réseaux visés – autant d’informations utiles pour parvenir
à leurs fins.
Ce volet de la cybersécurité mériterait que l’on s’y intéresse de plus près. Si une faille permettant de récolter des
informations sur un réseau, un ordinateur ou un périphérique paraît a priori moins dangereuse que si elle autorisait
l’escalade de privilèges, elle n’en reste pas moins tout aussi
nocive dans la mesure où elle aide les attaquants à repérer
des systèmes vulnérables qu’ils n’auraient pas pu découvrir
autrement.
LES ATTAQUES DU POINT D’EAU ET L’ENJEU
DES FAILLES ZERO-DAY
Découvert en septembre 2013, le groupe de hackers mercenaires Hidden Lynx a
encore frappé en 2014. Il a notamment profité d’une vulnérabilité zero-day (CVE2014-0332)65 pour lancer une attaque du point d’eau qui lui a permis d’installer
une porte dérobée sur les ordinateurs utilisés pour consulter le site compromis,
ouvrant ainsi la voie à de futures attaques et opérations d’exfiltration.
Menées à l’encontre du secteur français de l’aérospatial
et plusieurs sites Web japonais, d’autres attaques du
point d’eau sont également passées par une vulnérabilité
zero-day (CVE-2014-0332). D’après nous, ces attaques
n’auraient cependant aucun lien avec le groupe Hidden
Lynx et nous privilégions la piste d’autres acteurs66.
Toujours dans la catégorie du point d’eau, une attaque
d’envergure a permis d’exploiter une vulnérabilité zeroday d’Adobe Flash (CVE-2014-0515) associée au logiciel
parfaitement légitime d’un autre éditeur. On note ici le
côté ultra ciblé de l’attaque, dans la mesure où sa réussite
dépendait de l’installation des deux logiciels côté cible.
Lors d’un épisode différent, une vulnérabilité Microsoft
Windows encore inconnue avait permis au groupe de
cyberespionnage Sandworm d’installer un malware dans
de grandes organisations67 comme l’OTAN, des organismes
publics ukrainiens et d’Europe occidentale, ainsi que des
groupes énergétiques et des opérateurs de télécommunications.
Identifiée en 2012, la plateforme Elderwood est toujours
très active, avec notamment l’exploitation de trois nouvelles
vulnérabilités zero-day début 201468.
En 2014, 24 failles zero-day ont été découvertes, soit une
de plus que l’ancien record de 2013, marquant ainsi une
nouvelle évolution dans le nombre de vulnérabilités zeroday identifiées et exploitées. À ce jour, il existe sans doute
de nombreuses autres failles de ce type que les pirates se
gardent bien de révéler...
révéler extrêmement productif pour celui qui saura mettre
à profit le délai entre la découverte de la vulnérabilité et la
sortie d’un correctif. Son déploiement à grande échelle peut
en effet prendre plusieurs jours, plusieurs semaines, voire
plusieurs mois, si ce n’est plus.
Dans le top 5 des vulnérabilités zero-day les plus souvent exploitées, le délai entre la date de signalement par
l’éditeur et la sortie du correctif a littéralement explosé,
passant de 19 jours en 2013 à 295 jours l’an dernier. À
l’échelle de tous les zero-day, le délai moyen bondit également de 4 jours en 2013 à 59 jours en 2014. CVE-20137331 fut de loin la vulnérabilité zero-day la plus souvent
exploitée en 2014. Identifiée pour la première fois en 2013,
son existence n’a cependant été révélée au public que
l’année suivante et il aura encore fallu patienter 204 jours
avant la publication du correctif. Pour les deux autres
exploits zero-day du podium, il aura également fallu s’armer
de patience – respectivement 22 et 53 jours. Ces chiffres
sont supérieurs aux délais moyens constatés en 2013.
Les groupes de cyberespionnage misent tout sur cette
fenêtre de vulnérabilité pour mener à bien leurs offensives.
Ainsi, un site Web déjà infecté par un point d’eau cessera
d’utiliser un exploit zero-day dès lors que l’éditeur du
logiciel en question aura révélé l’existence de la vulnéra
bilité – et ce, même s’il n’existe pas encore de correctif. Les
pirates opteront alors pour un exploit encore « confidentiel », laissant ainsi présager de l’étendue des ressources à
leur disposition.
Pour un pirate, l’exploitation d’une vulnérabilité zero-day
présente un double intérêt. Tout d’abord, une faille non
publiée présentera une valeur énorme pour celui qui saura
l’exploiter pour ouvrir un accès distant ou mener ses opérations de reconnaissance. Ensuite, un exploit pourra se
http://www.symantec.com/connect/blogs/emerging-threat-ms-ie-10-zeroday-cve-2014-0322-use-after-free-remote-code-execution-vulnerabi
http://www.symantec.com/connect/blogs/zero-day-internet-vulnerabilitylet-loose-wild
67
http://www.symantec.com/connect/blogs/sandworm-windows-zero-dayvulnerability-being-actively-exploited-targeted-attacks
68
http://www.symantec.com/connect/blogs/how-elderwood-platform-fueling2014-s-zero-day-attacks
65
66
VULNÉRABILITÉS ZERO-DAY
24
+4 %
2014
23
+64 %
14
2012
2013
Source : Symantec I Deepsight, SDAP, Wiki
TOP 5 DES VULNÉRABILITÉS ZERO-DAY, DÉLAIS DE PATCHING ET SIGNATURES
19 jours
4 jours
2013 Durée totale d’exposition cumulée
2013 Délai moyen avant patching
+276 jours
+51 jours
295 jours
55 jours
2014 Durée totale d’exposition cumulée
2014 Délai moyen avant patching
En 2014, 57 % des attaques contre le top 5 des vulnérabilités ont été perpétrées après ajout d’une signature
(sous 90 jours) et avant la sortie du correctif par l’éditeur.
57 %
2014
Classement
Vulnérabilité (CVE)
Pourcentage global 2014
1
Microsoft ActiveX Control CVE-2013-7331
81 %
2
Microsoft Internet Explorer CVE-2014-0322
9,5 %
3
Adobe Flash Player CVE-2014-0515
7,3 %
4
Adobe Flash Player CVE-2014-0497
2%
5
Microsoft Windows CVE-2014-4114 OLE
<1%
Dans le top 5 des vulnérabilités les plus exploitées, le délai entre le signalement par l’éditeur et la date de sortie du correctif est passé
de 19 jours en 2013 à 295 jours l’année suivante. 57 % des attaques exploitant les vulnérabilités zero-day du top 5 ont été bloquées
en moins de 90 jours grâce à la technologie Symantec Endpoint, souvent avant même la sortie d’un correctif.
TOTAL ANNUEL DES VULNÉRABILITÉS ZERO-DAY, 2006 – 2014
25
24
23
20
15
13
15
14
14
12
10
9
8
5
2006
2007
2008
2009
2010
2011
2012
2013
2014
CINQ PLUS GRANDES VULNÉRABILITÉS ZERO-DAY
4 19
2013
59
2014
Délai moyen de publication d’un correctif par l’éditeur
Durée totale d’exposition cumulée pour les cinq plus grandes
vulnérabilités zero-day
295
NOMBRE D’ATTAQUES DÉTECTÉES (EN MILLIERS)
25
81 % Microsoft ActiveX Control
CVE-2013-7331
20
81 %
10 % Microsoft Internet Explorer
CVE-2014-0322
15
10
7%
Adobe Flash Player
CVE-2014-0515
2%
Adobe Flash Player
CVE-2014-0497
Microsoft
ActiveX
Control
< 1 % Microsoft Windows
CVE-2014-4114 OLE
5
0
25
50
75
100
125
150
175
200
225
250
275
300
NOMBRE DE JOURS APRÈS PUBLICATION DE LA VULNÉRABILITÉ
Pour les zero-day les plus souvent exploités, la fenêtre de vulnérabilité – le délai entre la date de signalement et la sortie du correctif
– s’est allongée en 2014. Les vulnérabilités CVE-2014-0322, CVE-2014-0515 et CVE-2014-4114 ont toutes été exploitées l’an dernier
dans le cadre de plusieurs attaques ciblées – y compris des attaques mettant en cause Hidden Lynx et Sandworm.
FACE AUX MENACES, DES CELLULES DE
VEILLE
Pour bien cerner les menaces auxquelles leurs réseaux sont exposés, les entreprises
doivent impérativement assurer une veille des menaces.
Car, aussi performante soit-elle, aucune technologie ne peut
résoudre à elle seule l’ensemble du problème. Une protection efficace doit associer cyberveille, gestion du risque
et solutions techniques de pointe. Elle pourra ainsi non
seulement identifier la cible exacte, mais aussi comprendre
le déroulé de l’attaque et les motivations des assaillants.
Aujourd’hui, la question pour les entreprises n’est plus de
savoir si elles sont exposées à un risque, mais plutôt à quel
moment l’attaque aura lieu – d’où l’importance de bien
cerner la nature des menaces.
Les attaques avancées utilisent des kits d’exploits visant à
la fois à percer des vulnérabilités anciennes et des failles
zero-day. Une bonne défense sera donc plus difficile à
prendre à revers. En ce sens, l’instauration d’un système
de cyberveille permettra de croiser les informations disponibles dans l’entreprise pour établir une liste des incidents
suspects. De même, une évaluation continue des personnes,
des compétences et des processus apportera la meilleure
réponse possible, tout en réactualisant en permanence les
processus et les compétences. S’il est plus difficile d’entrer
par cybereffraction, les pirates devront redoubler d’efforts.
À vous de jouer pour ne pas être le maillon faible.
TECHNIQUES MISES EN ŒUVRE DANS LES
ATTAQUES CIBLÉES
TAILLE DES ENTREPRISES CIBLÉES PAR LE « SPEAR-PHISHING »
ENTRE 2011 ET 2014
Grandes
entreprises
(plus de
2 500 salariés)
Entreprises de
taille intermédiaire
(entre 251 et
2 500 salariés)
Petites et moyennes
entreprises (PME)
(entre 1 et
250 salariés)
100 %
50 %
39 %
41 %
31 %
25 %
31 %
30 %
34 %
2012
2013
2014
50 %
19 %
En 2014, 41 % des e-mails de spearphishing ont été adressés à de grands
groupes. Comme en 2013, le nombre
d’attaques de spear-phishing ciblant
des PME prouve bien qu’une taille plus
modeste et un anonymat relatif ne
constituent en rien un gage d’immunité.
Au contraire, les schémas d’attaques
observés en 2014 révèlent que les
pirates les plus déterminés déjouent la
sécurité de leur cible en s’attaquant à sa
chaîne d’approvisionnement.
31 %
18 %
0
2011
RATIO DE RISQUE D’ATTAQUE DE SPEAR-PHISHING PAR TAILLE D’ENTREPRISE
Source : Symantec I .cloud, SRL
Ratio de risque
en 2014
Ratio de risque
en 2014 (%)
Ratio de risque
en 2014
Ratio de risque en
2013 (%)
Grandes entreprises
de plus de 2 500 salariés
1 sur 1,2
83 %
1 sur 2,3
43 %
Entreprises de taille
intermédiaire − entre
251 et 2 500 salariés
1 sur 1,6
63 %
1 sur 3,5
33 %
Petites et moyennes
entreprises (PME) −
entre 1 et 250 salariés
1 sur 2,2
45 %
1 sur 5,2
19 %
En 2014, 83 % des grandes entreprises ont fait l’objet de campagnes de spear-phishing, contre 43 % en 2013.
DIX SECTEURS D’ACTIVITÉS LES PLUS CIBLÉS PAR LE « SPEAR-PHISHING »
ENTRE 2013 ET 2014
Production / Fabrication
Services non traditionnels
18
13
11
Services professionnels
Commerce de gros
15
10
5
Transport, gaz,
transport, communications
Sur l’ensemble de
l’année 2014, l’industrie
manufacturière a payé le plus
lourd tribut aux attaques de
spear-phishing, avec 20 %
des cas recensés.
20
14
Finances, assurances
et immobilier
7
6
5
Administration publique
Grande distribution
20
13
2
Exploitation minière
1
1
Construction
1
1
16
3
2013
5
10
2014
15
20
25 %
RATIO DE RISQUE D’ATTAQUE DE SPEAR-PHISHING
PAR SECTEUR D’ACTIVITÉ
Secteur d'activité – 2014
Ratio de
risque en
2014
Ratio de
risque en
2014 (%)
Secteur minier
1 sur 2,3
43 %
Secteur minier
1 sur 2,7
37 %
Vente en gros
1 sur 2,9
34 %
Administrations publiques
(État)
1 sur 3,1
32 %
Production manufacturière
1 sur 3,0
33 %
Production manufacturière
1 sur 3,2
31 %
Transports, communications,
électricité, gaz et services
sanitaires
1 sur 3,4
29 %
Vente en gros
1 sur 3,4
29 %
1 sur 3,9
26 %
1 sur 4,8
21 %
1 sur 6,6
15 %
Secteur d'activité – 2013
Transports, communications,
électricité, gaz et services
sanitaires
Ratio de
risque en
2013
Ratio de
risque en
2013 (%)
Administration publique
1 sur 3,4
29 %
Finance, assurance et
immobilier
1 sur 4,8
21 %
Grande distribution
1 sur 4,8
21 %
Services – non traditionnels
1 sur 6,5
15 %
Bâtiment
1 sur 11,3
8%
Services professionnels
1 sur 6,9
15 %
Agriculture, exploitation
forestière et pêche
1 sur 12,0
8%
Finance, assurance et
immobilier
Services – non traditionnels
Source : Symantec | .cloud, SRL
En 2014, la majorité des attaques se sont concentrées sur l’industrie minière ; avec 43 % des entreprises du secteur (soit 1 sur 2,3)
visées au moins une fois sur la période. Dans la classification minière sont comprises les entreprises d’extraction de matières énergé
tiques, ainsi que les sociétés d’exploitation de mines métallifères et d’extraction de minerais.
E-MAILS DE SPEAR-PHISHING PAR JOUR
73
83
-12 %
2014
-28 %
116
2012
2013
Source : STAR Malware Ops
Le nombre d’e-mails de spear-phishing détectés par Symantec recule légèrement, tandis que les attaques ciblées connaissent une
légère hausse. Les campagnes d’attaques par e-mail sont en augmentation et les e-mails de spear-phishing se perfectionnent, avec des
malwares personnalisés et des messages bien conçus qui s’inspirent des techniques d’ingénierie sociale pour déjouer les dispositifs de
sécurité.
E-MAILS DE SPEAR-PHISHING PAR JOUR
2014
Évolution
2013
Évolution
2012
Campagnes
841
+8 %
779
+91 %
408
Destinataires par
campagne
18
-20 %
23
-81 %
111
Attaques par
campagne
25
-14 %
29
-76 %
122
Durée moyenne
d'une campagne
9 jours
+13 %
8 jours
+173 %
3 jours
En 2014, les attaques ciblées lancées dans le cadre de campagnes de spear-phishing ont augmenté de 8 %, et ce malgré une baisse
globale de 12 % du nombre d’e-mails de spear-phishing envoyés chaque jour. En ciblant un nombre restreint de destinataires, le
spear-phishing se différencie du spam de masse. Avant de déclencher l’offensive, les attaquants prennent le temps de planifier et de
coordonner leurs attaques, avec notamment une reconnaissance minutieuse. Symantec a également observé plusieurs « attaques
ciblées distribuées » menées conjointement et de façon coordonnée par plusieurs groupes. Et malgré les volumes d’e-mails en jeu, la
planification et la diffusion de ces attaques ont été telles qu’elles n’ont pas été identifiées comme spam.
NUAGE DE MOTS CLÉS
Mots les plus couramment utilisés dans les e-mails de « spear-phishing »
Source: Symantec I .cloud, SRL
RATIO DE RISQUE D’ATTAQUE DE SPEAR-PHISHING PAR FONCTION
2014
Ratio de risque 2014
Quelle: Symantec I .cloud, SRL
Ratio 2014 (%)
Marketing/Ventes
1 sur 2,9
35 %
Opérationnel
1 sur 3,8
27 %
Finance
1 sur 3,3
30 %
R&D
1 sur 4,4
23 %
Informatique
1 sur 5,4
19 %
Ingénierie
1 sur 6,4
16 %
RH et Recrutement
1 sur 7,2
14 %
Autre fonction
1 sur 9,3
11 %
Les collaborateurs exerçant une fonction commerciale ou marketing ont représenté la première cible en 2014, avec une personne sur
2,9 visée au moins une fois – soit 35 % des salariés du pôle Marketing/Ventes.
RATIO DE RISQUE D’ATTAQUE DE SPEAR-PHISHING PAR NIVEAU
HIÉRARCHIQUE
2014
Ratio de risque 2014
Ratio de risque (%)
Manager
1 sur 3,8
26 %
Employé individuel
1 sur 3,7
27 %
Stagiaire
1 sur 3,9
26 %
Directeur
1 sur 5,4
19 %
Support
1 sur 7,6
13 %
Autre
1 sur 9,3
11 %
Les managers ont représenté le niveau hiérarchique le plus souvent visé en 2014, avec une personne sur 3,8 prise pour cible au moins
une fois – soit 26 % des salariés occupant une fonction managériale.
MOYENNE QUOTIDIENNE D’ATTAQUES PAR « SPEAR-PHISHING »
ENTRE 2012 ET 2014
250
225
200
175
150
125
100
75
50
25
0
J
M
M
J
S
N
J
M
M
2012
J
S
N
J
2013
M
M
J
S
N
2014
ANALYSE DES E-MAILS DE SPEAR-PHISHING UTILISÉS DANS LES ATTAQUES CIBLÉES,
2013 – 2014
Classement
Type d’exécutable
Pourcentage global
en 2014
Type d’exécutable
Pourcentage global
en 2013
1
.doc
41,2 %
.exe
31,3 %
2
.exe
24,0 %
.scr
18,4 %
3
.scr
9,7 %
.doc
7,9 %
4
.au3
8,7 %
.pdf
5,3 %
5
.jpg
4,9 %
.class
4,7 %
6
class
3,6 %
.jpg
3,8 %
7
.pdf
3,3 %
.dmp
2,7 %
8
.bin
2,0 %
.dll
1,8 %
9
.txt
1,5 %
.au3
1,7 %
10
.dmp
1,1 %
.xls
1,2 %
Les fichiers Office en pièce jointe d’e-mails ont remplacé les fichiers exécutables traditionnellement utilisés dans les
attaques de spear-phishing. On les retrouve désormais dans 41 % des attaques. 35 % des attaques de spear-phishing
auraient pu être évitées si les entreprises avaient bloqué au niveau de la passerelle de messagerie les fichiers exécutables
et économiseurs d’écran envoyés en pièces jointes. L’utilisation d’un système de filtrage fort dans le Cloud aurait également
permis d’identifier et de supprimer les attaques de spear-phishing en désamorçant les pièces jointes malveillantes avant
qu’elles n’atteignent la passerelle de messagerie.
SÉCURISATION DES SYSTÈMES DE
CONTRÔLE INDUSTRIELS
Par Preeti Agarwal
Depuis l’époque des tentatives d’intrusions « amateurs », les attaques ciblées ont
évolué pour devenir une pièce incontournable de l’arsenal du cyberespionnage.
Les systèmes de contrôle industriels (SCI) constituent des cibles de choix pour des
pirates motivés par des enjeux qui relèvent souvent de la sécurité nationale. Cette
escalade inquiétante a conduit les États à augmenter leurs investissements et leurs
efforts pour renforcer la sécurité de leurs systèmes SCI.
Le terme de « système de contrôle industriel » regroupe
tous les équipements qui contrôlent, surveillent et gèrent
les infrastructures critiques d’entreprises de secteurs
comme l’électricité, l’eau et les eaux usées, le pétrole et le
gaz naturel, les transports, etc. Ces systèmes se déclinent
eux-mêmes en différentes catégories comme les systèmes
de contrôle et d’acquisition de données (SCADA, Supervisory Control and Data Acquisition), les contrôleurs logiques
programmables (PLC), les systèmes de contrôle distribué
(DCS), etc.
La généralisation des attaques contre les systèmes SCI
peut avoir de lourdes conséquences sur le plan socioéconomique. Le silence autour de ces offensives permet
certes de limiter le préjudice d’image pour la victime, mais il
empêche aussi de prendre toute la mesure du problème.
Du cyberespionnage aux actes de sabotage de services
d’utilité publique, les responsables de ces attaques ont affi
ché des intentions diverses. La découverte du ver Stuxnet
en 2010 avait révélé l’existence d’une opération menée
contre des systèmes SCADA spécifiques pour endommager
les installations du programme nucléaire iranien. Depuis,
l’arsenal de malwares destructeurs a proliféré, comme
l’illustrent les attaques de 2014. Les auteurs de Dragonfly,
une campagne de cyberespionnage principalement axée
sur des cibles énergétiques, ont réussi à compromettre
plusieurs systèmes SCI stratégiques d’entreprises de ces
secteurs. S’ils avaient exploité les fonctions de sabotage à
leur disposition, ils auraient pu créer de sérieux dégâts et
perturbations dans l’approvisionnement énergétique des
pays concernés.
Plus récemment, la campagne Sandworm a compromis
l’interface IHM de plusieurs grands fournisseurs de systèmes SCI. Pour ce faire, les attaquants sont passés par les
IHM connectées à Internet pour exploiter les vulnérabilités
des logiciels SCI en question. Ces intrusions pourraient
avoir servi à des opérations de reconnaissance en vue
d’attaques ultérieures.
Dernier incident recensé en 2014, une cyberattaque contre
le réseau d’une aciérie allemande a provoqué de graves
incidents sur ses hauts fourneaux69.
Les attaques contre les systèmes SCI n’ont pas seulement
gagné en fréquence, mais aussi en maturité. La sécurité
de ces systèmes est donc aujourd’hui un enjeu crucial et
urgent.
De nombreux systèmes SCI en place restent opérationnels
très longtemps. Leurs règles de sécurité sont ancrées dans
une logique de « sécurité par l’obscurité » (techniques
d’isolation physique, utilisation de protocoles propriétaires
et équipements spécialisés) censée assurer leur sécurité.
Développés avant l’adoption des technologies Internet en
entreprise, ces systèmes ont, pour la plupart, été conçus
pour répondre aux exigences de fiabilité, de maintenance
et de disponibilité, sans tenir compte – ou presque – de la
sécurité. Mais les impératifs d’accessibilité à distance et
de connectivité ont considérablement augmenté la surface
d’attaque, exposant ainsi de nouvelles vulnérabilités.
Principal point d’entrée ? Les équipements d’infrastructures
critiques mal protégés et connectés à Internet. Pour être
accessibles à distance, certains éléments des systèmes
SCADA – utilisés pour surveiller et contrôler les usines et
leurs équipements – sont connectés à Internet via les réseaux de l’entreprise. Or, cette connexion expose le réseau
de contrôle et augmente le risque d’attaque (par analyse,
investigation, force brute et accès non autorisé aux équipements).
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile
69
Souvent accessible depuis le réseau de l’entreprise, l’inter
face IHM constitue l’un des vecteurs d’attaques sur ces matériels. En exploitant une vulnérabilité zero-day, un pirate
peut compromettre les hôtes de l’entreprise, identifier ceux
qui ont accès au réseau de contrôle, et tenter d’utiliser ces
renseignements pour s’infiltrer dans les systèmes SCI.
Une IHM directement connectée à Internet offre également
une voie d’accès aux systèmes SCI. Avec les grands moteurs
de recherche, rien de plus facile que d’identifier ces machines connectées à Internet. Une fois le périphérique de
contrôle identifié, l’exploitation d’une mauvaise configuration ou d’une vulnérabilité suffit à le compromettre. Pas
besoin d’être un cador du piratage pour mener ce type
d’attaque.
Outre ces points d’entrée, une personne mal intentionnée peut aisément s’engouffrer dans les vulnérabilités
inhérentes aux systèmes SCI et à leurs logiciels. Ainsi, bon
nombre de leur applications Web propriétaires existantes
comportent des vulnérabilités facilitant les débordements
de mémoire tampon, l’injection de SQL ou les attaques XSS
(Cross-Site Scripting). Un pirate peut aussi profiter d’un
manque de rigueur dans les processus d’authentification et
d’autorisation pour accéder aux fonctionnalités critiques du
SCI. Des lacunes dans l’authentification au niveau des protocoles SCI facilitent notamment les attaques de type Manin-the-Middle par réinjection de paquets (packet replay)
et usurpation (spoofing). Un pirate peut alors envoyer des
commandes malveillantes aux contrôleurs logiques programmables (PLC) ou un statut falsifié aux IHM.
Brique critique en environnement SCI, la logique Ladder est
utilisée pour programmer les PLC. Or, il suffit qu’un poste
de travail utilisé pour développer et charger cette logique
Ladder PLC soit compromis pour que l’attaquant élabore
son offensive par rétroingénierie.
La sécurisation des environnements SCI nécessite un plan
de sécurité exhaustif pour accompagner l’organisation
dans la définition de ses objectifs de sécurité – standards,
conformité réglementaire, facteurs de risques potentiels,
impact sur les métiers et étapes d’intervention. La mise en
place d’un environnement SCI sécurisé passe par l’inté
gration du facteur sécurité à chaque phase des processus industriels, de la planification jusqu’aux opérations
quotidiennes.
La séparation entre réseau de contrôle et réseau de l’entre
prise devrait être un impératif absolu pour réduire les
risques d’attaques provenant du réseau de l’entreprise.
Toutefois, pour des raisons pratiques, le système SCI doit
parfois être connecté au réseau de l’entreprise. Si tel est le
cas, les points d’accès devront être limités et protégés par
un pare-feu. On privilégiera par ailleurs des canaux de communication sécurisés, comme les VPN.
Les environnements SCI évoluent. Pour preuve, certains
fournisseurs étendent leur prise en charge aux logiciels de
sécurité sur les équipements de contrôle pour les serveurs
SCADA généralistes et les stations de travail d’ingénierie.
Les contrôleurs logiques programmables (PLC) et systèmes
de contrôle distribués (DCS) sont toujours, eux, équipés de
systèmes d’exploitation propres à chaque fournisseur. Or,
une fois installés, ces systèmes de contrôle disposent de
ressources limitées et ne tolèrent pas la moindre interruption. Les perspectives de déploiement de solutions
classiques de sécurité des systèmes d’information en sont
donc d’autant réduites. Au regard de ces difficultés, aucun
remède miracle ne garantit la sécurité des systèmes SCI. Le
meilleur moyen de se prémunir est d’instaurer une sécurité
de tous les instants à chaque niveau de l’architecture :
périmètre du réseau, points d’accès aux réseaux internes et
externes de l’entreprise, réseau, hôtes et applicatifs.
Le facteur sécurité doit par ailleurs être intégré en natif aux
périphériques de contrôle. Cette responsabilité incombe
aux constructeurs.
Les technologies mobiles devraient se généraliser dans les
années à venir, ouvrant les accès distants aux IHM et aux
options de contrôle. Si la mobilité présente de nombreux
avantages pour l’administration des systèmes, elle ne fera
qu’accroître la surface d’attaque.
Les techniques d’attaque sur les SCI pourraient également
se développer. En ce sens, l’apparition de kits d’exploits SCI
sur le marché sous-terrain n’est pas à exclure. On assisterait alors à une hausse irrémédiable des attaques sur les
SCI.
Comme Stuxnet et ses nombreuses déclinaisons, les variantes d’attaques SCI présentent de fortes similitudes en
termes de vecteurs d’attaques et d’artefacts, et s’articulent
autour de protocoles SCI courants et des chevaux de Troie
généralistes. En ce moment même, certains systèmes SCI
ont probablement été infiltrés à l’insu de tous, les atta
quants attendant patiemment leur heure. Ils trouveront
sans doute une bonne raison de les activer à un moment
ou un autre. Nous assisterons alors à une exploitation de
vulnérabilités infrastructurelles critiques guidée par de
sombres desseins.
VIOLATIONS DE DONNÉES
EN BREF
1
Réduction du nombre de violations de grande ampleur en 2014
(exposant plus de 10 millions d'identités) par rapport à 2013
2
Augmentation du nombre global de violations de données
3
Pirates responsables des violations à 49 %
4
Perfectionnement et recrudescence des attaques menées contre
les terminaux sur points de vente
5
D’après une enquête Symantec, 57 % des personnes interrogées
seraient préoccupées par la sécurité de leurs données
INTRODUCTION
L’année 2014 aura été marquée par la poursuite de vols massifs de données
personnelles. On retiendra notamment les attaques frontales menées contre des
établissements bancaires et de grandes enseignes de la distribution, via leurs
terminaux de points de vente.
La banque américaine JPMorgan Chase a ainsi admis la
compromission de données associées à 83 millions de
comptes – soit 76 millions de foyers et 7 millions de PME
– dans l’une des affaires de violation de données les plus
retentissantes de toute l’histoire70.
confidentialité. D’après Apple, le dispositif de sécurité de
la firme ne serait pas en cause. Les pirates auraient selon
toute vraisemblance lancé des attaques ultra ciblées et
personnalisées pour s’emparer des images sur chacun des
comptes visés74.
En septembre, une violation de données sur près de 56 millions de numéros de carte bancaire frappait la société Home
Depot de plein fouet. Avec un million de coordonnées de
cartes bancaires volées, Staples fut également l’une des
grandes victimes du pilonnage mené contre les terminaux
de points de vente de grandes enseignes71. Plus inquiétant
encore, de nombreuses violations de sécurité, si ce n’est la
majorité, ne sont ni signalées, ni même détectées72,73.
Si le nombre de « méga violations » a reculé par rapport à
2013, le total de violations marque lui une forte augmen
tation (+23 %). Étant donnée la valeur des données personnelles et financières sur le marché noir, les cyberdélinquants
vont continuer à tenter de gros coups contre les grands
groupes, tout en se faisant la main sur les PME. De nom
breuses violations pourraient cependant être évitées avec
des mesures de sécurité appropriées : solutions de préven
tion de la perte de données, cryptage et systèmes de détection des intrusions, sans oublier la mise en place de formations et de politiques de sécurité efficaces.
Largement relayée dans la presse, la publication de près
de 200 photos de célébrités sur le site Web 4chan en août
2014 a nourri les angoisses du public sur les questions de
TOTAL DES VIOLATIONS
312
+23 %
2014
Source : Symantec I CCI
253
+62 %
156
2012
2013
VIOLATIONS DE DONNÉES AYANT EXPOSÉ PLUS DE 10 MILLIONS D’IDENTITÉS
4
2014
-50 %
8
+700 %
2013
1
2012
Malgré une baisse du nombre de « méga violations » en 2014 (plus de 10 millions d’identités exposées en une attaque), le nombre total
de violations a battu le record de 2013, marquant le début d’une nouvelle ère pour ce type d’activité malveillante.
http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T20141003
http://staples.newshq.businesswire.com/press-release/corporate/staples-provides-update-data-security-incident
http://www.insurancejournal.com/news/west/2014/03/07/322748.htm
73
http://www.ponemon.org/news-2/7
Symantec
74
https://www.apple.com/uk/pr/library/2014/09/02Apple-Media-Advisory.html
70
71
72
Website Security Solutions I 55
PRINCIPALES CAUSES DE VIOLATIONS DE DONNÉES
ENTRE 2013 ET 2014
80
2014
70
2013
% POURCENTAGE
60
50
49
40
30
34
29
20
27
22
21
10
8
6
0
Hackers
Exposition
accidentelle
Source : Symantec | CCI
Vol ou perte
d’ordinateur ou
disque dur / clé USB
Vol interne
Les attaquants externes sont à 49 % responsables des violations recensées, contre 34 % en 2013. Autres causes possibles de violations : la révélation accidentelle au public, qui intervient dans 22 % des cas, ou encore le vol ou la perte d’un ordinateur ou d’un disque
dur pour 21 % des incidents. Dans ces deux scénarios, le cryptage de données permettrait cependant de lutter efficacement contre les
conséquences fâcheuses de données tombant dans de mauvaises mains. Point positif : ce chiffre est en baisse par rapport aux 56 % de
2013.
CHRONOLOGIE DES VIOLATIONS DE DONNÉES, 2013 – 2014
40
159
160
35
147
140
130
120
30
113
25
100
20
78
80
60
15
59
53
INCIDENTS
IDENTITÉS EXPOSÉES (EN MILLIONS)
180
43
10
40
32
23
20
12
3
6
8
J
J
0
J
F
2013
M
A
M
.3
.8
A
S
8
O
N
D
5
10
3
2
J
F
2014
M
1
1
A
M
J
J
A
S
O
6,5
N
0,4
0
D
L’une des baisses marquantes de l’année 2014 concerne le net recul des identités exposées à la suite d’une violation de
données. En 2013, nous faisions état de 552 millions d’identités exposées. Or, ce chiffre est redescendu à 348 millions
en 2014.
TOTAL D’IDENTITÉS EXPOSÉES
384
-37 %
MILLIONS
552
+493 %
93
MILLIONS
MILLIONS
2013
2012
2014
MOYENNE D’IDENTITÉS EXPOSÉES
1 116 767
2 181 891
604 826
2014
2013
2012
-49 %
+261 %
MÉDIANE DES IDENTITÉS EXPOSÉES
7 000
+3 %
6 777
2014
2013
-19 %
8 350
2012
En apparence, le nombre d’identités exposées semble bel
et bien avoir baissé. La diminution du nombre de violations
d’envergure (portant sur plus de 10 millions d’identités) y a
joué un grand rôle, ne serait-ce qu’en termes de « volumes ».
Les violations retentissantes survenues fin 2013 ont également pu provoquer un resserrement des politiques de sécurité dans les grands groupes et administrations. La mise en
place de solutions DLP (Prévention de la perte de données)
aura ainsi empêché l’exfiltration d’une grande partie des
données, même en cas d’intrusion sur le réseau.
Mais si ces facteurs ont indéniablement joué un rôle, nos
analystes penchent en faveur d’une autre hypothèse :
de plus en plus d’organisations passent sous silence le
nombre d’identités exposées. En 2013, sur 253 violations
recensées, 34 victimes (13 %) n’ont rien révélé du nombre
d’identités exposées. L’an dernier, cette part est passée
à 20 %, avec 61 violations de données sans mention du
nombre d’identités exposées sur les 312 cas signalés. Pour
résumer, l’ampleur des dégâts est dissimulée dans 1 cas de
violation sur 5.
Difficile d’expliquer les raisons d’une telle omerta. Si certaines organisations rencontrent parfois des difficultés pour
définir le nombre d’identités exposées, d’autres préfèrent
taire cette information pour tenter de sauver la face dans
des situations de crise qui jette indéniablement le discrédit
sur elles.
Un grand nombre de violations pourraient donc être
cachées au public, ce qui est très préoccupant. Dans des
secteurs d’activité comme la santé et certaines administrations publiques, les lois de certains pays exigent que toute
violation soit signalée. La majorité des secteurs n’y est
cependant pas soumise. Résultat : certaines entreprises
décident de cacher les cas de violation pour protéger leur
réputation et éviter des sanctions. Cela pourrait changer
dans les années à venir, à mesure que les pouvoirs publics
à travers le monde réfléchissent à la réglementation des
signalements de violations de données.
TOP 10 DES SECTEURS TOUCHÉS PAR DES VIOLATIONS DE DONNÉES
(PAR NOMBRE D’INCIDENTS)
Classement
Secteur
1
Santé
116
37,2 %
2
Grande distribution
34
10,9 %
3
Éducation
31
9,9 %
4
Administration et secteur public
26
8,3 %
5
Services financiers
19
6,1 %
6
Logiciels
13
4,2 %
7
Hôtellerie
12
3,8 %
8
Assurances
11
3,5 %
9
Transports
9
2,9 %
10
Arts et médias
6
1,9 %
Nombre d’incidents
Pourcentage d’incidents
TOP 10 DES TYPES D’INFORMATIONS EXPOSÉES
Classement
Type en 2014
% en 2014
Type en 2013
% en 2013
1
Noms réels
68,9 %
Noms réels
71,5 %
2
Numéros de sécurité sociale
44,9 %
Dates de naissance
43,1 %
3
Adresses postales
42,9 %
Numéros de sécurité sociale
39,5 %
4
Informations financières
35,5 %
Adresses postales
37,5 %
5
Dates de naissance
34,9 %
Dossiers médicaux
33,6 %
6
Dossiers médicaux
33,7 %
Numéros de téléphone
19,0 %
7
Numéros de téléphone
21,2 %
Informations financières
17,8 %
8
Adresses e-mail
19,6 %
Adresses e-mail
15,4 %
9
Noms d’utilisateur et mots de
passe
12,8 %
Noms d’utilisateurs et mots de
passe
11,9 %
10
Assurance
11,2 %
Assurance
5,9 %
Noms réels, numéros de sécurité sociale et adresses postales figurent dans le top 3 des informations les plus compromises en 2014.
La plus forte progression du top 10 concerne les informations financières, qui sont passées du 7e (17,8 %) au 4e rang (35,5 %).
LA GRANDE DISTRIBUTION DANS LE VISEUR
À en juger par l’augmentation des violations de données de nature financière, la
grande distribution est manifestement dans le collimateur des pirates. Ce secteur
est de loin le plus touché par les violations massives de données, avec 60 % de
toutes les d’identités exposées en 2014, soit le double de 2013. Cette forte augmentation coïncide avec la progression des informations financières au 4e rang des
types d’informations les plus exposées en cas de violation. Là aussi, on observe
un doublement des cas recensés, de 17,8 % en 2013 à 35,5 % en 2014.
TOP 10 DES SECTEURS LES PLUS TOUCHÉS PAR DES VIOLATIONS DE DONNÉES
(PAR NOMBRE D’IDENTITÉS EXPOSÉES)
Classement
Secteur
Nombre d’identités
exposées
1
Grande distribution
205 446 276
59,0 %
2
Services financiers
79 465 597
22,8 %
3
Logiciels
35 068 405
10,1 %
4
Santé
7 230 517
2,1 %
5
Administration et secteur public
7 127 263
2,0 %
6
Réseaux sociaux
4 600 000
1,3 %
7
Télécommunications
2 124 021
0,6 %
8
Hôtellerie
1 818 600
0,5 %
9
Éducation
1 359 190
0,4 %
10
Arts et médias
1 082 690
0,3 %
Outre les coordonnées bancaires et les documents fiscaux,
les données de carte bancaire représentent les données
financières les plus convoitées. Si les cybermarchands
sont en première ligne, on recense cependant davantage
d’attaques sur les terminaux de point de vente, ces appa
reils de paiement par carte désormais présents dans tous
les commerces.
Même si les premières attaques de ce genre remontent à
2005, Symantec a constaté une forte recrudescence en
2014. À tel point qu’il s’agit aujourd’hui de l’une des principales sources de vol de données de cartes bancaires75, en
cause dans les violations de données les plus spectaculaires
en 2013 et 2014.
Pourquoi les terminaux de point de vente sont-ils particu
lièrement vulnérables ? Leur sécurité est globalement défaillante : absence ou lacunes dans le cryptage des données,
75
76
Pourcentage d’identités
exposées
vulnérabilités des logiciels, obsolescence de systèmes
d’exploitation comme Microsoft Windows XP (arrivé en fin
de support en 2014) et freins à l’adoption des cartes à puce
avec code PIN en dehors de l’Europe. Toutefois, le dévelop
pement de ces cartes aux États-Unis, associé à l’arrivée de
nouveaux modes de paiement comme Apple Pay, devraient
renforcer la sécurité des données sur les points de vente
dans les prochaines années.
À court terme, ces données devraient cependant rester une
cible prioritaire. Les organismes de cartes bancaires sont
très prompts à repérer les comportements d’achat anormaux, tout comme les détenteurs de cartes les plus vigi
lants. Les cybercriminels doivent donc se réapprovisionner
régulièrement en « nouveaux » numéros de carte bancaire.
La Net économie constitue à ce titre un formidable marché
pour les acheteurs comme pour les vendeurs76.
http://securityresponse.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/attacks_on_point_of_sale_systems.pdf
http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks
SÉCURITÉ DES DONNÉES
ET CONFIDENTIALITÉ
La multiplication des violations de données de ces dernières années a certainement
éveillé les consciences des consommateurs sur la confidentialité de leurs données.
Dans son rapport « State of Privacy Report » de 2015, Symantec publie les conclusions de son enquête sur la confidentialité dans l’Union européenne77.
Ainsi, 59 % des personnes interrogées déclarent avoir déjà
été confrontées à un problème en rapport avec la protection
de leurs données. Outre les notifications de violations de
données par une société externe, ces personnes ont également rapporté des incidents allant du piratage d’un compte
de messagerie au vol de données bancaires, en passant par
l’usurpation d’identité en ligne, les virus informatiques, le
piratage de comptes sur les réseaux sociaux ou encore les
arnaques en ligne et les e-mails déguisés.
D’une manière globale, 57 % de ces personnes se disent
préoccupées par la sécurité de leurs données. Le sujet mé
rite que l’on s’y intéresse : la sécurité des données constitue
en effet un critère essentiel dans le choix d’une entreprise
pour 88 % des consommateurs, devant la qualité du produit
(86 %) et l’expérience client (82 %).
De plus, seuls 14 % des sondés indiquaient accepter volon
tiers le partage de leurs données avec des tiers, contre 47 %
de personnes réticentes à tout partage et 35 % exigeant
une forme de contrôle sur la nature exacte des données
partagées.
Les personnes interrogées disent également se soumettre
à une sorte d’autodiscipline pour reprendre le contrôle de
leurs données. D’après l’étude Symantec, plus de la moitié
(57 %) du panel évitent désormais de publier des informations personnelles en ligne. Cette autodiscipline a de quoi
77
inquiéter des acteurs économiques du Net, dans la mesure
où un internaute sur trois admet transmettre de fausses
informations pour protéger sa vie privée.
De leur côté, les pirates font preuve d’une patience redou
table. Une fois infiltrés sur le réseau de l’entreprise, ils
attendent dans l’ombre, observant l’activité et les schémas
comportementaux des utilisateurs : ils apprennent ainsi
qui fait quoi, et comment, pour non seulement cibler leurs
proies avec davantage de précision, mais aussi se faire
passer pour elles et exploiter leurs privilèges. Ces attaques
de longue haleine ont en effet pour but de voler et d’utiliser
des identifiants légitimes pour dissimuler les actes malveillants sous couvert de normalité et passer inaperçus le plus
longtemps possible. Elles se différencient ainsi des attaques
au grand jour qui donnent immédiatement l’assaut après
une violation.
Les contours de l’entreprise ne sont pas aussi nets qu’ils
l’étaient autrefois – et la généralisation des terminaux mobiles ne fait que compliquer les choses. Quant aux données,
elles sont de plus en plus stockées sur ces terminaux, mais
aussi et surtout dans le Cloud. Le terminal mobile est donc
un véritable sésame pour l’accès aux données, d’autant
plus qu’il est davantage susceptible de stocker les mots de
passe en clair dans son cache, contrairement à l’ordinateur
portable volé sur lequel les informations sont généralement
cryptées.
http://www.symantec.com/content/en/us/about/presskits/b-state-of-privacy-report-2015.pdf
VIOLATIONS DE DONNÉES DANS
LE SECTEUR DE LA SANTÉ
Par Axel Wirth
Sous l’impulsion des marchés et d’une volonté d’améliorer les soins de santé, de
réduire les coûts et de se conformer aux exigences réglementaires, les prestataires
de santé adoptent en masse les dossiers électroniques et le numérique pour les
soins cliniques. La gestion des maladies chroniques d’une population vieillissante,
l’émergence de méthodologies de diagnostic plus performantes et l’augmentation
du nombre de patients couverts contribuent également à l’explosion des volumes
de données.
Résultat : les infrastructures informatiques se complexifient, les besoins d’intégration et d’échange d’informations
se font de plus en plus pressants, de nouveaux modèles
d’administration des soins et de remboursements font leur
apparition, et les données s’accumulent. La conjonction de
ces tendances fait de la santé une cible de choix pour les
pirates, augmentant d’autant le risque de violations de données – intentionnelles ou pas.
Dans le secteur de la santé, le nombre de violations de données a connu une hausse de 23 % en 2014. Contrairement
aux violations de données dans leur globalité, les cas recensés dans la santé mettent principalement en cause l’erreur
humaine et le vol de matériel – en rapport ou non avec les
données présentes sur l’appareil. De fait, la perte ou le vol
d’équipements sont responsables de la majorité des violations commises – 45 % plus précisément selon le Norton
Cybercrime Index, soit une hausse de 10 % par rapport à
l’année précédente. La divulgation d’identités par erreur
progresse également d’environ 11 % par rapport à 2014.
Plus préoccupant encore, on note une augmentation
des actes de malveillance visant à usurper l’identité des
victimes, ou à commettre des fraudes financières ou à
l’assurance santé. Dans leur quête de données personnelles identifiables ou de données de santé protégées, les
malfaiteurs semblent déterminés à pirater les systèmes
des organismes de santé ou s’attirer des complicités
internes pour mettre la main sur les dossiers numériques
ou imprimés des patients. De fait, les violations de données
de santé résultant de vols internes ont plus que doublé en
2014, tandis que celles qui sont le fait d’actes de piratage
sont en hausse de 82 %.
78
À l’image des incidents survenus dans la grande distribution, des attaques plus avancées cibleront de plus gros
volumes de dossiers numériques dans le but d’usurper
l’identité des victimes. L’extorsion, le chantage et les indiscrétions à l’encontre de célébrités viennent compléter le
tableau des actes malveillants dans le domaine de la santé.
Les violations atteignent des chiffres record partout dans
le monde. Et contrairement aux autres secteurs d’activité,
elles touchent tous les types d’organismes de santé – du
grand CHU à la clinique de proximité. Ni le lieu ni la taille ne
semblent être un gage de protection, comme en témoigne
le cas d’un petit hôpital de 22 lits en milieu rural (aux ÉtatsUnis, dans le sud de l’Illinois), victime d’un vol de données
de patients et d’une demande de rançon sous la menace de
publication de ces renseignements78.
Si certains hôpitaux ont mis en place des programmes
de cybersécurité renforcés, d’autres peinent encore à
instaurer un système de cryptage pour protéger les données
stockées sur les terminaux mobiles, ordinateurs portables,
ou autres supports de stockage en cas de perte ou de
vol. Faute d’investir suffisamment dans la cybersécurité,
trop d’établissements de santé tombent sous les coups
d’attaques toujours plus ciblées et élaborées.
Hôpitaux, laboratoires pharmaceutiques ou biotechnologiques, fabricants d’appareillages médicaux, assureurs
et mutuelles de santé, administration… la plupart des
acteurs de la santé sont mal préparés face aux risques de
cyberattaques d’aujourd’hui.
« Illinois hospital reports data blackmail » ; PC World ; 15 décembre 2014 ;
http://www.pcworld.com/article/2859952/illinois-hospital-reports-data-blackmail.html
Le SANS Institute (SysAdmin, Audit, Network, Security), le
Département américain de la sécurité intérieure, le FBI, la
FDA (Food and Drug Administration) et de nombreux orga
nismes ont tous émis des avertissements à faire froid dans
le dos. Le problème ne concerne pas uniquement les ÉtatsUnis puisque des violations de données ont été signalées
dans d’autres pays. Sur un marché souterrain en plein
boom, les malfaiteurs monétisent ces données médicales de
toutes sortes de façons, et pour toutes sortes de raisons.
Les informations médicales semblent tout d’abord plus
complètes que ce que l’on peut se procurer ailleurs.
Données démographiques, numéros de sécurité sociale,
informations sur les comptes et cartes bancaires, réfé
rences des polices d’assurance/mutuelles, bilans de santé,
descripteurs physiques… tous ces renseignements sont
compris et peuvent servir à l’usurpation d’identité, la
fraude financière, les fausses ordonnances, l’obtention de
services médicaux ou la revente sur le marché noir. Les
caractéristiques physiques des patients peuvent également
être détournées pour se procurer de faux passeports, visas
ou autres documents d’identité79. Pour une personne mal
intentionnée, difficile de résister devant cette masse de
données de qualité !
Mais pour les victimes, les conséquences d’une usurpation
médicale vont bien au-delà de la simple arnaque financière.
Difficilement corrigibles, les données erronées d’un dossier
médical peuvent entraîner des erreurs ou des retards de
diagnostic ou de traitement, sans parler des répercussions
sur le plan professionnel. Contrairement à la fraude financière où la responsabilité du consommateur est limitée, il
n’existe que peu de protection contre la fraude médicale et
ses conséquences à long terme80.
Si les numéros de carte bancaire se revendent entre
0,50 et 1 dollar l’unité sur le marché noir, des informations
d’identité et d’assurance de base peuvent se monnayer
entre 1081 et 50 dollars82, suivant le nombre de renseignements qu’elles contiennent – carte d’assuré, permis de
conduire et carte bancaire, par exemple.
L’augmentation actuelle du nombre de violations de données médicales devrait se poursuivre. Si les pertes ou les
vols de matériel représentent historiquement la principale
cause de compromission pour les organismes de santé,
ils sont désormais confrontés à une hausse des attaques
ciblées dont les répercussions peuvent être très graves,
tant pour eux-mêmes que pour leurs patients. Même si les
causes non intentionnelles (perte involontaire de matériel
ou exposition accidentelle de données) restent le premier
facteur, les violations commises par des cybermalfaiteurs
ou des complices internes s’accélèrent. Dans ce contexte,
les organismes de santé doivent non seulement mettre en
place les processus nécessaires en cas de perte ou de vol
de matériel, mais également se protéger de la convoitise
d’éléments extérieurs sur leurs données.
« Medical identity theft proves lucrative in myriad ways » ; Fierce Health IT ; 21 octobre 2014 ; http://www.fiercehealthit.com/story/medical-identify-theft-proveslucrative-myriad-ways/2014-10-21?utm_medium=nl&utm_source=internal
« The Growing Threat of Medical Identity Fraud: A Call to Action » ; Medical Identity Fraud Alliance (MIFA) ; juillet 2013 ; http://medidfraud.org/wp-content/
uploads/2013/07/MIFA-Growing-Threat-07232013.pdf
81
« Your medical record is worth more to hackers than your credit card » ; Reuters ; 24 septembre 2014 ; http://www.reuters.com/article/2014/09/24/uscybersecurity-hospitals-idUSKCN0HJ21I20140924
82
« Stolen EHR Charts Sell for $50 Each on Black Market » ; MedScape ; 18 avril 2014 ; http://www.medscape.com/viewarticle/824192
79
80
RÉSEAUX SOCIAUX
ET ARNAQUES
EN BREF
1
Sur les réseaux sociaux, les arnaqueurs courent après les commissions de programmes d’affiliation. Ils font miroiter de l’argent, du
sexe et des pertes de poids aux socionautes pour les inciter à cliquer
et s’inscrire.
2
De nombreux internautes utilisent le même mot de passe sur de
multiples réseaux, ce qui permet aux cybercriminels de spammer
plusieurs comptes à la suite d’un seul et unique acte de piratage.
3
Les arnaqueurs exploitent le pouvoir de la preuve sociale en
s’appuyant sur des personnes réelles plutôt que sur des botnets
pour diffuser leur arnaque.
4
De nombreuses attaques de phishing se basent sur des faits avérés
ou inventés pour exploiter les peurs de tout un chacun (piratage
informatique, alertes de santé publique, etc.) ou encore le goût de
nombreux socionautes pour le sensationnel.
INTRODUCTION
En 2014, les cybercriminels se sont emparés du principe de « preuve sociale », l’idée
selon laquelle nous attribuons davantage de valeur à ce que d’autres partagent ou
approuvent. Le parfait exemple reste celui de deux restaurants, dont l’un est plein et
l’autre vide. Les gens auront toujours tendance à faire la queue devant le restaurant
qui affiche complet, car sa popularité est synonyme de qualité à leurs yeux.
Les cybercriminels ont repris cette théorie à leur compte
en piratant des comptes réels sur des plates-formes
comme Snapchat. Leur but : faire passer un faux produit
ou un lien frauduleux pour une recommandation de l’une
de vos connaissances, et ainsi gagner votre confiance.
En 2014, les internautes ont également sous-évalué le
pouvoir de leurs données, fournissant librement leur
adresse e-mail et autres identifiants sans vérifier la
légitimité du site Web visité.
Bien que les arnaqueurs aient sans aucun doute
perfectionné leurs tactiques, tout en s’aventurant
sur de nouveaux terrains en 2014, ils doivent encore
une grande part de leur succès à la propension des
internautes à tomber dans des pièges prévisibles et
faciles à éviter.
ARNAQUES SUR LES RÉSEAUX SOCIAUX
Les cybercriminels vont là où se trouvent leurs victimes potentielles. De fait,
l’énorme popularité des grands réseaux sociaux les transforme en véritables
terrains minés. De même, le succès grandissant des applis de messagerie et de
rencontres a attiré la convoitise d’arnaqueurs qui y exercent de plus en plus leurs
funestes talents.
Par exemple, les arnaqueurs ont profité du décès de
l’acteur Robin Williams pour partager une soi-disant
vidéo d’adieu. Mais avant de pouvoir visionner cette
vidéo, les victimes devaient la partager avec des amis,
répondre à un questionnaire, télécharger un logiciel ou
se voir redirigées vers un faux site d’information. La
vidéo n’existait évidemment pas.83
Facebook, Twitter et Pinterest
Cette année, le curseur des arnaques « sociales » s’est
déplacé vers les partages manuels. On parle de partage
manuel lorsque les socionautes postent volontairement,
ou à leur insu, des vidéos, des news, des photos et des
offres alléchantes contenant des liens vers des sites
malveillants ou affiliés.
Boîte de dialogue de partage Facebook avec commentaires
et partages factices
Un site d’arnaque demande à l’utilisateur d’installer un faux
plugin Facebook
MÉDIAS SOCIAUX, 2012 – 2014
% POURCENTAGE
80
2012
81
70
2013
60
2014
50
70
56
40
30
20
23
10
18
10
0
Fausses offres
7
5
Life-jacking
0
0
1
Comment-jacking
3
2
1
Fausses applis
2
Partage manuel
Source : Symantec | Safe Web
83
http://www.symantec.com/connect/blogs/robin-williams-goodbye-video-used-lure-social-media-scams
En 2014, 70 % des
attaques sur les
réseaux sociaux
se sont propagées
par les utilisateurs
eux-mêmes, contre
seulement 2 % en
2013.
Avec le partage manuel, nul besoin de piratage ou de
détournement de session : les victimes et leur réseau
font tout le travail. Dans d’autres types d’arnaques sociales, les cybercriminels doivent cependant se démener
un peu plus. À commencer par les détournements du
bouton ‘J’aime’ (likejacking) ou des commentaires. Cette
pratique consiste à demander aux victimes de cliquer
sur un bouton ‘Continuer’ ou ‘Vérifier’ pour accéder à
du contenu racoleur. En fait, elles ‘aiment’ sans le savoir
le post en question, ce qui augmente sa popularité et sa
visibilité.
Les victimes ne voient aucun danger à fournir leurs
coordonnées. D’après notre rapport d’enquête Norton
Mobile Apps, 68 % des personnes interrogées fournissent volontiers diverses informations privées en échange
d’une appli gratuite.87 En fait, certaines sont même
prêtes à envoyer un euro de frais de ports à l’arnaqueur
pour recevoir un prétendu cadeau qui n’arrivera
évidemment jamais. Le montant est si négligeable que
personne ne s’en inquiète, mais les victimes livrent plus
d’informations précieuses et les arnaqueurs reçoivent
du cash en bonus.88
Instagram
Ce type d’arnaque est particulièrement fréquent sur
Instagram, notamment parce qu’il n’existe aucun
système de vérification de la légitimité des comptes.
En outre, dès qu’un internaute mord à l’hameçon, ses
followers verront la photo postée et se précipiteront eux
aussi dans les filets de l’arnaqueur.
La plate-forme de partage de photos Instagram possède désormais plus d’utilisateurs actifs mensuels que
Twitter. Cette popularité n’a pas échappé aux services
marketing des grandes marques.84,85 En 2014, parmi
les arnaques les plus vues sur Instagram figuraient
celles où des cybercriminels tentaient de monétiser des
comptes préremplis de photos et d’imiter des offres
d’utilisateurs professionnels légitimes.
Un autre mode opératoire consiste à créer des comptes
de soi-disant gagnants du loto prêts à partager leurs
gains avec tout nouveau follower. Autre cas de figure :
les arnaqueurs se réclament d’une marque célèbre
distribuant des bons-cadeaux. Pour recevoir le bon, les
utilisateurs d’Instagram sont invités à suivre le compte
frauduleux et à transmettre leurs informations personnelles (adresse e-mail, etc.) dans un commentaire.
Une fois qu’un compte frauduleux a acquis suffisamment de followers, les cybercriminels en modifient le
nom, la photo et la bio. Ainsi, lorsque les victimes découvrent le subterfuge, plus possible de retrouver le compte
pour le signaler comme spam. Ensuite, les cybercriminels n’ont plus qu’à monnayer ce compte remaquillé et
tous ses followers au plus offrant.
Peu de temps après, un nouveau compte apparaît géné
ralement sous l’apparence du faux profil d’origine, affir
mant que l’ancien compte avait été piraté, et l’arnaque
repart pour un nouveau tour.
Comptes Instagram via lesquels des
arnaqueurs se font passer pour de
vrais gagnants du loto86
http://blog.instagram.com/post/104847837897/141210-300million
https://investor.twitterinc.com/releasedetail.cfm?ReleaseID=878170
86
Image issue de : http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers
87
http://www.slideshare.net/symantec/norton-mobile-apps-survey-report
88
http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers
84
85
Plates-formes de messagerie
Cette année, ce fut au tour de Snapchat, l’appli sociale
permettant d’envoyer des images et vidéos qui s’auto
détruisent au bout de 10 secondes après ouverture du
message, de se retrouver dans la tourmente.
Au mois d’octobre, plusieurs comptes Snapchat ont été
piratés, diffusant aussitôt à leurs contacts des messages
contenant des liens « live » faisant la promotion de
pilules d’amaigrissement. Snapchat affirme que ces
comptes ont été compromis car certains utilisateurs
auraient réutilisé le même mot de passe sur plusieurs
sites Web, dont l’un aurait été piraté.89
Souvent, les politiques de sécurité et de confidentialité
de ces nouveaux réseaux sociaux ne sont pas aussi
strictes qu’elles pourraient ou devraient l’être. Pour ne
rien arranger, les utilisateurs ont tendance à utiliser le
même mot de passe sur plusieurs plates-formes, sans
parler des applis tierces douteuses censées améliorer
leur expérience d’utilisation.
À moins que les socionautes prennent enfin conscience
des dangers auxquels ils s’exposent, ce type de piratage
de compte devrait être monnaie courante en 2015,
quelle que soit la prochaine plate-forme en vogue.
Les services de raccourcissement d’URL sont bien
connus des socionautes et des spammeurs. Pour ces
derniers, leur attractivité réside dans le fait qu’ils
masquent le nom de domaine du site de spam. Mieux
encore, en ajoutant un signe « + » à la fin de l’URL bit.ly,
les spammeurs et leurs affiliés peuvent désormais
accéder aux statistiques de clics et autres indicateurs
démographiques.
Les URL raccourcies apparaissent souvent dans les
formes de spam classiques et nouvelles (e-mail, SMS et
réseaux sociaux).
En octobre, Symantec a également été témoin d’un
incident qui a vu resurgir des images Snapchat censées
avoir été détruites. Baptisée « snappening » sur la Toile,
cette attaque provenait d’une appli tierce non validée
que certains utilisaient pour archiver leurs photos
Snapchat.
Exemple de compromission d’un compte utilisateur légitime
pour l’envoi de spams à son cercle d’amis. La victime est
rapidement prévenue par Snapchat.
3
2
1
19 janvier 2015
24 janvier 2015
Exemple de taux de clics pour l’URL incluse dans l’exemple de spam Snapchat ci-dessus
89
http://www.symantec.com/connect/blogs/hacked-snapchat-accounts-use-native-chat-feature-spread-diet-pill-spam
29 janvier 2015
Arnaques sur les sites de rencontres
Cybercrime et contenus à caractère sexuel ont toujours
fait bon ménage, et ce n’est pas 2014 qui contredira cet
état de fait.
L’année dernière, ces arnaques aux contenus pour
adultes ont frappé des applis de rencontres comme
Tinder, ainsi que les services de messagerie comme
Snapchat et Kik Messenger. L’objectif est d’inciter des
personnes à cliquer et s’inscrire sur des sites Web externes, l’arnaqueur touchant au passage sa commission
dans le cadre d’un programme d’affiliation.90
blamcams a en effet récolté près d’un demi-million
de clics à travers sept URL, et ce en moins de quatre
mois.92 Tant pour les affiliés à des programmes que pour
les arnaqueurs qui récupèrent des numéros de cartes
bancaires sur de faux sites de webcams, il s’agit d’une
excellente source de revenus.
Certains programmes d’affiliation opèrent un système
de commission au clic, tandis que d’autres ne paient
que pour une inscription effective ou des informations
de carte bancaire. Certains sites versent jusqu’à 6 $ par
inscription et jusqu’à 60 $ en cas de souscription d’une
offre premium.91 En d’autres termes, ces programmes
d’affiliation peuvent constituer une véritable poule
aux œufs d’or pour les cybercriminels. (Pour en savoir
plus sur le marketing d’affiliation, voir Programmes
d’affiliation : nids à arnaques sur les réseaux sociaux.)
En règle générale, l’arnaque commence par la création d’un profil de jeune femme proposant un service
de webcam pour adultes, du sexting ou une rencontre.
Sur Tinder, on a même vu des photos assorties d’un
texte superposé offrant des services de prostitution. Les
arnaqueurs intègrent le texte à l’image afin de passer à
travers les filtres antispam.
Le destinataire doit ensuite cliquer sur un lien ou se
rendre manuellement sur un site Web d’affiliation pour
prolonger la rencontre. En réalité, ces filles ne sont rien
d’autre que des bots opérant sous couvert de photos
sexy. Il n’y a donc personne à l’autre bout du réseau.
Ces promesses de contenu à caractère sexuel marchent
très fort : une seule campagne autour d’un site baptisé
Exemples de spam de type « cam-girl » apparaissant
comme nouveau chat sur Kik Messenger93
Exemples de faux
profils de prostituées
sur Tinder
http://www.symantec.com/connect/blogs/adult-webcam-spam-all-roads-lead-kik-messenger
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
93
Source : http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
90
91
92
Code malveillant sur les médias sociaux
Essor des réseaux « antisociaux »
Bien que l’objectif de la plupart des arnaques au « share »
soit d’engranger des clics et de toucher des commissions
sur les programmes d’affiliation, l’une des arnaques
sur Facebook en 2014 redirigeait la victime vers le kit
d’exploit Nuclear. En cas de succès, le pirate pouvait
prendre le contrôle de l’ordinateur de sa victime pour
envoyer des e-mails de spam et télécharger d’autres
fichiers malveillants.94
Les atteintes répétées à la vie privée – révélations de
surveillance par les États et accumulation excessive
de données personnelles par les fournisseurs de
services – sont à l’origine de nouveaux réseaux sociaux
qui privilégient le secret, la confidentialité et/ou
l’anonymat, parmi lesquels Secret, Cloaq, Whisper,
ind.ie et Post Secret. Toutefois, ces plates-formes sont
devenues le paradis des potins et confessions en tous
genres, et parfois même des pires travers de la nature
humaine. Pour certains, le secret est l’avenir des
réseaux sociaux95,96. Pour d’autres, les forums anonymes
comme 4chan créent un véritable sanctuaire d’impunité
pour les trolls, harceleurs et autres criminels97. Quant
aux réseaux sociaux comme Twitter et Facebook, ils
ont répondu aux inquiétudes des utilisateurs par une
plus grande transparence et un renforcement de leurs
politiques de confidentialité. Ainsi, Facebook publie
désormais le nombre de requêtes de divulgation de
données formulées par des États98, Twitter envisage la
mise en place d’un mode « chuchotage »99 et Google
a amélioré le cryptage de son service de messagerie
Gmail100.
C’est pourquoi les socionautes devraient se méfier de
posts d’amis qui semblent suspicieusement racoleurs.
Plutôt que de cliquer sur ces liens, mieux vaut se rendre
directement sur un site d’information fiable pour y
rechercher l’information en question.
Même si la notion d’anonymat séduit les internautes,
il est important de garder à l’esprit les inconvénients
de telles pratiques. Certaines entreprises ont mis
en place des règles et politiques très strictes sur le
comportement en ligne de leurs salariés. Toutefois,
beaucoup ne sont encore qu’en phase d’adaptation à
ces environnements où des individus peuvent dire ce
qu’ils veulent en toute impunité. Les entreprises doivent
donc veiller à ce que leurs politiques de communication
électronique répondent à ces problèmes, tout en
mettant en place des technologies de détection
d’éventuels manquements. Bien qu’un blocage pur
et simple puisse être contre-productif, la surveillance
s’avère elle indispensable.
http://www.symantec.com/connect/blogs/facebook-scam-leads-nuclear-exploit-kit
http://www.wired.com/2014/02/can-anonymous-apps-give-rise-authentic-internet/
96
http://www.technologyreview.com/review/531211/confessional-in-the-palm-of-your-hand/
97
Voir les nombreux problèmes révélés sur http://en.wikipedia.org/wiki/4chan
98
https://www.facebook.com/about/government_requests
99
http://thenextweb.com/twitter/2014/04/30/twitter-ceo-dick-costolo-whisper-mode-encourage-friends-privately-discuss-public-conversations/
100
http://techcrunch.com/2014/03/20/gmail-traffic-between-google-servers-now-encrypted-to-thwart-nsa-snooping/
94
95
PHISHING
TAUX D’E-MAILS DE PHISHING (HORS SPEAR PHISHING)
1 SUR
1000
965
750
500
250
414
392
2012
2013
2014
Malgré une chute entre juin et septembre, le taux global
de phishing en 2014 était d’un e-mail sur 965, contre
un sur 392 en 2013. Vers la fin de l’année, les attaques
de phishing ont connu une nouvelle embellie dans le
sillage du fameux piratage de comptes iCloud ayant
causé le vol et la publication de photos de célébrités
nues. Historiquement, les ID Apple ont toujours été une
proie recherchée. Mais le scandale des photos a rendu
les utilisateurs particulièrement réceptifs aux messages
concernant la sécurité de leur compte iCloud. Une
aubaine pour les phisheurs qui n’ont pas tardé à surfer
sur ces craintes.
TAUX DE PHISHING, 2012 – 2014
200
400
600
800
1 SUR
1000
1200
1400
1600
1800
2000
2200
J
Source: Symantec I .cloud
M
M
J
2012
S
N
J
M
M
J
2013
S
N
J
M
M
J
S
N
2014
Ainsi, le botnet Kelihos a envoyé des messages notifiant
la victime d’un achat effectué sur son compte iCloud
depuis un appareil et une adresse IP inhabituels. Le
message l’incitait à vérifier son ID Apple en cliquant
sur le lien qui la redirigeait à son insu vers une page de
phishing. Le faux site Apple demandait à l’utilisateur
de saisir son ID et son mot de passe, qui étaient ensuite
exploités ou revendus par les cybercriminels.101
Des variations sur ce thème ont été observées tout au
long de l’année 2014, avec en ligne de mire des informations de compte bancaire, de messagerie et de réseaux
sociaux.
brouiller les pistes avec l’utilisation de l’algorithme AES
(Advanced Encryption Standard).
Ce cryptage rend les sites de phishing plus difficiles à
repérer. De fait, une analyse de base ne révélera aucun
contenu de phishing puisque celui-ci se trouve dans
du texte crypté, et donc indétectable. Faute de mise en
garde par les logiciels de sécurité et les navigateurs,
les internautes sont plus nombreux à tomber dans le
piège.103
La plupart du phishing se propage via des e-mails ou des
URL postées sur les réseaux sociaux. Sur ces sites, les
pirates misent souvent sur des gros thèmes d’actualité
comme l’épidémie d’Ebola, ou sur le dernier scandale
de la presse people, pour appâter les internautes et leur
demander de fournir des informations avant d’accéder à
l’article ou à la vidéo promise.
Par e-mail, le procédé de phishing reste sensiblement
le même, à la différence près que la cible se compose
généralement de professionnels auxquels les pirates
cherchent à soutirer des logins de comptes bancaires,
LinkedIn, de messagerie ou de stockage dans le cloud.102
Certains de ces e-mails se présentent comme des mises
à jour de sécurité ou des signalements d’activité inhabituelle qui exigent du destinataire qu’il remplisse un
formulaire sur un site, avec les cybercriminels à l’autre
bout du réseau.
L’origine de ces sites de phishing est souvent masquée
afin d’empêcher le déclenchement d’alertes de sécurité dans les navigateurs des victimes. Cette année,
les cybercriminels ont encore progressé dans l’art de
Exemple d’e-mail de phishing envoyé aux victimes104
NOMBRE DE LIENS DE PHISHING SUR LES MÉDIAS SOCIAUX, 2009 – 2014
60
50
Milliers
40
30
20
10
0
2010
2011
2012
2013
2014
101
http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign
102
LinkedIn : http://www.symantec.com/connect/blogs/linkedin-alert-scammers-use-security-update-phish-credentials
Google Docs : http://www.symantec.com/connect/blogs/google-docs-users-targeted-sophisticated-phishing-scam
Dropbox : http://www.symantec.com/connect/blogs/dropbox-users-targeted-phishing-scam-hosted-dropbox
103
http://www.symantec.com/connect/blogs/fresh-phish-served-helping-aes
104
Source : http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign
ARNAQUES PAR E-MAIL ET SPAM
C’est n’est pas seulement chez les phisheurs que l’e-mail a moins la cote. Le taux de
spams mondial est lui aussi à la baisse.
Depuis trois ans, le taux de spam global décline (69 %
en 2012, 66 % en 2013, et 60 % en 2014). Même si l’on
peut se réjouir d’une telle tendance, l’e-mail reste encore
un gros vecteur d’arnaques très rentables pour leurs
auteurs.
Ce type d’arnaque a le vent en poupe du fait de la capacité des systèmes de sécurité à mieux filtrer les pièces
jointes malveillantes. Toutefois, ces dernières restent encore très répandues du fait de l’incapacité de certaines
entreprises à agir sur ce terrain.
Au mois d’octobre, Symantec a signalé la prolifération d’e-mails autour d’un modus operandi bien précis.
Souvent envoyés à des collaborateurs du service comp
tabilité/finance des entreprises, ces messages de mise
en demeure exigeaient un paiement immédiat par carte
bancaire ou virement électronique. Les informations de
l’expéditeur étaient soit inventées de toutes pièces, soit
attribuées au PDG ou à un autre dirigeant de l’entreprise
de la victime. Dans certains cas, les coordonnées bancaires se trouvaient en pièce jointe, dans d’autres, la
victime devait les demander par retour d’e-mail.
Vers la fin de l’année, les URL malveillantes ont néanmoins semblé prendre le dessus sur les pièces jointes,
une tendance symptomatique d’un changement de
tactique et de l’essor du spam par ingénierie sociale.105
TAUX DE SPAM GLOBAL
60 %
2014
66 %
-6 %
2013
69 %
-3 %
2012
Source : Symantec I Brightmail
ESTIMATION DES VOLUMES QUOTIDIENS DE SPAM DANS LE MONDE
2014
2013
2012
Source : Symantec I Brightmail
105
28 milliards
29 milliards
30 milliards
-1 %
-1 %
http://www.symantec.com/connect/blogs/scammers-pose-company-execs-wire-transfer-spam-campaign
PROGRAMMES D’AFFILIATION : NIDS À
ARNAQUES SUR LES RÉSEAUX SOCIAUX
par Satnam Narang
Si vous êtes allé sur les réseaux sociaux ces dix dernières années, vous aurez très
certainement vu ce type d’offre s’afficher dans vos pages d’accueil et de profil :
•Smartphones et billets d’avion gratuits, ou bons
cadeaux
•News à sensation et derniers ragots de la presse
people (sex tape, décès)
•Gros titres d’actualité (en particulier les catastrophes
naturelles)
•Offres de webcams voyeuristes ou de soi-disant
escort girls
Désormais, lorsqu’un réseau social a la cote, les
arnaqueurs ne sont jamais bien loin. Bien que chaque
plate-forme et chaque arnaque aient leurs particularités,
les réseaux d’affiliation s’affichent comme le véritable
moteur de ces combines.
Très prisé des entreprises, le marketing d’affiliation
constitue un formidable outil à générer de l’activité en
ligne, notamment pour la vente de produits. Par exemple, un affilié pourra faire la promotion d’un livre sur sa
page Web et rediriger vers un site revendeur. Sur chaque
vente réalisée, l’affilié recevra une petite commission.
Côté arnaqueurs, la méthode est la même. Il arrive
même que l’entreprise soit légitime, mais que certains
de ses affiliés usent de méthodes peu scrupuleuses pour
profiter du programme.
Pour que l’entreprise sache d’où vient le clic, les membres d’un programme d’affiliation ajoutent un numéro
d’identification à la fin de l’URL de renvoi. Cela permet
de comptabiliser la contribution de chaque affilié et de
calculer les commissions dues.
Pour les arnaqueurs, les réseaux d’affiliés sur les médias
sociaux sont une véritable mine d’or. Chaque fois qu’un
utilisateur doit remplir un questionnaire ou souscrire
une offre premium, il devient filleul du programme
d’affiliation en question. À force de ruse pour inciter les
utilisateurs à effectuer ce genre d’action, l’arnaqueur
s’enrichit.
Les entreprises légitimes et certains réseaux d’affiliés
tentent de lutter contre le problème des arnaques sur
leurs plates-formes. Mais tant que l’argent coulera à
flots, les pratiques frauduleuses ne sont pas prêtes de
disparaître. En tant qu’entreprise, il est donc important
de bien connaître les affiliés avec lesquels vous travaillez
et leurs pratiques.
Difficile d’y voir clair sur ces affiliés douteux et sur leurs
modes de rémunération. Nombre d’entre eux ne divulguent aucune information à ce sujet. Toutefois, la plupart des réseaux d’affiliés mettent en ligne des annonces
d’entreprises qui indiquent clairement ce qu’elles
considèrent comme une conversion. Dans l’exemple cidessus, une publicité pour des cartes cadeaux Visa d’une
valeur de 1 500 $, le programme comptabilise une conversion par adresse e-mail envoyée par le parrain. Pour
cette entreprise en particulier, la conversion se monnaie
à 1,40 $ l’unité pour l’affilié.
Quant aux socionautes, ils devraient utiliser les réseaux
avec circonspection, et se méfier des offres de gadgets, cartes cadeaux, billets d’avion gratuits, et autres
invitations de jeunes femmes à rejoindre des sites de
webcams et de rencontres pour adultes. Si quelqu’un
vous demande de remplir un questionnaire ou de vous
abonner à un service par carte bancaire, il s’agit très
probablement d’une arnaque. Et comme le dit le vieil
adage : si c’est trop beau pour être vrai, c’est que c’est
sûrement le cas.
Sur la fameuse application de rencontres Tinder, nous
avons trouvé des liens vers des services de rencontres
pour adultes et des sites de webcams. Ces sites promeuvent au grand jour leurs programmes d’affiliation. Ainsi,
l’un d’entre eux verse à l’affilié jusqu’à 6 $ par nouvelle
inscription, et jusqu’à 60 $ pour un abonnement à un
service premium, qui implique généralement un paiement par carte bancaire.
Au vu de tels tarifs, les conversions au service premium
peuvent s’avérer extrêmement lucratives. Toutefois, les
arnaqueurs attirent tellement d’internautes sur ces sites
que même les inscriptions de base, à 6 $ l’unité, leur
assurent une manne suffisante. Dans ces conditions, les
abonnements à un service premium ne constituent pour
eux que la cerise sur le gâteau.
LE PHISHING DANS DES PAYS INATTENDUS
par Nicholas Johnston
Symantec analyse une proportion importante de trafic e-mail dans le monde.
Récemment, nous avons été surpris par le pays d’origine de certaines attaques
de phishing à l’encontre de certains établissements financiers.
L’Angola et le Mozambique sont deux pays du sud de
l’Afrique, respectivement à l’ouest et l’est du vaste
continent. Or, ces pays sont loin d’être les premiers qui
vous viennent à l’esprit lorsque vous pensez au phi
shing, un procédé visant à collecter des informations
sensibles à des fins lucratives. Pays en développement,
le Mozambique dépend encore beaucoup de l’aide
étrangère malgré des ressources naturelles abondantes.
Avec un PIB juste sous la barre des 6 000 $ par habitant,
l’Angola s’en sort mieux que le Mozambique (600 $ par
habitant). Mais ils restent tous deux des pays pauvres. À
titre de comparaison, le PIB mondial moyen par habitant
avoisine les 10 400 $, tandis que celui des États-Unis
s’élève à environ 52 800 $.
Une campagne de phishing récente s’est attaquée à un
grand établissement financier africain. Déguisés sous
l’apparence d’une banque du Mozambique, les messages
avaient pour objet « Mensagens & alertas: 1 nova mensagem! » (Messages et alertes : 1 nouveau message !)
Le corps du message contenait un lien vers une version
factice du site Web de la banque, où la cible devait saisir
un certain nombre d’informations bancaires, permettant
ainsi au pirate d’accéder au vrai compte bancaire de la
victime.
Pourquoi cibler les établissements financiers de ces
pays ? On ne peut en être sûrs, mais l’un des principaux
dangers du phishing demeure la facilité avec laquelle
les pirates peuvent créer des sites factices. Au fil des
ans, nous avons constaté l’existence de nombreux kits
de phishing – des fichiers zip contenant des sites clé en
main, qu’il ne reste plus qu’à déployer sur un serveur
Web nouvellement compromis. Du point de vue des
criminels, les barrières à l’entrée sont donc peu élevées.
En ciblant des établissements plus petits ou sur des
marchés plus niches, les phisheurs évitent également
d’entrer en compétition avec leurs pairs. En outre, les
internautes des pays en développement sont moins
sensibilisés aux dangers du phishing qu’aux États-Unis
ou en Europe, par exemple.
Selon toute vraisemblance, les arnaques au phishing
ciblant l’Angola et le Mozambique proviennent de
l’intérieur ou de pays voisins. Les phisheurs des pays
développés ne s’intéresseront pas à la manne financière
relativement faible de comptes bancaires en Angola ou
au Mozambique. En revanche, le butin peut sembler plus
alléchant pour un habitant d’Angola, du Mozambique
ou d’un pays voisin avec un niveau de vie similaire. De
même, les phisheurs de ces pays auront davantage de
facilité à utiliser eux-mêmes les identifiants volés localement plutôt qu’à les revendre.
Dans un contexte d’intensification des interactions en
ligne, le phishing est appelé à se développer. De fait,
les cibles sont légions et les barrières à l’entrée conti
nueront de baisser. Même les établissements du petit
royaume enclavé du Bhoutan, dans l’est de l’Himalaya,
ont déjà été la cible d’attaques de phishing. Conclusion :
plus personne n’est à l’abri.
PERSPECTIVES
RÉTROSPECTIVE + ANALYSE = PROSPECTIVE
PERSPECTIVES
Ludification de la sécurité
Comme le remarquait très justement Nicholas Machiavel,
célèbre conseiller en sécurité du XVe siècle, « les hommes
sont si simples et si faibles que celui qui veut tromper
trouvera aisément des dupes. »
La sécurité sur Internet repose tout autant sur l’humain
que sur les technologies. Si les internautes étaient mieux
avisés, ils courraient certainement moins de risques.
Cela s’applique autant aux consommateurs face aux
arnaques qu’aux salariés des pouvoirs publics en proie à
l’ingénierie sociale.
Dans ce contexte, la ludification106 (de l’anglais gamification) peut aider à transformer « les impulsions du
moment » en bonnes habitudes durables. La clé : des récompenses psychologiques et la gratification immédiate
propre aux petits jeux sur PC. Par exemple, la ludification peut servir à sensibiliser les utilisateurs aux dangers
des e-mails de phishing, ou à générer, mémoriser et
utiliser des mots de passe forts.
Dans les années à venir, de telles formations sont appe
lées à constituer un marché porteur pour répondre à un
besoin colossal.
Simulation d’attaque
Pour mieux se préparer à une cyberattaque et évaluer la
solidité des défenses en place, les entreprises peuvent
recourir aux jeux et simulateurs de « guerre cybernétique ». En prolongeant les tests d’intrusion conventionnels par une simulation d’intervention et de résolution,
elles pourront mieux former leurs effectifs et hausser
leur niveau de préparation. Les États l’ont bien compris.
Ainsi, en janvier 2015, le Premier ministre britannique
David Cameron et le Président des États-Unis Barack
Obama ont accepté de simuler une guerre cybernétique
entre leurs deux nations107. Cette année, des entreprises
devraient suivre leur exemple.
Les chances sont du côté de l’attaquant
Dans la guerre qui oppose les hackers aux services de
sécurité informatique des entreprises, un seul coup de
chance suffit aux attaquants. Les départements IT, eux,
ne peuvent se permettre la moindre malchance. Partant
de ce constat, les responsables informatiques (et, bien
entendu, les particuliers) doivent se préparer au pire.
Aucune technologie ne vous met 100 % à l’abri du cybercrime ou des attaques ciblées de groupes déterminés.
Mieux vaut donc partir du principe que vous avez été
piraté ou que vous êtes sur le point de l’être. Bref, plutôt
qu’une vision binaire (sécurisé/non sécurisé) de votre
protection, adoptez une approche plus nuancée, presque
médicale, des tendances et des symptômes, ainsi que
de la prévention, du diagnostic et du traitement des
comportements.
Gamification from Efrain Ortiz interview
http://www.bbc.co.uk/news/uk-politics-30842669
108
Partez du principe que vous avez été piraté, tiré de l’entretien d’Efrain Ortiz
109
Efrain Ortiz
110
http://www.informationweek.com/software/operating-systems/windowsxp-stayin-alive/d/d-id/1279065
111
Entretien avec Candid Wueest
112
Entretien avec Vaughn Eisler
D’un point de vue technique, une telle approche implique l’installation d’un bon logiciel de prévention des
pertes de données sur chaque terminal, passerelle et
serveur de messagerie afin d’empêcher l’exfiltration de
données. Elle accorde également bien plus d’importance
aux sauvegardes et à la reprise d’activité, ainsi qu’à la
détection et aux plans d’intervention. Ceci n’est pas un
constat d’échec – la prévention doit évidemment continuer à jouer son rôle de dissuasion –, mais mieux vaut
se préparer au pire que d’être pris au dépourvu108.
De l’importance du partage de données entre
entreprises
Le partage de données entre entreprises s’avère essentiel au maintien de la sécurité109. Historiquement, les entreprises ont toujours eu des réticences à divulguer trop
d’informations, si bien qu’elles se sont retrouvées seules
dans la bataille contre le cybercrime. Nous sommes
convaincus qu’elles doivent mutualiser leurs dispositifs de veille et partager leurs expériences pour mieux
lutter ensemble. Dans cette optique, les outils permettant cette mutualisation, tout en maintenant un certain
degré de protection IP, sont appelés à se développer. Par
exemple, des plates-formes d’échange de données électroniques de sécurité pourraient partager des hachages,
des attributs binaires, des symptômes, etc. sans révéler
aucun secret ni information d’entreprise potentiellement
utile pour une attaque.
Systèmes d’exploitation non sécurisés
En juillet 2014, un quart des PC étaient encore sous
Windows XP et Office 2003110, et ce malgré la fin du
support et des mises à jour par Microsoft. Beaucoup
préfèrent fermer les yeux111, au risque de se retrouver
sans défense face aux nouvelles menaces. Cette situation représente un grave risque de sécurité pour l’année
à venir. Pour les appareils embarqués équipés de systèmes d’exploitation obsolètes, les entreprises devront
trouver de nouveaux moyens de les protéger jusqu’à leur
remplacement ou leur mise à niveau.
Internet des objets
À mesure que les consommateurs s’équipent de
montres intelligentes, de trackeurs d’activité, de
casques holographiques et autres wearables inventés
dans la Silicon Valley et à Shenzhen, tous ces produits
devront être de plus en plus sécurisés. Dans cet
univers bouillonnant de nouvelles idées, l’innovation
prime encore sur la vie privée. Faute d’une législation
adaptée, d’un scandale dont les médias sont friands et
d’une sensibilisation des consommateurs aux dangers
existants, il est peu probable que les questions de
sécurité et de confidentialité bénéficient de toute
l’attention qu’elles méritent112.
106
107
RECOMMANDATIONS
ET BONNES PRATIQUES
En dépit des vulnérabilités apparues cette année, les technologies SSL et TLS sont
et restent la référence absolue pour la protection des visiteurs de votre site Web et
de leurs informations. En fait, avec tout le tapage autour du bug Heartbleed, jamais
les entreprises n’ont été aussi nombreuses à s’attirer les services de développeurs
SSL pour travailler sur le code et rectifier les erreurs. En d’autres termes, la
vulnérabilité des bibliothèques SSL a permis de faire le ménage et d’instaurer un
ensemble de bonnes pratiques.
2014 fut aussi l’année d’un renforcement sans précédent des algorithmes des certificats SSL. Ainsi,
Symantec et d’autres AC sont passées au cryptage SHA-2 par défaut, sur fond de retrait progressif
des certificats racines à clés 1 024 bitsI.
Renforcement de
votre parc
SSL
Microsoft et Google prévoient d’invalider tous les certificats SHA-1 expirant à partir du 1er janvier
2016II. Autrement dit, si vous n’avez pas migré vers SHA-2 d’ici là, tout accès à votre site dans
Chrome pourra déclencher un avertissement de sécurité. Quant à Internet Explorer, il ne reconnaîtra
plus les certificats SHA-1 à partir du 1er janvier 2017.
Symantec recommande également l’utilisation de l’algorithme ECC, dont le cryptage est beaucoup
plus puissant que RSA. Tous les principaux navigateurs, même mobiles, prennent en charge les
certificats ECC sur les dernières plates-formes, avec à la clé trois grands avantages :
1.Sécurité renforcée. Par rapport à une clé RSA standard de 2 048 bits, les clés ECC de 256 bits
sont 64 000 fois plus complexes à déchiffrerIII. En d’autres termes, pour craquer cet algorithme, il
faudrait une puissance de calcul phénoménale et une attaque par force brute infiniment plus longue.
2.Meilleures performances. Auparavant, les propriétaires de sites craignaient que l’installation
de certificats SSL ne ralentisse leur site Web. Cette situation a conduit de nombreux sites à n’opter
pour une utilisation que partielle du SSL, d’où de sérieuses vulnérabilités. Par rapport à RSA, ECC
consomme beaucoup moins de ressources CPU et peut donc gérer simultanément plus d’utilisateurs
et de connexions. Ainsi, l’implémentation d’Always-On SSL devient aussi sensée que viable.
3.Perfect Forward Secrecy (PFS). Bien que la confidentialité persistante (Perfect Forward Secrecy,
PFS) soit une option disponible sur RSA comme sur ECC, les certificats ECC affichent de bien meil
leures performances. L’avantage pour vous ? Sans PFS, si un hacker s’empare de vos clés privées, il
pourra rétrospectivement déchiffrer toutes les données qu’il aura exfiltrées. Or, comme Heartbleed
nous l’a rappelé, ce risque est bel et bien réel pour de très nombreux sites. Avec PFS, même en
possession des clés privées de vos certificats SSL, un hacker ne pourra décrypter que les informations
protégées par ces clés ultérieurement. Impossible de déchiffrer des données passées.
Comme nous avons pu le voir en 2014, l’efficacité de la technologie SSL dépend tout autant de son
implémentation que de sa maintenance. Nos recommandations :
•Optez pour Always-On SSL. Protégez toutes les pages de votre site Web par SSL afin de crypter et
d’authentifier toutes les interactions entre votre site et vos visiteurs.
Du bon
usage de
la technologie SSL
•Gardez vos serveurs à jour. Au-delà des bibliothèques SSL de serveurs, installez tout correctif
ou mise à jour aussi rapidement que possible. Après tout, ils sont publiés pour une bonne raison :
réduire, voire éliminer, une vulnérabilité.
• Affichez des marques de confiance reconnues (comme le sceau Norton Secured) sur des points
stratégiques de votre site Web, comme gage de votre sérieux sur les questions de sécurité.
• Procédez à des analyses régulières. Gardez un œil sur vos serveurs Web afin de détecter tout
malware ou vulnérabilité.
•Gardez la configuration de vos serveurs à jour. Désactivez les anciennes versions du protocole SSL
non sécurisées (SSL2 et SSL3) au profit des nouvelles versions du protocole TLS (TLS1.1 et TLS1.2).
Utilisez des outils comme la Symantec SSL Toolbox pour vérifier la configuration de vos serveursiv.
http://www.symantec.com/page.jsp?id=1024-bit-certificate-support
http://www.symantec.com/en/uk/page.jsp?id=sha2-transition
iii
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
iv
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
i
ii
Pour garantir la protection de vos sites et serveurs, il est primordial de faire preuve de bon
sens et d’adopter les bons réflexes :
•Veillez à ce que vos salariés n’ouvrent pas les pièces jointes d’expéditeurs inconnus.
Sensibilisation de
vos salariés
•Sensibilisez-les aux risques des réseaux sociaux : offres trop belles pour être vraies,
sujets d’actualité comme appâts pour les arnaques, liens vers des pages de connexion
frauduleuses, etc.
•Encouragez-les à opter pour une authentification à deux facteurs sur tous les sites Web et
toutes les applis qui le proposent.
•Assurez-vous qu’ils utilisent différents mots de passe pour chaque compte de messagerie,
application et login – en particulier pour les sites et services professionnels.
•Rappelez-leur quelques règles de bon sens – leur antivirus ne les immunise par contre les
sites Web malveillants ou suspects.
Les cybercriminels sont devenus plus agressifs, plus habiles et plus impitoyables que jamais
pour profiter des faiblesses du Net. Toutefois, les particuliers et les entreprises peuvent faire
beaucoup pour limiter leur impact.
La sécurité,
une
question de
réputation
v
Le grand public a pris conscience des enjeux de la technologie SSL et de la sécurité des sites
Web. À vous de prendre les bonnes mesures pour éviter le purgatoire de HTTP Shaming, site
de dénonciation des applis et services laxistes sur les questions de sécurité.v
Pour les entreprises et leurs sites Web, un bon dispositif de sécurité bien implémenté reste
encore le meilleur garant de leur réputation et de leur stabilité financière. Alors en 2015,
sécurisez votre site Web avec Symantec.
http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/
L’ENTREPRISE SYMANTEC
Spécialiste de la protection de l’information, Symantec Corporation (NASDAQ : SYMC)
met son expertise au service des particuliers, des entreprises et des pouvoirs publics qui
cherchent à exploiter toutes les potentialités des nouvelles technologies. Fondée en avril
1982, Symantec fait aujourd’hui partie des entreprises du Fortune 500 et opère l’un des
réseaux de cyberveille les plus vastes au monde. Leader des solutions de sécurité, de
sauvegarde et de disponibilité, l’entreprise protège l’information aux points de stockage,
d’accès et de partage. Symantec emploie plus de 20 000 personnes dans plus d’une
cinquantaine de pays à travers le monde. 99 % des sociétés du Fortune 500 font confiance
à Symantec. Sur l’exercice 2013, l’entreprise a réalisé un chiffre d’affaires de 6,9 milliards
de dollars.
Pour en savoir plus, rendez-vous sur www.symantec.fr
ou retrouvez Symantec sur les réseaux sociaux : www.symantec.com/fr/fr/social.
Pour plus d’informations
• Symantec France : http://www.symantec.fr/
• ISTR et ressources des équipes de veille Symantec : http:/www.symantec.com/fr/fr/threatreport/
• Symantec Security Response : http://www.symantec.com/fr/fr/security_response/
• Norton Threat Explorer : http://fr.norton.com/security_response/threatexplorer/
• Norton Cybercrime Index : http://fr.norton.com/cybercrimeindex/
Retrouvez sur notre site la liste de nos bureaux nationaux
et leurs coordonnées téléphoniques.
Pour plus d’informations sur nos produits, composez le :
0800 90 43 51 ou +41 (0) 26 429 77 24
Symantec France
Symantec Website Security Solutions,
Tour Egée, 17, avenue de l’Arche
92671 Courbevoie Cedex
France
www.symantec.fr/ssl
© 2015 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, le logo en forme de coche et le logo Norton
Secured sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux États-Unis
et dans d’autres pays. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs.

rapport sur les menaces de sécurité des sites web i 2015

Transcription

Documents pareils

Symantec Endpoint Protection Nouvelles fonctionnalités

France schedule

ils en veulent à votre argent

Présentation des Symantec Business Critical Services

SYMANTEC France Formations

Stuxnet, Duqu, Flame et autres maliciels - ANAJ

Télécharger la fiche technique

Symantec AntiVirus™ Corporate Edition