NSO Group, petit résumé des activités de cyber surveillance légales et illégales de cette entreprise

Une plainte a été déposée devant la cour de district de Tel Aviv afin d’annuler la licence d’exportation accordée par le ministère de la Défense Israélien à la société NSO Group, spécialisé dans la fourniture de produits de surveillance électronique. Cette action en justice est menée conjointement par Amnesty International et l’Institut Bernstein pour les droits de l’homme de la faculté de droit de l’Université de New-York. Elle fait suite à la découverte d’une tentative d’espionnage, en juin 2018, d’un membre d’Amnesty International en piratant son smartphone à travers un produit édité par cette entreprise israélienne.

Je me suis donc intéressé à cette société et ses activités.

Continuer la lecture de NSO Group, petit résumé des activités de cyber surveillance légales et illégales de cette entreprise

Le service de messagerie sécurisée Protonmail a été compromis… ou pas !

Un pirate ou un groupe de pirates informatiques, se présentant sous le nom de AmFearLiathMor, a/ont annoncé qu’ils ont réussi à exfiltrer un nombre considérable de données des utilisateurs du service de messagerie sécurisée Protonmail. De plus, il annonce que le contenu des e-mails compromis sera prochainement divulgué.

Continuer la lecture de Le service de messagerie sécurisée Protonmail a été compromis… ou pas !

Pourquoi il y a autant de cyber méchants ?

La réponse n’est ni “parce que !”, et encore moins “parce que tu es gentil”. J’admets les références télés sont moisies, mais je ne pouvais pas m’empêcher de le faire… Bref ! Toute organisation qui souhaite améliorer la sécurité de ses systèmes d’information doit identifier sa surface d’attaque et les vulnérabilités qui permettent de protéger contre une cyber attaque. Les mesures techniques et organisationnelles que l’organisation met en oeuvre afin de protéger ses systèmes d’information ne peuvent être efficaces que, si et seulement, elles sont adaptées à l’attaquant et aux moyens qu’il utilise. Il est donc primordial pour l’organisation d’identifier qui est susceptible de l’attaquer et des moyens qu’il utilise pour arriver à ses fins ! Par ailleurs, cette compréhension de ses “ennemis”, désignée par threat intelligence, permet à l’organisation d’adapter en continue ses mesures de protection qu’elle opère au quotidien.

Continuer la lecture de Pourquoi il y a autant de cyber méchants ?

Quelles priorités en 2018, et plus, pour la cyber sécurité des organisations ?

Un début d’année est toujours un moment privilégié de prise de recul afin de faire le bilan de la période écoulée et, par-dessus tout, se projeter dans la nouvelle année voire dans les suivantes. La protection des organisations contre les cyber menaces n’échappe pas à l’exercice.

Dans cette publication, je me concentre sur six actions qui me semblent fondamentales pour la protection contre les cyber menaces. Ces actions s’articulent autour de trois composants : de protéger, détecter et réagir. Elles s’appliquent aux systèmes d’information hébergées dans les datacenters des organisations, mais aussi dans les infrastructures et services proposés par des fournisseurs de solutions dans le cloud.

Continuer la lecture de Quelles priorités en 2018, et plus, pour la cyber sécurité des organisations ?

Devons-nous faire confiance dans les extensions des navigateurs Internet ? Nouveau cyber risque ?

Nous, moi compris 🙂 , ajoutons des extensions à notre navigateur Internet favori afin de se simplifier notre utilisation d’Internet, notifications diverses : nouveaux mails, nouveaux messages dans les réseaux sociaux, blocage de pub ou encore pour l’enregistrement et la saisie automatique de mot de passe, text-to-speech, clipper pour les outils de prise de notes (Google Keep, Microsoft Notes, etc.)… Ces extensions agissent comme des applications par-dessus le navigateur comme le font les applications installées dans un ordinateur ou encore dans un mobile.

Continuer la lecture de Devons-nous faire confiance dans les extensions des navigateurs Internet ? Nouveau cyber risque ?

Quelles cybermenaces en 2018 ?

2017, encore une malheureuse année riche en actualités relatives aux menaces cyber : pas certain que 2018 changement fondamentalement. Dans cette publication de mise en perspective des cyber menaces de la nouvelle année, j’ai pris le parti de positionner les menaces de 2018 par rapport à mes prévisions de 2017 afin de mettre en évidence que les évolutions entre les deux périodes, et probablement les années suivantes, ne sont/seront pas importantes… enfin j’espère.

Continuer la lecture de Quelles cybermenaces en 2018 ?

L’intelligence artificielle sera la plus dangereuse cyber menace

Nous lisons beaucoup de choses sur les apports de l’intelligence artificielle pour la détection et la réponse aux cyber attaques. Les dangers liés à l’utilisation de cette technologie par des personnes malveillantes sont peu adressés aujourd’hui. La société Cylance, qui propose des produits de sécurité, a interviewé sur le sujet une centaine d’experts en cyber sécurité lors du Black Hat USA 2017 : le bilan est sans équivoque, 62% de ces experts en cyber sécurité considèrent qu’il est fortement probable qu’une attaque menée par une intelligence artificielle aboutisse dans les 12 prochains mois. A mon sens, si cette prévision se réalise ces attaques seront probablement fulgurantes et d’une violence extrême. Afin de me parvenir à cette conclusion, je me suis posé deux réflexions que je partage dans cette publication.

Continuer la lecture de L’intelligence artificielle sera la plus dangereuse cyber menace

Mise en pratique de la cyber kill chain pour la sécurité des systèmes industriels

La kill chain est un concept militaire pour modéliser la structure d’une attaque : identification de la cible, déploiement des forces vers la cible, confirmation de l’ordre d’attaque et, pour finir, destruction de la cible. La société Lockheed Martin a retranscrit ce concept dans le monde de la cyber sécurité afin d’identifier et de prévenir les intrusions dans les systèmes d’information, notamment les attaques furtives désignées par Advanced Persistent Threat, APT. Cette approche a été adaptée, en 2015, aux systèmes industriels par le SANS Institute dans le contexte des attaques Havex et Stuxnet.

Continuer la lecture de Mise en pratique de la cyber kill chain pour la sécurité des systèmes industriels

Bilan des dernières cyber attaques contre le secteur de l’énergie

Avec l’accélération de la transformation numérique des organisations, les systèmes critiques sont de plus en plus connectés à des réseaux eux-mêmes connectés ou connectables directement ou indirectement à Internet. Cette connectivité expose les systèmes critiques des organisations à des attaques de plus en plus élaborée et complexes à détecter. Stuxnet avait ouvert la voie en 2010 en démontrant qu’il était possible de compromettre des systèmes critiques du programme nucléaire iranien. Les attaques de 2015 et 2016 conte les infrastructures de distribution électrique ukrainiennes ont laissé dans le noir prêt de 225 000 foyers. Ces derniers mois, plusieurs rapports ont été publiés sur de nombreuses nouvelles attaques contre le secteur de l’énergie dans différents pays. Un phénomène qui semble d’accélération.

Continuer la lecture de Bilan des dernières cyber attaques contre le secteur de l’énergie

Nouvelle approche de cyber-défense : les leurres pour détecter les attaques furtives

Passer d’une posture du “potentiel scénario de menace” que doit être adressé avec des mesures de protection à une approche proactive et intelligente de la cybersécurité : la tromperie, nouvelle arme contre les menaces du cyberespace !

Le principe de fonctionnement des honeypots a été repris et adapté par certains éditeurs de solutions de sécurité des Systèmes d’Information pour être applicable aux contextes des réseaux internes. Ces nouvelles solutions, désignées par Deception Technology, sont plus dynamiques, adaptables à la personne malveillante qui y accèdent et enfin déployables dans différents points du Système d’Information.

Reprenons un peu l’anatomie d’une attaque informatique : une personne malveillante aura besoin d’utiliser un point d’entrée dans le Système d’Information cible :

  • Si elle est située à l’extérieur d’un site physique de sa cible, cette personne malveillante compromettra un poste de travail d’un collaborateur de l’organisation ou un serveur exposé sur Internet
  • Si elle est située dans un établissement de l’organisation, elle connectera un PC qui dispose d’outils de piratage

À partir de ces points d’ancrage , la personne malveillante tentera de trouver d’autres composants du Système d’Information pour :

  1. modifier et/ou substituer des données
  2. installer un programme capable d’altérer son fonctionnement ou déclencher une destruction de son contenu
  3. rebondir vers d’autres composants en exploitant des vulnérabilités ou des données collectées, ex. comptes utilisateurs ou d’administrateurs, pour continuer ses méfaits

Ces mouvements dans le Système d’Information compromis, désignés par « déplacements latéraux », sont généralement complexes à détecter, car menés très discrètement sur une longue période pour augmenter le caractère furtif de l’attaque. Certaines organisations se rendent compte que leur Système d’Information a été compromis longtemps après la fin de l’attaque lorsque la personne malveillante active les programmes malveillants qu’il a déployé ou lorsqu’elle publie les données exfiltrées. Ces attaques passent généralement sous le radar des dispositifs de sécurité existants lorsqu’elles menées par des professionnels de la cybercriminalité, voire de certains états, qui disposent de moyens largement supérieurs aux moyens de leurs cibles.

Par ailleurs, la complexité du Système d’Information et son extension au-delà des murs des entreprises (dans le Cloud ou chez des partenaires) rend complexe une supervision efficace de la sécurité. Seuls les composants et les applications sensibles du Système d’Information sont supervisés. Un pan complet du Système d’Information est ainsi laissé à la merci d’une personne malveillante qui y positionnera des charges destinées à terme à s’attaquer aux composants et applications sensibles.

C’est dans ce contexte de menaces que la technologie de déception peut jouer un rôle actif dans la sécurité d’un Système d’Information de plus en plus complexe et étendu. Le principe de la technologie de déception repose sur la mise en place de leurres dans différents réseaux du Système d’Information.

L’avantage de disposer de ce type de solution de sécurité est de pouvoir interagir avec la personne qui y accède en présentant à ses requêtes et commandes des réponses adéquate, tout en enregistrant ses requêtes et commandes. Son efficacité tient dans le fait que si une personne s’y connecte et commence à utiliser les services proposés, il y a de fortes chances qu’il s’agit d’une personne malveillante en déplacement latéral dans le Système d’Information.

Par ailleurs, l’analyse des enregistrements permet de comprendre les intentions de l’intrus : cherche-t-il des données particulières ? Collecte-t-il toutes les données qu’il trouve ? Qu’installe-t-il dans les serveurs ? La compréhension des intentions de l’intrus permet d’adapter la posture à adopter dans le cadre de la réponse à l’incident de sécurité : bloquer l’attaque ou superviser les mouvements dans le Système d’Information pour comprendre ses intentions.

Oui, vous l’avez compris le fonctionnement de la technique de déception repose sur le principe que l’attaquant fait confiance dans l’infrastructure qu’il tente de compromettre et qu’il pense collecter de l’information pertinente, la gratification, pendant son déplacement latéral … un comble : mais pourquoi ne ferait-il pas confiance dans un Système d’Information dont il vient d’exploiter des faiblesses ? Je revois à un document du DARPA déclassifiés en 2007 qui avait, dès 1973, planché sur l’efficacité des techniques de déception [1]. Encore plus loin dans le temps, Sun Tzu mettait en avant ce type d’approche dans son écrit “L’art de la guerre” : “Toute campagne guerrière doit être réglée sur le semblant ; feignez le désordre, ne manquez jamais d’offrir un appât à l’ennemi pour le leurrer, simulez l’infériorité pour encourager son arrogance, sachez attiser son courroux pour mieux le plonger dans la confusion : sa convoitise le lancera sur vous pour s’y briser.”.

Les premières solutions de leurres pour la sécurité des Systèmes d’Informations datent de 15 ans avec les honeypots. Malheureusement, leur caractère statistique fait qu’ils sont facilement détectables et rapidement inefficaces : il ne faut pas sous-estimer l’intelligence des personnes malveillantes. Ces solutions avaient comme finalité la recherche en cybersécurité et étaient destinées à être exposées sur Internet.

De nouvelles solutions sont apparues ces dernières années et qui proposent des leurres dynamiquement adaptables aux contextes de d’accédant. Ces leurres se déploient dans tout le Système d’Information pour y proposer de « l’information intéressante » à une personne malveillante (de la donnée ou des comptes d’utilisateurs). Ces vraies-fausses informations pouvant être intégrées à des cookies, des entrées dans la base de registre, des fichiers locaux, des partages réseaux, des bases de données voire même des entrées dans les tables ARP des composants réseaux…

En terme de déploiement, deux approches :

  • A base d’agents : efficace pour intégrer dans les composants et applications existantes du Système d’Information des leurres. Ce type de déploiement permet d’intégrer dans l’existant des leurres (tokens).
  • A base de systèmes complets : à positionner dans les segments réseaux du Système d’Information. Ce type de déploiement permet de disposer d’une haute capacité d’interaction avec l’accédant sans contrainte par rapport à l’existant. Certaines solutions peuvent émuler certains produits particuliers tels que les Point of Sales voire des services très spécifiques, par exemple : Swift ou encore se baser sur des clones d’applications existantes dans le Système d’Information.

Le Gartner [2] distingue 4 types d’approche :

Source : Gartner (July 2015)

Sans se positionner pour le moment sur le marché, le Gartner a réalisé une première analyse des principaux éditeurs :

Deception Provider Network Endpoint Application Data
Allure Security Technology X
Attivo Networks X X Partial
CyberTrap X X Partial
Cymmetria X X Partial
ForeScout X
GuardiCore X X X Partial
Hexis Cyber Solutions X
illusive networks X Partial
LogRhythm X
Percipient Networks X
Rapid7 X
Shape Security X
Specter X X Partial
TrapX Security X X Partial
TopSpin Security X X X

Source: Gartner (July 2015)

Des leurres dans le SI and so what ? Au-delà de la compréhension des intentions des personnes malveillantes, les leurres permettent aussi d’initialiser l’investigation sur la compromission avérée du Système d’Information.

Le déploiement des leurres doit principalement être accompagné d’un capacité de réaction à une intrusion efficace et continue en 24/7.

A mon sens, cette solution doit faire face à deux limites :

  • La validité juridique qui doit être instruite un peu plus (je ne suis pas juriste!) ;
  • Le traitement des employés un peu trop curieux qui “surfent” dans le Système d’Information sans mauvaises intentions et qui “tombent accidentellement” sur les leurres.

Pensez-vous que la technologie de déception aura un avenir ? Annonce-t-elle une évolution des centres opérationnels de sécurité (SOC) en leur proposant de nouvelles options pour enrichir leurs outils de corrélation des événements de sécurité (SIEM) ?

Dans l’attente des retours d’expérience sur ce type d’approche.

[1] On Countering Strategic Deception  http://documents.theblackvault.com/documents/defenseissues/OnCounteringStrategicDeception.pdf

[2] Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities https://www.gartner.com/doc/reprints?id=1-2LSQOX3&ct=150824&st=sb&aliId=87768