Quelles cybermenaces en 2018 ?

2017, encore une malheureuse année riche en actualités relatives aux menaces cyber : pas certain que 2018 changement fondamentalement. Dans cette publication de mise en perspective des cyber menaces de la nouvelle année, j’ai pris le parti de positionner les menaces de 2018 par rapport à mes prévisions de 2017 afin de mettre en évidence que les évolutions entre les deux périodes, et probablement les années suivantes, ne sont/seront pas importantes… enfin j’espère.

Continuer la lecture de Quelles cybermenaces en 2018 ?

L’intelligence artificielle sera la plus dangereuse cyber menace

Nous lisons beaucoup de choses sur les apports de l’intelligence artificielle pour la détection et la réponse aux cyber attaques. Les dangers liés à l’utilisation de cette technologie par des personnes malveillantes sont peu adressés aujourd’hui. La société Cylance, qui propose des produits de sécurité, a interviewé sur le sujet une centaine d’experts en cyber sécurité lors du Black Hat USA 2017 : le bilan est sans équivoque, 62% de ces experts en cyber sécurité considèrent qu’il est fortement probable qu’une attaque menée par une intelligence artificielle aboutisse dans les 12 prochains mois. A mon sens, si cette prévision se réalise ces attaques seront probablement fulgurantes et d’une violence extrême. Afin de me parvenir à cette conclusion, je me suis posé deux réflexions que je partage dans cette publication.

Continuer la lecture de L’intelligence artificielle sera la plus dangereuse cyber menace

Nouvelle variante de Mirai en cours de propagation

La propagation rapide d’une nouvelle variante du bornet Mirai semble avoir été détectée par des chercheurs de la société spécialisée en sécurité des réseaux informatiques Netlab 360.

Le botnet exploite deux vulnérabilités identifiées en 2016 dans les routeurs ZyXEL PK500Z. Il s’agit

  1. de comptes par défaut, qui permettent l’accès à distance aux routeurs ;
  2. d’un mot de passe caché écrit “en dur”, donc non-modifiable, qui permet à l’accédant de disposer de l’ensemble des droits sur le routeur.

Cette variante utilise un exploit, publié le 31 octobre 2017, basé sur ces deux vulnérabilités.

Pendant les 60 heures qui suivent le 22 novembre 2017, 11h, des scannes, provenant de  100 000 différentes adresses IP qui utilisent l’exploit, ont été identifiés.

Les IP sources et donc l’infection semblent se concentrer en Argentine où près de 67 000 routeurs ont été infectés. La majorité de ces routeurs ont été localisés dans le réseau de l’opérateur internet Telefonica situé en Argentine. L’opérateur a probablement livré des routeurs avec les identifiants et mots de passe par défaut !

Le botnet n’est pas persistent puisqu’un reboot du routeur soit suffisant son éradication du routeur.

A suivre !

Le service de renseignement canadien dévoile un outil de détection de malwares

Le service de renseignements canadien spécialisé dans la surveillance des télécommunications et les écoutes téléphoniques, Communications Security Establishment ou CSE en anglais, a dévoilé un outil qui a été développé par ses équipes et destiné à la détection et l’analyse des malwares. L’outil a été baptisé Assemblyline.

Assembly permet d’analyser le contenu des fichiers qui lui sont transmis. Il est capable d’analyser des fichiers Microsoft Office contenant des charges malicieuses. La particularité de l’outil est qu’il est capable de traiter simultanément un très grand nombre de fichiers avec des options d’indexation et de scoring, sur le modèle des antispams ; le scoring aidant à décider de l’action destinée au traitement. Reste à voir si Assembly est capable de s’interfacer avec un relais de messagerie ou un proxy web.

L’outil a été mis à disposition en Open Source afin qu’il soit modifié et adapté par ses futurs utilisateurs. Il est disponible sur bitbucket à l’adresse suivante : https://bitbucket.org/cse-assemblyline/

Mise en pratique de la cyber kill chain pour la sécurité des systèmes industriels

La kill chain est un concept militaire pour modéliser la structure d’une attaque : identification de la cible, déploiement des forces vers la cible, confirmation de l’ordre d’attaque et, pour finir, destruction de la cible. La société Lockheed Martin a retranscrit ce concept dans le monde de la cyber sécurité afin d’identifier et de prévenir les intrusions dans les systèmes d’information, notamment les attaques furtives désignées par Advanced Persistent Threat, APT. Cette approche a été adaptée, en 2015, aux systèmes industriels par le SANS Institute dans le contexte des attaques Havex et Stuxnet.

Continuer la lecture de Mise en pratique de la cyber kill chain pour la sécurité des systèmes industriels

Bilan des dernières cyber attaques contre le secteur de l’énergie

Avec l’accélération de la transformation numérique des organisations, les systèmes critiques sont de plus en plus connectés à des réseaux eux-mêmes connectés ou connectables directement ou indirectement à Internet. Cette connectivité expose les systèmes critiques des organisations à des attaques de plus en plus élaborée et complexes à détecter. Stuxnet avait ouvert la voie en 2010 en démontrant qu’il était possible de compromettre des systèmes critiques du programme nucléaire iranien. Les attaques de 2015 et 2016 conte les infrastructures de distribution électrique ukrainiennes ont laissé dans le noir prêt de 225 000 foyers. Ces derniers mois, plusieurs rapports ont été publiés sur de nombreuses nouvelles attaques contre le secteur de l’énergie dans différents pays. Un phénomène qui semble d’accélération.

Continuer la lecture de Bilan des dernières cyber attaques contre le secteur de l’énergie

Analyse du rapport de l’ICS-CERT sur la sécurité des systèmes industriels américains

L’ICS-CERT du Department of Homeland Security américain a publié son bilan 2016 des 130 audits qu’il a réalisé des systèmes industriels américains, secteurs publics et privés confondu [1]. Les audits sont basés sur les 115 points de contrôle du référentiel NIST SP 800-53 [1]. Ce post résume les 6 principales faiblesses constatés par les équipes de l’ICS-CERT durant les évaluations.

Leurs recommandation de l’ICS-CERT sont intéressantes : elles brisent certaines idées reçues et défendues sur la spécificité de la sécurité des systèmes industriels par rapport à la sécurité des systèmes d’information.

Continuer la lecture de Analyse du rapport de l’ICS-CERT sur la sécurité des systèmes industriels américains

Analyse du leak Vault 7: le projet Pandemic de la CIA

La semaine dernière, Wikileak a publié de nouveaux documents de la CIA relatifs à un projet désigné par Pandemic [1]. Un projet qui détourne une fonction native dans les systèmes Microsoft Windows à des fins de surveillance et de corruption des Systèmes d’Information de leurs cibles.

Continuer la lecture de Analyse du leak Vault 7: le projet Pandemic de la CIA

Sécurité des objets connectés et sécurité des systèmes d’information : même combat

La sécurité des objets connectés est au cœur l’actualité et des inquiétudes des organisations qui basent le développement de leurs activités sur cette nouvelle tendance.

Dans une précédente publication [1], j’avais mis en avant 13 bonnes pratiques à considérer pour concevoir des objets connectés. A posteriori, je me suis rendu compte que j’avais succinctement (re)situé les raisons de l’(in)sécurité des objets connectés.

Par ailleurs, en écrivant cette publication, je me suis rendu compte que les maux qui conduisent à l’(in)sécurité des objets connectés sont également la cause de l’(in)sécurité des systèmes d’information des entreprises.

Continuer la lecture de Sécurité des objets connectés et sécurité des systèmes d’information : même combat

Quelles cybermenaces en 2017 ?

2016 a été encore une année riche en actualités relatives aux menaces cyber : 2017 sera indéniablement aussi riche voire plus prolifique. J’ai listé dans cette publication les 6 principales tendances 2017 en cybermenaces : des plus évidentes (les objets connectés et les cryptoworms) au plus disruptive (le dronejaking) en passant par la digitalisation des organisations (le Cloud public et les systèmes industriels) ainsi que par la nouvelle guerre froide qui démarre dans Internet. Continuer la lecture de Quelles cybermenaces en 2017 ?