Quelles priorités en 2018, et plus, pour la cyber sécurité des organisations ?

Un début d’année est toujours un moment privilégié de prise de recul afin de faire le bilan de la période écoulée et, par-dessus tout, se projeter dans la nouvelle année voire dans les suivantes. La protection des organisations contre les cyber menaces n’échappe pas à l’exercice.

Dans cette publication, je me concentre sur six actions qui me semblent fondamentales pour la protection contre les cyber menaces. Ces actions s’articulent autour de trois composants : de protéger, détecter et réagir. Elles s’appliquent aux systèmes d’information hébergées dans les datacenters des organisations, mais aussi dans les infrastructures et services proposés par des fournisseurs de solutions dans le cloud.

Continuer la lecture de Quelles priorités en 2018, et plus, pour la cyber sécurité des organisations ?

security.txt, pour simplifier la notification d’une faille de sécurité à une organisation

Le fichier robot.txt situé à la racine d’un site web, et désigné en français par protocole d’exclusion des robots, est devenu le standard destiné à conditionner le référencement des pages du site web sur lequel le fichier a été mis en place. J’ai identifié une initiative intéressante, basée sur le principe de robot.txt, qui permet de proposer à tout internaute les informations nécessaires à la remontée d’une faille de sécurité qui concerne le site web d’une organisation.

Continuer la lecture de security.txt, pour simplifier la notification d’une faille de sécurité à une organisation

Devons-nous faire confiance dans les extensions des navigateurs Internet ? Nouveau cyber risque ?

Nous, moi compris 🙂 , ajoutons des extensions à notre navigateur Internet favori afin de se simplifier notre utilisation d’Internet, notifications diverses : nouveaux mails, nouveaux messages dans les réseaux sociaux, blocage de pub ou encore pour l’enregistrement et la saisie automatique de mot de passe, text-to-speech, clipper pour les outils de prise de notes (Google Keep, Microsoft Notes, etc.)… Ces extensions agissent comme des applications par-dessus le navigateur comme le font les applications installées dans un ordinateur ou encore dans un mobile.

Continuer la lecture de Devons-nous faire confiance dans les extensions des navigateurs Internet ? Nouveau cyber risque ?

Quelles cybermenaces en 2018 ?

2017, encore une malheureuse année riche en actualités relatives aux menaces cyber : pas certain que 2018 changement fondamentalement. Dans cette publication de mise en perspective des cyber menaces de la nouvelle année, j’ai pris le parti de positionner les menaces de 2018 par rapport à mes prévisions de 2017 afin de mettre en évidence que les évolutions entre les deux périodes, et probablement les années suivantes, ne sont/seront pas importantes… enfin j’espère.

Continuer la lecture de Quelles cybermenaces en 2018 ?

L’intelligence artificielle sera la plus dangereuse cyber menace

Nous lisons beaucoup de choses sur les apports de l’intelligence artificielle pour la détection et la réponse aux cyber attaques. Les dangers liés à l’utilisation de cette technologie par des personnes malveillantes sont peu adressés aujourd’hui. La société Cylance, qui propose des produits de sécurité, a interviewé sur le sujet une centaine d’experts en cyber sécurité lors du Black Hat USA 2017 : le bilan est sans équivoque, 62% de ces experts en cyber sécurité considèrent qu’il est fortement probable qu’une attaque menée par une intelligence artificielle aboutisse dans les 12 prochains mois. A mon sens, si cette prévision se réalise ces attaques seront probablement fulgurantes et d’une violence extrême. Afin de me parvenir à cette conclusion, je me suis posé deux réflexions que je partage dans cette publication.

Continuer la lecture de L’intelligence artificielle sera la plus dangereuse cyber menace

Bilan des usages des mots de passe en entreprise

La société LastPass, qui propose une solution de coffre-fort à mot de passe dans le cloud destinée aux particuliers et entreprises, a publié un rapport sur la sécurité des mots de passe en entreprise, « The Password Exposé ».

Continuer la lecture de Bilan des usages des mots de passe en entreprise

Nouvelle variante de Mirai en cours de propagation

La propagation rapide d’une nouvelle variante du bornet Mirai semble avoir été détectée par des chercheurs de la société spécialisée en sécurité des réseaux informatiques Netlab 360.

Le botnet exploite deux vulnérabilités identifiées en 2016 dans les routeurs ZyXEL PK500Z. Il s’agit

  1. de comptes par défaut, qui permettent l’accès à distance aux routeurs ;
  2. d’un mot de passe caché écrit “en dur”, donc non-modifiable, qui permet à l’accédant de disposer de l’ensemble des droits sur le routeur.

Cette variante utilise un exploit, publié le 31 octobre 2017, basé sur ces deux vulnérabilités.

Pendant les 60 heures qui suivent le 22 novembre 2017, 11h, des scannes, provenant de  100 000 différentes adresses IP qui utilisent l’exploit, ont été identifiés.

Les IP sources et donc l’infection semblent se concentrer en Argentine où près de 67 000 routeurs ont été infectés. La majorité de ces routeurs ont été localisés dans le réseau de l’opérateur internet Telefonica situé en Argentine. L’opérateur a probablement livré des routeurs avec les identifiants et mots de passe par défaut !

Le botnet n’est pas persistent puisqu’un reboot du routeur soit suffisant son éradication du routeur.

A suivre !

La CVE-2017-8225, ouvre-t-elle la voie à un nouveau IoT botnet ?

La CVE-2017-8225 est une vulnérabilité, datant de mars 2017, qui concerne plus de 1250 modèles de caméras de la gamme Wireless IP Camera (P2) WIFICAM fabriquée en Chine. La vulnérabilité est critique, car elle permet une exécution de code à distance (le pire des vulnérabilités) sur la caméra à travers le serveur web qui permet sa configuration en utilisant un navigateur web. Le site Shodan, qui référence les systèmes connectés à Internet, indique que prêt de 185 000 caméras connectées sont concernées par cette vulnérabilité.

L’histoire aurait pu s’arrêter là. Sauf qu’un chercheur en cyber sécurité a découvert, dans un forum, un échange intéressant qui traite de l’exploitation de cette vulnérabilité. L’échange démontre une collaboration entre plusieurs personnes pour développer des scripts (armement) qui utilisent Shodan pour identifier les cibles potentielles (découverte) ainsi que la compromission et enfin l’utilisation de Netcat pour prendre les commandes et le contrôle à distance (C2) des caméras compromises (cf. ma publication sur la Cyber Kill Chain pour comprendre les étapes d’une attaque qui s’applique à ce cas). Le niveau de collaboration est assez poussé puisqu’un des acteurs de l’échange a proposé de partager sa clé d’API qui permet d’utiliser la version premium de Shodan afin d’exporter la liste des IP vulnérable. L’export permet d’intégrer simplement aux scripts les cibles à attaquer.

… une nouvelle activité est née : le “MDLC” pour Malware Development Life Cycle.

Le service de renseignement canadien dévoile un outil de détection de malwares

Le service de renseignements canadien spécialisé dans la surveillance des télécommunications et les écoutes téléphoniques, Communications Security Establishment ou CSE en anglais, a dévoilé un outil qui a été développé par ses équipes et destiné à la détection et l’analyse des malwares. L’outil a été baptisé Assemblyline.

Assembly permet d’analyser le contenu des fichiers qui lui sont transmis. Il est capable d’analyser des fichiers Microsoft Office contenant des charges malicieuses. La particularité de l’outil est qu’il est capable de traiter simultanément un très grand nombre de fichiers avec des options d’indexation et de scoring, sur le modèle des antispams ; le scoring aidant à décider de l’action destinée au traitement. Reste à voir si Assembly est capable de s’interfacer avec un relais de messagerie ou un proxy web.

L’outil a été mis à disposition en Open Source afin qu’il soit modifié et adapté par ses futurs utilisateurs. Il est disponible sur bitbucket à l’adresse suivante : https://bitbucket.org/cse-assemblyline/

A quand la convergence IDaaS, CASB et EMM pour la sécurité des accès aux systèmes d’information ?

Trois grandes technologies, à savoir l’IDaaS, le CASB et l’EMM, se généralisent pour la sécurité des accès aux systèmes d’information, notamment à travers des terminaux mobiles de type smartphone et tablette. Leur intégration dans les usages mobiles n’est pas encore transparente pour l’expérience utilisateur… voire, même dans certains cas, dans l’amélioration de la sécurité du système d’information. Probablement, que certaines solutions du marché sont plus intégrées que d’autres, cet article a pour objectif de traiter la problématique de l’usage des trois technologies et leur mise en oeuvre dans le système d’information de manière globale.

Continuer la lecture de A quand la convergence IDaaS, CASB et EMM pour la sécurité des accès aux systèmes d’information ?