Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Rançongiciel : les entreprises à bout de souffle

Depuis les années maintenant, nous observons presque impuissant à la montée en puissance et à la multiplication des programmes de rançon.

Les rançongiciel ont littéralement le vent en poupe.

Les pirates informatiques derrière ce genre de programmes malveillants semblent plus déterminés que jamais. En effet, il semblerait que ces derniers ont trouvé un moyen de se faire le maximum d’argent alors pourquoi s’en priver. Du coup, les organisations en particulier les entreprises subissent. Les collectivités publiques aussi ne sont pas en reste. On peut aussi comme les victimes privilégiés les hôpitaux. Récemment, plusieurs collectivités de la France ont compté parmi les nombreuses victimes faites par les opérateurs derrière un ransomware.

Cet article va aussi vous intéresser : Données médicales : Plusieurs centaines de patients Français voient leur donner données sur le Dark Web

« J’ai été prévenu à 03h30 du matin, quand l’astreinte m’a dit qu’il n’y avait plus de téléphone » souligne récemment, le responsable de la sécurité informatique de Marseille, Jérôme Poggi. Lorsque les informaticiens ont pu en fait mettre leurs pieds sur le site, précisément les deux centres de données de la ville de Marseille : « les +visiteurs+ (en parlant des pirates) étaient encore dans le réseau de la ville et toutes leurs charges n’avaient pas encore été déclenchées » a rapporté l’informaticien, durant son intervention lors d’une conférence réunissant plusieurs spécialistes de la sécurité informatique. L’un des gestes d’urgence adopter dans ce cas de figure a été de mettre fin au fonctionnement de toutes les machines et couper le réseau pour éviter que le virus ne se propage encore plus

« Au moment où l’on constate les premiers dégâts (…), on ne sait pas si le virus est encore en train de se propager dans le réseau de l’entreprise, ou bien si c’est déjà fini » note un cyber-pompier d’Orange Cyberdéfense, Robinson Delaugerre.

La filiale cyberdéfense de Orange s’est spécialisée dans les interventions d’urgence pour soutenir et aider les organisations publiques et privées toucher le plein fouet par des attaques informatiques.

La prochaine étape après avoir stoppé le fonctionnement de toutes les machines et couper le réseau, les informaticiens doivent chercher ce qui a bien pu causer l’infection du système. Au même moment, la direction de l’organisation doit mettre en place une cellule de crise pour répondre à certaines situations présentes. Cela dans un contexte où il n’y a peut-être plus de téléphone ni d’ordinateur.

« Nous parlons de la règle des 3X3 » souligne Gérôme Billois, un associé de chez Wavestone, un cabinet de conseil est aussi dans le domaine de l’intervention avec aussi ses équipes de cyber-pompiers prêt à agir sur demande. « Il y a trois jours de sidération, où tout le monde court partout, consomme une énergie folle… » explique ce dernier.

« Puis trois semaines de gestion de crise » durant lesquelles une entreprise peut fonctionner avec seulement « du papier et des crayons » et « 10, 15, 20% » de son activité informatique, remise en route après avoir nettoyé le réseau du virus », ajoute l’expert.

Même avec près de 1500 ordinateurs totalement réinitialisés, il faudrait patienter souvent jusqu’à 3 mois avant que l’entreprise ne puisse à nouveau fonctionner de manière adéquate. Cela avec toutes les machines totalement nettoyées et les applications fonctionnelles.

« Nous avons dû formater 1.500 ordinateurs et réinitialiser 250 serveurs » explique de son côté Arnaud Mabire, le vice-président de la communauté d’agglomération Evreux Portes de Normandie, qui a été aussi frappée par un rançongiciel durant le mois de décembre. Ce dernier précise qu’il a fallu à son organisation presque un mois et demi pour qu’elle puisse se retrouver un fonctionnement à peu près normal, dans une localité qui contient près de 100 000 habitants. Son témoignage précise que les premiers jours de crise ont été vraiment durs pour le personnel informaticien, les salariés ainsi que les personnes affectées directement.

« Je me souviens de cas ou nous avons demandé à des gens d’évacuer la cellule de crise, car ils finissaient par faire n’importe quoi sous le coup de la fatigue » note Gérôme Billois,

Cependant qu’en est-il de la rançon ?

Malheureusement force est de constater que la consigne qui consiste à ne pas payer n’est pas vraiment respectée par beaucoup de chefs d’entreprise. Et pour des raisons diverses. « Quand vous êtes chef d’entreprise, que toutes vos sauvegardes sont elles aussi chiffrées, que vous avez des chantiers à livrer, et que vous avez réussi à faire baisser la rançon de 400.000 à 20.000 euros, c’est difficile de ne pas payer » explique un expert de la cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les organisations face à la cybercriminalité en 2021

Récemment il a été publié un rapport, par la société américaine de sécurité informatique Check Point Software portant sur la généralisation des incidents de sécurité à travers le monde et les moyens à développer pour assurer une protection efficace.

Le rapport met en évidence plus particulièrement les différentes techniques utilisées par les cybercriminels lors des piratages informatiques ainsi que les vecteurs les plus répandus. Les acteurs observés sont de différents ordres : que ce soit des pirates informatiques isolés, des cybercriminels sous la coupole d’État-nation ou des organisations criminelles durement constitués, tous ont été passées au crible par les chercheurs de Check Point Software.

Cet article va aussi vous intéresser : Les actes de cybercriminalité semblent « inarrêtables »

L’objectif du rapport est de fournir le maximum d’éléments permettant aux professionnels de la sécurité informatique ainsi qu’au cadre d’entreprises et organisation privées et publiques.

On pourrait retenir comme information importante provenant de ce rapport plusieurs éléments partent du cloud au télétravail.

« L’adoption du Cloud a une longueur d’avance sur la sécurité : En 2020, les programmes de transformation numérique des entreprises ont été accélérés d’environ cinq années pour répondre à la pandémie, mais la sécurité du Cloud public reste une préoccupation majeure pour 75% des entreprises. De plus, plus de 80 % des entreprises ont constaté que leurs outils de sécurité existants ne fonctionnaient pas du tout ou n’avaient que des fonctions limitées dans le Cloud, prouvant ainsi que les problèmes de sécurité du Cloud persisteront en 2021. » note le rapport.

Du côté du télétravail, le rapport précise que les cybercriminels ont accentué leur action autour du détournement de discussion, qui vise particulièrement les employés à distance. L’objectif bien sûr est de dérober le maximum d’informations possibles où est filtré des discussions privées à travers des chevaux de Troie (Qbot et Emotet)

Photo prise par Nicolas Creach

« Les attaques de logiciels rançonneurs par double extorsion flambent : au troisième trimestre 2020, près de la moitié de tous les incidents de logiciels rançonneurs comportait la menace de divulguer des données volées de l’organisation cible. En moyenne, une nouvelle organisation est victime d’un logiciel rançonneur toutes les 10 secondes dans le monde. » précise le rapport.

Au niveau du secteur de la santé, les attaques prennent de la forme d’une sorte d’épidémie. Selon la société de sécurité informatique, les attaques informatiques dirigée contre les organisations de santé en particulier les hôpitaux ont connu une augmentation de plus de 45 %. Et cela dans le monde entier. Les pirates informatiques en sûrement voulu profiter de la situation créée par la pandémie à coronavirus.

Par ailleurs, le rapport de checkpoint démontre que dans plus de 45 % des entreprises dans le monde, un employé sur deux aurait téléchargé à son insu un programme malveillant camouflé derrière une application mobile légitime. Avec l’augmentation des appareils mobiles à cause du confinement qui a entraîné une généralisation du travail à distance, les vecteurs d’attaques ont explosé.

« Les entreprises du monde entier se sont étonnées elles-mêmes de la vitesse de leurs initiatives numériques en 2020 : on estime que la transformation digitale a subi une accélération de sept ans. Mais les acteurs de la menace et les cybercriminels ont également changé de tactique afin de pouvoir tirer profit de ces changements et de la perturbation causée par la pandémie, avec une recrudescence des attaques dans tous les secteurs », a expliqué la vice-présidente des produits chez Check Point Software, Dorit Dor. « Nous devons agir maintenant pour empêcher cette cyber pandémie de se propager de manière incontrôlée. Les organisations doivent vacciner leurs réseaux hyper-connectés pour éviter ces cyber-attaques nuisibles qui provoquent tant de perturbations. ». Conclut cette dernière.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Données médicales : Plusieurs centaines de patients Français voient leur donner données sur le Dark Web

Dans un récent rapport publié précisément le 22 février, la société Française spécialisée dans le cyber, CybelAngel mettait en évidence la commercialisation des données médicales piratées.

La clé de ce rapport est la commercialisation d’un fichier contenant des données appartement à près de 500 000 patients d’origine française selon Challenges.

Le rapport publié expose trois exemples dans lesquels on peut trouver dans des forums de pirates informatiques français, Russes ou Anglophones, ou une base de données telle citée plus haut est en forte circulation. Rapport précise en ces termes que ce qui est plus étonnant dans tout ceci, est la présence de « 500 000 données hospitalières françaises mise en ligne gratuitement, alors qu’elle pourrait rapporter plusieurs milliers d’euros. ». Apparemment c’était un document qui était composé essentiellement de : « nom, prénom, adresse email, numéro de téléphone et données de santé de patients (numéro de sécurité sociale, groupe sanguin, médecin traitant, etc) », et par ailleurs de plusieurs examens médicaux réalisés par les patients.

Cet article va aussi vous intéresser : Fuites de données médicales : vérifier si l’on est concerné par la fuite massive de données de santé

En réalité, c’est des personnes qui avaient acheté ces données au préalable, qui ont par la suite remis en ligne dans le but de les revendre. Le fournisseur originaire au vu de cela décide alors de les publier gratuitement. « Le partage continuera tant que certains revendront ce qu’ils m’ont acheté », note-il.

Selon, CybelAngel, il y a de fortes chances que des fichiers qui ont été mis en vente contiennent des données qui ont pu être récupérées lors des attaques perpétrées contre plusieurs hôpitaux et mutuelles, à savoir la mutuelle nationale des hospitaliers

« Je comprends que des données personnelles puissent être intéressant pour du ciblage publicitaire. Mais je ne voie pas trop ce qu’ils peuvent faire avec des numéros de sécu, groupe sanguin, etc… Quelqu’un aurait une idée du réel intérêt que peuvent trouver des personnes / groupes / sociétés à acheter ceci ? » souligne un spécialiste de la sécurité. Ça peut servir à faire du phishing bien ficelé.

Quelqu’un qui a énormément d’infos très personnelles que normalement seul un hôpital ou un médecin possède peut assez facilement se faire passer pour quelqu’un de confiance.

Du genre « bonjour monsieur X, vous avez bien le numéro de sécu n° XXX ? vous avez fait tel acte médial le 12 janvier dernier, mais on a un souci avec la comptabilité, il manque 100€… » ». Explique ce dernier. Ça ne marchera pas à coup sûr, mais statistiquement, c’est sans doute plus efficace et plus crédible que l’oncle millionnaire qui veut partager sa fortune de 10 millions de € contre un petit virement … Et s’ils tombent sur une personne âgée, ils peuvent aller plus loin, du genre, « vous pouvez vérifier votre compte Ameli ? si vous avez des difficultés, je peux le faire pour vous… » conclut-il.

Pour ce qui en est de la cause de la fuite, une enquête menée par le média CheckNews, a permis de pouvoir identifier l’origine de la fuite de données. Selon ce dernier, le problème puise sa source dans les laboratoires de biologie médicale. Ces laboratoires ont en commun l’utilisation de logiciels connu sous l’appellation de Méga-Bus, un programme informatique obsolète mais toujours en commercialisation. Il serait géré par la société, Medasys, une filiale du groupe français Dedalus France. Le même groupe français qui se considère comme « leader européen en matière de solutions logicielles de Santé » avait été impliqué l’année dernière dans un scandale concernant un lanceur d’alerte qu’il aurait licencié pour « fautes graves ». Ce dernier avait prévenu les autorités des problèmes de sécurité informatique qui est touchent plusieurs programmes fournis par le groupe. Des vulnérabilités qui permettraient à « n’importe qui pouvait accéder à l’extranet, depuis le web. Ce qui permettait notamment d’accéder aux tickets ouverts par les hôpitaux et laboratoires clients ».

Les données concernées ici aurait été volées entre 2015 et 2020 dans plusieurs laboratoires d’analyses médicales des localités de Morbihan, des Côtes-d’Armor, de l’Eure, du Loiret et du Loir-et-Cher.

Quand les laboratoires ont été contactés, tous ont répondu unanimement n’avoir pas été informés par qui que ce soit de la fuite de données dont il est question.

Quant à Dedalus France, l’hypothèse est plausible : « Méga-Bus est une vieille solution. Si des clients l’utilisent toujours, ce doit être les derniers parce qu’elle n’est plus vendue ou maintenue. La plupart des clients de ce système sont en train de migrer ou ont déjà migré. »

À titre de rappel il faut préciser, que le fichier contenait des informations assez sensibles et personnelles sur le plan médical. En effet il y avait des informations portant sur :

– Des grossesses

– Des traitements médicamenteux

– Des pathologies voire séropositivité du patient)

Le pire dans tout ça, c’est que ces données n’étaient même pas chiffrées.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Fuites de données médicales : vérifier si l’on est concerné par la fuite massive de données de santé

La semaine dernière, l’actualité portait sur la fuite de données médicales à caractère sensible de près de 500 000 personnes en France.

Ces données étaient sur le Dark web. Au début elles étayent commercialisé et pour quelle raison que ce soit, elles sont dorénavant gratuites. Face à une telle situation, une entreprise spécialisée, a décidé de mettre en ligne un moyen qui permet de vérifier si les données en circulation contiennent certaines qui nous concernent.

Cet article va aussi vous intéresser : Données médicales : Plusieurs centaines de patients Français voient leur donner données sur le Dark Web

La société qui propose cet outil est basé dans la ville française de Rennes. Elle se dénomme Accéis.

Donc si vous doutez de faire partir des personnes dont les données sont en circulation, vous pouvez alors vérifier. Il vous suffit tout simplement d’accéder au site fuitededonneesdesante.acceis.fr, de composer votre numéro de sécurité sociale dans le champ unique de recherche qui vous sera présenté. Vous pourrez alors vérifier si vous êtes belle et bien parmi ceux dont les données sont en libre circulation.

Pour plus de précisions, l’entreprise de sécurité qui a mis en place le système précise que le serveur : « ne contient pas les informations personnelles, ni les données de santé relatives à la fuite de données. Seuls des condensats cryptographiques (SHA-256) sont utilisés, permettant de confirmer/infirmer la présence d’une identité dans la fuite de données. ».

Il faudrait que les personnes qui pourront être concernées par la fuite sachent qu’une enquête est belle et bien en cours pour déterminer non seulement l’ampleur de la fuite mais aussi les responsables.

D’une part la vigilance est de mise. Car, ces informations peuvent bien servir pour initier des campagnes d’usurpation d’identité, ou encore des tentative d’extorsion ou de chantage. C’est d’ailleurs comme ça que fonctionnent les pirates informatiques.

« On a déjà eu le cas par le passé pour une clinique médico-psychologique dont les enregistrements de séance avaient été récupérés par un hackeur, qui avait fait pression sur les patients en menaçant de divulguer le contenu des échanges, et de réclamer une rançon pour ne pas le faire », raconte Yves Duchesne, spécialiste de la sécurité informatique.

Dans ce contexte un tel cas de figure est fort probable. C’est d’ailleurs pour cette raison que le spécialiste conseille fortement, aux personnes qui pourraient être dans ce genre de conditions, de former le plus tôt possible les autorités soit à la gendarmerie ou la plate-forme pour la cybermalveillance : https://www.cybermalveillance.gouv.fr/. Selon Yves Duchesne, quelle que soit la cause d’un incident informatique, on est sûr que tout provient de la même souche : « les hôpitaux, comme les laboratoires, n’ont pas forcément un expert en cybersécurité dans leurs rangs. Un labo n’a pas la capacité de dire si le logiciel qui lui permet de gérer les données médicales est sécurisé ou pas. Il se fie aussi à ce qu’on lui vend. ». Il conclura en notant une réalité bien alarmante : « La sécurité informatique du secteur de la santé, cible de multiples attaques ces derniers temps, « car les données médicales se vendent bien », est ainsi en construction depuis plusieurs années, avec une prise en compte de l’importance de se protéger. »

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Emotet : Où en sommes-nous aujourd’hui ?

Vers la fin du mois de janvier 2021, grâce à une collaboration sur le plan international, les autorités avaient réussi à démonter les infrastructures qui étaient utilisées par des pirates informatiques dans le cadre de l’organisation.

Emotet, ‘un des plus grands réseaux des zombies au monde (botnet). Si cela a été présenté comme une avancée majeure dans la lutte contre la cybercriminalité, les spécialistes interpellent en mentionnant le fait que cela ne pourrait être qu’un simple répit pour les organisations qui avaient été touchées durement.

4 mois, c’est ce que le démantèlement pourrait laisser comme temps de répit aux entreprises. Car il est fort probable que d’autres pirates informatiques prennent la relève de ce business juteux. Cela sans oublier l’alternative que les gangs derrière Emotet puissent sur lancer.

Cet article va aussi vous intéresser : Le groupe de pirates informatiques Maze aurait-il disparu ?

Remontons aux débuts de cette affaire. Le 27 janvier dernier, la coopération policière européenne avait déclaré avec enthousiasme qu’elle avait réussi à démanteler l’un des plus grands réseaux de zombie au monde. Le groupe derrière Emotet est considéré comme étant coupable de milliers d’attaques informatiques à travers le monde. Pour réussir leur coup, l’ensemble des autorités policières en coopération dans cette affaire ont saisit dans leur Etats respectifs, tous les serveurs utilisés par les pirates informatiques pour contrôler leur réseau de machines infectées à travers le monde.

Dans une telle situation, les pirates informatiques se sont trouvés désarmés. Une situation qui allait s’aggraver par l’effacement de tous leurs programmes malveillants installés dans les appareils contaminés. « C’était le groupe le plus actif, le numéro 1, donc c’est sûr que ça va nous faire une pause », déclarait David Kopp, responsable de l’équipe de réponse aux menaces de la société de sécurité européenne chez Trend Micro. Cependant ce dernier ne se berce pas d’illusion. Il le sait le travail n’est pas encore terminé : « C’est certain que les opérations vont être stoppées un certain temps… et c’est certain que d’autres vont reprendre le même type d’opérations d’ici la fin de l’année. Ce milieu fonctionne comme celui des vendeurs de drogues : lorsque la police démantèle un réseau, un autre va prendre sa place. ».

La situation il faut l’avouer se présente assez dérangeante pour plusieurs spécialistes de la sécurité informatique. En effet leur rôle trouve son sens dans la protection contre les attaques informatiques, alors que leurs adversaires trouvent les siens dans les attaques informatiques, ce qui rapporte beaucoup plus. Récemment un pirate informatique russe avait confié lors d’un échange, qu’il avait décidé d’être pirate car il gagne beaucoup plus qu’en professionnel de la sécurité informatique. Cependant, il a mentionné que s’il pouvait gagner beaucoup plus en étant spécialiste de la cybersécurité il est sûr qu’il allait changer de métier.

Sous un angle bien pratique, on sait que la cybersécurité et la cybercriminalité sont des marchés très importants pour leurs acteur. Pour les pirates informatiques, leurs activités sont devenues comme un travail normal. Une activité comme une autre suivie d’une rémunération qui correspond aux efforts fournis. Pour ces derniers, vendre des données informatiques où extorquer de l’argent à des internautes est un marché tout comme un autre. Un marché qui devient de plus en plus attractif. En effet, les pirates informatiques ne cessent d’amasser de plus en plus d’argent. Avec ce que ces pirates informatiques gagnent lors de leurs différentes tentatives, ils sont en mesure de recruter de meilleur hacker, beaucoup plus que les sociétés de sécurité elle-même. Ils sont aussi en mesure de pouvoir s’équiper de matériel dernier cri pour non seulement rester compétitif et efficace, car à ce niveau aussi il y a de la concurrence, mais aussi pour étendre leurs activités comme le ferait une entreprise.

« On peut comparer le démantèlement de l’infrastructure d’Emotet à l’arrêt de la chaîne de production d’une entreprise normale. Les cybercriminels vont devoir faire face à la question de résilience, et se confronter aux mêmes problématiques que celles auxquelles se confrontent leurs victimes », souligne David Kopp. Dans une certaine mesure, on peut dire sans se tromper que les opérateurs derrière Emotet avaient une excellente place dans ce business. Il était considéré comme l’un numéro 1. La question essentielle que se pose les spécialistes de la sécurité actuellement et de savoir s’ils seront en mesure de relancer leur activité après sur coup dur. Ou bien sûr si un autre concurrent profitera de la situation pour étendre son influence. Pour David Kopp : « Même si l’infrastructure est tombée, si les cybercriminels ne sont pas arrêtés, ils vont simplement se déporter sur une autre infrastructure ». Pourtant sur la question de l’arrestation des membres de ce groupe, Europol n’a pas divulgué suffisamment d’informations.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage