Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Active Directory surveillé de près par les gendarmes Français de la sécurité informatique

Dans le courant de la semaine, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) publiait un document pour aider les établissements dans leur processus de sécurisation et d’organisation les systèmes Active Directory.

L’Agence Française établie par la une liste des points clé de configuration qu’il faudrait vérifier avec plus de discipline pour un meilleur encadrement et environnement sécuritaire de l’Active Directory.

Cet article va aussi vous intéresser : L’ANSSI regarde de plus près la menace qui vise le secteur de l’aéronautique

Par cette action, le gendarme français de la cybersécurité démontre clairement qu’il s’intéresse à cet outil informatique. Et il semble que cet intérêt date de très longtemps. Et bien c’est quelque chose qui se comprend. En effet, lors d’une cyberattaque, c’est l’un des éléments les plus important, lorsqu’il tombe entre les mains des cybercriminels, l’affaire devient automatiquement corsée. L’Agence nationale de la cybersécurité les systèmes d’information décrit elle-même cet outil comme le « centre névralgique de la sécurité des systèmes d’information Microsoft ». Active directory permet, de sa fonctionnalité principale de gérer des comptes, des permissions et même des ressources à l’intérieur du système informatique. D’ailleurs, à ce propos, on pouvait lire dans l’introduction du document publié par l’ANSSI : « Les observations de l’ANSSI font apparaître un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory. Le niveau de sécurité décroît ainsi de manière importante en fonction du temps et au rythme de la manipulation de ses objets ou des actions d’administration ».

C’est plus d’une cinquantaine de points défaillants ou de vulnérabilité qui ont été listés par l’Agence française dans son recueil. L’agence précise que ce sont des failles qui sont couramment observées. Selon la gravité de la défaillance, les différents points sont numérotés de 1 à 3. Le niveau critique de défaillant se situe à 1. Quant au niveau 3, il signifie que l’on est face à « un niveau de sécurité basique non affaibli depuis son installation ». À chaque point listé, une description très détaillé est proposé, permettant d’avoir une meilleure approche du problème lié à la défaillance. En plus de la description, l’agence fait aussi des recommandations pour pallier chaque vulnérabilité.

 En procédant ainsi pour la notation, ce système va permettre d’évaluer la sécurité de l’outil Active Directory en lui attribuant des notes partant de 1 à 5. « Pour obtenir un niveau, un annuaire Active Directory doit passer avec succès tous les points de contrôles des niveaux inférieurs. Un annuaire de niveau 5 a passé avec succès tous les points de contrôle. » notait l’Anssi dans son recueil.

Depuis l’annonce de son service ADS (Active Directory Security), l’Agence nationale de la sécurité des systèmes d’information n’a pas cessé de fournir encore plus d’efforts concernant le l’outil de Microsoft. Le temps par ailleurs que ce service et pour le moment disponible que pour les structures publiques qui ont un accès au réseau interministériel de l’État français. Active Directory Security de l’ANSSI fourni de manière régulière un diagnostic de l’état de sécurité de l’annuaire numérique. Ce diagnostic permet d’avoir un regard d’ensemble sur la situation sécuritaire total liés à l’annuaire on a très bien une note de 1 à 5 a tous les aspects.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’utilisation des services cloud connaissent une croissance ainsi que les attaques informatiques les ciblent

Toutes les infrastructures informatiques ont subi ou continuent de subir la fougue des cybercriminels.

Et cela sous l’impulsion de la pandémie du coronavirus. Du côté des services cloud, il faut monter les attaques contre les infrastructures ont connu un bond de plus de 1350 %. La cause principale de cette augmentation sont des actes de cybermalveillance vis-à-vis du cloud qui est dû à l’explosion du télétravail.  En effet, à l’instar de plusieurs autres outils de collaboration à distance, le cloud a été beaucoup sollicité par ces derniers, pour divers besoins, en particulier du côté des entreprises, qui ont initié un basculement à se précipiter vers la collaboration à distance.

Cet article va aussi vous intéresser : Les tendances et les prévisions du marché les applications de protection du Cloud 2019 – 2024

À cause des mesures de restriction, le confinement général en particulier, les entreprises n’ont eu d’autre choix que de s’adapter. Une situation sans précédent, où les entreprises ont adopté, comme cela n’a jamais été auparavant, plusieurs services luu permettant d’assurer leur collaboration même à distance. Des outils qui en majorité, sont basés sur les services Cloud. On fait allusion notamment à Office 365, Slack ou encore les célèbres applications de vidéoconférence tel que Microsoft Teams et Zoom.

Selon un rapport produit par la société américaine de cybersécurité McAfee, les pirates informatiques, ont tenté à plusieurs reprises d’usurper les identifiants utilisés par les collaborateurs sur ces différents services. Des tentatives qui n’ont fait que croître jusqu’aujourd’hui. En analysant des informations recueillies depuis le mois de janvier jusqu’au mois d’avril, sur l’utilisation des services cloud auprès d’une trentaine de millions d’entreprises, grâce à sa plateforme de surveillance MVISION Cloud, la société de sécurité informatique américaine estime que l’usage des services cloud a connu une croissance de 5 % dans tous les secteurs d’activités. Un chiffre généraliste car certains secteurs ont connu une augmentation plus conséquente que d’autres. Par exemple, le secteur de l’éducation et de l’industrie manufacturière ont observé tous deux, un bond de près de 114 % chacun. Il a été observé des 2 côtés une utilisation plus accrue des solutions de vidéoconférence et autres outils de collaboration à distance.

Par ailleurs, concernant la plate-forme de collaboration à distance et autres outils, le temps que Microsoft teams a connu 300 % de croissance. Du côté de Cisco WebEx, il a été observé un usage de plus de 600 % de ses services. Quant à Zoom et Slack, et ont respectivement connu une augmentation de l’utilisation de leur service à hauteur de 350 % et 200 % respectivement. bien sûr ce sont les secteurs de l’éducation et de l’industrie manufacturière qui ont été les plus gros clients.

L’augmentation non négligeable de ces services, a été aussi la cause d’un intérêt très marqué du côté de la cybercriminalité. En effet, les collaborateurs, dans la dynamique de télétravail se sont beaucoup servis de terminaux qui ne sont pas adaptés pour la circonstance. McAfee a observé une augmentation de l’utilisation de terminaux non homologué sur le compte des entreprises à travers le cloud. « Il n’y a aucun moyen de récupérer les données sensibles d’un appareil non géré, donc cet accès accru pourrait entraîner des pertes de données si les équipes de sécurité ne contrôlent pas l’accès au cloud de chaque appareil » note la société de cybersécurité.

En outre, le rapport de McAfee fait état, d’une augmentation du nombre des menaces externes hauteur de 630 % seulement durant la période du confinement, c’est-à-dire lors de l’utilisation massive des plateformes de collaboration à distance. Ce qui fait en tout 2 mois. À ce niveau les actions de cybermalveillance se distingue en deux catégories. D’un côté les tentatives de connexions frauduleuses et de l’autre côté, les accès suspects. La menace cybernétique a été beaucoup plus observé au niveau du secteur de l’éducation des transports de la logistique et même des institutions gouvernementales et sanitaires. « Dans ces secteurs, l’augmentation des menaces a atteint 1 350 %. Viennent ensuite le secteur de l’éducation, avec 1 114 % ; celui des institutions gouvernementales, avec 773 % ; celui de l’industrie manufacturière, avec 679 % ; celui des services financiers avec 571 % et enfin celui de l’énergie, avec 472 %. » pouvait-on lire dans le rapport.

Les 10 pays, qui selon l’analyse des adresses IP recueillies par McAfee, se présentent comme étant les sources principales des cyberattaques initiées contre les contre Cloud sont : la Chine, les États-Unis, la Thaïlande, le Brésil, la Russie, la Nouvelle-Calédonie, le Vietnam, le Mexique, le Laos et l’Inde. Lorsqu’il s’agit des cibles du secteur des finances, les chercheurs de McAfee ont noté : « On constate souvent que ces attaques ciblées sont menées depuis la Chine, l’Iran ou la Russie ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Quand les employés reconnaissent ne pas toujours respectés les règles

« La grande difficulté avec le télétravail, c’est de bien séparer l’environnement professionnel de celui du personnel. » : indique Baptiste Robert à propos du télétravail.

Une grande partie des collaborateurs qui aujourd’hui travaillent à distance on nettement reconnu prendre des fois « des raccourcis en télétravail ». L’une des raisons qui pourrait expliquer se laisser aller et ce défaut de discipline dans certaines conditions, est cette explication donnée par Baptiste Robert, expert en cybersécurité.

Cet article va aussi vous intéresser : Doit-on craindre la fin du télétravail et le retour en entreprise

L’environnement domestique influence grandement la concentration et le respect des règles nécessaires pour une cybersécurité optimale de travail correct. De ce fait, avec la distraction présente constamment dans le domicile, et le stress de devoir rendre des travaux à un délai précis pousse souvent le télétravailleur, à passer outre certaines mesures de sécurité. Pour ainsi dire, tous les ingrédients sont réunis pour faciliter ce manquement. « La moitié des employés prennent des raccourcis en matière de cybersécurité lorsqu’ils travaillent à domicile, ce qui pourrait exposer leur organisation à des cyberattaques ou à des violations de données. » écrivait Danny Palmer, journaliste IT.

Rappelons que depuis que le coronavirus est devenue une pandémie, de nombreux bouleversements ont été observés au niveau de plusieurs secteurs. Le domaine professionnel n’y a pas échappé. Car, la cause des différentes mesures de confinements, conséquence directe de la pandémie, beaucoup d’entreprises ont dû basculer en télétravail. Une transition qui n’a pas très souvent respecté les règles de sécurité essentielles pour protéger sur le long terme les systèmes informatiques des entreprises. Conséquences directes, les collaborateurs qui travaillent à distance prennent trop de risques lorsqu’ils sont en ligne. Beaucoup plus que lorsqu’ils étaient encore au bureau. Cela se comprend par le fait, que dans un environnement professionnel, l’équipe de la sécurité informatique veille au grain, ce qui fait défaut malheureusement lors du télétravail.

Les spécialistes de la sécurité informatique de la société Tessian, un fournisseur de solutions de cybersécurité ont mené une étude sur la question. Dans le rapport de cette analyse intitulé « The State of Data Loss Report », il fut révélé que 52% des travailleurs à distance ont tendance à croire qu’ils ne craignent rien lorsqu’ils prennent certaine liberté à domicile, que l’utilisation de logiciels courants, souvent peu sécurisés pour partager des fichiers à caractère confidentiel, au lieu de penser à utiliser des moyens plus fiables et professionnels. Toutefois, les chercheurs de Tessian ont observé que les employés ne le faisaient pas délibérément. Mais qu’ils étaient plutôt distraits par l’environnement domestique dans lequel ils sont obligés de travailler.

Le rapport des chercheurs met en évidence 4 raisons principales de ce défaut de discipline.

1- Les appareils utilisés sont généralement des terminaux appartements aux employés qui avaient l’habitude de les utiliser dans des situations personnelles. C’est ce qui explique pourquoi c’est si difficile pour ces derniers de ne pas utiliser son appareil pour visiter les réseaux sociaux, télécharger des applications ou des vidéos, ou toutes autres actions qui sont susceptibles de l’exposer aux cybercriminels. Une exposition qui aurait pu être évité ou réduite avait dans certains cas fournir le matériel de travail.

2- La liberté hors du cadre de l’entreprise est une des raisons aussi à évoquer. En effet, les employés en télétravail sont moins contrôlés par les équipes de sécurité de l’entreprise. Le fait de ne pas se sentir surveiller, favorise clairement certains laisser aller.

3- Les distractions domestiques influencent grandement le respect des actes de sécurité. Cela peut-être l’organisation même technique du travail, la garde des enfants, les interactions sociales avec les voisins, les colocataires ou la famille dans son ensemble.

4- La pression. Plusieurs employés ont signifié être sous pression lors du télétravail. Pour tourner efficacement et accomplir leurs tâches, ces derniers ont estimé que la politique de sécurité qui leur sont imposés présentent souvent des obstacles qui ralentissent leurs rendements. À ce propos, le Président Directeur Général de la société de cybersécurité, Tim Salder, observait : « Les gens feront des économies sur les meilleures pratiques de sécurité lorsqu’ils travaillent à distance et trouveront des solutions de contournement si les politiques de sécurité perturbent leur productivité dans ces nouvelles conditions de travail ». Cependant un contour de moi dans les effets peuvent s’avérer désastreux à moyen et long terme. « il suffit d’un courriel mal adressé, d’un fichier de données mal stocké ou d’un mot de passe faible pour qu’une entreprise soit confrontée à une grave violation de données » déclarait Tim Salder.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un énième recours collectif contre Google

La firme de Mountain View à l’instar de ses compères du GAFA (Google, Apple, Facebook, Amazone) ne cesseront jamais de faire parler d’eux lorsqu’on aborde la question de l’atteintes à la vie privée et du tracking sur internet.

Dans le courant de cette semaine, précisément dans l’État de Californie, aux États-Unis, un gros collectif a été déposé contre le géant du numérique. Cela ne change pas des autres fois, car pour cette fois-ci, les plaignants l’accusent de surveiller les utilisateurs des services Google, dans l’intégralité de leur activité en ligne, et même lorsque ces derniers sont en navigation privée.

Cet article va aussi vous intéresser : Facebook et Google, une « menace » pour les droits humains ?

Une accusation qui ne change pas d’habitude. Que ce soit Facebook, ou Google, le problème principal qui leur est reproché est exactement leur énorme curiosité, leurs manie de vouloir à tout prix savoir ce que font leurs utilisateurs lorsqu’ils sont connectés sur internet.

L’indiscrétion des services Google pourrait être encore plus profond que l’on ne pense, si nous nous référons au contenu de la plainte déposé contre la société américaine. Elle accuse Google d’utiliser ses services de manière illicite, afin de surveiller leurs habitudes et l’ensemble des actions qu’ils mènent sur internet. Et cela, sans accord préalable des personnes ciblées. Des plaintes qui ne pas des précédentes contre le géant. Les services indexés dans la plainte sont notamment Google Ad manager, Google analytics, Google Sign In, sans oublier plusieurs plug-ins et d’autres extensions pour applications. Ce sont des services qui sont utilisés par près de 70 % des éditeurs de contenus pour site web, et de l’autre côté le système d’exploitation Android (présent sur près de 80% des smartphones) qui fonctionne pratiquement à 80 % avec ses services. Dans  ce contexte, Google serait en mesure non seulement de savoir ce que l’utilisateur recherche, mais aussi ce qu’il a déjà rechercher, et tout ceci avec une précision exceptionnelle couplée à l’adresse IP. Un tracking de Google assez intrusif qui serait actif même lorsque l’utilisateur est en mode de navigation privée.

L’action collective met en avant un point essentiel qui depuis un certain moment est devenu plus qu’une règle : l’exigence du consentement éclairé et préalable de l’utilisateur. Il est dit que la firme de Mountain View ne respecte pas cette exigence. Et comme on le sait, les sites internet n’ont aucune obligation de révéler les données qui sont collectées par Google lors de la navigation de l’utilisateur hormis les leurs. Les plaignants exigent alors, une compensation financière de géant américain à hauteur de 5000 dollars ou une amende équivalent 3 fois cette somme par personne en guise de dommages et intérêts. La motivation d’une exigence serait la condamnation de Google pour non-respect de la vie privée.

Tous les détenteurs d’appareils tournant Android ayant une fois ouvert une page web au travers des services Google sont invités à rejoindre l’action collective. L’invitation s’étent aussi à toute personne :

– Ayant un compte Google,

– Qui vit aux États-Unis

– Qui aurait plusieurs fois utilisée les services Google, que ce soit en navigation normale ou en navigation privée.

On peut donc faire une évaluation à hauteur de plusieurs millions des personnes, les potentiels intéressés de cette action collective.

Si cette fois-ci c’était en Californie, il faut noter que la semaine dernière, dans l’Arizona, une plainte similaire était déposée toujours contre Google. De ce côté aussi, il est reproché au géant américain d’abuser de sa position et de ses services, pour pister les utilisateurs, sans au préalable recueillir leur consentement. Il ajoute quant à eux que le système d’exploitation de Google c’est-à-dire Android, a été conçu de telle sorte à surveiller les utilisateurs des smartphones compatibles, que ce soit au niveau de leur déplacement et de leur position géographique. Et cela quand bien même que l’utilisateur ait désactivé les services de localisation.

Les plaintes à l’égard du géant américain ne se limitent pas seulement aux États-Unis. Au Royaume-Uni et en Australie, plusieurs autres plaintes ont été enregistrées. Dans la foulée il ne faudrait pas oublier que l’année dernière, précisément en septembre, la firme de Mountain View était sanctionnée par une amende 170 millions de dollars, après avoir été reconnue coupable de collecte de données personnelles appartenant à des enfants suite à leur activité, sur YouTube.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La NSA prévient contre de nouvelles attaques du Sandworm

L’agence de sûreté américaine, la NSA a déclaré récemment que les serveurs de messagerie de l’agent Exim étaient ciblés par des cybercriminels.

Des pirates informatiques qui seraient selon l’agence américaine de nationalité russe, et qui ont pour intention d’installer des portes dérobés depuis 2019.

Cet article va aussi vous intéresser : Quelques conseils d’Edward Snowden face aux géants du numérique

Le vendredi dernier, la NSA publiait une alerte de sécurité. Cette alerte mettait en garde contre de nouvelles compagnes de piratage informatique dont la cible et des serveurs dédiés à la messagerie. L’agence de sûreté nationale américaine accuse la Russie d’être derrière cybercriminalité. En effet, elle  indique que les pirates informatiques derrière ces actes de cybermalveillance ferait partie d’une unité de cyberespionnage, des plus avancées de l’État Russe. L’unité dont il est  question eit là 74455 du GRU Main Center for Special Technologies (GTsST), connu comme une branche du service de renseignement de l’armée russe. Elle serait impliquée dans l’attaque des serveurs de messagerie électronique de Exim, une société de transfert de courrier.

Le groupe de pirates indexé par la NSA se fait aussi appeler SandWorm. L’agence américaine signifie qu’il cible Exim depuis mi 2019. Des cyberattaques qui tournaient autour de l’exploitation d’une faille de sécurité à l’instar de CVE-2019-10149. « Lorsque Sandworm exploitait CVE-2019-10149, la machine victime téléchargeait et exécutait ensuite un script shell à partir d’un domaine contrôlé par Sandworm » explique la NSA. Avec ce script malveillant, les cybercriminels pouvaient alors :

– Ajouter des utilisateurs disposant de privilèges d’administrateur ;

– Mettre hors d’usage les configurations de sécurité du réseau ;

– Effectuer les mises à jour au niveau des configuration SSH en vue de créer un accès à distance pour leur visage ;

– Exécuter un autre programme pour the futurs.

L’agence américaine de sûreté a de son côté averti les organisations gouvernementales et les structures privées de procéder à la mise à jour de leurs serveurs de l’agent Exim et tourner vers la version 4.93. la NSA de plus de conseiller aussi de procéder à des audits de sécurité afin de chercher de potentielles vulnérabilités et de potentiels cas où signe de compromission. À cet effet,  elle met à la disposition des organisations, des indicateurs de compromis qui sont disponibles dans le PDF publié.

En outre, il faut noter que le groupe dénommé Sandworm est en activité depuis les années 2000. Certains spécialistes de la cybersécurité l’accusent même d’être à l’origine du programme malveillant connu sous le nom de BlackEnergy, un malware qui a causé d’énormes dégâts au niveau des secteurs énergétique en Ukraine. Causant ainsi une grosse panne d’électricité en décembre 2015 et 2016. Mais ce que l’on sait avec certitude, c’est que ce groupe est à l’origine d’un des célèbres malwares qui n’aient jamais existé : le célèbre rançongiciel NotPetya. Un programme malveillant qui a coûté des milliards de dollars à plusieurs entreprises à travers le monde entier.

Par ailleurs, notons que Sandworm fait partie selon les médias en Occidentaux, comme l’un des groupes les plus avancés, financé par l’État russe, avec le groupe de pirates « Turla ». Par ailleurs la faille de sécurité (CVE-2019-10149) que le groupe Sandworm essaie d’en tirer profit a été découverte depuis le mois de juin de l’année dernière. Le géant américain, Microsoft à cette période on avait commencé à émettre des alertes, expliquant, aux clients de son service cloud, Microsoft Azure, qu’un programme malveillant avait été développer et qui menaçait les serveurs Exim. L’objectif était de s’emparer des infrastructures cloud de la firme de Redmond.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage