Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

L’Agence Nationale de la Formation ciblée par des hackers

L’organisme public chargé de la formation professionnel pour adultes a été victime d’un piratage informatique.

Des milliers de documents comportant des informations personnelles ont été dérobés par les cybercriminels. Ces derniers ont dorénavant les informations personnelles de plusieurs milliers de personnes à leur disposition.

Cet article va aussi vous intéresser : Données personnelles : encore plus de fuites au Canada

Selon les informations de l’agence, l’attaque était d’ampleur et l’objectif était sûrement de dérober le maximum d’informations en vue de les monnayer plus tard. Mais les cybermalveillants à l’origine de cet acte ont revendiqué une action sur la base d’un Ransomware. Le but d’une telle attaque est tout simplement de pouvoir prendre le contrôle du système informatique de la structure ciblée, dans le but de crypter les données et empêcher l’utilisateur final de pouvoir accéder à celles-ci. Une fois ce coup réussi, les cybermalveillants exigent le paiement d’une rançon pour libérer le système informatique infecté. C’est le système de piratage informatique le plus répandu surtout ces derniers temps. Et la pandémie du coronavirus n’a fait qu’augmenter les chances de réussite d’une telle action illicite. Dans notre cas, ils ne se sont pas contenté de simplement chiffrer les données, ils ont aussi subtilisé certaines informations importantes.

L’Agence de Formation Professionnelle pour Adulte (AFPA) a de son côté confirmé au média français le Parisien, qu’elle a bel et bien été victime d’un « incident de sécurité dans la nuit du 7 au 8 mars dernier qui n’a pas perturbé longtemps le fonctionnement de nos services ». C’est tout ce que l’agence a voulu délivrer comme information sur l’incident. Sur le réseau Internet du Dark web Tor, les pirates informatiques n’ont pas manqué d’exposer leur réussite. Selon eux, ils auraient réussi à avoir accès à près de 65076 terminaux, composés de postes de travail et de serveurs. Il a été mentionné que ces derniers se servent du programme de rançonnage « DoppelPaymer ». Toutefois l’agence de formation n’a reconnu avoir été touché par le rançongiciel que par 3 postes de travail et une centaine de serveurs. Elle a réussi à éviter les pertes de données grâce à des sauvegardes antérieures qui ont permis une rapide en restauration des données et une mise en route dans des délais raisonnables du système. Selon une source au sein de l’agence : « Le programme qui a été utilisé pour infecter les machines et les paralyser n’aurait, pas fonctionné sur le reste de son parc de 1500 serveurs grâce à des antivirus à jour. ».

Jusqu’à présent, les pirates informatiques n’ont exigé aucune rançon. Cependant, ces derniers ont posté sur internet des exemples des fichiers pour prouver qu’ils ont réussi à puiser certaines informations personnelles. De sorte à faire pression sur l’agence de formation. Il y a aussi un procédé classique en cas d’attaques au rançongiciel. En effet, lorsque la prise d’otage des systèmes informatiques ne se passe pas comme prévu et que la victime refuse de payer la rançon exigée pour le déblocage de son système, les cybers malveillants menacent de divulguer les informations récoltées lors de l’attaque informatique. Des informations qui sont souvent assez sensibles. Donc c’est sûrement ce procédé qui en cour. Cependant, selon le directeur de l’agence : « Ils n’ont récupéré que des documents Excel dont toutes les informations sont publiques. Il n’y a aucune donnée sensible à monnayer et l’Afpa n’a de toute façon pas d’argent ». Il ajoute par ailleurs que tous les accès vers l’extérieur ont rapidement été coupé dès instant que l’incident a été détecté. Mais cela semble ne pas correspondre avec les preuves publiées récemment par les pirates informatiques qui prouve que les derniers accès remontent au 16 avril, c’est-à-dire il y a un mois.

De plus, suite à la consultation des exemples de fichiers mis en ligne par les cybermalveillants, il a été découvert des documents importants qui contenaient des informations assez sensibles pour des structures privée et publique partenaires à l’agence de formation. Des informations qui pourraient facilement être exploitées par des pirates informatiques assez rodés. Parmi ces informations, l’on pouvait consulter des numéros de téléphone, des mails professionnels, des factures, des contrats, des plannings de vacances des employés de certains PME partenaires, des noms et prénoms et identifiants de connexion… des informations qui dans le secteur de la cybercriminalité sont tous sauf négligeable comme essaie de faire comprendre le directeur de l’agence.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Sécurité informatique : La nécessité d’être assuré

Les cyberattaques n’épargnent personne.

Qu’elles soient de taille moyenne, petite ou grande, les entreprises sont continuellement exposées et victimes d’une cybermalveillance toujours déterminée. Les pirates informatiques s’adaptent et sont toujours aussi motivés lorsqu’ils savent qu’ils peuvent soutirer de l’argent d’une quelconque manière et les pertes sont énormes du coté des entreprises.

Cet article va aussi vous intéresser : Une grande partie des attaques aux rançongiciels se déroule le week-end et les nuits

En effet, il faudra s’attendre à une évolution certaine de la cybercriminalité. Elle demeure toujours imprévisible mais probable. L’année 2019 a été un exemple palpable, parce que tous les secteurs économiques ont été touchés directement ou indirectement. Que ce soit au niveau de la santé, des finances, de l’aéronautique, de l’Industrie, les attaques informatiques sont venues prouver que le danger reste toujours d’actualité et que personne n’est suffisamment préparée pour l’éviter indéfiniment. La conséquence principale de ces actes de cybermalveillance est financière. Ses différentes structures dépensent des millions pour la réhabilitation de leur système quand elles sont touchées et le déploiement des outils de sécurisation lorsqu’elles subissent des incidents. Des millions qui auraient pu être affectés à d’autres usages plus professionnels.

Malheureusement, la notion d’assurance cyber n’est pas encore vulgarisée suffisamment. Les entreprises en majorité ne s’assurent pas. « Le marché de l’assurance cyber est émergent, parce que les entreprises n’ont pas conscience de l’importance systémique du risque cyber » indique Pierre Bessé, le président d’un groupe de conseil et de courtage. Les grandes entreprises, qui ont souffert de certains incidents il y a quelques années à cause de vagues de contamination informatiques généralisé souvent à l’échelle mondiale (WannaCry et NotPetya), ont en majorité adopté une assurance cyber. Peut-être par expérience. Ce qui est l’inverse pour les entreprises à taille intermédiaire et les PME. Et cela se justifie par les chiffres. C’est quand pour 100 des entreprises du SBF 120 et 90 % des entreprises du CAC 40 sont assurées face au risque cyber.

Si selon une étude publiée en novembre 2019, près de 61 % des entreprises se sont assurées contre la cybercriminalité, les entreprises d’assurance française ont mentionné le fait que le volume des primes jusqu’à présent collectées reste toujours faible. Sans oublier que le taux d’enregistrement des entreprises de taille intermédiaire reste en dessous de 10%. Le responsable de l’activité cyber chez le courtier Marsh, M Jean Bayon de la Tour, a par ailleurs souligné que moins de 5 % des petites et moyennes entreprises disposent d’une assurance cyber. Ce qui est assez étonnant dans la mesure où ces entreprises sont belles et bien conscientes des risques que représentent la cybermalveillance. La Souscriptrice cyber chez QBE, Amanda Maréchal indique que si les entreprises ne s’assurent pas en dépit des risques, c’est d’abord un problème d’ordre financier. « … cela a un coût. C’est un budget, et elles manquent de visibilité sur les garanties. » explique-t-elle.

Cependant, en cas de non d’assurance susceptible de couvrir les frais lors d’une cyberattaque, il a été démontré que 60 % des petites et moyennes entreprises cours le risque de déposer le bilan dans les 6 mois qui suivent une attaque informatique d’ampleur. « Le premier conseil que j’aurais à donner, c’est de s’assurer. Cela nous a énormément aidés » affirme Dominique Cerutti, le PDG du cabinet de conseil en ingénierie Altran, qui fut la cible d’une cyberattaque au rançongiciel en 2019. Par ailleurs, s’assurer ne veut pas dire, être négligent au niveau de sa sécurité interne. Les bonnes pratiques d’hygiène au numérique sont sensées demeurées quand bien même que l’entreprise est assurée. À ce propos, la responsable de l’équipe souscription cyber chez AIG, Sophie Parisot, indiquait : « L’assurance ne doit pas remplacer une bonne sécurité informatique, il faut prendre en compte le transfert du risque. ». Car en cas d’incidents, les sociétés d’assurances détachent des équipes de cybersécurité pour assister l’entreprise. L’objectif est d’évaluer et déterminer la portée de l’incident ainsi que la faute imputable à l’entreprise dans la mesure où elle existe. Avant toutes actions, l’assureur cherchera à trouver d’abord les réponses à ces questions : « En cas d’attaque, quelles dispositions prendre pour être efficace et revenir dans un état de fonctionnement acceptable ? » formule Philippe Cotelle, président de la commission cyber de l’Amrae, (l’Association pour le management des risques et des assurances de l’entreprise) et le directeur des risques d’Airbus Defence and Space.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Doit-on craindre la fin du télétravail et le retour en entreprise

Depuis l’annonce déconfinement en France jusqu’aujourd’hui, près de 40 % des Français ont été en télétravail.

Et cela malgré le fait que le basculement vers le travail à distance a été opéré de manière un peu brusque et les entreprises n’ont pas, pour certains, eu le temps de suffisamment leurs données et leur système informatique. Cependant, on peut dire sans se tromper, que le télétravail est une pratique qui désormais sera ancré dans les habitudes professionnelles. Alors, la problématique qui se pose au responsable de sécurité des systèmes informatiques est de trouver un moyen d’adapter la collaboration à distance à la cybersécurité.

Cet article va aussi vous intéresser : La sécurité des télétravailleurs, une priorité qui doit encore le rester

Depuis l’adoption du télétravail par les entreprises comme méthode pour assurer la continuité de leur activité malgré le confinement, les professionnels de la cybersécurité ont redouté un scénario. Celui dans lequel un employé, serait victime d’une attaque informatique, par lequel les pirates passeront pour accéder au système informatique de l’entreprise auquel est connecté ce dernier. Un scénario qui risque d’arriver à chaque minute passée en télétravail. Car, il faut l’avouer, les conditions sont réunies pour. En effet, selon la firme de cybersécurité Barracuda Networks, Le courrier utilisé à des fins d’hameçonnage ont augmenté de plus de 667 %, une technique très courante, qui malgré les années et les sensibilisations, n’a pas perdu en efficacité. Seulement durant le mois de janvier, 12 milles attaques informatiques liées au coronavirus aurait été observées alors qu’en avril, ce nombre a grimpé à 380 000. « Les pirates ont profité de la détresse circonstancielle des gens pour opérer du phishing, tenter des fraudes, par exemple en prétextant d’offrir des masques pour se protéger du Covid, ou de donner de l’argent pour soutenir des hôpitaux. » notait Gwénaël Rouillec, directeur de la cybersécurité de Huawei France.

Face à la recrudescence de la cybersécurité, les responsables de sécurité des systèmes d’information ont été mobilisés ainsi que les firmes spécialisée dans la fourniture de solutions de sécurité. Car une chose est sûre et les spécialistes le savent, la portée réelle de la cybermalveillance en cette période est difficilement perceptible. De sorte que les conséquences risquent d’être plus terribles que l’on ne le pense. « On ne peut pas voir les retombées de ces incidents dans le futur car il y a toujours un temps entre la survenue de l’attaque et sa connaissance un peu plus tard, soit parce que, quand on vole des informations, on va les monétiser plus tard sur le darknet par exemple, et ce temps est plus long, soit parce que les entreprises ne sont pas capables de voir et comprendre ces incidents. » souligne le directeur de la BU Sécurité offensive et défensive de Openminded, Christophe Longuepez. En clair, c’est avec le temps que l’on pourra véritablement mesurer le niveau du risque que représente toutes ces actes des cybermalveillance. Mais le responsable de sécurité des systèmes d’information ont été promptent à se mobiliser. Et pour cause : « Les entreprises ont très fortement ouvert leurs systèmes d’information sur l’extérieur pour lever un certain nombre de contraintes et permettre à leurs collaborateurs de travailler en dehors de l’entreprise » soulignait Christophe Longuepez.

Toutefois, le souci majeur aujourd’hui de ces spécialistes, en particulier les responsables et les équipes de sécurité, est bel et bien le retour du télétravail. En effet, la récupération des données des ordinateurs qui ont servi durant le télétravail vers le parc informatique de l’entreprise ne sera pas une mince affaire, à cause du risque potentiel de contamination. Le délégué général du Cesin (Club des experts de la sécurité de l’information et du numérique), et Responsable de Securité des Systemes Informatiques du Groupe Caisse des Dépôts, M Alain Bouillé, s’interrogeait à ce sujet : « Comment faire pour récupérer en toute sécurité deux mois de données stockées sur des ordinateurs personnels ? C’est inenvisageable. Vous n’avez aucun contrôle sur les postes de travail : quelques-uns de mes confrères s’arrachent en ce moment les cheveux pour tenter de récupérer cette situation… ». Il fait partie des spécialistes qui pendant longtemps ont décrié le fait que des entreprises ont permis à leurs employés de travailler depuis chez eux avec des outils, à l’origine, personnels. Car pour lui : « Procéder ainsi sans prétentions d’un point de vue sécurité, c’est une catastrophe ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les systèmes informatiques isolées ciblés par le malware Ramsay

Selon les spécialistes de la société de cybersécurité américaine Eset, le programme malveillant Ramsay serait aujourd’hui très actif dans le monde.

Une étude menée par ces chercheurs ont prouvé que plusieurs instances de ce malware s’en prennent aux systèmes d’information qui sont déconnectés des réseaux classiques, en clair des systèmes informatiques isolés.

Cet article va aussi vous intéresser : Un programme malveillant inamovible sur un modèle de smartphone subventionné par l’État Américain

Apparemment, des composants de ce programme malveillant auraient permis d’implanter des scanners de réseau sur des machines afin de découvrir les sous-réseaux auxquels elles étaient connectées dans le but de les compromettre, en particulier ceux qui étaient vulnérables à la faille Eternalblue. « …certains composants de Ramsay ont implémenté un scanner de réseau destiné à la découverte de machines non connectés à Internet (Air Gap) mais connues dans le sous-réseau de l’hôte compromis qui sont sensibles à la vulnérabilité EternalBlue SMBv1. Ces informations seront contenues dans toutes les informations enregistrées que Ramsay recueille et peuvent être exploitées par les opérateurs afin d’effectuer ultérieurement des mouvements latéraux sur le réseau via un canal différent » expliquent les chercheurs de la firme de sécurité.

Ce rapport des chercheurs de ESET, met en évidence en quelque chose qui est beaucoup méconnue : le fait que même les système informatique d’entreprises déconnectés du réseau sont aussi ciblés par les cybercriminels, au même titre que ce qui fonctionnent habituellement sur les réseaux publics. L’outil utilisé dans le contexte présent est le programme Ramsay. Sa fonctionnalité particulière lui permet d’analyser, d’infiltrer le réseau isolé, identifier et collecter toutes les données contenues hébergées dans le système. ESET, dans un billet de blog a notifié qu’il existe plusieurs variantes de ce programme en circulation : « Nous avons initialement trouvé une instance de Ramsay dans VirusTotal. Cet échantillon a été téléchargé du Japon et nous a conduits à la découverte d’autres composants et versions du framework, ainsi que des preuves substantielles pour conclure que ce framework est à un stade de développement, avec ses vecteurs de livraison toujours en cours de réglage fin ».

En outre, les chercheurs de ESET n’ont pas réussi à encore identifier les véritables cibles de Ramsay et ses variantes. Cependant, quelques victimes auraient été identifiées par la firme de cybersécurité. Sur ce point, elle préfère ne révéler aucun nom. Pour rassurer, ESET a signifié avoir mis à jour les vecteurs d’attaques utilisés par Ramsay et ses variantes. Parmis lesquels, la faille de sécurité CVE-2017-0199 qui permettait aux pirates informatiques d’injecter un programme de type Visual Basic malveillant dans un dossier ce qui permettait de camoufler Ramsay dans une image en format JPG. La seconde faille, permet d’usurper les privilèges d’un installeur de type 7zip. Et la troisième faille serait la vulnérabilité CVE-2017-11882. Selon les explications des chercheurs d’Eset, les variantes de Ramsay auraient pu être calées a des périodes précises tels que :

– le 24 septembre 2019, sans rootkit

– 8 mars 2020, avec rootkit et spreader

– 27 mars 2020, avec rootkit et sans spreader

« L’analyse des différents horodatages de compilation trouvés sur différents composants implique que ce framework est en cours de développement depuis fin 2019, avec la possibilité d’avoir actuellement deux versions maintenues sur mesure en fonction de la configuration de différentes cibles », précise la firme de cybersécurité.

À propos des mécanismes d’attaques basés sur Ramsay et leur nature, ESET indique : « L’architecture de Ramsay fournit une série de capacités de surveillance via un mécanisme de journalisation destiné à aider les opérateurs en fournissant un flux d’informations exploitables pour mener des actions d’exfiltration, de contrôle et de mouvement latéral, ainsi qu’en fournissant des statistiques comportementales et système globales de chaque système compromis ».

La société de sécurité explique que le programme Ramsay, au vu de ses composantes, aurait subi plusieurs modifications au fil des années. En étudiant les différents vecteurs d’attaque, la spécialiste en met en évidence le fait que les cybercriminels sont dans une approche plurielle, permettant d’essayer plusieurs éventualités tout en restant prudent. « Sur la base des différentes instances du cadre trouvées, Ramsay a traversé différentes étapes de développement, dénotant une progression croissante du nombre et de la complexité de ses capacités. Les développeurs en charge des vecteurs d’attaque semblent essayer différentes approches telles que les anciens exploits pour les vulnérabilités Word à partir de 2017 ainsi que le déploiement de trojans, indique ESET.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurité des télétravailleurs, une priorité qui doit encore le rester

La crise sanitaire que traverse le monde depuis près de 4 mois a eu un impact significatif sur plusieurs secteurs.

Si à l’origine certaines entreprises avait déjà établi un plan pour assurer leur cybersécurité depuis le début de l’année 2020, force est de constater que la majorité de ces programmes ont du mal à être respecté. Et plusieurs raisons justifient cela.

Cet article va aussi vous intéresser : Entre télétravail et sécurité informatique, les assureurs s’organisent

En effet depuis le mois de mars, plusieurs États ont opté pour un confinement général dans le but de réduire au maximum la propagation du virus. Ce confinement a contraint une grande partie des entreprises pas se diriger vers le travail à distance, pour ne pas stopper totalement leurs activités. Malheureusement cette transition cette transition s’est faite de manière un peu trop précipitée. Ce qui a rendu difficile la mise en place d’un ensemble de plateforme de sécurisation pour assurer la protection des échanges à distance lors du télétravail. « Lorsqu’ils ont préparé leur stratégie pour 2020, de nombreux services informatiques ont établi des plans généraux sur la transformation numérique et sur la façon dont le Cloud et les logiciels allaient pouvoir soutenir cet objectif. Aujourd’hui avec la crise Covid-19 ce n’est plus une option, il faut gérer le télétravail et les opérations à distance. La priorité est désormais d’accompagner le télétravail et de veiller à ce que tout se passe pour le mieux, notamment parvenir à assurer la mise à jour et la sécurité du parc informatique à un moment où l’équipe IT n’exerce qu’un contrôle réduit et sans accès physique aux équipements concernés. » explique le Directeur des technologies et de la sécurité de Qualys, Marco Rottigni.

Après un basculement un peu brusque, il a été observé une situation qui a été décriée comme étant très dangereuse pour la sécurité des entreprises. En effet, lors du télétravail, plusieurs collaborateurs de sont mis à utiliser des outils qui à l’origine avait un usage personnel. Cette transposition du cadre professionnel dans un cadre personnel était de nature, à exposer grandement les systèmes informatiques des entreprises. Tout simplement parce qu’un outil personnel avait sûrement servi et été généralement plus exposés aux cyberattaques, où l’a déjà été dans un passé.

En y exposant des informations professionnelles qui souvent sont confidentielles, le collaborateur et l’entreprise courent le risque de se faire intercepter. « Les collaborateurs qui travaillent à distance utilisent soit leurs équipements personnels, soit des systèmes fournis par leur employeur. Si la fourniture des équipements et de l’accès à Internet ne pose pas de réel problème, la gestion de l’aspect sécurité s’avère plus délicate. En préalable à tout télétravail, le service informatique doit veiller à appliquer les correctifs et les mises à jour sur les équipements et à déployer des logiciels de sécurité traditionnels tels que des firewalls et des applications antivirus. Cependant, l’apparition du coronavirus provoque deux changements de taille. D’une part, dans l’immédiat, ces actifs ne sont pas connectés au réseau de l’entreprise. Autrement dit, les ordinateurs portables et autres actifs ne sont plus protégés par le firewall de l’entreprise ou par d’autres technologies de sécurité périmétrique déployées de manière centralisée. Leur protection dépend donc uniquement des solutions de sécurité qui étaient déjà installées, ou pas. » décrivait Marco Rottigni.

La situation rendait presqu’impossible aux équipes IT des entreprises d’administrer convenablement les machines qui étaient impliquées directement dans le fonctionnement des activités de l’entreprise. Des machines qui étaient connectés au réseau sans être au préalable homologués. Pour ces derniers, dans un tel contexte, ils sont obligés, de faire confiance aux utilisateurs et aux collaborateurs quant au respect des protocoles de sécurité. Ce qui malheureusement n’est pas un pari gagné d’avance.

Le réseau de l’entreprise et les systèmes informatiques sont de ce point exposés à plusieurs vulnérabilités. Des vulnérabilités ne révèlent pas seulement de l’insouciance ou de la négligence des télétravailleurs. Par exemple, comment un responsable de système pourrait déployé facilement des mises à jour lorsque la majorité des des protocoles obligent la mise à niveau de manière physique des différents outils de collaborations utilisés en entreprise. « En cas de problème, le personnel informatique ne peut pas se rendre dans le bureau du collaborateur concerné comme il le ferait en temps normal. » mettait en évidence notre expert.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage