Archives par mot-clé : système informatique

L’attaque par credential stuffing

Le credential stuffing est un acte de cybermalveillance qui consiste en débourrage d’identifiant dans le but de porter atteinte à un système informatique.

Comme on le sait, un certain nombre de sites Web propose des espaces d’authentification. Ces espaces d’authentification sont sujets généralement à des attaques informatiques. Le bourrage d’identifiants est l’une des menaces le plus répandue dans ce secteur.

Cet article va aussi vous intéresser : Que savez-vous du Hijacking (détournement de session) ?

1 – Comment se manifeste cette attaque ?

Elle se réalise lorsque l’espace d’authentification proposé par un site web par exemple reçois de façon soudaine une très forte affluence avec énormément de requêtes envoyées à destination des serveurs chargés de l’authentification des clients ou des utilisateurs.

Une telle attaque informatique peut avoir pour conséquence des dégâts importants au niveau du serveur de l’entreprise ciblée. Au-delà de l’aspect informatique, cela peut occasionner aussi une mauvaise réputation et des pertes financières sévère. Concernant les personnes victimes directement c’est-à-dire les utilisateurs, ils peuvent se voir dérober et leurs données personnelles avec les usages malveillants que cela peut comporter.

2 – Comment les pirates informatiques s’y prennent pour réaliser cette attaque ?

D’abord, pour débuter leur attaque informatique les pirates informatiques doivent disposer d’une certaine quantité d’identifiants et de mot de passe. Des données qui peuvent récolter lors de précédentes violation de données ou des fuites tout simplement.

Lorsque les cybercriminels récupèrent ces informations, ils vont utiliser des robots pour tenter différents types de connexion avec les données récolter. Cette action est beaucoup plus facile lorsque le site ne dispose pas d’une méthode de vérification pour distinguer les utilisateurs humains d’un robot.

Avec cette vague de connexions aléatoires, il arrive souvent que les pirates informatiques puissent se connecter à certains comptes en ligne. Et lorsqu’il est réussissent sur ce coup, ils changent automatiquement les identifiants des comptes qu’ils ont réussi à pirater. L’utilisateur se voit alors empêcher d’accéder à son propre compte. Compte qui sera utilisé pour réaliser d’autres accéder cybermalveillance tel que des achats en ligne ou des tentatives d’escroquerie.

La différence entre le bourrage d’identifiants connu sous la dénomination de credential stuffing et l’attaque par force brute, le premier se sert donne ensemble d’identifiant présent dans un dictionnaire qui ont déjà existé ou qui existent.

3 – Comment prévenir et se protéger ?

Tout d’abord il faut comprendre comment fonctionne exactement l’attaque informatique, ensuite il faudra mettre sur pied au sein de votre organisation cellule de crise pour gérer ce genre d’incident. De plus il est recommandé de faire l’analyse régulière des journaux d’accès et de bloquer tous les flux suspects. Enfin,

« Dans le cas d’une attaque par credential stuffing, l’analyse des journaux peut, par exemple, montrer des requêtes générées de façon automatique, depuis des plages d’adresses IP suspectes, par un outil essayant d’obtenir un accès non légitime. L’utilisation d’un système de limitation (rate limiting), permet de limiter tout ou partie du volume du trafic réseau en fonction de divers éléments, comme l’IP source. Durant la phase d’attaque, la cellule peut prendre la décision de baisser la limite du flux pour les IP provenant des zones identifiées comme suspectes. La mise en place d’un CAPTCHA est également possible pour limite les flux suspects. », explique la Commission Nationale de l’Informatique et des libertés.

En fait, il est recommandé de déployer une méthode de connexion / authentification multifacteur et de mettre en place une mesure de contrôle pour déterminer si l’utilisateur qui tente de se connecter êtes un humain ou un robot. À l’instar :

– des CAPTCHA ;

– un couple identifiant et mot de passe où l’identifiant n’est pas basé sur un message texte type SMS ou l’adresse courriel de l’utilisateur ;

– une authentification biométrique ;

– un texte référence.

4- Que faire lorsqu’on est victime de credential stuffing ?

Dans la mesure où vous êtes victimes déjà de cette attaque informatique, il est recommandé entre autre :

– d’informer les utilisateurs concernés par de potentielles violations de données ;

– De notifier automatiquement l’incident informatique à la Commission Nationale de l’Informatique et des libertés ;

– la victime « peut également déposer une plainte auprès des autorités compétentes (police, gendarmerie). Il est important que le responsable de traitement dispose de toutes les informations techniques, notamment les journaux d’accès, afin de pouvoir les communiquer aux enquêteurs. », comme l’explique la CNIL sur son site internet.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Qu’est-ce qui rend les systèmes informatiques de santé difficile à protéger ?

Aujourd’hui la protection des systèmes informatiques des services de santé pose un réel problème.

Et cela dans un contexte où nous pouvons observer librement la multiplication des attaques informatiques dans le secteur. La question n’est plus de savoir pourquoi ces attaques augmentent de plus en plus. On doit juste pas chercher à comprendre Ce qui rend aussi vulnérable les systèmes informatiques des établissements de santé ? Est-ce dû à quelques complications liées intimement au secteur ? La question est juste posée. Les spécialistes les spécialistes tablent là-dessus.

Cet article va aussi vous intéresser : Les recommandations de l’Union Européenne pour la protection des hôpitaux contre les attaques informatiques

« La sûreté, qui consiste à lutter contre les défaillances et les erreurs, et la sécurité, qui vise les attaques délibérées, sont aujourd’hui traitées comme des activités distinctes. Or, dans le domaine de la santé où les données sont bien souvent confidentielles, il s’agit de concepts étroitement liés, en particulier depuis la mise en œuvre du RGPD. Faute de solutions idéales, il faut alors se contenter de compromis imparfaits. », explique LEIF Nixon, expert en sécurité informatique chez Sectra Communications. « Les accès aux bases de données ont ainsi été strictement limités aux seules personnes authentifiées via une procédure sécurisée. Mais l’urgence médicale s’accommode mal des verrouillages d’écran et autres mots de passe oubliés. D’où la mise en place de dispositifs de type « bris de glace » permettant de contourner le contrôle d’accès normal en cas d’urgence, voire de solutions plus pragmatiques consistant à placer la souris d’ordinateur à l’intérieur d’un agitateur pour empêcher l’activation du verrouillage d’écran. » précise le spécialiste.

La nature des systèmes informatiques des établissements des santés est tripartite. Le fait qu’elle se constituent à trois niveaux aggrave sa complexification. Il se détaille comme suit :

– Le premier niveau est destiné typiquement à la gestion des tâches quotidiennes de bureautique. Cette partie ne fait pas l’exclusivité pour le système de santé. Donc la pratique Générale peut aider à l’améliorer

– Quand au second niveau, il est beaucoup misé sur les dispositifs médicaux. « Beaucoup contiennent des ordinateurs intégrés dont les mises à jour ne sont plus supportées par le fabricant. Les placer dans des réseaux entièrement isolés peut alors empêcher les personnels d’accéder à leurs données médicales depuis un poste distant, ce qui peut être problématique pour assurer la continuité des soins ou échanger avec des opérateurs tiers. » explique notre spécialiste.

– Quant au troisième niveau, il n’est pas très bien connu il faut l’avouer.  C’est à ce stade qu’on parle de système de contrôle et d’acquisition de données. Un système qui gère l’ensemble des aspects plus ou moins vital de l’établissement à savoir l’électricité, le chauffage, la ventilation… S’il est certain que cette partie est plus que vitale pour l’établissement, elle généralement négligée voir mis de côté lors de la définition de la sécurité informatique du système dans son ensemble. Pourtant il n’est pas à l’abri des attaques informatiques dont les conséquences peuvent s’avérer dramatiques. On pense par exemple à un rançongiciels qui pourrait faire stopper le fonctionnement de la ventilation ou même de l’électricité lors d’une opération chirurgicale par exemple, mettant alors en danger les patients sur le coup.

« À cette complexité technique s’ajoute un véritable dédale règlementaire. Par exemple, en ce qui concerne le système de distribution d’oxygène médical, la responsabilité des canalisations physiques revient à l’installateur, tandis que celle du produit médical est du ressort d’un professionnel de santé. L’industriel n’est pas en reste, la règlementation imposant la mise en place d’un service interne de sécurité pour les gaz sous pression. À qui incomberait alors, en dernier ressort, la sécurité informatique ? Ce manque de clarté dans les chaînes de responsabilité augmente les risques et complexifie la mise en œuvre d’une politique de sécurité informatique cohérente. » note Leif Nixon.

Malheureusement selon plusieurs approches techniques, on ne peut pas résoudre tout ce problème avec une solution universelle. Car il en existe pas. Il faudra alors procéder par étape et être patient. À ce propos, Leif Nixon souligne : « Trouver des solutions efficaces sera long et nécessitera une étroite collaboration entre toutes les parties prenantes. Les fabricants d’équipements médicaux doivent s’efforcer d’améliorer la sécurité de leurs produits, les tutelles doivent tenter d’établir une coopération internationale efficace, et les établissements de santé doivent s’attacher à renforcer leur sécurité de manière continue et progressive. »

Cyberattaques : faut-il combien de temps pour les pirates informatiques pour s’infiltrer et déployer un rançongiciels dans un système informatique

Pour toute franchise, la lutte contre la cybercriminalité et la sécurité informatique de notre côté est une question de temps et de promptitude.

Il suffit de quelques minutes de retard pour que les conséquences soient plus dramatiques qu’on ne pourrait l’imaginer. Selon une étude réalisée par la Société Britannique de cybersécurité Sophos, les pirates informatiques peuvent rester en moyenne non dissimulé dans un système informatique pendant environ 11 jours avant d’initier leur cyberattaque ou d’être détectés. Que ce soit dans le cadre d’une attaque au rançongiciel ou tout autre acte de cybermalveillance, 11 jours est amplement suffisant pour le pirate informatique afin d’agir comme bon leur semble.

Cet article va aussi vous intéresser : Les entreprises sont de plus en plus confrontées à des attaques sophistiquées

Selon l’étude fournie par la société britannique, 81 % des incidents informatiques liés à la sécurité qui ont exigé un délai court pour les cybercriminels ont été essentiellement des rançongiciels. Pourtant le délai court des attaques informatiques signifie dans un certain sens que l’acte de cybermalveillance est assez perturbateur des données.

« Pour replacer les choses dans leur contexte, 11 jours offrent potentiellement aux attaquants environ 264 heures pour des activités malveillantes, comme par exemple le mouvement latéral, la reconnaissance, le dumping d’informations d’identification, l’exfiltration de données, etc. Si l’on considère que certaines de ces activités ne prennent que quelques minutes ou quelques heures à mettre en œuvre, 11 jours offrent aux attaquants beaucoup de temps pour faire des dégâts », peut-on lire dans le rapport de la Société Britannique intitulé « Active Adversary Playbook 2021 ».

Heureusement que la majorité des attaques informatiques que la société Sophos a eu à traiter sont généralement des attaques fondées sur des logiciels de rançons. Au-delà du sempiternel rançongiciels, nous avons :

les chevaux de Troie bancaires

– les vols de données les minages de cryptomonnaie

– l’utilisation de logiciel de test de pénétration ou encore les effaceurs de données.

L’étude a prouvé que l’utilisation très répandue des attaquants du protocole de bureau à distance c’est-à-dire le RDP pour Remote Desktop Protocol représente 30 % des attaques.

À ce sujet les spécialistes de la Société Britannique précisent dans leur rapport : « Le RDP a joué un rôle dans 90 % des attaques. Toutefois, la manière dont les attaquants ont utilisé le RDP mérite d’être soulignée. Dans les incidents impliquant le RDP, il n’a été utilisé pour un accès externe que dans 4 % des cas. Environ un quart (28 %) des attaques ont montré que les attaquants utilisaient le RDP à la fois pour l’accès externe et le mouvement interne, tandis que dans 41 % des cas, le RDP était utilisé uniquement pour le mouvement latéral interne au sein du réseau », notent les chercheurs de Sophos.

Le phishing quant à lui représente 12 % des points d’entrée des cybercriminels. Les autres formes d’attaque informatique représentent 69 %.

Pour conclure, la cybersécurité est beaucoup plus une question de temps. 11 jours en moyenne pour que des puissent détruire toute une vie de travail.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les rançongiciels prolifèrent

Selon les informations qui circulent, la société américaine Colonial Pipeline aurait finalement accepté de payer la rançon exigée par les cybercriminels qui ont pris d’assaut leur système informatique.

Un titre de rappel, signifions la société américaine a été piratée par les cybercriminels du groupe DarkSide.

Malheureusement payer les rançons n’est pas quelque chose exclusive Colonial Pipeline. Beaucoup trop d’entreprise le font.

Cet article va aussi vous intéresser : Rançongiciels : les systèmes informatiques Canadiens sont vulnérables

Colonial Pipeline aurait payé une rançon de 5 millions de dollars pour reprendre le contrôle de son oléoduc, piraté par les hackers du groupe DarkSide. En Suisse aussi, des entreprises paient pour récupérer leurs données. Témoignage

« C’est un établissement financier basé à Genève. Il s’est fait attaquer par des pirates informatiques. Et nous nous préparons à leur payer une rançon », explique le directeur d’une société genevoise du nom de ZENdata, présente dans le secteur de la sécurité informatique. L’entreprise va donc céder au chantage des cybercriminels. Exactement comme l’Américain Colonial Pipeline qui aurait versé durant cette semaine, l’énorme somme de 5 millions de dollars aux cybercriminels pour qu’ils puissent libérer son système informatique.

Malheureusement ce sont des exemples qui démontrent honnêtement que la cybercriminalité est en train de proliférer et gagner du terrain.

Du côté de l’entreprise américaine, clairement sont et que l’objectif était tout simplement de restaurer son système informatique dans le cadre de la relance des activités de l’oléoduc. Cela à n’importe quel prix. Selon les informations qui circulent dans plusieurs médias américains, les pirates informatiques n’ont pas hésité à fournir la clé de déchiffrement lorsque l’entreprise a finalement cédé à payer la rançon exigée. Pourtant du côté de la police fédérale américaine, il ne fallait pas payer cette somme exigée car il allait être de nature à encourager les pirates informatiques à continuer dans leur lancée. Mais du côté de la responsable chargée de la sécurité informatique de la maison Blanche, Anne Neuberger, le point de vue est assez nuancé : « Nous reconnaissons cependant que les entreprises sont souvent dans une position difficile si leurs données sont cryptées et qu’elles n’ont pas de sauvegardes et ne peuvent pas les récupérer ».

De son côté, le spécialiste de la cybersécurité Stephen Meyer affirme : « Les pirates de DarkSide – ou leurs sous-traitants –, suspectés par Washington d’être proches de Moscou, ont donc réussi leur coup. Ils ont montré qu’ils étaient des criminels fiables, en déverrouillant l’accès aux ordinateurs après versement de la rançon. Le paiement des rançons renforce les hackers. Cela valide le fait que leur approche est bonne. Et cela leur fournit des fonds pour faire de la recherche et du développement et recruter des talents. » à l’instar d’une entreprise en normal.

Quand la société Genevoise a été interrogée sur les raisons qui la motive à payer la rançon des Cybercriminels, « C’est un calcul assez simple à faire, affirme le spécialiste en cybersécurité. L’établissement financier a estimé que payer une rançon serait plus rapide et beaucoup moins coûteux que d’accepter la perte de données, car le pirate a réussi à détruire les sauvegardes. C’est regrettable, mais c’est ainsi: il est souvent plus rationnel de payer. », le responsable chargé des négociations avec les cybercriminels. Les pirates informatiques auraient exigé au départ le versement de la somme de 50 000 francs. Suite à des négociations, ces derniers se sont contentés de la somme de 15 000 francs. Le risque était assez énorme mais selon Steven Meyer, « Ils nous ont prouvé leur « bonne foi » en nous redonnant, pour l’exemple, l’accès à deux fichiers, les hackers ont tout intérêt à se montrer fiables s’ils veulent recevoir l’argent. ».

Comme dans de nombreux cas, Les transactions de ce genre sont effectuées en crypto monnaie. Pour assurer le maximum d’anonymat possible. « Cette entreprise n’est de loin pas un cas isolé. Ces derniers mois, plusieurs entreprises suisses nous ont contactés après que leurs systèmes ont été paralysés par des ransomwares. Et dans certains cas, les sociétés ont choisi de payer, parfois des montants plus importants, de plusieurs dizaines de milliers de francs », signifie Steven Meyer.

Suite à un récent rapport publié par le Centre national pour la cybersécurité liste dans les entreprises frappées par les cybercriminels au cours de l’année, Le porte-parole du centre déclare « Comme pour presque toutes les cyberattaques, les attaques par ransomware se produisent par vagues. De manière générale, on peut dire que les cyberattaques accompagnées de demandes d’extorsion, y compris les attaques par ransomware, ont augmenté ces dernières années ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciels : les systèmes informatiques Canadiens sont vulnérables

Le 7 mai dernier, le gazoduc Américain Colonial Pipeline Co a été durement touché par une attaque de type rançongiciels.

L’ampleur de l’attaque a rappelé aux autorités à quel point ce fléau est une réalité à ne pas négliger et surtout qu’il était temps de déployer suffisamment de moyens. Il est donc temps pour les autorités de se mobiliser.

« J’ai le sentiment que nous sommes gravement vulnérables, et cette attaque est un canari majeur dans la mine de charbon », a signifié Christian Leuprecht, un chercheur en sécurité et défense à l’Institut Macdonald Laurier, lors d’une entrevue à IT World Canada.

Cet article va aussi vous intéresser : Les hôpitaux Canadiens et Américains ciblés par une vague d’attaque informatiques d’ampleur

On rappelle que lors de l’attaque informatique qui a touché le pipeline américain, toutes les activités liées au gazoduc ont été immédiatement interrompues. L’objectif était bien sûr de contenir les attaques informatiques. Ce qui a drastiquement ralenti les activités en imaginant sur de long terme les conséquences.

Selon une enquête préliminaire, l’attaque a été facilité par de nombreuses mauvaises pratiques réalisé au niveau de la sécurité du pipeline. Les cybercriminels auraient donc réussi à copier près de 100 giga octet de données en seulement 2 heures. Et cela avant même de lancer officiellement l’attaque informatique.

Au regard cette situation, il semblerait que les Canadiens soient aussi vulnérables que le sont les Américains. Les vulnérabilités qui ont permis aussi des criminels de pouvoir s’infiltrer facilement dans le système informatique du pipeline américain peuvent-être répandu et présente partout. Malheureusement comme l’observe Christian Leuprecht, le gouvernement canadien n’a pas pour priorité la sécurité informatique des systèmes d’information. On peut voir cela en tout simplement observant le budget et les ressources à louer à ce secteur au niveau des infrastructures pouvant être jugées critiques du Canada.

« Dans le système fédéral, l’un des domaines où nous sommes profondément vulnérables est la coordination avec le secteur privé, mais aussi avec les gouvernements provinciaux et municipaux, explique le chercheur, qui souligne que les rançongiciels sont sans doute la menace de cybersécurité la plus prolifique qui existe aujourd’hui. Tous possèdent des éléments d’infrastructure critiques. Une bien plus grande prise de conscience est donc nécessaire au niveau politique du défi et des risques que les cyberattaques représentent pour notre sécurité, notre prospérité et notre démocratie. », explique notre expert.

Interrogé sur la question, le porte-parole du CST, (sécurité des télécommunications) déclarait en ces termes :  le Centre « se concentre chaque jour sur la fourniture de conseils et d’orientation en matière de cybersécurité aux Canadiens et aux entreprises canadiennes, y compris les partenaires des infrastructures essentielles, afin de mieux se protéger. »

« Le CST et son cyber centre continuent de surveiller régulièrement et de partager de manière proactive les informations sur les menaces avec les entreprises canadiennes, les partenaires gouvernementaux et les intervenants de l’industrie. Cela comprend un travail en collaboration avec des partenaires de l’infrastructure critique en partageant des conseils et des conseils personnalisés, y compris des informations spécifiques sur les cybermenaces. Au fur et à mesure que les tendances émergent, nous avons régulièrement des appels avec les parties prenantes de l’industrie pour nous assurer qu’elles restent au courant de l’évolution des menaces. Ces efforts de sensibilisation comprennent un bulletin sur les cybermenaces importantes et toujours actives sur les rançongiciels modernes et son évolution. Nous avons également émis des alertes cybernétiques sur diverses menaces de rançongiciels, ainsi que des publications sur la façon de prévenir. », a-t-il ajouté.

Lors de l’évaluation 2020 des menaces cybernétiques, il a été marqué que les attaques informatiques et la cybercriminalité dans son ensemble sont susceptibles de porter atteinte à l’intérêt matériel est mort des Canadiens. L’évaluation a aussi démontré que les attaques de type rançongiciels s’en prendront à toutes ‘entreprises au Canada les années à venir.

Les structures qui seront les plus touchés sont généralement celles qui touchent les secteurs essentiels. On parle notamment :

– des finances ;

– de l’alimentation ;

– de l’énergie ;

– de la santé :

– de la fabrication ;

– les infrastructures gouvernementales.

Le gouvernement canadien affirme surveiller de près l’ensemble de ces secteurs grâce à un programme spécialement dédié à la sécurité des infrastructures. Ce programme serait piloté par le ministère des richesses naturelles pour ce qui concerne le secteur de l’énergie. On rappel qu’en 2018, le programme reçois comme subvention de l’État près de 2,24 million de dollar américains deux façons supplémentaire pour un programme sur 5 années. L’idée bien sûr et de soutenir le secteur privé pour qu’il améliore leur cybersécurité et la résilience de leurs systèmes d’information.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage