“FIC2018”

Cybersécurité 2017 : les apparences sont trompeuses !

0

Les premiers six mois de l’année se sont déjà écoulés et 2017 s’avère être un vrai défi sur le plan de la cybersécurité. ITrust partage avec vous son bilan semestriel des principales attaques et risques informatiques auxquels se sont confrontées les organisations.

En janvier, la cible est derrière le clavier

Le début d’année a été marqué par une forte croissance des attaques ciblant le secteur hospitalier. Le 13 Janvier, Barts Health Trust, le plus grand conglomérat d’hôpitaux publics en Angleterre, comportant un effectif de plus de 15,000 employés, a subi une attaque par ransomware ayant engendré la fermeture temporaire de son système informatique. Une enquête post-attaque a déterminé que seulement une part minoritaire du conglomérat aurait mis en place un antivirus pour contrer les cyber-menaces, le budget informatique étant très limité.

Leçon N°1 : Les retards provoqués par un incident informatique peuvent faire la différence 
entre la vie et la mort dans un domaine comme la santé. Prioriser la sécurité informatique 
d’un organisme de santé signifie prioriser la sécurité physique des patients.

 

En février, vos imprimantes ne sont pas épargnées

Alors que l’an dernier, nous étions principalement préoccupés par deux menaces : les rançongiciels et les attaques DDoS via les botnets IoT, 2017 voit l’aube des piratages hybrides. Il faut savoir que cette nouvelle tendance en matière de cybercriminalité porte le surnom de « jackware ». En d’autres mots, c’est un type de rançongiciel plus avancé, visant exclusivement les composants IoT. Pour tenter de sensibiliser au danger dormant, un gray hat surnommé Stackoverflowin a réalisé le plus grand piratage d’imprimantes connectées. En effet, début février, 150 000 imprimantes HP, Brother, Canon ou Epson ont commencé à imprimer toutes seules des dessins bizarres suivis d’un conseil simple : sécurisez votre machine.

Leçon N°2 : Aujourd’hui il s’agit d’une attaque ciblant 150 000 imprimantes, qu’est ce qui nous 
dit que d’ici peu, ce nombre ne sera pas de l’ordre du million ? Pour protéger les imprimantes 
connectées à Internet, il suffit de vérifier qu’elles puissent être accessibles depuis l’extérieur 
uniquement au travers d’un protocole sécurisé.

 

En mars, tweeter n’est pas une bonne idée

Le 15 mars, des milliers de comptes Twitter ont été piratés dans une opération menée par des hackers turcs pro-Erdogan. Le Ministère de l’Economie et des Finances en France, Alain Juppé, Amnesty International, le magazine Forbes, ainsi que des milliers d’autres comptes Twitter anonymes ont vu leur fil d’actualité se remplir de messages contre certains pays européens : « Allemagne et Hollande nazies ». Pour s’infiltrer, les pirates ont ciblé tous les utilisateurs de Twitter Counter, un service payant d’analyse de l’audience sur Twitter qui demande des autorisations d’écriture lors de l’installation.

 

Leçon N°3 : Ce n’est pas la première fois qu’un piratage massif sur les réseaux sociaux se 
produit. C’est pourquoi il est fortement conseillé de changer régulièrement vos mots de passe 
et même d’activer la double authentification. Révoquer les autorisations des applications que 
vous ne connaissez pas sur l’ensemble de vos comptes sur les réseaux sociaux est 
également une bonne habitude à prendre.

En avril, tous le monde est en péril

Le rançongiciel est déjà un outil très efficace en lui même. De manière traditionnelle, il infecte les ordinateurs via un courrier indésirable ou un site Web compromis, pour ensuite chiffrer les fichiers de la victime et demander une rançon. En 2017, les créateurs de ransomwares ont décidé que ce modèle d’affaires n’était plus suffisant. Toujours dans l’optique d’augmenter leurs revenus, tout en réduisant leurs coûts, les pirates informatiques les plus expérimentés ont décidé de démocratiser leurs outils et de les rendre disponibles à tout individu désirant entrer dans les cercles vicieux du Dark Web. Voici comment le Ransomware-as-a-Service (RaaS) Satan a fait son entrée en scène.

Leçon N°4 : Pour la plupart de gens, il n’y a pas de différence entre les attaquants qui s’en 
servent des outils RaaS et ceux qui développent leurs propres rançongiciels. C’est pourquoi 
c’est avant tout de notre responsabilité de continuer à appliquer les meilleurs pratiques et 
rester vigilants à tous vecteur d’attaque utilisé par les ransomwares, quel que ce soit son 
origine.

 

En mai, il faut peut-être assumer

Depuis le 12 mai, plus de 3.000.000 ordinateurs dans 150 pays ont été touchés par l’infâme ransomware WannaCry lors de la plus grande opération de cyber-extorsion à ce jour. Renault, Vodafone, FedEx, ministère de l’Intérieur russe, la Deutsche Bahn ou encore les NHS se sont fait pirater dans cette vague de cyber-attaques sans précédent. Cependant, la manière dont WannaCry s’est propagé soulève de nombreuses questions en ce qui concerne le niveau global de sécurité des entreprises. Le ransomware a notamment décollé grâce à l’exploitation d’une vulnérabilité présente sur les systèmes Windows (MS17-010). Initialement un exploit développé par le fameux groupe Equation, la faille surnommée EternalBlue concerne l’implémentation du protocole SMB (Server Message Block).

Leçon N°5 : L’ampleur de l’attaque est une surprise et une grande déception, vu que la faille 
était déjà connue (voir ici le Bulletin Windows dédié). En effet, les pirates responsables ont 
visé principalement les entités n’ayant pas installé leur correctif. Si seulement les entreprises 
avaient défini une politique de mise à jour des systèmes de leurs employés…

 

En juin, un ransomware sort du commun

Un mois après l’attaque du ransomware WannaCry, une variante du malware Petya (découvert en 2015) s’est diffusée à très grande vitesse à partir du 27 juin. Contrairement à ce que nous avions dit dans notre précédent article, Petya s’est avéré être un faux rançongiciel qui utilise le mode opératoire d’un ransomware comme façade. En effet, Petya chiffre les donnes des utilisateurs en utilisant une clé de chiffrement aléatoire, ce qui rend impossible la récupération de la clé de déchiffrement. Par conséquent, les pirates récupèrent l’argent et détruisent ensuite vos fichiers. C’est ce que l’on appelle un « wiper » (en français, virus destructeur).

Leçon N°6 : Les failles de sécurité continuent à faire de ravages. En effet, le malware Petya s
’est propagé à l’aide de la vulnérabilité EternalBlue, qui a également servi comme rampe de 
lancement pour l’affaire WannaCry. Cependant, la morale de l’histoire est : « Dupe-moi une 
fois, honte à toi ? Dupe-moi deux fois, honte à moi ! ».

 

Avant de conclure, il faut reconnaître que, sauf quelques exceptions, le premier semestre 2017 reste sous le signe du ransomware. Les vulnérabilités négligées sont souvent la première porte d’entrée pour les cybercriminels lançant ce type d’attaque

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply