Cybersécurité - Innovations digitales et numériques

Ce botnet scanne les adresses IP de systèmes acceptant les connexions Remote Desktop Protocol (port 3389) et lorsqu'un service RDP est identifié, BrutPOS tente de se loguer à ces PC avec des noms d'utilisateurs et des mots passe appartenant à une liste prédéfinie. « Certains de ses noms et mots de passe indiquent que les attaquants recherchent des marques spécifiques de systèmes de terminaux de points de ventes tel que Micros », ont fait savoir les chercheurs de FireEye dans un blog.

Dans les deux cas, l’objectif est de renforcer les offres des acheteurs sur le segment APT : pour améliorer la détection des attaques dans le cas de Morta et aider à leur résolution dans celui de Mandiant. Lors de ces attaques, les pirates cherchent à extorquer des informations stratégiques aux entreprises, comme un carnet de clients ou des brevets. Le tout sans se faire voir. « Si les attaques DDoS sont visibles puisque les infrastructures tombent, les APT essaient de se faire le plus discret possible » ajoute Arnaud Cassagne, directeur technique de la société de services Nomios.

« La sécurité informatique n’est pas une science exacte et aucune organisation n’est à l’abri d’un incident de sécurité, parce que la protection absolue est devenue totalement inaccessible. En tant qu’assureur spécialiste, notre rôle est de permettre à l’entreprise de travailler sur un transfert de ces risques spécifiques face à des conséquences stratégiques pour la survie de l’entreprise », conclut François Brisson.

Le réseau d'une entreprise serait visé 229 jours par an en moyenne par des cyber-criminels. Et dans la plupart des cas l'investigation numérique nécessaire pour mesurer l'ampleur de l'intrusion s'avère coûteuse et complexe. Et les entreprises qui ne sont pas équipés d'outils d'investigation réseau adaptés risquent de ne jamais savoir avec certitude quelles données ont été subtilisées et selon quel mode opératoire.

Le plus grand défi pour l’entreprise reste encore l’insuffisance de sensibilisation de l’ensemble des personnels face à l’ingéniosité des cyber-délinquants et au caractère protéiforme des cyberattaques. Notre principale recommandation à l’attention des DSI et des RSSI est de s’assurer qu’ils disposent bien d’une politique de sécurité connue de tous et dont l’application doit être régulièrement contrôlée et auditée. Il est également recommandé aux DSI et aux RSSI de s’assurer qu’ils ont bien mis en œuvre les « 40 règles d’hygiène informatique » disponible sur le site de l’ANSSI.

 

L’ANSSI met également à la disposition des DSI et RSSI un ensemble d’autres guides et recommandations qui sont très accessibles y compris aux TPE permettant de sécuriser les postes de travail et les serveurs, mais également la messagerie ou encore les liaisons sans fil dans l’entreprise.

« Je pense que les solutions de protection des terminaux de nouvelle génération ne sont pas aussi matures que les outils de FireEye. Et souvent, les clients cherchent juste à établir un budget pour déployer une solution comparable. Mais ils s’aperçoivent souvent qu’ils ont alors besoin de solutions pour le réseau et pour les terminaux capables de fonctionner en tandem », indique Holland. Et d’ajouter qu’il est « absolument nécessaire d’avoir une certaine coordination entre les contrôles de sécurité du réseau et les contrôles de sécurité des terminaux ».

L’éditeur américain FireEye, spécialiste des environnements virtuels de détection des menaces, va faire son entrée sur le marché des appliances de détection d’intrusion (IPS, intrusion prevention systems), concurrençant des spécialistes du domaine comme Cisco ou Palo Alto Networks. La firme annonce prévoir le lancement de ses premiers produits, les MVX-IPS, au milieu de l’année. Disponible en bêta, le produit sera proposé comme un ajout à la plate-forme de prévention d’intrusion (série NX). L’éditeur américain explique arriver sur ce marché avec une nouvelle approche, répondant aux lacunes actuelles des IPS : leur technique de détection basée sur des signatures et inadaptée aux nouvelles menaces ainsi que leur propension à émettre un trop grand nombre d’alertes.

La détection de cette vulnérabilité intervient 2 jours seulement après l'ajout dans le Patch Tuesday d'un bulletin critique corrigeant 24 failles dans IE, dont 15 visées IE10. Le code de l'attaque, précise FireEye, était hébergé sur un site compromis basé aux Etats-Unis. La société souligne qu'il s'agit d'une attaque classique de contournement par téléchargement. Elle s'appuie sur un ActionScript Flash, le langage script d'Adobe, pour leurrer l'outil de sécurité ASLR (address space layout randomization) de Windows.

Cela bouge vite dans le domaine de la sécurité, et, en particulier, dans le domaine de l’analyse préventive des attaques dite APT (Advanced Persistent Threat). Juste quelques jours après le rachat de Mandiant par FireEye dans une opération estimée a 1 milliard de dollars, Palo Alto met la main sur Morta Security, une start-up californienne qui travaille dans le même domaine que Mandiant.

Pourquoi, où et comment peut se produire une cyber-attaque sont les questions que les grands groupes doivent se poser avant toute crise, et non après. Friands de services flexibles « en cloud », ils sont néanmoins plus conscients que la sécurité informatique constitue un volet indissociable de leur stratégie de gestion des risques. Et puis les conséquences économiques d'une cyber-attaque sont loin d'être négligeables. Selon une étude réalisée par B2B International et Kaspersky Lab, un incident sérieux affectant un grand groupe coûte en moyenne 650 000 dollars. Pire : l'impact d'une attaque réussie serait de 2,4 millions de dollars en pertes financières et coûts additionnels. La perte de confiance des consommateurs constitue aussi un réel danger. Le 18 décembre, 40 millions de cartes bancaires appartenant aux clients du géant de la distribution américain Target étaient compromises. En cause : une faille qui a permis aux hackers d'accéder aux codes PIN de ces cartes. Le chiffre d'affaires de Target a accusé une baisse de 4 %...