Flux RSS

Inscrivez-vous

Selon PWC, 4 bonnes pratiques améliorent vraiment la sécurité

61% des entreprises françaises ont connu un incident relatif à la sécurité informatique en 2011 selon une étude du cabinet PWC, contre 39% en 2010. Le niveau de confiance des entreprises dans leur sécurité passe en trois ans de 87% à 55%. Tous les domaines sont touchés par une croissance forte de l'insécurité : 20% estiment avoir subi des pertes financières (contre 15% en 2010 et 8% en 2008), 17% se plaignent de vol de propriété intellectuelle (6% en 2008) et 13% des atteintes à l'image (6% en 2008). La situation est plutôt meilleure en France que dans le reste du monde, ceci dit.



Selon le cabinet d'audit, quatre bonnes pratiques divisent par deux les risques observés. Mais seulement 13% des entreprises (11% en France) les appliquent toutes les quatre. Tout d'abord, il s'agit de définir une stratégie de sécurité de l'information au lieu d'une simple politique technique de sécurité informatique. La différence résulte surtout de la volonté d'utiliser la technologie au lieu de la subir.

La deuxième bonne pratique est liée à la mise en place de la stratégie : il s'agit pour les dirigeants d'être en relation directe avec les experts afin d'être informés autant des risques que des opportunités afin de prendre les bonnes décisions. Le rattachement de la sécurité au Top Management n'existe que dans 47% des cas. Ce point est jugé comme le plus critique par 25% des entreprises, juste après le manque de moyens budgétaires (27%). Les RSSI préfèrent citer le manque de compréhension et de vision par la direction des enjeux et l'excès de complexité des SI comme sources des problèmes (respectivement : 37% et 30%).

Bien entendu, la stratégie de sécurité doit être révisée régulièrement. Dans son troisième point, PWC préconise une revue annuelle afin de s'assurer que les risques du moment sont bien couverts. Enfin, mais ce dernier point devrait peut-être se situer en premier, il s'agit d'être en mesure d'identifier les incidents, leurs causes et leurs conséquences afin de prendre les décisions adéquates.

Sources externes d'incidents

La France considérait ses relations externes habituelles (par opposition à des pirates inconnus ou des collaborateurs) plutôt moins sévèrement que le reste du monde en 2009. La tendance s'est aujourd'hui inversée. Ainsi, les clients n'étaient identifiés en 2009 comme une source de menace que dans 6% des cas en France (contre 10% dans le monde), 5% pour partenaires et fournisseurs (8% dans le monde). En 2011, 17% des entreprises, autant en France que dans le monde, accusent les clients et 17% en France les partenaires et fournisseurs contre 15% dans le monde.

Dossier Sécurité : les nouvelles menaces à la porte des entreprises

NSS Labs fournit un outil contesté de détection de Duqu

Le scan mis au point par NSS Labs utilise des techniques de reconnaissance de structure avancées et a été créé spécialement pour pister Duqu, ce bout de code de malware qui mobilise l'attention de l'industrie de la sécurité toute entière depuis quelques semaines. Beaucoup d'experts pensent que Duqu est étroitement lié au ver Stuxnet, découvert l'an dernier, qui avait montré ses capacités en matière de sabotage industriel. Les techniques d'attaque utilisées par Duqu et même le code, présentent des similarités avec le ver, qualifié comme le malware le plus sophistiqué de tous les temps.

Jusqu'ici, la communauté de chercheurs en sécurité a établi que Duqu infectait les systèmes en exploitant une vulnérabilité non corrigée dans le noyau Windows via des documents Word, que celui-ci avait une architecture modulaire comportant un « outil de dissimulation d'activité » ou « rootkit » se comportant comme un pilote de système, et qu'il ciblait certaines organisations dans le but d'exfiltrer des informations sensibles. « Nous espérons que cet outil va nous permettre de découvrir des vecteurs supplémentaires de Duqu, d'en savoir davantage sur la manière dont ils fonctionnent, sur leurs capacités, et de connaître la vraie raison d'être du malware, » ont déclaré les ingénieurs du NSS Labs à l'origine du scanner Open Source dans un blog. Le laboratoire affirme que l'outil est capable de détecter les vecteurs de Duqu sans faux positifs et qu'il a même capté deux échantillons de code juste après sa mise en service.

Un outil peu efficace selon les éditeurs de solutions de sécurité

Costin Raiu, directeur de l'équipe de recherche et d'analyse chez Kaspersky Lab, a émis certaines réserves quant à la portée de l'outil de NSS Labs. « Il est utile, mais ses règles heuristiques sont trop réduites, » a-t-il estimé. Selon lui, tout outil heuristique capable de détecter les vecteurs de Duqu devrait également être en mesure de détecter le ver Stuxnet, en raison de la grande similitude entre les deux. Or cela ne semble pas être le cas avec le scanner de NSS Labs. « La menace est complexe, c'est pourquoi Kaspersky Lab ne propose pour l'instant aucun outil pour détruire spécifiquement Duqu, » a encore déclaré Costin Raiu. « D'autant qu'un simple outil de suppression ne serait tout simplement pas suffisant. Chaque cas d'infection doit être traité très sérieusement, et nous recommandons aux victimes de nous contacter immédiatement pour effectuer une analyse criminelle approfondie, » a-t-il ajouté. Selon l'expert en sécurité, « l'analyse des autres traces laissées par Duqu sur les systèmes infectés, en dehors des pilotes malveillants, est tout aussi importante, car elle peut fournir des renseignements sur l'objectif final des attaquants. »

Par ailleurs, Costin Raiu ne croit pas que la nature Open Source de l'outil de NSS Labs va permettre aux créateurs de Duqu d'échapper plus facilement à la détection. « Il est évident que les auteurs de Duqu et de Stuxnet ont, de toute façon, fait en sorte que leurs logiciels malveillants ne soient pas détectés au moment de l'attaque. Ils ont donc déjà contourné les détections, » a t-il fait valoir. « Open Source ou pas, ce ne sera pas un problème pour eux de recréer de nouveaux composants non détectables, » a ajouté le responsable de Kaspersky Lab. Son opinion est partagée par Mikko Hypponen, directeur de recherche chez F-Secure. «  Les créateurs de Duqu sont très forts. Ils n'auraient aucune difficulté à échapper à la détection de n'importe quel scanner, si ils le veulent, » a t-il dit.

NSS Labs propose non seulement son scanner gratuitement, mais aussi la rétro-ingénierie complète du code de Duqu et d'autres ressources. Néanmoins, le code ne sera disponible que pour les chercheurs qui prennent contact avec l'entreprise et satisfont à leur procédure d'admission.

Duqu : dans l'attente du patch, Microsoft livre un correctif partiel

Microsoft travaille sur un patch pour combler une vulnérabilité présente dans le moteur d'analyse de la police TrueType Win32k, un composant que l'on retrouve dans plusieurs systèmes d'exploitation Windows, et qu'un attaquant pourrait exploiter pour charger du code malveillant sur un ordinateur en mode kernel. Les chercheurs, qui surveillent de très près le malware, ont constaté qu'il pouvait être diffusé sous forme de document Microsoft Word envoyé en pièce jointe par e-mail. L'ouverture du document déclencherait l'attaque.

Les chercheurs du Laboratoire de Cryptographie et de la Sécurité du système (CrySys), situé en Hongrie, ont localisé un fichier d'installation pour Duqu et ont découvert qu'il utilisait cette faille jusqu'alors inconnue de Windows. La parade proposée par Microsoft se résume en quelques lignes de code qui fonctionnent comme une ligne commande d'administration. Microsoft a averti que l'installation de ces solutions de contournement pourrait altérer l'affichage dans certaines applications s'appuyant sur cette technologie de polices intégrées. Les solutions de contournement s'appliquent aux systèmes Windows XP, Windows Vista et Windows 7 ainsi qu'à différents produits Windows Server. Microsoft a également publié une solution rapide qui peut être téléchargée et appliquée automatiquement.

Un patch tuesday sans correctif pour Duqu ?

Microsoft doit normalement livrer ses correctifs mensuels ce mardi, mais il est probable que l'éditeur ne pourra pas corriger la vulnérabilité exploitée par Duqu d'ici là. L'éditeur publie occasionnellement des correctifs en dehors de son cycle de mise à jour pour des vulnérabilités importantes, mais n'a pas l'habitude de prévenir de leur date de sortie. «  Le développement d'un patch approprié pourrait prendre plusieurs semaines, » selon Costin G. Raiu, directeur de l'équipe de recherche et d'analyse de Kaspersky Lab. « Pour résoudre cette vulnérabilité, il faudra modifier le code du noyau, ce qui est très délicat et risqué, » a ajouté le responsable de Kaspersky Lab. « Les tests pour vérifier le bon fonctionnement des modifications apportées et la réalisation des patchs vont prendre beaucoup de temps, » a-t-il estimé. « La mise au point d'un patch « out-of-cycle » pourrait prendre au moins deux semaines, » a-t-il avancé. « Le patch sera sans doute prêt pour le mois prochain. Sauf si le bug est traité en ingénierie inverse et que d'autres malwares commence à l'utiliser, » a-t-il déclaré.

Duqu a été comparé à Stuxnet, même si certains rapports divergent pour dire si les deux bouts de logiciels malveillants sont liés. Stuxnet a fait preuve d'un certain niveau de sophistication de la part de ses créateurs qui ont réussi à l'introduire dans Windows en exploitant quatre vulnérabilités de type « zero day ». Celles-ci ont été exploitées activement avant que Microsoft ne s'en rende compte et qu'il ne soit en mesure de développer un patch. Duqu est également considéré comme un malware évolué : en effet, l'exploitation d'une faille au niveau du noyau lui permettrait de mieux échapper aux antivirus. Les experts en sécurité soupçonnent que Duqu a été mis au point pour mener des attaques ciblées contre certaines organisations. « Nous sommes conscients qu'il y a actuellement des attaques ciblées qui tentent d'utiliser cette vulnérabilité. Mais dans l'ensemble, nous constatons que l'impact auprès des clients est faible, » a déclaré Microsoft dans un communiqué jeudi soir.

Les infections progressent dans le monde

Néanmoins, il semble que Microsoft minimise le risque, car selon Symantec, des infections ont été détectées dans le monde entier, notamment en France, aux Pays-Bas, en Suisse, en Ukraine, en Inde, en Iran, au Soudan et au Vietnam. D'autres incidents ont eu lieu en Autriche, en Hongrie, en Indonésie et au Royaume-Uni. Chester Wisniewski, conseiller en sécurité senior auprès du vendeur de solutions de sécurité canadien Sophos, a écrit dans un blog que le « bug est assez sérieux. » Et selon lui, «  Microsoft ne va pas attendre trop longtemps pour mettre au point le patch permettant d'y remédier. »

Installer le correctif de Microsoft : http://support.microsoft.com/kb/2639658

Microsoft propose un correctif partiel contre Duqu

Duqu est un ver espion. Il profite d'une faille encore inconnue de Windows pour infecter les ordinateurs depuis un simple document Word corrompu. Dès lors, toutes les informations sensibles tapées au clavier (formulaires, mots de passes, comptes bancaires, etc.) sont enregistrées puis renvoyés sur des serveurs pirates.

Microsoft propose un correctif (Fix it 50792) à installer sur sa machine, en complément des dernières mises à jour de Windows. Il est censé éradiquer Duqu des fichiers Word infectés mais ne corrige pas encore la faille elle-même.

Nous développerons cette information dans un autre papier.

Installer le correctif de Microsoft : http://support.microsoft.com/kb/2639658

Recap IT : Facebook infiltré, iOS 5 va recharger les batteries, HP teste les charmes d'ARM

En cette semaine de Toussaint, à tout seigneur, tout honneur, place de choix à ce qui fait peur, effraye, donne des sueurs froides aux DSI, la sécurité. Et il faut avouer que l'actualité est encore riche en la matière. Le malware Duqu continue sa propagation selon Symantec, alors qu'un laboratoire de recherche hongrois explique que ce logiciel exploite une faille zero-day du kernel de Windows. Microsoft dit travailler dessus, mais le correctif n'est pas présent dans le traditionnel Patch Tuesday, disponible la semaine prochaine. On a appris aussi qu'un serveur du MIT avait été détourné pour compromettre plus de 100 000 sites web. Des chercheurs ont réussi à infiltrer Facebook grâce à des robots capables de collecter une grande quantité de données (250 Go). Même le système captcha utilisé par des sites très populaires a été trompé par des chercheurs. Les experts en sécurité tentent de trouver des parades et simulent des cyber-attaques comme cela a été le cas pour l'opération Cyber Atlantique 2011 avec des Européens et les Etats-Unis.

HP Slate rebondit, Gmail loupe son entrée sur App Store, iOS 5 va recharger les batteries

Même à la Toussaint, on ne meurt jamais complètement. HP a ainsi annoncé le lancement de sa tablette Slate 2 à destination des professionnels, quelques jours après avoir indiqué qu'il ne céderait pas son activité PC. De grands espoirs reposent sur Android 4, beaucoup de constructeurs de téléphonie mobile estiment qu'Ice Cream Sandwich devrait réduire la fragmentation de l'OS mobile de Google. Il lui reste quand même un peu de travail à accomplir quand on regarde le loupé de l'application Gmail sur iOS. A peine apparue sur l'App Store, l'appli a été retirée très vite par la firme de Mountain View en raison d'un bug technique. La grogne a été palpable aussi pour les utilisateurs d'iPhone 4S qui ont constaté une baisse substantielle de l'autonomie de leur terminal. En cause, un bug sur iOS 5 et plus exactement sur la gestion du fuseau horaire. Apple a pris en compte les récriminations et proposera un correctif sur la prochaine mise à jour de son OS mobile. La firme de Cupertino en profitera pour corriger aussi une faille de sécurité touchant l'iPad 2 et sa smart cover. Enfin, citons la volonté d'Ubuntu d'aller vers les tablettes et les smartphones dans les prochaines années.

HP teste des puces serveurs ARM, Sortie de VMware aux élections du JCP

Pour effrayer ses partenaires, rien ne vaut un petit tour chez la concurrence. HP s'est essayé au procédé en testant un serveur intégrant des puces Calexda qui sont basées sur l'architecture ARM. Pour autant, le constructeur ne tourne pas le dos à son partenaire Intel, notamment sur Itanium. HP a également annoncé cette semaine la nomination d'un nouveau DSI en la personne de Craig Flower.

Les élections au sein du comité exécutif du JCP (Java Community Process) ont été l'occasion de constater les forces en présence. VMware n'a pas été élu, mais reste contributeur Java avec SpringSource. Twitter et Azul System y font par contre leur entrée. Floraison

Simulation de cyber-attaques, Européens et Américains collaborent

Près d'une centaine d'experts en informatique de 16 pays européens et américains ont travaillé ensemble, dans le cadre d'un exercice de simulation, pour contrer des cyber-attaques d'envergure ciblant notamment des agences de sécurité et des centrales électriques de l'Union européenne.

L'opération Cyber Atlantique 2011, qui s'est déroulée hier, est le premier exercice conjoint mené par l'UE et les États-Unis en matière de cyber-sécurité. Deux scénarios ont été préparés. Le premier consistait en une attaque ciblée et furtive de type APT (advanced persistent threat) visant à soutirer des informations secrètes aux agences de cyber-sécurité des États membres de l'Union et à les diffuser. Les experts en sécurité de l'ENISA, l'agence européenne chargée de la sécurité des réseaux et de l'information, ont déclaré que ce type d'attaques pouvait tout à fait se produire dans la réalité. « Ce genre de menace est typique de ce qui pourrait arriver, même si l'exercice n'est pas fondé sur une situation particulière. Nous avons choisi des menaces qui nous paraissaient réelles. Et nous n'avons pas choisi des attaques faciles à repousser », a expliqué Graeme Cooper, le porte-parole de l'ENISA.

Attaques sur les productions énergétiques

La seconde simulation concernait la perturbation des systèmes de contrôle et d'acquisition de données (SCADA) dans les infrastructures de production d'électricité. Cette menace est prise très au sérieux par les autorités de l'UE, d'une part à cause d'allégations selon lesquelles le groupe de pirates Anonymous aurait tenté d'infiltrer les centrales françaises et suite également à l'attaque par le ver Stuxnet qui a endommagé les installations nucléaires iraniennes. Plus de 20 pays de l'UE ont participé à l'exercice, dont 16 activement. La Commission européenne a dirigé l'opération et le département américain de la Sécurité Intérieure a apporté son soutien aux équipes de sécurité mobilisées. L'un des objectifs était de voir comment l'UE et les États-Unis pouvaient se soutenir et coopérer en cas de cyber-attaques sur leurs infrastructures d'information critique. L'opération faisait également suite au premier stress test de sécurité informatique réalisé au niveau de l'Europe l'an dernier, Cyber Europe 2010.

Les enseignements tirés de Cyber Atlantique 2011 serviront de base pour planifier de futurs cyber exercices entre l'UE et les États-Unis. « Nous devons faire plus pour comprendre la façon dont les choses fonctionnent. Certes, nous nous sommes concentrés sur l'IT. Mais il reste des questions plus larges. Par exemple, que se passerait-il en termes de sécurité si des données sensibles étaient volées. Cela implique la sécurisation des systèmes informatiques et suppose une capacité à repousser les attaquants et les logiciels malveillants, » a déclaré Graeme Cooper.

Un serveur du MIT piraté compromet plus de 100 000 sites web

« Un serveur du MIT (CSH-2.MIT.EDU) héberge un script malveillant activement utilisés par les cybercriminels pour scanner le web à larecherche de sites vulnérables » explique les chercheurs de BitDefender dans un blog.

Le script en question recherche une faille située dans phpMyAdmin, un outil d'administration de bases de données très utilisé sur le web. Lorsque le programme trouve un serveur fonctionnant  avec phpMyAdmin en version 2.5.6 jusqu'à 2.8.2, il exploite une faille dans l'application et injecte un code malveillant dans les sous-niveaux de la base de données.

La porte-parole de BitDefender, Loredana Botezatu, estime que "cette campagne d'attaque a commencé en juin dernier et a touché plus de 100 000 sites web compromis jusqu'à présent."

Des outils pour automatiser une technique ancienne

Les chercheurs de l'éditeur pensent que ces attaques sont liés au "Blackhole Exploit Pack", l'un des outils les plus populaires de "drive-by download" utilisé par les pirates. Les internautes visitant les sites compromis sont redirigés vers des liens, des applis Java pour mettre à jour son navigateur ou des plug-in et le tour est joué.

BitDefender a déclaré qu'il avait essayé d'alerter le MIT sur cette faille de sécurité sur leur serveur, mais n'a reçu aucune réponse. Cependant, les chercheurs de l'éditeur ont constaté que le serveur est toujours actif, mais les sites ne sont plus attaqués. Les pirates préfèrent en général utiliser des serveurs des grandes organisations car les requêtes envoyées par eux parviennent à contourner certain filtrage. Le fait que ces serveurs disposent de ressources importantes, ainsi qu'une forte bande passante les rend attrayants pour les cybercriminels.
(...)

Duqu utilise une faille zero day dans le kernel de Windows

C'est au sein du laboratoire de cryptographie et de la sécurité des systèmes (CrySyS) de l'université de technologie de Budapest que des chercheurs ont découvert que le programme d'installation du ver Duqu utilisait une faille zero day dans le noyau de Windows. Ils ont également été les premiers à découvrir les différents composants de Duqu, comme le malware installé et la DLL qui infecte les ordinateurs.

« Notre laboratoire, en poursuivant l'analyse du malware Duqu, a identifié un fichier avec une faille zero day à l'intérieur du noyau de Windows » ont annoncé les chercheurs et d'ajouter « nous avons immédiatement fourni aux organisations compétentes les informations nécessaires, pour qu'elles puissent prendre des mesures appropriées afin de protéger les utilisateurs ».

Selon Symantec, dont les experts ont analysé les échantillons fournis par CrySyS, Duqu infecte des ordinateurs via l'ouverture d'un document Microsoft Word (. Doc) qui exploite une vulnérabilité zero-day de Windows. Les chercheurs de l'éditeur expliquent que « le document Word est conçu de telle manière qu'il cible parfaitement l'entreprise attaquée ». Les chercheurs de Symantec ont également fait d'autres découvertes intéressantes liées à la menace. Duqu est capable d'infecter les ordinateurs qui ne sont pas connectés à Internet en se copiant dans les dossiers partagés sur le réseau.

Microsoft a été alerté sur cette vulnérabilité et travaille actuellement sur un correctif. Cependant, les spécialistes de la sécurité sont sceptiques sur le fait que la faille soit corrigée lors du prochain Patch Tuesday. La firme de Redmond rappelle simplement aux utilisateurs de ne pas ouvrir des documents provenant de sources inconnues.

Un malware qui s'adapte et trouve refuge en Belgique

Le malware dispose d'un mécanisme de secours qui se déclenche quand il ne détecte pas une connexion Internet active, et télécharge des fichiers de mises à jour de configuration via d'autres ordinateurs infectés sur le réseau. « Duqu crée un pont entre les serveurs des entreprises et le serveur de commandes et contrôle (C&C). Cela donne aux pirates les moyens d'infecter des zones sécurisées à l'aide d'ordinateurs situés en dehors de cette zone et utilisés comme proxy », précise Symantec.

Autre découverte importante, un serveur C&C a été localisé en Belgique. C'est la première fois qu'un serveur a été identifié après la fermeture de celui en Inde. Cela confirme les soupçons que celui qui est derrière ce malware suit les évolutions des enquêtes et s'adapte en fonction.

Jusqu'à présent, Symantec confirme des infections en France, Pays-Bas, Suisse, Ukraine, Inde, Iran, Soudan et Vietnam, tandis que d'autres éditeurs ont signalé des incidents en Autriche, Hongrie, Indonésie et Royaume-Uni. Duqu opère donc à l'échelle mondiale.