[Cyber] Revue de presse Semaine 16 _ 2023
Edito :
Bienvenue dans la revue de presse hebdomadaire dédiée à la cybersécurité. Comme actualité, on retiendra que les moyens de protection cyber classique sont remis en cause : les mots de passe peinent à rester robustes et les VPN seraient dépassés. Les RSSI manqueraient de moyens pour répondre à leurs obligations sans cesse accentuées. Et les satellites sont aujourd’hui en proie à des attaques cyber. Vaste programme.
Bonne lecture !
Cyberattaques :
22/04/2023 : Les Pages Jaunes canadienne ont été victime d’une attaque. Des copies de passeports, des cartes s’assurance sociale, d’états de compte et de permis de conduire auraient été volées.
23/04/2023 : Récit d’une attaque phishing à l’encontre des clients de Ledger, éditeur d’un coffre-fort inviolable pour Bitcoins. Pour ce faire, les attaquants, n’ont pas attaqué frontalement la solution : ils ont exfiltré la liste des clients, auxquels ils ont envoyé une campagne massive de mail prétextant une potentielle faille. Invitées à s’authentifier, les victimes sont alors basculées sur un site factice (legder.com au lieu de ledger.com). Une fois qu’elles ont rentré leur phrase de récupération, c’est terminé, elles ne reverront plus leur argent (« une transaction validée sur la blockchain n’est pas annulable »).
https://www.vanityfair.fr/article/cyberattaque-comment-des-geeks-ont-rafle-le-magot
24/04/2023 : Le port de Montréal a été la cible d’une nouvelle cyberattaque. Le site internet de l’administration portuaire aurait été paralysé pendant une heure.
25/04/2023 : le Groupe Cloutier, qui offre des services à plus de 1000 conseillers en sécurité financière à travers le Canada, a subi un incident de cybersécurité mi-février qui aurait entraîné la divulgation des informations personnelles de certain de ses clients.
Autres articles :
Les traditionnels mots de passe vont-ils être remplacés _ 12/04/2023 : pour freiner radicalement les ardeurs de l’IA, l’idéal est de composer un mot de passe combinant des lettres en minuscule et majuscule, des chiffres et des caractères spéciaux, sur un total de quinze caractères. Dans ce contexte, les grands acteurs de la tech se tournent vers le protocole d’authentification alternatif FIDO (Fast Identity Online). L’objectif de FIDO est de remplacer les mots de passe traditionnels par des méthodes d’authentification plus sécurisées telles que la biométrie (empreintes digitales, reconnaissance faciale, etc.) ou l’utilisation de clés de sécurité.
Le VPN va-t-il être remplacé ? _ Publié le 23/04/2023 : un éditeur proposerait une solution d’accès aux réseaux qui pourrait remplacer les technologies VPN traditionnelles. Plus sécurisée, cette solution embarquerait plus de solutions d’usage, y compris la VoIP (Voice over Internet Protocol) hébergée sur site. Elle permettrait une intégration avec un client SASE unifié 100% logiciel. Cela signifie que ce client est une solution de sécurité basée sur le cloud qui peut être installée sur un appareil, tel qu’un ordinateur portable ou un smartphone, sans avoir besoin d’un matériel dédié. A suivre.
https://itrnews.com/articles/198398/avec-ztna-next-netskope-entend-ringardiser-les-vpn.html
Quelles leçons tirer de l’expérience de US Colonial Pipeline ? _ Publié le 24/04/2023 :
- Gestion des comptes – Les comptes doivent être supprimés sans délai lorsqu’ils ne sont plus utilisés.
- Gestion des mots de passe – Les mots de passe doivent être robustes, les anciens mots de passe ne doivent pas être réutilisés et le même mot de passe ne doit pas être utilisé sur différents systèmes.
- L’accès à distance à l’environnement OT doit être évité ou, si nécessaire, effectué via un canal d’authentification multi-facteurs sécurisé.
- Un plan de continuité des activités et un plan de reprise après sinistre doivent être en place et testés périodiquement pour s’assurer qu’ils sont robustes et efficaces.
- Les réseaux doivent être séparés entre l’IT (technologie de l’information) et l’OT (technologie opérationnelle).
- Appliquer le principe de Security by Design avec la mise en œuvre des contrôles de sécurité dès les premières étapes d’un projet.
- La conception de vos systèmes hérités doit être examinée, et tous les contrôles requis doivent être mis en place avec une approche par les risques.
Les services financiers sous le feu des hackers selon Akamai _ Publié le 20/04/2023
Le rapport d’Akamai Technologies met en évidence une augmentation de 3,5 fois des attaques contre les applications et les API dans le secteur financier de la région EMEA. Les attaques DDoS ont également touché le secteur financier, arrivant en deuxième position des secteurs les plus touchés. Le secteur du commerce électronique a été le plus touché par les attaques sur les applications Web et API, tandis que le secteur des jeux vidéo a été le plus ciblé par les attaques DDoS.
https://www.informatiquenews.fr/les-services-financiers-sous-le-feu-des-hackers-selon-akamai-93322
Le difficile chiffrement en entreprise _ Publié le 20/04/2023 : Intéressant article de la part d’un éditeur qui aborde la question de la systématisation du chiffrement des données au sein des entreprises et des organisations. Bien que le chiffrement soit une méthode efficace pour protéger les données sensibles, moins de la moitié des entreprises en France appliquent systématiquement des mesures de chiffrement. L’article explique certaines entreprises se tournent vers des solutions de chiffrement natif, mais il est primordial de garder le contrôle des clés d’accès pour assurer la sécurité des données.
Arnaques aux SMS frauduleux et IMSI-catchers dans les rues de Paris _ Publié le 23/04/2023 :
La justice française enquête depuis plusieurs mois sur une arnaque inédite, avec des centaines de milliers de cibles bombardées de messages frauduleux attribués à l’assurance maladie ou contactées par de faux conseillers bancaires. Les pirates ont recruté conducteurs pour circuler dans Paris avec un IMSI-catcher. Il s’agit d’un dispositif électronique qui émule une antenne de réseau GSM pour aspirer les données de téléphones connectés, incluant les métadonnées.
Même les téléphones chiffrés ne sont pas à l’abris d’être piratés par…la police _ Publié le 23/04/2023 : L’article évoque plusieurs opérations policières qui sont parvenues à accéder au contenu des messages échangées entre criminels via des téléphones chiffrés. Ces derniers se sont laissé piéger par une protection insuffisante, qui leur donnait un faux sentiment de sécurité et les incitait à se confier plus librement. On retiendra qu’aucune technologie ne remplacera des bonnes pratiques en matière de confidentialité.
Des données clients dans des routeurs vendus d’occasion _ Publié le 24/04/2023 :
Avant de jeter ou de vendre un routeur d’occasion, il est important de supprimer toutes les données sensibles, y compris les identifiants, les configurations VPN, les clés cryptographiques, etc. Cela peut être fait en réinitialisant complètement l’appareil aux paramètres d’usine ou en utilisant un logiciel de suppression de données.
https://www.datasecuritybreach.fr/routeur-fuite-lea-donnees/
Entrée en vigueur de la loi LOPMI _ Publié le 24/04/2023 : Pour rappel, cette loi impose aux personnes morales de nouvelles conditions pour bénéficier d’une indemnisation en cas de sinistre cyber : les entreprises et professionnels doivent, entre autres, signaler l’incident dans les 72 heures pour pouvoir bénéficier de leur contrat d’assurance.
Employeur et Administrateur réseau et sécurité, à qui revient la faute en cas de faille de sécurité? _ Publié le 25/04/2023 :
Dans un contexte prud’hommal, l’article rappelle que la responsabilité de la sécurité appartient à l’employeur. La faute du responsable informatique peut être établi en certaines circonstance seulement. En l’espèce, l’entreprise n’avait pas mis à sa disposition les moyens nécessaires pour remplir ses obligations en matière de sécurité informatique.
On peut mettre cet article avec celui de Global Security Mag qui évoque une étude selon laquelle « 96 % des RSSI ont du mal à obtenir le soutien nécessaire pour être résilients face aux cyberattaques ». A méditer.
Les jeux olympiques se prépare contre les cyberattaques par le biais de Red teaming _ Publié le 25/04/2023 :
Atos, chargé de la cybersécurité des Jeux et sponsor du Comité international olympique (CIO), déploie tous les moyens classiques pour repérer les vulnérabilités : hackers éthiques, tests de pénétration, « bug bounty » (chasses aux bugs), simulations d’attaques et surveillance du Darkweb pour voir si des groupes cybercriminels évoquent les JO.
Maintenant, on peut hacker des satellites (ou presque) _ Publié le 25/04/2023 :
L’article démontre la nécessité d’une cyber résilience avancée, appliquée à l’environnement très spécifique des satellites. Lors de l’événement CYSAT dédié à la cybersécurité dans l’industrie spatiale, l’ESA a organisé une simulation de piratage éthique sur son nanosatellite de démonstration OPS-SAT. L’équipe de cybersécurité offensive de Thales a réussi à identifier des vulnérabilités pour perturber le fonctionnement du satellite. Cette première mondiale permettra de renforcer la sécurité du satellite et des applications associées pour mieux protéger les données sensibles et assurer la pérennité des programmes spatiaux.
On peut mettre en perspective cette nouvelle avec la révélation du Financial Times selon laquelle, la Chine construirait des cyber-armes sophistiquées afin de « prendre le contrôle » de satellites ennemis en cas de guerre, de brouiller les signaux de données ou d’altérer la surveillance.
Comment allier le Zero trust aux besoins des collaborateurs _ Publié le 26/04/2023 : La stratégie Zero Trust consiste à ne faire confiance à aucun utilisateur, périphérique ou application, et à vérifier systématiquement chaque accès aux ressources informatiques en fonction de l’identité, du contexte et du niveau de risque. On constate que des mesures Zero Trust trop drastiques au quotidien risquent de générer des réactions négatives des employés, qui peuvent tenter de les contourner et ainsi créer de nouveaux problèmes de sécurité. Pour la déployer, les entreprises doivent comprendre le quotidien de leurs salariés, former ces derniers, pour les placer au centre du processus.
La force d’un mot de passe en question _ Publié le 25/04/2023 : Hyve Systems rappelle que craquer un mot de passe par brute force n’est qu’une question de temps et de capacité. L’intelligence artificielle, combinée aux dernières cartes graphiques, permet de générer beaucoup de calculs et ainsi, de craquer des mots de passe faibles quasi instantanément. Pour avoir un mot de passe suffisamment robuste, il doit faire entre 14 et 16 caractères en combinant des lettres majuscules et minuscules, des chiffres et des symboles variés. Les mots de passe les plus critiques doivent être changés tous les 3 mois. Pour que cette mesure technique soit effectivement appliquée dans une organisation, il convient de mettre en place une politique de mot de passe validée par la direction, de sensibiliser les collaborateurs et de leur mettre à disposition des coffres-forts de mots passe dont la gestion est centralisée.
https://www.it-connect.fr/en-2023-combien-de-temps-faut-il-pour-craquer-un-mot-de-passe/
Les PME doivent se mettre à la page _ Publié le25/04/2024 : L’article rappelle que les PME sont devenues une cible privilégiée pour les cybercriminels, car elles accusent un retard important en matière de sécurité de l’information. Parmi l’ensemble des mesures conseillées (MFA, sauvegarde, mise à jour logiciels, EDR etc.), l’auteur évoque la sensibilisation des salariés qui sont en première ligne face aux attaques.
