Parad’IT : Cybercriminalité en entreprise

30 août 2009

Tous les professionnels de la sécurité sur Internet s’accordent sur le fait que les menaces en provenance d’Internet ne cessent de s’accroître depuis le début de l’année. D’abord, le rapport 2009 sur la sécurité de Sophos. L’éditeur de solutions de sécurité fait état de la recrudescence des attaques ayant presque doublé depuis juin 2008 : 22,5 millions de malwares différents, une nouvelle page infectée découverte toutes les 3,6 secondes, 89% des courriers professionnels étant du spam. Ensuite, G Data qui, quant-à lui, a identifié 663 952 programmes malveillants pour le 1er semestre 2009… Sans compter la part majeur que prennent les réseaux sociaux dans le danger du web pour les sociétés, principaux acteurs de la montée de la cybercriminalité en entreprise !

Qu’est-ce que la cybercriminalité ?

Il s’agit de l’ensemble des activités criminelles commises par, avec, ou au moyen des nouvelles technologies de l’information, généralement un système informatique relié à un réseau. Il existe plusieurs définitions, les plus communément admises étant celles de l’Organisation pour le développement et la coopération économique (OCDE) « tout comportement illégal ou contraire à l’éthique ou non autorisé, qui concerne un traitement automatique de données et, ou de transmissions de données ». et celle de l’Organisation des Nations unies (ONU) « tout fait illégal commis au moyen d’un système ou d’un réseau informatique ou en relation avec un système informatique ».

Les faits constitutifs :

  • TIC outil : Spam, Phishing, vol de données, social engineering, fraude, usurpation d’identité, pornographie, pédopornographie, cybersquatting…
  • TIC cible : Attaque par déni de service (DOS), Logiciels malveillants : malware, spyware, virus, ver, cheval de Troie…

Quels dangers pour les entreprises ?

  • On parle principalement de la perte, de la détérioration ou du vol de données. Dommage considéré comme étant celui qui coûte le plus cher, car il est souvent difficile d’évaluer la valeur d’une données.
  • L’utilisation des réseaux sociaux comme vecteurs d’attaques du réseau ou du parc informatique de l’entreprise. (Exemple de Twitter, Facebook ou MySpace pour diffuser des logiciels malveillants)
  • L’usurpation d’identité et la fraude nuisent gravement à la réputation d’une entreprise, notamment la contrefaçon de marque et le cybersquatting.

Quelles sont les solutions à préconiser par les entreprises ?

  • Une solution de protection totale (anti malware, antispyware, antiphishing, anti spam…). Les solutions actuellement adoptées par la majorité des entreprises et plus ou moins efficaces sont celles d’éditeurs tels que Check Point Software, numéro un mondial des pare-feux, McAfee, Kaspersky Lab, F-Secure, Trend Micro
  • Tous bons logiciels qu’ils soient ils comportent des failles. Il faut donc les assortir d’une politique de sécurité à respecter, la principale menace venant de l’intérieur. Ne pouvant pas empêcher les salariés d’utiliser les réseaux sociaux, au moins en contrôler les accès et l’utilisation, éviter de cliquer sur des liens suspects…
  • Utiliser des outils de cryptage et chiffrement des données, mettre en place un système de classification, verrouiller les dossiers clés présents sur les ordinateurs à l’aide d’un mot de passe, faire régulièrement des backups (sauvegardes).
  • L’éditeur de solutions de sécurité RSA a l’intention de sortir une console capable d’harmoniser les différentes politiques de sécurité, l’Information Risk Management (IRM) qui sera combinée à la suite RSA DLP. Cette solution permettra de tracer, classifier, et protéger l’information, ainsi que surveiller tout élément suspect non conforme aux politiques de sécurité. Avec par un exemple un processus d’authentification pour accéder aux données sensibles, ou encore le chiffrage automatique de données.

Avez-vous d’autres astuces ou techniques afin d’éviter aux entreprises d’être la cible des cybercriminels ?

Publicités

Le mois de Parad’IE

26 août 2009

Ils ont la une des médias, des blogs et de nos flux le mois dernier et méritaient une attention particulière !

Au centre de l’actualité :

  • Le patriotisme à l’indienne : afin de protéger les réseaux de télécommunications sensibles, leurs positions et leurs installations ne pourront être connu que des personnels indiens. Cette initiative a pour objectif de contrer le risque d’espionnage craint par le gouvernement.
  • L’Allemagne, comme une grande partie de l’Europe est victime de l’espionnage chinois. Ces derniers cherchent à récupérer des renseignements dans différents domaines où les pays occidentaux sont en pointe. Ils ne s’intéressent plus seulement à la Recherche&Développement mais également au marketing.

Dans le reste de l’actualité :

  • Microsoft est interdit de commercialiser ses produits Word, suite à la condamnation par un juge texan de contrefaçon. La plainte de la société canadienne, titulaire du brevet depuis 1998, risque d’embêter sérieusement le géant américain car elle concerne ses versions 97, 2003 et 2007, ainsi que 2010.
  • Google Maps accusé d’abus de position dominante. C’est la situation dans laquelle une entreprise profite de sa clientèle, de la faiblesse de ses coûts pour affaiblir voir anéantir toutes formes de concurrence.
  • Les suggestions de Google et le danger d’être trop repéré. En effet, Le Post a mis en évidence la proposition du plus grand des moteurs lorsque l’on tape Sarkozy. Cette suggestion assez horrible il faut bien le dire, fait suite à un buzz du Journal Le Monde. Le problème est que, cette information circule toujours et continue d’être exploitée. Les entreprises doivent donc être conscientes du danger. Ce qui est écrit sur Internet, vrai ou faux d’ailleurs, va être utilisé, réutilisé et cela longtemps après, constituant un risque permanent pour la réputation de l’entreprise.
  • Twitter est également dans la tourmente. Victime de nombreuses attaques informatiques, le réseau social va bientôt affronter la justice pour violation de brevets, suite à la plainte initiée par la société TechRadium.
  • Parad’IE reprend l’information diffusée par Actulligence et vous conseille de lire attentivement les quelques pages mises en ligne par les services de renseignements canadiens sur les méthodes d’espionnage économique.
  • L’enquête sur l’espionnage qui a eu lieu à la Deutsch Bank, il y a quelques semaines continue de faire parler : entre enquête sur certains cadres, démission de tête de pont…
  • Le chantage : nouvelle forme d’attaque lucrative sur le net. L’exemple de Twitter les semaines passées semblent se multiplier et les solutions pour prévenir ce type d’attaques sont minces ou couteuses (dixit Fortinet sur RTL Belgique)
  • Fuite de données au PSG. La saison n’avait pas commencé que le PSG faisait déjà parlé de lui. En effet, pendant quelques jours sur le site, il était très facile d’accéder aux emails envoyés aux abonnés du club et mettant en avant un certain nombre de données personnelles facilement utilisables par des pirates.

Les chiffres du mois :

  • 5506 : C’est le nombre d’interceptions administratives effectuées en France en 2008. Réalisé par la DCRI et la DNRED, « Leur objectif vise à détecter toute atteinte à la sécurité nationale, à prévenir les visées terroristes ou certaines affaires d’intelligence économique » (Claudine Guerrier).
  • Suite à leurs articles, netPME publient plusieurs chiffres :
  • Cambriolage en baisse

En 2008 en France, 70 280 cambriolages ont visé des locaux industriels, commerciaux ou financiers, soit une baisse de 12,77 %. Une tendance qui semble devoir se confirmer sur les premiers mois de l’année 2009. Toutefois, ces chiffres prêtent à discussion puisque certains malfaiteurs incendient l’entreprise qu’ils ont cambriolée, ce qui entraîne une classification en incendie.

En 2008, 3 502 vols à mains armés contre des établissements industriels et commerciaux ont été enregistrés, soit une hausse de 20,47 % par rapport à 2007.

  • Vols sur chantiers

En 2008, 17 645 vols ont été comptabilisés sur les chantiers, soit une hausse de 3,72 % par rapport à 2007.

  • Rio Tinto ou, quand les accusations d’espionnage s’inversent. Cette fois c’est la Chine qui accuse Le groupe australien d’espionnage. Le préjudice pourrait être salé (102milliards de dollars)

Le dossier du mois :

  • Le dossier du mois est proposé par NetPME. Et il dit en substance : entreprises, profitez de la fin de l’été pour redéfinir votre sécurité. Il présente les problématiques majeures (Contrôlez les accès / Contrôlez vos stockages extérieurs et intérieurs/ Vérifiez vos installations électriques / Ne tentez pas les rôdeurs / Associez les pompiers à la prévention), proposent différentes solutions et l’attitude à avoir vers les différents acteurs. A lire absolument !

La citation de Parad’IE

21 août 2009

« Pour moi, la copie, c’est le succès. Il n’y a pas de succès sans copie et sans imitation ! » Coco Chanel

Le 21 juillet dernier, les agents de la brigade de surveillance du port du Havre ont procédé à la saisie de 1 2 384 contrefaçons d’articles de parfumerie de marque , lors du contrôle d’un conteneur en provenance des Émirats Arabes Unis et à destination de Trinité et Tobago. La valeur totale de la marchandise est estimée à plus de 400 000 € .
Sur ciblage préalable, les douaniers ont procédé au contrôle d’un conteneur renfermant 225 colis de parfumerie pour un total de 6,8 tonnes. A l’ouverture du chargement, les agents ont immédiatement soupçonné le caractère contrefaisant de certaines marques.
La fouille approfondie a permis la saisie de 12 384 contrefaçons d’articles de parfumerie dont notamment 4464 déodorants et flacons d’eau de toilette Drake et 5328 déodorants et flacons d’eau de toilette Adore.
Les marques « DIOR » et « GUY LAROCHE » ont confirmé le caractère contrefaisant des marchandises saisies.
En 2008, la douane française a procédé à la saisie de 6,5 millions de contrefaçons pour une valeur estimée à près de 467 millions d’euros .

Source : http://www.douane.gouv.fr/page.asp?id=3804


Parad’IT : la sécurité des données en entreprise

16 août 2009

La sécurité des données en entreprises est un sujet récurent revenant fréquemment ! Parce que… TRÈS important. Entre la perte ou le vol des outils de travail (ordinateur portable, PDA, téléphone mobile, clé USB…), les virus et autres pathologies informatique, … la vulnérabilité ne cesse de s’accroître.

En cause :

Face à cela, nombreux sont ceux qui proposent de nouvelles solutions et de nouveaux projets, ayant pour but soit de protéger les données de l’entreprise, soit de protéger le réseau, le parc informatique et le SII de l’entreprise. Citons par exemple :

  1. Microsoft Office Isolated Conversion Environnement (MOICE) : permet d’ouvrir des documents Office suspects de manière sécurisée.
  2. Microsoft Security Update Guide : livre blanc permettant aux entreprises d’évaluer les risques d’intrusion, de faille, et de vulnérabilité afin de les aider à déterminer les mises à jour adaptées.
  3. Project Quant : projet (en version d’évaluation depuis juin 2009) qui permettra aux entreprises d’ajuster leur politique de sécurité à leurs besoins et à leurs ressources
  4. Microsoft Office Visualization Tool (OffVis) : logiciel d’audit  capable de détecter et détruire les vulnérabilités et les attaques visant les documents Microsoft office en « .doc », «  xls », « .ppt »…
  • Un nouveau modèle d’ordinateur Fujitsu : qui sera équipé d’un Personal Handy Phone System (PHP) pouvant être commandé par téléphone pour supprimer les données qui y sont stockées. Ces informations seront effacées sans possibilité de les récupérer même si l’ordinateur est éteint.
  • La centralisation du contrôle sur un serveur externe : initiative des groupes Hitachi et NEC grâce à laquelle les machines accèdent directement aux informations par le biais d’un client.

Avez-vous déjà été utilisateur d’une de ces solutions ? Si oui N’hésitez pas à nous en parler et nous faire part de vos impressions (forces, faiblesses, avantages, inconvénients).


Parad’IE cite le texte ! Karachi

13 août 2009

Karachi et son attentat ont refait surface dans l’actualité des dernières semaines. Derrière la troublante affaire politico-militaire, une jurisprudence sur la responsabilité des chefs d’entreprises a vu le jour et mérite quelques explications.

  • Le rappel des faits :

Le 8 mai 2002, 14 personnes, dont 11 français employés par la direction des constructions navales (DCN), sont tuées dans un attentat. Ces expatriés avaient été envoyés au Pakistan pour construire le sous marin de type Agosta.

Une voiture piégée a explosé contre le bus qui transportait ses salariés sur le site de construction.

Les familles des victimes ont engagé une action en responsabilité contre la direction de la DCN.

  • La jurisprudence « Karachi »

La décision rendue par le tribunal affaire de sécurité sociale en 2004 est sans appel : « Il est indifférent que la faute inexcusable commise par l’employeur ait été la cause déterminante de l’accident et qu’il suffit qu’elle en ait été une cause nécessaire pour que la responsabilité de l’employeur soit engagée et ce, alors même que d’autres fautes auraient concouru à la réalisation du dommage. »

Cette décision marque une obligation pour l’entreprise de sécurité vis-à-vis de ces salariés. Á cette obligation de sécurité s’ajoute surtout une obligation de résultats. Dans l’affaire de Karachi, ce qui est principalement reproché à l’entreprise est de ne pas avoir informé les salariés des dangers de la situation politique au Pakistan. Désormais les entreprises doivent mettre tout en œuvre pour protéger les citoyens français de ce « risque professionnel malveillant » et les avertir des risques inhérents à leur profession.

Cet attentat a en effet été assimilé à un risque professionnel et donc à un accident du travail. En effet, comme le soulignait Jean Louis Sepluchre, consultant chez C3S, « lorsque l’action malveillante vient attenter à l’intégrité physique ou morale du salarié, le risque  malveillant devient risque professionnel ».

  • Actualités :

Les entreprises françaises sont plus que jamais soumises à cette obligation. Dans le cadre de la mondialisation, ces sociétés s’exportent bien. Mais face à la montée du terrorisme et de la piraterie, elles s’exposent à de nouveaux risques à prendre en considération. Á Karachi, ce n’est pas la DCN qui était directement visée mais l’État français, son image et son patrimoine.

Les entreprises nationales implantées uniquement dans l’hexagone ou en Outre Mer ne doivent pas se sentir à l’abri de tous risques. Les attentats ont déjà frappé sur le sol français, et nos voisins étrangers témoignent que ces attaques peuvent toucher un pays européen. Et puis ce ne sont pas les seules firmes sensibles qui peuvent être victime de tels actes.

Qu’en serait-il d’une prise d’otages de salariés d’une banque ? Que faire dans le cas d’une explosion intentionnelle d’une usine produisant des produits toxiques ? La jurisprudence serait elle identique si une entreprise était victime de la vague d’attentat de l’ETA ?

Prudence est mère de sûreté !


Parad’IT : Réseaux sociaux et piratage

9 août 2009

Encore une preuve frappante ce jeudi du manque de sécurité des réseaux sociaux : une attaque par déni de service plante Facebook, Twitter et quelques autres sites de Google.

L’objectif de ces cyberattaques était à l’origine de censurer un bloggeur Géorgien utilisateur de ces plateformes communautaires pour militer en faveur de la Géorgie contre la Russie. Ainsi, une attaque simultanée contre Twitter, Facebook, LiveJournal, et Youtube a eu lieu. Plusieurs hypothèses : une attaque par Bootnets (PC zombies) orchestrée soit par le gouvernement Russe, soit par des activistes Russes. Ce qui n’est pas sans rappeler l’histoire de l’attaque de l’ordinateur du Président Georgien par déni de service il y a un an.

Une attaque par déni de service ou denial of service (DOS) a pour but de mettre hors ligne d’un serveur. Il s’agit pour le pirate de multiplier les requêtes serveurs afin de saturer la machine et de la rendre muette. Il peut y avoir plusieurs ordinateurs à l’origine de cette attaque, on parlera alors de « déni de service distribué » (DDOS). Lors de l’attaque les 3 géants ont conclu à une attaque par déni de service. Pour le co-fondateur de Twitter Biz Stone, les données utilisateurs n’auraient pas été altérées, Google considère quant-à lui, que ses «systèmes ont empêché que l’impact soit substantiel».

Ce n’est pourtant pas la première fois que Twitter se fait pirater !!! En juillet la direction de Twitter s’est faite piratée via les comptes personnels de ses employés. Ce qui lui a valu la publication de ses comptes, sa stratégie et de son prévisionnel. En outre, le microblogger a été plusieurs fois victime de détournement de compte par Twittersquatting (cybersquatting appliqué à Twitter à savoir le squat et le détournement de marque). Ce qui a permis aux cybercriminels de diffuser des logiciels malveillants, de commettre des fraudes. En réponse à cela, Twitter a décidé de proposer une certification des comptes. Cela ne vous dispense pas de protéger vos comptes et l’accès à vos informations personnelles, surtout si vous utilisez les réseaux sociaux en entreprise.

Ce qui illustre, une fois de plus, la fragilité des réseaux sociaux, et la facilité d’accès aux données personnelles. Peut-être avez-vous aussi été victime d’un détournement de compte sur un réseau social ?


Parad’IT : Le piratage mobile

2 août 2009

Peut-être avez-vous eu vent, ces derniers temps, de l’accroissement de cas de piratage de téléphones mobiles ?

Tout a (RE) commencé avec l’affaire de l’espionnage de Blackberry, dans laquelle des hommes d’affaires ont téléchargé sur leur Blackberry un logiciel espion permettant d’accéder à leurs données privées, alors qu’ils pensaient faire une simple mise à jour. Ce n’est pourtant pas la première fois que Blackberry est mis en cause !!! Souvenez-vous de l’affaire des interceptions de communications… En effet depuis 2005 et l’avènement des technologies Bluetooth la menace ne cesse de s’accroître.

Il y a une semaine on apprenait que les mobiles fonctionnant sous Symbian pouvaient être transformés en Bootnet (mobile zombie) grâce au cheval de Troie SexySpace.

Hier c’est l’iPhone qui craque !!! Á l’occasion de la deuxième journée de la Black Hat Conference (conférence ayant pour but de mettre en évidence toutes les vulnérabilités possibles) lors d’une présentation sur les failles de l’iPhone, Charles Miller, analyste, spécialiste de la sécurité dans le cabinet de conseil Independent Security Evaluators, démontre que l’iPhone peut être piraté au moyen de simples sms. (Voir le rapport de la conférence PDF)

Le principe : plusieurs sms contenant les différentes parties d’un code malveillant, sont envoyés, mais le destinataire n’en voit qu’un seul. Une fois tous les sms dans la mémoire de l’iPhone, les composants s’exécutent installant le logiciel pirate. Cet avertissement est également valable pour les Smartphones fonctionnant sous système d’exploitation Google Androïd, Windows Mobile et Symbian OS.

Ainsi avec cette méthode il est possible de :

  • Prendre la main sur l’appareil mobile (prise de contrôle à distance notamment sur Windows Mobile)
  • Déconnecter l’appareil du réseau
  • Bloquer le téléphone
  • Passer des appels
  • Accéder à vos données personnelles et les récupérer

Les solutions :

  • Éteindre son téléphone portable et ne plus lire ses sms
  • Télécharger le correctif avec la mise à jour iPhone 3.0.1 disponible depuis le 31 juillet

Concernant les autres systèmes d’exploitation mobiles :

  • Un correctif a déjà été mis en place pour Google Androïd via le correctif de sécurité CRC1
  • De son côté Windows réfléchit à une solution,
  • Quant-à Symbian… ? Si vous avez une idée faites le moi savoir, car utilisant moi-même ce système d’exploitation j’aimerais bien être informée !!!