Les équipes IT épuisées et les collaborateurs mal-préparés sont en train de perdre la bataille de l'hameçonnage
mercredi 21 juillet 2021
Près des trois quarts des entreprises ont été victimes d'une attaque par hameçonnage au cours de l'année écoulée, et plus de la moitié ont souffert d'un manque d'effectif dans leur service IT. Tel est le constat dressé par l'éditeur Ivanti qui dévoile les résultats d'une enquête, révélant que le passage vers le télétravail a intensifié la multiplication, la sophistication et l'impact des attaques par hameçonnage. Près de trois quarts (74 %) des personnes interrogées* disent que leur entreprise a été victime d'une attaque par hameçonnage au cours de l'année écoulée, et 40 % confirment en avoir connu une au cours du dernier mois.
80 % des personnes interrogées ont constaté une augmentation du volume des tentatives d'hameçonnage et 85 % disent que ces tentatives deviennent de plus en plus sophistiquées. En fait, 73 % des entreprises interrogées disent que leur service IT a été ciblé par des tentatives d'hameçonnage, et 47 % de ces attaques ont réussi. Le smishing (hameçonnage par message SMS) et le vishing (hameçonnage par téléphone) sont les dernières « innovations » pour gagner en impact et cibler les utilisateurs mobiles. D'après une récente étude d'Aberdeen, les pirates obtiennent un taux de réussite plus élevé via les mobiles que sur les serveurs... et le phénomène s'accentue de façon dramatique. Dans le même temps, le montant annuel des fuites de données résultant des attaques par hameçonnage mobile atteint une valeur moyenne d'environ 1,7 million de dollars, avec un maximum d'environ 90 millions.
Les pirates exploitent les failles de sécurité des entreprises dans l'Everywhere Workplace, où les collaborateurs distants utilisent plus que jamais leurs périphériques mobiles pour accéder aux données de l'entreprise. 37 % des personnes interrogées parlent d'une défiance de technologie et d'un manque de compréhension de la part de collaborateurs comme étant les principales causes de réussite des attaques par hameçonnage. Cependant, 34 % blâment le manque de compréhension de leurs collaborateurs pour la réussite des attaques. Alors que 96 % des professionnels IT déclarent que leur entreprise fournit aux employés une formation à la cybersécurité, afin de les sensibiliser aux attaques courantes comme l'hameçonnage et le ransomware, seulement 30 % des sondés soulignent que 80-90 % des collaborateurs ont suivi cette formation.
L'enquête Ivanti montre également que les effets des attaques par hameçonnage sont exacerbés par le manque d'effectifs dans les services IT. Plus de la moitié (52 %) des personnes interrogées disent que leur entreprise a souffert d'un manque de personnel au cours de l'année écoulée et, parmi elles, 64 % confirment que l'absence de ressources est la cause de la lenteur de résolution des incidents. Avec un personnel réduit, la capacité à résoudre rapidement les problèmes de sécurité est bien plus faible. Les coupures de service provoquées par un incident de sécurité coûtent de l'argent à l'entreprise et nuisent à sa productivité. En outre, 46 % estiment que l'augmentation des attaques par hameçonnage est une conséquence directe du manque de personnel.
« La réduction des risques d'attaque par hameçonnage est une course contre la montre, sur plusieurs plans. Les professionnels de l'IT doivent non seulement devancer les pirates qui créent constamment de nouvelles attaques, mais aussi devancer leurs propres utilisateurs, qui sont tristement prompts à cliquer sur les liens malveillants. », explique Derek E. Brink, vice-président et chercheur universitaire pour Aberdeen Strategy & Research. « Bien que de nombreuses entreprises aient investi dans des projets de formation de sensibilisation à la sécurité, il faut aussi donner la priorité et appliquer des techniques avancées d'automatisation, d'intelligence artificielle et d'apprentissage machine pour identifier, vérifier et éliminer les menaces d'hameçonnage plus rapidement et de façon plus cohérente. »
« Tout le monde - même les personnes les plus expérimentées et les plus au fait de la cybersécurité - peut être victime d'une attaque par hameçonnage. L'étude montre que près de la moitié des professionnels de l'IT ont été dupés. », dit Chris Goettl,Director of Product Management for security products chez Ivanti. « Pour combattre efficacement les attaques par hameçonnage, les entreprises doivent implémenter une stratégie de sécurité Zero Trust qui intègre la gestion unifiée du poste client (UEM) avec la détection des menaces sur les périphériques et des fonctions d'anti-hameçonnage. Les entreprises doivent aussi envisager de se débarrasser des mots de passe en adoptant une authentification des périphériques mobiles reposant sur des mesures biométriques, pour éliminer la principale faiblesse que visent les attaques par hameçonnage. »
* Ivanti a interrogé plus de 1 000 professionnels de l'IT aux États-Unis, au Royaume-Uni, en France, en Allemagne, en Australie et au Japo?
Démonstration d’un logiciel espion dans un téléphone portable
Posted On 21 Juil 2021
By : Damien Bancal
Tag: cybersurveillance, espionnage, logiciel, Pegasus, smartphone, spy
L’enquête réalisée par plusieurs médias internationaux mettant en lumière l’utilisation du logiciel d’espionnage israélien « Pegasus » ne doit pas faire oublier qu’il n’est pas seul dans ce monde de l’outil d’espionnage. ZATAZ vous fait la démonstration d’un outil de surveillance numérique pour smartphone.
Révélé par 17 journaux internationaux et Amnesty International, l’affaire Pegasus ne doit pas faire oublier que ce type d’outil d’espionnage ne date pas d’hier.
Pegasus est un logiciel fonctionnant sous iOS et Android. La première version repérée date de 2016. La version Android sera mise à jour quelques temps plus tard, en 2017.
Comment se faire piéger ?
La cible reçoit un SMS/MMS. Il propose un lien vers un site web qui va orchestrer le téléchargement, l’installation. Il faut cependant l’aide de la victime. La convaincre de la légitimité de ce qu’elle télécharge et installe. Si Pegasus est couteux, il existe de nombreux autres logiciels de ce type, capable de fournir de nombreuses options de contrôle et de surveillance, et cela pour à peine 5 euros.
Pegasus, pour être implanté dans un appareils Apple (iOS), exploiterait des vulnérabilités de type « zero-day » (0Day). Des failles connues uniquement par le pirate. Il s’agit de vulnérabilités dont le développeur n’a pas connaissance.
Le prix pour des vulnérabilités 0Day peut grimper au-dessus du million de dollars.
En 2019, 2,4 millions de dollars avaient été demandés pour des vulnérabilités Android. « Il est intéressant de noter que, cette année-là, pour la première fois, une vulnérabilité Android se révélait plus couteuse qu’une vulnérabilité iOS. » confirme un expert du sujet.
Comment fonctionne un logiciel espion pour smartphone ?
Ci-dessous, je vous propose une vidéo vous démontrant l’efficacité d’un logiciel espion dans votre smartphone.
L’outil testé se nomme Cerberus. Je l’ai implanté dans un téléphone Huawei P30 et un Samsung S21.
Le premier avec comme opérateur téléphonique Bell Canada, le second avec une simple connexion Internet de chez Orange France.
Les téléphones étaient équipés d’antivirus, protégés par mot de passe. Le chiffrement était implanté pour le Huawei.
Cookies : la Cnil ne plaisante toujours pas
Deuxième vague de mises en demeure quant aux mauvaises pratiques liées aux cookies. La Cnil épingle cette fois-ci une quarantaine d’organisations, toujours sans donner de noms mais en précisant les secteurs d’activités et en laissant moins de place à l’imagination.
En avril, la Cnil prévenait : elle allait être beaucoup moins tendre avec ceux qui contreviennent aux règles relatives aux cookies. Un mois plus tard, une vingtaine de mises en demeure tombait. Et voici qu’arrive la deuxième vague en cette mi-juillet : c’est une quarantaine d’organisations au moins qui sont épinglées car elles « ne sont toujours pas en conformité avec la législation sur les cookies » dixit le gendarme des données personnelles pour qui « cette situation n’est pas acceptable ».
Mais si en mai la Cnil ne donnait ni nom ni détail, se contentant de préciser qu’on trouvait parmi les contrevenants aussi bien des géants « de l’économie numérique » ainsi que des organismes publics, l’autorité mentionne ici quelques caractéristiques des mis en demeure. Ainsi, sont « notamment » concernés « quatre plateformes majeures de l’économie numérique, six fabricants majeurs de matériel informatique et de logiciels, deux acteurs majeurs du tourisme en ligne, trois sociétés de location de véhicules, trois acteurs majeurs du secteur bancaire, deux importantes collectivités locales, deux services publics en ligne, un acteur de l’énergie ».
Qui donc sont ces mystérieux « acteurs » ?
Autant dire que certaines dénominations laissent peu de place au doute, d’autant que certains de ces « acteurs majeurs » ont déjà eu maille à partir avec la Cnil. Bonne joueuse en cette période estivale, elle laisse jusqu’au 6 septembre aux mis en demeure pour devenir des mis en conformité. Une stratégie qui a fonctionné en ce qui concerne la vague de mai, puisque la vingtaine de mises en demeure a « permis que les organismes concernés corrigent leurs mauvaises pratiques ».
« La politique de contrôle de la CNIL s’inscrit dans la durée » prévient le gendarme des données personnelles. « D’autres campagnes de vérifications et de mesures correctrices seront ainsi menées à la rentrée afin d’assurer le respect de la vie privée des internautes français ». Et de rappeler les amendes susceptibles de grimper à 2% de leur chiffre d’affaires auxquelles s’exposent les organisations qui ne respectent pas la législation en matière de cookies.
Pegasus : comment savoir si son iPhone a été infecté ?
Apple à la rescousse.
© Unsplash / Sudan OuyangMise à jour de cet article paru en juillet dernier avec l’ajout de procédure permettant à tout utilisateur de vérifier simplement et officiellement chez Apple, si son iPhone a été infecté ou non par Pegasus. Voir le détail à ce propos en fin d’article.
Le projet Pegasus fait la une de l’actualité tech en ce moment. Et pour cause, il s’agit de l’affaire de surveillance et de cyberattaque la plus importante depuis les révélations d’Edward Snowden sur les agissements de la NSA en 2013.
Quelques jours après les premiers éléments d’informations diffusés par Forbidden Stories, on en sait un peu plus sur le mode opératoire de Pegasus, le logiciel utilisé pour pirater des dizaines de milliers de terminaux mobiles de hauts placés politiques, avocats et journalistes à travers le monde ces derniers mois. Il faut d’ailleurs savoir que, si Pegasus pénètre de manière totalement silencieuse et invisible sur un iPhone ou un smartphone Android, il y a désormais un moyen de savoir si vous avez été victime du logiciel à la licorne ailée, comme décrit plus bas dans l’article.
Quel mode de fonctionnement pour le logiciel espion Pegasus ?
Jusque là, les spécialistes s’accordent à dire que le seul moyen pour Pegasus de pénétrer une machine est via un message texte ou un appel téléphonique. Ensuite, le logiciel profite d’un fonctionnement dit “zero-click”. Cela signifie qu’il devient effectif sur la machine cible sans que l’utilisateur n’ait à effectuer aucune action. À savoir que Pegasus peut également infecter un iPhone de manière classique, après que l’utilisateur ait ouvert un lien spécifique.
Sur iOS, la faille utilisée par le logiciel espion serait inhérente à iMessage et encore présente sous iOS 14.6.
Une fois que Pegasus est déployé sur le smartphone désiré, il offre un accès total au client, passant même outre les solutions de chiffrement des logiciels Signal WhatsApp ou bien encore Telegram. En fait, toute l’activité du téléphone peut être surveillée. Cela va des contenus photo et vidéo, aux mots de passe, en passant par les messages, les mails, la navigation internet, la position GPS, etc. C’est comme si un tiers regardait votre téléphone par-dessus votre épaule, sans que vous vous en aperceviez.
À ce jour, Apple ne semble pas avoir envoyé de mise à jour rendant Pegasus ineffectif. Ni dans iOS 14.7, ni même dans iOS 15. Mais les ingénieurs en sécurité du Californien doivent actuellement être sur le pied de guerre pour tenter de colmater la brèche et proposer un update correctif aussi vite que possible. Il en va de la réputation d’Apple en matière de sécurité pour ses iPhone, quoi que la firme en dise sur le caractère non critique de la faille.
Comment savoir si mon iPhone a été visé par Pegasus ?
Il existe une méthode un peu technique, à l’heure de la publication de cet article, permettant de dire si oui ou non, votre iPhone a hébergé le logiciel espion Pegasus. Il faut utiliser le Mobile Verification Toolkit (ou MVT), disponible ici sur GitHub, qui peut notamment être installé sur macOS via le terminal. Et c’est par lignes de commande que cet outil va alors être en mesure de vérifier une sauvegarde tout entière de l’iPhone, faite sur le Mac via liaison câblée. Une fois le backup analysé, le MVT peut affirmer si l’iPhone a été infecté par Pegasus ou non. L’outil d’analyse fonctionne également pour un smartphone Android.
Vous retrouverez plus d’informations à propos de la manipulation de vérification via MVT sur le site de TechCrunch. Elle n’est pas bien complexe, mais demande une basique maitrise du terminal de commandes et une compréhension de l’anglais.
C’est à ce jour la seule manipulation possible permettant de prouver que son appareil a bien été ciblé par Pegasus.
Mise à jour du 25 novembre 2021
Apple propose un outil permettant de savoir si son appareil iOS a été infecté par Pegasus. Voici la marche à suivre pour effectuer cette vérification :
- Se rendre sur le site Apple ID et s’identifier
- Si l’un de vos appareils iOS a été infecté par Pegasus, la page devrait afficher une notification en haut, de la façon suivante :
© MacRumors
- Cette notification vous rappelle qu’Apple vous a envoyé un mail et un iMessage à une date précise, vous alertant que votre iPhone aurait vraisemblablement été visé pour un déploiement de Pegasus. Vous devriez donc déjà être au courant à ce stade, mais la consultation de cette page permet de s’assurer que l’avertissement est bien réel
Apple le précise, son système de détection n’est pas parfait. Il peut générer des fausses alarmes, mais aussi louper des appareils ayant bien été infectés. Quoi qu’il en soit, et que vous ayez été infecté ou non, la société de Cupertino vous incite fortement à mettre à jour votre appareil avec la dernière version d’iOS. Le système d’exploitation mobile, dans sa dernière itération, rend normalement l’activation de Pegasus impossible.
Le firme précise aussi qu’il est plus prudent de protéger vos appareils Apple avec Touch ID, Face ID ou un code alphanumérique, de profiter de la double-authentification dès que possible, d’utiliser un mot de passe complexe pour votre compte Apple ID, d’installer des apps uniquement via l’App Store, d’éviter de cliquer sur des liens ou des pièces jointes dans les mails et messages reçus d’inconnus, et de n’utiliser que des mots de passe unique lors de la création de vos comptes divers sur internet.
Importante faille de sécurité dans les pilotes des imprimantes HP, Xerox et Samsung
mardi 20 juillet 2021
Lors de la configuration d'une nouvelle imprimante HP, SentinelLabs a détecté sur un vieux pilote d'imprimante datant de 2005, grâce à une alerte lancée par Process Hacker, une vulnérabilité alarmante dans les pilotes d'imprimante HP, Xerox et Samsung. Cette vulnérabilité affecte une très longue liste de modèles d'imprimantes fabriqués par HP.
Une fois le logiciel de l'imprimante installé, le pilote est activé sur la machine, que l'installation soit finalisée ou annulée. Il est ensuite chargé par Windows à chaque démarrage - sans même demander ou avertir l'utilisateur - que l'imprimante soit connectée ou pas. La fonction vulnérable du pilote accepte les données envoyées par le mode utilisateur via IOCTL (Input/Output Control) sans valider le paramètre de taille. Elle permet à un utilisateur d'exécuter du code en mode noyau (puisque le pilote vulnérable est localement disponible pour tout le monde).
L'exploitation réussie de la vulnérabilité d'un pilote peut être utilisée pour contourner les produits de sécurité et permettre aux attaquants d'installer des programmes, de visualiser, de modifier, de chiffrer ou de supprimer des données, ou de créer de nouveaux comptes dotés de tous les droits d'utilisateur.
Il semble que HP n'ait pas développé ce pilote mais l'ait copié d'un projet dans Windows Driver Samples de Microsoft qui a une fonctionnalité presque identique ; heureusement, le projet d'exemple de Microsoft ne contient pas la vulnérabilité.
Il est conseillé, afin de réduire la surface d'attaque offerte par les pilotes de périphériques avec des gestionnaires IOCTL exposés, que les développeurs appliquent des ACL fortes lors de la création d'objets de périphériques du noyau, vérifient les entrées utilisateur et n'exposent pas d'interface générique aux opérations en mode noyau.
Bien que SentinelLabs n'ait pas encore relevé d'indicateurs laissant à penser que cette vulnérabilité ait été exploitée, elle pourrait cependant avoir un impact considérable sur les utilisateurs et les entreprises qui n'appliquent pas de correctifs.
Cette faille permet de voler des identifiants depuis iOS
Un cocktail à base de Linkedin, de Safari et de Russie…
© Pixabay / JayDeep
Dans un nouvel article partagé sur le blog officiel de Google, des experts en cybersécurité de la firme de Mountain View en disent plus sur l’attaque ayant touché l’entreprise SolarWinds de fin 2019 à 2020. Celle-ci dispose de clients prestigieux aux États-Unis, tels que les sociétés privées Microsoft et Cisco mais aussi des entités du gouvernement américain : trésor, affaires étrangères, santé, sécurité intérieure et nucléaire.
On y apprend que l’objectif des pirates était ici de rediriger les victimes vers des domaines compilant du code malicieux non seulement sur Windows mais aussi sur iPhone et sur iPad. Via les OS de Cupertino, c’est en fait grâce à une faille zero-daynumérotée CVE-2021-1879 par les chercheurs que les criminels ont pu arriver à leurs fins. L’erreur a bien sûr depuis été corrigée par Apple, puisque désormais publique : pas d’inquiétude à la maison ou au bureau.
De nombreux sites populaires concernés
Cet incident a notamment été rendu possible par WebKit, moteur utilisé par Apple pour développer Safari et souvent pointé du doigt pour ses bugs. Via cette bibliothèque logicielle bien connue des éditeurs sur l’App Store, les hackers ont alors pu récolter les informations de connexion des utilisateurs sur différentes plateformes telles que Yahoo, Facebook, Linkedin, Microsoft ou encore Google. Et ce en toute discrétion, sans qu’aucun internaute ne s’en aperçoive : on est bien loin des traditionnelles techniques de phishing contre lesquelles il est facile de mettre en garde.
Plus précisément, ce sont en fait les cookies enregistrés par les visiteurs qui ont pu être collectés de cette façon. Ce qui aurait pu facilement être évité en faisant appel aux applications officielles des différents services cibles. En effet, de cette manière, c’est alors le trousseau iCloud qui prend le relais. Qui plus est, celui-ci semble garantir -notamment grâce à la puce Secure Enclave de l’iPhone 12– un véritable gage de confidentialité supplémentaire.
Qui se cache derrière cette attaque ?
Cette brèche a en réalité été dotée d’un patch dès iOS 14.4.2, et ce sans en informer les habitués du programme de bêta d’Apple. Par ailleurs, selon la plupart des sources, le piratage de SolarWinds aurait été orchestré par une agence dont les financements seraient assurés par un organisme gouvernemental lié à la… Russie.