Telegram sommé de révéler l’identité du pirate de Free Actualités
Cybereason et Trustwave fusionnent Actualités
La CNIL condamne Ledger à 750 000 € d’amende Actualités
Armis lève 200 millions de dollars Actualités
Nomios rachète Dionach Actualités
IA : les gendarmes des données personnelles planchent sur une position commune Actualités
Actualités

Outscale qualifie une seconde région SecNumCloud

Un peu moins d’un an après avoir obtenu la qualification de sa région Secteur Public par l’ANSSI, Outscale ouvre une seconde région qualifiée SecNumCloud, anticipant une forte croissance de la demande des administrations et collectivités. 

En décembre dernier, Outscale obtenait la qualification SecNumCloud. Deuxième fournisseur de cloud à être qualifié après Oodrive, la filiale de Dassault Systems avait passé près de 18 mois à être audité, examiné et testé sous toutes ses coutures. La qualification, nous expliquait en janvier dernier Servane Augier, “comporte des enjeux organisationnels lourds”, d’où la décision d’Outscale de ne faire qualifier qu’une seule région, dite Secteur public, également destinée aux OIV, “pour éviter de faire porter l’impact sur l’ensemble de nos régions”. 

Pour celle qui était alors directrice du développement d’Outscale, SecNumCloud venait “conforter le positionnement qu’Outscale a depuis sa création : celui d’un cloud d’hyper-confiance”. Peut-on désormais parler de méga-confiance ? ou d’hyper-hyper-confiance ? Le fournisseur annonce en effet dans un communiqué qu’il vient de faire qualifier SecNumCloud une deuxième région. 

Deux régions

Là encore, il s’agit d’une région secteur public et OIV, semblable en tous points à la première si ce n’est que les deux infrastructures sont totalement indépendantes et imperméables. Il s’agit pour Outscale d’anticiper la demande de ses clients pour ce type d’offres. “Ainsi, la qualification SecNumCloud associée aux autres certifications détenues par 3DS Outscale (ISO 27001:2013 – ISO 27017 – ISO 27018 – HDS.) garantit aux organisations publiques, parapubliques, et les entreprises stratégiques comme les Opérateurs d’Importance Vitale (OIV) d’évoluer dans un environnement Cloud respectueux des données personnelles et présentant le plus haut niveau de sécurité” se félicite l’entreprise.

Le visa SecNumCloud est un gage de confiance qui permet à 3DS OUTSCALE de prouver concrètement qu’il est conforme au plus haut niveau de sécurité et qu’il adopte les bonnes pratiques requises en matière de sécurisation des données. C’est avec beaucoup de fierté et la profonde conviction de répondre aux enjeux essentiels de sécurité et de souveraineté pour nos clients, que nous inaugurons ce jour notre deuxième région qualifiée SecNumCloud. Cela confirme le savoir-faire de 3DS OUTSCALE et c’est avec beaucoup d’enthousiasme pour nos perspectives de croissance que nous fêtons notre première décennie aujourd’hui” souligne Servane Augier, désormais Directrice Générale Déléguée d’Outscale.

Retrouvez notre article dédié à SecNumCloud dans le premier numéro de L1foCR

Actualités

Zoom chiffre enfin de bout en bout

L’outil de vidéoconférence, longtemps critiqué pour son manque de sécurité, vient d’annoncer le déploiement du chiffrement de bout en bout, en AES 256 bits, pour tous ses clients desktop et mobile, à l’exception de sa version web. Activable à merci, son utilisation contraint de se passer de certaines fonctionnalités. 

Nous ne sommes peut-être qu’à quelques heures d’un nouveau confinement, mais les utilisateurs de Zoom peuvent déjà se sentir mieux : leurs réunions sont désormais chiffrées de bout en bout. L’éditeur a annoncé hier qu’il supportait désormais le chiffrement end-to-end, avec un chiffrement AES 256bits autrement plus robuste que les clés AES-128 précédemment utilisé par l’outil de visioconférence. 

Le chiffrement est désormais disponible pour les utilisateurs gratuits et payants pour les réunions jusqu'à 200 personnes pour le client de bureau Zoom version 5.4.0 pour Mac et PC, l'application Zoom Android et Zoom Rooms. Sur iOS, la mise à jour de l’application attend encore l’approbation d’Apple. A noter que cette fonctionnalité est pour l’heure au stade de “technical preview”, et ce pendant 30 jours, Zoom cherchant à récolter sur le sujet l’avis de ses utilisateurs. 

Conséquence du rachat de Keybase

En effet, lorsque le chiffrement de bout en bout est activé, il est alors impossible d’utiliser certaines fonctionnalités de l’outil, à l’instar des sondages, des réactions,  de la transcription en direct ou encore de l’enregistrement de la session. Les administrateurs de compte peuvent activer cette fonctionnalité dans leur tableau de bord Web au niveau du compte, du groupe et de l'utilisateur. S'il est activé, l'hôte peut activer et désactiver E2EE pour une réunion donnée en fonction du niveau de sécurité et du niveau de fonctionnalités dont il veut disposer.

Dans un communiqué, Jason Lee, le responsable de la sécurité de Zoom, félicite “notre équipe de chiffrement qui nous a rejoints depuis Keybase en mai et a développé cette fonctionnalité de sécurité impressionnante en seulement six mois”. En effet, en mai dernier Zoom réalisait son premier rachat en mettant la main sur Keybase, une jeune pousse éditrice d’une solution de messagerie chiffrée de bout-en-bout.

Actualités

Software AG entre rançon et vol de données

L’éditeur allemand est la victime de Clop, un ransomware qui a infecté certaines composantes de son SI le 3 octobre. Les attaquants réclament 23 millions de dollars en échange des clés de déchiffrement mais aussi de la non-divulgation des documents dérobés à Software AG lors de l’attaque.

Le 5 octobre, Software AG annonce être depuis deux jours victime d’un malware. S’il n’en précise pas la nature, l’éditeur d’origine allemande précise avoir été contraint de fermer ses services internes afin d’éviter une propagation, tandis que ses produits à destination de ses clients n’étaient pas affectés par l’attaque. Aujourd’hui encore, certaines parties de son site sont indisponibles, tandis qu’il redirige ses clients vers une adresse mail pour ses services support. 

L'entreprise est en train de restaurer ses systèmes et ses données afin de reprendre un fonctionnement ordonné. Cependant, les services d'assistance et la communication interne de Software AG sont toujours affectés” expliquait Software AG dans sa communication en date du 5 octobre. Il ajoutait ne pas avoir de signe de compromission des données de ses clients.

1 To de données dérobées

Mais trois jours plus tard, le ton est bien différent. “Software AG a obtenu la première preuve que les données ont été téléchargées à partir des serveurs et des ordinateurs portables des employés de Software AG. Rien n'indique que les services aux clients, y compris les services cloud, soient perturbés” dévoile l’entreprise.

En effet, selon les chercheurs de MalwareHunterTeam, les attaquants clament avoir dérobé un téraoctet de documents dans le SI de la société, dont des contrats, des rapports, des échanges par mail, des listes de contacts. Autant d’informations que les hackers menacent de publier en ligne si Software AG ne s’acquitte pas du versement d’une rançon de 23 millions de dollars en bitcoins. Cette somme permettra en outre à l’entreprise d’obtenir le déchiffrement de ses fichiers. 

Toujours selon MalwareHunterTeam, le ransomware Clop est derrière cette attaque. Et le groupe de se demander si l’utilitaire anti-McAfee contenu dans le malware utilisé était spécialement dédié à Software AG, ou si les hackers ont tout simplement eu “la flemme” de l’enlever de leur code.

Actualités

Une nouvelle co-dirigeante chez Yogosha

Le spécialiste du bug bounty fait monter en grade sa directrice des opérations, Fanny Forgeau. Deux ans et demi après son recrutement, elle est promue directrice générale de l’entreprise, en binôme avec le cofondateur et CEO Yassir Kazar.

Peu après sa levée de fonds de 2017, où il raflait 1,2 million d’euros, Yogosha embauchait Fanny Forgeau en qualité de directrice des opérations en janvier 2019. Ancienne du CNRS en sociologie politique, elle était auparavant passée par Linkfluence puis Allure Systems. Au sein de Yogosha, sa mission consistait à accompagner la croissance de la jeune pousse.  Depuis la société a bien grandi. Elle a notamment diversifié ses opérations de sorte à dépasser les seuls programmes de chasse aux vulnérabilités, un marché sur lequel YesWeHack domine en France, développant une activité d’éditeur de logiciels de cybersécurité, avec notamment une solution SaaS de détection et de gestion des vulnérabilités sur les SI d’entreprises.
Editeur de logiciels
Forte de ce nouveau positionnement, l’entreprise levait en début d’année 2 millions d’euros, auprès de OneRagtime et de la BNPP, qui font leur entrée au capital de la jeune pousse, ainsi que de ses investisseurs historiques, Axeleo Capital, Starquest Capital et ZTP. Désormais, Fanny Forgeau monte en grade : elle est propulsée directrice générale de Yogosha.  A ce poste, elle oeuvrera en binôme avec le cofondateur de la société, Yassir Kazar, qui en reste le CEO. "Au poste de Directrice Générale Fanny Forgeau viendra coordonner l’ensemble des équipes, identifier les nouvelles opportunités de marché et définir les stratégies de développement en France et à l’international" nous apprend le communiqué émis par Yogosha.
Actualités

Docker : l'Anssi livre ses bonnes pratiques

Les conteneurs et leurs images peuvent contenir du code malveillant : ils sont ainsi exploités par des cryptojackers. L'Anssi livre en ce début octobre un guide des bonnes pratiques de sécurité quant au déploiement et à l'exécution de conteneurs Docker. 

A l'occasion de la Black Hat 2017, deux chercheurs démontraient que les conteneurs Docker pouvaient servir à dissimuler des malwares. Et depuis, de Graboid à Doki, les exemples ne manquent pas quant à l'utilisation des conteneurs et de leurs images à des fins malveillantes. L'Anssi a pris le problème à bras le corps et vient de publier un guide de bonnes pratiques de sécurité à l'attention des développeurs et des DSI relatives au déploiement et à l’exécution de conteneur Docker. 

Le document ne traite pas de Docker daemon et la gestion des images Docker, quand bien même ces derniers sont souvent pointés du doigt comme présentant des vulnérabilités exploitables par des attaquants. 

Sécuriser le conteneur

"Docker Community Edition (CE) présente peu de vulnérabilités connues. La plupart d’entre elles concernent la création de conteneur à partir d’une image malveillante. Cependant, la sécurité de Docker repose principalement sur les mécanismes de sécurité du noyau et sur des composants externes. Des vulnérabilités les affectant peuvent donc être exploitées pour compromettre Docker ou son hôte" précise l'Anssi. 

Le document livre donc ses recommandations, notamment sur le cloisonnement du conteneur et de ses ressources, la restriction des privilèges (écriture de l'espace de stockage, lecture du système de fichiers racine, stockage des données non persisantes, restrictions du répertoire et des fichiers sensibles, namespaces dédiés...) ou encore la journalisation du conteneur. Des recommandations qui suivent le document de référence publié sur le même sujet par le Center for Internet Security (CIS).

 

 

Actualités

Pour le Trésor américain, payer une rançon est punissable

Si la sempiternelle recommandation des autorités est de ne surtout pas payer de rançons, certaines victimes de ransomwares, parfois conseillées par leurs partenaires, finissent par accéder aux demandes de leurs attaquants. Ce sont ces partenaires qui s’exposent désormais à des sanctions du Trésor américain, qui n’apprécie guère que ces rançons versées servent à des acteurs menaçant la sécurité des États-unis. 

Il ne faut jamais payer les rançons demandées par les opérateurs de ransomware. D’une part car la victime n’est en rien assurée de récupérer ses fichiers, de l’autre parce que céder au chantage conforte les criminels quant à la rentabilité de leur activité. Tels sont les conseils dispensés par l’ANSSI et tant d’autres autorités étatiques sur les ransomwares. Toutefois, les cas de versement d’une rançon ont été plus amplement médiatisés ces dernier mois, au point que le Trésor américain ne décide de mettre les points sur les i. 

Dans une note, l’Office of Foreign Assets Control, ou OFAC, sort les crocs. En effet, en vertu de plusieurs lois, les ressortissants américains ne sont pas autorisés à marchander avec une longue liste de personnes et de pays, soit qu’ils représentent une menace à la sécurité nationale, soit qu’ils font l’objet de sanctions, à l’instar de la Crimée, de la Syrie, de l’Iran ou encore de Cuba. 

Sanctionner le versement de rançons

“L'OFAC peut imposer des sanctions civiles pour les violations de sanctions fondées sur la responsabilité stricte, ce qui signifie qu'une personne soumise à la juridiction américaine peut être tenue civilement responsable même si elle ne savait pas ou avait des raisons de savoir qu'elle s'engageait dans une transaction avec une personne interdite” écrit cette branche du Trésor.

Ce qui nous amène aux ransomwares. Voici quelques temps que nous rapportons que telles victimes, conseillées par son prestataire en cybersécurité ou son assureur, a cédé aux demandes des attaquants, s’acquittant du paiement d’une rançon. Or, selon l’OFAC, “les paiements de ransomware profitent aux acteurs illicites et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis”. Et sont donc susceptibles de faire l’objet d’enquêtes quant au contournement desdites sanctions. 

Evidemment, il ne s’agit pas pour le Trésor américain d’inquiéter les entreprises victimes, qui double le coût de rétablissement de leur SI lorsqu’elles paient une rançon. Le texte vise les entreprises “qui s'engagent avec des victimes d'attaques de ransomwares, telles que celles impliquées dans la fourniture de cyberassurance, de criminalistique numérique et de réponse aux incidents, et les services financiers pouvant impliquer le traitement de paiements de rançon”. 

Actualités

Un géant hospitalier américain paralysé par une cyberattaque

Le groupe hospitalier UHS est la cible d’une attaque informatique qui l’oblige à recourir à des outils hors ligne. Le coupable serait Ryuk, un ransomware désormais bien connu. 

Universal Health Services, UHS pour les intimes, est l’un des plus grands groupes hospitaliers aux États-Unis, avec plus de 400 établissements de santé répartis sur le territoire. Depuis le matin du 27 septembre, ses employés sont revenus au papier et au crayon... ou du moins à des outils hors-ligne prévus en back-up. En cause, un “incident de sécurité informatique” contraignant le groupe à bloquer les accès à ses applications. 

Le communiqué d’UHS est particulièrement lapidaire, se contentant d’indiquer que “cette affaire peut entraîner des perturbations temporaires de certains aspects de nos opérations cliniques et financières” et n’avoir pour l’heure aucune preuve de l’accès aux données de ses patients et employés. Le ton des messages envoyés auxdits employés est tout autre. 

Les machines paralysées

Dans des SMS consultés par Reuters, le groupe recommande à ses salariés de n’accéder en aucun cas au réseau de l’entreprise avec leurs terminaux, professionnels ou personnels. Une attitude révélatrice d’une infection par un malware se propageant sur le réseau de l’entreprise, tandis que plusieurs sources pointent le ransomware Ryuk comme derrière la paralysie du SI d’UHS. 

Sur Reddit plusieurs utilisateurs indiquent que les fichiers des hôpitaux du groupe ont été chiffrés et portent l’extension .ryk, marque de fabrique de Ryuk. Ils signalent en outre que l’attaque aurait débuté dans la nuit de samedi à dimanche et que les ordinateurs ne sont pas les seuls affectés : ECG, appareils de radiologie ou encore ERM seraient eux aussi paralysés. Des informations qui ne sont néanmoins pas vérifiables pour le moment, et donc à prendre avec des pincettes, à l’instar de celle selon laquelle plusieurs patients seraient décédés faute d’une prise en charge adaptée consécutive à cette cyberattaque. 

Le secteur de la santé particulièrement visé

La crise sanitaire a vu une multiplication des attaques dirigées contre les établissements de santé.  L'AP-HP, le Health and Human Services Department américain ou encore l'hôpital de Brno, en République Tchèque, ont tous été victimes ici de DDoS, là de ransomwares ou encore de vol de données. L’Accompagnement Cybersécurité des Structures de Santé avait émis en mars en France plusieurs recommandations suivant celles précédemment formulées par l’OMS. Pour Pierre-Louis Lussan, de Netwrix, "nos récentes recherches sur les cybermenaces indique que ce secteur a subi le plus d'attaque de ransomware depuis le début de la crise sanitaire - avec une organisation de santé sur trois qui admet avoir été visée. Concernant l’attaque d’UHS, nous ne savons pas encore si les données des patients ont été seulement chiffrées, ou si elles ont également quitté le réseau de l’organisation. Plusieurs installations d’UHS sont affectées dans au moins quatre États et dans la ville de Washington, ce qui montre un déplacement latéral rapide du malware".

 
Actualités

McAfee prêt à retrouver la bourse

Depuis l’été 2019, la rumeur court que le vieux géant chercherait un retour en bourse. C’est désormais officiel : Mc Afee en remplit son formulaire d’introduction près de dix ans après son rachat par Intel et sa sortie des marchés financiers. La cybersécurité est un secteur porteur et ce n’est pas l’entrée tonitruante en bourse de CrowdStrike qui prouvera le contraire. Le vénérable Mc Afee a senti le vent tourné : l’été dernier, on lui prêtait des vues sur le Nasdaq. Racheté en 2011 par Intel, il était sorti de bourse, avant que le fondeur ne revende le vieux géant des antivirus, en 2016, au fonds TPG. Qui donnait une seconde jeunesse à McAfee et lui permettait une opération particulièrement juteuse : le rachat de Skyhigh Networks.  Ce faisant il ajoutait une corde CASB à son arc, dépassant son image d’antivirus monolithique. Fort de ce positionnement, et avec l’entrée du fonds Thomas Bravo à son capital en 2018, McAfee semblait pouvoir, tel le phénix, renaître de ses cendres. Le retour est désormais officiel puisque l’entreprise a rempli son formulaire d’introduction auprès de la SEC américaine. 
Nouveau patron
L’an dernier, son chiffre d’affaires a bondi de 9,4%, à 2,64 milliards de dollars, tandis que l’entreprise réduisait ses pertes de moitié, de 512 millions de dollars en 2018 à 236 millions l’année suivante. En janvier, McAfee choisissait pour CEO un vétéran de la tech en la personne de Peter Leav, ex-patron de BMC Software et de Polycom. 
Actualités

Doublé d’Ivanti, qui s’empare de MobileIron et de Pulse Security

L’éditeur de logiciels renforce sa branche cybersécurité en rachetant coup sur coup deux étoiles montantes du secteur, MobileIron et Pulse Secure. A l’aide des solutions de sécurisation de parcs mobiles du premier et de celles Zero Trust du second, Ivanti compte bien profiter du boom du télétravail pour devenir le champion de la gestion du poste de travail. 

Ivanti fournit déjà une solution de sécurisation des endpoints

Ivanti est quelque peu touche-à-tout : ITSM, supply chain, sécurité, gestion du poste de travail... L’entreprise de Salt Lake City, née du rachat par le fonds Clearlake de Landesk en janvier 2017, a récemment reçu le soutien financier d’un autre investisseur, TA Capital. Et c’est fort de ce nouvel investissement qu’Ivanti s’en est allé faire ses emplettes. Et c’est sur le secteur de la cybersécurité qu’il a jeté son dévolu.

D’abord en mettant la main pour 872 millions de dollars sur MobileIron. Cette jeune pousse est spécialisée dans la protection des parcs mobiles des entreprises, qu’il s’agisse de l’intégration des nouveaux appareils, des accès en mode conditionnel, de l’application de règles de sécurité à l’ensemble d’une flotte ou encore de la détection et élimination des menaces. En bref, un portefeuille de services complet qui faisait encore défaut à Ivanti. 

Des rachats très Zero Trust

Vient ensuite Pulse Secure, dont l’éditeur fait l’acquisition pour un montant non dévoilé. Lui oeuvre plutôt dans la sécurisation des accès aux applications, dans la droite lignée de l’approche Zero Trust. Il vend certes du VPN, mais aussi et surtout de l’Application Delivery Controller, du Network Access Control et même un soupçon de gestion unifiée des endpoints, domaine qui est loin d’être inconnu à Ivanti. 

L’entreprise explique qu'avec ces rachats, il "renforce la position de leader d'Ivanti en matière de gestion unifiée du poste client, de sécurité Zero Trust et de gestion des services d'entreprise, fonctions critiques dans l'environnement de télétravail actuel". Il n'évoque guère comment les solutions de Pulse Secure et de MobileIron seront intégrées à ses propres offres, sinon qu'il permettra à ses clients de "découvrir, gérer, sécuriser, offrir des services et automatiser tous les types de devices, via la plateforme d'hyper-automatisation Ivanti Neurons".

« En réunissant MobileIron, Pulse Secure et Ivanti, nous créons une entreprise leader des marchés importants et en pleine croissance que sont la gestion unifiée du poste client, la sécurité et la gestion des services d'entreprise. Nous possédons maintenant la gamme la plus complète de solutions logicielles pour répondre aux besoins croissants du marché pour l'environnement de travail à venir, où travailler partout et sur tous types de terminaux sera la nouvelle norme. En fusionnant nos connaissances du secteur et nos offres produit complémentaires, nous mettons Ivanti dans une position idéale pour fournir à notre immense base de clients les outils indispensables pour relever les défis IT qu'entraîne cette nouvelle norme. » Jim Schaper CEO d'Ivanti
Actualités

La plateforme de cryptomonnaies KuCoin dévalisée

La plateforme d’échange singapourienne spécialisée dans les cryptomonnaies rapporte avoir repéré samedi des mouvements de fonds suspects, avant de constater que ses portefeuilles de monnaie virtuelle avaient été vidés. Le butin de ce cambriolage numérique est estimé à 150 millions de dollars.  Les vols de cryptomonnaies font moins les gros titres, les ransomwares leur ayant volé la place. Pourtant, les attaques dirigées contre les plateformes d’échanges n’ont pas cessées. Dernière en date, KuCoin, plateforme basée à Signapour, a révélé samedi avoir été victime d’un cambriolage en règle. Samedi, un peu avant 3 heures du matin, heure de Singapour, le système de gestion des risques de KuCoin remonte une première alerte signalant une transaction anormale en ETH (Ethereum). Dans les minutes qui suivent, d’autres transactions du même type ont lieu avant que, peu après 3 heures, le système alerte sur le montant restant anormal sur les hot wallets (portefeuilles de cryptomonnaies connectés à Internet, par opposition aux cold wallets).
150 millions de dollars dérobés
KuCoin sonne l’alarme mais le mal est déjà fait : les portefeuilles ont été siphonnés. La plateforme réagit en suspendant toute forme de transactions et en s’assurant de la sécurité de ses cold wallets, et y transférant les actifs restants de ses hot wallets. L’entreprise s’est également mise en contact avec l’ensemble de ses partenaires au sein de l’écosystème. A l’origine de ce siphonnage en règle, la compromission de la clé privé de KuCoin. La plateforme ne précise cependant pas comment les attaquants s’y sont pris pour obtenir ce précieux sésame. Malgré un livestream de son CEO, l’entreprise n’a pas communiqué sur le montant dérobé, estimé à 150 millions de dollars en bitcoins, ethers et autres monnaies virtuelles. Les voleurs auront toutefois du mal à en profiter puisque, en plus de l’audit de sécurité mené par la plateforme, associée à SlowMist, une entreprise spécialisée dans la sécurité de la blockchain, ses partenaires se sont mobilisés pour invalider les tokens dérobés. Ainsi, ce ne sont pas loin de 130 millions de dollars de cryptomonnaies qui ont été swappés par leurs plateformes respectives au moment où nous écrivons ces lignes. En outre, KuCoin a précisé à plusieurs reprises qu’elle et son assurance couvriront les pertes subies par les utilisateurs.
Actualités

CMA CGM paralysé par un ransomware

Quelques jours après Gefco, c’est au tour du géant français du fret maritime de subir une cyberattaque. Les systèmes de réservation de CMA CGM sont paralysées par un ransomware, Ragnar Locker, dont les opérateurs demandent une rançon. 

Gefco, géant français de la logistique industrielle, subissait la semaine dernière une cyberattaque impactant son activité, probablement un ransomware. Voici désormais que son compatriote sur mer, CMA CGM, rapporte être lui aussi attaqué. Dans un communiqué publié plus tôt dans la journée sur son site, le groupe de fret maritime a annoncé faire l’objet “d’une cyberattaque sur des serveurs périphériques”. Il semble que le système de réservation soit le principal service impacté, bien que l’entreprise explique avoir interrompu l’accès externe à ses applications pour éviter la propagation du virus. 

Les équipes informatiques s'efforcent de résoudre l'incident pour assurer la continuité des activités” indique CMA CGM dans son communiqué, précisant que l’accès à ses SI reprend “progressivement”. Si la société ne précise pas la nature de l’attaque, les opérateurs du ransomware Ragnar Locker se sont manifestés, exigeant le paiement d’une rançon en échange de la clé de déchiffrement. 

Ragnar dans le SI

Le groupe CMA CGM est l’un des géants dans le secteur du fret maritime, avec 750 entrepôts et plus de 500 navires sur 285 lignes desservant 420 ports commerciaux dans le monde. Christophe Lambert, Directeur Technique Grands Comptes EMEA chez Cohesity commente l’attaque en soulignant que “au-delà des données subtilisées et rendues inaccessibles, c’est la mise en arrêt total des processus métiers essentiels à la conduite des affaires qui peut s’avérer préjudiciable. Le secteur de la logistique repose sur une chorégraphie complexe de systèmes et de services, il faut donc être en mesure de restaurer rapidement les infrastructures et les données sous peine de pénaliser l’entreprise et l’ensemble de ses clients”.

CMA CGM mentionne une enquête lancée en interne et avec l’aide d’experts externes et promet de plus amples informations en fin de journée.  

Actualités

Besançon victime d’une cyberattaque

La métropole, la ville et le Centre Communal d’Action Sociale de Besançon ont été victimes début septembre d’une cyberattaque. Ici, pas de ransomware, du moins pour l’instant car le spectre d’Emotet plane sur cette attaque qui exploite des techniques de phishing pour se répandre dans les réseaux de la collectivités. 

Ces derniers mois, de nombreuses collectivités ont été la cible d'attaques, bien souvent des ransomwares. On a appris ce week-end, par voie de communiqué, que la métropole du Grand Besançon, la ville de Besançon ainsi que son Centre communal d'action sociale sont victimes d'une cyberattaque, qui dure depuis le 4 septembre. Ici, pas de cryptolocker ni de DDoS, mais l'infection du SI de la collectivité par "des logiciels malveillants inclus dans des mails, qui se propagent au sein du réseau informatique et dont l’un des objectifs est d’exfiltrer des données de la collectivité" indique le communiqué.

On ignore pourquoi la collectivité a décidé de communiquer aussi tardivement, près de trois semaines après l'attaque. La Cnil ainsi que l'Anssi ont été notifiées tandis que l'attaque aurait été contenue. Selon la métropole, "la mobilisation immédiate et soutenue des équipes informatiques [...] a permis d’éviter le blocage du système d’information, de freiner la diffusion interne du virus pour progressivement l’éradiquer et de stopper aussi rapidement que possible les fuites de données".

Le mode opératoire d'Emotet

Néanmoins, des données ont été dérobées dans les comptes mails compromis, notamment "le contenu et les pièces jointes de courriels ainsi que des carnets d’adresses électroniques des agents".  Données qui sont désormais utilisées dans le cadre de campagnes d'hameçonnage des contacts de la collectivité, qui déplore ne rien pouvoir faire à ce sujet mais recommande à ses administrés et partenaires la plus grande prudence.

Un modus operandi qui n’est pas sans rappeler un certain Emotet. Le trojan bancaire, découvert en 2014, a fait l’objet récemment d’un avertissement de l’Anssi. Qui justement signalait que, après cinq mois d’absence, le malware avait refait surface en juillet dernier et, "depuis, nombre de ses campagnes d’hameçonnage exploitent une technique de détournement des fils de discussion des courriels (email thread hijacking technique)."

Une fois la boîte courriel d’un employé de l’entité victime (ou la boîte courriel générique de l’entité elle-même) compromise, le code malveillant Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces derniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes. Ces courriels, d’apparence légitime, sont envoyés à des contacts de la victime, et plus particulièrement aux tierces parties de l’entité (clients et prestataires notamment) ayant participé au fil de discussion originel, afin d’accroître leur crédibilité auprès des destinataires. Agence Nationale de la Sécurité
des Systèmes d'Information CERTFR-2020-ALE-019

L'attaque visant Besançon n'est pas sans rappeler une autre, récente, qui visait le Tribunal de Paris, ses juges et avocats. "La France représente une cible des campagnes récentes d’Emotet" signalait justement l'Anssi dans son bulletin d'alerte. Si la forme de l'attaque peut sembler relativement bénigne comparée à un cryptolocker, il ne faut pourtant surtout pas sous-estimer Emotet. Le malware a en effet abandonné son rôle de Trojan bancaire depuis 2017, pour lui préférer la distribution de payloads malveillants sur les systèmes qu'il infecte, tels TrickBot, Qbot ou encore Dridex. Dans les faits, les opérateurs d'Emotet commercialisent les réseaux infectés à d'autres attaquants qui exploitent le malware pour injecter dans le SI visé leurs propres programmes malveillants.

L'hebdo de l'Info-CR

Abonnez-vous gratuitement 😊

 

Mon panier

 x 

Panier Vide

Notre préférence

Copyright © 2024 L'INFORMATICIEN
- L1FO par l'Informaticien -
Tous droits réservés L'Informaticien
Le magazine L'Informaticien et le site linformaticien.com sont édités par la société PC Presse
Contacts :
  • 88, boulevard de la Villette, 75019 PARIS - FRANCE
  • Tél. +33 1 74 70 16 30
  • Rédaction : [email protected]
  • Abonnements : [email protected]
  • Directeur de la publication : Gaël Chervet
  • Rédacteur en Chef : Bertrand Garé
  • Rédacteur en Chef Adjoint : Victor Miget
  • Partenariats / Publicité : +33 1 74 70 16 30 / [email protected]
  • Chef de studio : Franck Soulier
  • L'INFOCYBERRISQUES est édité par PC PRESSE SA au capital de 130.000 euros, 443 043 369 RCS PARIS
Une société du Groupe Ficade
Powered by Mediamatis