En Nouvelle Calédonie, plus de 75 cibles vulnérables à une faille potentiellement aussi dévastatrice que WannaCry, malgré la disponibilité d’un correctif

Beaucoup d’experts en cybersécurité sont inquiets d’une vulnérabilité découverte sur la majorité des versions de Windows, appelée BlueKeep. Microsoft a sorti un correctif, il y a 15 jours et a alerté par 2 fois les entreprises du monde entier de sa gravité, en la comparant aux ransonwares désastreux comme WannaCry, NotPetya et Bad Rabbit : source

Attention, ce n’est pas parce que vous n’avez pas subi d’attaque, que vous êtes protégés. Une attaque semble se dessiner dans les prochaines semaines et celle-ci risque d’être quasi instantanée à l’échelle de la planète. Un code de démonstration limité a déjà été publié sur Internet. Mais quelques chercheurs ont déjà réussi à exécuter du code à distance. La création d’un ver diffusant un ransonware à grande échelle serait donc proche.

A des fins de sensibilisation et d’information, nous avons donc mené une recherche sur les machines qui seraient vulnérables en Nouvelle Calédonie. L’échantillon des adresses IP collectées est limité, isolé et a depuis été supprimé, il ne constitue donc pas un traitement de données à caractère personnel. Nous avons suivi la méthodologie de Robert Graham, d’Errata Security. Ce test ne peut être assimilé à un accès frauduleux à un système de traitement automatisé de données.

Sur les 401 machines calédoniennes répondant sur Internet au port 3389, 76 sont clairement vulnérables à BlueKeep. Chaque machine représente potentiellement une entreprise. Parmi les autres résultats, il est possible qu’il y est d’autres machines vulnérables suivant les cas particuliers (problème réseau, authentification faible…). Ce test n’a été réalisé qu’à partir de machines connectées directement à Internet et uniquement sur le port par défaut. Il est donc probable qu’il y est encore plus de machines vulnérables sur d’autres ports réseau, mais surtout à l’intérieur des réseaux d’entreprises.

Voici le résultat des 401 machines testés :

  • 178 PROTEGÉES – La machine semble protégée de la vulnérabilité BlueKeep.
  • 125 PROTEGÉES – L’accès est protégé par un login/mot de passe. La machine semble protégée d’un ver ou d’un attaquant peu expérimenté, mais elle n’est pas forcément protégée d’un attaquant confirmé
  • 76 VULNERABLES – La machine a confirmé être directement vulnérable à BlueKeep
  • 11 INCONNUES – erreur réseau
  • 5  INCONNUES – « timeout » reçu
  • 2 PROTEGÉES – ce n’est pas du RDP, mais du HTTP
  • 2 INCONNUES – réinitialisation de la connexion par la cible
  • 1 INCONNUES – réinitialisation de la connexion lors de la connexion
  • 1 INCONNUES – « timeout » à la connexion

Nous recommandons fortement de mettre à jour vos systèmes : correctif

Le RGPD est là

Depuis le 1er juin 2019, la Nouvelle Calédonie est un pays de confiance. Le règlement général sur la protection des données y est applicable.

Deux choses importantes à retenir :

  • Pour protéger les données personnelles, l’ancienne loi imposait une obligation de moyen, maintenant c’est une obligation de résultat
  • Des divulgations de données personnelles existent déjà en Nouvelle Calédonie, il ne faut pas se croire protéger derrière notre barrière de corail !

Du jamais vu, 5 affaires de cybersécurité en moins d’une semaine

Incroyable, en l’espace d’une semaine, différentes équipes de chercheurs ont découverts des failles de sécurité dans plusieurs services de notre quotidien. L’exploitation de ces failles est pour le moment encore assez marginale, mais des cas d’attaques ont déjà été rendues public : ciblées pour WhatApps et à l’aveugle pour Windows.

Il est donc grand temps de mettre à jour vos équipements informatique !

  1. La vulnérabilité matérielle ZombieLoad affecte les puces Intel et en particulier les PC et les Mac (sortis depuis l’année 2011). Il faut faire la mise à jour du système d’exploitation :
    http://www.lefigaro.fr/secteur/high-tech/zombieload-la-nouvelle-faille-de-securite-qui-affecte-les-puces-intel-20190515
  2. La faille de sécurité de WhatsApp a été exploitée par un logiciel espion israélien (faille de haut niveau). Il faut mettre à jour l’application :
    https://www.lepoint.fr/high-tech-internet/faille-de-whatsapp-protegez-vous-faites-vos-mises-a-jour-15-05-2019-2312889_47.php
  3. La faille de sécurité Thangrycat affecte la plupart des équipements de réseaux Cisco. En la combinant avec une autre faille connue, elle permet à un attaquant se trouvant à distance de prendre le contrôle du réseau d’une entreprise. C’est une faille très sérieuse, car bien souvent la procédure de mise à jour de ces équipements est bien moins maitrisée par les entreprises. Il faut s’attendre à des attaques prochainement :
    https://www.zdnet.fr/actualites/cisco-la-faille-thangrycat-a-l-origine-de-backdoor-persistantes-39884609.htm
  4. La série de 79 failles de sécurité de Windows affecte les postes de travail, en particulier ceux qui utilisent Internet pour de la messagerie ou la navigation Web. Des attaques sont actuellement en cours sur Internet et sont propagés par des robots (donc quiconque sur Internet peut être touché). Il est donc urgent de mettre à jour Windows :
    https://www.lemondeinformatique.fr/actualites/lire-microsoft-corrige-79-failles-en-mai-dont-22-critiques-75310.html
  5. La série de faille de sécurité d’Adobe affecte en particulier les logiciels Acrobat Reader, Flash Player. Encore une fois, il est important de mettre à jour ces produits :
    https://www.zdnet.fr/actualites/adobe-corrige-de-nouvelles-failles-de-securite-pour-acrobat-et-adobe-reader-39878717.htm

Peut-on se connecter sans risque à un Wifi public pour ses activités sensibles et professionnelles ?

Solution Wifi : VPN

En Nouvelle Calédonie et particulièrement dans le Grand Nouméa, il y a de nombreuses bornes Wifi qui permettent de se connecter gratuitement à Internet. Vous pouvez les trouver avec :

Quel est le risque ?

C’est bien pratique ! Par contre, la grande majorité de ces bornes Wifi sont dites « ouvertes ». Cela veut dire que les données reçues et transmises peuvent être interceptées et modifiées par quiconque se trouvant dans les environs de la borne Wifi. Les outils pour réaliser ce tour de passe-passe sont faciles à trouver et à utiliser. Le risque est donc important de se faire voler son identité (e-mail, réseaux sociaux, accès bancaires et professionnels…).

Quelle solution pour le Wifi public ?

Une des meilleures solutions pour se protéger de ce risque est d’utiliser une application VPN(*). Pour les débutants, je vous conseille l’usage de Tunnel Bear ou Avira qui proposent des formules gratuites et correctes. Pour des formules plus professionnelles mais payantes, je vous conseille VyprVPN, ExpressVPN ou NordVPN. Bien entendu, il existe beaucoup d’autres services, mais il faut privilégier ceux dotés de serveurs proches géographiquement de l’Australie ou de la Nouvelle Zélande car aucun service reconnu ne propose de serveurs VPN en Nouvelle Calédonie.

Démuni de VPN, vous pouvez toujours vous connecter avec des protocoles sécurisés, mais cela reste un numéro d’équilibriste !

Sinon quelle autre alternative au Wifi ?

Une autre méthode pour réduire ce risque est d’utiliser une connexion 4G ou un routeur 4G avec un partage de Wifi sécurisé. Dans ce cas, le risque d’interception est grandement réduit par rapport au Wifi public et l’usage d’un VPN n’est pas indispensable.

(*) le VPN (Virtual Private Network) décrit dans cet article est une technologie qui permet de rendre les communications indéchiffrables pour tous les intermédiaires qui seraient entre son utilisateur et son serveur de destination.

Victime d’une cyberattaque ?

attaque d'un surfer par un requin

Ce matin, vous découvrez dans votre entité (entreprise, institution, association) : vos ordinateurs, votre système d’information sont hors service suite à une attaque informatique.
Comment réagir face à cette cyberattaque ?
SOS SOS SOS . . . – – – . . .

Ce qu’il faut savoir :

Avant tout, une cyberattaque est déjà très traumatisante pour une entreprise. Imaginez un voleur qui est entré dans votre propre maison, dans votre intimité. Mais ce n’est que le début des surprises… Le chef d’entreprise, qui se sent légitiment victime, est avant tout responsable civilement et pénalement des conséquences de cette intrusion sur les données, souvent personnelles. N’importe quel citoyen (qu’il soit client ou salarié…) peut se plaindre auprès de la CNIL, qui pourra déférer un juge local, si nécessaire. En Nouvelle Calédonie, la loi actuelle le permet depuis 2004. Le RGPD qui sera applicable au 1er juin 2019 ne fait que renforcer cet état de fait.

Alors, que faire ?

Dans un premier temps, le dirigeant, muni de son Kbis doit porter plainte auprès de la police ou de la gendarmerie. Il est conseillé d’être assister d’un avocat. A noter que certaines assurances prennent en charge cet aspect juridique. C’est en déposant plainte que le dirigeant peut ainsi se positionner comme victime.

En parallèle, il doit assumer son rôle de responsable en s’assurant que les effets néfastes de la cyberattaque sont totalement maitrisés. Si l’attaque est due à un manquement d’un sous-traitant, il doit recueillir les éléments qui prouvent sa bonne foi, pour qu’il puisse partager sa responsabilité avec ce dernier.

Enfin, il est à noter que communiquer sur cet événement est une obligation légale. Il faut avertir la CNIL et toutes les parties prenantes (clients, fournisseurs, sous-traitants, actionnaires et salariés).

Conclusion

Avec la prolifération des données personnelles au sein des entreprises, institutions et associations, la responsabilité des dirigeants est de plus en plus importante. La démarche décrite ci-dessus couvre à minima le dirigeant. Seule une démarche de protection des données menée, au préalable, selon les régles de l’art amoindrira auprès d’un juge la responsabilité civile ou pénale du dirigeant.

Action Cyber est là pour vous accompagner dans cette expertise des risques encourus.

Alerte globale sur Internet

Margouillat

Un nouveau virus vient de contaminer l’Internet. Il se développe à une vitesse tellement foudroyante, qu’il a déjà touché l’ensemble des infrastructures réseaux, systèmes et applicatives de la planète.

Heureusement, notre île est épargnée. Un margouillat endémique de la Nouvelle Calédonie avalerait ce virus pour en faire son festin. Plusieurs chercheurs tentent de comprendre ce pouvoir particulier qui pourrait aboutir à la commercialisation d’anti-virus de nouvelle génération.

Pour le moment, Internet ne fonctionne qu’en Nouvelle Calédonie.

Poisson d’avril !!!

Démarquez-vous en mettant fin au phishing qui usurpe votre nom de domaine

L'évolution des hameçons dans le Pacifique

Dirigeants, propriétaires de nom de domaine, vous en avez marre que vos clients, fournisseurs et partenaires reçoivent de faux e-mails (spam, phishing…) avec le nom et l’adresse e-mail de votre entité comme expéditeur ? Suivez le guide :
Depuis quelques mois, la Nouvelle Calédonie est dans la ligne de mire de certains cyberattaquants. Des e-mails de phishing imitant différentes institutions, banques, provoquent de véritables drames chez les victimes (pour certaines, plusieurs millions CFP de préjudices).
Les victimes ne peuvent plus distinguer le vrai du faux e-mail. Le contenu semble en tout point identique à vos correspondances (expéditeur, format, style…). Mais vous n’êtes pas le véritable expéditeur et vous ne savez pas comment contrer cette usurpation.

Définition :

  • Le phishing (ou hameçonnage en bon français) est une technique de cyberattaquants pour récupérer des données personnelles en se faisant passer pour une personne ou une entité légitime. Le phishing est souvent massif, mais il peut-être ciblé sur un groupe de personnes ou une personne précise
  • Le spam (ou courrier indésirable en bon français) est une autre technique de cyberattaquants d’envoi massifs de messages non sollicités, le plus souvent à des fins publicitaires

Ce qu’il faut savoir :

D’abord, changer le nom et l’adresse de l’expéditeur d’un email est très simple à réaliser. Cela peut se faire avec la plupart des logiciels de messagerie. Et très souvent, cette technique fonctionne. Historiquement, les standards pour l’envoi et la réception des e-mails (SMTP, IMAP, POP) ne vérifiaient pas la provenance de l’expéditeur.

Est-ce qu’il y a des protections efficaces ?

Heureusement, depuis une dizaine d’années, plusieurs fonctionnalités ont été publiées pour vérifier l’authenticité de l’expéditeur. Avec la fonctionnalité DMARC, le nom de domaine de l’expéditeur est authentifié par un mécanisme de chiffrement (clé publique distribuée par DNS). Cela garantit la détection de toute tentative d’usurpation d’identité de l’expéditeur. En effet, ce contrôle est effectué sur quasiment tous les serveurs d’e-mails d’Internet. En tant que propriétaire de votre nom de domaine, vous pouvez :

  • être prévenu directement des tentatives d’usurpations de votre nom de domaine pour permettre de réaliser une enquête
  • indiquer une règle (suppression, classement en tant que spam…) pour l’email identifié, alors même que vous n’êtes ni l’expéditeur, ni le destinataire !

Comment vérifier que vous avez cette protection ?

Pour vérifier votre niveau de protection, vous pouvez utiliser l’outil en ligne : https://mxtoolbox.com/dmarc.aspx
Tapez votre nom de domaine et cliquez sur le bouton « DMARC Lookup ». Votre protection est correctement installé, si la page de résultat vous indique que :

  • tous les tests sont validés par un bouton vert
  • aucun test n’est négatif (représenté par une croix rouge)

Lorsque votre protection est correctement configurée, certaines applications de messagerie (comme Gmail) vous distinguent en ajoutant une clé en or prés du champ de l’expéditeur.

Comment mettre en place cette protection ?

Il est fortement conseillé d’installer cette fonctionnalité en configurant progressivement plusieurs mécanismes (SPF, puis DKIM et enfin DMARC). Dans un premier temps, la configuration peut être réaliser rapidement pour obtenir les preuves d’usurpation. Ensuite, il sera toujours possible de contrer les cyberattaquants avec plus ou moins d’agressivité.
N’hésitez pas à faire appel à Action Cyber pour une évaluation !

Conclusion

Finalement, la technique DMARC est une solution très efficace pour empêcher l’usurpation d’identité dans les e-mails. Les cyberattaquants pourront toujours essayer de vous imiter, mais ils seront obligés de trouver un autre nom de domaine comme expéditeur… il y a de fortes chances qu’ils vous oublient rapidement. Les potentielles victimes ne pourront plus vous rendre responsable en tant que propriétaire du véritable nom de domaine.
Enfin, vous pourrez valoriser vos efforts de sécurité auprès de toutes vos parties prenantes.

Prochainement, nous verrons d’autres mécanismes d’authentification d’e-mails qui peuvent être complémentaires comme : S/MINE ou PGP.

Pour en savoir plus : https://dmarc.org/