Nous avons trouvé le tweet de Gourley dans notre fils d’actualité alors que nous étions en train de réfléchir au bilan des attaques informatiques survenues depuis le mois de juillet. Si la sécurité informatique avait un rythme, ce serait sans doute une des épiques chansons écrites par Hans Zimmer pour Interstellar.
Le sujet nous a beaucoup plu et nous avons décidé d’aller encore plus loin dans cette réflexion musicale. C’est comme ça que « la mix-tape du second semestre » est née, une collection des meilleurs (ou pires, cela dépend de comment nous nous positionnons) piratages enregistrés durant cette deuxième partie de l’année.
Cybersécurité 2016 : la mix tape du second semestre
1. Cybersécurité 2016 : la mix-tape du second semestre
Il y a peu, Bob Gourley, éditeur de CTOvision.com, a publié sur Twitter une question qui a attiré notre attention
:
Traduction : « Selon vous quelle chanson contient le message le plus adapté concernant la cybersécurité ? »
Nous avons trouvé le tweet de Gourley dans notre fils d’actualité alors que nous étions en train de réfléchir au
bilan des attaques informatiques survenues depuis le mois de juillet. Si la sécurité informatique avait un rythme,
ce serait sans doute une des épiques chansons écrites par Hans Zimmer pour Interstellar. Le sujet nous a
beaucoup plu et nous avons décidé d’aller encore plus loin dans cette réflexion musicale. C’est comme ça que
« la mix-tape du second semestre » est nait, une collection des meilleurs (ou pires, cela dépend de comment
nous nous positionnons) piratages enregistrés durant cette deuxième partie de l’année.
JUILLET : Patchwork, un étranger parmi les APT
Le terme « menace persistante avancée » ou « APT » s’est avéré être l'un des mots les plus fréquemment
rencontrés dans la couverture médiatique liée à la cybersécurité en 2016. Les journalistes spécialisés aiment
tout particulièrement l'utiliser pour définir une menace inconnue qui se sert de nouvelles méthodes
sophistiquées. Comme l’on pouvait si attendre, lorsqu’en juillet dernier la presse a commencé à parler de
Patchwork, elle n’as pas pu s’empêcher de le surnommer l’APT 'Copier-Coller'.
Il n'y a rien de compliqué dans la façon dont Patchwork fonctionne, mais il a toutefois réussi à infecter plus de
2 500 organisations en Asie du Sud-Est. Comme son nom l'indique, cette menace ne fait pas appel à une faille
de type 0-day pour s’infiltrer dans un système, mais utilise plutôt la vulnérabilité connue CVE-2014-4114,
corrigée par Windows en 2014. De plus, les morceaux de code qui la composent sont TOUS disponibles sur
des forums publics de piratage. Pour reprendre les mots de Radiohead, ce malware est une anomalie parmi
ses pairs – un véritable « creep ».
2. AOÛT : Projet Sauron, le maître du harcèlement
Alors que la cyber-attaque que nous avons nominée pour le mois de juillet a drastiquement baissé le niveau,
le Projet Sauron découvert par Kaspersky Labs est là pour le relever. Lancé par un groupe des cybercriminels
dénommé Strider, cet authentique APT a réussi à berner la communauté des experts. En effet, ce dernier a su
faire en sorte d’échapper aux de cybersécurité pendant plus de 5 ans (!).
Les chercheurs ont estimé que le Projet Sauron a été conçu comme une plate-forme modulaire de cyber-
espionnage, comprenant un total de 50 modules programmés pour s'adapter à chaque cible. Il n'apprend pas
seulement des cyber-menaces avancées précédemment découvertes, mais il repousse les limites du cyber-
espionnage. Si le groupe Strider devait avoir une bande originale, ce serait probablement cette chanson qui
serait en arrière-plan :
SEPTEMBRE : Yahoo!, une ode à la déception
Cet automne, Yahoo! a remporté le titre du nombre record d’identifiants de compte volés et mis en vente sur
le dark web. Pendant cet incident, au moins 500 millions de comptes ont été piratés dans la plus grosse fuite
de données enregistrée jusqu’à présent. De plus, selon les archives publiques, la fuite remonte à 2014.
Si vous pensiez que cela ne pouvait pas empirer, nous vous conseillons de continuer la lecture de cet article. La
semaine dernière, l'ancien géant web a annoncé qu'une autre attaque ayant eu lieu en 2013 compromettait plus
d’un milliard de comptes. Cela étant dit, la chanson de septembre est dédicacée à tous ceux qui sont encore
assez courageux pour utiliser les services Yahoo!, alors que ce dernier ne cesse de prouver qu’il n’est pas digne
de leur confiance.
3. OCTOBRE : L’IoT et l’épidémie zombie
Alors que le mois international de la cybersécurité se déroulait, les pirates informatiques ont voulu prouver leur
puissance en déclenchant une attaque DDoS massive contre le fournisseur de services DynDNS. Le 21
octobre, une bonne partie du Nord de l’Amérique n’a pas pu se connecter à des sites Web tels que Twitter,
Airbnb, GitHub, Paypal, Reddit, eBay et Spotify.
Ce K.O. numérique a été réalisé avec l'aide du même malware Mirai qui a ciblé le blogueur Brian Krebs plus
tôt le même mois. La particularité de ces deux attaques DDoS est qu'elles exploitent le potentiel des botnets
IoT, en transformant en zombie un nombre impressionnant de périphériques connectés à Internet – des
webcams, des routeurs, des moniteurs pour bébés etc.
NOVEMBRE : Windows, méprisé et vulnérable
Ce n'était certainement pas un bon mois pour Microsoft, dont les vulnérabilités Windows ont continué à sortir
comme des vers de terre après la pluie. En novembre, les experts de Google Threat Analysis Group ont averti
Microsoft qu'une vulnérabilité d'escalade de privilèges locaux avait été découverte dans le noyau Windows et
ont révélé publiquement son existence avant qu'un correctif puisse être publié.
Il en résulte bien évidemment un dialogue tendu entre les deux parties et un débat animé sur la question de
savoir si les failles doivent ou non être systématiquement rendues publiques. Selon les mots d'Axl Rose, « rien
ne dure éternellement », même pas la pluie de novembre. Le bulletin de sécurité Windows a été publié une
semaine plus tard, ce qui a donné lieu à une fin tardive, mais heureuse.
4. DECEMBRE : Les ransomwares vous disent de « venir comme vous êtes »
Pendant Thanksgiving, l'Agence de transport municipale de San Francisco (la SFMTA) a vécu un véritable
cauchemar alors qu’elle été en prise avec le rançongiciel Mamba. Bien qu’il se propage pratiquement de la
même manière qu'un cheval de Troie, ce dernier ne se comporte pas comme n’importe quel malware de sa
famille. Mamba vise plutôt à chiffrer tous les niveaux de secteur de disque, y compris Maste File Table, l'OS,
les applications, les fichiers partagés, ainsi que les données personnelles de l'utilisateur.
Au cours de la cyberattaque, 25% des ordinateurs SFMTA ont été compromis causant une interruption de son
service de billetterie. Beau cadeau en ce début de Noël pour tous les usagers qui ont pu voyager gratuitement
durant tout un week-end.
Il s'est avéré que 2016 a eusa part équitable de mémorables cyber-incidents,allantde l'hiverde lacybersécurité qui a
frappé au cours de la première moitié de l'année enpassantparles événementsdécritsdansle présentarticle. Si l’on
devaitretenirquelque chose desinnombrablesattaques qui onteulieu c'estbienque lespiratessontune race
implacable.Noussommeségalementassezcertainsqu'ilssontde grandsfansde Blondie :
5. Avant de conclure, nous aimerions ajouter une dernière chose : pourquoi ne pas essayer une approche
différente en 2017 ? Au lieu de seconcentrer uniquement surl'implémentation de meilleures défenses, pourquoi
ne pas supposer que votre systèmea déjà été infiltré et ainsi partir à la recherchedes outils capables d'analyser
les traces cachées ? Traiter toutes les questions de cybersécurité comme si les « méchants » avaient déjà
réussi à entrer dans le système empêchera peut-être l'histoire de se répéter.
En quête de motivation, voici une dernière chanson qui pourrait vous inspirer :
Liens :
https://www.reveelium.com/fr/cybersecurity-awesome-mix-vol-ii/
https://www.itrust.fr/cybersecurite-2016-la-mix-tape-du-second-semestre/