Conférence FEP du 24 janvier 2018 - cybersécurité

1. Cybersécurité :
Comprendre les menaces et protéger son entreprise
Conférence FEP - 24 janvier 2018
Thierry Berthier, chercheur en cybersécurité & cyberdéfense
1

2. « il existe deux types d'organisations ou d'entreprises :
celles qui ont déjà fait l'objet d'une cyberattaque exploitant une
faille de sécurité de leur système d'information et celles qui ne
savent pas encore qu'elles ont été attaquées ! »
John Chambers ex CEO CISCO
2

3. Sommaire
1 - L’évolution des codes malveillants depuis 1980 …………………….. 4
2 - Connaitre la menace …………………………………………………………….. 20
3 - Les dix principales menaces pesant sur les systèmes
d’informations des entreprises et les réponses correspondantes ….28
4 - TOP10 des attaques qui ont marqué l’année 2017 …………...…… 39
5 - Focus sur les arnaques au Président et Faux Ordres de Virements
(FOVI) qui impactent fortement les PME - PMI ……………………………. 78
6 - Protéger son système d’information ……………………………………. 103
7 - RGPD, Etes vous prêt ? ………………………………………………………… 117
3

4. 1 - L’évolution des codes malveillants
depuis 1980…
4

5. La carte mondiale en temps réel des menaces et attaques informatiques tenue
par l’éditeur KASPERSKY :
https://cybermap.kaspersky.com/fr/
5

6. Le cyber-risque est né dès le début de l’ère de Turing
(Alan Turing 23 juin 1912 – 7 juin 1954).
6

7. Le cyber-risque est présent dans votre quotidien :
Les vulnérabilités sont très proches de vous,
- dans votre poche, smartphone, tablettes, accrochées à votre
poignet, montre connectée,
- dans votre maison, systèmes domotiques, caméras de
vidéosurveillance, systèmes d’arrosages automatiques,
réfrigérateurs connectés, assistants google home,
- dans votre voiture connectée semi-autonome
- et bientôt chez nos meilleurs amis, les robots de compagnie,
bons à tout faire.
Il est présent dans le quotidien de votre entreprise :
Avec des milliers d’attaques toutes les minutes, la vie de votre
Système d’Information n’est pas un long fleuve tranquille !
7

8. Comme en biologie,
on rencontre une
grande diversité de
malwares
8

9. 9

10. Les virus des années 1980 - 1990 10

11. Les virus des années 1980 - 1990 11

12. Evolution des malwares 1995 - 2005
12

13. Période 2013 – 2018 : Une forte complexification des malwares
13

14. Timeline des malwares utilisés sur les systèmes industriels 1980-2016
14

15. 15

16. 16

17. Décollage en 2011 des malwares Android
17

18. Décollage en 2015 des Ransomwares
18

19. Un exemple de code malveillant (code bancaire)
19

20. 2 - Connaitre la menace…
20

21. 21

22. 22

23. 23

24. 24

25. 25

26. 26

27. 27

28. 3 - Les 10 principales menaces
pesant sur le SI des entreprises et
les réponses correspondantes
28

29. 29

30. 30

31. 31

32. 32

33. 33

34. 34

35. 35

36. 36

37. 37

38. 38

39. 4 - TOP10 des attaques qui ont
marqué l’année 2017
39

40. 1) WANNACRY
Ce ransomware a impacté plus de 200 000 machines dans 150 pays
les 12 mai et 13 mai 2017. Il s’agit d’une infection mondiale…
40

41. WannaCry (mai 2017) – Considérée comme la plus importante cyberattaque
par ransomware de l’histoire, WannaCry a infecté en quelques heures plus de
300 000 ordinateurs, dans plus de 150 pays. Parmi ses victimes : FedEx, Renault,
ou encore le ministère de l’intérieur russe.
Cette attaque a été revendiquée par le groupe de hackers Shadow Brokers, ceux-
là mêmes qui, au premier trimestre 2017, avaient réussi à s’introduire dans le
réseau informatique de la NSA, et à y dérober un attirail considérable de failles,
virus et autres outils informatiques, dont la faille exploitée par WannaCry,
baptisée Eternal Blue.
Il s’agissait d’une faille déjà identifiée par Microsoft, mais le patch correctif
proposé n’avait pas été suffisamment massivement installé pour que l’attaque
échoue.
In fine, les coûts de WannaCry ont été évalués autour d’un milliard de dollars,
sans compter bien évidemment toutes les conséquences indirectes qu’ont pu
subir ses victimes. (source HISCOX & Digital Energy SOLUXIONS)
41

42. 42

43. 43

44. WannaCry, ce n’est pas seulement un écran figé …. C’est aussi :
Des unités de production du groupe Renault à l’arrêt total ,
L’opérateur Telefonica impacté,
Le groupe Fedex et de nombreuses entreprises de transport et
de logistique paralysés,
Plus de 16 hôpitaux du système de santé britannique NHS
bloqués et incapables d’assurer certaines opérations.
Le Ministère russe de l’Intérieur ciblé,….
Et des milliers d’autres victimes …
44

45. Gares et trains paralysés en Russie…
45

46. Gare et trains paralysés par WannaCry en Allemagne…
46

47. Panneau
publicitaire en
Thaïlande
bloqué par
WannaCry
47

48. 48

49. 2) PETYA - NOTPETYA
49

50. 50

51. 2- Petya / NotPetya (juin) – Parmi les cyberattaques qui ont marqué l’année, il
faut encore citer Petya / NotPetya. Petya, ransomware apparu en 2016, avait déjà
réussi à contaminer des milliers d’ordinateurs, via la même faille de sécurité
Windows, exigeant le paiement d’une rançon de 300 dollars (en bitcoins bien sûr)
en échange de la récupération des fichiers. NotPetya, quant à lui, a vu le jour en
juin 2017 : il s’agissait en réalité d’un virus déguisé en un ransomware ayant pour
vocation de rappeler son prédécesseur Petya. Cette cyberattaque bien plus
puissante, dont on ne connait pas l’origine, s’est propagée presque sans
intervention humaine (contrairement à Petya qui requérait le téléchargement
d’un spam envoyé par email) : il suffisait d’un seul poste non mis à jour sur un
réseau pour que l’ensemble du réseau soit potentiellement compromis, sans
compter que l’intégralité du disque dur était touchée (et non seulement, comme
Wannacry, le système d’exploitation et les fichiers stockés). On estime à plus de 2
000 le nombre de sociétés qui ont été infectées par ce virus. Parmi elles, Saint-
Gobain (coût de 220 millions EUR) et le laboratoire pharmaceutique Merck; le
système de surveillance des radiations de la centrale nucléaire ukrainienne de
Tchernobyl a lui aussi été infecté. Les victimes ne pouvaient même pas payer la
rançon pour récupérer la clé de décryptage, l’adresse mail associée à l’attaque
étant invalide… (source HISCOX & Digital Energy SOLUXIONS)
51

52. 3) Attaque contre
52

53. 3- Deloitte (septembre) –
Durant près de 6 mois, le prestigieux cabinet de conseil et d’audit
a été victime d’une importante cyberattaque durant laquelle des
pirates ont réussi à accéder à des informations privées, telles que
des mails échangés entre le cabinet et ses clients. Les hackers ont
utilisé l’identifiant et le mot de passe d’un compte administrateur,
leur permettant ainsi d’accéder au cloud Azure de Microsoft,
plateforme hébergeant une partie des données de Deloitte.
(source HISCOX & Digital Energy SOLUXIONS)
53

54. 4) Attaque contre
54

55. 55

56. 4- Equifax (septembre) –
La célèbre société de crédit américaine, également spécialisée
dans la protection des données, a été victime d’un piratage
informatique important au cours de l’année.
Les informations de plus de 140 millions d’américains et plus de
200 000 numéros de cartes bancaires de consommateurs ont été
consultés par les pirates, qui ont exploité une faille dans l’une des
applications de la société, leur permettant ainsi d’accéder à
certains fichiers.
Quelques jours après l’attaque, le CEO de l’entreprise annonçait
sa démission. (source HISCOX & Digital Energy SOLUXIONS)
56

57. 57

58. 5) Attaque contre
58

59. 5- Netflix (septembre) –
La plateforme de streaming Netflix a été victime d’un piratage
d’envergure, plus précisément d’une campagne de scam visant
directement ses utilisateurs.
Des millions d’entre eux ont reçu des mails depuis l’adresse
supportnetflix@checkinformation.com, les invitant à communiquer
leurs coordonnées bancaires afin d’éviter que leur compte ne soit
clôturé.
Comme à l’accoutumée, tout avait soigneusement été pensé afin de
tromper les victimes : site internet reprenant la charte graphique
de la véritable plateforme, recours à un ton et à un design similaires
à ceux employés par Netflix. (source HISCOX & Digital Energy
SOLUXIONS)
59

60. 60

61. 6) DoubleLocker sur
smartphones Androïd
61

62. 6- DoubleLocker (octobre) –
Avec le ransomware DoubleLocker, ce ne sont pas les ordinateurs
qui ont été touchés, mais les appareils mobiles fonctionnant sous
Androïd.
Pour la première fois, un virus a été capable de changer le code
PIN des utilisateurs et de chiffrer les données de leur smartphone
ou tablette.
Ces derniers, alors dans l’incapacité de récupérer leurs fichiers ou
d’utiliser leur appareil, n’ont eu d’autres choix que de payer la
rançon demandée par les hackers. (source HISCOX & Digital Energy
SOLUXIONS)
62

63. 63

64. 7) Powershell – APT
cyber-espionnage ciblant
l’ Arabie Saoudite
64

65. 7- PowerShell (novembre) –
L’Arabie Saoudite fait régulièrement l’objet d’attaques
informatiques, et 2017 n’a pas fait exception à cette règle.
Le NCSC (Centre national de sécurité saoudien) a signalé une
campagne de «menaces persistantes avancées», menée via le
logiciel Powershell (habituellement utilisée, en particulier, par le
groupe MuddyWater), très difficile à détecter.
Il semble que cette attaque se soit inscrite dans le cadre plus
global d’une campagne massive de cyber-espionnage dirigée
contre l’Arabie Saoudite. (source HISCOX & Digital Energy
SOLUXIONS)
65

66. 8) Exfiltration de
données ciblant
66

67. 67

68. 8- Imgur (novembre) –
Cette attaque informatique contre le site de partage d’images, qui a
eu lieu en 2014, n’a pourtant été découverte qu’en 2017, et ce
grâce à un signalement externe. En effet, les données de l’attaque
ont été transmises à Troy Hunt, fondateur du
site haveibeenpwned.com, qui a immédiatement alerté Imgur. Près
de 1,7 millions d’utilisateurs du site d’hébergement d’images ont
été victimes de cette cyberattaque, qui visait à dérober leurs
données personnelles (adresses email et mots de passe, puisque la
société ne demande pas les noms, adresses ou numéros de
téléphones des utilisateurs). Utilisé par plus de 150 millions
d’internautes, Imgur a tout de suite demandé à ses utilisateurs de
changer leur mot de passe au plus vite, en utilisant des
combinaisons différentes pour chaque site et application. (source
HISCOX & Digital Energy SOLUXIONS)
68

69. 9) Exfiltration de données
ciblant
69

70. 9- Uber (novembre) –
Il y a un an environ, près de 57 millions de comptes utilisateurs de la
plateforme Uber ont été piratés. L’entreprise américaine, leader
mondial des VTC, aurait alors pris la décision de payer une rançon
aux hackers de 100 000 USD en échange de la destruction des
données piratées, sans avoir l’assurance que celle-ci soit réellement
effectuée.
Cette affaire, contre-modèle de bonne communication sur le sujet,
mise sous silence pendant une année, a éveillé les consciences en
matière de cyber-sécurité, devenue un enjeu majeur pour les
entreprises et pour les consommateurs. La Commission européenne
a quant à elle jugé irresponsable la gestion par Uber des données de
ses clients et de ses chauffeurs. (source HISCOX & Digital Energy
SOLUXIONS)
70

71. 10) Attaque contre la
plateforme de Minage de Bitcoin
71

72. 72

73. 10- NiceHash (décembre) –
Ces dernières semaines, l’envolée du Bitcoin a rythmé l’actualité,
éveillant ainsi l’intérêt tout particulier des hackers.
La célèbre plateforme slovène de minage de Bitcoins, NiceHash, a
été victime d’une cyberattaque durant laquelle 4 700 bitcoins ont
été dérobés, soit l’équivalant de près de 64 millions USD. (source
HISCOX & Digital Energy SOLUXIONS)
73

74. 74

75. MELTDOWN & SPECTRE – Vulnérabilités des processeurs
75

76. 76

77. Ces deux vulnérabilités touchant l’ensemble des
processeurs du marché posent la question cruciale du
« Security by Design »
77

78. 5 - Focus sur les arnaques au
Président et Faux Ordres de
Virements (FOVI) qui impactent
fortement les PME - PMI
78

79. Les attaques FOVI et arnaques au Président
79

80. Les attaques FOVI et arnaques au Président
80

81. Les attaques FOVI et arnaques au Président
81

82. Les attaques FOVI et arnaques au Président
82

83. 83

84. Les attaques FOVI et arnaques au Président
Etape 1
• Etude du rôle des employés de la société ciblée (exploitation des
réseaux sociaux, site web de l'entreprise, ...)
Etape 2
• Montage d'un scénario crédible (rachat d'une entreprise, demande du
Directeur financier, d'un fournisseur,...)
Etape 3
• Prise de contact avec la cible (par mail puis par téléphone, en usurpant
l'identité d'un client, d'un fournisseur, d'un avocat,...)
Etape 4
• Exploitation de la cible & Social Engineering (signature d'une clause de
confidentialité, pouvoir hiérarchique, autorité extérieure, dissuasion,
installation de la confiance...)
84

85. Les attaques FOVI et arnaques au Président
85

86. Les attaques FOVI et arnaques au Président
86

87. 87

88. 88

89. Les attaques FOVI et arnaques au Président
89

90. Les attaques FOVI et arnaques au Président
90

91. Les attaques FOVI et arnaques au Président
91

92. Les attaques FOVI et arnaques au Président
Attaque FOVI létale pour une PME :
Le cas BRM
92

93. Les attaques FOVI et arnaques au Président
L'attaque BRM Mobilier (2015 – 2016)
Etape 1 - début 2015 --> juillet 2015
Les attaquants collectent des informations sur l'entreprise, sur ses
dirigeants et sur le rôle des employés (44 salariés). Ils ont
également probablement piraté certains comptes d'employés et
ont eu accès à la messagerie interne.
Etape 2 - début 2015 --> juillet 2015
Les attaquants construisent un scénario plausible, crédible et
cohérent avec les informations récoltées : Ils se font passer pour un
cabinet d'avocats.
93

94. L'attaque BRM Mobilier (2015 – 2016)
Etape 3 - 21 juillet 2015
Les attaquants contactent la Directrice administrative et financière
par mail puis par téléphone. Ils obtiennent un premier virement
vers la Thaïlande sur une requête de paiement d'une facture à
fournisseurs non réglée.
Etape 4 - 21 juillet 2015 --> septembre 2015
Les attaquants maintiennent leur échanges avec la Directrice
Financière de BRM et obtiennent de nouveaux virements cette fois
vers la Chine. La "facture" est fractionnée en plusieurs petits
virements.
27 janvier 2016 : BRM Mobilier est placée en liquidation
judiciaire. le montant total détourné par l'attaquant s'élève à 1,6
Millions d'Euros.
Les attaques FOVI et arnaques au Président
94

95. Les attaques FOVI et arnaques au Président
95

96. Les attaques FOVI et arnaques au Président
96

97. Les attaques FOVI et arnaques au Président
Au niveau mondial…
L’étude SYMANTEC (juillet 2016)
BEC Fraud - Billion-dollars scams
https://www.symantec.com/connect/blogs/billion-dollar-scams-numbers-behind-bec-fraud
97

98. Etude SYMANTEC BEC Scammers – juillet 2016
98

99. Etude SYMANTEC BEC Scammers – juillet 2016
99

100. Etude SYMANTEC BEC Scammers – juillet 2016
100

101. Etude SYMANTEC BEC Scammers – juillet 2016
101

102. Etude SYMANTEC BEC Scammers – juillet 2016
102

103. 6 - Protéger son système d’information
103

104. 104

105. Les mauvaises habitudes …
105

106. 106

107. 107

108. Les bonnes pratiques…
108

109. Audit
Il permet d’évaluer le niveau de sécurité du système d’information existant et
de proposer des recommandations pour le sécuriser et le mettre à niveau.
Protection Des Postes de Travail
Mettre à niveau la sécurité des postes de travail en appliquant les bonnes
pratiques de sécurité et en s’assurant que les postes sont à jour et propre tout
en assurant un contrôle continu.
Protection De L’infrastructure IT
L’entreprise doit protéger tous les accès Internet (y compris les accès Wi-Fi) qui
sont les principaux points d’entrée des pirates. De plus en plus de sociétés
choisissent d’ailleurs d’installer un réseau privé virtuel (VPN) comprenant un
seul et unique point d’échange sécurisé avec Internet.
Redoubler de vigilance avec les appareils mobiles
Mettre à niveau la sécurité des appareils mobiles en appliquant les mesures de
sécurité nécessaires tout en assurant un contrôle continu.
109

110. Réseaux Sociaux
S’assurer que la communication de votre entreprise via les réseaux sociaux est
bien protégée et ne risque pas de vous poser de graves problèmes.
Traitement Des Incidents
Disposer de l’aide d’une équipe d’experts pour vous soutenir en cas d’incident
grave et vous apporter toute l’expertise nécessaire pour résoudre vos
problèmes.
Sensibiliser les employés de l’entreprise
Il est recommandé d’organiser une campagne de sensibilisation pour informer
les employés sur le danger bien réel de la cybercriminalité en insistant sur la
nécessité de :
- choisir des mots de passe d’au moins 12 ou 14 caractères mélangeant chiffres
et lettres,
- effectuer des sauvegardes fréquentes sur des supports externes ou une
plateforme cloud,
- adopter un usage prudent des messageries électroniques et des systèmes de
paiement.
110

111. Protection des données personnelles
S’assurer de la bonne protection des données personnelles des
clients ou des employés et se conformer à la loi en vigueur.
Développement de politique
L’entreprise doit enfin mettre en place une politique de sécurité
informatique précisant clairement les responsabilités de chacun et
les procédures prévues en cas d’attaque, afin que les équipes ne
soient pas prises au dépourvu et puissent reprendre l’activité le
plus rapidement possible.
111

112. 112

113. 113

114. 114

115. 115

116. 116

117. 7 - RGPD, Etes vous prêt ?
117

118. 118

119. 119

120. 120

121. 121

122. 122

123. 123

124. 124

125. http://cyberland.centerblog.net/
125
https://www.monde-proprete.com/composition-de-la-federation-des-entreprises-de-proprete-fep