Cybersécurité Archives - Page 5 sur 5 - L'actualité cybersécurité, propriété intellectuelle et noms de domaine

Les suites de l’affaire Equifax ou comment les contrôles mis en place dans le cadre d’un SMSI (ISO 27001) peuvent aider à éviter des incidents de sécurité ?

Avant-hier (3 octobre 2017), l’ex CEO d’Equifax, Rick Smith, a dû expliquer devant le Congrès américain comment les données privées de presque un américain sur deux ont pu être piratées.

Rappelons brièvement la chronologie des faits (pour plus d’informations, nous vous invitons à lire l’article complet d’Adriana Lecerf) :

09 mars 2017: une faille Apache Struts est détectée. Moins d’une semaine après, le patch de sécurité est validé et planifié, mais ce dernier n’est pas appliqué sur tous les serveurs.
15 mars 2017: un scan est effectué mais aucune vulnérabilité n’est détectée.
Avril 2017: des hackers profitent de cette brèche (le patch de sécurité qui n’a pas été appliqué sur tous les serveurs) et volent les précieuses données.
31 juillet 2017 : l’ex PDG est mis au courant du vol d’information.
8 septembre 2017 : Communication officielle sur le piratage.

Comment la certification ISO 27001 et la mise en place d’un SMSI (Système de Management de la Sécurité de l’Information) associé peut aider à éviter ce type d’incident :

La norme ISO 27001 est la référence en matière de validation et d’amélioration continue d’un SMSI.
Elle s’appuie sur 114 points de contrôles qui balaient tous les domaines pour la mise en place d’un SMSI, dont la mise en place de procédures et processus de mise à jour des plateformes.

Cela comprend la mise en place et le contrôle régulier de processus de gestion des risques visant à garantir la sécurité des données. L’objectif premier de ce système de management est de mettre en œuvre les mesures adéquates afin de réduire voire éliminer l’impact des menaces pour les utilisateurs ou les clients.

Le SMSI est une roue d’amélioration continue et, dans le cas d’Equifax, les processus de contrôle instaurés et suivis via un SMSI auraient pu aider à éviter, à termes, ce genre d’incident.

Cette affaire démontre à nouveau l’obligation de repenser les stratégies de sécurité au sein des entreprises et de mettre en place les protocoles nécessaires pour s’assurer de la découverte des éventuelles failles de sécurité et des correctifs à appliquer.

Nameshield : premier registrar français certifié ISO 27001 sur l’ensemble de son activité registrar

Fruit de plusieurs mois de travail, Nameshield est fier de vous annoncer sa certification ISO 27001 sur toute son activité registrar.

Pourquoi la certification 27001 ?

Depuis sa création il y a 23 ans, Nameshield a toujours eu à cœur de fournir à ses clients les meilleures prestations dans des conditions de sécurité optimale. En choisissant la norme ISO 27001, ce soin constant apporté à l’ensemble de nos services est désormais certifié par une autorité compétente.

La hausse vertigineuse de la fréquence et de la puissance des attaques cybercriminelles a conforté Jean-Paul Béchu, fondateur et dirigeant de Nameshield, dans sa détermination à proposer à l’ensemble de nos utilisateurs une certification ISO 27001 sur notre activité registrar.

Il est aujourd’hui monnaie courante que les cybercriminels attaquent les prestataires de services pour atteindre indirectement leurs cibles finales, et si notre RSSI (Responsable de la Sécurité des Systèmes d’Information) veillait d’ores et déjà à la sécurité de nos infrastructures, la norme ISO 27001 renforce les exigences.

Si Nameshield a entrepris cette démarche, au fruit d’un investissement important, tant humain que financier, c’est parce qu’il était primordial pour nous de démontrer et certifier la dimension de notre engagement en matière de sécurité.

Etre certifié ISO 27001, c’est garantir à nos clients et partenaires que la sécurité des systèmes d’information est pleinement intégrée et que Nameshield s’engage à un processus d’amélioration continue, nécessitant des ressources spécifiques que nous avons choisies de déployer. La certification confirme aussi la compétence des salariés de Nameshield et leur expertise dans la protection des informations critiques.

La certification ISO 27001, qu’est-ce que c’est ?

L’ISO 27001 est une norme internationale qui décrit les exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). Ce dernier est destiné à choisir les mesures de sécurité à mettre en place afin d’assurer la protection des biens sensibles d’une entreprise sur un périmètre défini. Dans le cas de Nameshield, celui-ci couvre l’ensemble de son activité registrar. A plus haut niveau, la norme ISO 27001 requiert que les dirigeants de l’entreprise s’impliquent dans la cyberdéfense. En parallèle, un comité de pilotage suit la mise en œuvre des nouvelles dispositions respectant la norme.

Un audit réalisé par LRQA, le leader mondial de la certification des systèmes de management à valeur ajoutée, nous a permis d’étendre nos mesures sécuritaires et de devenir le premier bureau d’enregistrement français à être certifié sur le périmètre complet de son activité de registrar.

Nameshield, your trusted partner.

Tout comprendre sur le Registry lock

Tous se souviennent de l’attaque dont avait été victime le New York Times en 2013. Un groupe de hackers agissant au nom de la SEA, l’Armée Electronique Syrienne (Syrian Electronic Army) avait eu accès aux codes de leur registrar Melbourne IT et ainsi pu modifier les informations DNS de nytimes.com. Le trafic du site a alors été redirigé vers un serveur contrôlé par les pirates.

Cette même attaque n’avait pourtant pas eu d’impact sur Twitter.com, géré par le même registrar mais verrouillé par un Registry lock.

En mars 2014, les hackers de la SEA s’en prennent cette fois à Facebook et tentent de détourner le nom de domaine facebook.com, mais protégé par la mise en place du Registry lock, Facebook a également réussi à déjouer cette cyberattaque.

Si rares sont les attaques rendues publiques, il est à l’inverse notoire qu’il existe une solution simple et efficace pour leur faire face : le Registry lock, comme en témoignent les exemples ci-dessus. Il constitue par ailleurs la première recommandation de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dans son guide des bonnes pratiques en matière de sécurité des noms de domaine.

Avec la hausse de la cybercriminalité, il est en effet devenu indispensable de se protéger à tous les niveaux sur Internet. Toutefois, si l’on connait bien les attaques par DDoS, il existe d’autres types de cyberattaques qui ont également des conséquences non négligeables pour une entreprise.

Les attaques par détournement de noms de domaine permettent au cybercriminel de prendre le contrôle du nom, en accédant aux données d’enregistrement, de détourner le trafic des sites web et de le rediriger par exemple vers un site internet frauduleux.

L’impact d’une telle attaque entraîne :

une forte dégradation de l’image de l’entreprise
une perte de confiance des utilisateurs
une perte de chiffre d’affaires
une perte de données confidentielles ou stratégiques

Qu’est-ce que le Registry lock ?

Il s’agit d’une mesure de sécurité ayant pour objectif de lutter contre ces attaques en verrouillant les opérations possibles sur les noms de domaine.

Ce service permet ainsi à un titulaire de nom de domaine d’indiquer au registre qu’il désire le verrouillage des informations relatives à son nom de domaine. Pour modifier les données d’un nom sécurisé par un registry lock, le registrar doit alors faire une demande de déverrouillage auprès du registre, qui sera validée après un processus d’authentification.

Le Registry lock permet donc de protéger un nom de domaine en verrouillant différentes opérations telles que la modification de serveur DNS, le changement de titulaire ou la modification de contact, le transfert ou même la suppression d’un nom de domaine.

Ce mécanisme de sécurité s’exécute par le biais de procédures manuelles fortement sécurisées, et offre une protection supplémentaire aux noms de domaine stratégiques.

Principe de déverrouillage auprès du registre :

Selon l’Afnic, le registre de l’extension .fr, le Registry lock est encore trop peu utilisé bien que les attaques par détournement de noms de domaine se soient multipliées. En effet, depuis le lancement de leur Registry lock, le .Fr Lock en 2015, sur 400 bureaux d’enregistrement accrédités Afnic, seuls 20 proposent ce service à leurs clients et moins d’une centaine de noms sont aujourd’hui verrouillés par le .Fr Lock.

Retrouvez le dossier thématique détaillé de l’Afnic sur le .Fr Lock avec une interview de Nameshield :

Afnic - Dossier thématique .Fr Lock — Afnic – Dossier thématique .Fr Lock

Cyber-blurring : la technique mise en place par l’équipe de Macron face aux cyberattaques

A deux heures de la clôture de la campagne pour l’élection présidentielle 2017, le 5 mai 2017, des dizaines de milliers de documents appartenant à l’équipe de campagne d’Emmanuel Macron ont fuité et ont été rendus publics sur le forum américain 4Chan, relayés par WikiLeaks. Les réseaux sociaux ont joué un rôle important dans la diffusion de cette attaque et du contenu des documents : des discussions internes du mouvement, des notes de synthèses, des photos, des factures ainsi que sa comptabilité. Cela représente 9 gigaoctets de données piratées.

Les équipes du candidat d’En Marche n’étaient pas confrontées à leur première attaque depuis le début de la campagne présidentielle. Alertées depuis longtemps sur de potentiels risques d’attaque, elles ont mis en place la stratégie du cyber-blurring (qui signifie cyber flou) pour essayer de se défendre. Cette technique consiste à créer une quantité massive de faux documents (faux emails, faux mots de passe, faux comptes) pour tenter de ralentir le travail des hackers. Cette parade est souvent utilisée dans le milieu bancaire, pour protéger leurs clients. Cette technique de diversion est aussi appelée floutage numérique.

Twitter L'Express - Mounir Mahjoubi - cyber-blurring pour faire face aux cyberattaques — Compte Twitter de L’Express

Même si le directeur de la campagne numérique d’En Marche, Mounir Mahjoubi, pense avoir considérablement ralenti le travail des hackers par cette technique de cyber-blurring, malgré ces précautions, l’attaque n’a pas été empêchée.

Les pirates informatiques n’ont pas cherché à demander une somme d’argent en échange de la non publication des documents. Ces documents non compromettants pour l’équipe d’Emmanuel Macron, n’étaient pas monétisables car il fallait s’amuser à trier 9 gigaoctets en peu de temps.

Les conséquences sont minimes sur l’impact de la campagne présidentielle et l’équipe d’En marche n’a pas été réellement touchée. Cette contre-offensive a été bien mise en place. Les pirates anti-Macron n’ont pas eu le succès souhaité. En revanche, cet échec va les pousser à être encore bien plus malins, plus ingénieux, moins visibles, mieux préparés pour une prochaine attaque.

To be continued.

Les objets connectés : incontournables dans les attaques DDoS ?

Aujourd’hui, tous les consommateurs côtoient et utilisent des objets connectés. L’Internet des Objets (IoT) peut comprendre un réfrigérateur, un capteur, une ampoule, des caméras de vidéosurveillance, des routeurs et thermostats connectés. Leur point commun ? De disposer d’une adresse IP et d’être connectés pour communiquer.

D’après la société américaine, Gartner, d’ici 2020, les objets connectés devraient dépasser les 20,5 milliards d’unités. Nous allons faire face à une croissance phénoménale de l’Internet des Objets dans les années à venir.

La Chine, l’Amérique du Nord et l’Europe occidentale représenteront 67% de l’ensemble de l’Internet of Things (IoT) en 2017.

Toutefois, ces objets connectés sont fréquemment déployés avec des vulnérabilités et une sécurité hasardeuse, une véritable aubaine pour les attaques DDoS.

Les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) sont aujourd’hui fréquentes. Pour les hackers, il est relativement simple de les mettre en place contre une cible non protégée. Ces attaques sont susceptibles d’engendrer des pertes financières non négligeables pour les sociétés, par l’interruption de service (site web ou boîtes email) ou encore indirectement, par l’atteinte portée à l’image de la cible (bad buzz, mauvaise réputation…).

Avec l’arrivée des objets connectés, les chances d’être confronté à une attaque DDoS sont élevées.

Ces attaques ont pour but de rendre indisponible un service, par inondation de requêtes. Avec l’aide de nos objets numériques et connectés, les pirates envoient des requêtes en masse sur un ou plusieurs serveurs DNS. Ils arrivent à prendre le contrôle de nos objets à distance, car ils sont porteurs de failles de sécurité. Si les serveurs DNS ne sont pas protégés par un filtrage anti-DDoS puissant, alors les serveurs risquent de ne pas absorber le volume de requêtes et donc de ne plus répondre à la demande de l’utilisateur.

En octobre 2016, la société DYN, fournisseur de service DNS, a été victime d’une attaque DDoS via les objets connectés. Les services d’infrastructure DNS ont été indisponibles et ont donc impacté les services de ses clients: Twitter, Netflix, Spotify …

Plusieurs heures hors ligne, pour ces pure players du web, impactent directement le chiffre d’affaires. DYN affirme que « des dizaines de millions d’adresses IP étaient impliquées » lors de cette attaque.

La semaine dernière, le Registrar Melbourne IT a également été victime d’une attaque DDoS. Certains de ses clients ont été touchés par cette rupture de service.

Ces attaques risquent d’être plus nombreuses, et plus puissantes en 2017. Avant les attaques étaient menées par des ordinateurs, aujourd’hui, les objets connectés sont une arme incontournable. Heureusement, certains fabricants ont affirmé vouloir renforcer la sécurisation de leurs produits connectés.

Le DNS est une priorité absolue. Il est indispensable de sécuriser ses noms de domaine stratégiques en les plaçant sur des DNS hautement sécurisés, afin de garantir une haute disponibilité permanente. Nameshield propose une solution DNS Premium pour gagner en performance et assurer une disponibilité à 100%.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description

Comment la certification ISO 27001 et la mise en place d’un SMSI (Système de Management de la Sécurité de l’Information) associé peut aider à éviter ce type d’incident :

Pourquoi la certification 27001 ?

La certification ISO 27001, qu’est-ce que c’est ?

Qu’est-ce que le Registry lock ?

Nameshield utilise des cookies