Beaucoup de gens croient que seules les entreprises réglementées doivent conserver les e-mails et d’autres fichiers numériques. C’est une idée fausse et dangereuse. Les lois sur la conservation des données touchent la plupart des entreprises, qu’elles soient réglementées ou non.
Les lois que vous devez respecter dépendent du pays dans lequel vous exercez vos activités. Aux États-Unis, la liste des réglementations est longue : SOX, HIPPA, Franks-Dobbs, Gramm Leach Bliley, et même le USA Patriot Act. En Europe, il existe des lois spécifiques pour les pays membres de l’UE, ainsi que pour l’Union européenne dans son ensemble.
Saviez-vous que vous pourriez commettre un crime si vous supprimez un e-mail ? Vous réutilisez des supports de sauvegarde qui peuvent aller à l’encontre de la loi ? Faites cela avec une intention malveillante et vous risquez de purger 20 ans de prison aux États-Unis. Le défaut de produire des e-mails pour les vérificateurs peut également amener la SEC (Security and Exchange Commission) à imposer une amende aux entreprises financières.
Voici un résumé de certains des règlements particuliers et voici comment ils ont vu le jour. En raison du grand nombre d’organismes de réglementation et de règles qui se chevauchent, certaines organisations décident de tout conserver, et pour toujours. La raison est que certaines règles stipulent que le document A doit être conservé pour la période B et le document C doit être conservé pour la période D.
Les règlements peuvent encore se compliquer, car les différentes périodes et règles de conservation s’appliquent à différents types de données. Il est plus simple de supposer que vous avez besoin d’une copie inviolable et hors site de toutes les communications commerciales, des dossiers de paie et de santé, et des transactions comptables, et ce, pour toujours.
SOX
Après le scandale Enron aux États-Unis, le Congrès a adopté la loi Sarbanes-Oxley de 2002 pour faire en sorte que les entreprises démontrent la véracité de leurs états financiers. L’objectif était d’étayer l’affirmation « Tout va bien ici. Les affaires vont bien » avec des faits réels pour protéger les investisseurs contre la fraude (dans le cas d’Enron).
À cette fin, tout type de données comptables doit être conservé pendant 7 ans. Étant donné que les e-mails peuvent contenir des informations concernant les audits de la société et l’examen des états financiers réalisés par le comptable, ils doivent alors être conservés pendant cette période.
Les mesures prises dans le cadre de l’exploitation de l’entreprise sont également liées aux résultats financiers, de sorte qu’elles doivent être conservées pendant sept ans. Bref, le mieux serait donc de conserver tous vos e-mails pendant au moins 7 ans.
HIPAA
L’HIPAA est la Loi sur la transférabilité et la responsabilité en matière d’assurance maladie. Il a été adopté sous le mandat du président Clinton pour permettre aux Américains de conserver leur assurance maladie lorsqu’ils perdent leurs emplois. Cette cruelle partie du capitalisme a été remplacée par la nouvelle loi sur la santé du président Obama, mais les exigences de l’HIPPA en matière de paperasserie demeurent.
On pourrait penser qu’une loi appelée « assurance maladie… » s’adresserait uniquement aux professionnels de la santé. Bien au contraire, la loi s’applique aux discussions sur la santé de toute personne, y compris votre personnel. Il peut s’agir d’un employé qui demande un congé médical pour consulter un médecin ou pour s’occuper d’un enfant malade ; ou bien d’un parent vieillissant. Du moment que la communication se fait par e-mail, l’HIPPA exige que vous conserviez le message pendant six ans.
Les règles au Royaume-Uni
Watson et Hall ont passé en revue les règles en matière de détention de documents au Royaume-Uni. Leur matrice regroupe les exigences de communication et de conservation par secteur : finance, gouvernement, communication et conformité interentreprises.
Selon Watson et Hall, les entreprises basées au Royaume-Uni sont tenues de conserver les dossiers fiscaux pendant trois ans ; les messages texte sur téléphone cellulaire pendant un an (ce serait difficile) ; et les e-mails pendant un an, à moins que vous soyez une entreprise financière, auquel cas l’exigence est de six ans.
Les fournisseurs d’accès internet (FAI) et les entreprises hébergeant des sites web sont tenus de conserver un registre de leur activité sur internet pendant 4 jours et des informations sur la connexion Internet pendant un an.
Lois allemandes sur la conservation des données
Iron Mountain, l’entreprise américaine d’archivage de documents et de données informatiques, a dressé une liste pour l’Allemagne. En effet, les entreprises allemandes et les entreprises opérant en Allemagne sont tenues de conserver les communications commerciales pendant 6 ans et les données salariales et comptables pendant 10 ans.
Archivage des e-mails avec ArcTitan Cloud
Les exigences eDiscovery stipulent que les e-mails doivent être conservés et consultables pendant 6 ans. Par conséquent, il est important d’utiliser un système d’archivage d’e-mails – comme ArcTitan – qui donne aux utilisateurs un accès en ligne à ce qui est archivé hors ligne et hors site.
Il existe une alternative consistant à suivre un processus fastidieux pour restaurer des fichiers de données d’e-mails à partir d’une sauvegarde afin de rechercher ce qui pourrait être demandé à votre entreprise. Cependant, il s’agit d’un processus lourd et sujet aux erreurs.
ArcTitan inclut un navigateur en langage naturel via lequel vous pouvez rechercher dans les archives de votre messagerie électronique tous les éléments liés, par exemple, à « Fusion avec Acme Company ». Cet outil permet à votre entreprise de rester en conformité avec les réglementations en vigueur et de se conformer facilement aux exigences eDiscovery.
Après une fuite de données, celles-ci sont souvent vendues sur le dark web. L’autre jour, je parlais à un de mes amis du dark web, cet endroit sinistre où des actes ignobles sont accomplis et où des biens et services interdits sont vendus et échangés.
À l’approche d’Halloween, ce conte était très approprié. Après m’avoir écouté, il a répondu : « J’aurais vraiment aimé que tu ne m’aies pas parlé du dark web. Je n’aime pas savoir qu’un tel endroit existe vraiment. »
Meurtres contre rémunération sur le dark web
Le dark web existe et c’est un endroit sombre et sinistre.
Lord Voldermort et les mangemorts ne s’y cachent peut-être pas, mais vous y trouverez les cartes d’appel et le butin de milliers de pirates et de cybercriminels des quatre coins du monde. Données de cartes de crédit volées, renseignements sur la santé des patients, drogues, meurtres, monnaies contrefaites, etc. tout y est. Ces biens et services illicites font l’objet d’une publicité sur le dark web, et les pirates sont à la recherche d’individus qui sont prêts à les acheter, et ce, uniquement en bitcoins. Le 15 décembre 2015, Forbes Magazine a publié un article intitulé “The Things You Can Buy on the Dark Web Are Terrifying.”, consacré aux choses illégitimes disponibles sur le dark web.
Alors, qu’est-ce que le dark web ?
Le web traditionnel, comme la plupart d’entre nous le savent, est l’endroit où nous vérifions nos emails, consultons les prévisions météo et achetons sur Amazon, entre autres. Il est connu sous le nom de clear web. Sachez qu’il ne représente que 4% de l’Internet. Les 96 % restants sont désignés sous le nom de deep web, un vaste secteur de l’Internet inaccessible aux moteurs de recherche traditionnels. La majorité du deep web est un espace légitime. Il se compose de zones sécurisées réservées à certains organismes ou catalogues de données qui exigent un certain type d’accès aux membres. Les données de nombreuses organisations scientifiques telles que la NASA constituent par exemple une partie du deep web.
Attaques menées par le groupe de pirate DarkOverLord
Il existe un petit secteur du deep web appelé dark web. Il ne s’agit certainement pas d’un endroit où vous voulez qu’on retrouve les dossiers médicaux de vos patients. Malheureusement, plus de 655 000 personnes ont été victimes d’une telle situation, suite à un trio d’atteintes à la protection des données qui se sont produites au cours des mois d’été. L’attaque a été commise par un groupe de pirates informatiques utilisant le nom « The DarkOverLord », ancien expert en ransomware qui a maintenant choisi de mener le jeu à un niveau plus élevé en volant les dossiers médicaux des patients. L’incident a été découvert lorsque le DarkOverLord a contacté les trois organismes de santé concernés pour les avertir que leurs bases de données de patients avaient été saisies et que des échantillons avaient été affichés sur RealDealMarket, un site sans scrupules sur le dark web où les cybercriminels vendent tout, des cartes de crédit volées aux drogues.
La fuite de données comprenait ce qui suit :
48 000 dossiers de patients d’une clinique de Farmington, une ville du Missouri, aux États-Unis. Les enregistrements ont été acquis à partir d’une base de données Microsoft Access en texte brut.
210 000 dossiers de patients provenant d’une clinique du centre du Midwest des États-Unis qui ont été saisis en texte brut. Les dossiers comprenaient les numéros de sécurité sociale, les prénoms et noms de famille, les initiales du deuxième prénom, les informations sur le genre, les dates de naissance et les adresses postales des victimes.
La plus grande attaque impliquait la violation de 397 000 dossiers d’une grande clinique basée à Atlanta, en Géorgie. Celles-ci comprenaient également les numéros d’assurance maladie primaire et secondaire et les numéros de police d’assurance des victimes. Comme pour les autres incidents, les données n’étaient pas chiffrées.
Le DarkOverLord exigeait une rançon pour les 655 000 dossiers de patients sur le dark web
Le DarkOverLord a exigé une rançon de 1 $ par dossier auprès de chacune des organisations et attribué une date limite distincte pour le règlement. Si ces demandes ne sont pas satisfaites aux dates fixées, ils menaçaient de vendre les dossiers à de multiples acheteurs. Le groupe de pirate prétend qu’il a communiqué avec les trois organisations avant de voler les dossiers des patients pour les informer qu’il avait violé leurs réseaux et qu’il demandait des fonds pour les informer de leurs vulnérabilités, mais celles-ci ne voulaient rien entendre. Sur un site d’informations qui rend compte de la communauté de piratage, il a déclaré : « La prochaine fois qu’un adversaire viendra à vous et vous offrira la possibilité de le cacher et de le faire partir pour une somme modique afin d’empêcher la fuite de données, acceptez l’offre ».
Les trois cliniques ont communiqué avec leurs patients pour les avertir de la brèche et du risque imminent de vol d’identités. Pour le cas de l’entreprise d’Atlanta, la police locale a déjà commencé à documenter les rapports de police des patients victimes ayant signalé que leur crédit a été compromis. Les trois organisations doivent maintenant subir d’importantes atteintes à leur crédibilité et à leur réputation, et des poursuites imminentes seront sans aucun doute intentées sous peu contre elles. Selon une étude réalisée en 2016 par le Ponemon Institute, le coût moyen par dossier volé dans le secteur des soins de santé est de 355 $ aux États-Unis et de 158 $ dans le monde.
À l’approche d’Halloween, nous avons tous beaucoup plus à avoir peur de simples fantômes et gobelins. Ce que nous devons vraiment craindre, c’est que nos données personnelles soient vendues au plus offrant dans cet endroit sans scrupules qu’est le dark web.
La communauté de cybersécurité croit généralement qu’il suffit qu’un pirate informatique arrive à compromettre un seul ordinateur dans une entreprise pour qu’il puisse lancer une attaque. L’administrateur réseau, par contre, doit protéger chaque périphérique pour réussir dans son travail.
Cette notion a été illustrée il y a deux mois lorsqu’un système scolaire en Géorgie (États-Unis) a été contraint de lutter contre une attaque virale à grande échelle pendant six semaines. L’analyse de la manière dont le malware a infiltré le système scolaire évoque la façon dont les cybercriminels peuvent s’attaquer aux plus petites vulnérabilités de votre réseau. Elle permet également de savoir comment les effets d’une telle attaque se sont propagés rapidement.
Retarder l’inévitable
Le système scolaire a mis en place un système de sécurité multicouche comprenant un pare-feu d’entreprise, une solution de filtrage web, un filtre antispam Office 365 complété par l’ATP, ainsi qu’une protection des terminaux. D’une manière générale, le système informatique de l’établissement était solidement protégé, à l’exception d’une petite poignée d’ordinateurs dans le service des transports.
Alors que le département informatique avait migré tous les postes de travail de l’école vers Windows 10 et mis à niveau tous les serveurs dotés d’un système d’exploitation antérieur à Server 2012 vers une version serveur actuelle, le département des transports retardait constamment ces mises à niveau. Les employés du département ont partagé une pléthore de fichiers sur un serveur Windows 2003 local et certains employés travaillaient encore avec des machines fonctionnant sous Windows XP. Les chefs de département ont toujours insisté sur le fait que le moment n’était pas propice à une mise à niveau chaque fois que la question a été évoquée.
Malheureusement, le virus Emotet a infecté le réseau de l’école à l’aide du kit d’exploitation EternalBlue. Plus tôt cette année, Emotet a coûté 314 000 $ à un district scolaire de la Caroline du Nord. Les attaques d’Emotet visent souvent des organisations éducatives. EternalBlue tire parti d’une vulnérabilité bien connue qui exploite Microsoft Server Message Block 1.0. SMB est un protocole de partage de fichiers en réseau qui permet aux applications sur un ordinateur de lire et d’écrire des fichiers et de demander des services. Le protocole SMBv1 est intégré à toutes les versions de Windows pour assurer la compatibilité avec les versions antérieures. Emotet, qui date de 2014, a été initialement publié comme un cheval de Troie bancaire. Depuis lors, il a évolué en une charge malveillante pour d’autres types de malwares et de chevaux de Troie.
La vulnérabilité a été découverte publiquement au début de l’année 2017. Suite à cela, Microsoft a publié le correctif MS17-010 en mars 2017 pour éliminer la vulnérabilité des plateformes actuelles. Ensuite, il a publié des correctifs pour Windows XP, Windows 8 et Server 2003, même si ces systèmes ne sont plus pris en charge. Malheureusement, il s’agissait d’une mise à jour hors bande, c’est-à-dire qu’elle exige que le personnel informatique télécharge et installe manuellement le correctif. Pour une raison ou une autre, le correctif publié n’a jamais été installé sur les machines obsolètes au sein du district scolaire.
Anatomie d’une infection virale
Bien qu’une enquête n’ait pas encore permis de découvrir comment le virus a été lancé pour la première fois, on croit qu’un employé du service des transports a cliqué sur quelque chose dans un e-mail. L’utilisateur utilisait une machine XP qui avait plusieurs lecteurs mappés sur le serveur Windows 2003 local. Une fois que le virus a établi une tête de pont au sein du département, il a commencé à infecter latéralement d’autres machines. En outre, il a impliqué l’infection des machines victimes avec des malwares de chiffrement, laquelle semblait être le principal objectif de l’attaque.
Les processus de cryptomining consomment des ressources du processeur, ce qui rend les machines pratiquement inutilisables. Dans l’ensemble du district scolaire, bon nombre de machines infectées ont planté sur l’écran bleu et été redémarrées tout au long de la journée en raison de la consommation de ressources. Le réseau informatique s’est également ralenti en raison des flux de trafic malveillants qui circulaient sur l’autoroute latérale SMB.
Comme le reste du système scolaire avait correctement mis à niveau ses machines vers les systèmes d’exploitation pris en charge, le virus avait besoin d’un autre moyen pour se propager. Un keylogger a été déposé sur les machines infectées. Il pouvait rapidement capturer les informations d’identification d’un technicien de support informatique disposant des droits d’administration du domaine. Avec les nouvelles informations d’identification, Emotet a alors commencé à désactiver la fonction de mise à jour de Windows Defender sur les postes de travail et les serveurs clés, y compris les contrôleurs de domaine.
Au bout d’une semaine, le virus a pu installer des chevaux de Troie récemment publiés sur ces ordinateurs en créant des tâches planifiées sous le compte de l’administrateur. Un module de spam d’Emotet a alors commencé à envoyer des spams malveillants aux utilisateurs dans tout le district, en utilisant plusieurs versions d’une facture qui nécessitait de l’attention. Plusieurs utilisateurs sont tombés dans le piège et leurs machines ont été infectées. D’autres dispositifs ont obtenu le virus à partir de partages qui résidaient sur des serveurs infectés. Emotet a ensuite déployé le cheval de Troie bancaire Trickbot, lequel a ciblé rapidement les systèmes effectuant des transactions financières. Heureusement, le logiciel financier a détecté le virus et a refusé la connexion à un site bancaire externe.
Comment le département informatique a-t-il maîtrisé le virus ?
Ne connaissant pas l’état de la protection des terminaux pour ses machines, les employés du département informatique se sont d’abord efforcés de désactiver SMBv1 sur toutes les machines. Ainsi, le réseau a commencé à accélérer. Par ailleurs, une stratégie de groupe Windows a été créée pour empêcher la création de tâches planifiées sur le réseau. Ils ont téléchargé manuellement les mises à jour les plus récentes de Windows Defender et les ont installées sur toutes les machines qui étaient en retard sur les mises à jour. Enfin, ils ont exécuté Autoruns for Windows et supprimé tous les processus et fichiers qui passaient par l’application Trojan.
Au total, il a fallu 6 semaines complètes pour que le département informatique, surchargé, puisse maîtriser, endiguer et éliminer le virus. Depuis lors, il a créé de nouvelles politiques informatiques concernant les mises à niveau et les correctifs obligatoires pour tous les systèmes informatiques. En outre, ils ont mis fin à la pratique du partage interne de fichiers, exigeant que tout le personnel partage les fichiers dans le cloud.
Le fait est que tout cela aurait pu être évité s’il n’y avait pas eu négligence de deux principes clés de l’hygiène en matière de cybersécurité :
Mettre à niveau tous les systèmes d’exploitation et périphériques non pris en charge.
Toujours s’assurer que tous les appareils sont correctement mis à jour.
Malheureusement, les pirates informatiques peuvent facilement savoir si votre organisation utilise Office 365. Ils peuvent le faire parce que vous le diffusez dans le monde entier sur vos enregistrements DNS MX publics. Le fait de savoir que vous êtes abonné à Office 365 peut influencer la façon dont ils lancent une attaque sur votre réseau. Cela leur donne un avantage énorme dès le départ.
De nombreuses entreprises utilisent une approche de sécurité multicouche pour leurs e-mails. La raison est qu’elles trouvent les solutions proposées par les fournisseurs de sécurité dédiés plus efficaces, flexibles et moins coûteuses, comparées à la protection avancée contre les menaces de Microsoft qui nécessite des licences et des coûts supplémentaires.
Il est surprenant de constater que bon nombre des pires cyberattaques contre l’industrie de la santé ne sont pas signalées. L’attaque de WannaCry en mars, qui a paralysé les organisations de santé à travers la Grande-Bretagne, met en évidence la vulnérabilité des systèmes de sécurité réseau des établissements hospitaliers.
Selon un récent sondage mené par Bloomberg Law et l’American Health Lawyers Association auprès de 300 avocats présents à l’assemblée annuelle de l’Association of Corporate Counsel, cela s’est effectivement produit. L’enquête a révélé que 97 % des avocats travaillant pour des établissements de santé estiment que leurs organisations sont plus exposées aux cyberattaques que celles des autres secteurs. C’est presque unanime ! Voici quelques-unes des autres conclusions de l’enquête :
70 % des personnes interrogées s’efforcent de développer une expertise en matière de sécurité des données pour faire face à une telle situation.
84 % disent avoir été appelés à évaluer si un incident de sécurité implique des obligations de déclaration. La plupart d’entre eux ont ensuite été invités à élaborer des politiques et procédures internes pertinentes.
97 % ont déclaré qu’ils s’attendent à ce que leur participation aux questions de cybersécurité continuera d’augmenter au cours des prochaines années.
40 % ont indiqué que leurs organisations ou leurs clients ont des plans trop génériques et qu’ils n’ont pas de directives et ne réalisent pas d’essais spécifiques.
Le tiers des répondants ont déclaré que les plans de leur organisation n’étaient pas à jour pour faire face aux derniers types de menaces informatiques ou de changements organisationnels.
En fait, il ne faut pas l’avis de 300 avocats pour comprendre que les établissements des soins de santé sont vulnérables aux attaques cybercriminelles. D’autres rapports ont montré que 88 % des attaques de ransomware – qui se sont produites au cours du deuxième trimestre de 2016 – étaient dirigées contre des organismes de soins de santé. La menace est tellement préoccupante que Jocelyn Samuels, directeur du Bureau des droits civils du HHS, a déclaré :
« L’une des plus grandes menaces actuelles en matière de protection de la confidentialité des renseignements médicaux est la compromission grave de l’intégrité et de la disponibilité des données causée par les cyberattaques malveillantes sur les systèmes électroniques d’information sur la santé, à l’instar des programmes de ransomware. »
Les avocats ne sont pas les seuls à se préoccuper de la sécurité de leurs organisations de soins de santé. Dans un sondage mené par KPMG, 80 % des personnels de santé a déclaré que leur technologie de l’information avait été compromise cette année.
Cela n’a pas toujours été le cas. Il y a à peine trois ans, les organisations de soins de santé n’étaient pas aussi assiégées par la cybercriminalité qu’elles le sont aujourd’hui. Selon le rapport annuel Cyber Security Intelligence Index 2016, publié par IBM X-Force, cinq des huit plus importantes atteintes à la sécurité des soins de santé qui se sont produites depuis le début de 2010 ont eu lieu pendant les six premiers mois de 2015. Dans chacune de ces huit attaques, plus d’un million d’enregistrements ont été compromis. En fait, une seule attaque qui s’est produite en fin 2015 s’est soldée par le compromis de 80 millions d’enregistrements. Dans les conclusions d’IBM, la comparaison suivante illustre cette tendance inquiétante :
Les cinq principaux secteurs ciblés par les cyberattaques en 2015 :
Soins de santé
Fabrication
Services financiers
Gouvernement
Transport
Les cinq premiers secteurs ciblés par les cyberattaques en 2014 :
Services financiers
Information/communication
Fabrication
Vente au détail
Énergie et services publics
Comme vous pouvez le constater, en 2014, les soins de santé n’étaient même pas sur la carte en tant que principales cibles des cyberattaques. Mais en un an, ils ont dépassé les services financiers. Dans l’ensemble, le nombre d’attaques cybercriminelles perpétrées contre les organismes de santé a augmenté de plus de 125 % entre 2010 et 2015.
Cette évolution alarmante pourrait s’expliquer par le fait que les cybercriminels reconnaissent que les données relatives aux soins de santé sont d’une grande valeur pour eux. Selon un article publié par Reuters en 2015, les renseignements sur les dossiers médicaux ont une valeur plus élevée que les données des cartes de crédit.
Dans un autre rapport de l’InfoSec Institute, les numéros d’identification de Medicare ont atteint un prix beaucoup plus élevé sur le marché noir et le dark web que les numéros de sécurité sociale en 2015. Les dossiers de santé électronique (DSE) des patients contiennent des données qui peuvent être vendues à des fins multiples, comme le vol d’identité médicale ou les demandes frauduleuses de remboursement de médicaments sur ordonnance. L’un des inconvénients majeurs des DSE est que, contrairement aux cartes de crédit, les données médicales ne peuvent ni être annulées ni rééditées.
Cette tendance à la hausse des attaques cybercriminelles ciblant des soins de santé peut également être attribuée au fait que ce secteur est beaucoup plus vulnérable que d’autres, comme les services financiers qui ont une expérience considérable dans le renforcement de leurs systèmes de sécurité. Par le passé, les hôpitaux et les établissements de soins de santé similaires avaient généralement un personnel informatique minimal qui n’avait pas les connaissances et l’expérience nécessaires pour combattre ces menaces croissantes. Heureusement, la situation s’améliore. À titre d’indicateur, de nombreuses grandes organisations recrutent à présent des responsables de la sécurité de l’information du secteur des services financiers et de l’énergie avec de vastes programmes de rémunération. Il y a tout juste deux ans, ce poste n’existait presque pas au sein de l’industrie des soins de santé.
De telles mesures sont aujourd’hui indispensables dans le secteur de la santé. Selon le Ponemon Institute, un chef de file de la recherche sur la sécurité, le coût moyen d’une atteinte à la sécurité d’un organisme de santé américain est de plus de 2,2 millions de dollars. Sur une base sectorielle globale, on estime que le coût annuel s’élève à 6,2 milliards de dollars. À un moment donné, ces pertes seront insoutenables et pourraient mener à des faillites, ou pire encore. Ce qui est bien, c’est que les dirigeants de l’industrie, les conseillers juridiques et même le Congrès américain et d’autres gouvernements ont reconnu la gravité du problème.
Vous êtes un professionnel de l’informatique travaillant dans le secteur de la santé et vous souhaitez assurer la protection des données et de vos appareils sensibles ? Parlez à un spécialiste ou envoyez-nous un courriel pour toute question.
Le monde de la cybersécurité est en constante évolution. D’un côté, les pirates informatiques sont de plus en plus intelligents et sournois. Ils sont toujours à la recherche de nouvelles façons d’exploiter les failles et vulnérabilités de vos systèmes d’exploitation et de vos solutions de sécurité existantes. De l’autre côté, d’autres personnes, tout aussi intelligentes, s’efforcent de les arrêter.
Malheureusement il existe une limite importante : les personnes aux bonnes intentions doivent toujours être informées d’une menace avant de pouvoir agir.
Lorsqu’une vulnérabilité ou une faille de sécurité est découverte, votre entreprise devrait normalement se mettre immédiatement au travail afin de mettre en place un correctif. Vous ne voulez quand même pas être tenue responsable des dommages qui pourraient survenir, ou subir les conséquences d’une violation de vos données sensibles.
Voici pourquoi votre équipe doit être assez rapide pour règles ce genre de problèmes.
Le fait est qu’il faut toujours du temps pour obtenir et appliquer les plus récents correctifs de sécurité, ce qui laisse aux cybercriminels le temps d’exploiter les failles de sécurité. C’est pourquoi les attaques de type « zero-day » sont parmi les plus difficiles à gérer.
Explorons un peu plus le sujet !
Que sont les attaques zero-day ?
On peut définir les attaques zero-day de différentes manières. Certaines les définissent comme des attaques qui visent les vulnérabilités qui n’ont pas été patchées ou rendues publiques. D’autres avancent qu’il s’agit d’attaques tirant parti d’une faille ou d’une vulnérabilité de sécurité le « jour même » où celle-ci devient publiquement connue.
Chez TitanHQ, nous définissons l’attaque zero-day comme une attaque qui cible des vulnérabilités logicielles connues du public, mais qui ne sont pas encore corrigées.
C’est ce qu’on appelle la « fenêtre de vulnérabilité ». Les pirates informatiques se concentrent sur la recherche de vulnérabilités dans des logiciels largement utilisés tels que Windows, les navigateurs et les logiciels de sécurité. Les attaques zero-day ont touché les produits Adobe (Flash, Reader), Internet Explorer, Java, Mozilla Firefox, Windows, Microsoft Office, et bien d’autres.
Une fois qu’une vulnérabilité est découverte, la communauté de pirates est alertée par le biais des réseaux sociaux, de chats et d’e-mails. Les pirates s’activent ensuite à développer des kits d’exploitation pour tirer parti de la vulnérabilité. Des codes ou des kits d’exploitation sont alors mis en vente sur Internet.
Des efforts sont actuellement en cours pour réglementer la vente des kits d’exploitation zero-day. La politicienne néerlandaise Marietje Schaake a fait campagne pour des lois visant à limiter le commerce de ce qu’elle appelle des « armes numériques ».
Bien entendu, les éditeurs de logiciels testent leurs produits avant de les expédier. Mais le progiciel d’aujourd’hui est vaste et compliqué. Certains éditeurs proposent une version bêta d’un paquet logiciel à un certain nombre de clients afin de résoudre les problèmes avant le début de la production. D’autres emploient des sociétés de test ou des pirates white hat pour « battre le logiciel à mort ».
Quelques exemples très médiatisés d’attaques zero-day
En 2011, des cybercriminels ont exploité une vulnérabilité alors non corrigée dans Adobe Flash Player pour pouvoir accéder au réseau informatique de la société de sécurité RSA. Ils ont envoyé des e-mails contenant des pièces jointes de feuilles de calcul Excel à un groupe restreint d’employés de la firme. Les feuilles de calcul contenaient un fichier intégré qui exploitait la vulnérabilité zero-day du logiciel Adobe Flash.
Lorsque l’un des employés a ouvert la pièce jointe, les attaquants ont installé l’outil d’administration à distance dénommé Poison Ivy, ce qui leur a permis de prendre le contrôle de l’ordinateur de la victime. Une fois qu’ils ont eu accès au réseau informatique de la société, les pirates ont recherché des informations sensibles puis copié et transmis les données à des serveurs externes qu’ils contrôlaient.
Selon RSA, les données volées contenaient entre autres des informations sensibles liées aux produits d’authentification à deux facteurs, utilisés dans le monde entier pour permettre l’accès aux appareils et données sensibles.
Sony Pictures a également été victime d’une attaque zero-day à la fin de 2014, ce qui a paralysé son réseau informatique et qui a permis la diffusion de données sensibles de l’entreprise sur de nombreux sites de partage de fichiers. Parmi les données compromises se trouvaient des détails sur les films à venir, les adresses e-mails personnelles de hauts dirigeants de la marque ainsi que des plans d’affaires. Quant aux détails de la vulnérabilité qui a été exploitée lors de cette attaque, Sony n’a pas fourni des informations supplémentaires.
Quand on parle d’attaque zero-day, on devrait également mentionner Stuxnet, un ver informatique malveillant qui visait les ordinateurs utilisés à des fins de fabrication dans plusieurs pays, tels que l’Iran, l’Indonésie et l’Inde.
En réalité, les pirates ont choisi comme cible principale les usines d’enrichissement d’uranium de l’Iran. Leur but étant de perturber le programme nucléaire du pays. Les vulnérabilités exploitées lors de cette attaque zero day se trouvaient au niveau d’un logiciel qui fonctionnait sur des ordinateurs industriels appelés automates programmables industriels (API), fonctionnant sous Microsoft Windows.
Le ver a infecté les API par le biais des vulnérabilités du logiciel dénommé Step7 de Siemens. Ce faisant, les API ont commencé à exécuter des commandes inattendues sur les machines de la chaîne de montage et saboté les centrifugeuses dédiés à séparer des matières nucléaires dans plusieurs usines d’enrichissement d’uranium.
Minimiser l’impact des attaques zero-day
Une fois le logiciel expédié, certains fournisseurs tentent de minimiser l’impact des attaques zero-day en essayant de trouver les bugs avant les pirates. Les fournisseurs recherchent des sites de pirates informatiques, des blogs et des sites sociaux populaires à la recherche de personnes qui reportent des bugs.
Ce programme, plus connu sous le nom de « Bug bounty », consiste à récompenser les pirates qui reportent des bugs documentés. Les primes varient normalement entre 100 $ et 500 $.
Les pirates attirés par ces offres sont prêts à s’abonner à des sites Web tels que bugcrowd.com et hackerone.com pour trouver des programmes de Bug bounties. La plupart des principaux fournisseurs de logiciels (à l’exception d’Apple) ont de tels programmes, notamment Facebook Whitehat Program, Google Vulnerability Reward Program, Microsoft Online Services Bug Bounty Program et Mozilla Bug Bounty.
Ces programmes sont une volte-face des attitudes typiques des fournisseurs à l’égard des vulnérabilités il y a quelques années à peine. Les universitaires – et encore moins les pirates informatiques qui ont envoyé des informations sur les vulnérabilités à un fournisseur – pourraient être menacés de poursuites judiciaires s’ils divulguaient ces vulnérabilités.
La controverse sur la divulgation
La divulgation des vulnérabilités est vivement contestée. Certains pensent qu’elle peut conduire à d’autres attaques. D’autres pensent toutefois que, sans au moins la menace de divulgation, un fournisseur de logiciels n’a aucune raison de créer un correctif.
Gardez à l’esprit que les vulnérabilités affectent les utilisateurs beaucoup plus qu’elles n’affectent les fournisseurs. Les utilisateurs ont déjà payé pour leur logiciel, mais les fournisseurs ne réagissent que si la communauté des utilisateurs demande des correctifs. Cela signifie que les fournisseurs ont tendance à ne créer des correctifs que pour les logiciels ayant une large base installée.
Il existe deux approches principales en matière de divulgation :
La « divulgation complète » révèle tous les détails de la vulnérabilité, ce qui fait pression sur le fournisseur pour qu’il trouve rapidement une solution.
Aux États-Unis, la « divulgation responsable » se produit lorsque le fournisseur est avisé de manière confidentielle deux semaines avant que le CERT (Computer Emergency Readiness Team) soit avisé. Le fournisseur de logiciel dispose donc d’un délai de grâce de 45 jours pour publier un avis de sécurité. Théoriquement, cela lui donne le temps de coder et de publier un correctif.
Une fois qu’une vulnérabilité est exposée, elle est répertoriée dans un système accessible au public appelé Common Vulnerabilities and Exposures (Vulnérabilités et expositions communes) à l’adresse https://cve.mitre.org/. Sur ce site, chaque vulnérabilité est classée en utilisant le Common Vulnerability Scoring System.
Une fois répertoriée, la vulnérabilité devient connue du grand public
Une vulnérabilité peut également être trouvée par le fournisseur du logiciel lui-même. Dans ce cas, il a tendance à le garder secret jusqu’à ce qu’un correctif soit prêt à être distribué. Dans certains cas, cependant, il est annoncé publiquement si les utilisateurs peuvent prendre des mesures pour éviter le problème. Par exemple, si le bug dans un logiciel de comptabilité survient seulement pendant le traitement de fin de trimestre, cette activité peut être reportée jusqu’à ce qu’un correctif soit publié.
Si la vulnérabilité est connue du public, mais que le fournisseur n’a pas de correctif, les pirates informatiques peuvent lancer des attaques zero-day. Qu’est-ce qui protège donc l’utilisateur jusqu’à ce que le patch soit disponible ?
Il n’existe pas de solution unique pour protéger un réseau contre toutes les attaques du type « zero-day », car il y a trop de variantes de vulnérabilités qui nécessitent des solutions différentes. Cependant, même si votre système est une cible, il existe des solutions pouvant repousser de nombreuses attaques. On compte par exemple l’antispam, l’antivirus, l’utilisation de réseaux locaux virtuels (LAN) pour protéger les données transmises, l’utilisation d’un système WiFi sécurisé pour se protéger contre les attaques de malwares et les logiciels de filtrage de contenu web.
Quand le correctif est prêt
Après la publication d’un correctif, vous seriez surpris du nombre d’utilisateurs qui ne l’appliquent pas à temps.
Pourtant, il est essentiel pour la sécurité du réseau de garder le logiciel à jour, y compris les navigateurs, les systèmes d’exploitation, les plug-ins de navigateur et les applications telles que Microsoft Office. En effet, les auteurs de malwares peuvent exploiter rapidement les vulnérabilités des anciennes versions de logiciels populaires.
La plupart des attaques se produisent parce que les utilisateurs ne patchent pas leurs logiciels et leur matériel pour détecter les vulnérabilités connues. Selon FireEye, il y a eu 21 kits d’exploitation zero-day sur une période de plus de 2 ans, impliquant Internet Explorer, Microsoft Office, Adobe Flash, Java, et autres. Ils ont sans aucun doute été utilisés pour des attaques. Mais ce nombre est faible par rapport au nombre total de kits d’exploitation qui ont été corrigés par les éditeurs de logiciels.
Microsoft publie ses mises à jour de sécurité appelées « Patch Tuesday » le deuxième mardi de chaque mois. Les pirates informatiques connaissent ce cycle de correctifs et ciblent les logiciels Microsoft immédiatement après la livraison des mises à jour. Ainsi, ils peuvent inverser le code de mise à jour pour créer des kits d’exploitation. À noter que les mises à jour de sécurité importantes n’ont pas lieu avant le « Patch Tuesday ». C’est pourquoi les utilisateurs reçoivent un petit nombre de correctifs tout au long du mois.
Les entreprises de toutes tailles sont menacées par des malwares. Ne laissez pas la sécurité de vos informations critiques au hasard. Les données de votre entreprise sont trop précieuses pour ne pas être laissées sans protection et nécessitent une approche globale de la sécurité par couches pour les mettre à l’abri des dangers.
Chronologie d’une attaque zero-day
Deux chercheurs en sécurité, Leyla Bilge et Tudor Dumitras, se sont focalisés sur la chronologie d’une attaque zero-day et ont avancé que la menace se déroule en sept étapes distinctes, allant de l’introduction de la vulnérabilité jusqu’à l’application du correctif de sécurité.
Étape 1 : Introduction de la vulnérabilité
Lors de cette étape, un développeur crée une application qui – sans qu’il s’en rende compte – contient un code vulnérable.
Étape 2 : Publication du kit d’exploitation
Un pirate informatique découvre la vulnérabilité à l’insu du développeur ou avant que ce dernier n’ait pu la corriger. Ensuite, le pirate crée et déploie un code d’exploitation alors que la vulnérabilité reste encore ouverte.
Étape 3 : Découverte de la vulnérabilité
Le développeur ou le fournisseur de l’application prend connaissance de la vulnérabilité, mais il ne dispose pas encore de correctif.
Étape 4 : Divulgation de la vulnérabilité
Le fournisseur/développeur (ou d’autres chercheurs en sécurité) annonce publiquement la vulnérabilité. Les utilisateurs et les cybercriminels sont alors informés de son existence.
Étape 5 : Publication des signatures antivirales
Si les pirates informatiques ont déjà créé un logiciel malveillant de type zero-day qui cible la vulnérabilité, les éditeurs d’antivirus pourront identifier rapidement sa signature et fournir la solution de protection adaptée. Néanmoins, les systèmes peuvent encore rester exposés si les pirates trouvent d’autres moyens d’exploiter ladite vulnérabilité.
Étape 6 : Publication d’un correctif
A ce stade, le fournisseur de l’application va publier un correctif public afin de corriger la vulnérabilité. Cela peut prendre un temps plus ou moins long en fonction de la complexité de la vulnérabilité et de la priorité que le fournisseur lui accorde dans son processus de développement d’applications.
Étape 7 : Déploiement du correctif de sécurité
Vous l’aurez compris, le déploiement d’un correctif de sécurité n’est pas une solution instantanée, car il faut du temps aux utilisateurs finaux pour l’obtenir et l’appliquer. Les organisations et les utilisateurs individuels devraient donc activer les mises à jour automatiques de leurs logiciels et tenir compte des notifications de mise à jour.
Notez que les attaques zero-day sont rarement découvertes assez rapidement (il faut généralement des jours, des mois, voire des années) et vos systèmes restent vulnérables aux attaques tout au long du processus, c’est-à-dire à partir de l’étape 1 jusqu’à l’étape 7. Même si l’attaque zero-day ne peut avoir lieu qu’entre les étapes 2 et 4, d’autres attaques peuvent se produire si la vulnérabilité reste non corrigée.
Que pouvez-vous faire pour vous protéger des attaques zero-day ?
Les attaques zero-day représentent de sérieuses menaces pour votre sécurité informatique, car elles peuvent entraîner des dommages potentiels à votre réseau, à vos appareils ou à vos données personnelles. Si vous voulez garantir la sécurité de votre équipement et de vos données, on ne saurait trop vous recommander de prendre les quelques mesures de sécurité proactives et réactives suivantes.
Pour construire votre première ligne de défense, vous devez choisir une solution proactive. En d’autres termes, vous devez utiliser un logiciel de sécurité complet, comme Bitdefender ou ClamAV, pour vous protéger contre les menaces connues et inconnues.
Comme deuxième ligne de défense, optez pour une solution réactive et mettez à jour immédiatement vos logiciels dès que de nouvelles mises à jour sont disponibles auprès de votre fournisseur. Cela réduit le risque d’infection par des malwares et les attaques zero-day.
Les mises à jour logicielles vous permettent d’appliquer les révisions nécessaires à vos logiciels et vos systèmes d’exploitation. Il peut s’agir de l’ajout de nouvelles fonctionnalités, de la suppression des fonctionnalités obsolètes, de la correction des bugs, de la mise à jour des pilotes, et surtout de la correction des failles de sécurité au niveau de votre réseau informatique.
Malheureusement, l’attaque zero-day est très difficile à contrer. Comme nous l’avons mentionné au début de ce dossier, il est presque impossible de vous prémunir contre une menace totalement inconnue. Les bonnes pratiques en matière de cybersécurité ainsi que les mises à jour fréquentes sont certes utiles – et vous devriez toujours les appliquer – mais vos chances d’empêcher ce type d’attaque ne sont pas bonnes.
Dans de nombreux cas, la seule chose que vous pouvez faire est de déconnecter tout appareil connecté à Internet jusqu’à ce qu’un correctif soit publié et installé. Par ailleurs, n’oubliez pas de renforcer les paramètres de votre pare-feu, de sorte que seules les connexions les plus essentielles soient autorisées. Si c’est votre site web qui est touché par une attaque zero-day, vous pourriez peut-être vous contenter d’un temps d’arrêt, mais vous pouvez aussi utiliser un proxy ou un VPN afin de résoudre temporairement le problème.
Cela explique la raison pour laquelle vous et vos employés doivent pratiquer une bonne sauvegarde des données. Pourquoi ? Parce que la perte des informations sensibles est l’un des effets les plus courants d’une cyberattaque, alors que c’est l’un des plus faciles à éviter. Si vous disposez d’une sauvegarde récente de vos données, et si celles-ci n’ont pas été compromises, vous pouvez simplement les restaurer et votre activité pourra se poursuivre normalement.
À titre préventif, pensez à stocker vos données les plus sensibles sur un appareil non connecté à Internet et conservez également une copie de vos archives dans le cloud.
En cas d’attaque zero-day, il est toujours important de la signaler à l’entreprise qui a fabriqué le matériel ou l’application concernée. En fonction de la gravité de l’incident, vous pouvez aussi avertir les autorités compétentes. Tant que personne ne signale chaque forme d’attaque zero-day, il y a peu de chances que l’on puisse remédier à ses effets.
Utilisez SpamTitan, un logiciel de sécurité proactif et complet pour bloquer les menaces en ligne
SpamTitan de TitanHQ est un service géré qui filtre et vérifie intelligemment tout trafic entrant dans votre réseau informatique. La solution peut bloquer les menaces à la périphérie de votre réseau, notamment 99,9 % des spams, les malwares, les ransomwares, les attaques de phishing et les virus.
Grâce à SpamTitan, vous pourrez renforcer la couche de sécurité de votre logiciel Office 365 contre les malwares et les attaques zero-day et prévenir les fuites de données grâce à l’ajout de puissantes règles de prévention, ce qui évite les pertes de données internes.
En ce qui concerne la sécurité de la messagerie électronique, sachez que SpamTitan peut bloquer les pièces jointes infectées. Il peut être déployé comme une solution basée dans un cloud partagé, dans un cloud privé ou comme une solution sur site.
Enfin, SpamTitan est une application sécurisée, capable d’anticiper les nouvelles attaques grâce à l’utilisation de la technologie prédictive. Son déploiement est très facile, tout comme sa gestion et son utilisation.
Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.
Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.
FAQ sur les attaques Zero-Day
Quel est exactement le but d’une attaque zero day ?
Les attaques du type zero day ciblent souvent les entreprises et les gouvernements connus, mais aucune organisation n’est à l’abri de ce type de menace. En fait, des recherches ont montré que ce sont les PME qui ne disposent pas d’équipes ni de solutions de cybersécurité adéquates en raison des limites de leurs investissements qui souffrent davantage d’une telle attaque que les grandes organisations.
Pouvez-vous donner quelques exemples des plus célèbres exploits d’une attaque zero day ?
Parmi les attaques les plus notoires, on compte Stuxnet qui visait l’usine d’enrichissement de l’uranium de Natanz. Il s’agit d’un virus qui aurait été développé par les États-Unis et l’Israël, exploitant de multiples vulnérabilités « zero day ». Il y a également Aurore qui a fait des ravages en 2010, lors de laquelle des cybercriminels chinois ont utilisé une vulnérabilité de type « zero day » via Internet Explorer. Enfin, on peut citer le piratage RSA en 2011. Lors de cette attaque, les cybercriminels ont exploité ce type de vulnérabilité par le biais du lecteur Flash d’Adobe pour lancer une campagne de spear phishing, ciblant les employés de la RSA.
Peut-on détecter facilement une faille « zero day » ?
En soi, un exploit du type zero day est une simple faille dans un composant matériel ou un logiciel. Toutefois, elle peut entraîner des dommages bien avant qu’elle ne soit détectée.
Pour quelles raisons cette attaque est-elle presque indétectable ?
Une attaque zero day ne se produit que lorsqu’une faille ou une vulnérabilité matérielle ou logicielle est exploitée par un malware. L’administrateur système n’aura donc pas la possibilité de créer un correctif afin de combler la brèche à temps. C’est d’ailleurs pour cela qu’on appelle attaque « zero day ».
Quel genre de système d’exploitation est le plus visé par les pirates ?
Au cours du premier semestre 2014, ce type d’attaque s’est poursuivi sans relâche, et ce, à partir de 2013. La menace visait essentiellement les applications des utilisateurs finaux comme les navigateurs et les applications Microsoft Office. Microsoft Internet Explorer a été le système d’exploitation le plus corrigé du marché, mais il a également été le plus exploité, surpassant Adobe Flash et Oracle Java. Internet Explorer continuera probablement à être la cible de choix pour les pirates à l’avenir.
Une récente vague d’e-mails de phishing chez le fournisseur de technologie de signature numérique DocuSign a été liée à une atteinte à la protection des données.
Un pirate informatique a eu accès à un sous-système périphérique qu’il a utilisé pour transmettre des informations aux utilisateurs par le biais de la messagerie électronique et pour voler leurs adresses électroniques. La société privée, qui fabrique des logiciels pour ajouter des signatures électroniques conformes à la loi, a indiqué que seules les adresses e-mail ont été consultées.
L’atteinte à la protection des données a été découverte au cours des deux dernières semaines lorsque des campagnes de spams ciblant des clients ont été détectées. Comme c’est souvent le cas pour les attaques de phishing, tous les e-mails utilisaient une marque officielle et ont été créés pour ressembler aux e-mails officiels de DocuSign.
Les lignes d’objet des e-mails étaient également typiques des récentes escroqueries de phishing de PDG, faisant référence à des factures et des instructions de virement électronique. Les e-mails de phishing contenaient un lien vers un document Microsoft Word téléchargeable qui contient un malware.
L’atteinte à la protection des données n’a concerné que les titulaires de compte DocuSign, et non les utilisateurs enregistrés sur le système eSignature. On ne sait pas exactement combien d’adresses e-mail ont été volées, mais sur le site web de DocuSign, l’entreprise indique qu’elle compte plus de 200 millions d’utilisateurs.
Basée à San Francisco, l’entreprise DocuSign a suivi les e-mails de phishing et rapporté qu’il y a deux variantes principales de lignes d’objet, à savoir « Terminé : docusign.com – Instructions de Transfert par Virement électronique pour *nom du destinataire*, Document Prêt pour Signature », ou « Terminé *nom de l’entreprise* – Facture Comptable *numéro* Document Prêt pour Signature ».
En réfléchissant et en planifiant soigneusement leur politique de sécurité web, les organisations peuvent réduire considérablement leur exposition à une attaque de phishing et à une atteinte potentielle à la sécurité des données. Sans cela, elles risquent de subir des pertes financières directes et leur réputation pourrait gravement être atteinte.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que les données et les appareils sensibles de vos clients et de votre personnel soient protégés ? Parlez à un de nos spécialistes de la sécurité web ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.
