Nous joindre

Mois : mars 2023

L’actualité en cybersécurité mars 2023

par

L'actualité Cyberswat

Webinaire – Cybersécurité des entreprises de services et l’assurance en cyberrisque: Par où commencer?

 Avec PMT ROY Cabinet en assurance et services financiers, nous aurons le plaisir de discuter de ce sujet très actuel lors d’un webinaire gratuit organisé le mardi 4 avril à midi:
 
À quoi s’attendre?
✅ des conseils pratiques pour maximiser vos chances de succès dans la sécurisation de votre entreprise de services;
✅ les différentes couvertures d’assurance pour vous aider à vous relever d’une cyberattaque.
 
Le webinaire sera donné par:
– Jean-Philippe Racine, président de Groupe Cyberswat
– Judith Bilodeau et Bruno-Pierre Boudreault, courtiers produits spécialisés chez PMT Roy, Cabinet en assurance de dommages et services financiers
 
Inscriptions ici:
https://us02web.zoom.us/webinar/register/7616770721232/WN_4WeNbqY4QYGobA0iiftxXQ

Webinaire: utilisez les subventions pour vous sécuriser et convaincre les investisseurs

 Il a eu lieu le 23 février dernier et il est désormais disponible en rediffusion si vous l’avez manqué.
 
Pour rappel, on y parle:
• des éléments clés que les investisseurs regarderont avant d’investir dans une startup;
• des conseils pratiques pour maximiser vos chances de succès dans la sécurisation de votre startup;
• les différents programmes de subventions disponibles pour vous aider.
 
Comment accéder à la vidéo: https://inscription.cyberswat.ca/12n0mnew3f

Mieux comprendre le dark web et ses enjeux

Est-ce que les données de votre organisation se sont déjà retrouvées sur le darkweb? 

Vous vous êtes sans doute déjà posé la question. Le service de surveillance du darkweb pour les entreprises est d’ailleurs de plus en plus populaire.

Avec cet article, nous allons vous aider à bien comprendre les enjeux et ce que vous pouvez réaliser comme recherche. Il existe des outils gratuits qui peuvent déjà vous aider, mais vous pouvez aussi pousser l’exercice plus en profondeur.

On a essayé de vulgariser tous ces concepts au maximum 😉

https://www.cyberswat.ca/mieux-comprendre-le-dark-web-et-ses-enjeux/

Cyberswat dans les médias

Jean-Philippe a été invité sur le plateau de MAtv pour parler cybersécurité. Cyberswat se spécialise dans la #cybersécurité pour les entreprises, mais cette fois-ci, on vous donne des conseils pour vous protéger au quotidien 🙂

Pour écouter l’émission: https://matv.ca/quebec/mes-emissions/parler-d-argent-c-est-pas-stressant/etre-un-emprunteur-de-choix-et-internaute-averti

Jean-Philippe a également participé au podcast Ca$hMire et nous parle du positionnement du Québec en cybersécurité par rapport aux États-Unis, de la loi 25 qui oblige les entreprises à informer leurs clients lors d’une attaque, ainsi que les enjeux de cybersécurité en lien avec ChatGPT.

Pour écouter l’entrevue sur le podcast: https://open.spotify.com/episode/7l9WKja21OuKF7g3BbNEZ5

Le Meme du mois :


Sur nos réseaux, nous vous partageons toutes les semaines un meme de cybersécurité pour aider à sensibiliser le maximum de personnes, avec humour 😊

 
meme_sparrow

L'actualité en cybersécurité

Google découvre 18 failles de sécurité graves dans les puces Samsung Exynos

Google attire l’attention sur une série de failles de sécurité critiques dans les puces Exynos de Samsung, dont certaines pourraient être exploitées à distance pour compromettre complètement un téléphone sans nécessiter d’interaction de la part de l’utilisateur.
 
Un correctif a été poussé dans les mises à jour de sécurité de mars 2023 (si vous ne les avez pas faites…) pour le Pixel 6 et 7. Les correctifs pour les autres appareils devraient varier en fonction du calendrier du fabricant, soyez attentif. Pour ces appareils, il est recommandé aux utilisateurs de désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil afin de « supprimer le risque d’exploitation de ces vulnérabilités ».
 
Source: https://thehackernews.com/2023/03/google-uncovers-18-severe-security.html

Zero-Day de Fortinet et logiciel malveillant personnalisé utilisés par « un acteur chinois présumé » dans le cadre d’une opération d’espionnage

 
Cet article, très complet, décrit des scénarios dans lesquels un acteur soupçonné d’être à l’origine de la menace China-Nexus avait probablement déjà accès aux environnements des victimes et a ensuite déployé des backdoor sur les solutions Fortinet et VMware afin de conserver un accès permanent à ces environnements. Cela a impliqué l’utilisation d’une vulnérabilité locale zero-day dans FortiOS (CVE-2022-41328) et le déploiement de plusieurs familles de logiciels malveillants personnalisés sur les systèmes Fortinet et VMware.
 
Cet article s’adresse davantage aux geeks d’entre vous, car très technique 😉
 
En savoir plus: https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem

Notre partenaire 1Password vous dévoile 7 malentendus courants sur les passkeys

 
On reste dans la thématique toujours (trop) d’actualité en cybersécurité des mots de passe, mais on se tourne maintenant vers le volet des passkeys, un peu moins connus. Les passkeys, contrairement au MFA (authentification multifacteur) vient remplacer les mots de passe, et avec toutes les problématiques qu’on connait. C’est surtout une option plus sécurisée.
 
Que vous soyez déjà familier avec les passkeys ou non, cet article est très intéressant pour comprendre l’avenir qui nous attend en termes de gestion (ou non) de mots de passe.
 
En savoir plus: https://blog.1password.com/passkeys-common-misunderstandings/

60 Go de données de la Deutsche Bank seraient en vente libre sur le dark web

 
Dans ces 60go, le pirate indique disposer du code source API, de dossiers, de données employés, d’enquêtes Interpol et de données SQL. La véracité de la fuite n’est pas confirmée. La Deutsche Bank ne s’est pas encore prononcée et avait nié la compromission de son système en novembre 2022 bien qu’un pirate informatique connu ait affirmé détenir 16 To de données bancaires volées et ait tenté de les vendre sur Telegram pour 7,5 bitcoins.
 
En savoir plus: https://cybernews.com/news/deutsche-bank-data-offered-up-on-dark-web/

Des pirates utilisent des vidéos YouTube générées par l’intelligence artificielle pour diffuser des logiciels malveillants voleurs d’informations tels que Raccoon, RedLine et Vidar

 
Les vidéos attirent les utilisateurs en prétendant être des tutoriels sur la manière de télécharger des versions gratuites ou piratées de logiciels tels qu’Adobe Photoshop, Premiere Pro, Autodesk 3ds Max et AutoCAD, qui ne sont disponibles que pour les utilisateurs payants. Vous l’aurez deviné, ledit logiciel que les utilisateurs vont installer est en fait un logiciel malveillant. La quantité de vidéo du genre ne fait qu’augmenter, et on voulait vous en parler, car il y a de la sensibilisation à faire auprès de vos employés.

Pour l’instant, on parle de tutoriel pour des logiciels piratés, mais ça se peut que la pratique devienne plus créative et touche des sujets plus légitimes. C’est en connaissant les différents vecteurs d’attaque qu’on peut s’en protéger.
 
Source: https://cyware.com/news/hackers-use-ai-generated-youtube-videos-to-spread-info-stealers-8eefc3f6

Article du mois

Logo Microsoft

Microsoft vient de publier 83 mises à jour de sécurité dans son Patch Tuesday de mars, dont 2 vulnérabilités 0-days activement exploitées. 9 des vulnérabilités sont jugées critiques puisqu’elles permettent l’exécution de code arbitraire.

Plus de détails: https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2023-patch-tuesday-fixes-2-zero-days-83-flaws/

On tient à mettre l’accent sur une vulnérabilité vraiment majeure (vous l’avez peut-être vu passer sur nos réseaux sociaux): la CVE2023-23397.
Microsoft Office Outlook contient une vulnérabilité d’élévation de privilèges qui permet à une attaque NTLM Relay contre un autre service de s’authentifier en tant qu’utilisateur. Cela vous concerne particulièrement si vous avez un serveur Microsoft Exchange au bureau au lieu d’un Microsoft 365. Cela augmente fortement la probabilité que vos Outlook soient configurés de cette manière.

Sources: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397https://msrc.microsoft.com/blog/2023/03/microsoftmitigatesoutlookelevationofprivilegevulnerability/  

Logo Adobe

Adobe ColdFusion présente une faille dans le contrôle d’accès qui permet l’exécution de code à distance. Il s’agit de la CVE202326360.

Source: https://helpx.adobe.com/security/products/coldfusion/apsb2325.html  

Logo Fortinet

Fortinet FortiOS contient une vulnérabilité de path traversal qui peut permettre à un attaquant local privilégié de lire et d’écrire des fichiers via des commandes CLI élaborées. Il s’agit de la CVE202241328.

Sourcehttps://www.fortiguard.com/psirt/FGIR22369  

Pensez à faire les mises à jour de vos équipements.

Mieux comprendre le dark web et ses enjeux

par
darkweb

Lorsque je rencontre des clients, on nous pose de plus en plus des questions sur le « Dark Web », sur les manières de savoir ce qui s’y passe et surtout, si nous sommes en mesure de détecter si un pirate y a déposé des informations sur leur entreprise.

Pour ceux qui ne connaissent pas encore bien ce qu’est le dark web, sachez qu’il est aussi appelé web clandestin, web caché ou encore darknet. Ces termes sont de plus en plus connus en raison des reportages des médias sur les activités illicites qui s’y déroulent.

Dans d’autres cas, il arrive qu’on nous contacte pour de la gestion d’incident, car l’entreprise a été piratée par un groupe organisé et les malfaiteurs menacent de divulguer l’information de l’entreprise sur le dark web. D’ailleurs, cette dernière situation survient de plus en plus dans le cadre des attaques de rançongiciel: non, les pirates ne se contentent plus de prendre en otages nos données, mais ils les téléchargent pour ensuite nous menacer de les divulguer! C’est notamment ce qui est arrivé à BRP lors de l’attaque de 2022:  des passeports, des permis de conduire et des contrats ont fait partie des renseignements qui auraient été dérobés.

Preuve d’un marché très lucratif, un groupe de chercheurs fouille le dark web chaque année pour établir un indice de prix à la consommation des données qui s’y trouvent. Combien coûte l’achat d’une carte de crédit avec 5000$ de crédit disponible? Un gros 165$. Un compte Facebook piraté? 45$! Vous n’êtes pas un spécialiste en informatique et vous voulez acheter directement un virus pour infecter les autres? Avec aussi peu que 1000$ à 5000$, votre investissement vous garantira de tomber dans l’illégalité et de former votre propre réseau avec des ordinateurs piratés (botnet).

C’est un fait aujourd’hui: les acteurs mal intentionnés utilisent le dark web pour communiquer, vendre, distribuer du contenu ou des articles illégaux tels que des drogues, des armes, des logiciels malveillants et des données volées.

Ce que les gens savent moins, c’est que le dark web propose également plusieurs activités légitimes, notamment l’accès à l’information, le partage d’informations, la protection de l’identité et la communication avec d’autres personnes dans des pays où la censure est omniprésente.

 

Est-ce qu’il y a d’autres types de « web » que le dark web?

La réponse est sans équivoque: c’est oui! Pour bien comprendre ce qu’est le dark web, il est important ici de définir les trois types de web. Premièrement, le web de surface ou le «surface web» est ce à quoi les utilisateurs accèdent dans le cadre de leurs activités quotidiennes. Il est accessible au grand public à l’aide de moteurs de recherche standards et peut être consulté via les navigateurs web connus tels que Mozilla Firefox, Safari, Edge et Google Chrome.

Ensuite, le web profond ou «deep web» est la partie du web qui n’est pas indexé ou consultable par les moteurs de recherche ordinaires. Les utilisateurs doivent souvent se connecter ou disposer de l’adresse l’URL ou de l’adresse IP spécifique pour trouver et accéder à un site web ou un service particulier. Un exemple concret de deep web serait un extranet d’entreprise, indépendamment du fait qu’il se retrouve hébergé directement dans les bureaux de l’entreprise ou chez un fournisseur infonuagique tel que Microsoft.

Finalement, le «dark web» est un sous-ensemble moins accessible du deep web qui repose sur des connexions établies entre des pairs de confiance et dont l’accès nécessite des logiciels ou des outils spécialisés tels que Tor. La très grande majorité des utilisateurs utilisent le «surface web» qui est accessible par un moteur de recherche classique. Pour illustrer l’ensemble de ces types de web, on utilise souvent l’image de l’iceberg. De manière surprenante, ce que l’on réalise c’est que le web de surface est seulement la pointe de l’iceberg.

iceberg_darkweb
Image donnée à titre d’illustration, les chiffres n’ont pas été contre vérifiés. 

Finalement, est-ce qu’il est possible de surveiller le dark web?

Pour le commun des mortels, il n’est pas facile de «surveiller» le dark web. Comme mentionné précédemment, le dark web n’est pas vraiment indexé et il est beaucoup plus vaste que l’on pourrait le penser.

Il existe tout de même des outils «de base» qui permettent à une personne de vérifier si son courriel fait partie de la liste des données disponibles sur le dark web à la suite d’une grosse brèche de sécurité. Le plus connu de ces outils est Have I Been Pwned.

Pour vous aider à mieux comprendre cet outil, voici un cas pratique. Mon adresse professionnelle s’est retrouvée dans une fuite de données de l’outil Canva. La bonne nouvelle, c’est que j’avais une alerte en place et lorsque l’information est sortie, j’ai été en mesure de changer mon mot de passe rapidement en plus d’avoir mon authentification en 2 étapes.

Outre ce site, il est également possible de faire la surveillance des courriels de l’ensemble de son entreprise par des produits tels que 1Password. En effet, cet outil de gestion de mots de passe vous avertira si l’un de vos employés fait partie d’une brèche «connue» du marché. Pour ceux qui voudraient faire un essai gratuit, vous pouvez aller directement à la page suivante: https://1password.grsm.io/dark-web.

Bien que ce soit très utile, ces services se concentrent sur les adresses courriel de votre entreprise et sur les brèches connues du marché. Si vous trouvez de l’information via ces services, vous êtes certain d’être concerné. Cependant, si vous vous posez l’une des questions suivantes, il faut opter pour un service davantage en profondeur:

  • Est-ce qu’un pirate a trouvé des courriels et des mots de passe de brèches qui ne sont pas encore connues de tous?
  • Est-ce que ma liste de paie des employés se retrouve en libre accès sur le surface web ou sur le dark web?
  • Est-ce que des renseignements personnels sur mes clients ont été rendus disponibles sans notre consentement?
  • Quelqu’un a-t-il rendu accessible de la propriété intellectuelle de mon organisation ou de la propriété intellectuelle que mes clients me confient?
  • Des données de mon CRM ou des livrables que des employés ont réalisés pour des clients ont-ils fuité? 

 

Il est possible de répondre à ces questions par un service de surveillance du dark web.

Comment surveiller efficacement d’éventuelle brèche sur mon entreprise?

Au-delà de surveiller le dark web, ce qu’il faut déjà comprendre, c’est que ce n’est pas uniquement via le dark web que l’information peut fuiter. Parfois cela peut être rendu public directement sur le web, mais il est également possible de « reconstruire » des données en trouvant de l’information sur diverses sources de données et en les croisant. Une méthode reconnue dans le marché pour trouver ces données s’appelle OSINT, soit l’open source intelligence.

Qu’est-ce que l’OSINT exactement? L’OSINT permet la recherche d’information sur une ou des cibles. Ces cibles peuvent être des entreprises, des organismes ou tout simplement des personnes. L’OSINT se sert d’informations accessibles du public, en plus de l’information du dark web. Voici quelques exemples:

  • Médias, articles de journaux, magazines et rapports de presse;
  • Travaux de recherches publiés;
  • Articles de blogues, livres et autres documents de référence;
  • Activités sur les réseaux sociaux comme Facebook et LinkedIn;
  • Bases de données de divulgation de compromissions;
  • Données de recensement du gouvernement;
  • Répertoires de contact et de numéros de téléphone;
  • Informations sur des certificats SSL/TLS ou des noms de domaines;
  • Décisions de justice et plumitifs;
  • Informations concernant des transactions publiques et enquêtes publiques;
  • Informations de géolocalisation de diverses sources (ex. photos);
  • Indicateurs de cyberattaques partagés publiquement, tels que les adresses IP, les noms de domaine et les hachages de fichiers;
  • Données sur les vulnérabilités des applications ou systèmes.

Les tests OSINT dans un contexte corporatif permettent notamment de vérifier la santé de votre sécurité opérationnelle. Par la suite, vous pouvez orienter vos systèmes de défense en fonction des informations recueillies lors des tests. Bien qu’un test OSINT peut sembler moins important qu’un test d’intrusion, il est tout autant important puisque dans beaucoup de cas, les attaques n’auraient pas été réussies sans les tests OSINT. Cela nous permet donc d’être beaucoup plus du côté «prévention» que «réaction».

 

Mise en situation

  1. Une entreprise demande un test OSINT. Lors du test OSINT, nous découvrons qu’un employé fait partie de plusieurs fuites de données par l’entremise de son courriel professionnel. Ensuite, parmi les fuites de données, nous pouvons voir que certaines fuites font partie de sites et d’applications en tout genre qui n’ont aucun lien avec l’emploi qu’il occupe. Tout d’abord, il faudra que la personne change ses mots de passe corporatifs afin de s’assurer qu’il n’utilisait pas le même mot de passe pour ses comptes corporatifs que pour les sites et applications personnels. Par la suite, si ce n’est pas déjà en place, une des recommandations sera d’établir une politique d’utilisation des ressources informationnelles qui mentionne que les courriels professionnels ne devraient servir qu’à ouvrir des comptes à des fins professionnelles. La politique des mots de passe devrait également demander à chaque employé d’avoir un mot de passe différent pour chaque site (les gestionnaires de mots passe sont là pour ça). Ainsi, même si les identifiants d’un employé (courriel/mot de passe) se retrouvent dans une fuite de données, il aura uniquement à changer son mot de passe sur ce site.
  1. Pendant le test, nous découvrons des fuites de données. Parmi les fuites, nous pouvons voir qu’un employé utilise souvent le même modèle de mot de passe (Nom de l’entreprise 01, 02, 03, etc.). Une brève recherche sur LinkedIn nous permet de comprendre que l’employé en question est aussi administrateur système pour l’entreprise. Trouver le mot de passe de l’employé sera aisé et rapide et un attaquant, en compromettant ce compte, pourrait se retrouver administrateur du domaine de votre entreprise (aka il aurait les clés du palais). Une des recommandations sera alors de procéder à la mise en place de l’authentification en 2 étapes et d’un gestionnaire de mots de passe en mesure de générer des mots de passe sécuritaires et variés.

Est-ce que Cyberswat peut m’aider dans la surveillance des fuites de données? 

Tout à fait! Chez Cyberswat, nous offrons un service de surveillance du dark web et des fuites de données. Nous utilisons des outils à la fine pointe de la technologie et reconnus par des organisations militaires et policières. Ce que nous offrons est beaucoup plus puissant qu’une simple recherche sur HaveIBeenPwnd.

Cette surveillance est généralement faite sur la base d’un contrat annuel, mais il nous arrive régulièrement de l’offrir en option lors de la réalisation d’un test d’intrusion.

En combinant des outils de recherche sur le dark web avec la méthodologie OSINT, nous pouvons surveiller les informations qui circulent sur l’ensemble du web en lien avec votre entreprise. Nous avons développé deux niveaux de surveillance avec une offre «de base» et une de niveau «avancé» afin de s’ajuster à vos besoins, votre budget et l’envergure de votre organisation. Le tout est réalisé de la manière suivante:

  1. Nous réalisons d’abord des tests automatisés à intervalle régulier basés sur le Framework OSINT. Ces tests sont non intrusifs, donc sans interférence sur vos infrastructures.
  2. Lors de la mise en place initiale, nous configurerons nos équipements afin de surveiller à intervalle régulier les informations à propos du nom de domaine principal de votre entreprise. Dans le cadre d’une surveillance avancée, nous serons en mesure de réaliser la surveillance sur plusieurs noms de domaine.
  3. Lors de la surveillance, s’il y a un élément particulier qui ressort, vous serez informé de la situation rapidement.
  4. De plus, à intervalle régulier, vous recevrez un rapport faisant état des données retrouvées avec les principales recommandations applicables pour votre nom de domaine principal. Dans le cadre d’une surveillance avancée, en plus de couvrir les autres noms de domaines, nos spécialistes réaliseront des validations supplémentaires afin de diminuer les faux positifs et personnaliser les recommandations pour les prochaines étapes à réaliser dans votre environnement.

 

Finalement, il demeure que ce type de surveillance ne peut garantir à 100% que nous trouverons toutes les informations  qui existent. La nature même du dark web fait en sorte que nous ne l’appellerions pas le dark web si c’était si facile de trouver l’information😉

La bonne nouvelle est que la combinaison de notre expertise dans le domaine avec les outils spécialisés que nous utilisons pour réaliser ces recherches permet d’être redoutablement efficace.

À faire attention dans la sélection de votre service de surveillance du dark web: si une personne un jour vous garantit qu’elle est en mesure de retrouver 100% des informations ou brèches qui vous concernent sur le dark web, sauvez-vous en courant, c’est assurément un charlatan.

Vous avez de l’intérêt à en savoir plus sur notre service de surveillance? N’hésitez pas à prendre un rendez-vous avec nous.

Vous voulez en savoir encore plus sur le dark web?

ICI TOU.TV a réalisé une série documentaire de 4 épisodes sur Alexandre Cazes, un trifluvien de 25 ans qui a fondé le marché noir le plus lucratif du dark web de l’époque. Pour l’écouter, ça se passe ici: Alpha_02: le mystère Alexandre Cazes | Séries | ICI TOU.TV.

Pas le temps d’écouter une série documentaire? Voici un article du journal le devoir sur le même sujet : Sur les traces du roi québécois du dark web | Le Devoir

Nos bureaux

Québec
600 avenue Belvédère,
Bureau 212, Québec, QC, G1S 3E5

Montréal
407, rue McGill,
Suite 501 Montréal, QC  H2Y 2G3

Toronto
130 King Street West,
Suite 1900 Toronto, ON, M5X 1E3

Voir toutes nos adresses

Abonnez-vous à notre infolettre

Pour rester à l’affut et vous assurer de la sécurité de votre entreprise.

S’inscrire à l’infolettre
Youtube Facebook Linkedin
Politique de confidentialité
Retour
Nous joindre