Tous les mois, on vous dévoile les enjeux de cybersécurité actuels et à venir.
L'actualité en cybersécurité
Les risques de ne pas mettre à jour vos outils exposés sur Internet
Vous ou votre équipe reçoit-t-elle de manière quotidienne ou hebdomadaire une liste des vulnérabilités qui affectent vos environnements informatiques? Si la réponse est non, lisez ceci:
L’article: Une faille de Zoho ManageEngine met en évidence les risques de course au correctif (darkreading.com) relate la négligence de ne pas mettre à jour les outils exposés sur Internet. Dans le cas présent, un module de gestion des mots de passe et d’authentification unique en libre-service utilisé par 11000 entreprises a conduit à des compromissions de réseau. Ce module, Zoho ManageEngine ADSelfService Plus, disposait d’une faille permettant le contournement de l’authentification (CVE-2021-40539). Les organisations compromises doivent faire un ménage en profondeur, car c’est l’AD qui se trouve touché.
Au cours des trois dernières années, les attaquants se sont notamment concentrés sur les vulnérabilités des appareils et des logiciels de réseau privé virtuel (VPN) comme point de départ des attaques. En mars, des groupes chinois se sont concentrés sur quatre problèmes de sécurité dans Exchange Server 2000 de Microsoft pour violer les réseaux des entreprises. Et en juillet, des cybercriminels russes et ukrainiens ont utilisé une vulnérabilité zero-day dans les serveurs Kaseya Virtual System Administrator (VSA) pour compromettre des dizaines d’entreprises, y compris des fournisseurs de services gérés, ce qui a conduit à la compromission de jusqu’à 1500 organisations.
Il est donc important de continuer de suivre les correctifs de sécurité pour vos applications, notamment pour les services et outils directement exposés sur le Web.
Dans nos infolettres mensuelles, nous vous informons des principales vulnérabilités qui ont le potentiel d’affecter la plupart des entreprises. Cependant, si vous avez besoin d’un service personnalisé de surveillance de vos infrastructures, contactez-vous pour en discuter 😊
L’angoisse d’une cyberattaque: témoignage anonyme et poignant d’un propriétaire d’une PME québécoise qui a payé la rançon à des cyberpirates
La reproduction de son permis de conduire, quelques mots de passe d’entreprise, mais surtout, un échantillon de données confidentielles appartenant à ses clients. Voici ce qui fut affiché sur le blogue d’Avaddon, un des groupes cybercriminels les plus actifs du dark Web. Voilà le stratagème qui a poussé le copropriétaire d’une PME québécoise en technologies de l’information (TI) à verser 85000 $US à des cyberpirates. Cet entrepreneur livre un récit glaçant de ce terrible épisode tout en fournissant des preuves de son témoignage.
Nous vous invitons à lire cet article dans Les Affaires et surtout à en tirer les leçons qui s’imposent. Pour les entreprises détenant un contrat annuel avec nous, CyberSwat peut dans ce type de situation être à vos côtés pour la gestion d’incidents de la sorte. Lisez ce témoignage ici : Témoignage: les affres d’une cyberattaque | LesAffaires.com
Projet de loi 6 pour créer un ministère de la Cybersécurité au Québec: bonne ou mauvaise nouvelle ?
Le 28 octobre dernier, le ministre délégué à la Transformation numérique du Gouvernement du Québec, a déposé le projet de loi 6 visant à créer un nouveau ministère.
Le gouvernement du Québec cherche ainsi à regrouper au sein d’un même ministère une expertise de pointe dans les domaines du numérique, de la cybersécurité et des services technologiques. Pour plus de détails, lire cet article: Québec : projet de loi 6 pour créer un ministère de la Cybersécurité – Laboratoire Inyulface
Démystifier les assurances cyberrisques
Environ un dirigeant de PME canadienne sur quatre (24 %) a affirmé cet été être couvert par une assurance contre les cyberrisques, 64 % ont répondu que non et 12 %… ne le savaient pas. C’est le portrait ombragé qui ressort d’un sondage Léger du Bureau d’assurance du Canada (BAC) effectué auprès 300 dirigeants de PME. Introduction à un produit d’assurance qui demeure nébuleux pour plusieurs entrepreneurs.
Pour Jean-Philippe Racine, président fondateur de notre Groupe, qui donne depuis cinq ans une formation sur l’assurance cyberrisques aux courtiers membres du Regroupement des cabinets de courtage d’assurance du Québec, ce type d’assurance est encore loin d’être arrivé à maturité. « Les définitions des produits ne sont pas normalisées comme le sont celles des secteurs de l’assurance automobile ou habitation. Une entreprise victime d’une attaque par rançongiciel peut penser que sa police couvre le paiement d’une rançon, alors que, dans les faits, elle ne couvre que les frais de “retour à la normale”. »
Lire la suite des conseils de Jean-Philippe dans cet article publié dans le journal lesaffaires.com Démystifier les assurances cyberrisques | LesAffaires.com
Un spécialiste du Cyber Threat Intelligence nous compte sa journée
Si vous voulez en apprendre plus sur les bases de la chasse de menace et la méthode pour identifier le pouls de vos actifs, nous vous invitons à lire l’article suivant: A day in a life of a Cyber Threat Intelligence specialist | Tales from a Security Professional (tales-from-a-security-professional.com). Quelques bonnes questions sont posées pour améliorer la rapidité dans la réflexion pour la mise en place de mesure de sécurité. Si certains points abordés dans l’article vous intéressent, nous serons ravis d’échanger avec vous.
Rapport 2021 du groupe CyberEgde sur la défense contre les cybermenaces: décryptage de la situation
Parrainé par (ISC)², le 8e rapport annuel sur la défense contre les cybermenaces 2021 du CyberEdge Group donne une vision approfondie de la manière dont les professionnels de la sécurité informatique perçoivent ces cybermenaces et planifient leurs mesures de protection. Fondé sur une enquête menée auprès de 1200 informaticiens et décideurs spécialisés en sécurité informatique en novembre 2020, ce rapport vous permet de mieux comparer vos perceptions, vos priorités et vos systèmes de sécurité avec ceux de vos pairs.
Parmi les conclusions à tirer :
- 86% des entreprises ont subi au moins une cyberattaque réussie
- 74% des entreprises ont déployé ou prévoient de déployer l’accès au réseau sans confiance
- 40,6% des applications et des services de sécurité sont fournis via le cloud
Vous pouvez télécharger gratuitement une copie dudit rapport ici Cyberthreat Defense Report | (ISC)² (isc2.org) ou prendre connaissance du résumé de ce rapport ici es-2021-cyberthreat-defense-report-fr.pdf (gigamon.com)
Une cyberattaque paralyse le réseau provincial de la santé de Terre-Neuve-et-Labrador depuis le 30 octobre. Des données ont été volées
Depuis la fin de semaine, toutes les régies de santé de la province sont touchées par une panne informatique causée selon les experts par un rançongiciel. Des milliers d’interventions chirurgicales non urgentes et de rendez-vous sont reportés. Précisons également que depuis le début de la pandémie de la Covid 19, plus de 400 hôpitaux en Amérique du Nord ont été paralysés par des cyberattaques. Pour en savoir plus sur les dégâts de cette cyberattaque, lire cet article: le système de santé de Terre-Neuve-et-Labrador victime d’une présumée cyberattaque | Radio-Canada.ca
LinkedIn : les pirates publient les données de 700 millions d’utilisateurs
En juin dernier, une base de données contenant des informations sur 700 millions d’utilisateurs du site LinkedIn était en vente sur un forum. La personne qui avait publié l’annonce avait également mis en ligne un échantillon avec un million d’entrées, ce qui avait permis de valider son authenticité. Cette fois, c’est la base de données tout entière qui est divulguée. 700 millions, cela représente aux alentours de 92 % des inscrits sur LinkedIn.
Si vous avez un compte sur le réseau social professionnel, vous êtes très certainement concerné. Cette base de données peut être téléchargée via Bit Torrent, Pour en savoir plus: LinkedIn : les pirates publient les données de 700 millions d’utilisateurs (futura-sciences.com)
Robinhood après une année seulement un nouveau piratage majeur
La plateforme de micro-trading est de nouveau attaquée. Pour rappel, c’est en 2020 qu’il y avait eu un vol de donnée sur plus de 2000 comptes. Cette fois-ci, nous parlons de 7 millions de comptes. Comment cela est-ce possible? Les pirates ont utilisé l’ingénierie sociale pour compromettre le service à la clientèle. Un beau courriel frauduleux a fait l’affaire.
Comment se protéger de cela? Il n’y pas de secret, la formation des employés et les tests d’hameçonnage (phishing). C’est un point important dans lequel nous pouvons vous aider afin de déceler les éléments pouvant vous mener à une situation à risque.
Enfin, le groupe de hackers REvil a été mis hors d’état de nuire 🥳
Le groupe REvil, connu pour avoir piraté de nombreuses entreprises afin de réclamer des rançons, vient d’être mis hors d’état de nuire. Les serveurs du groupe ont été infiltrés par les autorités grâce à une coopération entre le FBI, l’US Cyber Command, les services secrets américains et d’autres pays. REvil est apparu en 2019 et a enchaîné de nombreux piratages importants. Le groupe utilise le ransomware DarkSide et était associé au groupe du même nom qui a pris en otage le colonial Pipeline au mois de mai. REvil a attaqué Acer au mois de mars et réclamait 50 millions de dollars.
Le groupe s’en est également pris à Apple via des serveurs d’un sous-traitant et a menacé de dévoiler des documents confidentiels concernant de nouveaux produits. Les personnes interpellées sont soupçonnées d’avoir mené «environ 7 000 infections» dans le monde entier avec des logiciels cryptant les données de leurs cibles, et d’avoir «demandé plus de 200 millions d’euros de rançons» en échange de la clé de déchiffrement. Pour aller plus loin : Démantèlement de REvil : de nouveaux suspects du groupe de ransomware arrêtés en Pologne et Roumanie, le gang est visé par une série d’opérations chapeautées par Europol, Eurojust et le DOJ (developpez.com)
10 millions de dollars pour retrouver des hackers
Les États-Unis veulent mettre la main sur les pirates du groupe DarkSide, accusés du piratage par ransomware de Colonial Pipeline, le principal réseau de distribution de carburant sur le territoire. En mai dernier, Colonial Pipeline, le principal réseau de distribution de carburants de l’Est américain, avait été paralysé par un ransomware. L’équipe de pirates qui avait lancé l’attaque portait le nom de DarkSide. Le groupe s’était confondu en excuses en raison des conséquences sociales engendrées par la cyberattaque. Depuis, les autorités américaines cherchent à identifier et à localiser les membres de ce groupe supposément basé en Russie.
Pour parvenir à retrouver les personnes clés de DarkSide, ils procèdent avec un système de récompense dont le montant peut atteindre 10 millions de dollars. Le département d’État américain propose également une récompense de 5 millions de dollars pour des informations menant à l’arrestation dans n’importe quel pays de complices de DarkSide. Pour en savoir plus sur cette attaque, visitez cette page Wanted : les États-Unis offrent 10 millions de dollars pour retrouver des hackers (futura-sciences.com)
Article du mois
Le Patch Tuesday de novembre 2021 est maintenant disponible. Le correctif cumulatif du mois traite 55 vulnérabilités, correctifs et mises à jour de sécurité. Bien qu’il soit petit, c’est 6 vulnérabilités critiques, 15 bogues d’exécutions de code à distance ainsi que des failles de sécurité d’élévation de privilèges qui sont corrigées. Ce correctif corrige notamment :
- CVE-2021-42321: Microsoft Exchange Server. Un attaquant authentifié et avec une validation incorrecte des arguments de cmdlet, peut exécuter du code à distance.
- CVE-2021-42292: La vulnérabilité, actuellement exploitée, est une faille dans la visionneuse Excel qui permet de contourner les contrôles de sécurité. Aucun correctif n’est actuellement disponible pour Microsoft Office 2019 pour Mac ou Microsoft Office LTSC pour Mac 2021.
- CVE-2021-43209: Une vulnérabilité dans la visionneuse 3D a été rendue publique, ce bogue peut être exploité localement pour déclencher une exécution de code à distance.
- CVE-2021-43208: Toujours avec la visionneuse 3D, un attaquant local peut également l’utiliser à des fins d’exécution de code.
- CVE-2021-38631: Cette faille de sécurité, trouvée dans le protocole RDP (Windows Remote Desktop Protocol), peut être utilisée pour la divulgation d’informations. Attention, elle a aussi été rendue publique.
- CVE-2021-41371: Une autre vulnérabilité RDP, connue avant la mise à disposition des correctifs, peut également être exploitée localement pour forcer une fuite d’informations.
Pour en savoir plus : Mises à jour de sécurité de novembre 2021 – Notes de publication – Guide des mises à jour de sécurité – Microsoft
Guide des mises à jour de sécurité – Microsoft
La version de MacOS 12 est maintenant disponible, ce qui implique qu’une version antérieure n’est plus supportée. Si vous avez des MacOS 10.14, il est maintenant important de les migrer vers une version plus récente.
Apple met aussi à jour la version 11.6.1 à propos du contenu de sécurité de macOS Big Sur 11.6.1 – Assistance Apple (CA). Des correctifs de sécurité dans AppleScript, Audio, Bluetooth, ColorSync, CoreGraphics, FileProvider, iCloud, Gestionnaire Intel Graphics et d’autres composants de l’OS permettent de corriger des actions en lien avec des binaires ou fichier malveillant pouvant amener à des escalades de privilège, arrêt d’application, divulgation d’information ou encore de l’exécution arbitraire de code.
Mozilla et Google corrigent de multiples failles dans leurs navigateurs respectifs Firefox (94) et Chrome (95.0.4638.69):
Bulletin de sécurité Mozilla – Centre canadien pour la cybersécurité
Bulletin de sécurité Google Chrome – Centre canadien pour la cybersécurité
