Windows 7 cessera de recevoir des mises à jour de sécurité ce mois-ci. Windows 8.1 les perdra également ce jour-là, mais comme pour Vista, l’impact est beaucoup plus faible. Quelque 11% de Windows sont des Windows 7, tandis qu’il reste moins de 3% de Windows 8 et 8.1. Chrome cessera également de fournir un support de sécurité sur ces systèmes d’exploitation en février.
Bien qu’ils ne soient plus disponibles à partir de 2020, le fait de ne pas recevoir de correctifs fait de près de 15 % de la flotte Windows un problème potentiel de cybersécurité, non seulement pour eux-mêmes, mais aussi pour d’éventuels problèmes de vers. À tel point que, par exemple, bien qu’abandonné depuis longtemps, Microsoft a publié en 2017 un correctif pour XP afin de tenter de stopper la propagation de Wannacry.
L’alternative est de passer à Windows 10, mais si l’on considère qu’il sera également abandonné en 2025, la marge n’est pas grande.
Dans le classement des mots de passe les plus courants de 2022, on observe que les utilisateurs continuent d’utiliser les classiques « password » et « 123456 ».
NordPass a publié un rapport qui répertorie les mots de passe les plus utilisés par les utilisateurs tout au long de l’année. En collaboration avec des chercheurs indépendants, des millions d’identifiants provenant d’incidents de cybersécurité ont été évalués pour produire un classement des mots de passe les plus utilisés et les moins sûrs. Au total, plus de 3 To de données provenant de plus de 30 pays ont été analysés, principalement des continents européen et américain.
Les deux premières places sont occupées par les classiques « password » et « 123456 », utilisés respectivement par près de 5 millions et plus de 1,5 million d’utilisateurs. Ces deux mots de passe sont extrêmement faibles et ne sont pas du tout recommandés, à tel point que le temps estimé pour les deviner est inférieur à une seconde au moyen d’une attaque par dictionnaire.
Dans les 25 premiers du classement mondial, on trouve principalement des codes numériques (jusqu’à 76 % des cas), des mots simples du dictionnaire comme « invité » et des combinaisons de touches qui suivent l’ordre déterminé par leur emplacement sur le clavier comme « qwerty ». Le temps nécessaire pour obtenir tous ces mots de passe n’est que de quelques secondes. Un seul d’entre eux prendrait plus de temps car il est composé de majuscules, de minuscules et de chiffres : « D1lakiss » ; cependant, comme il ne comporte que 8 caractères, le temps nécessaire pour le casser par une attaque par force brute est d’environ 3 heures.
En remontant dans le classement, on trouve aussi des noms propres, des noms de séries et de marques comme « daniel », « Gizli » ou « samsung », et même des mots de passe de seulement 3 caractères comme « 123 », « vip » ou « usr ». La liste des 50 mots de passe les plus mauvais et les plus utilisés en 2022 est la suivante :
Top 50 mondial des mots de passe les plus courants en 2022.
Il est recommandé d’éviter d’utiliser ce type de mots de passe et de suivre une série de directives lors de l’établissement d’informations d’identification sécurisées pour les services en ligne utilisés. Certaines de ces recommandations sont :
Combinez des caractères de différents types : majuscules, minuscules, chiffres et symboles.
Utilisez une longueur appropriée pour éviter les attaques par force brute (au moins 12 caractères).
Évitez les mots du dictionnaire (de n’importe quelle langue), les noms propres, les noms d’animaux domestiques, les dates, les lieux ou les données personnelles, etc. et leurs combinaisons, telles que nom + date de naissance.
Évitez les motifs de caractères successifs sur le clavier, tels que « qwertyuiop » ou « 1qaz2wsx ».
Il existe d’autres techniques pour générer des mots de passe forts, comme la combinaison de plusieurs mots sans rapport entre eux et l’utilisation d’une règle mnémotechnique pour se souvenir de la chaîne résultante. Par exemple, les mots « hibou », « manteau », « violet », « prairie » et « nuit » génèrent le mot de passe « hiboumanteauvioletprairienuit », dont la longueur permet d’éviter les attaques par force brute et qui est aussi facile à mémoriser que d’imaginer un hibou en manteau violet dans une prairie la nuit.
Bien entendu, il faut aussi éviter de réutiliser le même mot de passe sur différents services et, surtout, ne pas les écrire sur des notes ou des post-it et les coller sur le bureau ou sous le clavier. Cela rend un mot de passe, aussi sûr soit-il, inutile.
Il est également recommandé d’utiliser des gestionnaires de mots de passe avec lesquels vous pouvez facilement générer des mots de passe sécurisés et les stocker localement sur un dispositif distinct (par exemple, une clé USB).
Alors que nous approchons de la fin de l’année, nous pouvons observer la trajectoire des cyberattaques par déni de service distribué. Comme on pouvait s’y attendre, les attaques DDoS sont de plus en plus fréquentes et de plus en plus importantes. Au troisième trimestre 2022, Cloudflare a automatiquement détecté et atténué plusieurs attaques de plus de 1 Tb/s.
La plus importante d’entre elles était une attaque DDoS de 2,5 Tb/s. Il a été lancé par une variante du botnet Mirai et visait un serveur Minecraft appelé Wynncraft. Du point de vue du débit binaire, il s’agit de la plus grande attaque à laquelle Cloudflare ait jamais été confronté.
L’attaque consistait en une inondation UDP (User Datagram Protocol) et TCP (Transmission Control Protocol). Cependant, Wynncraft, le serveur de jeux vidéo multijoueurs où des milliers d’utilisateurs peuvent jouer en même temps, n’a pas remarqué l’attaque. Cloudflare l’a divulgué avant que ses effets ne se fassent sentir, et le service n’a pas été interrompu.
Tendances actuelles relevées par CloudFlare au cours du dernier trimestre
Une augmentation du nombre d’attaques DDoS par rapport aux chiffres de l’année dernière.
Les attaques volumétriques ont augmenté en durée, augmentant par conséquent la taille du trafic envoyé aux victimes, dont une grande partie est due au botnet Mirai et à ses variantes. Plus précisément, les attaques DDoS de niveau 3/4 lancées par les botnets Mirai ont augmenté de 405 % par rapport au trimestre précédent.
Géographiquement, les attaques contre les zones taïwanaises et japonaises ont augmenté.
Les attaques DDoS HTTP contre Taïwan ont augmenté de 200 % par rapport au trimestre précédent et celles contre le Japon de 105 % au cours de la même période. À Taïwan, 50 % des victimes étaient des médias de la presse et des médias en ligne. Au Japon, les attaques contre les infrastructures gouvernementales ont également été importantes (11 %).
Le nombre d’attaques DDoS HTTP (attaques de la couche application) a augmenté de 111 % par rapport à l’année dernière, mais a diminué de 10 % par rapport au trimestre précédent de 2022.
Le nombre d’attaques DDoS au niveau de la couche réseau (couches 3/4) a augmenté de 97 % par rapport à l’année dernière et de 24 % par rapport au trimestre précédent. Le secteur qui a subi le plus d’attaques de la couche réseau est celui des jeux et paris. Les cyberattaques dans le secteur des jeux ont augmenté de 167 % l’année dernière, selon le fournisseur de services de cybersécurité Akamai.
15% de toutes les attaques DDoS enregistrées par CloudFlare au troisième trimestre étaient accompagnées d’une menace ou d’une demande de rançon. Cela représente une augmentation de 15 % en glissement trimestriel des attaques DDoS par ransomware signalées et une augmentation de 67 % par rapport à la même période de l’année dernière.
Avant toute chose, je précise que ce mail n’est pas sponsorisé #trollsModeOFF, merci.
Depuis le début de ce blog, j’ai fais le choix d’écrire en français, car j’estime qu’il y a suffisamment de contenu anglophone à disposition sur Internet et qu’il y a avait une volonté marquée de situer ce petit projet en Suisse romande.
Dans le même état d’esprit, c’est naturellement que je m’intéresse aux organisations et associations locales qui proposent des événements, que ce soit des conférences, des ateliers ou autres, et qui en définitive participent à la vie de la cyber sécurité en Suisse romande.
Conférence « Cyberexigences : de la théorie à la pratique » du CLUSIS
C’est dans ce contexte que j’ai découvert et adhéré en 2021 à l’association suisse de la sécurité de l’information (depuis 1989 svp), plus communément connue sous le nom du CLUSIS.
Ouvert a tous, le CLUSIS est une plateforme d’échanges entre experts provenant du monde politique, économique et académique en Suisse et à l’étranger.
Les risques et menaces ont évolué depuis la création de l’Association et les métiers autour de la sécurité des systèmes d’information se sont complexifiés. Aujourd’hui, le Clusis est une véritable plateforme d’échanges entre plus de 400 experts : professeurs chevronnés du monde académique, professionnels compétents de la sécurité ou des PME impliquées dans ces problématiques. Grâce à ses événements virtuels et présentiels, ses conférences ciblées et pointues, ses formations, le Clusis partage son savoir avec les entreprises et experts intéressés. Le succès de ces échanges témoigne de la qualité des intervenants et de leurs apports mutuels.
COVID oblige, les événements présentiels n’avaient pas pu être organisés depuis la pandémie. C’est donc avec joie et curiosité que je me suis inscrit à la conférence « Cyberexigences : de la théorie à la pratique », qui a eu lieu le 22 novembre 2022 dernier au Stade de la Tuilière, à Lausanne.
J’y ai découvert une organisation à taille humaine, avec une proximité qui fait souvent défaut lors d’événements plus commerciaux. Certes, des sponsors étaient présents, mais l’étaient dans le but d’échanger, discuter et non de vendre ou de se mettre en avant.
Les intervenant étaient de qualité et légitimes, les tables rondes intéressantes et sans tabou. Pour ceux qui me connaissent, j’ai pu poser toutes les questions que je voulais, sans langue de bois et les réponses ne se limitaient pas qu’à du politiquement correct.
En résumé, j’ai beaucoup apprécié cet événement, les sujets traités ainsi que les personnes rencontrées.
Que ce soit pour le CLUSIS ou d’autres organisations, je vous encourage fortement à participer à ce genre d’activités qui font vivre l’écosystème cyber sécurité Suisse romand.
OldGremlim, également connu sous le nom de TinyScouts, est un groupe cybercriminel aux cibles essentiellement financières qui a commencé ses actes en 2020.
Dès lors, le groupe a revendiqué plus de 15 campagnes de cyberattaques dont la demande de rançon maximale a atteint le chiffre record de 16,9 millions de dollars cette année.
Cela est souvent dû au fait que les criminels étudient leurs victimes en profondeur et adaptent la demande de rançon au niveau financier de l’entité ciblée.
La recherche a été menée par la société de sécurité informatique « Group-IB ». L’entreprise a partagé un rapport sur les ransomwares dans les années 2021/2022.
Le rapport souligne que la cible de ces cybercriminels sont les entreprises de logistique, d’assurance, de développement et les banques.
Autre constatation notable, la quasi-totalité des cibles sont centralisées dans des entreprises russes, ce qu’elles ont en commun avec d’autres cybercriminels comme Dharma, Crylock et Thanos.
L’attaque commence généralement par la diffusion d’e-mails usurpant l’identité d’entités importantes et incitant au téléchargement de fichiers frauduleux. Ils élèvent ensuite les privilèges sur les machines infectées en exploitant les vulnérabilités de Cobalt Strike ou les failles de Cisco AnyConnect. Finallement, il y a une phase de collecte de données sur une grande période de temps, généralement autour des 50 jours.
Les principaux fichiers qui composent l’attaque sont les suivants :
TinyLink : Faux fichier de téléchargement.
TinyPosh : script PoerShell pour la collecte et le transfert d’informations sensibles.
TinyNode : Backdoor avec interpréteur Node.js agissant comme C2.
TinyFluff : Successeur de TinyNode qui agit comme C2.
TinyShell : Script pour l’élimination des données.
TinyCrypt : script de cryptage basé sur .NET.
Structure de l’attaque
Bien que, comme indiqué plus haut, ils touchent principalement les entités russes, les chercheurs en sécurité signalent qu’il s’agit d’une action purement tactique et que l’expansion à d’autres périmètres pourrait avoir lieu à tout moment.
On constate également que la cible principale est souvent les machines Windows, mais c’est purement technique, car c’est sur ce système que tourne le plus grand nombre de machines. Les cybercriminels ont développé une version de TinyCrypt écrite en GO qui affecte les machines avec des environnements Linux.
