Vous êtes sur la page 1sur 50

CHECK POINT RAPPORT SCURIT 2013

JANVIER 2013

CHECK POINT - RAPPORT SCURIT 2013

CHECK POINT RAPPORT SCURIT 2013

01 02 03 04 05 06 AN

Introduction et mthodologie

004

Menaces pour votre entreprise

006

Applications utilises dans l'espace de travail de l'entreprise

020

Fuites de donnes dans votre rseau

030

Rsum et stratgie de scurit

036

propos de Check Point Software Technologies

038

Annexes

042

003

CHECK POINT - RAPPORT SCURIT 2013

01

INTRODUCTION ET MTHODOLOGIE

TOUT COMME LEAU NA PAS DE FORME CONSTANTE, LART DE LA GUERRE NEST PAS FIXE. 1 BIEN QUE CETTE PHRASE SOIT GE DE 2 600 ANS, ELLE RESTE TONNAMMENT PERTINENTE, ET REFLTE LA GUERRE MODERNE D'AUJOURD'HUI : LA CYBERGUERRE.
Les techniques employes par les pirates sont en constante volution et font appel des mthodes d'attaque plus avances et plus sophistiques. Elles repoussent les dfis de la scurit des niveaux sans prcdent. Les centres de donnes, les ordinateurs et les tlphones mobiles des employs sont des cibles de choix pour les pirates qui dploient une varit inpuisable de logiciels malveillants tels que bots, chevaux de Troie et infections par tlchargements automatiques. Les pirates utilisent la ruse et l'ingnierie sociale pour manipuler d'innocents utilisateurs et accder aux informations de l'entreprise, telles que documents internes, dossiers financiers, numros de cartes de paiement et informations d'identification des utilisateurs, ou pour tout simplement empcher le bon fonctionnement de l'activit de l'entreprise par des attaques de dni de service. Cette guerre moderne de menaces et d'attaques avances n'est pas prte de s'arrter. La quantit d'informations professionnelles stockes dans des centres de donnes, des serveurs, des ordinateurs et des tlphones mobiles augmente la vitesse de la lumire, et plus de donnes et de plates-formes signifient encore plus de risques. Enfin, la liste des menaces ne diminue pas, et chaque nouvelle attaque rvle un niveau de sophistication encore plus avanc. Quels ont t les principaux risques de scurit pour votre environnement rseau l'anne dernire ? Quels seront les

risques l'anne prochaine ? Telles taient les questions cls qui ont occup les quipes de recherche de Check Point ces quelques derniers mois. Pour rpondre ces questions, Check Point a procd une analyse intensive de la scurit. Ce rapport fournit un aperu des vnements de scurit rseau qui se sont produits en 2012 dans des entreprises travers le monde. Le rapport prsente les vnements de scurit dcouverts dans ces entreprises, ainsi que des exemples d'incidents annoncs publiquement, des explications sur la manire dont certaines de ces attaques ont t menes, suivies de recommandations sur la manire de se protger contre de telles menaces. Le rapport est divis en trois parties. Chaque partie est ddie un aspect spcifique de la scurit. La premire partie se concentre sur les menaces reprsentes par les bots, les virus, les failles de scurit et les attaques. La seconde partie traite des applications web risque qui compromettent la scurit d'un rseau d'entreprise. La dernire partie est consacre aux fuites de donnes occasionnes par les actions non intentionnelles des employs. Mthodologie Le Rapport Scurit 2013 de Check Point repose sur une tude et une analyse collaboratives des vnements de scurit rassembls partir de quatre sources principales : Les rapports d'analyse des passerelles scurit de Check Point2, Check Point ThreatCloud3, le rseau Check Point SensorNet et les rapports de Check Point Endpoint Security. Une mta-analyse des vnements de scurit rseau de 888 entreprises a t effectue partir des donnes recueillies sur les passerelles scurit Check Point charges d'analyser en direct le trafic entrant et sortant de ces entreprises. Le trafic a t inspect grce la technologie multi-couche Check Point Software Blades afin de dtecter diffrents types de menaces tels que les applications haut risque, les tentatives

004

CHECK POINT - RAPPORT SCURIT 2013

01 _ INTRODUCTION ET MTHODOLOGIE

En outre, plus de 111,7 millions d'vnements extraits de 1 494 passerelles de scurit ont t analyss l'aide des donnes gnres par Check Point ThreatCloud. ThreatCloud est une base de donnes massive mise jour en temps rel partir de donnes de scurit provenant d'un vaste rseau mondial de capteurs placs stratgiquement autour du globe, qui collectent des informations sur les menaces et les attaques de logiciels malveillants. ThreatCloud permet d'identifier les nouvelles tendances mondiales de scurit et de menaces, pour constituer un rseau collaboratif de lutte contre la cybercriminalit. Pour notre tude, nous avons analys les donnes de ThreatCloud recueillies sur une priode de 3 mois entre aot et octobre 2012. Des rfrences pour les donnes des menaces ont t recueillies par le rseau de capteurs Check Point SensorNet, du 1er juillet au 30 septembre 2012. Check Point SensorNet est un rseau mondial de capteurs distribus, qui fournissent des informations de scurit et des statistiques de trafic un systme central d'analyse. Ces donnes sont analyses afin de dtecter les tendances et les anomalies, et dvelopper une vision en temps rel de la scurit dans le monde. Enfin, une mta-analyse de 628 rapports de scurit de postes de travail provenant de diffrentes entreprises a t effectue. L'analyse de la scurit valuait notamment chaque hte pour estimer les risques de fuites de donnes, les risques d'intrusions et les risques lis aux logiciels malveillants. L'analyse a t ralise avec l'outil de reporting Check Point Endpoint Security pour vrifier la prsence d'un antivirus sur les htes, s'il est jour, si les logiciels utiliss sont les dernires versions, et plus encore. Cet outil est gratuit et disponible publiquement. Il peut tre tlcharg depuis le site de Check Point4.

Source : Check Point Software Technologies

d'intrusions, les virus et les bots, les fuites de donnes confidentielles, etc. Le trafic rseau de chaque entreprise tait surveill en temps rel via le mode en ligne ou le mode surveillance des passerelles scurit de Check Point, pendant 134 heures en moyenne. Les entreprises tudies sont issues d'un large ventail de secteurs et sont situes dans le monde entier comme le montre les graphiques 1-A et 1-B.

20 % APAC* 178

40 % Amriques 356

Rg

ions

40 % EMEA* 354
s

4% Conseil 31 7 % Tlcommunication 59 10 % Gouvernement 89

Sec

teur

14 % Finance 128

39 % Industrie 346

Graphiques 1-A et 1-B


* APAC- Asie Pacifique et Japon. EMEA- Europe, Moyen-Orient et Afrique

Ce rapport repose sur des donnes recueillies partir de ces sources. Spcication des secteurs Industrie Chimie/Raffinerie, Sant, Pharmacie, Informatique, Production, Transport, Service public, Infrastructure. Finance Finance, Comptabilit, Services bancaires, Investissement. Gouvernement Administration publique, Arme. Tlcommunication Tlcommunication, Oprateurs, FAI, Services manags. Conseil Services de conseil. Autres Publicit/Mdias, Distributeur, ducation, Justice, Loisirs/Hospitalit, Commerce de dtail et de gros, Valeurs et titres, Autre.

26 % Autre 235

005

CHECK POINT - RAPPORT SCURIT 2013

02

MENACES POUR VOTRE ENTREPRISE

Dernires nouvelles : une nouvelle cyberattaque dcouverte En 2012, les cyberattaques ont continu de prolifrer et faire la une des journaux. Presque tous les jours, les menaces de logiciels malveillants, les attaques et les botnets, sont en premire page, dmontrant ainsi la russite des pirates drober des donnes, paralyser l'activit des entreprises, ou espionner des entreprises et des gouvernements. Les exemples suivants ne sont que la partie visible de l'iceberg des cyberattaques qui se sont produites en 2012 : des pirates attaquant le rseau de la Maison Blanche6, le groupe d'hacktivistes Anonymous stoppant le fonctionnement des sites Internet des associations de commerce U.S. Telecom Association et TechAmerica7, des cyberattaques ciblant Capital One Financial Corp., BB&T Corp., HSBC Bank USA8 et de nombreuses autres institutions financires. Menaces persistantes avances Les cybercriminels ne sont plus de simples amateurs isols. Ils appartiennent dans de nombreux cas des groupes bien structurs ressemblant des organisations terroristes, avec du financement, de la motivation et des objectifs. Les cybercriminels semblent consacrer beaucoup de temps

IL N'EXISTE QUE DEUX TYPES D'ENTREPRISES, CELLES QUI ONT T PIRATES ET CELLES QUI LE SERONT.
Robert Mueller, Directeur du FBI, mars 20125

et de ressources recueillir des renseignements. Leurs activits criminelles causent de graves dommages aux entreprises, telles que des fuites de donnes confidentielles, l'interruption de l'activit, l'atteinte la rputation et bien sr des pertes financires. Les attaques et long terme les plus sophistiques, menes dans un but prdtermin et trs spcifique, sont appeles menaces persistantes avances (APT). Ces attaques ne sont gnralement pas dtectes par les systmes de scurit traditionnels, mettant ainsi en danger les gouvernements, les petites entreprises aussi bien que les grandes entreprises, et les rseaux personnels. Dans une attaque APT, la premire action consiste typiquement effectuer une reconnaissance de la cible pour recueillir des renseignements. Ensuite, les agresseurs font une premire intrusion dans le rseau de la cible pour ouvrir une porte drobe et rester actif dans le rseau. Ceci est

BLACKHOLE - LE KIT D'EXPLOITATION DES VULNRABILITS DE MONSIEUR TOUT LE MONDE


Le succs des activits malveillantes de l'anne dernire peut-tre en partie attribue aux pirates qui utilisent des outils d'attaque prts l'emploi. Un seul clic suffit tlcharger une suite d'attaque complte et hautement sophistique. BlackHole, une application web trs rpandue d'exploitation de vulnrabilits, est un exemple de ce type de suite. Elle intgre un ensemble d'outils qui exploitent les failles de scurit des navigateurs pour tlcharger des virus, des bots, des chevaux de Troie et autres formes de logiciels malveillants sur les ordinateurs des victimes. Les prix de ces kits varie de quelques dizaines d'euros pour une utilisation la journe 1 300 euros pour une anne complte9.

02 _ MENACES POUR VOTRE ENTREPRISE

FUITES DE DONNES EN 2012


De nombreux incidents ayant pour consquence des fuites de donnes se sont produits cette anne, exposant les donnes lies aux cartes de paiement, aux clients, aux lves ou aux patients, stockes sur des serveurs d'entreprise. Ces activits malveillantes ont pour objectif commun d'obtenir des informations confidentielles. La liste suivante prsente quelques exemples :
Global Payments Inc.

Une entreprise mondiale de traitement des paiements pirate en juin 2012. Les donnes de plus de 1,5 million de cartes de paiement ont t drobes.
Clarksville, Tennessee, tats-Unis

Une intrusion l'Universit du Nebraska a permis le vol de plus de 650 000 fichiers de donnes personnelles relatives aux lves, anciens lves, parents et employs depuis la base de donnes du systme d'information tudiants de l'universit.
Dpartement des Services Technologiques de l'Utah, tats-Unis

En juin 2012, des pirates se sont introduits dans le systme informatique des coles du comt de ClarksvilleMontgomery, et ont drob les noms, numros de scurit sociale et autres donnes personnelles d'environ 110 000 personnes. Les pirates ont utilis les informations postes par des employs et des tudiants en ligne pour accder au systme10.
Serco Thrift Savings Plan

En mars 2012, 780 000 dossiers de patients lis des demandes de remboursement du programme de sant Medicaid ont t drobs dans un serveur par des pirates probablement situs en Europe de l'Est.
Scurit sociale du Royaume-Uni

En mai 2012, une attaque informatique mene contre Serco aux tats-Unis a permis de drober les donnes personnelles de 123 000 employs fdraux.

Entre juillet 2011 et juillet 2012, la Scurit sociale du Royaume-Uni a subi plusieurs attaques qui ont expos les dossiers de prs de 1,8 million de patients11.

habituellement accompli en infectant un hte l'aide d'un bot permettant aux agresseurs de communiquer avec l'hte infect sans tre dtects. Les agresseurs tentent ensuite d'accder d'autres ressources du rseau et compromettre encore plus de nuds. Aprs cette tape, les agresseurs ont atteint leur cible, et peuvent maintenant exploiter les htes infects pour collecter des donnes ou causer les dommages prvus, distance et tout en restant hors d'atteinte sur le long terme.

DES KITS DE BOTS SONT VENDUS EN LIGNE POUR QUELQUES CENTAINES D'EUROS ET LEURS DOMMAGES COTENT DES MILLIONS D'EUROS

Les botnets ne disparatront pas de sitt. Ils sont une des menaces les plus importantes auxquelles les entreprises doivent aujourd'hui faire face pour protger leur rseau. Un bot est un logiciel malveillant qui envahit et infecte un ordinateur pour permettre des criminels de le contrler distance. L'ordinateur infect peut effectuer des activits illgales telles que le vol de donnes, la diffusion de spam, la diffusion de logiciels malveillants et la participation des attaques de dni de service (DoS). Le propritaire de l'ordinateur infect n'est gnralement pas conscient de ces activits. Les bots jouent galement un rle cl dans les attaques APT cibles. Il existe deux grandes tendances motivant les attaques de bots dans le paysage actuel des menaces. La premire tendance en forte croissance est celle de la cybercriminalit des fins lucratives, comprenant les oprateurs et les fournisseurs de
007

CHECK POINT - RAPPORT SCURIT 2013

02 _ MENACES POUR VOTRE ENTREPRISE

logiciels malveillants, des programmeurs, et des programmes d'affiliation. Ses produits et services peuvent tre facilement achets en ligne sur de nombreux sites (par exemple : kits de logiciels malveillants, envoi de spam, vol de donnes, attaque de dni de service) et les entreprises ont beaucoup de mal lutter contre ces attaques. La seconde tendance est celle des attaques idologiques et des attaques lances par des tats contre des individus et des entreprises cibles pour promouvoir une cause politique ou mener une

campagne de cyberguerre. Les botnets ne disparatront pas de sitt. Contrairement aux virus et autres logiciels malveillants traditionnels statiques (dont le code et la forme restent les mmes), les botnets sont de nature dynamique, et peuvent changer rapidement de forme et de modle de communication. Des botes outils de cration de bots sont vendues en ligne pour quelques centaines d'euros et leurs attaques cotent des millions d'euros aux entreprises. Le problme des bots est devenu un problme d'envergure.

ACTIVITS DES BOTNETS

Envoyer du spam

Rpandre des virus

Diffuser des logiciels malveillants

Attaquer des ordinateurs et des serveurs

Drober des donnes

63 %
DES ENTREPRISES TUDIES SONT INFECTES PAR DES BOTS
Les rseaux de zombies sont partout. Cette situation est-elle alarmante ? Il est estim que plus d'un quart de tous les ordinateurs personnels connects Internet font partie d'un botnet.12. Nos rcentes recherches montrent que dans 63 % des entreprises, au moins un bot a t dtect. La plupart des entreprises sont infectes par une varit de bots. Fonctionnement des botnets Un botnet se compose gnralement d'un certain nombre d'ordinateurs infects par des logiciels malveillants qui tablissent une connexion rseau avec un systme de contrle appel serveur de commande et de contrle . Lorsqu'un bot infecte un ordinateur, il prend le contrle de l'ordinateur et neutralise les dfenses antivirus. Les bots sont difficiles dtecter car ils se cachent l'intrieur des ordinateurs et modifient la manire dont ils se comportent pour les logiciels antivirus. Le bot se connecte alors au serveur de commande et de contrle pour obtenir des instructions de la part des cybercriminels. De nombreux protocoles de communication sont utiliss pour ces connexions, y compris IRC, HTTP, ICMP, DNS, SMTP, SSL, et dans certains cas, des protocoles personnaliss crs par les auteurs des botnets.

Nombre d'htes infects par des bots (% des entreprises)

6 % Plus de 21 htes 18 % 10 21 htes 48 % 1 3 htes

Responsable de botnet

Commande et contrle

Bot

Ordinateurs sur Internet

Sp am

, virus,

18 % 4 6 htes
DDoS
Graphique 2-A

009

Source : Check Point Software Technologies

10 % 7 9 htes

CHECK POINT - RAPPORT SCURIT 2013

02 _ MENACES POUR VOTRE ENTREPRISE

TOUTES LES 21 MINUTES UN BOT COMMUNIQUE AVEC SON SERVEUR DE COMMANDE ET DE CONTRLE

avec leur serveur de commande et de contrle au moins une fois toutes les 2 heures. La majorit des activits de commande et de contrle se situent aux tats-Unis, puis en Allemagne, aux Pays-Bas et en France, comme le montre le graphique 2-C. Les diffrents types de communication des bots avec leur serveur de commande et de contrle comprennent le signalement de nouveaux htes infects, les messages de maintien d'activit ( keep-alive ), et les donnes recueillies sur le systme hte. Nos recherches montrent qu'en moyenne, un bot communique avec son serveur de commande et de contrle une fois toutes les 21 minutes. Quels sont les botnets auxquels nous devrions faire attention ? Des milliers de botnets existent aujourd'hui. Le tableau suivant prsente les principaux botnets dcouverts durant nos recherches. Pour mieux comprendre ces menaces furtives, des informations complmentaires sur chaque menace ont t compiles dans l'Annexe A.

Activits de commande et de contrle Les bots revtent diffrentes formes et peuvent effectuer de nombreuses activits. Dans de nombreux cas, un seul bot peut crer de multiples menaces. Une fois sous le contrle du serveur de commande et de contrle, le botnet peut tre activ par un pirate pour mener des activits illgales l'insu de l'utilisateur. Ces activits comprennent l'infection d'autres machines afin de les ajouter au botnet, l'emailing de masse, les attaques DDoS, et le vol de donnes personnelles, financires ou confidentielles. Les bots sont galement souvent utiliss comme outils d'attaque APT ciblant des individus ou des entreprises. Le graphique 2-B prsente la frquence des communications des bots avec leur serveur de commande et de contrle. 70 % des bots dtects durant nos recherches communiquaient Frquence des communications des bots avec leur serveur de commande et de contrle

Famille de bots

Activit malveillante

Zeus Zwangi

Vol d'identifiants bancaires en ligne Prsentation de publicits indsirables Virus auto-diffus Activation de fichiers distance Actions malveillantes distance : ouverture de l'invite de commandes, rech./cra./suppr. de fichiers, etc. Vol de donnes financires et accs distance

Sality Kuluoz Juasek

6 %

h 24

eures

24 %

de 4 Plus

heure

Source : Check Point Software Technologies

25 %

eure ' 1 h u q s u J

1 45 %

res 2 heu

Papras

Dtails supplmentaires dans l'Annexe A

Graphique 2-B

010

Principales localisation des serveurs de commande et de contrle


7% Pays-Bas 9% Allemagne

3% Canada 7% France 58 % tats-Unis 3% Roumanie 3% Venezuela 3% Australie 4% Chine

3% Argentine

Graphique 2-C

DANS

DES ENTREPRISES, DES HTES ACCDENT DES SITES WEB MALVEILLANTS

75 %

Source : Check Point Software Technologies

CHECK POINT - RAPPORT SCURIT 2013

02 _ MENACES POUR VOTRE ENTREPRISE

TOUTES LES 23 MINUTES UN HTE ACCDE UN SITE WEB MALVEILLANT


Comment votre entreprise peut tre infecte par un logiciel malveillant Il existe de nombreux points d'entre pour pntrer les dfenses d'une entreprise, dont notamment les vulnrabilits des navigateurs, les tlphones mobiles, les pices jointes malveillantes et les supports amovibles, pour n'en citer que quelques exemples. L'explosion du nombre d'applications web 2.0 et des rseaux sociaux utiliss comme outils professionnels fournit galement aux pirates des armes pour tromper leurs victimes et les inciter cliquer sur des liens malveillants ou de fausses publicits prsentes sur des sites lgitimes. Mme si les botnets sont considrs comme l'une des menaces les plus graves aujourd'hui, les entreprises sont toujours confrontes par ailleurs aux menaces prsentes par les logiciels malveillants : virus, vers, logiciels espions, logiciels publicitaires, chevaux de Troie, etc. Nos recherches montrent que dans 75 % des entreprises, un hte accde un site web malveillant. Le graphique suivant prsente le nombre d'htes qui a accd des sites web malveillants par pourcentage d'entreprises. Accs des sites malveillants par nombre d'htes (% des entreprises)
Source : Check Point Software Technologies

Dans plus de 50 % des entreprises, au moins cinq htes ont accd des sites web malveillants. Un logiciel malveillant peut tre tlcharg par un utilisateur ou un bot qui a dj infect l'hte. Nous avons dcouvert que dans 53 % des entreprises, un logiciel malveillant a t tlcharg depuis le rseau de l'entreprise. Dans plus de 50 % de ces entreprises, nous avons galement dcouvert que plus de quatre htes ont tlcharg des logiciels malveillants. Tlchargements de logiciels malveillants (% des entreprises)

14 % Jusqu' 2 heures

43 % Plus d'une journe

Source : Check Point Software Technologies

19 % 2 6 heures

12 % 12 24 heures 12 % 6 12 heures
Graphique 2-E

18 % 3 4 htes 31 % 1 2 htes

16 % 9 16 heures
Graphique 2-D
012

15 % Plus de 16 htes

Le graphique suivant prsente la frquence moyenne de tlchargement de logiciels malveillants dans les entreprises tudies. Le graphique 2-G prsente le nombre d'htes qui a tlcharg des logiciels malveillants. Dans plus de 50 % des entreprises, au moins cinq htes ont tlcharg des logiciels malveillants. Nos recherches montrent que la majorit des logiciels malveillants proviennent des tats-Unis, puis du Canada et du Royaume-Uni, comme indiqu dans le graphique 2-F. La protection antivirus est une des mthodes de protection contre les infections de logiciels malveillants. Toutefois, nos recherches montrent que 23 % des htes en entreprise ne mettent pas leur antivirus jour quotidiennement. Un hte ne

20 % 5 8 htes

PRINCIPALES SOURCES DE LOGICIELS MALVEILLANTS


4% RoyaumeUni 3% Allemagne

8% Canada 2% France 2% Slovaquie 71 % tats-Unis 2% Rpublique tchque 3% Isral 2% Chine 3% Turquie

Graphique 2-F

Source : Check Point Software Technologies

Htes ayant tlcharg des logiciels malveillants (% des entreprises)

disposant pas d'un antivirus jour est expos aux virus. Nous avons galement dcouvert que 14 % des htes en entreprise ne disposent mme pas d'un antivirus. Les probabilits d'infection par logiciels malveillants des htes qui ne sont pas quips d'un antivirus sont extrmement leves. Nous vous prsentons miniFlame , le petit frre encore plus dangereux de Flame Il semble que le logiciel malveillant Flame dcouvert plus tt cette anne n'tait que le premier de sa srie. Il existe dsormais un programme similaire appel miniFlame , capable de mener des attaques plus prcises sur des cibles situes au Moyen-Orient. miniFlame intgre une porte
013

Graphique 2-G

Source : Check Point Software Technologies

20 % Plus de 33

12 % 17 32 htes

10 % 9 16 htes

13 % 5 8 htes

45 % 1 4 htes

ATTAQUE EUROGRABBER PLUS DE 36 MILLIONS D'EUROS DROBS SUR PLUS DE 30 000 COMPTES BANCAIRES
En 2012, une attaque sophistique, multi-dimensionnelle et cible, a russi dtourner plus de 36 millions d'euros provenant de plus de 30 000 comptes d'usagers de plusieurs banques travers toute l'Europe. Les usagers des services bancaires en ligne ne savaient absolument pas qu'ils taient infects par des chevaux de Troie, que leurs sessions bancaires en ligne taient compromises et que des fonds avaient t drobs de leurs comptes. Une fois dcouverte, cette vague d'attaques a t nomme Eurograbber par Versafe et Check Point Software Technologies. L'attaque Eurograbber emploie une nouvelle variante trs efficace du cheval de Troie ZITMO (Zeus-In-The-Mobile). ce jour, les attaques n'ont t constates que dans les pays de la zone euro, mais une variante pourrait trs bien affecter des banques de pays situs hors de l'Union Europenne L'attaque en plusieurs tapes a infect les ordinateurs et les appareils mobiles des usagers des services bancaires en ligne, et une fois que le cheval de Troie Eurograbber a t install sur les deux, les sessions des usagers ont pu tre compltement surveilles et manipules par les agresseurs. Le mcanisme d'authentification deux facteurs utilis par les banques pour assurer la scurit des transactions bancaires en ligne a t contourn lors de l'attaque, et mme utilis par les agresseurs pour authentifier leurs propres transferts illicites. Le cheval de Troie utilis pour attaquer les appareils mobiles a t dvelopp la fois pour Blackberry et Android afin de maximiser le nombre de cibles. Il a ainsi pu infecter aussi bien des particuliers que des entreprises usagers des services bancaires, et dtourner des sommes allant de 500 250 000 euros par compte. Des informations complmentaires sur l'attaque Eurograbber, y compris le dtail de ses tapes, sont disponibles dans l'tude de cas d'Eurograbber12 sur le site web de Check Point.

drobe permettant le contrle, le vol de donnes et la possibilit de faire des captures d'cran, distance.

Nombre total de vulnrabilits courantes


Source : CVE (vulnrabilits courantes)

Plus de vulnrabilits donc plus d'exploitation des vulnrabilits Les vulnrabilits bien connues sont des cibles cls pour les pirates qui tablent sur le simple fait que de nombreuses entreprises ne mettent pas leurs logiciels jour rgulirement. Plus les entreprises sont grandes, plus il est difficile pour les administrateurs de scurit de maintenir tous les systmes jour. Ainsi, dans de nombreux cas, une ancienne vulnrabilit dj corrige peut-tre encore utilise pour infiltrer les systmes des petites et des grandes entreprises qui n'ont pas mis leur systme jour avec les tous derniers correctifs. Le nombre de vulnrabilits dcouvertes chaque anne est impressionnant, avec plus de 5 00013 nouvelles faons en
014

2 5 67 5 5 23 9 5 27 2 5 13

2012

2011 2010 2009

Graphique 2-H

CHECK POINT - RAPPORT SCURIT 2013

02 _ MENACES POUR VOTRE ENTREPRISE

2012 pour les pirates de provoquer des dommages et accder des systmes. Et de nombreuses vulnrabilits non encore dcouvertes sont activement utilises par les cybercriminels. Le graphique 2 dmontre que les produits les plus populaires Nombre de vulnrabilits par diteur

d'exploitation. Ne pas utiliser les tous derniers Service Packs signifie s'exposer des risques. De plus, nous avons dcouvert que des vnements de scurit lis aux produits Microsoft se sont produits dans 68 % des entreprises. Des vnements de scurit lis d'autres diteurs tels qu'Adobe et Apple se sont produits dans un nombre nettement moins lev d'entreprises. Il est intressant de noter que bien qu'Apple soit second en nombre de vulnrabilits, seul un faible pourcentage d'entreprises ont vnements de scurit par diteur % des entreprises

384 Oracle

260
o Micr 2 2 2

e Appl soft

68 % Microsoft

150
Source : CVE (vulnrabilits courantes)

ox Firef
Source : Check Point Software Technologies

Adob 119

%O 15

racle ob e

119 118
oog 80 G HP 62 P P 59 H

Cisco IBM le

% Ad 13
No 5 % Ap 5 % Ap 4 % H 3 % P vell

ache

p le

Graphique 2-J Graphique 2-I

utiliss par quasiment toutes les entreprises dans le monde entier sont galement les plus vulnrables, avec Oracle, Apple et Microsoft en tte des diteurs les plus vulnrables. Nos recherches montrent que 75 % des htes des entreprises n'utilisent pas les toutes dernires versions (par exemple : Acrobat Reader, Flash Player, Internet Explorer, Java Runtime Environment, etc.). La consquence tant que les htes sont exposs un grand nombre de vulnrabilits pouvant tre exploites par des pirates. Nos recherches montrent galement que 44 % des htes des entreprises n'utilisent pas les tous derniers Service Packs de Microsoft. Les Service Packs incluent gnralement des mises jour pour le systme

subi des vnements de scurit lis aux produits Apple. Les pirates utilisent de nombreuses techniques appeles vecteurs d'attaques. Le graphique 2-K liste certains de ces vecteurs d'attaques en fonction du pourcentage d'entreprises qui les ont subies. Corruption de la mmoire, dpassement de tampon, et dni de service sont les vecteurs d'attaques les plus populaires dcouverts dans nos recherches.

015

CHECK POINT - RAPPORT SCURIT 2013

02 _ MENACES POUR VOTRE ENTREPRISE

Principaux vecteurs d'attaque

ion xcut

2 1

quoi ressemble une attaque d'injection SQL ? Chronique d'une injection SQL Ce qui suit est un vritable exemple d'une srie d'attaques par injection SQL qui se sont droules de juillet octobre 2012 dans un environnement client Check Point. Ces attaques ont t dtectes et bloques par une passerelle Check Point. Cet exemple nous est rapport par l'quipe des services manags Check Point ThreatCloud.

50 il.

00 0

Graphique 2-K

50

00

1%

ion rmat o f n i ' ll d ur nu Fuite e t n i % 8 e po ent d m e c n fre Dr % 6 ges rivil p e d ade Escal % on 5 tamp e d t on emen ficati pass i t D n e 2% 'auth ent d m e n our Cont

D 10 %

e de pil t n e ssem Dpa % ent 19 strem i g e r n d'en patio r u s U 15 % ier d'ent t n e em pass

de de co

24 %

Source : Check Point Software Technologies

n3 ampo t e d ent % ssem e 32 Dpa moir m n uptio Corr 2% ice 3 v r e s de Dni

2%

L'injection SQL est une exploitation de vulnrabilit (CVE-2005-0537) par laquelle un agresseur ajoute du code SQL au champ d'un formulaire web pour obtenir l'accs des ressources ou modifier les donnes stockes. Le graphique 2-M montre quoi ressemble l'attaque. Le texte surlign correspond aux donnes auxquelles le pirate a tent d'accder via l'injection SQL (des noms d'utilisateurs et des mots de passe dans le cas prsent). Les commandes SQL utilises sont : select, concat et from. L'attaque a t mene depuis 99 adresses IP diffrentes. Bien que l'entreprise cible soit situe en Europe, les attaques provenaient de nombreux pays diffrents, tel qu'illustr dans le graphique 2-M. L'injection SQL peut tre effectue manuellement (un pirate son clavier) o automatiquement (attaque par script). Dans le cas prsent, tel que dmontr dans le graphique 2-L, un pic de 4 184 tentatives d'attaques (trs certainement automatises) s'est produit pendant deux jours, l'aide du mme code et provenant de la mme adresse IP source.

Taux d'injections SQL Nombre d'injections SQL


0 2 0 50

t.

pt

se pt

pt

oc

ao

ao

se

22

se

14

16

Graphique 2-L

016

19

30

28

oc

ju

t.

INJECTIONS SQL PAR PAYS D'ORIGINE TOP 10


Source : Check Point Software Technologies
017

Graphique 2-M

Russ ie

58 E

spagn

e
http:// ______________/ns/index. php?action=com_clan&cid=185 and 1=2 union select 1,2,3,4,5,6,concat(0x26,

53 Gorgie
e 52 Ukrain

0x26,0x26,0x25,0x25,0x25,nom_utilisateur, 0x3a mot_de_passe 0x25,0x25,0x25,0x26, 0x26,0x26),8 from jos_users--

42

anie m u Ro

37 Royaume-Uni

RECOMMANDATIONS DE SCURIT PLUSIEURS COUCHES DE SCURIT Les menaces devenant de plus en plus sophistiques, les problmatiques de scurit continuent de se complexifier. Pour maximiser la scurit rseau de l'entreprise, un mcanisme de protection multicouche est ncessaire afin d'offrir une protection contre les diffrents vecteurs d'attaques : Un antivirus pour identifier et bloquer les logiciels malveillants

198

Un antibot pour dtecter et empcher les dommages causs par les bots Un systme de prvention d'intrusions proactif Le filtrage des URL et le contrle des applications pour empcher l'accs des sites web hbergeant/propageant des logiciels malveillants Des donnes sur les menaces en temps rel et collaboration mondiale Une surveillance intelligente permettant des analyses proactives

36

ta tsUn is

130 Algrie

122 -Bas Pays

98 All em agn e

2012, UNE ANNE D'HACKTIVISME


Le climat de turbulence politique qui a dbut en 2010 par le soulvement de nombreux pays arabes s'est poursuivi en 2012 par des manifestations publiques dans d'autres pays. c'est donc sans surprise que nous avons constat une vague de cyberattaques reposant sur ces agendas idologiques. Foxconn, un fournisseur d'Apple Taiwan, a t pirat par le groupe Swagg Security. Ce groupe ragissait apparemment aux annonces faites dans la presse des conditions de travail dplorables dans les entreprises du constructeur lectronique en Chine14. Le groupe d'activistes Anonymous a annonc avoir pirat un serveur du dpartement de la justice amricaine hbergeant le site des statistiques du bureau de la justice, et a publi 1,7 Go de donnes drobes. Le groupe a publi l'annonce suivante propos des donnes voles : Nous publions ces donnes pour mettre fin la corruption et vritablement librer ceux qui sont oppresss. 15. Le Vatican a galement subit pendant une semaine des attaques du groupe Anonymous sur ses sites web et ses serveurs de messagerie internes. Le groupe a revendiqu son action en indiquant que les transmetteurs du systme radio du Vatican situs dans les campagnes aux alentours de Rome posaient soi-disant un risque de sant. Le groupe prtendais que les metteurs provoquaient des leucmies et des cancers chez les personnes habitant proximit. Le groupe a galement justifi son attaque en indiquant que le Vatican avait soi-disant aid les nazis dtruire des ouvrages de valeur historique, et que le clerg commettait des agressions sexuelles sur des enfants16. Lors d'une autre cyberattaque, Anonymous a stopp le fonctionnement des sites Internet des associations de commerce U.S. Telecom Association et TechAmerica. Ces attaques ont apparemment t men en raison du soutien de ces associations la loi scuritaire propose par le rpublicain Mike Rogers. Cette loi permettrait des socits prives et au gouvernement de partager directement des informations sur des vulnrabilits ou des menaces pesant sur des rseaux d'ordinateurs17.

Blocage des chiers malveillants entrants Les entreprises doivent s'quiper d'une solution antimalwares analysant les fichiers entrant dans le rseau et capable de dcider en temps rel si les fichiers sont infects par des logiciels malveillants. Cette solution doit empcher les fichiers malveillants d'infecter le rseau interne et galement empcher l'accs aux sites web infests de logiciels malveillants qui tentent d'effectuer des tlchargements automatiques. Protection antibot multicouches La protection contre les bots comporte deux phases : la dtection et le blocage. Pour maximiser sa capacit dtecter un bot dans un rseau, un mcanisme de dtection multicouche est ncessaire pour couvrir tous les aspects du comportement des bots. Une solution de dtection de bot doit intgrer un mcanisme de vrification de la rputation capable de dtecter les adresses IP, URL et DNS utilises par les agresseurs pour se connecter aux botnets. Il est galement trs important que cette
018

protection inclut la possibilit de dtecter les protocoles et les modles de communication uniques chaque famille de botnet. La dtection des actions des bots est une autre fonction essentielle de la protection antibot. La solution doit tre capable d'identifier les activits des bots, telles que l'envoi de spam, le dtournement de clics et l'autodiffusion. La seconde phase faisant suite la dcouverte des machines infectes est le blocage des communications sortantes des bots vers les serveurs de commande et de contrle. Cette phase neutralise la menace et s'assure que les bots ne peuvent ni communiquer d'informations confidentielles ni recevoir d'instructions pour d'autres activits malveillantes. Les dommages causs par les bots sont ainsi immdiatement neutraliss. Cette approche permet aux entreprises de maintenir la continuit de leur activit. Les utilisateurs peuvent travailler normalement, sans avoir conscience que les communications spcifiques des bots sont bloques et que l'entreprise est protge, sans aucun impact sur la productivit.

CHECK POINT - RAPPORT SCURIT 2013

02 _ MENACES POUR VOTRE ENTREPRISE

Collaboration mondiale en temps rel Le problme des cyberattaques est trop vaste pour qu'une entreprise seule s'y attaque. Les entreprises ont plus de chance de matriser ce dfi croissant en collaborant et en bnficiant d'une assistance professionnelle. Lorsque les cybercriminels utilisent des logiciels malveillants, bots et autres formes de menaces avances, ils ciblent souvent plusieurs sites et entreprises pour augmenter les chances de russite de leurs attaques. Lorsque les entreprises combattent ces menaces sparment, de nombreuses attaques ne peuvent tre dtectes car les entreprises ne sont pas en mesure de partager d'informations sur les menaces. Pour continuer de devancer les menaces, les entreprises doivent collaborer et partager des donnes sur les menaces. La protection ne peut se renforcer et devenir plus efficace que si elles joignent leurs efforts. Prvention d'intrusions La prvention d'intrusions est une couche de scurit obligatoire pour combattre les diffrents vecteurs des cyberattaques. Une solution de prvention d'intrusions est requise pour inspecter le trafic en profondeur, et empcher les tentatives d'infiltration et d'accs aux ressources de l'entreprise. Une solution adquate intgre les fonctionnalits suivantes : Validation des protocoles et dtection des anomalies, Identification et blocage du trafic non conforme avec les protocoles standards, et pouvant entraner le malfonctionnement des quipements ou des problmes de scurit. Blocage des charges inconnues capables d'exploiter une vulnrabilit spcifique. Blocage des communications excessives indiquant une attaque de dni de service (DoS).

Voir la section Paysage des menaces et mesures Une visibilit claire sur les vnements de scurit et les tendances est un autre composant cl de la lutte contre la cybercriminalit. Les administrateurs de scurit doivent tre constamment et clairement en mesure de comprendre l'tat de la scurit du rseau pour contrer les menaces et les attaques ciblant l'entreprise. Cette comprhension requiert une solution de scurit capable de fournir une visibilit de haut niveau sur les protections, et mettre en vidence les informations critiques et les attaques potentielles. La solution doit galement tre en mesure d'analyser des lments spcifiques en profondeur. La possibilit de prendre immdiatement des mesures partir de ces informations est essentielle pour empcher les attaques en temps rel et bloquer proactivement les menaces futures. La solution de scurit doit intgrer un mcanisme d'administration intuitif et souple pour simplifier l'analyse des menaces et rduire le cot d'adaptation. Mises jour de scurit et assistance En raison des menaces en constante volution, les dfenses doivent voluer pour continuer de les devancer. Les produits de scurit ne peuvent traiter efficacement les tous derniers logiciels malveillants et vulnrabilits que si leurs diteurs sont en mesure d'effectuer des recherches et fournir des mises jour frquentes. Un excellent service de scurit repose sur : La recherche interne de l'diteur et sa capacit collecter des informations depuis diffrentes sources Des mises jour de scurit frquentes pour toutes les technologies appropries, dont la prvention d'intrusions, l'antivirus et l'antibot Une assistance pratique et facile d'accs capable de rpondre aux questions et traiter les problmes spcifiques l'environnement de ses clients

019

CHECK POINT - RAPPORT SCURIT 2013

03

APPLICATIONS UTILISES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE

Les rgles du jeu ont chang. Les rgles du jeu ont chang. Les applications Internet taient autrefois considres comme un passe-temps, un moyen de voir les photos de voyage de ses amis et regarder des films drles. Les applications du web 2.0 sont devenues des outils essentiels pour les entreprises modernes. Nous communiquons avec des collgues, clients et partenaires, nous partageons des informations, et nous nous tenons inform de l'actualit et des opinions d'autres internautes. Des outils Internet tels que Facebook, Twitter, Webex, LinkedIn et Youtube pour n'en citer que quelques-uns, sont de plus en plus rpandus dans les entreprises qui les utilisent comme des facilitateurs. Dans cette section de notre tude, nous dtaillons les risques introduits par les applications du web 2.0 et leur infrastructure, puis nous nous concentrons sur les applications spcifiques utilises par les entreprises de notre tude. Les rsultats sont illustrs l'aide de vritables exemples d'incidents.

Les applications web ne sont pas des jeux L'volution de la technologie entrane la complexification des problmatiques de scurit. Les outils Internet introduisent galement de nouveaux risques de scurit. De nombreuses applications Internet lgitimes sont utilises comme outil d'attaque contre les entreprises ou entranent des failles de scurit dans les rseaux. Des applications d'anonymat, de stockage et de partage de fichiers, de partage de fichiers en P2P, dadministration distance et les rseaux sociaux, sont utiliss par des agresseurs pour exploiter les failles des entreprises. Il existe une multitude de plates-formes et d'applications pouvant tre utilises des fins personnelles ou professionnelles. Chaque entreprise doit tre consciente de ce que font ses employs, et quelles fins, puis dfinir sa propre politique d'utilisation d'Internet. Il est noter que 91 % des entreprises utilisent des applications capables de potentiellement contourner la scurit, masquer les identits, provoquer des fuites de donnes et mme introduire des infections leur insu.

DONNES CONFIDENTIELLES PARTAGES PAR DES APPLICATIONS DE PARTAGE DE FICHIERS EN P2P


En juin 2012, la FTC (agence amricaine de rgulation des changes commerciaux) a allgu que deux entreprises avaient publi des informations confidentielles sur des rseaux de partage de fichiers en P2P, mettant en danger des milliers de consommateurs. La FTC a indiqu que l'une des entreprises, EPN, Inc., une agence de recouvrement de crances, avait rendu des donnes confidentielles, y compris les numros de scurit sociale, les numros d'assurs sociaux et les diagnostics mdicaux de 3 800 patients, disponibles tout ordinateur connect au rseau de P2P. La FTC a indiqu que l'autre entreprise, Franklins Budget Car Sales, Inc., un concessionnaire automobile, avait expos les donnes de 95 000 consommateurs sur un rseau de P2P. Les donnes comprenaient les noms, adresses, numros de scurit sociale, dates de naissance et numros de permis de conduire18. En 2010, la FTC a signal une centaine d'entreprises que des informations personnelles, comprenant des donnes confidentielles sur des consommateurs et/ou des employs, avaient t partages sur leurs rseaux et taient disponibles sur les rseaux de partage de fichiers en P2P. N'importe quel utilisateur de ces rseaux pouvait utiliser les donnes des fins d'usurpation d'identit ou de fraude19.

DANS

DES ENTREPRISES, UNE APPLICATION DE PARTAGE DE FICHIERS EN P2P EST UTILISE

61%

03 _ APPLICATIONS UTILISES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE

Les applications de P2P ouvrent des portes drobes dans votre rseau Les applications de P2P (pair pair) sont utilises pour partager des fichiers entre utilisateurs. La technologie P2P est de plus en plus prise par les agresseurs pour propager des programmes malveillants parmi les fichiers partags. Les applications de P2P sont essentiellement des portes drobes pour accder votre rseau. Elle permettent aux utilisateurs Principales applications de partage de chiers en P2P (% des entreprises)

de partager des dossiers et provoquer d'ventuelles fuites de donnes confidentielles, et peuvent rendre les entreprises responsables d'acquisitions illgales par leurs employs via les rseaux P2P. Nous avons constat un fort taux d'utilisation des applications de P2P. Elles sont utilises dans plus de la moiti des entreprises (61 %). Les clients BitTorrent sont les outils de partage de fichiers en P2P les plus utiliss. D'un point de vue rgional, le graphique suivant montre qu'en Asie-Pacifique, les applications de partage de fichiers en P2P sont plus populaires que dans d'autres rgions. Utilisation dapplications de partage de chiers en P2P par rgion (% des entreprises)
Source : Check Point Software Technologies

40 % BitTorrent

72 % APAC

eM 20 %
Source : Check Point Software Technologies

ule

62 % Amriques

Sou 19 % Gn 11 % Sop 10 % utella

lSeek

55 % EMEA

cast esh Live M


Graphique 3-B

7 % 7 6

ows Wind

esh % iM d xClou o B %

Graphique 3-A
Des informations supplmentaires sur les principales applications de P2P sont disponibles dans l'Annexe B.

Les applications d'anonymat contournent les rgles de scurit des entreprises Un anonymiseur (ou proxy anonyme) est un outil permettant de masquer toute trace des activits des utilisateurs sur Internet. Une telle application utilise un serveur de proxy qui agit en tant que filtre entre les ordinateurs des clients et le reste d'Internet. Elle accde Internet la place des utilisateurs, en masquant les informations personnelles de leur ordinateur et la destination laquelle ils accdent. Les applications
0 021

CHECK POINT - RAPPORT SCURIT 2013

03 _ APPLICATIONS UTILISES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE

d'anonymat peuvent tre utilises pour contourner les rgles de scurit qui sont essentiellement construites autour des identits des utilisateurs et des sites/URL de destination. En utilisant des anonymiseurs, les utilisateurs se matrialisent partir d'une adresse IP diffrente et accdent une destination diffrente. Les rgles de scurit ne peuvent tre appliques sur ces nouvelles adresses IP/destinations. Dans certains cas, les anonymiseurs peuvent tre galement utiliss pour dissimuler des activits criminelles. Dans 43 % des entreprises de notre tude, au moins une application d'anonymat est utilise. Dans 86 % des entreprises utilisant ce type d'application, l'utilisation n'est pas lgitime et contradictoire la politique de scurit. Lorsque nous regardons l'utilisation des applications d'anonymat par rgion, nous pouvons voir qu'elles sont plus populaires dans les Amriques et moins en Asie-Pacifique. Applications d'anonymat les plus populaires (% des entreprises)

Graphique 3-D Comment fonctionne l'anonymiseur Ultrasurf ? Ultrasurf est un anonymiseur extrmement sophistiqu fonctionnant sous forme de proxy client et crant un tunnel HTTP chiffr entre l'ordinateur des utilisateurs et un pool central de serveurs de proxy, pour permettre aux utilisateurs de contourner les pare-feux et la censure. Le mcanisme de dcouverte des serveurs de proxy d'Ultrasurf est trs rsistant, et intgre un cache des adresses IP des serveurs, des requtes DNS qui renvoient les adresses IP des serveurs de proxy chiffres, des documents chiffrs dans Google Docs, et une liste programme en dur dans loutil des adresses IP des serveurs de proxy. Ces techniques rendent sa dtection encore plus difficile.

Ul 8 % H 7 %

rf trasu

r opste

7 6 %

y Ass ide M H % achi Ham

Source : Check Point Software Technologies

13

roxy GI-P C %

Proxy Ultrasurf

Serveur web

Graphique 3-C
Des informations supplmentaires sur les principales applications d'anonymat sont disponibles dans l'Annexe B.

Internet

Ultrasurf se connecte un de ses serveurs de proxy

Client Ultrasurf
022

Source : Check Point Software Technologies

Utilisation des applications d'anonymat par rgion (% des entreprises)

49 % Amriques

40 % EMEA

35 % APAC

23 % Tor

DANS

DES ANONYMISEURS SONT UTILISS

43 %

DES ENTREPRISES,

L'ANONYMISEUR TOR COMPROMET LA SCURIT


Des recherches rcentes ont identifi un botnet contrl par des agresseurs dans un serveur IRC fonctionnant sous forme de service cach dans le rseau Tor. Les connexions entre les utilisateurs et les nuds Tor tant chiffres sur plusieurs niveaux, il est extrmement difficile pour les systmes de surveillance fonctionnant au niveau du rseau local ou du FAI de dterminer la vritable destination des utilisateurs20. Le principal objectif du rseau Tor est de rendre la navigation sur Internet anonyme. Bien qu'il soit trs populaire, son utilisation en entreprise pose plusieurs problmes de scurit. Tor peut galement tre facilement utilis pour contourner les rgles de scurit de l'entreprise puisqu'il est spcifiquement conu pour rendre ses utilisateurs anonymes. Lors de l'utilisation de Tor pour accder des ressources sur Internet, les requtes envoyes depuis un ordinateur sont rediriges de manire alatoire au travers d'une srie de nuds mis disposition volontairement par d'autres utilisateurs de Tor.

81 % DES ENTREPRISES UTILISENT DES OUTILS D'ADMINISTRATION DISTANCE


Outils d'administration distance utiliss pour des attaques malveillantes Les outils d'administration distance sont gnralement des outils lgitimes lorsqu'ils sont utiliss par des administrateurs et des services d'assistance. Toutefois, plusieurs attaques menes ces dernires annes ont fait appel de tels outils pour contrler distance des machines infectes, infiltrer des rseaux, enregistrer des frappes au clavier et drober des informations confidentielles. tant donn que ces outils sont habituellement utiliss en entreprise, ils ne devraient pas tre bloqus systmatiquement. Cependant, leur utilisation doit tre surveille et contrle pour empcher toute utilisation malintentionne. 81 % des entreprises de notre tude utilisent au moins une application d'administration distance ; Microsoft RDP tant la plus populaire.

Principales applications d'administration distance (% des entreprises)

58 % MS-RDP

52 % TeamViewer

17
Bo 4 % Gb 3 % mgar

% VN

ridge

Graphique 3-F
Des informations supplmentaires sur les principales applications d'administration distance sont disponibles dans l'Annexe B.

023

Source : Check Point Software Technologies

43 % LogMeIn

03 _ APPLICATIONS UTILISES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE

PIRAT PAR DES OUTILS D'ACCS DISTANCE


De juillet septembre 2011 s'est droule une campagne d'attaques nomme Nitro . Des agresseurs ont utilis un outil d'accs distance appel Poison Ivy pour dnicher des secrets dans prs d'une cinquantaine d'entreprises, la plupart dans les secteurs de la chimie et de la dfense. Poison Ivy a t introduit dans les PC sous Windows de victimes d'une escroquerie envoye par email. Les emails contenaient des demandes de runion de la part de partenaires commerciaux de bonne rputation, ou dans certains cas, des mises jour de logiciels antivirus ou d'Adobe Flash Player. Lorsque les utilisateurs ouvraient les pices jointes, Poison Ivy s'installait sur leur ordinateur leur insu. Les agresseurs pouvaient alors envoyer des instructions aux ordinateurs compromis pour obtenir des mots de passe d'accs des serveurs hbergeant des donnes confidentielles, et envoyer les informations drobes des systmes contrls par les pirates. 29 des 48 entreprises attaques faisaient partie du secteur de la commercialisation de produits chimiques et avancs, dont certaines avec des connexions des vhicules militaires, tandis que les 19 autres provenaient de diffrents secteurs, y compris la dfense21. Nitro n'est pas le seul exemple d'utilisation malintentionne des outils d'accs distance ; RSA breach, ShadyRAT et l'opration Aurora en sont d'autres. Poison Ivy tait cependant utilis dans tous les cas.

Partager ne signie pas toujours se soucier L'expression partager c'est se soucier signifie gnralement que lorsque quelqu'un partage avec d'autres cela signifie qu'elle se soucie des autres. Mais ce n'est pas toujours le cas lorsque l'on partage des fichiers en entreprise Principales applications de stockage et de partage de chiers (% des entreprises)

80 % DES ENTREPRISES UTILISENT DES APPLICATIONS DE STOCKAGE ET DE PARTAGE DE FICHIERS


l'aide d'applications de stockage et de partage de fichiers. Une des plus grandes caractristiques du web 2.0 est la possibilit de gnrer du contenu et le partager avec d'autres, mais cela prsente galement un risque. Des informations confidentielles peuvent tomber dans de mauvaises mains lorsque des fichiers confidentiels sont partags. Notre tude porte galement sur les applications de stockage et de partage de fichiers pouvant provoquer des fuites de donnes ou des infections de logiciels malveillants l'insu des utilisateurs. Notre tude montre que 80 % des entreprises utilisent au moins une application de stockage ou de partage de fichiers dans leur rseau. L'utilisation de Dropbox compte pour 69 % des vnements de scurit, Windows Live Office arrivant en seconde place avec 51 %.

69 % Dropbox

22 % Su 13 % Pu 10 9 %

dIt uSen o Y %

nc garsy

ive kyDr S ft o os Micr

er tLock

Source : Check Point Software Technologies

51 % Windows Live Office

Graphique 3-G
Des informations supplmentaires sur les principales applications de stockage et de partage de fichiers sont disponibles dans l'Annexe B.

Utilisation des applications haut risque par secteur d'activit Check Point a analys l'utilisation des applications haut risque d'un point de vue sectoriel. Le graphique 3-E montre que les entreprises industrielles et les administrations publiques sont les plus importantes utilisatrices d'applications haut risque. L'utilisation de certaines de ces applications peut tre lgitime en entreprise, par exemple

0 024

CHECK POINT - RAPPORT SCURIT 2013

03 _ APPLICATIONS UTILISES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE

POURCENTAGE DES ENTREPRISES UTILISANT DES APPLICATIONS HAUT RISQUE PAR


(% des entreprises)
Industrie Administration publique

< Pe

rtine nce a

ve c

l'ac

ti v

it

de

l'e n

in ist rat ion

Ad m

St oc

de

fic

hi

Finance Conseil

ers

en P

ka

Tlcommunication

et

pa

rta

ge

de

ge

2P

fic h

ier s

di sta nc

SECTEUR D'ACTIVIT

tre

pr

ise

55

59

63

% % 62

81

71 % 70 % 71 %

76 %

Graphique 3-E

0 025

Source : Check Point Software Technologies

Pa rta

An on ym

ise ur
% 29

ge

38 % 42 % 44 % 44 %

48 %
% 82 2 % 8

84 %
82 %

81 %

DEUX INCIDENTS MAJEURS SUR DROPBOX EN DEUX ANS


En juillet 2012, une attaque a t mene contre des utilisateurs de Dropbox. Des noms d'utilisateurs et mots de passe Dropbox publis sur un site web ont t tests sur des comptes Dropbox. Les pirates ont utilis un mot de passe drob pour se connecter au compte d'un employ de Dropbox contenant un document avec les adresses email des utilisateurs. Des spammeurs ont utilis ces adresses email pour envoyer du spam22. Cet incident illustre une tactique frquemment utilise par les pirates. Les pirates drobent souvent des noms d'utilisateurs et mots de passe de sites qui semblent premire vue ne pas contenir d'informations personnelles ou financires de valeur. Ils testent ensuite ces identifiants sur les sites web de diffrentes institutions financires, puis sur des comptes Dropbox pouvant potentiellement contenir des informations plus lucratives. En 2011, un bug d'une mise jour de Dropbox a permis quiconque de se connecter n'importe quel compte Dropbox, lorsque l'adresse email du dtenteur du compte tait connue. Ce bug a expos les informations et documents partags des utilisateurs. Le problme a t corrig en quelques heures, mais il a servi de mise en garde aussi bien aux utilisateurs qu'aux entreprises dont les employs utilisent des services de stockage et de partage de fichiers tels que Dropbox et Google Docs pour stocker des informations d'entreprise confidentielles23.

l'utilisation d'outils d'administration distance pour des services d'assistance. La barre horizontale de ce graphique indique en consquence le niveau d'utilisation lgitime dans un environnement professionnel. Message lgitime sur Facebook ou virus ? Avec la popularit croissante des rseaux sociaux, les entreprises font face de nouvelles problmatiques. Poster des informations confidentielles par inadvertance peut nuire la rputation de l'entreprise, et entraner la perte de l'avantage concurrentiel ou des pertes financires. Les pirates tirent galement parti de techniques de piratage associes l'ingnierie sociale pour diriger l'activit des botnets. Les vidos et les liens intgrs aux pages des rseaux sociaux sont en train de devenir des moyens populaires pour les pirates d'intgrer des logiciels malveillants. En plus des risques de scurit, les applications de rseaux sociaux touffent la bande passante. Facebook est sans aucun doute le rseau social le plus utilis. Twitter et LinkedIn sont d'autres rseaux sociaux visits durant les heures de travail (mais nettement moins que Facebook).

Un lien Facebook menant un site malveillant :

Utilisation de la bande passante par les rseaux sociaux Utilisation moyenne calcule dans les applications de rseaux sociaux
Source : Check Point Software Technologies

59 % Facebook

% Tw 13 12

itter

In inked L %

Graphique 3-H
0 026

CHECK POINT - RAPPORT SCURIT 2013

03 _ APPLICATIONS UTILISES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE

tude de cas des attaques d'ingnierie sociale De rcentes attaques dmontrent que les pirates migrent des emails traditionnels aux rseaux sociaux comme canal de diffusion. Le cas suivant est tir d'une vritable attaque qui s'est produite en aot 2012. Des pirates ont utilis des techniques d'ingnierie sociale Twitter et Facebook pour diffuser des contenus malveillants. l'aide d'un compte Twitter compromis, les pirates ont envoy directement des messages toutes les personnes suivant le compte pirat. Le message indiquait : que faisiez-vous dans ce film (URL Facebook]... c'est choquant . L'URL pointait sur une application Facebook ncessitant

que Gmail, Facebook, etc., mais pire encore, ils peuvent les utiliser pour accder des comptes bancaires ou encore des services pour entreprises telles que SalesForce et autres. RECOMMANDATIONS POUR SCURISER L'UTILISATION DES APPLICATIONS WEB DANS VOTRE RSEAU
Comment dvelopper une protection web 2.0 efcace ?

des identifiants Twitter . L'cran d'identification tait un serveur web appartenant aux pirates et utilis pour collecter les identifiants Twitter des destinataires. l'aide des identifiants Twitter, les pirates ont pu rpter

La premire tape pour scuriser l'utilisation des applications web en entreprise consiste utiliser une solution de scurit capable de contrler et d'appliquer des rgles de scurit tous les aspects de l'utilisation du web. Une visibilit complte sur toutes les applications utilises dans l'environnement est requise, avec la possibilit de contrler leur utilisation. Ce niveau de contrle doit tre maintenu sur les applications client (telles que Skype) et galement sur les aspects les plus traditionnels du web via URL : les sites web. Comme de nombreux sites (tels que Facebook) permettent de nombreuses applications d'utiliser leur URL, il est essentiel de disposer d'une granularit au-del des URL ; par exemple pour le chat Facebook et des applications de jeux. Les entreprises sont alors en mesure de facilement bloquer les applications mettant leur scurit en danger.
Autorisation des rseaux sociaux pour l'activit de l'entreprise

le mme processus avec les nouveaux comptes pirats pour obtenir encore plus de mots de passe. Les pirates peuvent utiliser ces identifiants drobs avec d'autres services tels

Des entreprises choisissent de bloquer Facebook dans certains cas, mais celui-ci est un outil de travail indispensable pour de nombreuses entreprises. Les entreprises publient souvent des informations sur leurs prochains webinaires et vnements, des informations sur les produits et les toutes dernires nouveauts, des liens vers des articles intressants et des vidos. Comment pouvons-nous permettre l'utilisation des rseaux sociaux dans l'entreprise sans compromettre la scurit ? En contrlant les fonctionnalits et les widgets de ces applications et plates-formes. En autorisant l'utilisation de Facebook tout en bloquant ses fonctionnalits moins utiles l'entreprise, il est possible de rendre ce rseau social utile tout en minimisant ses risques de scurit.

0 027

CHECK POINT - RAPPORT SCURIT 2013

03 _ APPLICATIONS UTILISES DANS L'ESPACE DE TRAVAIL DE L'ENTREPRISE

Diffrents utilisateurs ont diffrents besoins

Les diffrents utilisateurs de l'entreprise ont des besoins diffrents, et la politique de scurit doit maximiser le potentiel des activits, et non les freiner. Par exemple, le service commercial peut utiliser Facebook pour rester en contact avec ses clients et partenaires, alors que le service informatique peut l'utiliser pour se tenir inform des toutes dernires actualits. Comment pouvons-nous alors assurer que les utilisateurs bnficient de l'accs dont ils ont besoin ? Est-il pratique de demander au responsable de la scurit de savoir ce quoi chaque utilisateur ou groupe devrait ou ne devrait pas avoir accs ? Une solution pratique doit pouvoir identifier les utilisateurs, les groupes et les postes de manire granulaire afin de distinguer facilement les employs des autres (invits et soustraitants). Un autre aspect important est la possibilit d'engager et sensibiliser les utilisateurs en temps rel lorsqu'ils utilisent des applications. Lorsqu'un utilisateur se rend sur un site web douteux ou lance une application douteuse, un message apparat lui demandant de justifier de son utilisation pour pouvoir y accder. Sa rponse est journalise et supervise. Le message peut galement l'informer sur la politique d'utilisation professionnelle d'Internet, et lui signifier que son utilisation de telles applications est surveille.
La comprhension est un composant essentiel du contrle du web

LA SCURISATION DU WEB 2.0 REQUIERT UNE APPROCHE INTGRE DU FILTRAGE DES URL, DE CONTRLE DES APPLICATIONS, D'IDENTIFICATION DES UTILISATEURS, DE SENSIBILISATION DES UTILISATEURS ET D'UNE MANIRE D'AUGMENTER LA VISIBILIT SUR LE CONTRLE DU WEB POUR LES ADMINISTRATEURS.
vnements pouvant tre ordonns, regroups et tris par utilisateur, application, catgorie, niveau de risque, utilisation de la bande passante, du temps, etc. Il est important de pouvoir galement gnrer des rapports pour mettre en vidence les principales catgories, applications, sites et utilisateurs, afin de connatre les tendances et planifier les capacits.
Rsum

Les administrateurs doivent avoir une vue d'ensemble des vnements de scurit Internet pour assurer le contrle du web. Une solution de scurit fournissant une visibilit claire et tendue sur tous les vnements de scurit lis au web est ncessaire. La solution doit fournir une visibilit et des fonctions de supervision telles qu'une vue d'ensemble graphique, une chronologie des vnements, et une liste des

Les rgles du jeu ont chang. Scuriser le web 2.0 ne revient plus simplement bloquer une URL inapproprie. Il ne s'agit plus de seulement empcher une application de s'excuter. Scuriser le web 2.0 requiert une approche intgre de protection multicouche avec filtrage des URL, contrle des applications, protection antimalwares et antibots, ainsi que l'identification des utilisateurs, la sensibilisation des utilisateurs, et des outils sophistiqus de supervision et d'analyse des vnements pour permettre aux administrateurs de conserver le contrle de toutes les situations.

0 028

CHECK POINT - RAPPORT SCURIT 2013

04

FUITES DE DONNES DANS VOTRE RSEAU

Les donnes des entreprises : leur bien le plus prcieux Les donnes des entreprises sont de plus en plus accessibles et transmissibles que jamais auparavant, et la majorit des donnes sont confidentielles. Certaines sont confidentielles car elles contiennent tout simplement des donnes internes l'entreprise qui ne sont pas destines tre communiques publiquement. D'autres sont galement confidentielles pour des raisons de conformit avec la politique de l'entreprise, et des lgislations nationales et internationales. Dans de nombreux cas, la valeur des donnes dpend de leur confidentialit. C'est le cas notamment de la proprit intellectuelle et des informations sur les concurrents de l'entreprise. Pour complexifier encore plus les choses, au-del de la gravit des fuites de donnes, nous disposons maintenant d'outils et de pratiques qui facilitent encore plus les erreurs irrversibles : serveurs dans le cloud, Google docs, et tout simplement le non respect des procdures de l'entreprise, lorsque des employs emportent par exemple leur travail domicile. En fait, la plupart des cas de fuites de donnes se produisant sont des fuites involontaires.

Les fuites de donnes peuvent arriver tout le monde Des fuites de donnes peuvent tre provoques non seulement par des cybercriminels, mais galement involontairement par des employs. Un document confidentiel peut tre envoy par erreur la mauvaise personne, partag sur un site public, ou envoy sur un compte de messagerie personnelle non autoris. N'importe lequel de ces scnarios peut se arriver chacun d'entre nous, avec des consquences dsastreuses. Les fuites de donnes confidentielles portent prjudice l'image de l'entreprise, entranent des non-conformits et mme de lourdes amendes. Notre tude Lorsque des entreprises doivent prciser les donnes qui ne devraient pas sortir de l'entreprise, de nombreuses variables doivent tre prises en compte. De quel type de donnes s'agitil ? Qui en est le propritaire ? Qui en est l'expditeur ? Qui est le destinataire prvu ? Quand sont-elles envoyes ? Quel est le cot de l'interruption des processus mtiers lorsque la politique de scurit est plus stricte que ncessaire ?

54 %
DES ENTREPRISES DE NOTRE TUDE ONT SUBI AU MOINS UN INCIDENT POTENTIEL DE FUITE DE DONNES

OUPS... J'AI ENVOY L'EMAIL LA MAUVAISE ADRESSE


Voici quelques exemples de fuites de donnes provoques involontairement par des employs en 2012 : En october 2012, le conseil municipal de Stokeon-Trent au Royaume-Uni a t condamn verser une amende de 120 000 livres aprs la dcouverte de l'envoi d'informations confidentielles la mauvaise adresse par un membre de son service juridique. Onze emails destins un avocat travaillant sur un dossier ont t envoys une autre adresse email suite une faute de frappe. Le journal japonais Yomiuri Shimbun a licenci un de ses journalistes en octobre 2012 pour avoir accidentellement envoy les informations confidentielles d'une enqute aux mauvais destinataire. Le journaliste avait l'intention d'envoyer les rsultats de ses recherches des collgues par email, mais a envoy les messages plusieurs bureaux de presse la place, dvoilant ainsi l'identit de ses sources24. En avril 2012, l'Institut militaire de Virginie Lexington aux tats-Unis a involontairement envoy les notes des tudiants sous forme de pice jointe. Un email a t envoy au prsident de classe contenant une feuille de calcul rvlant les notes de chaque senior. Ignorant de la prsence de la pice jointe, le prsident a ensuite transmis le message 258 tudiants. L'intention initiale tait d'envoyer un email avec une feuille de calcul ne contenant que les noms et adresses postales des tudiants afin qu'ils confirment leurs coordonnes25. L'Universit A&M du Texas a envoy par accident un email avec une pice jointe contenant les numros de scurit sociale, noms et adresses de 4 000 anciens tudiants, qui ont ensuite inform l'universit de son erreur. L'accident s'est produit en avril 201226.

Source : Check Point Software Technologies

Nous avons analys dans notre tude le trafic transitant de l'intrieur vers l'extrieur des entreprises. Nous avons examin le trafic HTTP et SMTP. Par exemple, dans le cas d'emails envoys un destinataire externe, des appareils Check Point ont inspect le corps du message, les destinataires et les pices jointes (mme compresses). Nous avons galement inspect les activits web, telles que la publication de messages et les webmails. Comme rgles de scurit sur ces appareils, nous avons choisi les types de donnes prdfinis par dfaut pour dtecter les donnes confidentielles, les formulaires et les modles (tels que numros de cartes de paiement, code source, donnes financires et autres) pouvant constituer des fuites de donnes potentielles si elles tombaient dans de mauvaises mains. Une liste dtaille des types de donnes est disponible dans l'Annexe D. Fuites de donnes potentielles dans votre entreprise Nos recherches ont montr que dans 54 % des entreprises, au moins un vnement de scurit relevant potentiellement

Pourcentage d'entreprises avec au moins un vnement de fuite de donnes potentielle par secteur d'activit b. in. pu (% des entreprises) m d A

70 %

Fi 61 % In 50 % ie dustr

e nanc

45
Co 33 %

tion unica m m lco % T Au 54 % tres

nseil

Graphique 4-A

031

CHECK POINT - RAPPORT SCURIT 2013

04 _ FUITES DE DONNES DANS VOTRE RSEAU

d'une fuite de donnes se produit en moyenne tous les 6 jours. Nous avons pris en compte des vnements lis des informations internes (voir la liste des types de donnes dans l'Annexe D) envoyes des ressources externes, soit par l'envoi d'un email un destinataire externe ou la publication d'un message en ligne. Nos recherches montrent que les administrations publiques et les entreprises du secteur financier sont les plus exposes aux risques de fuites de donnes (voir graphique 4-A).

DANS 28 % DES ENTREPRISES, UN EMAIL INTERNE A T ENVOY UN DESTINATAIRE EXTERNE

Source : Check Point Software Technologies

Emails internes envoys l'extrieur de l'entreprise Dans de nombreux cas, des fuites de donnes se produisent involontairement lorsque des employs envoient des emails aux mauvais destinataires. Nous avons analys deux types d'email pouvant relever de tels cas. Le premier type comprend des emails envoys des destinataires internes visibles (champs et CC) et des destinataires externes dans le champ BCC. Dans la plupart des cas, ces emails semblent internes mais sortent effectivement de l'entreprise. Le second type comprend des emails envoys plusieurs destinataires internes et un seul destinataire externe. De tels emails sont gnralement envoys involontairement au mauvais destinataire externe. Des vnements de ces deux types se sont produits dans 28 % des entreprises tudies. Quels sont les types de donnes envoys par les employs des destinataires externes ou publis en ligne ? Le graphique 4-C montre les principaux types de donnes envoyes des tiers l'extrieur de l'entreprise. Les informations sur les cartes de paiement sont en tte de liste, suivis des codes source et des fichiers protgs par mot de passe.
032

Votre entreprise est-elle conforme PCI ? Les employs envoient leur propre numro de carte de paiement et ceux de leurs clients sur Internet. Ils envoient des reus de paiement des clients contenant leur numro de carte de paiement sous forme de pices jointes. Ils rpondent aux emails des clients contenant initialement leur numro de carte de paiement dans le corps du message. Ils envoient mme quelquefois des feuilles de calcul contenant des donns client des comptes de messagerie personnels ou des partenaires commerciaux. Les incidents lis aux numros de cartes de paiement sont souvent le rsultat d'un processus mtier dfaillant ou d'une inattention. Ces incidents peuvent galement indiquer que la politique de scurit de l'entreprise ne rpond pas aux objectifs de sensibilisation la scurit et d'utilisation prudente des ressources de l'entreprise. De plus, l'envoi de numros de cartes de paiement sur Internet n'est pas conforme la norme PCI DSS stipulant que les donnes des titulaires de cartes de paiement doivent tre chiffres lors des transmissions sur des rseaux publics ouverts. La non conformit la norme PCI DSS peut nuire la rputation de l'entreprise, et entraner des poursuites et des ddommagements, des annulations de contrats, des problmes de cartes de paiement et des amendes. Pourcentage d'entreprises par secteur dans lesquelles des informations de cartes de paiement ont t envoyes des ressources externes b. in. pu (% des entreprises) Adm

47

Fi 36 % In 26 % ie dustr

e nanc

18 %
C 11 %

ion nicat u m om Tlc tre

l onsei

% Au 26

Graphique 4-B

DES ENTREPRISES DU SECTEUR FINANCIER ONT ENVOY DES INFORMATIONS DE CARTES DE PAIEMENT L'EXTRIEUR DE L'ENTREPRISE

36 %

DONNES ENVOYES ES L'EXTRIEUR DE L'ENTREPRISE 'ENTREPRISE PAR DES EMPLOYS YS


(% des entreprises)

7%

sig d l i a Em

e mm o c n

iel ent d fi n t co n a t

F 4%

ic

t pro r e hi

m par

p t de

ass

Inf orm ati on sd er m un ra 6% tio n Do ssie rs d 3% 'en tre Nu pri m se ros de com pte 21 s %A utre

13 %

29

Graphique 4-C

Source : Check Point Software Technologies

t en im de pa o e C sd e % t r ca 24 e d ns o i at m r fo In

rce u o s

CHECK POINT - RAPPORT SCURIT 2013

04 _ FUITES DE DONNES DANS VOTRE RSEAU

Nous avons inspect le trafic sortant des entreprises et analys le contenu de tous les messages, y compris les pices jointes et les archives, la recherche de numros de cartes de paiement ou de donnes sur leurs titulaires. Les analyses utilisent des expressions rgulires, la validation des sommes de contrle, et les rgles de conformit aux normes PCI DSS. Dans 29 % des entreprises, au moins un vnement a t dcouvert, indiquant que des informations lies PCI ont t envoyes l'extrieur de l'entreprise. Dans 36 % des entreprises du secteur financier, qui sont gnralement obliges d'tre conformes aux normes PCI, au moins un vnement s'est produit. HIPAA Les rgles de confidentialit HIPAA aux tats-Unis ont pour objectif de protger les informations de sant et donner aux patients un certain nombre de droits quant ces informations. Elles permettent cependant de communiquer des informations de sant lorsque cela est requis pour le traitement des patients ou autre ncessit.27 Elles permettent aux organismes de sant d'utiliser la messagerie lectronique pour discuter des problmes de sant avec leurs patients, condition de mettre en place des garde-fous raisonnables. Le chiffrement n'est pas obligatoire, cependant, un niveau de confidentialit raisonnable doit tre garanti. Comment laisser le canal de communication ouvert avec les patients et les partenaires tout en protgeant la confidentialit

et en maintenant la conformit avec HIPAA ? Nous avons surveill le trafic sortant des entreprises tout en analysant les emails et les pices jointes, la recherche dinformations prives sur les patients, par identification des donnes personnelles (telles que des numros de scurit sociale) et des termes mdicaux. Dans 16 % des entreprises de sant et dassurance, des informations confidentielles sont envoyes l'extrieur des entreprises, des destinataires externes ou publies en ligne.

RECOMMANDATIONS DE SCURIT Dans un monde o les pertes de donnes sont un phnomne croissant, les entreprises doivent se charger elles-mmes de la protection de leurs donnes confidentielles. La meilleure solution pour empcher les fuites de donnes involontaires consiste implmenter des rgles de scurit automatiques qui dtectent les donnes protges avant qu'elles ne quittent l'entreprise. Une telle solution est appele prvention des pertes de donnes (DLP). Les produits de DLP intgrent un ensemble complet de fonctionnalits, et les entreprises disposent de plusieurs options pour les dployer. Avant de dployer une solution de DLP, les entreprises doivent dvelopper des stratgies prcises avec des critres concrets prcisant ce qui est considr comme tant des informations confidentielles, qui peut les envoyer, etc.

DANS

16 %

DES ENTREPRISES DES SECTEURS DE LA SANT ET DES ASSURANCES, DES INFORMATIONS CONFIDENTIELLES ONT T ENVOYES L'EXTRIEUR DE L'ENTREPRISE

CHECK POINT - RAPPORT SCURIT 2013

04 _ FUITES DE DONNES DANS VOTRE RSEAU

Moteur de classication des donnes L'identification fiable des donnes confidentielles est un composant essentiel de la solution de DLP, qui doit tre en mesure de dtecter les informations personnellement identifiables, les donnes de conformit, et les donnes confidentielles. Elle doit inspecter les flux de contenus et appliquer les rgles de scurit dans les protocoles TCP les plus utiliss et les webmail. Elle doit galement effectuer des analyses reposant sur des correspondances avec des modles et des classifications de fichiers, pour identifier les types de contenu quel que soit l'extension des fichiers et leur compression. De plus, la solution de DLP doit tre en mesure de reconnatre et protger les formulaires confidentiels, selon des modles prdfinis et la correspondance fichiers/formulaire. Une fonctionnalit importante de la solution de DLP est la possibilit de crer des types de donnes personnaliss en plus des types de donnes fournis par l'diteur, pour maximiser la souplesse. Autoremdiation des incidents Les solutions de DLP traditionnelles peuvent dtecter, classifier et mme reconnatre des documents spcifiques et diffrents types de fichiers, mais elles ne peuvent dterminer l'intention des utilisateurs lorsqu'ils partagent des informations confidentielles. La technologie seule n'est pas suffisante car elle ne peut identifier cette intention et prendre les dcisions qui s'imposent. Ainsi, une bonne solution de DLP doit engager les utilisateurs en leur permettant de remdier eux-mmes aux incidents en temps rel. Elle doit informer les utilisateurs que leurs actions peuvent provoquer des fuites de donnes, et leur permettre de stopper leurs actions ou de les effectuer malgr tout. La scurit est amliore grce la sensibilisation aux politiques d'utilisation des donnes, en alertant les utilisateurs d'erreurs potentielles et en leur permettant d'y remdier immdiatement, tout en autorisant les communications lgitimes. L'administration est galement simplifie, car les administrateurs peuvent suivre les vnements de DLP pour les analyser, sans quil leur soit ncessaire de traiter en temps rel les demandes d'envoi de donnes vers l'extrieur. Protection contre les fuites de donnes internes Une autre fonctionnalit importante de la DLP est la possibilit d'empcher les fuites de donnes internes, en inspectant et en contrlant les emails confidentiels entre dpartements. Des rgles de scurit peuvent tre dfinies pour empcher des donnes confidentielles d'atteindre les mauvais dpartements, notamment les schmas de rmunration, les documents

confidentiels de ressources humaines, les documents de fusions/acquisitions et les formulaires mdicaux. Protection des donnes sur disques durs Les entreprises doivent protger les donnes des ordinateurs portables pour complter leur politique de scurit. Sans protection des donnes, des tiers malintentionns peuvent obtenir des donnes importantes en cas de perte ou de vol des ordinateurs portables, et entraner des rpercussions juridiques et financires. Une solution approprie doit empcher les utilisateurs non autoriss d'accder aux informations en chiffrant les donnes sur tous les disques durs des postes de travail, y compris les donnes utilisateur, les fichiers du systme d'exploitation, les fichiers temporaires et les fichiers supprims. Protection des donnes sur supports amovibles Pour empcher les donnes d'entreprise de tomber dans de mauvaises mains via des priphriques de stockage USB et autres supports amovibles, le chiffrement et la prvention des accs non autoriss sont ncessaires sur ces appareils. Les employs combinent souvent des fichiers personnels (musique, photos et documents) avec des fichiers professionnels sur des supports amovibles, ce qui rend encore plus difficile le contrle des donnes d'entreprise. Les fuites de donnes peuvent tre minimises par le chiffrement des appareils de stockage amovibles. Protection des documents Des documents d'entreprise sont rgulirement stockes sur le web, envoys sur des smartphones personnels, copis sur des supports amovibles et partags avec des partenaires commerciaux externes. Chacune de ces oprations met les donnes en danger : risques de fuites, d'utilisation malintentionne, ou d'accs par des individus non autoriss. Pour protger les documents d'entreprise, la solution de scurit doit pouvoir les chiffrer via des rgles de scurit et contrler leur accs. Gestion des vnements La dfinition de rgles de DLP rpondant la politique d'utilisation des donnes de l'entreprise doit s'accompagner de solides fonctions de supervision et de reporting. Pour minimiser les fuites de donnes potentielles, la solution de scurit doit intgrer la surveillance et l'analyse des vnements de DLP passs et en temps rel, pour apporter une visibilit claire et tendue sur les informations envoyes l'extrieur et leurs sources, et la possibilit d'agir en temps rel si ncessaire.
035

CHECK POINT - RAPPORT SCURIT 2013

05

RSUM ET STRATGIE DE SCURIT

NOUS CONCLUONS CE RAPPORT PAR UNE AUTRE CITATION DE SUN TZU TIRE DE L'ART DE LA GUERRE : UN CONSEIL POUR UN GNRAL D'ARME : UNE FOIS SON ARME CONSTITUE, SES FORCES FOCALISES, IL DOIT MIXER LES DIFFRENTS LMENTS ET HARMONISER LESPRIT DE SES TROUPES AVANT DE CHOISIR UN LIEU DE CAMPEMENT 28
2 600 ans plus tard, la mme approche est parfaitement adapte la lutte contre la cyberguerre. La meilleure scurit est obtenue par l'harmonisation des diffrentes couches de protection du rseau pour lutter contre les diffrents angles des menaces. Ce rapport a couvert les diffrents aspects des risques de scurit que Check Point a dtect dans un grand nombre d'entreprises. Il a montr que les bots, les virus, les failles et les attaques sont une menace relle et constante pour les entreprises. Le rapport a ensuite montr que certaines applications web utilises par les employs peuvent compromettre la scurit du rseau. Enfin, il a montr que les employs effectuent involontairement de nombreuses actions pouvant entraner des fuites de donnes confidentielles.

vers un processus mtier efficace. Check Point recommande aux entreprises de considrer trois dimensions lorsqu'elles dploient une stratgie et une solution de scurit : les rgles de scurit, le facteur humain, et la mise en application des rgles de scurit. Les rgles de scurit Une politique de scurit bien dfinie, largement comprise et troitement aligne sur les besoins et la stratgie de l'entreprise, plutt qu'un assemblage de technologies disparates et de vrifications au niveau des systmes, est le point d'entre de la scurit. Les rgles de scurit devraient prendre en compte les priorits de l'entreprise et suggrer des moyens d'assurer son activit dans un environnement scuris. Par exemple, durant notre tude, nous avons dcouvert que certains employs utilisent des applications web ncessaires leur mtier mais qui peuvent galement compromettre la scurit. Si nous dployons uniquement des technologies qui bloquent de telles applications web, le rsultat serait des plaintes en masse auprs des administrateurs de scurit, ou pire encore, les employs trouveraient des moyens de contourner les rgles de scurit, crant ainsi encore plus de problmes. Au lieu de cela, Check Point recommande la cration d'une politique de scurit qui reconnat les cas d'utilisation de telles applications et dfinit une procdure permettant leur utilisation de manire scurise. Les utilisateurs devraient tre informs automatiquement de toute application ncessaire des rgles de scurit. Le facteur humain Les utilisateurs des systmes informatiques font partie intgrante du processus de scurit. Ce sont souvent les utilisateurs qui commettent des erreurs provoquant des infections de logiciels malveillants et des fuites de donnes. Les entreprises doivent s'assurer que les utilisateurs sont impliqus dans le processus de scurit. Les employs

Pour votre stratgie de scurit : la technologie seule n'est pas sufsante L'approche de Check Point pour obtenir le niveau de scurit requis pour protger une entreprise reconnat que la technologie seule n'est pas suffisante. La scurit doit voluer d'une simple superposition de technologies et de pratiques

036

CHECK POINT - RAPPORT SCURIT 2013

05 _ RSUM ET STRATGIE DE SCURIT

doivent tre informs et sensibiliss la politique de scurit, et ce qui est attendu d'eux lorsqu'ils surfent sur Internet ou partagent des donnes confidentielles. La scurit devrait tre aussi transparente que possible, sans modifier leur faon de travailler. L'implmentation d'un programme de scurit devrait comprendre : Un programme de formation garantissant que tous les utilisateurs sont conscients que les systmes sont potentiellement vulnrables des attaques et que leurs actions peuvent les favoriser ou les empcher. De la technologie indiquant aux employs en temps rel que certaines actions sont risques et comment les effectuer de manire scurise.

La mise en application des rgles de scurit Le dploiement de solutions technologiques de scurit telles que des passerelles de scurit et des logiciels de protection de postes est vital pour protger les entreprises des failles et des fuites de donnes. Des passerelles de scurit devraient tre installes tous les points de connexion pour garantir que seul le trafic appropri et autoris entre ou sort de l'entreprise. Cette validation devrait tre effectue tous les niveaux de la scurit et sur toutes les communications, protocoles, mthodes, requtes, rponses et charges, l'aide de solutions de scurit telles que : pare-feu, contrle des applications, filtrage des URL, prvention des fuites de donnes, prvention des intrusions, antivirus et antibot.

037

CHECK POINT - RAPPORT SCURIT 2013

06

PROPOS DE CHECK POINT SOFTWARE TECHNOLOGIES

Check Point Software Technologies Ltd. (www.checkpoint. com), le leader mondial de la scurit sur Internet, assure aux clients un niveau optimal de protection contre tous les types de menaces, simplifie l'installation et la maintenance des dispositifs de scurit, et rduit leur cot total de possession. Prcurseur de la technologie Firewall-1 et du standard de la scurit des rseaux Stateful Inspection, Check Point est toujours la pointe de la technologie. Check Point continue d'innover, notamment via l'Architecture Software Blades, et propose aujourd'hui des solutions la fois fiables, flexibles et simples d'utilisation, pouvant tre totalement personnalises pour rpondre aux besoins spcifiques de chaque entreprise. Check Point est le seul diteur qui transforme la scurit en un vritable processus mtier. Check Point 3D Security combine le facteur humain, la politique de scurit et sa mise en application, pour une protection renforce des donnes, et aide les entreprises implmenter des plans de scurit qui s'alignent avec leurs besoins. Check Point compte parmi ses clients toutes les socits figurant dans les listes Fortune 100 et Global 100, ainsi que des dizaines de milliers d'entreprises de toute taille. Les solutions ZoneAlarm de Check Point protgent les PC de millions de particuliers contre les pirates, les logiciels espions et les vols de donnes. Check Point 3D Security Check Point 3D Security redfinit la scurit comme tant un processus mtier tridimensionnel combinant le facteur humain, la politique de scurit et sa mise en application, pour une protection renforce et tendue l'ensemble des couches de scurit y compris le rseau, les donnes et les postes. Pour parvenir au niveau de protection requis en ce 21me sicle, la scurit doit voluer d'une simple superposition de technologies vers un processus mtier efficace. Avec 3D Security, les entreprises peuvent implmenter un schma de scurit allant bien au-del du cadre de la technologie pour garantir l'intgrit des systmes informatiques. Check Point 3D Security permet aux entreprises de redfinir la scurit en intgrant les dimensions suivantes au sein d'un processus :
038

Des politiques de scurit qui prennent en charge les besoins de l'entreprise et transforment la scurit en un processus mtier Une scurit intgrant le facteur humain dans la dfinition de la politique de scurit, la sensibilisation des utilisateurs et la rsolution des incidents La mise en application, la consolidation et le contrle de toutes les couches de scurit : rseau, donnes, applications, contenus et utilisateurs Architecture Software Blade de Check Point Outil cl d'une vritable scurit complte, l'Architecture Software Blades de Check Point permet aux entreprises d'appliquer des rgles de scurit tout en y sensibilisant les utilisateurs. L'architecture Software Blade est la toute premire et la seule architecture de scurit offrant une protection complte, souple et administrable, aux entreprises de toute taille. De plus, l'Architecture Software Blade de Check Point tend les services de scurit la demande, rapidement et de manire souple, pour faire face aux nouvelles menaces ou de nouveaux besoins, sans ajouter de nouveaux quipements et sans rendre l'ensemble plus complexe administrer. Toutes les solutions sont administres de manire centralise partir d'une console unique rduisant la complexit et les cots de fonctionnement. Une protection multicouche est essentielle aujourd'hui pour combattre les menaces dynamiques telles que bots, chevaux de Troie et menaces persistantes avances (APT). Les pare-feux ressemblent de plus en plus des passerelles multifonction, mais toutes les entreprises n'ont pas besoin des mme fonctions de scurit. Elles recherchent une souplesse et un contrle sur leurs ressources de scurit. Les blades sont des applications de scurit ou des modules tels que pare-feu, rseau priv virtuel (VPN), systme de

CHECK POINT - RAPPORT SCURIT 2013

06 _ RSUM ET STRATGIE DE SCURIT

prvention d'intrusions (IPS), ou contrle des applications pour n'en citer que quelques un, indpendantes, modulaires et administres de manire centralise. Elles permettent aux entreprises d'adapter leur configuration de scurit afin d'obtenir un quilibre parfait entre scurit et investissement. Les blades peuvent tre rapidement actives et configures sur n'importe quelle passerelle et systme d'administration, d'un simple clic de souris, sans qu'il soit ncessaire de faire voluer le matriel, le micro-logiciel ou les pilotes. En cas d'volution des besoins, des blades supplmentaires peuvent tre facilement actives pour tendre la scurit d'une configuration existante sur le mme quipement de scurit. Check Point propose une administration centralise des vnements pour tous les produits Check Point y compris les systmes tiers. La visualisation des vnements en temps rel permet de saisir rapidement la situation de la scurit et agir en consquence, depuis une console unique. L'affichage sous forme de chronologie permet de voir les tendances

Check Point Security Gateway SmartDashboard. cran d'activation des blades

et la propagation des attaques. L'affichage sous forme de graphique fournit des statistiques en camembert ou en barres. L'affichage sous forme de carte permet d'identifier les menaces potentielles par pays.

Administration des vnements de scurit Check Point SmartEvent. Visibilit en temps rel.

039

CHECK POINT - RAPPORT SCURIT 2013

06 _ RSUM ET STRATGIE DE SCURIT

Renseignements de scurit en temps rel ThreatCloud ThreatCloud est un rseau collaboratif et une base de connaissances dans le cloud qui fournit des renseignements dynamiques de scurit en temps rel aux passerelles de scurit. Ces renseignements sont utiliss pour identifier les foyers mergents et les tendances des menaces. ThreatCloud et la blade Anti-Bot permettent aux passerelles d'analyser les adresses IP, DNS et URL continuellement changeantes des serveurs de commande et de contrle connus. Comme le traitement est fait dans le cloud, des millions de signatures de logiciels malveillants peuvent tre analyses en temps rel. La base de connaissances ThreatCloud est mise jour dynamiquement via des donnes provenant de passerelles travers le monde, d'un rseau mondial de capteurs de menaces, des laboratoires de recherche de Check Point et des meilleurs flux antimalwares du march. Les donnes corrles sur les menaces sont ensuite partages collectivement entre toutes les passerelles.

Appliance Check Point 61000 Optimises pour l'architecture Software Blades, chaque appliance est en mesure d'intgrer n'importe quelle combinaison de blade, dont les blades Firewall, IPsec VPN, IPS, Application Control, Mobile Access, DLP, URL Filtering, Anti-Bot, Antivirus, Anti-spam, Identity Awareness et Advanced Networking & Clustering, pour fournir la souplesse et le niveau de scurit prcis pour toute entreprise et tout niveau du rseau. En consolidant plusieurs technologies de scurit dans un passerelle de scurit unique, les appliances sont conues pour fournir des solutions de scurit intgres et avances rpondant tous les besoins en scurit des entreprises. Lanc en aot 2011, SecurityPower est un indice de mesure de la capacit d'une appliance effectuer plusieurs fonctions avances de scurit dans un volume de trafic spcifique. Il fournit un rfrentiel rvolutionnaire qui permet aux clients de slectionner l'appliance de scurit approprie leur scnario de dploiement spcifique. Les indices SecurityPower reposent sur du trafic rel, plusieurs fonctions de scurit et des politiques de scurit typiques.

Appliances Check Point Dans les environnements rseau actuels, les passerelles de scurit sont plus que des pare-feux. Ce sont des quipements de scurit qui doivent faire face un nombre toujours croissant de menaces sophistiques. Elles doivent faire appel diffrentes technologies pour contrler les accs au rseau, dtecter les attaques sophistiques et fournir des fonctionnalits de scurit supplmentaires, telles que la prvention des pertes de donnes et la prvention contre les attaques provenant du web, et scuriser un nombre croissant d'appareils mobiles tels qu'iPhone et tablettes utiliss dans l'entreprise. Ces menaces et ces fonctions de scurit avances ncessitent des appliances de scurit performantes et polyvalentes. Grce Check Point GAiA, le systme d'exploitation de future gnration, les appliances Check Point combinent des possibilits multicur haute performance avec des technologies rseau rapides afin de proposer une scurit de haut niveau pour les donnes, le rseau et les employs.

040

CHECK POINT - RAPPORT SCURIT 2013

06 _ RSUM ET STRATGIE DE SCURIT

Protection des postes Check Point Les blades Check Point Endpoint Security fournissent une souplesse, un contrle et une efficacit sans prcdent pour le dploiement et l'administration de la protection des postes. Les responsables informatiques peuvent choisir parmi six blades Endpoint Security pour dployer uniquement la protection requise, avec la possibilit de pouvoir renforcer la protection tout moment. La blade Full Disk Encryption (chiffrement des disques) protge automatiquement et en toute transparence les donnes situes sur les disques durs des postes. Lauthentification multifacteur avant linitialisation garanti l'identit des utilisateurs. La blade Media Encryption (chiffrement des supports) permet une mise en application granulaire et centralise du chiffrement des supports de stockage amovibles, avec la possibilit de ne chiffrer que les donnes lies l'activit de l'entreprise tout en engageant et en sensibilisant les utilisateurs. La blade Remote Access VPN (VPN avec accs distant) fournit aux utilisateurs un accs scuris et transparent au rseau et aux

ressources de l'entreprise, lorsqu'ils sont en dplacement ou travaillent distance. La blade Anti-Malware and Program Control (antimalwares et contrle des programmes) dtecte et supprime efficacement en une seule analyse les logiciels malveillants. Le contrle des programmes garantit que seuls les programmes lgitimes et approuvs sont utiliss sur les postes. La blade Firewall and Security Compliance Verification (pare-feu et vrification de la conformit) protge le trafic entrant et sortant de manire proactive afin d'empcher des logiciels malveillants d'infecter les systmes des postes, bloque les attaques et stoppe le trafic indsirable. La vrification de la conformit garantit que les postes sont toujours conformes la politique de scurit dfinie dans l'entreprise. La blade WebCheck Secure Browsing (scurisation de la navigation web) protgent contre les toutes dernires menaces web, y compris les tlchargements automatiques, les sites de phishing et les attaques zeroday . Les sessions du navigateur sont excutes dans un environnement virtuel scuris.

Client Check Point Endpoint Security

041

CHECK POINT - RAPPORT SCURIT 2013

ANNEXE A : PRINCIPAUX LOGICIELS MALVEILLANTS

Cette annexe fournit des informations complmentaires sur les principaux logiciels malveillants dcrits dans notre tude. La base de donnes complte de Check Point sur les logiciels malveillants est disponible l'adresse threatwiki.checkpoint. com
Zeus est un bot ouvrant des portes drobes sur la plate-

Kuluoz est un bot ciblant la plate-forme Microsoft Windows.

forme Windows. Une porte drobe est une mthode permettant de contourner les procdures d'authentification. Lorsqu'un systme est compromis, une ou plusieurs portes drobes peuvent tre installes pour faciliter un accs ultrieur29. Nos recherches ont permis de dcouvrir des bots Zeus gnrs par la bote outils Zeus version 2.0.8.9. Zeus est une famille de chevaux de Troie bancaires disposant d'un nombre considrable de versions et de variantes. Ce logiciel malveillant permet des agresseurs d'accder distance des systmes infects. Son objectif principal est le vol des identifiants bancaires des utilisateurs pour accder leur compte bancaire.
Zwangi est un logiciel publicitaire ciblant la plate-forme

Ce bot est envoy dans des messages de spam provenant prtendument des services postaux amricains. Il envoie des informations systme et reoit en retour des instructions de la part d'un serveur distant pour tlcharger et excuter des fichiers malveillants sur les ordinateurs infects. De plus, il ajoute des informations la base de registre pour s'excuter aprs redmarrage de l'ordinateur.
Juasek est un bot ouvrant des portes drobes sur la plate-

forme Windows. Ce logiciel malveillant permet des agresseurs distants et non authentifis d'effectuer des actions malveillantes, telles que l'ouverture de l'invite de commande, le tlchargement de fichiers, la cration de nouveaux processus, l'arrt de processus, la recherche/cration/ suppression de fichiers et la collecte d'informations systme. Il s'installe galement sous forme de service pour rester actif aprs redmarrage des ordinateurs infects.
Papras est un cheval de Troie bancaire ciblant la plate-forme Windows 32 et 64 bits. Ce logiciel malveillant envoie des informations systme et demande des informations de configuration un hte distant. Il dtourne les fonctions rseau et surveille les activits en ligne des utilisateurs pour drober des informations financires confidentielles. De plus, sa fonctionnalit de cration de porte drobe donne des agresseurs distants un accs non autoris aux ordinateurs infects. Les commandes acceptes comprennent le tlchargement d'autres fichiers malveillants, la collecte de cookies et d'informations sur les certificats, le redmarrage et l'arrt du systme, l'envoi de journaux, la prise de captures d'cran, la configuration d'une connexion un hte distant pour d'autres activits, etc. Papras s'injecte dans des processus et injecte ventuellement d'autres fichiers malveillants dans les processus cibls.

Microsoft Windows. Il s'installe en tant qu'objet d'un navigateur dans un systme infect. Il peut ventuellement crer une barre d'outils personnalise dans Internet Explorer et prsenter l'utilisateur des publicits indsirables. Ce logiciel malveillant infecte des systmes via des bundles logiciels.
Sality est un virus se diffusant par infection et modification

de fichiers excutables, et en se recopiant sur des disques amovibles et des dossiers partags.

042

CHECK POINT - RAPPORT SCURIT 2013

ANNEXE B : PRINCIPALES APPLICATIONS HAUT RISQUE

Cette annexe fournit des informations complmentaires sur les principales applications dcrites dans notre tude. La base de donnes complte de Check Point sur les applications est disponible l'adresse threatwiki.checkpoint.com Anonymiseurs Tor est une application prvue pour garantir l'anonymat en ligne. Le logiciel client Tor redirige le trafic Internet vers un rseau mondial de serveurs bnvoles pour masquer la localisation gographique et les activits des utilisateurs de toute surveillance ou analyse du trafic rseau. L'utilisation de Tor complique la traabilit des activits Internet jusqu' ses utilisateurs, y compris pour les visites sur des sites web, les publications en ligne, les messages instantans et autres formes de communication. CGI-Proxy est une interface-passerelle. Il s'agit d'une page web permettant ses utilisateurs d'accder un site diffrent. Les protocoles pris en charge sont HTTP, FTP et SSL. Hopster est une application permettant de contourner des pare-feux et des proxies, pour surfer et communiquer de manire anonyme. Hide My Ass est un proxy web gratuit masquant l'adresse IP de ses utilisateurs pour leur permettre de se connecter des sites web de manire anonyme. Hamachi est un rseau priv virtuel. Il est utilis pour tablir des connexions sur Internet mulant la connexion sur un rseau local. Ultrasurf est un proxy gratuit permettant ses utilisateurs de contourner des pare-feux et des logiciels de blocage des contenus Internet. OpenVPN est un logiciel open source gratuit qui implmente des techniques de rseau priv virtuel pour crer des connexions scurises de point point ou de site site, dans des configuration routage ou pont, et des sites distants.

Partage de chiers en P2P BitTorrent est un protocole de communication pour le partage de fichiers de pair pair. C'est une mthode de distribution tendue de grandes quantits de donne ne ncessitant pas pour l'metteur initial la prise en charge de la totalit du cot en termes de matriel, d'hbergement et de bande passante. Lorsque les donnes sont diffuses l'aide du protocole BitTorrent, chaque destinataire fournit une partie des donnes d'autres destinataires, ce qui rduit ainsi le cot et la charge de chaque source individuelle, permet une redondance contre les problmes systme, et rduit la dpendance l'metteur initial. Il existe de nombreux clients BitTorrent crs l'aide de diffrents langages de programmation et fonctionnant sur diffrentes plates-formes. eMule est une application de partage de fichiers de pair pair se connectant aux rseaux eDonkey et Kad. Le logiciel permet le partage direct des sources entre les clients, la rcupration de tlchargements corrompus, et comprend l'utilisation d'un systme de crdit pour rcompenser les gros fournisseurs. eMule transmet des donnes compresses pour conomiser la bande passante. Soulseek est une application de partage de fichiers de pair pair. Elle est principalement utilise pour partager de la musique, mme si ses utilisateurs sont en mesure de partager d'autres types de fichiers. Gnutella est un rseau populaire de partage de fichiers et un des protocoles P2P les plus populaires utilis par des applications telles que BearShare, Shareaza, Morpheus et iMesh. Il est communment utilis pour partager des fichiers musicaux au format MP3, des vidos, des applications et des documents. Sopcast est une application de streaming via rseaux P2P. Sopcast permet ses utilisateurs de diffuser des contenus d'autres utilisateurs ou de regarder les contenus diffuss par d'autres utilisateurs.

043

CHECK POINT - RAPPORT SCURIT 2013

ANNEXE

Outils d'administration distance RDP (Remote Desktop Protocol) est une application propritaire dveloppe par Microsoft fournissant ses utilisateurs une interface vers d'autres ordinateurs. Team Viewer permet ses utilisateurs de contrler des ordinateurs distants l'aide d'un logiciel client ou en s'identifiant sur un site web. LogMeIn est une suite de services logiciels fournissant un accs distance des ordinateurs sur Internet. Les diffrentes versions du produit sont prvues pour des utilisateurs finaux ou des professionnels des services d'assistance. Les produits d'accs distance LogMeIn utilisent un protocole RDP propritaire transmis sur SSL. Les utilisateurs accdent des postes distants l'aide d'un portail web ou de l'application LogMeIn Ignition. VNC est un logiciel compos d'une application serveur et d'une application client utilisant le protocole VNC (Virtual Network Computing) pour contrler d'autres ordinateurs distance. Le logiciel fonctionne avec les systmes d'exploitation Windows, Mac OS X et Unix. VNC fonctionne galement sur la plate-forme Java, ainsi que sur l'iPhone, l'iPod touch et l'iPad d'Apple.

Applications de stockage et de partage de chiers Dropbox est une application permettant ses utilisateurs de partager des fichiers. Dropbox est le service d'hbergement de fichiers propos par la socit Dropbox, Inc. avec stockage dans le cloud, synchronisation des fichiers et logiciel client. En bref, Dropbox permet ses utilisateurs de crer un dossier spcial sur leur ordinateur, avec lequel Dropbox se synchronise afin qu'il soit identique (mme contenu) quel que soit l'ordinateur utilis pour le consulter. Les fichiers placs dans ce dossier sont galement accessibles via un site web et une application mobile. Windows Live Office est un outil en ligne de stockage, d'dition et de partage de documents Microsoft Office, cr par Microsoft. Grce aux applications Office Web Apps, les utilisateurs peuvent crer, visualiser, diter, partager et collaborer sur des documents, feuilles de calcul et notes en ligne, en tout lieu via une connexion Internet. Curl est un outil en ligne de commande permettant ses utilisateurs de transmettre des donnes l'aide d'une syntaxe de type URL. Il prend notamment en charge les protocoles FILE, FTP, HTTP, HTTPS et les certificats SSL. YouSendIt est un service d'expdition numrique de fichiers. Le service permet ses utilisateurs d'envoyer, recevoir et suivre des fichiers la demande.

044

CHECK POINT - RAPPORT SCURIT 2013

ANNEXE C : CONCLUSIONS SUPPLMENTAIRES - UTILISATION DES APPLICATIONS WEB

Les donnes suivantes fournissent des dtails supplmentaires sur les rsultats de l'tude prsents dans la section Applications utilises dans l'espace de travail de l'entreprise . Les graphiques C-A et C-B rsument l'utilisation des applications par catgorie et par rgion.

Utilisation par rgion (% des entreprises)


tion sta di nce

Outi

ls d

in 'adm

istra

EM 83 %

EA

% Am 80 % AP 77

es riqu

AC

Utilisation par catgorie (% des entreprises)


Source : Check Point Software Technologies

% AP 72

AC

61 43 %

ur ymise n o n A

age Part

de

chi

nP ers e

2P

% AP 72 62

AC

ues mriq A % EA

Graphique C-A

% EM 55

Ano

nym

seur

49

ues mriq A % EA

% EM 40 35 % AP

AC

Graphique C-B

045

Source : Check Point Software Technologies

e ion ge d istrat arta s n p i r e t i m e e e fich % Ad kag ag e d t Stoc 81 r a p age/ Stock % P 80 en P2 s r e i h de fic rtage a P %

ance dist

s hier

82

ues mriq A % EA

% EM 81

CHECK POINT - RAPPORT SCURIT 2013

ANNEXE

Les tableaux suivants fournissent des informations supplmentaires sur les clients BitTorrent et Gnutella les plus populaires

Principaux clients BitTorrent Nombre d'entreprises

Principaux clients Gnutella Nombre d'entreprises

Vuze Xunlei uTorrent BitComet FlashGet QQ Download Pando P2P Cache Transmission Autres

108 74 55 25 21 8 7 7 6 242

BearShare LimeWire FrostWire Foxy Autres

52 23 16 2 31

Le tableau suivant fournit des informations supplmentaires sur les principales applications utilises, par catgorie et par rgion
Catgorie d'application Rgion Nom de l'application % des entreprises

Anonymiseur

Amriques

EMEA

APAC

Tor CGI-Proxy Hamachi Hopster Ultrasurf Tor CGI-Proxy Hamachi Hopster Hide My Ass Tor Hopster CGI-Proxy Hamachi Hide My Ass

24 % 16 % 8% 8% 7% 23 % 12 % 4% 7% 7% 20 % 6% 6% 6% 7%

046

CHECK POINT - RAPPORT SCURIT 2013

ANNEXE

Catgorie d'application

Rgion

Nom de l'application

% des entreprises

Partage de fichiers en P2P

Amriques

EMEA

APAC

Clients BitTorrent SoulSeek eMule Windows Live Mesh Sopcast Clients BitTorrent SoulSeek eMule Sopcast iMesh Clients BitTorrent eMule SoulSeek Sopcast BearShare Dropbox Windows Live Office Curl YouSendIt ZumoDrive Dropbox Windows Live Office Curl YouSendIt ImageVenue Dropbox Windows Live Office Curl YouSendIt Hotfile

35 % 23 % 21 % 8% 8% 33 % 19 % 15 % 12 % 10 % 62 % 26 % 11 % 10 % 8% 73 % 52 % 28 % 26 % 12 % 71 % 51 % 22 % 21 % 18 % 57 % 50 % 26 % 16 % 10 %

Stockage et partage de fichiers

Amriques

EMEA

APAC

047

CHECK POINT - RAPPORT SCURIT 2013

ANNEXE

Catgorie d'application

Rgion

Nom de l'application

% des entreprises

Administration distance

Amriques

EMEA

APAC

MS-RDP LogMeIn TeamViewer VNC Bomgar MS-RDP TeamViewer LogMeIn VNC pcAnywhere TeamViewer MS-RDP LogMeIn VNC Gbridge

59 % 51 % 45 % 14 % 8% 60 % 55 % 44 % 20 % 3% 58 % 51 % 26 % 16 % 3%

048

CHECK POINT - RAPPORT SCURIT 2013

ANNEXE D : TYPES DE DONNES DE DLP

Notre tude comprend l'inspection de douzaines de types de donnes diffrents, la recherche d'ventuelles fuites de donnes. La liste suivante prsente les principaux types de donnes de DLP inspectes et dtectes par la blade Check Point DLP. Code Source - Correspond aux donnes contenant des lignes de langages de programmation, tels que C, C++, C#, JAVA et autres, indiquant une fuite de proprit intellectuelle. Information de cartes de paiement - Comprend deux types de donnes : les numros de cartes de paiement et les donnes d'authentification PCI.
Numros de cartes de paiement : Critres de correspondance : Des donnes contenant

des numros de cartes de paiement MasterCard, Visa, JCB, American Express, Discover et Diners Club ; correspondance reposant sur le modle (expression rgulire) et la validation des sommes de vrification du schma dfini dans l'Annexe B de ISO/IEC 7812-1 et dans JTC 1/SC 17 (algorithme Luhn MOD-10) ; indique une fuite de donnes confidentielles. Exemple : 4580-0000-0000-0000. Des informations correspondant des donnes d'authentification confidentielles selon la norme de scurisation des donnes de PCI (DSS). Contrairement aux informations portant sur les titulaires de cartes de paiement, de telles donnes sont extrmement confidentielles et PCI DSS n'autorise pas son stockage. Correspondance avec des informations contenant les donnes des pistes magntiques des cartes de paiement (pistes 1, 2 ou 3), le code PIN chiffr ou non, et le code de scurit (CSC). Exemples : %B4580000000000000^JAMES /L.^99011200000000000?, 2580.D0D6.B489.DD1B, 2827. Fichier protg par mot de passe - Correspond des fichiers protgs par mot de passe ou chiffrs. De tels fichiers
Donnes d'authentification PCI : Critres de correspondance :

peuvent contenir des informations confidentielles. Fichier de bulletin de salaire - Correspond des fichiers contenant un bulletin de salaire ; indique une fuite de donnes personnelles. Email confidentiel - Correspond des messages Microsoft Outlook dsigns par l'expditeur comme tant confidentiels ; de tels emails contiennent gnralement des donnes confidentielles. Remarque : Microsoft Outlook permet aux expditeurs de dsigner des emails par diffrents degrs de confidentialit ; ce type de donnes correspond aux emails dsigns comme tant confidentiels l'aide de l'option de confidentialit d'Outlook. Information de rmunration - Correspond aux documents contenant des mots et des phrases lis aux donnes de rmunration des employs, tels que : salaire, prime, etc.
D'autres types de donnes ont t dtects durant les recherches :

Cartes d'identit Hong Kong, rapports financier numros de comptes bancaires, codes IBAN en Finlande, numros de scurit sociale au Canada, FERPA - dossiers scolaires confidentiels, codes postaux amricains, numro de TVA au Royaume-Uni, numros de scurit sociale au Mexique, numros de scurit sociale aux tats-Unis, GPA - notes des tudiants, cartes d'identit Hong Kong, numros de comptes bancaires, rapports Salesforce, numro d'identit en Finlande, ITAR - Rglementation du trafic d'armes international, dossiers personnels confidentiels, fichiers de CAO/DAO ou de conception graphique, HIPAA informations protges sur la sant, numros de scurit sociale en France, noms des employs, revenus en NouvelleZlande, PCI - Donnes des titulaires de cartes de paiement, numros de permis de conduire aux tats-Unis, HIPAA Numros de dossiers mdicaux, numros de scurit sociale au Canada, codes IBAN en Finlande, HIPAA - ICD-9, codes IBAN au Danemark, numros de TVA en Finlande, numros d'identit en Finlande, codes IBAN, cartes d'identit Hong Kong et autres.

049

CHECK POINT - RAPPORT SCURIT 2013

RFRENCES

1 2

L'Art de la guerre par Sun Tzu, http://suntzusaid.com/artofwar.pdf http://www.checkpoint.com/campaigns/3d-analysis-tool/index.html 3 http://www.checkpoint.com/products/threatcloud/index.html 4 http://supportcontent.checkpoint.com/file_download?id=20602 5 http://www.nytimes.com/2012/03/05/technology/the-bright-side-of-being-hacked.html?pagewanted=2&ref=global-home 6 http://edition.cnn.com/video/#/video/bestoftv/2012/10/01/exp-erin-cyberattack-nuclear-networks-leighton.cnn?iref=allsearch 7 http://www.networkworld.com/news/2012/071312-security-snafus-260874.html?page=4 8 http://www.businessweek.com/news/2012-10-18/bank-cyber-attacks-enter-fifth-week-as-hackers-adapt-to-defenses 9 http://arstechnica.com/security/2012/09/blackhole-2-0-gives-hackers-stealthier-ways-to-pwn/ 10 http://www.networkworld.com/slideshow/52525/#slide1 11 http://www.ihealthbeat.org/articles/2012/10/30/breaches-at-uks-nhs-exposed-nearly-18m-patient-health-records.aspx 12 http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf 13 http://cve.mitre.org/index.html 14 http://www.networkworld.com/news/2012/020912-foxconn-said-to-have-been-255917.html 15 http://news.cnet.com/8301-1009_3-57439718-83/anonymous-attacks-justice-dept-nabbing-1.7gb-of-data/ 16 http://news.cnet.com/8301-1009_3-57396114-83/vatican-anonymous-hacked-us-again/ 17 http://news.cnet.com/8301-1023_3-57411619-93/anonymous-hacks-into-tech-and-telecom-sites/ 18 http://www.ftc.gov/opa/2012/06/epn-franklin.shtm 19 http://www.ftc.gov/opa/2010/02/p2palert.shtm 20 http://www.networkworld.com/news/2012/091212-botnet-masters-hide-command-and-262402.html 21 http://www.computerworld.com/s/article/9221335/_Nitro_hackers_use_stock_malware_to_steal_chemical_defense_secres 22 http://bits.blogs.nytimes.com/2012/08/01/dropbox-spam-attack-tied-to-stolen-employee-password/ 23 http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/ 24 http://japandailypress.com/newspaper-reporter-fired-for-emailing-sensitive-info-to-wrong-people-159277 25 http://www.roanoke.com/news/roanoke/wb/307564 26 http://tamutimes.tamu.edu/2012/04/13/am-acting-on-email-message-that-inadvertently-included-some-alumni-ss-numbers/ 27 www.hhs.gov/ocr/privacy/hipaa/index.html 28 L'Art de la guerre par Sun Tzu, http://suntzusaid.com/artofwar.pdf 29 http://en.wikipedia.org/wiki/Malware#Backdoors

050

www.checkpoint.com

CONTACTS CHECK POINT

Sige mondial 5 HaSolelim Street, Tel Aviv 67897, Isral | Tl. : +972 3 753 4555 | Fax : +972 3 624 1100 | Email: info@checkpoint.com Sige franais 1 place Victor Hugo, Les Renardires, 92400 Courbevoie, France | Tl. : +33 (0)1 55 49 12 00 | Fax: +33 (0)1 55 49 12 01 Email : info_fr@checkpoint.com | URL : http://www.checkpoint.com

2003-2013 Check Point Software Technologies Ltd. Tous droits rservs. Check Point, AlertAdvisor, Application Intelligence, Check Point 2200, Check Point 4000 Appliances, Check Point 4200, Check Point 4600, Check Point 4800, les Appliances Check Point 12000, Check Point 12200, Check Point 12400, Check Point 12600, Check Point 21400, Check Point 6100 Security System, Check Point Anti-Bot Software Blade, Check Point Application Control Software Blade, Check Point Data Loss Prevention, Check Point DLP, Check Point DLP-1, Check Point Endpoint Security, Check Point Endpoint Security On Demand, le logo Check Point, Check Point Full Disk Encryption, Check Point GO, Check Point Horizon Manager, Check Point Identity Awareness, Check Point IPS, Check Point IPSec VPN, Check Point Media Encryption, Check Point Mobile, Check Point Mobile Access, Check Point NAC, Check Point Network Voyager, Check Point OneCheck, Check Point R75, Check Point Security Gateway, Check Point Update Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet, DynamicID, Endpoint Connect VPN Client, Endpoint Security, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, R75, Software Blade, IQ Engine, MailSafe, le logo the More, better, Simpler Security, Multi-Domain Security Management, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, le logo puresecurity, Safe@Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, SecurityPower, Series 80 Appliance, SiteManager-1, Smart-1, SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP, SMP On-Demand, SocialGuard, SofaWare, Software Blade Architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector, UserCheck, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus + Firewall, ZoneAlarm DataLock, ZoneAlarm Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro Firewall, ZoneAlarm Internet Security Suite, ZoneAlarm Security Toolbar, ZoneAlarm Secure Wireless Router, Zone Labs, et le logo Zone Labs sont des appellations commerciales ou des marques dposes de Check Point Software Technologies Ltd. ou de ses filiales. ZoneAlarm est une socit du groupe Check Point Software Technologies, Inc. Tous les noms de produits mentionns dans ce document sont des marques commerciales ou des marques dposes appartenant leurs propritaires respectifs. Les produits dcrits dans ce document sont protgs par les brevets amricains No. 5606668, 5835726, 5987611, 6496935, 6873988, 6850943, 7165076, 7540013, 7725737 et 7788726, et sont ventuellement protgs par dautres brevets amricains, trangers ou des demandes de brevet en cours. Janvier 2013 Catgorie: [Protg] - Tous droits rservs.

De Des D esign : RoniLevit.com e

Vous aimerez peut-être aussi