4. Explosion du nombre de malware
Nouveaux malware par trimestre de 2010 à 2013…
*Source: McAfee Labs
4
2’000’000
4’000’000
6’000’000
8’000’000
10’000’000
12’000’000
Q1
2010
Q2
2010
Q3
2010
Q4
2010
Q1
2011
Q2
2011
Q3
2011
Q4
2011
Q1
2012
Q2
2012
Q3
2012
Q4
2012
Q1
2013
14’000’000
5. Explosion du nombre de malware
…et depuis 2013
*Source: McAfee Labs
5
10’000’000
20’000’000
30’000’000
40’000’000
50’000’000
Q1
2013
Q2
2013
Q3
2013
Q4
2013
Q1
2014
Q2
2014
Q3
2014
Q4
2014
550’000 par jour
~400 par minute
> 6 par seconde
6. 1986 2013
1988 1991 1999 2000 2001 2003 2007
Virus Brain
(boot sector)
Worm Morris
(internet)
Michelangello
(time bomb)
Melissa
(Email)
Code Red &
Nimda
(Mass worm
email & Web)
I Love You
(Mass email)
Blaster
(reboot)
Storm
(botnet)
Zeus
(Bank worm)
• Professionnalisation des attaques
Evolution de la complexité des malwares
*Source: Wikipedia
Slammer
(SQL)
Sasser
(Network outage)
2004 2008
Conficker
(worm & USB)
2010
Stuxnet
(SCADA network)
2012
Flame
Shamoon
(cyber espionage)
Cryptolocker
(crypto randsomware)
7. Evolution des malware de rançonnage
Nombre total de ransomware depuis 2012
*Source: McAfee Labs
7
500’000
1’000’000
1’500’000
2’000’000
Q1
2012
Q2
2012
Q3
2012
Q4
2012
Q1
2013
Q2
2013
Q3
2013
Q4
2013
Q1
2014
Q2
2014
Q3
2014
Q4
2014
2’500’000
11. 4 Une fois résidant en
mémoire et avec les
droits admin, le
système compromis
permet tous types
d’opérations:
propagation, arrêt des
protection, vol de
données, etc...
Windows
Desktop
or Server
Corporate Network
Exemple d’infection d’un système informatique
Grâce à l’exploitation d’une vulnérabilité du navigateur
Système vulnérable
“Non-patché ou
vulnérabilité zero-day”
Sales
Force
Customers
Exploitation de la
faille
2 …et écriture de
codes en mémoire
3
Firewall
Remote
Workers
Internet
L’utilisateur est incité à se
rendre sur un site web piégé
1
Sensitive Data
11
Le système compromis ouvre alors une brèche depuis l’intérieur du réseau protégé !
12. Malware Expiro
12
• Entreprise active dans le domaine de la construction
• Début de l’infection par une clé USB privé contenant un malware
• Propagation rapide au travers des partages réseaux et clés USB
• Infection de tous les exécutables sur tous les postes et tous les
serveurs; ~70’000 exécutables sur ~250 systèmes
• Les machines compromises font partie d’un réseau de zombie
• Les mots de passe des navigateurs sont volés
• Le malware se connecte régulièrement aux serveurs de contrôle et
mute toute les 24 heures
Septembre 2013
• 3 personnes pendant 5 jours pour désinfecter (220h/hommes)
• Perte de productivité importante pour 80% des collaborateurs
pendant 3 jours
• Changement global de tous les mot de passe des collaborateurs
13. Ransomware fud@inda.com
13
• Entreprise publique active dans le domaine de la santé
• Début de l’infection par un email contenant une pièce jointe infectée
• Chiffrement de tous les documents et images présente sur le poste
• Chiffrement de tous les documents sur tous les partage réseau
accessibles par l’utilisateur connecté
• En moins de 2h30, plus de 6 Téraoctets sont chiffrés sur les serveurs
• Il faudra plus de 3 heures pour détecter le poste infecté, le localiser et
le déconnecter du réseau
Décembre 2014
• 4 personnes pendant 12h pour résoudre l’incident (48h/hommes)
• 9 heures de restauration des données sur les serveurs
• Perte de tous les documents créés par 20% des collaborateurs
pendant la journée
14. APT Generic_R!CTH
14
• Entreprise active dans le domaine chimique
• Début de l’infection par un lien dans un email pointant vers une fausse
facture
• Tentative de connexion à des serveurs de contrôle
• Envoi régulier par email des captures de frappe et de lien url
• Tentative d’attaque bruteforce contre le site intranet de l’entreprise
• Le malware était présent depuis le mois de juillet 2014 sans aucune
détection anti-virale
• Lors de sa découverte, aucun des 55 anti-virus ne connaissait ce
malware. Aujourd’hui seul 39/55 (source VirusTotal)
Décembre 2014
• 4 postes infectés sans aucun impact de performance ou soupçons
• 6 mois de présence et de «collecte d’information»
16. Quels sont les risques et les conséquences:
16
Données chiffrées, illisibles ou détruitesPerte de données
Hébergement illégal (Impact media & opinion publique)Dégats d’image
Exfiltration de données confidentielles, revente, publicationVol de données
Détournement bancaire, «arnaque au président»Pertes financière
Hébergement malveillant, minage de Bitcoin, P2P
Exploitation des
resources
Compromission des systèmes, interruption de(s) service(s)Indisponibilité
19. Connaître
19
Facteurs clé de la sécurité IT
Gérer
ProtégerSurveiller
• Inventaire IT complet et à jour
• Schéma réseau
• Procédures documentées
• Formation continue
• Participation aux événements
• Outils de management global
• Adaptation régulière des règles de
protection
• Tests et validation
• Limitation de l’exposition aux risques
• Déploiement de solutions de
protection adaptées
• Sensibilisation des utilisateurs aux
problèmes de sécurité
• Rapport réguliers
• Alertes lors d’incidents ou de
seuil particulier
• Audit de sécurité
20. Conseils de protection pour le service IT
20
Proposition de mesures et de solutions afin de se prémunir de risques majeurs
Appliquer les mises à jour logicielle
Déployer et gérer une solution anti-virus fiable
Adapter les droits des utilisateurs
Changer les mots de passe par défaut ou trop simples
Effectuer des sauvegardes régulières et vérifier les processus de restauration
Protéger vos accès vers l’extérieur (Firewall, Web, Email)
Implémenter une solution de protection comportementale
Exploiter des outils de monitoring
21. Bonnes pratiques à l’intention des utilisateurs
21
Ne pas utiliser de programmes non
distribués ou scrupuleusement vérifiés
En cas de doute, toujours vérifier l’identité de
votre interlocuteur par un moyen tierce
Ne pas confondre outils informatique
professionnel et système privé ou récréatif
Informer immédiatement le service IT en cas de
doute, de mauvaise manipulation ou d’infection
Ne JAMAIS transmettre ses identifiants
(usename, password,…) à qui conque!
Sensibilisation régulière des utilisateurs avec exercices et validation