Doublé d’Ivanti, qui s’empare de MobileIron et de Pulse Security

L’éditeur de logiciels renforce sa branche cybersécurité en rachetant coup sur coup deux étoiles montantes du secteur, MobileIron et Pulse Secure. A l’aide des solutions de sécurisation de parcs mobiles du premier et de celles Zero Trust du second, Ivanti compte bien profiter du boom du télétravail pour devenir le champion de la gestion du poste de travail. 

Ivanti fournit déjà une solution de sécurisation des endpoints

Ivanti est quelque peu touche-à-tout : ITSM, supply chain, sécurité, gestion du poste de travail... L’entreprise de Salt Lake City, née du rachat par le fonds Clearlake de Landesk en janvier 2017, a récemment reçu le soutien financier d’un autre investisseur, TA Capital. Et c’est fort de ce nouvel investissement qu’Ivanti s’en est allé faire ses emplettes. Et c’est sur le secteur de la cybersécurité qu’il a jeté son dévolu.

D’abord en mettant la main pour 872 millions de dollars sur MobileIron. Cette jeune pousse est spécialisée dans la protection des parcs mobiles des entreprises, qu’il s’agisse de l’intégration des nouveaux appareils, des accès en mode conditionnel, de l’application de règles de sécurité à l’ensemble d’une flotte ou encore de la détection et élimination des menaces. En bref, un portefeuille de services complet qui faisait encore défaut à Ivanti. 

Des rachats très Zero Trust

Vient ensuite Pulse Secure, dont l’éditeur fait l’acquisition pour un montant non dévoilé. Lui oeuvre plutôt dans la sécurisation des accès aux applications, dans la droite lignée de l’approche Zero Trust. Il vend certes du VPN, mais aussi et surtout de l’Application Delivery Controller, du Network Access Control et même un soupçon de gestion unifiée des endpoints, domaine qui est loin d’être inconnu à Ivanti. 

L’entreprise explique qu'avec ces rachats, il "renforce la position de leader d'Ivanti en matière de gestion unifiée du poste client, de sécurité Zero Trust et de gestion des services d'entreprise, fonctions critiques dans l'environnement de télétravail actuel". Il n'évoque guère comment les solutions de Pulse Secure et de MobileIron seront intégrées à ses propres offres, sinon qu'il permettra à ses clients de "découvrir, gérer, sécuriser, offrir des services et automatiser tous les types de devices, via la plateforme d'hyper-automatisation Ivanti Neurons".

« En réunissant MobileIron, Pulse Secure et Ivanti, nous créons une entreprise leader des marchés importants et en pleine croissance que sont la gestion unifiée du poste client, la sécurité et la gestion des services d'entreprise. Nous possédons maintenant la gamme la plus complète de solutions logicielles pour répondre aux besoins croissants du marché pour l'environnement de travail à venir, où travailler partout et sur tous types de terminaux sera la nouvelle norme. En fusionnant nos connaissances du secteur et nos offres produit complémentaires, nous mettons Ivanti dans une position idéale pour fournir à notre immense base de clients les outils indispensables pour relever les défis IT qu'entraîne cette nouvelle norme. » Jim Schaper CEO d'Ivanti

La plateforme de cryptomonnaies KuCoin dévalisée

La plateforme d’échange singapourienne spécialisée dans les cryptomonnaies rapporte avoir repéré samedi des mouvements de fonds suspects, avant de constater que ses portefeuilles de monnaie virtuelle avaient été vidés. Le butin de ce cambriolage numérique est estimé à 150 millions de dollars.  Les vols de cryptomonnaies font moins les gros titres, les ransomwares leur ayant volé la place. Pourtant, les attaques dirigées contre les plateformes d’échanges n’ont pas cessées. Dernière en date, KuCoin, plateforme basée à Signapour, a révélé samedi avoir été victime d’un cambriolage en règle. Samedi, un peu avant 3 heures du matin, heure de Singapour, le système de gestion des risques de KuCoin remonte une première alerte signalant une transaction anormale en ETH (Ethereum). Dans les minutes qui suivent, d’autres transactions du même type ont lieu avant que, peu après 3 heures, le système alerte sur le montant restant anormal sur les hot wallets (portefeuilles de cryptomonnaies connectés à Internet, par opposition aux cold wallets).
150 millions de dollars dérobés
KuCoin sonne l’alarme mais le mal est déjà fait : les portefeuilles ont été siphonnés. La plateforme réagit en suspendant toute forme de transactions et en s’assurant de la sécurité de ses cold wallets, et y transférant les actifs restants de ses hot wallets. L’entreprise s’est également mise en contact avec l’ensemble de ses partenaires au sein de l’écosystème. A l’origine de ce siphonnage en règle, la compromission de la clé privé de KuCoin. La plateforme ne précise cependant pas comment les attaquants s’y sont pris pour obtenir ce précieux sésame. Malgré un livestream de son CEO, l’entreprise n’a pas communiqué sur le montant dérobé, estimé à 150 millions de dollars en bitcoins, ethers et autres monnaies virtuelles. Les voleurs auront toutefois du mal à en profiter puisque, en plus de l’audit de sécurité mené par la plateforme, associée à SlowMist, une entreprise spécialisée dans la sécurité de la blockchain, ses partenaires se sont mobilisés pour invalider les tokens dérobés. Ainsi, ce ne sont pas loin de 130 millions de dollars de cryptomonnaies qui ont été swappés par leurs plateformes respectives au moment où nous écrivons ces lignes. En outre, KuCoin a précisé à plusieurs reprises qu’elle et son assurance couvriront les pertes subies par les utilisateurs.

CMA CGM paralysé par un ransomware

Quelques jours après Gefco, c’est au tour du géant français du fret maritime de subir une cyberattaque. Les systèmes de réservation de CMA CGM sont paralysées par un ransomware, Ragnar Locker, dont les opérateurs demandent une rançon. 

Gefco, géant français de la logistique industrielle, subissait la semaine dernière une cyberattaque impactant son activité, probablement un ransomware. Voici désormais que son compatriote sur mer, CMA CGM, rapporte être lui aussi attaqué. Dans un communiqué publié plus tôt dans la journée sur son site, le groupe de fret maritime a annoncé faire l’objet “d’une cyberattaque sur des serveurs périphériques”. Il semble que le système de réservation soit le principal service impacté, bien que l’entreprise explique avoir interrompu l’accès externe à ses applications pour éviter la propagation du virus. 

Les équipes informatiques s'efforcent de résoudre l'incident pour assurer la continuité des activités” indique CMA CGM dans son communiqué, précisant que l’accès à ses SI reprend “progressivement”. Si la société ne précise pas la nature de l’attaque, les opérateurs du ransomware Ragnar Locker se sont manifestés, exigeant le paiement d’une rançon en échange de la clé de déchiffrement. 

Ragnar dans le SI

Le groupe CMA CGM est l’un des géants dans le secteur du fret maritime, avec 750 entrepôts et plus de 500 navires sur 285 lignes desservant 420 ports commerciaux dans le monde. Christophe Lambert, Directeur Technique Grands Comptes EMEA chez Cohesity commente l’attaque en soulignant que “au-delà des données subtilisées et rendues inaccessibles, c’est la mise en arrêt total des processus métiers essentiels à la conduite des affaires qui peut s’avérer préjudiciable. Le secteur de la logistique repose sur une chorégraphie complexe de systèmes et de services, il faut donc être en mesure de restaurer rapidement les infrastructures et les données sous peine de pénaliser l’entreprise et l’ensemble de ses clients”.

CMA CGM mentionne une enquête lancée en interne et avec l’aide d’experts externes et promet de plus amples informations en fin de journée.  

Besançon victime d’une cyberattaque

La métropole, la ville et le Centre Communal d’Action Sociale de Besançon ont été victimes début septembre d’une cyberattaque. Ici, pas de ransomware, du moins pour l’instant car le spectre d’Emotet plane sur cette attaque qui exploite des techniques de phishing pour se répandre dans les réseaux de la collectivités. 

Ces derniers mois, de nombreuses collectivités ont été la cible d'attaques, bien souvent des ransomwares. On a appris ce week-end, par voie de communiqué, que la métropole du Grand Besançon, la ville de Besançon ainsi que son Centre communal d'action sociale sont victimes d'une cyberattaque, qui dure depuis le 4 septembre. Ici, pas de cryptolocker ni de DDoS, mais l'infection du SI de la collectivité par "des logiciels malveillants inclus dans des mails, qui se propagent au sein du réseau informatique et dont l’un des objectifs est d’exfiltrer des données de la collectivité" indique le communiqué.

On ignore pourquoi la collectivité a décidé de communiquer aussi tardivement, près de trois semaines après l'attaque. La Cnil ainsi que l'Anssi ont été notifiées tandis que l'attaque aurait été contenue. Selon la métropole, "la mobilisation immédiate et soutenue des équipes informatiques [...] a permis d’éviter le blocage du système d’information, de freiner la diffusion interne du virus pour progressivement l’éradiquer et de stopper aussi rapidement que possible les fuites de données".

Le mode opératoire d'Emotet

Néanmoins, des données ont été dérobées dans les comptes mails compromis, notamment "le contenu et les pièces jointes de courriels ainsi que des carnets d’adresses électroniques des agents".  Données qui sont désormais utilisées dans le cadre de campagnes d'hameçonnage des contacts de la collectivité, qui déplore ne rien pouvoir faire à ce sujet mais recommande à ses administrés et partenaires la plus grande prudence.

Un modus operandi qui n’est pas sans rappeler un certain Emotet. Le trojan bancaire, découvert en 2014, a fait l’objet récemment d’un avertissement de l’Anssi. Qui justement signalait que, après cinq mois d’absence, le malware avait refait surface en juillet dernier et, "depuis, nombre de ses campagnes d’hameçonnage exploitent une technique de détournement des fils de discussion des courriels (email thread hijacking technique)."

Une fois la boîte courriel d’un employé de l’entité victime (ou la boîte courriel générique de l’entité elle-même) compromise, le code malveillant Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces derniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes. Ces courriels, d’apparence légitime, sont envoyés à des contacts de la victime, et plus particulièrement aux tierces parties de l’entité (clients et prestataires notamment) ayant participé au fil de discussion originel, afin d’accroître leur crédibilité auprès des destinataires. Agence Nationale de la Sécurité
des Systèmes d'Information
CERTFR-2020-ALE-019

L'attaque visant Besançon n'est pas sans rappeler une autre, récente, qui visait le Tribunal de Paris, ses juges et avocats. "La France représente une cible des campagnes récentes d’Emotet" signalait justement l'Anssi dans son bulletin d'alerte. Si la forme de l'attaque peut sembler relativement bénigne comparée à un cryptolocker, il ne faut pourtant surtout pas sous-estimer Emotet. Le malware a en effet abandonné son rôle de Trojan bancaire depuis 2017, pour lui préférer la distribution de payloads malveillants sur les systèmes qu'il infecte, tels TrickBot, Qbot ou encore Dridex. Dans les faits, les opérateurs d'Emotet commercialisent les réseaux infectés à d'autres attaquants qui exploitent le malware pour injecter dans le SI visé leurs propres programmes malveillants.

Cyber Risques devient L'1FO-CR Le journal des risques cyber

Le numéro 1 est paru le 21 septembre.

Né au début de l'année, distribué vaille que vaille durant le début du confinement fin mars, Cyber Risques, nouvelle publication dédiée à la sécurité informatique créée à la suite de Mag-Securs, n'a pas pu bénéficier de la part de l'INPI d'un enregistrement de marque classique, sans réserves. Il est en effet de plus en plus difficile de donner à un titre de presse un nom clair et explicite comme Femme actuelle, Auto-Moto, Le Télégramme, Le Bien public. Toute expression du langage commun est désormais rejetée. Le nom Cyber Risques ne peut donc pas être protégé comme marque déposée.

Comme il était exclu de prendre le moindre risque de prêter à confusion ou de ne pas être en conformité avec la législation en vigueur -ce qui est la moindre des choses pour une publication consacrée à la SSI-, ceci nous a conduit à renoncer à utiliser le titre Cyber Risques et à rapprocher davantage notre publication du portail d'informations L'1FO de L'Informaticien en l'appelant désormais «L'1FO-CR, le journal des risques cyber». Format (grand) et contenu (diversifié) sont repris de l'un à l'autre. L'1FO-CR est votre nouveau rendez-vous trimestriel ! Vous pouvez acheter le dernier numéro depuis cette page ou mieux vous abonner.

Morceau choisi du n°1

Disponible sur notre boutique en ligne (achat sécurisé SSL via la passerelle de paiement Stripe) :

S'abonner à L'1FO-CR (4 parutions par an).

CrowdStrike s'empare de Preempt Security​

Le spécialiste de l'EDR rachète pour 96 millions de dollars Preempt Security, un jeune éditeur à l'origine d'une solution de contrôle des accès. Ce faisant, CrowdStrike fait un pas de plus vers le Zero Trust, tendance dont l'EDR semble parfois le parent pauvre. 

CrowdStrike a annoncé hier son projet de rachat de Preempt Security. La société spécialisée dans la protection des endpoints débourse environ 96 millions de dollars, dont 86 millions en cash et le reste en stock options, pour s’offrir cette jeune pousse opérant pour sa part dans le monde de la sécurité des accès.  

“Avec cette acquisition, CrowdStrike prévoit d'étendre ses capacités Zero Trust pour intégrer des informations critiques autour de l'identité et nous prévoyons de fournir un nouveau module dans le cadre de la plate-forme CrowdStrike Falcon, une fois l'intégration de Preempt terminée. George Kurtz, CEO et cofondateur de Crowdstrike Fondée en 2014, Preempt fournit à ses clients une solution de gestion des accès dite de “conditional access” (lire plus bas). Concrètement, sa plateforme répertorie tous les utilisateurs du réseau d’une entreprise et va s’appuyer sur les identités, les comportements et les risques pour détecter une éventuelle menace et réguler les accès de manière appropriée. Elle s’appuie sur des algorithmes de machine learning et sur les règles de l’entreprise pour ce faire. 
 Zero Trust

Ainsi, Preempt s’inscrit dans une démarche Zero Trust alors que les architectures toujours plus hybrides rendent la sécurité périmétrique obsolète (lorsque seule ligne de défense d’une entreprise). Et ça, les éditeurs d’EDR le savent. Le rachat de la jeune pousse permettra à CrowdStrike de combiner la sécurité des workloads avec la protection par l’identité. 

CrowdStrike entend intégrer la technologie d’accès conditionnel de Preempt à sa plateforme Falcon, afin de renforcer les capacités Zero Trust de cette dernière. Falcom, principale offre de CrowdStrike, comprend jusqu’à présent de la détection de menaces, des outils de réponse aux incidents et de la visibilité sur le réseau de l’entreprise.

L’accès conditionnel, c’est quoi ?
Le Conditional Access, ou accès conditionnel, domaine dans lequel oeuvre Preempt, est une stratégie de contrôle des accès aux ressources (données, applications, etc.) de l’entreprise. Il s’agit d’un système que l’on pourrait schématiser en if/then, dans lequel des signaux sont agrégés (par exemple tel utilisateur souhaite accéder à telle ressource à telle heure depuis tel endroit) de sorte à fournir la marche à suivre (bloquer ou autoriser l’accès ou encore demander un étape d’authentification supplémentaire par rapport aux politiques d’accès (en fonction de l’emplacement de l’IP, des droits de l’utilisateur ou encore du type d’appareil qu’il utilise). La finalité de cette forme de contrôle d’accès est de garantir la sécurité du SI sans toutefois freiner l’utilisateur (et donc réduire sa productivité). Schéma du Conditional Access selon Microsoft.

Le Campus Cyber s'installera à La Défense

Le projet de Campus Cyber porté par Michel Van Den Berghe posera ses valises en septembre 2021 à La Défense, en région parisienne, dans la tour Eria. Y est attendu un millier de salariés du secteur de la cybersécurité, de l'Anssi à Orange en passant par l'Epita.

L'immeuble Eria, situé dans le quartier Bellini à Puteaux, en contrebas de l'Esplanade de la Défense, doit être livré ce trimestre.

On sait désormais où le Campus Cyber prendra ses quartiers. Fin juillet, Michel Van Den Berghe, le patron d'Orange Cyberdefense mandaté en juillet 2019 par Matignon pour piloter ce projet, nous confiait avoir remis au gouvernement cinq propositions, dont trois à La Défense (interview à lire dans InfoCR numéro 2). Etaient recherchés des lieux existants offrant entre 17 000 et 20000 mètres carrés, susceptibles d'accueillir entre 800 et 1000 spécialistes. Une décision était prévue courant octobre, à l'occasion des Assises de la Sécurité qui se tiendront à Monaco, en attendant que le gouvernement se prononce sur l'option de son choix. Nous étions alors au lendemain du remaniement.

Depuis, Cédric O a retrouvé son poste de secrétaire d'Etat au Numérique et les choses se sont, semble-t-il, accélérées. Selon Le Figaro, le choix de l'exécutif s'est porté sur la Tour Eria. Cet immeuble de 26 000 mètres carrés dont la construction doit s'achevée ce trimestre coche en effet toutes les cases du cahier des charges de Michel Van Den Berghe. Situé dans le quartier Bellini, à Puteaux, en contrebas de l'Esplanade de la Défense, il est situé à quelques minutes de marche de la Ligne 1 du métro et est desservi par plusieurs lignes de bus.

Ouverture en septembre 2021

La tour hébergera donc le millier de salariés attendu en septembre 2021. Une date surprenante : le patron d'Orange Cyberdefense nous expliquait en juillet vouloir tenir le calendrier initial, c'est-à-dire  avoir un lieu prêt à accueillir les entreprises dès la fin du premier trimestre 2021. Toujours est-il qu'une soixantaine d'entreprises, d'organismes de formation et d'agences de l'Etat ont adhéré au projet de Campus Cyber, parmi lesquelles Atos, Orange, Capgemini, l'Anssi ou encore l'Epita.

Et ce ne sera qu'un début. L'immeuble Eria est en effet destiné à accueillir des activités surtout tertiaires. La "deuxième jambe" du Campus Cyber sera quant à elle posée au plateau de Satory, dans les Yvelines, pour la cybersécurité du secteur industriel et les activités qui exigent plus de surface. En outre, se refusant à une démarche jacobine, Michel Van Den Berghe entend mettre en place un réseau de campus en s'appuyant sur des structures existantes ou à créer en région. “Nous avons des soutiens forts. La région des Hauts de France réfléchit à une unité satellite dédiée à la sécurisation des PME et PMI, tandis que les Pays de Loire sont sur la partie smart cities, et la Bretagne sur tout ce qui touche à la défense et aux activités sensibles. Nous regardons à l’extérieur de Paris et avons déjà des accords tacites avec plusieurs régions” soulignait-il.

Zoom ajoute l'authentification multifactorielle pour tous

L'outil de vidéoconférence, un temps montré du doigt pour sa sécurité un brin défaillante, fait depuis amende honorable en multipliant les fonctionnalités de sécurité. Il annonce ainsi le support de l'authentification double facteur pour l'ensemble de ses utilisateurs toutes plateformes confondues.

Zoom active la 2FA sur desktop et mobile pour tous ses utilisateurs

On se rappellera que Zoom, au début du confinement, suscitait la controverse sur les questions de sécurité et de protection des données. L’entreprise a eu fort à faire pour corriger le tir. Non sans un certain succès, en témoignent ses résultats trimestriels. Poussant plus loin cette démarche, Zoom annonce qu’il supporte désormais la double authentification, 2FA pour les intimes. 

Dans les faits, Zoom offrait déjà la double authentification, mais uniquement dans la version web de son service. Elle est désormais disponible pour les clients mobiles et desktop, et pour l'ensemble des utilisateurs, y compris les titulaires de comptes gratuits. En outre, l'outil ne proposait jusqu'à présent que le 2FA par le biais d'applications dédiée, telle que Google Authentification.

Sécurité renforcée

Désormais Zoom offre deux possibilités pour s'authentifier. "Avec la double authentification, les utilisateurs ont l'option d'utiliser des applications d'authentification qui supportent le protocole Time-Based  One-Time Password (TOTP) (à l'instar de Google Authenticator, Microsoft Authenticator et FreeOTP), ou que Zoom envoie un code par SMS ou appel téléphonique en tant que second facteur du processus d'authentification" écrit Zoom dans un post de blog. Un choix qui s'explique sans doute par la volonté de simplifier l'authentification, notamment pour les clients légers, mais qui appelle à la prudence. La faiblesse de plus en plus flagrante du 2FA par SMS est fréquemment pointée du doigt comme aisément contournable par un attaquant. 

Notons que Zoom en profite également pour proposer des codes de récupération, utile pour récupérer l'accès à son compte en cas de perte ou vol du terminal.

La double authentification est accessible depuis le Dashboard de Zoom, sous Avancé puis Sécurité. Des options dédiées aux administrateurs permettent également d'administrer plus finement l'option, par exemple en fonction de comptes ou de groupes spécifiques, ainsi que forcer la réinitialisation de l'authentification double facteur pour un utilisateur. Moins chère qu'un SSO, la solution conviendra notamment, selon Zoom, aux entreprises et autres organisations qui n'ont ni les moyens ni le temps de mettre en place un système de gestion des identifiants et des mots de passe.

BLURtooth : une vulnérabilité permet de contourner les clés d’authentification

Une faille s’est glissée dans les versions 4.2 à 5.0 du protocole Bluetooth. Affectant un composant utilisé pour configurer les clés d’authentification, cette vulnérabilité écrase ces dernières, ou au mieux affaibli leur chiffrement, permettant à un attaquant de se connecter au terminal ciblé. 

Encore une faille dans le protocole Bluetooth ! CVE-2020-15802 affecte le composant CTKD, pour Cross-Transport Key Derivation, du protocole. Entre les versions 4.2 et 5.0, ce composant permet de générer les clés de chiffres lors de l’appairage de deux appareils prenant en charge le Low Energy et le BR/EDR (Basic Rate/Enhanced Data Rate). On parle de Dual-mode : les appareils décident qui de BLE ou de BR/EDR ils préfèrent utiliser, sans avoir à s’appairer une seconde fois sachant que CTKD permet d’écraser les clés de chiffrement . 

Ce qui, dans le cas de BLURtooth, permet une attaque de type man-in-the-middle, l’attaquant écrasant les autres clés d’authentification Bluetooth sur l’appareil ciblé et de s’y connecter. Et donc d’accéder à tout dossier et application qui seraient partagés par ce biais. 

Clés écrasées

Le Bluetooth Special Interest Group précise néanmoins que “pour que cette attaque réussisse, un appareil attaquant doit être à portée d'un appareil Bluetooth vulnérable prenant en charge les transports BR/EDR et LE et CTKD entre les transports et permet l'appariement sur le transport BR / EDR ou LE soit avec aucune authentification (par exemple JustWorks) ou aucune restriction d'accès contrôlée par l'utilisateur sur la disponibilité de l'appairage”. 

Si la norme 5.1 du protocole contient les options permettant d’empêcher l’exploitation de BLURtooth, ce n’est pas le cas des versions antérieures. Quant aux patchs, distribués par chacun des fabricants de terminaux, on ignore encore quand ils pourront être diffusés.

En attendant, le SIG recommande des tests de conformité supplémentaires pour garantir que l’écrasement d’une clé autorisée par une clé non légitime ou plus faible ne soit pas autorisé. Il conseille en outre de limiter les appairages aux seules interactions de l’utilisateur ainsi que la durée du Dual-mode lorsque l’utilisateur n’a pas explicitement appairé son terminal avec un autre appareil.

YesWeHack EDU revendique 180 écoles et 3000 étudiants sur sa plateforme

En lançant YesWeHack EDU il y a moins d’un an, la plateforme française de bug bounty entendait attaquer le grand mal de la cybersécurité : la pénurie de compétences. Aujourd’hui, EDU recense 180 écoles et 3000 étudiants sur sa plateforme, une adoption sans doute boostée par sa gratuité lors du confinement.

En novembre 2019, YesWeHack lançait YesWeHack EDU. Cette plateforme éducative entend permettre à des étudiants de s’entraîner à la recherche de failles de sécurité sur des scénarios réalistes, dans des contextes identiques à ce qui existe aujourd’hui en production au sein des entreprises et des organisations. “L’objectif est de permettre aux étudiants de se confronter aux conditions réelles de gestion de vulnérabilités : depuis la recherche de failles, la rédaction de rapports de vulnérabilités et la méthodologie d’analyse de risques, le suivi des contributions et les corrections de vulnérabilités” écrit la jeune pousse française.

YesWeHack explique sa démarche par le manque de formations pratiques dans les universités françaises. En effet, s’il existe bel et bien un nombre croissant de cursus en cybersécurité, l’entreprise déplore que les programmes soient en règle générale “trop théoriques”. Il faut selon l’entreprise attendre les stages ou le premier poste avant que les étudiants soient confrontés aux problématiques réelles de la sécurité informatique des entreprises. 

Du concret dans les formations

Lors du confinement, en avril, YesWeHack a choisi comme de nombreuses autres entreprises d’offrir gratuitement l’accès à sa plateforme EDU. “L’occasion pour bon nombre d’enseignants de tester YesWeHack EDU avec leurs étudiants et ainsi poursuivre, à distance, leur enseignement en ajoutant de la pratique aux cours traditionnels” ajoute la jeune pousse. Aujourd’hui, elle annonce ses chiffres : 3000 étudiants l’ont testée, pour un total de 180 écoles. 

Cela peut sembler bien peu au regard des besoins actuels dans la cybersécurité. Entre 5000 et 10 000 postes seraient ainsi à pourvoir chaque année, rien qu’en France. “YesWeHack ambitionne de contribuer à la réduction de la pénurie de talents à laquelle le secteur est confronté en permettant aux étudiants, dès leurs premières années d’études, de s’entraîner à détecter et corriger des failles, dans des conditions réelles de Bug Bounty. Elle leur ouvre également des perspectives d’emploi vers des spécialisations porteuses telles que DevSecOps, Data Scientist, Security Analyst…”. 

Emotet, le retour

Ce n’est plus le cheval de Troie bancaire que l’on a connu mais plutôt désormais un vecteur d’attaques opéré par un groupe appelé TA542 lequel a des « clients » qui exploitent des trojans tels que Dridex, Qbot et TrickBot distribués sous forme de "seconde charge utile".

Emotet doit donc être détecté au plus tôt sur les postes infectés car sa présence laisse prévoir d’autres intrusions. Les premiers courriers d’hameçonnage contiennent la plupart du temps des fichiers joints de type PDF ou Word. Parfois le courriel contient seulement une URL qui pointe sur un document Word contenant des macros.

L’ANSSI a lancé une alerte le 7 septembre sur la recrudescence d’Emotet en France avec quelques recommandations :
► Sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros.
► Limiter les accès Internet pour l’ensemble des agents à une liste blanche contrôlée.
► Déconnecter les machines compromises du réseau sans en supprimer les données.
► De manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante., Seule la réinstallation de la machine permet d’assurer l’effacement de l’implant.

Pour Matt Walmsley, expert cybersécurité et directeur Europe de Vectra, « chercher à identifier et à comprendre qui sont les opérateurs d’Emotet ainsi que leurs motivations fait partie du puzzle et c’est le rôle des forces de l’ordre. Mais le plus utile et le plus durable pour la sécurité reste de comprendre les tactiques et les techniques qu'ils utilisent et d'anticiper la manière dont elles pourraient être atténuées pour protéger les cibles du Trojan.

« Dans le cas d'Emotet, il s'agirait notamment de détecter l'utilisation abusive de comptes à privilèges, les mouvements latéraux sur le réseau local (pour les PME par exemple) et les comportements signalant la présence d’outils de commande et de contrôle (C&C). Les équipes de sécurité doivent être de plus en plus agiles, car le temps est leur ressource la plus précieuse pour faire face aux attaques de logiciels malveillants. Une détection et une réponse précoces sont essentielles pour reprendre le contrôle et arrêter les attaquants avant qu'ils ne puissent se propager dans l'organisation, et qu’ils volent ou empêchent l’accès aux données. »

Le principe de fonctionnement de Emotet selon McAfee.

L’aventure américaine de Vade Secure tourne court

L’éditeur installé dans la banlieue de Lille devait passer sous pavillon américain après que le fonds Catalyst ait investi en juin 2019 quelque 70 millions de dollars dans l’entreprise. Mais crise sanitaire et procédure judiciaire obligent, l’investisseur se retire. 

En juin 2019, Vade Secure annonçait avoir signé un accord d'investissement avec le fonds américain General Catalyst. Ce dernier devait injecter 70 millions d’euros dans le spécialiste français de la sécurité des e-mails, faisant passer l’entreprise lilloise sous pavillon américain, avec un nouveau président en la personne de Stephan Dietrich, co-fondateur de Neolane. 

L’éditeur comptait sur cet investissement pour renforcer sa présence aux États-Unis, où il dispose déjà de bureaux. Mais l’opération est aujourd’hui remise en cause et Vade Secure se voit privé des fonds de Catalyst. L’investisseur a préféré retirer ses billes compte tenu des difficultés rencontrées par Vade Secure aux États-Unis et de la crise sanitaire qui a fragilisé les PME américaines, coeur de cible outre-Atlantique de l’éditeur. 

En effet, selon Les Echos, l’entreprise française a refusé la demande de Catalyst d’un nouveau report de la date de clôture de l’opération. Le fonds, se considérant dans l’impossibilité de mettre en oeuvre ses projets, a annulé son investissement. Vade Secure a néanmoins réussi à sécuriser 10 millions d’euros par le biais d’un prêt garanti par l’Etat, et 5 millions supplémentaires grâce à l’un de ses clients japonais. 

Une plainte de Proofpoint

On est cependant bien loin des 70 millions annoncés et Vade Secure n’est pas au bout de ses déboires de l’autre côté de l’Atlantique. Il est en effet poursuivi en justice par son principal concurrent, ProofPoint. L’éditeur américain reproche au Français un vol de secrets industriels et commerciaux. “Nous avions embauché un peu plus de deux ans auparavant comme CTO un ancien salarié d'une société rachetée par Proofpoint. Et nous étions poursuivis pour simple suspicion d'appropriation de secret d'affaire” explique aux Echos le PDG de Vade Secure, Georges Lotigier. 

Le patron de l’éditeur fait certainement référence au recrutement en février 2017 de Olivier Lemarié, actuel CTO de Vade Secure, qui occupait auparavant différents postes chez Cloudmark, aux fonctions de responsable des équipes ingénierie ou encore responsable produits. Or, en novembre 2017, Cloudmark était racheté pour 110 millions de dollars par Proofpoint. Selon Georges Lotigier, la procédure, qui permet à Proofpoint de “réclamer, sur la base de simples soupçons, des tonnes de documents pour prouver que nous n'avions dérobé aucune info confidentielle” , exige une “énergie folle”. Et surtout coûte en frais de justice 500000 euros par mois à Vade Secure. Qui, malgré ses difficultés, n’exclut pas de tenter prochainement une nouvelle levée de fonds.