L’antivirus de l'éditeur slovaque est maintenant disponible pour les terminaux fonctionnant sous Linux. Il s’agit pour ESET de compléter sa solution à destination des entreprises, notamment pour les grandes organisations avec une intégration à son Security Management Center.
S’il existe bel et bien des antivirus, y compris chez les éditeurs mainstream, force est de constater que le kernel open source est régulièrement laissé pour compte lorsqu’il est question de protection anti-malware. L’éditeur slovaque ESET couvrait ainsi Windows, MacOS, iOS et Android, mais point de Linux dans son portefeuille.
Cette faille est désormais comblée, puisque ESET annonce cette semaine que Linux est pris en charge par sa solution dédiée aux entreprises, Endpoint Antivirus for Linux. On y retrouve en substance les mêmes fonctionnalités que les versions destinées aux autres OS : protection des fichiers en temps réel, analyse des systèmes... L’éditeur ajoute que son outil a été conçu de sorte à avoir un “impact minimal sur le système, laissant plus de ressources système pour les tâches vitales des postes de travail afin de maintenir la continuité des activités”.
Mise à niveau gratuite
Ainsi, Endpoint Antivirus for Linux s’exécute en tâche de fond, sans recourir à une interface graphique, les daemons ne démarrant qu’en cas de besoin tandis que les seules notifications s’affichant seront celles avertissant de l’élimination d’une menace, “ne nécessitant aucune intervention de l'utilisateur”.
Enfin, ESET a pensé aux grands comptes, en intégrant cet outil à ses Security Management Center et Cloud Administrator. “Nous comprenons que les organisations déploient souvent une variété de systèmes technologiques au sein de leur entreprise et doivent être sécurisées sur tous les vecteurs d'attaque possibles” explique Matus Cipak, chef de produit chez ESET. La mise à niveau est gratuite pour l’ensemble des utilisateurs existants.
A la demande de Thierry Breton, une poignée d’opérateurs télécoms européens fournira à la Commission européenne les données de géolocalisation de leurs clients, utilisées à des fins de cartographie des déplacements de la population. Des données agrégées, anonymisées et détruites lorsque la crise sera derrière nous, tels sont les garde-fous prévus.
Quand bien même, en France, aucune mesure spécifique n’a été prise pour le moment par les autorités quant à utiliser les données de géolocalisation des opérateurs télécoms, l’Union européenne a de son côté lancé les grandes manoeuvres. Thierry Breton s’est adressé directement à la GSMA, l’association qui réunit plusieurs centaines d’opérateurs, et s’est entretenu cette semaine [...]
C’est un récit auquel on finit par s’habituer. Après la métropole Aix-Marseille-Provence, la région du Grand Est, Bouygues Construction ou encore le CHU de Rouen, c’est au tour du lunetier Essilor Luxottica d’être paralysé par un ransomware. L’attaque a débuté le week-end dernier et impacte principalement le système de prise de commandes de l’industriel.
Une fois encore, une victime s’ajoute à la longue liste des organisations françaises infectées par un ransomware. Essilor, filiale du géant des verres correctifs Essilor Luxottica, a été frappé samedi dernier par une attaque informatique. Selon L’Express, qui rapporte cette information, un ransomware paralyse le système d’information de l’entreprise, notamment son dispositif de prise de commandes. Essilor explique à notre confrère que « certains serveurs et des ordinateurs ont été infectés par un nouveau virus. Nos équipes ont tout de suite réagi afin d'isoler les machines contaminées et d'éviter une propagation du logiciel malveillant. Un redémarrage progressif a débuté ».
Nul n’est à l’abri
Pour autant, le lunetier n’a absolument pas communiqué sur l’attaque, qui serait toujours en cours. En début de semaine, sa directrice générale France, Lena Henry, répondait au site spécialisé Fréquenceoptic quant aux difficultés rencontrés par le secteur, notamment eu égard à la pandémie de COVID-19. Mais, sur une possible cyberattaque, la DG n’a dit mot. Impossible donc pour l’heure d’en savoir plus, sinon que l’entreprise a souscrit une assurance sur le risque cyber, et que l’Anssi ainsi que la Cnil ont été notifiés.
Pour l’anecdote, les participants des Assises de la Sécurité, organisées à Monaco en octobre dernier, se rappelleront sans doute de l’atelier lors duquel intervenait Essilor. Son RSSI, Jamal Dahmane, y témoignait justement de la collaboration de l’entreprise avec Vectra, spécialisée dans la surveillance des réseaux, et présentera son expérience de l’éditeur dans le contexte d'un SOC. SOC qui n’aura visiblement pas suffit à prévenir l’infection ce week-end du système informatique d’Essilor.
Alors que les hôpitaux et les personnels de santé sont en première ligne dans la lutte contre le COVID-19, ils sont également dans la ligne de mire de hackers. D’un hôpital tchèque au ministère américain de la Santé en passant par, hier, l'APHP, les cyberattaques ciblant les organisations médicales ont le vent en poupe. L’ACSS (Accompagnement Cybersécurité des Structures de Santé) français appelle le secteur à la prudence.
En pleine pandémie, les établissements de santé sont en tension et des individus et groupes mal intentionnés cherchent à en profiter. Hier, les hôpitaux de Paris auraient, selon L’Express, été victimes d’une cyberattaque. A priori, un DDoS a impacté pendant une heure les SI de l’APHP, notamment le client mail ainsi que certains outils utilisés à des fins de télétravail. On garde d’ailleurs en mémoire l’attaque par ransomware qui a affecté le CHU de Rouen en fin d’année dernière.
Plus tôt en mars, un hôpital tchèque, à Brno, était infecté par un ransomware, face auquel les équipes de ce centre hospitalier ont été contraints de déconnecter leurs systèmes informatiques. Deux jours plus tard, le 15 mars, c’était au tour du Health and Human Services Department, équivalent américain de notre ministère de la Santé, d’être frappé par une attaque par déni de service distribué (DDoS), qui n’est pas parvenu à faire tomber le SI du HHS mais a perturbé son fonctionnement durant quelques heures.
La santé ciblée
L’Accompagnement Cybersécurité des Structures de Santé a émis en France plusieurs recommandations suivant celles précédemment formulées par l’OMS. L’ACSS a à peine plus de deux d’existence et se retrouve pourtant au front. Ce « dispositif de traitement des signalements des incidents de sécurité des systèmes d’information (SSI) des établissements de santé et des organismes et services exerçant des activités de prévention, de diagnostic ou de soins » a en effet été mis en place en octobre 2017 par le ministère de la Santé. Sur son site, il rapporte que « différents messages d'information sur le Covid-19 nous ont été signalés. Il s'agit en réalité de virus informatiques ».
Si les cybercriminels font feu de tout bois pour jouer sur la situation actuelle, visant aussi bien particuliers qu’entreprises par des campagnes de phishing ou de ransomwares, les organismes de santé semblent à l’heure actuelle une proie particulièrement prisée. « Dans la mesure où ces établissements de santé effectuent des opérations critiques et détiennent des informations vitales à propos des patients, ils ont davantage tendance à payer la rançon, ce qui en fait des cibles de choix pour les cybercriminels » écrit Michal Salat, responsable Threat Intelligence chez Avast. « Alors que la crise mondiale générée par l'épidémie du COVID-19 suscite des craintes légitimes, il est primordial d'avoir conscience que les cybercriminels cherchent à tirer profit de la situation. Le secteur de la santé est en première ligne et doit à tout prix se protéger des cybermenaces pour être en mesure d'assurer pleinement ses missions, un enjeu national majeur ».
États-Unis, Chine, Italie, Iran ou encore Israël : ces Etats ont pour point commun leur utilisation, ou leur projet d’utilisation, des données personnelles de leurs citoyens afin d’endiguer la propagation du virus. Au mépris parfois de la confidentialité et du respect de la vie privée...
Début mars, les citoyens iraniens recevaient sur leur téléphone une injonction du gouvernement à télécharger une application mobile afin de savoir si eux ou leurs proches sont infectés. Dans les faits, l’application ne permet pas une telle chose, mais collecte une énorme quantité de données personnelles, comprenant noms, dates de naissance, adresses et localisation en temps réel. Cette mesure du régime iranien a fait polémique, tout comme celles prises par le gouvernement chinois, par exemple en termes de reconnaissance faciale.
Données agrégées et anonymisées
Mais de nombreuses associations de défense des droits et libertés signalent que nos démocraties ne font guère mieux. Ainsi la Lombardie, selon Il Corriere della Sera, a obtenu des opérateurs téléphoniques qu’il lui fournisse les données de localisation d’un téléphone qui passerait d’une antenne à une autre. Aux dires du quotidien italien, il ne s’agit pas de surveiller les smartphones et les activités individuelles de citoyens, mais d’obtenir des données générales quant à la diminution des déplacements.
En Belgique, les opérateurs attendent pour leur part le feu vert du gendarme des données personnelles afin de fournir des cartes de mobilité, soit des données de localisation anonymisées et agrégées, à une plateforme qui recoupera ces informations avec celles concernant les foyers de contamination. Cette technique devrait permettre d’estimer géographiquement les risques de propagation. Si les projets italiens et belges se veulent conformes au RGPD, rappelons que nul n’est à l’abri d’une erreur ou d’un abus.
Messages d'alerte
On se rappelle de ce message du gouvernement français, reçu dans la nuit de lundi à mardi. Si le texto a été relayé par les opérateurs télécoms sans que ces derniers aient à mettre à disposition des autorités les numéros de téléphones des citoyens, en Corée du Sud ces mêmes messages d’alerte avertissaient pour un lieu donné les habitants lorsqu’un cas était détecté dans la zone et fournissait des détails, parfois personnels, quant au malade, notamment ses derniers trajets connus.
Israël a adopté un système similaire, le Shin Bet (renseignement intérieur) se voyant autorisé à utiliser les données de géolocalisation des Israéliens afin d’identifier les personnes ayant été en contact d’avec des individus contaminés. Enfin, aux États-Unis, les autorités sont en discussion avec Google, Facebook et consorts sur la manière dont le gouvernement peut utiliser diverses catégories de données personnelles, là encore géolocalisation en tête, afin de lutter contre la propagation du virus, par exemple en détectant les personnes en contact avec un malade ou en s’assurant du respect d’une distance de un mètre entre individus.
En marge des sessions et plénières du salon qui s’est tenu la semaine dernière à Lille un vaste hall d’exposition abritait les stands des acteurs de cybersécurité. Au gré des allées on voyait différentes tendances se dégager, la visibilité sur l’ensemble du SI, l’EDR (Endpoint Detection & Response) et les partenariats entre acteurs présents.
Au fil des contacts sur les stands du FIC il était possible de dégager les grandes tendances du moment dans la cybersécurité. La première était la possibilité par les outils logiciels d’obtenir la visibilité sur l’ensemble des éléments du système d’information ou du réseau.
Des éditeurs comme Tanium mettait largement ce point en avant comme un présupposé afin d’avoir une bonne base sur laquelle peuvent s’appliquer les règles de sécurité. Dans une étude rendue publique lors du salon, Tanium indiquait que 65 % des DSI découvraient de nouveaux éléments dans leur système d’information chaque semaine et que plus de 50 % empilaient plus de 40 solutions de sécurité travaillant chacune dans leur coin sans apporter une vision globale et exhaustive de l’environnement IT d’une entreprise.
FireEye présentait une solution de visibilité sur les environnements Cloud issue du rachat de Cloud Visory qui va enrichir l’offre Helix de l’éditeur.
Paessler, éditeur européen de solutions de monitoring du réseau, présentait la dernière mouture de son logiciel avec une visibilité étendue vers l’Edge computing avec un partenariat avec Sigfox et une visibilité accrue sur le réseau et la sécurité de l’entreprise pour chasser le Shadow IT dans l’entreprise.
Une vue sur le village Hexatrust lors du FIC 2020.
Ce besoin de visibilité est aussi présente dans la révision du code des applications. TrustSoft, une des pépites dans le village d’Hexatrust, s’appuie sur l’expérience des fondateurs et ingénieurs de l’entreprise sur les méthodes formelles pour fournir des outils d’intelligence artificielle pour une analyse sémantique du code s’exécutant dans un espace mathématique abstrait. Le logiciel fonctionne comme un compilateur sur des intervalles ou plages de valeur pour identifier tous les cas d’un mauvais fonctionnement d’un logiciel. Ainsi le logiciel peut détecter des débordements de buffer mémoire ou autres biais permettant des attaques dans le code. La solution ne couvre pas tous les langages de programmation mais les principaux.
EDR, la nouvelle version de la protection des postes de travail
L’autre tendance forte du salon tournait autour de l’EDR ou (Endpoint Detection & Response). Pour l’ensemble du secteur c’est la véritable réponse pour protéger les postes de travail numérique d’aujourd’hui. Tous les acteurs historiques du secteur ont une solution dans le domaine qu’ils soient issus du firewalling ou de l’antivirus et tous présentaient leur solution sur le salon.
Nous avons particulièrement été intéressé par un acteur moins connu et français, HarfangLab, qui propose une approche « souveraine » rendant la maîtrise des données à l’utilisateur en déployant une architecture de confiance chez le client et en lui laissant la possibilité d’accéder à tout moment aux données collectées par l’EDR. La solution intègre plusieurs moteurs d’alerte (sur YARA et IOC, un moteur de réputation et un moteur comportemental sur les règles SIGMA) et intègre MITTRE Attack pour le traitement des données pour accélérer les traitements des nouvelles menaces par un référentiel commun de connaissances. Les possibilités d’intégration et la couverture fonctionnelle sont à l’égal de ce que peuvent proposer d’autres acteurs, plus prestigieux, du marché.
L’union fait la force
La dernière tendance forte du salon était l’annonce de plusieurs partenariats d’importance plus ou moins grande mais attestant que le secteur de la cybersécurité était prêt à s’unir pour réussir plutôt que de lutter seul face à un cybercrime de plus en plus organisé. Le titre de champion de l’année pour les partenariats doit revenir sans conteste à Bertin IT qui a multiplié les accords avec des acteurs de tous ordres autour de sa technologie CrossingG, une passerelle de rupture protocolaire à destination du marché des OIV ou les entreprises souhaitant conserver des zones défensives pour leurs actifs critiques.
Les partenariats signés portent pour la plupart sur l’intégration de CrossingG dans différents produits comme la suite de gestion des accès à privilèges de Wallix, tout comme pour CyberArk pour les clients internationaux. Les autres partenariats de l’éditeur sont des accords avec Systancia, autour d’une solution de gestion des identités et des accès en continu, et avec Eset pour un cloisonnement autour des échanges de fichiers et de rupture protocolaire. Dans ce cadre, Eset pratique l’analyse antivirale du fichier avant sa transmission par la passerelle de Bertin IT. La solution a d’ailleurs été distinguée par le Gartner ce qui laisse présager un bel avenir pour celle-ci.
Entretien avec Stéphane de Saint Albin, Président de Rohde & Schwarz Cybersecurity France, à l'occasion du FIC 2020.
CyberRisques est une nouvelle publication trimestrielle destinée aux professionnels de la sécurité informatique : CISO, CSO, DPO… L’objectif est d’apporter un éclairage business sur les enjeux de la cybersécurité et les meilleurs moyens de répondre aux défis croissants de ce domaine. CyberRisques aborde la gestion des risques, la gouvernance, la conformité, les enjeux juridiques, les technologies et outils… sous l’angle des métiers et des secteurs d’activité des entreprises.
Extrait de CyberRisques n°1 : cahier central spécial DPO.