Archives mensuelles : mars 2016

epuration

Des hackers prennent le contrôle d’une station d’épuration

Les piratages informatiques deviennent de plus en plus courant. Les hackers, toujours plus inventifs et déterminés, surpassent les [faibles] protections informatiques de la plupart des institutions et arrivent désormais à s’infiltrer presque partout. L’histoire du jour concerne une station d’épuration d’eau… et le constat est effrayant !

Tout provient d’un bilan publié en mars 2016 par l’opérateur américain Verizon. Le rapport met en lumière pas moins de 500 incidents de cybersécurité dans une quarantaine de pays. Parmi eux, un épisode est particulièrement édifiant concernant les méthodes de protection de certaines institutions.

La Kemuri Water Company (KWC) est une station d’épuration, anonyme car le nom et la nationalité ont été modifiés pour ne pas créer un lynchage public. Selon le constat dressé par Verizon, il s’avère que cette station d’épuration ait été complètement sous le joug de hackers pendant plusieurs mois. Une vérité pas forcément bonne à dire lorsque l’on sait que les pirates, ayant le contrôle total de toutes les infrastructures, avaient la possibilité de modifier à leur guise, la composition chimique de l’eau, directement redistribuée aux habitants !

KWC déjà contrôlé depuis plusieurs mois

Tout a commencé lorsque la société a fait appel à la division de cybersécurité de Verizon pour renforcer son système IT. C’est en arrivant sur place que les experts ont réalisé que KWC était déjà sous l’emprise de pirates depuis plusieurs mois… Et que les responsables s’en doutaient car des mouvements suspects de valves et tuyauteries avaient été remarqués. Des modifications de produits incorporés dans l’eau pour la rendre potable avaient même été constatées.

Dans son rapport, Verizon explique les causes d’un tel incident. Un système informatique obsolète couplé à une centrification des applications rendait la tâche presque trop facile aux hackers. « Pour tout dire, KWC était un candidat tout trouvé pour une fuite de données. Son interface Internet présentait plusieurs failles à haut risque dont on sait qu’elles sont souvent exploitées» mentionne le rapport. Les applications industrielles (traitement des eaux, gestion du débit…) cohabitaient avec les applications « business » sur un unique serveur, un AS/400 d’IBM, datant de… juin 1988 !

Un serveur datant de 1988

En gros, si les hackers parvenaient à pénétrer dans le système, ils pouvaient contrôler la quasi-totalité de la station, des informations financières au traitement de l’eau. C’est évidemment ce qu’il s’est passé. Les hackers ont infiltré le système via la plateforme de paiement en ligne et ont pu accéder à plus de 2 millions de dossiers clients avec leurs données de paiement. Selon Verizon l’accès aux données clients n’était protégé que par un simple mot de passe sans double authentification, et puisque qu’il existait une connexion par câble entre l’application de paiement et le serveur, une autoroute était aménagée pour les pirates.

C’est seulement une fois à l’intérieur du réseau que les hackers se sont rendu compte qu’ils pouvaient accéder aux fonctions opérationnelles de la station. En se servant de données d’identification administrative, ils ont pu intervenir sur des fonctions capitales comme le débit de l’eau, le traitement chimique ou le temps de remplissage des réserves… Heureusement, il semblerait que les hackers n’aient pas été mal-intentionnés car une crise sanitaire aurait pu être déclenchée. « Si les attaquants avaient eu un peu plus de temps et avaient été un peu plus familiers du système de contrôle industriel, la KWC et les populations locales auraient pu subir de sérieux dommages » confirme le rapport.

Bien que les hackers n’aient pas créé d’incident grave et que les données client n’aient pas encore, à priori, été utilisées, c’est un bilan affligeant lorsque l’on connait les enjeux d’une telle institution. Et tout porte à croire que les scénario cauchemar, comme celui-ci, sont moins rares que l’on ne pense…

Découvrez notre solution pour améliorer votre système IT. 

bangladesh

Des hackers dérobent 81 millions de dollars

Des hackers d’origine inconnue, ont attaqué la Banque Centrale du Bangladesh. Résultat de l’assaut, 81 millions de dollars ont été dérobés. Explications.

L’information vient d’être dévoilée. Il semblerait que la Banque Centrale du Bangladesh ai été victime d’une cyberattaque en février dernier. Les hackers se sont introduit dans le système informatique de l’établissement afin d’ordonner un ordre de virement de 951 millions de dollars via son compte à la Federal Reserve Bank of New York. Ce compte, utilisé pour les règlements internationaux, a donc lancé des virements vers d’autres comptes aux Philippines. Bien que la grande majorité des ordres ai été bloqués, 81 millions de dollars se sont évaporés.

La Banque Centrale du Bangladesh a chargé le cabinet spécialisé World Informatix d’enquêter sur l’attaque. Même si les hackers n’ont pas encore été identifiés, il semblerait qu’il s’agisse d’un groupe très bien organisé qui a déjà perpétré des cyberattaques contre des institutions financières. Les hackers ont pris le contrôle du système informatique avant de dérober les identifiants et transmettre les ordres de virements via le logiciel Swift.

Suite à cette attaque, le système de messagerie interbancaire Swift (3000 établissements financiers dans le monde), a envoyé une recommandation à tous ses membres pour inciter à renforcer leurs pratiques en matière de sécurité informatique.

Néanmoins Swift a tenu à faire savoir que son propre système de messagerie n’était pas compromis. La coopérative va proposer à ses membres de respecter certains standards de sécurité afin d’empêcher les hackers de s’introduire dans leur système d’information.

Renforcez votre sécurité informatique avec notre application eaZySecure

nuage cadenas

Cloud, l’allié de la cybersécurité

Avec la recrudescence des attaques de ransomware, la cybersécurité est devenu un sujet très important chez les entreprises. Mais quelles sont les grandes tendances actuellement pour se protéger ?

D’après une étude menée par le Ponemom Institute pour Thales, il semblerait que l’hébergement des données confidentielles dans le Cloud peut être une solution fiable. « Les entreprises se tournent de plus en plus vers les services de Cloud » explique Peter Galvin, vice-président Stratégie chez Thales e-security. 56% des répondants (enquête mené auprès de 5000 professionnels de l’informatique) hébergent leurs données sensibles ou confidentielles dans le Cloud. Et parmi les restants, 84% prévoient de le faire dans les deux prochaines années.

Cependant le Cloud n’est pas une assurance infaillible. C’est pourquoi beaucoup se tournent également vers le cryptage de leur base de données. Selon Thales, en 2015, 37% des sondés reconnaissent avoir mis en place une stratégie de chiffrement, contre seulement 15% en 2005. L’avantage d’une telle précaution est de pouvoir se protéger des attaques extérieures, comme de l’intérieur. Toujours d’après cette étude, il s’avère que la menace numéro 1 de la sécurité informatique provient des erreurs des employés. Le cryptage est donc une solution polyvalente.

Il est même possible d’allier ces deux solutions en cryptant avant, ou après avoir transféré les données dans le Cloud. Néanmoins il faut toujours garder à l’esprit que la clé de déchiffrement doit être détenue par la personne responsable de ces données.

Ces pratiques peuvent paraître excessives mais le jeu en vaut la chandelle. Selon le Ponemon Institute, le coût moyen engendré par les cyber-attaques chez les entreprises françaises, est estimé à 4,8 millions d’euros par entreprise et par an !

Découvrez nos applications Cloud et nos offres d’externalisation.

metier cybersecurite

Cybersécurité : des métiers d’avenir

La cybersécurité devient un secteur de plus en plus important dans le spectre de l’entreprise. La multiplication des attaques et la croissance continue de l’externalisation des données complexifie la sécurisation des données. En conséquence, les métiers liés à la compréhension et la protection informatique sont promis à un bel avenir.

Bien que le secteur de l’informatique soit en perpétuelle mutation, bon nombre de personnes choisissent cette voie. Néanmoins comment choisir sa spécialité en tant qu’ingénieur informatique ? « S’il est technique, il faut évidemment qu’il aille sur les question de sécurité » répond David Majorel, directeur Audit & Conseil, IS&T, Digital et Cybersécurité au sein du cabinet de recrutement Michael Page.

Aujourd’hui, la cybersécurité est une compétence très recherchée par les employeurs. « On a de plus en plus de demandes au sein de clients finaux et d’OIV (Opérateur d’importance vitale) en particulier. Généralement sur des compétences forensiques (l’analyse très poussée d’un système compromis) et normatives. Il y a un référentiel cybersécurité qui se met en place avec l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et les opérateurs d’états. Les clients finaux vont devoir se caler sur cette règle, donc ils recrutent des ingénieurs en interne pour se mettre en conformité » explique David Majorel.

Sécurité système et réseau, data management, sécurisation des contrats cloud… Le spectre recherché est très large… et très rare ! « Il n’y a pas de profil type, on cherche énormément de poste, et la pénurie continuera pendant au moins 5 ans » selon David Majorel… Et qui dit pénurie, dit rémunération juteuse à la clé.

Les profils techniques recherchés

Les profils très techniques sont les plus recherchés. Ainsi un technicien de niveau 1 de SOC (Security Operations Center) touchera dans les 40k€/an. Un analyste de niveau 3, entre 60 et 65k€, de même que pour un ingénieur R&D en sécurité. Un patron de SOC, s’en tire avec 80k€.

Et pourtant la véritable perle rare, c’est le « data scientist ». Mais qu’est ce donc qu’un data scientist ? Et bien c’est un haut responsable de la gestion et de l’analyse de données massives (Big data). C’est un nouveau métier du numérique qui concerne aussi bien la finance, la banque, l’assurance que le marketing et l’informatique statistique dans les domaines les plus variés. « Le data scientist est le plus le plus demandé, car il est rarissime. On est sur des profils qui sont hyper pointus techniquement, sur les maths et les statistiques. Ce sont des profils rares car il n’y a pas vraiment de formation, sauf des ingénieurs spécialisés ou qui ont des écoles de statistiques. Ils doivent connaître beaucoup d’outils, mais aussi avoir une vision, être créatifs et tenter des choses » confirme David Majorel. Une combinaison très complexe de compétences qui est reconnue à sa juste valeur puisque les salaires démarrent à 80k€ et peuvent grimper jusqu’à 150k€ pour les plus expérimentés !

Le data analyst est moins rare, car il s’agit d’une compétence qui existait déjà. La différence étant qu’à l’époque du data mining, les données analysées étaient internes à l’entreprise. Aujourd’hui, les masses de données sont énormes, beaucoup plus complexes à analyser, et tout le monde veut pouvoir le faire. La demande est telle que certaines SSII forment leurs équipes en interne à ce type de postes. Le salaire moyen se situe autour de 50k€. A savoir qu’un data analyst peut devenir data scientist.

A bon entendeur…

Découvrez notre offre eaZySecure pour renforcer votre cybersécurité.

ransomware

Locky s’invite aux IT Partners

Le salon IT Partners, l’évènement national leader de la distribution professionnelle IT, Télécom et Audiovisuelle s’est achevé le 10 mars. Et l’invité surprise de cette édition fut le désormais tristement célèbre ransomware : Locky.

Il semblerait que l’épidémie soit désormais lancée et totalement hors de contrôle. « Notre partenaire filtrage mail nous a précisé qu’il était passé en quelques jours de 20000 à 800000 alertes mails quotidiennes sur le trafic qui transite sur sa plate-forme de détection… Ce sont à ce jour des dizaines de milliers de sociétés en France qui ont été infectées, on n’avait jamais vu une épidémie d’une telle ampleur » explique un revendeur présent sur le salon.

Les stands des éditeurs de solutions de sécurité ont été pris d’assaut par les visiteurs cherchant des solutions et des parades contre cette nouvelle calamité. Bien que lutter contre ce ransomware soit devenu une priorité pour les éditeurs d’antivirus, il semblerait que la solution miracle n’existe pas. Locky ayant pour fâcheuse tendance de muter pour passer outre les protections. « Il n’y a pas de solution miracle pour s’en prémunir. Nous recommandons d’activer une solution antispam susceptible de bloquer les mails suspects et surtout de sauvegarder ses données sur un espace de stockage distant en prenant soin de les crypter et de ne pas les rendre accessible en mode partagé. » explique un revendeur.

Découvrez notre solution de sauvegarde de poste et de serveurs eaZySave

tomlinson

Décès de Ray Tomlinson : le créateur de l’e-mail

Raymond Samuel Tomlinson est décédé samedi 5 mars à l’âge de 74 ans. Considéré comme l’inventeur du courrier électronique, son décès a été confirmé par son employeur, le groupe Raytheon. Hommage.

Né le 23 avril 1941 à Amsterdam dans l’État de New York, Ray Tomlinson obtient une licence de génie électrique en 1963. Durant ses études, il participe à un programme de stage proposé par IBM, ce qui le pousse à continuer dans cette voie en intégrant le prestigieux MIT (Massachusetts Institut of Technology).

Ray Thomlinson commence à travailler chez Bolt, Beranek and Newman, société orienté vers les nouvelles technologies. En 1971, il intègre l’équipe travaillant sur le programme Arpanet (Advanced Research Projects Agency Network), à l’origine du transfert de données sur Internet. Il développe alors une application permettant d’envoyer des messages d’un ordinateur à un autre sans être physiquement relié.

Le premier message

La première expérience réelle est effectuée en 1971. « Le premier message a été envoyé entre deux machines qui étaient littéralement côte à côte », se souvenait-il. « Le seul lien physique qui les reliait était l’Arpanet. Je me suis envoyé un certain nombre de messages à moi-même d’une machine à une autre. Les textes de ces messages n’étaient pas mémorisables et je les ai oubliés. Le premier message était probablement QWERTYUIOP ou quelque chose comme cela. Lorsque j’ai estimé que le programme semblait fonctionner, j’ai envoyé un message au reste de mon groupe, expliquant comment envoyer des messages sur le réseau. La première utilisation d’un réseau de courriel annonçait sa propre existence. »

Afin de réussir cette expérience, il a créé la première adresse de messagerie connu aujourd’hui pour son fameux « arobase @ ». Mais contrairement à la rumeur, il n’a pas inventé ce sigle. Sigle que l’on doit à un marchand florentin pendant la Renaissance. Alors pourquoi l’utiliser dans la messagerie ? C’est une question à laquelle Ray Tomlinson a souvent répondu.

« On me demande souvent pourquoi j’ai choisi ce signe, mais c’était tout à fait logique », avait-il expliqué. Il fallait trouver « un moyen de distinguer le courrier local du courrier transitant sur le réseau. Le but du signe était d’indiquer un prix unitaire (par exemple, 10 articles@1,95 dollar). J’ai utilisé ce signe pour indiquer que l’utilisateur était « chez » (« at » en anglais) un autre hôte et non pas situé localement ».

Un raisonnement logique étant donné que ce sigle n’apparaissait dans aucun nom propre ou commun. La norme « user@host » devient donc la norme mondiale pour les courriers électroniques.

Plusieurs récompenses

Bien que le fruit de son travail ait radicalement changé notre façon de vivre et de travailler, il aura fallu attendre le nouveau millénaire pour voir Raymond Tomlinson récompensé de ses efforts. En 2000, aux côtés d’un certain Steve Wozniak, il reçoit le prix George Stibitz récompensant les chercheurs ayant permis une avancée majeure dans le domaine de l’informatique et des communications. En 2001, l’International Academy of Digital Arts and Sciences, lui attribue un Webby Award, puis en 2009, il est lauréat du prix du Prince des Asturies aux côtés de Martin Cooper, l’inventeur du premier téléphone portable. Mais au-delà des récompenses, il reste surtout classé au quatrième rang du palmarès du MIT des 150 plus grandes inventions et idées.

Découvrez eaZyMail notre application de messagerie collaborative cloud

netflix-spotify

Cloud : Netflix et Spotify franchissent le cap

L’information vient de tomber. Spotify, le géant suédois de streaming musical, a annoncé la migration de l’ensemble de ses infrastructures informatiques dans la Google Cloud Platform (GCP).

Bien que l’argument financier soit avancé pour justifier ce changement, il n’en reste pas moins un choix stratégique salué par beaucoup d’experts. « L’offre de Google dans le Cloud arrive à maturité. Si Amazon Web Services (AWS) demeure supérieur sur d’autres volets, le groupe a une longueur d’avance au niveau de l’analyse en temps réel des données » estime Fouad Maach, manager et architecte cloud chez Beamap. « En termes d’algorithme et d’analyse prédictive des usages des utilisateurs, un outil comme BigQuery est supérieur aux autres solutions du marché » renchéri Antoine Jacquier, expert du Cloud et associé chez Nuageo.

Cette migration et l’accès à ces nouvelles technologies peut même ouvrir de nouvelles perspectives à Spotify : « L’un des objectifs pourra être de savoir quels types de musiques et de chanteurs écoute un utilisateur en vue de lui faire des recommandations » explique Christophe Baroux, responsable de la Google Cloud Platform en Europe du Sud, Moyen-Orient et Afrique.

Historiquement en partenariat avec AWS, le leader mondial de la musique en streaming change donc son fusil d’épaule. Néanmoins Spotify va continuer d’héberger les fichiers musicaux chez AWS, la migration vers GCP concerne surtout les comptes utilisateurs (environ 30 millions d’abonnées payants et plusieurs dizaines de millions de gratuits). Un processus qui devrait prendre 18 mois.

Netflix finalise sont externalisation

AWS se consolera néanmoins avec la finalisation de l’arrivée de Netflix dans son Cloud public. Amorcé il y a plus de 7 ans, l’autre géant du streaming a terminé d’externaliser ses serveurs. Une décision qualifiée de nécessité par l’entreprise : « Le produit Netflix a continué d’évoluer rapidement, incorporant de nombreuses fonctionnalités gourmandes en ressources et reposant sur un volume de données en augmentation constante. (…) Avec nos centres de données, nous n’aurions pas pu réorganiser les serveurs assez vite. La souplesse du Cloud nous permet au contraire d’ajouter des milliers de serveurs virtuels et de pétaoctets de stockage en quelques minutes » explique la firme sur son blog.

Une initiative saluée par Christophe Baroux : « Ce sont des sociétés qui ont de forts pics de charge. Le Cloud est très adapté à ce type de fonctionnement : quand le client a besoin de davantage de capacité, on la fournit. Quand cela diminue, on réduit la voilure » explique t’il.

Une manœuvre pleine de sens lorsque l’on observe que pendant certaines grosse soirée de prime-time, un tiers de la consommation de la bande passante est utilisée par Netflix aux États-Unis.

Découvrez nos offres de Cloud applicatif.

Le Pentagone teste sa cybersécurité

Le Pentagone a annoncé mercredi sa volonté de mettre à l’épreuve sa cybersécurité… en se faisant hacker !

Le département de Défense américain a invité les pirates informatiques de tout le territoire à éprouver la cybersécurité de leurs infrastructures dans le cadre d’un concours baptisé « Hack the Pentagon ». Cette pratique, déjà coutumière dans le secteur privé, sera une grande première dans le cadre d’une organisation fédérale.

Le Pentagone a annoncé s’attendre à plusieurs milliers de participants. Bien que les modalités d’inscription ne soient pas encore dévoilées, le concours ne devrait tolérer que les citoyens américains. Une initiative à mettre au crédit du service de défense numérique (Defense Digital Service, DDS) du Pentagone.

L’objectif est bien évidemment d’identifier les problèmes et les failles avant qu’elles ne puissent se faire exploiter par des personnes malintentionnées. Selon un communiqué, des récompenses sont prévues pour les hackers les plus virulents…

Augmentez votre cybersécurité avec notre application eaZySecure