Newsletter BSSI N°116 du 16 avril 2015 - Veille sécurité, publications et offres de service.
BSSI Conseil et Audit - Newsletter
Newsletter Sécurité N°116
                                Jeudi 16 Avril 2015                                  


EDITO

PoS


Les terminaux de paiement (PoS) sont atteints, une nouvelle fois, par un malware dénommé « poseidon ». Celui-ci va analyser la mémoire du terminal et extraire directement les numéros de carte qui ont été utilisés lors des dernières transactions. Le processus est ensuite classique, le malware prend contact avec son serveur distant et lui envoie les données collectées. Ces numéros de carte sont ensuite revendus sur les marchés noirs pour effectuer des transactions en ligne ou bien pour générer de fausses cartes via la programmation de ces données sur les bandes magnétiques. Comme souvent, il semble que les serveurs utilisés pour collecter ces données soient situés en Russie.

Ce qui distingue cette nouvelle génération de malware des autres c'est sa capacité à se modifier (via des mises à jour) et ses fonctions avancées qui permettent à un attaquant d’exécuter à distance des commandes. Ils vont permettre d'augmenter  les capacités offensives et les fonctions permettant de se camoufler, rendant plus difficile la détection par les équipements de sécurité.
 
Ce nouveau type de malware montre que les terminaux de paiement sont une cible privilégiée pour les cybercriminels. Ces terminaux concentrent des transactions bancaires sur lesquelles il aisément possible de dérober de l’argent régulièrement et en faible quantité avant d’être repéré.

Ces terminaux sont nombreux, répartis et souvent mal gérés rendant simple l’exploitation de vulnérabilités plus facile et permettant à un malware de s’installer et de se propager rapidement.

Les populations qui utilisent les terminaux de paiement ne sont pas ou peu sensibilisées à la sécurité des systèmes d’information. Elles sont susceptibles d’exécuter des pièces jointes ou de naviguer sur des sites permettant l’installation et la propagation de ces malware. Pour limiter les risques d’attaque, il convient de travailler sur différents vecteurs :

La prévention

  • Sensibiliser le personnel sur les menaces informatiques
  • Mettre à jour les serveurs et les postes de travail avec les derniers patchs de sécurité pour éviter l’exploitation des dernières vulnérabilités
  • Maintenir des antivirus à jour pour avoir les dernières signatures et détecter les tentatives d'exploitation
  • Empêcher les accès directs à Internet. Ces machines ne devraient pas avoir accès à Internet mais à un réseau privé empêchant ainsi les communications avec les serveurs pirates.


La détection

  • Maintenir des antivirus à jour afin de détecter les tentatives d'attaques
  • Mettre en place des sondes IDS permettant de détecter les comportements anormaux et les communications vers des serveurs identifiés comme dangereux


Le contrôle

  • Lancer des scans de vulnérabilités permettant de vérifier le niveau de patch et de sécurité du parc Informatique.
  • Mettre en place un tableau de bord synthétisant le niveau de conformité du parc (patchs de sécurité et mise à jour de l’antivirus).


Pour plus de détails :



Erwan Brouder, gérant et consultant en sécurité des systèmes d'information 

 
Veille sécurité

  • [Cybersécurité] Le rôle du RSSI dans la cybersécurité : sport individuel ou sport d'équipe ? (infosecisland.com)
  • [Cyberattaque] L'attaque contre TV5 Monde enclenchée dès fin janvier (leparisien.fr)
  • [Santé] Une cyber-attaque est-elle possible à l'hôpital ?  (allodocteurs.fr)
  • [Rapport] Le rapport 2015 de Verizon sur les fuites de données est disponible (verizonentreprise.com)
  • [Cybersécurité] Cyberattaque TV5 Monde : premiers enseignements et recommandations (si-vis.blogspot.fr)
  • [Livre blanc] La "Threat Intelligence pour les nuls" (norsecorp.com)
  • [Cyberdéfense] L'armée israélienne est (presque) prête pour la cyber-guerre (nouvelobs.com)
  • [PME] L’ENISA publie un guide de sécurité et un outil en ligne pour les PME passant au cloud (globalsecuritymag.fr)
  • [Cybersécurité] France Télévisions colmate une énorme fuite de données (nextinpact.com)
N’hésitez pas à nous faire parvenir des sujets sécurité que vous souhaiteriez voir abordés dans une newsletter ! Contactez-nous à contact@bssi.fr ou @BSSI_Conseil
 
Publications & Offres BSSI

 
INTRODUCTION A DNSSEC
DNSSEC est une suite d’extensions visant à sécuriser le protocole DNS dont les premiers travaux datent de 1997 et qui a été mise en œuvre le 15 juillet 2010, date de la signature de la zone racine.

Des statistiques sur son déploiement sont difficiles à obtenir mais d’après quelques sources qui s’y risquent DNSSEC n’est encore que très faiblement déployé.

Lire l'article
 

VEILLE & CYBERCRIMINALITÉ 

BSSI publie hebdomadairement une newsletter de veille en sécurité des systèmes d’information et offre une veille active via les réseaux sociaux. En complément, nous vous proposons d’effectuer des analyses techniques adaptées à vos projets et enjeux : Étude de risques pour l’utilisation d’une nouvelle technologie ; Évaluation d’une solution technique / Benchmark de solution / veille concurrentielle ; Analyse des nouvelles tendances d’attaques
En savoir plus sur cette offre
SENSIBILISATION ET FORMATION
La sensibilisation est indispensable à toute démarche de sécurité des systèmes d’information. Au-delà des mesures techniques ou organisationnelles mises en place pour réduire les risques de sécurité informatique, le facteur humain est à prendre en compte et à ne pas négliger.
En savoir plus sur cette offre
Email Marketing Powered by Mailchimp