SSI ATR – GrandCrab – McAfee analyzes Sodinokibi

McAfee’s Advanced Threat Research team (ATR) observed a new ransomware family in the wild, dubbed Sodinokibi (or REvil), at the end of April 2019.

Around this same time, the GandCrab ransomware crew announced they would shut down their operations.

Coincidence ? Or is there more to the story ?

In this series of blogs, we share fresh analysis of Sodinokibi and
its connections to GandCrab, with new insights gleaned exclusively from McAfee ATR’s in-depth and extensive research.

  • Episode 1: What the Code Tells Us
  • Episode 2: The All-Stars
  • Episode 3: Follow the Money
  • Episode 4: Crescendo

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/mcafee-atr-analyzes-sodinokibi-aka-revil-ransomware-as-a-service-what-the-code-tells-us/

SSI RGPD PPST – Le standard PDF pratique mais vulnérable et obsolète

Une faille irréparable du standard PDF permet le vol de tous les contenus, même chiffrés

01net

Le PDF est un format de document extrêmement populaire, y compris pour manipuler des données sensibles.

En effet, ce standard propose un chiffrement natif fort pratique, censé rendre les données inviolables.

Pour l’activer, il suffit généralement de définir un mot de passe au niveau du logiciel PDF.

Mais ce chiffrement est loin d’être inviolable, comme vient de le montrer un groupe de chercheurs des universités
Ruhr-Bochum et Munster.

Ces experts ont trouvé deux attaques baptisées « PDFex », permettant de faire fuiter les informations confidentielles
d’un fichier PDF chiffré.

https://www.01net.com/actualites/une-faille-irreparable-du-standard-pdf-permet-le-vol-de-tous-les-contenus-meme-chiffres-1778350.html

Source :

www.pdf-insecurity.org/download/paper-pdf_encryption-ccs2019.pdf

SSI RH – PSSI PPST – Espionnage chez Airbus

Espionnage chez Airbus ? ZATAZ vous montre trop de possibilités ! – ZATAZ

Damien Bancal

La Chine aurait espionné l’avionneur Airbus via des collaborateurs et des sous-traitants.

ZATAZ vous montre que le mal est bien plus
profond !

Vous avez très certainement lu dans la presse économique comme Capital, Challenge, … les révélations que s’apprête à faire le livre « France-Chine, les liaisons dangereuses » : la Chine aurait infiltré l’avionneur Airbus.Le bouquin, édité chez Stock, affiche les « hacks » subit par le groupe européen par ce qui semble être des « espions » à la solde du pays du soleil du milieu. Airbus s’est séparé, par exemple, de salariés Toulousains et Britanniques. Ils sont soupçonnés de « collaboration » avec les services de renseignement chinois.L’AFP explique que des sous-traitants d’Airbus qui ont servi de « Cheval de Troie ». « Quatre attaques informatiques majeures »
souligne l’agence de presse.Dans les sous-traitants visés, le
spécialiste français de l’ingénierie Expleo ou encore Rolls-Royce. « Des hackers chinois » sont soupçonnés.ZATAZ va vous montrer comment, en UNE heure, le Service Veille ZATAZ a trouvé plus de 800 possibilités d’infiltrations possibles.

Qing bao 3.0

Ma recherche s’est contentée sur la première porte d’entrée d’une entreprise. Vous savez, celle entre la chaise et le clavier.Bilan, les infiltrations et surveillances personnalisées effectuées pour les abonnées du Service Veille ZATAZ (+ de 3 000 sites/forums/… pirates) m’ont donné de quoi faire concernant plusieurs centaines d’employés (contemporains ou passés) d’Airbus.La recherche que je vais vous présenter n’a durée qu’UNE heure. Un délai que je me suis fixé, afin de découvrir si accéder à cette première porte d’entrée était simple.Une collecte de 60 minutes qui laisse le temps d’imaginer ce que peut produire de l’OSINT, des informations collectées, par des services étatiques comme la Chine, la Russie, les Etats-Unis … forts de plusieurs centaines/milliers de personnels dédiés.

https://www-zataz-com.cdn.ampproject.org/c/s/www.zataz.com/espionnage-chez-airbus-zataz-vous-montre-trop-de-possibilites/amp/

SSI RH RGPD – CJUE : un droit à l’oubli limité à l’Union

CJUE : un droit à l’oubli limité à l’Union, un droit à l’effacement des données sensibles

Suite à des procédures nées en
France, la Cour de justice de l’Union européenne (CJUE) a rendu aujourd’hui deux arrêts importants relatifs au droit à l’oubli. Ils concernent le sort des données dites sensibles (opinion religieuses, politiques, les affaires judiciaires, etc) et la portée du droit à l’effacement. Deux arrêts, tout en nuances.

Dans l’arrêt Costeja du 13 mai 2014, la Cour avait consacré le statut de responsables de traitement pour les moteurs de recherche. Depuis, ils sont tenus d’effacer les donnéesobsolètes, sauf évidemment lorsque les intérêts notamment journalistiques prédominent.

https://m.nextinpact.com/news/108228-cjue-droit-a-oubli-limite-a-union-droit-a-effacement-donnees-sensibles.htm?r

SSI DEV – Cobol, 60 ans, toujours aux commandes

Thanks Madame Grace Hopper

Il y a 60 ans naissait un langage orienté entreprise, ouvert et orienté problème, Cobol.

Parmi ses concepteurs, les informaticiennes Grace Hopper et Jean Sammet. Aujourd’hui, de nombreux systèmes critiques dans les secteurs de la banque, de la santé et des communications, continuent
à s’appuyer sur sa puissance et sa stabilité.

https://www-lemondeinformatique-fr.cdn.ampproject.org/c/s/www.lemondeinformatique.fr/actualites/lireamp-cobol-60-ans-toujours-aux-commandes-76385.html

SSI RES – Dark web : Tor est né dans un laboratoire militaire

Aux origines du dark web : la naissance de Tor dans un laboratoire militaire de l’US Navy

Avant d’être un repère d’artistes, d’activistes et de criminels, le réseau Tor était utilisé par des espions.

https://www-vice-com.cdn.ampproject.org/c/s/www.vice.com/amp/fr/article/mbmbbn/aux-origines-du-dark-web-la-naissance-de-tor-dans-un-laboratoire-militaire

SSI GOV ORG – Cybersécurité, la remise à plat

Cybersécurité : une rentrée sous le signe de la remise à plat

Valéry Marchive rédacteur en chef adjoint Lemagit.fr

Extraits :

10 ans après Pailloux, le travail est effectivement toujours aussi gigantesque. La sensibilisation en moins peut-être. Quoi que. Le plus dur est d’expliquer de l’importance du tout. Une gestion des droits sans gestion des identités… Une cartographie sans gestion de la vulnérabilité…

—(@AHCybSec)
September 5, 2019

Retour aux fondamentaux

Il y a peut-être comme une lassitude à l’égard du discours marketing de fournisseurs qui cherchent toujours à (sur-?) vendre une avance technologique revendiquée.

Face à cela, certains renvoient à l’importance des bases de la sécurité, entre gestion des droits, des identités, cartographie, gestion des vulnérabilités, etc.

Bertrand Carlier, de Wavestone, ne dit pas autre chose : « […] Get the basics first ! »

[…]Patrick Pailloux, l’ancien directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), à l’occasion de l’édition 2011 des Assises de la Sécurité […] avait appelé à un « retour aux fondamentaux », aux bonnes pratiques, à une « hygiène élémentaire » de la sécurité informatique.

Des sérieuses réflexions sur l’organisation

Et puis l’heure est peut-être moins aux questions de solutions technologiques que d’organisation. De quoi aussi venir ponctionner les budgets.

Chez Wavestone, Matthieu Garin constate « depuis quelques mois, de plus en plus de demandes liées à l’organisation de la filière cybersécurité », en interne. Parce qu’une très large majorité des clients du cabinet sont organisés suivant « des schémas classiques » où des RSSI entités sont rattachés à un RSSI groupe. Et dans de nombreux cas, la fonction RSSI est elle-même rattachée à la fonction DSI.

Las, conseil d’administration ou comité de direction veulent « de plus en plus disposer d’une vision claire de la stratégie et de sa mise en œuvre homogène à l’échelle du groupe », une chose « compliquée » avec de telles organisations très éclatées.

Mais dans certains secteurs, notamment industriels, où la sûreté est essentielle, la tentation peut être de rapprocher la cybersécurité de la sûreté, justement, « pour profiter de sa maturité ».

Mais si Matthieu Garin a une certitude, c’est que la gouvernance est appelée à être plus contrainte, « avec un renforcement des programmes et des mécanismes de contrôle de leur réalisation ». Et cela aussi en réponse à des besoins d’optimisation financière.

Quentin Bédéneau, consultant indépendant en cybersécurité pour Data Templar, relève de son côté que, si les processus de gouvernance du domaine ont été longtemps alignés sur ceux de l’IT, c’est de moins en moins le cas, notamment dans les grands groupes.

Au point que la fonction RSSI apparaît de plus en plus organisée comme un centre de services interne. De quoi aider « à rompre avec l’image de la sécurité centre de coût », mais également venir concurrencer des ESN externes.

Mais s’il y a bien deux points sur lesquels les regards de Matthieu Garin et de Quentin Bédéneau se rejoignent, c’est sur l’objectif d’industrialisation – et avec elle, notamment, l’optimisation financière – et de visibilité complète, cohérente et précise, au plus haut niveau de la hiérarchie.

Jusqu’à la définition des crises

Le regard de Jérôme Saiz, du cabinet Opfor Intelligence, est plus centré sur la gestion des crises.

Mais lui aussi pointe dans la direction d’une cybersécurité se détachant de l’IT : « j’observe une prise de conscience du fait qu’une crise cyber n’est pas une crise IT ; que les plans de continuité et de reprise de l’activité historiques n’y sont pas adaptés ».

La principale différence tient au fait qu’un PRA traditionnel ne tient pas compte de la présence d’un assaillant : il s’agit de « remettre l’outil informatique debout le plus vite possible », quitte à effacer des traces ou à prendre des raccourcis susceptibles de conduire à une re-compromission très rapide.

Par exemple, « dans une crise cyber, il faut considérer que l’on n’a plus confiance en ses moyens de communication », avec tout cela peut avoir de vastes implications – hors, « les plans de secours informatiques considèrent, implicitement ou explicitement, que les moyens de communication sont accessibles ».

Et cela peut aller plus loin : « comment gérer une crise IT sans passer à côté de la crise de cybersécurité qu’elle peut cacher ? »

https://www-lemagit-fr.cdn.ampproject.org/c/s/www.lemagit.fr/actualites/252470320/Cybersecurite-une-rentree-sous-le-signe-de-la-remise-a-plat?amp=1