Petya / NotPetya nouveau ransomware Vaccin

Rédigé par Genuix - -
ALERTE !!!

Vous avez tous certainement entendu parler du nouveau ransomware qui attaque les réseaux un peut partout dans le monde, la Suisse y compris.

Un pansement à été validé par des experts qui permet de stopper l'infection. Cela ne fonctionne évidement uniquement sur des machines pas encore infectées.

Il consiste à créer un fichier à la racine du système windows soit dans c:\windows\

ouvrez une fenêtre de commande DOS et copier collé la commande :

copy NUL C:\Windows\perfc.dat
un script as été mis au point que vous pouvez trouver la:


Après vérifications vous pouvez et/ou devez le télécharger et l'executer pour "vacciner" votre poste de travail

Ref:  Confirmed the local vaccine for #Petya / #NotPetya in LAB as described by @0xAmit & @hackerfantastic 

Info reprise par le groupe MELANIE (organe Suisse de veille informatique):

D'autre part, si lors de la mise en route de votre ordinateur, un écran noire s'affiche avec le programme CHKDSK qui démarre STOPPER TOUT, tirer la prise enlever la batterie et allez voir votre résponsable IT au plus vite. cela éviteras que cotre ordinateur soit encrypter !!!


Cloud et Nuages

Rédigé par Genuix - -
Le Cloud, grand sujet de société à ce jours...

Qu'es ce que le cloud ?

Où, quand et si oui, comment ?

A qui se fier ? sur quel architecture s'appuyer ?

Firewall

Rédigé par Genuix - -
Mur Pare Feu FireWall

Firewall (pare-feu)

Chaque ordinateur connecté à internet (et d'une manière plus générale à n'importe quel réseau informatique) est susceptible d'être victime d'une attaque d'un pirate informatique. La méthodologie généralement employée par le pirate informatique consiste à scruter le réseau (en envoyant des paquets de données de manière aléatoire) à la recherche d'une machine connectée, puis à chercher une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.

Cette menace est d'autant plus grande que la machine est connectée en permanence à internet pour plusieurs raisons :

La machine cible est susceptible d'être connectée sans pour autant être surveillée
La machine cible est généralement connectée avec une plus large bande passante
La machine cible ne change pas (ou peu) d'adresse IP.
Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes possédant une connexion de type câble ou ADSL, de se protéger des intrusions réseaux en installant un dispositif de protection.

Qu'est-ce qu'un pare-feu?

Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante :

une interface pour le réseau à protéger (réseau interne)
une interface pour le réseau externe.
Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseaux externes. Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que :

La machine soit suffisamment puissante pour traiter le traffic
Le système soit sécurisé
Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.
Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on utilise le terme d'« appliance ».

Fonctionnement d'un système pare-feu

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

D'autoriser la connexion (allow)
De bloquer la connexion (deny)
De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant :

soit d'autoriser uniquement les communications ayant été explicitement autorisées :
"Tout ce qui n'est pas explicitement autorisé est interdit".
soit d'empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en communication.

Le filtrage simple de paquets

Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packet filtering »). Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure.

Ainsi, les paquets de données échangée entre une machine du réseau extérieur et une machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall :

adresse IP de la machine émettrice
adresse IP de la machine réceptrice
type de paquet (TCP, UDP, etc.)
numéro de port (rappel: un port est un numéro associé à un service ou une application réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.

Le tableau ci-dessous donne des exemples de règles de pare-feu :

Règle    Action    IP source    IP dest    Protocol    Port source    Port dest
1    Accept    192.168.10.20    194.154.192.3    tcp    any    25
2    Accept    any    192.168.10.3    tcp    any    80
3    Accept    192.168.10.0/24    any    tcp    any    80
4    Deny    any    any    any    any    any
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à des services courants (les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les communications selon le port utilisé. Il est généralement conseillé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue).

Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d'émuler un accès par terminal à une machine distante de manière à pouvoir exécuter des commandes à distance. Les données échangées par Telnet ne sont pas chiffrées, ce qui signifie qu'un individu est susceptible d'protocole SSH, réputé sûr et fournissant les mêmes fonctionnalités que Telnet.

Le filtrage dynamique

Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d'assurer le bon déroulement des échanges. D'autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente.

Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire. Pour y remédier, le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est "stateful inspection" ou "stateful packet filtering", traduisez "filtrage de paquets avec état".

Un dispositif pare-feu de type "stateful inspection" est ainsi capable d'assurer un suivi des échanges, c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. De cette manière, à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu.

Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant de l'exploitation des failles applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités représentent la part la plus importante des risques en terme de sécurité.

Le filtrage applicatif

Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opère donc au niveau 7 (couche application) du modèle OSI, contrairement au filtrage de paquets simple (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utilisés par chaque application.

Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une bonne connaissance des applications présentes sur le réseau, et notamment de la manière dont elle structure les données échangées (ports, etc.).

Un firewall effectuant un filtrage applicatif est appelé généralement passerelle applicative" (ou "proxy"), car il sert de relais entre deux réseaux en s'interposant et en effectuant une validation fine du contenu des paquets échangés. Le proxy représente donc un intermédiaire entre les machines du réseau interne et le réseau externe, subissant les attaques à leur place. De plus, le filtrage applicatif permet la destruction des en-têtes précédant le message applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire.

Il s'agit d'un dispositif performant, assurant une bonne protection du réseau, pour peu qu'il soit correctement administré. En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant être finement analysé.

Par ailleurs, le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et de connaître les failles afférentes pour être efficace.

Enfin, un tel système peut potentiellement comporter une vulnérabilité dans la mesure où il interprète les requêtes qui transitent par son biais. Ainsi, il est recommandé de dissocier le pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.

Notion de pare-feu personnel

Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de firewall personnel (pare-feu personnel).

Ainsi, un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la machine, et notamment empêcher les attaques du type cheval de Troie, c'est-à-dire des programmes nuisibles ouvrant une brèche dans le système afin de permettre une prise en main à distance de la machine par un pirate informatique. Le firewall personnel permet en effet de repérer et d'empêcher l'ouverture non sollicitée de la part d'applications non autorisées à se connecter.

Les limites des firewalls

Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au contraire. Les firewalls n'offrent une protection que dans la mesure où l'ensemble des communications vers l'extérieur passe systématiquement par leur intermédiaire et qu'ils sont correctement configurés. Ainsi, les accès au réseau extérieur par contournement du firewall sont autant de failles de sécurité. C'est notamment le cas des connexions effectuées à partir du réseau interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du pare-feu.

De la même manière, l'introduction de supports de stockage provenant de l'extérieur sur des machines internes au réseau ou bien d'ordinateurs portables peut porter fortement préjudice à la politique de sécurité globale.

Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille de sécurité (en s'abonnant aux alertes de sécurité des CERT par exemple) afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes.

La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité.
Classé dans : Securité - Mots clés : aucun

Test D'intrusion

Rédigé par Genuix - -
Test D'intrusion sur demande

Introduction:

Les tests d'intrusion sont une prestation très technique qui vise à compromettre, depuis l'extérieur, la sécurité de votre système d'information, aux moyens d'une "intelligence humaine".

Cette prestation peut avoir plusieurs objectifs :

Prouver que la sécurité mise en place est insuffisante et peut être contournée. Cela peut permettre de sensibiliser le responsables ou les informaticien s dans votre entreprise.
Mettre à l'épreuve la sécurité d'un environnement et qualifier sa résistance à un certain niveau d'attaque. Cela s'apparente à une qualification à un instant t du niveau de résistance, et permet de vérifier qu'une personne extérieure malveillante ne puisse pas pénétrer aisément votre système d'information.
Compléter un audit sécurité : un test d'intrusion peut révéler des problèmes issus d'une incohérence entre différents composants. Les interactions complexes sont parfois difficiles à appréhender lors d'un audit qui analyse l'architecture, le filtrage IP, système d'exploitation, le serveur web et l'application un par un.
L'offre :

Nous proposons deux types de tests d'intrusion :

Le test d'intrusion classique : pour garantir un bon résultat, nous recommandons de ne pas dépasser 5 ensembles de serveurs webs, applications et back-office.
Le test d'intrusion applicatif, qui vous permet de demander un test sur un ensemble serveur web, applications et back-office associé.
Chaque rapport de test d'intrusion reprend les opérations effectuées et permet de rejouer les tests soi-même. Tous les problèmes rencontrés sont énumérés, avec leur niveau de criticité, leur facilité d'exploitation, et nos recommandations de corrections à apporter. Un paragraphe propose une synthèse compréhensible par une direction non technique.

Une réunion de présentation des résultats est recommandée lorsque le rapport est conséquent afin de mieux sensibiliser les personnes concernées.

Pourquoi nous choisir ?

Une prestation de test d'intrusion requiert un très haut niveau d'expertise technique afin de produire un résultat crédible.
Son équipe technique est aguerrie aux toutes dernières techniques d'attaques, avec une forte expérience des audits de sécurité des logiciels et des applications, ainsi que la maîtrise des langages de programmation. Les failles de sécurité se situent principalement au niveau applicatif.

Nous effectuons également une veille qui lui permet d'être au fait des dernières vulnérabilités.

Enfin, la déontologie est un élément clef qui doit guider votre choix. Nous pratiquons des tests d'intrusion exhaustifs et confidentiels depuis des années, pour la plus grande satisfaction de ses clients.
Classé dans : Securité - Mots clés : aucun

Veille Securité

Rédigé par Genuix - -
Veille Securité

Présentation du service

La veille technologique en sécurité est un service de suivi des vulnérabilités des systèmes.

L'application des correctifs de sécurité est une des règles les plus efficace pour éviter de nombreux problèmes.
L'oubli ou le non-respect de cette règle est le principal problème dans de nombreux environnements.
La première étape consiste à être informé de ce qui est utile, sans être noyé par une masse de messages.
La veille fourni les vulnérabilités importantes, celles qui demandent une action de la part des exploitants.

Contenu

Le service de veille permet de suivre l'actualité en matière de vulnérabilités, parades et correctifs de sécurité.
Les principes sont de fournir des avis courts et clairs en français qui précisent :

le degré de gravité
le système d'exploitation ou l'application concernée
une description du problème
la parade
le risque induit
l'existence ou pas d'une exploitation connue
l'avis original
Les avis sont envoyés par courrier électronique, et sont disponibles sur un serveur web.
L'accès au web permet d'avoir accès à tous les avis, y compris ceux antérieurs à la date d'abonnement, et offre des possibilités de recherches, par application, par système d'exploitation, et sur les différents champs des avis.

Chaque client peut abonner plusieurs utilisateurs. Chaque utilisateur a accès à l'interface web en HTTPS avec authentification, et peut sélectionner les systèmes cibles pour lesquels il souhaite recevoir les avis. Chaque utilisateur reçoit ensuite par messagerie les avis suivant son profil

Public visé

La veille s'adresse aux Responsables de la Sécurité des Systèmes de l'information et administrateurs.
Les administrateurs systèmes où réseaux peuvent réagir rapidement et appliquer les correctifs de sécurité qui les concernent.
Les Responsables de la Sécurité des Systèmes de l'information et leurs collaborateurs gagnent une meilleure compréhension des risques et opportunités, et peuvent plus facilement prendre les décisions appropriées.

Méthodologie

Nous suivons en permanence tous les avis de sécurité des différents émetteurs : CERT, Bugtraq, SecurityFocus, Cisco, Microsoft, HP, Sun, IBM, FreeBSD, Linux, etc, ainsi qu'une centaine de listes électroniques.
Ces avis sont centralisés, triés, sélectionnés et un avis est rédigé en français. Il est validé, si nécessaire après un test, et les abonnés reçoivent par courrier électronique une présentation de la vulnérabilité en français.

Contactez-nous pour plus de détails sur ce service et pour vous abonner.
Classé dans : Securité - Mots clés : aucun
Fil RSS des articles de cette catégorie