{"id":10134,"date":"2019-05-06T10:00:05","date_gmt":"2019-05-06T08:00:05","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=10134"},"modified":"2019-05-06T10:25:06","modified_gmt":"2019-05-06T08:25:06","slug":"citycomp-faille-semaine","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/citycomp-faille-semaine","title":{"rendered":"Ran\u00e7onnage Citycomp – Victimes : Porsche Airbus, etc."},"content":{"rendered":"\n

Cette semaine, la faille de la semaine concerne Citycomp. Le fournisseur de services TI allemand a \u00e9t\u00e9 victime d’une cyber-attaque de ran\u00e7onnage. Les cyber-criminels auraient, selon leurs dires, op\u00e9r\u00e9 un vol de donn\u00e9es portant sur 516 Go de donn\u00e9es. Ces donn\u00e9es contiendraient des informations financi\u00e8res et priv\u00e9es sur tous les clients de Citycomp. Quelles le\u00e7ons tirer de cette nouvelle violation de donn\u00e9es?<\/em><\/p><\/blockquote><\/amp-fit-text>\n\n\n\n

Cette semaine encore a vu son lot de violations de donn\u00e9es r\u00e9v\u00e9l\u00e9es. J’avais \u00e9voqu\u00e9 ce sujet il y a quelques semaines d\u00e9j\u00e0 dans un article intitul\u00e9 Violation : un gouffre financier \u00e9vitable?<\/a>. Malheureusement, une fois encore le butin des cyber-criminels est important. Quelques 516 Go de donn\u00e9es r\u00e9parties dans pas moins 51.025 r\u00e9pertoires contenant plus de 312,570 fichiers de donn\u00e9es personnelles et financi\u00e8res. Et une fois encore, il s’agit d’une attaque de ran\u00e7onnage.<\/p>\n\n\n\n

\"Cyber-attaque<\/figure><\/div>\n\n\n\n

Les faits : Citycomp victime de ran\u00e7onnage<\/h2>\n\n\n\n

A l’origine, il y a une cyber-attaque de ran\u00e7onnage sur le fournisseur allemand de service TI. D\u00e9but Avril, les cyber-criminels ont inform\u00e9 Citycomp qu’ils d\u00e9tenaient une grande quantit\u00e9 de donn\u00e9es vol\u00e9es sur leur syst\u00e8me informatique. Ils leur demandaient de payer une ran\u00e7on de l’ordre de 5.000$ en Bitcoins avant la fin du mois. A d\u00e9faut, ils communiqueraient publiquement les donn\u00e9es d\u00e9rob\u00e9es. Apparemment, l’entreprise a d’abord investigu\u00e9 pour identifier comment les pirates avaient proc\u00e9d\u00e9. Elle aurait alors envisag\u00e9 de payer la ran\u00e7on.<\/p>\n\n\n\n

Puis il semble qu’ayant identifi\u00e9 la faille, Cyticomp ait pris des mesures pour la combler. Suite \u00e0 cela, la compagnie allemande a finalement refus\u00e9 de payer la ran\u00e7on. Les cyber-criminels ont alors eu un mois pour cr\u00e9er un site sur le dark web afin de mettre leur menace \u00e0 ex\u00e9cution. C’est sur ce site que toutes les donn\u00e9es d\u00e9rob\u00e9es sont d\u00e9sormais visibles publiquement.<\/p>\n\n\n\n

Des clients prestigieux parmi les victimes collat\u00e9rales<\/h3>\n\n\n\n

Citycomp est une firme allemande qui se pr\u00e9sente elle-m\u00eame sur son site web comme un prestataire de services de maintenance et d\u2019infrastructure multi-fournisseurs pour tous les syst\u00e8mes informatiques courants. Etrangement lorsqu’on cherche sur son site web, le mot s\u00e9curit\u00e9 n’appara\u00eet nulle part. Pas non plus, dans ses \u00e9quipes, de trace d’un CISO ou m\u00eame d’un RSSI. Il ne semble vraiment pas que le sujet des cyber-risques ait \u00e9t\u00e9 plac\u00e9 par sa gouvernance au centre des pr\u00e9occupations de l’organisation.<\/p>\n\n\n\n

Citycomp, qui affirme maintenir plus de 70 000 serveurs et syst\u00e8mes de stockage \u00abde tous types et de toutes tailles\u00bb dans 75 pays, a annonc\u00e9 dans un communiqu\u00e9 qu’elle avait \u00abr\u00e9ussi \u00e0 contrer une attaque informatique\u00bb d\u00e9but avril et qu’elle n’avait aucune intention de se conformer \u00e0 la tentative ran\u00e7onnage.<\/p>\n\n\n\n

Le portefeuille clients de Citycomp est pour le moins prestigieux : on y trouve Airbus, Atos, British Telecom, Dekra, Edeka, Ericsson, Hugo Boss, Kaufland, le groupe h\u00f4telier NH, Oracle, Leica, Rewe, SAP, T-Systems, Toshiba, Unicredit, ou encore Volkswagen. Parmi ces entreprises, certaines manipulent des donn\u00e9es class\u00e9es secret d\u00e9fense. Certaines d’entre elles fournissent m\u00eame des services professionnels de s\u00e9curit\u00e9 pour leurs clients. On ne peut donc que s’\u00e9tonner de l’absence d’anticipation d’une telle attaque par ces entreprises. Apparemment, un audit de s\u00e9curit\u00e9 de leur prestataire aurait d\u00fb les dissuader de traiter avec un tel sous-traitant.<\/p>\n\n\n\n

La r\u00e9action \u00e0 d\u00e9faut de pr\u00e9vention<\/h3>\n\n\n\n

Citycomp ayant refus\u00e9 de c\u00e9der \u00e0 la tentative de ran\u00e7onnage, les donn\u00e9es vol\u00e9es sont d\u00e9sormais t\u00e9l\u00e9chargeables librement sur Internet. Le prestataire indique avoir communiqu\u00e9 avec ses clients d\u00e8s la d\u00e9couverte de l\u2019incident, \u00e0 savoir d\u00e9but avril.<\/p>\n\n\n\n

Citycomp a indiqu\u00e9 que les donn\u00e9es ne pourraient pas \u00eatre pr\u00e9serv\u00e9es, \u00e9tant donn\u00e9 son refus de capituler. La \u00abtransparence totale\u00bb \u00e9tant strictement observ\u00e9e, la soci\u00e9t\u00e9 \u00e0 tenu ses clients inform\u00e9s \u00abd\u00e8s le d\u00e9part\u00bb, a-t-elle d\u00e9clar\u00e9.<\/p>\n\n\n\n

Aupr\u00e8s du Handelsblatt<\/em>, Volkswagen indique examiner l\u2019incident. La firme estime<\/a>  cependant qu’\u00e0 ce jour, il n\u2019y a rien de confidentiel dans les donn\u00e9es vol\u00e9es.<\/p>\n\n\n\n

Dans sa d\u00e9claration publique, Citycomp communique avoir \u00e9t\u00e9 amen\u00e9e \u00e0 \u00ab d\u00e9connecter quelques syst\u00e8mes pour des raisons de s\u00e9curit\u00e9 \u00bb dans le cadre de la proc\u00e9dure de rem\u00e9diation. L’entreprise assure \u00e9galement avoir adopt\u00e9 \u00ab des mesures techniques et organisationnelles additionnelles pour am\u00e9liorer la s\u00e9curit\u00e9 \u00bb de son environnement. Il est dommage cependant que, comme souvent, il ait fallu attendre l’incident pour prendre de telles mesures.<\/p>\n\n\n\n

Des mesures prises beaucoup trop tard<\/h3>\n\n\n\n

Au Spiegel<\/em>, Citycomp fait \u00e9tat d\u2019une compromission initiale par un vecteur \u00ab classique \u00bb, mais ne fournit pas de d\u00e9tail.<\/p>\n\n\n\n

Alors que Citycomp a d\u00e9clar\u00e9 que la cyber-attaque avait \u00e9t\u00e9 stopp\u00e9e, une soci\u00e9t\u00e9 de s\u00e9curit\u00e9 avec laquelle elle travaille et qui \u00e9tait autoris\u00e9e \u00e0 parler \u00e0 Motherboard <\/em><\/a>a d\u00e9clar\u00e9 que, mardi, l’attaque \u00e9tait toujours en cours.<\/p>\n\n\n\n

\u00ab\u00a0Citycomp a \u00e9t\u00e9 pirat\u00e9 et soumis \u00e0 un chantage et l’attaque se poursuit. Nous devons \u00eatre prudents car toute l’affaire est sous enqu\u00eate polici\u00e8re et l’attaquant tente toutes les ruses.\u00a0\u00bb (Michael Bartsch, directeur ex\u00e9cutif de Deutor Cyber Security Solutions)<\/em><\/p><\/blockquote>\n\n\n\n

C’est un groupe se faisant conna\u00eetre sur le nom de \u00ab l\u2019\u00e9quipe Snatch \u00bb qui revendique l’op\u00e9ration. Il divulgue en plus des donn\u00e9es pr\u00e9sent\u00e9es comme d\u00e9rob\u00e9es \u00e0 la Bait Al Mal Ak Khaleeji (compagnie d’investissement), en Arabie Saoudite, au cabinet de conseil en communication KCSA, au sp\u00e9cialiste de la filtration Tecnicas Hidraulicas, ainsi qu\u2019au cabinet comptable Myatt Blume & Osburn. Aucun d\u2019entre eux ne semble avoir, \u00e0 ce jour, communiqu\u00e9 publiquement sur le sujet.<\/p>\n\n\n\n

Des cyber-criminels d\u00e9j\u00e0 connus pour du ran\u00e7onnage<\/h3>\n\n\n\n

Les pirates ont cr\u00e9\u00e9 un site sur .onion<\/strong><\/em>, le dark web accessible par le navigateur Tor. On peut y consulter et t\u00e9l\u00e9charger librement les donn\u00e9es vol\u00e9es \u00e0 Citycomp. La liste des victimes comprend des noms tels que Porsche, Oracle, Toshiba, le New Yorker, Ericsson, Leica, UniCredit, British Telecom, Hugo Boss, le groupe h\u00f4telier NH et Airbus, parmi beaucoup d’autres. Sur le site, les pirates pr\u00e9tendent avoir \u00ab312 570 fichiers dans 51 025 dossiers, plus de 516 Go de donn\u00e9es, financi\u00e8res et priv\u00e9es sur tous les clients\u00bb.<\/p>\n\n\n\n

\"Citycomp
Capture \u00e9cran prise sur le site du dark web diffusant les donn\u00e9es de Citycomp<\/em><\/figcaption><\/figure><\/div>\n\n\n\n

Bartsch a confi\u00e9 \u00e0 Motherboard qu’apr\u00e8s avoir inform\u00e9 et pr\u00e9venu tous les clients et avoir \u00e9t\u00e9 totalement transparent, ceux-ci avaient apport\u00e9 leur soutien \u00abunanime\u00bb.<\/p>\n\n\n\n

Les pirates ont indiqu\u00e9 dans un courrier \u00e9lectronique \u00e0 Motherboard que le but de la cyber-attaque \u00e9tait financier. En utilisant le pseudo \u00ab\u00a0Boris Bullet-Dodger\u00a0\u00bb, ils ont confirm\u00e9 qu\u2019ils avaient r\u00e9clam\u00e9 5.000$ \u00e0 Citycomp. Sur le site utilis\u00e9, les pirates ont inclus une adresse e-mail permettant de les contacter. Cet e-mail est \u00e9galement l’adresse de contact dans au moins une campagne pr\u00e9c\u00e9dente de ransomware.<\/p>\n\n\n\n

\u00ab\u00a0Boris\u00a0\u00bb pr\u00e9tend avoir \u00ab\u00a0r\u00f4d\u00e9\u00a0\u00bb dans les syst\u00e8mes de Citycomp pendant un peu plus d’un mois. Il affirme avoir cibl\u00e9 Citycomp en raison de \u00ab\u00a0son syst\u00e8me de s\u00e9curit\u00e9 absolument \u00e9pouvantable\u00a0\u00bb.<\/p>\n\n\n\n

Le ou les pirates informatiques ont d\u00e9clar\u00e9 ne pas avoir l’intention de pratiquer un quelconque ran\u00e7onnage sur les entreprises clientes elles-m\u00eames.<\/p>\n\n\n\n

\u00ab\u00a0Non, ces entreprises ne sont pas coupables du travail \u00e9pouvantable de Citycomp.\u00a0\u00bb<\/em><\/p><\/blockquote>\n\n\n\n

Quelles le\u00e7ons tirer de cette violation de donn\u00e9es?<\/h2>\n\n\n\n

Lorsqu’une organisation s’appuie sur une tierce partie pour supporter un de ses processus m\u00e9tier, elle accepte un certain niveau de risque. Bien s\u00fbr, parmi ces risques figure celui li\u00e9 \u00e0 la cybers\u00e9curit\u00e9. Il est donc indispensable de suivre certaines \u00e9tapes fondamentales pour d\u00e9terminer l’\u00e9tendue de votre exposition au risque. Vous devez alors planifier votre r\u00e9ponse \u00e0 ces risques et votre r\u00e9tablissement au cas o\u00f9 le risque se concr\u00e9tiserait.<\/p>\n\n\n\n

Attention \u00e0 la r\u00e9daction des contrats de sous-traitance<\/h3>\n\n\n\n

Assurez-vous que les contrats avec des tiers comportent des sections d\u00e9taill\u00e9es sur les notifications de violation de donn\u00e9es et des exigences de r\u00e9ponse. En cas de violation par un tiers, vous exigerez certainement une notification rapide avec des exigences d\u00e9taill\u00e9es sur les besoins du fournisseur. Cela devrait \u00eatre une partie obligatoire de chaque contrat. Il est \u00e9galement indispensable d’inclure dans le contrat de sous-traitance une clause d’autorisation d’audit du syst\u00e8me d’information de votre prestataire par vos soins.<\/p>\n\n\n\n

Conservez un registre d\u00e9taill\u00e9 des traitements<\/h3>\n\n\n\n

Conservez des enregistrements d\u00e9taill\u00e9s sur les processus m\u00e9tier pris en charge par le tiers en question. Cela vous aidera \u00e0 atteindre les principaux intervenants internes et \u00e0 les int\u00e9grer aux processus de triage et de r\u00e9ponse aux incidents de s\u00e9curit\u00e9. Cela vous aidera \u00e9galement \u00e0 fournir des estimations initiales de la port\u00e9e et de l’impact \u00e0 la haute direction. N’oubliez pas que les incidents de s\u00e9curit\u00e9 nuisent gravement \u00e0 la r\u00e9putation et \u00e0 l’image de l’entreprise.<\/p>\n\n\n\n

Soyez pro-actifs<\/h3>\n\n\n\n

Comme je l’ai d\u00e9j\u00e0 mentionn\u00e9 lorsqu\u2019on parle de ran\u00e7onnage, se d\u00e9fendre contre une attaque d\u00e9termin\u00e9e et cibl\u00e9e exige une d\u00e9fense en profondeur. En outre, comme dans bien des cas, mieux vaut pr\u00e9venir que gu\u00e9rir. Pour commencer, assurez-vous que vos syst\u00e8mes sont \u00e0 jour des correctifs de s\u00e9curit\u00e9 et que votre protocole RDP (Remote Desktop Protocol) est bien s\u00e9curis\u00e9. Assurez vous \u00e9galement d’effectuer des sauvegardes r\u00e9guli\u00e8res, compl\u00e8tes et hors site, avec des sauvegardes interm\u00e9diaires entre deux sauvegardes compl\u00e8tes.<\/p>\n\n\n\n

Au del\u00e0 de l’attaque par ran\u00e7onnage, il existe de nombreux autres vecteurs d’attaque. Je vous propose de relire un article que j’ai \u00e9crit \u00e0 ce sujet il y a quelques semaines : Top 5 des types de cyber-attaques en 2019<\/em><\/a>.<\/p>\n\n\n\n

Comprenez bien ce qui s’est pass\u00e9<\/h3>\n\n\n\n

Les donn\u00e9es expos\u00e9es dans la violation de Citycomp comprenaient les codes de verrouillage physique ainsi que les codes de clavier num\u00e9rique pour les zones s\u00e9curis\u00e9es dans des installations d’h\u00e9bergement partag\u00e9es. La modification des codes num\u00e9riques est probablement possible depuis un emplacement central. Par contre, la modification des param\u00e8tres physiques n\u00e9cessite une intervention manuelle sur site. <\/p>\n\n\n\n

Les attaquants ont \u00e9galement eu acc\u00e8s \u00e0 ces donn\u00e9es pendant une p\u00e9riode non divulgu\u00e9e. Notons seulement que les cyber-criminels ont inform\u00e9 Citycomp d\u00e9but avril et que \u00ab\u00a0Boris\u00a0\u00bb indique s’\u00eatre promen\u00e9 dans les syst\u00e8mes de la soci\u00e9t\u00e9 pendant un peu plus d’un mois. Il appara\u00eet donc que ces donn\u00e9es ont \u00e9t\u00e9 expos\u00e9es pendant une dur\u00e9e d’au minimum deux mois. Il est donc important de conserver un inventaire \u00e0 jour de ce qui a \u00e9t\u00e9 stock\u00e9 dans ces zones durant cette p\u00e9riode.<\/p>\n\n\n\n

Prenez les assurances n\u00e9cessaires pour r\u00e9duire votre risque<\/h3>\n\n\n\n

Collaborez avec votre soci\u00e9t\u00e9 d’assurances pour ajouter des risques cyber et physiques li\u00e9s \u00e0 des sous-traitants dans vos strat\u00e9gies d’att\u00e9nuation des risques. La cyber-assurance peut aider \u00e0 couvrir les co\u00fbts support\u00e9s par votre organisation, qui peuvent inclure des pertes li\u00e9es au temps et aux ressources d\u2019investigation, une responsabilit\u00e9 pour la divulgation d\u2019informations li\u00e9e \u00e0 la violation par un tiers et des pertes directes r\u00e9sultant de probl\u00e8mes cyber-physiques. La cyber-assurance peut \u00e9galement vous permettre de faire appel aux ressources d\u2019\u00e9quipes d\u2019enqu\u00eateurs d\u00e9di\u00e9es pour g\u00e9rer toute intervention directe ou \u00e0 distance n\u00e9cessaire.<\/p>\n\n\n\n

Recrutez au plus vite un CISO si ce n’est d\u00e9j\u00e0 fait<\/h3>\n\n\n\n

Il est indispensable pour toute organisation de g\u00e9rer la s\u00e9curit\u00e9 de ses informations. Les informations doivent \u00eatre prot\u00e9g\u00e9es comme tout autre actif de l’entreprise. Le recrutement d’un CISO est donc n\u00e9cessaire d\u00e8s lors que les informations sont au coeur de la strat\u00e9gie de l’organisation. Le CISO est en charge de la s\u00e9curit\u00e9 des informations au sens large. Il ne doit donc en aucun cas \u00eatre plac\u00e9 au sein du d\u00e9partement informatique. Il doit occuper une position cl\u00e9 au sein du comit\u00e9 de direction et \u00eatre en contact r\u00e9gulier avec le conseil d’administration. Pour en savoir plus, je vous invite \u00e0 relire deux articles que j’ai publi\u00e9s r\u00e9cemment sur ce blog : CISO – Responsabilit\u00e9s et comp\u00e9tences indispensables<\/em><\/a> et 10 raisons majeures pour embaucher un CISO<\/em><\/a>.<\/p>\n\n\n\n

Consid\u00e9rez la mise en oeuvre d’un SMSI conforme \u00e0 ISO 27001<\/h3>\n\n\n\n

La mise en oeuvre d’un SMSI conforme \u00e0 la norme ISO 27001<\/em><\/a> constitue sans aucun doute une \u00e9tape essentielle dans la s\u00e9curisation de votre syst\u00e8me d’information. De plus, il y a fort \u00e0 parier que les victimes collat\u00e9rales de la cyber-attaque de ran\u00e7onnage visant Citycomp seront d\u00e9sormais plus attentives \u00e0 la qualit\u00e9 de leurs prestataires TI. Une certification ISO 27001 est un gage tant pour l’entreprise que pour ses clients qu’un SMSI est bien en place et en am\u00e9lioration continue. Cela constitue clairement un avantage strat\u00e9gique pour votre organisation.<\/p>\n\n\n\n

Cet article vous interpelle? Les commentaires vous sont ouverts pour lancer la discussion. N’h\u00e9sitez pas \u00e0 faire vos remarques et \u00e0 poser vos questions. Vous pouvez \u00e9galement nous laisser un petit \u00ab\u00a0j’aime\u00a0\u00bb sur notre blog ou vous abonner sur cette page recevoir une notification lors de la publication d’articles sur le site. Merci de nous suivre.<\/em><\/strong><\/p>\n

Partager\u00a0:<\/h3>