Plus récemment, l'équipe de Ross Anderson a découvert que de nombreux distributeurs de billets et terminaux de paiement compatibles avec la norme EMV généraient des nombres aléatoires de manière prévisible. Cela permet à une personne qui dispose d'un accès temporaire à une carte de crédit, dans un restaurant ou un magasin, de calculer des codes d'authentification qu'elle peut ensuite réutiliser pour de futures opérations. Pire encore, un voleur ou un terminal de point de vente compromis peuvent générer et inscrire des codes d'authentification dans une carte, et ces codes peuvent ensuite être utilisés pour autoriser d'autres transactions frauduleuses. « Certaines de ces attaques ne sont pas directement liées à la norme EMV elle-même, mais plutôt à une mauvaise mise en oeuvre de l'EMV par les fournisseurs de terminaux de paiement », a expliqué le professeur de l'Université de Cambridge. Les banques ne sont pas assez actives pour imposer des changements, parce que, si le commerçant n'utilise pas la norme EMV, c'est sur lui que repose la responsabilité de la fraude et s'il utilise l'EMV et que le code PIN est correct, c'est le consommateur qui l'assume », a-t-il encore déclaré.
Cette tendance à responsabiliser le propriétaire de la carte part du principe que, étant donné que les cartes EMV - ou plutôt leurs puces - ne peuvent pas être clonées, si une transaction frauduleuse est faite avec la carte et si le code PIN est correct, c'est que le propriétaire a été négligent. « Mais, dans le cas des banques américaines, rien ne permet de dire si elles réussiront à reporter la responsabilité de ces transactions frauduleuses sur le propriétaire de la carte, parce qu'aux Etats-Unis, les consommateurs bénéficient d'une meilleure protection qu'en Europe », a déclaré Ross Anderson. Selon lui, « la question de l'adoption de la norme EMV aux Etats-Unis est à suivre avec intérêt : certaines banques poussent vers le système Chip-and-PIN, alors que d'autres ont une nette préférence pour le système Chip-and-Signature ».
La spécification EMV telle qu'elle existe aujourd'hui est très complexe et les fournisseurs y ont fait des ajouts, ce qui explique qu'il soit facile de faire des erreurs lors de sa mise en oeuvre, explique M. Anderson. Selon la façon dont vous vous y prenez, vous pouvez concevoir un système sécurisé ou un mauvais système, a-t-il exposé. C'est aussi ce que pense Lucas Zaichkowsky, architecte chez AccesData qui a précédemment enquêté sur les fuites liées aux cartes de crédit et évalué la compatibilité avec les standards de sécurité des cartes de paiement.Sur la Black Hat, il a fait une présentation sur ce sujet montrant comment, lors d'une transaction EMV, un malware pouvait dérober les mêmes données que sont sur la bande magnétique si la puce n'est pas mise en oeuvre correctement. « Et certaines banques ne le font pas comme il le faudrait », selon lui. Ces données peuvent alors être utilisées pour créer de fausses bandes et perpétrer des fraudes dans la plupart des pays, y compris dans ceux qui utilisent déjà EMV parce que les lecteurs EMV sont également configurés pour accepter les bandes magnétiques en cas de besoin.
Hewlett-Packard Enterprise complète ses solutions de gestion de la sécurité en bout de réseau en rachetant Niara et ses technologies d'analyse comportementale pour la détection des menaces. Celles-ci complètent les plateformes de SIEM (Security information and event management) en prenant la main après l'authentification au réseau. Elles s'intégreront au portefeuille ClearPath de l'entité Aruba Networks.
Après s'être délesté l'an dernier de grands pans d'activités (dans les services, les logiciels et le cloud), Hewlett-Packard Enterprise multiplie maintenant les acquisitions pour renforcer son offre infrastructure. Quelques jours après les annonces de rachat de Simplivity et Cloud Cruiser, Hewlett-Packard Enterprise engage une autre transaction. Il porte cette fois son dévolu sur la start-up californienne Niara, spécialisée dans les solutions d’analyse avancée du comportement des utilisateurs et des entités, un segment de marché dénommé UEBA (User and entity behavior analytics) par le cabinet d’études Gartner. La plateforme de sécurité de Niara s’appuie sur des technologies d’apprentissage machine et de traitement des big data pour analyser les données de connexion au système d’information afin d’identifier les utilisateurs compromis, les employés négligents et les comportements malveillants. HPE la rachète pour étendre ses fonctionnalités de sécurité sur les projets mobiles et liés à l’Internet des objets, en particulier en périphérie de réseau. Les solutions de Niara vont s’intégrer à l’entité Aruba, au sein du portefeuille de sécurité réseau ClearPass. En juin dernier, sur sa conférence Discover, HPE avait clairement indiqué son intention de renforcer son implication sur les solutions placées en bout de réseau avec le lancement de systèmes convergés pour l'IoT.
Les technologies rachetées avec Niara viennent compléter les plateformes d'authentification et d’analyse des logs existantes (la start-up a d'ailleurs intégré son offre à celle de Splunk, par exemple). « Les attaques sophistiquées échappent systématiquement aux solutions de SIEM qui utilisent des techniques de détection à base de signatures et de règles et elles infiltrent les organisations pour compromettre les actifs IT critiques », expliquait il y a quelques mois Niara dans un communiqué. La start-up ajoutait que pour combattre ces attaques, les équipes de sécurité complétait les approches existantes en se tournant vers une nouvelle classe de produits de détection des attaques. La technologie UEBA de Niara commence par établir automatiquement une base de comparaison comportant les caractéristiques de tous les utilisateurs et terminaux d’une entreprise afin de pouvoir ensuite rechercher les activités anormales ou incohérentes pouvant s’apparenter à une menace de sécurité, explique dans un billet Keerti Melkote, general manager de HPE Aruba et co-fondateur d’Aruba Networks, racheté en mai 2015 par Hewlett-Packard.
L’objectif de HPE est d’intégrer cette technologie avec la plateforme de contrôle d’accès au réseau ClearPass Policy Manager pour apporter la détection des menaces avancées dans les environnements câblés et sans fil, et dans l’IoT. Pour les co-fondateurs de Niara, Sriram Ramachandran, CEO de la start-up, et Prasad Palkar, vice-président de l’ingénierie, c’est un retour aux sources puisqu’ils ont fait partie de l’équipe qui a développé le système d’exploitation ArubaOS. La solution de Niara répond aux besoins de surveillance des terminaux et des utilisateurs après leur authentification par une plateforme comme ClearPass. Elle détecte les utilisateurs ou équipements compromis en agrégeant et remettant en contexte les moindres changements qui interviennent dans une utilisation typique.
La plupart des réseaux aujourd’hui permettent un trafic libre entre la source et la destination dès lors que les terminaux sont authentifiés sur le réseau, avec des contrôles internes (à travers des listes par exemple) pour protéger certains types de trafic. « Mais le plus important, c’est qu’aucun de ces trafics n’est analysé pour détecter les menaces avancées qui se sont introduites dans le périmètre de sécurité des systèmes et qui recherchent activement des faiblesses à exploiter à l’intérieur du réseau », pointe Keerti Melkote. D’où le rachat de Niara.A l'occasion du forum international de la cybercriminalité à Lille (24-25 janvier), la secrétaire d'Etat au numérique Axelle Lemaire, le délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces Thierry Delville ainsi que le directeur général de l'Anssi Guillaume Poupard, ont annoncé la création d'Acyma, un plan d'action contre la cybermalveillance. Un site web opérationnel d'ici deux mois permettra aux citoyens ainsi qu'aux TPE et PME/PMI d'accéder à un éventail d'informations et de services pour les aider en cas de piratage ou d'intrusion dans leurs ordinateurs.
En gestation depuis juin 2015, la mise en place du site web piloté par l'Etat et l'Anssi destinée aux particuliers ainsi qu'aux TPE et PME/PMI pour trouver facilement des informations en cas d'attaque informatique sort enfin de terre. A l'occasion d'une conférence de presse organisée au FIC (forum international de la cybercriminalité) mercredi 25 janvier, la secrétaire d'Etat au numérique Axelle Lemaire, le délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces Thierry Delville ainsi que le directeur général de l'Anssi Guillaume Poupard ont dévoilé Acyma. Cette mystérieuse appellation, dont le teasing a été savamment orchestré par Guillaume Poupard, cache un plan d'action contre la cybermalveillance qui se révèle simple mais qui se veut efficace.
« Les PME sont en ligne de mire et certains mettent la clé sous la porte suite à d'attaques informatiques », a expliqué le directeur général de l'Ansii. « L'idée est de mettre en place un dispositif d'assistance, une solution pragmatique, permettant de trouver de l'aide en ligne viable pour diagnostiquer qu'ils sont victimes et d'identifier les petites prestations pour diagnostiquer qu'ils sont victimes, réinstaller leurs ordinateurs et donner des conseils. » Créé au travers d'un GIP (groupement d'intérêt public), Acyma va donner naissance d'ici deux mois à un site en ligne permettant aux utilisateurs individuels ou aux petites entreprises d'accéder concrètement à cette palette d'informations et de services. Un lien permettant de déposer plainte suite à une attaque informatique sera aussi proposé.
« Il s'agit de fournir aux citoyens, TME-PME et artisans victimes d'attaques comme des ransomwares des éléments de réponses, de diagnostic et d'orientation et s'il y a lieu de permettre de déposer plainte », précise Thierry Delville. Incubé par l'Anssi et doté d'un budget de fonctionnement de 1 million d'euros, la plate-forme devrait ensuite pouvoir s'autofinancer. « On se donne un an pour identifier les acteurs privés qui vont participer à l'aventure », indique Guillaume Poupard qui espère bien faire de cette lutte contre les cybermalveillances une grande cause nationale. Outre les fonctionnaires qui viendront alimenter Acyma en informations et veiller à son bon fonctionnement, le ministère de l'Intérieur compte également mobiliser le réseau Cybergend ainsi que le millier d'experts spécialisés de la Police pour apporter une aide locale aux victimes de cybermalveillances.
Afin de réparer, récupérer des données perdues mais aussi conserver des éléments de preuve, citoyens et entreprises pourront faire appel un partenaire informatique local référencé dans un annuaire. Pour être présents dans cet annuaire, ces partenaires devront au préalable montrer patte blanche, même si dans les faits ils devront seulement signer une « charte d'engagement » qui pour l'heure n'a pas été encore dévoilée. Ni le ministère ni l'Anssi n'ont cependant l'intention de séparer le bon grain de l'ivraie dans la pluie de prestataires en tous genre qui vont à terme fleurir sur Acyma. Pour cela, ces derniers font confiance à l'autorégulation et un système de notation permettant de rendre compte de l'efficacité de leurs conseils et prestations. « Ils s'engagent sur le site, décrivent leurs missions et le public visé. Il n'y a pas de filtre de l'Etat, c'est comme un annuaire ensuite évalué par les clients », confirme Thierry Delville. Espérons que les évaluations resteront objectives en évitant tout acte de dénigrement de concurrence, à moins qu'une nouvelle plateforme permette de recueillir ce type de doléances...