Cyber Security 2017 - .Amazon Web Services (AWS). 2.2.2 Technology dynamics ... IoT-based DDoS: Une

download Cyber Security 2017 - .Amazon Web Services (AWS). 2.2.2 Technology dynamics ... IoT-based DDoS: Une

of 24

  • date post

    13-Sep-2018
  • Category

    Documents

  • view

    212
  • download

    0

Embed Size (px)

Transcript of Cyber Security 2017 - .Amazon Web Services (AWS). 2.2.2 Technology dynamics ... IoT-based DDoS: Une

  • Cyber Security 2017:

    Data Breaches & Bug Bounties

    Auteur: Swisscom Security

    Ce rapport a t ralis dans le cadre dun partenariat troit de Swisscom Security et dautres units oprationnelles.

    Avril 2017

  • Swisscom SA / avril 2017 CyberSecurityReport2017

    2/24

    Table des matires

    1 Introduction ...................................................................................................... 3

    2 Situation radar des menaces ........................................................................ 42.1 Mthodologie ..................................................................................................................................... 42.2 Menaces ............................................................................................................................................... 52.3 Conclusion ........................................................................................................................................... 8

    3 Vol de donnes (Data Breaches) .................................................................. 93.1 Des comptes suisses dans les Data Breaches ...................................................................... 93.2 Les risques de la fonction Oubli de mot de passe ....................................................... 103.3 Parcours des donnes voles .................................................................................................... 123.4 Consquences pour la socit et lconomie .................................................................... 13

    4 Programme Bug Bounty ................................................................................ 154.1 Les limites de laltruisme ........................................................................................................... 154.2 Le programme Bug Bounty de Swisscom ............................................................................ 164.3 Evaluation dune faille ................................................................................................................. 164.4 Informations Bug Bounty ........................................................................................................... 164.5 Expriences ...................................................................................................................................... 18

    5 Que fait Swisscom? ........................................................................................ 195.1 Dtection .......................................................................................................................................... 195.2 Utilisation du Machine Learning - Phishing Inspector .................................................. 205.3 Prvention ........................................................................................................................................ 215.4 Raction ............................................................................................................................................. 21

    6 Rsum ........................................................................................................... 24

  • Swisscom SA / avril 2017 CyberSecurityReport2017

    3/24

    1 Introduction Au cours des deux dernires dcennies, le dveloppement de nouvelles technologies, en particulier celles lies Internet, a cr dincroyables possibilits qui ont modifi durablement notre vie prive et professionnelle et qui continueront de le faire. La scurit Internet est donc devenue un facteur critique et verra son importance crotre dans la mesure o les personnes et les appareils sont de plus en plus relis. Lenvironnement de la scurit Internet est marqu par des volutions fulgurantes ainsi que des modifications de linterface entre la technologie, lconomie et la socit. Diffrents thmes dans le domaine de la cyber-scurit ont suscit nouveau une forte attention. Les exemples les plus parlants sont les attaques par Distributed Denial of Service (DDoS) avec des millions dappareils Internet of Things (IoT)1, des vagues dattaques soutenues de malwares, chiffrant toutes les donnes (prives et dentreprise) et ne les librant que contre paiement (Ransomware), les fuites de donnes avec des millions de comptes utilisateurs concerns et des implications politiques , ainsi que le flux continu de failles logicielles. De nombreuses cyber-attaques ont dj des contre-mesures prometteuses, soit de nature technique soit de nature organisationnelle. Il nest pas rare que des approches de solution connues ne soient pas utilises, soit par ignorance de la solution, par hsitation ou par manque dexprience des nouvelles approches, soit par manque de comprhension des effets et dun contexte de la menace. Nous expliquons dans ce rapport partant du point de vue de Swisscom les cyber-menaces continues rsultant de failles logicielles ainsi que par des fuites de donnes massives et leurs consquences sur la Suisse. Nous voulons amliorer la comprhension de ces menaces et de leurs consquences, montrer les contre-mesures et partager nos propres expriences avec des approches de solutions innovantes. Nous esprons ainsi pouvoir apporter une contribution la matrise commune des cyber-risques en Suisse. Nous souhaitons en outre que cette publication apporte un clairage sur notre programme Bug-Bounty. Nos expriences avec Bug Bounty sont trs positives et nous souhaitons encourager dautres entreprises en suisse faire le pas pour amliorer la scurit.

  • Swisscom SA / avril 2017 CyberSecurityReport2017

    4/24

    2 Situation radar des menaces Les menaces trouvent leur origine dans le dveloppement constant de nouvelles technologies et de leur application et diffusion au sein de la socit. Les menaces potentielles doivent tre dtectes de faon prcoce et systmatiquement rpertories. Pour reprsenter ltat des menaces et leur volution, nous utilisons un radar (figure 1).

    Figure 1 Radar des menaces

    2.1 Mthodologie

    Le radar des menaces se compose de sept segments, dlimitant les diffrents domaines des menaces. Il est possible de rattacher chaque segment les menaces associes dans lun des quatre anneaux concentriques. Les cercles prsentent lactualit de la menace et donc le manque de prcision li la menace. Plus la

  • Swisscom SA / avril 2017 CyberSecurityReport2017

    5/24

    menace est proche du centre du cercle plus elle est concrte et plus les contre-mesures sont importantes. Nous considrons les anneaux comme des

    > Points dlicats pour les menaces, qui sont dj relles et qui sont gres avec une mobilisation relativement importante de ressources.

    > Thmes principaux pour les menaces dj survenues individuellement et gres avec une mobilisation de ressources normale. On applique souvent des processus rguliers pour traiter efficacement de telles menaces.

    > Reconnaissance prcoce pour les menaces qui ne sont pas encore survenues ou qui montrent actuellement trs peu deffet. Des projets ont t lancs afin de pouvoir rapidement faire face lavenir limportance croissante de ces menaces.

    > Observation pour les menaces qui ne surviendront que dans quelques annes. Il ny a pas de mesures concrtes pour la gestion de ces menaces.

    Par ailleurs, les diffrentes menaces identifies par ces points prsentent une tendance. Celle-ci peut avoir une criticit en progression, en recul ou stable. La longueur du faisceau de tendance indique la rapidit escompte de lvolution de la criticit de la menace.

    2.2 Menaces

    2.2.1 Dominant players

    Menaces rsultant des dpendances aux diteurs, services ou protocoles dominants. Thmes principaux

    Infrastructure Integrity: Les principaux composants des infrastructures critiques peuvent injecter par ngligence ou sciemment des failles mettant en pril la scurit du systme.

    Dtection prcoce

    Destabilizing Centralization: La centralisation forte dans la structure dInternet cre des risques de masses compactes. La dfaillance dun service peut avoir des consquences mondiales, comme cela sest produit lors dune dfaillance de Amazon Web Services (AWS).

    2.2.2 Technology dynamics

    Menaces rsultant de lacclration de linnovation technologique et donnant ainsi dune part de nouvelles possibilits aux assaillants, et crant dautre part de nouvelles menaces suite au dveloppement.

    Thmes principaux

    Targeted attacks (APTs): Les personnes-cl sont identifies et attaques de manire cible afin dobtenir des informations pertinentes ou doccasionner un maximum de dgts.

  • Swisscom SA / avril 2017 CyberSecurityReport2017

    6/24

    Ransomware: Les donnes sont largement chiffres et sont ensuite dchiffres (ventuellement) contre le versement dune ranon. All-IP: Dans la contexte de la mise en place de la technologie tout IP couverture globale, les risques augmentent dans le contexte de la technologie VoIP.

    Dtection prcoce

    5G Security: La 5G est une technologie encore jeune dont la mise en place comporte de nombreuses chances ainsi que des risques encore inconnus.

    2.2.3 Cyber goes physical

    Les attaques utilisant les infrastructures dans le cyberespace provoqueront de plus en plus de dommages dans le monde physique.

    Point dlicat

    IoT Devices: Les appareils insuffisamment protgs peuvent tre compromis et sabots. Ils peuvent ainsi voir leurs propres fonctions, par exemple leur disponibilit ou lintgrit des donnes, restreintes.

    Thmes principaux

    SCADA: Il continue y avoir des systmes de contrle insuffisamment ou pas du tout protgs pour les installations des infrastructures critiques.

    2.2.4 Organisation

    Menaces rsultant des changements dans lorganisation ou exploitant les failles qui y sont prsentes.