L’étonnant profil du groupe cybercriminel LAPSUS$
Doxxer... doxxé
Le 25 mars 2022 à 14h24
17 min
Droit
Droit
La police de la ville de Londres a arrêté sept personnes âgées de 17 à 21 ans en relation avec le gang LAPSUS$, révèle la BBC. Ce groupe de cybercriminels, apparu en décembre dernier, est spécialisé dans le vol de données de grandes entreprises et menace de les publier à moins qu'une rançon ne soit payée.
Celui qui est présenté dans les médias comme son cerveau présumé, en tout cas son porte-parole, un autiste qui viendrait de fêter ses 17 ans, aurait amassé une fortune de 300 BTC, soit près de 14 millions de dollars, mais aurait été dénoncé par des rivaux, précise Bloomberg.
Bien qu'apparu récemment, LAPSUS$ était devenu l'un des gangs de cybercriminels les plus discutés et les plus redoutés, après avoir réussi à pirater de grandes entreprises comme Microsoft et NVIDIA, puis s'en être vanté en ligne.
Le père du garçon a déclaré à la BBC : « Je n'avais jamais entendu parler de tout cela jusqu'à récemment. Il n'a jamais parlé de piratage, mais il est très bon en informatique et passe beaucoup de temps sur l'ordinateur. J'ai toujours pensé qu'il jouait à des jeux. »
L'identité de celui qui se faisait appeler « White », ou «breachbase », avait été dévoilée – ou « doxxée » – sur un site Web de pirates informatiques, après une dispute apparente avec des partenaires commerciaux, qui avaient révélé son nom, son adresse et ses photos sur les réseaux sociaux.
Apparu pour la première fois en décembre 2021 avec une demande de rançon faite au ministère brésilien de la Santé, LAPSUS$ avait depuis fait la une des journaux pour avoir publié des captures d'écran d'outils internes liés à un certain nombre de grandes entreprises, dont NVIDIA, Samsung et Vodafone, rappelle KrebsOnSecurity.
Mardi, LAPSUS$ avait annoncé sur sa chaîne Telegram – qui comptait plus de 45 000 abonnés – qu'il publiait du code source volé à Microsoft. Sur son blog, Microsoft expliquait dans la foulée avoir bloqué le téléchargement précisément parce que « DEV-0537 » (le nom donné à LAPSUS$) en avait discuté sur leur chaîne Telegram avant qu'il ne soit terminé :
« Cette divulgation publique a intensifié notre action, permettant à notre équipe d'intervenir et d'interrompre l'acteur en cours d'opération, limitant ainsi un impact plus large. »
Une campagne d'ingénierie sociale et d'extorsion à grande échelle
Ces dernières semaines, les équipes de Microsoft Security auraient en effet « activement suivi une campagne d'ingénierie sociale et d'extorsion à grande échelle contre plusieurs organisations, certaines ayant vu des preuves d'éléments destructeurs » :
« Au fur et à mesure que cette campagne s'est accélérée, nos équipes se sont concentrées sur la détection, les notifications aux clients, les briefings sur les renseignements sur les menaces et le partage avec nos partenaires de collaboration du secteur pour comprendre les tactiques et les cibles de l'acteur. »
Microsoft explique avoir ainsi « amélioré [sa] capacité à suivre cet acteur et aidé les clients à minimiser l'impact des intrusions actives et, dans certains cas, travaillé avec les organisations concernées pour arrêter les attaques avant le vol de données ou les actions destructrices » :
« DEV-0537 est connu pour utiliser un modèle d'extorsion et de destruction pure sans déployer de charges utiles de ransomware. DEV-0537 a commencé à cibler des organisations au Royaume-Uni et en Amérique du Sud, mais s'est étendu à des cibles mondiales, y compris des organisations dans les secteurs du gouvernement, de la technologie, des télécommunications, des médias, de la vente au détail et de la santé. DEV-0537 est également connu pour prendre en charge les comptes d'utilisateurs individuels sur les échanges de crypto-monnaie pour drainer les avoirs en crypto-monnaie. »
De nombreuses traces de ses méfaits
Son analyse de ses tactiques, techniques et procédures (TTP) aurait été facilitée du fait que, contrairement aux gangs de cybercriminels et APT, LAPSUS$ ne serait guère féru d'OPSEC (pour « OPerations SECurity », en français Sécurité opérationnelle), laissant de nombreuses traces de ses méfaits, voire s'en vantant sans prendre les précautions d'usage : « Ils vont jusqu'à annoncer leurs attaques sur les réseaux sociaux ou à annoncer leur intention d'acheter des identifiants à des employés d'organisations cibles » :
« Sur la base de nos observations, DEV-0537 dispose d'une infrastructure dédiée qu'il exploite chez des fournisseurs de serveurs privés virtuels (VPS) connus et exploite NordVPN pour ses points de sortie. »
Lorsqu'ils réussissaient à obtenir un accès privilégié au locataire cloud d'une organisation (AWS ou Azure), DEV-0537 créait des comptes d'administrateur globaux dans les instances cloud de l'organisation, redéfinissait une règle de transport de courrier « pour envoyer tout le courrier entrant et sortant de l'organisation vers le compte nouvellement créé », puis supprimait « tous les autres comptes d'administrateur globaux, de sorte que seul l'acteur ait le contrôle exclusif des ressources cloud, bloquant ainsi l'organisation de tout accès » :
« Nous avons observé la suppression de ressources à la fois sur site (par exemple, VMware vSphere/ESXi) et dans le cloud pour déclencher le processus de réponse aux incidents et aux crises de l'organisation.
L'acteur a ensuite été observé en train de rejoindre les appels de communication de crise de l'organisation et les forums de discussion internes (Slack, Teams, conférences téléphoniques et autres) pour comprendre le flux de travail de réponse aux incidents et leur réponse correspondante.
Cela fournit à DEV-0537 un aperçu de l'état d'esprit de la victime, sa connaissance de l'intrusion et un lieu pour lancer des demandes d'extorsion. »
Des petites annonces pour recruter des complices en interne
Si les premières attaques observées par DEV-0537 ciblaient des comptes possédant des crypto-monnaies, « entraînant la compromission et le vol de portefeuilles et de fonds », ils ont ensuite commencé à « cibler les télécommunications, l'enseignement supérieur et les organisations gouvernementales en Amérique du Sud », avant de s'attaquer à des entreprises « à l'échelle mondiale » :
« Ils ont également été observés ciblant des entités gouvernementales, la fabrication, l'enseignement supérieur, l'énergie, les détaillants et les soins de santé. »
D'après KrebsOnSecurity, la majeure partie des victimes de LAPSUS$ résidaient en effet initialement en Amérique latine et au Portugal.
Contrairement aux groupes de rançongiciels, LAPSUS$ pénètrait majoritairement ses cibles via « social engineering », cherchant à soudoyer ou tromper ses employés ou partenaires, tels que les services et centres d'appels d'assistance à la clientèle :
« DEV-0537 a annoncé qu'il souhaitait acheter des informations d'identification pour ses cibles afin d'inciter les employés ou les sous-traitants à participer à son fonctionnement. Moyennant des frais, le complice volontaire doit fournir ses informations d'identification et approuver l'invite MFA [authentification multi-facteurs, ndlr] ou demander à l'utilisateur d'installer AnyDesk ou un autre logiciel de gestion à distance sur un poste de travail d'entreprise permettant à l'acteur de prendre le contrôle d'un système authentifié. »
Microsoft évoque ainsi une annonce proposant de recruter des « insiders » ou employés chez les principaux fournisseurs de téléphonie mobile, les grandes sociétés de logiciels et de jeux, les sociétés d'hébergement et les centres d'appels.
Selon KrebsOnSecurity, LAPSUS$ recrute des complices sur plusieurs plateformes de médias sociaux depuis au moins novembre 2021. L'un des principaux membres, répondant aux surnoms de « Oklaqq » et « WhiteDoxbin », avait ainsi publié des annonces de recrutement sur Reddit l'année dernière, offrant aux employés de AT&T, T-Mobile et Verizon jusqu'à 20 000 dollars par semaine pour effectuer des « travaux internes », notamment usurper la carte SIM (« Sim swapping ») d'un ou deux clients par semaine.
Une fois le numéro de téléphone récupéré, le groupe pouvait intercepter les mots de passe à usage unique envoyés par SMS dans le cadre de la double authentification, et réinitialiser les mots de passe de sa victime.
Microsoft affirme que LAPSUS$ est également connu pour acheter des informations d'identification, jetons de session et cookies d'authentification sur des forums criminels.
The Record avait ainsi décrit comment des pirates ayant extorqué EA l'an passé avaient « déclaré avoir utilisé les cookies d'authentification pour imiter le compte d'un employé EA déjà connecté et accéder au canal Slack d'EA, puis tromper un membre du personnel d'assistance informatique d'EA pour qu'il leur accorde l'accès au réseau interne de l'entreprise ».
Attaquer les comptes perso, pour pirater les comptes pro
Dans certains cas, écrit Microsoft, LAPSUS$ a d'abord « ciblé et compromis les comptes personnels ou privés (non liés au travail) d'un individu » pour ensuite « rechercher des informations d'identification supplémentaires qui pourraient être utilisées pour accéder aux systèmes de l'entreprise » :
« Étant donné que les employés utilisent généralement ces comptes ou numéros personnels pour la double authentification ou comme compte de récupération de mot de passe, le groupe utilise souvent cet accès pour réinitialiser les mots de passe et effectuer des actions de récupération de compte. »
LAPSUS$ appelait aussi le service d'assistance d'une organisation cible afin d'essayer de convaincre son personnel de réinitialiser les informations d'identification d'un compte privilégié.
@lapsusjobs recrutait également des employés d'entreprises de telcos, call-centers, éditeurs de logiciels (« Microsoft, Apple, EA, IBM ») et hébergeurs afin qu'ils leurs fournissent des accès VPN, RDP, VDI, « y compris Citrix, ou des fournisseurs d'identité (y compris Azure Active Directory, Okta) » à leurs serveurs internes.
Racheter un forum de doxxing et finir... doxxé
Allison Nixon, responsable de la recherche chez Unit 221B, un cabinet de conseil en cybersécurité qui a suivi les membres de LAPSUS$ avant qu'ils ne forment le groupe, pense avoir identifié le cerveau présumé du groupe.
« WhiteDoxbin » aurait en effet racheté l'an passé Doxbin, un site d'échange de données personnelles de personnes ayant été « doxées ». Or, de nombreux membres de Doxbin étaient mécontents de sa gestion du site : « Il n'était pas un bon administrateur et ne pouvait pas faire fonctionner correctement le site Web », explique Nixon à KrebsOnSecurity. « La communauté Doxbin était assez contrariée, alors ils ont commencé à le cibler et à le harceler ».
En janvier 2022, WhiteDoxbin aurait accepté « à contrecœur » de revendre le forum à son ancien propriétaire « avec une perte considérable », et tout en divulguant sur Telegram l'intégralité des données de Doxbin, y compris celles qui n'avaient pas encore été rendues publiques. Au point d'être lui-même doxé dans la foulée :
« La communauté Doxbin a réagi avec férocité, publiant sur WhiteDoxbin peut-être le dox le plus complet que la communauté ait jamais produit, y compris des vidéos censées être tournées la nuit devant son domicile au Royaume-Uni. »
À les en croire, WhiteDoxbin aurait débuté dans le commerce d'achat et de vente de vulnérabilités 0-day, et déclaré sous le pseudonyme « Breachbase » sur RaidForums en octobre 2020 qu'il disposait d'un budget de 100 000 dollars en bitcoins pour acheter des failles dans Github, Gitlab, Twitter, Snapchat, Cisco VPN, Pulse VPN et d'autres outils d'accès ou de collaboration à distance.
Nixon a expliqué à KrebsOnSecurity qu'avant de lancer LAPSUS$, WhiteDoxbin était un membre fondateur d'un groupe cybercriminel se faisant appeler « Recursion Team » spécialisé dans l'échange de cartes SIM (avec des cibles d'intérêt) et dans la participation à des attaques de « swatting » consistant à revendiquer au téléphone de fausses menaces de meurtres, attentats, prises d'otages à la police afin de les inciter à venir arrêter leurs cibles.
Microsoft reconnaît que DEV-0537 « a déclaré publiquement avoir eu accès à Microsoft et exfiltré des portions de code source », mais précise qu' « aucun code ou donnée client n'a été impliqué dans les activités observées. Notre enquête a révélé qu'un seul compte avait été compromis, accordant un accès limité ».
Des pirates plus motivés par la notoriété que par le gain
Joseph Cox, journaliste à MotherBoard, raconte pour sa part comment le groupe l'avait contacté pour servir d'intermédiaire avec EA. Ils ne savaient pas comment monétiser le vol du code source du moteur Frostbite. «Ils étaient terriblement mauvais dans ce domaine », en tout cas à leurs débuts :
« Ils ne savaient pas vraiment à qui envoyer la demande, alors ils m'ont demandé, en tant que journaliste qui était en contact avec EA au sujet de la violation, d'agir comme intermédiaire. L'effort d'extorsion était si bâclé que plus tard, un porte-parole d'EA m'a demandé de les mettre en contact avec les pirates. (J'ai refusé les deux demandes). »
Plusieurs chercheurs en sécurité, avec lesquels Motherboard s'est entretenu, ont souligné que l'utilisation de Telegram par LAPSUS $ pour annoncer publiquement des violations était inhabituelle. « LAPSUS$ a un désir inhabituel d'attention. Demander au public de voter sur les données de la victime à divulguer ensuite sur leur chaîne Telegram est un exemple typique », explique Inês Vestia de l'équipe de renseignement de la société de cybersécurité SilentPush, qui a suivi les publications du groupe.
Pour autant, sa dernière cible, Okta, une société cotée en bourse avec une capitalisation boursière de 23 milliards de dollars, montrait que LAPSUS$ « pouvait être réellement dangereux », souligne Motherboard.
Il s'agit en effet d'un fournisseur d'authentification que les entreprises et les agences utilisent pour connecter les travailleurs à leurs systèmes. Okta a reconnu que 2,5 % de ses clients avaient potentiellement été affectés. En réponse, LAPSUS$ a rétorqué avoir été en capacité de réinitialiser les mots de passe de 95 % de ses clients.
L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) avait d'ailleurs déclaré qu'elle « accordait une attention très particulière à LAPSUS$ », précisant que le groupe ne semblait pas être une façade du gouvernement russe.
L'Unité 42 de Palo Alto qualifiait l'approche de LAPSUS$ d'« inhabituelle », à mesure que « la notoriété semble le plus souvent être son objectif, plutôt que le gain financier » :
« Le groupe LAPSUS$ n'utilise pas de logiciels malveillants, ne chiffre pas les données avec un rançongiciel et, dans la plupart des cas, ne menace pas d'extorsion. Ils se concentrent sur l'utilisation d'une combinaison d'informations d'identification volées et d'ingénierie sociale pour pirater leurs victimes. »
Interrogé par Tecmundo, Alexander Pavlov (autre pseudo de « WhiteDoxbin ») – qui, ironiquement, arbore une photo de profil de Kim Jong-un, guide suprême de la Corée du Nord – pour comprendre pourquoi il avait créé une chaîne sur Telegram, a répondu qu'il « l'avait fait principalement pour le plaisir, pour avoir des supporters ».
Et pourquoi permettre à des milliers de personnes d'avoir un accès illimité aux publications et de pouvoir se parler, créant une communauté ouverte sur laquelle le public et la presse peuvent garder un œil ? « Parce que je peux ».
Il estimait en outre que la médiatisation du groupe pouvait inciter les victimes à payer les rançons, et se targuait d'avoir gagné 750 000 dollars en 12 mois.
Une nouvelle tendance en cybercriminalité
Security Week relève de son côté que « le chaos – et les controverses en cours – causés par LAPSUS$ confirment que les surfaces d'attaque et les dépendances de fournisseurs tiers exposent des surfaces d'attaque presque impossibles à défendre » :
« Pire encore, cela confirme que même les organisations les mieux dotées en ressources et dotées des meilleurs talents en matière de sécurité peuvent être victimes d'attaquants qualifiés et motivés. »
Pour Brian Krebs, « il est tentant de considérer LAPSUS$ comme puéril et en quête de gloire. C'est peut-être vrai. Mais tous ceux en charge de la sécurité doivent savoir que ce niveau d'ingénierie sociale pour voler l'accès est la nouvelle norme ». Et de citer « un professionnel de la sécurité qui a combattu LAPSUS$ » :
« Cela nous oblige à changer de réflexion sur l'accès des "insiders". Les États-nations veulent un accès stratégique plus long ; les groupes de rançongiciels veulent un mouvement latéral. LAPSUS$ demande : Qu'est-ce que ce compte peut m'apporter dans les 6 prochaines heures ? Nous ne sommes pas préparés à nous défendre de ça. »
DarkOwl, qui suivait LAPSUS$ après leur revendication de la responsabilité d'une cyberattaque majeure contre le ministère brésilien de la Santé à la mi-décembre 2021, estimait lui aussi que « le groupe cybercriminel a le potentiel de devenir un formidable acteur de la menace du darknet avec la fréquence croissante des attaques ces dernières semaines ».
Des captures d'écran d'une présentation Powerpoint détaillant comment les forces de l'ordre interceptaient les appels téléphoniques, les SMS et l'activité du réseau des clients de l'entreprise brésilienne de télécommunications Claro, suggérait que le système d'exploitation était Windows et que la température était de 4 °C à 21h56 le 25 décembre 2021.
Or, « en appliquant une analyse OSINT simple à l'aide de bases de données météorologiques historiques, nous avons découvert que São Paulo, au Brésil, n'avait pas de conditions météorologiques à cette date/horodatage, mais Londres, au Royaume-Uni, a connu des conditions météorologiques similaires », écrivait DarkOwl.
Sur sa chaîne Telegram, LAPSUS$ explique que « personne n'a été arrêté », mais suggère que certains auraient été arrêtés avant pour autre chose. Il vient en outre d'annoncer l'arrivée d'un nouveau modérateur.
Selon la police, les pirates présumés ont été libérés sans être inculpés, explique aujourd'hui le journaliste de la BBC qui avait révélé les arrestations. Il ajoute : « nous ne savons évidemment pas s'il s'agit des principaux suspects de LAPSUS$ ».
Les recommandations de Microsoft
LAPSUS$ ayant tenté d'identifier « les lacunes de l'authentification multifacteur (MFA) », cette dernière reste « un pilier essentiel de la sécurité de l'identité pour les employés, les fournisseurs et les autres membres du personnel », explique Microsoft, qui recommande d' « exiger des terminaux sains et fiables » et de :
- Exiger la MFA pour tous les utilisateurs quelque soit leur emplacement, y compris les environnements de confiance perçus et toutes les infrastructures accessibles sur Internet, même celles provenant de systèmes sur site.
- Tirer parti d'implémentations plus sécurisées telles que les jetons FIDO ou Authenticator avec correspondance de numéros. Évitez les méthodes MFA basées sur la téléphonie pour éviter les risques associés au détournement de carte SIM.
- Utiliser la protection par mot de passe Azure AD pour vous assurer que les utilisateurs n'utilisent pas de mots de passe faciles à deviner. Son blog sur les attaques par pulvérisation de mot de passe présente des recommandations supplémentaires.
- Tirer parti des méthodes d'authentification sans mot de passe telles que Windows Hello Entreprise, Authenticator ou les jetons FIDO pour réduire les risques et les problèmes d'expérience utilisateur associés aux mots de passe.
- Exiger des appareils fiables, conformes et sains pour accéder aux ressources afin d'empêcher le vol de données.
- Activer la protection fournie par le cloud dans Defender pour couvrir les outils et techniques d'attaque en évolution rapide, bloquer les variantes de logiciels malveillants nouvelles et inconnues et améliorer les règles de réduction de la surface d'attaque et la protection contre les falsifications.
Microsoft déconseille a contrario de :
- Utiliser des facteurs MFA faibles tels que les messages texte (susceptibles de changer de carte SIM), les approbations vocales simples, le simple push (utilisez plutôt la correspondance des numéros ) ou les adresses e-mail secondaires.
- Inclure les exclusions basées sur la localisation. Les exclusions MFA permettent à un acteur avec un seul facteur pour un ensemble d'identités de contourner les exigences MFA s'il peut entièrement compromettre une seule identité.
- Autoriser le partage des informations d'identification ou du facteur MFA entre les utilisateurs.
L’étonnant profil du groupe cybercriminel LAPSUS$
-
Une campagne d'ingénierie sociale et d'extorsion à grande échelle
-
De nombreuses traces de ses méfaits
-
Des petites annonces pour recruter des complices en interne
-
Attaquer les comptes perso, pour pirater les comptes pro
-
Racheter un forum de doxxing et finir... doxxé
-
Des pirates plus motivés par la notoriété que par le gain
-
Une nouvelle tendance en cybercriminalité
-
Les recommandations de Microsoft
Commentaires (24)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/03/2022 à 16h11
Alors non, s’il vous plaît. Ça utilise InTune, qui est en gros un logiciel qui prend le contrôle de votre machine. Ce n’est pas disponible sous Linux (ça devrait l’être sous peu si j’ai bien compris).
Ma boîte utilise ça, et accéder aux ressources de l’entreprise est devenu un enfer. Car oui, pour être productif, je n’utilise pas Windows ni MacOS.
Le 25/03/2022 à 16h28
Super article résumant les derniers rebondissements de cette affaire LAPSUS$ merci !
Le 25/03/2022 à 16h32
Sans regarder le nom de l’auteur ni la taille de l’ascenseur à droite, dès que je vois que la lecture dépasse une certaine longueur en scrollant progressivement, je me dis que c’est du Manach :-) . Bravo Jean-Marc.
Je te comprends totalement.
(mais pas eu affaire à InTune)
Le 25/03/2022 à 16h56
Intune sert de couche de management du device (conformité, mise à jour, déploiement…). C’est un des outils de base du management du SI. Donc, si, bien sûr qu’il faut le déployer.
Dans la solution de MS, Intune est un des composants de base pour faire du Conditionnal Access basé sur la santé/légitimité du device.
Le support de Linux a été annoncé pour H1 2022 : Microsoft
En attendant, une VM correctement de Windows correctement enrollée dans Intun et donc managée ou une instance W365 satisferont les critères de sécurité de l’entreprise pour accéder aux ressources protégées.
Le 25/03/2022 à 21h26
Je plussoie… juste pour installer Outlook sur mon android ils veulent me forcer à installer Intune… no way j’installe cette merde sur mon tel perso…
A côté de ca je me connecte très bien à mon compte outlook dans un browser firefox… débilité…
Le 25/03/2022 à 23h46
Il s’agit simplement d’installer l’application “Portail d’Entreprise” de Microsoft sur l’appareil mobile. Il n’est pas nécessaire de s’y connecter et donc il n’y a pas d’interférence avec l’outil de gestion Intune. Il s’agit d’une règle de MAM (règle de gestion des applications mobiles) qui protège l’accès à des applications jugées sensibles avec de la sécurité supplémentaire.
De plus, se connecter à Intune avec un téléphone perso (si autorisé par le SI) ne permet pas à l’entreprise de prendre le contrôle de l’appareil mobile. On est dans un contexte BYOD qui limite l’utilisation d’un certains nombres d’API. Google (Android) et Apple (iOS) s’en assurent. Il s’agit plutôt de fournir de la ressource d’entreprise à l’utilisateur et de s’assurer que l’appareil est bien à jour et protégée (chiffrement, code de déverrouillage, OS à jour, etc…).
Le 26/03/2022 à 09h22
OK donc on ne peux pas y accéder avec un téléphone basé par exemple sur Lineage à jour, alors qu’on peux y accéder avec un appareil bourré de faille (mais non mis à jour par le constructeur) tant qu’il est “piloté” par Google.
C’est de “l’informatique de confiance” ?
J’pense qu’on a un problème de sémantique.
Le 26/03/2022 à 09h52
Aucun problème de sémantique, juste une approche rationnelle.
Même pour les androids & iphone, quand t’as rooté ton tel, tu ne peux te connecter à Intune car tu ne respectes pas les standards de sécurité : Microsoft
Bon, tu pourrais me dire “oui mais Lineage c’est des powers users qui savent ce qu’ils font, donc MS pourrait prendre ça en compte”
Nombre d’Iphones vendus : environ 2 milliards au global (https://en.wikipedia.org/wiki/List_of_best-selling_mobile_phones#Annual_sales_by_manufacturer)
Nombre d’androids vendus : 1 milliard en 2021 (et presque 3 milliards d’actifs - https://www.businessofapps.com/data/android-statistics/)
Nombre de Lineage actifs : 4 millions (https://stats.lineageos.org/)
Lineage n’existe tout simplement pas dans le marché d’un point de vue global, encore moins dans un contexte BYOD dans une entreprise.
Le 26/03/2022 à 10h27
Une approche numéraire , je dirais plutôt.
Exact. Je ne connais pas inTune mais je suppose aussi que si l’option “source non approuvées” est active c’est pareil.
Voila. Donc on préfères un OS moins sécurisé (car non mis à jour par le constructeur) plus nombreux qu’un OS à jour mais moins répandu..
Et après on s’étonne des problèmes de sécurités ?
Ce que je n’aime pas c’est que ce n’est pas la sécurité de l’appareil qui est pris en compte, mais la conformité avec les règles de google (ou d’Apple, ou des constructeurs qui délèguent à Google l’OS), autrement dit le respect de l’utilisateur de la logique commerciale de ces entreprises notamment en ce qui concerne les possibilités d’usage.
Quand ce sont les employeurs qui fournissent le téléphone, encore à la rigueur ça peux se comprendre.
Mais le problème arrive lorsque ces employeurs, (pire lorsque ce sont des entités comme des banques) imposent ces restrictions sur les appareils privés des utilisateurs.
Oui, mon téléphone est rooté (Notamment pour pouvoir utiliser Titanium Backup), et j’utilise beaucoup d’applications tel que NewPipe qui donnent des usages que Google ne souhaite commercialement pas mais qui ne sont pas illégales.
Je dispose aussi de beaucoup de “vieux” téléphones sous Linéage, pour de la seconde vie.
Et désolé mais je ne ressend aucune culpabilité, et je ne vois pas du tout en quoi mon employeur, ma banque, Microsoft ou Google n’a à voir là-dedans.
Par contre je comprendrait si ils me demandait de m’assurer qu’on ne puisse pas hacker mon téléphone juste en envoyant un MMS : https://resources.infosecinstitute.com/topic/hack-android-devices-using-stagefright-vulnerability/ . Sauf que ça, par contre, si le constructeur n’a pas produit la mise à jour, ben….)
Le 26/03/2022 à 14h12
On pourra toujours ajouter des couches de sécurité, si l’utilisateur répond au courriel d’hameçonnage contre de l’argent et divulge des infos sensibles ou fait des opérations conte nature, ça ne servira à rien.
Le 26/03/2022 à 15h48
Le meilleur moyen d’éviter que quelqu’un cède à la corruption, c’est de faire en sorte qu’il n’en ai pas envie, et le meilleur moyen, c’est qu’il soit heureux de la ou il est.
Quand on voit les conditions de travail dans les call-center, centre de support etc.., avec la généralisation du travail à distance et des travailleurs déportés, y compris dans des pays à bas niveau de vie histoire de maximiser les profits, il est facile de corrompre quelqu’un en lui proposant 20K. D’après les opérations listés dans l’“offre”, ça parait relativement simple et ne nécessite pas des accréditation de haut niveau.
Le 28/03/2022 à 10h15
Ces trucs-là c’est vraiment autant “berk” qu’inutile. J’aimerais des preuves que c’est utile, car c’est une vieille lune ces histoires de vérifier la conformité avec des outils. La menace évolue toujours plus vite.
Même avis que toi.
Exactement.
Le 28/03/2022 à 11h32
Scénario très simple vu sur plusieurs attaques. Une infrastructure complètement compromise, avec des accès suspects sur des postes managés ou non.
Je prends ici la solution de MS, Intune/MEM te permet de déployer des composants de sécurité, vérifier les logs, remonter les signaux sur les attaques, renforcer la configuration du poste/bios, prendre des mesures à distance. Pour l’avoir déjà vu, on a pu rendre propre à distance (situation de confinement) des machines compromises sans avoir à les réimager.
Avec Intune, il y a peu de chances que tu perdes ton infrastructure de gestion de poste, alors qu’une solution hebergée sur tes serveurs…
Avec un poste non managé, tu fais ça à la main. Alors oui, on a des entreprises qui se targuent de faire une campagne de patching annuelle pour leur parc, en envoyant des mecs déployer ça à la main via des clés usb, comme si c’était une fierté. Il est impossible de pouvoir justifier de la compromission ou non du device, il est impossible d’y pousser des mises à jour/correctif…
En situation de confinement, sans IT en place, les gens étaient complètement perdus et déconnectés de leur entreprise.
Les menaces évoluent, les outils aussi. Si les offres de solution de cybersécu sont de plus en plus spécialisées, c’est bien justement pour pouvoir s’affronter à armes égales avec les attaquants. Si tu enlèves ce genre de brique fondamentale, tu t’enlèves des capacités de réponse et de remédiation.
ça ne veut pas dire que j’ai envie que mon téléphone soit managé par mon entreprise. C’est pour ça que j’ai 2 téléphones, mon perso, qui n’a rien de pro dessus, et mon pro, fourni par l’entreprise et managé par elle, sur lequel il n’y a rien de perso.
Le 29/03/2022 à 19h12
Complètement en phase
Le 28/03/2022 à 12h07
Dans la société où je travaille les déploiements des mises à jour Windows sont automatiques, donc pas vraiment une histoire de clé USB.
Pas besoin de InTune pour pouvoir faire ça.
Ce n’est pas l’impression que j’ai eue dans ma boîte (informatique).
En tant que “informaticien” ayant conscience des problèmes de sécurité (comme mes collègues dans les milieux où je bosse), je suis pour le BYOD. J’ai passé 2 ans chez un gros hébergeur et on était en mode BYOD (il y avait des PC, quelques Mac, et certains étaient en Linux, logique vu qu’on ne gérait que du Linux). J’avais même désactivé l’anti-virus sur mon PC Windows, il ne servait à rien vu que je ne fais jamais de trucs risqués (pièces jointes suspects ou risque de fishing).
Là je vois que parfois (suis sur Win10) il me bouffe du CPU et du disque et ralentit clairement ma machine quand il s’active.
Le 28/03/2022 à 12h23
Le souci est là aussi ! La plupart du temps, les boites
demandentobligent du MFA, mais ne fournissent pas les portables qui vont avec. On se retrouve donc obligé d’utiliser nos téléphones perso pour faire cela. Ce qui pour moi est une hérésie !!!Le 28/03/2022 à 13h09
D’ou l’intérêt de garder un vieux Nokia 3310 ou autre symbian et de leur dire : “BYOD ? Ok, c’est ça mon device” - en général vu le prix d’un téléphone portable…
Le problème est davantage une histoire de process / culture d’entreprise.
Le problème est encore pire lorsqu’il y a sous-traitance (qui est responsable des maj ? )
Là on parle des téléphones, mais le problème des PC perso sous windows vérolé est bien pire.
Le 28/03/2022 à 13h19
Tiens d’autre part : Est-ce que les entreprises qui fournissent des téléphones aux gens fournissent aussi le compte Google ou Apple associé ? Ou bien laissent-ils les personne entrer leur propre compte perso (faute d’avoir plus d’info ou de directives sur la question) ?
De cette manière il est fort simple pour Google & Apple de relier les activités pro & perso, valorisant d’autant plus le profil publicitaire….
Rappelons que la création d’un compte est indispensable pour la mise à jour (notamment de sécu) des applications, hormis des bidouilles à base de Aurora ou F-Droid , et est fortement incité par Google & Apple.
Le 28/03/2022 à 13h27
Dans ce cas, tu as déjà des outils de management, et le bon déploiement des mises à jour fait parti des indicateurs de conformité.
Je parlais dans le contexte de l’attaque que j’évoquais.
Tu es pour le BYOD mais tu qualifies les outils qui permettent à l’entreprise de se sécuriser d’inutile.
Donc pour toi, pas de problème qu’un collaborateur travaille sur du W7 hors support étendu, déploie des servers sur des vieilleries non supportées (comme du WS2003, ou des redhat EOL) …? Pas de problème que tu puisses rapporter ta machine perso et l’interconnecter à des systèmes critiques alors que tu ne respectes pas les principes de sécurité de base ?
Perso, en tant que CISO/CIO, ça me ferait flipper de savoir que des gens travaillent avec ces principes là dans l’organisation.
Le 28/03/2022 à 13h53
Pour du W7 hors support, non je pense que ce n’est pas une bonne idée.
Cela dit je rigole en pensant qu’en 2014-2015 j’utilisais un vieux portable sous Windows XP. J’en étais admin et en fin de compte l’usage était agréable, il n’y avait aucun processus en trop qui tournait dessus. Alors que sur mon PC actuel, je ne sais jamais ce qu’il se passe ni pourquoi il se met à ramer. Et je dois finir par le redémarrer au bout de quelques jours car il y a des processus sans nom parlant qui prennent de plus en plus de CPU.
Pour les serveurs évidemment non, on met des OS avec du support sécurité, mais c’est pas pareil que le poste de travail (pas la même exposition dans une partie des cas).
En fait quand tu te connectes sur des Linux avec des Windows, tu ne prends pas de risque. Le risque est surtout dans ce que l’utilisateur pourrait faire avec des données de l’entreprise (sur des disques partagés typiquement).
Le 28/03/2022 à 14h30
En plus de l’extraction de données (typiquement ce que recherchent les attaquants, cf la news), des exemples que j’ai pu voir en attaques, tu peux avec une machine compromise (qu’importe l’OS) :
Le 28/03/2022 à 15h43
Tu as des exemples de cas où un poste de travail sous Linux a permis des attaques informatiques ?
En tous cas ce que je sais c’est que si je voulais une sécurité importante, déjà je n’utiliserais aucun Windows. Il y a des boîtes 100 % Linux qui ont l’esprit plus tranquille que l’entreprise lambda (que Linux soit intrinsèquement plus sûr ou bien qu’il ait une faible par de marché destkop, peu importe le résultat est le même).
Le 28/03/2022 à 16h03
GitHub, par exemple
Tu aurais un exemple de boîte qui ne soit pas composé de 100% de geeks et qui tourne à 100% sur du Linux, infra & postes compris ?
Le 28/03/2022 à 16h14
Pas tout à fait un exemple à base de poste de travail Linux, me semble.
La Gendarmerie, ça compte ?