Apprentissage-machine, menaces et cybersécurité : Qu’est-ce qui nous attend?

Tomáš Foltýn

Tout ce que l’on appelle l’intelligence artificielle (IA) ou l’apprentissage machine (AM) fait des vagues. Un nouveau white paper d’ESET propose d’apporter de nouvelles lumière sur le lien entre ses technologies nouvelles et la sécurité informatique.

Ce n’est pas une mince affaire que de trouver un domaine des affaires et de la technologie où les partisans de l’intelligence artificielle (IA) ou de l’apprentissage machine (ML, pour machine learning) ne vantent pas les avantages de leurs multiples applications. La cybersécurité ne fait pas exception, bien sûr. Compte tenu des avantages promis par la technologie et l’urgence d’endiguer la marée montante des menaces transmises par Internet, on peut comprendre la fièvre soutenue qu’a déclenchée cette petite révolution technologique.

Toutefois, c’est aussi la raison pour laquelle il convient peut-être de se calmer et d’envisager la situation dans son ensemble, y compris quand les limites souvent déjà apparentes de la technologie rencontrent les promesses qu’elle propose. Ainsi, il serait négligent de notre part de ne pas prendre en compte les risques qui en découlent et de nous demander si l’IA pourrait alimenter de futurs programmes malveillants.

Téléchargez le White paper

L’apprentissage machine a apporté divers avantages dans le monde de la cybersécurité, permettant notamment un meilleur balayage, une détection plus rapide et des améliorations dans la capacité de détecter les anomalies. Tout ceci a ainsi contribué à améliorer le niveau de protection de nombreuses entreprises.

En revanche, le potentiel de la technologie n’a pas échappé aux cybercriminels, qui sont susceptibles de tenter d’exploiter son efficacité pour alimenter leurs cyberattaques, en particulier celles exigeant une forte intensité de main-d’œuvre. La menace de cyberattaques finit par devenir plus difficile à détecter, à suivre et à atténuer.

Avec trois décennies d’expérience dans la lutte contre les cybermenaces des plus rusées, dont plusieurs années avec l’appui de AM supervisé depuis plusieurs années, ESET est en bonne position pour offrir sa vision des défis à venir et des scénarios possibles. Ce nouveau white paper examine les moyens par lesquels l’intelligence artificielle et l’apprentissage machine pourraient être cooptés par les attaquants, par exemple pour protéger leur propre infrastructure, pour générer et distribuer de nouvelles races de logiciels malveillants, pour effectuer la reconnaissance des cibles et pour identifier les vulnérabilités des systèmes des entreprises, pour ne citer que quelques-unes des possibilités.

Certes, une étude commandée par ESET a révélé que les perspectives des applications vertueuses et infâmes de l’IA/AM ne sont pas perdues pour les décideurs informatiques des entreprises américaines, britanniques et allemandes. En plus de mettre en lumière leurs attitudes à l’égard des implications de l’IA/AM pour l’attaque et la défense, le sondage révèle également que de nombreux cadres supérieurs sont conscients de l’engouement des fournisseurs qui englobe le sujet.

En effet, les limites de la technologie sont souvent perdues dans tout le battage médiatique sur le « meilleur des mondes » que l’IA/AM est sur le point de proposer. Cependant, notre vaste expérience en matière de sécurité des points d’entrée et notre expérience de l’application de plusieurs approches de AM à cette dernière mettent en évidence plusieurs façons dont les algorithmes de l’apprentissage-machine en général peuvent échouer ou être sensibles à la subversion. Les faits démentent, comme on pourrait s’y attendre, les affirmations selon lesquelles les solutions défensives basées sur l’AM sont à l’abri des défaillances sont. Au lieu de cela, une approche à plusieurs niveaux où l’AM ne constitue qu’une brique dans votre mur pourrait présenter une solution avantageuse en matière de cyberdéfenses.

Pour en savoir plus sur les différentes facettes de l’intelligence artificielle et de l’apprentissage machine décrites ci-dessus, ainsi que sur le fonctionnement interne de l’implémentation de l’AM par ESET dans son moteur multicouche et ses solutions professionnelles et domestiques, reportez-vous directement à notre white paper.

DanaBot vise l’Europe et ajoute de nouvelles fonctionnalités

ESET Research 21 Sep.

Les chercheurs d’ESET ont découvert une nouvelle campagne de DanaBot visant plusieurs pays européens.

Nous avons récemment observé une résurgence de l’activité de DanaBot, un cheval de Troie bancaire découvert plus tôt cette année. Ce logiciel malveillant, observé d’abord dans des campagnes visant l’Australie, puis la Pologne, s’est visiblement étendu, alors que des campagnes sont apparues en Italie, en Allemagne, en Autriche, et en septembre 2018, en Ukraine.

Qu’est-ce que DanaBot?

DanaBot est un cheval de Troie bancaire modulaire, d’abord analysé en mai 2018 par Proofpoint, après avoir été découvert dans une campagne de courriers électroniques malveillants visant des utilisateurs australiens. Le cheval de Troie est rédigé en Delphi, dispose d’une architecture multi-niveau et multi-composante, dont la plupart des fonctionnalités sont implémentées par des extensions (ou plug-ins). Au moment de cette découverte, on considérait que le logiciel malveillant semblait être dans une phase de développement actif.

Nouvelles campagnes

Deux semaines seulement après cette largement rapporté première campagne en Australie, Danabot était détectée dans une campagne visant la Pologne. Selon notre recherche, la campagne visant la Pologne est toujours en cours et constitue la plus large et efficace campagne de Danabot à ce jour. Pour compromettre leurs victimes, les attaquants derrière la campagne ciblant la Pologne ont utilisé des emails comprenant prétendument des factures provenant de diverses compagnies, comme on peut l’observer dans la Figure 1. La campagne utilise une combinaison de scripts PowerShell et VBS mieux connue sous le nom Brushaloader.

Lire l’article complet sur

https://www.welivesecurity.com/fr/2018/09/21/danabot-europe-fonctionnalites/

Des extensions sous Kodi utilisés dans une campagne de cryptominage

Kaspars Osis 

Les chercheurs d’ESET ont découvert plusieurs extensions tierces pour le populaire lecteur multimédia en open-source Kodi, utilisées pour distribuer les logiciels malveillants d’extraction de monnaie cryptographique sous Linux et Windows.

Si vous utilisez Kodi, vous avez peut-être remarqué qu’un dépôt néerlandais populaire pour les add-ons (aussi appelés extensions) tiers, XvBMC, a récemment été fermé pour violation de copyright. Après la fermeture, nous avons découvert que le dépôt faisait partie – probablement sans le savoir – d’une campagne de cryptominage malveillante remontant à décembre 2017. Il s’agit du deuxième cas publiquement connu de distribution à grande échelle de logiciels malveillants via des extensions Kodi, et de la première campagne de cryptominage publiquement connue à avoir été lancée via la plateforme Kodi.

Fait à noter, cette campagne propulse des binaires spécifiquement pour Linux ou Windows aux fans de Kodi utilisant ces systèmes d’opération.

Pour les personnes qui ne seraient pas familières avec la plateforme Kodi, ce populaire logiciel de lecteur multimédia n’offre pas de contenu en soi. Cependant, les utilisateurs peuvent étendre les fonctionnalités du logiciel en installant des extensions, qu’on peut trouver dans le répertoire officiel de Kodi et sur divers répertoires de tiers-parties. Certains de ces répertoires tiers permettent aux usagers d’accéder à du contenu piraté, ce qui a généré une controverse entourant Kodi.

Récemment, des add-ons contrevenant au droit d’auteur ont aussi été accusés d’exposer leurs utilisateurs à des logiciels malveillants, mais à part un incident au cours duquel un module DDoS a été ajouté à un add-on Kodi populaire provenant d’une tierce-partie, aucune évidence de distribution de logiciel malveillant via les extensions de Kodi n’avait été mise en lumière jusqu’à aujourd’hui.

La campagne

Selon nos recherches, le logiciel malveillant que nous avons trouvé dans le répertoire XvMBC a d’abord été ajouté aux répertoires d’extensions tierces Bubbles et Gaia (une ramification de Bubbles), respectivement en décembre 2017 et janvier 2018. À partir de ces deux sources, et grâce à des mises-à-jour de routine auprès de de propriétaires non-méfiants d’autres dépôts tiers d’extensions et des compilations prêtes à l’emploi pour Kodi, le logiciel malveillant s’est propagé à travers l’écosystème de Kodi.

Le logiciel malveillant possède une architecture à plusieurs étapes et emploie des mesures pour s’assurer que sa charge utile finale – le cryptomineur – ne peut être facilement retracée jusqu’à l’extension malveillante. Le cryptomineur fonctionne sous Windows et Linux et exploite la cryptomonnaie Monero (XMR). Nous n’avons pas vu de version de ce logiciel malveillant ciblant les appareils utilisant Android ou MacOS dans la nature.

Les victimes de cette campagne se retrouvent affectées par le cryptomineur illicite de l’une des trois façons suivantes :

1.      Ils ajoutent l’URL d’un dépôt malveillant à leur installation Kodi afin de télécharger quelques add-ons. Le module complémentaire malveillant est ensuite installé chaque fois qu’ils mettent à jour leurs modules complémentaires Kodi.

2.      Ils installent une compilation Kodi prête à l’emploi qui inclut l’URL d’un dépôt malveillant. Le module complémentaire malveillant est ensuite installé chaque fois qu’ils mettent à jour leurs modules complémentaires Kodi.

3.      Ils installent une compilation Kodi prête à l’emploi contenant une extension malveillante mais aucun lien vers un référentiel pour les mises à jour. Ils sont initialement compromis, mais ne reçoivent aucune autre mise à jour en provenance de l’add-on malveillant. Cependant, si le cryptomineur est installé, il sera persistant et recevra les mises à jour.

Les cinq pays les plus touchés par cette menace, selon la télémétrie de l’ESET, sont les États-Unis, Israël, la Grèce, le Royaume-Uni et les Pays-Bas. Ce n’est pas surprenant, puisque tous ces pays figurent sur la liste des « pays à trafic élevé », selon les récentes statistiques communautaires non officielles de Kodi Addon. D’autres explications possibles pour les distributions géographiques sont les compilations Kodi spécifiques à chaque pays contenant les dépôts malveillants, ou les dépôts malveillants avec des bases d’utilisateurs dans les pays en question, par exemple le répertoire néerlandais susmentionné XvBMC.

L’article complet sur :

https://www.welivesecurity.com/fr/2018/09/14/extensions-kodi-cryptominage/?utm_source=newsletter&utm_medium=email&utm_campaign=wls-newsletter-140918

De eerste 100 dagen van de AVG

Welke invloed heeft de nieuwe gegevensbeschermingsrichtlijn tot nu toe gehad op bedrijven?

Tijdens het afgelopen weekend hebben we de kaap achter de rug van de  eerste 100 dagen sinds de invoegetreding van de Algemene Verordening Gegevensbescherming (AVG), die van  belang  is voor  bedrijven over de hele wereld. 

Iedereen die onmiddellijke straffen verwachtte voor het maken van headlines, moet teleurgesteld zijn. Hoewel de Europese Commissie klachten heeft ontvangen over bedrijven zoals Facebook, Google, Instagram en WhatsApp in de uren die volgden op de inwerkingtreding van de nieuwe wet,   is  er tot nu toe geen groot nieuws te melden. Omdat de nieuwe richtlijn de maximale boetes opvoert tot 20 miljoen euro, of 4% van de wereldwijde jaaromzet, of 4% van de totale jaaromzet, terwijl het maximum werd vastgesteld op 551.000 euro in de "originele" versie van de wetgeving, zal  de belangstelling van de media waarschijnlijk niet snel afnemen.

De situatie vlak voort de AVG  

Ruime tijd voor de inwerkingtreding van de strikte AVG-richtlijnen evalueerden de experten van ESET de staat van de voorbereidingen voor deze belangrijke wijziging inzake gegevensbescherming. Deze evaluatie werd uitgevoerd op basis van het formulier voor nalevingscontrole van het bedrijf. Tijdens de periode van november 2017 tot mei 2018, hebben meer dan 27.000 deelnemers - voornamelijk uit landen van de Europese Unie, waar de formulier gratis online actief werd gepromoot - deze vragenlijst ingevuld. 

Deze conformiteitsbeoordeling heeft verschillende interessante feiten over EU-bedrijven aan het licht gebracht. Het is nu bijvoorbeeld duidelijk dat de meeste bedrijven persoonlijke gegevens (of PII - persoonlijk identificeerbare informatie) hebben over hun klanten (82,6%) en hun werknemers (70,2%). Bovendien meldde iets meer dan een vijfde van de deelnemers aanvullende PII's te hebben, zoals biometrische of gezondheidsgerelateerde gegevens.

"Een audit van gegevensverzameling en -verwerking zou de nuttigste actie kunnen zijn die een bedrijf in verband met de AVG kan ondernemen. Zelfs vandaag, slechts enkele maanden na de inwerkingtreding van deze richtlijn, is dit de eenvoudigste manier om ervoor te zorgen dat een bedrijf niets nalaat bij het vaststellen van de naleving van de regels van de RGPD ", vertelt Tomáš Mičo, Senior Data Protection en Licensing Lawyer bij ESET. Wat de uitkomst ook is, het geeft het bedrijf goede vooruitzichten voor de toekomst en een overzicht van de nodige investeringen. Met het budgetseizoen voor de deur is het nu wellicht de beste tijd van het jaar - als dat nog niet werd gedaan. "

Tegelijkertijd gaf meer dan de helft (56%) van de bedrijven toe dat ze geen audit hadden uitgevoerd om de naleving van de nieuwe regels te waarborgen, zowel voor de manier waarop hun bedrijf persoonsgegevens verzamelt, als hun bronnen en de mensen met wie ze deze delen. Iets meer dan de helft van deze organisaties (51,4%) documenteerde niet de technische en organisatorische beveiligingsmaatregelen die van toepassing zijn op de manier waarop deze documenten worden verwerkt. En slechts zes maanden voor de aanloop naar de AVG, was slechts 47% van de belangrijkste mensen binnen deze bedrijven volledig op de hoogte van regelwijzigingen die de AVG teweeg bracht.

Beveiliging in dit nieuwe tijdperk van gegevensbescherming

De conformiteitscontrole van ESET ging nog verder en informeerde naar de technische maatregelen die bedrijven genomen hebben om ongeoorloofde toegang tot en gebruik van persoonsgegevens door cybercriminelen te voorkomen. Volgens deze gegevens is het meest gebruikte type cybersecurity-bescherming malwaredetectie- en beveiligingssoftware (90,6%).Bedrijven gebruiken ook software voor browserbescherming (87,8%), firewalls (83,6%), voor toegangsbeperking (83,7%) en Wi-Fi-netwerken beveiligd met wachtwoorden (81,9%).

Gevraagd naar de coderingssoftware - de belangrijkste methode om door de AVG voorgeschreven persoonsgegevens te beschermen - vóór de inwerkingtreding van de richtlijn had slechts een derde van de ondervraagde bedrijven een deel van deze beschermingsmethode geïmplementeerd.

Onder de ondervraagde bedrijven was de versleuteling via e-mail (32,5%) het meest geïmplementeerd, gevolgd door lokale bestandsversleuteling (31%) en netwerk / cloud-codering (30,5%).

Als het over de verzamelde gegevens gaat, is het verrassend te moeten opmerken dat slechts een kwart van de deelnemers over software beschikt die de inhoud van de schijven en USB-sleutels codeert. Het verlies of de diefstal van een toestel met onbeschermde persoonlijke en gevoelige gegevens vormt een onmiskenbaar gevaar voor de betrokken bedrijven," aldus David Tomlinson, verantwoordelijk voor ESET Endpoint Encryption. "Sinds de inwerkingtreding van de AVG is het aantal gebruikers van encryptiesoftware gestaag toegenomen. We mogen dus verwachten dat dit aantal vandaag hoger is dan een paar maanden geleden, hoewel we nog geen gegevens hebben om dit te ondersteunen."

De AVG is er. Hoewel toezichthouders op het gebied van gegevensbescherming edelmoedig waren als het over de betaling van boetes ging in de eerste paar maanden na de oprichting van de AVG en de Europese Commissie hier en daar enkele miljoenen boetes heeft vermeden, zal de tijd voor enorme boetes er vroeg of laat wel komen. Als een bedrijf vandaag nog steeds niet voldoet aan de nieuwe wetgeving, moet niet langer gewacht worden.