Un ransomware a touché des centaines de cabinets dentaires aux Etats-Unis, Réactions à la publication du 30/08/2019

[otto87]

Les cabinets dentaires de l'article c'est assez atypique, mais ça montre que ça peut toucher des sociétés de toutes tailles.

Dans ce cas, les victimes ont été choisies à cause du logiciel qu'elles utilisaient.

Il faut aussi dire que les cabinets médicaux et dentaires enregistrent beaucoup (trop) de données sensibles. Avec les noms, dates de naissance, numéros de sécurité sociale et membres de la famille à contacter, ils peuvent faire beaucoup de choses.

Ça ne serait pas les cabinets dentaires ou cliniques dentaires, etc., qui ont été visés, mais le fournisseur d'une solution métier dans le Cloud qui a eu une grosse interruption de service, et n'a pas encore réussi à restaurer les données de tous ses clients, incluant Radios, informations personnelles, financières, etc.

Un très bon choix, car avec nombre de "solutions" dans le Cloud les données sont cotés fournisseurs et quasi jamais coté client (c'est fait exprès ), avec alors la possibilité d'utiliser les clients comme levier contre le fournisseur qui risque alors des procès forts couteux et peut en être réduit à choisir de payer au plus vite pour déchiffrer les fichiers, voir même de cacher ce qui est arrivé à ses clients!

Un peu le principe du Food-Chain Poisoning appliqué aux services et non au code.

Toujours le coté magique de laisser la sécurité à un tiers, ça déleste, mais du coup il devient extrêmement intéressant d'attaquer ce tiers. Déléguer c'est bien, mais c'est aussi se mettre en porte-à-faux...même idée avec les autorités qui gèrent les clés mères, c'est pratique, mais quand il y a un problème, ça devient global...

[iAPX]

...
même idée avec les autorités qui gèrent les clés mères, c'est pratique, mais quand il y a un problème, ça devient global...

Oh cette catastrophe en devenir, cette façon de ne pas pouvoir régler le problème de la confiance, qui met à mal tout l'édifice, y-compris dans ce qu'on appelle communication chiffré de bout-en-bout "end-to-end encryption" car l'autre "bout" ne peut être authentifié sans qu'il y ai préalablement un canal de communication authentifié et chiffré de bout-en-bout, le serpent qui se mord la queue.

Dans les deux cas, l'un touchant évidemment le Web via le https et ses certificats, l'autre la protection de la vie privée sur des messageries chiffrées, tout repose sur la confiance en un tier (et sa Clé Privée) sans pouvoir avoir confiance en fait.
Et comme je l'ai déjà écrit ici et qui vaut pour tous les cas où on entend parler de chiffrement: qui possède les clés est le maître du royaume, et généralement personne ne sait qui y a accès dans les usages grand-public!

Une anecdote sur la France et ses services de renseignements qui ont balancé dans la nature des dizaines de milliers de clés pour le https qu'elles avaient générées "pour faire des tests", suite à une maladresse, car ils sont vraiment branques!
Et on ne fait pas de "tests" sur des dizaines de milliers de clés, c'était évidemment pour intercepter le traffic https et y accéder en clair (attaque MITM de base).

Ce message a été modifié par iAPX - 30 Aug 2019, 23:18.

[otto87]

Et on ne fait pas de "tests" sur des dizaines de milliers de clés, c'était évidemment pour intercepter le traffic https et y accéder en clair (attaque MITM de base).

Conspirationniste dirait le le né de la dernière pluie

[iAPX]

Je pense que "Shamir's Secret Sharing" aurait pu être une piste de solution, distribué à travers le globe, à travers des nations plus ou moins souveraines et leurs acteurs, pour établir un système qui ne puisse être corrompu facilement (mais probablement aussi corrompu sur la durée, une cible à la fois). C'est aussi appelé "n-to-m".
Une part de la solution, proche de ce que Google fait pour lui-même (3 mois), est de régénérer les clés sur de courtes périodes de temps, ce qui associé à des techniques incroyablement intelligentes comme le Forward Secrecy (ça mérite totalement d'être étudié et compris, c'est une perle!), permet alors de sécuriser durablement des communications, évidemment hors nouveauté mathématique voir d'attaque quantique.

Le véritable maître des clés à un nom, et il est court.

Ce message a été modifié par iAPX - 30 Aug 2019, 23:58.

[otto87]

Le véritable maître des clés à un nom, et il est court.

Il habite à fort boyard?
Merde en 3 lettres et c'est pas un français

Ce message a été modifié par otto87 - 31 Aug 2019, 00:33.

[iAPX]

Le véritable maître des clés à un nom, et il est court.

Il habite à fort boyard?
Merde en 3 lettres et c'est pas un français

Je dirais que comme d'autres organisations, il a des antennes un peu partout, et si je devais juger sa capacité à faire du MITM en https et aussi sur les messageries "end-to-end encryption" , sur un Échelon de 1 à 10 il serait probablement sur 11

D'ailleurs en parlant de chiffrage bout-en-bout (pour ce que ça vaut), avec un des plus gros fournisseurs de médias en streaming qui lance son offre bientôt, on a échangé avec PGP et j'ai imposé qu'après les échanges de clés, on utilise un autre canal pour valider celles-ci (second factor, juste pour faire chier au cas où).
On travaille avec des très grosses compagnies, qui prennent la sécurité au sérieux et nous imposent des tonnes de règles (des fois obsolètes comme la rotation de bon mots-de-passe), mais on leur en renvoie aussi pour sécuriser effectivement et non juste en théorie ou en CYA.

La sécurité est pour moi un des pans les plus importants des IT, pour tout le monde, y-compris avoir du courant électrique ou de l'eau courante (ça paraît banal, ça ne l'est plus!), et probablement encore celui qui est le plus sous-estimé, donc avec le plus de potentiel de développement dans la nouvelle décennie.

Ce message a été modifié par iAPX - 31 Aug 2019, 01:14.

[SartMatt]

Et un conseil très efficace contre les ransomware: un NAS pour le backup en réseau, avec uniquement le droit d'ajouter des fichiers, ni d'en effacer ni d'en modifier

Et aussi et surtout des backups déconnectés, qu'on vérifie sur un autre poste (pour vérifier qu'ils ne sont pas chiffrés eux aussi par le ransomware) et qu'on ne reconnecte que s'il y a besoin de restaurer des données.

Pour les volumes de données relativement faibles (quelques dizaines de Go), il ne faut pas non plus négliger le bon vieux support optique, qui a l'avantage d'être en lecture seule une fois écrit.

Pour cela il y a des techniques de poisoning régulier, en augmentant la proportion des fichiers touchés au fur-et-à-mesure tant que la cible ne s'en aperçoit pas

Il y a aussi des ransomware qui laissent l'accès aux fichier chiffrés, de façon totalement transparente (par exemple, il va enregistrer au niveau du système l'extension pdfx pour les pdf chiffrés, et au double clic sur un pdfx ça va déclencher le déchiffrement de ce fichier avant de passer la main au logiciel enregistré pour la lecture des fichiers pdf), et ne finissent par bloquer l'accès que plusieurs semaines, voire plusieurs mois, après avoir fait leurs méfaits.

Ce message a été modifié par SartMatt - 31 Aug 2019, 08:30.

[jakin1950]

C'est pourquoi lorsque je travaillais , mon cabinet n'était relié à internet que pour la mise à jour des programmes Pro et relié à la sécu sur une machine virtuelle

Les jeunes m'expliquaient que cette époque était révolue et qu'il fallait un dossier client sur le cloud, à la merci d'une augmentation progressive du prix et du piratage du prestataire.
En France, les notaires ont optes pour une sauvegarde de toutes les données sur un cloud

La sécurité informatique contre les ransomwares est un réél problème . Il est beaucoup plus rentable d'attaquer un prestataire qu'un indépendant

[JayTouCon]

Et un conseil très efficace contre les ransomware: un NAS pour le backup en réseau, avec uniquement le droit d'ajouter des fichiers, ni d'en effacer ni d'en modifier

Et aussi et surtout des backups déconnectés, qu'on vérifie sur un autre poste (pour vérifier qu'ils ne sont pas chiffrés eux aussi par le ransomware) et qu'on ne reconnecte que s'il y a besoin de restaurer des données.

Pour les volumes de données relativement faibles (quelques dizaines de Go), il ne faut pas non plus négliger le bon vieux support optique, qui a l'avantage d'être en lecture seule une fois écrit.

Pour cela il y a des techniques de poisoning régulier, en augmentant la proportion des fichiers touchés au fur-et-à-mesure tant que la cible ne s'en aperçoit pas

Il y a aussi des ransomware qui laissent l'accès aux fichier chiffrés, de façon totalement transparente (par exemple, il va enregistrer au niveau du système l'extension pdfx pour les pdf chiffrés, et au double clic sur un pdfx ça va déclencher le déchiffrement de ce fichier avant de passer la main au logiciel enregistré pour la lecture des fichiers pdf), et ne finissent par bloquer l'accès que plusieurs semaines, voire plusieurs mois, après avoir fait leurs méfaits.

Très intéressant, néanmoins qui va le faire (un tutoriel il faut)
Le dentiste a autre chose à faire, il a golf à 17H le lundi après sa journée au spa et avoir consulté les catalogues de déco chez son concessionnaire. S’il n’a pas sa rolex à 35 ans il change de métier. J’ai aligné tous les clichés.

[SartMatt]

Très intéressant, néanmoins qui va le faire (un tutoriel il faut)

En voilà un par exemple : https://blog.lrdf.fr/article9/mettre-en-pla...e-de-sauvegarde

Mais c'est clair que pour le grand public, c'est hélas un effort important pour mettre ça en place et le maintenir dans la durée, ce qui fait que c'est trop vite abandonné... Pour les entreprises, le mieux est de faire appel à un professionnel si on n'a pas les compétences en interne.

Perso, je suis un peu "parano" avec ça, j'ai une véritable phobie de la perte de données, du coup j'ai tout en un bon nombre d'exemplaires.

Pour l'ensemble de mes données, j'ai un backup continu (façon Time Machine) vers un disque dur interne avec Genie Timeline (PC uniquement), un backup continu vers mon NAS et vers One Drive avec Arq Backup (dispo sur Mac et PC), un backup continu vers un serveur distant chez SpiderOak. Rien que ça, c'est déjà suffisant dans la plupart des cas je pense.

J'ajoute également une sauvegarde hebdomadaire vers deux disques externes avec Genie Backup Manager, en permutant régulièrement les deux disques, l'un des deux étant stocké dans mon garage, qui n'est pas dans le même immeuble que mon appartement (me protège donc en cas d'incendie ou de cambriolage, sans dépendre d'un service tiers).

Après, pour certaines données, j'ai des choses en plus.

Pour mes documents principaux (bureautique, administratif perso et administratif de ma société), j'ai en plus en local un exemplaire sur un second volume synchronisé unidirectionnellement avec le volume principal toutes les 2h avec Synkron (dispo sur Mac et PC), ce volume étant lui même synchronisé avec Google Drive, en utilisant Box Cryptor (dispo sur Mac et PC) pour chiffrer les données localement avant envoi vers Google Drive. Les documents de la boîte on en plus droit à une copie au cabinet de mon expert comptable (et aux backups qu'il a mis en place de son côté).

Pour tout ce qui est code, j'ai un serveur SVN sur mon NAS et le contenu des repositories est répliqué sur mon serveur OVH et sauvegardé quotidiennement vers Spideroak.

Pour les photos, les vidéos et la musique, j'ai une synchronisation manuelle avec des services en ligne, sans chiffrement supplémentaire, Google Photo pour les photos et vidéos, Google Music pour la musique. Je ne considère pas vraiment ça comme du backup, mais dans les faits, ça peut quand même servir pour restaurer les données en cas de besoin.

[zero]

Je ne sais pas si cette news conserne les Mac ou pas mais ces derniers temps, c'est pas la joie avec les produits Apple. Entre les écoutes avec Siri et ça, et tout un tas d'autres choses entre les deux, c'est la fin d'une époque. Surtout qu'Apple propose des mises à jour de sécurité que pour la dernière version de son système et le strict minimum pour la précédente.

Ce message a été modifié par zero - 31 Aug 2019, 15:36.

[bob II]

Je ne sais pas si cette news conserne les Mac ou pas mais ces derniers temps, c'est pas la joie avec les produits Apple. Entre les écoutes avec Siri et ça, et tout un tas d'autres choses entre les deux, c'est la fin d'une époque.

Franchement Si les problèmes dans le monde se limitaient à çà ce serait le bonheur.
Apple et ses iChoses avec ou sans virus, avec ou sans surveillance... c'est peanuts.

[zero]

Je ne parle pas des problèmes dans le monde mais ceux des produits Apple. De nos jours, on choisit un produit Apple pour la sécurité (relative) et la simplicité puisque le Hardware n'est plus vraiment correct (qualité/prix). Si la sécurité n'est plus au rendez-vous, ben, il ne reste plus grand chose pour justifier les prix.

Ce message a été modifié par zero - 31 Aug 2019, 15:53.

[bob II]

Je ne parle pas des problèmes dans le monde mais ceux des produits Apple. De nos jours, on choisit un produit Apple pour la sécurité (relative) et la simplicité puisque le Hardware n'est plus vraiment correct (qualité/prix). Si la sécurité n'est plus au rendez-vous, ben, il ne reste plus grand chose pour justifier les prix.

j'ai bien compris , mais je n'ai pas pu m'enpécher de relativiser et de me moquer un petit peu.
c'est sans méchanceté. Mais bon ç'est vrai que j'ai du mal à me mettre la rate au court bouillon pour Apple et le reste.
Après il faut prendre en compte que mon dernier achat d'ordinateur remonte à 2009, je n'ai pas de iPhone, iPad, !Pod,iwatch..
Mon achat Apple le plus récent est un Apple TV il y a quelques mois.
et il n'est franchement pas certain que mon prochain "Mac" soit un Mac.

[FRENCHDOCTOR]

Mais ils ont quelle formation et d’ou sortent ils ces pirates 🏴‍☠️ ?!
Organismes gouvernementaux !

[ungars]

otto87 vous avez l'air bien au courant des méthodes et des moyens mis en oeuvres dans ce type d'opération ? un peu trop peut être

1/3 de ma formation concerne la sécurité des TIC donc bon, oui je connais les méthodes

Oui oui, c'est bien connu les prisons sont pleines d'innocents
Plus sérieusement, j'ai lu quelques part que la plupart des "pirates" qui se faisaient prendre, c'était parce qu'ils "parlaient" trop sur internet.
çà semble incroyable et pourtant.

Oui les pirates ont un ego souvent démesuré, et c'est ce par quoi ils se font prendre.

[ungars]

Les cabinets dentaires de l'article c'est assez atypique, mais ça montre que ça peut toucher des sociétés de toutes tailles.

Dans ce cas, les victimes ont été choisies à cause du logiciel qu'elles utilisaient.

Il faut aussi dire que les cabinets médicaux et dentaires enregistrent beaucoup (trop) de données sensibles. Avec les noms, dates de naissance, numéros de sécurité sociale et membres de la famille à contacter, ils peuvent faire beaucoup de choses.

LOL, ben sans ces données, on voit mal comment gérer aussi les flux financiers entre les assurances, le patient, le médecin...

[iAPX]

Les cabinets dentaires de l'article c'est assez atypique, mais ça montre que ça peut toucher des sociétés de toutes tailles.

Dans ce cas, les victimes ont été choisies à cause du logiciel qu'elles utilisaient.

Il faut aussi dire que les cabinets médicaux et dentaires enregistrent beaucoup (trop) de données sensibles. Avec les noms, dates de naissance, numéros de sécurité sociale et membres de la famille à contacter, ils peuvent faire beaucoup de choses.

LOL, ben sans ces données, on voit mal comment gérer aussi les flux financiers entre les assurances, le patient, le médecin...

Elles sont nécessaires, mais elles sont aussi extrêmement sensibles car médicales en sus, un exemple est le statut HIV/VIH d'un patient mais ça peut être plein d'autres informations.

il est très dur d'à la fois gérer et protéger ces informations, c'est pour cela que des plateformes existent pour prendre en charge ces deux aspects, mais comme toujours la sécurité réelle n'est pas nécessairement le point le mieux traité car n'apportant pas de Business Value visible pour les clients (tant que c'est pas hacké), et comme presque partout les budgets et ressources pour la sécurité sont probablement largement insuffisants chez ces acteurs.

Tant qu'il n'y aura pas des règlementations plus strictes sur la sécurité, avec des obligations de moyens en sus de pénalités importantes, on continuera à voir de plus en plus de fuite de données très sensibles ainsi que du ransomware.
Je parle de fuite de données très sensibles, car dans beaucoup de cas de ransomware sur des grosses structures, ça a été implémenté avec une attaque in-depth avec accès aux données avant d'utiliser un ransomware à la fois pour essayer de gagner de l'argent mais aussi pour couvrir les traces (Logs chiffrés eux-aussi! Bye!).

[otto87]

ça,

Ca mériterait une news même si ca pique un peu à l'heure ou la pomme nous promets de protéger notre vie privé...

[STRyk]

Mais dites, je ne comprends toujours pas pourquoi ils ne veulent pas sévire sur les transactions.
L'argent est bien véhiculé par le système banquaire non ?