Planète Warez

L’ANSSI a publié un nouveau rapport intitulé “Campagnes d’attaques du mode opératoire APT28 depuis 2021” qui revient en détail sur les techniques employées par ce groupe de cybercriminels à l’origine de nombreuses cyberattaques en France. Ce document contient également un ensemble de recommandations.

Le groupe de cybercriminels russes APT28, également appelé Fancy Bear, est à l’origine de nombreuses cyberattaques en France :

Certaines campagnes ont été dirigées contre des organisations françaises, dont des entités gouvernementales, des entreprises, des universités, ainsi que des instituts de recherche et des groupes de réflexion (think tanks)
ANSSI

L’ANSSI est intervenu sur ces incidents de sécurité afin de mener des investigations, donc ce rapport est en quelque sorte une synthèse de ce qu’ils ont appris sur APT28. “Ce document s’appuie sur des rapports techniques publiés en source ouverte et des éléments collectés durant des opérations de réponse à incident réalisées par l’ANSSI.”, précise le rapport que vous pouvez retrouver à cette adresse.

– Adresses ayant diffusé des emails exploitant la CVE-2023-23397 (ANSSI)

Le groupe APT28 a pour habitude d’effectuer sa phase de reconnaissance à l’aide de campagnes de phishing envoyées directement à partir de comptes compromis. À cela s’ajoutent des routeurs compromis, notamment de la marque Ubiquiti, utilisée pour récupérer les données exfiltrées. L’ANSSI affirme que le groupe APT28 a exploité de nombreuses vulnérabilités, y compris des failles zero-day, notamment certaines très connues. Voici quelques exemples :

La CVE-2022-30190 (Follina) dans MSDT (Microsoft Support Diagnostic Tool) Les CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 dans l’application Roundcube La CVE-2023-23397 dans Outlook : "APT28 a exploité la vulnérabilité 0-day CVE-2023-23397 affectant le produit Outlook pour Windows à partir de mars 2022 et jusqu’en juin 2023."

D’ailleurs, l’ANSSI s’est intéressé à la manière dont les attaquants exploitaient la faille de sécurité CVE-2023-23397 puisqu’ils semblent particulièrement l’apprécier.

En exploitant ces vulnérabilités et en récupérant des informations au sein de fuites de données, APT28 s’est constitué une belle infrastructure d’attaque.Par ailleurs, APT28 s’appuie sur des outils de sécurité tels que Mimikatz et reGeorg lors de ses opérations, en plus d’utiliser des fournisseurs de VPN divers et variés (Surfshark, ExpressVPN, ProtonVPN, etc.).

Enfin, le rapport contient un ensemble de 17 recommandations à appliquer pour faire face à ce type de menace. L’ANSSI aborde la sécurité des échanges par e-mail, la sécurité des données d’authentification, la sécurité des postes de travail ainsi que la sécurité de l’accès aux contenus hébergés sur Internet.

Bonne lecture !

– Source

https://www.it-connect.fr/lanssi-sest-interessee-au-groupe-apt28-a-lorigine-de-nombreuses-attaques-en-france/

Dans cet article, nous abordons un aspect important du chiffrement des données : les bonnes pratiques à adopter pour éviter toute compromission. Quelles sont les recommandations du RGS, de l’eIADS et de l’ANSSI en la matière.

Recommandations du RGS

Les principales recommandations de l’ANSSI (Agence nationale de la sécurité des systèmes d’information en France) faites dans le RGS (Référentiel général de sécurité) v2 à propos de la cryptographie symétrique sont les suivantes :

– « La taille minimale recommandée des clés symétriques est de 128 bits. » ;
– « La taille recommandée des blocs de mécanismes de chiffrement par bloc est de 128 bits. » ;
– « L’AES, tel qu’il est spécifié dans le FIPS 197, est un mécanisme de chiffrement par bloc conforme au référentiel. ».

Réglementation eIDAS

Dans la réglementation eIDAS, les recommandations sur les algorithmes cryptographiques symétriques sont relativement rares, car eIDAS couvre principalement la cryptographie asymétrique avec les mécanismes de signature électronique. En revanche, on trouve une recommandation pour le protocole TLS, avec l’algorithme AES et les tailles de clé de 128 bits et de 256 bits.

Recommandations de l’ANSSI

Outre le RGS (Référentiel général de sécurité) – et au même titre que l’AES, l’ANSSI recommande également l’algorithme symétrique ChaCha20, en particulier pour le protocole TLS.

Par ailleurs, l’ANSSI accepte en mode dégradé les algorithmes de chiffrement Camellia et ARIA, qui ne présentent aucune faille ni faiblesse à ce jour (septembre 2020). Selon l’ANSSI, un algorithme peut être utilisé en mode dégradé lorsque les algorithmes recommandés ne peuventpas être utilisés (c’est-à-dire les algorithmes AES et ChaCha20, dans ce cas).

L’algorithme ChaCha qui est une variante de l’algorithme Salsa20, a été créé en 2005 par Daniel J. Bernstein – également auteur de la courbe elliptique Curve25519. Les 20 rondes de cet algorithme sont plus rapides que les 10 et 14 rondes de l’algorithme AES.

L’algorithme Camellia a été créé en 2000 au Japon et est un standard du gouvernement japonais. Cet algorithme Camellia est également approuvé par l’organisme ISO, et recommandé par l’Union européenne, via le projet NESSIE (New European Schemes for Signatures, Integrity and Encryption).

L’algorithme ARIA a été créé en 2003 par des cryptographes sud-coréens et est recommandé et très utilisé en Corée.

Le sujet du chiffrement vous intéresse ? Découvrez l’expertise et l’accompagnement de Linagora pour votre entreprise.

- Valentin BOUILLER et David CARELLA, Linagora.

Allez plus loin

Cet article fait partie d’une série de guides sur le chiffrement des données.

- Comprendre le chiffrement homomorphe et ses schémas
- Qu’est-ce que le protocole TLS et à quoi sert-il ?
- Ce qu’il faut savoir sur le chiffrement des données
- Chiffrement des données : conformité et bonnes pratiques

Source : www.toolinux.com

@Violence a dit dans Les snapshots, dernier rempart contre les ransomwares ? :

la méthode AGDLP

C’est bien une méthode que peu d’informaticiens connaissent.