Software AG entre rançon et vol de données
L’éditeur allemand est la victime de Clop, un ransomware qui a infecté certaines composantes de son SI le 3 octobre. Les attaquants réclament 23 millions de dollars en échange des clés de déchiffrement mais aussi de la non-divulgation des documents dérobés à Software AG lors de l’attaque.
Le 5 octobre, Software AG annonce être depuis deux jours victime d’un malware. S’il n’en précise pas la nature, l’éditeur d’origine allemande précise avoir été contraint de fermer ses services internes afin d’éviter une propagation, tandis que ses produits à destination de ses clients n’étaient pas affectés par l’attaque. Aujourd’hui encore, certaines parties de son site sont indisponibles, tandis qu’il redirige ses clients vers une adresse mail pour ses services support.
“L'entreprise est en train de restaurer ses systèmes et ses données afin de reprendre un fonctionnement ordonné. Cependant, les services d'assistance et la communication interne de Software AG sont toujours affectés” expliquait Software AG dans sa communication en date du 5 octobre. Il ajoutait ne pas avoir de signe de compromission des données de ses clients.
1 To de données dérobées
Mais trois jours plus tard, le ton est bien différent. “Software AG a obtenu la première preuve que les données ont été téléchargées à partir des serveurs et des ordinateurs portables des employés de Software AG. Rien n'indique que les services aux clients, y compris les services cloud, soient perturbés” dévoile l’entreprise.
En effet, selon les chercheurs de MalwareHunterTeam, les attaquants clament avoir dérobé un téraoctet de documents dans le SI de la société, dont des contrats, des rapports, des échanges par mail, des listes de contacts. Autant d’informations que les hackers menacent de publier en ligne si Software AG ne s’acquitte pas du versement d’une rançon de 23 millions de dollars en bitcoins. Cette somme permettra en outre à l’entreprise d’obtenir le déchiffrement de ses fichiers.
Toujours selon MalwareHunterTeam, le ransomware Clop est derrière cette attaque. Et le groupe de se demander si l’utilitaire anti-McAfee contenu dans le malware utilisé était spécialement dédié à Software AG, ou si les hackers ont tout simplement eu “la flemme” de l’enlever de leur code.
Une nouvelle co-dirigeante chez Yogosha
Le spécialiste du bug bounty fait monter en grade sa directrice des opérations, Fanny Forgeau. Deux ans et demi après son recrutement, elle est promue directrice générale de l’entreprise, en binôme avec le cofondateur et CEO Yassir Kazar.
Peu après sa levée de fonds de 2017, où il raflait 1,2 million d’euros, Yogosha embauchait Fanny Forgeau en qualité de directrice des opérations en janvier 2019. Ancienne du CNRS en sociologie politique, elle était auparavant passée par Linkfluence puis Allure Systems. Au sein de Yogosha, sa mission consistait à accompagner la croissance de la jeune pousse.
Depuis la société a bien grandi. Elle a notamment diversifié ses opérations de sorte à dépasser les seuls programmes de chasse aux vulnérabilités, un marché sur lequel YesWeHack domine en France, développant une activité d’éditeur de logiciels de cybersécurité, avec notamment une solution SaaS de détection et de gestion des vulnérabilités sur les SI d’entreprises.
Editeur de logiciels
Forte de ce nouveau positionnement, l’entreprise levait en début d’année 2 millions d’euros, auprès de OneRagtime et de la BNPP, qui font leur entrée au capital de la jeune pousse, ainsi que de ses investisseurs historiques, Axeleo Capital, Starquest Capital et ZTP. Désormais, Fanny Forgeau monte en grade : elle est propulsée directrice générale de Yogosha. A ce poste, elle oeuvrera en binôme avec le cofondateur de la société, Yassir Kazar, qui en reste le CEO. "Au poste de Directrice Générale Fanny Forgeau viendra coordonner l’ensemble des équipes, identifier les nouvelles opportunités de marché et définir les stratégies de développement en France et à l’international" nous apprend le communiqué émis par Yogosha.Docker : l'Anssi livre ses bonnes pratiques
Les conteneurs et leurs images peuvent contenir du code malveillant : ils sont ainsi exploités par des cryptojackers. L'Anssi livre en ce début octobre un guide des bonnes pratiques de sécurité quant au déploiement et à l'exécution de conteneurs Docker.
A l'occasion de la Black Hat 2017, deux chercheurs démontraient que les conteneurs Docker pouvaient servir à dissimuler des malwares. Et depuis, de Graboid à Doki, les exemples ne manquent pas quant à l'utilisation des conteneurs et de leurs images à des fins malveillantes. L'Anssi a pris le problème à bras le corps et vient de publier un guide de bonnes pratiques de sécurité à l'attention des développeurs et des DSI relatives au déploiement et à l’exécution de conteneur Docker.
Le document ne traite pas de Docker daemon et la gestion des images Docker, quand bien même ces derniers sont souvent pointés du doigt comme présentant des vulnérabilités exploitables par des attaquants.
Sécuriser le conteneur
"Docker Community Edition (CE) présente peu de vulnérabilités connues. La plupart d’entre elles concernent la création de conteneur à partir d’une image malveillante. Cependant, la sécurité de Docker repose principalement sur les mécanismes de sécurité du noyau et sur des composants externes. Des vulnérabilités les affectant peuvent donc être exploitées pour compromettre Docker ou son hôte" précise l'Anssi.
Le document livre donc ses recommandations, notamment sur le cloisonnement du conteneur et de ses ressources, la restriction des privilèges (écriture de l'espace de stockage, lecture du système de fichiers racine, stockage des données non persisantes, restrictions du répertoire et des fichiers sensibles, namespaces dédiés...) ou encore la journalisation du conteneur. Des recommandations qui suivent le document de référence publié sur le même sujet par le Center for Internet Security (CIS).




