{"id":244541,"date":"2022-07-07T16:01:48","date_gmt":"2022-07-07T18:01:48","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lere-de-la-securite-collaborative-ce-que-des-dizaines-de-milliers-de-machines-temoignent\/"},"modified":"2022-07-07T16:01:49","modified_gmt":"2022-07-07T18:01:49","slug":"lere-de-la-securite-collaborative-ce-que-des-dizaines-de-milliers-de-machines-temoignent","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lere-de-la-securite-collaborative-ce-que-des-dizaines-de-milliers-de-machines-temoignent\/","title":{"rendered":"L&#8217;\u00e8re de la s\u00e9curit\u00e9 collaborative\u00a0: ce que des dizaines de milliers de machines t\u00e9moignent"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p><i>Avis de non-responsabilit\u00e9\u00a0: cet article est destin\u00e9 \u00e0 donner un aper\u00e7u des cybermenaces telles qu&#8217;elles sont per\u00e7ues par la communaut\u00e9 des utilisateurs de CrowdSec.<\/i><\/p>\n<p>Que peuvent nous dire des dizaines de milliers de machines sur les activit\u00e9s ill\u00e9gales des pirates\u00a0?<\/p>\n<p>Vous souvenez-vous de cette sc\u00e8ne dans Batman &#8211; The Dark Knight, o\u00f9 Batman utilise un syst\u00e8me qui agr\u00e8ge les donn\u00e9es sonores actives d&#8217;innombrables t\u00e9l\u00e9phones portables pour cr\u00e9er un flux m\u00e9ta-sonar de ce qui se passe \u00e0 un endroit donn\u00e9\u00a0? <\/p>\n<p>C&#8217;est une analogie int\u00e9ressante avec ce que nous faisons chez CrowdSec.  En agr\u00e9geant les signaux d&#8217;intrusion de notre communaut\u00e9, nous pouvons offrir une image claire de ce qui se passe en termes de piratage ill\u00e9gal dans le monde.<\/p>\n<p>Apr\u00e8s 2 ans d&#8217;activit\u00e9 et l&#8217;analyse quotidienne d&#8217;un million de signaux d&#8217;intrusion provenant de dizaines de milliers d&#8217;utilisateurs dans 160 pays, nous commen\u00e7ons \u00e0 disposer d&#8217;un flux mondial pr\u00e9cis de \u00ab sonar Batman \u00bb des cybermenaces.  Et il y a quelques plats \u00e0 emporter int\u00e9ressants \u00e0 souligner.<\/p>\n<h2 style=\"text-align: left\"><strong>Une cybermenace aux multiples visages <\/strong><\/h2>\n<p>Tout d&#8217;abord, la cybermenace mondiale est tr\u00e8s polyvalente.  Que voit-on en examinant les types d&#8217;attaques signal\u00e9es, leur origine et les syst\u00e8mes autonomes (AS) derri\u00e8re les adresses IP malveillantes\u00a0?<\/p>\n<p>Les scanners et les tentatives de force brute sont toujours les vecteurs d&#8217;intrusion les plus populaires que notre communaut\u00e9 voit et se classent au premier rang.  Assez logique, car la surveillance est la premi\u00e8re \u00e9tape vers une intrusion plus avanc\u00e9e.  Les activit\u00e9s d&#8217;analyse vues par notre communaut\u00e9 sont principalement des analyses de port ou des sondages bas\u00e9s sur HTTP.<\/p>\n<p>Parmi les diff\u00e9rents types d&#8217;intrusions utilis\u00e9es par les hackers, les tentatives de force brute sur les services sensibles (SSH, email, URL d&#8217;administration, etc.) arrivent en deuxi\u00e8me position.  Pas d&#8217;informations r\u00e9volutionnaires, mais lorsque des \u00e9tudes montrent que <a rel=\"nofollow noopener\" href=\"https:\/\/www.ibm.com\/downloads\/cas\/ADLMYLAZ\" target=\"_blank\">les attaques par force brute repr\u00e9sentent 6% des cyberattaques<\/a> dans le monde, il n&#8217;est pas surprenant de le voir comme dominant, d&#8217;autant plus qu&#8217;il reste l&#8217;un des plus faciles et des moins chers \u00e0 automatiser et \u00e0 d\u00e9ployer (hello script kiddies).  Parce que c&#8217;est assez facile \u00e0 contrer, on pourrait penser que \u00e7a marche rarement, mais bon, 6% !<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"S\u00e9curit\u00e9 collaborative\" border=\"0\" data-original-height=\"508\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657216908_354_Lere-de-la-securite-collaborative-ce-que-des-dizaines-de.jpg\" title=\"S\u00e9curit\u00e9 collaborative\" \/><\/div>\n<h2 style=\"text-align: left\"><strong>Log4J n&#8217;est toujours pas une affaire conclue<\/strong><\/h2>\n<p>Parmi les tentatives d&#8217;exploitation les plus populaires que notre communaut\u00e9 voit, nous avons Log4j.  Vous avez en effet appr\u00e9ci\u00e9 la temp\u00eate de l&#8217;ann\u00e9e derni\u00e8re sur la fa\u00e7on dont un simple utilitaire de journalisation open source pour Apache avec une vuln\u00e9rabilit\u00e9 a pris le contr\u00f4le du monde de la cybers\u00e9curit\u00e9 et caus\u00e9 des maux de t\u00eate sans fin aux experts en cybers\u00e9curit\u00e9.  Et, bien s\u00fbr, le monde criminel \u00e9tait plus qu&#8217;heureux de l&#8217;exploiter avec des robots d&#8217;analyse automatis\u00e9s \u00e0 la recherche de services vuln\u00e9rables.<\/p>\n<p>Eh bien, notre communaut\u00e9 a \u00e9t\u00e9 t\u00e9moin de la temp\u00eate.  Une fois le pic de d\u00e9cembre suivant la divulgation pass\u00e9, les choses se sont un peu calm\u00e9es, mais les activit\u00e9s de scan pour Log4j ont recommenc\u00e9, bien qu&#8217;\u00e0 un niveau inf\u00e9rieur mais constant, aliment\u00e9es par des bots. <\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"S\u00e9curit\u00e9 collaborative\" border=\"0\" data-original-height=\"347\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657216908_86_Lere-de-la-securite-collaborative-ce-que-des-dizaines-de.jpg\" title=\"S\u00e9curit\u00e9 collaborative\" \/><\/div>\n<p>Le message cl\u00e9 est que si vous pensez \u00eatre prot\u00e9g\u00e9 parce que la temp\u00eate &#8220;marketing&#8221; est pass\u00e9e, r\u00e9fl\u00e9chissez-y \u00e0 deux fois.<\/p>\n<p>Il y a toujours une activit\u00e9 tr\u00e8s agressive qui cherche \u00e0 utiliser la vuln\u00e9rabilit\u00e9.<\/p>\n<p>Par exemple, il y a quelques semaines, un large spectre de notre communaut\u00e9 a \u00e9t\u00e9 scann\u00e9 car l&#8217;adresse IP 13.89.48.118 a \u00e9t\u00e9 signal\u00e9e par plus de 500 utilisateurs en moins de 12 heures.  Il a rejoint plus de 20 000 autres adresses IP sur la liste noire de la communaut\u00e9 pour la correction.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"S\u00e9curit\u00e9 collaborative\" border=\"0\" data-original-height=\"560\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657216908_858_Lere-de-la-securite-collaborative-ce-que-des-dizaines-de.jpg\" title=\"S\u00e9curit\u00e9 collaborative\" \/><\/div>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"S\u00e9curit\u00e9 collaborative\" border=\"0\" data-original-height=\"304\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657216908_335_Lere-de-la-securite-collaborative-ce-que-des-dizaines-de.jpg\" title=\"S\u00e9curit\u00e9 collaborative\" \/><\/div>\n<h2 style=\"text-align: left\"><strong>Les adresses IP : ressource principale des cybercriminels<\/strong><\/h2>\n<p>Les adresses IP sont rarement malveillantes \u00e0 jamais et leur r\u00e9putation peut changer d&#8217;un jour \u00e0 l&#8217;autre.  La communaut\u00e9 partageant constamment des informations \u00e0 leur sujet, toute mise \u00e0 jour peut \u00eatre instantan\u00e9ment transf\u00e9r\u00e9e aux utilisateurs.  A terme, il fournit des donn\u00e9es pr\u00e9cieuses sur la dur\u00e9e d&#8217;agressivit\u00e9 des adresses IP.<\/p>\n<p>Il s&#8217;agit d&#8217;un instantan\u00e9 du nombre d&#8217;adresses IP qui ont atterri dans les lacs de donn\u00e9es CrowdSec (signal\u00e9es comme malveillantes).  Ce qui est int\u00e9ressant \u00e0 noter, c&#8217;est que les cybercriminels changent en effet les adresses IP qu&#8217;ils utilisent pour commettre leurs attaques :<\/p>\n<p>* seulement 2,79% d&#8217;entre eux sont des membres permanents de notre base de donn\u00e9es<\/p>\n<p>* 12,63% de toutes les adresses IP collect\u00e9es changent chaque semaine<\/p>\n<p>* Le taux de renouvellement quotidien se situe \u00e0 1,8\u00a0%<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"S\u00e9curit\u00e9 collaborative\" border=\"0\" data-original-height=\"666\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjwaPtTkMrRmnsolQSOFvOudIfM2w0fD0L7to3BiTakEwGTVCXkez65W2tODhZQFC48OZ2ggkTKOkUTTxavnKZHbCqITPhRQnLcfanwT4dh4u0gzsUpgqRCCdlxzGPK2bGuq3t2E1unXyt-kAlkT3lgixfdNcjxCNGnMz5gkEmwJO08q0bacmcSk2xV\/s728-e1000\/image1.jpg\" title=\"S\u00e9curit\u00e9 collaborative\" \/><\/div>\n<p>**Les syst\u00e8mes autonomes ont diff\u00e9rentes approches pour att\u00e9nuer les adresses IP compromises**<\/p>\n<p>Chaque IP fait partie d&#8217;un pool d&#8217;adresses g\u00e9r\u00e9 par un AS (Syst\u00e8me Autonome).  Un AS est un r\u00e9seau \u00e9tendu ou un groupe de r\u00e9seaux qui ont une politique de routage unifi\u00e9e.  Chaque ordinateur ou appareil qui se connecte \u00e0 Internet est connect\u00e9 \u00e0 un AS.  En r\u00e8gle g\u00e9n\u00e9rale, chaque AS est exploit\u00e9 par une seule grande organisation, telle qu&#8217;un fournisseur de services Internet (ISP), une grande entreprise technologique, une universit\u00e9 ou une agence gouvernementale, et est, \u00e0 ce titre, responsable des adresses IP.<\/p>\n<p>Chaque IP agressive partag\u00e9e par la communaut\u00e9 CrowdSec est enrichie par son AS.  Ceci, combin\u00e9 aux donn\u00e9es sur la dur\u00e9e de l&#8217;agressivit\u00e9, peut fournir une image claire de la fa\u00e7on dont les AS g\u00e8rent les adresses IP compromises.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"S\u00e9curit\u00e9 collaborative\" border=\"0\" data-original-height=\"253\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657216908_239_Lere-de-la-securite-collaborative-ce-que-des-dizaines-de.jpg\" title=\"S\u00e9curit\u00e9 collaborative\" \/><\/div>\n<p>Bien que regarder simplement le nombre d&#8217;actifs compromis puisse \u00eatre un angle, ce ne serait pas n\u00e9cessairement juste.  Tous les op\u00e9rateurs ne sont pas de taille \u00e9gale, et certains h\u00e9bergent des services &#8220;plus risqu\u00e9s&#8221; (bonjour les CMS PHP obsol\u00e8tes) que d&#8217;autres. <\/p>\n<p>La dur\u00e9e moyenne malveillante de tous les IP dans le m\u00eame AS indique la diligence raisonnable de l&#8217;op\u00e9rateur dans l&#8217;identification et le traitement des actifs compromis.  La distribution de la dur\u00e9e moyenne est indiqu\u00e9e par des fl\u00e8ches pointant vers la position de l&#8217;AS le plus signal\u00e9 pour les principaux fournisseurs de cloud.  Par exemple, chez AWS, les adresses compromises restent compromises pendant 3 jours en moyenne.  Azur 9 jours.  En fin de tableau, les AS de Chine ou de Russie (surprise\u2026) &#8220;sont moins rapides&#8221; \u00e0 agir sur les IP compromises.<\/p>\n<p>Cet article est destin\u00e9 \u00e0 donner un aper\u00e7u de l&#8217;activit\u00e9 des menaces et des renseignements que les utilisateurs de CrowdSec voient quotidiennement.  S&#8217;il vous pla\u00eet<a rel=\"nofollow noopener\" href=\"https:\/\/global-uploads.webflow.com\/623ac4fd38806b4967e7c808\/62bda4acad9f2f711e822491_Majority_Report_Q42021%20(1)_compressed%20(1).pdf\" target=\"_blank\"> consultez la version compl\u00e8te du rapport ici si vous voulez plus de d\u00e9tails.<\/a><\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/the-age-of-collaborative-security-what.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Avis de non-responsabilit\u00e9\u00a0: cet article est destin\u00e9 \u00e0 donner un aper\u00e7u des cybermenaces telles qu&#8217;elles sont per\u00e7ues par la communaut\u00e9 des utilisateurs de CrowdSec. Que peuvent nous dire des dizaines de milliers de machines sur les activit\u00e9s ill\u00e9gales des pirates\u00a0? Vous souvenez-vous de cette sc\u00e8ne dans Batman &#8211; The Dark Knight, o\u00f9 Batman utilise un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":244542,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[87160,4168,4158,4165,4161,133,3818,4157,4159,4171,4170,471,4167,15487,1558,4160,4163,4162,1835,4172,4169,6044,4166,4164],"class_list":["post-244541","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-collaborative","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-dizaines","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lere","tag-logiciel-malveillant-de-ransomware","tag-machines","tag-milliers","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite","tag-securite-informatique","tag-securite-internet","tag-temoignent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/244541","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=244541"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/244541\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/244542"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=244541"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=244541"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=244541"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}