{"id":986435,"date":"2023-10-25T10:18:49","date_gmt":"2023-10-25T12:18:49","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lessor-du-ransomware-s3-comment-lidentifier-et-le-combattre\/"},"modified":"2023-10-25T10:18:53","modified_gmt":"2023-10-25T12:18:53","slug":"lessor-du-ransomware-s3-comment-lidentifier-et-le-combattre","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lessor-du-ransomware-s3-comment-lidentifier-et-le-combattre\/","title":{"rendered":"L&#8217;essor du ransomware S3\u00a0: comment l&#8217;identifier et le combattre"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 octobre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">L&#8217;actualit\u00e9 des hackers<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Lessor-du-ransomware-S3-comment-lidentifier-et-le-combattre.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Dans le paysage num\u00e9rique d&#8217;aujourd&#8217;hui, environ <a rel=\"nofollow noopener\" href=\"https:\/\/www.statista.com\/statistics\/1062879\/worldwide-cloud-storage-of-corporate-data\/\" target=\"_blank\">60%<\/a> des donn\u00e9es d&#8217;entreprise r\u00e9sident d\u00e9sormais dans le cloud, Amazon S3 constituant l&#8217;\u00e9pine dorsale du stockage de donn\u00e9es pour de nombreuses grandes entreprises. <\/p>\n<p>Bien que S3 soit un service s\u00e9curis\u00e9 propos\u00e9 par un fournisseur r\u00e9put\u00e9, son r\u00f4le central dans le traitement de grandes quantit\u00e9s de donn\u00e9es sensibles (informations personnelles des clients, donn\u00e9es financi\u00e8res, propri\u00e9t\u00e9 intellectuelle, etc.) constitue une cible juteuse pour les acteurs malveillants.  Il reste vuln\u00e9rable aux attaques de ransomwares qui sont souvent lanc\u00e9es \u00e0 l&#8217;aide de cl\u00e9s d&#8217;acc\u00e8s divulgu\u00e9es qui ont \u00e9t\u00e9 accidentellement expos\u00e9es par une erreur humaine et ont acc\u00e8s aux compartiments de l&#8217;organisation.<\/p>\n<p>Pour lutter efficacement contre ces menaces \u00e9volutives, il est essentiel de garantir que votre organisation dispose d&#8217;une visibilit\u00e9 sur votre environnement S3, que vous \u00eates conscient de la mani\u00e8re dont les acteurs malveillants peuvent compromettre les donn\u00e9es contre une ran\u00e7on et, plus important encore, des meilleures pratiques pour minimiser le risque que les cybercriminels ex\u00e9cutent avec succ\u00e8s. une telle attaque.<\/p>\n<h2 style=\"text-align: left;\"><strong>Assurer la visibilit\u00e9\u00a0: journaux d&#8217;acc\u00e8s CloudTrail et serveur<\/strong><\/h2>\n<p>La visibilit\u00e9 sert de base \u00e0 toute strat\u00e9gie de d\u00e9tection efficace.  Dans Amazon S3, presque chaque action se traduit par un appel d&#8217;API, qui est m\u00e9ticuleusement enregistr\u00e9 dans CloudTrail et document\u00e9 dans la documentation AWS. <\/p>\n<p>Les deux principales options de journalisation des activit\u00e9s dans les compartiments S3 (les \u00e9v\u00e9nements de donn\u00e9es CloudTrail et les journaux d&#8217;acc\u00e8s au serveur) contiennent une multitude d&#8217;informations que les professionnels de la s\u00e9curit\u00e9 doivent exploiter pour anticiper et d\u00e9tecter les activit\u00e9s suspectes.  Chacun offre des avantages et des compromis distincts\u00a0: <\/p>\n<ul>\n<li>\u00c9v\u00e9nements de donn\u00e9es Cloud Trail\u00a0: offrent une visibilit\u00e9 sur les op\u00e9rations de ressources effectu\u00e9es sur ou au sein d&#8217;une ressource en temps r\u00e9el, mais entra\u00eenent des implications potentielles en termes de co\u00fbts en raison des volumes \u00e9lev\u00e9s d&#8217;appels d&#8217;API.<\/li>\n<li>Journaux d&#8217;acc\u00e8s au serveur\u00a0: acc\u00e8s gratuit aux enregistrements pour chaque demande adress\u00e9e \u00e0 votre compartiment S3, mais s&#8217;accompagne de retards potentiels dans la disponibilit\u00e9 des journaux et d&#8217;une journalisation potentielle avec moins d&#8217;int\u00e9grit\u00e9.<\/li>\n<\/ul>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Lessor-du-ransomware-S3-comment-lidentifier-et-le-combattre.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Lessor-du-ransomware-S3-comment-lidentifier-et-le-combattre.png\" alt=\"CloudTrail\" border=\"0\" data-original-height=\"900\" data-original-width=\"1600\" title=\"CloudTrail\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Les avantages et les compromis entre les journaux d&#8217;acc\u00e8s au serveur et les journaux AWS CloudTrial.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 style=\"text-align: left;\"><strong>Att\u00e9nuer les risques en comprenant les sc\u00e9narios d&#8217;attaque<\/strong><\/h2>\n<p>En utilisant les journaux ci-dessus pour garantir une visibilit\u00e9 ad\u00e9quate, il est possible de garder un \u0153il sur les sc\u00e9narios d&#8217;attaque potentiels afin d&#8217;att\u00e9nuer efficacement les risques.  Nous observons trois principaux sc\u00e9narios d\u2019attaque avec les attaques du ransomware S3, qui peuvent tous emp\u00eacher une organisation d\u2019acc\u00e9der \u00e0 ses donn\u00e9es.  Vous trouverez ci-dessous les sc\u00e9narios d&#8217;attaque, ainsi que des liens vers des requ\u00eates de recherche que l&#8217;\u00e9quipe d&#8217;experts en chasse aux menaces de Hunters&#8217; <a rel=\"nofollow noopener\" href=\"https:\/\/www.hunters.security\/team-axon\" target=\"_blank\">\u00c9quipe Axon<\/a> a partag\u00e9 publiquement qui permet \u00e0 quiconque de rechercher ces sc\u00e9narios d&#8217;attaque dans son propre environnement\u00a0:<\/p>\n<ol>\n<li>Cryptage d&#8217;objets\u00a0: les ransomwares impliquent g\u00e9n\u00e9ralement le cryptage de fichiers pour refuser \u00e0 une organisation l&#8217;acc\u00e8s \u00e0 ses fichiers, nuire aux op\u00e9rations commerciales et exiger une ran\u00e7on pour r\u00e9cup\u00e9rer les fichiers.<\/li>\n<ol>\n<li>Requ\u00eate de chasse\u00a0: <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/axon-git\/threat-hunting-tools\/blob\/main\/S3%20Ransomware\/s3_ransomware_objects_encrypted_with_a_kms_key_not_owned_by_the_organization.sql\" target=\"_blank\">https:\/\/github.com\/axon-git\/threat-hunting-tools\/blob\/main\/S3%20Ransomware\/s3_ransomware_objects_encrypted_with_a_kms_key_not_owned_by_the_organization.sql<\/a><\/li>\n<\/ol>\n<li>Suppression d&#8217;objets &#8211; Op\u00e9rations de suppression\u00a0: la suppression de tous les objets d&#8217;un compartiment est un moyen simple pour les acteurs malveillants d&#8217;avoir un impact majeur sur les op\u00e9rations commerciales, am\u00e9liorant ainsi les chances des victimes de payer une ran\u00e7on.<\/li>\n<ol>\n<li>Requ\u00eate de chasse\u00a0: <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/axon-git\/threat-hunting-tools\/blob\/main\/S3%20Ransomware\/s3_ransomware_unauthorized_object_deletions.sql\" target=\"_blank\">https:\/\/github.com\/axon-git\/threat-hunting-tools\/blob\/main\/S3%20Ransomware\/s3_ransomware_unauthorized_object_deletions.sql<\/a><\/li>\n<\/ol>\n<li>Suppression d&#8217;objets &#8211; Politique de cycle de vie\u00a0: un moyen moins simple mais plus silencieux de supprimer des fichiers dans Cloudtrail qui offre toujours de fortes chances d&#8217;obtenir une ran\u00e7on pay\u00e9e<\/li>\n<ol>\n<li>Requ\u00eate de chasse\u00a0: <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/axon-git\/threat-hunting-tools\/blob\/main\/S3%20Ransomware\/s3_ransomware_unauthorized_deletion_using_bucket_lifecycle.sql\" target=\"_blank\">https:\/\/github.com\/axon-git\/threat-hunting-tools\/blob\/main\/S3%20Ransomware\/s3_ransomware_unauthorized_deletion_using_bucket_lifecycle.sql<\/a><\/li>\n<\/ol>\n<\/ol>\n<p><em>*Remarque\u00a0: Chiffrement d&#8217;objets et suppression d&#8217;objets &#8211; Les op\u00e9rations de suppression n\u00e9cessitent l&#8217;activation des \u00e9v\u00e9nements de donn\u00e9es Cloudtrail pour les compartiments appropri\u00e9s.<\/em><\/p>\n<p>Chaque sc\u00e9nario entra\u00eene des perturbations importantes, emp\u00eachant potentiellement les organisations d\u2019acc\u00e9der aux donn\u00e9es critiques.  En examinant les autorisations requises, les perspectives des attaquants et les m\u00e9thodes de d\u00e9tection pour chaque sc\u00e9nario, les organisations peuvent se pr\u00e9parer de mani\u00e8re proactive aux menaces potentielles.<\/p>\n<h2 style=\"text-align: left;\"><strong>Protection et bonnes pratiques<\/strong><\/h2>\n<p>Comprendre les sc\u00e9narios d&#8217;attaque permet de fournir un contexte sur la mani\u00e8re de mettre en \u0153uvre des mesures proactives pour r\u00e9duire consid\u00e9rablement la surface d&#8217;attaque.  Plusieurs mesures peuvent \u00eatre prises pour am\u00e9liorer la s\u00e9curit\u00e9 des compartiments S3 contre la menace des ransomwares.<\/p>\n<ul>\n<li>Utilisez des r\u00f4les IAM pour les informations d&#8217;identification \u00e0 court terme\u00a0: \u00e9vitez d&#8217;utiliser des cl\u00e9s d&#8217;acc\u00e8s IAM statiques.  Si vous utilisez des utilisateurs IAM, assurez-vous d&#8217;activer l&#8217;authentification multifacteur (MFA) pour eux.<\/li>\n<li>Suivez le principe du moindre privil\u00e8ge : cela garantit que les utilisateurs et les r\u00f4les poss\u00e8dent uniquement les autorisations n\u00e9cessaires \u00e0 leurs t\u00e2ches.  De plus, utilisez des strat\u00e9gies de compartiment pour restreindre l\u2019acc\u00e8s \u00e0 ces ressources essentielles.<\/li>\n<li>Activer le versioning S3\u00a0: cela signifie conserver une trace de chaque version de chaque objet stock\u00e9 dans votre bucket au lieu de le modifier directement.  Ceci est tr\u00e8s efficace contre les remplacements ou suppressions non autoris\u00e9s.<\/li>\n<li>Activer le verrouillage d&#8217;objet S3\u00a0: fonctionnant sur un mod\u00e8le WORM (\u00e9criture unique, lecture multiple), cela signifie que vos donn\u00e9es ne peuvent \u00eatre supprim\u00e9es par personne (les donn\u00e9es sont &#8220;verrouill\u00e9es&#8221;), ce qui prot\u00e8ge contre les modifications pendant des p\u00e9riodes d\u00e9finies.<\/li>\n<li>Configurer AWS Backup\/Bucket Replication\u00a0: il peut s&#8217;agir de toute forme de sauvegarde distincte en termes d&#8217;emplacement et de contr\u00f4le d&#8217;acc\u00e8s de votre compartiment actuel. <\/li>\n<li>Impl\u00e9mentez le chiffrement c\u00f4t\u00e9 serveur avec les cl\u00e9s AWS KMS\u00a0: cela donne \u00e0 votre organisation un contr\u00f4le sp\u00e9cifique sur qui peut acc\u00e9der aux objets du compartiment.  Cela fournit encore un autre niveau de protection contre ceux qui peuvent chiffrer et d\u00e9chiffrer les objets de votre compartiment.<\/li>\n<\/ul>\n<h2 style=\"text-align: left;\"><strong>Conclusion<\/strong><\/h2>\n<p>Alors que les volumes de donn\u00e9es continuent d&#8217;augmenter, la s\u00e9curisation d&#8217;Amazon S3 est primordiale pour prot\u00e9ger des millions d&#8217;organisations contre les attaques de ransomwares et l&#8217;\u00e9volution des cybermenaces.<\/p>\n<p>Hi\u00e9rarchiser les menaces, garantir la visibilit\u00e9 via CloudTrail et les journaux d&#8217;acc\u00e8s au serveur et mettre en \u0153uvre des mesures proactives sont des \u00e9tapes essentielles pour att\u00e9nuer les risques.  En adoptant ces strat\u00e9gies, les organisations peuvent renforcer la protection de leurs compartiments S3 et garantir l&#8217;int\u00e9grit\u00e9 et la s\u00e9curit\u00e9 de leurs donn\u00e9es critiques.<\/p>\n<p>Pour une analyse plus d\u00e9taill\u00e9e des sc\u00e9narios d&#8217;attaque courants et des meilleures pratiques, consultez un <a rel=\"nofollow noopener\" href=\"https:\/\/www.youtube.com\/watch?v=8lljel4GgYU\" target=\"_blank\">vid\u00e9o approfondie<\/a> de l&#8217;\u00e9quipe Axon.  Team Axon est la branche experte en mati\u00e8re de chasse aux menaces du remplacement populaire du SIEM. <a rel=\"nofollow noopener\" href=\"https:\/\/www.hunters.security\/\" target=\"_blank\">Chasseurs<\/a>et offre une r\u00e9ponse rapide aux cybermenaces \u00e9mergentes, une expertise cyber \u00e0 la demande et une chasse proactive aux menaces dans les environnements des clients. <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/team__axon\" target=\"_blank\">Suivez l&#8217;\u00e9quipe Axon sur X<\/a> pour des mises \u00e0 jour opportunes sur les cybermenaces \u00e9mergentes et du contenu cyber de premi\u00e8re qualit\u00e9.<\/p>\n<h4 style=\"text-align: left;\"><strong>Ressources S3 suppl\u00e9mentaires\u00a0:<\/strong><\/h4>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/the-rise-of-s3-ransomware-how-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 octobre 2023\ue804L&#8217;actualit\u00e9 des hackers Dans le paysage num\u00e9rique d&#8217;aujourd&#8217;hui, environ 60% des donn\u00e9es d&#8217;entreprise r\u00e9sident d\u00e9sormais dans le cloud, Amazon S3 constituant l&#8217;\u00e9pine dorsale du stockage de donn\u00e9es pour de nombreuses grandes entreprises. Bien que S3 soit un service s\u00e9curis\u00e9 propos\u00e9 par un fournisseur r\u00e9put\u00e9, son r\u00f4le central dans le traitement de grandes quantit\u00e9s [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":986436,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,19806,767,4168,4165,4161,200267,4159,4171,8993,64243,200271,200268,200269,200270,4392,128318,4172,4169,4166,4164],"class_list":["post-986435","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-combattre","tag-comment","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-lessor","tag-lidentifier","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-ransomware","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/986435","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=986435"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/986435\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/986436"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=986435"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=986435"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=986435"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}