C’est un terme très largement utilisé, mais souvent mal compris.
L’Internet des objets est la flotte d’appareils électroniques connectés à Internet, comme :
Les capteurs de surveillance météorologique
Les feux de circulation
L’appareil GPS sur votre vélo, sur votre voiture ou sur votre téléphone intelligent
Entre autres.
Ces appareils sont littéralement partout.
Nous nageons constamment dans un océan de choses qui ont la capacité de communiquer avec les humains ou avec d’autres appareils.
Cela pose-t-il un problème ?
Je ne veux pas vous ennuyer en vous expliquant la façon dont l’IoT affecte tant de personnes et d’industries.
En faisant une recherche sur Google, vous aurez suffisamment de résultats pour un mois complet de lecture.
Ce dont j’aimerais parler, c’est de ce qui se passe habituellement lorsqu’un appareil est connecté en permanence à Internet.
Ce qui se produit habituellement, c’est qu’il est scanné, sondé, attaqué, forcé brutalement, pris en charge, attaqué par déni de service distribué (DDoS), éteint et/ou détruit.
—————————————————————————————————
« … La prise en charge à distance d’implants ou de dispositifs électroniques à l’intérieur d’un corps humain vivant est complètement différente…. »
—————————————————————————————————
Ce n’est pas une question de « si », mais de « quand » de tels incidents vont se produire.
Comme pour tout ce qui se passe dans notre monde, tout est dans le contexte.
Si vous piratez un panneau d’affichage dans une zone déserte afin d’afficher un dessin animé, cela ne causera pas beaucoup de problèmes.
Mais la prise en charge à distance d’implants ou de dispositifs électroniques à l’intérieur d’un corps humain vivant est totalement différente.
Les fournisseurs et les fabricants ne savent-ils pas ce qu’ils font ?
Il y a une croyance répandue avec laquelle beaucoup de gens sont fondamentalement en désaccord avec le fait que les fabricants et les fournisseurs de produits savent ce qu’ils font en matière de sécurité.
Après tout, ils ont de gros budgets et ce sont des experts auxquels vous pouvez faire confiance. Oui, ils savent comment fabriquer et vendre des produits et des appareils.
En réalité, si leur but est de construire et de vous vendre une poupée capable de parler et de communiquer avec votre fille via Internet, alors ils peuvent faire un travail fantastique. Si c’était tout ce qu’ils devaient faire, tout irait bien.
Eh bien, ce n’est pas le cas !
Les entreprises les plus puissantes et les plus compétentes de la planète n’ont pas réussi à sécuriser les appareils qu’elles construisent et vendent depuis quelques décennies.
Qu’est-ce qui vous fait croire que c’est sur le point de changer maintenant, d’autant que nous construisons et vendons encore plus de choses ?
Nous construisons plus rapidement des choses que nous ne pouvons les vérifier (en supposant que nous nous soucions d’abord de les vérifier). Je peux comprendre pourquoi certains secteurs n’accordent pas trop d’attention à la sécurité.
Après tout, si vous construisez des poupées « intelligentes », vous n’aurez peut-être pas à vous soucier trop de la sécurité, bien que cela n’excuse pas votre ignorance.
Par contre, si vos appareils et gadgets sont utilisés dans des infrastructures critiques, alors en tant que fabricant ou fournisseur, il est de votre devoir absolu de vous assurer que vos produits ne présentent aucun risque pour les humains ou la planète.
Vous devriez le savoir, et là, il n’y a plus d’excuses.
Protéger le réseau
Le phénomène BYOD est au milieu de toute cette polémique. Les employés et les entrepreneurs continueront d’apporter et d’utiliser leurs propres appareils au travail et ensuite à la maison.
Certains prétendent que la gestion du matériel et des logiciels de l’entreprise est déjà assez difficile en soi.
Alors, pourquoi créer plus de maux de tête en ajoutant des périphériques étrangers ?
D’autres soutiennent qu’il est préférable de gérer le processus plutôt que d’interdire les dispositifs.
Les employés continuent donc d’ignorer l’interdiction et utilisent leurs propres dispositifs au travail, quoi qu’il en soit.
Avec le concept de BYOD et l’utilisation croissante d’ordinateurs portables, de Smartphones et de tablettes, nous savons que le périmètre du réseau d’entreprise s’étend, mais la question est de savoir jusqu’où ?
De nombreuses organisations ont du mal à trouver un équilibre entre les besoins de leurs employés et leurs préoccupations en matière de sécurité.
Concept BYOD : Règles de sécurité vs habitudes
Lorsqu’on parle de la bataille entre règles et habitudes, ce sont souvent les habitudes qui gagnent. Vous pouvez avoir toutes les règles que vous pouvez imaginer, vos employés ne vont pas les respecter et les contourneront ou les ignoreront.
À moins que vous ne formiez vos employés à comprendre pourquoi ces règles sont importantes et ce qu’ils peuvent gagner en les respectant.
C’est la dure réalité.
C’est comme si vous deviez participer à une fusillade, alors que vous n’êtes armé que d’un bâton. Dans un tel cas, vous pourriez être témoin d’un miracle, mais encore une fois…
—————————————————————————————————
« …à moins que vous ne formiez votre personnel…C’est comme si vous deviez participer à une fusillade, alors que vous n’êtes armé que d’un bâton.»
—————————————————————————————————
Certains administrateurs système agissent selon les demandes des utilisateurs qu’ils administrent.
Si ces derniers souhaitent travailler sans droits d’administrateur, alors les administrateurs feront tout pour les satisfaire.
Si un utilisateur souhaite avoir accès à un domaine avec son appareil mobile, dans la plupart des cas, l’administrateur se pliera à cette demande.
Dans l’ensemble, les politiques bien conçues de BYOD peuvent fonctionner tant que les utilisateurs n’ont aucun problème avec leurs dispositifs, c’est-à-dire du moment que ces appareils répondent aux (ou dépassent les) exigences en matière de sécurité (filtrage web, antivirus, mises à jour, etc.) et tant qu’ils ne risquent pas de porter atteinte à la confidentialité des données.
Si un utilisateur dispose d’informations sensibles concernant l’activité et la sécurité de l’entreprise stockées sur leurs propres appareils, ils doivent comprendre que l’appareil peut être effacé, vérifié, ou confisqué pour enquête si c’est jugé nécessaire.
Mon avis sur le BYOD est le suivant : L’appareil utilisé a-t-il une connexion Internet ? Oui ? Alors, il a le potentiel de poser problème en quelques secondes et doit être considéré comme un fusil chargé, armé et dangereux.
Peu importe la tâche pour laquelle l’appareil a été conçu, tout ce qui compte, c’est ce qu’il fait ; comment il se comporte ; comment et avec quels outils il a été construit.
En brouillant la définition du périmètre du réseau, à la fois physiquement et en termes de propriété des actifs, le BYOD a un impact significatif sur le modèle traditionnel de sécurité et de protection du réseau d’une entreprise.
La sécurité n’est pas quelque chose que l’on peut « perfectionner ».
C’est une tâche difficile. Même les équipes très talentueuses, disposant de budgets énormes et des experts de renommée mondiale, peuvent encore faire des erreurs lors d’une implémentation d’une solution de sécurité.
Alors, réfléchissez bien aux appareils que vous autorisez dans votre vie, vos bureaux, vos villes, vos maisons, car au bout du compte, c’est votre vie.
Vous serez peut-être intéressé par notre guide gratuit qui comprend des recommandations et des conseils sur la mise en place ou la restructuration de votre infrastructure réseau.
Bien que l’introduction du WPA3 ait amélioré la sécurité Wifi, les réseaux sans fil constituent encore un maillon faible de la sécurité informatique des entreprises.
Les améliorations de sécurité Wifi WPA3 corrigent de nombreuses vulnérabilités de WP2, mais le protocole WPA3 seul ne suffit pas à bloquer toutes les menaces Wifi.
Protocoles de sécurité Wifi
Le protocole de sécurité WPA Wifi a été introduit en 1999.
Bien qu’il ait amélioré la sécurité informatique, craquer la sécurité WPA est devenu très facile pour les pirates.
En 2004, des améliorations de sécurité ont été introduites avec le protocole WPA2, mais ce dernier n’arrivait pas non plus à corriger toutes les vulnérabilités.
Peu de choses ont changé au cours des 14 dernières années, puis le WPA3 est enfin arrivé. La sécurité Wifi WPA3 a été considérablement améliorée, car plusieurs vulnérabilités importantes de WP2 ont été corrigées.
Améliorations de la sécurité Wifi WPA3
Les réseaux ouverts constituent l’une des plus grandes menaces à la sécurité Wifi. Ce sont des réseaux Wifi qui ne nécessitent ni mots de passe ni clés.
Les utilisateurs peuvent donc se connecter à un réseau sans entrer une clé pré-partagée. Tout ce dont ils ont besoin, c’est de connaitre le SSID du réseau sans fil.
Ces réseaux ouverts sont généralement utilisés dans des établissements collectifs comme les cafés, les hôtels et les restaurants, pour permettre aux clients de se connecter facilement à un point d’accès Wifi.
Le problème est que les utilisateurs envoient du texte brut au point d’accès, ce qui peut facilement être intercepté par des personnes malintentionnées.
WPA3 signifie la fin des réseaux ouverts. WPA3 utilise le chiffrement sans fil opportuniste (OWE).
Tout réseau ne nécessitant pas de mot de passe chiffrera les données sans aucune interaction ou configuration de l’utilisateur.
Ceci se fait grâce à la protection individualisée des données ou IDP (Individualized Data Protection).
Tout appareil qui tente de se connecter au point d’accès reçoit sa propre clé du point d’accès, même si aucune connexion au point d’accès n’a été établie auparavant.
Ainsi, la clé ne peut pas être recherchée et, même si un mot de passe est requis, l’accès via ce mot de passe ne permet pas aux pirates d’accéder aux données des autres utilisateurs.
Une autre amélioration de la sécurité qui a été intégrée au protocole WP3 réduit le risque d’attaques par piratage des mots de passe comme le WPA2 KRACK Attack.
Le WPA2 est vulnérable à la force brute et aux attaques par dictionnaire.
En effet, la sécurité dépend du fournisseur de points d’accès qui définit un mot de passe sécurisé, ce qui n’est pas le cas dans de nombreux établissements.
Avec le WPA3, le protocole d’échange de clés pré-partagées (PSK) est remplacé par l’authentification simultanée d’égal à égal (SAE) ou l’échange de clés Dragonfly, ce qui améliore la sécurité de l’échange de clés initial et offre une meilleure protection contre les attaques par dictionnaire faites hors ligne.
Le WPA3 traite également les vulnérabilités de sécurité dans le Wifi Protected Setup (WPS) qui facilite la connexion de nouveaux périphériques tels qu’un prolongateur Wifi. Avec WPA3, ce protocole a été remplacé par Wifi Device Provisioning Protocol (DPP).
La configuration des dispositifs informatiques non standard qui sont dépourvus d’affichage et qui se connectent à un réseau sans fil a été facilitée.
La suite de sécurité de 192 bits, alignée sur la suite Commercial national sécurity algorithm (CNSA), a été utilisé pour améliorer la protection des réseaux gouvernementaux, militaires et industriels.
De meilleurs contrôles ont été également mis en œuvre contre les attaques par force brute. Ces améliorations signifient que WPA3 est beaucoup plus sûr.
Malheureusement, à l’heure actuelle, très peu de fabricants prennent en charge le WPA3, même si cela devrait changer en 2019.
Questions de sécurité Wifi WPA3
Même avec les améliorations de sécurité Wifi WPA3, les réseaux Wifi resteront vulnérables aux attaques cybercriminelles.
WPA3 inclut le chiffrement pour les réseaux non protégés par mot de passe, mais il ne requiert aucune authentification. C’est aux fournisseurs de points d’accès d’en décider.
WPA3 est aussi sensible aux attaques man-in-the-middle (MITM) et n’offre aucune protection contre les attaques Evil Twin. L’utilisateur doit donc s’assurer qu’il accède au véritable point d’accès SSID.
La connexion au point d’accès peut être plus sûre grâce au WPA3, mais ce protocole n’offre aucune protection contre les téléchargements de malwares.
Les utilisateurs continueront d’être exposés au risque relatif aux sites Web malveillants, à moins qu’une solution de filtrage DNS ne soit utilisée, c’est-à-dire un filtre Web qui permet protéger les réseaux Wifi.
Améliorez la sécurité Wifi avec une solution de filtrage Wifi basée sur le DNS
Une solution de filtrage Wifi basée sur le DNS, telle que WebTitan Cloud for Wifi, protège les utilisateurs d’un réseau Wifi contre les attaques de malwares, les téléchargements de ransomwares et les menaces de phishing.
Le filtre dans le cloud permet également aux entreprises qui fournissent des points d’accès Wifi de contrôler soigneusement les contenus accessibles aux employés, aux clients et aux autres utilisateurs invités.
En passant au WPA3, la sécurité Wifi sera améliorée. Mais en rajoutant la solution WebTitan Cloud for Wifi, les utilisateurs seront mieux protégés une fois qu’ils se connectent au réseau.
De plus amples informations sur WebTitan Cloud pour Wifi sont détaillées dans la vidéo ci-dessous. Pour plus d’informations sur la sécurité Wifi — y compris les tarifs de l’offre WebTitan — et pour réserver une démonstration du produit, contactez l’équipe TitanHQ dès aujourd’hui.
En 1998, l’ICANN a publié les premiers noms de domaine et adresses IP.
Il n’y avait pas beaucoup de domaines de premier niveau (TLD) à choisir.
Chaque pays avait son propre suffixe de domaine, mais le choix était limité à :
.com
.org
.net
.edu
.mil
.gov
Au fil des ans, quelques options supplémentaires ont été introduites telles que :
.me
.mobi
.tv
.biz
Mais le suffixe qui a suscité le plus de controverse est .xxx — un TLD destiné aux sites Web contenant des images à caractère sexuel.
Le TLD .xxx a été considéré comme une méthode d’introduction d’un Quartier chaud (Red Light District) sur Internet, en le nettoyant à partir d’une attaque délibérée qui pourrait être contrôlée et facilement bloquée.
Certains fournisseurs de pornographie auraient accueilli favorablement cette mesure, tandis que d’autres s’y seraient opposés.
Il y a eu des protestations, mais le nouveau TLD a été publié en décembre 2011, et ICM Registry — une entreprise à but lucratif de Fort Lauderdale — s’est vu confier la responsabilité d’attribuer les TLDs.
D’ailleurs, le contrat pour ce projet était très lucratif.
ICM Registry aurait pu réaliser environ 200 millions de dollars par an grâce à cette opération.
Parfois, une bonne idée sur papier ne fonctionne pas toujours aussi bien dans la pratique.
Par exemple, certaines entreprises ont consacré beaucoup de temps à la création d’une marque de commerce.
Ils exploitaient leur domaine sur le domaine.com ; avaient acheté les versions .net, .mobi, .org et tous les autres TLDs pour protéger leur marque.
Ils n’ont pas aimé l’idée d’avoir à refaire cela avec la version XXX, et ils ne seraient pas non plus disposés à déplacer leur site principal vers le TLD .xxx.
Seules quelques marques étaient en faveur du nouveau TLD XXX
Les pornographes n’étaient pas les seuls à s’opposer à l’introduction du TLD .xxx.
L’administration Bush était opposée à cette solution.
En fait, on a demandé à l’ICANN de retirer son soutien à la proposition. Les critiques à l’égard de la proposition se sont multipliées et l’ICANN a subi une pression considérable.
Le ministère américain du commerce, qui a autorité sur l’ICANN, a reçu plus de 6 000 plaintes concernant l’introduction du TLD .xxx.
Même les politiciens qui avaient soutenu l’idée en l’an 2000 ont changé d’avis une décennie plus tard.
Naturellement, les groupes conservateurs ont également fait pression pour bloquer ladite proposition, en affirmant que n’était pas suffisant. Le TLD a été publié — avec un retard d’un mois — et un grand nombre de nouveaux sites pornographiques ont été lancés par la suite.
Comme on pouvait s’y attendre, il n’y a pas eu de réduction du nombre de sites pornographiques .com sur Internet. Le nouveau domaine a vu encore plus de créations.
L’ICANN a par la suite été poursuivie en justice pour le fait qu’elle avait créé un monopole et que l’introduction du TLD obligeait les entreprises à dépenser encore plus d’argent pour l’enregistrement de noms de domaine afin de les protéger contre le piratage.
Après quelques années, la poursuite a été abandonnée.
Contrôles mis en place pour protéger les marques de commerce
L’ICM Registry a créé le nouveau TLD, apparemment dans le but de nettoyer l’Internet.
Le .xxx TLD a été considéré comme un moyen de faciliter la recherche de pornographie.
Le fait de taper « porn » dans un moteur de recherche, par exemple, et comme un moyen de promouvoir une attitude responsable à son égard.
En théorie, du moins, cela aboutirait à un espace dédié où les sites Web pornographiques pourraient être hébergés.
Cependant, le défenseur de la protection des marques et des brevets Inventa a souligné que l’opposition au nouveau TLD .xxx était pratiquement universelle. Personne ne le voulait en dehors de l’ICANN (et de ICM Registry).
Quant aux craintes que les propriétaires de domaines et les entrepreneurs pourraient avoir avec cette situation, des contrôles ont été mis en place pour empêcher cela.
Les critères d’éligibilité devaient être remplis.
Une entreprise propriétaire de la version .com d’un site Web avec une marque déposée pourrait acheter le TLD .xxx correspondant pour l’utiliser comme domaine réservé aux adultes ou pour empêcher d’autres personnes de l’utiliser.
Amazon .xxx, par exemple, ne peut être acheté que par Amazon.com, car l’ICM Registry leur a réservé ce privilège.
Au contraire, si le nom de domaine n’a pas encore été attribué à une marque, il peut être acheté par n’importe qui.
Est-ce que ça valait la peine de faire tout cet effort ?
L’ICM Registry serait enclin à être d’accord, mais pour ce qui est de faire d’Internet un endroit plus sûr pour les enfants, de nettoyer certains sites pornographiques et d’avoir un Red Light District sur internet, cela n’a manifestement pas fonctionné.
Les plus grands noms de la pornographie sur Internet continuent d’utiliser leurs sites Web dotcom et n’ont pas fait le passage aux domaines XXX.
Les personnes intéressées à visionner de la pornographie n’ont pas besoin d’un TLD .xxx pour pouvoir le trouver, et ne se soucient pas du nom du site Web et encore moins du TLD du moment qu’il leur donne ce qu’ils cherchent.
Il n’est pas plus facile de bloquer les sites Web pornographiques qu’avant leur publication.
Le simple fait de bloquer l’accès aux sites Web avec un suffixe XXX ne fera aucune différence perceptible quant à la quantité de contenus pornographiques qui peuvent être visualisés en ligne.
Et ce, jusqu’à ce que des lois soient adoptées pour forcer les sites pornographiques à utiliser le domaine XXX — ce qui serait incroyablement difficile à mettre en œuvre.
La seule façon de bloquer efficacement l’accès à la pornographie est d’utiliser un filtre Web tel que SpamTitan Techno.
Les cybercriminels tirent parti de l’intérêt porté aux programmes de vaccination contre le COVID-19 et mènent une série d’escroqueries de phishing dans le but d’obtenir des données sensibles telles que des identifiants de connexion ou de distribuer des malwares. Plusieurs agences gouvernementales des États-Unis ont récemment mis en garde les entreprises et les utilisateurs finaux contre ces escroqueries, notamment le bureau de l’inspecteur général du ministère de la Santé et des services sociaux et les centres de services Medicare et Medicaid, ainsi que des organismes chargés de l’application de la loi comme le FBI.
De nouvelles attaques de phishing liées à la CoViD
Les escroqueries liées aux vaccins contre le COVID-19 peuvent prendre de nombreuses formes. Des campagnes ont déjà été détectées qui offrent un accès rapide à ces vaccins. Ces escroqueries exigent un paiement sous forme d’acompte ou de frais pour que vous puissiez vous retrouver en haut de la liste d’attente. D’autres escroqueries offrent une place sur la liste d’attente si vous faites une demande et que vous fournissiez vos informations personnelles.
Les escroqueries de phishing liées aux vaccins contre le COVID-19 se font par e-mails. Cependant, il est probable que les pirates fassent de la publicité sur des sites web, des médias sociaux, ou qu’ils mènent des escroqueries par téléphone ou par l’intermédiaire de messages SMS et de plateformes de messagerie instantanée.
Si bon nombre de ces escroqueries visent les consommateurs, les entreprises risquent d’être touchées lorsque leurs employés accèdent à leurs comptes de messagerie personnels au travail, ou si des e-mails malveillants sont envoyés à des adresses électroniques professionnelles.
Les e-mails frauduleux comportent souvent des liens vers des sites web où des informations sont recueillies. Ces liens peuvent être cachés dans les pièces jointes des messages pour les soustraire aux solutions de sécurité des e-mails. Les documents professionnels sont également couramment utilisés pour diffuser des malwares via des macros malveillantes.
Les e-mails usurpent généralement l’identité d’une organisation ou de personnes de confiance. Ils sont liés au vaccin contre le COVID-19 et sont susceptibles d’usurper l’identité des prestataires de soins de santé, des compagnies d’assurance maladie, des centres de vaccination et des autorités de santé publique fédérales, étatiques ou locales. Pendant la pandémie, il y a eu de nombreux cas où les pirates se faisaient passer pour les Centres américains de contrôle et de prévention des maladies (CDC) et l’Organisation mondiale de la santé (OMS) pour lancer des escroqueries de phishing liées au COVID-19.
Le ministère américain de la justice a récemment annoncé que deux domaines qui se sont fait passer pour des développeurs de vaccins ont été saisis. Ces domaines étaient des copies virtuelles des sites web légitimes de deux sociétés de biotechnologie impliquées dans le développement de vaccins. Le contenu malveillant a été supprimé, mais il est probable que de nombreux autres domaines verront le jour et seront utilisés dans les escroqueries de phishing au cours des prochaines semaines.
Des avertissements ont également été lancés concernant le risque d’attaques de ransomwares qui profitent de l’intérêt pour les vaccins contre le COVID-19 et permettent aux attaquants de prendre pied dans les réseaux dont ils ont besoin pour mener leurs attaques.
Se protéger contre le phishing lié au vaccin contre la CoViD-19
Il existe quatre mesures importantes que les entreprises peuvent prendre pour réduire le risque d’être victimes de ces escroqueries.
Le courrier électronique étant largement utilisé, il est essentiel de mettre en place une solution efficace de filtrage du spam. Les filtres antispam utilisent des listes noires d’e-mails et d’adresses IP malveillants dans le but de bloquer les messages malveillants.
Cependant, de nouvelles adresses IP sont constamment utilisées dans ce type d’escroquerie, il est donc important de choisir une solution qui intègre l’apprentissage machine. L’apprentissage machine permet d’identifier les menaces de phishing à partir d’adresses IP qui n’ont pas été utilisées auparavant à des fins malveillantes, et d’identifier et de bloquer les menaces de phishing du type « zero day ».
Le « sandboxing » est également important pour identifier et bloquer les menaces de malwares du type « zero day » dont la signature n’a pas encore été intégrée dans les listes de définition des virus des moteurs antivirus.
Si les filtres antispam peuvent identifier et bloquer les e-mails contenant des liens malveillants, une solution de filtrage web est également recommandée. Les filtres web sont utilisés pour contrôler les sites web auxquels vos employés peuvent accéder et empêcher les visites de sites web malveillants par la navigation générale sur le web, les redirections et les clics sur les liens malveillants dans les e-mails. Les filtres web sont constamment mis à jour par le biais de flux de renseignements sur les menaces afin de fournir une protection contre les URL malveillantes récemment découvertes.
Quoi qu’il en soit, les entreprises ne doivent pas négliger la formation des utilisateurs finaux et doivent proposer régulièrement des formations à leurs employés pour les aider à identifier les menaces de phishing et les e-mails malveillants. Par ailleurs, des séances de simulation de phishing sont nécessaires pour évaluer l’efficacité des formations de sensibilisation à la sécurité.
L’authentification multifactorielle devrait être appliquée comme dernière ligne de défense. En cas de compromission des informations d’identification, l’authentification multifactorielle permettra de s’assurer que les données volées ne pourront pas être utilisées pour accéder à distance aux comptes de messagerie des utilisateurs finaux.
Grâce à la mise en œuvre de ces mesures, votre entreprise sera bien protégée contre les malwares, les escroqueries de phishing liées au vaccin contre le COVID-19 et les autres menaces de phishing.
Pour plus d’informations sur le filtrage du spam, le filtrage du web et la protection de votre entreprise contre les malwares et les attaques de phishing, appelez l’équipe de TitanHQ dès aujourd’hui.
Une nouvelle campagne de spam a été identifiée. Elle utilise des fichiers Excel Web Query pour envoyer des malwares.
Dans ce cas, les fichiers avec une extension IQY (.iqy) sont utilisés pour lancer des scripts PowerShell, donnant aux attaquants l’accès root à un périphérique.
Les fichiers .iqy ne sont généralement pas bloqués par des filtres antispam, ce qui rend la technique efficace pour la diffusion silencieuse de malwares.
Les spams sont envoyés via le botnet Necurs. Barkly a détecté trois campagnes de spam utilisant ces pièces jointes, mais il est fort probable que d’autres campagnes seront lancées.
Les fichiers Excel Web Query obtiennent des données d’une source externe et les chargent dans Excel. Dans ce cas, les données externes se présentent comme une formule exécutable dans Excel.
La formule est utilisée pour exécuter des scripts PowerShell qui, dans au moins une campagne, téléchargent un Cheval de Troie d’accès distant (RAT) appelé FlawedAmmyyy Admin.
Comment fonctionne cette nouvelle campagne de spam via des fichiers Excel Web Query
Il s’agit d’un outil d’administration à distance légitime (AMMYY Admin) modifié qui permet à l’attaquant de contrôler complètement un ordinateur et d’installer de nombreux programmes malveillants.
Dans bien des cas, les emails se font passer pour des bons de commande, des factures impayées et des documents scannés.
Ce sont des thèmes courants utilisés dans les emails non sollicités pour livrer des malwares. Les campagnes de spam utilisent souvent des documents Word avec des macros malveillantes.
Les macros sont généralement désactivées par défaut. Grâce à une formation de sensibilisation à la sécurité, les utilisateurs finaux peuvent être avisés de ne pas activer les macros sur les documents provenant d’expéditeurs inconnus.
Ceci permet d’empêcher le téléchargement de malwares.
Cependant, la plupart des utilisateurs finaux ne seront pas habitués à recevoir des fichiers .iqy, ces pièces jointes devraient donc éveiller les soupçons.
Microsoft a déjà intégré des avertissements pour empêcher ces fichiers d’être exécutés par les utilisateurs finaux.
Ainsi, si un utilisateur final tente d’en ouvrir un, cela déclenche un avertissement, prévenant que le fichier peut ne pas être sûr, car il permet une connexion externe.
L’utilisateur devra cliquer sur « enable » avant que la connexion ne soit établie et que les données ne soient extraites dans Excel. Un deuxième message d’avertissement s’afficherait alors, nécessitant encore une fois une autorisation.
Le script ne pourra donc s’exécuter et télécharger la charge utile malveillante que si l’utilisateur ignore ces deux avertissements.
Vous pouvez prendre deux mesures pour protéger vos terminaux et vos réseaux contre ce type d’attaque.
La première est de configurer votre filtre antispam pour mettre en quarantaine tous les emails contenant des pièces jointes avec une extension IQY.
SpamTitan permet de bloquer certains types de pièces jointes comme les fichiers exécutables et les fichiers .iqy. Grâce à cette solution, vous pouvez définir la politique de quarantaine, de rejet ou de suppression des emails.
Etant donné que ces types de fichiers ne sont généralement pas envoyés via la messagerie électronique, le rejet ou la suppression des messages est donc l’option la plus sûre.
Vous devriez également intégrer la façon d’utiliser ces fichiers dans vos séances de formation de sensibilisation à la sécurité et envisager d’envoyer une alerte par email aux utilisateurs finaux pour les avertir de la menace.
Contactez l’équipe de TitanHQ pour protéger vos messageries électroniques des malwares
Vous trouverez de plus amples informations sur les mesures que vous pouvez prendre afin de prévenir la propagation d’infections par des malwares via la messagerie électronique sur notre page de conseils antispam.
