Alors que nous devenons de plus en plus dépendants des applications web, il n’est pas surprenant que les applications soient exposées à un risque important de vulnérabilités informatiques.
De nos jours, les entreprises utilisent différentes sortes applications pour effectuer presque toutes les tâches nécessaires à leur bon fonctionnement. En fait, la prolifération des applications est l’évolution naturelle de la transformation numérique, et nos opérations commerciales essentielles ainsi que nos routines de travail quotidiennes en seront de plus en plus dépendantes.
Une étude récente de WhiteHat Security montre qu’au moins 50 % des applications utilisées par les secteurs industriels les plus populaires contiennent une ou plusieurs vulnérabilités informatiques. Ces secteurs comprennent l’industrie manufacturière, les services publics, la santé, le commerce de détail, l’éducation et les services publics, pour n’en citer que quelques-uns.
Le secteur de la fabrication présente le niveau d’exposition le plus élevé, avec près de 70 % des applications présentant au moins une vulnérabilité exploitable.
Si ce constat est très préoccupant pour les professionnels de la cybersécurité, il fait le bonheur des pirates et des cybercriminels qui sont constamment à la recherche d’une faille dans les systèmes de défense informatique des entreprises d’aujourd’hui dont ils pourraient tirer parti.
Selon ledit rapport, les cinq principales classes de vulnérabilités enregistrées au cours du quatrième trimestre de 2020 comprennent la fuite d’informations, l’expiration insuffisante de la session, le cross site scripting, la protection insuffisante de la couche de transport et l’usurpation de contenu.
Les chercheurs à l’origine du rapport ont déclaré que – pour découvrir, exploiter et tirer pleinement parti de ces vulnérabilités, il n’est pas nécessaire de suivre une formation spécialisée.
Le récent rapport State of Software Security de Veracode a révélé que 76 % de toutes les applications présentent au moins une vulnérabilité. Toutefois, il indique également que seuls 24 % des logiciels contiennent une vulnérabilité de haute gravité.
Les dommages résultant de l’exploitation d’une vulnérabilité peuvent être coûteux
L’abondance de vulnérabilités informatiques a des conséquences financières pour de nombreuses entreprises. Selon la compagnie d’assurance anglaise Hiscox, les entreprises ont subi des cyberpertes de 1,5 milliard d’euros, soit six fois plus qu’au cours des 12 mois précédents.
Le fournisseur d’assurance précise que les entreprises d’Angleterre ont 15 fois plus de chances de subir une cyberattaque qu’un incendie ou un vol.
Les vulnérabilités des applications coûtent de l’argent aux entreprises sur plusieurs fronts. Il y a évidemment le coût résultant de l’utilisation de ces vulnérabilités lors d’une cyberattaque.
Mais il y a aussi le coût réel de la correction de ces vulnérabilités, y compris le coût de la détection et le coût de la réparation des dégâts, étant donné que le coût horaire de travail d’un développeur est généralement élevé.
Pourquoi les applications web sont-elles si vulnérables ?
L’une des principales raisons de l’existence d’un si grand nombre de vulnérabilités informatiques est la multiplicité des applications. Chaque application est différente et utilise des systèmes de codage différents. Cela fait de chaque application une surface d’attaque unique.
Le temps nécessaire pour corriger ces vulnérabilités est un autre facteur contributif. Le délai moyen est de 189 jours, tous secteurs confondus. Mais cela suppose que la vulnérabilité soit effectivement corrigée. Selon le 2020 Mid-Year Attack Trends Report de Check Point, 80 % des attaques utilisent des vulnérabilités signalées il y a trois ans ou plus.
En d’autres termes, la majorité des attaques soutenues en 2020 ont été rendues possibles par des vulnérabilités informatiques signalées en 2017. En outre, le rapport a montré qu’une attaque sur cinq utilisait des vulnérabilités vieilles d’au moins sept ans.
Selon Paloalto, 80 % des kits d’exploitation publics sont développés et diffusés avant qu’une alerte CVE (Common Vulnerabilities and Exposures) puisse être publiée. Ils ont constaté qu’un kit d’exploitation public standard est connu 23 jours avant la publication de la CVE correspondante. Au cours des 22 dernières années, cette moyenne a atteint 40 jours.
La nouvelle se répand rapidement au sein de la communauté cybercriminelle, et des gens peu scrupuleux sont prompts à frapper dans ces portes d’opportunité. Il ne fait aucun doute que nous devons réduire l’écart entre la découverte des vulnérabilités et la publication des CVE.
Sans oublier, bien sûr, l’existence des vulnérabilités de type « zero-day ». Une étude a montré que 66 % des détections de malwares au cours du deuxième trimestre de 2020 impliquaient l’exploitation de vulnérabilités de type « zero-day ».
Ne blâmez pas seulement les éditeurs de logiciels
Si le rapport de Check Point semble très préjudiciable aux éditeurs de logiciels, ils ne sont pas les seuls à blâmer. Une grande raison pour laquelle les attaquants continuent d’exploiter d’anciennes vulnérabilités est que les entreprises continuent d’utiliser des systèmes d’exploitation et des logiciels obsolètes.
Selon une enquête de Spiceworks datant de 2019, 32 % des entreprises utilisaient encore des systèmes Windows XP à l’époque. En décembre dernier, on estime que 8,5 % des ordinateurs Windows fonctionnent sous Windows 7.
Une fois qu’un système d’exploitation ou une application est déprécié, il n’est plus pris en charge et le fournisseur cesse de fournir de nouveaux correctifs.
Et même si les éditeurs de logiciels publient de nouveaux correctifs, il n’est pas rare que les entreprises ne les appliquent pas. Selon l’Agence américaine pour la cybernétique, l’absence de correctifs pour les vulnérabilités, dont beaucoup datent de plus d’un an, expose les organisations à un risque de compromission beaucoup plus élevé.
L’agence indique que l’une des dix vulnérabilités les plus couramment exploitées a été divulguée pour la première fois en 2012.
Les experts en cybersécurité insistent constamment sur la nécessité de maintenir tous les systèmes et logiciels à jour. Bien que cela puisse sembler être un disque rayé, il y a une raison pour laquelle ils répètent constamment ce message : c’est parce que cela fonctionne !
TitanHQ est un fournisseur de cybersécurité récompensé à plusieurs reprises. Apprenez-en davantage sur TitanHQ et sur la manière dont nous pouvons protéger votre entreprise grâce à la sécurité des emails, au filtrage DNS et à l’archivage des emails pour la conformité.
Les cybercriminels sont toujours à la recherche de moyens plus faciles de se faire un peu d’argent sur le dos des gens. De la même manière que les petits voleurs se tournent vers le vol à la tire dans les lieux touristiques bondés de voyageurs imprudents, ils ciblent les sites web qui attirent le plus d’utilisateurs peu méfiants.
L’un de ces sites est la plate-forme de chat Discord, très populaire auprès des aux joueurs de jeux vidéo en ligne, mais qui s’est également étendue à d’autres communautés. Elle permet aux utilisateurs d’interagir les uns avec les autres par le biais d’un large éventail de moyens tels que les appels vocaux, les appels vidéo ou les textos.
Le paradis perdu
Selon le magazine Forbes, Discord comptait 150 millions d’utilisateurs et sa valeur, estimée à 2 milliards de dollars en 2019, ne cesse d’augmenter. Forbes a révélé dans un article que des groupes Discord qui s’adonnaient à des activités cybercriminelles faisaient l’objet d’une enquête du FBI à l’époque.
La majeure partie de cette activité criminelle consistait en de petites escroqueries. Les cybercriminels utilisaient des chats en direct pour proposer des cartes-cadeaux à prix réduit ou des abonnements à vie à des Malware-as-a-Service (MaaS) – une version criminelle de Software as a service (SaaS) qui permet la location d’une application via Internet – pour une somme symbolique.
Dans d’autres cas, ils vendaient des cartes de paiement et des comptes PayPal volés. Certains de ces malfaiteurs ciblaient spécifiquement les enfants.
Alors qu’il était autrefois considéré comme un « paradis pour les joueurs », Discord semble être devenu un nouveau paradis pour la cybercriminalité, selon le magazine Cyware.
Le manque de supervision de Discord a des conséquences
L’une des caractéristiques et qui a rendu Discord si populaire auprès de ses utilisateurs est son accès ouvert et la flexibilité en matière de supervision. Mais ce manque de surveillance a un prix, car cela encourage la diffusion de contenus illicites et la cyberintimidation, tout en favorisant les comportements malveillants.
Le fait que les utilisateurs non inscrits puissent télécharger le contenu téléchargé rend difficile la recherche des responsables de la distribution de malwares ou de matériel illicite. Même si certaines personnes qualifient cela de liberté, d’autres le considèrent comme une pure erreur de gestion de la part de Discord.
Le CDN de Discord
Outre la compromission continue du service de chat Discord, la société de cybersécurité Zscaler a déclaré que les cybercriminels abusent du service cdn.discorapp.com pour diffuser des malwares. Zscaler a déclaré avoir capturé plus de 100 échantillons de codes malveillants uniques provenant de Discord sur une période de deux mois.
Les auteurs attirent d’abord l’intérêt des utilisateurs avec des emails de phishing qui encouragent le téléchargement de logiciels piratés ou d’applications de jeux.
Selon Bleeping Computer, les pirates profitent d’une vulnérabilité unique de Discord qui leur permet de supprimer un fichier malveillant après l’avoir téléchargé sur les serveurs de Discord, mais de le conserver dans le réseau de distribution de contenu (CDN) de la marque pour pouvoir le télécharger à nouveau.
Un large éventail de catégories de malwares, y compris des enregistreurs de frappe, sont facilement distribués à l’aide de ce CDN. Même si Discord avait émis des avertissements concernant certains téléchargements, des tests ont montré que de nombreux téléchargements malveillants connus n’étaient pas du tout signalés.
Webhook et ransomware dans Discord
Discord utilise une fonctionnalité appelée « Webhook ». Elle permet aux utilisateurs de poster un contenu via l’envoi d’un message même s’ils ne disposent pas de l’application Discord.
Bien que cette fonctionnalité ait ses mérites et son utilité, elle permet également aux pirates de sonder les sessions web et de voler des identifiants de connexion enregistrés dans certains des principaux navigateurs web, ainsi que les jetons d’utilisateur (token) de Discord.
TrendMicro a récemment découvert un nouveau ransomware qui utilise des webhooks comme plateforme de communication avec ses victimes. Une autre souche de ransomware appelée « Hog » présentait également une nouvelle tournure concernant le processus de déchiffrement.
Plutôt que d’émettre une clé, la machine de la victime n’est déchiffrée qu’une fois qu’elle a rejoint le serveur Discord. Une fois la machine connectée, l’utilisateur s’authentifie avec son jeton d’utilisateur qui fait office de clé intégrée à un malware.
Le remède aux cybermenaces liées à Discord
Alors comment empêcher vos utilisateurs de visiter un site tel que Discord ? La réponse est d’utiliser un filtrage DNS avancé et une solution de sécurité web telle que WebTitan.
Comme de nombreux filtres de sécurité web standard, vous pouvez créer des politiques qui refusent l’accès à des sites tels que Discord. Mais WebTitan va au-delà du simple filtrage d’URL.
Son service de détection des malwares surveille et identifie activement les menaces en temps réel, bloquant ainsi l’accès des utilisateurs aux sites hébergeant des malwares, des menaces de phishing, des virus, des ransomwares et aux sites qui renferment des contenus malveillants.
En outre, la solution antimalware de WebTitan permet de s’assurer que les codes malveillants ne s’échappent pas d’un serveur web compromis.
TitanHQ propose aussi SpamTitan, une solution de sécurité de la messagerie électronique capable de bloquer les emails de phishing qui pourraient diriger les utilisateurs finaux vers Discord.
Le fait est qu’il existe de nombreux endroits périlleux sur Internet, et qu’il en existera probablement toujours. Mais si vous utilisez la combinaison de WebTitan et de SpamTitan, vous n’aurez plus à vous soucier de ces zones précaires.
Voulez-vous savoir comment protéger vos employés pour qu’ils n’atterrissent pas dans des endroits précaires comme Discord, quel que soit leur emplacement ? Contactez l’un de nos experts dès aujourd’hui.
Les cybercriminels disposent de nombreux outils et tactiques pour mener leurs attaques, mais certains fonctionnent mieux que d’autres. Ils privilégient des méthodes spécifiques en fonction de leurs objectifs.
Par exemple, le phishing est très prisé pour le vol des informations d’identification, tandis que les malwares fonctionnent bien lorsque le but est de voler des données et de fournir des portes dérobées pour prendre le contrôle total du serveur d’une organisation.
Voici quelques tendances concernant les attaques de malwares en 2020 qui continueront probablement à être populaires cette année.
Le phishing reste l’attaque la plus courante
Chaque année, le nombre d’attaques de phishing ne cesse d’augmenter au niveau mondial. Le phishing offre plusieurs options aux attaquants.
La première est que les attaquants peuvent soit jeter un large filet et envoyer des milliers d’emails de phishing dans l’espoir que quelques-uns soient victimes de la campagne, soit créer des messages ciblés destinés à des employés spécifiques ayant un accès réseau de haut niveau.
Grâce à des pièces malveillantes, bien conçues et jointes aux emails de phishing, les pirates peuvent télécharger et installer facilement des malwares. Il peut s’agir d’un ransomware qui chiffre les données et oblige les victimes de payer une rançon à l’attaquant en échange des clés de déchiffrement.
Il peut également s’agir d’un cheval de Troie qui crée des portes dérobées sur le réseau ou installe des outils d’accès à distance, permettant à un escroc de prendre le contrôle total de l’ordinateur de sa victime.
Les malwares installés
Les malwares offrent aux attaquants un large éventail de possibilités d’exploitation. Pour qu’un attaquant puisse voler des données ou extorquer de l’argent à une victime, il faut généralement utiliser un malware.
Le potentiel des malwares lui offre un large éventail de gains monétaires. Pour ce faire, le pirate peut par exemple voler des données sensibles d’une organisation pour ensuite les vendre sur le dark web.
Les chevaux de Troie peuvent également donner aux attaquants le contrôle à distance d’un ordinateur. Ce type de malware a été à l’origine de compromissions à grande échelle telles que le vol de données, l’atteinte d’infrastructures publiques telles que des centrales électriques et des usines de traitement des eaux, ainsi que l’espionnage d’organisations concurrentes.
Les ransomwares sont un autre type d’application malveillante courante. Ils peuvent être dévastateurs si les attaquants parviennent à l’installer sur un ordinateur local ou une infrastructure critique telle qu’un serveur. En utilisant un ransomware, un pirate informatique peut gagner jusqu’à plusieurs milliers d’euros avec une attaque réussie.
Ce qui fait d’une attaque de ransomware une menace plus inquiétante que les autres attaques de malwares, c’est qu’elle utilise un chiffrement sécurisé pour verrouiller les fichiers et que les entreprises doivent payer la rançon pour récupérer et déchiffrer leurs données.
La seule façon de se remettre d’un ransomware est de restaurer les fichiers à partir d’une sauvegarde. En fait, le paiement de la rançon ne garantit pas que la clé privée sera livrée et que les fichiers seront restaurés.
Exploitation des vulnérabilités logicielles
L’année 2020 a vu une augmentation des vulnérabilités logicielles, car de plus en plus d’entreprises sont passées au numérique. L’augmentation du nombre de logiciels, de serveurs et de travailleurs à domicile a laissé le champ libre aux attaquants ayant les compétences nécessaires pour trouver et exploiter les vulnérabilités des logiciels qui présentent des bugs.
Les vulnérabilités sont publiées dans la base de données CVE (Common Vulnerabilities and Exposures), ce qui signifie que les attaquants peuvent simplement rechercher n’importe quel type de vulnérabilité et développer un kit d’exploitation pour celle-ci.
La création de scripts qui analysent les vulnérabilités est également une activité importante pour les attaquants. Une fois qu’une vulnérabilité est trouvée, un script peut analyser des milliers de sites en quelques minutes seulement pour trouver des serveurs ou des machines hôtes susceptibles d’être exploités.
Une fois qu’une vulnérabilité commune est trouvée, il suffit de quelques minutes pour qu’un kit d’exploitation soit lancé et affecte l’hôte cible.
L’utilisation des logiciels non corrigés était courante en 2020, ce qui rendait également les hôtes vulnérables aux exploitations malveillantes. Lorsque les développeurs de logiciels publient des correctifs de sécurité, les vulnérabilités corrigées par la mise à jour sont répertoriées.
Tout hôte qui n’a pas installé le correctif est vulnérable jusqu’à ce que les administrateurs corrigent le système. Cela laisse une fenêtre d’opportunité pour un attaquant, ce qui peut en faire une cible pour les robots et les scanners qui trouvent et exploitent le problème.
Le chiffrement dans les attaques de malwares
Il y a eu un grand changement en 2020 : les attaquants ont commencé à utiliser le chiffrement pour cacher les attaques de malwares. Le chiffrement dans les attaques de malwares offre aux pirates la possibilité supplémentaire de se cacher des moniteurs et de protéger leur code malveillant.
Cette tendance rend les malwares beaucoup plus efficaces et plus difficiles à trouver pour les chercheurs en cybersécurité une fois qu’ils sont déployés sur un périphérique réseau tel qu’un ordinateur de bureau ou un serveur.
Les meilleures pratiques pour protéger votre entreprise
Les escrocs sont peut-être meilleurs dans leur domaine, mais vous pouvez toujours prendre les mesures nécessaires pour mettre fin à leurs attaques. Pour empêcher le phishing, installez toujours un système de sécurité de la messagerie électronique. Cela inclut des filtres qui sont conçus pour empêcher les messages malveillants d’atteindre la boîte de réception de vos employés.
Pour stopper les malwares, des filtres de messagerie sont également nécessaires. Dans ce cas, leur rôle est de bloquer les malwares qui envoient des données à un attaquant et ceux qui tentent d’accéder à vos fichiers sensibles.
Enfin, il faut toujours appliquer des correctifs pour vos logiciels dès qu’ils sont disponibles, en particulier sur les serveurs destinés au public. La mise à jour des logiciels empêche les attaquants d’exploiter les dernières vulnérabilités qui pourraient affecter les logiciels que vous avez installés.
Les cyberattaques utilisant des ransomwares se multiplient d’année en année, mais quel est exactement le secret de leur succès ?
D’une manière générale, la réussite d’une activité commerciale est évaluée par sa rentabilité. Plus elle génère des profits, plus elle est perçue comme réussie. À cet égard, on peut considérer les actes criminels utilisant des ransomwares comme une activité très prospère.
En 2020, les attaques de ransomwares se sont déchaînées. Les experts en sécurité de PurpleSec ont estimé que le coût final des ransomwares pour les entreprises mondiales en 2020 devrait aller au-delà de 16 milliards d’euros. Ils ont également prédit que la tendance des attaques de ransomwares continuera d’être la menace numéro un dans les années à venir.
Pourquoi ? Parce que les ransomwares rapportent de l’argent aux cybercriminels.
Les cybercriminels dissimulent les ransomwares à la vue de tous
Lorsqu’une activité est considérée comme prospère, il est certain que ses initiateurs vont continuer de la promouvoir, et les opportunités seront construites sur la base de leurs précédents succès.
Si certaines portes de sécurité se ferment aux attaques de ransomware, d’autres vont s’ouvrir grâce à l’innovation dans le monde de la cybercriminalité. En fait, les auteurs d’attaques de ransomware ne connaissent aucune limite dans leur course à l’argent.
Toutes les astuces d’ingénierie sociale ont été utilisées au fil des ans, de la sextorsion au phishing. La prolifération du vol de données – y compris les identifiants de connexion – alimente la boucle de la manipulation sociale, permettant aux pirates de demander de rançon dont les montants sont souvent conséquents.
Les attaques de « credential stuffing » sont un bon exemple. Elles sont souvent liées aux attaques de ransomware, impliquant le vol d’informations, la connexion à des comptes privilégiés et l’installation de malwares.
Les pirates derrière les attaques de ransomware raisonnent comme des chefs d’entreprise astucieux. Ils cherchent toujours à tirer le meilleur parti de leur « produit ».
Ils utilisent les ransomwares non seulement pour extorquer de l’argent à leurs victimes en demandant une rançon contre la clé de déchiffrement de leurs données chiffrées ou en menaçant de divulguer les informations sensibles qu’ils ont collectées sur le web au cas où elles refusent de payer.
La menace d’une fuite des données volées peut souvent faire pencher la balance dans la décision de payer, ou non, la demande de rançon. Sophos décrit ce phénomène comme un « marché secondaire de l’extorsion ». Dans un rapport de 2020 sur les tactiques de ransomware, l’éditeur de sécurité a constaté qu’un nombre croissant d’outils de ransomware sont utilisés pour exfiltrer des données du réseau de la victime.
Dans un précédent article, TitanHQ a évoqué cette tactique de « double jeu », en décrivant comment le ransomware CLOP utilise une technique de « double extorsion » pour chiffrer et voler des données, en menaçant de les exposer pour donner plus de poids à la demande de rançon.
Les attaques de ransomware connaissent un succès croissant. Ce succès a encouragé les criminels à l’origine de ces attaques, lequel est dû en grande partie à des tactiques astucieuses qui dissimulent les ransomwares à la vue de tous, permettant aux vecteurs d’attaque et aux malwares d’échapper à la détection.
Par exemple, de nombreux kits de ransomware modernes utilisent actuellement des utilitaires légitimes comme base pour diffuser des ransomwares. Cela signifie que les vecteurs d’attaque et les malwares ont peu de chances d’être détectés par les solutions de sécurité des points finaux.
Sur ce point, le rapport de PurpleSec a souligné que, dans 75 % des cas d’attaques de ransomware, les organisations utilisaient une sécurité des points d’accès à jour.
Menaces et outils de ransomware
En 2020, la pandémie du Covid-19 a joué un rôle important dans l’augmentation de l’activité des ransomwares. Il a été découvert qu’au cours de l’année, le protocole de bureau à distance (Remote Desktop Protocol – RDP) était la principale cause des attaques de ransomware.
En raison de la politique de travail à domicile adoptée par de nombreuses organisations pendant la pandémie, les entreprises ont été contraintes de recourir au protocole RDP. En conséquence, les attaquants de ransomwares ont concentré leurs efforts sur ce point faible en utilisant la reconnaissance des informations d’identification ou des attaques par force brute.
Une fois le réseau compromis via ce protocole, les pirates peuvent facilement télécharger des ransomwares sur le réseau de leurs victimes, surtout si le vecteur d’attaque utilise les boîtes à outils adaptatifs qui échappent à la détection.
L’accessibilité des kits de ransomware vient aggraver ces problèmes et le concept de Ransomware-as-a-Service (RaaS) est devenu courant. Le RaaS est une pratique permettant aux cybercriminels qui veulent participer à l’action de cyber-extorsion même s’ils n’ont pas les compétences nécessaires pour développer leur propre malware en louant ou en achetant des kits d’exploitation.
L’un des kits RaaS les plus connus s’appelle Ransomware Evil ou REvil, également connu sous le nom de Sodinokibi. Il fonctionne sur la base d’une affiliation et peut rapporter à ses développeurs jusqu’à 30 % des recettes. Un rapport d’IBM sur le problème des ransomwares a révélé qu’une attaque de ransomware sur trois utilisait le kit d’exploitation REvil.
Les ransomwares vont-ils continuer à hanter les entreprises en 2021 ?
2020 fut une année fructueuse pour les cybercriminels dans le domaine des ransomwares. Ils ont adapté leurs tactiques pour s’adapter au climat du travail à domicile et s’efforcent de plus en plus de tirer parti de la prolifération des données et des identifiants volés.
Les entreprises de tous les secteurs doivent s’attendre à ce que les attaques de ransomware se poursuivent du moment que les cybercriminels continuent à en tirer des profits. Le RaaS ne fait qu’exacerber le problème en rendant les kits d’exploitations permettant de diffuser des ransomwares plus faciles à obtenir et à utiliser.
Une chose est sûre, les cybercriminels ne cesseront d’adapter leurs tactiques et leurs processus à l’environnement industriel en mutation.
Le ransomware d’autrefois, qui servait à chiffrer des données en vue de demander une rançon, utilise désormais des techniques élargies, notamment l’exfiltration de données et la menace d’exposition des informations volées. Pour les cybercriminels, les attaques de ransomware restent un business florissant.
Les organisations doivent elles aussi s’adapter pour contrer ces cybermenaces, quelle que soit la forme qu’elles prennent. Pour ce faire, elles doivent s’efforcer de stopper les ransomwares avant le point d’entrée, plutôt que de traiter l’attaque une fois qu’elle est lancée.
Le recours à l’ingénierie sociale pour manipuler les utilisateurs ; le vol de données et d’informations d’identification pour propager les attaques ; ainsi que les outils adaptatifs qui échappent à la détection, font des ransomwares une menace redoutable pour la sécurité.
Bref, étouffer les ransomwares dans l’œuf est un geste stratégique de la part d’une organisation pour contenir cette menace, et sachez que la protection des points finaux peut s’avérer insuffisant.
L’utilisation d’un système de surveillance intelligent, conçu pour les menaces complexes comme les ransomwares, permet de détecter les menaces en temps réel avant qu’elles ne deviennent une infection.
Contrairement aux anti-malware traditionnels pour les points de terminaison, les plateformes de surveillance intelligentes effectuent des mises à jour en temps réel et protègent contre les URL et les menaces de phishing actives et émergentes.
Les cybercriminels sont passés maîtres dans l’art de l’invention et ont de nombreux tours dans leur sac. Cependant, les entreprises peuvent se défendre, mais pour ce faire, elles doivent agir en temps réel. L’une des meilleures solutions est d’utiliser un filtre DNS comme WebTitan qui peut bloquer les malwares, le phishing, les ransomwares et les sites malveillants.
Bien que la plupart des organisations mettent en place la meilleure formation et solution de sécurité pour protéger les informations d’identification des utilisateurs contre le vol, les attaquants ont toujours de nombreux moyens de compromettre un réseau et de voler des données.
On ne sait pas encore comment les attaquants ont pu dérober plus de 3,2 millions d’enregistrements de données des clients de DriveSure, mais il semble que les informations volées provenaient de la base de données MySQL de l’entreprise.
Résultat : les informations d’identification du site ainsi que plusieurs points de données privées ont été exposés publiquement sur Internet.
Qu’est-il arrivé à DriveSure ?
DriveSure est un site de formation utilisé pour aider les concessionnaires automobiles à vendre et à conserver leurs clients. Il compte des millions de clients qui s’inscrivent pour recevoir des formations et des cours.
Pour ce faire, ces derniers doivent fournir leur nom complet, leur adresse, leur numéro de téléphone, leur adresse électronique, le numéro d’immatriculation et le carnet d’entretien de leur véhicule, leurs déclarations de sinistre, entre autres.
Les données publiées comprenaient des comptes de grandes entreprises et des adresses des autorités militaires
Plus tôt dans l’année, des chercheurs ont remarqué que des informations concernant les clients de DriveSure avaient été téléchargées sur plusieurs forums de piratage. La plupart des attaquants ont volé des données pour les revendre ensuite avec profit. Cependant, l’argent qui aurait pu être généré ne semblait pas être leur principal objectif.
Les pirates ont lentement mis à jour l’ensemble de la base de données des données volées, gratuitement et sans demander de l’argent
Le motif de des pirates n’ayant pas encore été connu, les données ont été déjà proposées gratuitement sur de nombreux forums de piratage. Elles étaient ainsi librement accessibles à toute personne qui était en mesure de trouver les fichiers en ligne.
Au fur et à mesure que de plus en plus de personnes téléchargeaient les fichiers, les données devenaient disponibles pour davantage de personnes sur d’autres sites. Tout utilisateur qui s’est inscrit sur le site DriveSure doit donc changer son mot de passe sur le site.
Quelles sont les données clients de DriveSure ayant été exposées publiquement ?
Outre les données privées sensibles disponibles, le cyber-attaquant de DriveSure a également mis à disposition pour téléchargement plus de 93 000 mots de passe hachés par bcrypt.
Dans une application sécurisée, le développeur stocke un mot de passe sous forme de valeur hachée avec un sel pour le rendre plus difficile à craquer.
En cryptographie, un sel est une donnée aléatoire utilisée comme entrée supplémentaire dans une fonction de hachage à sens unique d’un mot de passe ou d’une phrase de passe, tandis que bcrypt est une fonction standard pour le hachage de mots de passe.
Qu’est ce que le hachage ?
Pour faire simple, une fonction de hachage est destinée à prendre le texte d’un mot de passe pour ensuite le « mouliner » afin d’obtenir une signature (également appelée empreinte).
Lorsqu’un utilisateur entre un mot de passe, l’ordinateur ne va pas envoyer celui-ci au serveur ni l’enregistrer, mais plutôt sa signature. Lorsque l’utilisateur se connectera, au lieu de vérifier si le mot de passe est identique, le serveur va donc vérifier que la signature du mot de passe entrée est bien la même que celle du mot de passe enregistré.
DriveSure utilise une méthode cryptographique sécurisée pour stocker les mots de passe
Cependant, même si un mot de passe est sécurisé par cryptographie, d’autres, qui ont été téléchargés, peuvent encore être forcés par force brute pendant une longue période si rien n’est mis en place pour limiter le nombre de tentatives.
Par ailleurs, les mots de passe de mauvaise qualité peuvent être forcés par force brute même s’ils sont stockés sous forme de hachage sécurisé par cryptographie.
Le problème avec la disponibilité de mots de passe hachés est qu’un attaquant peut passer des jours à exécuter des scripts contre chacun d’entre eux. Tout mot de passe faible peut être forcé par brute, et de nombreux utilisateurs configurent le même mot de passe sur plusieurs sites.
Puisque les adresses email sont également disponibles, un attaquant pourra utiliser des scripts pour prendre le contrôle de comptes sur plusieurs sites en utilisant les mêmes mots de passe obtenus sur le site DriveSure. Cela permet à un pirate d’accéder à tout compte utilisant le même mot de passe sur plusieurs sites, y compris celui de DriveSure.
Les données provenaient d’une base de données MySQL piratée, de sorte que toute information collectée à partir de DriveSure serait vulnérable à l’exposition. Pour pallier ce problème, l’entreprise a décidé de chiffrer les données qui devraient être conformes aux normes de conformité, mais la plupart des données étaient encore disponibles en texte brut.
Que pouvez-vous faire si vous avez utilisé DriveSure ?
Comme DriveSure ciblait les entreprises en tant que clients, les chercheurs ont trouvé de nombreux comptes de messagerie professionnelle inclus dans la base de données.
Si votre entreprise a utilisé DriveSure pour former vos employés, toutes les informations relatives aux comptes d’utilisateurs fournies au site sont peut-être incluses dans sa base de données en ligne et sont probablement mise en ligne sur divers forums de piratage.
La meilleure défense contre les attaques cybercriminels consiste à changer immédiatement les mots de passe, même s’ils étaient sécurisés par cryptographie et comportaient plusieurs caractères. Tout employé ayant le même mot de passe sur DriveSure et sur le réseau de votre entreprise fait courir à cette dernière le risque d’une violation de données.
Il n’est pas rare que les attaquants utilisent des données trouvées sur Internet pour lancer des attaques de phishing. Ils peuvent envoyer directement un email malveillant aux utilisateurs qui figurent sur la liste ou utiliser les adresses électroniques pour lancer d’autres attaques sur d’autres employés.
Si un pirate peut accéder au compte de messagerie de l’utilisateur par le biais d’une usurpation d’identité, il peut alors envoyer un email à d’autres employés en incitant ces derniers à divulguer des informations sensibles.
Les filtres de messagerie empêcheront les attaques par usurpation d’identité, de sorte que la base de données divulguée ne pourra pas être utilisée contre votre organisation dans une attaque par phishing. Vous pouvez également former les utilisateurs à la détection des attaques de phishing afin qu’ils n’en soient pas victimes.
Outre l’utilisation de filtres de messagerie, tout utilisateur trouvé dans la base de données doit immédiatement changer son mot de passe. Enfin, il faut apprendre aux utilisateurs à ne pas utiliser le même mot de passe pour plusieurs comptes afin d’éviter tout problème à l’avenir.
Sachez que vous pouvez améliorer la protection des données de vos clients avec la protection multicouche de TitanHQ. Si vous voulez découvrir comment nous pouvons protéger votre organisation contre les violations de données, contactez un membre de notre équipe dès aujourd’hui.
