Alors que la crise causée par la pandémie du Covid-19 a contraint les entreprises, les écoles et les prestataires de soins de santé à passer au virtuel, les escrocs ont créé des malwares spécifiquement adaptés à la situation mondiale.
Quel que soit le pays ciblé, les développeurs de malwares sont sûrs de trouver des victimes. Ils ne recherchent plus des victimes multiples parmi des milliers d’adresses électroniques. Au lieu de cela, ils se concentrent sur des industries et des individus spécifiques pour augmenter leurs gains.
La cybersécurité ayant été reléguée au second plan alors que de plus en plus d’entreprises et d’écoles devenaient virtuelles, les attaques se sont avérées fructueuses, car de plus en plus de ransomwares ont touché les entreprises et leurs employés.
Les attaques de ransomwares avant le Covid-19
Avant la pandémie, les développeurs de ransomwares ont fait en sorte qu’un maximum de personnes puisse être victimes d’une attaque. Ils utilisaient principalement les emails pour envoyer des pièces jointes malveillantes, et envoyaient des milliers de messages à leurs cibles.
Certains messages électroniques étaient filtrés, tandis que d’autres étaient simplement ignorés ou supprimés par les utilisateurs. Pourtant, un petit pourcentage de destinataires se laissait prendre au piège de l’attaque et installait le malware.
Avec des milliers d’emails envoyés, un escroc pourrait s’attendre à recevoir de l’argent du petit pourcentage de destinataires qui tombent dans le piège du message. Les victimes ouvraient une pièce jointe, exécutaient une macro malveillante, puis payaient la rançon pour récupérer leurs fichiers.
La plupart des ransomwares ciblaient les particuliers et demandaient une petite somme en échange de la clé privée. Un escroc pouvait gagner des milliers d’euros avec des malwares traditionnels ciblant des particuliers.
Attaques de ransomwares depuis le Covid-19
En 2020 et en 2021, les escrocs ont changé de cible pour s’attaquer aux entreprises et à leurs employés travaillant à domicile.
La plupart des entreprises ayant été contraintes de passer au virtuel, les employés travaillaient à domicile et la cybersécurité n’était plus qu’une question de second ordre après la configuration initiale de l’environnement.
En réalité, les entreprises ont migré les données et les applications vers le cloud pour permettre aux employés d’accéder à l’infrastructure nécessaire, mais cela a été fait d’une manière qui a laissé des vulnérabilités.
L’accès d’un seul utilisateur à haut niveau de privilèges peut s’avérer très payant pour un escroc. Les ransomwares peuvent se propager de la machine d’un utilisateur ciblé au réseau mondial, ce qui leur donne l’occasion de chiffrer les fichiers essentiels de toute une organisation.
Si l’organisation ne dispose pas de sauvegardes appropriées et d’un plan de reprise après sinistre, elle sera contrainte de payer la rançon. Les escrocs qui ciblent les entreprises demandent des dizaines de milliers de dollars plutôt que quelques centaines en cryptomonnaie, sachant que les entreprises ont plus d’argent à payer.
Extorsion et déni de service distribué (DDoS)
Si une organisation choisit de ne pas payer la rançon, une autre évolution des nouvelles attaques de ransomware est l’extorsion et le chantage. Les escrocs menacent de rendre les données publiques ou de lancer un DDoS contre l’organisation.
L’extorsion est la sauvegarde secondaire la plus populaire pour les escrocs afin de faire chanter les organisations pour qu’elles paient la rançon, même si elles ont des sauvegardes.
En publiant les données volées, l’organisation souffre d’une atteinte à sa réputation. Il s’agit d’un outil efficace si l’organisation ne parvient pas à payer la rançon.
L’autre option pour les escrocs est de lancer un DDoS sur l’organisation. Cela met hors service les services essentiels, obligeant l’organisation à payer une rançon pour que l’attaque cesse.
La cybersécurité devrait être une priorité pour le personnel distant
Il est inévitable que les entreprises aient plusieurs membres du personnel travaillant à domicile, au moins jusqu’en 2021.
Lorsque les gens reviendront au bureau, le monde du travail reviendra à la normale. Mais les escrocs continueront à se concentrer sur les employés vulnérables travaillant à domicile.
Des contrôles de cybersécurité multicouches doivent être installés pour prévenir les menaces avancées telles que les ransomwares, pour tout employé ouvrant des messages électroniques à la maison.
Les filtres de courrier électronique constituent une couche importante de la cybersécurité. Ils détectent les messages et pièces jointes malveillants avant qu’ils n’atteignent la boîte de réception de l’utilisateur.
Ils sont installés sur les serveurs de messagerie afin que les administrateurs puissent examiner les messages potentiellement malveillants. Les messages signalés par les systèmes de cybersécurité du courrier électronique sont envoyés dans un emplacement de quarantaine où les administrateurs peuvent les examiner.
Les administrateurs peuvent alors transférer les faux positifs au destinataire prévu ou supprimer les messages malveillants.
Les escrocs ne font chanter les entreprises qu’après qu’elles ont été victimes d’un ransomware et d’une violation de données. La suppression des messages sur un serveur de messagerie arrête ces attaques dès le début.
Vous ne dépendez plus de la formation des utilisateurs ou des programmes antivirus locaux. Les appareils des utilisateurs pouvant avoir des programmes antivirus mal gérés, les réseaux d’entreprise ne peuvent pas compter sur les systèmes antimalware des utilisateurs pour détecter les ransomwares.
Avec les filtres de messagerie, l’utilisateur ne reçoit jamais le message, et le contrôle de la cybersécurité est rendu à l’organisation visée.
Les attaques DDoS sont toujours préoccupantes, mais les escrocs qui cherchent à faire chanter leurs cibles par des ransomwares se tourneront vers les organisations qui ne parviennent pas à stopper les messages électroniques malveillants
En éliminant la menace des ransomwares, une organisation réduit considérablement la probabilité d’être victime de chantage, d’extorsion et d’attaques DDoS.
Grâce à la cybersécurité des courriels, le personnel à domicile devient une menace moins importante pour l’organisation en raison du phishing, des malwares et d’autres menaces en ligne.
Une stratégie de sécurité à plusieurs niveaux est essentielle pour toutes les organisations afin de prévenir les attaques de ransomware et les violations de données.
Comme toute grande organisation, les universités et autres établissements d’enseignement supérieur sont exposés à des risques de violation de données et de menaces de malwares.
Du point de vue des cybercriminels, les écoles et les universités représentent une cible très attrayante. En fait, les données personnelles et financières stockées sur les systèmes de données universitaires sont précieuses pour les escrocs pour leur permettre de mener différentes sortes d’attaques cybercriminelles.
Pour les écoles, les conséquences d’un malware peuvent être énormes
Les conséquences d’un vol de données sont considérables pour les établissements scolaires. Elles peuvent nuire à leur réputation ; impliquer la non-conformité de l’organisation au regard des législations en vigueur et impacter l’économie et le fonctionnement de l’établissement en général.
Suite à une attaque réussie, les établissements scolaires peuvent perdre des opportunités de financement, les frais d’inscription des étudiants et des revenus associés. Outre la perte de données sensibles, des poursuites judiciaires et d’autres sanctions pourraient également survenir. Il peut même y avoir des dommages qui paralysent l’infrastructure et les activités de l’institution.
Les attaques de malwares et de ransomwares contre les établissements scolaires ne sont pas rares
Prenons l’exemple de l’attaque de malware qui visait une école du Minnesota. Elle a été si grave, au point que l’établissement a dû fermer ses portes pendant une journée. Les réparations complètes des dommages avaient pris des semaines, alors qu’ils auraient pu être évités.
Une attaque de crypto-ransomware a récemment chiffré le réseau du district scolaire du New Jersey. La source de l’infection n’est pas claire. Elle pourrait résulter de l’ouverture d’une pièce jointe d’un e-mail malveillant ou d’une application malveillante, ou simplement de la consultation d’un site web contenant des publicités malveillantes.
La nature du campus universitaire et de son réseau informatique constitue la véritable différence entre les établissements d’enseignement supérieur et les entreprises. Composée de nombreux réseaux dispersés, l’infrastructure réseau des universités est souvent complexe.
Il s’agit d’environnements où le concept de sécurité stricte des données est traditionnellement inutile, voire indésirable. Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises.
Pour les cybercriminels, tout est dans le timing
Pour les cybercriminels qui ciblent un établissement scolaire, le timing est primordial. Lorsqu’une nouvelle année scolaire commence, les escrocs segmentent leurs bases de données d’emails pour lancer des attaques ciblées pour accueillir les étudiants et les employés des écoles qui sont de retour via Internet.
Chaque année, les escrocs lancent de nouvelles campagnes de spam et de phishing au moment où les étudiants et élèves retournent en classe. Les faux e-mails de bienvenue, les e-mails de réinitialisation de mot de passe et les notifications bancaires ne sont que quelques-uns des thèmes utilisés par les spammeurs à cette période de l’année.
Trouver un équilibre entre les besoins informatiques et les besoins des enseignants
L’Internet a offert aux professionnels du secteur de l’éducation de grandes possibilités, mais aussi de grands maux de tête. Les enseignants s’efforcent de trouver la meilleure façon d’aider les enfants à utiliser Internet à l’école tout en les protégeant des dangers en ligne.
Le blocage de contenus inappropriés ne doit pas nécessairement nuire à l’apprentissage. Alors que les élèves passent de plus en plus de temps connectés au web, assurez-vous que leurs activités en ligne soient sécurisées, et ce, grâce à l’utilisation d’un filtre de contenu web adapté comme WebTitan.
Grâce à l’analyse du contenu des pages, cette solution de protection de TitanHQ peut suivre l’évolution constante de l’utilisation du web et s’y adapter.
Pourquoi les établissements d’enseignement ont-ils besoin de filtrer les contenus en ligne ?
Il y a plusieurs raisons différentes pour lesquelles les établissements d’enseignement devraient bloquer certains contenus qui sont diffusés sur la toile, notamment :
La sécurité des étudiants (protection contre les sites dangereux, inappropriés ou illégaux) ;
La sécurisation du réseau ;
L’identification des éventuelles cyberintimidations ;
La conformité à la CIPA (loi relative à la régulation du contenu préjudiciable aux mineurs lorsqu’ils naviguent sur Internet) ;
L’application des politiques d’utilisation acceptable d’Internet ;
Le contrôle de la bande passante ;
La capacité de surveillance des activités en ligne des utilisateurs du web.
Il est de votre devoir, en tant que propriétaire ou responsable d’un établissement scolaire, de fournir un environnement d’apprentissage sûr. En outre, vous êtes légalement tenue de mettre en place des mesures raisonnables et efficaces pour contrôler l’accès à Internet.
Il devrait toujours exister un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place. En fait, la sécurité dans toutes les organisations, commerciales ou universitaires, devrait être un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier ou la perte d’utilité qui sont encourus pour se défendre.
Si vous voulez découvrir la façon dont la suite de solutions de sécurité réseau granulaire de TitanHQ répond aux exigences flexibles du secteur de l’éducation, contactez-nous dès aujourd’hui.
Située en Colombie-Britannique (Canada), l’université Simon Fraser a informé son personnel et ses étudiants d’une cyberattaque qui a touché l’un de ses serveurs en février. Les données d’environ 200 000 personnes pourraient avoir été compromises à la suite de cette cyberattaque.
Si les données exposées en question ne contenaient pas d’informations financières ou d’informations d’assurance, elles comprenaient des numéros d’identification d’étudiants et d’employés ainsi que des informations concernant les admissions et les résultats scolaires.
Heureusement, le service informatique interne de l’université a découvert la brèche suffisamment tôt pour l’isoler rapidement, limitant ainsi la portée de l’attaque. Suite à cela, l’université a informé toutes les personnes susceptibles d’avoir été exposées à ce risque et leur a conseillé de surveiller leurs comptes personnels pour détecter toute activité inhabituelle.
Malheureusement, ce n’était pas la première fois que cette université était confrontée à ce type d’événement. Un an plus tôt, elle avait subi une attaque de grande envergure de type ransomware 2.0.
En utilisant une approche actualisée, les pirates derrière le ransomware ont pu exfiltrer les données de l’entreprise avant de les chiffrer.
Même si l’organisation victime parvient à remédier elle-même à l’attaque via le chiffrement préalable de ses données, les attaquants disposent d’une méthode d’extorsion de secours grâce à laquelle ils peuvent menacer de vendre ou de rendre publiques les données compromises.
Lors de l’attaque qui s’est produite un an plus tôt, les données de plus de 250 000 personnes ont été compromises. Les informations comprenaient non seulement des numéros d’identification, mais aussi des noms, des dates de naissance, des informations de contact et des données de formulaires web.
L’université a pu se remettre de l’attaque par chiffrement en un jour, bien qu’elle ait refusé de dire si elle avait payé la rançon ou non. Rappelons qu’avant cet incident, elle avait encore subi d’autres cyberattaques de moindre envergure.
D’autres universités complètement perturbées
L’université Simon Fraser est loin d’être le seul établissement d’enseignement à avoir été touchée par des cyberattaques. Le 13 mars, le South and City College de Birmingham, en Angleterre, a publié un tweet informant tout le monde qu’il avait été victime d’une importante attaque de ransomware qui avait entraîné l’arrêt complet de toutes ses opérations informatiques.
L’établissement a dû recourir à l’apprentissage en ligne pour répondre aux besoins de ses 13 000 étudiants. L’enseignement en classe a été rétabli la semaine suivante, une fois que toutes les infrastructures touchées ont été de nouveau fonctionnelles.
L’année dernière, l’université de Californie à San Francisco a dû payer une rançon de plus de 938 000 euros après que sa faculté de médecine a dû cesser ses activités à la suite d’une attaque de ransomware.
L’université avait connu plusieurs tentatives infructueuses auparavant avant d’être totalement perturbée par cet assaut. D’autres écoles ont subi des attaques similaires en 2020, notamment l’université d’État du Michigan et le Columbia College de Chicago.
Selon un rapport publié par la société de cybersécurité, BlueVoyant, les attaques de ransomware contre les établissements d’enseignement supérieur ont doublé entre 2019 et 2020. Un autre rapport a révélé qu’ils constituent la principale cible d’un certain nombre de groupes de ransomwares parce qu’ils sont très lucratifs.
Pourquoi les établissements d’enseignement supérieur sont-ils des cibles de choix pour les pirates informatiques ?
Même si les collèges et les universités ne sont pas les seuls à devoir faire face aux attaques de ransomware, ils constituent une cible parfaite pour les pirates informatiques.
Selon un article du Wall Street Journal, des pirates ont ciblé plus de 27 universités aux États-Unis, au Canada et en Asie du Sud-Est. Leur objectif est de voler des recherches sur les technologies maritimes afin de les utiliser à des fins militaires.
Le fait que les établissements d’enseignement supérieur abritent tant de recherches précieuses et confidentielles en fait une cible de choix pour les pirates informatiques parrainés par des États-nations. L’autre raison est l’importance des dépôts d’informations personnelles identifiables de vastes populations d’étudiants.
Les cybercriminels peuvent utiliser les antécédents de crédit récents des jeunes étudiants et les utiliser pendant des années. Les collèges et les universités sont également plus enclins à payer des rançons que d’autres types d’organisations, car ils souhaitent limiter au maximum les perturbations liées à l’enseignement.
Les établissements d’enseignement sont considérés comme des environnements riches en cibles pour les pirates, mais leur culture ouverte et le manque de contrôles de sécurité les rendent encore particulièrement vulnérables. Leurs investissements dans les mesures de cybersécurité sont inférieurs à ceux de la plupart des autres secteurs.
Il est extrêmement difficile de mettre en œuvre des mesures minimales de cybersécurité dans des environnements BYOD – une pratique permettant aux étudiants et employés d’utiliser leurs appareils informatiques personnels dans leur lieu de travail — à grande échelle.
Pour aggraver les choses, les grandes universités utilisent une structure organisationnelle décentralisée qui permet à chaque département interne de prendre ses propres décisions informatiques. Cela les empêche d’établir des pratiques de cybersécurité standard dans l’ensemble de l’organisation.
En outre, les jeunes sont moins expérimentés en matière d’attaques sur les médias sociaux, ce qui les rend plus sensibles aux techniques de piratage. Comme les populations étudiantes changent chaque année, la formation à la cybersécurité est extrêmement difficile.
Conclusion sur les universités et les cyberattaques
Il ne fait aucun doute que la tendance à la hausse des cyberattaques contre les collèges et les universités va se poursuivre. Par conséquent, ces institutions doivent faire de la cybersécurité une priorité dans un avenir proche.
Les collèges et universités ont l’obligation de protéger leurs étudiants et leur personnel des cyberattaques. Sur ce point, sachez que TitanHQ peut aider les professionnels du secteur de l’éducation à protéger leurs établissements avec une sécurité multicouche.
Contactez l’équipe TitanHQ pour savoir comment nous pouvons protéger votre école ou votre université dès aujourd’hui.
Alors que nous devenons de plus en plus dépendants des applications web, il n’est pas surprenant que les applications soient exposées à un risque important de vulnérabilités informatiques.
De nos jours, les entreprises utilisent différentes sortes applications pour effectuer presque toutes les tâches nécessaires à leur bon fonctionnement. En fait, la prolifération des applications est l’évolution naturelle de la transformation numérique, et nos opérations commerciales essentielles ainsi que nos routines de travail quotidiennes en seront de plus en plus dépendantes.
Une étude récente de WhiteHat Security montre qu’au moins 50 % des applications utilisées par les secteurs industriels les plus populaires contiennent une ou plusieurs vulnérabilités informatiques. Ces secteurs comprennent l’industrie manufacturière, les services publics, la santé, le commerce de détail, l’éducation et les services publics, pour n’en citer que quelques-uns.
Le secteur de la fabrication présente le niveau d’exposition le plus élevé, avec près de 70 % des applications présentant au moins une vulnérabilité exploitable.
Si ce constat est très préoccupant pour les professionnels de la cybersécurité, il fait le bonheur des pirates et des cybercriminels qui sont constamment à la recherche d’une faille dans les systèmes de défense informatique des entreprises d’aujourd’hui dont ils pourraient tirer parti.
Selon ledit rapport, les cinq principales classes de vulnérabilités enregistrées au cours du quatrième trimestre de 2020 comprennent la fuite d’informations, l’expiration insuffisante de la session, le cross site scripting, la protection insuffisante de la couche de transport et l’usurpation de contenu.
Les chercheurs à l’origine du rapport ont déclaré que – pour découvrir, exploiter et tirer pleinement parti de ces vulnérabilités, il n’est pas nécessaire de suivre une formation spécialisée.
Le récent rapport State of Software Security de Veracode a révélé que 76 % de toutes les applications présentent au moins une vulnérabilité. Toutefois, il indique également que seuls 24 % des logiciels contiennent une vulnérabilité de haute gravité.
Les dommages résultant de l’exploitation d’une vulnérabilité peuvent être coûteux
L’abondance de vulnérabilités informatiques a des conséquences financières pour de nombreuses entreprises. Selon la compagnie d’assurance anglaise Hiscox, les entreprises ont subi des cyberpertes de 1,5 milliard d’euros, soit six fois plus qu’au cours des 12 mois précédents.
Le fournisseur d’assurance précise que les entreprises d’Angleterre ont 15 fois plus de chances de subir une cyberattaque qu’un incendie ou un vol.
Les vulnérabilités des applications coûtent de l’argent aux entreprises sur plusieurs fronts. Il y a évidemment le coût résultant de l’utilisation de ces vulnérabilités lors d’une cyberattaque.
Mais il y a aussi le coût réel de la correction de ces vulnérabilités, y compris le coût de la détection et le coût de la réparation des dégâts, étant donné que le coût horaire de travail d’un développeur est généralement élevé.
Pourquoi les applications web sont-elles si vulnérables ?
L’une des principales raisons de l’existence d’un si grand nombre de vulnérabilités informatiques est la multiplicité des applications. Chaque application est différente et utilise des systèmes de codage différents. Cela fait de chaque application une surface d’attaque unique.
Le temps nécessaire pour corriger ces vulnérabilités est un autre facteur contributif. Le délai moyen est de 189 jours, tous secteurs confondus. Mais cela suppose que la vulnérabilité soit effectivement corrigée. Selon le 2020 Mid-Year Attack Trends Report de Check Point, 80 % des attaques utilisent des vulnérabilités signalées il y a trois ans ou plus.
En d’autres termes, la majorité des attaques soutenues en 2020 ont été rendues possibles par des vulnérabilités informatiques signalées en 2017. En outre, le rapport a montré qu’une attaque sur cinq utilisait des vulnérabilités vieilles d’au moins sept ans.
Selon Paloalto, 80 % des kits d’exploitation publics sont développés et diffusés avant qu’une alerte CVE (Common Vulnerabilities and Exposures) puisse être publiée. Ils ont constaté qu’un kit d’exploitation public standard est connu 23 jours avant la publication de la CVE correspondante. Au cours des 22 dernières années, cette moyenne a atteint 40 jours.
La nouvelle se répand rapidement au sein de la communauté cybercriminelle, et des gens peu scrupuleux sont prompts à frapper dans ces portes d’opportunité. Il ne fait aucun doute que nous devons réduire l’écart entre la découverte des vulnérabilités et la publication des CVE.
Sans oublier, bien sûr, l’existence des vulnérabilités de type « zero-day ». Une étude a montré que 66 % des détections de malwares au cours du deuxième trimestre de 2020 impliquaient l’exploitation de vulnérabilités de type « zero-day ».
Ne blâmez pas seulement les éditeurs de logiciels
Si le rapport de Check Point semble très préjudiciable aux éditeurs de logiciels, ils ne sont pas les seuls à blâmer. Une grande raison pour laquelle les attaquants continuent d’exploiter d’anciennes vulnérabilités est que les entreprises continuent d’utiliser des systèmes d’exploitation et des logiciels obsolètes.
Selon une enquête de Spiceworks datant de 2019, 32 % des entreprises utilisaient encore des systèmes Windows XP à l’époque. En décembre dernier, on estime que 8,5 % des ordinateurs Windows fonctionnent sous Windows 7.
Une fois qu’un système d’exploitation ou une application est déprécié, il n’est plus pris en charge et le fournisseur cesse de fournir de nouveaux correctifs.
Et même si les éditeurs de logiciels publient de nouveaux correctifs, il n’est pas rare que les entreprises ne les appliquent pas. Selon l’Agence américaine pour la cybernétique, l’absence de correctifs pour les vulnérabilités, dont beaucoup datent de plus d’un an, expose les organisations à un risque de compromission beaucoup plus élevé.
L’agence indique que l’une des dix vulnérabilités les plus couramment exploitées a été divulguée pour la première fois en 2012.
Les experts en cybersécurité insistent constamment sur la nécessité de maintenir tous les systèmes et logiciels à jour. Bien que cela puisse sembler être un disque rayé, il y a une raison pour laquelle ils répètent constamment ce message : c’est parce que cela fonctionne !
TitanHQ est un fournisseur de cybersécurité récompensé à plusieurs reprises. Apprenez-en davantage sur TitanHQ et sur la manière dont nous pouvons protéger votre entreprise grâce à la sécurité des emails, au filtrage DNS et à l’archivage des emails pour la conformité.
Les cybercriminels sont toujours à la recherche de moyens plus faciles de se faire un peu d’argent sur le dos des gens. De la même manière que les petits voleurs se tournent vers le vol à la tire dans les lieux touristiques bondés de voyageurs imprudents, ils ciblent les sites web qui attirent le plus d’utilisateurs peu méfiants.
L’un de ces sites est la plate-forme de chat Discord, très populaire auprès des aux joueurs de jeux vidéo en ligne, mais qui s’est également étendue à d’autres communautés. Elle permet aux utilisateurs d’interagir les uns avec les autres par le biais d’un large éventail de moyens tels que les appels vocaux, les appels vidéo ou les textos.
Le paradis perdu
Selon le magazine Forbes, Discord comptait 150 millions d’utilisateurs et sa valeur, estimée à 2 milliards de dollars en 2019, ne cesse d’augmenter. Forbes a révélé dans un article que des groupes Discord qui s’adonnaient à des activités cybercriminelles faisaient l’objet d’une enquête du FBI à l’époque.
La majeure partie de cette activité criminelle consistait en de petites escroqueries. Les cybercriminels utilisaient des chats en direct pour proposer des cartes-cadeaux à prix réduit ou des abonnements à vie à des Malware-as-a-Service (MaaS) – une version criminelle de Software as a service (SaaS) qui permet la location d’une application via Internet – pour une somme symbolique.
Dans d’autres cas, ils vendaient des cartes de paiement et des comptes PayPal volés. Certains de ces malfaiteurs ciblaient spécifiquement les enfants.
Alors qu’il était autrefois considéré comme un « paradis pour les joueurs », Discord semble être devenu un nouveau paradis pour la cybercriminalité, selon le magazine Cyware.
Le manque de supervision de Discord a des conséquences
L’une des caractéristiques et qui a rendu Discord si populaire auprès de ses utilisateurs est son accès ouvert et la flexibilité en matière de supervision. Mais ce manque de surveillance a un prix, car cela encourage la diffusion de contenus illicites et la cyberintimidation, tout en favorisant les comportements malveillants.
Le fait que les utilisateurs non inscrits puissent télécharger le contenu téléchargé rend difficile la recherche des responsables de la distribution de malwares ou de matériel illicite. Même si certaines personnes qualifient cela de liberté, d’autres le considèrent comme une pure erreur de gestion de la part de Discord.
Le CDN de Discord
Outre la compromission continue du service de chat Discord, la société de cybersécurité Zscaler a déclaré que les cybercriminels abusent du service cdn.discorapp.com pour diffuser des malwares. Zscaler a déclaré avoir capturé plus de 100 échantillons de codes malveillants uniques provenant de Discord sur une période de deux mois.
Les auteurs attirent d’abord l’intérêt des utilisateurs avec des emails de phishing qui encouragent le téléchargement de logiciels piratés ou d’applications de jeux.
Selon Bleeping Computer, les pirates profitent d’une vulnérabilité unique de Discord qui leur permet de supprimer un fichier malveillant après l’avoir téléchargé sur les serveurs de Discord, mais de le conserver dans le réseau de distribution de contenu (CDN) de la marque pour pouvoir le télécharger à nouveau.
Un large éventail de catégories de malwares, y compris des enregistreurs de frappe, sont facilement distribués à l’aide de ce CDN. Même si Discord avait émis des avertissements concernant certains téléchargements, des tests ont montré que de nombreux téléchargements malveillants connus n’étaient pas du tout signalés.
Webhook et ransomware dans Discord
Discord utilise une fonctionnalité appelée « Webhook ». Elle permet aux utilisateurs de poster un contenu via l’envoi d’un message même s’ils ne disposent pas de l’application Discord.
Bien que cette fonctionnalité ait ses mérites et son utilité, elle permet également aux pirates de sonder les sessions web et de voler des identifiants de connexion enregistrés dans certains des principaux navigateurs web, ainsi que les jetons d’utilisateur (token) de Discord.
TrendMicro a récemment découvert un nouveau ransomware qui utilise des webhooks comme plateforme de communication avec ses victimes. Une autre souche de ransomware appelée « Hog » présentait également une nouvelle tournure concernant le processus de déchiffrement.
Plutôt que d’émettre une clé, la machine de la victime n’est déchiffrée qu’une fois qu’elle a rejoint le serveur Discord. Une fois la machine connectée, l’utilisateur s’authentifie avec son jeton d’utilisateur qui fait office de clé intégrée à un malware.
Le remède aux cybermenaces liées à Discord
Alors comment empêcher vos utilisateurs de visiter un site tel que Discord ? La réponse est d’utiliser un filtrage DNS avancé et une solution de sécurité web telle que WebTitan.
Comme de nombreux filtres de sécurité web standard, vous pouvez créer des politiques qui refusent l’accès à des sites tels que Discord. Mais WebTitan va au-delà du simple filtrage d’URL.
Son service de détection des malwares surveille et identifie activement les menaces en temps réel, bloquant ainsi l’accès des utilisateurs aux sites hébergeant des malwares, des menaces de phishing, des virus, des ransomwares et aux sites qui renferment des contenus malveillants.
En outre, la solution antimalware de WebTitan permet de s’assurer que les codes malveillants ne s’échappent pas d’un serveur web compromis.
TitanHQ propose aussi SpamTitan, une solution de sécurité de la messagerie électronique capable de bloquer les emails de phishing qui pourraient diriger les utilisateurs finaux vers Discord.
Le fait est qu’il existe de nombreux endroits périlleux sur Internet, et qu’il en existera probablement toujours. Mais si vous utilisez la combinaison de WebTitan et de SpamTitan, vous n’aurez plus à vous soucier de ces zones précaires.
Voulez-vous savoir comment protéger vos employés pour qu’ils n’atterrissent pas dans des endroits précaires comme Discord, quel que soit leur emplacement ? Contactez l’un de nos experts dès aujourd’hui.
Combien de fois avez-vous reçu un appel téléphonique ou un email d’un gestionnaire de votre organisation vous demandant de lui donner le mot de passe d’un salarié pour lui permettre d’accéder à son compte de messagerie électronique ?
Cette demande est souvent faite lorsqu’une personne est en congé et qu’elle reçoit un appel d’un client ou d’un collègue qui veut savoir si elle a donné suite à une demande envoyée avant son départ.
Trop souvent, un client envoie un email à son gestionnaire de compte avant de partir en vacances, mais il n’est pas rare qu’il oublie de le faire par inadvertance.
L’accès au compte de messagerie électronique est nécessaire pour éviter tout embarras ou pour s’assurer qu’une occasion de vente ne soit pas manquée.
Peut-être que le salarié en question n’a pas configuré son message d’absence du bureau et que les clients ne savent pas qu’ils doivent communiquer avec une autre personne pour obtenir une réponse à leurs questions.
Autrefois, les gestionnaires avaient l’habitude de garder un journal de tous les mots de passe des utilisateurs dans un fichier sur un ordinateur.
En cas d’urgence, ils peuvent donc vérifier le mot de passe et accéder à tout compte utilisateur.
Désormais, ce comportement représente un certain risque et il n’est plus acceptable pour de nombreuses raisons, outre le fait d’empiéter sur la vie privée des employés.
Si un mot de passe ou des informations d’identification sont connus d’une autre personne, rien n’empêche cette dernière de les utiliser à tout moment.
Comme les mots de passe sont fréquemment utilisés pour les comptes personnels et professionnels, la divulgation de ce mot de passe pourrait compromettre les comptes personnels de l’individu.
La tenue à jour de listes de mots de passe rend plus difficile la prise de mesures en cas d’utilisation inappropriée d’Internet et du courrier électronique.
Si un mot de passe a été partagé, il n’y a aucun moyen de déterminer si une personne a enfreint la loi ou les politiques de l’entreprise. Cela pourrait être n’importe quel autre individu qui utilise le login et le mot de passe partagé.
Le personnel informatique n’est donc pas autorisé à donner des mots de passe. Si besoin, il doit plutôt réinitialiser le mot de passe de l’utilisateur, créer et émettre un mot de passe temporaire que l’utilisateur devra réinitialiser à son retour au travail.
De nombreux gestionnaires seront insatisfaits de ces procédures et voudront tout de même tenir leur liste à jour.
Les employés seront mécontents, car ils utilisent souvent leurs comptes de messagerie professionnels pour envoyer des emails personnels.
La réinitialisation d’un mot de passe et le fait de donner l’accès à un gestionnaire pourraient être considérés comme une atteinte majeure à la vie privée.
Quelle est la solution pour sécuriser les mots de passe de vos salariés ?
Il existe une solution simple pour garantir la protection de la vie privée des personnes, pour régler les répondeurs automatiques en cas d’absence du bureau et pour ne manquer aucun email important.
Pour ce faire, vous pouvez configurer des boîtes aux lettres partagées, bien que celles-ci ne soient pas toujours populaires.
Vous pouvez faire ceci dans Outlook. Souvent, le gestionnaire peut avoir besoin d’en configurer plusieurs dans son programme Outlook.
Il devra également former les membres du personnel sur l’utilisation des boîtes aux lettres partagées et rédiger les politiques d’utilisation. Ils peuvent avoir besoin de garder toujours ouvertes les boîtes aux lettres de plusieurs équipes dans Outlook.
Existe-t-il une autre solution plus simple pour sécuriser les mots de passe de vos salariés ?
Il y a un autre choix : déléguer les permissions.
Il est plus compliqué d’implémenter ce contrôle, car il ne requiert qu’un administrateur MS Exchange pour fournir un accès délégué.
L’utilisation de l’accès délégué permettra à une personne, avec les autorisations appropriées, d’envoyer un email au nom d’un autre employé.
Cela signifie que les boîtes aux lettres n’ont plus besoin d’être ouvertes en permanence. Elles peuvent simplement être ouvertes lorsqu’un email doit être envoyé.
C’est peut-être l’idéal, mais cela ne permettra pas à un responsable de configurer un répondeur « Out-Of-Office ».
Cela nécessiterait qu’un membre du département informatique, c’est-à-dire un gestionnaire de domaine, le fasse. Un ticket devra également être soumis pour demander l’action.
Ce n’est peut-être pas très populaire auprès des gestionnaires, mais c’est la seule façon d’exécuter la tâche sans révéler les informations d’identification de l’utilisateur et sans établir un mot de passe temporaire qui pourrait porter atteinte à sa vie privée.
La sécurité des mots de passe est toujours vitale
Si vous rencontrez une résistance, vous devez expliquer les raisons pour lesquelles le partage de mot de passe n’est pas autorisé, c’est-à-dire les risques et inconvénients que cela peut entraîner.
Ces questions devraient être incluses dans les politiques d’utilisation des ordinateurs, d’Internet et du courrier électronique d’une entreprise.
Si le partage des mots de passe contrevient aux politiques de l’entreprise, toute demande de partage de mots de passe entraînerait la violation de ces politiques par le service informatique.
Les demandes de divulgation de ces informations devraient donc être rejetées.
Bien entendu, les répondeurs automatiques « Out-Of-Office » ne constituent pas un problème informatique.
C’est une question qui devrait être traitée dans le cadre de la formation du personnel.
C’est aussi une vérification qu’un gestionnaire doit faire avant qu’un membre du personnel quitte et parte en vacances, alors que l’employé est encore au travail.
Raisons pour lesquelles les mots de passe ne devraient jamais être partagés, même avec un gestionnaire
Les mots de passe sont privés : il s’agit d’un élément fondamental de la sécurité informatique et des réseaux. Cette règle ne peut pas être enfreinte ou contournée.
Il existe des alternatives au partage des mots de passe qui permettront d’atteindre le même objectif : les demandes de tickets, les boîtes aux lettres partagées et les autorisations de déléguer devraient être utilisées comme alternatives.
Le partage de mots de passe viole la vie privée d’une personne.
Si un mot de passe est partagé, les résultats d’un audit de compte ne seront plus fiables.
La sécurité des données est plus importante qu’un répondeur automatique.
Les politiques d’utilisation acceptables pourraient être violées.
S’il n’existe aucune interdiction de partage de mot de passe dans votre organisation, elle doit être mise en œuvre en priorité.
Vous ne serez pas en mesure de le faire sans l’appui des cadres supérieurs.
Vous n’êtes peut-être pas convaincu qu’il est de votre devoir de mettre en œuvre une interdiction de partage de mot de passe dans votre organisation, mais vous devriez plaider en sa faveur.
Cela aidera votre département à protéger son réseau ; vous fera gagner du temps à long terme et ce sera mieux pour votre entreprise.
