Malwares

Top 10 des menaces de cybersécurité pour les PME

Top 10 des menaces de cybersécurité pour les PME

par | Jan 7, 2020 | Filtrage web, Malwares, Sécurité des données, Sécurité des emails, Sécurité réseau, Sécurité Web

Les cybercriminels sont inventifs et leurs attaques sont de plus en plus sophistiquées. Pour vous aider à vous préparer et à protéger votre entreprise contre ces attaques, nous avons dressé une liste des 10 principales menaces de cybersécurité auxquelles votre PME est susceptible d’être confrontée.

Nous allons également vous donner quelques conseils pour vous aider à prévenir une éventuelle et coûteuse fuite de données.

Les cybercriminels n’essaient pas seulement d’attaquer les grandes entreprises. Il est évident qu’une cyberattaque contre une grande organisation de soins et de santé ou une entreprise de premier ordre peut être incroyablement gratifiante, mais les défenses que ces dernières ont mises en place rendent les attaques très difficiles.

Par contre, les PME ont beaucoup moins de ressources à consacrer à la cybersécurité et sont donc plus faciles à attaquer. Les récompenses potentielles ne sont peut-être pas importantes, mais les attaques ont plus de chances de réussir, ce qui signifie un meilleur retour sur investissement.

C’est pourquoi tant de PME sont aujourd’hui attaquées par les cybercriminels.

Il existe une myriade de façons d’attaquer une entreprise. Les tactiques, techniques et procédures utilisées par les cybercriminels changent constamment.

Les 10 principales menaces de cybersécurité énumérées ci-dessous comprennent les principaux vecteurs d’attaques qui doivent être bloquées et qui serviront de bon point de départ sur lequel vous pourrez construire un programme de cybersécurité robuste.

Les 10 principales menaces de cybersécurité auxquelles les PME doivent faire face

Nous avons dressé une liste des dix principales menaces de cybersécurité contre lesquelles les PME doivent se protéger. Toutes les menaces énumérées ci-dessous ne doivent pas être prises à la légère, car l’une d’entre elles pourrait facilement entraîner une fuite de données qui s’avère souvent coûteuse, ou bien paralyser votre entreprise.

Certaines de ces menaces seront plus difficiles à traiter que d’autres, et il faudra du temps pour que vos défenses de cybersécurité arrivent à maturité.

L’important est de commencer à agir et de traiter le plus grand nombre de ces problèmes dès que possible.

1 – Erreur humaine et menaces d’initiés

Nous allons d’abord parler de l’erreur humaine, car peu importe les solutions matérielles et logicielles que vous mettez en œuvre, elle peut facilement défaire une grande partie de votre bon travail. Quelles qu’en soient les raisons, vos employés sont susceptibles de commettre des erreurs.

Ce que vous devez faire est de réduire et de limiter les dommages qui peuvent en découler.

L’élaboration de politiques et de procédures robustes et la formation des employés contribueront à faire en sorte qu’ils sachent ce qu’il faut faire et, surtout, ce qu’il ne faut pas faire pour se protéger des attaques cybercriminelles.

Les erreurs humaines ne sont pas la seule chose que vous devez prendre en considération pour prévenir les atteintes à la protection des données. Il peut aussi y avoir des personnes dans votre entreprise qui profiteront d’une mauvaise sécurité pour en tirer un gain personnel.

Vous devrez donc vous attaquer au problème des menaces d’initiés et faire en sorte qu’il soit plus difficile pour les employés malhonnêtes de causer du tort et de voler des données. Les mesures énumérées ci-dessous vous aideront à faire face aux menaces d’initiés et à réduire les risques.

Mots de passe

Utilisez de mots de passe forts, mais faites en sorte que vos employés puissent les mémoriser plus facilement afin qu’ils n’essaient pas de contourner votre politique en matière de mots de passe ou qu’ils notent leurs mots de passe dans des supports qui risquent de tomber dans les mains des personnes aux intentions malveillantes.

Mettez en place un gestionnaire de mots de passe pour stocker les mots de passe de vos employés. Ainsi, ces derniers n’auront plus besoin que de se souvenir d’un seul mot de passe ou une seule phrase de passe.

Si vous gardez à l’esprit la nature d’une attaque par force brute, vous pouvez prendre des mesures spécifiques afin de tenir les escrocs à distance.

  • Créer un mot de passe long. C’est le facteur le plus critique. Choisissez environ 15 caractères, voir plus, si possible.
  • Utilisez un mélange de caractères. Il est possible de mélanger des lettres majuscules et minuscules, des symboles et des chiffres pour rendre votre mot de passe puissant afin d’éviter les attaques par force brute.
  • Éviter les substitutions courantes. Il existe actuellement des applications qui permettent de cracker vos mots de passe pour les substitutions habituelles.
  • Ne pas utiliser les raccourcis de clavier mémorables. Il ne faut pas utiliser des lettres et de chiffres séquentiels ou des raccourcis de clavier séquentiels, comme « qwerty ». Ce sont parmi les premiers mots de passe les plus faciles à deviner.

Attention, car votre mot de passe peut être attaqué par dictionnaire

La clé pour éviter ce type d’attaque est de vous assurer que le mot de passe n’est pas qu’un seul mot. Pour éviter cette tactique, vous pouvez utiliser plusieurs mots. Une telle attaque réduit le nombre possible de suppositions au nombre de mots que vous pourriez utiliser à la puissance exponentielle du nombre de mots que vous utilisez.

Les meilleures méthodes de mot de passe

La méthode de la phrase secrète révisée

Il s’agit de la méthode de la phrase à plusieurs mots avec une torsion. Il est préférable de choisir des mots inhabituels et bizarres. Utilisez des noms propres, des personnages historiques, les noms d’entreprises locales ou des mots que vous connaissez dans une autre langue.

Essayez de composer une phrase qui vous donne une image mentale, ce qui vous aidera à vous souvenir.

Pour augmenter encore la complexité de votre mot de passe, vous pouvez ajouter des caractères aléatoires au milieu de vos mots ou entre les mots. Évitez les traits de soulignement entre les mots et les substitutions courantes.

La méthode de la phrase

Cette méthode est décrite comme la méthode inventée par Bruce Schneier. L’idée est de penser à une phrase aléatoire puis de la transformer en mot de passe à l’aide d’une règle. Par exemple, vous pouvez prendre les deux premières lettres de chaque mot dans votre pub préféré.

Règle du moindre privilège

Cette règle est évidente, mais elle est souvent négligée.

Ne donnez pas aux employés l’accès à des ressources dont ils n’ont pas besoin pour leurs tâches quotidiennes. Ainsi, au cas où leurs titres de compétences seraient compromis, cela limitera les dommages ainsi que le tort pouvant être causé par des employés malhonnêtes.

La mise en œuvre du principe du moindre privilège présente de nombreux avantages :

Une meilleure sécurité

Sachez qu’Edward Snowden a pu divulguer des millions de fichiers de la NSA (National Security Agency) parce qu’il avait des privilèges d’administrateur, bien que sa tâche de plus haut niveau consistait à créer des sauvegardes de bases de données. Depuis les fuites de Snowden, la NSA a utilisé le principe du moindre privilège pour révoquer les pouvoirs de niveau supérieur de 90 % de ses employés.

Surface d’attaque réduite

Des pirates ont eu accès à 70 millions de comptes des clients de Target via un entrepreneur en CVC (chauffage, ventilation et climatisation) autorisé à télécharger des exécutables. En ne respectant pas le principe du moindre privilège, Target avait créé une très large surface d’attaque.

Propagation limitée des malwares

Les malwares qui infectent un système soutenu par le principe du moindre privilège sont souvent contenus dans la petite section où ils sont entrés en premier.

Meilleure stabilité

Au-delà de la sécurité, le principe du moindre privilège renforce aussi la stabilité du système en limitant les effets des modifications sur la zone dans laquelle elles sont effectuées.

Amélioration de la préparation à l’audit

La portée d’un audit peut-être réduite lorsque le système audité est construit sur le principe du moindre privilège. En outre, de nombreuses réglementations courantes exigent la mise en œuvre de ce principe comme exigence de conformité.

Bloquez l’utilisation des périphériques USB

Les périphériques USB facilitent le vol de données par des employés mal intentionnés et l’introduction accidentelle ou délibérée de malwares.

Vous devriez donc mettre en place des contrôles techniques pour empêcher la connexion des périphériques USB et, s’ils sont nécessaires pour le travail, n’autoriser que certaines personnes à les utiliser. Idéalement, utilisez des méthodes plus sûres de transfert ou de stockage des données.

Les périphériques USB chiffrés ne sécuriseront pas complètement votre réseau. Dans les cas graves, les organisations limiteront les périphériques USB à certains employés ou restreindront l’accès à leurs ports USB. Votre entreprise peut désactiver l’exécution automatique ou chiffrer les clés USB, de sorte que les programmes sur la clé USB ne s’exécutent pas une fois la clé insérée. Cependant, il en faut plus pour protéger votre réseau. La limitation de ces appareils en fonction de votre appartenance à votre domaine et de vos groupes de travail assurera la sécurité de votre organisation et vous protégera des menaces USB.

En général, la durée de vie de votre organisation repose sur la qualité de la sécurité que vous utilisez. C’est pourquoi le logiciel de blocage de port USB est crucial si vous souhaitez empêcher toute menace extérieure ou intérieure de fausser vos données. Assurez-vous que votre logiciel de blocage de ports est adapté aux besoins de votre entreprise afin qu’il puisse protéger vos données des dommages.

Surveiller les activités des employés

Si des employés malhonnêtes volent des données, vous ne pourrez le découvrir que si vous surveillez leur activité informatique. De même, si les informations d’identification sont compromises, les journaux système mettront en évidence toute activité suspecte. Assurez-vous donc que les journaux sont créés et surveillés. Envisagez d’utiliser une solution de Gestion de l’information des événements de sécurité (SIEM) pour automatiser le plus possible cette tâche.

La surveillance des employés permet aux entreprises non seulement de suivre les activités et l’efficacité de vos employés, mais aussi de sécuriser les données critiques de votre entreprise et les secrets commerciaux. Cependant, vous devez être prêt à faire face à plusieurs inconvénients, notamment une réaction négative de vos employés. Si les informations sur les mesures de surveillance ne sont pas fournies de manière complète et raisonnable. Les employés peuvent considérer ces mesures comme une surveillance désagréable.

Les avantages les plus évidents du contrôle des employés sont les suivants :

Amélioration de la sécurité

La surveillance des utilisateurs protège les entreprises contre les menaces internes qui peuvent entraîner l’utilisation abusive de données d’entreprise précieuses telles que les bases de données clients, la propriété intellectuelle et les secrets commerciaux.

Ces informations peuvent être copiées ou supprimées, entraînant des pertes financières et de réputation. Les solutions de surveillance dédiées peuvent détecter les activités anormales des utilisateurs et avertir immédiatement les responsables de la sécurité.

Conformité réglementaire

Les solutions de surveillance des employés sont souvent utilisées pour répondre à diverses exigences de conformité informatique. De nombreuses réglementations telles que l’HIPAA (Health Insurance Portability and Accountability Act) et le RGPD (Règlement général sur la protection des données) exigent des entreprises qu’elles surveillent l’accès aux données sensibles et mettent en place des mesures pour prévenir les fuites, les utilisations abusives et les vols potentiels. L’idée derrière ces réglementations est de sécuriser les données vulnérables qui peuvent contenir des informations personnelles des employés et des clients.

Une productivité accrue : Les entreprises qui facturent leurs services à l’heure peuvent vouloir s’assurer que leurs employés passent leur temps à être productifs et non à s’occuper de leurs affaires personnelles. Les solutions modernes de productivité des employés peuvent déterminer l’efficacité avec laquelle les travailleurs font leur travail en calculant les heures passées sur les ressources et applications liées au travail et en suivant les progrès réalisés.

Moins de travail administratif

Les outils de suivi des employés peuvent automatiser les tâches de routine des responsables RH, comme le calcul de la paie et le suivi de la productivité des employés. Grâce à un grand nombre de fonctionnalités supplémentaires, comme la surveillance hors ligne ; la surveillance uniquement pendant les heures de travail et l’affichage des sessions en direct ; les solutions de surveillance des employés font gagner du temps aux superviseurs et réduisent la microgestion.

Les employés sont également satisfaits lorsque les responsables ne regardent pas par-dessus leur épaule.

Une meilleure transparence des processus d’entreprise

Tout responsable souhaite que son équipe reste engagée ; travaille dur et soit synchronisée pour atteindre ses objectifs et respecter les délais. Grâce aux solutions de suivi des utilisateurs, les responsables peuvent rapidement détecter les difficultés rencontrées par un employé dans l’exécution d’une tâche et agir en conséquence.

Les solutions de suivi des employés sont également extrêmement utiles pour suivre les progrès des freelances et des travailleurs à distance.

Surveillance des employés à distance

Bien que la surveillance des employés soit bénéfique tant pour les entreprises que pour le personnel, elle présente également plusieurs inconvénients.

Le fait de savoir qu’ils sont surveillés est stressant pour beaucoup d’employés, surtout pour ceux qui en font l’expérience pour la première fois.

Les conséquences les plus fréquentes de ce stress sont l’anxiété, la baisse de productivité et la méfiance à l’égard de la direction.

Pour éviter une augmentation du stress, informez vos employés sur le système de surveillance et expliquez-leur ses avantages. Les employés qui se sentent particulièrement mal à l’aise lorsqu’ils sont surveillés sont plus susceptibles d’accepter des offres d’autres organisations et de quitter votre entreprise.

Pour éviter un taux de rotation élevé, vous pouvez améliorer votre processus d’entretien et fournir plus d’informations sur la surveillance des employés lors de leur embauche. Même si votre personnel n’a aucun problème avec les systèmes de surveillance des employés ; il peut toujours avoir des inquiétudes quant à ses données privées.

Pour éliminer ces inquiétudes, vous pouvez choisir des solutions de surveillance dotées de fonctionnalités comme la surveillance uniquement pendant les heures de travail. De cette manière, vous pouvez donner à votre personnel la possibilité de consulter ses e-mails personnels avant ou après le travail.

Terminer l’accès aux points d’extrémité

La sécurité des points finaux est la pratique consistant à sécuriser les points finaux ou les points d’entrée des appareils des utilisateurs finaux, tels que les ordinateurs de bureau, les ordinateurs portables et les appareils mobiles, afin d’éviter qu’ils ne soient exploités par des acteurs et des campagnes malveillants. Les systèmes de sécurité des points finaux protègent ces points finaux sur un réseau ou dans le nuage contre les menaces de cybersécurité. La sécurité des points d’extrémité a évolué depuis les logiciels antivirus traditionnels pour offrir une protection complète contre les malwares sophistiqués et les menaces zero-day en constante évolution.

Les organisations de toutes tailles sont menacées par les États-nations, les pirates informatiques, le crime organisé et les menaces malveillantes et accidentelles de l’intérieur. La sécurité des points d’extrémité est souvent considérée comme la ligne de front de la cybersécurité et représente l’un des premiers endroits où les entreprises cherchent à sécuriser leurs réseaux.

Le volume et la sophistication des menaces de cybersécurité n’ont cessé de croître, tout comme le besoin de solutions de sécurité des points d’accès plus avancées.

Les systèmes actuels de protection des terminaux sont conçus pour analyser, détecter, bloquer et contenir rapidement les attaques cybercriminelles. Pour cela, ils doivent collaborer entre eux et avec d’autres technologies de sécurité pour fournir aux administrateurs une visibilité sur les menaces cybercriminelles afin d’accélérer les temps de réponse en matière de détection et de remédiation.

Pourquoi la sécurité des points d’extrémité est importante ?

Une plateforme de protection des terminaux est un élément essentiel de la cybersécurité des entreprises pour plusieurs raisons.

D’abord, dans le monde des affaires d’aujourd’hui, les données sont souvent l’actif le plus précieux d’une entreprise, ainsi que la perte de données, ou de l’accès à ces données peut mettre toute l’entreprise en danger d’insolvabilité.

Les entreprises ont aussi dû faire face non seulement à un nombre croissant de points d’extrémité et à une augmentation du nombre de types de points d’extrémité.

Ces facteurs rendent la sécurité des terminaux d’entreprise plus difficile en soi, mais ils sont aggravés par le travail à distance et les politiques BYOD, qui rendent la sécurité du périmètre de plus en plus insuffisante et créent des vulnérabilités.

Le paysage des menaces se complique également

Les escrocs trouvent continuellement de nouveaux moyens d’accéder aux données, de voler des informations ou de manipuler les employés pour qu’ils communiquent des informations sensibles. Si on ajoute à cela le coût d’opportunité lié à la réaffectation de ressources destinées aux objectifs commerciaux à la lutte contre les menaces, le coût de réputation d’une violation à grande échelle et le coût financier réel des violations de la conformité, on comprend aisément pourquoi les plates-formes de protection des points d’accès sont considérées comme des incontournables en termes de sécurisation des entreprises modernes.

Vous venez de licencier un employé ? Mettez fin à ses accès à vos systèmes au moment de son licenciement. Il est surprenant de constater la fréquence à laquelle les droits d’accès d’un employé aux points d’extrémité ne soient pas résiliés pendant des jours, des semaines, voire des mois après qu’il quitte son entreprise.

Plus tard, nous allons vous recommander quelques mesures de protection plus importantes que vous pouvez mettre en œuvre pour protéger votre entreprise contre les erreurs humaines et les attaques cybercriminelles.

Calculer le coût des actes des employés qui consultent des contenus malveillants

Une menace interne n’a pas besoin d’être malveillante pour causer des dommages importants. De nombreuses entreprises ont payé un lourd tribut à la négligence de leurs employés et de leurs sous-traitants. Certaines des plus grandes brèches ont été déclenchées par une seule erreur de la part de vos employés.

Il suffit qu’un employé clique sur un lien malveillant pour que les dommages financiers et de réputation soient considérables, tel que rapporté par Sony Pictures. L’entreprise a dépensé des trentaines de millions d’euros pour réparer ses systèmes informatiques en 2014, après que plusieurs cadres de haut niveau aient été victimes d’une attaque de phishing.

Les attaquants ont divulgué des éléments de propriété intellectuelle et des e-mails sensibles, et ont volé plus de 100 téraoctets de données.

La perte des informations d’identification d’un utilisateur privilégié, que ce soit par phishing ou par tout autre moyen, peut avoir un impact dévastateur. Une fois compromises, les informations d’identification peuvent être utilisées pendant de longues périodes pour accéder à des informations sensibles ; détourner des fonds ; paralyser des réseaux et bien plus encore.

Des employés innocents mettent-ils votre organisation en danger ?

Toutes les entreprises sont exposées à des menaces internes, en particulier celles qui sont dues à la négligence.

Quels que soient les outils et les contrôles que nous mettons en place, nous ne pourrons jamais éradiquer l’erreur humaine. Cependant, plus l’organisation est grande, plus le risque est grand, plus les conséquences sont graves.

Les utilisateurs finaux, quel que soit leur niveau professionnel ou leur secteur d’activité, ne sont pas suffisamment informés des risques courants et de leur rôle dans la lutte contre ces risques. Cela est dû à un manque de formation continue et complète.

Selon des rapports récents, 68 % des cadres et dirigeants ne comprennent pas bien les menaces persistantes et la manière dont elles peuvent avoir un impact négatif sur les organisations. Pire encore, 60 % ne comprennent pas que les cybercriminalités sont une préoccupation permanente.

2 – Attaques de phishing et escroqueries basées sur l’ingénierie sociale

Le phishing est sans doute la plus grande menace de cybersécurité à laquelle sont confrontées les PME. Le phishing consiste à utiliser de techniques d’ingénierie sociale pour persuader les gens de divulguer des informations sensibles ou de prendre une mesure telle que l’installation de malwares ou de ransomwares.

L’attaque est souvent lancée via la messagerie électronique, mais elle peut aussi se faire via le message texte, les sites de médias sociaux ou par téléphone.

Ne présumez pas que vos employés ont tous du bon sens et savent qu’il ne faut pas ouvrir les pièces jointes aux e-mails provenant des personnes inconnues ou répondre aux offres alléchantes telles que l’arnaque « à la nigériane ». Vous devez former vos employés et leur enseigner les meilleures pratiques en matière de cybersécurité et leur montrer comment identifier les e-mails de phishing.

L’une des attaques utilisant l’ingénierie sociale s’appelle « Reverse Tabnabbing ». Le reverse tabnabbing est une attaque où une page liée à partir de la page cible est capable de réécrire cette page, par exemple pour la remplacer par un site de phishing.

Comme l’utilisateur se trouvait à l’origine sur la bonne page, il est moins susceptible de remarquer qu’il a été remplacé par un site de phishing, surtout si le site en question ressemble à la cible.

Si l’utilisateur s’authentifie sur cette nouvelle page, ses informations d’identification (ou d’autres données sensibles) sont envoyées au site de phishing plutôt qu’au site légitime.

En plus du site cible pouvant écraser la page cible, chaque lien « http » peut être falsifié pour écraser la page cible si l’utilisateur se trouve sur un réseau non sécurisé, par exemple un hotspot wifi public. L’attaque est possible même si le site cible n’est disponible que via « https », car l’attaquant n’a qu’à usurper le site http auquel il est lié.

L’attaque est généralement possible lorsque le site source utilise une instruction cible dans un lien « html » pour spécifier un emplacement de chargement cible qui ne remplace pas l’emplacement actuel, puis laisse la fenêtre ou l’onglet actuel disponible, et n’inclut aucune mesure préventive.

L’attaque est également possible pour le lien ouvert via la fonction javascript window.open

Lorsqu’un utilisateur clique sur le lien ou un bouton cible vulnérable, le site malveillant s’ouvre dans un nouvel onglet, mais le site cible dans l’onglet d’origine est remplacé par le site de phishing.

Le site malveillant ne peut accéder aux propriétés suivantes qu’à partir de la référence d’objet javascript opener — qui est en fait une référence à une instance de classe javascript de fenêtre — en cas d’accès « cross origin ».

Si les domaines sont les mêmes, le site malveillant peut accéder à toutes les propriétés exposées par la référence d’objet javascript de la fenêtre.

Pour éviter cela, vous devriez organiser des formations de recyclage à intervalles réguliers et effectuer des exercices de simulation de phishing (qui peuvent être en grande partie automatisés). Cela vous permet de savoir qui sont les employés qui ont compris et adopté les mesures nécessaires en cas d’attaque et lequel d’entre eux a besoin d’une formation supplémentaire.

Les employés constituent la dernière ligne de défense contre la cybercriminalité. Ce qui signifie que vous avez besoin d’un niveau de sécurité supplémentaire. Autrement dit, cela signifie qu’une solution antispam/antiphishing avancée doit être en place pour bloquer les menaces avant qu’elles n’atteignent les boîtes de réception de vos employés. Si vous utilisez Office 365, vous devez tout de même mettre en place une solution antispam. Une étude récente d’Avanan a révélé que 25 % des e-mails de phishing contournent les défenses antispam d’Office 365.

Une autre couche de protection devrait également être mise en place pour protéger votre entreprise contre le phishing. Il s’agit de l’authentification multifacteurs. Le concept consiste à utiliser un facteur d’authentification supplémentaire qui se déclenchera si un pirate tente d’utiliser des informations d’identification à partir d’un périphérique ou d’un emplacement non fiable. Si les informations d’identification sont compromises lors d’une attaque de phishing, une ou plusieurs autres authentifications devraient empêcher l’utilisation de ces données et empêcher le pirate d’accéder aux comptes de messagerie, aux ordinateurs ou aux ressources réseau de votre entreprise.

3 – Malware et Ransomware

Les malwares, les virus, les ransomwares, les spywares, les chevaux de Troie, les vers, les botnets, et les cryptomonnaies sont tous des menaces sérieuses qui nécessitent des mesures adéquates pour pouvoir les bloquer. En réalité, vous devez avoir un logiciel antivirus installé sur tous les points d’extrémité et sur vos serveurs.

Les malwares peuvent être installés de plusieurs façons. Comme nous l’avons déjà mentionné, le blocage des périphériques USB est important et un logiciel de filtrage du spam, associé à un système de sandboxing vous protégera contre les attaques basées sur la messagerie électronique. La plupart des infections par des malwares se produisent désormais via Internet, et c’est la raison pour laquelle une solution de filtrage web est également importante. Cela ajoutera une couche supplémentaire à vos défenses contre le phishing.

Voici quelques exemples d’attaques de ransomware qui vous aideront à les identifier :

Locky

Locky est un ransomware qui a été utilisé pour la première fois pour une attaque en 2016 par un groupe de pirates informatiques organisés.

Locky a chiffré plus de 160 types de fichiers et s’est propagé au moyen de faux e-mails contenant des pièces jointes infectées. Les utilisateurs sont tombés dans le piège du courrier électronique et ont installé le ransomware sur leurs ordinateurs.

Cette méthode de propagation est appelée phishing et est une forme de ce que l’on appelle l’ingénierie sociale.

Le ransomware Locky cible les types de fichiers souvent utilisés par les concepteurs, les développeurs, les ingénieurs et les testeurs.

Ryûk

Ryûk est un cheval de Troie de chiffrement qui s’est propagé en août 2018 et a désactivé la fonction de récupération des systèmes d’exploitation Windows. Cela rendait impossible la restauration des données chiffrées sans sauvegarde externe.

Ryûk a aussi chiffré les disques durs du réseau. L’impact a été énorme et de nombreuses organisations américaines ciblées ont payé les rançons demandées.

Les dommages totaux sont estimés à plus de 640 000 dollars.

CryptoLocker

CryptoLocker est un ransomware qui a été repéré pour la première fois en 2007 et qui s’est propagé via des pièces jointes infectées. Le ransomware a recherché des données importantes sur les ordinateurs infectés et les a chiffrées.

On estime que 500 000 ordinateurs ont été touchés. Les forces de l’ordre et les sociétés de sécurité ont finalement réussi à prendre le contrôle d’un réseau mondial d’ordinateurs personnels détournés qui ont été utilisés pour diffuser CryptoLocker.

Cela a permis aux agences et aux entreprises d’intercepter les données envoyées sur le réseau sans que les criminels s’en aperçoivent. Cela a abouti à la mise en place d’un portail en ligne où les victimes pouvaient obtenir une clé pour déverrouiller leurs données.

Cela a permis à leurs données d’être divulguées sans qu’il soit nécessaire de payer une rançon aux escrocs.

WannaCry

WannaCry était une attaque de ransomware qui s’est propagée dans plus de 150 pays en 2017. Elle a été conçue pour exploiter une vulnérabilité de sécurité dans Windows qui a été créée par la NSA et divulguée par le groupe de hackers Shadow Brokers.

WannaCry a affecté 230 000 ordinateurs dans le monde. L’attaque a touché un tiers de tous les hôpitaux du NHS au Royaume-Uni, causant des dommages estimés à 92 millions de livres.

Les utilisateurs finaux ont été bloqués et une rançon payable en Bitcoin a été exigée. L’attaque a exposé le problème des systèmes obsolètes, car le pirate informatique a exploité une vulnérabilité du système d’exploitation pour laquelle un correctif existait depuis longtemps au moment de l’attaque.

Les dommages financiers mondiaux causés par le logiciel WannaCry s’élevaient à environ plusieurs milliards d’euros.

Bad Rabbit

Bad Rabbit était une attaque de ransomware de 2017 qui s’est propagée via des attaques dites « drive-by ».

Des sites Web non sécurisés ont été utilisés pour mener les attaques. Lors d’une attaque de ransomware, un utilisateur visite un vrai site Web, sans savoir qu’il a été compromis par des pirates informatiques.

Pour la plupart des attaques cybercriminelles, il suffit qu’un utilisateur consulte une page qui a été compromise de cette façon. Cependant, dans ce cas, l’exécution d’un programme d’installation contenant des malwares déguisés a conduit à l’infection. C’est ce qu’on appelle un compte-gouttes de malware.

Bad Rabbit a demandé à l’utilisateur d’exécuter une fausse installation d’Adobe Flash qui a infecté l’ordinateur avec des malwares.

Troldesh/Shade

L’attaque du ransomware Troldesh ou Shade a eu lieu en 2015 et s’est propagée via des spams contenant des liens infectés ou des pièces jointes malveillantes.

En fait, les attaquants de Troldesh ont communiqué directement avec leurs victimes par e-mail. Les victimes avec lesquelles elles avaient noué de « bonnes relations » bénéficiaient de remises. Pourtant, ce genre de comportement est une exception plutôt que la règle.

Un filtre web bloquera les téléchargements de malwares ; empêchera les employés de visiter des sites malveillants (y compris les sites de phishing) et vous permettra d’appliquer vos politiques d’utilisation d’Internet.

Une solution de filtrage DNS est le meilleur choix. Grâce à cela, tout le filtrage a lieu dans le cloud avant qu’un contenu ne soit téléchargé.

4 – Shadow IT

Shadow IT est le terme donné à tous les matériels ou logiciels en usage, mais qui n’ont pas été autorisé par votre département informatique. Cela peut être un périphérique de stockage portable tel qu’un lecteur zip, un client VPN pour contourner votre filtre web, une application pour aider vos employés dans la réalisation de leurs tâches quotidiennes, ou tout autre type de logiciel.

Il est surprenant de constater le nombre exact de programmes installés sur les appareils des utilisateurs lorsque le personnel de soutien informatique est appelé à régler un problème.

Mais pourquoi cela devrait-il poser problème ?

En effet, tous les matériels et applications installés sans autorisation représentent un risque potentiel de sécurité et de conformité. Votre équipe de sécurité n’a aucun contrôle sur les correctifs, et les vulnérabilités de ces applications pourraient ne pas être corrigées qu’après plusieurs mois. Pendant cette période, les pirates disposent d’un point d’entrée facile dans votre réseau. De fausses applications pourraient être téléchargées, notamment des malwares et des progiciels comprenant souvent une foule de programmes et de spywares potentiellement indésirables.

De plus, toutes les données stockées dans ces applications pourraient être transmises à des emplacements non sécurisés et il est peu probable que ces applications et les données qu’elles contiennent soient sauvegardées par le service informatique. En cas d’attaque cybercriminelle, de sinistre ou de perte des données, celles-ci peuvent donc être perdues facilement.

5 – Logiciels non patchés

Il est important d’appliquer les correctifs le plus rapidement possibles dès qu’ils sont disponibles. Des vulnérabilités existent dans toutes les solutions logicielles.

Tôt ou tard, ces vulnérabilités seront découvertes par les pirates qui vont par la suite développer des kits d’exploitation pour en tirer profit.

Les chercheurs en matière de sécurité informatique sont constamment à la recherche de failles qui pourraient potentiellement être exploitées par les cybercriminels dans le but d’accéder à des informations sensibles, d’installer des malwares ou d’exécuter du code à distance.

Lorsque ces failles sont identifiées et que des correctifs sont publiés, ceux-ci doivent être appliqués rapidement. Gardez à l’esprit que les vulnérabilités sont activement exploitées au moment où un correctif est publié. Il est donc essentiel qu’elles soient corrigées le plus rapidement possible et que tous vos logiciels soient mis à jour.

Lorsque des logiciels ou des systèmes d’exploitation approchent de leur fin de vie, vous devez les mettre à niveau. En effet, lorsque les correctifs cessent d’être publiés et que les logiciels ne sont plus pris en charge, les vulnérabilités peuvent être exploitées facilement par des personnes aux intentions malveillantes.

6 – Matériel obsolète

Toutes les vulnérabilités ne proviennent pas des logiciels obsolètes.

Les matériels que vous utilisez peuvent également présenter des risques. Vous devez donc tenir un inventaire de tous vos matériels afin de vous assurer que rien ne passe à travers les mailles du filet.

Les mises à jour de micrologiciels doivent être appliquées dès qu’elles sont disponibles et vous devez surveiller les appareils qui approchent de leur fin de vie. Si vos appareils ne prennent pas en charge les derniers systèmes d’exploitation, il est alors temps de les remplacer. Bien entendu, cela aura un coût, mais les cyberattaques et les violations de données impliquent aussi un coût bien plus conséquent.

7 – Dispositifs IoT non sécurisés

L’Internet des objets (IoT) offre une certaine commodité, mais il peut aussi représenter des risques en matière de sécurité informatique. Étant donné que les dispositifs IoT peuvent envoyer, stocker ou transmettre des données, ils doivent être sécurisés.

Malheureusement, dans l’empressement de tout connecter à Internet, les fabricants d’appareils négligent souvent la sécurité, tout comme les utilisateurs de ces appareils. Prenez par exemple les caméras de sécurité. Vous pouvez accéder à vos caméras à distance, mais vous n’êtes peut-être pas la seule personne à pouvoir le faire.

Si vos caméras de sécurité sont piratées, les voleurs pourraient voir ce que vous avez, où il se trouve, et où et quand votre système sécurité présente des failles. Il y a eu des cas où des caméras de sécurité ont été piratées parce que les personnes responsables n’ont pas réussi à modifier les informations d’identification par défaut pour leur gestion à distance.

Veillez à modifier les informations d’identification par défaut des périphériques et utilisez des mots de passe forts. Gardez les périphériques à jour et, si les périphériques doivent se connecter à votre réseau, assurez-vous qu’ils sont isolés des autres ressources.

Les cybercriminels peuvent également tirer parti des failles des applications auxquelles ces périphériques IoT se connectent. L’une des meilleures solutions que vous pouvez appliquer est de les mettre à jour.

8 – Attaques du type « Man-in-the-Middle » via le Wi-Fi public

Une attaque de type Man-in-the-Middle (MITM) est un scénario d’attaque dans lequel les communications entre deux personnes (ou entre une personne et un site web/réseau) sont interceptées par un pirate informatique.

Un employé peut croire qu’il communique de façon sécuritaire, alors que tout ce qu’il dit ou fait est vu ou enregistré. Un attaquant pourrait même contrôler la conversation entre deux personnes et communiquer avec chacune d’entre elles séparément alors que les deux personnes croient qu’elles communiquent entre elles.

Cette méthode d’attaque se produit le plus souvent par le biais de points d’accès Wi-Fi non sécurisés ou via la technique du Honeypot (Evil Twin). En effet, les cybercriminels peuvent installer de faux points d’accès Wi-Fi dans les cafés, les aéroports et tout autre endroit où le Wi-Fi gratuit est offert pour inciter les utilisateurs à s’y connecter dans le but de voler leurs données sensibles.

Si vous avez des travailleurs à distance, vous devez prendre des mesures pour vous assurer que toutes les communications restent privées. Cela peut se faire de deux façons. D’une part, vous pouvez vous assurer que les employés utilisent un VPN sécurisé qui chiffre leurs communications sur les réseaux Wi-Fi publics ou non sécurisés. D’autre part, vous pouvez mettre en place une solution de filtrage DNS.

La solution de filtrage DNS offre la même protection aux travailleurs à distance qu’aux travailleurs sur site et empêche les téléchargements de malwares et l’accès des employés à des sites web malveillants.

9 – Menaces pour la sécurité des appareils mobiles

Nul ne peut nier la commodité offerte par les appareils mobiles tels que les ordinateurs portables, les tablettes et les Smartphones. Ils permettent aux travailleurs d’être joignables instantanément et de travailler depuis n’importe quel endroit. Les appareils mobiles peuvent améliorer la mobilité, la satisfaction et le confort de vos employés dans leur milieu de travail et augmenter ainsi leur productivité.

Cependant, les appareils présentent de nouveaux risques. Que vous fournissiez ces appareils ou que vous appliquiez une politique de BYOD (une pratique consistant à autoriser les employés à utiliser leurs propres appareils personnels dans un contexte professionnel), vous devez mettre en place une série de contrôles de sécurité pour vous assurer que les menaces cybercriminelles sont parfaitement gérées.

Vous devez connaître chaque dispositif que vous autorisez à se connecter à votre réseau informatique. Une solution de sécurité des appareils mobiles peut vous aider à gagner en visibilité sur l’utilisation de tous les dispositifs connectés à votre réseau et vous permettre de contrôler vos applications et vos données.

Assurez-vous également que des contrôles de sécurité sont appliqués aux appareils. Ceux-ci ne doivent accéder à votre réseau que par des canaux sécurisés (VPN) et ils doivent être couverts par une solution de filtrage DNS. En outre, toutes les données sensibles stockées sur ces appareils doivent être chiffrées.

10 – Remote Desktop Protocol (RDP)

Le protocole RDP permet aux employés de se connecter à distance à vos ordinateurs et serveurs lorsqu’ils ne sont pas au bureau. Grâce à cela, votre prestataire de services pourra régler rapidement vos problèmes et assurer la maintenance de vos systèmes sans avoir à se déplacer.

Le problème est que le RDP offre aux pirates informatiques un moyen facile d’accéder à vos ordinateurs et serveurs ; de voler des données sensibles ou d’installer des malwares. Avez-vous vraiment besoin d’activer ce protocole ? Si ce n’est pas le cas, désactivez-le. Est-ce que le RDP doit être utilisé uniquement en interne ? Assurez-vous donc qu’il n’est pas exposé à l’Internet.

Si vous avez besoin du protocole RDP, alors vous devez faire preuve d’une extrême prudence. Les utilisateurs doivent se connecter uniquement via un VPN ou définir des règles de pare-feu. Limitez les personnes qui ont des permissions d’utiliser RDP. Par ailleurs, des mots de passe forts doivent être mis en place, ainsi qu’un système de limitation du débit, et ce, afin de protéger votre entreprise contre les attaques par force brute. Utilisez également l’authentification multifactorielle.

Les informations d’identification RDP volées sont souvent utilisées par les pirates pour accéder à vos systèmes. Ils mènent souvent des tentatives de force brute et exploitent les vulnérabilités dans le protocole RDP qui n’ont pas été corrigées. C’est l’une des principales façons d’installer un ransomware.

Voici les dix principales menaces de cybersécurité auxquelles les PME doivent faire face. Il existe beaucoup d’autres risques qui doivent être identifiés et atténués pour assurer votre protection. Cependant, si vous parvenez à éviter les problèmes ci-dessus, vous aurez déjà beaucoup fait pour que les pirates informatiques et les cybercriminels ne puissent nuire facilement à votre entreprise.

TitanHQ est là pour vous aider !

TitanHQ peut vous aider en vous fournissant des solutions de cybersécurité avancées pour vous protéger contre plusieurs des 10 principales menaces de cybersécurité énumérées ci-dessus. Grâce à ces solutions, vous pourrez mieux combattre les attaques lancées via la messagerie électronique et le web. Ces solutions, à savoir SpamTitan et WebTitan, sont 100 % basées dans le cloud. Elles sont faciles à mettre en œuvre et à maintenir et peuvent fournir une excellente protection contre les malwares, les ransomwares, les virus, les botnets et les attaques de phishing. De plus, ces solutions sont puissantes et abordables pour les PME.

Si vous êtes un fournisseur de services gérés qui dessert le marché des PME, vous devriez également prendre contact avec nous. SpamTitan et WebTitan ont été développés par des MSP pour des MSP. Il y a une foule de raisons pour lesquelles TitanHQ est devenu le fournisseur leader en matière de solutions de sécurité web et de messagerie électronique basées dans le cloud pour les MSP.

Contactez dès aujourd’hui notre équipe de vente pour en savoir plus. Vous pouvez également demander une démonstration de nos solutions ou vous inscrire pour un essai gratuit.

Élimination des malwares au niveau de leur mécanisme de diffusion

Élimination des malwares au niveau de leur mécanisme de diffusion

par | Déc 10, 2019 | Malwares

Un anti-malware efficace arrête les attaques malveillantes avant qu’elles n’infectent un appareil.

Ce n’est pas aussi facile qu’il n’y paraît, car les attaquants changent leurs méthodes de livraison pour éviter la détection. Il y a vingt ans, il suffisait d’avoir un antivirus sur un appareil pour arrêter la majorité des attaques, mais aujourd’hui, les attaquants utilisent des livraisons sans fichier, des malwares en mémoire, du phishing, des logiciels en rançon et de nombreuses autres méthodes pour voler des données et prendre le contrôle des ressources.

Il est plus important que jamais pour les entreprises de se concentrer sur l’arrêt des attaques au niveau du mécanisme de diffusion, ce qui peut être fait avec les bonnes défenses de cybersécurité.

Les attaques de phishing sont de plus en plus populaires

Une organisation peut disposer d’un système de détection et de prévention des intrusions parfaitement configuré, et les attaquants savent que la plupart des infrastructures de cybersécurité sont bien sécurisées. Au lieu de trouver chercher une once de faille de sécurité sur le réseau, les attaquants optent pour une solution beaucoup plus facile : exploiter l’erreur humaine.

Selon Microsoft, les attaques de phishing ont augmenté de 250 % en 2018.

Le phishing est souvent à l’origine d’attaques de ransomware, et les campagnes de malwares ont également gagné en popularité. Selon une récente enquête réalisée en 2019, les frais de rançon liés aux attaques de ransomwares ont également augmenté de 89 %.

La plupart des ransomwares utilisent AES-256, un algorithme de chiffrement symétrique. En réalité, cet algorithme utilise la même clé pour chiffrer et déchiffrer les données. Ceci oblige les organisations à payer la rançon pour récupérer les données, notamment si elles ne disposent pas de sauvegarde ou si son plan de sauvegarde et de reprise après sinistre est mal configuré.

Ajoutez à cela les attaques le phishing et les attaquants ont une mine d’or avec un potentiel illimité, car de plus en plus d’entreprises n’ont pas les bonnes ressources et la formation des utilisateurs pour arrêter les pirates.

L’ingénierie sociale est également un sujet de préoccupation, car les utilisateurs ayant une mauvaise formation en cybersécurité divulgueront librement leurs informations d’identification, ce qui permettra à un pirate d’accéder au réseau local de son entreprise.

Même avec des systèmes de détection et de surveillance des intrusions, l’erreur humaine représente toujours un risque pour les entreprises. Les systèmes de surveillance sont essentiels, mais ils avertissent les administrateurs système lorsqu’une attaque est déjà réussie. Le niveau d’atténuation et de confinement nécessaire pour contrôler l’attaque dépend des vecteurs que l’attaquant choisit d’utiliser.

Par exemple, la détection d’une attaque de ransomware qui a déjà chiffré des fichiers ne sert qu’à faire savoir aux administrateurs qu’ils ont des malwares sur leurs réseaux et qu’ils doivent invoquer des méthodes de reprise après sinistre. Dans de nombreux cas, les organisations sont forcées de payer la rançon pour revenir aux niveaux de productivité antérieurs sans perdre aucune donnée.

Le filtre de messagerie DMARC arrête le phishing avant la livraison des malwares ou de ransomwares

La seule façon d’arrêter les attaques de phishing via les e-mails est d’empêcher les messages d’atteindre la boîte de réception de l’utilisateur ciblé. Les messages peuvent être mis en quarantaine et protégés contre l’accès au réseau pendant qu’un administrateur examine le contenu de l’e-mail, y compris les pièces jointes potentiellement malveillantes.

Si l’administrateur détermine que le message mis en quarantaine est un faux positif, il pourra être envoyé dans la boîte de réception de son destinataire et les paramètres du filtre de messagerie pourront être modifiés pour éviter de futurs faux positifs.

Le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) est un protocole de cybersécurité pour les messages électroniques. Il combine la signature des messages et les paramètres DNS pour arrêter les messages usurpés afin que les attaquants ne puissent pas tromper les utilisateurs et les amener à divulguer des informations via le phishing. Les paramètres DNS indiquent aux serveurs de messagerie quelles adresses IP peuvent envoyer des messages au nom de l’organisation, et la signature des requêtes garantit que personne ne peut modifier le contenu.

Les bons filtres e-mails peuvent être ajustés si les administrateurs constatent que des messages électroniques ne sont pas transmis ou qu’un contenu malveillant passe à travers leurs systèmes de défense informatiques. Cela peut prendre du temps d’ajuster et de configurer les filtres de messagerie, mais l’intelligence artificielle facilite le processus et peut réduire les frais généraux des administrateurs à mesure que le système « apprend » à identifier les nouvelles campagnes de phishing qui n’ont pas été connus auparavant.

Élimination des malwares au niveau de leur mécanisme de diffusion

En utilisant la DMARC et les filtres de messagerie électronique, l’organisation peut arrêter les attaques en ligne plutôt que de compter sur les utilisateurs et leur formation pour identifier une campagne en cours. Cette défense de cybersécurité enlève toute responsabilité aux utilisateurs et crée un système intelligent qui empêche la livraison des e-mails malveillants. En utilisant ce système, l’erreur humaine qui peut nuire à l’intégrité du réseau est éliminée.

L’élimination des malwares au niveau de son mécanisme de diffusion ne nécessite pas un système complexe. Les filtres de messagerie peuvent même fonctionner dans le cloud et se connecter de manière transparente aux systèmes actuels. En utilisant ces filtres, les administrateurs de messagerie peuvent réduire considérablement le nombre d’attaques de phishing et de ransomwares réussies sur le réseau et les utilisateurs peuvent être mieux protégés.

La DMARC semble complexe, mais avec la bonne configuration, vous allez constater qu’il s’agit d’un outil de cybersécurité précieux qui protège votre entreprise contre le phishing et d’autres contenus malveillant envoyés via les e-mails. Le phishing est l’un des moyens les plus courants pour les pirates de voler des données. Il est donc important pour les entreprises de mettre en place l’application et les règles appropriées pour arrêter ces messages avant qu’ils n’atteignent la boîte de réception d’un utilisateur.

Bien que le SPF (Sender Policy Framework), qui est une norme de vérification du nom de domaine de l’expéditeur d’un e-mail, offre un certain degré de protection contre l’usurpation d’adresse électronique, la DMARC est beaucoup plus fiable. La sécurité du courrier électronique de SpamTitan intègre désormais l’authentification DMARC pour offrir une protection encore plus grande contre les attaques par usurpation d’adresse IP. Ces deux nouvelles fonctionnalités ont été ajoutées dans la dernière mise à jour de SpamTitan et sont disponibles aux utilisateurs sans frais supplémentaires.

Les pirates informatiques personnalisent les URL malveillantes pour éviter leur détection

Les pirates informatiques personnalisent les URL malveillantes pour éviter leur détection

par | Nov 26, 2019 | Malwares, Sécurité Web

Le but d’un malware est de créer un code qui ne peut pas être détecté par les logiciels antivirus courants ou les systèmes de détection d’intrusion réseau.

Mais même les malwares du type zero day peuvent être détectés par un bon logiciel antivirus lorsque les URL malveillants sont encodées dans des documents et des fichiers exécutables.

Microsoft Office est actuellement l’un des vecteurs de malwares le plus utilisé par les attaquants. Certains documents utilisent l’encodage XML pour stocker les données – y compris les URL – pour se connecter à un serveur distant. Les pirates doivent donc masquer ces URL pour que les malwares ne puissent être détectés.

Format de fichier Microsoft Office

Microsoft Office est tr-s populaire auprès des entreprises. L’une des raisons à cela est qu’il peut facilement être intégré à d’autres formats de fichiers dans un document. De plus, les données qui y sont liées peuvent être utilisées depuis un emplacement distant. Cela signifie que les utilisateurs peuvent éditer le fichier source et modifier l’affichage dans le fichier de destination ouvert par l’utilisateur.

La façon la plus pratique et la plus rapide de voir comment Office stocke l’information est de changer l’extension d’un document Word (.docx) en.zip. Il suffit de double-cliquer sur le nouveau fichier .zip et d’ouvrir le fichier XML nommé document .xml dans l’archive. Vous verrez comment Office stocke les données pour Word, y compris les fichiers liés.

L’exemple suivant est un fichier image, mais les documents liés afficheront une adresse IP associée au serveur distant qui stocke le fichier lié. Si un attaquant utilise des adresses IP étiquetées malveillants, la plupart des défenses antimalware empêcheront l’application de se connecter à la source distante et mettront le fichier en quarantaine.

Obfusquer les adresses IP pour tromper les antivirus

Pour éviter la détection par les logiciels antivirus, les attaquants utilisent des méthodes pour masquer les adresses IP. En effet, ils stockent une adresse IP comme valeur alternative pour qu’elle puisse toujours être utilisée pour se connecter à un emplacement distant, et l’IP stockée évite la détection au moins pendant un certain temps.

Les chercheurs en matière de solution antivirus continuent de mettre à jour les fichiers de signatures pour détecter les nouvelles méthodes d’attaque. Mais les développeurs de malware peuvent créer de nouvelles façons de stocker une adresse IP, de manière à ce qu’elle ne semble pas malveillante pour les lecteurs réseau ou les antivirus.

La première méthode consiste à transformer une adresse IP en valeur décimale.

Les adresses IPv4 contiennent quatre octets (8 bits) qui peuvent être converties en valeurs décimales. Celles-ci sont ensuite stockées dans le contenu XML.

Les valeurs décimales ne sont pas considérées comme malveillante, même pour un logiciel antivirus. Pourtant, le code de l’auteur du malware peut les convertir en binaire lorsqu’il établit une connexion à Internet.

Une deuxième méthode consiste à utiliser des connexions SMB (Simple Message Block). SMB v1 est la principale vulnérabilité utilisée par les pirates pour se connecter à un disque local dans un environnement Windows et chiffrer son contenu. Les auteurs de malwares peuvent analyser les ports SMB ; se connecter au répertoire partagé et manipuler les fichiers.

Avec un fichier Microsoft Office, l’auteur du malware peut copier des exécutables sur un périphérique partagé pour infecter d’autres machines et rediriger la connexion SMB vers un serveur distant contrôlé par un attaquant pour télécharger des exécutables malveillants.

Si l’administrateur réseau a activé SMB sur le réseau, ce trafic réseau ne déclenche donc pas les notifications des systèmes de détection et de prévention des intrusions.

Enfin, une troisième méthode courante consiste à encoder les URLs en leurs équivalents hexadécimaux. Les attaquants peuvent encoder l’URL entière – y compris le nom de domaine – ou n’encoder qu’une partie. Les navigateurs détectent automatiquement les URL codées en hexadécimal à condition qu’elles suivent la bonne syntaxe. Chaque valeur doit avoir le signe pourcentage (%) dont le préfixe d’une lettre inclut des caractères spéciaux et des espaces.

A titre d’exemple, la valeur hexadécimale suivante indique « example.com/maliciousfile.exe » si vous savez la décoder :

%65%78%61%6D%70%6C%65%2E%63%6F%6D%2F%6D%61%6C%69%63%69%6F%75%73%66%69%6C%65%2E%65%78%65

Un navigateur pourrait déchiffrer cette valeur encodée par l’URL et se connecter à un serveur distant. Pour un lecteur réseau, il ne s’agit pas d’une URL, et il ne peut donc être détecté par certains logiciels antivirus.

En plus de ces techniques d’obscurcissement, les attaquants peuvent coder deux fois les valeurs. Une adresse IP peut être codée en hexadécimal, et derrière la valeur hexadécimale se trouve une valeur IP décimale. Le double encodage évite la détection par un logiciel de détection plus avancé et qui est capable de lire les valeurs codées en une seule étape.

Ce que les organisations peuvent faire pour bloquer les adresses IP malveillantes

La meilleure façon d’arrêter ces attaques est d’utiliser des filtres de contenu DNS. Les navigateurs utilisent le DNS pour se connecter à un serveur distant, et l’encodage ne modifie pas la requête DNS pendant le traitement de l’URL d’un navigateur. Les filtres de contenu peuvent également aider à empêcher le chargement local du contenu sur le navigateur d’un utilisateur, mais les filtres DNS peuvent stopper l’attaque avant que le contenu ne soit téléchargé.

Bien que l’antivirus soit une nécessité pour toutes les organisations, l’utilisation de protocoles anti-malware supplémentaires garantira que les connexions distantes malveillantes seront toujours interrompues. Et les filtres DNS sont la meilleure méthode pour compléter les logiciels antivirus.

Les avantages d’utiliser un service de filtrage DNS sont les suivants :

  • Il améliore la sécurité en bloquant l’accès à des sites Web malveillants ou qui présentent des risques.
  • Le filtrage DNS empêche le téléchargement de malwares à partir de sites web malveillants ou piratés
  • Il permet de garder votre défense à jour grâce à une analyse ciblée des menaces et à des mises à jour des menaces du type zero day pour protéger vos clients des menaces cybercriminelles.
  • Il utilise des contrôles basés sur des stratégies élaborées pour gérer l’accès au réseau grâce à un blocage et un filtrage très granulaires.
  • Il empêche les utilisateurs d’accéder à du matériel qui pourrait nuire à la productivité ou nuire à votre organisation.

Protection contre les malwares

WebTitan Cloud inclut plusieurs catégories de protection contre les malwares, en bloquant l’accès à des sites Web compromis, des sites Web qui distribuent des spams, aux logiciels espions et aux sites web malveillants.

Filtrage d’URL

WebTitan Cloud est également doté d’une solution de filtrage d’URL jusqu’à 53 catégories prédéfinies. Il peut analyser 10 millions d’URL et fonctionnent en conjonction avec un système de recherche et de classification en temps réel basé sur le Cloud. Cela fournit une combinaison inégalée de couverture, de précision et de flexibilité.

Avec WebTitan Cloud, vous serez donc tranquille en sachant que votre accès Internet est sûr et sécurisé.

Appelez-nous dès aujourd’hui pour ajouter une couche supplémentaire efficace à la sécurité web de votre entreprise, et ce, en quelques minutes seulement.

Une campagne massive de malvertising utilise une faille pour diffuser des malwares

Une campagne massive de malvertising utilise une faille pour diffuser des malwares

par | Nov 18, 2019 | Malwares

Le malvertising est le nom donné à l’abus des réseaux publicitaires pour diffuser des publicités sur des sites web légitimes dans le but d’escroquer les visiteurs, en affichant des pop-ups ou en les dirigeant vers des sites web malveillants. Ces sites hébergent des formulaires de phishing ou un code d’exploitation qui permet aux cybercriminels de diffuser en silence des malwares.

De nombreux propriétaires de sites web placent des blocs publicitaires de tiers sur leurs plateformes en ligne dans le but d’augmenter leurs revenus. Bien que les réseaux publicitaires aient mis en place des contrôles pour prévenir les abus, les cybercriminels réussissent souvent à contourner ces mesures de sécurité.

Un groupe cybercriminel a été particulièrement actif au cours de l’année dernière et a mené des attaques à grande échelle. Les chercheurs de Confiant ont suivi l’activité du groupe – connu sous le nom d’eGobbler – et rapportent qu’il a diffusé de fausses publicités sur 500 millions de sessions utilisateurs en Europe et aux États-Unis au cours de la dernière semaine seulement. Les campagnes sont vraiment massives. L’une des dernières campagnes, menée entre le 1er août et le 23 septembre, a permis aux pirates d’enregistrer environ 1,16 milliard d’impressions publicitaires.

Généralement, les criminels derrière ces campagnes ciblent les utilisateurs mobiles, car les protections de sécurité sur leurs appareils sont loin d’être aussi robustes que sur les ordinateurs de bureau. Mais cette fois, la campagne ciblait les utilisateurs d’ordinateurs de bureau sous Windows, Linux et MacOS.

Plusieurs réseaux de partage de contenu ont été utilisés pour diffuser les publicités malveillantes, redirigeant les utilisateurs vers des sites web qui exploitent deux vulnérabilités de navigateur. Les pirates ont ainsi pu diffuser leurs charges utiles malveillantes.

La première vulnérabilité est un bug dans le navigateur Chrome – CVE-2019-5840 – qui a été corrigé par Google en juin. La seconde est une vulnérabilité de type « zero-day » dans WebKit, le moteur de navigation utilisé par les anciennes versions de Chrome et le navigateur Web Safari. Le bogue a déjà été corrigé pour Safari, contrairement à Google qui n’a pas corrigé Chrome. Comme le dernier moteur de navigation utilisé par Chrome est basé sur WebKit, les versions ultérieures ont été également affectées.

Alors que les fonctions de sandboxing protègent les iframes publicitaires, la vulnérabilité zero-day a permis au groupe les contourner et d’afficher du code malveillant pour les visiteurs ou pour les rediriger vers des sites malveillants.

Ce groupe cybercriminel est atypique de la plupart de ceux qui utilisent la publicité malveillante pour diffuser des malwares. Il est hautement qualifié et capable de trouver des bugs dans le code source des navigateurs et de mener des campagnes à grande échelle. eGobbler représente une menace importante pour les utilisateurs d’Internet, bien que des mesures puissent être prises pour réduire la probabilité d’une attaque réussie.

Les utilisateurs peuvent renforcer leurs défenses en utilisant des bloqueurs de pub et en s’assurant qu’ils maintiennent leurs navigateurs à jour. De même, les entreprises doivent s’assurer que les navigateurs sont mis à jour et qu’ils peuvent bloquer les publicités malveillantes à l’aide d’une solution de filtrage Web.

En plus de bloquer les publicités malveillantes, un filtre web peut être configuré pour bloquer le téléchargement de fichiers malveillants et empêcher les employés de visiter des sites de phishing et d’autres sites web malveillants. Un filtre web peut également être utilisé par les entreprises pour appliquer des politiques d’utilisation d’Internet acceptables.

TitanHQ a développé une puissante solution de filtrage Web basée sur le DNS pour les PME et les MSP. Il s’agit de WebTitan, une solution qui offre une protection contre la publicité malveillante et d’autres types d’attaques sur Internet. Ce filtre web est facile à utiliser et peut être rendu opérationnel en quelques minutes, sans avoir besoin d’une compétence technique particulière.

Compte tenu du niveau de protection offert par WebTitan, vous serez probablement surpris du faible coût de cette solution. Si vous voulez en savoir plus ; si vous voulez voir par vous-même comment fonctionne WebTitan; ou bien si vous voulez bénéficier d’un essai gratuit de la solution complète, appelez l’équipe commerciale de TitanHQ.

Racoon Stealer connaît un grand succès auprès des cybercriminels

Racoon Stealer connaît un grand succès auprès des cybercriminels

par | Nov 15, 2019 | Malwares

Racoon Stealer est une forme relativement nouvelle de malware qui a été détecté pour la première fois en avril 2019. Le malware n’est pas sophistiqué, car il n’intègre aucune fonctionnalité jamais vue auparavant. Bref, il n’a rien d’extraordinaire.

Ce malware peut prendre des captures d’écran, collecter des informations sur le système, surveiller les e-mails et voler des informations de navigateurs, comme les mots de passe, les identifiants bancaires en ligne et les numéros de carte de crédit.

Cependant, le malware est efficace et très populaire. Au cours des six derniers mois, Racoon Stealer a été installé sur des centaines de milliers d’appareils Windows et il est maintenant l’une des variantes de malwares les plus connues sur les forums underground.

Ce qui distingue Racoon Stealer, c’est qu’il utilise une campagne de marketing très agressive visant à recruter le plus grand nombre d’affiliés possible. Il est commercialisé en tant que malware-as-a-service (MaaS) sur les forums underground et les affiliés peuvent s’inscrire pour utiliser le malware pour un montant forfaitaire d’environ 180 euros par mois.

Le malware peut être utilisé pour voler toute une série d’informations sensibles comme les mots de passe, les numéros de carte de crédit et les cryptomonnaies. Dans ce modèle de distribution, les affiliés n’ont pas besoin de développer leurs propres malwares, et ils n’ont besoin que de peu de compétences pour commencer à mener des campagnes malveillantes. Les développeurs du malware fournissent également un hébergement à toute épreuve et sont disponibles pour offrir aux affiliés un support 24h/24, 7j/7 et 365j/an. De plus, le pack est livré avec un système back-end (arrière-plan) facile à utiliser.

Bien que le coût soit certainement élevé par rapport à ceux des autres offres de MaaS et de ransomware-as-a-service, les affiliés sont susceptibles de gagner bien plus grâce aux informations qu’ils peuvent voler. Voici pourquoi les acheteurs de ce malware sont de plus en plus nombreux.

Comment le malware Racoon Stealer est-il distribué ?

Les affiliés distribuent Racoon Stealer par le biais d’e-mails de phishing contenant des fichiers Office et PDF incorporant le code qui télécharge la charge utile. Il est intégré à des logiciels sur des sites web tiers, bien qu’un pourcentage important des infections provienne de kits d’exploitation.

Racoon Stealer est ajouté aux kits d’exploitation Fallout et Rig qui sont chargés sur des sites Web compromis et des domaines appartenant à des pirates informatiques. Le trafic est envoyé vers ces sites via des publicités malveillantes sur des réseaux publicitaires tiers (malvertising).

Lorsqu’un utilisateur atterrit sur une page Web hébergeant un kit d’exploitation, son appareil est testé pour détecter les vulnérabilités. Si une vulnérabilité est trouvée, elle est exploitée et le Racoon Stealer est téléchargé à l’insu de l’utilisateur.

Une fois installé, Racoon Stealer se connecte à son serveur C2. Les ressources nécessaires pour commencer à voler des informations sont ainsi obtenues et peuvent être vendues sur le marché du darknet ou utilisées par les affiliés pour mener leurs propres attaques.

Compte tenu de l’énorme potentiel de profit qu’ils peuvent réaliser, il n’est pas surprenant que les développeurs de malwares optent aujourd’hui pour ce genre d’attaque. Le problème risque de s’aggraver avant qu’il ne s’améliore et la menace que représentent ces offres de MaaS demeure importante.

Comment bloquer Racoon Stealer et d’autres menaces par e-mail et sur le web ?

Heureusement, il existe des mesures que les entreprises peuvent prendre pour améliorer leurs défenses contre les campagnes de MaaS.

Les kits d’exploitation intègrent généralement des exploits pour un petit nombre de vulnérabilités connues plutôt que pour des vulnérabilités du type zéro-day pour lesquelles aucun correctif n’a été publié. Pour bloquer ces attaques par kit d’exploitation, les entreprises doivent appliquer des correctifs et mettre à jour leurs logiciels rapidement.

Il n’est pas toujours possible pour les entreprises d’appliquer les correctifs rapidement, car des tests approfondis peuvent être nécessaires avant que les correctifs puissent être appliqués. Certains périphériques peuvent être ignorés – accidentellement ou délibérément – en raison de problèmes de compatibilité. Ces dispositifs resteront donc vulnérables aux attaques.

Le patch est important, mais il n’empêchera pas les téléchargements de malwares à partir d’Internet qui n’impliquent pas de kits d’exploitation. Ce qu’il faut donc, c’est une solution de sécurité Web qui peut bloquer l’accès aux sites malveillants et empêcher le téléchargement de fichiers à risque.

Une solution de filtrage DNS telle que WebTitan fournit une couche de sécurité supplémentaire pour bloquer ces menaces Web. Grâce à une combinaison de listes noires, de contrôle du contenu et d’analyse des sites Web pour rechercher du contenu malveillant, les entreprises peuvent se protéger contre les attaques sur le web. Un filtre DNS empêchera également les employés de visiter les sites de phishing.

Le blocage des attaques qui se produisent par la messagerie électronique nécessite de solutions de sécurité solides. Un filtre anti-spam avancé tel que SpamTitan peut empêcher les e-mails malveillants et les pièces jointes d’atteindre les boîtes de réception des utilisateurs finaux. SpamTitan analyse tous les e-mails entrants pour rechercher les malwares à l’aide de deux moteurs antivirus. Il est également efficace pour bloquer les menaces du type zero-day. Enfin, sachez que SpamTitan inclut un bac à sable alimenté par Bitdefender, où les pièces jointes suspectes sont soumises à une analyse approfondie pour identifier toute intention potentiellement malveillante.

Avec ces deux solutions en place, les entreprises seront bien protégées contre les menaces de malwares et les attaques de phishing.

Tendances des malwares à surveiller en 2020

Tendances des malwares à surveiller en 2020

par | Nov 14, 2019 | Malwares, Phishing

Alors que le phishing et les ransomwares sont toujours considérés comme les cyber-attaques les plus importantes, une nouvelle tendance en matière de malwares implique des attaques « sans fichier ». Les fichiers utilisés dans ces attaques ne peuvent pas exécuter une charge utile significative par eux-mêmes, mais utilisent plutôt une technique appelée « Living off the Land Binaries » ou LOLBins.

En effet, les fichiers ont besoin de systèmes binaires pour livrer leurs charges utiles. L’attaque utilise plusieurs étapes pour télécharger les exécutables nécessaires pour fonctionner, impliquant généralement des outils natifs de shell et de script pour extraire le contenu malveillant d’Internet vers le périphérique local.

Campagnes Nodersok et Node.js : les malwares à surveiller en 2020

L’attaque sans fichier la plus importante est celle de Nodersok. Ce malware incite les utilisateurs à télécharger un fichier HTA. Les fichiers HTA sont d’anciennes applications HTML Windows utilisées pour envelopper des pages web personnalisées dans une instance Internet Explorer. L’avantage était que l’utilisateur pouvait exécuter VBScript et d’autres fichiers locaux dans un navigateur. Ces applications sont relativement dépassées, mais Nodersok profite de la propension des utilisateurs à télécharger des fichiers avec des extensions qui semblent inoffensives.

Une fois le fichier HTA téléchargé, Nodersok effectue plusieurs étapes d’une manière élaborée pour éviter les systèmes antimalware. Il utilise JavaScript dans l’application HTA pour télécharger des fichiers supplémentaires, puis utilise l’application Windows PowerShell pour éventuellement télécharger Node.exe. Node.exe est la variante Windows du framework Node.js.

Le framework Node.js transforme n’importe quelle machine en proxy, ce qui est le but du Nodersok. Après une infection réussie, ce malware utilise ses capacités proxy pour réaliser des clics frauduleux. Une fois que les utilisateurs cliquent sur les publicités des annonceurs, le créateur de malwares gagne de l’argent grâce à ces clics frauduleux, mais qui semblent constituer un trafic valide sur le réseau publicitaire.

L’utilisation d’outils natifs est ce qui fait de cette dernière attaque de malware sans fichier une nouvelle tendance innovante pour les cybercriminels. Il rend la détection de l’attaque beaucoup plus difficile pour les applications anti-malware en raison de la nature « inoffensive » du fichier original téléchargé par l’utilisateur. De plus, Nodersok utilise PowerShell pour désactiver les applications antivirus afin d’éviter toute détection.

Microsoft rapporte que la plupart des attaques se concentrent sur les consommateurs, et la dernière vague de campagne cible principalement les appareils aux États-Unis et en Europe.

Protection des périphériques d’entreprise

Comme Nodersok désactive les outils anti malwares locaux, il est difficile pour les entreprises de contrôler les infections étendues des périphériques. La première étape de l’attaque consiste à arnaquer les utilisateurs, en les incitant à télécharger le fichier HTA malveillant. La formation des utilisateurs aide à stopper ces attaques et fournit aux utilisateurs la formation adéquate pour identifier les attaques et avertir le personnel informatique, mais il suffit qu’un utilisateur soit dupé pour répandre le malware sur plusieurs périphériques d’entreprise.

Comme le malware utilise des techniques avancées sans fichier, il est difficile de le détecter via des solutions antivirus traditionnelles basées sur les signatures.

Utiliser le filtrage DNS pour se protéger contre Novter

Pour se protéger de ce malware, la solution la plus simple et de mettre en place un système de filtrage de contenu web basé sur DNS. Un tel système empêchera les utilisateurs d’accéder aux sites qui contiennent des fichiers HTA malveillants en fonction d’une politique de contenu établie par les administrateurs. Les filtres de contenu web basés sur le DNS sont supérieurs aux anciens systèmes qui vérifiaient simplement le nom de domaine par rapport à une liste de sites restreints. Au lieu de cela, un utilisateur est incapable d’accéder ou de télécharger du contenu en fonction d’une liste de politiques établies pour bloquer pendant le processus de recherche DNS.

De simples filtres de contenu Web avaient des portes dérobées et des moyens de contourner les filtres, mais les filtres basés sur le DNS ne peuvent être évités en raison de la nature du fonctionnement d’Internet. Chaque fois que l’utilisateur clique sur un lien ou tape un domaine dans un navigateur, une requête DNS est effectuée. Pendant le processus de recherche, un système tel que WebTitan Cloud effectue une recherche supplémentaire sur la politique de contenu Web du réseau. Les politiques peuvent être définies sur des domaines spécifiques et leurs adresses IP associées, mais les administrateurs réseau peuvent également catégoriser les recherches et bloquer les contenus inappropriés. L’utilisateur reçoit un message lui indiquant que son accès au site a été bloqué et les administrateurs reçoivent des notifications l’informant qu’un site de la politique a été interrogé.

Le DNS n’est pas seulement utilisé dans les requêtes du navigateur où l’utilisateur tape un nom de domaine dans la barre d’adresse. Le DNS est également utilisé dans d’autres applications, même en arrière-plan pour les services qui utilisent Internet. Les attaques sans fichier utilisent des applications en mémoire déjà disponibles sur l’appareil local, de sorte qu’un filtre de contenu web basé sur DNS bloquerait toutes les attaques qui utilisent ces outils locaux pour accéder à des sites malveillants. Tout processus qui nécessite un DNS (c’est-à-dire toute requête basée sur Internet) serait bloqué par les filtres de contenu Web.

En choisissant les filtres basés dans le cloud, votre entreprise n’a pas besoin d’investir dans des équipements coûteux pour héberger le système. Les administrateurs lient le DNS local aux filtres où tous les traitements, les notifications et la journalisation s’exécutent dans le cloud.

Voici un autre article qui explique les 6 principales raisons pour lesquelles la sécurité DNS est plus rapide et plus efficace pour tuer les attaques. Il pourrait peut-être vous intéresser.

Les créateurs de malwares continuent de créer de nouvelles façons d’échapper à la détection, et les attaques sans fichier sont la dernière tendance qui pourrait mener à de grandes brèches en 2020. Sachez que des milliers de terminaux aux Etats-Unis et en Europe ont été infectés par ce malware sans fichier au cours des dernières semaines. En se concentrant sur la réduction de la surface d’attaque, cette menace peut être atténuée grâce à de solides contrôles de sécurité. Votre entreprise peut devancer ces attaques en implémentant des filtres DNS comme WebTitan qui détecte les fichiers malveillants, les scripts et qui bloque l’accès aux URL malveillantes.