Les dangers des attaques de ransomware ont été démontrés lorsque plus de 5 000 patients en Californie ont définitivement perdu leurs dossiers médicaux stockés dans un établissement de soins de santé à la suite d’une attaque de ransomware.
Wood Ranch Medical de Simi Valley, en Californie, a subi l’attaque le 10 août 2019. Des ransomwares ont été déployés et exécutés sur ses serveurs, contenant les dossiers médicaux de 5 835 patients. L’attaque a causé des dommages permanents aux systèmes informatiques, et comme les copies de sauvegarde des dossiers des patients étaient également chiffrées, ils ont été définitivement perdus. On ne connait pas le montant exigé par les pirates pour qu’ils fournissent les clés de déchiffrement au cas où la rançon aurait été payée.
Sans les dossiers des patients et à cause du fait que l’organisation devait reconstruire totalement sa pratique médicale à partir de zéro, la décision a été prise de fermer définitivement l’établissement. Les patients ont été forcés de trouver d’autres prestataires de soins de santé et n’ont plus accès à leur dossier médical.
Il s’agit du deuxième fournisseur de soins de santé aux États-Unis qui a été forcé de fermer ses portes en raison d’une attaque de ransomware. Le Brookside ENT and Hearing Center de Battle Creek, au Michigan, a également fermé son cabinet cette année à la suite d’une attaque similaire. Dans cette affaire, les propriétaires de l’établissement ont refusé de payer la rançon, et les dossiers des patients étaient restés chiffrés. Ils ont été conscients qu’il n’était pas possible de reconstruire le cabinet à partir de zéro et ont annoncé leur retraite anticipée.
On ne sait pas exactement comment le ransomware a été installé dans chacun de ces incidents. Il n’est donc pas possible de déterminer les mesures qui auraient dû être mises en œuvre et améliorées pour prévenir les attaques. Toutefois, dans les deux cas, la récupération des fichiers à partir des sauvegardes n’était pas possible.
Le but d’une sauvegarde est de s’assurer qu’en cas de problème, les données seront récupérables. La récupération des fichiers peut prendre beaucoup de temps et nécessiter des temps d’arrêt en raison de l’attaque qui risque d’être coûteuse, mais les données ne seront pas perdues définitivement.
Afin de s’assurer que la récupération des fichiers est possible, les sauvegardes doivent être testées. Les fichiers peuvent être corrompus pendant le processus de sauvegarde et la restauration des données peut ne pas être possible. Si les sauvegardes ne sont pas testées pour s’assurer que les fichiers peuvent être restaurés, il ne sera pas possible de garantir leur restauration en cas de sinistre.
Ces incidents mettent également en lumière une autre règle fondamentale de la sauvegarde. En fait, il ne faut jamais stocker une seule copie de sauvegarde sur un ordinateur en réseau ou connecté à Internet.
En cas d’attaque de ransomwares, il est fort probable que les copies de sauvegarde sur les périphériques en réseau seront chiffrées et le seul moyen de les récupérer est de payer la rançon.
Là encore, il n’est pas certain que le paiement d’une rançon offre une garantie que les données seront récupérées. Les fichiers peuvent être corrompus par le processus de chiffrement/déchiffrement et les attaquants peuvent décider de ne pas fournir tout simplement les clés pour déchiffrer les fichiers.
Une bonne alternative que vous pouvez adopter pour prévenir de telles catastrophes est d’adopter la règle de sauvegarde 3-2-1. Cela signifie que 3 sauvegardes doivent être créées et être stockées sur 2 supports différents, avec 1 copie gardée en toute sécurité hors site sur un appareil qui n’est pas en réseau ou connecté à Internet.
L’activité des kits d’exploitation a été inférieure à celle de 2016 lorsque le pic d’activité a été atteint, mais la menace n’a pas disparu. En fait, le rapport semestriel de Trend Micro sur la cybersécurité montre que l’activité des kits d’exploitation est trois fois plus importante, comparée à celle de mi-2018. Les sites web hébergeant des kits d’exploitation représentent toujours une menace importante pour les entreprises.
Les kits d’exploitation sont des boîtes à outils contenant des exploits qui tirent parti des vulnérabilités des applications logicielles populaires, comme Internet Explorer et Adobe Flash Player. Lorsqu’un utilisateur atterrit sur une page web qui héberge un kit d’exploitation, il analyse le navigateur de l’utilisateur à la recherche de vulnérabilités. Si une faille est identifiée, un malware est automatiquement téléchargé et exécuté sur l’appareil de l’utilisateur. Dans de nombreux cas, l’utilisateur ne sait pas qu’il télécharge un Cheval de Troie, un ransomware ou un malware.
Le trafic est envoyé pour exploiter les vulnérabilités par le biais d’une publicité malveillante (malvertising) sur des sites web à fort trafic. Les utilisateurs peuvent être dirigés vers des sites web malveillants par le biais des e-mails de phishing. Il est également courant pour les cybercriminels de pirater les sites web à fort trafic et de les utiliser pour héberger leur kit d’exploitation. Autrement dit, les utilisateurs peuvent donc visiter un site web malveillant en naviguant tout simplement sur le web.
Il existe actuellement plusieurs kits d’exploitation tels que Magnitude, Underminer, Fallout, GreenFlash Sundown, Rig, GrandSoft, et Lord. Bien que les ransomwares et les chevaux de Troie bancaires soient les charges utiles les plus connues, ces kits d’exploitations peuvent aussi être utilisés pour lancer des mineurs de cryptomonnaies (variantes de malwares) et des chargeurs de botnet.
De nombreux kits d’exploitation ciblent les anciennes vulnérabilités, mais comme les entreprises sont souvent lentes à appliquer les correctifs nécessaires, ils représentent toujours une menace majeure. Les kits d’exploitation tels que GrandSoft et Rig sont régulièrement mis à jour et peuvent désormais tirer parti des vulnérabilités récentes.
Dans l’une des campagnes les plus récemment identifiées, les acteurs de la menace Nemty Ransomware se sont associés aux opérateurs de RIG pour lancer des ransomwares contre les entreprises qui utilisent encore des versions anciennes et vulnérables d’Internet Explorer.
Par ailleurs, un nouveau kit d’exploitation appelé Lord a été utilisé pour infecter les appareils des utilisateurs avec le ransomware Eris. Pour ce cas précis, le trafic était dirigé vers le kit d’exploitation par le biais des publicités malveillantes sur le réseau publicitaire PopCash. Le kit d’exploitation a été principalement utilisé pour exploiter les failles dans Adobe Flash Player, comme CVE-2018-15982.
La protection contre les kits d’exploitation est simple sur le papier. Il suffit de corriger rapidement les vulnérabilités identifiées. D’une manière générale, s’il n’y a aucune vulnérabilité à exploiter, aucun malware ne peut être téléchargé. Malheureusement, dans la pratique, les choses ne sont pas aussi simples. De nombreuses entreprises tardent à appliquer les correctifs ou ne le font pas sur tous les périphériques qu’elles utilisent.
Les logiciels antispam peuvent aider à réduire les risques en bloquant les e-mails de phishing contenant des liens qui redirigent les utilisateurs vers des sites hébergeant des kits d’exploitation. Pourtant, la majeure partie du trafic provient des moteurs de recherche et des publicités malveillantes, et les logiciels antispam ne peuvent pas les bloquer. Pour améliorer vos défenses contre les kits d’exploitation, les téléchargements par drive-by et les sites de phishing, l’une des meilleures solutions est de mettre en place système de filtrage DNS.
Un filtre DNS permet aux entreprises de contrôler soigneusement les sites web auxquels les employés peuvent accéder lorsqu’ils sont connectés aux réseaux filaires et sans fil de l’entreprise. Il peut être configuré pour bloquer différents types de contenu web tels que les jeux de hasard et les sites web pour adultes. Le fait est qu’il bloque aussi tous les sites web malveillants connus. Pour ce faire, le filtre DNS utilise des listes noires de sites web malveillants connus comme ceux qui hébergent des kits d’exploitation ou des formulaires de phishing. Si un site ou une page web est inclus dans la liste noire, il sera automatiquement bloqué. De plus, le filtre DNS peut analyser en temps réel les sites web pour détecter les contenus malveillants.
Comme le filtrage se fait au niveau du DNS, l’accès aux contenus malveillants ou indésirables est bloqué sans qu’aucun contenu ne soit téléchargé. La mise en place de cette solution est rapide et facile, car il suffit de modifier l’enregistrement DNS pour le diriger vers le fournisseur de services. Aucun matériel supplémentaire n’est donc requis, ni le téléchargement d’un logiciel.
Vous souhaitez améliorer vos défenses contre les logiciels malveillants, les ransomwares, les botnets et le phishing, et vous ne contrôlez pas encore le contenu web auquel vos employés peuvent accéder ? Contactez dès maintenant TitanHQ pour demander des informations sur WebTitan. Bien entendu, vous pouvez aussi vous inscrire pour un essai gratuit de cette solution.
Vous savez peut-être déjà que les demandes de rançon et leur impact dévastateur sur les organisations sont toujours en hausse. Mais ce que vous ne savez peut-être pas, c’est que les attaquants se sont récemment concentrés sur les établissements scolaires de la maternelle à la terminale.
Au cours des dernières années, certains établissements scolaires et hospitaliers ont été forcés de payer la rançon lorsque les ransomwares ont infesté leurs réseaux. Alors que les hôpitaux étaient la cible d’attaques il y a des années, les agresseurs se sont tournés vers le système scolaire.
Incidents récents liés à la cybersécurité dans les établissements scolaires
L’établissement scolaire Flagstaff Unified School District a été récemment victime d’attaques de rançon. Peu de temps après, les cybercriminels se sont acharnés sur les établissements scolaires du Connecticut. Les attaques qui ont été menées dans le Connecticut ont été signalées comme étant deux attaques distinctes sur une période de quatre mois. Les écoles touchées par des ransomwares ont été mal équipées pour faire face aux attaques, et les élèves ont dû être renvoyés chez eux. Non seulement ces attaques ont affecté les horaires habituels de classe, mais elles ont aussi menacé de détruire des données critiques concernant les élèves et les enseignants.
Les établissements scolaires sont les organisations sur lesquelles les pirates informatiques se sont récemment concentrés. Au cours des dernières années, les chercheurs en cybersécurité ont constaté une augmentation des attaques de ransomwares. De nombreuses entités gouvernementales sont également mal formées concernant les risques lorsqu’ils sont victimes d’un e-mail de phishing.
Les employés des établissements scolaires disposent généralement des bases de données centralisées qui pourraient aussi être mal sécurisées. Le problème est que les ransomwares peuvent chiffrer n’importe quoi à partir de ces données, y compris les e-mails, les fichiers et d’autres informations contenues dans des répertoires partagés.
Lorsque les données sont chiffrées par des logiciels malveillants, cela entraîne des temps d’arrêt critiques pour n’importe quelle organisation et les entités gouvernementales. À cause de cela, les enseignants ne peuvent pas accéder à des informations sensibles et les notes des élèves ne peuvent pas être enregistrées. Il est également possible que les systèmes de paiement ne fonctionnent plus et l’organisation doit accepter de l’argent en utilisant des paiements par chèque. Par ailleurs, les élèves ne peuvent pas vérifier leurs notes, s’inscrire en classe ou communiquer avec les enseignants. Bref, lorsqu’elles sont victimes d’une grave attaque de ransomwares, les organisations ne peuvent plus fonctionner.
Qu’est ce qui motive les cybercriminels à lancer des attaques contre les établissements scolaires ?
Dans la plupart des attaques, les cybercriminels ont deux motifs, soit de voler des données ou de les chiffrer dans le but de gagner de l’argent contre une rançon.
En réalité, les données volées peuvent être utilisées à plusieurs fins. La première est de les vendre sur le Dark Web. Les numéros de sécurité sociale des étudiants sont précieux, alors un pirate informatique peut les collecter pour ensuite les vendre. Il peut également conserver les données et les utiliser pour d’autres attaques telles que le phishing. Si des informations d’identification sont incluses dans les données volées, les attaquants pourraient lancer des attaques sur d’autres comptes et réaliser un gain monétaire non négligeable.
Le deuxième objectif est de faire de l’argent avec la rançon. Plusieurs organisations ont déjà dû payer des milliers de dollars en utilisant la cryptomonnaie comme moyen de cacher leur identité afin que les forces de l’ordre ne puissent retracer les transactions jusqu’à l’agresseur. L’utilisation de la cryptomonnaie avec les ransomwares rend le suivi presque impossible. Mais la question est de savoir pourquoi les organisations choisissent parfois de payer la rançon plutôt que de trouver d’autres moyens de récupérer leurs données.
Les entreprises qui disposent des budgets suffisants ont la possibilité de former leurs employés quant aux dangers que représentent les attaques de phishing et de malwares. Les établissements scolaires ne disposent pas assez de financement, de sorte que les cybercriminels peuvent supposer qu’aucun budget n’a été alloué à la formation en cybersécurité.
Comment se protéger contre les ransomwares ?
Les attaques de ransomwares commencent principalement par le phishing. Les cybercriminels usurpent les adresses d’expéditeurs d’e-mails, en ciblant des destinataires ayant des privilèges élevés. Même les utilisateurs peu privilégiés peuvent être choisis comme des cibles potentielles lorsque l’objectif principal est de chiffrer des fichiers pour gagner de l’argent. Des pièces jointes et des liens pointant vers des sites malveillants peuvent être utilisés pour inciter les utilisateurs à télécharger le malware.
Les attaques peuvent être multiformes, car le contenu malveillant peut télécharger des malwares supplémentaires et donner aux attaquants le contrôle à distance de vos infrastructures. Pour lutter contre les attaques de phishing, il existe deux solutions.
La première solution consiste à utiliser de filtres intelligents basés sur l’intelligence artificielle. Ces filtres utilisent une combinaison de paramètres de sécurité de messagerie standard (appelés DMARC) et d’intelligence artificielle pour identifier les e-mails malveillants. Les messages sont mis en quarantaine où les administrateurs peuvent les examiner dans le but de rechercher les malwares et les supprimer du réseau ou (dans le cas d’un faux positif) les envoyer au destinataire prévu.
Comme alternative, vous pouvez aussi mettre en place un système de filtrage de contenu basé sur le DNS. Ce système de cybersécurité bloque l’accès aux adresses IP reconnues pour distribuer des malwares ou pour mener des attaques de phishing. Si un employé reçoit un e-mail contenant un lien malveillant, le système de filtrage de contenu basé sur le DNS empêche le destinataire d’accéder au site web malveillant.
En utilisant à la fois le filtrage de contenu basé sur le DNS et les systèmes de sécurisation des e-mails, une organisation peut réduire considérablement les cybercriminalités. Les organisations doivent réagir avant les attaques cybercriminelles. Au lieu de cela, elles devraient être proactives et mettre en œuvre des solutions qui luttent contre les ransomwares et les malwares.
Si vous êtes un professionnel de l’informatique travaillant dans le secteur de l’éducation, contactez-nous et un ingénieur chevronné examinera vos besoins et vous fournira des conseils pratiques pour sécuriser votre organisation. Tous nos clients bénéficient d’un support technique gratuit pendant la période d’essai de notre logiciel de sécurisation de données.
Le service populaire de voIP avec Skype a, une fois de plus, fait la une des journaux ces derniers temps. Cela fait suite à une série de nouvelles allégations selon lesquelles sa politique de récupération de compte peu fiable offrait aux pirates informatiques de nombreuses opportunités d’accéder illégalement à de nombreux comptes Skype.
À noter que Skype compte actuellement environ 700 millions d’utilisateurs dans le monde, et ce nombre ne cesse d’augmenter.
Comment fonctionne Skype ?
Skype est sorti en 2003. Il a été conçu par des développeurs estoniens. Le service permet aux utilisateurs de communiquer avec leurs amis, leur famille et leurs collègues en utilisant une webcam, un microphone et la messagerie instantanée.
Skype est un service permettant aux utilisateurs de Smartphones, de PC et de tablettes du monde entier de communiquer avec d’autres utilisateurs de l’application via la vidéo ou la voix.
Téléphoner gratuitement et simplement via Internet
C’est en effet l’ambition des développeurs de Skype au début. Et on peut dire qu’ils ont bien tenu leurs promesses marketing. Il n’était donc pas étonnant qu’en 2005, le programme ait été téléchargé 1,5 million de fois. Cette même année, la marque Ebay a acquis Skype et six années plus tard, c’est au tour de Microsoft de l’acquérir pour une impressionnante somme d’environ 7,58 milliards d’euros, en intégrant Skype à sa suite Office.
Le service permet aux utilisateurs de se parler avec des téléphones fixes et mobiles, moyennant des frais. Par ailleurs, le service dispose d’une messagerie instantanée intégrée et de fonctions de transfert de fichiers.
Pour utiliser Skype, les utilisateurs doivent télécharger un logiciel qui est compatible avec les systèmes d’exploitation Mac et Windows ou avec les applications iOS et Android.
Lorsque vous créez un compte Skype, votre mot de passe et votre nom d’utilisateur sont enregistrés à la fois sur l’appareil sur lequel vous vous connectez et sur les serveurs de Skype.
Cela permet d’authentifier ultérieurement les destinataires des appels et de s’assurer que les appelants qui souhaitent s’authentifier puissent accéder à nouveau à Skype.
Un concept basé sur le P2P
Skype reposait initialement sur un protocole de peer-to-peer (P2P), ce qui permettait à ses utilisateurs d’échanger de la voix et de différents types de données entre eux, sans l’intervention d’un tiers. De cette façon, les informations échangées étaient chiffrées, ce qui garantissait une forte protection de la vie privée aux utilisateurs de l’application.
De nos jours, selon la marque, tous les transferts de voix, de vidéo, de messages instantanés et de fichiers entre les utilisateurs Skype sont encore chiffrés. Cela les protège contre d’éventuelles écoutes téléphoniques par des pirates.
Skype est un outil puissant pour communiquer
Skype est un outil de communication qui vous permet de communiquer ou de travailler ensemble, où que vous soyez :
Skype permet d’effectuer des appels voix/vidéo, des visioconférences, des présences et des messages instantanés dans un seul et même client facile à utiliser.
Vous pouvez facilement partager des documents et des présentations via Skype.
Vous pouvez utiliser Skype à partir de votre PC, tablette et Smartphone avec une prise en charge de Windows, Mac, iOS, Android et Windows Phone. Dans un premier temps, le support sera disponible pour Windows.
Un système qui continue à être maintenu par le fournisseur.
Un meilleur partage d’écran, y compris la possibilité de contrôler les documents d’un autre utilisateur
Des appels de groupe faciles sans pont.
Des informations sur l’occupation de votre agenda Outlook.
Sauvegarde de l’historique des chats dans Outlook.
L’un des premiers avantages de Skype pour les entreprises est qu’il permet de limiter le montant qu’une entreprise dépensera sur ses factures de téléphone. Premièrement, ça facilite grandement les échanges internationaux. Et comme le travail à distance implique de ne pas être à proximité de vos collaborateurs et clients, les applications de vidéoconférence sont essentielles pour garder un minimum de contact humain.
Malheureusement, Skype est aussi une cible facile pour les pirates
Force est de constater que Skype est vieux. Ceci signifie qu’il y a beaucoup de comptes qui ont été abandonnés. Au cas où un pirate informatique parviendrait à détourner l’un de ces anciens comptes, il pourrait l’utiliser pour diffuser des malwares et des liens de phishing à toutes les personnes qui figurent sur la liste de contacts du compte. De plus, la plupart des utilisateurs de Skype ne vérifient pas leurs contacts et acceptent souvent les demandes d’inconnus.
Bien qu’il soit considéré comme un outil de communication vital pour de nombreux utilisateurs, Skype a également fait l’objet de plusieurs critiques au fil des ans, car ses fonctions de sécurité et de récupération de comptes ont subi quelques revers.
Par défaut, Skype peut par exemple enregistrer les détails de tous les appels (mais pas les appels eux-mêmes) puis les stocker dans un fichier « Historique ». L’historique des conversations se trouve sur votre appareil, ce qui ne constitue pas un problème en soi. Pourtant, si la sécurité de votre ordinateur, de votre tablette ou de votre Smartphone est compromise, les pirates pourront accéder à l’historique des conversations.
En 2016, la société de cybersécurité F-Secure a révélé que des pirates informatiques se faisaient passer pour des fonctionnaires américains qui offraient leur aide à des ressortissants suisses pour trouver des informations sur la façon de déposer une demande de visa pour visiter les États-Unis. Les escrocs ont réussi à piéger plusieurs victimes pour qu’elles téléchargent le malware QRAT.
Un autre malware Rietspoof a également été diffusé principalement via le spam Skype. Il s’agissait d’un cheval de Troie qui a été conçu pour infecter les systèmes d’exploitation afin qu’ils téléchargent des malwares plus puissants et plus intrusifs.
Selon l’utilisateur Skype et chercheur en sécurité @TibitXimer, son compte a été compromis jusqu’à six fois. Il a également prévenu que le compte de quiconque pourrait subir le même sort.
@TibitXimer a annoncé qu’un compte Skype peut être piraté facilement si l’attaquant parvient à :
Entrer en contact avec le support Skype
Fournir le prénom et/ou le nom de l’utilisateur
Proposer 3 à 5 contacts sur le compte Skype ciblé
Entrer une adresse e-mail qui a été associée à ce compte.
Afin d’argumenter ses propos contre ceux de Skype sur leurs mesures de sécurité, il s’est assuré de faire des captures d’écran lorsqu’il était en conversation avec un agent de support Skype.
Ces captures ont fourni la preuve que les agents ont seulement demandé les informations ci-dessus avant de vérifier le compte @TibitXimer.
Un problème similaire de détournement de compte a été découvert il y a cinq mois lorsqu’on a appris sur un site web russe que tout attaquant pouvait s’inscrire pour un nouveau compte avec un e-mail déjà utilisé.
A cause de cela, le pirate a pu continuer à configurer le compte pour recevoir les détails de la notification de sa victime.
Bien que Skype ait réussi à rectifier le problème peu de temps après, ce genre de failles de sécurité béantes ne devrait pas exister pour que des cybercriminels puissent en profiter.
Comment les cybercriminels piratent-ils un compte Skype ?
Ce que la plupart des gens ne savent pas, c’est que même si Skype est le leader mondial en matière d’envoi de messages et d’appels vidéo en direct, il est sujet à des actes de piratage, comme toute autre application de médias sociaux.
Les méthodes utilisées par les pirates pour pirater Skype vont de l’utilisation de programmes externes à l’utilisation d’étapes simples, mais tout aussi efficaces. En réalité, ces étapes ne nécessitent ni le téléchargement ni l’installation d’un programme supplémentaire.
Nous savons tous ce qui se passe lorsque le profil de réseau social ou le compte de messagerie d’un utilisateur est compromis. Mais savez-vous vraiment ce qui pourrait se passer si des pirates pouvaient obtenir l’accès à votre compte Skype ?
Les experts proposent diverses hypothèses comme :
l’utilisation des crédits Skype à des fins personnelles.
l’utilisation du compte de la victime comme un canal pour diffuser des liens malveillants ou des fichiers infectés.
l’utilisation des données comptables pour des services TDoS (Telephony Denial of Service) successifs.
Pour lancer les attaques, les pirates doivent tout simplement s’authentifier en utilisant un compte Skype usurpé, puis l’outil commencera automatiquement à utiliser le solde du compte et inondera le numéro de téléphone portable de la victime de messages multiples.
Nous avons également mentionné que le compte Skype peut être utilisé pour mener des campagnes malveillantes à grande échelle, en infectant les appareils des utilisateurs.
Un expert de Kaspersky Lab a récemment publié un article intéressant dans lequel il décrit un malware qui utilise Skype comme vecteur pour diffuser son code afin d’infecter des machines dans le but premier d’extraire de l’argent en Bitcoins.
Ce type de campagne malveillante est vraiment récent, et des chercheurs ont détecté une variante de malware utilisant le populaire VOIP Skype pour envoyer des messages aux utilisateurs. Pour ce faire, les pirates suggèrent à leurs victimes de cliquer sur un lien malveillant pour voir une image d’eux-mêmes en ligne.
Des milliers d’utilisateurs ont déjà été victimes de cette attaque et ont cliqué sur le lien malveillant proposé par Skype. Selon Kaspersky, environ 2000 clics par heure ont été constatés.
Bien entendu, ce n’est pas la première fois que Skype est utilisé pour diffuser des malwares.
D’autres campagnes ont déjà été utilisées pour diffuser des malwares en provenance du Venezuela, par exemple, en utilisant les mêmes techniques, mais dans un but différent.
Pour le dernier scénario, Skype a été utilisée pour soutirer des données comptables pour les services TDoS (Telephony Denial of Service) successifs.
Des experts en sécurité ont constaté une augmentation du nombre d’attaques TDoS contre les centres d’appel d’urgence. Aux Etats-Unis, le Département de la sécurité intérieure (DHS) et le Bureau fédéral d’enquête (FBI) ont émis une alerte sur les événements malveillants et sur la nécessité d’adopter les mesures appropriées pour les contrer.
Attaque DDoS contre Skype
En juin 2017, un groupe de cybercriminels a affirmé être à l’origine d’une panne de Skype et revendiquait la responsabilité des problèmes de connectivité ayant affecté la plate-forme au cours de deux jours. Plus précisément, la panne de Skype a commencé le lundi 19 juin à 19 h 1 GMT. De nombreux utilisateurs se sont plaints de ne pas pouvoir se connecter, passer des appels vocaux ou recevoir des messages. C’était le groupe de pirates CyberTeam qui a annoncé sur Twitter qu’il était responsable de l’attaque.
La panne de Skype a touché plusieurs pays d’Europe, l’Afrique du Sud, le Japon, l’Inde, le Pakistan et Singapour. Selon le service de surveillance Down Detector, Microsoft a déjà publié un blog concernant cette panne.
Selon les propos de Microsoft, il a eu connaissance d’un incident au cours duquel les utilisateurs ont perdu la connectivité à l’application ou étaient incapables de recevoir ou d’envoyer des messages. Certains utilisateurs ne pouvaient plus voir la barre noire, indiquant qu’un appel de groupe est en cours. De plus, les délais d’ajout d’utilisateurs à leur liste d’amis seraient plus longs.
Le mardi, à 20 h GMT, la marque a mis à jour le post, en annonçant qu’elle a fait quelques corrections de configuration et atténué l’impact. Elle affirmait également qu’elle continuait à surveiller la situation et qu’elle allait publier une mise à jour une fois le problème entièrement résolu.
Un second tweet du groupe CyberTeam a indiqué qu’il voulait ensuite cibler la plateforme de jeu numérique Steam.
Des spéculations ont eu lieu concernant le fait que la panne de Skype a été le résultat d’une attaque par déni de service distribué (DDoS). En fait, les attaques DDoS sont parmi les menaces les plus courantes pour démanteler des réseaux. Pour sa part, l’équipe de Skype n’a pas publiquement donné de détails sur ce qui se passait réellement.
Certaines attaques DDoS peuvent causer d’importants dégâts et perturber même les plus grandes entreprises. Quoi qu’il en soit, cela n’a pas affecté les informations privées des utilisateurs.
Des ransomwares peuvent être utilisés pour pirater les comptes Skype
Les utilisateurs de Skype, notamment ceux des pays occidentaux, se plaignaient des fausses annonces « flash » qui, lorsqu’on clique dessus, conduisaient à une attaque de ransomware.
Reddit a par exemple reçu de nombreux rapports qui indiquaient que l’écran d’accueil de Skype servait de terrain de jeu pour les malwares. Et la plupart des utilisateurs affirmaient qu’ils devaient quitter la plateforme de messagerie de Microsoft et trouver d’autres alternatives.
Selon Reddit, certains utilisateurs ont cliqué sur une publicité attrayante sur Skype, ce qui a conduit au téléchargement d’une application HTML, imitant une application légitime. Les utilisateurs qui ont ouvert l’application ont téléchargé une charge utile malveillante. Leurs ordinateurs ont été ensuite verrouillés lorsque des pirates informatiques ont réussi à chiffrer les fichiers dans le but d’obtenir une rançon.
Les utilisateurs qui utilisent l’application Skype de bureau sont désormais des cibles principales d’une telle attaque. Quant aux utilisateurs d’une application mobile, ils semblent être plus en sécurité.
Actuellement, ce sont les machines Windows qui sont principalement visées par les fausses publicités qui, lorsqu’elles sont ouvertes, exécutent un fichier JavaScript compliqué. Une fois que le code est exécuté, il lance une nouvelle ligne de commande et supprime l’application que l’utilisateur a ouverte afin d’exécuter une commande Powershell. Par la suite, la commande déclenche le téléchargement d’un script codé JavaScript à partir nom de d’un domaine
C’est à cause de ce processus que le ransomwares est difficile à détecter par les antivirus. En fait, la fausse publicité flash indique qu’il s’agit d’un dérivé du ransomwares mais Microsoft et Skype sont restés silencieux sur cette question.
Une nouvelle campagne de phishing a été détectée et elle est particulièrement convaincante
L’attaque se présente sous la forme d’un e-mail qui vous avertit que vous avez plusieurs notifications Skype et que vous devez cliquer sur un bouton « revoir ». Selon les chercheurs de Cofense, lorsque vous cliquez sur ce bouton, vous serez redirigé vers une fausse page de connexion Skype.
La fausse page Skype porte le suffixe « .app ». Elle est également sécurisée par HTTPS, ce qui lui donne une fausse légitimité. En fait, le domaine de premier niveau « .app » est géré par Google et il a été utilisé par les développeurs du logiciel malveillant.
Lors de cette attaque, les pirates étaient plutôt rusés. Le lien dans le message a un identifiant unique. Vous verrez donc votre propre nom déjà rempli dans la boîte de connexion qui semble très authentique. Le logo de votre entreprise peut également s’y trouver. Il pourrait même y avoir un avis qui indique que « le système est réservé aux utilisateurs autorisés » de votre entreprise et que « les utilisateurs illégaux pourraient être poursuivis ».
En franchissant l’étape finale, c’est-à-dire la saisie de votre mot de passe, les pirates informatiques pourront le voler et votre compte Skype deviendra donc leur compte. Pire encore, si vous avez utilisé le même nom d’utilisateur et le même mot de passe pour d’autres comptes, ils les saisissent automatiquement aussi.
Vous vous demandez probablement comment les cybercriminels pourraient déjà connaître votre nom, votre adresse électronique ainsi que votre lieu de travail. En réalité, la réponse est qu’ils ont parcouru les réseaux sociaux comme LinkedIn ou consulté la page « qui sommes-nous ? » de votre entreprise pour trouver ces informations.
Vous pouvez toutefois éviter de vous faire avoir par cette escroquerie. Le seul indice est que l’URL de la page de connexion est fausse. Selon un exemple publié par Confense, l’adresse pourrait être du type « skype-online0345.web.app ». Cependant, une vraie page Skype devrait avoir une adresse se terminant par « skype.com ». Et si vous pensez avoir été escroqué par ce genre de phishing, vous devez changer rapidement votre mot de passe Skype et ceux des autres plates-formes en ligne sur lesquels vous avez utilisé ce même mot de passe.
Coût d’une attaque via Skype
Selon Kaspersky, les fraudeurs ont récemment piraté Skype et piégé des personnes à partir d’une liste de contacts et ont récupéré plus de 4 560 euros en quelques jours. Le support Skype, les banques locales et la police ont refusé de faire quoi que ce soit.
Sergey Dolya, l’un des blogueurs russes les plus populaires a rapporté ce fait, en expliquant que cette histoire avait récemment impliqué un de ses amis. La victime était Katya, une employée d’une société internationale de services informatique. Il est important de le noter, car d’une certaine manière, la victime a une bonne connaissance en matière de sécurité web.
Récemment, Katya s’est fait pirater son compte Skype. Les pirates ont profité de cette occasion pour soutirer de l’argent aux personnes figurant sur sa liste de contacts. En une heure seulement, ils ont reçu plus de 1 368 euros.
Pour ce faire, les arnaqueurs ont décidé de demander à ses amis d’emprunter des sommes relativement modestes (environ 228 euros). En effet, c’est le montant maximum que Yandex Money (un système de paiement russe populaire) permet de transférer à la fois.
Comme argument, les pirates annonçaient que Katya voulait acheter des marchandises en ligne. Pourtant, elle n’avait pas d’argent sur son compte Yandex Money.
Cette approche était crédible et faisait croire aux gens qu’ils parlaient avec la victime. Ils ont décidé de transférer de l’argent sans appeler la victime. Certains ont même envoyé de l’argent deux fois.
Lorsque l’arnaque a été mise au grand jour, il était très difficile de faire quoi que ce soit pour résoudre le problème.
Quelques jours ont été consacrés à la communication avec le service d’assistance Skype. Les employés ont eu besoin de plus de 24 heures pour comprendre ce qui s’était passé. Lorsqu’ils ont découvert que le compte de Katya avait été piraté, ils lui ont envoyé un lien vers un formulaire de récupération de mot de passe, ignorant totalement la partie de la lettre dans laquelle Katya expliquait que les escrocs avaient également modifié l’e-mail associé.
Ensuite, le service d’assistance a demandé à Katya de remplir le formulaire de vérification, deux fois. Trois jours se sont écoulés depuis le début de cette affaire d’escroquerie et les pirates continuaient à envoyer leurs demandes par le biais de la liste de contacts de Katya. Le service de soutien a refusé de bloquer son compte Skype jusqu’à ce qu’ils aient pu clarifier la situation de bout en bout.
Au final, Katya a répondu correctement à toutes les questions du formulaire de vérification, sauf une, à savoir quand votre compte Skype a-t-il été créé ? Le service d’assistance a décidé que la situation était trop compliquée et lui a recommandé de créer un autre compte. À ce moment-là, les fraudeurs avaient déjà volé plus de 4 560 euros.
Pendant ce temps, un des amis de Katya a essayé d’obtenir un remboursement. Elle a bloqué sa carte et a demandé à sa banque d’annuler le paiement. Sa demande a été formellement acceptée. La banque a confirmé qu’elle n’avait jamais travaillé avec ce magasin auparavant et lui a demandé de déposer une plainte auprès du service de police local. Sa banque a demandé une copie de cette plainte afin d’ouvrir une enquête sur l’affaire.
La police a renvoyé la plainte à la banque, en plus de plusieurs documents. Elle annonçait qu’elle avait besoin d’un document de la banque pour que l’enquête soit lancée. Il y a eu beaucoup de va-et-vient à ce moment-là, et le service de police local n’avait aucune expérience d’une telle situation.
D’autres utilisateurs ont essayé d’écrire directement aux pirates. Ces derniers ne croyaient pas pourtant que la police pourrait faire quoi que ce soit dans cette affaire.
De toute évidence, ils ont bien compris l’imperfection du système juridique russe, combinée à la politique de sécurité de Skype.
D’une manière générale, la seule chose que vous puissiez faire dans ce cas est de sécuriser vos comptes, en utilisant un mot de passe fiable. Il ne faut pas utiliser le même mot de passe pour différents comptes, sinon vous risquez de perdre tous vos comptes lorsque l’un des services web est compromis. L’autre solution est d’utiliser l’authentification à deux facteurs pour protéger vos comptes. À titre d’exemple, vous devriez recevoir un code court par SMS ou par e-mail lorsque vous entrez votre mot de passe. Enfin, il ne faut pas cliquer sur des liens suspects, ni répondre aux messages provenant des contacts inconnus.
Combien d’attaques faudra-t-il pour que Skype reconnaisse l’urgence d’adopter des mesures de sécurité proactives ?
Il est certainement temps pour cette marque internationale de le faire comme tant d’autres géants des communications et des médias sociaux l’ont déjà fait. En effet, Skype pourrait mettre en place les mesures suivantes :
Questions de sécurité
Comme beaucoup de sites le font, les questions de sécurité peuvent être utilisées dans les scénarios de récupération de compte où la personne qui tente de se connecter au compte devra fournir une réponse à une question initialement établie par le créateur du compte, comme un fait ou une personne mémorable.
Authentifications à deux facteurs
La vérification en deux étapes offre une sécurité et une tranquillité d’esprit aux utilisateurs, car elle ajoute une couche de sécurité supplémentaire.
Il s’agit d’une approche d’authentification qui nécessite la présentation de deux ou plusieurs facteurs d’authentification, y compris un facteur de connaissance (quelque chose que l’utilisateur connaît) et un facteur de possession (quelque chose dont l’utilisateur est le propriétaire, comme le numéro d’un téléphone portable).
Certaines entreprises, comme Google, exigent par exemple que les utilisateurs entrent un code envoyé à leur téléphone par SMS pour confirmer l’accès à leur compte.
D’autres mesures de sécurité suggérées pour Skype consistent à mettre en place un support plus complet capable d’examiner les failles de sécurité avec plus d’urgence, la mise à disposition d’un support 24 h/24 et 7 j/7, outre la création d’une véritable politique de sécurité permettant aux utilisateurs de vérifier la propriété de leurs comptes.
Il est temps pour Skype de mettre de l’ordre dans sa politique de récupération
Vous avez récemment reçu un message bizarre sur Skype avec un lien vers LinkedIn ou Baidu ?
Sachez alors que vous n’êtes pas seul(e).
De nombreux utilisateurs de cette application ont aussi reçu des liens de spam vers Baidu. Ils étaient tous surpris de voir leurs comptes usurpés, mais certains ont cru qu’ils étaient protégés par l’authentification à deux facteurs de Microsoft. Pourtant, ce n’était pas le cas.
Un fil de discussion sur les forums d’assistance Skype de Microsoft révèle que cela se produit pour des centaines d’utilisateurs de Skype depuis des mois. Les comptes Skype usurpés ont été utilisés pour envoyer des milliers de spams avant qu’ils ne soient verrouillés et que leurs propriétaires ne pouvaient plus y accéder à nouveau.
Skype a déjà été victime d’attaques similaires auparavant. Les pirates informatiques ont réussi à usurper des messages sur le système après avoir utilisé les listes de noms d’utilisateurs et les mots de passe volés pour accéder aux comptes.
En 2016, Microsoft affirmait qu’il n’y a pas de faille dans la sécurité de Skype. Selon un porte-parole de la marque, certains clients de Skype ont signalé que leurs comptes étaient utilisés pour envoyer des spams.
Il n’y a pas eu de violation de la sécurité de Skype et Microsoft pensait plutôt que les criminels utilisaient des combinaisons de noms d’utilisateur et de mots de passe obtenues illégalement pour voir si elles existent sur Skype.
Microsoft avait déclaré qu’il continuait à prendre des mesures pour durcir le processus de connexion et recommandait aux clients de mettre à jour leur compte Skype afin de bénéficier de protections supplémentaires telles que l’authentification à deux facteurs.
Récemment, un employé anonyme de Microsoft a eu un compte Skype usurpé. Selon lui, Microsoft avait utilisé une authentification à deux facteurs, mais les pirates ont pu se connecter en utilisant une ancienne combinaison de nom d’utilisateur et de mot de passe Skype. Vous pouvez même tester sur vos propres comptes personnels pour vous connecter à votre compte Skype avec un ancien mot de passe.
Conclusion
Vous pouvez installer le pare-feu le plus cher et le plus performant secteur. Vous pouvez également informer vos employés sur l’importance de choisir des mots de passe solides pour vos comptes Skype professionnels ou sur les procédures de base en matière de sécurité web. Vous pouvez même verrouiller vos serveurs pour éviter une éventuelle infection par des malwares. Mais comment pouvez-vous être sûr de protéger votre entreprise contre les menaces d’attaques d’ingénierie sociale, comme celles lancées via des comptes Skype personnels ?
Les employés restent toujours le maillon faible de la chaîne de web. Et pour communiquer, la plupart d’entre eux utilise encore Skype, un programme qui présente lui-même certaines vulnérabilités. Il est donc essentiel de former vos employés pour qu’ils sachent comment reconnaître les menaces cybercriminelles et comment peuvent-il les éviter, les signaler ou les supprimer. De son côté, l’équipe d’assistance de Microsoft devrait également faire un effort pour mieux communiquer avec les utilisateurs de Skype et penser sérieusement à renforcer la sécurité de cette application.
SpamTitan recommande à tous les utilisateurs Skype de changer l’adresse e-mail de leur compte Skype avec un e-mail unique, c’est-à-dire, un compte qui n’est pas associé à d’autres comptes. Ils devraient également rester toujours très vigilants. Ne cliquez jamais sur des liens ou des pièces jointes non sollicités, surtout s’ils proviennent de contacts avec lesquels vous n’avez pas communiqué depuis un certain temps.
Questions fréquentes sur la sécurité Skype
Faut-il arrêter d’utiliser Skype à cause des cybermenaces ?
En réalité, il est actuellement presque impossible de ne pas utiliser cette plate-forme de communication à distance pour rester en contact avec vos collaborateurs et vos partenaires.
Les pirates peuvent-ils vraiment accéder à vos appareils photo mobiles et portables et tout enregistrer ?
C’est la triste vérité. Que vous utilisiez Skype, Zoom ou encore Microsoft Teams, la webcam de votre PC ou de votre ordinateur portable pourra toujours être accessible aux pirates (ou du moins, ils peuvent vous convaincre de l’avoir fait) si vous n’adoptez pas les mesures de sécurité adéquates.
Utiliser Skype Entreprise est-elle une alternative pour contrer les menaces en ligne ?
La version gratuite de Skype a des options limitées. Opter pour ce module est intéressant en termes de fonctionnalités, notamment si votre organisation compte plus de 20 salariés. À noter que Skype Entreprise peut prendre en charge jusqu’à 250 participants lors d’une réunion. Il s’agit donc d’un programme pratique, mais en matière de sécurité, sa fiabilité reste encore à prouver.
Skype vous rembourse-t-il vraiment si la vulnérabilité de l’application est avérée et que vous en êtes victime ?
Les fournisseurs de l’application vous demanderont tout d’abord une série de questions. C’était en effet le cas de Katya qui a dû remplir deux fois un formulaire de demande de remboursement. Mais trois jours après le début de l’arnaque, les pirates ont encore envoyé des demandes à travers sa liste de contacts. De plus, le support technique a refusé de bloquer son compte jusqu’à ce que la situation soit clarifiée de bout en bout. Jusqu’au moment où la situation a été réglée, les voleurs avaient déjà eu le temps de soutirer environ 4580 euros à ses contacts. Le remboursement est possible, mais c’est à vous de voir s’il en vaut vraiment la peine d’utiliser l’application, en considérant son efficacité.
Rappelez-vous le bon vieux temps où les principaux e-mails de phishing provenaient du Nigeria, essayant sans cesse d’attirer les deux pour cent restants de la population adulte qui n’étaient pas encore familiers avec les fraudes par virement bancaire !
En tant qu’administrateurs informatiques, nous nous rencontrions après le travail et nous nous amusions des fautes d’orthographe flagrantes et des erreurs grammaticales rampantes dans les e-mails. Nous nous moquions aussi tranquillement de la naïveté de leurs victimes qui pouvaient éventuellement tomber dans le piège de ces stratagèmes d’amateurs.
Cette arnaque de fausse facture a rapporté 3 millions de dollars
Avançons rapidement jusqu’au 30 avril 2015, date à laquelle la société Mattel s’est fait escroquer 3 millions de dollars via une attaque de phishing. L’arnaque a été brillamment conçue et parfaitement exécutée.
Le mois d’avril dernier a été une période tumultueuse pour le fabricant de poupées Barbie de renommée mondiale en raison de la combinaison des mauvaises ventes internationales et du licenciement du PDG. Au milieu de cette tourmente, un cadre financier a reçu un message utilisant l’adresse e-mail du nouveau PDG et demandant un transfert de fonds de routine à un nouveau fournisseur en Chine. Souhaitant faire plaisir au nouveau patron, le cadre financier a effectué le transfert à la Banque de Wenzhou, en Chine. Plus tard dans la journée, alors qu’il parlait au PDG, il s’est rendu compte qu’ils s’étaient fait arnaquer. Malheureusement, il était trop tard. L’argent qu’il a envoyé était déjà perdu.
Comment les dirigeants d’une grande entreprise internationale ont-ils pu se faire arnaquer si facilement ? L’attaque contre Mattel n’est qu’un incident parmi d’autres dans ce qui constitue une menace croissante pour les entreprises américaines, à tel point que le FBI a publié une déclaration écrite décrivant ce qu’il appelle le « Business Email Scam » ou « BEC ».
Selon la déclaration du FBI : « Les forces de l’ordre du monde entier ont reçu des plaintes de victimes dans tous les États américains et dans au moins 79 pays. D’octobre 2013 à février 2016, les services de détection et de répression ont reçu des déclarations de 17 642 victimes. Cela représente plus de 2,3 milliards de dollars de pertes.
215 millions de dollars perdus rien que pour les escroqueries de phishing de PDG
De ces 2,3 milliards de dollars, 215 millions de dollars ont été attribués aux seules escroqueries de phishing de PDG. La raison en est simple : les attaquants par phishing d’aujourd’hui font bien leurs devoirs. Ils apprennent la culture et le leadership de l’organisation qu’ils ciblent. Ils connaissent les modèles d’e-mails, les processus de travail et les horaires de tous les cadres de haut niveau. Ensuite, les attaquants capturent ou usurpent les adresses e-mail du PDG ou du président de la société pour mettre en œuvre leur arnaque.
L’usurpation d’adresse électronique est une tactique couramment utilisée dans les attaques de phishing. Comme celle qui visait Mattel, la majorité des attaques de phishing de PDG se produisent souvent lorsque le PDG voyage ou, pire encore, lorsqu’il est en vacances. En effet, cela rend plus difficile la vérification des demandes par e-mail.
Les attaquants de phishing d’aujourd’hui font bien leurs devoirs
L’attaque lancée l’année dernière contre Bonnier Publications en Floride — qui impliquait à nouveau une banque chinoise — est un autre exemple de la manière dont les escroqueries contre les entreprises sont préparées. L’arnaque impliquait deux demandes de virement bancaire distinctes représentant 1,5 million de dollars chacune.
Ce qui a rendu cette arnaque si efficace, c’est qu’elle a été lancée dès le premier jour de travail du nouveau PDG. Heureusement, l’arnaque a été découverte avant le deuxième transfert.
Fraude à la française par le PDG
L’incident le plus célèbre de la BEC en 2016 est l’incident est la fraude à la française par le PDG. Dans cette affaire, le chef comptable d’Etna Industrie avait été informé dans une série d’appels téléphoniques et d’e-mails — qui lui étaient adressés via le compte usurpé du PDG — lui ordonnant d’émettre une série de virements bancaires d’un montant total d’un demi-million de dollars afin de financer un rachat d’entreprise. Cela se passait rapidement et sous grande contrainte. Bien que de nombreux virements électroniques — dont le montant total s’élevait à près d’un demi-million de dollars- aient été envoyés, la banque émettrice a effectivement réussi à en retenir trois.
Le montant d’argent obtenu lors de ces attaques BEC est époustouflant, et c’est la raison pour laquelle ils ont attiré beaucoup d’attention. Mais au-delà des gros titres, il est clair que le phishing n’est plus un sujet de plaisanterie après le travail. Les entreprises doivent être sur leurs gardes et s’assurer qu’elles disposent d’un système de sécurité de la messagerie électronique pouvant détecter et bloquer les e-mails frauduleux avant qu’ils n’atteignent les employés.
Si vous travaillez dans le domaine de la paie, des ressources humaines ou dans des domaines connexes, méfiez-vous des dangers potentiels. Si vous recevez un e-mail vous demandant de payer des factures, prenez le temps de vérifier que l’e-mail en question est légitime avant de vous y conformer.
Ah ! La jeunesse, ce moment incroyable de la vie où nous nous sentons invincibles. C’est une époque où nous sommes enclins à prendre plus de risques et où nous ne sommes pas encore devenus sceptiques à l’égard du monde. Par conséquent, nous sommes plus confiants et moins méfiants que les personnes âgées. Ces caractéristiques rendent les jeunes moins surveillés et moins vulnérables aux menaces cybercriminelles.
La naïveté des élèves de tous les niveaux fait d’eux des cibles idéales.
De nombreux systèmes scolaires aux États-Unis mettent en œuvre des programmes individuels, de sorte que chaque élève du secondaire dispose d’un ordinateur, généralement un ordinateur portable. Dans de nombreux cas, ces programmes s’adressent aux élèves des écoles intermédiaires. Pour la plupart d’entre eux, il s’agit de leur premier appareil informatique personnel mobile et, pour certains, du premier ordinateur mobile du ménage. Pour cette raison, les parents de ces élèves ne peuvent pas transmettre les protocoles et procédures de sécurité de base concernant ces dispositifs. Pour ces étudiants, les menaces de cybersécurité et les malwares sont des concepts non pertinents ou inconnus et leur naïveté fait d’eux des cibles idéales.
Questions de confidentialité autour du partage de fichiers et des sites de Torrents
Comme nous le savons tous, le partage de fichiers est toujours très prisé par les adolescents d’aujourd’hui. Ces derniers se tournent volontiers vers les sites d’hébergement de fichiers (cyberlocker) et les sites de Torrents pour télécharger des films et de la musique. À titre d’exemple, jusqu’à sa fermeture récente par les autorités, en juin 2016, KickassTorrents était le 69e site le plus populaire sur Internet et attirait plus de 50 millions de visiteurs par mois.
Bien sûr, les sites de Torrents exposent les utilisateurs aux risques de divulgation des données confidentielles en exposant leurs adresses IP et en créant des connexions ouvertes à des exploits malveillants. Les adolescents sont également plus disposés à télécharger les dernières versions des jeux tendance, sans se soucier des éventuelles attaques de chevaux de Troie et des enregistreurs de clés installées dans des sites anonymes.
Contourner le filtre web des écoles
De nombreux étudiants de la maternelle à la 12e année se lancent quotidiennement dans une mission consistant à contourner le filtre web de l’école. Il existe un jeu de chat et de souris entre les étudiants et les membres du personnel informatique, car les étudiants partagent facilement entre eux les récents fichiers exécutables (proxy.exe) publics tels que Psiphon et UltraSurf.
Bien que la plupart des systèmes scolaires disposent d’une solution de filtrage web, nombre d’entre elles sont incapables de filtrer les sites miroirs, en particulier ceux à l’échelle de ces grands réseaux proxy. En contournant la protection totale du filtre, les étudiants font de leurs ordinateurs des cibles de choix pour les ransomwares et d’autres types de malwares.
Pourquoi un lycée ou un établissement d’enseignement supérieur nécessite-t-il une attention particulière ?
Pendant leurs études secondaires, les élèves utilisent leurs appareils informatiques dans un environnement relativement sûr et protégé. Bien que les étudiants recherchent constamment des failles de sécurité pour obtenir des proxies et des applications de partage de fichiers, les menaces potentielles sont contrôlées. Mais ensuite, ils vont à l’université et vivent dans un environnement qui est presque exactement le contraire.
Ce qui différencie réellement les établissements d’enseignement supérieur et le réseau d’entreprise est la nature du campus et du réseau de l’Université. Composée de nombreux réseaux, parfois dispersés, l’infrastructure réseau des universités constitue un cauchemar pour les professionnels de la sécurité informatique d’entreprise. Ce n’est pas dû à un manque de prévoyance ou d’ignorance en matière de sécurité informatique sur le campus (c’est loin d’être le cas !). En effet, l’environnement éducatif et l’ouverture du campus au grand public signifient qu’il n’y a aucune infrastructure centrée sur la sécurité étroite telle qu’on voit dans les réseaux d’entreprise.
Dans les établissements d’enseignement, il est courant de voir des flux réguliers d’étudiants de premier cycle ; des chercheurs et des diplômés qui collaborent et partagent des données à l’échelle mondiale ; des universitaires en visite ; des pratiques qui permettent aux utilisateurs d’apporter leurs propres appareils pour se connecter au réseau, etc. Pourtant, dans de tels environnements, le concept de sécurité des données rigoureuse a toujours été considéré comme inutile, voire indésirable. Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises. Les communautés de la maternelle à la 12e année ont été lentes à adopter des normes de sécurité strictes.
L’enseignement supérieur est le centre de partage d’idées et de collaboration avec à peu près n’importe qui dans le monde. Les réseaux de ces intuitions sont donc beaucoup moins gardés. C’est probablement la raison pour laquelle — selon l’organisation DataLossDB qui suit les atteintes à la cybersécurité dans le monde — 9 % de toutes les atteintes à la sécurité informatique aux États-Unis visaient les universités.
Alors que de nombreux étudiants continuent à participer ouvertement à des sites de partage et de télécharger des fichiers et des applications « gratuites » contenant des chevaux de Troie et d’autres malwares, les étudiants sont confrontés à un défi unique et assez important concernant la sécurité de leurs appareils. Lorsque dix à cinquante mille élèves sont rassemblés dans une même zone, les places sont limitées. Qu’il s’agisse du dortoir, de la bibliothèque du collège, du centre étudiant ou du café local, les étudiants travaillent dans des environnements très bondés. Dans ces types de lieux encombrés, laisser un ordinateur sans surveillance, ne serait-ce que quelques minutes, peut les exposer à de nombreuses brèches physiques, y compris le vol et les violations par le biais des clés USB. Le shoulder surfing (le fait de regarder par-dessus l’épaule) est aussi une menace constante dans les salles bondées et pleines d’activité. La mise en œuvre d’écrans protégés par mot de passe et de bloqueurs USB devrait être une mesure de protection obligatoire dans ces types d’environnements.
Attaques par des malwares diffusées par les réseaux sociaux
De nos jours, les étudiants n’accordent pas autant d’importance aux e-mails que leurs parents, mais la messagerie électronique est souvent la passerelle vers presque tous les autres comptes qu’un utilisateur peut avoir. Lorsqu’une personne perd ou oublie un mot de passe d’un compte, c’est son e-mail qui est utilisé pour pouvoir le réinitialiser. Alors que de nombreux professionnels utilisent maintenant l’authentification multifactorielle pour mieux protéger leurs comptes de messagerie, de nombreux étudiants n’utilisent leur messagerie que de façon limitée, par exemple pour communiquer avec leurs instituteurs, et ils le font avec moins de prudence.
Bien que les étudiants ne soient pas aussi vulnérables aux attaques de phishing par e-mail puisqu’ils n’utilisent pas la messagerie électronique de la même manière que les utilisateurs plus âgés, ils sont très exposés aux attaques de malwares livrés par les sites de médias sociaux. En juin 2016, une escroquerie mondiale par phishing sur Facebook a été découverte. Des messages d’amis malhonnêtes ont été transmis par le biais de Facebook Messenger. L’attaque touchait une victime toutes les 20 secondes. Récemment, une application malveillante appelée Instacare a également incité des utilisateurs Instagram peu méfiants à fournir les mots de passe de leur compte.
La vérité, c’est qu’en matière de cybersécurité, les étudiants ont encore beaucoup à apprendre.
Attaques dirigées par des ordinateurs compromis dans des universités américaines
Les administrateurs informatiques des écoles ou des districts scolaires doivent s’assurer que leurs machines sont propres. Ils doivent également éduquer les élèves, les sensibiliser à propos des politiques qui s’appliquent à l’ensemble de l’institution, notamment ceux qui possèdent et utilisent les ressources informatiques. Les données personnelles et financières stockées dans les systèmes de données universitaires sont d’une grande valeur pour les cybercriminels. Lorsque les systèmes informatiques du New York Times ont été piratés en 2013, l’enquête subséquente a révélé que les attaques avaient été dirigées par des ordinateurs compromis dans des universités américaines. Les données commerciales, quant à elles, peuvent intéresser les espions d’entreprises, tandis que les données liées à la recherche scientifique ou aux subventions peuvent être ciblées par des groupes soutenus par un État-nation.
La sécurité informatique est un compromis
Il y a un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place. La sécurité dans toutes les organisations, commerciales ou académiques, est un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier qui pourraient être encourus en défense en cas d’atteinte à la protection des données. Cela peut être complexe et nécessiter une analyse détaillée des risques, outre l’établissement de priorités de gestion et des mesures de sécurité connexes. En réalité, c’est une approche qui commence à être adoptée par les réseaux d’entreprise.
Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’établissement, des élèves et du personnel sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
