Selon le rapport d’enquête 2018 de Verizon concernant les violations de données (DBIR 2018), récemment publié, 78% des utilisateurs d’une organisation n’ont cliqué aucun lien de phishing pendant toute l’année 2017. Malheureusement, 4% ont cliqué sur n’importe quoi lors des campagnes de phishing.
Les preuves montrent clairement que plus le nombre d’emails de phishing sur lesquels quelqu’un a cliqué dans le passé est élevé, plus il est probable qu’il cliquera à l’avenir. Si le taux de 4% est représentative de la plupart des organisations, il est plus qu’utile de retracer ce petit groupe de personnes au sein de votre organisation.
Vous pouvez faire cela en mettant en œuvre une série d’attaques de simulation de phishing parmi vos utilisateurs, puis en les rencontrant.
Les utilisateurs ne rapportent que 17% des campagnes de phishing
Une autre statistique préoccupante concernant est que les utilisateurs ne signalent que 17% des campagnes de phishing.
Non seulement la plupart des campagnes de phishing ne sont jamais rapportées, mais l’étude montre qu’il faut en moyenne 28 minutes pour que le premier rapport arrive, alors qu’un lien de phishing est cliqué dans les 16 minutes.
Les utilisateurs doivent recevoir une formation sur la façon d’identifier les emails suspects et être sensibilisés à l’importance de signaler les activités suspectes le plus tôt possible. En effet, ils ne sont pas seulement le maillon le plus faible de votre sécurité, mais ils constituent aussi votre dernière ligne de défense. L’éducation est donc primordiale.
D’autres statistiques intéressantes concernant le phishing l’an dernier révèlent que :
Le courrier électronique continue d’être le principal mécanisme de diffusion des attaques d’ingénierie sociale (96%).
59% des attaques de phishing sont motivées par des raisons financières.
Le phishing est souvent utilisé comme action principale d’une attaque et est suivi par l’installation de malwares.
Seulement 13% des atteintes utilisent le phishing. Cependant, 25% des phishing ont été utilisées pour attaquer les établissements d’enseignement.
Le ransomware est actuellement la méthode n°1
Dans le cadre de l’étude susmentionnée, 444 millions de malwares détectés dans environ 130 000 organisations ont été analysés. En moyenne, chaque organisation a reçu 22 malwares ou moins par an.
Pour la première fois, les ransomwares figurent en tête de liste des malwares les plus répandus dans les attaques. Depuis 2014, date à laquelle le ransomware est apparu pour la première fois sur la liste des menaces de malwares (22e rang), il a grimpé rapidement les échelons, atteignant même le 5e rang dans le DBIR 2017.
Alors que les ransomwares représentaient 56% de tous les malwares découverts l’année dernière, ils constituaient 85% de tous les malwares détectés dans le secteur des soins de santé. Il est donc évident que les auteurs d’attaques par ransomwares visent ce secteur.
Dans le blog de la semaine dernière, nous avons parlé de la prévalence des systèmes existants dans le secteur de la santé. Ces systèmes sont la principale cible des pirates informatiques, car ils sont extrêmement vulnérables.
Les vecteurs les plus courants pour la livraison de ransomwares étaient les emails et les sites web malveillants. Ainsi, des solutions de filtrage pour chacun de ces éléments sont absolument nécessaires pour sécuriser votre entreprise. Une stratégie de sauvegarde bien pensée et méthodique est le meilleur moyen de faire face à une attaque par ransomware, notamment la stratégie de sauvegarde 3-2-1.
Prétextes financiers
Le DBIR 2018 montre que le nombre d’attaques par prétexte a presque triplé par rapport à celui de l’année précédente. Bien que le phishing soit souvent associé à l’infestation de malwares, les prétextes financiers n’en impliquaient que rarement (moins de 10%).
Souvent, l’objectif final de ces types d’attaques est de convaincre quelqu’un au sein d’une organisation de transférer de l’argent, généralement sous la forme d’un virement bancaire ou d’une fausse facture. Le prétexte est en fait du spear phishing.
Encore une fois, l’email est le principal vecteur de telles attaques, bien que les conversations téléphoniques soient également utilisées. Dans le cadre d’attaques par prétexte, l’agresseur se fait passer pour le PDG ou un autre cadre supérieur. Cela peut se faire par le biais d’un compromis direct du compte de messagerie du cadre supérieur ou par usurpation d’identité. Ces attaques très lucratives peuvent facilement rapporter six chiffres.
Comme pour les attaques de phishing, la stratégie la plus efficace pour combattre les attaques par prétexte est une combinaison de filtrage des emails et d’éducation à la sécurité. Il faut apprendre aux utilisateurs comment identifier un email usurpé et ce qu’il faut rechercher dans un email de phishing. Une sorte d’authentification multifactorielle devrait également être mise en place pour tous les transferts financiers dont le montant est élevé.
Atteintes à la protection des données
Voici quelques-unes des principales statistiques concernant les atteintes à la protection des données :
73% des infractions sont mises en œuvre par des tiers, alors que 28% impliquent une partie interne.
48% des violations de données impliquent le piratage informatique, tandis que 30% dépendent des malwares.
24% des violations affectent les organismes de soins de santé.
58% des organisations victimes de violation de données sont des petites entreprises.
Le crime organisé, c’est-à-dire une structure humaine constituée de plusieurs personnes, demeure le principal responsable des atteintes à la protection des données.
Bien que les administrateurs système soient en tête de la liste des probables responsables d’infractions internes, l’utilisateur habituel se classe au deuxième rang, non loin derrière. Les médecins et les infirmières se trouvent au 4e rang.
La proéminence inquiétante des armées de botnets
Le DBIR 2018 était basé sur 53 000 incidents liés à la cybersécurité et 2 216 atteintes à la protection des données confirmées. Les auteurs du rapport ont choisi de ne pas inclure les atteintes impliquant les botnets, lesquelles totalisaient 43 000 l’an dernier.
Les botnets sont principalement utilisés dans les attaques de bourrage d’identifiants. Ces attaques constituent la grande majorité des violations par des botnets et la grande majorité d’entre elles ciblent les institutions financières.
Chaque année, l’objectif du DBIR est de fournir aux praticiens de la sécurité une vision réelle et fondée, c’est-à-dire basée sur des données, sur ce qui arrive habituellement aux entreprises en matière de cybercriminalité. Il décrit également les tendances afin que les professionnels de la sécurité puissent affecter les ressources de manière appropriée.
Google a publié ses dernières statistiques sur les principales menaces à la sécurité des emails d’entreprise.
Le rapport du géant des moteurs de recherche se penche également sur les dernières attaques par email sur les utilisateurs de comptes Gmail d’entreprise. Le rapport fait suite à une présentation faite lors de la conférence de la RSA, laquelle avait fourni plus de détails sur les plus grandes menaces à la sécurité des emails d’entreprise et qui doivent maintenant être bloquées.
Selon les données de Google, le spam reste un problème majeur pour les entreprises. Bien que le blocage d’emails non sollicités constitue une nuisance, car il entraîne de nombreuses heures de perte de productivité pour les entreprises, les utilisateurs font actuellement face à une menace beaucoup plus importante par les spams. Les emails malveillants constituent désormais une menace majeure.
Les cybercriminels ciblent beaucoup plus d’utilisateurs professionnels que les titulaires de comptes de messagerie personnels. La raison en est claire : les pirates ont plus d’intérêt à infecter les ordinateurs d’entreprise par des malwares, plutôt que de faire cela sur les ordinateurs personnels. Les entreprises sont beaucoup plus susceptibles de payer des rançons si les données sont chiffrées par un ransomware. Les données stockées par les entreprises ont beaucoup plus de valeur sur le darknet, et le pillage des comptes bancaires des entreprises rapporte beaucoup plus.
Il n’est donc pas surprenant d’apprendre que les statistiques de Google montrent que les entreprises sont 6,2 fois plus susceptibles de recevoir des emails de phishing et 4,3 fois plus susceptibles d’être ciblées par des emails infectés. En revanche, le spam est plus universel, les comptes de messagerie professionnels étant 0,4 fois plus susceptibles d’être spammés que les comptes personnels.
Principales menaces pour la sécurité de la messagerie d’entreprise par secteur d’activité
Les menaces à la sécurité des emails d’entreprise ne sont pas uniformément réparties.
Les cybercriminels mènent des attaques très ciblées contre des secteurs spécifiques de l’industrie. Les données de Google montrent que les organisations à but non lucratif sont le plus souvent ciblées par des malwares, recevant 2,3 fois plus de emails infectés que les comptes professionnels.
Le secteur de l’éducation est également largement ciblé. Les écoles, les collèges et les universités sont 2,1 fois plus susceptibles de recevoir des emails infectés par des malwares, suivis des industries gouvernementales, lesquelles sont 1,3 fois plus susceptibles d’être ciblées que les entreprises.
Cependant, lorsqu’il s’agit de spam et d’attaques de phishing, c’est le secteur des affaires qui est le plus souvent ciblé. À l’heure actuelle, le spam est le plus gros problème pour les entreprises des secteurs de l’informatique (TI), du logement et du divertissement ; tandis que les attaques de phishing sont beaucoup plus souvent menées contre les entreprises de l’IT, les organismes artistiques et ceux du secteur financier.
Les spams malveillants représentent un risque majeur pour les entreprises
Comme nous l’avons vu à maintes reprises au cours des deux dernières années, l’email est un vecteur d’attaque majeur pour les entreprises.
Les cybercriminels utilisent les spams pour infecter les utilisateurs finaux avec des malwares qui volent des informations, des ransomwares qui chiffrent les fichiers et des attaques de phishing qui usurpent les identités. Les attaques par email sont encore très rentables. Elles ne nécessitent que peu d’efforts et permettent aux criminels de contourner les contrôles de sécurité en ciblant les utilisateurs finaux.
Compte tenu de l’augmentation massive des variantes de malwares et de ransomwares au cours des deux dernières années, le blocage du spam et des messages malveillants est aujourd’hui plus important que jamais. De plus, le coût de l’atténuation des atteintes à la protection des données augmente d’année en année (selon le Ponemon Institute). Les infections par des malwares et des ransomwares peuvent être extrêmement coûteuses à résoudre, tandis que les attaques de phishing réussies peuvent rapporter aux cybercriminels d’énormes sommes grâce à la vente de données d’entreprise volées et à la réalisation de transferts bancaires frauduleux. Ces coûts doivent être absorbés par les entreprises.
Protection de votre organisation contre les menaces transmises par des emails
Heureusement, il est possible d’atténuer les menaces à la sécurité de la messagerie d’entreprise en utilisant une solution avancée de filtrage de spam telle que SpamTitan. SpamTitan bloque 99,97 % des spams et affiche un faible taux de faux positifs (seulement 0,03 %).
Un puissant composant anti-phishing empêche également les emails de phishing d’être envoyés aux utilisateurs finaux ; tandis que deux moteurs antivirus (Bitdefender/ClamAV) sont utilisés pour analyser tous les messages entrants (et sortants) à la recherche de liens malveillants et de pièces jointes.
Si vous souhaitez améliorer vos défenses contre les dernières menaces de sécurité de messagerie d’entreprise, contactez l’équipe TitanHQ dès aujourd’hui. Étant donné que SpamTitan est disponible pour une période d’essai gratuite de 14 jours, vous pouvez constater par vous-même l’efficacité de notre produit pour protéger votre entreprise contre les menaces transmises par emails avant de l’acheter.
Deux failles d’authentification factorielle ont été identifiées. Elles permettaient aux pirates d’accéder aux comptes même s’ils étaient protégés par un mot de passe et par un second facteur d’authentification.
L’authentification à deux facteurs (2FA) est une protection importante pour sécuriser les comptes. Dans le cas où les informations d’identification sont devinées ou obtenues d’une autre manière par un tiers, une méthode d’authentification supplémentaire est nécessaire pour avoir accès à un compte.
Sans ce deuxième facteur, l’accès devrait être bloqué, mais ce n’est pas toujours le cas. De multiples failles d’authentification à deux facteurs ont été identifiées.
Deux failles d’authentification de facteurs exploitées dans les cyberattaques de Reddit, LinkedIn et Yahoo
L’authentification à deux facteurs n’est pas infaillible.
Récemment, Reddit a révélé avoir subi une fuite de données même si l’authentification à deux facteurs avait été mise en œuvre. Plutôt que d’utiliser un jeton d’authentification, Reddit a utilisé les messages SMS envoyés à un téléphone mobile appartenant au titulaire du compte comme deuxième facteur d’authentification.
Comme Reddit l’a découvert, les messages SMS 2FA pouvaient être interceptés par l’attaquant, ce qui lui a permis d’accéder au compte d’un employé ainsi qu’à une ancienne base de données d’identifiants utilisateur.
L’authentification à deux facteurs était également mise en place par Yahoo en 2013, mais l’entreprise a tout de même subi une violation massive de données. Résultat : les pirates informatiques ont pu obtenir des les informations sur trois milliards d’utilisateurs.
Il y a un an, il y a encore eu une violation massive de 167 millions de données d’enregistrement chez LinkedIn, lequel avait également mis en œuvre l’authentification à deux facteurs.
Un appel téléphonique ou un message texte envoyé à un téléphone appartenant au titulaire du compte n’empêche pas nécessairement un tiers d’avoir accès au compte. Au mois d’août de l’année dernière, un investisseur de Bitcoin s’est fait voler 150 000$ de cryptomonnaie dans son portefeuille après qu’un tiers y ait eu accès.
Dans cette affaire, le numéro de téléphone du deuxième facteur de l’investisseur avait été redirigé vers un appareil appartenant à l’agresseur après que la compagnie de téléphone eut été dupée.
Tout deuxième facteur qui utilise le système téléphonique de messages SMS fournit une couche supplémentaire de protection, mais il n’est pas suffisant pour se protéger contre un hacker qualifié et déterminé.
Deux failles d’authentification à deux facteurs ont été découvertes dans Active Directory Federation Services de Microsoft
Une vulnérabilité majeure d’authentification à deux facteurs a récemment été découverte par un chercheur en sécurité chez Okta.
Okta, comme de nombreuses entreprises, utilise Active Directory Federation Services (ADFS) de Microsoft pour fournir une authentification multifactorielle.
Andrew Lee, chercheur en sécurité chez Okta, a découvert que le système présentait une vulnérabilité grave qui n’était pas seulement facile à exploiter, mais qui rendrait les contrôles d’authentification multifactorielle d’une organisation pratiquement inutile.
Andrew Lee a découvert qu’une personne possédant un nom d’utilisateur, un mot de passe et un jeton d’authentification valide à deux facteurs pour un compte pouvait utiliser le même jeton pour accéder à tout autre compte de l’organisation dans AD avec seulement un nom d’utilisateur et un mot de passe.
Tout employé à qui l’on a donné un compte et qui a spécifié son propre deuxième facteur peut l’utiliser pour accéder à d’autres comptes. En effet, le jeton d’authentification constituait une sorte de carte-clé d’un hôtel qui peut ouvrir toutes les chambres de l’hôtel.
Pour obtenir les identifiants de connexion d’un autre employé, il suffit d’une campagne de phishing. Si la personne répondait et divulguait ses titres de compétences, on pourrait accéder à son compte sans avoir besoin d’un deuxième facteur.
La vulnérabilité en question — qui a été corrigée par Microsoft le 14 août dans ses mises à jour lors du Patch Tuesday du mois d’août — était présente dans la façon dont l’ADFA (Australian Defence Force Academy) communiquait. Lorsqu’un utilisateur tentait de se connecter, un journal de contexte chiffré a été envoyé par le serveur qui contient le deuxième jeton d’authentification, mais pas le nom d’utilisateur.
Cette faille pouvant être exploitée pour faire croire au système que le bon jeton avait été fourni. En effet, aucune vérification n’a été faite pour déterminer si le bon jeton avait été fourni pour le compte d’un utilisateur spécifique. Tant qu’un nom d’utilisateur, un mot de passe et un jeton 2FA valides ont été obtenus, le système 2FA peut être contourné.
L’authentification à deux facteurs n’est pas suffisante
Ces deux failles d’authentification factorielle montrent que si l’authentification à deux facteurs est un contrôle important à mettre en œuvre, les entreprises ne doivent pas compter sur ce système pour empêcher l’accès non autorisé aux comptes. Il est peu probable que les failles d’authentification à deux facteurs que l’on vient d’examiner soient les dernières à être découvertes.
L’authentification à deux facteurs ne devrait être qu’un moyen de défense parmi tant d’autres qu’une organisation peut utiliser contre le phishing et le piratage. Comme il existe d’autres moyens plus fiables comme les filtres antispam, les filtres Web, les pare-feu, les systèmes de détection d’intrusion, les solutions antivirus, la segmentation des réseaux et la formation des employés à la sécurité, la 2FA ne devrait plus être considérée comme une solution miracle pour empêcher l’accès non autorisé à un compte.
La plupart des détaillants luttent contre la baisse du trafic dans les magasins et la réticence des consommateurs à dépenser. En plus de ces préoccupations, le détaillant « Target » doit également faire face aux conséquences négatives de la récente violation de données à son encontre.
Depuis la violation de la sécurité commise envers Target, un premier sondage de suivi trimestriel a été mené auprès de ses consommateurs par Cowen & Co. Cette enquête a révélé des « diminutions significatives » de la satisfaction de la clientèle d’une année à l’autre, tant au niveau de l’expérience d’achat que pour le service à la clientèle.
L’image de marque et la réputation d’une entreprise sont « inextricablement liées ». Celles de votre entreprise pourraient-elles résister à une fuite de données?
Il y a beaucoup à perdre si votre entreprise subit une fuite de données. Une étude menée récemment par le Ponemon Institute auprès de 850 cadres supérieurs a révélé que 44% des entreprises peuvent avoir besoin de 10 mois à 2 ans pour rétablir leur réputation suite à une violation des données des clients.
Un tel incident a des effets à long terme sur la valeur d’une marque et il est donc important de savoir quel type de perte de données a le plus grand impact sur la réputation : les données des clients, les données financières ou les données des employés.
Selon l’étude, les organismes victimes de ce genre d’attaque ont perdu entre 184 et 330 millions de dollars en valeur de leurs marques. Au mieux, elles ont perdu 12 % de la valeur de leur marque avant l’atteinte.
Les plus grands scandales en matière de fuites de données
Les fuites et violations de données touchent non seulement les PME, mais aussi les plus grandes entreprises comme Yahoo, Facebook, et Marriott Hotels. L’intrusion dans ces grandes marques rappelle qu’après des années d’attaques qui font la une des journaux, même les réseaux informatiques les plus sophistiqués sont toujours vulnérables.
Prenons l’exemple de Yahoo. La marque a connu la plus grande violation de données de l’histoire en 2013. Cependant, il a fallu encore trois ans après la fuite des informations pour que la marque découvre la mésaventure. C’est le directeur du renseignement de la société de cybersécurité InfoArmor, Andrew Komarov, qui a découvert cette violation de données au moment où il aidait encore l’entreprise à faire face à une autre attaque en 2016. Lorsqu’Andrew Komarov essayait de démonter les données volées, il a décelé quelques indices concernant la brèche de 2013. Il a remarqué qu’en août 2015, un cybercriminel proposait environ 300 000 dollars pour une liste de plus d’un milliard de comptes Yahoo. La marque a vu ses revenus s’effondrer lorsqu’elle a rendu publique la violation de données. Pour faire face à cet incident, Yahoo a recommandé à ses utilisateurs de réinitialiser leur mot de passe et de renouveler les questions de sécurité. Suite à cela, la valeur de Yahoo a baissé de 350 millions de dollars, tandis que le cours de son action a chuté de 3 %. Sans oublier les litiges réglementaires et civils auxquels la marque s’est heurtée pour ne pas avoir divulgué la brèche en temps voulu.
Le géant Facebook a également connu le même sort en 2019. Les numéros de téléphone de 20 % des utilisateurs de cette plateforme de réseautage social – soit environ 419 millions d’abonnés – ont été divulgués, même si Facebook lui-même n’a pas été piraté. Les bases de données contenaient des informations sur les utilisateurs de la marque lorsqu’elle permettait encore aux développeurs d’accéder à leurs numéros de téléphone. Les informations sensibles comprenaient des enregistrements sur plusieurs millions d’utilisateurs de Facebook dans de nombreux sites géographiques, dont 18 millions au Royaume-Uni, plus de 50 millions au Vietnam et 133 millions aux États-Unis. Selon la marque, la cause de cette fuite de données est que les informations en question n’étaient pas protégées par un mot de passe ou un quelconque chiffrement. Toute personne effectuant une recherche sur le web pouvait donc les trouver et y accéder.
En 2018, le système de réservation de Marriott Hotels a été ciblé par des cybercriminels. Marriott International a révélé que des pirates informatiques avaient violé son système de réservation dénommé Starwood dans le but de voler ensuite les données personnelles d’environ 500 millions d’hôtes. Les noms, dates de naissance, adresses, adresses électroniques, numéros de téléphone, et d’autres informations chiffrées de cartes de crédit des clients de l’hôtel ont été volés, de même que l’historique des voyages ainsi que les numéros de passeport de certains clients. A l’issue d’une enquête, la marque a découvert que le réseau Starwood avait été compromis en 2014, au moment où elle était encore une entité distincte avant sa fusion avec Marriott.
Les concurrents ne manquent pas pour attirer vos clients insatisfaits à la suite d’une atteinte à la sécurité
Larry Ponemon, président et fondateur de Ponemon Institute, a déclaré : « La perte ou le vol de données sensibles des clients, comme l’indique notre étude, peut avoir un impact sérieux sur la valeur économique de la réputation d’une entreprise. Nous pensons que cette étude souligne l’importance de prendre des mesures pour réduire la probabilité d’une fuite de données. »
Les rapports qui ont fait état d’atteintes à la protection des données et qui ont touché certaines des plus grandes entreprises d’aujourd’hui continuent de faire les gros titres des actualités dans le monde entier. Toutes les organisations sont vulnérables face à cette menace, mais bon nombre d’entre elles ne sont ni préparées ni équipées pour gérer les conséquences.
Si une entreprise est victime d’une fuite de données, il peut être très difficile de réparer et de corriger des erreurs antérieures pour regagner la confiance de ses clients. Lorsque l’équilibre de la confiance est compromis, reste à voir si cette confiance pourra un jour être pleinement rétablie.
Dans les secteurs concurrentiels et dans l’environnement commercial actuel, caractérisé par un rythme rapide et impitoyable, les concurrents prêts à attirer des clients insatisfaits à la suite d’une atteinte à la sécurité ne manquent pas.
La relation entre la réputation et les résultats financiers est étroitement liée, comme l’a démontré la violation de données très médiatisée contre Sony. Celle-ci a permis aux criminels d’accéder à 20 millions de comptes, dont des adresses électroniques, des numéros de téléphone, des mots de passe et, dans certains cas, des numéros de carte de crédit.
Une grande partie de ces informations était en vente dans plusieurs forums sur la cybercriminalité. Suite à cette infraction, Sony a dû payer plusieurs amendes substantielles, causant de graves dommages à la marque.
Tout ce qui peut ternir une marque affectera en fin de compte les résultats financiers d’une entreprise, car une réputation ternie peut directement entraîner une réduction de la clientèle, des litiges coûteux et une réduction du chiffre d’affaires.
Tout ce qui peut ternir une marque affectera les résultats financiers d’une entreprise
Selon Ronan Kavanagh, PDG de TitanHQ, « Si vous êtes responsable d’un grand nombre de paiements par carte et de détails de connexion, la sécurité des données personnelles doit être votre priorité. Les chefs d’entreprise doivent prendre des mesures de précaution pour se protéger, protéger leurs clients, leurs employés et leur propriété intellectuelle contre les atteintes à la protection des données ».
De nombreuses entreprises ont eu des failles de sécurité et des faiblesses dans leurs systèmes, mais elles ont réussi à minimiser la gravité de l’incident grâce à une défense solide et en mettant en œuvre — et en priorité — des processus de sécurité proactifs.
La façon dont une entreprise est perçue par les consommateurs peut finalement mener à son succès ou à son échec. Une fuite de données peut rapidement mettre en cause la qualité et l’intégrité d’une entreprise, de ses produits et des services qu’elle propose, et ce, quelle que soit la durée de son activité. Il est donc temps que les entreprises adoptent une approche proactive en se demandant comment elles peuvent se protéger contre la divulgation des données sensibles.
Les causes les plus fréquentes des fuites et des violations de données
Il ne se passe pas un jour sans qu’un gros titre ne vienne annoncer qu’une entreprise a été victime d’une fuite ou d’une violation de données, mettant ainsi ses clients et partenaires en danger. Pour éviter cela, vous devez comprendre les causes les plus courantes des fuites et violations de données et comment vous pouvez faire pour atténuer les risques qu’elles représentent.
Utilisation d’identifiants et de mots de passe faibles
Les attaques des pirates informatiques sont sans aucun doute la cause la plus fréquente d’une violation de données, et pour ce faire, ils exploitent une vulnérabilité qui est souvent un mot de passe faible ou perdu. La solution la plus simple pour éviter cela est d’utiliser des mots de passe complexes et de ne jamais les partager avec d’autres personnes. Il est également recommandé d’utiliser l’authentification multifacteurs.
Portes dérobées, vulnérabilités des applications
Si vous êtes un cambrioleur, pourquoi prendre la peine d’enfoncer la porte quand elle est déjà ouverte ? De même, les cybercriminels adorent exploiter les applications logicielles qui sont mal écrites ou les systèmes de réseau mal conçus. Ces applications créent des brèches via lesquelles ils peuvent se faufiler et accéder directement à vos données sensibles. Comme solution, vous pouvez essayer de maintenir toutes vos solutions logicielles et matérielles corrigées et à jour.
Malwares
L’utilisation de malwares directs et indirects ne cesse d’augmenter. Par définition, un malware est un logiciel malveillant qui ouvre l’accès à un cybercriminel pour lui permettre d’exploiter un système et d’autres appareils connectés à votre réseau. Pour éviter la fuite de données à cause d’une attaque de malware, méfiez-vous de l’accès à des sites web qui ne sont pas ce qu’ils semblent être et n’ouvrez pas les e-mails dont vous ne connaissez pas l’origine. Ces deux méthodes sont parmi les plus populaires que les pirates utilisent pour diffuser des malwares.
Ingénierie sociale
Pour un pirate informatique, rien ne sert de se créer son propre point d’accès à exploiter s’il peut persuader d’autres personnes ayant un droit plus légitime sur les données qu’il recherche de le créer pour lui. En fait, l’ingénierie sociale se sert des comportements des utilisateurs (anxiété, confiance, fierté, respect, reconnaissance, serviabilité, etc.) dans le but de s’emparer de leurs données sensibles ou de leurs accès informatiques. Par exemple, si on vous demande de léguer une somme de 1 million d’euros à une personne que vous n’avez jamais rencontrée pour qu’elle puisse vous donner son héritage qui vaut 10 millions d’euros en retour, le feriez-vous ? Seriez-vous prêts à lui fournir vos informations personnelles pour qu’elle puisse vous envoyer l’argent qu’il vous a promis ?
Trop de permissions
Les autorisations d’accès trop complexes sont une aubaine pour les pirates. En fait, les entreprises qui ne contrôlent pas étroitement qui a accès à quoi au sein de leur réseau informatique sont susceptibles de fournir les mauvaises autorisations aux mauvaises personnes ou de laisser des autorisations obsolètes à la disposition d’un pirate informatique qui n’hésitera pas à les exploiter. Pour éviter une telle situation, utilisez un système d’autorisation d’accès simple, mais sécurisé.
Attaques physiques et sinistres
Les fuites de données peuvent également être le résultant d’un bâtiment mal sécurisé. Les pirates ne se contentent pas de rester assis dans leurs chambres dans des pays lointains. Certains d’entre peuvent se présenter comme une personne de confiance qui disposent d’une autorité plausible qui leur donnent le pouvoir de s’introduire dans votre bâtiment et dans vos systèmes informatiques. Pour éviter les fuites de données, vous devez donc être toujours vigilant, en faisant attention à tout ce qui semble suspect et de le signaler.
Menaces de l’initié
Il n’est pas rare qu’un employé malhonnête, un partenaire mécontent ou simplement un utilisateur de votre réseau qui n’est pas assez intelligent ait déjà reçu l’autorisation d’accéder à vos données sensibles. Rien ne l’empêche donc de copier, de modifier, voire de voler ces informations. Comme solution, vous devez savoir à qui vous avez affaire et agir rapidement dès qu’il y a un soupçon de problème. Couvrez le tout par des processus et des procédures sécurisées, soutenus par une formation.
Bon à savoir : comme vous pouvez le constater, il existe trois catégories de fuites de données. D’une part, elles peuvent être interceptées lors de leur déplacement (données en transit) par le biais des e-mails, des discussions en ligne, du trafic Internet, etc. D’autre part, les données peuvent être capturées lorsqu’elles sont au repos, dans les disques durs d’un ordinateur portable, dans votre serveur interne, etc. Enfin, les fuites de données peuvent se produire lorsque les informations sont en cours d’utilisation, par exemple à partir des captures d’écran, des imprimantes, des blocs-notes, des clés USB et d’autres supports de stockage amovibles.
En tant qu’entreprise, il importe de décomposer chaque catégorie et de créer une liste des endroits où vous stockez vos données avant de les attribuer à l’une des trois catégories. Vous pouvez ensuite classer les données dans chaque emplacement (par exemple, en fonction du niveau de sensibilité et des risques de fuites). Une fois que vous aurez compris quelles sont les informations dont vous disposez, ainsi que les risques auxquels vous êtes confronté, vous pourrez commencer à réfléchir aux contrôles et à la sécurisation de vos données afin de réduire les risques de fuites ou de violations.
Comment assurer la sécurité de vos données sensibles ?
La chose la plus importante que vous devez faire est de vous focaliser sur la prévention des fuites de données ou DLP (Data Leak Prevention). La DLP est une stratégie visant à s’assurer que vos informations sensibles ne quittent pas votre réseau d’entreprise. Il peut s’agir d’une solution ou d’un processus destiné à identifier et à suivre le parcours de vos données sensibles, ou à appliquer des politiques visant à empêcher toute divulgation non autorisée ou accidentelle.
De nombreuses entreprises décident d’entreprendre un projet DLP pour protéger leur propriété intellectuelle ou les données de leurs clients. Mais la complexité de la tâche et les ressources nécessaires pour la mener à bien et la maintenir font que le projet n’aboutit souvent jamais. Voici donc quelques mesures que vous pouvez mettre en œuvre dans le cadre d’un projet DLP.
Chiffrement
Vous devez chiffrer toutes les informations sensibles qui quittent votre réseau. Pour ce faire, vous pouvez mettre en place des systèmes logiciels, plutôt que de vous fier uniquement à vos employés. Il suffit d’une clé USB, d’un téléphone ou d’un ordinateur portable perdu et non sécurisé pour porter un coup dur à votre entreprise.
Protection des points finaux
Les terminaux de données sont constitués par les différents appareils utilisés par vos employés, tels que les ordinateurs portables, les ordinateurs de bureau ou les téléphones mobiles. C’est sur ces appareils que résident ou transitent vos données sensibles et la propriété intellectuelle de votre entreprise. Vous devez donc mettre en place des solutions pour protéger vos points finaux afin que vos administrateurs système puissent contrôler les appareils utilisés sur votre réseau. De cette manière, ils sauront quand (et par qui) ces appareils ont été utilisés, et quelles informations ont été consultées ou téléchargées. En même temps, votre entreprise doit mettre en place des politiques de sécurité qui régit l’utilisation de ces appareils.
Contrôle du contenu des e-mails
Si vous et vos employés envoient souvent des informations et des documents confidentiels par mail le risque de fuite de données peut donc être élevé. L’utilisation du filtrage du contenu des e-mails vous permet de rechercher les menaces potentielles. L’expéditeur, l’objet et le corps du message ; les images ainsi que les pièces jointes doivent tous être analysés pour détecter et signaler les risques de fuites potentielles. Le filtrage de contenu peut également alerter les administrateurs des menaces internes, par exemple lorsqu’un utilisateur tente d’envoyer des données confidentielles en dehors de l’entreprise.
Pare-feu intelligents
Outre le courrier électronique, la messagerie instantanée et l’utilisation d’autres services web présentent aussi un risque pour vos données. Il est dans votre intérêt (et de celui de vos employés) d’utiliser un pare-feu pour protéger les ordinateurs individuels et votre réseau informatiques contre les menaces de sécurité. Les pare-feu peuvent également prendre des mesures automatiques contre les fuites de données potentielles, les comportements malveillants et les accès non autorisés à votre réseau. Pour ce faire, soit ils informent l’administrateur soit ils bloquent l’action malveillante.
Contrôle des appareils
De nos jours, de plus en plus d’entreprises établissent et appliquent une politique de BYOD. C’est une politique qui permet aux employés d’apporter et de travailler en liberté avec leurs appareils personnels comme les ordinateurs portables, les Smartphones, les tablettes et les clés USB sur le réseau de l’entreprise. Cette politique peut aider à améliorer la productivité de vos employés. Par contre, si vous ne définissez pas précisément les règles qui déterminent comment les employés peuvent utiliser leurs propres appareils, des données sensibles peuvent être copiées, stockées et transmises sur le lieu de travail. Cela ne ferait qu’augmenter le risque de fuite de données.
Evaluation des autorisations de sécurité
De nombreuses entreprises donnent à leurs employés beaucoup plus d’accès que nécessaires. L’adoption d’une approche « confiance zéro » ou « zero trust » pour les autorisations d’accès permet de remédier à ce problème. Cela signifie qu’un employé n’aura accès qu’à ce dont il a vraiment besoin au quotidien. Cette approche permet de limiter l’ampleur des fuites de données et empêche vos employés d’accéder à certaines informations sensibles. Examinez vos autorisations de sécurité actuelles pour voir qui a accès à quoi. Ceci vous permettra de créer ensuite des politiques d’accès qui limitent les privilèges réseau des employés à ce dont ils ont réellement besoin pour leur travail et de recevoir des alertes au cas où un employé agirait de manière inhabituelle, par exemple, s’il commence à accéder à un grand nombre de documents ou s’il tente d’accéder à des documents à accès restreint.
La politique du moindre privilège
Il s’agit également d’une mesure importante que vous devez appliquer. En fait, il est difficile pour un employé de divulguer accidentellement des données auxquelles il n’a pas accès. C’est pour cette raison que vous devriez adopter une politique de moindre privilège qui limite l’accès aux données de chaque utilisateur au strict minimum, c’est-à-dire aux informations dont il a besoin pour exercer sa fonction. Une telle politique permet aussi de minimiser le risque de fuites de données intentionnelles.
Sauvegardes sécurisées
La sauvegarde des données sensibles est un élément fondamental pour votre entreprise. Mais les sauvegardes peuvent aussi être vulnérables et constituent souvent une mine d’or pour les pirates informatiques si elles ne sont pas sécurisées. Comme pour les fichiers originaux, vous devez chiffrer vos sauvegardes, stocker les informations dans divers supports et à différents endroits (sur site, dans le cloud, etc.) pour permettre la reprise après une éventuelle attaque cybercriminelle ou un sinistre.
Systèmes IDS/IPS
Les systèmes IDS/IPS vous permettent d’effectuer des tests de pénétration. Pour éviter une fuite de données, vous devez être en mesure d’identifier rapidement une tentative de vol de données et de la contenir. Plus vous prenez du temps pour identifier une tentative d’intrusion, plus les pirates informatiques auront le temps de percer vos défenses et de voler vos informations sensibles. En fait, les systèmes de détection d’intrusion ou « Intrusion Detection Systems » et les systèmes de prévention d’intrusion ou « Intrusion Prevention System » peuvent contribuer à la détection précoce des attaques. En utilisant ces systèmes, vous pourrez tester vos mesures de sécurité, déceler les éventuelles faiblesses ainsi que les différents types de tentatives d’intrusion.
Formation des utilisateurs
Les entreprises supposent souvent que leurs employés savent quelles données sont confidentielles et lesquelles ne peuvent pas être divulgués. Pourtant, les fuites de données ne sont pas toujours malveillantes. Il est possible qu’un employé ne se rende pas compte que son comportement met l’entreprise en danger. Voici pourquoi vous devez sensibiliser vos collaborateurs sur les dangers des fuites de données et organiser régulièrement des séances de formation afin de vous assurer que chacun est conscient des risques et pour que vos employés sachent la politique de votre entreprise en matière de cybersécurité.
Conclusion
Les fuites de données peuvent à la fois être embarrassantes et activement dangereuses pour votre entreprise et vos clients. La prévention des fuites de données – qu’elle résulte d’un accident ou d’une attaque intentionnelle – doit être votre priorité absolue, dans un monde où les informations peuvent se déplacer dans le monde en quelques secondes.
Combien de ces pratiques votre entreprise a-t-elle déjà adopté ? Si vous avez besoin d’aide pour mettre en œuvre des solutions de sécurité pour éviter les fuites de données et pour contrer les autres menaces cybercriminelles, contactez l’équipe de TitanHQ dès aujourd’hui. Nous disposons d’une équipe professionnelle qui se fera un plaisir d’aider votre entreprise à protéger vos données afin que vous et vos collaborateurs puissiez vous concentrer sur la croissance de votre entreprise, plutôt que de vous inquiéter de la sécurité de vos données et de votre architecture réseau.
Le gouvernement russe a été accusé par la société de sécurité allemande G Data d’avoir créé et de distribuer un malware appelé Uroboros.
Selon G Data Security, la société allemande de sécurité informatique et de détection antivirus, le gouvernement russe est derrière ce malware nouvellement découvert.
Le virus informatique russe Uroboros (Snake) n’a été détecté par aucun logiciel antivirus pendant 8 ans, et est probablement encore indétectable sur de nombreux systèmes infectés.
Qu’est-ce qu’un virus informatique ?
Tout comme un virus de la grippe, un virus informatique est conçu pour se propager d’hôte en hôte. Il a également la capacité de se répliquer. En réalité, un virus ne peut pas se reproduire sans une cellule hôte. De la même manière, les virus informatiques ne peuvent pas se reproduire et se propager sans une programmation comme un document ou un fichier.
Si vous avez peur de perdre vos informations sensibles, les données ou les objets précieux qui se trouvent sur votre ordinateur, vous pouvez utiliser un antivirus fiable comme ClamAV ou Bitdefender sur tous vos appareils (PC, Smartphones, tablettes, etc.)
En termes plus techniques, un virus informatique est une sorte de programme ou de code ou de programme malveillant écrit dans le but de modifier le fonctionnement d’un ordinateur. Il est généralement conçu pour se propager d’un appareil à un autre. Il fonctionne en s’attachant ou en s’insérant à un programme ou à un document légitime. Le document prend en charge les macros afin d’exécuter son code. Lors de ce processus, le virus peut provoquer des effets dommageables ou inattendus, comme l’altération du logiciel de votre système en détruisant ou en corrompant des données.
Comment un virus informatique attaque-t-il ?
Une fois qu’un virus réussit à s’attacher à un fichier, un document ou un programme, il reste en sommeil jusqu’à ce que les circonstances amènent le périphérique ou l’ordinateur à exécuter son code.
En général, vous devez exécuter le programme infecté pour que le virus infecte votre ordinateur, ce qui entraîne l’exécution du code malveillant. Cela signifie qu’un virus peut rester en sommeil sur votre appareil, sans montrer de signes majeurs. Par contre, une fois qu’il aura infecté votre ordinateur, il peut infecter d’autres appareils sur le même réseau, voler des données ou des mots de passe, enregistrer les frappes au clavier, corrompre vos fichiers ou envoyer des spams à vos contacts e-mail ou prendre le contrôle total de votre machine. Certains virus peuvent même avoir des effets profonds, notamment ceux qui sont conçus dans un but financier.
Comment les virus informatiques se propagent-ils ?
Dans le monde connecté d’aujourd’hui, vous pouvez contracter un virus informatique de différentes manières dont certaines sont plus évidentes que d’autres.
Parmi les moyens souvent utilisés par les pirates, on compte les pièces jointes des e-mails et des SMS, les liens frauduleux sur les médias sociaux et le téléchargement de fichiers sur Internet.
À noter qu’un virus informatique peut se dissimuler sous différentes formes (images amusantes, fichiers audio et vidéo, cartes de vœux, etc.
C’est quoi exactement Uroboros (Snake) ?
Uroburos est un virus informatique qui vérifie la présence d’Agent.BTZ, il reste inactif une fois qu’il est installé sur un appareil. Agent.BTZ est un malware extrêmement nuisible lié à une attaque majeure contre le Pentagone en 2008.
L’exemple le plus célèbre de malware d’origine gouvernementale est le ver Stuxnet. Il visait un logiciel de contrôle spécifique des installations nucléaires. L’Israël et Les États-Unis ont été impliqués dans la création et la distribution de ce ver.
Uroburos, quant à lui, est un rootkit composé de deux fichiers : un pilote et un système de fichiers virtuel chiffré, pouvant prendre le contrôle de l’ordinateur qu’il a infecté, exécuter des commandes arbitraires et masquer les activités du système. Ce type de malware est très dangereux, car sa structure est à la fois modulaire et flexible. Ceci signifie que de nouvelles fonctions malveillantes peuvent facilement être ajoutées.
La partie pilote d’Uroburos est très complexe. Il est conçu pour être très discret et difficile à identifier. Dans l’échantillon d’Uroburos détecté par G Data, le malware est destiné à voler des fichiers et à surveiller le trafic d’un réseau informatique.
Le nom du malware est une variante de l’orthographe « Ouroboros ». Il s’agit du symbole grec ancien d’un dragon ou d’un serpent qui mange sa propre queue.
Selon GData, Uroburos est l’un des rootkits les plus avancés qu’il a analysé qui est apparu en 2011, l’année la plus ancienne où son pilote a été conçu. Il fonctionne sur les ordinateurs Windows x64 et x86 et peut commander un ordinateur infecté disposant d’une connexion Internet. Ensuite, il infecte d’autres ordinateurs en réseau, même ceux qui n’ont pas de connexion directe à Internet.
Uroburos recueille toutes les données qu’il a collectées, puis les renvoie aux auteurs du malware via la même méthode afin de passer d’une machine à l’autre jusqu’à ce qu’il en trouve une avec une connexion Internet.
Ce comportement d’Uroburos est typique de la propagation dans les réseaux des autorités publiques ou des grandes entreprises. Les pirates informatiques s’attendent à ce que leur cible dispose d’ordinateurs coupés d’Internet et utilisent cette technique comme une sorte de solution de contournement afin d’atteindre leur objectif.
Le gouvernement russe est-il derrière le virus Uroboros ?
Bien qu’il ne soit pas prouvé que le gouvernement russe est à l’origine du virus Uroboros, les chercheurs en sécurité de Gdata et de la société britannique BAE pensent qu’il est très probablement d’origine russe. Ils spéculent également que les efforts compliqués pour programmer un virus aussi sophistiqué auraient nécessité un parrainage de l’État.
Contrairement au virus APT1, qui était clairement lié à l’armée chinoise, il n’y a aucune preuve spécifique que le gouvernement ou l’armée russe est derrière Snake.
L’International Business Times a déclaré : « Les experts n’ont pas identifié de victimes spécifiques des attaques d’Uroboros, mais sa nature sophistiquée suggère qu’il a été conçu pour attaquer des cibles de grande valeur comme les réseaux gouvernementaux et les systèmes télécoms. Sa nature incroyablement complexe suggère aux experts qu’il a été développé non pas par des cybercriminels, mais par une agence d’État. »
L’article rapporte que l’Ukraine a été attaquée 14 fois cette année. Par ailleurs, les chercheurs n’ont pas révélé qui d’autre a été pris pour cible. Cependant, les Américains affirment que le ministère de la Défense a été attaqué en 2010 et que le malware est l’œuvre d’une agence de renseignement étrangère.
La société allemande GData et la BAE ont analysé le malware. Selon GData, le niveau de sophistication est le même que celui de Stuxnet, un ver informatique que les Américains et les Israéliens ont utilisé pour forcer les centrifugeuses nucléaires iraniennes à devenir incontrôlables et à se détruire. Il s’agit d’un acte audacieux qui dépasse l’imagination des auteurs de science-fiction d’espionnage les plus créatifs.
Le site Web de Hacker News rapporte que Snake est un nom générique pour une série d’outils, notamment le rootkit Uroburos. Le nom « rootkit » signifie qu’il est conçu pour se cacher à l’intérieur des processus au niveau du noyau et donc pour ne pas se révéler aux logiciels antivirus. Hacker News indique que Snake a opéré depuis 8 ans sans être détecté.
Analyse du virus informatique russe Snake par le BAE
La BAE a rédigé une description détaillée de Snake. Son livre blanc cite une interview du secrétaire américain à la Défense (en 2010), William J. Lynn, qui décrit une attaque sophistiquée de malwares sur des ordinateurs classifiés du ministère de la Défense.
Le secrétaire d’État a déclaré que le malware était l’œuvre d’un service de renseignement étranger, mais il n’a pas révélé la source de cette information. La BAE, cependant, a déclaré qu’elle connaît certains détails.
Selon elle, « l’opération qui est à l’origine des attentats s’est poursuivie avec peu de modifications des outils et des techniques, en dépit de l’attention qui a lui a été accordée il y a quelques années. »
En d’autres termes, Snake est une opération en cours qui ne montre aucun signe de ralentissement. Elle peut donc, ou pourrait encore, attaquer l’armée américaine et d’autres organisations.
Les faiblesses exploitées par les pirates existent toujours, de sorte que les malwares continueront à fonctionner dans un avenir prévisible. Le virus cible le système d’exploitation Windows et certains logiciels tiers qui y sont installés.
Comment le virus Uroboros peut-il infecter votre ordinateur ?
Les malwares, y compris les ransomwares comme Snake, peuvent être distribués de différentes manières. L’une d’entre elles consiste à envoyer des e-mails comportant des fichiers malveillants en pièce jointe.
Si les messages sont ouverts, les fichiers attachés vont installer le ransomware. D’une manière générale, les pirates informatiques envoient des documents Microsoft Office ou des fichiers PDF. Ils archivent ces fichiers sous le format RAR ou ZIP ou sous forme de fichiers exécutables comme .exe.
Les pirates peuvent aussi infecter un système d’exploitation en utilisant des chevaux de Troie qui sont souvent conçus pour provoquer des infections en chaîne. Une fois que le malware est installé sur une machine, il télécharge et installe d’autres malwares.
Comme autre alternative, les pirates peuvent avoir recours à de sources de téléchargement de logiciels peu fiables, comme :
Les sites Web non officiels,
Les sites d’hébergement de fichiers gratuits ou de téléchargement de logiciels gratuits,
Les faux logiciels de mise à jour,
Les réseaux Peer-to-Peer,
Les outils de chiffrement,
Pourquoi le virus Uroboros a-t-il échappé à la détection pendant 8 ans ?
Snake opère en détournant un processus en cours d’exécution. Cela signifie qu’il fonctionne à l’intérieur de la mémoire de quelque chose qui fonctionne normalement sous Windows comme svchost, iexplorer.exe, chrome.exe, ou firefox.exe.
Cette approche contourne les logiciels antivirus, car le processus en cours d’exécution n’est pas répertorié comme un malware puisqu’il fait partie du système d’exploitation ou d’un programme légitime.
Snake communique avec ses ordinateurs de commande et de contrôle au niveau du noyau (kernel) et de la couche utilisateur (par exemple le navigateur web). Il attend que l’utilisateur ouvre un navigateur, puis fait sa propre requête GET pour obtenir des instructions.
Comme le souligne la BAE, un site Web normal, tel qu’un lecteur de flux d’actualités, fait des requêtes GET à des dizaines ou des centaines de domaines et de sites. Filtrer tout ce qui est malveillant est donc plus compliqué, car cela ressemble à un trafic ordinaire. Comme le virus utilise le protocole HTTP, il est capable de contourner les pare-feu.
Pour éviter d’être détecté, Snake s’endort parfois pendant des jours ou des mois suite aux instructions qu’il reçoit du serveur web de commande et de contrôle. Par exemple, il peut envoyer une requête HTTP GET /file.jpg et recevoir en retour la réponse « 1 » lui ordonnant de dormir.
La BAE a capturé le trafic réseau, ce qui montre que le code .dll a également été converti en code source en langage C. Cela a permis d’expliquer en détail le fonctionnement du virus.
La façon dont les processus sont attaqués et pris en charge consiste à tirer parti des fuites de mémoire et des faiblesses de la sécurité. Ceci permet aux pirates d’injecter des programmes malveillants – des fichiers .dlls dans le cas de Windows — dans le processus en cours.
Snake n’est pas le seul malware à utiliser cette approche.
Prenons un exemple simple. Si un programme déclare une telle variable :
int x ;
mais n’attribue aucune valeur à cette variable, l’ordinateur va réserver de la mémoire pour x valeurs du type int. Ensuite, un virus peut utiliser cette adresse allouée pour diriger le programme vers le chargement et l’exécution d’un fichier .dll qui est le logiciel du pirate. Le malware peut alors prendre le contrôle de la machine.
Les pirates informatiques peuvent souvent accéder à cette variable x et à beaucoup d’autres grâce à l’appel de fonction dans un programme en cours d’exécution. Ainsi, ils peuvent contourner les mesures de sécurité et laisser Windows ou tout autre logiciel faciliter sa propre exploitation.
On ne sait pas encore par quel moyen Snake infecte les machines. La BAE spécule qu’il pourrait provenir d’une clé USB infectée ou d’un phishing par e-mail. Le virus fonctionne au niveau de noyau du système d’exploitation et de la couche utilisateur. Au niveau du noyau, il pirate les processus réseau pour intercepter le trafic entrant et sortant. De cette façon, il peut à la fois envoyer des données et des journaux (logs), attendre et détecter les commandes entrantes.
Une vulnérabilité qui a aidé Snake à fonctionner est un problème de sécurité avec Oracle Virtualbox. À cause de cela, le malware peut accéder à la mémoire du noyau et y mettre à jour une variable pour indiquer que le serveur Windows a été démarré en mode WinPE. Cela signifie qu’il a été démarré de telle manière que le système d’exploitation chargera des fichiers .dlls non signés (une mesure de sécurité qui a été introduite dans les versions 64 bits de Windows).
En effet, les logiciels non signés n’ont pas de certificat valide, comme celui émis par Verizon qui en vérifie l’origine et l’intégrité. Un hacker aura des difficultés à en obtenir un, car les militaires d’un pays ne peuvent pas simplement appeler Verisign, une société leader dans l’industrie des certificats SSL, pour demander cela sans éveiller les soupçons.
Le virus est intimidant par sa complexité et sa sophistication. Il déploie différentes versions de lui-même en fonction de la version du système d’exploitation en cours d’exécution. Il monte des disques virtuels sur la machine et utilise ceux-ci pour stocker les données qu’il envoie ensuite au centre de commande et de contrôle pour permettre aux pirates de les dérober.
Instructions de suppression du virus Uroboros
Détecté par l’équipe MalwareHunter, Snake Ransomware a été conçu pour avoir la capacité de contourner toutes les formes de solutions antimalware que tous les autres malwares précédents auraient pu faire jusqu’à présent.
Selon le chercheur en sécurité Vitali Kremez de l’équipe de MalwareHunter, Uroboros cible d’abord un système pour ensuite supprimer tous les processus liés aux machines virtuelles, aux systèmes SCADA, aux systèmes de contrôle industriel, aux logiciels de gestion de réseau, aux outils de gestion à distance, etc.
Ensuite, il commence à chiffrer des fichiers et dépose une demande de rançon. Grâce à ce malware, les pirates informatiques ont même été capables de contourner les plus récentes fonctions de sécurité intégrées à Windows.
La seule façon de résoudre le problème est de déchiffrer les fichiers avec une clé de déchiffrement qui peut être achetée auprès des pirates ayant conçu le malware. Pour ce faire, les victimes sont obligées de les contacter en leur envoyant un e-mail à l’adresse bapcocrypt@ctemplar.com.
En effet, les pirates offrent une clé de déchiffrement gratuite pour prouver qu’ils disposent d’un outil de déchiffrement fonctionnel. De cette manière, les victimes croient qu’ils peuvent vraiment restaurer leurs fichiers. Pourtant, il n’est pas recommandé de les payer, car il est très probable que les cybercriminels n’enverront pas la clé de déchiffrement même après un paiement.
Une autre façon de récupérer les fichiers infectés sans avoir à payer la rançon est de les restaurer à partir d’un fichier de sauvegarde.
À noter que si vous tentez de supprimer Snake de votre système d’exploitation, les fichiers resteront chiffrés. Cette action ne fait qu’empêcher ces fichiers de provoquer d’autres dégâts.
Une autre méthode de résoudre l’infection par Uroboros
Certaines infections de type de virus sont créées dans le but de crypter des fichiers dans des périphériques de stockage externes, les infecter et même se propager dans tout votre réseau local. Voici pourquoi il est très important d’isoler l’appareil infecté dès que possible.
Déconnexion d’Internet
Le moyen le plus facile de déconnecter un ordinateur d’Internet est de débrancher le câble Ethernet de la carte mère, mais certains appareils sont connectés via un réseau sans fil. Pour certains utilisateurs, notamment ceux qui ne connaissent pas très bien les nouvelles technologies, déconnecter les câbles peut sembler difficile. Ainsi, vous pouvez également déconnecter le système manuellement via le Panneau de configuration de l’ordinateur :
Pour ce faire, clique sur « Panneau de configuration » puis sur la barre de recherche dans le coin supérieur droit de votre écran. Cliquez sur « Centre de réseau et de partage » et sélectionnez le résultat de la recherche « Déconnexion de l’ordinateur d’Internet ».
Cliquez ensuite sur l’option « Modifier les paramètres de l’adaptateur » qui se trouve dans le coin supérieur gauche de la fenêtre puis sur « Déconnexion de l’ordinateur d’Internet ».
Pour finir, cliquez avec le bouton droit de votre souris sur chaque point de connexion et sélectionnez « Désactiver ». Ceci étant fait, le système ne sera plus connecté à Internet.
Vous pouvez réactiver les points de connexion en cliquant à nouveau avec le bouton droit de votre souris puis sur « Activer ».
Débranchez de tous les périphériques de stockage
Comme susmentionné, Uroboros peut chiffrer les données et infiltrer tous les périphériques de stockage connectés à votre ordinateur. Pour cette raison, vous devez déconnecter tous les périphériques de stockage externes, comme les lecteurs flash, les disques durs portables, etc. Vous devez le faire immédiatement, mais il est recommandé d’éjecter chaque périphérique avant de tout déconnecter afin d’éviter toute corruption des données : cliquez sur « Poste de travail » et cliquez avec le bouton droit de votre souris sur chaque périphérique connecté. Ensuite sélectionnez « Éjecter ». Ceci vous permet d’éjecter les périphériques de stockage externes connectés à votre ordinateur.
Déconnectez vos comptes de stockage dans le cloud
Certains malwares sont capables de détourner les applications qui gèrent les données stockées dans le Cloud. Ainsi, elles peuvent être corrompues ou chiffrées.
Il est donc recommandé de déconnecter tous vos comptes de stockage dans le cloud dans les navigateurs et autres logiciels connexes. Envisagez également de désinstaller temporairement votre logiciel de gestion du cloud jusqu’à ce que l’infection par Uroboros soit complètement éliminée.
Que pouvez-vous faire pour éviter le virus Snake et les attaques similaires ?
La meilleure sécurité est peut-être de supposer que les pirates seront toujours en mesure de contourner la sécurité et ont déjà compromis vos machines. Cela suggère que vous devriez réinstaller régulièrement vos systèmes d’exploitation et les logiciels sur toutes vos machines. Bien sûr, ce serait difficile à faire sur des serveurs de production critiques.
Parmi les autres mesures possibles à prendre pour renforcer la sécurité, on compte :
Maintenez vos logiciels à jour en utilisant uniquement les fonctions ou les outils fournis par le développeur officiel. L’installation et l’utilisation d’un antivirus légitime sont également primordiales. Si votre ordinateur est déjà infecté par Ouroboros, il est recommandé d’exécuter une analyse avec un logiciel fiable comme SpamTitan pour éliminer automatiquement ce malware.
Il est aussi important de former vos employés sur le phishing. Vos employés doivent faire très attention lorsqu’ils naviguent sur Internet et téléchargent ou mettent à jour des logiciels. Il faut également réfléchir à deux fois avant d’ouvrir les pièces jointes d’un e-mail non sollicité. Les fichiers qui ne semblent pas pertinents provenant d’un expéditeur suspect ne doivent jamais être ouverts.
L’interdiction du branchement des périphériques USB comme les lecteurs et les Smartphones,
Le retrait des anciennes versions de Windows comme Windows 7 qui ont des problèmes de sécurité connus,
Le bannissement de l’utilisation de Windows, en passant aux appareils sans disque, mais en réseau uniquement, à l’instar de Chromebooks,
L’inspection au niveau des paquets pour lire le trafic HTTP entrant et sortant afin de détecter les signes de malware qui communiquent avec les serveurs de commande et de contrôle.
Notez ici que nous ne mentionnons pas le chiffrement de données. Le plus gros problème lorsque vous essayez d’utiliser cette solution est que vous pouvez chiffrer les données au repos, c’est-à-dire les données qui ne sont pas déplacées d’un endroit à l’autre sur un réseau — ainsi que les données en transit, mais pas celles qui sont en mémoire.
Microsoft a rendu la lecture des données en mémoire plus difficile en utilisant des schémas comme ASLR (Address Space Layout Resolution), permettant ainsi d’assigner des données en mémoire dans des adresses sélectionnées au hasard plutôt que dans un bloc contigu.
Ceci rend plus difficile pour un pirate de prédire l’emplacement des données. Pourtant, le chiffrement pourra protéger des données sur disque seulement au cas où un fichier entier serait volé et non les enregistrements individuels qui sont effacés de la mémoire au fur et à mesure de leur traitement.
Attendez-vous à voir de multiples variantes du virus Snake au cours des prochaines années.
Jusqu’à présent, il semble que les gouvernements aient été les principales cibles de Snake. Cependant, maintenant qu’il a été détecté et que ses mécanismes de fonctionnement ont été rendus publics, il est probable qu’il sera bientôt utilisé par des cybercriminels pour attaquer votre organisation, s’ils ne l’ont pas déjà fait.
Attendez-vous à voir de multiples variantes de Snake au cours des prochaines années, ainsi que des outils permettant aux pirates informatiques de les déployer pour lancer une charge utile ou pour voler des informations spécifiques.
La menace que représente Snake souligne la nécessité d’une approche multidimensionnelle de la sécurité des réseaux. Elle met également en exergue la sophistication croissante des attaques et de leur furtivité, empêchant ainsi leur détection pendant plusieurs années. Il s’agit d’une course aux armements entre les gouvernements, les cybercriminels et les professionnels de l’industrie de la sécurité des réseaux.
Selon David Grout, chercheur français en sécurité qui travaille pour le fournisseur de solutions en cybersécurité FireEye, l’apparition des nouveaux ransomwares comme Snake nous fait entrer dans une nouvelle ère dans laquelle les attaques contre les infrastructures industrielles vont devenir monnaie courante puisqu’elles sont lucratives.
Les industriels qui sont victimes des attaques de ransomwares ont tendance à payer plus rapidement que les professionnels des autres secteurs comme les collectivités territoriales, les institutions financières, etc., car ils veulent reprendre immédiatement la production.
Les responsables de la sécurité numérique des groupes industriels devraient donc tenir compte des nouvelles menaces de ransomwares, notamment les éventuelles variantes d’Uroboros.
Ce qu’il faut retenir
Pour l’instant, on pense que le virus Uroboros est utilisé pour cibler des gouvernements étrangers. Malheureusement, une fois que certains détails sont publiés, on sait qu’il peut être utilisé pour créer des variantes. Les pirates informatiques non étatiques n’ont peut-être pas pu créer le virus. Par contre, les techniques utilisées pour exploiter les ordinateurs et les réseaux peuvent être copiées par d’autres cybercriminels.
Dans les prochaines années, on pourrait découvrir un certain nombre de versions différentes de ce virus, qui pourraient être utilisées pour différentes raisons. Des données spécifiques peuvent être volées, ou des systèmes sabotés.
Cette découverte montre jusqu’où certains individus et groupes aux intentions malveillantes sont prêts à aller pour voler vos données, et pourquoi il est essentiel de mettre en œuvre des systèmes de sécurité à plusieurs niveaux si vous voulez les protéger. Utilisez toujours des contrôles pour empêcher l’envoi d’e-mails de phishing et la réponse aux messages malveillants.
Êtes-vous donc condamné à rester dans la ligne de mire et à espérer que votre réseau ne sera pas la prochaine victime de la cyberguerre ? Non, vous n’êtes pas aussi impuissant que vous ne le pensez. La sécurité du réseau dans votre organisation exige une vigilance constante.
Assurez-vous que votre réseau dispose de la dernière version patchée des systèmes d’exploitation, des logiciels et des solutions de filtrage du trafic entrant et sortant. Vos utilisateurs finaux doivent également être conscients des risques et être attentifs aux éventuelles menaces.
Ce sont des précautions que vous pouvez (et devriez) prendre et qui réduiront considérablement les risques de cybercriminalités.
À propos de SpamTitan
Tout à l’heure, nous avons parlé de SpamTitan. En réalité, il s’agit d’une solution de sécurité de la messagerie électronique qui permet d’identifier et de prévenir les spams, les virus lancés via les e-mails, les attaques de malwares, les liens malveillants et les attaques de phishing.
SpamTitan vous protège également contre l’usurpation d’identité et d’autres menaces malveillantes par e-mail. TitanHQ, le fournisseur de la solution, offre une sécurité avancée de la messagerie pour votre entreprise sans la rendre compliquée. Parmi ses fonctionnalités, SpamTitan propose par exemple l’analyse des messages entrants et sortants avec intelligence artificielle en temps réel.
SpamTitan est conçu pour les PME, mais aussi les organisations qui utilisent Office 365, les fournisseurs de services gérés et les professionnels de l’éducation.
En fait, la sécurisation de la messagerie électronique, la sécurité du Web et la conformité ne doivent pas toujours coûter cher pour ceux qui cherchent à économiser sur leurs dépenses de sécurité informatique et ceux qui veulent en même temps améliorer la productivité de leurs employés.
La fonction « sandboxing » de SpamTitan protège votre réseau contre les brèches et les attaques sophistiquées lancées via les e-mails, ce qui fournit un environnement puissant, permettant d’effectuer une analyse approfondie des programmes et fichiers inconnus ou suspects.
SpamTitan Cloud est une couche de sécurité de messagerie supplémentaire essentielle pour protéger votre système Office 365 contre les malwares et les attaques de type « zero day ».
Depuis 1999, TitanHQ a développé des systèmes de renseignement sur les nouvelles menaces cybercriminelles. Cela réduit considérablement le risque d’une attaque par e-mail réussie contre votre entreprise.
Si vous voulez découvrir les capacités de notre solution et comment elle protège votre entreprise contre les menaces cybercriminelles, profitez des maintenant d’un essai gratuit pendant 14 jours.
Que faites-vous d’autre pour protéger votre réseau ? Veuillez nous faire part de vos suggestions ci-dessous. Nous aimerions connaître votre opinion.
Questions fréquentes sur Snake/Uroboros
Quel langage de programmation Snake utilise-t-il ?
Ce malware est écrit dans un langage de programmation open source appelé Golang ou « Go-language ». Ce langage permet de créer facilement des logiciels fiables et efficaces.
Comme Snake s’infiltre dans les systèmes via Windows ?
Il s’infiltre un système d’exploitation Windows une fois qu’il a vérifié que le terminal n’était pas déjà infecté. Ceci étant fait, il corrompt le système WMI ou « Windows management instrumentation » et le système de gestion du logiciel Microsoft. Ensuite, il neutralise Shadow Volume Copies. Cette application est incluse dans Windows pour permettre d’effectuer des sauvegardes automatiques des fichiers, même lorsque vous êtes en train de les utiliser. C’est à ce moment-là que le malware peut commencer à chiffrer des données sensibles.
Peut-on utiliser un ordinateur infecté par le malware Snake ?
Comme la plupart des ransomwares, Snake ne cherche pas à corrompre les programmes et fichiers de votre système d’exploitation, votre machine pourra encore démarrer, se connecter et vous laisser ouvrir les applications que vous souhaitez. Bref, vous aurez l’impression que votre système fonctionne. Par contre, vos fichiers de données importants (documents, photos, vidéos, feuilles de calcul, musique, business plan, déclarations de revenus, comptes clients, etc.) seront chiffrés avec une clé de chiffrement que les pirates choisissent au hasard.
Snake est-t-il une menace persistante ?
Oui, les attaques de Snake peuvent prendre des semaines, voire des mois. Le processus d’exfiltration des données que les pirates utilisent avant de lancer le malware est souvent long pour qu’ils puissent récolter des téraoctets de données. La durée de l’attaque dépend en effet de la cible.
Que pouvez-vous faire pour vous préparer à une attaque de Snake ?
N’oubliez pas que plus votre entreprise est grande, plus il sera difficile d’identifier les dispositifs vulnérables et de les protéger. Les responsables informatiques peuvent donc faire pencher la balance en leur faveur en essayant de connaître leur infrastructure et les nouvelles méthodes utilisées par les pirates pour savoir les actifs à protéger et pour hiérarchiser leurs efforts.
La sécurité des applications web est devenue un enjeu majeur non seulement pour les entreprises, mais aussi pour les particuliers. Beaucoup de services fonctionnent actuellement grâce aux technologies web et il est essentiel de comprendre les risques qui y sont liés.
Dans ce dossier, nous passerons en revue quelques principes simples que vous pouvez utiliser pour assurer la sécurité des applications web. Vous apprendrez quelques bonnes pratiques de sécurité en matière de développement des applications web afin de garantir la confidentialité, la disponibilité et l’intégrité de vos données.
Plus précisément, nous allons parler de l’OWASP qui a publié les 10 risques les plus critiques pour la sécurité des applications. C’est parti !
Introduction
Imaginez un instant la quantité de données personnelles que les applications web traitent aujourd’hui.
Les utilisateurs interagissent en permanence avec les applications logicielles relatives aux transactions dans le domaine de la santé, de la banque et du commerce de détail.
Presque toutes les grandes entreprises et organisations qui traitent des données de grande valeur disposent aujourd’hui d’une application web. De plus, l’infrastructure qui supporte les nouveaux sites web basés sur les applications d’aujourd’hui est devenue très complexe.
De nos jours, ces sites sont généralement structurés en trois niveaux :
Le niveau client est le premier niveau
Un moteur utilisant une technologie de contenu web dynamique est le niveau intermédiaire
Une base de données est le troisième niveau.
Cette architecture de type multiniveaux signifie qu’en plus du modèle de trafic Nord-Sud, qui va de l’utilisateur et vers le niveau du client (le serveur HTML frontal), le site crée également un grand volume de trafic Est-Ouest entre les multiples serveurs résidant dans des niveaux séparés.
Cette autoroute supplémentaire et la complexité accrue de sa conception rendent la cybersécurité beaucoup plus difficile.
Ajoutez à cela le rythme rapide des processus de développement des logiciels et l’intégration des opérations de développement et vous allez rapidement reconnaître les défis en matière de sécurisation des applications web d’aujourd’hui.
L’OWASP, une référence en matière de développement d’applications web
L’Open web Application Security Project (OWASP) est une communauté ouverte dont la mission est de permettre aux entreprises de développer, acheter et maintenir des applications et des interfaces de programmation applicative (API) plus fiables.
L’insécurité des logiciels entrave non seulement la confiance des utilisateurs, mais aussi la sécurité de notre pays lorsqu’il concerne le secteur industriel, celui de l’énergie et de la défense. En 2003, l’OWASP a publié les principaux risques de sécurité des applications les plus répandues à l’époque.
L’objectif était d’identifier les principales tactiques utilisées par les pirates pour infiltrer et compromettre les données dans les applications web.
Les projets de l’OWASP
L’OWASP recense un nombre important de projets disponibles en accès libre. Le champ d’application de ces projets est très varié, mais il est toujours en lien avec la sécurité web.
Parmi ces champs d’application, on y retrouve des listes et des guides tels que ceux que nous allons vous présenter, mais aussi des logiciels qui permettent de rechercher des vulnérabilités sur une application web (OWASP O-Saft, OWASP SQLiX, OWASP JHijack, OWASP webScarab, et bien d’autres).
Voici 4 projets populaires que vous devez savoir à propos de l’OWASP :
OWASP web security testing guide
Le projet web Security Testing Guide (WSTG) est un guide complet qui permet aux développeurs de tester la sécurité de leurs applications. C’est une sorte de superchecklist que les développeurs peuvent utiliser pour effectuer des tests de sécurité web.
Ce guide est une référence en matière de tests de sécurité, car il est très complet et est fourni avec un ensemble de bonnes pratiques qui ont été déjà utilisées par de nombreuses organisations dans le monde entier. Il est constamment mis à jour par des bénévoles de l’OWASP et d’autres professionnels de la cybersécurité.
OWASP mobile Top 10
L’OWASP ne se concentre pas seulement sur la sécurité des applications. L’organisation travaille plus largement sur la sécurité des technologies web en général. Mais suite au succès de l’OWASP Top 10, elle a mis en place une liste dédiée particulièrement à la sécurisation des applications mobiles, à savoir l’OWASP Mobile Top 10.
Ce Top 10 présente les dix risques de sécurité les plus critiques pour les applications mobiles. Il a pour but de sensibiliser les développeurs ainsi que les organisations à la sécurité des applications mobiles. C’est l’une des plus importantes références à prendre en compte, car la part de l’utilisation des services avec des Smartphones ne cesse d’augmenter.
OWASP mobile security testing guide
En plus des offres précédentes, l’OWASP propose une norme de sécurité dédiée aux applications mobiles, accompagnée d’un guide de tests complet. Ce guide couvre les processus, les outils ainsi que les techniques que vous pouvez utiliser lors des tests de sécurité de vos applications mobiles.
Ce document fournit également un ensemble de cas de tests, permettant aux testeurs de fournir des résultats complets et cohérents.
Bref, il s’agit d’un référentiel très prisé par les développeurs pour la sécurité des applications web et mobile.
OWASP Top 10
Le Top 10 de l’OWASP est le projet le plus connu de l’organisation. En réalité, il s’agit d’une liste des 10 risques de sécurité les plus cruciales pour les applications web.
Le but de ce projet est de sensibiliser les développeurs à la sécurité web. D’ailleurs, ce Top 10 est reconnu mondialement par les développeurs en guise de base de référence pour sécuriser le code de leurs applications.
C’est le sujet que nous allons aborder un peu plus en profondeur dans ce dossier.
L’OWASP a publié ses Tops 10 des risques en matière de sécurité des applications en 2017
L’OWASP a publié sa liste très attendue pour 2017. Celle-ci est basée sur 11 jeux de données d’entreprises spécialisées dans la sécurité des applications.
Elle couvre les vulnérabilités rassemblées auprès de centaines d’organisations et de plus de 50 000 applications et API dans le monde.
Injection
Authentification interrompue et gestion des sessions
Scripts XSS (Cross-Site Scripting)
Contrôle d’accès cassé
Mauvaise configuration de la sécurité
Exposition aux données sensibles
Protection insuffisante contre les attaques
Contrefaçon de demande intersite (CSRF)
Utilisation de composants présentant des vulnérabilités connues
Sous APIs protégées
Injection de code
L’injection de code est un type de stratégie que les pirates peuvent utiliser pour prendre vos propres codes à partir d’un site web. Pour ce faire, ils manipulent les paquets de vos flux de données existant grâce à de nombreux outils.
Ils peuvent ensuite utiliser de nombreux types de code pour ensuite les injecter dans votre flux de données, en utilisant des vulnérabilités pour lancer un kit d’exploitation. C’est notamment le cas lorsque l’un de vos développeurs a fait un mauvais travail de codage d’un programme informatique.
Normalement, ces derniers devraient s’assurer que leurs collaborateurs utilisent les applications de façon efficace et réparer les vulnérabilités afin que les cybercriminels ne puissent pas en profiter.
L’une des choses que les pirates ont l’habitude de faire est d’injecter votre propre code SQL dans certains de vos flux de données. Ils modifient les demandes SQL qui sont faites à une base de données à travers un front end web. Bien entendu, ils n’ont pas l’accès direct à votre base de données, mais lorsqu’ils font une requête sur votre serveur web, le serveur va réaliser une requête à votre base de données SQL.
De cette manière, ils peuvent donner à votre serveur web de mauvaises informations, ce qui donne par la suite de mauvaises informations au serveur SQL. En fin de compte, ils peuvent obtenir des informations sensibles depuis votre base de données.
Étant donné qu’il existe tellement de types de données différents, les responsables informatiques doivent empêcher les pirates d’injecter de données HTML, SQL, XML et LDAP. La meilleure façon d’y parvenir est de mettre vos informations dans un flux de données pour que les pirates ne puissent pas contourner la sécurité.
L’attaque par injection SQL est très répandue, mais il y a d’autres types d’injection tels que l’injection XML et l’injection LDAP qui permettent aux pirates d’accéder facilement aux identifiants de connexion de vos employés.
Authentification interrompue et gestion des sessions
Saviez-vous que plus de 113 millions de sites web présentent actuellement une faille de sécurité ? Cela représente environ 6 % de tous les sites internet dans le monde. En fait, chaque vulnérabilité est considérée comme une faiblesse du code d’un site web que les cybercriminels peuvent exploiter pour obtenir un accès non autorisé à votre réseau ou aux périphériques qui y sont connectés.
En 2018, l’un des types de vulnérabilités les plus courants signalés par l’OWASP concernait l’authentification interrompue et la gestion des sessions. En termes simples, la gestion des sessions et de l’authentification interrompue permet à un cybercriminel de voler les données de connexion d’un de vos employés ou de falsifier leurs données d’identification comme les cookies pour accéder à votre site web, sans votre autorisation.
Le Top 10 de l’OWASP est une liste des 10 failles de sécurité les plus dangereuses des applications web de nos jours, y compris l’authentification et la gestion de session interrompues. Selon owasp.org, son but est de favoriser la visibilité et l’évolution de la sécurité des solutions logicielles dans le monde.
Qu’est-ce que l’authentification interrompue et la gestion de session ?
De nombreux sites web exigent que les utilisateurs se connectent pour accéder à leurs comptes, pour faire un achat, etc. Le plus souvent, cela se fait à l’aide d’un nom d’utilisateur et d’un mot de passe.
Avec cette information, un site va rediriger le visiteur vers son compte. Si les informations d’identifications ne sont pas correctement sécurisées, les pirates peuvent utiliser un faux schéma d’authentification et de gestion de session pour se faire passer pour un utilisateur valide.
Comment les pirates peuvent-ils exploiter l’authentification et la gestion de session interrompue ?
Lorsqu’un employé se connecte à votre site web, le site utilise un algorithme qui lui permet de générer un identifiant de session unique. L’appareil de votre employé va utiliser cette information d’identification pour lui permettre d’accéder à son compte.
Toutes ces informations doivent être envoyées et retournées depuis l’appareil utilisé jusqu’au serveur. Si ces informations ne sont pas chiffrées et au moment où elles sont envoyées au serveur web de votre entreprise, les pirates peuvent les intercepter.
Ces derniers peuvent ensuite usurper les identifiants de connexion de l’utilisateur pour pouvoir les utiliser à des fins malveillantes.
Quels sont les risques ?
Une telle attaque ne doit pas être prise à la légère, car elle affecte directement la vie privée et la protection des données des utilisateurs finaux, mais aussi ceux des administrateurs des entreprises si les cybercriminels parviennent à accéder à des comptes non autorisés.
Si vous voulez comprendre comment fonctionne le vol de session et comment vous en protéger, vous devriez faire un rappel sur le fonctionnement d’une session avant de concevoir votre application web. Vous devriez également mettre en place un système d’authentification à deux facteurs que les utilisateurs devront utiliser pour se connecter à leur compte Windows, par exemple.
Scripts XSS (Cross-Site Scripting)
Le Cross-site Scripting ou XSS est une attaque par injection de code du côté de l’utilisateur. L’attaquant vise à exécuter des scripts malveillants dans le navigateur web de vos employés en incluant du code malveillant dans une application web ou une page web légitime.
L’attaque réelle se produit lorsque la victime consulte la page ou l’application web qui exécute le code malveillant. En conséquence, la page ou l’application web devient un vecteur de scripts malveillants.
Les moyens d’attaque utilisés pour le Cross-site Scripting sont souvent les forums, les messages électroniques et les pages web qui permettent de faire des commentaires.
Par exemple, un pirate peut poster un script malveillant sur un forum de discussion. Lorsqu’un autre utilisateur clique sur le lien fourni, cela déclenche un appel asynchrone HTTP TRACE, collectant les informations du cookie de l’utilisateur sur le serveur. Ensuite, ces informations sont envoyées à un autre serveur malveillant qui collecte à nouveau les informations du cookie pour permettre au pirate de lancer une attaque de détournement de session
Le Cross-site Scripting peut aussi être utilisé pour défigurer un site web au lieu de cibler l’utilisateur. Dans ce cas, le pirate peut utiliser des scripts injectés afin de modifier le contenu du site web ou même rediriger le navigateur vers une autre page web, par exemple, vers une page contenant un code malveillant.
Comment vous protéger ?
Les principales défenses contre les scripts XSS sont précisées dans la fiche de prévention des XSS de l’OWASP. Cependant, le plus important est de désactiver le support HTTP TRACE sur tous vos serveurs web. Vous devriez également supprimer la prise en charge de HTTP TRACE sur tous vos serveurs web si vous ne voulez pas qu’un pirate vole vos données de cookies via Javascript, même lorsque l’objet document.cookie est désactivé.
Contrôle d’accès cassé
Le contrôle d’accès est la façon dont une application web permet à certains de vos employés d’accéder à des contenus et à des fonctions spécifiques. Ces contrôles sont effectués grâce à un système d’authentification et régissent ce que les employés « autorisés » peuvent faire.
La mise en place d’un contrôle d’accès semble être simple, mais ce n’est pas vraiment le cas. Le modèle de contrôle d’accès d’une application web est étroitement lié au contenu et aux fonctions que le site fournit.
De plus, vos employés peuvent appartenir à un certain nombre de groupes ayant des privilèges différents.
Les développeurs sous-estiment souvent la difficulté de mettre en place un mécanisme de contrôle d’accès fiable. Le fait est que de nombreux mécanismes de sécurité web ne sont pas souvent conçus délibérément.
Ils ont simplement évolué en même temps que le site web de leur entreprise. Dans ces cas, des règles de contrôle d’accès sont insérées à divers endroits. Au fur et à mesure que le site est déployé, la collection de règles devient si lourde, de sorte qu’il devient presque impossible de les comprendre.
Cela peut entraîner des failles de sécurité que les pirates peuvent exploiter. Une fois que ces derniers découvrent la vulnérabilité, les conséquences d’un système de contrôle d’accès défectueux peuvent être dévastatrices. Par exemple, un cybercriminel peut prendre en charge l’administration de votre site Internet.
Mauvaise configuration de la sécurité
Le fait de ne pas configurer correctement vos serveurs, vos ordinateurs et vos périphériques réseau peut entraîner de nombreux problèmes de sécurité. Les réseaux peuvent être reconfigurés par les pirates pour qu’ils puissent accueillir de nouvelles tâches ou de nouveaux utilisateurs.
Chaque périphérique connecté à votre réseau doit donc être configuré correctement. Si vous êtes le gestionnaire de réseau de votre entreprise, vous devez également savoir comment tous les dispositifs connectés au réseau sont configurés et sécurisés.
L’un des exemples concrets est celui de Target qui n’avait pas pris conscience qu’un système tiers d’un fournisseur de chauffage, ventilation et climatisation (CVC) était directement connecté à son réseau central. L’entreprise a subi l’une des plus grandes brèches de données de l’histoire.
Si la société avait réalisé que le fournisseur tiers était connecté à son réseau, elle aurait pu empêcher la violation des données en revenant au paramètre de configuration avant que le fournisseur de CVC ne s’y connecte.
Comme autre solution, la société pouvait mettre le système du fournisseur sur un VLAN séparé.
Exposition des données sensibles
Les logiciels de nos jours deviennent de plus en plus complexes et connectés. Ce qui rend difficile le fait d’assurer la sécurité des applications. Le rythme rapide des processus de développement de logiciels modernes rend les risques les plus courants essentiels à découvrir et à résoudre de façon précise et rapide.
Les entreprises ne devraient plus tolérer des problèmes de sécurité relativement simples tels que ceux présentés dans le Top 10 de l’OWASP.
Après la publication de ce Top 10, de nombreux commentaires ont été reçus par l’OWASP. Bien que son but initial fût simplement de sensibiliser les développeurs et les gestionnaires réseau concernant les risques en matière de cybercriminalité, il est actuellement devenu le standard de la sécurité des applications.
Protection insuffisante contre les attaques
Le terme « protection insuffisante contre les attaques » est souvent difficile à expliquer parce que cela englobe plusieurs concepts. En réalité, les entreprises doivent se focaliser sur toutes les applications web et les solutions de protection web, même les plus élémentaires.
Pour ce faire, vous devrez d’abord considérer toute source pouvant accéder ou envoyer des requêtes à vos applications web, que ce soit via un réseau local ou via l’Internet.
L’essentiel est de savoir le niveau de préparation nécessaire pour détecter et répondre adéquatement aux anomalies et aux attaques automatisées ou manuelles. Vous devez également vous assurer que vous disposez de la technologie nécessaire pour sécuriser votre réseau et vos applications.
Si vous parvenez à détecter et à bloquer les attaques entrantes avant qu’elles ne se manifestent, vous allez améliorer grandement le niveau de sécurité web. Ce qui rend cette solution difficile à réaliser, c’est parce que la plupart des applications ne disposent pas d’un niveau de protection dès le départ.
Les failles concernant vos applications et votre réseau peuvent provenir d’utilisateurs connus ou de sources anonymes. Pour éviter cela, vous devez donc être capable de reconnaître les failles en utilisant des outils d’évaluation des vulnérabilités comme Burp Suite ou le ZAP de l’OWASP.
N’oubliez pas également que les pirates compétents peuvent utiliser des tactiques de furtivité pour sonder discrètement vos applications à la recherche de vulnérabilités qu’ils pourraient exploiter ultérieurement.
L’OWASP suggère par exemple l’utilisation des technologies telles que les WAF et le RASP pour vous permettre de détecter ou même de prévenir les attaques entrantes.
Contrefaçon de demande intersite (CSRF)
Une contrefaçon de requête intersite est une attaque consistant à forcer l’un de vos employés à envoyer une requête HTTP vers une destination cible à son insu afin qu’il effectue une action en tant que victime.
La cause sous-jacente est la fonctionnalité de l’application qui utilise des actions URL/formulaires prévisibles de manière répétable. Le but de l’attaque est d’exploiter la confiance d’un utilisateur envers un site web.
Ce genre d’attaque est efficace dans un certain nombre de situations, notamment lorsque la victime a une session active sur le site cible, lorsqu’elle est authentifiée via une authentification HTTP sur le site cible ou lorsqu’elle se connecte au même réseau local que le site cible.
CSRF a été principalement utilisé pour effectuer une action contre un site cible en utilisant les privilèges de la victime. Pourtant, des techniques récentes ont été découvertes, consistant à divulguer des informations lorsque le site cible est vulnérable au XSS.
En effet, le site cible peut être utilisé comme plate-forme pour la CSRF, ce qui permet aux attaquants de mener des actions qui vont au-delà des limites de la politique d’utilisation acceptable de votre entreprise.
Si un attaquant souhaite forger une requête HTTP, il commence généralement par profiler le site cible, soit en examinant la source HTML, soit en inspectant le trafic HTTP. Cela lui permet de déterminer le format d’une requête légitime, car la requête falsifiée est censée imiter aussi fidèlement que possible une requête légitime.
Par exemple, il se peut que votre site web permette à vos employés de configurer leur compte de messagerie électronique sur le web pour transférer tous leurs e-mails entrants à une autre adresse.
Pourtant, un pirate peut déduire de la visualisation de cette source HTML ou utiliser le formulaire d’une requête falsifiée, dans un format similaire à celui installé sur votre site web.
Si l’attaquant peut forger une telle requête d’un autre utilisateur, il peut commencer à recevoir tous les e-mails de ses victimes.
Utilisation de composants présentant des vulnérabilités connues
Les vulnérabilités de sécurité connues sont celles qui ont été identifiées soit par le développeur/le fournisseur de services gérés, soit par l’utilisateur/le développeur, soit par un pirate informatique.
Pour exploiter les vulnérabilités de sécurité connues, ce dernier peut identifier un composant faible dans votre système d’information (SI). Il pourra donc analyser votre SI à l’aide d’outils automatisés.
C’est la méthode la plus courante, car ces outils de piratage sont disponibles en ligne. Il peut aussi analyser les composants manuellement, ce qui est une option moins courante puisqu’elle nécessite des compétences plus avancées.
Presque toutes les applications ont au moins quelques vulnérabilités, dues à des faiblesses dans les composants ou les bibliothèques dont dépend l’application. Parfois, les vulnérabilités sont délibérées. Les vendeurs sont connus pour laisser des vulnérabilités appelées « backdoor » dans leurs systèmes afin de pouvoir accéder au système à distance une fois qu’il est déployé. Cependant, la plupart des vulnérabilités sont involontaires. Elles sont dues à des failles de sécurité inhérentes à la conception du produit.
La plupart des fournisseurs de services gérés s’attaquent aux vulnérabilités au fur et à mesure qu’ils les identifient et les corrigent en publiant des mises à jour et des correctifs du produit ou en proposant une nouvelle version du produit.
Il est important de garder les composants et les bibliothèques à jour avec les derniers correctifs et de mettre à niveau vos applications dès qu’une nouvelle version est disponible.
Cela réduit considérablement le nombre de vulnérabilités connues qui pourraient mettre en danger vos applications.
Mais dans la plupart des cas, les développeurs ne connaissent pas tous les composants de leurs applications, ce qui rend impossible de remédier à toutes les vulnérabilités.
Comment les pirates exploitent-ils les vulnérabilités de sécurité connues ?
Malheureusement, les pirates informatiques ont accès aux mêmes bases de données publiques et aux mêmes listes de diffusion que les clients légitimes.
De plus, ils peuvent assembler et partager des listes de vulnérabilités connues en ligne, puis utiliser ces listes afin de développer des outils de piratage qui s’introduisent dans les composants et les applications même si l’attaquant n’a pas de connaissances ou de savoir-faire personnels sur ce composant particulier.
Ainsi, les développeurs légitimes doivent devenir encore plus vigilants et avertis pour protéger leurs applications que les pirates ne le sont pour les attaquer.
Sous APIs protégées
Les applications modernes utilisent des API provenant de nombreuses sources directement en guise de sous-composants de bibliothèques tierces liées lors de la construction d’une application.
Toutes ces API peuvent présenter des vulnérabilités non protégées et, plus inquiétant encore, ne peuvent être détectées par les outils d’analyse de sécurité standard utilisés pour mettre en évidence les risques.
Toutes les API utilisées pour créer une application doivent être testées pour détecter les vulnérabilités, comme tous les autres composants utilisés pour fournir des applications web.
Les tests doivent englober tous les types de vulnérabilités courantes tels que les attaques par injection, l’usurpation des identifiants de connexion, les problèmes de contrôle d’accès, les problèmes de chiffrement et la mauvaise configuration des paramètres réseau.
Cette liste n’est pas exhaustive et d’autres types de vulnérabilités pourraient exister dans les API.
Comme nous l’avons également mentionné dans le paragraphe « Protection insuffisante contre les attaques » ce nouvel ajout à la liste des 10 risques de sécurité de l’OWASP a l’air d’une liste fourre-tout.
Les vulnérabilités sont bien connues, mais l’objectif de ces nouvelles catégories de vulnérabilités semble être d’amener les développeurs et les administrateurs système à se concentrer sur les solutions de sécurité web en interne, notamment celles concernant les applications et des plateformes web.
Plutôt que de vous fier uniquement aux outils de sécurité existants, à l’instar des pare-feux, des applications réseau et d’une solution de protection web, vous devrez également appliquer ces quelques conseils pour protéger vos employés et les données de votre entreprise.
Étant donné la nature des API et le fait qu’elles sont souvent attaquées via des codes malveillants, il n’y a pratiquement pas d’interfaces utilisateur conviviales qui peuvent être utilisées pour vérifier les vulnérabilités. C’est ce qui rend leur utilisation risquée.
Que faut-il retenir ?
En 2010, les trois principaux risques étaient identiques à ceux publiés cette année. Si on compare les rapports de 2010 à celui de 2017, sept des placements de risque sont identiques. La principale raison de la différence entre les deux est que l’OWASP a consacré une plus grande attention à l’API cette année.
Bon nombre des risques qui ont été décrits relèvent de la responsabilité des développeurs.
Les attaques par injections en sont un bon exemple, car elles continuent de représenter le risque le plus important. Elles se produisent lorsque des données SQL, OS et LDAP non fiables sont envoyées dans le cadre d’une commande ou d’une requête.
Les données hostiles injectées par l’attaquant peuvent entraîner l’exécution de commandes involontaires ou l’accès à des données sans autorisation appropriée. Ce type d’attaque est généralement le résultat de l’absence de validation de la saisie (n’autorisant que certains caractères ou commandes dans une zone de texte ou un autre point de saisie).
Tous les Tops 10 de l’OWASP ne sont cependant pas le résultat de techniques de programmation inappropriées.
De nombreux aspects d’une mauvaise configuration de sécurité relèvent également de la compétence de l’administrateur réseau. Les administrateurs doivent s’assurer que tous les serveurs web, d’applications et de bases de données sont toujours patchés et mis à jour.
Les paramètres de configuration doivent être analysés pour s’assurer que ces serveurs sont renforcés. Ils peuvent par exemple s’assurer que la navigation dans les répertoires est désactivée sur le serveur web.
Une autre catégorie qui affecte les administrateurs aujourd’hui est l’exposition aux données sensibles. Les organisations qui sont soumises aux obligations de conformité de la HIPAA et de la Cour pénale internationale (CPI) devraient chiffrer les données personnelles et de grande valeur. En effet, le chiffrement est le meilleur moyen de protéger l’acquisition non autorisée de données par des pirates et d’autres tiers.
Si votre organisation utilise une quelconque application web, vous devez mettre en œuvre des tests de vulnérabilité réguliers afin de vous assurer que ces risques hautement exploités ne constituent pas une menace pour votre organisation.
Conclusion
Il est difficile d’assurer à 100 % la sécurité web des entreprises. Toutefois, grâce à des services comme ceux proposés par l’OWASP, ainsi que l’adoption d’une bonne stratégie interne, vous pouvez optimiser la sécurisation de vos outils web.
Les projets de l’OWASP proposent plusieurs mesures préventives et des contre-mesures efficaces que vous devriez utiliser. Cependant, pour que ces mesures soient efficaces, il est recommandé de les considérer dès le commencement de votre projet, comme la création d’une application web. Plus vous mettez en avant la sécurité en amont de votre projet, plus il sera plus facile à réaliser et à gérer.
Pendant le développement de vos applications, les développeurs doivent miser sur leur sécurité. Ils doivent aussi veiller à ce que l’équipe technique qui met en œuvre le projet soit au courant des mesures de sécurité à appliquer.
Enfin, des audits de sécurité réguliers devraient être réalisés dans le cas d’un projet sensible afin de limiter tout risque d’attaques, dont les préjudices peuvent être sévères. Lors de cette étape, les équipes techniques peuvent se référer aux nombreux projets de l’OWASP.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que votre réseau et vos appareils sont protégés ? Adressez-vous à l’un de nos spécialistes de la sécurité ou écrivez-nous à info@titanhq.fr pour toute question.
FAQs
La sécurité des applications est-elle vraiment importante ?
À l’ère du numérique, toutes les organisations doivent s’attaquer aux risques de sécurité de leurs applications. Sans cela, elles risquent de perdre leurs données sensibles. D’autres informations et propriétés intellectuelles pourraient également être compromises. Et sachez que les dommages causés par les brèches sont souvent extrêmes et permanents. De plus, les applications d’entreprises sont désormais l’une des plus grandes cibles de violations de données.
Comment savoir si la sécurité de mes applications est en danger ?
Il existe plusieurs signes montrant que la sécurité de vos applications est défaillante. Il peut s’agir d’un ralentissement ou d’un dysfonctionnement d’une application ; de messages de journal inattendus, de modification de fichiers ou d’apparition de nouveaux utilisateurs. Vous devez également vous méfier lorsque vous recevez des avertissements du navigateur ; des plaintes des clients via ou des médias sociaux ou les e-mails du service d’assistance concernant le dysfonctionnement de vos applications. En cas de violation de la sécurité de vos applications, votre équipe de sécurité informatique doit disposer d’un plan de réponse aux éventuels incidents.
Mon réseau est déjà bien sécurisé, alors pourquoi devrais-je me soucier de la sécurité de mes applications ?
On pense souvent qu’un pare-feu réseau peut protéger les sites web et les applications web se trouvant derrière lui. Cependant, sachez que la sécurité du réseau utilise des défenses périmétriques comme les pare-feu pour empêcher les pirates d’accéder à votre réseau et d’accorder l’accès aux utilisateurs légitimes. Le fait est que ces défenses périmétriques du réseau ne suffisent pas à protéger les applications web contre les attaques malveillantes.
Quelle est la meilleure façon de procéder pour améliorer la sécurité des applications web ?
Pensez à faire des tests de sécurité de vos applications. C’est un élément essentiel de la gestion de toute application. Suivez les meilleures pratiques en matière de sécurité des applications pour améliorer vos perspectives. Demandez l’aide d’un expert qui est en mesure de créer un plan de sécurité pour vos applications.
Est-ce vraiment nécessaire de s’associer à un expert en sécurité pour protéger mes applications ?
Même les plus grandes entreprises disposant d’une équipe informatique interne étendue font appel à une aide extérieure lorsqu’il s’agit de cybersécurité. Les menaces qui pèsent sur les applications sont devenues si vastes et si diverses, qu’il est presque impossible pour les équipes internes de posséder toutes les connaissances nécessaires pour protéger leurs employeurs contre toutes les menaces, à tout moment. Un partenariat avec des experts en sécurité permettra donc d’approfondir l’approche de la sécurité des applications web de votre entreprise. C’est l’occasion d’éviter les omissions flagrantes et d’identifier les opportunités manquées.
