Le travail d’administrateur système est difficile. Il y a la myriade de tâches intimidantes ; le besoin constant de mettre à jour ses connaissances à mesure que la technologie avance, sans parler des longues heures qu’il doit y consacrer. Il doit également travailler avec des équipements complexes, des logiciels obtus et des utilisateurs exigeants. En plus des choses que l’administrateur système doit faire, il doit encore tenir compte de certaines choses qu’il ne devrait jamais faire.
La question n’est pas de savoir si les administrateurs font toujours des choses qu’ils n’auraient pas dû faire. Mais il peut parfois arriver qu’ils enfreignent une règle, dans l’unique but de faire leur travail.
Par exemple, imaginez que vous êtes un administrateur système et le directeur des ventes vous appelle. En effet, il vous demande d’accéder à une série de sites pour une présentation qu’il va faire dans la salle de conférence dans trois minutes. Pourtant, les sites en questions sont bloqués. Dans ce cas, vous n’avez pas le temps de comprendre les raisons de ce blocage et vous pourriez être tenté d’essayer de les débloquer en désactivant le pare-feu ou du filtre Web de votre réseau, dans l’unique but d’assurer le bon déroulement de la présentation. Grâce à cela, la réunion se déroule sans accroc et votre directeur est heureux.
Malheureusement, vous avez un million d’autres urgences de ce genre à gérer. Vous risquez donc d’oublier la solution de rechange hâtive que vous avez adoptée, ce qui rend votre ordinateur largement ouvert aux malwares et aux autres menaces sur Internet.
Deux mois plus tard, quelqu’un télécharge un ransomware à partir d’un site de déploiement de malwares connu et toutes les données de votre entreprise sont chiffrées. Là, vous allez comprendre que même les meilleures intentions du monde peuvent mener à la catastrophe.
C’est pourquoi nous avons dressé une courte liste de choses que vous, en tant qu’administrateur, faites parfois (intentionnellement ou non) alors qu’elles n’auraient pas dû avoir lieu pour éviter les mauvaises surprises.
Les choses qu’un administrateur système ne doit jamais faire
1. Ne jamais faire d’exemptions de pare-feu et de filtre Web pour les machines.
Tout d’abord, ces règles concernent l’adresse IP de la machine désignée, qui est souvent attribuée par DHCP. Cela signifie qu’une autre machine peut avoir cette adresse ultérieurement. Il est probable que cette machine soit utilisée par une personne à qui vous ne voudriez peut-être jamais fournir un tel niveau de liberté. Afin d’éviter le scénario susmentionné, vous devriez donc créer une politique d’entreprise concernant les demandes d’accès, précisant ainsi le délai requis pour répondre à une demande. Vérifiez périodiquement les listes d’exemption de votre pare-feu et de votre filtre Web et supprimez toutes les règles d’attribution que vous avez configurées.
2. Ignorer les règles du pare-feu sortant
Vous savez très bien qu’il est important de configurer le pare-feu de périmètre pour le trafic entrant, mais vous oubliez souvent l’importance du trafic sortant. La raison est que le processus de sécurisation du trafic sortant est plus complexe que celui de l’entrée, car vous devez vous assurer que vos règles n’empiètent pas sur le trafic autorisé et sur les applications qui nécessitent un accès Internet. Pour ce faire, vous devrez faire des recherches opportunes et avoir une bonne connaissance de ce que font exactement vos utilisateurs.
Le filtrage du trafic sortant est important non seulement pour votre propre entreprise, mais aussi pour mieux protéger votre parc informatique. Si un périphérique est compromis au sein de votre réseau, il peut alors être utilisé par des gestionnaires distants pour générer du spam, déployer des malwares ou héberger des données de zone pour un domaine malveillant.
Un filtrage approprié du trafic sortant peut toutefois éviter ces genres d’incidents : vous pouvez par exemple établir des règles limitant le trafic de courrier électronique sortant et le trafic DNS aux seuls serveurs internes autorisés. Comme il ne devrait pas y avoir de ports d’entrée ouverts, il ne devrait pas y avoir de ports de sortie non plus.
3. Placer les ressources accessibles à Internet sur le réseau local interne
N’importe quel pare-feu d’entreprise permet la création de plusieurs zones. Il s’agit notamment de la zone publique (Internet), du réseau local interne (où résident les utilisateurs et leurs appareils, services et données) et d’une DMZ. Le but de la DMZ est de fournir une zone spéciale pour les serveurs et les dispositifs qui doivent être accessibles à partir d’Internet, tels que les serveurs de messagerie, les serveurs FTP et les serveurs de terminaux.
La zone DMZ doit être de nature moins restrictive que le réseau local interne, ce qui rend les dispositifs qui s’y trouvent plus vulnérables. Beaucoup de choses potentiellement indésirables peuvent se produire lorsque des appareils accessibles à Internet sont placés dans le réseau local interne. Si un périphérique est compromis, il est facile pour les malwares ou tout autre type de programme malveillant de se répandre sur le réseau local, mettant ainsi en péril les ressources de l’entreprise.
Le but de la DMZ est donc de limiter les éventuelles compromissions d’un appareil accessible via Internet. Cela exige également que le trafic entre la DMZ et le réseau local interne soit étroitement contrôlé et sécurisé. Trop souvent, la DMZ a un accès ouvert au réseau local interne parce que personne n’a pris le soin de verrouiller sa séparation à ce réseau.
Même avec le système DMZ en place, il est toujours essentiel de suivre vos systèmes. Considérez-les comme de petits enfants. Il faut les surveiller, sinon ils risquent d’avoir des ennuis. Le fameux proverbe « pas de nouvelle, bonne nouvelle » ne doit jamais devenir votre règle. Les choses peuvent sembler étrangement calmes, mais cela ne signifie pas que tout va bien. À moins que vous ne disposiez d’outils et de données qui indiquant que votre réseau va bien, pensez toujours que quelque chose de mal pourrait se produire en arrière-plan.
Ayez une vision globale de votre infrastructure réseau, y compris le trafic, l’utilisation de la mémoire, le processeur ainsi que la capacité du système. Analysez vos bases de données et les besoins en ressources des utilisateurs du réseau pour prévoir les futurs besoins en termes de capacité.
4. Autoriser le trafic de la zone DNS vers n’importe quel serveur
De nombreux administrateurs le font, soit par commodité, soit par inexpérience. Si vous autorisez les transferts de zone vers n’importe quel serveur, tous les enregistrements de ressources de ladite zone seront visibles par tout hôte qui peut interroger votre serveur DNS, y compris les serveurs DNS malveillants qui se trouvent sur votre réseau. Afin d’éviter cela, assurez-vous que les transferts de zone ne soient autorisés pour les serveurs intégrés Active Directory (AD) que si vous disposez d’un réseau Windows AD. Si ce n’est pas le cas, vous devriez donc spécifier les adresses IP de tous les serveurs DNS autorisés et limiter les transferts de zone à ces derniers. La réalisation de cette tâche prend plus de temps, mais cela en vaut la peine si vous voulez assurer l’intégrité de vos zones DNS.
5. Vérifier vos emails ou naviguer sur le Web à l’aide de votre compte d’administrateur
Voulez-vous ouvrir un email important pendant que vous configurez un nouveau serveur ? Voulez-vous tout simplement naviguer pendant quelques minutes sur le web en attendant la fin de l’installation ou de la mise à jour d’une application ? Attention, car cela n’en vaut pas la peine.
Certains administrateurs pensent que les règles ne s’appliquent pas à eux. Cette attitude est souvent associée à l’attitude appelée « power trip ». En réalité, il s’agit du comportement des administrateurs qui refusent de se soumettre aux règles informatiques qu’ils dictent ou appliquent eux-mêmes. Cela peut créer des situations désagréables par exemple lorsqu’un administrateur consulte des contenus offensants ou inappropriés pendant les heures de travail de manière bien visible par d’autres employés.
Les administrateurs système ne doivent pas oublier qu’ils occupent des postes de confiance. Par conséquent, ils doivent conserver une certaine attitude professionnelle. Ce n’est pas parce qu’ils ont le privilège d’exécuter certaines activités avec leurs autorisations et leurs droits d’accès élevés qu’ils doivent le faire.
N’oubliez pas que les comptes administrateur sont les clés du royaume que tout hacker malintentionné souhaite le plus avoir, ce qui pourrait impliquer l’installation de malwares sur les comptes utilisateurs. Autrement dit, les comptes d’administrateur sont comme des stéroïdes pour les malwares qui leur donnent un accès total à l’ensemble du réseau.
6. Héberger plus qu’Active Directory sur un contrôleur de domaine
Un contrôleur de domaine est une machine qui exécute Window Active Directory et il doit donc être correctement sécurisé. La première chose à faire est donc l’isolement total, c’est-à-dire que la machine hébergeant Active Directory ne doit plus être utilisée à autre chose.
Héberger quoi que ce soit d’autre sur cette machine, cela risque de résulter en une catastrophe. Dans le domaine de la sécurité de l’information, les différents actifs doivent toujours être isolés. Ainsi, si l’un des actifs venait à être compromis, les autres pourraient encore rester en sécurité pendant un certain moment. Si, en revanche, vous deviez exécuter un serveur de sauvegarde sur cette même machine et au cas où votre serveur de sauvegarde venait à être compromis, de combien de temps pensez-vous qu’un hacker aurait besoin pour remarquer le fonctionnement de cette machine ? Alors, pourquoi prendre un tel risque ?
7. Réutiliser le même mot de passe
Cette règle semble simple et évidente, mais le bon sens n’est pas si commun à tous. En tant qu’administrateur système, vous ne devez jamais réutiliser le même mot de passe pour deux machines ou services différents (ou plus). Si vous faites cela et qu’un attaquant décide d’essayer ce mot de passe sur n’importe quel service ou machine auquel vous vous connectez, ils pourront donc accéder facilement à votre compte.
Ne pensez pas que vous l’avez toujours fait de cette façon. En utilisant l’attaque par force brute, un pirate informatique peut facilement deviner le mot de passe que vous avez réutilisé. Ainsi, si plusieurs machines sont configurées via ces mots de passe, le problème pourrait s’aggraver. Au lieu de configurer le même mot de passe root sur plusieurs machines, vous aurez intérêt à utiliser un fichier clé.
En tant qu’administrateur, votre poste de travail peut avoir une clé privée, alors que chaque serveur peut utiliser une clé publique. Dans ce cas, la clé publique est associée à la clé privée, ce qui vous permet d’accéder à toutes les machines connectées au réseau. Par contre, il serait difficile pour un pirate informatique de se connecter à votre réseau et de s’y déplacer latéralement sans la clé valide.
8. Utiliser les informations d’identification pour se connecter à un poste de travail
Si vous utilisez vos informations d’identification administrateur pour vous connecter à la machine qui n’est pas un contrôleur de domaine, vous mettez littéralement ces informations à la disposition des attaquants. De nos jours, il existe des moyens très simples d’obtenir vos informations d’identification en cache. Et si vous utilisez un compte Administrateur local, sachez qu’il faut moins de 20 secondes pour élever vos privilèges d’administrateur local à celles d’administrateur de domaine à l’aide du code disponible gratuitement sur la plate-forme Github.
À moins que vous deviez effectuer des tâches de superutilisateur, vous ne devriez pas vous connecter en tant qu’administrateur. Pour se connecter au réseau, les utilisateurs devront utiliser leurs comptes personnels et utiliser par exemple la commande SUDO (Superuser DO) pour pouvoir réaliser des commandes spécifiques.
9. Déployer des réseaux Wi-Fi ouverts
Il n’est pas nécessaire d’avoir des réseaux Wi-Fi ouverts dans les espaces professionnels. Si vous avez besoin d’un réseau d’invités, vous pouvez lui attribuer un mot de passe, en veillant à le changer régulièrement. Si les gens se plaignent de toujours de devoir obtenir le nouveau mot de passe, posez-vous la question suivante : ces gens ne vont-ils pas se plaindre quand vous serez occupé, en train de réparer les éventuels dégâts causés par un compromis ? Une chose est sure : quand ça tourne mal, tout le monde vous blâmera pour le désordre.
WebTitan WiFi est un outil qui peut être utilisé par les fournisseurs de services souhaitant offrir de façon rentable le service WiFi contrôlé par le contenu dans le cadre de leur offre de produits. Il s’agit d’une solution de gestion robuste qui s’intègre facilement aux systèmes existants des fournisseurs de service pour leur donner la possibilité de fournir un service supplémentaire à leurs clients à un coût très raisonnable.
WebTitan WiFi s’adresse également aux grandes institutions qui disposent de multiples points d’accès WiFi dans divers endroits, à l’instar des universités, des centres commerciaux et des aéroports.
Si votre PME fournit du WiFi gratuit et si vous souhaitez protéger vos clients et votre réseau des contenus inappropriés et des malwares, tout en garantissant la protection de votre marque, WebTitan WiFi est la solution idéale pour vous.
Caractéristiques et avantages
Configuration en quelques minutes ;
Solution 100 % basé dans le cloud ;
Aucune installation logicielle ou matérielle requise ;
Filtre DNS qui n’a pratiquement aucune latence sur le trafic réseau ;
Prise en charge des adresses IP dynamiques et statiques ;
Protection contre les attaques de malware, de ransomware et de phishing ;
Panneau de contrôle d’administration en ligne facile à utiliser ;
Solution hautement évolutive, sans limites de dispositifs ou d’utilisateurs ;
Rapports personnalisables sur l’utilisation et le trafic réseau ;
Prix compétitifs et politique tarifaire transparente.
Conclusion
Désormais, les administrateurs systèmes doivent maintenir les systèmes en état de marche en permanence, car le web et les infrastructures d’information deviennent de plus en plus étendus et complexes. Ils doivent se tenir au courant des réseaux et des systèmes qu’ils gèrent. Les pirates ne cessent de développer de nouvelles techniques sophistiquées pour pénétrer les réseaux informatiques. Il est donc essentiel d’examiner l’ensemble du système et de le rendre suffisamment résistant aux actes de piratage ou de violation de données.
La sécurité ne devrait jamais être sacrifiée au détriment de la commodité. La majorité des administrateurs système ne songeraient jamais à respecter les bonnes pratiques mentionnées dans cet article. L’administration du réseau est une opération difficile, car chaque réseau est différent. La configuration, la sécurité et le dépannage du réseau restent donc des compétences hautement spécialisées et valorisées, du moins pour le moment.
Êtes-vous un professionnel de l’informatique qui cherche à protéger vos utilisateurs contre les attaques de phishing ? Contactez nos spécialistes ou écrivez-nous à info@titanhq.com pour toute autre question.
FAQs
Quel est exactement l’utilité d’un pare-feu pour mon réseau ?
Un pare-feu agit comme un filtre ou une barrière entre votre ordinateur et un autre réseau comme Internet. Sans cela, les attaquants pourraient mettre votre réseau hors service, le remettre en marche et récupérer vos données, ce qui pourrait vous faire perdre du temps et de l’argent.
Pouvez-vous donner plus d’explications sur le fonctionnement du réseau DMZ ?
Un réseau DMZ constitue un tampon entre le réseau privé d’une organisation et l’Internet. Il est idéalement situé entre deux pare-feu et garantit que les paquets réseau entrants sont analysés par un pare-feu avant qu’ils ne parviennent aux serveurs hébergés dans la DMZ. Ainsi, même si un attaquant avisé parvient à passer le premier pare-feu, il doit encore accéder aux services renforcés de la DMZ avant de pouvoir causer des dommages à votre entreprise.
Pourquoi Active Directory est-il si important ?
En tant qu’administrateur, Active Directory vous aide à organiser tous les utilisateurs, ordinateurs et bien d’autres appareils de votre entreprise. Vous pouvez l’utiliser pour organiser la hiérarchie complète de votre organisation, depuis les ordinateurs qui appartiennent à tel ou tel réseau jusqu’aux profils des employés. Bref, il contient les secrets de tous les utilisateurs de votre réseau et constitue donc une cible privilégiée pour les cybercriminels.
L’administrateur peut-il utiliser plusieurs DNS ?
Oui, et c’est fortement recommandé d’en avoir plusieurs. Si vous n’avez qu’un seul DNS et qu’il tombe en panne, le service Active Directory qui en dépend sera également paralysé, ce qui pourrait engendrer des pertes potentielles.
Comment WebTitan protège-t-il mon réseau ?
WebTitan est une solution de sécurité et de filtrage web basée sur les DNS. Il est conçu pour protéger votre réseau en contrôlant les contenus web, bloque plus de 300 000 sites web malveillants chaque jour et contrôle plus de 3 millions de sites malveillants à tout moment. Ceci permet de protéger efficacement votre réseau contre les cyber-menaces basées sur le web, notamment les malwares, les ransomwares et les sites malveillants.
Dans le monde des affaires d’aujourd’hui, le numérique gagne du terrain et les médias sociaux ont apporté d’énormes avantages aux entreprises.
Les organisations utilisent les réseaux sociaux en guise d’outils de marketing et de branding, mais elles sont également confrontées à de nombreux risques, comme l’utilisation abusive des employés à des fins personnelles ; les critiques de la part des autres, la perte d’informations ou de notoriété, etc.
En conséquence, les entreprises ont commencé à s’inquiéter des réseaux sociaux, notamment à Messenger, le système de messagerie instantanée de Facebook, et à imposer des restrictions concernant leur utilisation sur le lieu de travail.
L’utilisation des réseaux sociaux sur le lieu de travail est une pratique pouvant être considérée comme contre-productive, mais elle peut aussi constituer un avantage si l’employeur parvient à bien la gérer.
Faisons ensemble la mise au point sur ce sujet.
Les enjeux de l’utilisation des réseaux sociaux pendant les heures de travail
Aujourd’hui, la plupart des entreprises misent sur la mobilité et le confort de travail de leurs employés. Dans ce sens, elles ne se contentent plus de leur fournir des ordinateurs de bureau, mais aussi des Smartphones et des tablettes dans le cadre d’une utilisation professionnelle.
L’enjeu est que tout employeur a le droit et l’obligation de contrôler l’utilisation de chaque équipement professionnel qu’il met à la disposition de ses employés. Lorsqu’il fournit un accès Internet à des fins professionnelles, il s’expose à des risques de sécurité ainsi qu’à des risques de perte de productivité et de données.
Si aucune politique d’utilisation stricte n’est mise en place, les employés peuvent utiliser les appareils de l’entreprise à des fins personnelles et accèdent souvent aux réseaux sociaux.
Selon une étude menée par TeamLease, si une organisation n’adopte aucune politique de blocage de l’accès aux réseaux sociaux pendant les heures de travail, environ 32 % du temps total dépensé par les employés est consacré à l’utilisation des réseaux sociaux, ce qui implique une perte énorme de ressources et de productivité. Plus précisément, près de 13 % de la productivité totale des employés pourrait être perdue à cause de cela. Selon ladite étude, cela pourrait également entraîner une augmentation de la perte de données ou d’informations confidentielles, une diffamation, une désinformation, etc.
Dans notre récent guide, nous avons parlé de la façon de gérer l’utilisation d’Internet dans le lieu du travail, étant donné que cela pourrait impliquer la perte de productivité des collaborateurs. Pour empêcher l’utilisation non professionnelle du web, sans bloquer Internet, les organisations disposent de plusieurs options :
Elles peuvent bloquer des domaines ou des adresses IP spécifiques sur le réseau ou au niveau de chaque navigateur. Cependant, il faut savoir qu’une politique de blocage d’Internet trop stricte peut avoir un effet démoralisant et rendre l’entreprise moins attrayante aux yeux des employés.
Les entreprises peuvent également se protéger contre la responsabilité potentielle de leurs employés qui naviguent sur des sites illégaux, malveillants et inappropriés. Elles doivent lutter contre les attaques de malwares qui arrivent par des sites illégaux, malveillants et inappropriés.
Sinon, les organisations disposent d’une autre alternative : mettre en place un filtre de contenu. Cette dernière option présente plusieurs avantages.
Pourquoi doit-on s’inquiéter de l’utilisation de Facebook en particulier ?
Il n’y a aucun doute là-dessus, Facebook est devenu le canal de communication le plus utilisé par les internautes et son utilisation est en constante évolution.
Selon les chiffres fournis par la plate-forme le 24 juillet 2019, Facebook comptait plus de 2,40 milliards d’utilisateurs actifs mensuels au mois de juin, contre 2,38 milliards au premier trimestre de 2019. Cela dit, il faut savoir qu’environ 1,6 milliard de personnes se connectent chaque jour à Facebook et elles sont considérées comme des utilisateurs actifs quotidiens.
Un sondage mené par des chercheurs de l’Université de Göteborg (Suède) a également mis en évidence l’augmentation de l’utilisation de cette plateforme dans le lieu de travail. En fait, la première chose que 70 % des gens font lorsqu’ils allument leurs ordinateurs est de se connecter à Facebook.
Qu’à cela ne tienne, ce réseau social est donc tout simplement trop grand pour être ignoré.
En ce qui concerne la répartition de l’utilisation des plates-formes sociales, les chiffres évoqués par Igloo sont surprenants : il y a beaucoup plus d’employés connectés sur Facebook que sur LinkedIn. Pourtant, LinkedIn est actuellement considérée comme la plateforme la mieux appropriée pour les relations axées sur le travail. 91 % des personnes interrogées lors du sondage ont affirmé qu’ils préfèrent utiliser Facebook pour communiquer avec leurs collègues, contre 41 % en utilisant LinkedIn.
Quoi qu’il en soit, l’utilisation des réseaux sociaux, à l’instar de Facebook, peut impliquer une perte de productivité des collaborateurs. Certains d’entre eux peuvent passer des heures par jour à consulter et à mettre à jour leurs pages sociales. Et pourtant, c’est du temps passé à ne pas travailler.
Le fait de bloquer ce site peut donc être une solution simple pour éviter que les employés s’y connectent pendant les heures de travail. Mais cette mesure se révèle trop extrême.
Préférez-vous laisser vos employés à passer leur temps et se connecter à Facebook à bon escient ? Ou bien, avez-vous pensé à bloquer ce site dans le lieu de travail ?
Dans tous les cas, votre décision ne doit pas être prise à la légère. Voici donc nos conseils !
Bloquer l’accès sur Messenger, et non à Facebook
L’interdiction des médias sociaux au travail peut augmenter la productivité des employés. Certains employeurs pensent que le temps passé sur les réseaux sociaux est du temps perdu. Selon eux, il est donc logique d’interdire l’accès à ces plateformes sociales.
Le fait est que, lorsque les gens vont au travail, ils ne peuvent pas supporter un niveau de concentration élevé s’ils restent assis et travaillent pendant huit heures d’affilée. Pour maintenir leur productivité, ils ont besoin de petites pauses à certains moments de la journée pour se ressourcer. Et dans la plupart des cas, Facebook, les e-mails personnels et les discussions instantanées sont les moyens qu’ils préfèrent utiliser.
Si les employés passent deux heures par jour sur les médias sociaux, cela peut poser problème. Mais la plupart d’entre eux ne font pas cela. Un détournement d’une quinzaine de minutes sur Facebook leur suffit pour se rafraîchir, et cela ne devrait pas résulter en une baisse de leur productivité.
Les employés responsables savent très bien qu’ils ont un travail à faire. Tant qu’ils font leur travail avec la qualité et dans les délais qu’on attend d’eux, les employeurs ne devraient pas s’inquiéter des dizaines de minutes qu’ils passent sur Facebook.
Par ailleurs, si vous commencez à bloquer Facebook, certains employés pourraient penser que vous ne leur faites pas confiance. Ils pourraient même décider de trouver d’autres employeurs qui leur permettront d’utiliser la plate-forme. Vous risquez donc de perdre de bons employés.
L’essentiel est donc de trouver le bon équilibre et de garder à l’esprit que le fait d’interdire l’accès à Facebook, c’est comme interdire les employés de parler de football pendant leurs pauses.
Concrètement, pourquoi devriez-vous désactiver la messagerie Facebook au travail ?
En ce qui concerne la gestion de l’utilisation de Facebook au travail. Il y a de nombreuses raisons pour lesquelles une organisation voudrait empêcher ses employés de le faire :
En termes de sécurité, la discussion instantanée via Facebook est particulièrement préoccupante. Beaucoup d’organisations pensent que cela représente un risque de sécurité, notamment le risque d’infections par des malwares.
La fonction de messagerie instantanée permet également aux employés de partager trop facilement les données sensibles de l’entreprise.
L’évolution inévitable vers le numérique s’avère être une bénédiction pour ceux qui souhaitent se communiquer rapidement et facilement entre eux. Pourtant, la mise en place d’une solution de messagerie instantanée et dédiée uniquement au travail n’est pas encore au point.
Au lieu d’effectuer leurs tâches quotidiennes, les employés risquent d’être distraits et de répondre de manière compulsive aux messages qu’ils reçoivent sur Messenger, ou bien de prendre part à des discussions instantanées avec leurs amis. Sans oublier que cela peut nuire aux relations entre collaborateurs et employés au sein de l’entreprise. Les collègues de travail peuvent par exemple s’envoyer des messages négatifs ou se harceler, ce qui va surement entraver leur collaboration et le travail d’équipe. De surcroît, ils peuvent envoyer des informations confidentielles qui ne sont peut-être pas encore prêtes à être divulguées.
Tout ceci rend l’utilisation de Facebook Messenger difficile à contrôler. Mais comme susmentionné, le fait de bannir ce site de réseautage social aura incontestablement un impact au niveau du moral des employés et sur leur productivité.
Heureusement, il existe une autre option : bloquer la messagerie Facebook (Messenger) sans bannir complètement l’utilisation de ce réseau social dans le lieu du travail. En quoi cela pourrait-il être avantageux pour votre organisation ?
Apprenez à bloquer Messenger sans bloquer Facebook
Avec WebTitan Cloud, il est facile de bloquer le chat via Facebook au travail sans bloquer complètement l’accès à Facebook. Le processus prend quelques secondes et est détaillé dans la présentation vidéo ci-dessous.
Pour bloquer le chat Facebook au travail, ouvrez votre panneau d’administration WebTitan Cloud et naviguez jusqu’à « Filtrage des mots-clés URL ».
Vous devez ajouter deux mots-clés sur la liste noire.
Entrez le premier mot-clé : ajax/updatestatus.php
Mettez les options de filtre sur « Rechercher un mot-clé dans une URL ».
Le deuxième mot-clé qui doit être bloqué est: ajax/mercury/send_messages.php
Comme précédemment, définissez les options de filtrage sur ‘ »Rechercher un mot-clé dans une URL ». Ces deux fichiers sont utilisés par le chat Facebook et si les fichiers sont bloqués, le chat Facebook ne fonctionnera pas, bien que le site Facebook soit toujours accessible.
Pour que les mots-clés URL fonctionnent correctement, il est nécessaire que le certificat SSL soit poussé vers les navigateurs.
Pour plus d’informations sur la façon de le faire via GPO ou manuellement, consultez la section d’aide du site WebTitan.
Visitez cette page pour obtenir des instructions détaillées sur la façon de télécharger et de distribuer le certificat SSL aux navigateurs.
WebTitan, une solution de filtrage web basée dans le Cloud
Comme nous l’avons abordé au début de ce dossier, l’une des solutions efficaces pour bloquer la messagerie instantanée sur Facebook, sans bannir cette plateforme sociale, est de mettre en place un filtre de contenu.
Bien entendu, Facebook ne cesse d’améliorer son produit. Récemment, il a développé un filtre qui permet de détecter certains mots ou expressions (désinformation, haine sur le web, etc.) afin de les empêcher d’être diffusés via les messages. Mais cette option n’est pas encore très fiable pour bloquer tous les messages inappropriés. Par contre, avec le filtre de contenu WebTitan, vous pouvez y arriver facilement.
WebTitan est une solution de filtrage web DNS, développée, gérée et hébergée par TitanHQ, laquelle travaille avec des fournisseurs de services gérés dans le monde depuis 1999. L’entreprise a décidé de développer WebTitan dans le but de répondre aux besoins en matière de sécurité des PME.
Cet outil permet aux employeurs de surveiller, contrôler et protéger les employés, en bloquant la fonction de messagerie de Facebook… mais pas seulement ! Ils peuvent également utiliser WebTitan pour créer des politiques permettant de protéger leurs entreprises contre les malwares, les attaques de phishing et les virus ; ou encore de bloquer l’accès à des contenus inappropriés comme la pornographie.
Bref, en utilisant cette solution de filtrage Web DNS basée dans le cloud, les organisations peuvent profiter d’une solution fiable qui ne nécessite que peu d’entretien et qui peut être déployée en cinq minutes, sans avoir besoin de télécharger un logiciel.
Conclusion
Faut-il bloquer ou ne pas bloquer Facebook sur le lieu de travail ? C’est la question à laquelle de nombreux employeurs se posent.
L’utilisation généralisée de Facebook Messenger a augmenté la crainte de certains employeurs pour de nombreuses raisons (baisse de productivité, sécurisation des données, etc.). Il est donc logique que de plus en plus d’entreprises choisissent de bloquer tout simplement ce site de réseautage social. Mais comme nous venons de le voir, il existe une option encore plus intéressante, à savoir d’empêcher l’accès à Facebook Messenger sans bloquer le site Facebook.
Vous êtes un professionnel de l’informatique ? Vous souhaitez bloquer les discussions sur Facebook et vous assurer que les données de votre entreprise et de votre personnel sont protégées ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.
Questions fréquentes sur le blocage de Facebook Messenger
Pourquoi ne pas bloquer tout simplement Facebook pour éviter l’utilisation de Messenger ?
Oui, c’est possible, mais sachez qu’aujourd’hui, vos employés n’ont plus besoin d’être sur Facebook pour pouvoir utiliser Facebook Messenger. Il leur suffit de télécharger l’application sur Play Store, de cliquer sur l’option « Je ne suis pas sur Facebook », de rentrer leurs noms et numéros de téléphone pour utiliser ce service.
Est-ce possible pour vos employés d’utiliser leurs PC de bureau pour accéder au service de messagerie instantanée de Facebook ?
C’est possible, mais pour ce faire, ils doivent se connecter via le réseau social. Tout ce qu’ils ont à faire, c’est de se rendre sur le site et de se connecter. Ensuite, ils retrouveront une interface similaire à celle de l’application, mais celle-ci est déclinée dans une version bureau.
Facebook n’a-t-il pas déjà effectué des mises à jour de sa plateforme ?
Lors de ses dernières mises à jour, Facebook a déclaré que la vie privée des utilisateurs est la chose la plus importante. Ainsi, la marque a conçu App Lock, une nouvelle fonctionnalité qui fournit plus de sécurité lorsque vous échangez des messages privés. Malheureusement, App Lock a été exploitée par les pirates en guise de porte d’entrée supplémentaire. C’est pour cette raison qu’en 2017, la marque elle-même a décidé d’avertir ses abonnés des éventuels risques lorsque les messages ne sont pas chiffrés.
Est-ce vrai qu’un simple numéro de téléphone permet d’accéder à Messenger ?
Il fut un temps où une telle action était possible, mais ce temps est désormais révolu. Le 26 décembre 2019, le site Venture Beat a publié l’existence d’une mise à jour discrète du service de Facebook Messenger. Il faut donc avoir un profil sur la plate-forme pour accéder à Messenger.
Cette mesure est-elle suffisante pour renforcer la sécurité des communications sur Messenger ?
En réalité, ce ne sera pas suffisant pour garantir la sécurité de vos communications. Pour renforcer davantage le respect de la vie privée des utilisateurs, Facebook récemment annoncé que son application Messenger peut actuellement traquer discrètement les actes cybercriminels, en utilisant le système de communication des téléphones portables en arrière-plan.
Tous les filtres web ne peuvent pas bloquer les sites web HTTPS.
Par exemple, certains peuvent bloquer http://facebook.com mais pas https://facebook.com. Cela permet aux utilisateurs de contourner facilement le filtre, ce qui se traduit par une perte de temps et des risques accrus pour les entreprises.
Des sites populaires – dont Facebook, YouTube et LinkedIn – ont récemment adopté la norme HTTPS. C’est une bonne nouvelle pour la sécurité, mais une mauvaise nouvelle pour les entreprises qui utilisent un filtrage web qui ne peut pas bloquer les sites https ou qui nécessitent l’achat d’un composant supplémentaire pour ce faire.
Pourquoi utiliser un filtre web HTTPS ?
Chaque organisation doit pouvoir autoriser ou bloquer les sites HTTPS.
Voici quelques raisons.
#1. Augmenter la productivité
Dans le passé, HTTPS était utilisé pour les transactions en ligne, les opérations bancaires et autres sessions sensibles.
De nos jours, même les sites web qui ne traitent pas de données sensibles adoptent HTTPS. Les sites de réseautage social comme Facebook, Twitter, YouTube sont souvent bloqués par les entreprises pour certains employés, mais ces sites utilisent maintenant HTTPS par défaut.
Pour une petite entreprise, avoir un filtre web en place qui peut bloquer HTTPS est le seul moyen pratique d’éviter de perdre du temps sur ces sites.
#2. Bloquer les sites web dangereux
Il existe des millions de sites web à risque sur Internet qui ont des antécédents de transmission de logiciels malveillants ou de fraude en ligne.
Des techniques telles que l’usurpation d’identité, les téléchargements au volant, le piratage de session et d’autres tactiques peuvent infecter un PC d’utilisateur avec des logiciels malveillants. Ces techniques fonctionnent sur les sites HTTP et HTTPS.
Un filtre HTTPS aide à protéger les entreprises contre ces dangers.
#3. Bloquer le contenu offensant d’un site web
Les sites web contenant du contenu inapproprié sont courants sur le web. Ces sites peuvent également utiliser HTTPS.
La seule façon pour une organisation de se protéger est d’utiliser un filtre web qui peut gérer à la fois les sites HTTP et HTTPS.
#4. Conformité
De nombreuses industries sont tenues d’améliorer la sécurité de leurs réseaux.
Certaines normes, comme la Children’s Internet Protection Act (CIPA), exigent que les organisations filtrent le contenu web. Toute industrie qui a besoin d’un filtrage HTTP est presque certaine d’avoir aussi besoin d’un filtrage HTTPS, pour les raisons décrites ci-dessus.
TLS est-il en fin de vie ?
TLS est un élément essentiel de l’infrastructure informatique. Par exemple, HTTP est sécurisé avec TLS, et, voilà, nous avons HTTPS.
Ainsi, les sites web utilisent TLS pour sécuriser les communications entre leurs serveurs et navigateurs web. TLS est également largement utilisé pour sécuriser les protocoles suivants :
Simple Mail Transfer Protocol (SMTP) peut utiliser TLS pour accéder aux certificats afin de vérifier l’identité des terminaux. Les fournisseurs ont créé des VPN basés sur TLS, tels que OpenVPN et OpenConnect. De tels VPNs ont des avantages pour le pare-feu et la traversée NAT par rapport aux VPNs IPsec traditionnels.
TLS est une méthode standard pour protéger la signalisation de l’application SIP (Session Initiation Protocol). TLS/SSL n’est pas la valeur par défaut sur de nombreux sites web ou parties de sites web.
Une étude réalisée en 2014 sur un million de sites web a montré qu’environ 450 000 seulement prenaient en charge TLS, par opposition à l’ancien SSL https://jve.linuxwall.info/blog/index.php?post/TLS_Survey .
En fait, les sites web de TLS/SSL sont le plus souvent complètement différents de leurs homologues non sécurisés ; il ne s’agit pas simplement de remplacer http:// par https://. Par exemple, la version sécurisée par TLS de http://en.wikipedia.org/wiki/ est https://secure.wikimedia.org/wikipedia/en/wiki.
C’est pourquoi l’Electronic Frontier Foundation propose l’extension HTTPS Everywhere pour les navigateurs. Le module complémentaire active les fonctions de sécurité TLS si elles sont présentes sur les sites web, mais il ne peut pas les créer si elles n’existent pas déjà.
Vulnérabilités de TLS
Le Trustwortworthy Internet Movement, qui analyse les vulnérabilités SSL sur les 20 000 sites web les plus populaires au monde, a signalé en janvier 2016 que 64 % des sites sondés présentaient une sécurité insuffisante.
Nous savons que SSL n’est pas sûr.
À partir de 2014, la version 3.0 de SSL a été considérée comme non sécurisée car elle est vulnérable à l’attaque POODLE qui affecte tous les chiffrement par blocs SSL. L’implémentation de SSL 3.0 de RC4, le seul chiffrement non bloqué pris en charge, est également possiblement cassée. Cela nous laisse avec TLS.
Ce protocole a été révisé à plusieurs reprises pour tenir compte des vulnérabilités en matière de sécurité. Comme pour tout logiciel non corrigé, l’utilisation d’anciennes versions peut conduire à exploiter des vulnérabilités qui ont déjà été corrigées.
TLS peut être transmis en utilisant le protocole TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). TCP possède des fonctionnalités plus sécurisées que UDP. Dans les deux cas, les transmissions TLS peuvent être compromises par des vulnérabilités TCP ou UDP. Idem pour la cryptographie à clé publique, les chiffres et l’échange de clés.
TLS a été intégré dans de nombreux progiciels utilisant des bibliothèques open source. Un article présenté à la conférence 2012 de l’ACM sur la sécurité informatique et des communications a montré que peu d’applications utilisaient correctement certaines de ces bibliothèques SSL, ce qui entraîne des vulnérabilités. Le bug Heartbleed affecte la bibliothèque populaire OpenSSL, permettant aux attaquants de voler les clés privées des serveurs.
Le point le plus faible d’une connexion SSL/TLS est l’échange de clés. Si l’algorithme d’échange de clés est déjà connu de l’attaquant et que la clé publique du serveur a été compromise, en théorie, ce système est ouvert aux attaques man in the middle.
L’attaquant serait alors en mesure de surveiller le client subrepticement. HTTPS réserve un seul port, le port TCP 443, pour l’échange de clés. Ainsi, les attaques par déni de service distribué (DDoS) doivent inonder un seul port afin de paralyser le réseau d’une organisation.
Le Trustworthy Internet Movement a signalé que 91 % des sites web étaient vulnérables à l’attaque BEAST, dans laquelle un attaquant peut théoriquement utiliser les caractéristiques des données cryptées pour deviner leur contenu.
Certains sites web prennent en charge les SSL/TLS plus anciens pour une compatibilité ascendante. En juin 2016, le Trustworthy Internet Movement estime que 26 % des sites web offrent une telle « solution de rechange au protocole ». Mais cela peut être une opportunité pour des attaques de downgrade de protocole telles que DROWN, qui affecte OpenSSL. Tous les détails de DROWN ont été annoncés en mars 2016, ainsi qu’un patch pour l’exploit. À l’époque, plus de 81 000 des 1 million de sites les plus populaires font partie des sites protégés par le TLS qui sont vulnérables à l’attaque DROWN.
Alors, TLS/SSL est-il sécurisé ?
Si votre organisation utilise exclusivement la mise en œuvre TLS la plus récente et tire parti de toutes les fonctions de sécurité TLS, vous avez une longueur d’avance. Afin de protéger votre entreprise contre les exploits malveillants dissimulés sous le secret du SSL, vous avez besoin d’un filtre web ou d’une passerelle web capable d’intercepter et de décrypter le trafic SSL. L’idée derrière cela est relativement simple en théorie.
Le filtre web crée une connexion sécurisée entre le navigateur client et le filtre, puis décrypte le trafic SSL sortant en texte clair sur lequel le trafic est analysé. Une fois examiné, le trafic est à nouveau chiffré et une autre connexion sécurisée est créée entre le filtre web et le serveur web.
Cela signifie que le filtre web agit effectivement comme un serveur proxy SSL et peut donc à la fois intercepter la connexion SSL et inspecter le contenu.
Google Chrome pour étiqueter tous les sites HTTP comme non sécurisés
Google a annoncé que son navigateur web Chrome prendra bientôt une position plus agressive sur le chiffrement web, marquant tout site comme non sécurisé s’il n’utilise pas HTTPS.
Le déploiement commencera en janvier par l’application de la règle à tout site qui demande un mot de passe ou des renseignements sur une carte de crédit. A terme, Chrome étiquettera tous les sites HTTP comme non sécurisés.
Le Filtrage web HTTPS comme norme
Les solutions de filtrage webTitan analysent le trafic crypté d’une manière gérable et abordable. La possibilité d’analyser le trafic https, par exemple le courrier web et la plupart des réseaux sociaux, est une épine dans le pied de nombreuses entreprises qui utilisent un filtre web qui ne peut pas bloquer les https ou qui nécessitent l’achat d’un composant supplémentaire pour ce faire. Le coût et les inconvénients peuvent être considérables.
WebTitan peut vous fournir une couche supplémentaire de contrôle granulaire pour le filtrage HTTP & HTTPS avec intégration AD. L’inspection SSL permet à webTitan de traiter le trafic HTTPS crypté. En termes simples, HTTPS est un protocole SSL superposé sur HTTP. Il y parvient en effectuant un décryptage et un re-cryptage du trafic HTTPS, en inspectant le contenu du trafic HTTPS non crypté.
Avec WebTitan, le filtrage HTTPS est inclus en standard. En fait, le service standard comprend toutes les fonctions de sécurité que nous offrons et un support technique gratuit. Donnez à votre organisation une sécurité sans compromis avec WebTitan.
On parle beaucoup du dark web de nos jours, notamment de la façon dont les cybercriminels l’utilisent souvent pour répandre des malwares, pour vendre des données volées, pour publier les informations d’identification des comptes utilisateurs, la liste est longue.
Le dark web, ce terme peut-être défini comme un réseau chiffré qui existe entre les serveurs Tor et leurs clients. En quelque sorte, il s’agit de la partie de l’internet non indexée par les moteurs de recherche.
Quant à Tor, l’acronyme de « The Onion Router », il permet aux utilisateurs de surfer sur Internet, de chatter et d’envoyer des messages instantanés de manière anonyme. En soi, elle n’est pas néfaste.
Selon ses développeurs, sur https://www.torproject.org/, Tor est un logiciel libre et un réseau ouvert qui vous aide à vous défendre contre l’analyse du trafic. Il permet de surveiller le réseau contre les éventuelles atteintes à la liberté personnelle, la vie privée, aux activités, aux relations commerciales confidentielles et d’une manière plus générale, à la sécurité de l’État.
Entre 2014 et 2015, on a enregistré un taux de croissance de 24 % des sites sur le dark web. Selon une recherche menée par Flashpoint, l’utilisation de Tor a encore bondi au cours de l’année dernière depuis la révélation du programme de surveillance de l’Agence de sécurité nationale.
Un peu d’histoire
Les stéréotypes négatifs sur le dark web abondent. En mars, une étude menée par le groupe de réflexion indépendant CIGI a montré que 7 personnes sur 10 veulent la fermeture de cette plateforme.
Beaucoup de gens ont entendu parler du dark web pour la première fois en 2013, lorsque le FBI a démantelé la « Route de la soie », le plus grand site de marché noir (à l’époque) de trafic d’armes et de drogues. Mais à ses débuts, la toile noire n’était pas conçue pour être un refuge pour les criminels.
Tor a été développé au milieu des années 1990 par des informaticiens et des agences gouvernementales américaines. En 2006, le projet, portant le même nom, a été créé en tant qu’organisation à but non lucratif pour maintenir ce logiciel spécial accessible au grand public. En réalité, il existe de nombreuses raisons pour lesquelles les gens pourraient vouloir rendre anonyme leur activité web via Tor.
D’une part, dans les pays où de nombreux sites web sont bloqués, Tor fournit un moyen d’accéder à ces sites. Par exemple, en Chine continentale, en septembre 2015, environ 3 000 sites web étaient bloqués. Il s’agissait notamment de la plupart des comptes Google, Facebook, YouTube, Twitter et Instagram. L’anonymat était alors essentiel pour permettre aux gens de communiquer entre eux, pour fournir des renseignements de nature délicate ou pour dénoncer des abus.
Aujourd’hui, des organes d’information comme « The Guardian », « The Intercept » et « The New Yorker » hébergent tous des sites sur le dark web pour des conseils et des documents ayant fait l’objet de fuites anonymes.
Tout comme WikiLeaks, Tor et le dark web ont été utilisés pour mobiliser le « printemps arabe ». De nos jours, certaines personnes peuvent même utiliser ce logiciel spécial pour empêcher certains sites web de traquer leurs annonces publicitaires non autorisées.
Comment fonctionne Tor ?
Tor n’est pas le seul outil qui permet d’accéder au dark web. Il est tout simplement le plus populaire. Parmi les autres systèmes qu’on peut utiliser, on cite « Freenet » ou le réseau anonyme « Invisible Internet Project (I2P) ».
Comment fonctionne exactement Tor ? En premier lieu, ce logiciel va tout d’abord transférer le trafic réseau depuis l’ordinateur de l’utilisateur. Ensuite, il va mélanger ce trafic à travers une série aléatoire de relais pour atteindre sa destination. Chaque nœud (ou « routeur oignon ») du chemin connaît son prédécesseur et son successeur, mais aucun autre nœud du circuit. Le trafic descendant le long du circuit est alors envoyé en paquets de taille fixe, lesquels seront enfin déballés par une clé symétrique à chaque nœud (comme les couches d’un oignon) puis relayés en aval.
Ce processus rend anonyme l’emplacement de l’utilisateur et rend difficile la surveillance des activités de l’utilisateur.
Le chiffrement Tor est effectué par des serveurs Tor, et non sur votre ordinateur de bureau. Le trafic entre deux nœuds Tor ne peut pas être tracé, mais celui qui entre ou qui sort des passerelles Tor vers (ou depuis) l’Internet « normal » l’est. À moins qu’un chiffrement SSL ne soit en mis en place.
Tor n’est pas un mécanisme de chiffrement de bout en bout. Autrement dit, si la communication n’est pas chiffrée à l’aide d’un logiciel séparé avant d’entrer dans le réseau Tor, tout le monde peut la lire sur les passerelles.
Depuis que le « National Security Agency », un organisme gouvernemental du département de la Défense des États-Unis, était soupçonné d’administrer un pourcentage élevé de toutes les passerelles de sortie Tor dans le monde, vous pouvez parier que tout trafic non chiffré est surveillé par la NSA.
De nombreux utilisateurs accèdent à Tor via un VPN. Voilà pourquoi :
Un VPN (ou Virtual Private Network, en anglais ») vous permet d’usurper votre position géographique.
N’importe quelle personne disposant de la passerelle de sortie Tor peut lire les communications non chiffrées qui passent à travers.
Un VPN peut assurer la confidentialité.
Certains fournisseurs d’accès internet (FAI) bloquent Tor. De cette manière, un FAI ne saura pas que vous accédez au dark web si vous utilisez un VPN.
La passerelle d’entrée Tor verra l’adresse IP du serveur VPN, et non l’adresse IP réelle de l’utilisateur. Cependant, les passerelles de sortie Tor sont souvent bloquées. De plus, un VPN n’offre aucune protection contre les passerelles de sortie Tor malveillantes.
Au lieu d’utiliser un VPN, certains utilisateurs de Tor passent par une passerelle Tor comme Obfsproxy, un sous-projet Tor qui peut être utilisé pour obscurcir le trafic (quel qu’il soit) afin qu’il devienne méconnaissable. Ceci peut être efficace pour masquer l’utilisation de Tor si l’inspection approfondie des paquets n’est pas configurée pour détecter Tor.
À quoi ressemble le dark web ?
La première chose à remarquer est la lenteur du navigateur Tor ; encore plus si un VPN est utilisé en tandem. Les URLs sont aussi un peu étranges, à l’exemple de wlupld3ptjvsgvsgwqwqw.onion, un site web sombre dédié à Wikileaks. Pour ce site, les protocoles en dehors de la norme HTTP/HTTPS standard abondent, notamment IRC, IRCS, Gopher, XMPP et FTP. Une étude à long terme réalisée par TrendMicro a montré que 41 % des URL sont russes et 40 % anglaises.
Il est souvent difficile de trouver ce que vous cherchez réellement sur le dark web, car de nombreux sites apparaissent et disparaissent en quelques jours. Cela ne veut pas pour autant dire que cette partie sombre du web ne présente pas de moteurs de recherche. On peut, par exemple, y trouver le moteur de recherche de médicaments Grams qui ressemble à Google.
L’enjeu est que, puisqu’il y a beaucoup de liens de pages web malveillants, certains utilisateurs se fient aux listes de liens Tor.onion ou aux conseils d’un ami pour naviguer dans le web noir. Pourtant, il existe une alternative, à savoir d’utiliser l’un des moteurs de recherche dark ou deep web qui parle au service oignon via Tor et des relais. Ils résolvent les liens « .oignon », puis livrent le résultat final à votre navigateur habituel sur le web normal.
Sachez que tout n’est pas illégal sur le dark web
Autrement dit, le web noir a aussi un côté légitime. Il possède certains sites du même type que ceux disponibles sur l’autre côté de la toile obscure, c’est-à-dire sur l’Internet « normal ».
Deep web Radio est, par exemple, une station de radio musicale mondiale. Mais il existe d’autres services d’hébergement dédiés, des courriels anonymes et de chat, voire des clones de Twitter qui proposent ce même service.
Si vous le souhaitez, vous pouvez rejoindre un club d’échecs ou devenir membre du réseau social BlackBook, le « Facebook de Tor ».
En janvier 2016, ProPublica a lancé le premier site d’information d’importance sur le dark web. Les dénonciateurs, les militants des droits de l’homme, les journalistes, les militaires et les forces de l’ordre étaient tous présents. Des victimes de violences conjugales ont dans ce sens utilisé le dark web pour communiquer sans être suivies par leurs agresseurs.
Autre élément : les cryptomonnaies
Une description du dark web ne serait pas complète sans mentionner les sites financiers. BIT, une nouvelle unité populaire qui sert à représenter des quantités faibles de Bitcoin, montrait par exemple un état concernant le marché de l’information volée et des marchandises illégales, des kits d’exploitation et de l’information pour les hackers mal intentionnés.
Daniel Moore et Thomas Rid, dans leur livre Cryptopolitik and the Darknet, ont rapporté que 57 % du dark web est constitué d’activités illégales. Il est juste de dire que le deep web, c’est-à-dire le web caché ou le web invisible, est une immense plateforme de partage d’informations qui facilite les activités criminelles.
Quant aux cryptomonnaies, elles constituent l’une des meilleures options pour sécuriser les transactions financières (comme le bitcoin) et des réseaux d’anonymisation tels que Tor. Elles permettent aux utilisateurs du web noir d’entrer facilement sur le marché des malwares et de commencer rapidement à générer des revenus grâce à des transactions malhonnêtes.
Il faut dire que le web noir a pris de l’envergure grâce au bitcoin, une cryptomonnaie permettant à deux parties de réaliser une transaction de confiance sans se connaître. Cette monnaie d’échange a joué un rôle majeur dans la croissance de la toile sombre, car presque tous les sites de commerce en ligne du dark web effectuent des transactions en bitcoin.
Bien entendu l’anonymat des parties prenantes peut constituer un avantage. Les escrocs peuvent par exemple en tirer profit pour acheter de la drogue ou des armes ou de la drogue plus facilement et avec le moins de risque. Néanmoins, ceci n’est pas toujours bon pour les affaires, car les sites de vente sur le web noir ont les mêmes caractéristiques que celles du web normal en termes de commande de paniers d’achat, de paiement, de livraison, etc.
Ce qui différencie les e-commerces de la toile noire, c’est qu’il est presque impossible de procéder à des contrôles de la qualité avant d’acheter le produit. Comme les vendeurs et les acheteurs sont anonymes, la crédibilité de chaque partie peut donc être mise en cause. Sachez que des vendeurs malhonnêtes peuvent disparaitre soudainement avec les cryptomonnaies d’un ou plusieurs acheteurs pour s’installer par la suite sous un autre nom.
Le navigateur Tor est-il vraiment anonyme ?
Cette question mérite également d’être posée. En effet, Tor est l’une des meilleures solutions de navigation anonymes disponibles actuellement sur le web noir. Pourtant, cet anonymat a une certaine limite.
De nos jours, les développeurs de logiciels rivalisent d’ingéniosité pour concevoir des outils d’anonymat de nouvelle génération. Par ailleurs, de nombreux organismes gouvernementaux du monde entier cherchent continuellement à contourner le système d’anonymat de Tor.
L’une des techniques les plus élaborées pour ce faire est de pirater Tor. Et justement, c’est ce que le FBI a réussi à faire avec succès dans le cadre de plusieurs affaires criminelles. Selon un texte publié en 2016 par un juge de la Cour suprême américain, le FBI dispose des droits de pirater en masse plusieurs ordinateurs à n’importe quel endroit dans le monde via un seul mandat.
Cette situation concerne tous les utilisateurs de Tor, car il existe des utilisateurs innocents qui seront contraints d’utiliser ce navigateur pour une raison ou une autre.
Conclusion
Le but de notre dossier spécial n’est pas de vous donner l’impression que toutes les choses qui existent sur la toile noire sont néfastes ou illégales. Le logiciel Tor, par exemple, peut aider les gens qui veulent communiquer de manière anonyme dans des environnements hostiles à la liberté d’expression.
Pour leur part, les entreprises et les sociétés responsables de la sécurité informatique doivent être à l’écoute des dernières tendances sur la toile noire, par exemple, en matière de cybercriminalité. Vous devez donc vous y connecter régulièrement pour être à l’affût de ce qui se passe chez les hackers undergrounds et pour éviter leurs éventuelles attaques.
Si vous voulez protéger votre entreprise des menaces cybercriminelles via le dark web ou le web normal, n’hésitez pas à nous appeler dès aujourd’hui.
Vous recherchez le meilleur antivirus ou, d’une manière générale, la meilleure solution de sécurité pour votre entreprise ? Vous n’êtes pas sans savoir qu’il existe beaucoup d’options sur le marché et vous ne savez plus lesquelles choisir.
Le problème est que toutes les sociétés qui fournissent des solutions de sécurité se vantent de proposer les meilleurs produits, c’est-à-dire qu’ils ont le plus grand antivirus ou pare-feu et les solutions les plus complètes pour protéger votre infrastructure informatique. À qui pouvez-vous donc faire confiance et comment pouvez-vous bien choisir votre antivirus ?
Il existe différents critères sur lesquels vous pouvez baser votre choix. Dans ce dossier, nous allons donc partagez avec vous les critères que vous devriez utiliser pour choisir le meilleur produit de sécurité. Nous allons également vous donner le classement des meilleurs antivirus pour une entreprise en 2015. Nous irons même au-delà, en vous proposant les autres moyens efficaces de renforcer votre sécurité Internet.
C’est parti !
Généralités sur la sécurité web
Que votre organisation soit une petite entreprise ou une multinationale, la sécurité des réseaux est une préoccupation importante à l’ère du digital.
De nombreuses grandes organisations ont vu des atteintes majeures aux données et ont fait la une des journaux. Mais les pirates informatiques ciblent de plus en plus les PME, car ils les considèrent comme des cibles de choix pour l’atteinte à la protection et au vol des données d’identification personnelles, d’autres informations sensibles telles que les comptes financiers et les données bancaires concernant les clients.
Les cybercriminelles peuvent aussi avoir recours à la prise de contrôle des réseaux dans le but de les verrouiller complètement jusqu’au versement d’une rançon.
Ces voleurs de données considèrent les PME comme des proies faciles pour plusieurs raisons. En réalité, beaucoup d’entre elles utilisent des logiciels antivirus obsolètes ou de qualité inférieure. Pire encore, certaines PME ne disposent d’aucun antivirus ni de pare-feu, laissant. Leurs réseaux se trouvent ainsi ouverts aux pirates.
Souvent, les entreprises pensent que ce type de technologie est compliqué à mettre en place. C’est pour cette raison que certains propriétaires d’entreprise hésitent à s’en préoccuper. Pourtant, s’ils ne mettent pas en œuvre une solution de sécurité solide, leur entreprise finira par attirer les cybercriminels. Ce qu’ils ne savent pas, c’est qu’ils n’ont pas besoin de dépenser une fortune pour avoir un antivirus et un pare-feu solides. Les entreprises doivent être conscientes de ce fait, notamment celles qui n’ont pas un gros budget à attribuer à la sécurité informatique.
Types de cybermenaces les plus courantes
Vous voulez savoir comment les pirates informatiques peuvent-ils prendre le contrôle de vos systèmes informatiques. Voici donc les différents types d’outils et de tactiques courants qu’ils peuvent utiliser pour porter atteinte à votre organisation :
Les malwares
Les attaques de « malware » constituent l’une des cybermenaces les plus utilisées. Il s’agit de logiciels malveillants qui ont été créés dans le but de perturber ou d’endommager l’ordinateur d’un utilisateur légitime. Les malwares sont souvent diffusés par le biais d’une pièce jointe à un e-mail non sollicité ou via le téléchargement d’un fichier d’apparence légitime. Les cybercriminels peuvent aussi les utiliser pour gagner de l’argent.
Les malwares se déclinent dans plusieurs versions, notamment :
Les virus : il s’agit d’un programme capable de se répliquer automatiquement, de s’attacher à un fichier propre et de se répandre dans l’ensemble de votre réseau informatique, infectant par la suite les fichiers avec un code malveillant.
Les chevaux de Troie : ce type de malware est conçu pour se déguiser en un logiciel légitime. Les pirates informatiques trompent les utilisateurs finaux en téléchargeant des chevaux de Troie sur leurs appareils informatiques pour causer des dommages ou voler des données sensibles.
Les spywares : ce programme est un peu différent, car il peut enregistrer secrètement les activités en ligne d’un utilisateur, ce qui permet aux cybercriminels d’utiliser ces informations à des fins diverses, par exemple, pour capturer les détails d’une carte de crédit.
Ransomware : ce type de malware est conçu dans le but de verrouiller les fichiers et les données sensibles d’un utilisateur. Pour obtenir la clé de déchiffrement des fichiers, l’utilisateur doit donc payer une rançon aux pirates informatiques.
Adware : il s’agit d’un logiciel qui peut afficher ou télécharger automatiquement du matériel publicitaire (bannières, pop-ups, etc.) ou diffuser d’autres malwares lorsqu’un utilisateur est en ligne.
Botnets : c’est un réseau d’ordinateurs infectés par un malware. Les pirates informatiques peuvent l’utiliser pour exécuter certaines tâches en ligne, sans l’autorisation de l’utilisateur.
L’injection SQL
Parlons maintenant des tactiques que les cybercriminels peuvent utiliser pour porter atteinte à votre organisation. L’injection SQL est l’une d’entre elles. Ce type de cyberattaque permet aux pirates de prendre le contrôle d’une base de données et de voler les informations sensibles.
Plus précisément, les cybercriminels recherchent les vulnérabilités des applications qui sont liées à des données pour pouvoir les exploiter. Pour ce faire, ils insèrent un code malveillant dans une base de données par le biais d’une instruction SQL malveillante afin d’accéder certaines informations sensibles dans la base de données.
Le phishing
Le phishing est une tactique très prisée par les pirates informatiques. Elle consiste à cibler les victimes via des e-mails qui semblent provenir d’une entreprise ou d’un contact légitime et qui demandent des informations sensibles. Le but des attaques de phishing est généralement de tromper les gens afin qu’ils divulguent des données de sensibles, comme les informations concernant les cartes de crédit.
Les attaques du type « Man-in-the-middle »
Lors d’une attaque « man-in-the-middle », l’escroc tente d’intercepter la communication entre deux individus afin de voler des informations sensibles. Par exemple, il peut exploiter un réseau WiFi non sécurisé pour intercepter les données transmises l’appareil de la victime et le réseau auquel elle se connecte.
Les attaques par déni de service
Une attaque par déni de service renvoie au scénario où des cybercriminels parviennent à empêcher un système informatique de répondre à des demandes légitimes. Pour ce faire, ils submergent de trafic les réseaux ainsi que les serveurs ciblés. Le système informatique de l’organisation devient donc inutilisable et il ne peut plus remplir ses fonctions vitales.
Pour contrer ces attaques, vous avez besoin d’un antivirus fiable
Si vous avez besoin d’une protection fiable, sachez qu’une bonne solution antivirus et mise à jour peut détecter et prévenir bon nombre des tactiques et d’attaques cybercriminels, en contrecarrant leurs efforts avant qu’ils ne causent des dommages à votre entreprise.
Voici pourquoi nous avons analysé quelques suites de logiciels antivirus exceptionnelles qui peuvent vous rendre votre réseau plus sûr au fur et à mesure que votre entreprise se développe.
Quelle est la meilleure solution antivirus pour votre entreprise ?
Se protéger contre le nombre croissant de cybermenaces est un travail à plein temps. Le spectre de domaine dans lequel les pirates peuvent s’attaquer est maintenant plus large que jamais et ils ne cessent de développer des méthodes de plus en plus sophistiquées pour obtenir des données sensibles.
Les mesures qui doivent maintenant être mises en œuvre sont de plus en plus diversifiées et complexes pour tenir les cyberattaquants à distance.
Vos employés utilisent-ils des ordinateurs, Smartphones, tablettes, etc., pour naviguer sur Internet afin d’assurer leurs tâches quotidiennes au sein de votre entreprise ? Un logiciel de sécurité incluant une protection antivirus est dans tous les cas indispensable pour protéger ces appareils des menaces en ligne.
L’une des protections de base incontournable par toute organisation et les particuliers est la solution logicielle antivirus, et ce n’est pas le choix qui manque !
D’abord, voyons ensemble comment fonctionne un antivirus
Comme son nom l’indique, un antivirus est une solution logicielle qui vous protège des virus informatiques.
Sur le web, il existe des millions de types de virus informatiques. Un antivirus peut donc fonctionner en arrière-plan pour pouvoir les intercepter et protéger votre ordinateur contre les infections.
Lorsqu’un virus informatique infecte votre ordinateur, il va tenter d’apporter des modifications à vos fichiers, aux zones critiques telles que le registre, ou s’attaquer aux sections de la mémoire afin de se propager et d’endommager votre ordinateur.
En effet, toute personne qui a une petite notion en matière de programmation peut créer un virus. Il s’agit d’applications compilées et qui sont prévues pour s’exécuter sur votre ordinateur. Ce qui différencie un logiciel ordinaire d’un virus est que ce dernier est destiné à vous nuire, par exemple, en faisant planter votre ordinateur ou en supprimant vos données sensibles. Il peut même voler vos informations personnelles.
Pour protéger votre ordinateur, le logiciel antivirus va surveiller toutes les modifications de fichiers et la mémoire pour lorsqu’il détecte une activité suspecte. Lorsqu’il constate qu’un virus tente d’infecter l’ordinateur en question, il va vous avertir et vous propose d’entreprendre une action avant que le virus ne soit exécuté.
Ce qui rend les virus difficiles à suivre est que les personnes qui les conçoivent peuvent modifier les signatures de virus existantes. Si vous lisez des articles concernant les différents virus sur le web, vous remarquerez que plusieurs antivirus similaires peuvent avoir des noms différents.
Pour ce faire, les pirates informatiques prennent le code de virus existant, le modifient en fonction de leurs cibles, le compilent avant de le distribuer. Si vous n’utilisez qu’une seule solution pour contrer les virus, celle-ci risque donc de ne pas pouvoir détecter rapidement les nouvelles variantes.
Le compromis entre performance et fiabilité des antivirus
Auparavant, les entreprises recherchaient surtout des logiciels de sécurité qui nécessitaient une mémoire minimale. Certains percevaient les antivirus comme des solutions de sécurité qui ralentissaient les performances des ordinateurs ou qui prenaient beaucoup de temps pour effectuer une analyse.
Le choix d’un logiciel antivirus à l’autre était donc parfois dicté par l’équilibre entre la vitesse et la sécurité. D’un côté, les entreprises optent pour une protection antivirus minimale, pour permettre à leurs ordinateurs de fonctionner à la vitesse maximale. De l’autre côté, certains administrateurs préfèrent miser sur la sécurité. Ils ne se souciaient guère de la lenteur des dispositifs.
En réalité, vous ne devez pas limiter votre choix ni à la vitesse de vos dispositifs, ni à la sécurité seulement. Désormais, vous devez prendre en compte ces deux éléments. Et sachez qu’il existe des ressources tierces qui testent les antivirus en fonction de ces deux critères. Elles peuvent même se baser sur de nombreux autres facteurs pour déterminer les meilleurs antivirus du marché.
Parmi les sources fiables, on compte SE Labs, AV-Test et AV-Comparatives. De tels groupes réalisent régulièrement des tests des antivirus les plus connus et publient leurs résultats pour vous aider à choisir le logiciel de sécurité le plus adapté à vos besoins.
Mais quelle est la meilleure solution antivirus ?
Le meilleur logiciel antivirus est celui qui peut protéger votre ordinateur et vos appareils mobiles contre les malwares et autres logiciels malveillants. Étant donné que la cybercriminalité ne cesse de croître, il n’a jamais été aussi important pour votre entreprise d’investir dans un logiciel antivirus fiable, solide et à jour.
Cela ne concerne pas uniquement votre ordinateur, mais aussi tous les appareils qui sont compatibles avec Internet.
En réalité, tous les fichiers de programme, c’est-à-dire les exécutables, qui entrent dans votre système doivent passer par l’analyse antivirus. Ceux qui correspondent aux signatures connues sont classés comme des virus et sont mis sur une liste noire.
Quant aux autres fichiers de programme, ils passent par le système de défense HIPS, ou « Host Intrusion Prevention System ». Les fichiers connus sont alors autorisés à être installés et à s’exécuter dans votre système d’exploitation. Par contre, les fichiers inconnus, qu’ils soient bons ou mauvais, sont envoyés dans un environnement de test de défense. Il est pourraient être autorisés à s’exécuter, mais seulement dans un environnement restreint. Les fichiers que l’utilisateur autorise comme étant de bons fichiers vont ensuite être ajoutés à la liste blanche, tandis que tous les autres resteraient dans le Sandbox, après quoi ils feront l’objet d’une analyse plus poussée.
Il est dans votre intérêt d’avoir antivirus, car il minimise le temps que vous devez passer pour réparer les dommages et le désordre causés par une attaque de malware réussie.
Quelques conseils pour vous aider à mieux choisir votre antivirus
Choisissez des logiciels ayant un taux élevé de détection des malwares. Vous voudrez vous assurer-vous que le logiciel antivirus peut bloquer, au minimum, plus de 95 % des malwares, qu’il s’agisse de malwares courants ou ceux du type « zero-day » qui sont tout à fait nouveaux.
Mais assurez-vous que le taux de détection ne s’accompagne pas d’un taux élevé de faux positifs, c’est-à-dire des fichiers bénins, mais qui sont marqués par erreur comme des malwares.
Recherchez un antivirus léger
Vous avez surement lu des critiques concernant les logiciels antivirus qui ralentissent les machines sur lesquelles ils sont installés.
Cela peut se produire lorsqu’ils travaillent en arrière-plan après leur installation ou bien pendant qu’ils analysent les malwares actives. Ceci est particulièrement important pour les PC plus anciens, mais qui ont le plus besoin d’un antivirus.
Le mieux serait dans ce cas d’utiliser des logiciels fiables, mais qui consomment moins de mémoire de stockage et de bande passante.
Votre logiciel est-il facile à utiliser ?
La plupart des utilisateurs d’antivirus veulent une solution qui pourrait être installée et qui peut agir en arrière-plan de manière autonome, de sorte qu’une fois installée, elle puisse protéger entièrement votre machine ou votre réseau.
La solution « set-it-and-forget-it » peut-être intéressante, mais elle n’est souvent pas facile à utiliser. Le mieux serait de choisir un antivirus que vous pouvez modifier à votre convenance.
Essayez toujours avant d’acheter votre antivirus
La plupart des produits antivirus payants sur Mac et Windows vous permettent de les essayer gratuitement pendant une certaine période.
La plupart des meilleures applications antivirus pour Android utilisent un modèle gratuit à travers lequel vous pouvez évaluer par vous-même sa fiabilité avant d’acheter la version premium qui vous permet de bénéficier des fonctions supplémentaires.
Les meilleurs antivirus selon l’évaluation d’AV-Comparatives
AV-Comparatives est une organisation indépendante qui réalise des tests systématiques dans le but de vérifier si les solutions de sécurité – y compris les antivirus et les applications de protection des dispositifs mobiles — tiennent leurs promesses.
Elle utilise l’une des plus grandes bases de données dans le monde et peut créer un environnement réel pour garantir la fiabilité des tests qu’elle réalise.
Les résultats fournis par AV-Comparatives sont accessibles tant aux entreprises qu’à d’autres organismes comme la presse, les institutions scientifiques, etc. De cette manière, AV-Comparatives peut fournir une certification officielle quant à la performance des logiciels de renommée mondiale qu’elle teste.
Quel genre d’antivirus est capable de détecter et supprimer le plus de malwares ? Quel est le produit qui offre la meilleure protection en situation réelle ? Quelle solution propose le meilleur taux de détection de fichiers malveillants ? En effet, ce sont quelques paramètres importants à considérer lorsque vous allez chercher une solution pour protéger votre organisation.
Ces différents critères, et bien d’autres encore, ont été évalués au cours de l’année 2015 par AV-Comparatives, un laboratoire d’essais indépendant basé à Innsbruck, en Autriche. Chaque année, cette organisation publie des rapports détaillant les résultats des tests effectués au cours de l’année.
AV-Comparatives a testé 21 des meilleurs antivirus du marché, soumettant chacun d’eux à une large gamme de tests rigoureux. Ceci a permis à l’organisation de déterminer la capacité de chaque antivirus à protéger les utilisateurs contre les attaques malveillantes.
Les résultats des tests ont clairement montré que tous les produits antivirus ne sont pas identiques. Bien entendu, tous les antivirus testés offraient une performance acceptable, mais le terme « acceptable » n’est peut-être pas suffisant pour les installations en entreprise.
La meilleure solution antivirus pour 2020
AV-Comparatives a évalué la performance des antivirus et décerné un certain nombre de prix à ceux qui ont excellé dans des domaines spécifiques de la protection antivirus et antimalware.
Des médailles (Or, Argent et Bronze) ont été décernées ainsi que le prix « Meilleure solution logicielle antivirus 2015 ».
Catégories de prix :
Protection en situation réelle
Détection de fichiers
Faux positifs
Rendement global
Protection proactive
Suppression des malwares
Nominés pour la « Meilleure solution logicielle antivirus 2015 »
Les antivirus nominés étaient :
Avast Free Antivirus
AVG Internet Security
Avira Antivirus Pro
Baidu Antivirus
Bitdefender Internet Security
BullGuard Internet Security
Emsisoft Anti-Malware
eScan Internet Security Suite
ESET Smart Security
F-Secure Internet Security
Fortinet FortiClient (with FortiGate)
Kaspersky Internet Security
Lavasoft Ad-Aware Free Antivirus+
McAfee Internet Security
Microsoft Windows Defender for Windows 10
Panda Free Antivirus
Quick Heal Total Security
Sophos Endpoint Security and Control
Tencent PC Manager
ThreatTrack VIPRE Internet Security
Trend Micro Internet Security
Le prix de la meilleure solution logicielle antivirus pour entreprise
Après avoir évalué tous les antivirus, deux d’entre eux ont excellé dans toutes les catégories et ont reçu la prestigieuse certification « Advanced+ » : Bitdefender et Kaspersky Lab.
Le prix « Meilleure solution antivirus pour 2015 » a été décerné à Kaspersky Lab, l’un des deux antivirus sur lesquels sont basées les solutions antispam SpamTitan.
La société russe d’antivirus a reçu une médaille d’or dans les catégories « protection en situation réelle », « détection de fichiers » et « suppression de logiciels malveillants ». Le produit a également remporté une médaille d’argent pour la protection proactive (heuristique et comportementale) ; ainsi qu’une médaille de bronze pour la performance globale du système à faible impact.
Les résultats des tests ont clairement montré que tous les produits antivirus ne sont pas identiques. Bien entendu, tous les antivirus testés offraient une performance acceptable, mais le terme « acceptable » n’est peut-être pas suffisant pour les installations en entreprise.
À propos de Bitdefender
Bitdefender est un antivirus fiable qui fournit une protection continue et en temps réel contre une variété de menaces de malwares. Pour ce faire, il analyse tous les fichiers et les e-mails auxquels les employés accèdent, avec un impact mineur sur les performances du système informatique.
Bitdefender VPN permet également d’assurer la confidentialité des données sensibles lorsqu’un utilisateur se connecte à un réseau sans fil non sécurisé, par exemple dans les établissements de commerce, les aéroports, les restaurants ou les hôtels. Ceci permet d’éviter le vol de données personnelles ou les tentatives d’usurpations des adresses IP. L’intégralité du trafic peut être redirigée vers un serveur séparé, ce qui rend l’appareil d’un utilisateur presque impossible à identifier par d’autres appareils utilisant le serveur d’une organisation.
À propos de Kaspersky Lab ?
Kaspersky Lab est une solution antivirus qui offre une protection puissante et en temps réel contre les malwares. Son interface est très facile à utiliser et son impact sur les performances de votre système informatique est quasiment nul.
Kaspersky offre également plusieurs fonctionnalités avancées, telles que la protection dans le cloud, la possibilité d’utiliser le VPN et le gestionnaire de mots de passe.
Des solutions multicouches pour plus de sécurité
Les logiciels de sécurité de nos jours ne se limitent plus aux antivirus. Les fournisseurs de services peuvent ajouter plusieurs moyens ou « couches de protection » pour protéger davantage vos appareils et votre infrastructure informatique contre les virus, les malwares, les ransomwares, les chevaux de Troie et bien d’autres autres menaces sur le web.
Le fait est que les pirates informatiques ne cessent de développer de nouveaux types de menaces, et les anciennes formes de malwares refont souvent surface ou se déclinent dans d’autres variantes encore plus inquiétantes. Parmi les organisations leaders dans le domaine de la protection web, on peut citer TitanHQ.
Si vous voulez bénéficier d’une protection antivirus et d’un système de protection à la pointe de la technologie, optez pour la technologie SpamTitan de TitanHQ. Cette solution s’appuie sur l’un des plus grands réseaux de collecte de menaces au monde. SpamTitan peut surveiller et enregistrer des milliers de menaces chaque seconde, qu’il s’agisse d’e-mails non sollicités, de tentatives de phishing, d’usurpation d’identité, de contenus illicites, etc.
Des centaines de tests avancés sont réalisés sur votre service de messagerie, ce qui vous permet de filtrer facilement les spams et d’autres formes de menaces de sécurité par e-mail. Et sachez que la solution SpamTitan continue d’évoluer. Il devient de plus en plus résistant au fil du temps, ce qui améliore continuellement votre protection.
Par ailleurs, SpamTitan est une solution flexible. Que vous soyez propriétaire d’une petite entreprise, d’une grande entreprise ou d’un fournisseur de services gérés (sur site ou dans le cloud), SpamTitan peut répondre de manière flexible à vos besoins.
SpamTitan utilise Bitdefender pour Sandboxing. Le Sandbox est un système sécurisé qui permet d’analyser les e-mails entrants en toute sécurité. Si un message est considéré comme malveillant, il sera bloqué et mis en quarantaine en tant que spam. Par contre, si le message ne représente aucune menace, il sera réanalysé par le moteur antivirus de Bitdefender avant d’être envoyé dans la boîte de réception du destinataire.
SpamTitan intègre également un antivirus secondaire – ClamAV – qui offre une excellente protection contre les attaques de malwares et de ransomwares diffusées via la messagerie électronique.
Ensemble, Bitdefender et ClamAV peuvent bloquer efficacement les malwares pour qu’ils n’arrivent pas dans les boîtes de réception des utilisateurs finaux.
On notera que le support du moteur antivirus de Kaspersky a été utilisé par SpamTitan pour ses versions antérieures à la version 7. À partir de la version 7, il a été remplacé par Bitdefender.
Le mot de la fin
De nos jours, la plupart des programmes antivirus sont accompagnés d’une période d’essai. Cela vous donne le temps de décider si vous les voulez vraiment ou non. La période d’essai est particulièrement utile lorsque vous avez des doutes quant à la fiabilité d’un produit particulier ou lorsque vous ne parvenez pas à choisir entre deux ou plusieurs solutions antivirus. Seuls, les essais gratuits vous permettront donc de les voir en action et de choisir la solution que vous jugez la mieux adaptée.
À noter que l’utilisation de deux ou plusieurs antivirus en même temps n’est pas recommandée. Ils finiront par considérer l’un ou l’autre comme un malware, ou rivaliseront afin d’éliminer les virus, ce qui réduira les performances de votre appareil.
Dans nos autres blogs, nous avons toujours mis l’accent sur le fait qu’un logiciel de sécurité, à lui seul, n’est pas suffisant pour vous protéger contre les nouvelles menaces web. C’est pour cela que les développeurs d’antivirus vous encouragent à utiliser plusieurs couches de sécurité. Au cas où les malwares ou les ransomwares parviendraient à passer une couche, ils devront encore faire face à une autre. Et à chaque nouvelle étape, les risques d’infection peuvent diminuer considérablement.
N’oubliez pas que le meilleur antivirus est… vos employés
Force est de constater que les virus et la plupart des malwares ont cédé la place à d’autres types de menaces plus inquiétantes. Celles-ci relèvent souvent de l’ingénierie sociale. Parmi tant d’autres, on compte les ransomwares, les spams malveillants, le blocage de navigateurs, etc.
Si auparavant, les hackers voulaient juste créer le chaos, de nos jours, ils veulent devenir riches grâce aux attaques cybercriminelles.
Les antivirus peuvent encore bloquer certaines menaces directes via des malwares, ou les intrusions par force brute. Pourtant, des études montrent que les employés peuvent aussi constituer la meilleure ligne de défense pour votre entreprise en matière de sécurité informatique.
Par exemple, un pirate peut se faire passer pour un fournisseur de service et demander le paiement d’une fausse facture à votre Directeur financier. L’adresse électronique de l’expéditeur peut sembler authentique et provenir du PDG. Le contenu du message peut également sembler légitime. Pourtant, l’e-mail peut inclure une pièce jointe infectée par un malware ou diriger sa victime vers une page web qui installe automatiquement un malware sur son appareil lorsqu’elle clique dessus.
À cause d’un simple clic sur un lien malveillant, sachez que le cybercriminel pourrait s’en tirer avec des dizaines de milliers de dollars. Et les dommages n’affectent pas seulement les résultats financiers de votre entreprise, mais aussi sa réputation.
Certains collaborateurs sont susceptibles d’adopter des comportements à risque, même lorsqu’ils sont conscients des menaces de ce genre. Et là, on ne parle pas seulement des collaborateurs de niveau inférieur. Les PDG sont aussi susceptibles de cliquer sur un lien intégré dans un e-mail malveillant.
Par conséquent, tous les membres de votre organisation devraient bénéficier d’une formation de sensibilisation à la cybersécurité. Celle-ci doit être continue pour être efficace à 100 %. Au fur et à mesure que les cybercriminalités évoluent, vos collaborateurs pourront ainsi comprendre la manière de les détecter et les éviter.
Le National Cybersecurity Institute (NCI), basé à Washington D.C., a déclaré : « Sans formation, les employés n’auront probablement pas les compétences ni les connaissances requises pour protéger efficacement les réseaux de leur entreprise contre les cyberattaques. » Ils devraient donc apprendre que certains comportements sont inacceptables, car ils représentent des risques potentiels en matière de sécurité.
SpamTitan offre aux entreprises une solution de cybersécurité vitale qui, outre le fait d’intégrer un antivirus standard, offre une approche proactive à votre sécurité. Combinée à une sensibilisation continue de vos employés, elle peut réduire considérablement le risque de réussite d’une attaque cybercriminelle.
Vous voulez en savoir plus sur notre solution de sécurité SpamTitan ? Obtenez un devis d’essai gratuit et sans obligation et évaluez si nos solutions conviennent à votre organisation.
Souvenez-vous, il y a un peu moins d’une décennie, de l’époque où Windows était connu pour ses attaques de malwares et où les ordinateurs Mac ne l’étaient pas ? Cette époque est révolue. Aujourd’hui, les malwares sont partout, et cette tendance est inquiétante.
En fait, Kaspersky Lab a récemment découvert dans quelle mesure un cheval de Troie d’accès à distance (RAT) est utilisé par les cybercriminels, mettant en évidence le risque de sécurité lié à Java Runtime Environment (JRE).
En 2013, les développeurs de malwares ont rebaptisé ledit malware Adwind RAT. Depuis lors, plusieurs variantes ont été nommées, notamment AlienSpy, jRat, JSocket, Sockrat et Unrecom.
Les pays dans lesquels les attaques d’Adwind ont été les plus fréquentes sont l’Algérie, l’Arabie Saoudite, l’Espagne, l’Inde, les Émirats arabes unis, les États-Unis, la Turquie et la Russie.
Les pirates mettent régulièrement à jour le malware afin d’échapper aux solutions de sécurité et continuent d’ajouter des couches d’obscurcissement.
A propos de Java Runtime Environment
L’environnement d’exécution Java est une couche logicielle qui s’exécute au-dessus du système d’exploitation d’un ordinateur et fournit les bibliothèques de classes et autres ressources dont un programme Java spécifique a besoin pour s’exécuter.
JRE est l’un des trois composants interdépendants qui permettent de développer et d’exécuter des programmes Java. Les deux autres composants sont :
Le kit de développement Java (JDK)
La machine virtuelle Java, (JVM)
JDK est un ensemble d’outils permettant de concevoir des applications Java. Les développeurs choisissent les JDK suivant la version de Java et de l’édition ou du package – Java EE (Java Enterprise Edition), Java SE (Java Special Edition) ou Java ME (Java Mobile Edition). Chaque JDK intègre un JRE compatible, car l’exécution d’un programme Java fait partie du processus de développement d’un programme écrit sous le langage JavaScript.
La machine JVM, quant à elle, exécute directement les applications Java. Chaque JRE comprend un JRE par défaut, les développeurs peuvent en choisir un autre selon leurs besoins spécifiques en ressources de leurs applications.
Le JRE combine le code Java créé à l’aide du JDK avec les bibliothèques qui sont nécessaires à son exécution sur une JVM. Ensuite, il crée une instance de la JVM qui exécute le programme résultant.
Les JVM sont disponibles pour de nombreux systèmes d’exploitation, et les programmes créés avec le JRE fonctionneront sur tous ces systèmes. De cette façon, l’environnement d’exécution Java est ce qui permet à un programme Java de s’exécuter dans n’importe quel système d’exploitation sans modification.
Comment fonctionne JRE ?
JRE et JDK interagissent l’un avec l’autre pour créer un environnement d’exécution durable qui permet l’exécution transparente d’applications basées sur Java dans pratiquement tous les systèmes d’exploitation. Voici les éléments qui constituent l’architecture d’exécution du JRE :
Class Loader
Le Class Loader de Java est un chargeur de classes. Il charge dynamiquement toutes les classes requises pour l’exécution d’un programme Java. Les classes Java ne sont pas chargées en mémoire que lorsqu’elles sont nécessaires et c’est le JRE qui utilise des ClassLoaders afin d’automatiser ce processus à la demande.
Le Class Loader en Java fonctionne selon trois principes :
La délégation
Le principe de délégation consiste à transmettre la demande de chargement de classe au chargeur de classe parent et de ne pas charger la classe que si le parent ne parvient pas à la trouver ou la charger.
La visibilité
Ce principe permet au chargeur de classe enfant de voir toutes les classes chargées par le Class Loader parent. A noter que le chargeur de classe parent ne peut pas voir les classes ayant été chargées par la classe enfant.
L’unicité
Le principe de l’unicité permet de charger une classe exactement une fois. Cette opération est réalisée par le biais d’une délégation et garantit que le Class Loader enfant ne recharge pas la classe ayant déjà été chargée par la classe parent.
Vérificateur de bytecode
Le vérificateur de bytecode garantit le format et l’exactitude du code Java avant qu’il ne soit transmis à l’interpréteur. Dans le cas où le code viole les droits d’accès ou l’intégrité du système, la classe sera considérée comme corrompue et ne sera donc pas chargée.
Le vérificateur de bytecode agit tel qu’un gardien. En réalité, il s’assure que le code transmis à l’interpréteur Java est en état d’être exécuté et est en mesure de s’exécuter sans aucun risque de casser l’interpréteur Java. Le code importé n’est pas autorisé à s’exécuter – quelque soit le moyen utilisé – tant qu’il n’a pas passé les tests du vérificateur. Une fois que la vérification terminée, un certain nombre de propriétés importantes peuvent être identifiées :
L’existence ou l’absence de sous-débordement ou de débordement de la pile des opérandes.
Les types des paramètres de toutes les instructions du bytecode peuvent être connus, ce qui permet de s’assurer qu’ils sont toujours corrects.
Le système peut reconnaître si les accès aux champs privés, publics ou protégés des objets sont légaux ou non.
Bien que toutes ces vérifications semblent détaillées, dès que le vérificateur de bytecode a fait son travail, l’interprète Java peut continuer et le code pourra s’exécuter en toute sécurité. La connaissance de ces propriétés rend l’interpréteur Java beaucoup plus rapide, car il de vérification du débordement de la pile ni vérification du type d’opérande. Par conséquent, l’interpréteur peut fonctionner à pleine vitesse sans compromettre la fiabilité du système.
Interprète
Après le chargement réussi du bytecode, l’interpréteur Java va créer une instance de la JVM. Celle-ci permet ensuite l’exécution native de Java sur la machine sous-jacente.
Le cheval de Troie d’accès à distance Adwind (RAT)
Kaspersky Lab a découvert que le cheval de Troie d’accès à distance Adwind (RAT), identifié en 2012, est largement utilisé par les cybercriminels pour attaquer les entreprises. Le RAT est fréquemment modifié pour éviter d’être détecté avec de nombreuses variantes actuellement utilisées dans la nature. Le RAT a de nombreux noms en plus d’Adwind, avec Alien Spy, JSocket, jRat, et Sockrat juste quelques-uns des noms des variantes des malwares Adwind.
Le RAT basé sur Java est maintenant loué à des gangs criminels pour leur permettre de mener leurs attaques opportunistes contre des entreprises et des individus, parfois pour des montants très faibles, de l’ordre de 20 euros.
Kaspersky Lab estime que le nombre de criminels qui utilisent actuellement ces malwares est passé à environ 1 800. On estime que le malware rapporte environ 170 000 euros par an aux auteurs. À ce jour, on estime que le RAT a été utilisé pour attaquer jusqu’à 440 000 utilisateurs.
La fréquence des attaques augmente également. Au cours des 6 derniers mois, environ 68 000 nouvelles infections ont été découvertes.
Le cheval de Troie d’accès à distance multiplateforme est écrit en Java. Il est entièrement fonctionnel sur Windows, et partiellement fonctionnel sur OS X. Il y a plusieurs choses à savoir sur cette menace spécifique et sur la façon dont les utilisateurs de macOS/OS X peuvent s’en protéger.
400 000 systèmes ont été infectés au cours des trois années
Le cheval de Troie d’accès à distance multiplateforme a été vendu ouvertement comme service à tous les types de pirates informatiques, des cybercriminels opportunistes et aux groupes de cyberespionnage. Il a été utilisé pour attaquer plus de 400 000 systèmes au cours de trois années.
Le RAT, qui, selon la variante, est connu sous les noms d’Adwind, Unrecom, AlienSpy, Frutas, Sockrat, jRat ou encore JSocket, témoigne du succès que peut rencontrer le modèle de malwares en tant que service pour les créateurs de malwares.
Adwind est écrit en Java et peut donc fonctionner sur tout système d’exploitation doté d’un moteur d’exécution Java, comme Windows, Mac OS X, Android et Linux. Il a été développé en continu depuis au moins 2012 et est vendu au grand jour via un site web public.
Comme la plupart des chevaux de Troie, Adwind peut être utilisé pour contrôler à distance les ordinateurs infectés dans le but de voler des fichiers, des frappes au clavier et des mots de passe enregistrés. Ceci permet au malware d’enregistrer des fichiers audio et vidéo via la webcam et le microphone de l’ordinateur ciblé, entre autres.
Comme il possède une architecture modulaire, les utilisateurs peuvent aussi installer des plug-ins qui étendent ses fonctionnalités.
L’auteur d’Adwind — que les chercheurs de Kaspersky Lab pensent être un hispanophone — vendait l’accès au malware sur la base d’un modèle d’abonnement, avec des prix allant d’environ 20 euros pour 15 jours à environ 250 euros par an.
Les acheteurs obtiennent un support technique et d’autres services qui leur permettent d’échapper à la détection de l’antivirus, des comptes de réseaux virtuels et des analyses gratuites avec plusieurs moteurs antivirus afin de s’assurer que leur échantillon n’est pas détecté lorsqu’il est déployé.
Selon Kaspersky Lab, depuis 2013, les cybercriminels ont tenté d’infecter plus de 440 000 systèmes avec différentes versions d’Adwind. Ils ont utilisé le malware dans environ 200 campagnes de spear-phishing qui ont touché environ 68 000 utilisateurs.
La dernière incarnation d’Adwind a été lancée en juin 2015 sous le nom de JSocket. Ce malware est toujours en vente.
En 2015, la Russie a été le pays le plus attaqué par ce type de malware, avec la Turquie et les Émirats arabes unis, ainsi que les États-Unis, l’Allemagne et la Turquie, selon les chercheurs de Kaspersky dans un blog.
Ils ont estimé qu’à la fin de 2015, il y avait environ 1 800 utilisateurs d’Adwind et de JSocket, ce qui place le revenu annuel des pirates à plus de 160 000euros.
Le grand nombre d’utilisateurs rend difficile la construction d’un profil des attaquants. Le malware pourrait être utilisé par n’importe qui, des escrocs de bas niveau aux cyberespions, en passant par les particuliers qui cherchent à surveiller leur partenaire ou leur conjoint.
Java continue d’être la principale cible des pirates
Des chercheurs travaillant avec le « Citizen Lab de la Munk School of Global Affairs » de l’Université de Toronto ont documenté les activités d’un groupe de pirates qui ciblaient des journalistes, des politiciens et des personnalités publiques de plusieurs pays d’Amérique du Sud. Une version antérieure d’Adwind — appelée AlienSpy — a été répertoriée comme l’un des malwares utilisés par le groupe.
Kaspersky Lab a aussi lancé une enquête approfondie sur Adwind après qu’une institution financière de Singapour a été ciblée par le biais d’e-mails frauduleux censés provenir d’une grande banque malaisienne. Cela faisait partie d’une attaque ciblée qui a été lancée par un pirate d’origine nigériane, se concentrant sur les institutions financières.
Malgré plusieurs tentatives de démanteler et d’empêcher les développeurs d’Adwind de distribuer le malware, le malware a survécu pendant des années et a connu des changements de marque et une expansion opérationnelle.
Adwind étant écrit en Java, il est distribué sous forme de fichier JAR (Java Archive). Il nécessite également le système Java Runtime Environment (JRE) pour fonctionner. Une méthode possible pour empêcher son installation est de changer l’application par défaut pour la gestion des fichiers JAR en quelque chose comme Notepad. Cela empêchera l’exécution du code et se traduira simplement par une fenêtre de bloc-notes contenant du texte charabia.
Bien sûr, si JRE n’est pas nécessaire aux autres applications installées sur un ordinateur ou aux sites Web visités par ses utilisateurs, il doit être supprimé. Malheureusement, ce n’est pas possible dans la plupart des environnements professionnels, car Java reste un langage de programmation majeur pour les applications professionnelles et reste l’une des cibles préférées des cybercriminels.
Plus d’un million d’e-mails de spam mensuels diffusent de nouvelles variantes d’Adwind
En 2017 Symantec a mis en garde les utilisateurs contre l’augmentation du nombre de spams qui diffusent de nouvelles variantes d’Adwind. Celles-ci peuvent surveiller l’activité des utilisateurs, enregistrer leurs frappes au clavier, effectuer des captures d’écran, télécharger des fichiers malveillants et enregistrer des fichiers audio et vidéo.
En fait, la marque a commencé à constater une augmentation du nombre de messages électroniques qui intègrent des fichiers JAR malveillants et qui diffusent Adwind au mois d’août 2017. Mais le phénomène s’est drastiquement accéléré. En octobre, le nombre de messages malveillants a atteint 1,55 million.
En d’autres termes, les cybercriminels ont lancé cette campagne à fort volume dans le but de profiter de la saison des achats des fêtes. Selon encore Symantec, le timing aurait pu donner aux pirates plus de temps pour utiliser les informations d’identification volées, étant donné que les victimes sont plus susceptibles de baisser leur garde pendant la saison des fêtes, car elles sont plus détendues et engagées dans d’autres activités festives.
Java est l’un des plus anciens langages de programmation informatique. Depuis sa création, la programmation s’est développée de manière spectaculaire. Actuellement, il continue d’être largement utilisé par les développeurs des logiciels personnalisés.
Cependant, contrairement à la croyance selon laquelle ce langage de codage est surtout utilisé dans le domaine de l’informatique, sachez qu’il trouve aussi son utilité dans le domaine commercial. De nombreuses caractéristiques de ce langage de programmation le rendent également adapté à l’usage professionnel. De plus, grâce à sa portabilité, son évolutivité, sa sécurité, son efficacité et sa compatibilité avec Android, Java est devenu incontournable dans le domaine des affaires.
Avez-vous géré efficacement les risques de sécurité liés à l’environnement d’exécution Java ?
La première chose que les utilisateurs de Mac doivent savoir est que le risque d’infection est élevé, et ce, pour de nombreuses raisons. Tous les utilisateurs d’ordinateurs doivent également savoir que, comme Adwind est écrit en Java, il est capable d’infecter tous les principaux systèmes d’exploitation où Java est pris en charge, notamment pour Windows, Mac, Android et Linux.
La dernière variante est connue sous le nom de JSocket. On pense que le malware est apparu pour la première fois à l’été 2015 et qu’il est encore largement utilisé.
Le RAT est le plus souvent répandu par des campagnes de phishing avec des utilisateurs dupés dans l’exécution du fichier Java, l’installation du cheval de Troie.
Bien que le RAT soit principalement distribué par le biais de campagnes de spams à grande échelle, certaines preuves ont été découvertes pour suggérer qu’il est utilisé dans le cadre d’attaques ciblées contre des individus et des organisations.
Il s’agit d’un malware multiplateforme qui peut être utilisé sur les systèmes Windows, Linux, Android et Mac OS. Il sert de backdoor permettant aux cybercriminels d’accéder au système sur lequel il est installé, ce qui leur permet de prendre le contrôle des dispositifs, de recueillir des données, d’enregistrer les frappes et d’exfiltrer les données.
Il est également capable de se déplacer latéralement. Il est entièrement écrit en Java et peut être utilisé pour attaquer tout système qui supporte l’environnement d’exécution Java.
Le risque de sécurité lié à Java Runtime Environment est considérable. Kaspersky Lab recommande à toutes les organisations de revoir leur utilisation de JRE et de la désactiver dans la mesure du possible.
Malheureusement, de nombreuses entreprises utilisent des applications basées sur Java, et la désactivation ou la désinstallation de JRE est susceptible de causer des problèmes. Cependant, il est essentiel de gérer le risque de sécurité à partir de Java Runtime Environment pour prévenir les infections dues à Adwind et ses variantes.
S’il n’est pas nécessaire d’installer JRE sur les ordinateurs, il faut le supprimer. Il s’agit d’un risque inutile qui pourrait entraîner la compromission d’un réseau d’affaires.
S’il n’est pas possible de désactiver JRE, il est possible de protéger les ordinateurs contre Adwind/JSocket. Comme ce logiciel malveillant est généralement envoyé sous la forme d’un fichier d’archives Java, il est possible d’empêcher l’exécution du code en modifiant le programme utilisé pour ouvrir les fichiers JAR.
Le fonctionnement du malware
Sur Softpedia.com, les chercheurs en sécurité de Catalin Cimpanu ont découvert une version de la RAT Adwind. Le malware a été distribué dans le cadre d’une campagne de distribution. En fait, il a déposé une charge utile spécifique à des ordinateurs Mac. Adwind RAT semble se propager dans le cadre d’une campagne de spam, ciblant des entreprises danoises.
Le programme malveillant fonctionne en envoyant des informations système et en acceptant les commandes d’un attaquant distant. Ces commandes peuvent ensuite être utilisées — entre autres — pour afficher des messages sur le système, mettre à jour le malware, ouvrir des URL, télécharger et exécuter des fichiers et télécharger ou charger des plug-ins.
Une quantité importante de fonctionnalités supplémentaires peut être fournie par les plug-ins téléchargeables, y compris des éléments comme des options de contrôle à distance et l’exécution de commandes shell.
Indépendamment de sa portée initiale, tous les spams ont été rédigés en anglais, de sorte qu’une extension à d’autres pays ne nécessite pas plus que la pression d’un bouton quelque part dans le panneau de contrôle des pirates.
Pourquoi Adwind est-il une menace pour les utilisateurs d’appareils Mac ?
Il est important de savoir que pour installer le malware Adwind, il faut que Java soit installé. Par défaut, OS X et macOS ne sont pas livrés avec Java. Par conséquent, pour exécuter le fichier, les utilisateurs de Mac doivent télécharger le JRE sur Oracle.com.
En outre, au fil des ans, Apple a ajouté un certain nombre de fonctions de sécurité à sa plate-forme Mac. Les systèmes macOS et OS X d’Apple offrent des fonctions de sécurité intégrées pour protéger les utilisateurs contre les fichiers de développeurs non identifiés. La plupart des utilisateurs de Mac sont protégés en limitant les téléchargements d’applications à l’aide de paramètres Gatekeeper sécurisés.
Dans Préférences Système, cliquez sur « Sécurité et confidentialité » puis « Général ». Gatekeeper doit être réglé sur « Autoriser les applications téléchargées depuis le Mac App Store » et les développeurs identifiés. Pour restreindre l’accès au Mac App Store uniquement, réglez-le sur « Mac App Store ».
Où s’installe le logiciel malveillant Adwind, et comment ?
Quelles que soient les préférences des paramètres de Gatekeeper, n’importe quel utilisateur, que ce soit par négligence ou intentionnellement, peut passer outre sa protection.
Si un utilisateur tente d’exécuter un fichier provenant d’un développeur non identifié qui est non signé par un certificat numérique Apple valide, Gatekeeper l’avertit. Par contre, il n’empêche pas complètement l’installation si l’utilisateur ignore l’avertissement.
Par exemple, en tentant d’exécuter le fichier RAT d’Adwind en double-cliquant dessus, les utilisateurs Mac verront apparaître une alerte Gatekeeper « Adwind Unidentified Developer ».
Pour passer outre Gatekeeper, les utilisateurs peuvent faire un « Control-Click » ou un « Right-Click » sur le fichier « Contournement de Gatekeeper Adwind ».
Et ce n’est pas le seul moyen de contourner la protection de Gatekeeper. L’attribut de quarantaine de Gatekeeper n’est pas appliqué si un utilisateur dépose un fichier localement d’un Mac à un autre. Par exemple, si vous téléchargez l’échantillon du RAT d’Adwind sur votre appareil Mac, décompressez l’archive protégée par mot de passe puis déposez le fichier sur un Mac distant dans votre réseau local.
Exécution du compte-gouttes
Si vous utilisez un système OS X ou macOS, lors de l’exécution du dropper Adwind, notamment lorsque le fichier malveillant est exécuté, il peut déposer son infection sur votre appareil. Un agent de lancement est créé, qui est ensuite utilisé pour lancer un chargeur destiné à télécharger des fichiers malveillants sur Internet ou à se connecter à des serveurs malveillants.
Comme susmentionné, pour exécuter ce fichier, l’utilisateur doit installer un « Java Developer Kit » depuis Oracle.com.
Selon les constats des chercheurs en sécurité d’Intego, si le kit est exécuté, Adwind RAT tente toujours d’ouvrir une connexion vers une URL spécifique.
Lors de l’exécution du fichier sur OS X, l’agent de lancement n’est pas créé, même lorsqu’il a été exécuté avec sudo. Cependant, les chercheurs d’Intego ont constaté qu’il pourrait être créé sous OS X Mavericks.
Le fichier malveillant écrit ensuite un certain nombre de fichiers sur l’ordinateur cible et se copie lui-même sur le disque.
Comment supprimer Adwind des ordinateurs Mac ?
Si vous votre ordinateur a été infecté par AdWind, alors vous devez immédiatement prendre des mesures pour supprimer non seulement le cheval de Troie mais aussi tous les scripts associés. Cela empêche le malware de causer de graves dommages, entraîner la perte de fichiers sensibles et de l’argent. Adwind peut également voler vos identifiants de connexion et causer une grave corruption de votre système.
Il est possible de supprimer manuellement Adwind RAT, mais c’est une tâche délicate et qui prend un certain temps. En fait, vous devez fouiller dans les fichiers enfouis profondément dans votre système Mac afin de trouver les dossiers et les applications qui ne semblent pas à leur place, puis les supprimer. Pour finir l’opération, vous devez redémarrer votre ordinateur. Cette solution pourrait vous aider, mais vous ne pouvez pas être certain qu’Adwind a disparu.
En cas d’infection, vous pouvez supprimer manuellement l’application Java, nommée « « BgHSYtccjkN.ELbrtQ » dans le dossier « Home ». Vous pouvez aussi supprimer manuellement le fichier de lancement malveillant « org.yrGfjOQJztZ.plist » du dossier « LaunchAgents ».
Pour supprimer l’application Java, choisissez le menu « Go », puis « Go to Folder ». Entrez ensuite le code suivant« /.UQnxIJkKPii/UQnxIJkKPii », puis cliquez sur « Go ».
Déplacez « BgHSYtccjkN.ELbrtQ » vers la corbeille. Les fichiers sont souvent déposés dans le dossier d’accueil. Il faut un chemin, comme « /Users/intego/.UQnxIJkKPii/UQnxIJkKPii/BgHSYtccjkN.ELbrtQ ».
Une autre solution consiste à utiliser un antivirus. Toutes les solutions antivirus ne sont pas équipées pour supprimer le cheval de Troie Adwind. Pour certains d’entre eux, il faut d’abord effectuer une mise à niveau si vous voulez vous assurer que la suppression est complète.
Conseils pour éviter d’être infecté par Adwind
Ce type de malware peut échapper à la détection en premier lieu. Il est donc essentiel de prendre toutes les mesures de sécurité nécessaires pour garder vos données en sécurité.
Maintenez votre système d’exploitation — y compris tous vos applications et logiciels — à jour, car c’est le premier endroit où les pirates peuvent exploiter les vulnérabilités.
Une fois encore, n’ouvrez pas les e-mails et ne cliquez pas sur les fichiers ou pièces jointes qui vous semblent suspects.
Une façon de vous protéger contre Adwind est de prêter attention aux messages contenant des pièces jointes .XLT et .CSV. Méfiez-vous également des pièces jointes qui portent des extensions comme .XCL, .HTM et .DB., surtout si vous ne reconnaissez pas l’expéditeur de l’e-mail. Tous ces formats de fichiers sont ouverts par défaut par Excel ou Numbers sur un appareil macOS, ce qui permet potentiellement au cheval de Troie Adwind d’accéder à votre appareil Mac.
Sécurisez toutes vos données importantes. Pour ce faire, il importe de créer des sauvegardes sur des disques durs externes, des CD, des DVD ou en vous fiant à une sauvegarde en ligne en utilisant Google Drive, Dropbox, entre autres. De cette façon, même si un logiciel malveillant vous attaque, vous éviterez une perte de données importante et vous pourrez facilement récupérer vos données.
Assurez-vous d’avoir un programme antivirus fiable installé sur votre ordinateur pour protéger vos précieuses données contre les nombreuses menaces en ligne. Il serait également plus sûr d’ajouter plusieurs couches de protection et d’utiliser une solution logicielle de cybersécurité proactive.
Comme la prévention est le meilleur remède, apprenez le plus possible sur la manière de détecter facilement les e-mails indésirables.
Utilisez un filtre antispam fiable comme SpamTitan
SpamTitan Cloud est notre filtre antispam basé dans le cloud, conçu pour les entreprises. SpamTitan Cloud est un service antispam, de blocage des malwares et de filtrage des e-mails solide comme le roc et plusieurs fois récompensé, conçu pour les entreprises.
SpamTitan a remporté un nombre incroyable de 36 prix consécutifs VB Bulletin Anti-Spam.
Comme son nom l’indique, il s’agit d’un service de filtrage d’e-mails basé dans le cloud, abordable et très facile à mettre en place. Il suffit de le configurer et de l’oublier.
SpamTitan Cloud ne nécessite qu’une assistance informatique minimale. La solution est construite sur la même technologie que SpamTitan Gateway et dispose d’un ensemble de fonctionnalités complet qui convient aux entreprises de toute taille. Elle est également idéale pour les fournisseurs de services gérés qui souhaitent offrir des services antispam à leurs clients.
La fonction de sandboxing de SpamTitan protège les entreprises contre les brèches et les attaques sophistiquées lancées via la messagerie électronique, en fournissant un environnement puissant qui permet d’exécuter une analyse approfondie et sophistiquée des programmes et fichiers inconnus ou suspects.
SpamTitan Cloud est également une couche de sécurité supplémentaire essentielle pour protéger votre réseau ou ordinateur contre les malwares et les attaques de type « zero day ».
Conclusion
Adwind est toujours aussi puissant et peut créer de graves dommages à votre appareil Mac. L’augmentation de l’activité des chevaux de Troie d’accès à distance comme Adwind signifie qu’il faut stopper les attaques au stade initial. Si vous votre ordinateur a été infecté par AdWind, prenez des mesures pour pouvoir le supprimer immédiatement.
Ayez une visibilité sur l’ensemble de votre réseau pour que vous puissiez détecter toute menace qui aurait échappée à votre première couche de sécurité. Mettez en œuvre des politiques de contrôle du pare-feu et du trafic réseau. Cela vous aidera à surveiller et à bloquer les ports et les connexions indésirables, ce qui contribuera à déjouer les pirates informatiques.
Enfin, outre l’utilisation de logiciels antivirus, pensez à déployer une couche de sécurité supplémentaire pour mieux protéger votre réseau contre les spams et les attaques de malwares.
Avez-vous géré les risques de sécurité liés à l’environnement d’exécution Java ? JRE est-il inutilement installé sur les ordinateurs utilisés pour accéder à votre réseau ?
