Un nouveau Fallout Exploit kit a été détecté qui est utilisé pour propager des chevaux de Troie et des logiciels de rançon le ransomware GandCrab. Le Fallout exploit kit est resté inconnu jusqu’en août 2018, date à laquelle il a été identifié par le chercheur en sécurité Nao_sec.
Zoom sur le nouveau Fallout exploit kit
Nao_sec a observé que le Fallout Exploit kit était utilisé pour fournir SmokeLoader – une variante de malware dont le but est de télécharger d’autres types de malware.
Nao_sec a déterminé qu’une fois SmokeLoader installé, il a téléchargé deux autres variantes de logiciels malveillants – une variante de logiciel malveillant inconnue auparavant et CoalaBot – un bot DDos HTTP basé sur le code August Stealer.
Depuis la découverte du Fallout exploit kit en août, les chercheurs de FireEye ont observé le téléchargement du logiciel de rançon GandCrab sur des appareils Windows vulnérables.
Alors que les utilisateurs de Windows sont ciblés par le groupe de menace derrière Fallout, les utilisateurs de MacOS ne sont pas ignorés. Si un utilisateur de MacOS rencontre Fallout, il est redirigé vers des pages web qui tentent de tromper les visiteurs en téléchargeant une fausse mise à jour Adobe Flash Player ou un faux logiciel antivirus.
Dans le premier cas, l’utilisateur est informé que sa version d’Adobe Flash Player est obsolète et doit être mise à jour. Dans ce dernier cas, l’utilisateur est informé que son Mac peut contenir des virus, et il est invité à installer un faux programme antivirus qui, selon le site web, supprimera tous les virus de son appareil.
Le Fallout Exploit kit est installé sur des pages Web qui ont été compromises par l’attaquant – des sites avec des mots de passe faibles qui ont été forcés à la brute et ceux qui ont des installations CMS obsolètes ou d’autres vulnérabilités qui ont été exploitées pour avoir accès.
Les deux vulnérabilités exploitées par le Fallout Exploit kit sont la vulnérabilité de Windows VBScript Engine – CVE-2018-8174 – et la vulnérabilité d’Adobe Flash Player – CVE-2018-4878, toutes deux identifiées et corrigées en 2018.
Le Fallout exploit kit tentera d’exploiter d’abord la vulnérabilité VBScript, et si cela échoue, une tentative sera faite pour exploiter la vulnérabilité Flash. L’exploitation réussie de l’une ou l’autre de ces vulnérabilités entraînera le téléchargement silencieux de GandCrab Ransomware.
La première étape du processus d’infection, si l’un ou l’autre des deux exploits réussit, est le téléchargement d’un cheval de Troie qui vérifie si certains processus fonctionnent, à savoir :
filemon.exe
netmon.exe
procmon.exe
regmon.exe
sandboxiedcomlaunch.exe
vboxservice.exe
vboxtray.exe
vmtoolsd.exe
vmwareservice.exe
vmwareuser.exe
wireshark.exe.
Si l’un de ces processus est en cours d’exécution, aucune autre mesure ne sera prise.
Si ces processus ne s’exécutent pas, une DLL sera téléchargée qui installera le ransomware GandCrab. Une fois les fichiers chiffrés, une note de rançon est déposée sur le bureau. Un paiement de 499$ par appareil est exigé pour déverrouiller les fichiers chiffrés.
Les kits d’exploitation ne fonctionneront que si le logiciel n’est pas à jour. Les pratiques de patch ont tendance à être meilleures aux États-Unis et en Europe, de sorte que les attaquants ont tendance à utiliser d’autres méthodes pour installer leurs logiciels malveillants dans ces régions. L’activité des kits d’exploitation est principalement concentrée dans la région Asie-Pacifique où les logiciels sont plus susceptibles d’être obsolètes.
La meilleure protection contre le Fallout Exploit kit est de s’assurer que les systèmes d’exploitation, les navigateurs, les extensions de navigateur et les plug-ins sont entièrement patchés et que tous les ordinateurs utilisent les dernières versions des logiciels.
Les entreprises qui utilisent des filtres web, comme WebTitan, seront mieux protégées car les utilisateurs finaux ne pourront pas visiter ou être redirigés vers des pages web connues pour héberger des kits d’exploitation.
Pour s’assurer que les fichiers peuvent être récupérés sans payer de rançon, il est essentiel que des sauvegardes régulières soient effectuées. Une bonne stratégie consiste à créer au moins trois copies de sauvegarde, stockées sur deux supports différents, dont une stockée en toute sécurité hors site sur un appareil qui n’est pas connecté au réseau ou accessible sur Internet.
Il y a des avantages et des inconvénients à filtrer Internet dans les bibliothèques.
Le sujet est à la fois sensible et complexe puisqu’il oblige les professionnels de l’information à faire un choix difficile. En effet, le fait de donner un accès Internet peut engager les responsabilités de l’établissement, à divers degrés, du fait des éventuels agissements délictueux des usagers. Par conséquent, il est important de trouver le bon équilibre entre la responsabilité de l’établissement et la liberté des usagers. Mais c’est plus facile à dire qu’à faire, notamment à cause du nombre croissant de textes qui régissent cette pratique.
Bien qu’il y ait des inconvénients potentiels au filtrage d’Internet, un nombre croissant de bibliothèques à travers le monde choisissent maintenant d’utiliser une solution de filtrage web.
Introduction
Vous souvenez-vous du début des années 1990, l’époque où nous étions si nombreux à penser qu’Internet n’était qu’une mode, un moyen de divertissement pour les personnes qui disposent de plus de temps et de ressources nécessaires pour se connecter. La plupart d’entre nous étaient réticents à adopter cette nouvelle technologie, et ce, pour deux principales raisons. D’une part, nous ne voulions pas dépenser de l’argent pour quelque chose qui était considéré comme éphémère et, d’autre part, nous ne comprenions pas encore la véritable utilité d’Internet.
Si auparavant, nous ne savions pas grand-chose en ce qui concerne l’Internet, actuellement, toute personne travaillant dans une bibliothèque vous dira que cette technologie est devenue si essentielle qu’il est désormais difficile d’imaginer travailler sans elle.
Les contenus disponibles sur le web sont devenus aussi important pour les bibliothécaires que les sources imprimées en termes de facilité d’accès et d’utilisation. De nombreuses organisations et établissements d’enseignement supérieur diffusent actuellement toutes sortes d’informations en ligne, réduisant au minimum les publications imprimées. Internet est tellement utilisé dans les établissements scolaires d’aujourd’hui que même le plus réticents d’avant ne peuvent plus nier qu’il devrait faire partie intégrante de nos systèmes éducatifs.
Mais au-delà des objectifs éducatifs, le web a aussi un côté sombre. En fait, il demeure difficile de contrôler tout ce qui se passe en ligne. Des images, des propos et d’autres informations non censurées peuvent être publiées facilement par pratiquement n’importe qui sur la toile. A titre d’exemple, la pornographie sur Internet est devenue un marché qui représente des milliards d’euros, et cette croissance va sans aucun doute se poursuivre dans les années à venir. Mais la pornographie n’est pas le seul domaine litigieux, car Internet peut également être utilisé comme moyen de communication privilégié pour les groupes racistes, la vente de drogues illicites, la propagande politique, la diffamation, la publication d’images violentes et d’autres contenus répréhensibles. De plus, les opérateurs de ces sites conçoivent leurs plateformes en ligne pour en faciliter et en encourager l’accès.
Les filtres web peuvent être la solution à ces problèmes, notamment pour protéger les enfants contre les contenus inappropriés. Selon ses fournisseurs de ces applications web, il suffit de choisir une solution fiable qui filtre les contenus inappropriés et vous n’avez plus à vous inquiéter des ressources auxquelles les étudiants peuvent accéder dans les bibliothèques. Oui, c’est aussi simple que cela si vous vous fiez à un fournisseur de services gérés spécialisé dans ce domaine. Malheureusement, d’autres organisations se contentent seulement de bloquer l’accès à Internet plutôt que de se soucier des éventuelles dérives.
Filtrage et blocage d’Internet : quelles est la différence entre ces deux notions ?
Certaines personnes, y compris les fournisseurs de logiciels et d’accès Internet et les législateurs qui devraient être les mieux placées pour le savoir, utilisent les termes « filtrage » et « blocage » d’Internet de façon plus ou moins interchangeable. Pourtant, il existe des différences importantes entre ces deux notions.
Les logiciels de blocage, ont pour rôle de refuser l’accès en fonction des URLs des sites inappropriés. Ils peuvent donc contenir des listes de milliers, voire de millions d’URL considérées comme renfermant des contenus offensants et ils ne permettent tout simplement pas l’accès à ces sites. L’inconvénient de ce concept est qu’il faut insérer chaque URL litigieuse dans le logiciel, ce qui ne peut se faire que si les concepteurs ou les fournisseurs des logiciels n’ont pas consulté et vérifié le site. Bien entendu, presque tous les fournisseurs mettent régulièrement à jour leur liste d’URL, mais ils ont toujours un retard dans l’inclusion de nouvelles adresses interdites.
De l’autre côté, le filtrage web consiste à refuser l’accès à certains sites sur la base de mots clés, comme les blasphèmes courants, les termes liés aux organes génitaux ou aux actes sexuels, etc. Ce concept peut aussi représenter une certaine limite. Si le filtre web refuse par exemple l’accès aux sites contenant le mot « sein », il pourra empêcher les étudiants dans les bibliothèques de consulter certains sites pornographiques. Cependant, il refusera également l’accès à d’autres sites qui contiennent des informations sur le cancer du sein, par exemple.
Imaginez un étudiant qui recherche des informations au sujet du musicien Ron Sexsmith ou sur le comte de Sussex, si la configuration d’un filtre web considère le terme « sex » comme l’un des mots-clés interdits, l’étudiant ne trouvera pas les informations dont il a besoin, même si ces pages ne contiennent rien d’offensant ou de pornographique.
Quels sont les avantages et les inconvénients du filtrage d’Internet dans les bibliothèques ?
Le contrôle des types de contenus accessibles via les ordinateurs des bibliothèques a suscité de nombreux débats. L’American Library Association (ALA), par exemple, ne recommande pas le filtrage d’Internet.
Pourtant, selon l’ALA, le blocage du contenu Internet dans les bibliothèques « compromet les libertés du premier amendement et les valeurs fondamentales de la bibliothéconomie ».
S’il est vrai que les bibliothèques sont des institutions d’apprentissage, il est particulièrement important de restreindre l’accès à certains types de contenus de sites web pour assurer la protection des enfants.
L’accès illimité à Internet signifie que les mineurs pourraient trop facilement voir des images qui pourraient leur causer du tort : la pornographie, par exemple.
L’ALA affirme qu’il vaut mieux s’attaquer au problème de l’accès inapproprié à Internet par le biais de programmes éducatifs plutôt que de restreindre l’accès.
Bien que l’ALA comprenne que les enfants doivent être protégés contre le contenu obscène et tout autre contenu potentiellement nuisible des sites web, enseigner aux enfants comment utiliser l’Internet correctement – et comment rechercher des informations – est considéré comme une mesure raisonnable pour limiter les dommages.
Cependant, pour les adultes, la formation est susceptible de s’avérer moins efficace. Si un adulte souhaite accéder à un contenu illégal ou inapproprié du site web, les politiques d’utilisation acceptables et les programmes éducatifs peuvent s’avérer inefficaces. Les enfants peuvent également choisir d’ignorer les règles de la bibliothèque et d’accéder à des contenus inappropriés.
Bien que de nombreux utilisateurs aient accueilli favorablement l’utilisation du filtrage d’Internet dans les bibliothèques pour restreindre l’accès à des documents obscènes ou illégaux, on s’est inquiété de la façon dont l’utilisation de filtres Internet pourrait limiter l’accès aux idées et aux renseignements précieux.
Le principal inconvénient du contrôle de l’accès à Internet dans les bibliothèques n’est pas la restriction de l’accès à certains types de contenu web qui ont peu ou pas de valeur éducative, mais le surblocage du contenu du site.
Certaines solutions de filtrage Internet n’ont pas de contrôles granulaires qui permettent aux bibliothèques de restreindre par inadvertance l’accès à des documents de valeur. Un exemple serait le blocage du contenu à caractère sexuel.
Comme susmentionné, le fait de bloquer le contenu à caractère sexuel empêcherait la pornographie d’être visionnée, mais pourrait également fournir des informations précieuses sur l’éducation sexuelle : Maladies sexuellement transmissibles ou informations sur les questions LGBT par exemple.
Cependant, avec la bonne solution, il est possible de contrôler soigneusement le contenu d’Internet sans bloquer accidentellement du matériel pédagogique précieux.
Les ransomwares constituent une menace importante pour les bibliothèques
Si les pirates préféraient cibler les hôpitaux, les entreprises et les entités gouvernementales, aujourd’hui, les établissements d’enseignement sont également devenus des cibles potentielles.
Les attaques de ransomware sont devenues de véritables menaces, car elles permettent aux pirates de chiffrer, verrouiller des données sensibles et d’exiger une rançon pour permettre à leurs victimes de les libérer.
L’impossibilité d’accéder aux données sensibles peut être catastrophique pour les membres des bibliothèques, entraîner des pertes financières non-négligeables ou nuire à la réputation de l’organisation. Oui, les ordinateurs dans les bibliothèques sont tout aussi susceptibles de faire l’objet de rançon et la perte d’accès à des informations personnelles, y compris les photos de famille, les vidéos et d’autres documents appartenant aux élèves et étudiants.
Lorsqu’un étudiant accède à son compte de messagerie, il voit un message qui lui est adressé et il est susceptible de l’ouvrir. Il peut ensuite cliquer sur une pièce jointe qui semble légitime, mais qui contient en fait le code malveillant du ransomware. Le message peut aussi contenir un lien qui redirige l’utilisateur vers un site web d’apparence légitime. Pourtant, lorsqu’il clique dessus, il atterrit sur un site web malveillant pouvant infecter l’ordinateur qu’il utilise avec un malware.
Une fois que l’infection est présente, le malware peut chiffrer les fichiers et les dossiers des disques locaux, des disques de sauvegarde de la bibliothèque et éventuellement d’autres ordinateurs qui sont connectés au même réseau. Il est fort possible que les responsables de la bibliothèque ne sachent pas que leur système informatique a été infecté par le malware jusqu’au moment où ils ne peuvent plus accéder à leurs données ou jusqu’à ce qu’ils commencent à voir des messages informatiques qui leur demandent une rançon en échange d’une clé de déchiffrement de leurs données sensibles. Ces messages comprennent souvent des instructions sur la manière de payer la rançon qui, dans la plupart des cas, se fait en Bitcoin pour garder l’anonymat des pirates.
Quelques exemples d’attaques de ransomwares contre les bibliothèques
Il y a 2 ans, une attaque de ransomware a paralysé les bibliothèques de St Louis. Les pirates exigeaient des rançons en Bitcoin. Leurs activités ont dû être arrêtées lorsque tous les ordinateurs de toutes les bibliothèques de la ville de St Louis ont été infectés par des ransomwares.
Plus précisément, les pirates ont exigé plus de 31 000 euros pour restaurer les systèmes après la cyberattaque ayant infecté touché 700 ordinateurs dans les 16 bibliothèques publiques de la ville. La chaîne CNN avait rapporté que l’autorité a refusé de payer la rançon qui permettait de déverrouiller les machines. Par contre, elle a décidé d’effacer tous leurs systèmes informatiques puis de les reconstruire à partir de zéro. C’est une solution qui avait pris des semaines, mais les responsables des bibliothèques publiques de St Louis ont annoncé avoir réussi à reprendre le contrôle de leurs serveurs, même si le personnel technique était encore contraint de travailler pour rétablir les services d’emprunt.
En plus d’empêcher la saisie du système de prêts, empêchant ainsi les élèves et étudiants d’emprunter ou de retourner les livres, l’attaque a gelé tous les ordinateurs. Personne ne pouvait donc accéder aux quatre millions d’articles qui devaient être disponibles dans les bibliothèques concernées.
Certaines villes ont été aussi très malchanceuses puisqu’elles ont été frappées plusieurs fois par des attaques de ransomware. Le district scolaire de Middletown au Connecticut a, par exemple, été la cible des pirates en 2018, et encore en mai 2019. De même, la bibliothèque du comté de Daviess à Owensboro (Kentucky) a été attaquée en avril, puis de nouveau au mois de juillet 2019. Les autorités locales ont dû faire une analyse minutieuse pendant de longues périodes pour s’assurer que les criminels ne reviennent plus après une attaque réussie.
Les élèves, étudiants et personnels des bibliothèques devraient donc garder à l’esprit qu’Internet, bien qu’il soit un outil de recherche et de divertissement précieux, peut représenter des menaces. Le filtrage du contenu est une nécessité, mais le blocage de certains sites ne doit pas empêcher d’autres sites qui ne sont pas répréhensibles d’être consultés.
Le filtrage de contenu Internet aide les bibliothèques à atteindre les objectifs d’inclusion numérique
Le débat sur les avantages et les inconvénients du filtrage d’Internet dans les bibliothèques va probablement se poursuivre pendant un certain temps encore, bien que pour de nombreuses bibliothèques, la décision ne porte plus autant sur les libertés du premier amendement que sur l’argent.
Les bibliothèques font face à des pressions financières considérables, qui peuvent être atténuées grâce à des subventions des États et du gouvernement fédéral.
Des subventions en vertu de la Loi sur les services de bibliothèque et la technologie sont disponibles, bien que des fonds puissent être reçus, à moins qu’un filtre de contenu Internet ne soit en place, ces fonds ne peuvent être utilisés pour la technologie Internet, ce qui peut limiter la capacité des bibliothèques à atteindre leurs objectifs d’inclusion numérique et à mieux servir les communautés locales.
La Children’s Internet Protection Act américaine exige par exemple que les bibliothèques mettent en place un filtre Internet pour bloquer les images obscènes, la pornographie juvénile et d’autres images qui pourraient nuire aux mineurs. La conformité n’est pas obligatoire, bien qu’il s’agisse d’une condition préalable à l’obtention de certaines subventions et rabais dans le cadre du programme E-rate.
La loi de protection des mineurs sur Internet (Children’s Internet Protection Act)
Le Children’s Internet Protection Act (CIPA) est l’un des principaux textes qui régissent l’utilisation de l’Internet dans les bibliothèques. Il a été mis en place par le gouvernement fédéral américain dans le but de contrôler l’accès à l’Internet dans les espaces publics. Bien entendu, ce n’est pas la première initiative qui vise à restreindre certains contenus sur les ordinateurs publics.
D’autres mesures ont déjà été lancées pour réglementer, sinon restreindre, les contenus inadaptés en ligne, comme le décret sur la communication décente ou Communications Decency Act (CDA). On peut également citer le décret sur la protection en ligne de l’enfant appelé Child Online Protection Act (COPA).
Le CDA était jugé comme un texte anticonstitutionnel dans la mesure où il violait les droits liés au premier amendement. Le gouvernement fédéral a donc tenté de réglementer ce texte en stipulant, via un décret, que le fait d’envoyer intentionnellement des contenus « indécents » à des mineurs est considéré comme un crime. C’est ce qui a conduit à la création du COPA. Ce texte a poussé un peu plus loin le concept du CDA en y ajoutant que la transmission de contenus jugés « dangereux pour les mineurs » — au cas où elle serait effectuée dans un but commercial — est prohibée.
Une fois encore, ces deux décrets avaient des limites. Ils se contentaient de définir vaguement les termes. La signification du terme « commercial » était, par exemple, confuse. Il était également difficile de savoir à qui incombe le rôle de déterminer les standards communautaires de « décence ».
Force est de constater que le COPA, contrairement au CIPA, ne visait pas réellement les bibliothèques, mais plutôt le secteur privé. Ce n’est qu’en 2000 que le Congrès des États-Unis a accepté et promulgué que ce décret concerne aussi les écoles publiques et les bibliothèques.
Ainsi, les bibliothèques qui veulent recevoir un financement pour acheter des ordinateurs qui vont servir à l’accès Internet doivent mettre en place une politique qui renforce la sécurité des mineurs. Cette mesure comprend la protection technologique de tous les ordinateurs connectés, empêchant ainsi l’accès à des images visuelles obscènes, à la pornographie infantile ou aux contenus dangereux pour les mineurs.
L’ALA ne recommande pas, du moins à l’heure actuelle, l’utilisation du filtrage d’Internet dans les bibliothèques
Cette institution soutient que l’utilisation de logiciel de filtrage des discours constitutionnellement protégés dans les bibliothèques est contradictoire avec la constitution des États-Unis. La loi fédérale devrait donc engager des poursuites judiciaires à l’encontre des établissements qui le font.
Selon l’ALA, l’utilisation de logiciels de filtrage est contre le premier amendement, mais elle risque aussi de ne pas permettre aux usagers d’accéder à toutes les informations pertinentes dont ils ont besoin pour s’informer efficacement.
Bien que l’organisation concède que certaines bibliothèques comptent sur le financement fédéral ou étatique pour fournir aux usagers des ordinateurs et un accès Internet.
Le message à ces institutions est de choisir une solution qui « atténuera le plus possible les effets négatifs du filtrage ».
Les bibliothèques peuvent mettre en place une solution de filtrage de contenu Internet pour bloquer le niveau minimum de contenu afin de se conformer aux réglementations nationales et fédérales. Des politiques peuvent être mises en œuvre pour permettre au contenu d’être débloqué, s’il a été bloqué par inadvertance par une solution de filtrage de contenu.
Il est alors possible de recevoir un financement qui leur permettra de mieux servir leurs communautés et d’atteindre les objectifs d’inclusion numérique, tout en s’assurant que les enfants – et dans une moindre mesure les adultes – sont protégés de façon appropriée.
En France, que disent les textes ?
D’une manière générale, internet a été conçu pour être accessible gratuitement au grand public. De ce point de vue, les bibliothèques ne sont pas tenues de recueillir des informations concernant l’identité des usagers à qui elles proposent ce privilège. Ces derniers peuvent même utiliser un pseudo pour se connecter et disposer d’un espace personnel. Pourtant, les responsables des bibliothèques doivent être capables d’identifier l’ordinateur qui a fait l’objet d’un usage illicite via une adresse IP fixe.
L’autre obligation qui s’impose à ce genre d’établissement est aussi de remettre, en cas de besoin, une réquisition judiciaire ou administrative des logs de connexion et toutes les informations qu’il détient. Il incombe donc aux services chargés de l’enquête de recouper les informations disponibles dans le but de retrouver la personne ayant commis l’infraction. La durée de conservation de ces informations est toutefois limitée à un an.
En ce qui concerne la sécurisation des ordinateurs, la loi n’impose pas le filtrage des accès Internet des appareils mis à la disposition des usagers. Le fait de mettre en place un filtre pour bloquer certains sites pénalement répréhensibles ne ferait que limiter la responsabilité des bibliothèques en cas de réquisition judiciaire.
Il y a aussi un autre enjeu de taille : la lutte contre le terrorisme. Selon la loi antiterroriste du 23 janvier 2006, les fournisseurs d’accès Internet (FAI) doivent conserver pendant un an les données de connexion, mais cette mesure a été étendue à tous les établissements qui offrent un accès à l’Internet à leur public. De ce fait, grâce à la loi dite Hadopi (Haute Autorité pour la diffusion des œuvres et la protection des droits d’auteur), il est possible de dissocier les obligations des FAI de celles des bibliothèques qui proposent un accès Internet. Selon l’injonction écrite de la Hadopi, la responsabilité d’une bibliothèque ne devrait être engagée que pour les usages illicites commis à partir des ordinateurs connectés au réseau et qui ont été mis à la disposition des usagers si les postes n’ont pas été sécurisés.
Aucun de deux décrets susmentionnés n’oblige donc les bibliothèques à identifier les utilisateurs des ordinateurs qui ont été mis à leur disposition. Par ailleurs, elles ne sont pas obligées de conserver des informations nominatives qu’elles devraient remettre aux autorités compétentes lors d’une enquête ordonnée par un juge, au titre de la loi Hadopi. Elles ne sont même pas contraintes de filtrer à titre préventif les accès Internet.
Le problème est que, selon une enquête menée par l’Agence du numérique en 2017, trois à quatre personnes sur dix affirment être non compétentes – pas très ou pas du tout – pour utiliser les produits technologiques au quotidien, à l’instar de l’Internet. Ajoutez à cela le nombre croissant des menaces cybercriminelles sur le web et le risque que les usagers soient exposés à des contenus inadaptés (contenus à caractère pornographique, incitations à la violence, discussions non modérées, etc.).
WebTitan, la solution idéale de filtrage Internet pour les bibliothèques
Avec WebTitan, les bibliothèques peuvent contrôler l’accès à Internet pour satisfaire aux exigences de la CIPA et bénéficier de rabais et de subventions, tout en atténuant les effets négatifs du contrôle d’Internet.
WebTitan est à la fois un logiciel de filtrage et de blocage sophistiqué, doté de contrôles très granulaires permettant aux bibliothécaires de contrôler avec précision les types de contenu web auxquels les utilisateurs peuvent accéder sans surbloquer le contenu web.
Dans le cas où un utilisateur souhaite débloquer du contenu web, les demandes peuvent être facilement traitées par le personnel de la bibliothèque. Aucune compétence technique n’est requise.
Les cloud keys permettent d’utiliser les ordinateurs de la bibliothèque avec tous les contrôles de filtrage contournés, au cas où les utilisateurs ou le personnel auraient besoin d’accéder à du contenu qui serait autrement bloqué.
Voici les principaux atouts de WebTitan :
Il est basé dans le cloud. De ce fait, vous n’avez plus besoin d’installer un logiciel de blocage d’Internet supplémentaire.
Le déploiement de la solution est simple et rapide (moins de 5 minutes). Pour ce faire, vous devez simplement rediriger votre DNS vers les serveurs WebTitan pour protéger votre bibliothèque et les utilisateurs d’Internet des menaces en ligne.
WebTitan peut filtrer à la fois les URLs en HTTPS et HTTP.
Si votre établissement propose une connexion sans fil, TitanHQ vous propose une solution de filtrage fiable : WebTitan Cloud for WiFi. En utilisant cette solution, tout appareil qui se connecte à votre réseau WiFi ne pourra accéder qu’à des contenus et services Internet filtrés.
Vous pouvez placer des blocs sur l’anonymiseur d’adresse IP pour empêcher le contournement des contrôles de filtrage.
Le filtrage DNS de WebTitan Cloud for WiFi permet de protéger les périphériques mobiles, même ceux utilisés hors site.
Pour en savoir plus sur l’utilisation de WebTitan dans les bibliothèques, contactez TitanHQ dès aujourd’hui. Vous bénéficierez d’une assistance complète pour configurer WebTitan pour une période d’essai gratuite de 14 jours et découvrirez par vous-même à quel point il est facile de répondre aux exigences de la CIPA sans bloquer le contenu du site.
Conclusion
En général, les bibliothécaires de nos jours croient fermement au libre accès à l’information et à la liberté intellectuelle. Cependant, ils reconnaissent aussi que le fait de permettre aux mineurs de consulter des sites Internet inappropriés peut causer beaucoup de préjudices aux étudiants et à l’organisation. Les logiciels de filtrage web constituent une solution qui peut résoudre ce dilemme.
Depuis leur apparition au début des années 1990, les logiciels de blocage d’Internet ont sur-bloqué les contenus en ligne en refusant l’accès à de nombreux sites web éducatifs. D’autres logiciels ont également sous-filtré les ressources en ligne, permettant ainsi aux étudiants d’accéder à des sites web inacceptables.
En fait, les logiciels de blocage d’Internet n’ont pas encore la capacité humaine de porter des jugements de valeur. Ils ne peuvent pas distinguer les contenus acceptables de ceux qui sont sensibles. Les développeurs de ces solutions se contentent donc de mettre à jour leurs application en ajoutant de nouvelles URL, de nouveaux mots-clés, même si cela ne se fait souvent qu’après que les sites aient été consultés et signalés comme inappropriés.
Heureusement, TitanHQ propose désormais une solution qui permet de contourner ces problèmes. Notre logiciel de filtrage d’Internet met à jour la liste des URL malveillants, les sites de phishing et les sites susceptibles de télécharger des malwares, et ce, en temps réel.
Pour se conformer aux réglementations en vigueur ; pour bénéficier de certaines subventions dans le cadre du programme E-rate et pour se protéger contre les nombreuses menaces en ligne, les bibliothèques devraient donc penser à utiliser WebTitan et WebTitan for WiFi, sans oublier de mettre en place des politiques claires et non ambiguës pour éviter l’utilisation abusive de l’Internet.
FAQs
Pourquoi les bibliothèques utilisent-elles des filtres Internet ?
Le filtrage web permet aux bibliothèques de garantir la protection des mineurs lorsqu’ils naviguent sur le web avec les ordinateurs de la bibliothèque ou à partir d’appareils personnels connectés aux réseaux WiFi de l’établissement. Les filtres web peuvent par exemple bloquer l’accès à tous les contenus à caractère sexuel ou inappropriés pour les mineurs.
Que fait le filtre web ?
Le filtre web est une technologie qui permet d’empêcher les utilisateurs de consulter certaines URL ou certains sites web en empêchant leurs navigateurs de charger les pages de ces sites. Il peut être conçu de différentes manières et offre diverses solutions pour un usage individuel, institutionnel ou d’entreprise.
Le filtrage d’Internet est-il vraiment mauvais pour les bibliothèques ?
Certaines personnes qui sont contre le filtrage web dans les bibliothèques avancent que cette solution est coûteuse à mettre en place et à entretenir. De plus, les élèves devraient apprendre à faire des recherches via d’autres moyens, plutôt que de se fier uniquement aux informations qu’ils trouvent sur internet. De plus, ils risquent de ne pas se concentrer sur leurs activités et leurs leçons dans la salle de classe, en passant beaucoup de temps sur les sites de jeux et les médias sociaux.
Et pourquoi certaines personnes soutiennent-elles l’utilisation d’un filtre web dans les bibliothèques ?
L’accès à Internet permet aux étudiants de se tenir au courant d’informations qui ne figurent pas souvent dans les manuels scolaires. D’autres ressources ayant été publiées dans un format traditionnel pourraient également être dépassées. Avoir accès aux informations actualisées permet aux étudiants d’améliorer leurs connaissances, et les recherches le confirment.
Comment résoudre le dilemme entre l’intérêt de l’utilisation ou le bannissement du filtrage web dans les bibliothèques ?
Même si les logiciels de filtrage web ne peuvent pas filtrer à 100 % tous les contenus inappropriés pour les utilisateurs d’internet dans les bibliothèques, ils sont capables de bloquer la plupart des contenus offensants et distrayants. De plus, un filtre web comme WebTitan peut protéger les réseaux informatiques de bibliothèques contre les attaques de malwares, l’accès des mineurs à des contenus inappropriés pour eux.
2016 n’a pas été une bonne année pour la cybersécurité.
Les atteintes à la protection des données et les cyberattaques ont pris des proportions historiques au fil des ans, faisant de 2016 la pire année en matière de sécurité pour le gouvernement, les entreprises et les utilisateurs individuels jusqu’à présent. Le danger avec ces violations est qu’elles ont la capacité de faire tomber des entreprises et de causer de graves dommages à leur réputation, leurs finances et leurs utilisateurs.
Les plus grands hacks de 2016 ont démontré que beaucoup de données Internet ne sont toujours pas sécurisées. Il y avait les piratages typiques facilités par le spear phishing ainsi que certains piratages menaçants de l’Internet des objets (IoT) qui n’augurent rien de bon pour l’avenir.
Industrie juridique
Les cabinets d’avocats, en particulier ceux impliqués dans les fusions et acquisitions, ont été ciblés en 2016. Les pirates recherchent des informations non publiques sur les entreprises à des fins de délit d’initié. En mars 2016, une cinquantaine de cabinets d’avocats, dont les géants Cravath Swaine & Moore LLP et Weil Gotshal & Manges LLP, ont été victimes d’un groupe de pirates informatiques russes appelé Oleras. À la suite de l’atteinte à la protection des données, des plans ont été annoncés en vue d’intenter un recours collectif contre les entreprises attaquées au sujet de l’exposition des renseignements sur les clients.
Encore une fois, en décembre, Cravath a été harponnée, probablement pour découvrir des informations sur l’énorme projet de fusion de Time-Warner et d’AT&T. Le magazine Fortune a affirmé que l’atteinte à la protection des données s’inscrivait dans le cadre d’une initiative plus vaste du gouvernement chinois.
Toujours en décembre, le procureur général de New York a mis en garde contre une escroquerie qui consistait à envoyer des courriels à des avocats se faisant passer pour des avocats de son bureau.
L’atteinte à la protection des données du Panama Papers a été la plus importante impliquant un cabinet d’avocats en 2016. La firme panaméenne attaquée était Mossack Fonseca, qui vend des sociétés offshore anonymes qui peuvent servir à blanchir des fonds illégaux. Un dénonciateur a fourni au Süddeutsche Zeitung environ 2,6 téraoctets de données sur les politiciens, les criminels, les athlètes professionnels, etc. Environ 400 journalistes du monde entier ont participé à la recherche sur les 11,5 millions de documents constitués de courriels, de fichiers pdf, de fichiers photos et d’extraits d’une base de données interne Mossack Fonseca. Les données couvrent une période allant des années 1970 au printemps 2016. Il y a environ deux ans, le dénonciateur avait déjà fourni des données sur quelques centaines de sociétés offshore ; les Panama Papers concerne environ 214.000 sociétés.
La fuite a eu de profondes conséquences dans le monde entier. « Le point principal ici est que nous pouvons relier les entreprises de la fuite de Panama non seulement avec des crimes économiques comme le blanchiment d’argent, » a déclaré Simon Riondet, chef du renseignement financier d’Europol, « mais aussi avec le terrorisme, les OCG russes [Organized Crime Groups], le trafic de drogue, la traite des êtres humains, l’immigration illégale,[et] la cybercriminalité. »
Industrie de la santé
Depuis le 1er janvier 2017, la Californie s’est associée joint au Wyoming pour faire de l’utilisation de ransomwares un crime autonome. La loi est le résultat de l’attaque du Hollywood Presbyterian Medical Center en février 2016. Les pirates ont pris le contrôle de quelques centaines d’ordinateurs, demandant 3,6 millions de dollars en rançon. Hollywood Presbyterian a finalement payé 17 000 $ pour faire partir les hackers.
Quest Diagnostics a été ciblé en décembre. L’atteinte à la protection des données portait sur les noms, les dates de naissance, les résultats de laboratoire et certains numéros de téléphone, pour un total de 34 000 dossiers.
Banner Health a découvert que les cyberattaquants ne cherchent pas toujours à voler les données des patients. Pendant deux semaines au cours de l’été, des pirates informatiques ont recueilli des données sur les cartes de paiement dans certains points de vente d’aliments et de boissons de Banner. Les attaquants ont intercepté jusqu’à 3,7 millions de noms de titulaires de cartes, de numéros de cartes, de dates d’expiration et de codes de vérification internes au fur et à mesure que les données passaient dans leurs systèmes de traitement des paiements.
Gouvernement
Des rapports continuent de faire surface concernant le piratage des élections américaines par la Russie. De nombreuses sources affirment que l’objectif était d’influencer les électeurs en faveur de Donald Trump. Cela serait conforme au calendrier et à la cible des attentats au début de l’année. Plus de 19 000 courriels de responsables du DNC ont été publiés sur WikiLeaks immédiatement avant la convention nationale du parti démocrate (DNC). Apparemment, la DNC était une cible facile parce qu’elle ne disposait pas d’un service avancé de filtrage des spams. Plus tôt dans l’année, le Comité national démocrate et le Comité de campagne du Congrès démocrate ont été piratés par un groupe de Russes appelés les ducs (TheDukes).
Selon un rapport publié par les services de renseignement américains en janvier 2017, la Russie a utilisé des outils d’attaque typiques pour exfiltrer les données. Elle a complété ces attaques par des campagnes de diffamation non seulement au sein du gouvernement russe et des médias contrôlés par l’État, mais aussi par l’intermédiaire de tiers intermédiaires et d’utilisateurs de réseaux sociaux rémunérés ou « trolls ». En outre, après le jour des élections, les services de renseignement russes ont lancé une campagne de spear phishing ciblant les employés du gouvernement américain et les personnes associées aux groupes de réflexion et ONG américains dans les domaines de la sécurité nationale, de la défense et de la politique étrangère.
L’une des plus grandes brèches gouvernementales de l’histoire a eu lieu en mars lorsque 55 millions de documents ont été volés à la Commission électorale des Philippines (COMELEC). Tout a commencé avec le groupe hacktiviste Anonymous qui a publié un message sur le site web du COMELEC avertissant le gouvernement de ne pas interférer avec les élections aux Philippines. Ensuite, toute la base de données COMELEC a été volée et mise en ligne sur de multiples serveurs miroirs disponibles en téléchargement. La base de données contenait des renseignements permettant d’identifier personnellement chaque électeur philippin inscrit, y compris des renseignements sur son passeport et ses empreintes digitales.
Vente au détail
Il y a eu moins de brèches dans l’industrie de la vente au détail qu’en 2015, année où Home Depot et Target ont été la cible d’attaques massives. Il y avait quand même de quoi s’inquiéter.
En juillet, la Corée du Sud a accusé la Corée du Nord d’avoir volé 20 millions de disques à Interpark, un centre commercial en ligne. La Corée du Sud prétend que le but était d’obtenir des devises étrangères. Interpark a reçu un message anonyme menaçant de rendre publique la fuite de données personnelles à moins de payer l’équivalent de 2,6 milliards de dollars en monnaie sud-coréenne.
Le fabricant de jouets VTech a connu une violation de 6,4 millions de comptes d’enfants en décembre 2015. La tendance s’est poursuivie avec le piratage de 3,3 millions de comptes chez Sanrio, probablement mieux connu pour les produits Hello Kitty. Les dossiers comprenaient les noms, les dates d’anniversaire non chiffrées, le sexe, le pays d’origine, les adresses électroniques, les hachages de mots de passe SHA-1 non salés et les questions et réponses aux indices de mots de passe. En tant qu’adulte, le fait d’avoir de telles données personnelles révélées est déjà assez grave. Cependant, comme la plupart des parents ne surveillent pas le dossier de crédit de leur enfant, toute fraude découlant du piratage pourrait ne pas être détectée avant des années.
En novembre, une ouverture de session d’employé a été utilisée pour accéder aux serveurs de Three Mobile. Les informations prétendument privées des deux tiers des neuf millions de clients de l’entreprise auraient pu être exfiltrées.
Le service de messagerie instantanée Telegram a connu la plus importante brèche connue dans un système de communications chiffrées de bout en bout en août. Le talon d’Achille du système de Telegram était l’utilisation de messages texte SMS pour activer de nouveaux appareils. Des pirates associés au gouvernement iranien ont intercepté les messages et utilisé les codes pour ajouter de nouveaux dispositifs aux comptes de Telegram. Ensuite, les pirates pouvaient lire l’historique des chats et surveiller les nouveaux messages pour les comptes. Plus d’une douzaine de comptes ont été touchés. En outre, les numéros de téléphone de 15 millions d’utilisateurs iraniens ont fait l’objet de fuites.
Les fuites de données qui touchent toutes les industries
Toutes les entreprises ont été potentiellement touchées par le piratage de SWIFT. La Society for Worldwide Interbank Financial Telecommunication (SWIFT) fournit un réseau qui permet aux institutions financières du monde entier d’envoyer et de recevoir des informations sur les transactions financières.
Après une attaque malveillante contre une banque bangladaise, qui s’est soldée par un vol de 81 millions de dollars, SWIFT a publié un correctif logiciel qui détecte le malware attaquant. En septembre, l’organisation a annoncé une série de contrôles de sécurité obligatoires. Les clients doivent démontrer chaque année que ces contrôles sont en place à compter de 2018.
Ciblage des dispositifs IoT – Fuites de données dans l’Internet des Objets
Les cybercriminels ont ciblé les dispositifs Internet des objets (IoT) tels que les webcams, les téléviseurs et les enregistreurs numériques dans une bien plus large mesure qu’auparavant. Étant donné que Gartner prévoit qu’il y aura 20,8 milliards de dispositifs IoT d’ici 2020, il semble probable que l’avenir annonce des attaques similaires à celles de 2016. +
En octobre, un grand nombre de sites web ont été perturbés par les attaques de déni de service distribué (DDoS) contre le fournisseur d’hébergement de systèmes de noms de domaine (DNS) Dyn. Quelque 20 000 appareils IoT ont été infectés par des logiciels malveillants Mirai pour créer un botnet. Le botnet a livré des paquets DDoS à un taux allant jusqu’à un téraoctet par seconde. Un DDoS a également été utilisé pour attaquer les dispositifs IoT eux-mêmes. En octobre, des cybercriminels ont arrêté le chauffage dans deux bâtiments de la ville finlandaise de Lappeenranta.
En 2016, Yahoo a battu le record du plus grand piratage annoncé de l’histoire – deux fois. En septembre, Yahoo a signalé une brèche 2014 d’au moins 500 millions de comptes utilisateurs. Puis en décembre, Yahoo a révélé qu’un autre piratage en 2013 a divulgué des données concernant 1 milliard d’utilisateurs. Cela prouve que vos informations sur Internet ont peut-être été piratées, mais vous ne le savez pas encore. Pire encore, une base de données concernant 57 millions de personnes a été mise en vente sur le dark web en mai 2016. L’origine des données, qui comprenaient les adresses électroniques, les mots de passe et les numéros de cellulaire, est inconnue. Les mots de passe étaient chiffrés avec MD5, un chiffrement facile à contourner.
Et la vie continue …
Les atteintes à la cybersécurité ne doivent jamais être prises à la légère. Bien que les incidents décrits dans cet article soient de grande envergure et très médiatisés, les propriétaires d’entreprises de toutes tailles peuvent tirer des leçons de ces erreurs et prendre des mesures pour les éviter.
Nous nous attendons à ce que ces pirates continuent de muter en 2017. Nous verrons de nouveaux rebondissements dans les anciens emballages. La protection des données continuera d’être un défi, nécessitant des logiciels de sécurité de plus en plus sophistiqués. Bonne année 2017 !
Vous êtes installé dans un nouveau café qui vient tout juste d’ouvrir ses portes et vous apportez votre ordinateur portable ou votre smartphone pour profiter du service Wi-Fi gratuit qu’il offre.
Le café s’appelle « Bread and Butter », votre ordinateur portable identifie un point d’accès (PA) sans fil appelé « Bread and Butter Wi-Fi », et vous vous connectez volontiers en supposant qu’il appartient au café.
Pendant que vous parcourez votre site de médias sociaux préféré, vous accédez à votre courriel et vous constatez qu’une transaction financière a effacé votre compte bancaire en ligne, c’est parce qu’un pirate informatique a capturé toutes vos informations d’identification et vos données personnelles.
Vous venez donc d’être victime d’une attaque de type man-in-the-middle utilisant le jumeau maléfique ou « Evil Twin ».
Introduction
Aujourd’hui, les réseaux sans fil basés sur la norme 802.11, également appelés réseaux Wi-Fi, sont partout. Les gens utilisent ces réseaux dans leur vie quotidienne pour faire des achats en ligne et pour payer leurs factures, entre autres.
Ces dernières années, de plus en plus d’entreprises, comme les cafés, restaurants, et commerces de détail, ont mis en place des points d’accès Wi-Fi pour fournir un service Internet gratuit afin d’attirer et de mieux servir leurs clients. Ces points d’accès sont également appelés « hotspots ».
La plupart du temps, les points d’accès Wi-Fi n’offrent qu’une protection très limitée, voire aucune protection. Les clients n’ont qu’à faire une recherche pour pouvoir se connecter au réseau sans fil d’un établissement, sans autre moyen de chiffrement ou d’authentification que le nom du réseau sans fil (SSID).
En raison de l’absence de protection, les hotspots sont vulnérables à l’attaque Evil Twin, un point d’accès Wi-Fi malveillant qui est conçu par des cybercriminels pour ressembler à un point d’accès légitime offert dans les locaux. Cependant, le hotspot malveillant est mis en place pour écouter les communications sans fil.
Comme les réseaux sans fil Wi-Fi de la plupart des établissements ne fournissent aucun type de chiffrement et d’authentification, un pirate peut configurer un autre point d’accès malveillant pour commencer à transmettre le même SSID que celui utilisé par l’établissement.
Pour un client qui souhaite utiliser le Wi-Fi, si la puissance de signal perçue du point d’accès de l’attaquant est plus forte que celle fournie par l’établissement — soit parce que le pirate dispose d’une antenne d’émission plus puissante, soit parce qu’il est plus proche du client — ce dernier sera amené à faire passer sa connexion Wi-Fi du hotspot légitime à celui du pirate.
Un Evil Twin est un hotspot sans fil malveillant qui se fait passer pour un hotspot légitime
Les pirates informatiques mettent en place des points d’accès jumeaux maléfiques dans les zones desservies par le Wi-Fi public en clonant l’adresse MAC et le Service Set Identifier (SSIS) d’un point d’accès sans fil existant.
Par exemple, un café peut avoir un point d’accès appelé « Internet Coffee » qui est diffusé à partir d’un point d’accès sans fil dans le back office. Le pirate informatique, utilisant son ordinateur portable couplé à l’équipement nécessaire, peut diffuser le même SSID à partir d’une table dans votre environnement Wi-Fi.
En s’assurant que le signal du jumeau maléfique est plus fort que le réseau autorisé, les clients seront tentés de le choisir plutôt que se connecter à un point d’accès légitime.
Dans certains cas, l’ordinateur portable d’un client peut choisir automatiquement le signal le plus fort. Par exemple, les clients séjournant dans un hôtel de villégiature peuvent sélectionner « Connexion automatique » sur leurs appareils pour qu’ils se connectent automatiquement à votre réseau pendant la durée de leur séjour.
Cela permet aux appareils sans fil de se connecter au jumeau maléfique lorsqu’ils se trouvent à sa portée. Si les clients identifient les deux SSID, ils choisiront sans aucun doute le signal fort par défaut.
Il est également possible pour un pirate informatique d’effectuer une attaque par déni de service (DOS) sur le hotspot légitime qui, à son tour, déconnectera tout le monde du réseau Wi-Fi légitime. Les appareils choisiront alors le jumeau maléfique lors de la reconnexion. Ceci est particulièrement facile à réaliser sur les réseaux Wi-Fi ouverts au grand public.
Une fois qu’un client est connecté à un jumeau maléfique, l’attaquant peut facilement écouter le signal et pirater les communications entre les appareils qui y sont connectés. L’attaquant peut surveiller le trafic, voler des identifiants ou rediriger les clients vers des sites web malveillants pour télécharger des malwares ou capturer des identifiants en ligne sur de faux sites.
Dans certains cas, le hotspot malveillant n’a pas besoin d’être un jumeau maléfique en soi. Par exemple, un café local n’a peut-être jamais pris la peine de changer le nom par défaut de son SSID qui inclut le nom du fournisseur Internet. Dans ce cas, un pirate pourrait simplement diffuser un SSID qui incorpore le nom du café et de nombreux clients feront la supposition incorrecte et le sélectionneront.
Un pirate informatique pourrait également créer un hotspot maléfique dans la zone de la piscine d’une station hôtelière avec le mot « pool » contenu dans le SSID, trompant ainsi les voyageurs de la station hôtelière qu’ils doivent se connecter via un hotspot séparé offert par l’hôtel.
Méthodologie de l’attaque Evil Twin
En général, les pirates informatiques procèdent comme suit :
Étape 1 : il scanne les réseaux Wi-Fi existants pour trouver les informations sur le point d’accès de leurs cibles comme le nom du SSID de la connexion.
Il utilise ensuite ces informations pour créer un point d’accès qui ont les mêmes caractéristiques. C’est pour cela qu’on appelle l’attaque « jumeau maléfique ».
Étape 2 : les clients qui se connectent au point d’accès légitime peuvent se déconnecter à plusieurs reprises, ce qui les oblige à se connecter au point d’accès frauduleux. L’une des façons dont les pirates peuvent tromper leurs victimes est d’inonder son réseau de confiance avec des paquets de désauthentification, ce qui rend impossible toute connexion normale à l’internet. Face à une connexion lente ou qui ne permet aucun accès, l’utilisateur moyen frustré découvrira un réseau Wi-Fi ouvert du même nom que le réseau auquel il peut se connecter.
Étape 3 : dès qu’un client se connecte au faux point d’accès, il peut commencer à naviguer sur Internet.
Étape 4 : lorsque le client ouvre une fenêtre de navigateur, il voit un avertissement de l’administrateur web disant « Entrez le mot de passe WPA si vous voulez télécharger et mettre à jour le micrologiciel du routeur ».
Étape 5 : il n’est pas rare qu’un client saisisse le mot de passe pour se connecter au réseau malveillant. A ce moment, il est redirigé vers une page de chargement et son mot de passe est stocké dans une base de données MySQL de la machine du pirate informatique.
Le fait est qu’un utilisateur WiFi peut utiliser différents types d’appareils (Android, iOS, MacOS Windows), mais ils sont tous sensibles. Actuellement les cybercriminels utilisent de nombreux autres moyens pour mener leurs attaques avec moins de complications. Dans le paragraphe suivant, nous allons vous lister quelques scénarios qu’ils peuvent utiliser.
Les différents scénarios d’attaque Evil Twin
Selon Kevin Mitnick, un hacker reconnu mondialement, même si un système de sécurité est aussi fort que l’on pourrait penser, il a toujours un maillon faible – les utilisateurs finaux – et c’est notamment vrai pour la sécurité des réseaux Wi-Fi. Il est par exemple très difficile pour les pirates de contourner le mécanisme de sécurisation des réseaux sans fil WPA2. Comme alternative, ils préfèrent donc attaquer les utilisateurs en utilisant par exemple l’attaque Evil Twin.
Pour ce faire, les cybercriminels peuvent utiliser différents scénarios pour tromper leurs victimes :
La coexistence
Le point d’accès des pirates et les points d’accès de leurs victimes coexistent au même endroit. Les cybercriminels vont tenter de capturer les informations qui circulent via un réseau malveillant. Le point d’accès Evil Twin tente alors de leur fournir un signal plus puissant et d’envoyer un paquet de désauthentification à leurs victimes.
Le remplacement
Le point d’accès de la victime est détourné physiquement avec le nom de l’escroc qui utilise le même SSID que celui du réseau Wi-Fi légitime.
Le clone ad hoc
Pour ce cas précis, le pirate va tenter d’intercepter la communication de leurs victimes et de leur fournir un numéro de téléphone pour les profils demandés. Pour ce faire, il utilise un point d’accès d’outils et un dispositif sans fil qui prend en charge mode moniteur.
Le clone à distance
Le point d’accès du pirate est défini en différents lieux. Il possède le même nom que le point d’accès légitime, lequel est déjà enregistré dans le profil de sa victime. Le pirate peut dont se connecter automatiquement au réseau qu’il utilise.
En général, les faux sites web ou les sites web clonés sont utilisés dans l’une des combinaisons suivantes. D’abord, le site web peut être complètement cloné avec le nom et le logo de tout le contenu du site web légitime. Il peut également n’intégrer que la copie du contenu, du logo et du thème du site légitime.
Bien entendu, les pirates peuvent utiliser un site cloné avec le logo mais avec un nom de domaine différent. Parfois, seul le contenu du site a été copié ou cloné avec un nom différent. Il peut aussi contenir une page d’inscription malveillante.
Bon à savoir
Il est possible que le pirate ne parvienne pas à tromper sa victime pour qu’elle se connecte au point d’accès malveillant. Dans ce cas, il peut rompre la connexion en inondant l’accès au site légitime avec des trames de désauthentification usurpées. Cette attaque, également connue sous le nom d’attaque de désauthentification, indique à la victime que sa connexion a été interrompue.
Une fois que la victime se connecte au point d’accès malveillant, l’attaque est terminée. L’ensemble du processus est utilisé pour permettre aux attaquants de disposer d’une position Man-in-The-Middle à partir de laquelle ils peuvent télécharger des paquets, des malwares ; ou installer des portes dérobées sur l’appareil pour bénéficier d’un accès à distance.
Wi-Fi Phisher, un exemple d’attaque du type Evil Twin
Un chercheur en sécurité grec du nom de George Chatzisofroniou a développé un outil d’ingénierie sociale Wi-Fi qui a été publié sur GitHub. Il a été conçu pour voler les informations d’identification des utilisateurs via les réseaux Wi-Fi sécurisés.
L’outil est dénommé Wi-FiPhisher.
Contrairement à d’autres méthodes de phishing, cette attaque d’ingénierie sociale n’utilise pas la force brute. Il s’agit d’un moyen facile d’obtenir les mots de passe WPA de la personne victime.
Bien entendu, il existe déjà plusieurs outils de piratage sur Internet qui permettent d’attaquer un réseau sécurisé Wi-Fi. Mais ce qui rend cet outil différent, c’est qu’il automatise de multiples techniques de piratage Wi-Fi.
Wi-FiPhisher utilise le scénario d’attaque du type « Evil Twin » en créant d’abord un faux point d’accès sans fil et en se faisant passer pour un point d’accès Wi-Fi légitime. Il déclenche ensuite une attaque par déni de service (DoS) contre le point d’accès Wi-Fi légitime. Il peut également créer des interférences autour de ce point d’accès pour déconnecter les utilisateurs sans fil. Ces derniers sont ensuite invités à inspecter les réseaux disponibles et le piège se referme.
Une fois déconnecté du point d’accès Wi-Fi légitime, Wi-FiPhisher va forcer les ordinateurs et les périphériques hors ligne à se reconnecter automatiquement au jumeau maléfique, ce qui permet au pirate d’intercepter tout le trafic via ces dispositifs.
Cette technique est également connue sous le nom de Phishing du PA, Wi-Fi Phishing, Hotspotter ou PA Honeypot.
Ce genre d’attaque fait usage de faux points d’accès avec des pages de connexion usurpées pour capturer les informations d’identification Wi-Fi des utilisateurs, leurs numéros de carte de crédit, ou pour lancer des attaques du type « Man-in-The-Middle » et infecter les hôtes du réseau sans fil.
Bref, Wi-FiPhisher est un outil de sécurité capable de monter des attaques de phishing rapides et automatisées contre les réseaux Wi-Fi. Il permet aux pirates d’obtenir les identifiants de connexion sans utiliser force la brute.
Une fois que la victime demande l’accès à une page web, l’outil Wi-FiPhisher servira de fausse page réaliste qui lui demandera de confirmer son mot de passe en raison d’une mise à niveau du firmware du routeur.
L’outil pourrait être utilisé par les pirates pour générer du phishing et des attaques du type « man-in-the-middle ».
Cout d’une attaque par Evil-Twin
Une attaque par Evil-Twin est une forme d’attaque de phishing, bien qu’elle semble un peu différente. Contrairement aux autres méthodes de phishing que nous avons mentionnées dans d’autres articles, une attaque par Evil Twin est une forme de phishing qui exploite le Wi-Fi.
Selon TechTarget.com, un jumeau maléfique peut être défini comme « un point d’accès sans fil malveillant qui se fait passer pour un point d’accès Wi-Fi légitime afin que l’attaquant puisse recueillir des informations personnelles ou professionnelles à l’insu de l’utilisateur final ». D’autres surnomme ce type d’attaque comme l’arnaque Starbucks, car elle a souvent lieu dans des cafés.
L’attaque par Evil Twin implique qu’un cybercriminel crée un point d’accès Wi-Fi qui ressemble au vrai. Elle utilise l’identifiant de service (SSID) défini et qui ressemble à celui du vrai réseau. Lorsque les utilisateurs finaux s’y connectent, l’attaquant peut alors écouter le trafic qui circule via le réseau ciblé et voler le nom de compte des utilisateurs, leurs mots de passe et voir toutes les pièces jointes auxquelles ils accèdent lorsqu’ils se connectent au point d’accès compromis.
Sachez que de multiples attaques de phishing ciblent actuellement les entreprises chaque jour. Certaines impliquent l’utilisation des e-mails, tandis que d’autres font appel à de faux sites web ou à des appels téléphoniques frauduleux.
Selon Cybersecurity Ventures, les dommages causés par la cybercriminalité devraient coûter au monde 5,5 milliards d’euros par an d’ici 2021, et le phishing devrait jouer un rôle important.
Et ce n’est pas tout !
L’attaque Evil Twin représente un risque important pour la cybersécurité. Vos employés peuvent par exemple se connecter au site web de votre entreprise via un faux point d’accès WiFi en pensant qu’il s’agit d’un point d’accès légitime. Le pirate derrière le hotspot malveillant peut ainsi obtenir ses identifiants de connexion et avoir accès au site web de votre entreprise. En outre, il peut voler des données ou installer des malwares.
Par ailleurs, les pirates peuvent utiliser l’ingénierie sociale pour cloner une page de connexion et expulser les utilisateurs de votre point d’accès. Cela oblige ces derniers à entrer des identifiants de connexion et à se reconnecter par le portail du pirate, où ses identifiants seront volés et le trafic surveillé.
Le fait est que l’attaque elle-même n’est pas difficile à réaliser. Les pirates n’ont pas besoin de disposer d’un matériel spécial pour réaliser ce type d’attaque. Un pirate peut s’asseoir à côté de l’un de vos clients et lancer le hotspot malveillant en utilisant simplement son ordinateur portable. Enfin, gardez à l’esprit que les utilisateurs finaux peuvent établir manuellement leur connexion sans fil. Leur principale préoccupation est d’avoir une connexion Internet puissante et peu d’entre eux vérifieront comment et où ils sont connectés. C’est ce qui fait le succès de l’attaque Evil Twin.
Comment pouvez-vous savoir si vous vous connectez à un site « Evil Twin » ?
C’est une bonne question ! En fait, la détection d’une attaque Evil Twin repose sur le fait que les utilisateurs puissent repérer un nouveau réseau non sécurisé qui vient d’apparaître et l’éviter.
On pourrait penser que ce serait assez facile. Pourtant, ce n’est pas le cas. Comme nous l’avons susmentionné, la plupart des appareils standards ne disposent pas du type d’outils de reniflage de réseau qui leur permettrait de distinguer un réseau légitime d’un réseau malveillant qui est mis en place par un attaquant.
Les pirates informatiques sont de plus en plus intelligents lorsqu’il s’agit de faire passer le nouveau réseau pour un réseau de confiance. Ils peuvent choisir le même nom de SSID, par exemple, ce qui est souvent suffisant pour confondre un réseau malveillant à un réseau légitime.
En allant plus loin, ils peuvent cloner l’adresse MAC du réseau de confiance pour donner l’impression que le nouveau point d’accès est un clone des points d’accès existants sur le réseau cible, ce qui renforce l’illusion qu’il est légitime.
Pour les réseaux publics, les pirates peuvent même donner l’impression que le faux point d’accès est plus légitime que les vrais routeurs, car les informaticiens sont de plus en plus paresseux, au point qu’ils oublient de cloner eux-mêmes les adresses MAC.
La détection d’une attaque Evil Twin est rendue encore plus difficile, car les attaquants n’ont plus besoin d’utiliser des matériels volumineux et encombrants pour en mener une. Ils peuvent même utiliser l’adaptateur réseau de leurs ordinateurs portables pour lancer l’attaque ou pour créer un petit routeur comme faux point d’accès.
De nombreuses attaques utilisent également le Wi-Fi ananas. Il s’agit d’un kit d’exploitation. Il utilise des sites légitimes comme outil de test de réseau, mais qui peut aussi être utilisé pour créer un réseau Wi-Fi sur une vaste zone. Cela signifie qu’un attaquant n’a pas besoin d’être dans le même bâtiment, ni même dans la même rue, pour cibler un réseau particulier.
Les pirates peuvent utiliser d’autres techniques pour rendre le signal de leur réseau beaucoup plus puissant que celui du réseau légitime. En augmentant la puissance de leur signal Wi-Fi, ils peuvent submerger le réseau cible et le rendre pratiquement indétectable.
Comment éviter les attaques Evil Twin ?
Comme le nombre et la sophistication des cyberattaques ne cessent de croître, il est utile de se tenir au courant des différents types de menaces auxquelles vous pourriez être confronté. Une attaque de type « Evil Twin » n’est que l’une d’entre elles.
Cette technique de piratage ne date pas d’hier. Elle est vieille de près de deux décennies. Pourtant, même s’il s’agit d’un vecteur d’attaque connu, les attaques Evil Twin restent difficiles à prévenir si vous n’adoptez pas certaines mesures de sécurité et si vous ne mettez pas en place les protections adéquates. Et même si cette attaque est assez courante, elle peut être d’une efficacité dévastatrice contre les victimes non avisées.
Les méthodes existantes pour détecter les attaques Evil Twin est de tenir une liste blanche et d’appliquer des correctifs sur les points d’accès. Vous devriez également appliquer les solutions basées sur le timing, les modifications de protocole, etc.
Ces méthodes nécessitent généralement une installation et une maintenance importantes pour qu’elles ne présentent pas de problèmes d’évolutivité et de compatibilité. De plus, elles nécessitent des modifications de la pile de protocoles, ce qui les rend coûteuses à déployer et à gérer.
Les conditions du réseau dans le cadre d’une attaque normale et d’une attaque par jumeau maléfique sont presque similaires, ce qui fait que la création d’une signature ou la définition d’un modèle d’anomalie entraîne généralement une grande quantité de faux positifs.
Les entreprises qui offrent la connexion Wi-Fi à leurs employés ou à leurs clients peuvent utiliser des systèmes de prévention des intrusions sans fil afin de détecter la présence d’une attaque Evil Twin et empêcher les employés et les clients des entreprises s’y connecter.
Demandez toujours à l’établissement quel est le nom du hotspot officiel. Cela vous évitera de faire des suppositions incorrectes et de choisir un hotspot malveillant.
Évitez de vous connecter à des points d’accès Wi-Fi qui portent la mention « Unsecure » (ou « non sécurisé »), même s’ils leurs SSID vous semblent familier.
Ne visitez que les sites web HTTP, surtout lorsqu’ils se trouvent sur des réseaux ouverts. Les sites web HTTP offrent un chiffrement de bout en bout. Ceci rend difficile – voire impossible – pour les pirates de voir ce que vous faites lorsque vous visitez ces sites.
Si le hotspot officiel auquel vous voulez vous connecter a une clé, essayez de taper intentionnellement la mauvaise clé. Si la connexion accepte la clé manifestement erronée, il s’agit très probablement d’un jumeau maléfique.
Désactivez les fonctions « auto connect » ou « auto join » pour les hotspots enregistrés pour tous vos appareils sans fil. C’est quoi qu’il en soit une bonne idée.
Vous devriez également vous déconnecter manuellement d’un hotspot toutes les deux heures et vous reconnecter manuellement au hotspot de votre choix, en saisissant le mot de passe pour confirmer la connexion.
Utilisez un VPN chaque fois que vous vous connectez à un Wi-Fi public. Ceci vous permet de vous assurer que les pirates ne puissent voir vos habitudes de navigation.
Malheureusement, la plupart des innovations dans l’environnement Wi-Fi se sont limitées à des éléments tels que la portée du signal, au débit et à la connectivité plutôt que la sécurité.
En l’absence d’une plus grande insistance de l’industrie sur la sécurité Wi-Fi, ou de critères définis pour évaluer la sécurité Wi-Fi en général, de nombreux administrateurs réseau n’ont pas la clarté nécessaire pour prévenir avec succès les menaces Wi-Fi. L’éducation sur les menaces web est essentielle, tout comme la mise en place d’un système de protection contre les attaques lancées via le web.
Ce que vous pouvez faire en tant que propriétaire d’entreprise
Annoncez clairement le nom du réseau sans fil que vous offrez à vos clients dans un endroit bien en vue pour qu’ils puissent le voir. Plutôt que de simplement fournir un Wi-Fi ouvert, protégez le hotspot avec une Personal Security Key (PSK) et créez un système pour fournir la clé à vos clients.
Vérifiez l’espace client avec votre propre appareil mobile pour rechercher les hotspots qui se font passer pour vos hotspots officiels et alertez vos clients si nécessaire.
Obtenez les services d’un expert en communications sans fil si vous soupçonnez que quelqu’un a placé de façon permanente un hotspot malveillant ou Evil Twin sur votre propriété. À l’aide d’un ordinateur portable et d’une antenne, un professionnel qualifié peut trianguler l’emplacement d’un AP malveillant. Il existe également des applications logicielles telles que EvilAP_Defender, qui est conçu pour trouver des jumeaux maléfiques et même avertir par e-mail lorsqu’on en a identifié un.
Conseils pour les administrateurs réseau
La conception de la méthode de détection d’une attaque Evil Twin est la détection de différentes passerelles, basée sur l’hypothèse suivante :
Les pirates peuvent déployer plus d’une interdiction d’accès à un point d’accès, tout en offrant une couverture plus large à vos clients. Cependant, même s’ils créent plusieurs points d’accès appartenant à un même point d’accès, ils utiliseront toujours une seule passerelle pour permettre aux utilisateurs finaux d’accéder à Internet. On retrouve souvent ce type de topologie de réseau sans fil dans les cafés, les hôtels et les aéroports. Pour éviter les attaques, vous pouvez donc attribuer des adresses IP privées aux clients qui se connectent à votre réseau Wi-Fi. Ces adresses IP privées seront traduites en IP publique de la passerelle par le biais d’un traducteur d’adresse de port (PAT) ou d’un traducteur d’adresse réseau (NAT).
En fait, dans notre dossier, nous avons seulement discuté du scénario où il y a un point d’accès légitime et un autre point d’accès malveillant. Si le client reçoit plus de deux signaux de hotspots, la méthode de détection susmentionnée peut être utilisée sans aucun changement afin de passer d’un hotspot à l’autre.
Comme chaque changement de point d’accès doit être effectué au milieu d’une connexion SSL/TCP, si l’un de ces points d’accès utilise une passerelle différente, la connexion SSL/TCP sera interrompue et déclenchera une alarme. Cela empêchera le pirate informatique de créer un serveur pour contourner votre procédure de détection.
Il peut arriver que l’attaquant utilise la même passerelle légitime pour transmettre les données du client, cette méthode de détection ne fonctionnera pas. Mais si vous combinez cette méthode avec d’autres méthodes de détection, vous pourrez mettre en place un système de détection efficace contre les attaques du type Evil Twin.
Conclusion
La sécurisation du Wi-Fi est une opération difficile, et les consignes de sécurité recommandée par les différents fournisseurs de connexion sans fil créent plus de confusion que de clarté.
Pour les utilisateurs d’une connexion sans fil, l’attaque evil twin est presque impossible à détecter puisque les pirates utilisent un SSID qui semble légitime et fournissent généralement un service Internet.
Dans la plupart des cas, le meilleur moyen de rester en sécurité est de toujours utiliser un VPN. Ceci permet d’encapsuler la session Wi-Fi dans une couche de sécurité plus fiable. Pour les entreprises, il est également essentiel de donner une formation aux employés afin qu’ils puissent détecter les escroqueries de phishing, les attaques du type Man-in-The-Middle, et bien d’autres menaces en lignes qui peuvent être lancées via les réseaux Wi-Fi non sécurisés.
Pour remédier à ce problème, TitanHQ a développé des solutions technologiques, des solutions complètes, facile à déployer et à gérer pour sécuriser votre connexion Wi-Fi. Elles sont capables de détecter et de prévenir les différentes menaces Wi-Fi qui ciblent votre organisation, y compris les attaques evil twin.
Parlez dès aujourd’hui à l’un de nos experts en sécurité pour savoir comment sécuriser votre Wi-Fi public afin de prévenir les attaques coûteuses et dommageables.
Aujourd’hui, toute entreprise devrait mettre en œuvre une stratégie de sécurité en couches qui utilise des couches défensives multiples pour tenir les menaces à distance. Deux des couches prennent notamment la forme d’un pare-feu et d’un filtre web.
À son niveau le plus élémentaire, un pare-feu périmétrique habituel permet à un administrateur de sécurité d’ouvrir et de bloquer l’accès aux ports de l’entreprise.
Aujourd’hui, des pare-feu plus avancés analysent le trafic entrant à l’aide d’un balayage de couche sept ou d’une analyse comportementale. La fonction de base d’un filtre web est d’empêcher les utilisateurs d’accéder à des catégories de sites web désignées afin d’empêcher les utilisateurs de naviguer dans des contenus inappropriés, des jeux improductifs ou des hubs de déploiement de logiciels malveillants connus.
Pour ce faire, la cible des filtres web doit être le port HTTP 80, et pour les filtres modernes, le port HTTPS 443. Certaines solutions avancées de filtrage web servent également de passerelles antivirus, dépouillant les paquets web entrants de malwares et de code malveillant.
Sécurité simplifiée tout en réduisant les dépenses d’investissement
Le filtrage web comprend aujourd’hui trois architectures de solutions de base.
Traditionnellement, le filtrage web est mis en œuvre sous forme d’appliance, soit comme un dispositif en ligne, soit comme un proxy. Récemment, les solutions dans le cloud sont devenues populaires, simplifiant le déploiement et le processus de gestion tout en réduisant les dépenses en immobilisations.
Ceci est particulièrement révélateur des appareils de filtrage en ligne de la bande. Un filtre en ligne est placé entre le commutateur central de l’entreprise et le pare-feu périphérique. Cela signifie que tout le trafic passe par l’appareil.
Parfois, une architecture en ligne peut chevaucher les fonctions d’un pare-feu. Bien qu’à première vue, cela puisse sembler plus sûr, cela entraîne souvent de gros problèmes qui peuvent être difficiles à résoudre.
En voici quelques exemples concrets.
Un administrateur de données a perdu la capacité de transférer des fichiers vers un serveur hébergé dans le nuage en utilisant SFTP. Instinctivement, l’équipe de support réseau s’est concentrée sur le dépannage du port 22 du pare-feu périphérique. Après avoir pris beaucoup de leur temps, on a découvert que le filtre web avait commencé à interférer avec le trafic SFTP après une mise à jour de patch.
Un technicien du service d’assistance a été profondément frustré par l’incohérence des performances lorsqu’il s’est rendu sur les postes de travail locaux en utilisant un site d’accès au support cloud pour aider les utilisateurs. Il faudrait quatre, cinq ou même dix tentatives pour se connecter aux ordinateurs de bureau, et ce malgré le fait que l’URL du site soit classée comme un site sûr. Après avoir dépanné le problème pendant des semaines, on a découvert que l’instigateur était le filtre web.
La plupart des filtres web en ligne ont une solution facile pour contourner ces types de problèmes en entrant simplement l’adresse IP des ordinateurs impliqués. Ces exemptions posent deux problèmes.
La première est que les ordinateurs exempts de filtre web ont besoin d’une adresse IP statique, ce qui complique la gestion de la PI. L’autre est que le filtre est grand ouvert pour ces ordinateurs désignés. Cela permet aux utilisateurs de ces périphériques de se rendre sur des sites de déploiement demalwares et d’autres sites Internet peu recommandables qui pourraient compromettre l’entreprise.
Garder les appareils mobiles sécurisés
Le filtrage web sur une architecture basée sur les préfixes a été grandement compliqué par la pléthore d’appareils mobiles dans tant d’entreprises aujourd’hui.
Lorsque les utilisateurs emmènent leurs appareils mobiles au-delà des limites de sécurité du périmètre du réseau, leurs appareils peuvent surfer sur Internet à volonté. C’est un véritable défi pour les systèmes scolaires qui mettent en œuvre des programmes d’appareils individuels.
Les administrateurs scolaires doivent être en mesure d’assurer aux parents que leur enfant a la même expérience web sécuritaire sur les appareils émis par l’école, qu’il soit à l’école ou à la maison. Pour ce faire, les sessions web hors site doivent être redirigées vers le filtre web de l’entreprise.
De nombreuses solutions de filtrage web utilisent une sorte d’application client dédiée pour ce faire. C’est en plus du client Active Directory que l’appareil est toujours en cours d’exécution afin d’appliquer des stratégies basées sur l’utilisateur.
Récemment, un système d’écoles publiques du sud-est des États-Unis a fait les frais des problèmes qu’une application client supplémentaire peut entraîner.
Le district s’enorgueillissait d’un programme bien géré d’ordinateurs portatifs individuels impliquant 13 000 appareils. Au cours de l’été, le district scolaire a mis à niveau l’ensemble de ses 18 000 appareils vers l’édition Creators de Windows 10. Peu après la mise à niveau, tous les appareils mobiles ont perdu la possibilité d’installer Windows Updates bien que les ordinateurs de bureau fixes aient continué à traiter les mises à jour normalement.
Après des semaines de dépannage, le système scolaire s’est tourné vers Microsoft qui a investi plus d’une semaine pour résoudre le problème. En fin de compte, les ingénieurs de Microsoft ont trouvé le coupable – l’application mobile de filtrage web. Le district attend maintenant la solution de filtrage pour trouver un correctif. Pendant la période de cinq semaines, les ordinateurs portables n’ont pas été correctement patchés, ce qui pourrait les exposer à des vulnérabilités connues.
Filtrage DNS basé sur le cloud
Le fait est que la prolifération des appareils mobiles exige un nouveau type d’architecture de filtrage web, ce qui explique pourquoi les solutions basées sur le cloud deviennent si populaires.
Les solutions de filtrage DNS cloud offrent la même expérience et la même architecture, où que soient vos utilisateurs mobiles. De plus, le filtrage ne s’applique qu’au trafic web, ce qui permet à votre trafic applicatif de circuler sans entrave. Cela élimine les problèmes qui nécessitent un dépannage perpétuel, consommant ainsi le temps précieux de votre personnel informatique déjà surchargé.
La transformation numérique du monde mobile d’aujourd’hui fait qu’un si grand nombre de vos ressources et services doivent être migrés vers le cloud, et votre solution de filtrage web n’est pas différente.
Si vous souhaitez profiter gratuitement des avantages du filtrage web basé sur le DNS, n’hésitez pas à nous contacter. Nous offrons aux entreprises la possibilité d’essayer gratuitement WebTitan Cloud ou WebTitan Cloud for WiFi, sans frais d’installation ni carte de crédit, sans contrat à signer et sans engagement à continuer à utiliser notre service à la fin de la période d’essai de trente jours.
Pour en savoir plus sur cette opportunité, parlez avec l’un de nos spécialistes dès aujourd’hui. Ils se feront un plaisir de répondre à toutes vos questions sur le filtrage web basé sur le DNS et de vous guider dans le processus de création de votre compte gratuit.
Si par la suite vous avez besoin d’aide pour rediriger votre DNS ou pour naviguer sur le portail de gestion, nous sommes toujours là pour vous aider.
Il est facile de se rappeler avoir vérifié la sécurité des systèmes nouvellement déployés, mais de nombreuses entreprises ont de vieux systèmes hérités (systèmes patrimoniaux, ou Legacy Systems en anglais) qui fonctionnent encore avec quelques utilisateurs qui comptent sur eux.
Lorsque ces systèmes ne reçoivent pas autant d’attention, ils sont facilement oubliés par les administrateurs système et de sécurité et les mises à jour s’arrêtent.
Lorsque ces mises à jour cessent, les systèmes existants ne reçoivent plus de correctifs critiques pour les dernières menaces, ce qui les rend extrêmement vulnérables lorsqu’ils sont accessibles au public.
Études sur les systèmes hérités et la cybersécurité
Une étude récente a permis de recueillir des données sur le gouvernement fédéral américain et son approche des systèmes patrimoniaux.
Le gouvernement américain a plusieurs systèmes hérités qu’il doit protéger, et il dépense 80 % de son budget annuel de 90 milliards de dollars en IT pour assurer leur protection.
L’étude a également montré que le risque de cybersécurité augmente considérablement à mesure que les entreprises continuent de maintenir les systèmes existants opérationnels et accessibles au public.
Ces systèmes peuvent être plus coûteux à entretenir, mais ils sont souvent un élément essentiel de la productivité quotidienne de l’entreprise. L’inconvénient est qu’ils offrent également une cible plus facile pour les cybercriminels. Il est impératif que ces systèmes soient surveillés de près, revus régulièrement, mis à jour et corrigés pour détecter toute nouvelle menace.
Un exemple de logiciel qui ne devrait jamais être installé ou disponible sur le web public est une machine avec Windows XP. Microsoft a mis fin au support XP en 2014 et a conseillé aux utilisateurs de mettre à niveau vers la dernière version de Windows. De nombreux utilisateurs ont refusé de mettre à niveau, et il existe maintenant des applications de rançon spécialement conçues pour les anciens ordinateurs XP.
Pour toute entreprise qui autorise les ordinateurs XP sur son réseau, ils augmentent leur risque d’incident de cybersécurité. WannaCry et Petya ont profité des systèmes d’exploitation existants en utilisant SMB v1.
Les systèmes hérités et legacy ont besoin d’un niveau plus élevé de surveillance et de protection
Une fois qu’un attaquant identifie un système existant, il devient la cible de plusieurs analyses de vulnérabilité. Les administrateurs informatiques doivent identifier chaque système existant sur le réseau, l’isoler, puis utiliser des protocoles pour le renforcer.
Il est plus facile d’isoler ces systèmes des zones publiques du réseau que de les protéger.
L’isolement peut être fait à l’intérieur du réseau interne pour le retirer de l’accès public. Les services dont on sait qu’ils sont vulnérables devraient être désactivés immédiatement, et cette seule mesure améliore la cybersécurité.
Les administrateurs doivent utiliser le modèle de privilèges le moins autorisé et donner un accès restrictif à tout utilisateur qui n’a pas besoin d’un accès administrateur ou root. Dans le cas de Windows XP, les administrateurs doivent complètement désactiver SMB.
Des analyses de vulnérabilité devraient être effectuées contre le système après durcissement afin d’améliorer l’identification de toute menace éventuelle. La surveillance est un autre élément essentiel de la cybersécurité des systèmes existants. Surveillez tout accès, trafic ou transmission de données suspects.
L’attaque WannaCry du NHS – un cas d’école
Les risques importants que les systèmes patrimoniaux peuvent représenter pour une entreprise ont récemment été mis en évidence.
L’attaque WannaCry qui a frappé le NHS en mai 2017 a été une leçon précieuse pour le monde des affaires et une leçon qu’il ne faut pas ignorer.
Cet attentat a perturbé 48 hôpitaux qui ont dû refuser des patients et annuler des opérations. En outre, 16 organisations liées au NHS ont été touchées.
Si vous avez l’un de ces systèmes sur votre réseau, l’isolement, le renforcement et la surveillance sont essentiels à la protection de la cybersécurité. Ces mesures réduisent le risque de vol de données et protègent même contre les menaces internes.
Il n’est pas possible d’éliminer toutes les cybermenaces, mais les organisations peuvent prévenir les dommages grâce à une cybersécurité robuste. Une telle pratique comprend le maintien à jour de la protection contre les courriels, le web et les virus, et l’application de correctifs en temps opportun.
Un seul courriel de phishing envoyé à un employé peut entraîner une atteinte à la protection des données, un courriel ou une atteinte au réseau. Il est donc important que les employeurs prennent des précautions. Les employés devraient recevoir une formation de sensibilisation au phishing et apprendre les signes avant-coureurs que les courriels ne sont pas authentiques.
Il est également essentiel qu’une solution avancée de filtrage du spam soit utilisée pour empêcher la grande majorité des e-mails de phishing d’atteindre les boîtes de réception des utilisateurs finaux. A cet égard, le siège de TitanHQ est là pour vous aider.
Contactez l’équipe dès aujourd’hui pour découvrir comment SpamTitan peut protéger votre entreprise contre les attaques de phishing, de malware et de rançon.
