Pour les responsables de la sécurité informatique, assurer la sécurité mobile et web du travailleur distant est un grand défi. Nous vivons dans un monde très mobile. De plus en plus de personnes travaillent aujourd’hui à distance. Le modèle de l’entreprise, où des milliers d’employés se rassemblent dans des cabines pour s’asseoir devant un ordinateur dédié, n’est plus d’actualité. Une étude publiée par IWG plus tôt cette année a révélé que 70 % des professionnels travaillent à distance au moins un jour par semaine, tandis que 53 % le font pendant au moins la moitié de la semaine. Que ce soit pour éviter un long trajet, être présent pour les enfants, atteindre un meilleur équilibre de travail ou éviter les perturbations du bureau, les employés apprécient aujourd’hui la possibilité de travailler à distance.
En conséquence, les entreprises offrent à leurs employés la possibilité de travailler à la fois sur site et hors site. De nombreux employés travaillent même exclusivement à domicile.
Non seulement plus d’employés travaillent à distance, mais ils le font plus souvent. Selon un sondage réalisé par Gallup l’an dernier, 43 % des 15 000 répondants ont déclaré avoir travaillé au moins un certain temps à distance. Depuis 2006, le nombre d’Américains qui travaillent pour un employeur à temps plein depuis leur domicile a augmenté de 115 %.
Cependant, le fait de travailler à distance n’est pas un phénomène typiquement américain. Selon Eurostat, 35 % des entreprises européennes offrent actuellement à leurs employés la possibilité de travailler à domicile.
Les défis de la protection des travailleurs à distance
Qu’un employé travaille avec un appareil informatique sur place ou à l’extérieur de l’entreprise, une chose est sûre : vous devez sécuriser les périphériques utilisateurs. De nombreux ordinateurs portables peuvent contenir des données sensibles. Le défi évident est donc de les protéger en cas de perte ou de vol d’un appareil. Le concept de cybersécurité doit néanmoins aller au-delà de la simple protection des appareils et des fichiers sensibles.
Il peut sembler que la protection des périphériques distants ne soit pas une priorité aussi importante que celle des ordinateurs connectés hors site. Cependant, tout malware ou toute application malveillante qui infecte un périphérique distant finira très probablement par être utilisé au sein de l’entreprise. À un moment donné, le travailleur qui profite de la politique de travail à distance à court terme finira par ramener un appareil infecté sur le site. Les travailleurs à temps plein, qui utilisent un poste de travail permanent à leur domicile, pourront éventuellement activer leur VPN, qui sert de pipeline pour les malwares. Dans l’environnement de travail à distance d’aujourd’hui, protéger l’entreprise contre les attaques informatiques signifie protéger tous les périphériques, même ceux qui se trouvent en dehors des locaux de l’entreprise.
Liste de contrôle de la cybersécurité pour les travailleurs distants
Des mots de passe solides
Un mot de passe peut être la dernière ligne de défense pour un dispositif distant ou un logiciel en tant que service (SaaS). Les politiques de mots de passe qui imposent des normes minimales de complexité sont essentielles en dehors des limites du périmètre sécurisé.
Authentification multifactorielle
Lorsqu’un employé travaille sur site, ses mots de passe sont complétés par des mesures de sécurité locales, mais ce n’est pas le cas lorsqu’il travaille à distance. En dehors d’une conférence web, il est impossible de confirmer l’identité (sans visage) d’un utilisateur se trouvant à l’autre bout d’une session connectée.
Ainsi, on ne peut pas se fier uniquement aux mots de passe lorsque les employés sont hors site. Le processus d’authentification pour les services essentiels tels que la messagerie électronique et les services sensibles dans le cloud devrait être renforcé par une authentification multifactorielle telle que la confirmation d’un texte envoyé sur le téléphone portable de l’employé.
Politique d’utilisation de l’ordinateur
Il est important d’avoir une politique d’utilisation des ordinateurs pour les employés distants. Celle-ci doit stipuler que les appareils informatiques utilisés pour le travail devraient être uniquement dédiés au travail à distance et ils ne devraient être utilisés que par l’employé.
Filtrage de contenu web
Bien que le filtrage des e-mails soit une exigence de base en matière de sécurité pour la plupart des entreprises, le filtrage web est parfois ignoré lorsqu’il s’agit d’employés distants. Le filtrage web est encore plus critique pour les appareils qui ne sont pas installés dans les locaux de l’entreprise. Alors que de nombreux travailleurs affirment qu’ils sont plus productifs en travaillant à domicile, les employeurs n’ont pas la possibilité de confirmer visuellement si un employé distant est productif, ou s’il perd du temps à regarder la dernière série de vidéos virales sur YouTube.
La plupart des solutions de filtrage de contenu web s’intègrent aujourd’hui à Active Directory ou LDAP, permettant à la direction de surveiller l’activité Internet de tous les employés. Lorsqu’un ordinateur distant établit une connexion VPN, la session web fonctionne de la même manière que si l’appareil se trouvait sur place.
Grâce aux solutions de filtrage DNS basées dans le cloud, tous les périphériques liés au travail peuvent bénéficier d’une protection de filtrage web similaire à celle d’un parapluie. Que l’employé travaille en permanence à domicile ou qu’il se déplace à l’aide du WiFi public, une solution de filtrage de contenus dans le cloud, telle que WebTitan peut combattre le malware, le spam, la publicité malveillante, les fichiers malveillants, le ransomware et les popups. Peu importe où vos employés utilisent leurs appareils, ils restent protégés.
Protection des endpoints
La combinaison du filtrage des e-mails et celui du web peuvent stopper la majorité des menaces actuelles. Cependant, une approche de sécurité à plusieurs niveaux est désormais essentielle dans le monde numérique dangereux d’aujourd’hui. Chaque dispositif de travail doit être protégé par une solution de sécurité des terminaux (endpoints). Souvent, ces solutions servent de dernière ligne de défense.
Assurez-vous que tous les appareils, mobiles et de bureau, sont protégés avec une solution de sécurité adéquate avant que vos employés puissent les utiliser pour se connecter à votre réseau.
La formation des employés sur les meilleures pratiques en matière de sécurité sera très utile. Il est important d’apprendre aux employés comment repérer les escroqueries potentielles par phishing et d’expliquer l’importance d’un mot de passe solide. Lorsqu’un périphérique est utilisé à distance, les fichiers malveillants susceptibles d’infecter vos périphériques ne sont qu’à un clic d’envahir votre entreprise. Ce n’est pas parce qu’un appareil se trouve à l’extérieur du site que sa protection doit être oubliée.
Restez protégé
Tout au long de la vie des travailleurs mobiles, il y aura un moment où un point d’accès WiFi public gratuit et non sécurisé sera la seule connexion disponible pour leur permettre de mener à bien leur travail. Comprendre les risques du WiFi public vous permettra de vous assurer que vos données professionnelles importantes ne figurent pas parmi les statistiques de piratage.
Vous souhaitez en savoir plus sur la sécurisation des données de vos employés mobiles ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
Le monde de la cybersécurité est en constante évolution. D’un côté, les pirates informatiques sont de plus en plus intelligents et sournois. Ils sont toujours à la recherche de nouvelles façons d’exploiter les failles et vulnérabilités de vos systèmes d’exploitation et de vos solutions de sécurité existantes. De l’autre côté, d’autres personnes, tout aussi intelligentes, s’efforcent de les arrêter.
Malheureusement il existe une limite importante : les personnes aux bonnes intentions doivent toujours être informées d’une menace avant de pouvoir agir.
Lorsqu’une vulnérabilité ou une faille de sécurité est découverte, votre entreprise devrait normalement se mettre immédiatement au travail afin de mettre en place un correctif. Vous ne voulez quand même pas être tenue responsable des dommages qui pourraient survenir, ou subir les conséquences d’une violation de vos données sensibles.
Voici pourquoi votre équipe doit être assez rapide pour règles ce genre de problèmes.
Le fait est qu’il faut toujours du temps pour obtenir et appliquer les plus récents correctifs de sécurité, ce qui laisse aux cybercriminels le temps d’exploiter les failles de sécurité. C’est pourquoi les attaques de type « zero-day » sont parmi les plus difficiles à gérer.
Explorons un peu plus le sujet !
Que sont les attaques zero-day ?
On peut définir les attaques zero-day de différentes manières. Certaines les définissent comme des attaques qui visent les vulnérabilités qui n’ont pas été patchées ou rendues publiques. D’autres avancent qu’il s’agit d’attaques tirant parti d’une faille ou d’une vulnérabilité de sécurité le « jour même » où celle-ci devient publiquement connue.
Chez TitanHQ, nous définissons l’attaque zero-day comme une attaque qui cible des vulnérabilités logicielles connues du public, mais qui ne sont pas encore corrigées.
C’est ce qu’on appelle la « fenêtre de vulnérabilité ». Les pirates informatiques se concentrent sur la recherche de vulnérabilités dans des logiciels largement utilisés tels que Windows, les navigateurs et les logiciels de sécurité. Les attaques zero-day ont touché les produits Adobe (Flash, Reader), Internet Explorer, Java, Mozilla Firefox, Windows, Microsoft Office, et bien d’autres.
Une fois qu’une vulnérabilité est découverte, la communauté de pirates est alertée par le biais des réseaux sociaux, de chats et d’e-mails. Les pirates s’activent ensuite à développer des kits d’exploitation pour tirer parti de la vulnérabilité. Des codes ou des kits d’exploitation sont alors mis en vente sur Internet.
Des efforts sont actuellement en cours pour réglementer la vente des kits d’exploitation zero-day. La politicienne néerlandaise Marietje Schaake a fait campagne pour des lois visant à limiter le commerce de ce qu’elle appelle des « armes numériques ».
Bien entendu, les éditeurs de logiciels testent leurs produits avant de les expédier. Mais le progiciel d’aujourd’hui est vaste et compliqué. Certains éditeurs proposent une version bêta d’un paquet logiciel à un certain nombre de clients afin de résoudre les problèmes avant le début de la production. D’autres emploient des sociétés de test ou des pirates white hat pour « battre le logiciel à mort ».
Quelques exemples très médiatisés d’attaques zero-day
En 2011, des cybercriminels ont exploité une vulnérabilité alors non corrigée dans Adobe Flash Player pour pouvoir accéder au réseau informatique de la société de sécurité RSA. Ils ont envoyé des e-mails contenant des pièces jointes de feuilles de calcul Excel à un groupe restreint d’employés de la firme. Les feuilles de calcul contenaient un fichier intégré qui exploitait la vulnérabilité zero-day du logiciel Adobe Flash.
Lorsque l’un des employés a ouvert la pièce jointe, les attaquants ont installé l’outil d’administration à distance dénommé Poison Ivy, ce qui leur a permis de prendre le contrôle de l’ordinateur de la victime. Une fois qu’ils ont eu accès au réseau informatique de la société, les pirates ont recherché des informations sensibles puis copié et transmis les données à des serveurs externes qu’ils contrôlaient.
Selon RSA, les données volées contenaient entre autres des informations sensibles liées aux produits d’authentification à deux facteurs, utilisés dans le monde entier pour permettre l’accès aux appareils et données sensibles.
Sony Pictures a également été victime d’une attaque zero-day à la fin de 2014, ce qui a paralysé son réseau informatique et qui a permis la diffusion de données sensibles de l’entreprise sur de nombreux sites de partage de fichiers. Parmi les données compromises se trouvaient des détails sur les films à venir, les adresses e-mails personnelles de hauts dirigeants de la marque ainsi que des plans d’affaires. Quant aux détails de la vulnérabilité qui a été exploitée lors de cette attaque, Sony n’a pas fourni des informations supplémentaires.
Quand on parle d’attaque zero-day, on devrait également mentionner Stuxnet, un ver informatique malveillant qui visait les ordinateurs utilisés à des fins de fabrication dans plusieurs pays, tels que l’Iran, l’Indonésie et l’Inde.
En réalité, les pirates ont choisi comme cible principale les usines d’enrichissement d’uranium de l’Iran. Leur but étant de perturber le programme nucléaire du pays. Les vulnérabilités exploitées lors de cette attaque zero day se trouvaient au niveau d’un logiciel qui fonctionnait sur des ordinateurs industriels appelés automates programmables industriels (API), fonctionnant sous Microsoft Windows.
Le ver a infecté les API par le biais des vulnérabilités du logiciel dénommé Step7 de Siemens. Ce faisant, les API ont commencé à exécuter des commandes inattendues sur les machines de la chaîne de montage et saboté les centrifugeuses dédiés à séparer des matières nucléaires dans plusieurs usines d’enrichissement d’uranium.
Minimiser l’impact des attaques zero-day
Une fois le logiciel expédié, certains fournisseurs tentent de minimiser l’impact des attaques zero-day en essayant de trouver les bugs avant les pirates. Les fournisseurs recherchent des sites de pirates informatiques, des blogs et des sites sociaux populaires à la recherche de personnes qui reportent des bugs.
Ce programme, plus connu sous le nom de « Bug bounty », consiste à récompenser les pirates qui reportent des bugs documentés. Les primes varient normalement entre 100 $ et 500 $.
Les pirates attirés par ces offres sont prêts à s’abonner à des sites Web tels que bugcrowd.com et hackerone.com pour trouver des programmes de Bug bounties. La plupart des principaux fournisseurs de logiciels (à l’exception d’Apple) ont de tels programmes, notamment Facebook Whitehat Program, Google Vulnerability Reward Program, Microsoft Online Services Bug Bounty Program et Mozilla Bug Bounty.
Ces programmes sont une volte-face des attitudes typiques des fournisseurs à l’égard des vulnérabilités il y a quelques années à peine. Les universitaires – et encore moins les pirates informatiques qui ont envoyé des informations sur les vulnérabilités à un fournisseur – pourraient être menacés de poursuites judiciaires s’ils divulguaient ces vulnérabilités.
La controverse sur la divulgation
La divulgation des vulnérabilités est vivement contestée. Certains pensent qu’elle peut conduire à d’autres attaques. D’autres pensent toutefois que, sans au moins la menace de divulgation, un fournisseur de logiciels n’a aucune raison de créer un correctif.
Gardez à l’esprit que les vulnérabilités affectent les utilisateurs beaucoup plus qu’elles n’affectent les fournisseurs. Les utilisateurs ont déjà payé pour leur logiciel, mais les fournisseurs ne réagissent que si la communauté des utilisateurs demande des correctifs. Cela signifie que les fournisseurs ont tendance à ne créer des correctifs que pour les logiciels ayant une large base installée.
Il existe deux approches principales en matière de divulgation :
La « divulgation complète » révèle tous les détails de la vulnérabilité, ce qui fait pression sur le fournisseur pour qu’il trouve rapidement une solution.
Aux États-Unis, la « divulgation responsable » se produit lorsque le fournisseur est avisé de manière confidentielle deux semaines avant que le CERT (Computer Emergency Readiness Team) soit avisé. Le fournisseur de logiciel dispose donc d’un délai de grâce de 45 jours pour publier un avis de sécurité. Théoriquement, cela lui donne le temps de coder et de publier un correctif.
Une fois qu’une vulnérabilité est exposée, elle est répertoriée dans un système accessible au public appelé Common Vulnerabilities and Exposures (Vulnérabilités et expositions communes) à l’adresse https://cve.mitre.org/. Sur ce site, chaque vulnérabilité est classée en utilisant le Common Vulnerability Scoring System.
Une fois répertoriée, la vulnérabilité devient connue du grand public
Une vulnérabilité peut également être trouvée par le fournisseur du logiciel lui-même. Dans ce cas, il a tendance à le garder secret jusqu’à ce qu’un correctif soit prêt à être distribué. Dans certains cas, cependant, il est annoncé publiquement si les utilisateurs peuvent prendre des mesures pour éviter le problème. Par exemple, si le bug dans un logiciel de comptabilité survient seulement pendant le traitement de fin de trimestre, cette activité peut être reportée jusqu’à ce qu’un correctif soit publié.
Si la vulnérabilité est connue du public, mais que le fournisseur n’a pas de correctif, les pirates informatiques peuvent lancer des attaques zero-day. Qu’est-ce qui protège donc l’utilisateur jusqu’à ce que le patch soit disponible ?
Il n’existe pas de solution unique pour protéger un réseau contre toutes les attaques du type « zero-day », car il y a trop de variantes de vulnérabilités qui nécessitent des solutions différentes. Cependant, même si votre système est une cible, il existe des solutions pouvant repousser de nombreuses attaques. On compte par exemple l’antispam, l’antivirus, l’utilisation de réseaux locaux virtuels (LAN) pour protéger les données transmises, l’utilisation d’un système WiFi sécurisé pour se protéger contre les attaques de malwares et les logiciels de filtrage de contenu web.
Quand le correctif est prêt
Après la publication d’un correctif, vous seriez surpris du nombre d’utilisateurs qui ne l’appliquent pas à temps.
Pourtant, il est essentiel pour la sécurité du réseau de garder le logiciel à jour, y compris les navigateurs, les systèmes d’exploitation, les plug-ins de navigateur et les applications telles que Microsoft Office. En effet, les auteurs de malwares peuvent exploiter rapidement les vulnérabilités des anciennes versions de logiciels populaires.
La plupart des attaques se produisent parce que les utilisateurs ne patchent pas leurs logiciels et leur matériel pour détecter les vulnérabilités connues. Selon FireEye, il y a eu 21 kits d’exploitation zero-day sur une période de plus de 2 ans, impliquant Internet Explorer, Microsoft Office, Adobe Flash, Java, et autres. Ils ont sans aucun doute été utilisés pour des attaques. Mais ce nombre est faible par rapport au nombre total de kits d’exploitation qui ont été corrigés par les éditeurs de logiciels.
Microsoft publie ses mises à jour de sécurité appelées « Patch Tuesday » le deuxième mardi de chaque mois. Les pirates informatiques connaissent ce cycle de correctifs et ciblent les logiciels Microsoft immédiatement après la livraison des mises à jour. Ainsi, ils peuvent inverser le code de mise à jour pour créer des kits d’exploitation. À noter que les mises à jour de sécurité importantes n’ont pas lieu avant le « Patch Tuesday ». C’est pourquoi les utilisateurs reçoivent un petit nombre de correctifs tout au long du mois.
Les entreprises de toutes tailles sont menacées par des malwares. Ne laissez pas la sécurité de vos informations critiques au hasard. Les données de votre entreprise sont trop précieuses pour ne pas être laissées sans protection et nécessitent une approche globale de la sécurité par couches pour les mettre à l’abri des dangers.
Chronologie d’une attaque zero-day
Deux chercheurs en sécurité, Leyla Bilge et Tudor Dumitras, se sont focalisés sur la chronologie d’une attaque zero-day et ont avancé que la menace se déroule en sept étapes distinctes, allant de l’introduction de la vulnérabilité jusqu’à l’application du correctif de sécurité.
Étape 1 : Introduction de la vulnérabilité
Lors de cette étape, un développeur crée une application qui – sans qu’il s’en rende compte – contient un code vulnérable.
Étape 2 : Publication du kit d’exploitation
Un pirate informatique découvre la vulnérabilité à l’insu du développeur ou avant que ce dernier n’ait pu la corriger. Ensuite, le pirate crée et déploie un code d’exploitation alors que la vulnérabilité reste encore ouverte.
Étape 3 : Découverte de la vulnérabilité
Le développeur ou le fournisseur de l’application prend connaissance de la vulnérabilité, mais il ne dispose pas encore de correctif.
Étape 4 : Divulgation de la vulnérabilité
Le fournisseur/développeur (ou d’autres chercheurs en sécurité) annonce publiquement la vulnérabilité. Les utilisateurs et les cybercriminels sont alors informés de son existence.
Étape 5 : Publication des signatures antivirales
Si les pirates informatiques ont déjà créé un logiciel malveillant de type zero-day qui cible la vulnérabilité, les éditeurs d’antivirus pourront identifier rapidement sa signature et fournir la solution de protection adaptée. Néanmoins, les systèmes peuvent encore rester exposés si les pirates trouvent d’autres moyens d’exploiter ladite vulnérabilité.
Étape 6 : Publication d’un correctif
A ce stade, le fournisseur de l’application va publier un correctif public afin de corriger la vulnérabilité. Cela peut prendre un temps plus ou moins long en fonction de la complexité de la vulnérabilité et de la priorité que le fournisseur lui accorde dans son processus de développement d’applications.
Étape 7 : Déploiement du correctif de sécurité
Vous l’aurez compris, le déploiement d’un correctif de sécurité n’est pas une solution instantanée, car il faut du temps aux utilisateurs finaux pour l’obtenir et l’appliquer. Les organisations et les utilisateurs individuels devraient donc activer les mises à jour automatiques de leurs logiciels et tenir compte des notifications de mise à jour.
Notez que les attaques zero-day sont rarement découvertes assez rapidement (il faut généralement des jours, des mois, voire des années) et vos systèmes restent vulnérables aux attaques tout au long du processus, c’est-à-dire à partir de l’étape 1 jusqu’à l’étape 7. Même si l’attaque zero-day ne peut avoir lieu qu’entre les étapes 2 et 4, d’autres attaques peuvent se produire si la vulnérabilité reste non corrigée.
Que pouvez-vous faire pour vous protéger des attaques zero-day ?
Les attaques zero-day représentent de sérieuses menaces pour votre sécurité informatique, car elles peuvent entraîner des dommages potentiels à votre réseau, à vos appareils ou à vos données personnelles. Si vous voulez garantir la sécurité de votre équipement et de vos données, on ne saurait trop vous recommander de prendre les quelques mesures de sécurité proactives et réactives suivantes.
Pour construire votre première ligne de défense, vous devez choisir une solution proactive. En d’autres termes, vous devez utiliser un logiciel de sécurité complet, comme Bitdefender ou ClamAV, pour vous protéger contre les menaces connues et inconnues.
Comme deuxième ligne de défense, optez pour une solution réactive et mettez à jour immédiatement vos logiciels dès que de nouvelles mises à jour sont disponibles auprès de votre fournisseur. Cela réduit le risque d’infection par des malwares et les attaques zero-day.
Les mises à jour logicielles vous permettent d’appliquer les révisions nécessaires à vos logiciels et vos systèmes d’exploitation. Il peut s’agir de l’ajout de nouvelles fonctionnalités, de la suppression des fonctionnalités obsolètes, de la correction des bugs, de la mise à jour des pilotes, et surtout de la correction des failles de sécurité au niveau de votre réseau informatique.
Malheureusement, l’attaque zero-day est très difficile à contrer. Comme nous l’avons mentionné au début de ce dossier, il est presque impossible de vous prémunir contre une menace totalement inconnue. Les bonnes pratiques en matière de cybersécurité ainsi que les mises à jour fréquentes sont certes utiles – et vous devriez toujours les appliquer – mais vos chances d’empêcher ce type d’attaque ne sont pas bonnes.
Dans de nombreux cas, la seule chose que vous pouvez faire est de déconnecter tout appareil connecté à Internet jusqu’à ce qu’un correctif soit publié et installé. Par ailleurs, n’oubliez pas de renforcer les paramètres de votre pare-feu, de sorte que seules les connexions les plus essentielles soient autorisées. Si c’est votre site web qui est touché par une attaque zero-day, vous pourriez peut-être vous contenter d’un temps d’arrêt, mais vous pouvez aussi utiliser un proxy ou un VPN afin de résoudre temporairement le problème.
Cela explique la raison pour laquelle vous et vos employés doivent pratiquer une bonne sauvegarde des données. Pourquoi ? Parce que la perte des informations sensibles est l’un des effets les plus courants d’une cyberattaque, alors que c’est l’un des plus faciles à éviter. Si vous disposez d’une sauvegarde récente de vos données, et si celles-ci n’ont pas été compromises, vous pouvez simplement les restaurer et votre activité pourra se poursuivre normalement.
À titre préventif, pensez à stocker vos données les plus sensibles sur un appareil non connecté à Internet et conservez également une copie de vos archives dans le cloud.
En cas d’attaque zero-day, il est toujours important de la signaler à l’entreprise qui a fabriqué le matériel ou l’application concernée. En fonction de la gravité de l’incident, vous pouvez aussi avertir les autorités compétentes. Tant que personne ne signale chaque forme d’attaque zero-day, il y a peu de chances que l’on puisse remédier à ses effets.
Utilisez SpamTitan, un logiciel de sécurité proactif et complet pour bloquer les menaces en ligne
SpamTitan de TitanHQ est un service géré qui filtre et vérifie intelligemment tout trafic entrant dans votre réseau informatique. La solution peut bloquer les menaces à la périphérie de votre réseau, notamment 99,9 % des spams, les malwares, les ransomwares, les attaques de phishing et les virus.
Grâce à SpamTitan, vous pourrez renforcer la couche de sécurité de votre logiciel Office 365 contre les malwares et les attaques zero-day et prévenir les fuites de données grâce à l’ajout de puissantes règles de prévention, ce qui évite les pertes de données internes.
En ce qui concerne la sécurité de la messagerie électronique, sachez que SpamTitan peut bloquer les pièces jointes infectées. Il peut être déployé comme une solution basée dans un cloud partagé, dans un cloud privé ou comme une solution sur site.
Enfin, SpamTitan est une application sécurisée, capable d’anticiper les nouvelles attaques grâce à l’utilisation de la technologie prédictive. Son déploiement est très facile, tout comme sa gestion et son utilisation.
Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.
Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.
FAQ sur les attaques Zero-Day
Quel est exactement le but d’une attaque zero day ?
Les attaques du type zero day ciblent souvent les entreprises et les gouvernements connus, mais aucune organisation n’est à l’abri de ce type de menace. En fait, des recherches ont montré que ce sont les PME qui ne disposent pas d’équipes ni de solutions de cybersécurité adéquates en raison des limites de leurs investissements qui souffrent davantage d’une telle attaque que les grandes organisations.
Pouvez-vous donner quelques exemples des plus célèbres exploits d’une attaque zero day ?
Parmi les attaques les plus notoires, on compte Stuxnet qui visait l’usine d’enrichissement de l’uranium de Natanz. Il s’agit d’un virus qui aurait été développé par les États-Unis et l’Israël, exploitant de multiples vulnérabilités « zero day ». Il y a également Aurore qui a fait des ravages en 2010, lors de laquelle des cybercriminels chinois ont utilisé une vulnérabilité de type « zero day » via Internet Explorer. Enfin, on peut citer le piratage RSA en 2011. Lors de cette attaque, les cybercriminels ont exploité ce type de vulnérabilité par le biais du lecteur Flash d’Adobe pour lancer une campagne de spear phishing, ciblant les employés de la RSA.
Peut-on détecter facilement une faille « zero day » ?
En soi, un exploit du type zero day est une simple faille dans un composant matériel ou un logiciel. Toutefois, elle peut entraîner des dommages bien avant qu’elle ne soit détectée.
Pour quelles raisons cette attaque est-elle presque indétectable ?
Une attaque zero day ne se produit que lorsqu’une faille ou une vulnérabilité matérielle ou logicielle est exploitée par un malware. L’administrateur système n’aura donc pas la possibilité de créer un correctif afin de combler la brèche à temps. C’est d’ailleurs pour cela qu’on appelle attaque « zero day ».
Quel genre de système d’exploitation est le plus visé par les pirates ?
Au cours du premier semestre 2014, ce type d’attaque s’est poursuivi sans relâche, et ce, à partir de 2013. La menace visait essentiellement les applications des utilisateurs finaux comme les navigateurs et les applications Microsoft Office. Microsoft Internet Explorer a été le système d’exploitation le plus corrigé du marché, mais il a également été le plus exploité, surpassant Adobe Flash et Oracle Java. Internet Explorer continuera probablement à être la cible de choix pour les pirates à l’avenir.
Si vous êtes comme la plupart des professionnels de l’informatique aujourd’hui, vous avez un million de choses à faire et un court laps de temps pour les accomplir.
Pour alléger notre charge sans fin, nous les réalisons souvent par commodité plutôt que selon une bonne politique. Malheureusement, les mesures que nous prenons par commodité aujourd’hui peuvent finir par créer plus de travail pour nous à l’avenir. Cela crée un cercle vicieux dont il est difficile de sortir.
Ci-dessous, j’ai décrit cinq mesures qui peuvent prendre un peu de temps au début, mais qui peuvent offrir un gain substantiel, en réduisant le recours au support technique et les attaques de malwares.
Imposer le groupe d’administrateurs locaux
Regardons les choses en face.
Faire de nos utilisateurs des administrateurs de leurs appareils est facile. Ainsi, nous n’avons pas à nous soucier des applications qui peuvent nécessiter des droits d’administrateur pour fonctionner correctement. Cependant, cela va à l’encontre de tous les aspects de l’application de la pratique du moindre privilège.
Donner aux utilisateurs les droits d’administration locaux sur leurs périphériques, c’est comme confier les clés d’une Lamborghini à un jeune de 16 ans, sans aucune limitation. À un moment donné, cela va mal finir.
Le concept du moindre privilège est simplement que les utilisateurs ne devraient avoir que les privilèges et les droits dont ils ont besoin pour faire leur travail, et rien de plus.
Disposant des droits d’administrateur, les utilisateurs ont un accès injustifié aux paramètres de configuration du logiciel dans lesquels ils ne devraient pas s’immiscer. Ils ont également des privilèges élevés qui peuvent favoriser l’installation de malwares.
Heureusement, vous pouvez facilement contrôler l’appartenance du groupe des administrateurs locaux de toutes vos machines par le biais des préférences de stratégie de groupe. Une fois activés et déployés sur l’ensemble du domaine, les comptes non autorisés seront supprimés et empêchés de s’inscrire à l’avenir.
Désactiver tout service inutilisé ou inutile
Un aspect clé du renforcement de la sécurité réseau est de désactiver tous les services sur vos dispositifs. Cette tâche peut être faite simplement, et encore une fois, par le biais des préférences de stratégie de groupe. Vous devrez créer cette politique sur une machine de gestion dotée du système d’exploitation le plus récent afin de vous assurer que tous les services sont pris en charge.
Il se peut également que vous deviez élaborer plusieurs politiques pour tenir compte des différentes configurations matérielles.
Par exemple, de nombreuses entreprises préfèrent désactiver le service Bluetooth sur les ordinateurs portables des utilisateurs pour des raisons de sécurité. Dans ce cas, la politique devrait être créée sur un appareil qui utilise ce service.
Maintenez la mise à jour des correctifs grâce à des tests appropriés
Nous sommes tous conscients de l’importance de maintenir nos machines à jour avec les derniers correctifs et mises à jour. Nous connaissons également le chaos qu’une mise à jour non testée peut occasionner sur l’expérience utilisateur.
C’est pour cette raison que de nombreuses organisations accordent un délai de 30 à 60 jours à compter de la publication des mises à jour avant de les appliquer. Evidemment, le problème est que des vulnérabilités bien connues demeurent exposées aux attaques cybercriminelles pendant cette période. Sachez que plus de 200 000 nouvelles menaces de malwares sont créées chaque jour.
Disposer d’un environnement de test virtuel, qui vous permet de valider correctement les mises à jour et les correctifs dès leur sortie, peut vous aider à identifier les conflits potentiels qui pourraient survenir dans votre environnement utilisateur.
En même temps, votre entreprise pourra déployer les mises à jour et les correctifs à l’échelle du réseau au moment opportun.
Mettre en place des pare-feux sur les périphériques locaux
Pendant des années, la plupart des organisations ont pu compter sur une stratégie de périmètre de réseau, comme un roi qui dépendait des murs de son château et des douves pour le protéger. En raison de l’évolution des stratégies militaires, appuyées par des technologies de pointe, la seule dépendance à l’égard d’une stratégie de périmètre s’est avérée fatale pour de nombreux royaumes, comme c’est le cas aujourd’hui pour de nombreux réseaux.
Dans le monde mobile d’aujourd’hui, il ne suffit pas de se fier uniquement à la protection périmétrique. Chaque périphérique qui n’est pas couvert par la sécurité du réseau doit être protégé par un pare-feu local. Encore une fois, avant toute mise en œuvre d’une solution à grande échelle, il faut procéder à des tests approfondis de toutes les applications utilisées par vos utilisateurs, qu’il s’agisse d’une application de bureau ou dans le cloud. Mais toutes ces mesures peuvent aussi nécessiter beaucoup de temps.
Réévaluez vos filtres antispam et web
Le phishing par email est la plus grande menace d’ingénierie sociale pour votre entreprise.
Certains des blogs que nous avons publiés récemment ont décrit les récentes éclosions de demandes de rançon qui ont fait des ravages dans des organisations critiques comme les hôpitaux. Ces attaques forcent les organisations à tout fermer lorsque quelqu’un a cliqué sur un lien malveillant contenu dans un email.
Nous avons également décrit certaines des escroqueries de phishing des PDG, ou Business Email Compromise. Elles ont coûté des millions de dollars à certaines des plus grandes entreprises du monde.
Le spamming n’a pratiquement aucun coût, et c’est pour cette raison que cette pratique est si répandue. Les méthodologies utilisées pour lancer des attaques sont beaucoup plus avancées qu’elles ne l’étaient il y a cinq ans.
Un seul email de phishing peut faire tomber tout votre réseau, c’est pourquoi il vaut la peine d’évaluer chaque année votre service de filtrage de spams et de comparer les caractéristiques offertes par votre solution actuelle avec d’autres options.
Une solution qui semblait tout à fait appropriée il y a cinq ans est peut-être dépassée aujourd’hui.
Le plus souvent, la flexibilité et la possibilité d’optimisation des ressources sont les principaux facteurs décisifs pour le choix d’une solution de sécurisation du réseau. Pour ces raisons, et d’autres encore, nous voyons beaucoup d’entreprises se tourner vers le filtre web avancé WebTitan. Une version d’essai gratuite de 14 jours est disponible à l’adresse https://www.titanhq.fr/webtitan.
Le système de noms de domaine (DNS) a été mis en place pour faciliter l’utilisation d’Internet. Il traduit les noms de domaine en adresses IP, lesquelles sont utilisées par les périphériques réseau. Le DNS vous permet d’utiliser http://www.google.com au lieu de http://74.125.224.72/ pour lancer une recherche.
Bref, c’est le principal service d’annuaire d’Internet.
Le DNS existe depuis longtemps et tous les ordinateurs connectés à Internet en dépendent. Les pirates l’utilisent désormais à des fins de reconnaissance interne et externe, notamment pour détourner le trafic et créer des canaux de communication secrets. Heureusement, si vous surveillez vos serveurs DNS et si vous appliquez des analyses de sécurité, bon nombre d’attaques cybercriminelles peuvent être détectées et déjouées.
Qu’est-ce qu’un DNS ?
En quelques mots, le DNS est un système distribué ancré par les serveurs de noms racine. En-dessous de celui-ci se trouve des zones DNS pouvant être constituées d’un ou plusieurs domaines (google.com, par exemple, est un domaine), c’est-à-dire un ensemble de serveurs de noms faisant autorité est attribué à chaque zone DNS.
Un serveur de noms faisant autorité (Authoritative Name Server) peut être soit un serveur maître, soit un serveur esclave. Un serveur maître stocke les copies originales des enregistrements de zone tandis qu’un serveur esclave conserve les copies des enregistrements maîtres.
Un serveur de noms faisant autorfité fournit une réponse réelle à toutes vos requêtes DNS comme l’adresse IP d’un serveur de messagerie ou l’adresse IP d’un site web. Mais, même si son rôle principal est de fournir des réponses définitives aux requêtes DNS, il peut également fournir les réponses qui ont été mises en cache par un autre serveur de noms de domaine. Cela dit, il ne renvoie donc que des réponses aux questions sur les noms de domaine ayant été installées dans son système de configuration.
Comme susmentionné, il existe deux types de serveurs de noms faisant autorité :
D’une part, il y a le serveur maître qui est également appelé serveur de noms primaires. Ce type de serveur stocke les copies originales de tous les enregistrements de zone. Il ne peut apporter aucune modification qu’aux enregistrements de zone au niveau du serveur principal.
D’autre part, il y a le serveur esclave ou serveur de nom secondaire. Un serveur esclave est la réplique exacte du serveur maître. Il a pour rôle de partager la charge du serveur DNS et d’améliorer la disponibilité de la zone DNS au cas où il y aurait une défaillance du serveur maître. Par conséquent, il est recommandé de disposer d’au moins 2 serveurs esclaves et d’un serveur maître pour chaque nom de domaine.
À noter que chaque serveur esclave est mis à jour par le biais d’un mécanisme spécial du protocole DNS.
Les défis en matière de gestion du DNS
Il existe plusieurs failles de sécurité et défis architecturaux inhérents à la conception originale du DNS pour les serveurs de noms externes.
La gestion est complexe
La plupart des administrateurs système reconnaissent l’importance des serveurs de noms externes. Cependant, une erreur ou une mauvaise configuration occasionnelle est inévitable, notamment à cause de la complexité de la gestion de la plupart des serveurs de noms.
Presque tous les administrateurs système d’un serveur de noms « BIND » qui est la marque préférée des serveurs de noms externes ont fait une erreur. Ils introduisent souvent une erreur de syntaxe dans un fichier de données de zone. C’est un risque similaire d’erreur humaine.
Le risque similaire d’erreur humaine est aussi élevé lorsque les administrateurs système utilisent de solutions non BIND, comme celles de Microsoft. Par contre, une erreur de syntaxe dans un fichier de données de zone qui est souvent passée inaperçue rend le serveur de noms incapable de charger cette zone. Elle permettra aux pirates de récolter des données anciennes.
Pire encore, une erreur de syntaxe dans le fichier de configuration du serveur de noms peut empêcher le serveur de noms de démarrer.
Vulnérabilités d’attaque
De nombreux administrateurs système ne prennent pas la précaution de configurer leurs DNS afin de traiter les requêtes récursives qui proviennent d’adresses IP internes, alors que c’est une opération facile à réaliser. Cela peut être dû au fait parce qu’ils ne savent pas comment faire. L’autre raison est qu’ils ne comprennent pas souvent les implications de laisser un serveur de noms externe ouvert aux requêtes récursives.
À titre d’exemple, il se peut qu’une vulnérabilité inhérente apparaisse lorsqu’un serveur de noms permet des requêtes récursives à partir d’une adresse IP arbitraire. Cette approche permet aux pirates de mener une attaque par empoisonnement du cache lors de laquelle ils peuvent inciter le serveur de noms à mettre en cache des données fabriquées. L’attaque la plus célèbre de ce type est celle menée par Eugene Kashpureff qui a empoisonné les caches de centaines de serveurs de noms Internet, les amenant à rediriger les utilisateurs qui accèdent à www.intemic.net.
L’adresse IP d’un serveur Web a été gérée par une organisation appelée AlterNIC
Il est difficile de surestimer les dégâts qu’une attaque via le DNS pourrait causer aujourd’hui. Un pirate informatique pourrait rediriger le trafic destiné à un site Web, par exemple celle d’une banque, vers un serveur Web qui contient une réplique du contenu du site et voler des mots de passe et des numéros de compte. Les pirates peuvent aussi siphonner le trafic destiné à un commerçant en ligne vers un site web identique. De cette manière, ils peuvent capturer les numéros de cartes de crédit.
Des mises à jour difficiles
Avec « BIND » et les serveurs de noms de Microsoft, la mise à niveau des logiciels vers une nouvelle version n’est pas facile. La mise à niveau implique au moins le téléchargement du nouveau code source, de le compiler et de le tester avant de l’installer.
Dans plusieurs cas, des incompatibilités avec les versions précédentes des logiciels obligent les administrateurs système à modifier les configurations ou les données ou à lire des données sensibles de votre entreprise.
Par conséquent, certains administrateurs système remettent à plus tard cette tâche cruciale, même si de nouvelles versions sont disponibles.
La mise à niveau des serveurs de noms lorsque de nouvelles versions sont publiées
Il est important de mettre à niveau les serveurs de noms, mais sachez que cela peut avoir des effets désastreux.
Quelques mois après la découverte d’un dépassement de tampon et corrigé dans un code, un virus appelé LiOn a exploité la vulnérabilité du DNS dans le but d’infecter des centaines de serveurs de noms sur Internet. Il a également installé un « rootkit » que l’auteur du virus- ou toute autre personne- peut utiliser.
L’auteur du virus- ou toute autre personne qui connait son fonctionnement- pouvait l’utiliser pour accéder à la racine de l’hôte infecté. Les pirates auraient pu modifier ou détruire la zone démilitarisée ; ou utiliser le serveur de noms pour pénétrer dans votre réseau.
Aujourd’hui encore, il est fort probable qu’il y ait toujours des serveurs de noms compromis pendant la propagation de LiOn, à l’insu des administrateurs système.
Les récentes attaques liées au DNS
Une récente étude menée par EfficientIP et IDC fait la lumière sur la fréquence des différents types d’attaques DNS et les coûts associés pendant la pandémie de COVID-19.
La sécurité des réseaux DNS peut être compromise
Au Royaume-Uni, les dommages qui découlent de chaque attaque ont connu une baisse marquée de 27 % par rapport à l’année précédente. Les dommages enregistrés en 2021 étaient de 596 083 euros, tandis que les dommages en 2020 étaient d’environ 819 024 euros.
En fait, il s’agit de la plus forte baisse au niveau mondial. Les entreprises britanniques qui ont participé à l’enquête ont signalé environ 5,78 attaques au cours de l’année écoulée, ce qui constitue aussi la moyenne la plus faible signalée. Le chiffre le plus élevé était de 7,74 au Canada.
En termes de dommages régionaux causés par les attaques DNS, l’Europe a subi une moyenne de 743 920 euros par attaque. Il s’agit d’une légère augmentation de 3 % par rapport à l’année précédente.
Au niveau mondial, 87 % des entreprises ont subi des attaques DNS, dont le coût moyen s’élève à 779 008 euros. Cela signifie que les entreprises — tous secteurs confondus — ont subi environ 7,6 attaques l’année dernière. Ces chiffres démontrent le rôle central du DNS pour la sécurité des réseaux en tant que vecteur de menace et objectif de sécurité.
Les attaquants ciblent de plus en plus le cloud
Pendant la pandémie du COVID-19, les pirates informatiques ciblent de plus en plus le cloud. Ils profitent de la dépendance à l’égard des infrastructures de travail hors site et de cloud.
Environ un quart des entreprises ont subi une attaque DNS, abusant d’une mauvaise configuration du cloud. 47 % d’entre elles ont signalé une interruption de leur service cloud à la suite de l’attaque.
Sécurité des réseaux DNS
Bien que le coût et la variété des attaques restent élevés, on constate une sensibilisation croissante à la sécurité des DNS et à la manière de les combattre.
Les administrateurs système considèrent la sécurité du DNS comme un élément essentiel de leur architecture réseau. Par contre, il est important ce considérer que la confiance zéro n’existe pas si vous voulez protéger votre réseau à l’ère de l’informatique à distance.
Les solutions considérées comme les plus efficaces par les entreprises pour le vol de données comprennent la sécurisation des points d’extrémité du réseau, la surveillance des menaces et l’analyse du trafic DNS.
Bien sûr, il est positif que les entreprises utilisent le DNS pour protéger leur personnel de plus en plus éloigné, mais les entreprises continuent de subir les impacts coûteux des attaques DNS.
Alors que les acteurs de la menace cherchent à diversifier leurs tactiques, vous devez continuer à être conscientes de la variété des menaces, en vous assurant que la sécurité DNS est une priorité essentielle afin de les prévenir.
Faire du DNS votre première ligne de défense
Le DNS offre des informations précieuses contre les attaques cybercriminelles potentielles qui sont actuellement sous-utilisées.
Selon Ronan David, vice-président de la stratégie chez EfficientIP, l’existence de la pandémie du Covid-19 nous a montré que le DNS est important si vous voulez mettre en place un système de sécurité efficace. Alors que les travailleurs cherchent à effectuer une transition plus permanente vers des sites hors site, en faisant appel à l’IoT, au cloud, à la périphérie et à la connexion 5G, les entreprises et les fournisseurs de télécommunications devraient se tourner vers le DNS pour mettre en place une stratégie de sécurité proactive. Cela permettra d’assurer la prévention des temps d’arrêt de votre réseau ou de vos applications, ainsi que la protection de votre entreprise contre le vol de données confidentielles et les pertes financières.
Le fonctionnement du DNS sécurisé
Lorsqu’un utilisateur veut accéder à une page web spécifique, il doit entrer l’adresse
de la page ou son nom DNS dans la barre d’adresse de son navigateur. Ensuite, ces informations sont envoyées aux serveurs DNS de leur fournisseur de services Internet (FAI) sous la forme d’une « requête DNS ». Chaque FAI possède une base de données de noms DNS et un répertoire d’adresses IP correspondantes. Si le serveur peut répondre à la requête initiale à l’aide de ce répertoire, il envoie alors une réponse « faisant autorité » à l’ordinateur de l’utilisateur pour qu’il puisse se connecter avec le site web.
Il est bien possible que l’annuaire du FAI ne puisse pas répondre à la requête DNS initiale avec une réponse « faisant autorité ». Dans ce cas, le serveur va vérifier son cache. Le cache d’un serveur comprend un enregistrement de toutes les requêtes précédentes. Si le serveur peut utiliser ces informations du cache pour répondre à l’utilisateur, il va tout de même répondre, mais avec une réponse « non autorisée ». Autrement dit, les informations qui sont fournies à l’utilisateur ne proviennent pas directement du répertoire de son FAI, mais d’un tiers.
Si malgré ces deux solutions, le serveur ne parvient pas encore à fournir une réponse à la requête, alors le processus de requête DNS va utiliser la récursivité. Cela signifie que l’enquête DNS du FAI de l’utilisateur va se servir des informations qu’il possède sur d’autres serveurs « faisant autorité » dans leurs fichiers racine pour contacter et obtenir les informations que l’utilisateur souhaite avoir. Une connexion peut alors être établie par le FAI et son serveur va stocker ces nouvelles informations dans sa mémoire cache pour que le serveur puisse y accéder lors des futures requêtes.
DNS pour IPv4
IPv4 est l’abréviation de « Internet Protocol version 4 », qui spécifie le format et le schéma de l’adresse IP utilisé sur votre réseau local (Local Area Network). Pour vous aider à comprendre ce que c’est de façon la plus simple, vous pouvez considérer l’IPv4 comme l’adresse d’un ordinateur, et chaque adresse est unique.
Pour IPv4, le DNS est le plus souvent étroitement intégré au protocole DHCP (Dynamic Host Configuration Protocol). DHCP fournit des adresses IP, des serveurs de noms DNS et d’autres informations aux périphériques d’un réseau privé ou public.
Ainsi, pour sécuriser le DNS, il faut également protéger le DHCP, et ce, grâce à l’utilisation de techniques telles que l’espionnage DHCP et la limitation du relais DHCP.
DNS pour IPv6
Considéré comme la version du protocole Internet (IP), l’IPv4 est le moyen le plus utilisé dans le monde. Pourtant, ses adresses IP disponibles sont épuisées. Ce protocole utilise 32 bits pour ses adresses Internet. Cela signifie qu’il ne peut prendre en charge qu’environ 4,29 milliards d’IP. Oui, cela peut sembler beaucoup, mais sachez que ces 4,29 milliards d’adresses ont déjà été attribués à diverses institutions.
Voici pourquoi IPv4 doit être remplacé par une autre solution, à savoir Internet Protocol version 6 ou tout simplement IPv6. Ce nouveau protocole Internet IPv6 a été créé au milieu des années 90 et il est déjà très utilisé par les organismes gouvernementaux américains. Cette alternative à IPv4 commence également à s’introduire progressivement à travers le monde.
Selon la configuration du réseau IPv6, le protocole DHCP peut fournir ou non des informations DNS.
Par exemple, l’autoconfiguration des adresses sans état (SLAAC) ne nécessite pas de serveur DHCPv6, car le message Router Advertisement (RA) fournit le nom du ou des serveurs DNS.
IPv6 est un système qui offre non seulement beaucoup plus d’adresses internet, mais il simplifie également l’attribution d’adresses et de fonctions de sécurité réseau supplémentaires.
Comment passer de IPv4 à IPv6 ?
La transition de IPv4 à IPv6 peut s’avérer difficile, car la plupart des gens ne sont pas familiers avec ces protocoles, et encore moins avec l’impact potentiel du passage à IPv6.
Heureusement, ces deux protocoles peuvent coexister au sein d’un réseau. Cela permet aux entreprises de passer facilement et progressivement de IPv4 à IPv6.
Pour ce faire, il faut une bonne programmation est un inventaire de l’infrastructure existante. Cette opération doit aussi inclure une liste de toutes les adresses IPv4 de votre infrastructure réseau ; une liste des adresses auxquelles elles sont référencées dans toutes les applications, ainsi qu’une liste de tous les mappages DNS. Grâce à l’inventaire, vous pourrez vérifier si votre fournisseur DNS externe actuel et les périphériques de votre infrastructure réseau peuvent prendre en charge IPv6.
Attaques DNS et protection DNS
Le DNS fait partie de l’infrastructure fonctionnelle et du cadre de confiance de l’Internet. Sans les noms de domaine, les énormes matériels, logiciels et applications internet des entreprises ne pourront être trouvés et accessibles par les utilisateurs.
Malheureusement, parce que le DNS constitue un élément clé de l’infrastructure, il est devenu un élément très ciblé par les pirates informatiques.
Les attaques de déni de service distribué (DDoS) ciblant le DNS sont un type spécifique d’attaque exposant les vulnérabilités du DNS.
Un white hat recherche un résolveur DNS ouvert et lance une attaque par Déni De Service Distribué (DDoS), soit contre le résolveur lui-même, soit contre d’autres systèmes. La cible reçoit une réponse DNS de partout sur Internet. Les réponses DNS peuvent ensuite être usurpées, ou créées avec de fausses informations, pour rediriger les utilisateurs de sites légitimes vers des sites web malveillants.
Qu’est-ce qu’une attaque DDoS ?
Une attaque DDoS implique la surcharge intentionnelle d’un dispositif, dans le but de rendre ce dispositif ou le service qu’il fournit inaccessible aux utilisateurs.
L’attaque DDoS utilise trois éléments : le spoofing, la réflexion et l’amplification. En réalité, le but des pirates informatiques est de saturer un serveur de noms à travers de nombreux résolveurs DNS ouverts et en utilisant des botnets.
Le spoofing consiste à envoyer un grand nombre de requêtes à des dizaines de milliers de serveurs DNS où l’adresse IP source est spoofée vers le ou les serveurs DNS de l’organisation ciblée. Ensuite, ces serveurs reflètent l’attaque depuis la source vers la cible. Enfin, l’amplification intervient lorsque le serveur réfléchissant répond à la requête relativement petite avec une réponse beaucoup plus grande.
Dans le cas du DNS, le problème est aggravé parce qu’une très petite requête – de moins de 100 octets – peut être amplifiée jusqu’à 50 fois (ou plus) pour générer des milliers d’octets en réponse.
À elle seule, cette forme d’attaque ne tente pas d’accéder aux données d’une organisation. Pourtant, elle peut être utilisée à des fins malveillantes par des pirates informatiques pour empêcher l’accès à certaines ressources ou inhiber certains services fournis par le système ciblé.
Les attaques DDoS ne cessent d’augmenter dans le monde entier. L’une des plus importantes attaques jamais réalisées s’est produite contre les serveurs Dyn DNS en octobre 2016. Les pirates ont utilisé des dispositifs IoT (internet des objets) pour générer jusqu’à 1 téraoctet de trafic. Selon le Worldwide Infrastructure Security Report (WISR), un tiers des opérateurs DNS ont signalé une attaque de ce genre qui ont affecté leurs clients.
Attaque DNS Spamhaus en 2013
L’énormité d’une attaque DDoS est époustouflante. Prenons pour exemple celle qui a été menée en mars 2013 contre Spamhaus, une organisation internationale non gouvernementale basée à Genève et à Londres.
L’attaque a commencé avec une requête DNS avec une adresse IP bidon, mais elle a rapidement pris de l’ampleur pour deux raisons.
Premièrement, la taille du paquet de réponses envoyé par le résolveur DNS est souvent plusieurs fois supérieure à celle du paquet de requêtes. Deuxièmement, le nombre de réponses DNS générées augmente exponentiellement à mesure que le nombre de serveurs participant augmente.
Selon Spamhaus, plus de 30 000 résolveurs DNS ont initialement participé à l’augmentation du flux de réponses DNS.
Si une grande quantité de trafic est reçue d’une adresse IP, la sécurité peut être configurée pour limiter les paquets provenant de cette adresse.
Mais pour l’incident de Spamhaus, les attaquants ont utilisé un grand nombre d’adresses IP différentes. Par conséquent, le nombre de réponses DNS de chaque adresse IP individuelle n’a pas déclenché le mécanisme de limitation de paquets.
Détournement du DNS & sécurité des serveurs
Cette attaque est très facile à comprendre, comparée au spoofing. Elle consiste à changer complètement vos paramètres DNS, de sorte que toutes les requêtes de votre trafic Internet puissent être dirigées vers un serveur DNS malveillant. De ce fait, les résultats que vous recevrez – notamment les sites web que vous verrez dans votre navigateur – seront tous très probablement infectés ou corrompus.
Le fait que l’attaque est plus facile à comprendre ne signifie pas pour autant qu’elle est facile à détecter. En réalité, les pirates utilisent des chevaux de Troie spécifiquement conçus pour modifier les paramètres du DNS.
Pour que cette menace réussisse, les pirates doivent passer par une étape préliminaire, où les ordinateurs vont être affectés par des botnet qui donnent aux attaquants le contrôle du système.
Une autre façon de détourner les DNS consiste à modifier le comportement d’un serveur DNS de confiance, de telle sorte qu’il paraisse plus conforme aux standards Internet.
Dans les deux cas, le résultat reste toutefois le même, c’est-à-dire que les victimes se verront livrer toujours des sites web malveillants via lesquels des campagnes de pharming ou de phishing peuvent être lancées.
Identification du trafic DNS malveillant
Le DNS peut utiliser les protocoles TCP ou UDP. Le trafic sur le port TCP 53 représente souvent des transferts de zone pour garder les serveurs esclaves en synchronisation avec le fichier de zone maître. Toutefois, des intrus peuvent utiliser ce mécanisme pour télécharger le contenu du fichier de zone d’un serveur de noms. Pour éviter cela, les administrateurs doivent bloquer les demandes de transfert de zone à partir de tout périphérique autre que le serveur de noms esclave autorisé.
Comme tout autre port, le port 53 peut être utilisé en guise de tunnel de trafic non autorisé. Méfiez-vous donc si Wireshark signale des paquets « malformés » ou demandant des « opérations inconnues ».
À quoi ressemble le trafic malveillant ?
Pour comprendre la différence entre trafic malveillant et trafic bénin, vous devez d’abord comprendre la manière générale dont les malwares ciblent le DNS. Ces derniers utilisent généralement les algorithmes de génération de domaine (DGA) ou le DNS tunneling/C2.
Les DGA se produisent lorsqu’un malware communique avec un domaine généré de manière algorithmique plutôt que de faire cela avec un domaine C2 codé en dur. Ces domaines ont un aspect distinct et intègrent souvent des chaînes de caractères aléatoires. À noter que les DGA ne font que générer des domaines d’apparence aléatoire. Certains algorithmes peuvent aussi utiliser des mots du dictionnaire informatique pour rendre les domaines moins suspects.
Pour les auteurs de malware, le grand avantage de l’utilisation de la DGA est que, lorsqu’un seul domaine est en cours d’arrêt, cela ne signifie pas qu’ils ont perdu le contrôle de leur malware. Si les défenseurs tentent d’éteindre les malwares en mettant des noms de domaines sur une liste noire, ils auront plus de mal à le faire puisque les pirates peuvent contourner facilement ce système de défense.
Quant au DNS tunneling, cette forme d’atteinte à la sécurité utilise le DNS lui-même pour le transfert de données. Cette forme de cyberattaque code les données d’autres programmes ou protocoles dans les requêtes et les réponses DNS. Elle inclut souvent des données utiles qui peuvent être ajoutées au serveur DNS ciblé et utilisées pour contrôler un serveur distant et ses applications.
Parmi les récentes attaques de DNS tunneling, on peut citer celles menées par le groupe DarkHydrus en 2018 – ciblant des entités gouvernementales au Moyen-Orient – et OilRig qui opère depuis 2016 et est toujours en activité.
Apparence bénigne, mais suspecte
Ces deux techniques de cyberattaques devraient être suffisamment distinctes pour que les professionnels de l’informatique puissent les éviter. Mais il faut aussi noter qu’il existe un certain nombre de logiciels légitimes qui se comportent de la même manière.
Prenons l’exemple de Google Chrome. Au démarrage, ce navigateur interroge 3 domaines aléatoires. Ce comportement est nécessaire pour assurer le bon fonctionnement de l’Omnibox pour certains types de requêtes. Pourtant, ce mode de fonctionnement peut paraître très suspect pour la solution de sécurité de votre réseau.
Pour différencier ce trafic bénin du trafic malveillant réel, vous devez savoir que les domaines générés par Chrome n’incluront que les domaines racine qui figurent dans votre liste de suffixes DNS par défaut.
Une autre catégorie courante de trafic suspect, mais finalement bénin, est celle des logiciels de protection des terminaux qui communiquent avec leur infrastructure. Par exemple, Sophos Extensible List peut créer un certain nombre de requêtes différentes pour sophosxl.net. Il existe une variété de raisons différentes de faire cela, y compris les recherches de réputation IP et les vérifications de latence de la transmission des données. Nous avons vu McAfee et Cymru utiliser ce genre de méthode pour leurs systèmes DNS.
Ce trafic peut ressembler au tunneling DNS, car il utilise essentiellement le DNS de la même manière que les malwares. Pourtant, comme le domaine racine est celui d’un fournisseur connu et qui est déployé sur votre réseau, ce trafic est bénin, même si des recherches fondamentales et des analyses de l’infrastructure du domaine soient encore recommandées pour le confirmer.
Le DNS peut protéger votre réseau
Le DNS est essentiel pour rendre possible toute communication en réseau. Il semble être un outil qui travaille de manière invisible jusqu’à ce que quelque chose tourne mal. Si le service DNS tombe en panne, alors plus rien ne fonctionnera donc sur votre réseau.
Mais comment le filtrage DNS contribue-t-il à bloquer les malwares, les attaques de phishing et bien d’autres menaces en ligne ?
Bloquer les sites web malveillants
Un site web hébergeant un malware peut soit tenter de tromper les utilisateurs afin de les inciter à télécharger un programme malveillant, soit effectuer un téléchargement du type « drive-by », c’est-à-dire en téléchargeant automatiquement un malware lorsqu’une page web malveillante se charge.
D’autres types d’attaques sont également possibles. Par exemple, les pirates peuvent utiliser des pages web contenant un code JavaScript. JavaScript est un langage de programmation complet et il peut donc être utilisé de différentes façons pour compromettre les appareils de vos employés et votre réseau informatique.
Le filtrage DNS peut empêcher les utilisateurs de charger des sites web malveillants et prévenir ce type d’attaque.
Bloquer les sites de phishing
Pour mener leur campagne de phishing, les pirates utilisent un faux site web via lequel ils peuvent voler vos identifiants de connexion. Ils utilisent un domaine usurpé ou simplement un domaine qui semble officiel que la plupart de vos employés ne penseront pas à remettre en question.
Quelle que soit la méthode utilisée, l’objectif reste le même : tromper les utilisateurs et les inciter à divulguer leurs identifiants de connexion aux attaquants. Ces sites web peuvent également être bloqués si vous utilisez un filtre DNS.
Les capacités du filtre DNS à bloquer ces sites malveillants sont basées sur le fait que le système de filtrage sache identifier le plus d’adresses IP ou de domaines malveillants possible comme étant mauvais. Attention toutefois, car une fois que le filtre DNS parvient à identifier un site comme malveillant, les attaquants peuvent générer très rapidement de nouveaux domaines pour mener leurs campagnes de phishing. Autrement dit, il n’est pas possible de bloquer tous les sites de phishing uniquement avec un filtre DNS.
Bloquer les contenus interdits
Il est possible de restreindre l’accès à certains types de contenus grâce au filtre DNS. Le processus est similaire à celui décrit ci-dessus, c’est-à-dire que le filtre va bloquer les noms de domaine et les adresses IP connus pour héberger des contenus interdits. Mais vous pouvez aussi ajouter des sites web que vous avez approuvés à une liste d’autorisation. Dans ce cas, le filtre DNS ne bloquera que les sites web inappropriés pour le travail ou qui représentent une menace pour votre organisation.
Prévenir ou empêcher une attaque DNS ?
Le DNS peut être configuré pour atténuer les problèmes de sécurité DNS courants. Selon le projet Open Resolver, « les résolveurs ouverts représentent une menace importante pour l’infrastructure réseau globale ».
Empêchez votre serveur DNS d’être un résolveur ouvert, répondant aux requêtes DNS de n’importe quelle adresse sur Internet. Limitez les serveurs récursifs internes aux sous-réseaux IP utilisés par votre entreprise.
Gardez cependant à l’esprit que de nombreux (sinon la plupart des) résolveurs DNS sur Internet sont ouverts, soit parce qu’ils n’ont pas été sécurisés, soit parce qu’ils sont destinés à être ouverts au public, comme le service Comodo. Pour tester votre adresse IP pour détecter les résolveurs ouverts, consultez http://www.thinkbroadband.com/tools/dnscheck.html.
Bien qu’il n’existe aucun moyen sûr d’empêcher une attaque DNS, les mesures suivantes peuvent minimiser les risques :
Le blocage DNS utilisé pour la sécurité contre le phishing et le spam peut aider à prévenir les attaques DNS. Ce mécanisme empêche les entités de localiser des domaines ou des sites Web spécifiques et malveillants sur Internet.
Configurez vos serveurs DNS faisant autorité pour utiliser la limitation du taux de réponse DNS.
Le trafic DNS doit être limité en fonction du type de paquet DNS. Par exemple, une réponse de transfert de zone aurait un seuil plus élevé qu’une réponse pour le nom du serveur DNS.
Travaillez avec votre fournisseur d’accès Internet pour bloquer ou limiter le trafic que vous ne voulez pas sur votre réseau, si possible.
Surveillez votre réseau, en particulier les adresses IP des clients qui utilisent le plus de bande passante.
La fermeture des résolveurs ouverts et l’utilisation du blocage DNS ne peuvent pas protéger contre l’usurpation d’identité des paquets. Ainsi, Google déclare que votre site doit être équipé pour faire face à une charge accrue occasionnée par une attaque. Il vous faudra un filtre pour les cycles de bande passante et de processeur ainsi qu’une capacité générale d’équilibrer la charge.
Utilisez le filtre DNS WebTitan pour mieux sécuriser votre réseau
Le filtre DNS WebTitan est une couche de protection tierce qui permet de protéger en temps réel votre réseau contre les menaces en ligne comme les virus, les malwares, les ransomwares, le phishing et les botnets. Voici les principales caractéristiques de ce service basé dans le cloud :
Filtrage des URL avec une catégorisation en temps réel de plus de 500 millions de sites web.
Des clés cloud qui permettent aux administrateurs réseau de créer facilement des exceptions aux politiques de l’utilisation de l’internet sans avoir à les modifier.
Un système de filtrage complet avec plus de 53 catégories personnalisables.
Une grande protection contre les menaces en ligne grâce à l’utilisation d’une liste noire de DNS et d’URL malveillants.
Une plate-forme en ligne facile à mettre en place et à utiliser.
Suite complète de plus de 50 rapports prédéfinis avec de multiples options de programmation et d’exportation.
Visibilité en temps réel des activités de navigation de tous les utilisateurs du réseau de l’entreprise.
Un système basé dans le cloud, offrant un filtrage pour tous les utilisateurs, même ceux qui travaillent à distance.
Bref, ce filtre DNS est conçu pour faire de l’internet un endroit plus sûr et plus sécurisé pour vous et vos employés.
En résumé
Face à la recrudescence des menaces en ligne, le DNS peut offrir une couche de protection supplémentaire entre vos employés et l’internet. Pour ce faire, il met sur liste noire les sites malveillants et filtre les contenus indésirables. Utilisez des serveurs DNS sécurisés pour vos employés de bureau et les travailleurs distants et vous éviterez les risques inutiles d’attaques malveillantes.
Le système de noms de domaine reste un outil essentiel pour le bon fonctionnement de l’internet, mais sachez qu’une attaque contre le DNS peut avoir de graves conséquences. L’important est d’être toujours conscient des menaces en ligne et d’adopter les mesures nécessaires pour prévenir les éventuelles attaques. Si un pirate s’en prend à votre organisation et que vous subissez des dommages, vous devrez aussi être en mesure de les atténuer.
Redirigez vos requêtes DNS vers WebTitan Cloud. Il s’agit d’une puissante solution de filtrage de contenu 100 % basée dans le cloud et qui vous permet d’empêcher vos employés d’accéder à des pages web inappropriées via votre réseau, et de contrôler soigneusement l’accès aux applications web.
WebTitan Cloud est conçu pour être rapide et facile à mettre en œuvre et à gérer. Cette solution de filtrage DNS est évolutive et a été conçue pour répondre aux besoins de la majorité des fournisseurs de services gérés et des petites et moyennes entreprises. Elle est universellement compatible avec vos systèmes d’exploitation et peut être configuré pour répondre aux besoins de votre organisation par le biais d’une interface web, accessible depuis n’importe quel dispositif connecté à Internet.
Pour plus de détails sur WebTitan et sur la protection de votre entreprise contre les attaques DNS, contactez TitanHQ dès maintenant.
DNS FAQ
Qu’est-ce que le DNS ?
Le système de noms de domaine, ou DNS, est comme l’annuaire téléphonique de l’Internet. Il fonctionne en traduisant votre URL en utilisant la langue des ordinateurs. Cette langue, c’est-à-dire les adresses IP, est constituée d’une suite de chiffres du type 105.136.182.205.
Pour un simple internaute, il serait difficile de mémoriser ces chiffres pour chaque site qu’il visite. C’est pour cela qu’il lui faut le DNS. C’est un système qui peut traduire ces chiffres dans des noms communs pour qu’il le reconnaisse, comme Google.com.
Qu’est-ce que le filtrage DNS ?
Le filtrage DNS est une pratique consistant à bloquer l’accès à certains sites dans un but précis, dans la plupart des cas via un filtrage basé sur le contenu. Plus précisément, si un site (ou une catégorie de sites) représente une menace, son adresse IP sera instantanément bloquée par votre filtre DNS, c’est-à-dire que vos employés ne pourront pas accéder à ce site.
Parmi les sites qui sont susceptibles d’être bloqués, on compte par exemple les sites pour adultes ; les sites de jeu et toute autre plateforme en ligne qui peut présenter un risque important, comme ceux pouvant télécharger des malwares.
Comment le DNS est-il utilisé par les pirates informatiques ?
Un pirate informatique cherche toujours à trouver un moyen de faire en sorte qu’un site web signale la mauvaise adresse IP. Lorsque cela est fait, toute personne, comme vos employés, peut essayer d’accéder au site web en question. Ensuite, ils seront redirigés vers un faux site web.
Les cybercriminels peuvent également placer de fausses informations dans le cache d’un serveur. Ils y parviennent en attribuant à une demande d’information à une fausse réponse en utilisant une adresse IP source truquée.
Une fois que la fausse réponse revient, elle sera toujours mise en cache. Les pirates profitent ensuite de cette option pour répondre à toutes les demandes d’information jusqu’à ce que l’information soit considérée comme légitime et pour qu’ils puissent télécharger leur charge utile.
Pourquoi utiliser un filtre DNS ?
Un autre avantage de l’utilisation d’un filtrage DNS pour les entreprises est l’augmentation de la productivité de leur personnel. Par exemple, les sites de streaming peer-to-peer peuvent saper la bande passante, mais cela constitue également une source de téléchargement de malwares et peut saper la bande passante, outre le fait de distraire les travailleurs
Il suffit pourtant d’appliquer des politiques de filtrage DNS pour empêcher vos employés de visiter ces sites et de mieux contrôler leurs réseaux informatiques.
Un filtre DNS est-il suffisant pour vous mettre à l’abri des menaces cybercriminelles ?
Un serveur DNS sécurisé peut bloquer les sites web malveillants ou interdire leur consultation. Il faut également noter que certains serveurs DNS sécurisés peuvent offrir une confidentialité accrue pour protéger les données des utilisateurs.
Outre le filtrage DNS, vous pouvez aussi adopter d’autres moyens si vous voulez rendre votre processus DNS plus sûr. Il est par exemple possible d’appliquer le protocole DNSSEC qui permet de vérifier que les résolveurs DNS et qui fournit des informations exactes concernant les éventuelles attaques cybercriminelles.
Vous pouvez aussi utiliser les protocoles DNS DoT et DoH pour chiffrer les requêtes et les réponses DNS pour que les pirates ne puissent pas traquer les requêtes DNS de l’un de vos employés et pour suivre leurs activités en ligne.
De nombreux responsables informatiques sont réticents à fournir aux employés l’accès au serveur de l’entreprise à l’aide d’un appareil personnel comme un iPad ou un smartphone, que ce soit pour accéder au réseau de l’entreprise depuis leur domicile ou pour d’autres raisons d’accès étendu ou de facilité d’utilisation.
Ces derniers sont désormais très familiers avec l’utilisation des applications sociales qu’ils veulent utiliser ces dispositifs même au bureau.
La question est de savoir qui est vraiment à l’origine de l’engouement envers la consumérisation des technologies de l’information, également appelée « Bring Your Own Device » ou BYOD ?
Ce sont les employés et non les fournisseurs de technologie qui favorisent le concept du BYOD
Bien entendu, les fournisseurs en profitent énormément, car de ce fait, leurs appareils rejoignent rapidement l’entreprise.
Mais ce sont les employés et non les fournisseurs de technologie comme Apple qui poussent à utiliser les appareils personnels dans les lieux de travail.
Au cœur de cette tendance se trouve l’idée simple que les employés savent quels outils ils veulent utiliser pour rendre leur journée de travail plus facile et, espérons-le, plus agréable.
Les problèmes de sécurité du réseau liés à cette pratique sont nombreux :
Pour permettre aux appareils personnels d’accéder au réseau de l’entreprise, le service informatique doit passer un temps précieux pour assurer la sécurité du réseau et gérer les appareils appartenant aux employés comme les iPhone, les iPad, les Smartphones Android, les tablettes Android, etc., en plus de ceux fournis aux employés.
Cette activité consomme de plus en plus de temps, alors que les services informatiques sont déjà soumis à des contraintes budgétaires et de ressources.
D’un point de vue stratégique, les appareils appartenant aux employés et ayant accès au réseau de l’entreprise constituent actuellement des récepteurs et des dispositifs de stockage d’informations sensibles et confidentielles de l’entreprise. Ceci crée une variété de problèmes de conformité et de sécurité. Outre les possibilités d’introduction de malwares sur le réseau, il existe également le risque que les employés partagent des données sensibles de manière non autorisée.
Par exemple, si un smartphone est perdu, des données sensibles peuvent tomber entre de mauvaises mains si celles-ci ne peuvent pas être effacées à distance.
Que se passe-t-il lorsque l’employé quitte votre entreprise ?
Il est crucial que les services informatiques s’assurent que toutes les données confidentielles concernant votre établissement soient retournées et que l’appareil lui-même ne contienne aucune information stockée en dehors du contrôle de votre entreprise.
Les données sont souvent la principale préoccupation, empêchant les entreprises d’autoriser les dispositifs personnels dans les lieux de travail.
Pourtant, l’ajout de l’utilisation d’applications basées dans le cloud à l’équation peut accroître la sécurité des données, surtout pour les petites entreprises où les ressources techniques sont limitées.
Dans ce cas, le stockage hors site supprime les données sensibles qui peuvent être exposées à des risques lorsqu’elles sont stockées sur site.
Il est donc nécessaire de se poser la question clé suivante : si vos employés demandent à utiliser leurs propres outils pour être plus productifs au bureau ou pour rattraper leur retard après les heures de travail, est-ce une perspective aussi effrayante ?
Selon un récent sondage réalisé auprès de la communauté Spiceworks, 48% des professionnels de l’informatique ont choisi un pare-feu et le système de gestion unifiée des menaces du périmètre réseau (UTM) comme solution de filtrage web pour leurs réseaux WiFi invité.
11% dépendent de leur contrôleur de gestion sans fil ou de leur logiciel de filtrage. Ainsi, seulement 41% des entreprises utilisent un dispositif ou un service de sécurité dédié spécialisé dans le filtrage web pour le WiFi. Ces chiffres semblent surprenants à notre époque où les entreprises migrent un si grand nombre de leurs services vers le cloud.
À cela s’ajoute le fait que seulement 38% des entreprises mondiales déclarent être prêtes à gérer une cyberattaque sophistiquée. On se demande pourquoi le filtrage web semble être sous-estimé !
Vous ne dépendez pas de votre pare-feu pour la sécurité de la messagerie électronique
Il y a dix ans, il était courant pour les entreprises de dépendre de leur pare-feu ou de leur UTM pour filtrer les spams.
Ces « boîtes à tout faire » offraient presque tous les types de services de sécurité disponibles. Aujourd’hui, ce n’est plus le cas, car les entreprises investissent maintenant dans des passerelles de sécurité dédiées ou acheminent leurs emails via une passerelle dans le cloud.
La raison en est simple : la sécurité des emails est beaucoup trop critique pour ne pas acquérir la meilleure solution de sécurité disponible. Le phishing est la principale méthode de distribution de ransomwares et d’autres types de malwares. Une seule attaque BEC (Business Email Compromise) peut également affecter des millions de personnes dans une entreprise, et ce dans un court laps de temps.
Comme les pirates informatiques développent constamment de nouvelles méthodes d’attaque pour cibler les systèmes de messagerie, il est important de s’associer avec un fournisseur de sécurité de messagerie disposant des ressources dédiées pour rester en avance sur ces méthodes d’attaque malveillantes.
La sécurité des emails est très importante pour les entreprises aujourd’hui et c’est pour cette raison que de nombreux clients d’Office 365 choisissent d’utiliser une solution de sécurité des emails d’un tiers, en plus de l’offre de sécurité par défaut d’Office 365.
Sécurisation de votre réseau WiFi invité
Plusieurs répondants à l’enquête ont déclaré qu’ils utilisaient des méthodes de filtrage identiques pour leur réseau local d’entreprise et leurs réseaux WiFi invité. La majorité, cependant, n’a pas donné de détails. Il est donc possible que certaines organisations n’accordent pas la même importance au réseau invité qu’à leur réseau local principal.
Le fait est que la sécurité doit être abordée de la même manière que le reste de votre réseau. Si aucun contrôle approprié n’est mis en place, une connexion WiFi peut devenir une porte dérobée dans le réseau de l’entreprise, affaiblissant ainsi les autres mesures de sécurité du réseau déjà en place. De plus, l’entreprise pourrait potentiellement être tenue responsable du contenu inapproprié ou malveillant consulté par les utilisateurs lors d’une connexion WiFi invité.
Le filtrage DNS basé dans le cloud prend tout son sens dans un monde hybride
Les logiciels de filtrage web traditionnels ne sont plus un moyen viable de bloquer les sites malveillants sur un réseau d’entreprise.
Internet est énorme avec des milliards de pages. Si vous utiliser un logiciel de filtrage web traditionnel, vous devez catégoriser les sites et vous ne pourrez les bloquer qu’une fois que l’utilisateur a effectué une recherche.
Il existe un meilleur moyen pour renforcer votre sécurité réseau : le filtrage DNS. Pourtant, de nombreux administrateurs pensent qu’il est compliqué et trop difficile à mettre en œuvre. Si vous n’utilisez pas le filtrage DNS, votre réseau risque davantage d’être exposé à des sites malveillants.
Depuis plusieurs années, les entreprises du monde entier connaissent un changement révolutionnaire. L’entreprise n’est plus seulement un centre de données. Le centre de données d’aujourd’hui évolue vers une écosphère de conglomérat de ressources dans le cloud et de services numériques sur site, publics, privés et hybrides.
Gartner qualifie cette transformation d’informatique hybride et, selon la firme, celle-ci transforme les architectures informatiques et le rôle de l’informatique lui-même. Selon une autre étude menée par la Harvard Review, 63% des organisations adoptent actuellement une approche informatique hybride.
L’ère de l’informatique hybride
L’informatique hybride n’est pas une « technologie unique », mais une approche ou une stratégie qui permet de trouver la meilleure solution pour le problème ou le besoin en question. Dans cette approche « IT as a Service », le gestionnaire de réseau devient un courtier informatique, recherchant les meilleures solutions possible, qu’elles résident sur site ou dans le cloud.
L’équipement traditionnel d’un centre de données nécessite un investissement à long terme en capital et en personnel. Les migrations coûteuses prennent des mois, voire plus, à planifier et à mettre en œuvre, ce qui peut rendre l’équipement désuet. Avec une solution de filtrage DNS dans le cloud, vous n’aurez plus besoin d’investissements importants pour la migration, les mises à niveau, les mises à jour et les correctifs de vos solutions de sécurité.
Problèmes liés au fait de dépendre de votre pare-feu pour sécuriser tous vos trafics web
L’un des problèmes que pose le fait de s’appuyer sur votre pare-feu pour sécuriser toutes les facettes de votre trafic Web entrant et sortant est qu’il fait tout. Le traitement de toutes ces tâches peut toutefois entraîner des niveaux de latence et de performance indésirables. Parce que votre pare-feu est une application en ligne, il constitue un goulot d’étranglement pour votre entreprise. Cela peut s’avérer coûteux, exiger beaucoup de main-d’œuvre et ne pas convenir à certaines situations.
Que se passe-t-il lorsque votre organisation s’agrandit ou que votre école adopte un programme individualisé pour ordinateurs portables ?
Cela peut se traduire par l’intégration de mécanismes d’équilibrage de charge et d’appareils redondants. Il se peut que vous deviez migrer vers un pare-feu plus robuste. Toutes ces options exigent des capitaux et des heures de travail précieux à déployer.
Agilité et flexibilité du filtrage DNS dans le cloud
Pour la même raison qui a amené les entreprises à reconnaître l’importance d’un fournisseur de sécurité de messagerie dédié, il est également très utile de faire appel à un spécialiste de la sécurité web.
Aujourd’hui, il y a plus d’un milliard de sites web sur Internet. Les cybercriminels lancent continuellement de nouveaux sites de phishing temporaires, des domaines de typosquattage et des sites de déploiement de malwares. Selon HelpNetSecurity, 46 000 nouveaux sites web de phishing sont créés chaque jour. Parmi tant d’autres, les attaques par « Drive-by Download » continuent d’évoluer et de se multiplier, tout comme la menace de ransomwares.
L’immense engagement de protéger votre entreprise par le filtrage web est trop important pour dépendre d’un fournisseur qui ne fait pas de cela son objectif principal. Tout comme la sécurité des emails, la sécurité du filtrage web est primordiale pour la protection de vos utilisateurs, vos appareils et vos données. Si vous vous méfiez de plus en plus des applications de pare-feu matérielles rigides, optez pour l’agilité et la flexibilité d’une solution de filtrage DNS dans le cloud.
Le filtrage DNS augmente la sécurité et la vitesse de votre connexion WiFi
Avec les anciennes techniques de filtrage web, l’utilisateur effectuait une recherche DNS et, avant de télécharger le site web, le système effectuait une recherche dans une base de données distincte de sites. Ce processus est lent en raison du nombre écrasant de sites et de domaines sur le web.
Le filtrage DNS effectue la requête de vérification pendant l’étape de recherche DNS. Autrement dit, une recherche DNS est effectuée avant le téléchargement du contenu du site. C’est beaucoup plus rapide et efficace que le filtrage web avec des fonctionnalités traditionnelles.
Le processus effectue également une recherche sur les adresses IP valides, considérées comme sûres par la base de données de filtrage DNS. Les attaquants ne peuvent ni masquer ni éviter la détection, car chaque recherche de navigateur nécessite une recherche DNS pour une entrée de domaine valide.
Vous devriez filtrer les sites non seulement pour bloquer les contenus malveillants, mais aussi pour augmenter la productivité de votre entreprise. En effet, les employés peuvent passer des heures sur les médias sociaux, ce qui fait baisser leurs niveaux de productivité. Heureusement, le filtrage DNS permet aux administrateurs informatiques de réaliser des configurations granulaires pour catégoriser les utilisateurs. Ils peuvent donner accès à des sites catégorisés spécifiques (comme les médias sociaux) pour ceux qui en ont besoin et bloquer l’accès des autres employés.
Les sites web utilisent souvent SSL, mais il est maintenant courant pour les attaquants de configurer des sites web avec de faux certificats SSL pour inciter les utilisateurs à leur faire confiance. À noter que le système de filtrage DNS inclut la protection contre les sites chiffrés avec de faux certificats SSL.
Si vous n’êtes pas encore passé au filtrage DNS, c’est peut-être parce que — selon un mythe courant — c’est trop difficile et cela ne vaut pas la peine. Pourtant, un seul changement de configuration vous permet de vous protéger sans avoir besoin de réaliser des travaux administratifs supplémentaires. Le filtrage DNS est beaucoup plus facile à utiliser que les logiciels de filtrage web traditionnels. Il est donc temps de passer à l’étape suivante et de rendre votre filtrage web plus sûr, plus efficace et plus rapide.
TitanHQ établit les normes de sécurité web dans le cloud, en offrant une gamme de services qui garantissent la sécurité de votre messagerie professionnelle, votre infrastructure informatique et la conformité et l’intégrité des données.
Avec l’apparition quasi quotidienne de nouvelles variantes de menaces, les entreprises ont réalisé qu’elles n’avaient ni les compétences informatiques ni le budget nécessaire pour investir en permanence du temps et de l’argent dans la lutte contre ces menaces.
Cependant, vous pouvez vous fier à des fournisseurs de services de sécurité dédiés dans le cloud — tels que WebTitan Cloud — pour le filtrage web. Ainsi, vous bénéficierez du savoir-faire d’un personnel expérimenté et d’une puissance de traitement considérable pour lutter contre les menaces émergentes. Cette solution peut être mise en œuvre de manière transparente et protéger votre réseau WiFi en temps réel.
