Le WiFi reste une vulnérabilité majeure pour les organisations et les utilisateurs individuels dans notre monde mobile connecté numériquement. Le WiFi non sécurisé présente des faiblesses que les cybercriminels peuvent facilement exploiter, qu’il s’agisse d’un pirate informatique qui attaque le réseau d’une entreprise à partir du parking ou d’un criminel qui capture le trafic sans fil dans un café.
Malgré ces vulnérabilités, il semble étrange que le mécanisme principal du WiFi soit basé sur le protocole de sécurité WPA2, introduit pour la première fois en 2004. De nombreux routeurs certifiés WPA2 restent rétrocompatibles avec le protocole de sécurité WEP, introduit en 1999, qui est facile à pirater avec les outils actuels. Bien que des améliorations aient été apportées à la sécurité WiFi depuis sa création, il est déconcertant de constater qu’il existe tant de faiblesses évidentes que les pirates peuvent exploiter pour attaquer les périphériques connectés.
La bonne nouvelle est que WiFi Alliance, un consortium qui possède la marque WiFi, a lancé le protocole WPA3 plus tôt cette année. À certains égards, le WPA3 représente une amélioration considérable par rapport à son prédécesseur, car il renforce certains des passifs inhérents au protocole WPA2. Mais, comme tous les protocoles de sécurité, il ne traite pas toutes les vulnérabilités et c’est pourquoi les PME doivent continuer à utiliser une approche de sécurité multicouche. Nous avons énuméré les vulnérabilités du réseau WiFi dans son état actuel. Nous allons également expliquer la façon dont WPA3 les traite avec succès ou non.
Zoom sur le protocole WPA3
Plus la solution de sécurité que vous mettez en place pour protéger votre réseau est ancienne, moins elle est efficace. La raison est simple : les différents protocoles de sécurité ont été développés en fonction des menaces de l’époque. Ils peuvent donc devenir obsolètes au fil du temps, notamment lorsque de nouvelles formes de cyberattaques apparaissent. En fait, les pirates informatiques trouvent toujours diverses manières de les contourner et, en cas d’attaque réussie, les dommages que peut subir l’entreprise peuvent être considérables.
Le protocole WPA3 – ou WiFi Protected Access 3 – est une norme de sécurité qui vous permet de régir ce qui se passe lorsque vous vous connectez à un réseau WiFi fermé via un mot de passe. Il a été publié en 2018, après que des chercheurs en sécurité ont découvert une faille importante dans le protocole WPA2 (son prédécesseur). Suite à une attaque nommée KRACK, ou Key Reinstallation Attack, des pirates ont réussi à voler des données, telles que des identifiants de connexion, des informations sur les cartes de crédit, des chats privés, etc., lesquelles ont été transmises sur des réseaux sans fil.
Pour améliorer la cybersécurité des réseaux personnels, les développeurs du protocole WPA ont décidé d’y apporter de nouvelles capacités. Ils ont utilisé un système de chiffrement plus sécurisé des mots de passe ainsi qu’une protection renforcée contre les attaques par force brute. Ces deux mesures se combinent pour protéger davantage le WiFi domestique. Mais le protocole WPA3 possède d’autres caractéristiques encore plus intéressantes.
Autres caractéristiques du nouveau WPA3
Voici quelques-unes des fonctionnalités les plus frappantes que WPA3 apporte. Elles sont disponibles à la fois pour les réseaux WiFi personnels et professionnels ainsi que pour l’Internet des objets :
La protection contre les attaques par force brute : WPA3 fournit une protection renforcée contre ces menaces qui sont généralement menées lorsque vous êtes hors ligne. Le protocole vise à rendre la tâche beaucoup plus difficile pour un pirate informatique lorsqu’il tente de trouver ou déchiffrer votre mot de passe.
Le protocole Forward Secrecy : dans ce cas, WPA3 utilise la mesure de sécurité de la poignée de main (handshake) SAE (ou authentification simultanée d’égaux). Il s’agit d’une fonctionnalité de sécurité dédié à empêcher les cybercriminels de déchiffrer le trafic réseau lors de l’échange de clé et vise à résister aux attaques hors-ligne par dictionnaire.
Protection des réseaux publics ouverts : cette fonctionnalité est importante pour les utilisateurs qui se connectent au réseau WiFi dans les gares, les centres commerciaux, les restaurants, etc. Pour renforcer la sécurité, le protocole WPA3 utilise le chiffrement individualisé des données ; une fonction qui chiffre le trafic sans fil entre votre appareil et le point d’accès WiFi.
Chiffrement avancé des réseaux sensibles : en utilisant WPA3 Enterprise, les réseaux sans fil qui contrôlent les données confidentielles peuvent protéger les connexions par le biais d’un chiffrement 192 bits.
Vulnérabilité n° 1 — WiFi ouvert non chiffré
De nombreux commerces de détail comme les cafés, les restaurants et les halls d’entrée des hôtels continuent d’utiliser le WiFi ouvert 802.11. Malgré la faiblesse évidente de permettre aux utilisateurs d’envoyer du trafic en texte brut vers le point d’accès local, les petites entreprises continuent cette pratique à cause d’un simple fait : la facilité.
Un point d’accès WiFi (SSID) ouvert n’exige pas que les utilisateurs saisissent une clé pré-partagée lorsqu’ils essaient de se connecter, ce qui signifie que les propriétaires de magasins n’ont pas à se soucier des tracas liés à la distribution de la clé à leurs clients.
Avec WPA3, il n’y a plus de réseaux ouverts.
WPA3 introduit le chiffrement sans fil opportuniste (OWE), qui est peut-être la meilleure fonctionnalité de cette nouvelle norme. OWE permet aux réseaux qui n’offrent pas de mots de passe et de clés de fournir un chiffrement qui ne nécessite aucune configuration ou interférence de la part des utilisateurs.
Il peut faire cela par le biais d’un processus appelé « Individualized Data Protection (IDP) », ou littéralement Protection individualisée des données. Avec l’IDP, chaque appareil reçoit sa propre clé du point d’accès réseau (PA) même s’il ne s’est jamais connecté. Ainsi, les pirates ne peuvent pas renifler la clé et le trafic. IDP est également utile pour les réseaux protégés par mot de passe, car même si on connaît le mot de passe, cela ne donne pas accès à la communication chiffrée des autres périphériques.
Vulnérabilité n° 2 — Complexité et fissuration des mots de passe
Bien que le WPA2 soit beaucoup plus sûr que le WEP, il reste vulnérable à la fissuration des mots de passe. C’est ce qu’a démontré l’attaque WPA2 KRACK qui a été découverte l’année dernière et qui a nécessité des mises à jour de l’appareil pour l’éliminer.
WPA2 n’est sécurisé que si un utilisateur est capable de créer un mot de passe sécurisé, car la négociation à 4 voies utilisée par WPA2 est susceptible d’être attaquée hors-ligne à partir de dictionnaires de mots de passe courts. Comme tout le monde n’est pas formé à l’art pour créer un mot de passe sécurisé, la protection offerte par WPA2 n’est pas aussi bonne que la capacité de l’utilisateur à créer un mot de passe infaillible.
Le WPA3 offre une protection robuste des mots de passe courts et longs grâce à l’authentification simultanée d’égal à égal (SAE) qui remplace le protocole d’échange PSK (Pre-Shared Key) utilisé par WPAS2. SAE, également connue sous le nom de Dragonfly Key Exchange, est plus sûre dans la gestion de l’échange de clés initial et résiste aux attaques de déchiffrement hors ligne.
Autres vulnérabilités
Bien qu’OWE et SAE soient les deux améliorations les plus spectaculaires de la nouvelle norme sans fil, d’autres garanties ont également été ajoutées.
La fonction WiFi Protected Setup (WPS) qui permettait de relier facilement de nouveaux appareils — comme un prolongateur WiFi — à un réseau sans fil avait ses limites de sécurité. Ces problèmes ont été résolus grâce au nouveau protocole DPP (WiFi Device Provisioning Protocol) amélioré.
De plus, la nature de WPA2-Enterprise — qui permettait une multitude de paramètres de connexion tels que TLS, SHA, EAP, etc. — a créé des failles de sécurité. Avec le WPA3, les circonstances dans lesquelles les clients négocient la sécurité d’une connexion EAP-TLS ont été éliminées.
Ce que le WPA3 ne traite pas pour la sécurité WiFi
Bien qu’OWE fournisse un chiffrement pour les SSID qui n’incluent pas de phrase de chiffrement, il n’a pas d’élément d’authentification. Cela rend le WPA3 tout aussi acceptable que son prédécesseur pour les attaques Man-in-the-Middle et Evil Twin. En d’autres termes, tant qu’un utilisateur connecte un périphérique au point d’accès approprié, son flux de données est entièrement protégé.
WPA3 assure uniquement la protection entre le périphérique client et le PA. Cela signifie que votre appareil WPA3 reste encore sensible aux codes malveillants provenant de sites de déploiement de malwares connus et de sites web du genre drive-by. Bien que le WPA3 ait apporté quelques améliorations internes précises, votre WiFi a donc besoin d’être toujours protégé par une solution de filtrage web DNS sécurisé.
Des contrôles visant à empêcher les acteurs malveillants d’entreprendre plusieurs tentatives de connexion via des mots de passe couramment utilisés sont attendus, ainsi qu’une configuration plus simplifiée pour les dispositifs de l’internet des objets (IoT) qui n’ont pas d’affichage. Par ailleurs, le nouveau protocole WPA3 utilisera la sécurité 192 bits ou l’algorithme commercial de sécurité nationale pour améliorer la sécurité des réseaux gouvernementaux, de défense et industriels.
Joe Hoffman, Directeur de la recherche sur les technologies de connectivité sans fil chez SAR Insight & Consulting, a déclaré :
« Les technologies pour sécuriser les réseaux sans fil peuvent durer des décennies. Il est donc important qu’elles soient continuellement mises à jour pour répondre aux besoins de l’industrie du WiFi. Le WiFi évolue pour maintenir son haut niveau de sécurité au fur et à mesure que les demandes de l’industrie augmentent. »
Limites de l’utilisation du protocole WPA3
L’une des principales limites du WPA3 réside dans le fait que peu de clients le prennent en charge actuellement. Ce fait n’est pas anodin, car ce nouveau protocole n’a pris effet qu’en 2019. Pour Windows 10, il n’est pris en charge qu’à partir de la version 1903. Les appareils macOS, quant à eux, ne sont compatibles avec le WPA3 qu’à partir de la version 10.15. En ce qui concerne les appareils IoT, comme ceux utilisant les systèmes iOS et iPadOS, ce protocole n’a été introduit qu’à partir de la version 13. Enfin, pour les appareils Android, le WPA3 n’est compatible qu’à partir de la version Android 10. A noter toutefois que la prise en charge peut varier en fonction du Smartphone ou de la tablette que vous utilisez.
Autre élément important : pour utiliser ce protocole, certains périphériques WiFi peuvent requérir la reconfiguration de la connexion WiFi. Les périphériques WiFi plus anciens ne supportent pas les cadres de gestion protégés, ce qui les empêche de se connecter à votre réseau sans fil. Dans ce cas, vous devrez procéder à une mise à jour du micrologiciel.
Un rapport publié par deux chercheurs de l’Université de Tel Aviv et l’Université de New York a également mis en évidence certains des problèmes qui sont associés à l’utilisation du protocole WPA3. En réalité, WPA3 semble présenter des défauts, notamment au niveau du mécanisme d’authentification SAE. Ils ont présenté une description autonome et complète de WPA3 et ont estimé que les mécanismes anti-congestion du SAE n’empêchent pas les attaques par déni de service. Pour découvrir ces failles, les deux chercheurs ont réalisé un grand nombre d’attaques sur les différents mécanismes composant le WPA3 (attaque par dictionnaire contre le protocole, attaque secondaire de microarchitecture contre SAE, etc.). A la fin des tests, ils ont conclu que le WPA3 n’a pas la sécurité requise pour qu’il puisse être considéré comme une norme de sécurité moderne et que cette norme doit encore être développée davantage avant d’être largement adoptée.
Ces quelques précisions montrent encore une fois que le passage d’un protocole de sécurité à l’autre ne va jamais sans poser certaines difficultés. Mais quelle que soit la décision que vous choisissez, vous pouvez toujours adopter d’autres mesures pour mieux sécuriser votre réseau, comme l’utilisation d’un système de filtrage DNS.
Un filtre DNS basé dans le cloud peut vous fournir la protection dont vos clients et utilisateurs ont besoin
Une fois que les utilisateurs se connectent à votre infrastructure WiFi, un système de filtrage DNS comme WebTitan Cloud for WiFi vous permet de :
Filtrer les contenus web à travers plusieurs points d’accès WiFi,
Créer un environnement de navigation plus sûr pour les familles,
Gérer les points d’accès via une interface unique basé sur le web,
Déléguer la gestion de vos points d’accès WiFi,
Utiliser des filtres de contenu par site web, par catégorie de sites web, par mot-clé, par plage horaire, etc.
Bloquer les URL et contenus offensants et inappropriés pour les employés, les mineurs, etc.
Utiliser de listes noires et des listes blanches pour protéger votre réseau de nombreuses menaces en ligne comme les attaques de phishing,
Bloquer les téléchargements de malwares et de ransomwares,
Inspecter les sites web chiffrés par le biais des certificats SSL,
Programmer et obtenir des rapports à la demande,
Avoir une vue en temps réel des activités web des utilisateurs finaux de votre réseau,
Limiter l’utilisation de la bande passante en cas de besoin,
Intégrer le filtre web dans vos systèmes existants grâce à une suite d’interfaces de programmation d’application.
Pour plus d’informations sur la sécurité de votre réseau sans fil, y compris les prix de WebTitan for WiFi, et pour réserver une démonstration du produit, contactez l’équipe TitanHQ dès aujourd’hui.
Conclusion
Dans notre monde moderne, il est presque impossible de fonctionner sans accès à l’Internet sans fil. Partout, les gens comptent sur la connexion sans fil pour réaliser d’innombrables activités, du divertissement au travail, en passant par la formation, etc. Toutefois, l’omniprésence d’internet peut représenter un danger sous-jacent, notamment à cause des cybercriminels qui ne cessent d’exploiter les failles de sécurité dans votre réseau pour accéder à vos données et informations sensibles.
En passant à la nouvelle norme WPA3, la sécurité de votre réseau sans fil sera améliorée. Mais il est aussi recommandé d’ajouter une solution tierce pour mieux protéger vos données. Vous pouvez faire cela en choisissant WebTitan Cloud for WiFi. Grâce à cette solution basée dans le cloud, vos employés, invités, etc., seront protégés une fois qu’ils seront connectés à votre réseau.
Si vous voulez protéger et prendre le contrôle de votre réseau, ou si vous êtes un fournisseur de services gérés (MSP) qui cherchez une solution multilocataires pour fournir un service de filtrage web à vos clients, optez pour WebTitan Cloud for WiFi. C’est un moyen rapide, facile à utiliser et peu coûteux qui garantit une excellente protection en ligne pour votre entreprise.
Contactez TitanHQ dès aujourd’hui pour plus d’informations sur nos solutions et nos prix ou pour bénéficier d’une démonstration en direct. Si vous le souhaitez, vous pouvez-même vous inscrire à un essai gratuit pour évaluer l’efficacité de nos produits dans votre propre environnement.
FAQs
En quelques mots, quels sont les avantages du protocole WPA3 ?
WPA3 est la prochaine génération de la sécurité du Wifi. Il s’appuie sur le succès et l’adoption généralisée de WPA2, en ajoutant de nouvelles fonctionnalités afin de simplifier la sécurité Wifi, de permettre une authentification plus robuste et de maintenir la résilience des réseaux critiques.
Un filtre DNS est-il facile à configurer ?
Oui, il est très simple à configurer. Il suffit de transmettre votre DNS à votre fournisseur de services gérés. Cela peut se faire via votre pare-feu, votre routeur ou votre contrôleur de domaine en tant que zone de redirection. Une fois que votre DNS configuré pour envoyer des requêtes à votre prestataire, vous pouvez gérer entièrement votre solution dans un tableau de bord et consulter des rapports en temps quasi réel.
Est-ce qu’un filtre DNS ne ralentit pas ma connexion ?
Lorsque vous choisissez votre fournisseur de services gérés, assurez-vous simplement qu’il possède des serveurs répartis dans plusieurs endroits, de manière à ce que vous puissiez atteindre le serveur le plus proche de vous. Cela vous permet d’avoir un temps de réponse très rapide lors d’une requête.
Puis-je avoir plusieurs politiques sur le même réseau ?
Vous pouvez le faire en mettant en place des sous-réseaux séparés sur votre réseau. Faites en sorte que le DHCP distribue des adresses DNS différentes à chaque sous-réseau (également appelés IP NAT). Sinon, vous pouvez utiliser un logiciel pour spécifier différentes politiques.
Mes données sont-elles en sécurité sur le réseau de mon fournisseur de services gérés ?
La nature du service de votre fournisseur de services gérés est de faire correspondre les noms Internet à des adresses IP. Lorsque ces noms constituent une menace pour la sécurité ou sont bloqués par votre politique d’utilisation de l’Internet, votre filtre n’autorise pas la connexion. En fait, les informations que vous transférez ne passent jamais par les serveurs de votre prestataire. Il ne fait que les traduire.
Que vous exploitiez un hôtel, un café ou un magasin, les clients s’attendent à avoir accès à Internet dans vos locaux, mais assurez-vous de sécuriser votre réseau WiFi invité.
Fournir un accès internet à vos visiteurs professionnels et vos clients présente de nombreux avantages. Pourtant, si vous ne sécurisez pas votre réseau WiFi invité, ces derniers, tout comme vous, vous exposer à un risque considérable.
Pourquoi l’accès à Internet est-il si important ?
En 2013, une étude a révélé que 80 % des clients des magasins estimaient que la fourniture d’un accès WiFi gratuit influencerait leurs décisions d’achat. Si les détaillants fournissent un accès WiFi invité, ils sont susceptibles d’attirer plus de clients potentiels dans leurs magasins et de générer plus de vente.
Les entreprises de nos jours doivent s’adapter à l’augmentation des solutions d’achats en ligne. Les clients préfèrent mener des recherches sur le web avant de faire un achat ou de s’inscrire à votre service, par exemple en lisant les avis et commentaires des internautes.
Si votre établissement n’offre pas d’accès à Internet, vos clients seront plus susceptibles de ne passer à l’acte d’achat qu’ultérieurement. Il y a donc de fortes chances que la vente se fasse en dehors de votre magasin.
La meilleure solution est de les garder dans votre magasin et leur permettre d’accéder à Internet, ce qui augmentera vos chances de réaliser une vente.
Bien entendu, si vous n’êtes pas en mesure de concurrencer les gros détaillants en ligne, tels qu’Amazon, vous pouvez toujours fournir gratuitement le WiFi et bloquer l’accès à leurs sites web.
Voici quatre avantages concrets de la fourniture du service WiFi pour votre entreprise :
La disponibilité du WiFi augmente la satisfaction de vos clients
Quel que soit votre secteur d’activité, sachez que les clients considèrent l’accès au WiFi dans votre entreprise comme indispensable. Si auparavant, le principe consistait tout simplement à répondre aux attentes des clients, de nos jours, il est question de fournir un avantage non-négligeable pour votre enseigne.
Dans l’industrie hôtelière en particulier, l’inexistence d’un accès WiFi dans votre établissement peut emmener vos clients à se tourner vers d’autres concurrents qui offrent un tel service.
Pour les acteurs dans d’autres secteurs qui nécessitent l’attente des clients, comme dans les entreprises qui travaillent sur rendez-vous (cabinets médicaux, salons de beauté, cabinets juridiques, etc.), la disponibilité du WiFi permet de réduire l’aspect négatif des temps d’attente, tout en améliorant le confort de vos clients en cas de retard imprévu.
De même, les clients pourront faire des recherches sur vos produits en magasin et être plus confiants dans leurs décisions d’achat.
Mais le plus important, c’est que le WiFi vous permet de créer de nouvelles opportunités marketing.
En effet, vous pouvez créer un portail en ligne où vous pouvez offrir des coupons, des actualités à propos de vos services, des recommandations personnalisées ou encore des récompenses de fidélité à vos clients.
Bien entendu, lorsque vos clients attendent dans votre hall, la disponibilité du WiFi leur permet de publier des photos ou faire des témoignages sur leur expérience dans votre établissement.
Autrement dit, ils peuvent faire une promotion gratuite pour votre entreprise sur leurs médias sociaux préférés.
Promouvoir la productivité grâce au WiFi
Une bonne connexion sans fil, c’est au profit de vos employés, lesquels pourront augmenter leur productivité.
Les applications dans le cloud permettent à vos collaborateurs de travailler de n’importe où, avec des partenaires du monde entier. Le cloud leur permet de sauvegarder les données sensibles sur vos clients et celles de votre entreprise, en toute sécurité, de sorte que vos collaborateurs et invités peuvent y accéder à tout moment, quoi qu’il arrive.
Cela dit, la disponibilité du WiFi permet donc de consolider et de rationaliser le flux de travail de vos employés, sans avoir besoin d’installer un logiciel ou un équipement supplémentaire.
Une autre option consiste à utiliser le WiFi pour l’optimisation de votre système téléphonique. Désormais, la voix sur IP (VoIP) est devenue la norme pour les entreprises, ainsi que d’autres technologies de communication basées sur le web.
L’existence d’une connexion WiFi vous permet, en effet, d’acheminer et de réacheminer sans effort tous les appels entrants et sortants, même si un membre-clé de votre équipe est en déplacement. Vos collaborateurs pourront donc s’adapter facilement à la croissance de votre établissement dans la mesure où ils sont joignables à tout moment, pour un coût réduit.
Cette option est toute aussi importante, car elle permet de résoudre les problèmes ou de prendre des décisions le plus rapidement possible.
Un moyen d’augmenter la satisfaction de vos employés
L’un des meilleurs moyens de maintenir la motivation et l’engagement de vos employés est de fournir les meilleurs outils pour qu’ils puissent mener à bien leurs tâches quotidiennes.
Si vous voulez que vos collaborateurs aient l’impression que vous vous occupez d’eux – et si vous avez déjà essayé de regarder comment ils travaillent lorsque le temps de chargement d’une page web est trop long –, vous aurez donc pu constater la différence entre la disponibilité d’une bonne ou d’une mauvaise connexion WiFi.
Si vos employés peinent à ouvrir les pages sur lesquelles ils doivent travailler, cela peut affecter leur productivité et leur humeur. En déployant une connexion WiFi rapide et fiable, vous les aidez à mieux faire leur travail avec moins de frustration.
Mieux encore, un réseau sans fil permet à vos collaborateurs de se déplacer d’un bureau à l’autre pour trouver le meilleur espace pour se concentrer. Grâce à cela, ils peuvent travailler dans un endroit plus calme, au bout du couloir, dans leur bureau personnel, etc.
Lorsque vos employés arrivent à trouver l’environnement qui leur convient à un moment donné, vous augmenterez leur productivité et leur satisfaction.
Optimisez vos bénéfices grâce au WiFi invité
Tous les avantages commerciaux susmentionnés vont de pair avec le WiFi.
Mais ce qui rend ce service très intéressant, c’est que vous n’avez pas besoin d’équipements coûteux ou de passer des heures à installer un logiciel qui sera difficile à utiliser pour fournir un réseau Internet fiable dans vos locaux.
En effet, le WiFi professionnel offre un retour sur investissement important, à condition que vous choisissiez un bon fournisseur de connexion sans fil. Oui, contrairement à ce que l’on peut souvent imaginer, toutes les offres d’accès à Internet sans fil ne se ressemblent pas.
La plupart des fournisseurs proposent un très haut débit de connexion.
Mais ce n’est pas forcément le critère de choix le plus important à prendre en considération. C’est nécessaire pour échanger régulièrement des fichiers lourds ou lorsque plusieurs ordinateurs doivent se partager une même connexion. Mais un bon fournisseur d’accès WiFi doit également être en mesure de renforcer la sécurité de votre réseau sans fil.
Pourquoi le fait de sécuriser le WiFi invité est-il si important pour les entreprises ?
Il y a des avantages considérables à offrir un accès Internet gratuit à vos clients. C’est un service qu’ils souhaitent bénéficier, mais que vous pouvez aussi utiliser pour communiquer avec eux.
En outre, l’internet sans fil est une occasion pour vous de recueillir des informations précieuses sur vos clients (coordonnées, intérêts, etc.) dans le but de mener une future campagne marketing ciblée.
Vous devez toutefois noter que le Règlement général sur la protection des données (RGPD) exige l’obtention d’un consentement de vos clients avant toute collecte et utilisation de leurs données personnelles.
L’enjeu est que, lorsque vous donnez à vos clients et invités l’accès à Internet, cela expose votre entreprise à certains risques en matière de cybercriminalité. Si ces risques ne sont pas atténués, les dommages qui en découlent peuvent vous coûter très cher.
Vous avez peut-être formé vos employés pour qu’ils soient plus vigilants quant à la sécurité informatique et mis en place des politiques couvrant l’utilisation autorisée d’Internet.
Mais vos invités, vos clients et bien d’autres visiteurs sont susceptibles d’avoir des opinions différentes sur le contenu accessible via votre réseau WiFi. Ils pourraient profiter de l’absence de restrictions pour accéder à des contenus inappropriés comme la pornographie.
Ils peuvent aussi se livrer à des activités douteuses sur le plan moral ou éthique via votre réseau, voire procéder à des activités illégales comme les téléchargements qui violent le droit d’auteur.
Pire encore, vous devez réaliser que votre réseau WiFi ne s’arrête pas aux murs de votre bureau. Il peut s’étendre sur plus de 300 mètres dans les airs. Si vous n’arrivez pas à sécuriser correctement votre point d’accès, des personnes aux intentions malveillantes ou non peuvent y accéder.
Ceci peut réduire considérablement le débit de votre connexion.
En outre, des pirates peuvent installer délibérément ou accidentellement des malwares, des ransomwares ou mener des attaques de phishing.
En sécurisant votre connexion WiFi invité, vous allez vous protéger, mais vous protégez aussi vos clients et autres utilisateurs lorsqu’ils se connectent à votre réseau.
Vous pourrez par exemple bloquer les attaques du genre « man-in-the-middle », les téléchargements de malwares et les attaques de phishing. Vous serez aussi en mesure de réduire la responsabilité légale si vous contrôlez soigneusement les sites web qui peuvent être consultés par les utilisateurs.
Un exemple d’une attaque du type Man-In-The-Middle
Une attaque du type « Man-In-The-Middle » nécessite trois intervenants.
D’un côté, il y a la victime. De l’autre côté, il y a l’entité ou la personne avec laquelle la victime essaie de communiquer. Enfin, il y a l’« homme du milieu ».
Le « Man-In-The-Middle – MiTM » tente d’intercepter les communications entre la victime et la personne avec laquelle elle souhaite s’adresser. L’élément critique du scénario est que les deux premiers acteurs ne sont pas conscients de l’existence du MiTM qui est généralement un pirate informatique.
Le pirate peut établir des connexions WiFi avec des noms SSID à consonance très légitime, comme celui de l’entreprise avec laquelle elle veut communiquer.
Une fois qu’un utilisateur se connecte au WiFi du pirate, l’attaquant pourra surveiller ses activités en ligne et intercepter ses informations de connexion. Il peut également voler des informations relatives à des cartes de paiement, etc.
Bien que le nombre d’attaques du type MiTM ait diminué ces dernières années, celles-ci se produisent toujours.
Prenons l’exemple d’une attaque contre le groupe russe APT 29 – également connu sous le nom de Fancy Bear – à travers laquelle les pirates ont piraté l’OIAC (Organisation pour l’interdiction des armes chimiques en Hollande) en 2018.
La police néerlandaise avait trouvé quatre agents russes dans une voiture garée à l’extérieur de l’organisation. Ces derniers tentaient de pirater le réseau sans fil de l’OIAC et de mettre en place un point d’accès MiTM pour voler les références des employés.
En avril 2018, les centres de cybersécurité britanniques et américains ont également émis des avertissements selon lesquels « Des cybercriminels Russes, parrainés par un État-nation ciblaient activement les routeurs des entreprises et des foyers ».
Les cybercriminels russes voulaient mener des attaques du type MiTM dans le cadre d’un espionnage. Ils tentaient d’extraire la propriété intellectuelle des organisations et de permettre l’accès à des réseaux d’entreprises.
Aujourd’hui, les attaques du type MiTM sont le plus souvent couronnées de succès lorsque les utilisateurs se connectent à un routeur WiFi compromis.
Ces routeurs représentent un point faible en termes de sécurité, car ils ne sont pas souvent mis à jour ou parce qu’ils ont des protocoles non chiffrés hérités ou des paramètres par défaut faibles.
Méfiez-vous également des attaques de phishing lancées via le WiFi
Dans les hôtels et autres espaces publics, un autre type d’attaque pourrait être utilisé par les pirates : il s’agit de l’attaque « evil twin phishing ».
Dans le cadre de cette arnaque, les utilisateurs sont incités à saisir à nouveau leur mot de passe WiFi sur un réseau crée par un pirate, en usurpant le nom du réseau légitime.
Les utilisateurs innocents peuvent être amenés à taper leurs identifiants et leurs mots de passe sur le site compromis, plutôt qu’avec celui du fournisseur légitime du réseau WiFi.
En octobre dernier, la chaîne hôtelière Marriott International a dû payer 530 000 euros pour régler une plainte déposée auprès de la Commission fédérale des communications, selon laquelle elle utilisait la technologie de blocage du WiFi dans l’un de ses établissements pour obliger les clients à payer pour accéder au réseau WiFi de l’hôtel.
Marriott International a ensuite déposé une pétition, demandant à l’agence de déclarer que les opérateurs WiFi ont le droit de gérer leurs réseaux en utilisant des équipements approuvés par la Commission fédérale des communications.
Dans une récente déclaration sur son site, la chaîne hôtelière a déclaré que cette affaire découle de la nécessité de bloquer les points d’accès WiFi malveillants via lesquels les pirates pourraient mener des attaques depuis les salles de réunion et de conférence de l’hôtel et que cette réglementation ne s’appliquait pas à l’accès WiFi dans les espaces du hall et dans les chambres d’hôtel.
Qu’il s’agisse d’une bonne décision ou non, la question n’est pas là.
En réalité, il suffit de regarder les statistiques pour avoir une idée de l’importance de la menace du phishing. Selon un rapport publié en 2018 par la société de sécurité FireEye, le nombre d’arnaques de phishing a augmenté de 65 % au cours de l’année 2017.
En se basant sur les attaques les plus récentes, le montant des sommes volées par les pirates via le phishing varie de 270 000 à 9,8 millions d’euros. Selon IBM, si les pirates parviennent à exploiter une « méga brèche », le montant des dommages pourrait aller de 315 millions jusqu’à plusieurs milliards d’euros.
Cela ne veut pas pour autant dire que vous ne devez jamais offrir une connexion WiFi au grand public, mais il vaut la peine d’être prudent et de suivre quelques précautions de base.
L’attaque karma
Chaque fois que le WiFi d’un appareil utilisateur est allumé, mais non connecté à un réseau, il diffuse ouvertement les SSID des réseaux qui y ont été précédemment associés afin de tenter de se connecter à l’un d’entre eux. Ces petits paquets peuvent être consultés par toute personne se trouvant dans la zone concernée.
Les informations recueillies à partir des demandes d’exploration peuvent être combinées avec des bases de données de réseaux sans fil géolocalisées comme Wigle.net afin de cartographier l’emplacement physique de ces réseaux.
Si l’une des demandes contient un SSID de réseau WiFi ouvert, la génération du même point d’accès pour lequel l’appareil de l’utilisateur envoie des requêtes entraînera la connexion automatique de l’ordinateur portable, du téléphone ou d’un autre appareil de l’utilisateur au faux point d’accès de l’agresseur. Il est très facile de forcer un appareil connecté à envoyer des demandes de requête grâce cette technique pour que le pirate puisse ensuite accéder à votre réseau.
15 choses à considérer au sujet de la sécurisation du WiFi invité pour les clients d’affaires
Si vous voulez ouvrir votre réseau aux invités, la sécurisation du WiFi invité est un must.
Avant de le faire, assurez-vous de tenir compte des points ci-dessous !
Segmentez votre réseau
La segmentation de votre réseau est importante pour deux raisons. La sécurisation du WiFi invité consiste à empêcher vos employés et les utilisateurs d’accéder à une partie de votre réseau. Autrement dit, votre réseau interne doit donc être totalement séparé du réseau utilisé par les invités.
Autre élément important : les invités ne devraient pas aussi voir les actifs de votre réseau ainsi que vos fichiers et ressources confidentiels. Utilisez un pare-feu réseau ou créez un VLAN séparé dédié aux invités.
Installez un pare-feu logiciel pour protéger vos serveurs et les postes de travail liés au trafic du réseau invité. Cette opération limitera considérablement les dommages en cas d’infection par un malware ou par un logiciel de phishing.
Assurez-vous que votre routeur est physiquement sécurisé
Il est important de s’assurer que seul le personnel autorisé peut accéder à votre routeur Wifi. Un pirate informatique qui parvient à y accéder, il peut facilement appuyer sur le bouton de réinitialisation de votre routeur et accéder à celui-ci et à d’autres parties de votre réseau. Verrouillez-le dans un bureau ou un placard sécurisé et assurez-vous que seul le personnel autorisé a la clé.
Changez toujours les mots de passe et les SSID par défaut
C’est l’une des pratiques de sécurité les plus élémentaires, mais à cause de cela, il est facile de l’oublier. L’Internet est jonché de rapports faisant état d’atteintes à la protection des données qui se sont produites à cause de l’omission de modifier les mots de passe par défaut. Tous les périphériques réseau doivent avoir des mots de passe forts et uniques.
Il est également important de changer votre SSID (Service Set Identifier), c’est-à-dire le nom de votre réseau sans fil. Le SSID doit refléter le nom de votre entreprise et il doit être très clair pour vos clients pour qu’ils puissent identifier votre réseau. Si vous ne le faites pas, les pirates peuvent facilement établir des points d’accès malveillants pour mener des attaques « man-in-the-middle » à grande l’échelle.
Vous pouvez ensuite afficher le SSID et le mot de passe en interne pour faciliter l’accès des utilisateurs légitimes à votre réseau. Assurez-vous toutefois de changer régulièrement votre mot de passe.
Mettez à jour vos logiciels et microprogrammes
Les pirates informatiques adorent quand vous ne voyez pas s’il existe des mises à jour logicielles pour votre routeur WiFi. Ces correctifs sont généralement un correctif de sécurité et ne pas mettre à jour votre micrologiciel est comme une invitation spéciale pour les pirates.
Une récente publication du FBI a parlé d’une vulnérabilité dans les routeurs et si vous aviez changé votre mot de passe et gardé votre microprogramme à jour, vous n’auriez probablement pas été touché.
Utilisez WPA2 au lieu de WEP
Ce genre de chose ressemble plus à du charabia si vous n’êtes pas un geek de la sécurité informatique. En termes simples, c’est le moyen de s’assurer que les données que vous transmettez et recevez sont chiffrées. Le WEP (ou « Wired Equivalent Privacy ») est plus ancien et beaucoup plus facile à pirater. Le WPA (ou « WiFi Protected Access ») est un bien meilleur protocole de chiffrement. Si votre routeur n’en dispose pas, nous vous suggérons d’investir dans un routeur plus récent et plus sûr.
Utilisez un pare-feu de qualité professionnelle
Un pare-feu est un élément de sécurité indispensable pour toute entreprise qui opère dans notre monde moderne. Vous devriez avoir un pare-feu capable de s’assurer que votre propre logiciel n’envoie pas de données sur Internet sans votre autorisation ou de détecter des problèmes, ou même des sites web malveillants.
Il existe des pare-feu intelligents qui permettent spécifiquement d’offrir aux petites et moyennes entreprises une sécurité de niveau entreprise sans coûter une fortune.
Configurer un accès privé et public séparé
Votre WiFi doit avoir un accès séparé pour vos employés et pour le public, afin de ne pas donner à un pirate informatique un accès involontaire aux ordinateurs et réseaux internes de votre entreprise. Vous devrez créer deux identifiants de service (SSID) différents avec deux points d’accès distincts à votre réseau. L’un doit être un point d’accès sécurisé de niveau professionnel pour vos employés, et un point d’accès public pour vos clients.
Connaître tous vos points d’accès
Parfois, quelqu’un installe un point d’accès inconnu à votre réseau. Ces points sont souvent créés par un employé qui pourrait avoir une mauvaise connexion réseau dans son bureau. Ces points d’accès ne sont généralement pas configurés pour la sécurité et ouvrent certaines vulnérabilités. Vous devriez occasionnellement effectuer un balayage des points d’accès si vous avez un grand bureau ou un réseau important.
Éteindre les WPS
À moins que vous n’en ayez besoin pour quelque chose de spécifique, vous devez désactiver le WiFi Protected Setup, ou WPS. Il est conçu pour faciliter le couplage d’un appareil avec votre réseau chiffré, en appuyant sur un bouton. Le problème est qu’il peut ouvrir la porte à quelqu’un ayant de mauvaises intentions.
Remplacez votre routeur tous les deux ans
Même si votre routeur semble toujours fonctionner correctement, l’appareil est arrivé en fin de vie lorsque les fabricants cessent de le prendre en charge avec des mises à jour de micrologiciels, le rendant ainsi vulnérable aux futures cyber-menaces. Vous pouvez vous attendre à ce que cela se produise tous les trois à cinq ans. À ce moment-là, il est crucial de passer à un nouveau matériel. La meilleure façon de le vérifier est de consulter le site web du fabricant de votre routeur et de lire des notes sur les versions de son microprogramme. S’il n’y a pas eu de mise à jour du microprogramme au cours de l’année écoulée, le routeur a probablement été abandonné.
Mise en garde du DHCP
L’internet des objets (IoT) signifie que de plus en plus d’appareils recherchent une connexion sans fil pour fonctionner. Le DHCP (ou « Dynamic Host Configuration Protocol ») est l’adresse internet attribuée à ces appareils. Bien que le DHCP soit peu pratique, le plus sûr est de l’éteindre et d’attribuer manuellement une adresse internet à chaque appareil utilisé dans votre entreprise.
Utilisez un VPN pour maintenir votre trafic local crypté
L’un des défauts fondamentaux de la WPA2 qui est corrigé dans la WPA3 est le concept de secret avancé. Cela signifie que dans la nouvelle norme WPA3, le trafic WiFi enregistré ne peut pas être espionné même si le pirate informatique prend connaissance du mot de passe WiFi plus tard. Avec la norme WPA2 actuelle, ce n’est pas le cas. Le trafic sur un réseau local peut être espionné à la fois par d’autres utilisateurs et par un attaquant qui enregistre le trafic et le déchiffre après avoir appris le mot de passe.
Alors que le HTTPS a rendu l’internet beaucoup plus sûr et plus privé pour les utilisateurs de WiFi sur des connexions non fiables, les VPN prennent le relais pour décourager l’espionnage du trafic. En chiffrant les requêtes DNS et d’autres informations qui peuvent ouvrir la porte à une attaque de phishing, les VPN rendent plus difficile pour un cybercriminel de voir ce que leurs victimes font en ligne, ou de les rediriger vers un site web malveillant.
Afin de chiffrer votre trafic local, la plupart des VPN populaires offrent une couche de protection qui vous permet d’éviter d’être une proie facile. Le VPN rendra votre trafic local indéchiffrable par un pirate et assurera le secret des transmissions en rendant les enregistrements de votre trafic WiFi inutiles, même si l’attaquant parvient à collecter votre mot de passe WiFi.
Gardez votre firmware à jour
La raison pour laquelle vous devez faire des mises à jour de votre firmware est qu’il peut corriger les vulnérabilités pouvant facilement être exploitées par les cybercriminels pour accéder à vos appareils et à votre réseau. Si ces vulnérabilités sont exploitées, les configurations peuvent être modifiées et utilisées à diverses fins.
Adoptez des politiques qui exigent l’installation rapide et les vérifications mensuelles des mises à jour du firmware. Ceci vous permet de vous assurer que tous les dispositifs soient sécurisés et qu’aucune mise à jour du firmware n’a été omise.
Chiffrez vos signaux sans fil
Vous pouvez rendre l’accès à votre réseau WiFi invité aussi facile que possible pour vos clients et visiteurs, mais ne le rendez pas trop facile, car les pirates risquent d’espionner les individus qui se connectent au réseau. Assurez-vous de chiffrer votre réseau sans fil en utilisant la méthode de chiffrement WPA2/WPA3.
Si votre routeur ne prend pas en charge WPA2, il est peut-être temps de mettre à jour le firmware de votre routeur. Si ce n’est pas encore possible, alors vous devriez acheter un routeur moderne qui prend en charge la méthode de chiffrement WPA3.
N’oubliez pas que, si vous ne parvenez pas à chiffrer votre WiFi, il est trop facile de vous faire voler votre bande passante.
Sécurisez le WiFi invité en filtrant les contenus
Sécuriser le réseau WiFi invité signifie ajouter des contrôles pour limiter le contenu qui peut être consulté via votre réseau WiFi.
Vous devriez bloquer l’accès au contenu pour adultes, y compris la pornographie, les sites de jeux d’argent, les sites de rencontres, ainsi que les contenus Web illégaux ou douteux sur le plan éthique ou moral.
Une solution de filtrage web protégera vos clients contre les téléchargements accidentels de malwares et les attaques de phishing. Optez pour un filtre Web basé dans le cloud si vous ne voulez pas acheter du matériel supplémentaire.
D’ailleurs, cette solution peut être configurée et maintenue à distance, sans avoir besoin d’une mise à jour logicielle ou du firmware.
Contrairement aux filtres Web basés sur des applications, les filtres web basés dans le cloud sont plus évolutifs et s’adaptent mieux aux besoins changeants de votre entreprise.
WebTitan Cloud for WiFi – Une solution de sécurisation du WiFi invité pour les utilisateurs professionnels
TitanHQ a facilité la sécurisation du WiFi invité pour les utilisateurs professionnels. WebTitan Cloud for WiFi est un filtre Web 100 % dans le cloud et permet aux entreprises de contrôler soigneusement les catégories de contenu Web accessibles aux utilisateurs invités.
WebTitan Cloud for WiFi permet aux entreprises de bloquer l’accès à 53 catégories prédéfinies différentes de contenus web tels que la pornographie, les jeux d’argent, les sites de rencontres, les actualités et les sites de médias sociaux. Dans ces 53 catégories se trouvent plus de 500 millions de sites web dans 200 langues, dont les contenus ont été évalués et catégorisés. L’utilisation de la recherche dans le cloud garantit un filtrage précis et flexible des contenus des pages.
La sécurisation du WiFi invité est essentielle pour mettre en place une protection efficace contre les malwares, les ransomwares et le phishing. En déployant WebTitan Cloud, vous pourrez empêcher les utilisateurs d’accéder à des sites web compromis, aux sites de phishing et à d’autres sites malveillants.
Vous devez également créer des stratégies souples qui vous permettront de déléguer le contrôle du filtre à différents services et d’appliquer des contrôles à différents types d’utilisateurs. Par ailleurs, des clés de chiffrement dans le cloud peuvent être créées pour permettre à des utilisateurs spécifiques de contourner les règles mises en place.
À ceux-ci devrait s’ajouter une suite complète de rapports qui garantit la disponibilité permanente d’informations détaillées, avec des possibilités de notifications par e-mail pour alerter les administrateurs des tentatives de violation des règles et leur fournir l’historique de navigation et la liste chronologique des sites visités par les utilisateurs, et ce, en temps réel.
Conclusion
Le WiFi est devenu un outil de marketing essentiel pour la plupart des entreprises et une attente des clients. Malheureusement, de nombreuses entreprises ne disposent pas encore des compétences nécessaires pour protéger leur réseau contre les attaques cybercriminelles. De plus, les attaques lancées via le WiFi sont faciles à déployer et la plupart des pirates peuvent accéder à vos précieuses données sensibles en moins quelques minutes. La cybersécurité dans tous les aspects – quelle que soit la taille de votre entreprise – devient rapidement indispensable si vous ne voulez pas être la prochaine victime d’une attaque réussie à cause de la négligence d’une vulnérabilité que vous auriez pu corriger.
Avec les progrès de la technologie ainsi que la dépendance des utilisateurs et de vos clients au réseau WiFi, TitanHQ – en tant qu’acteur clé du marché – devrait être au sommet de son art en termes de sécurisation des informations sensibles concernant votre entreprise et vos clients.
Bien entendu, il est très important de créer et de maintenir un système sophistiqué de prévention des intrusions contre les brèches dans votre réseau WiFi.
Mais, même avec toutes les mises à jour modernes, le fait de fournir un accès internet sans fil représente toujours des risques en matière de piratage.
Vous devriez donc mettre en place une stratégie et un système de contre-attaque efficaces comme celui de TitanHQ.
Vous voulez prendre le contrôle de votre réseau WiFi ? Vous êtes un fournisseur de services gérés à la recherche d’une solution multilocataires et facile à utiliser pour vous permettre de fournir un service de filtrage Web à vos clients ? Alors, optez pour notre solution WebTitan Cloud for WiFi. Il s’agit d’un moyen rapide, facile à utiliser, peu coûteux et qui fournit un haut niveau de sécurité WiFi invité aux utilisateurs professionnels.
Contactez TitanHQ dès aujourd’hui pour plus d’informations sur nos produits, nos tarifs ou pour vous inscrire à un essai gratuit !
De nombreux professionnels de la sécurité aimeraient savoir quelle est la motivation derrière les cyberattaques.
Combien gagnent les hackers ?
Qu’est-ce qui motive réellement les pirates informatiques à attaquer une organisation particulière ?
Combien de temps les pirates informatiques essaient-ils avant d’abandonner et de passer à autre chose ?
Dans quelle mesure la cybercriminalité est-elle rentable pour un pirate informatique ?
Un récent sondage mené par Palo Alto Networks fournit quelques réponses à ces questions et donne un aperçu de l’esprit des pirates informatiques. Les résultats de l’enquête suggèrent que la cybercriminalité n’est pas aussi rentable que beaucoup le pensent.
Généralités sur les cyberattaques
La cybersécurité est la pratique qui consiste à protéger vos systèmes, vos réseaux et vos programmes contre les attaques lancées via Internet. De nombreuses raisons peuvent pousser les pirates informatiques à accéder aux informations sensibles de votre entreprise, à les modifier ou les détruire.
Comme vous allez le constater dans ce dossier, les pirates sont généralement motivés par des intérêts financiers, notamment en extorquant de l’argent aux utilisateurs du web. Ensuite, il y a l’espionnage ou l’obtention d’informations sensibles pour ou interrompre des processus commerciaux normaux, et enfin les intérêts personnels. Il est crucial de comprendre ces différentes motivations, car cela vous aide à protéger vos actifs.
La mise en œuvre de mesures de cybersécurité efficaces peut être une tâche particulièrement, étant donné qu’il y a plus de dispositifs connectés que de personnes inconscientes des risques de piratage informatique, d’autant plus que les attaquants ne cessent d’innover leurs tactiques et Il faut parfois plusieurs mois pour vos données ont été piratées.
Pour empêcher la compromission complète de votre système d’information, il faut adopter certaines mesures d’hygiène et de sécurité informatique. Mais avant cela, vous devez connaître les raisons qui motivent réellement les pirates à mener des attaques cybercriminelles.
Le « Grand Jour de Paie », une sorte de mythe ?
Les hacktivistes et les saboteurs constituent une menace, mais dans la majorité des cas, les attaquants ne sont pas déterminés à causer du tort aux organisations. La majorité des cybercriminels sont motivés par l’argent. Plus précisément, la motivation derrière 67 % de la cybercriminalité est l’argent.
Le gain financier est généralement ce qui motive les pirates informatiques. Cela s’est par exemple vérifié en 2016, lorsque des pirates informatiques ont visé la Bangladesh Bank. Ils ont réussi à mettre la main sur une coquette somme de 80 millions de dollars suite à une compromission réussie des informations d’identification du compte concernant les transactions internationales de la banque.
Selon une étude mondiale sur les grandes organisations, présentée par Visual Capitalist en 2017, l’objectif de la plupart des cyberattaques (41 %) est l’obtention d’une rançon. Pour ce faire, les pirates peuvent infecter les réseaux d’une organisation avec un ransomware, un malware qui chiffre les données des ordinateurs vulnérables, et en exigeant de l’argent en contrepartie de la clé privée qui permettra de déchiffrer les données. Si votre organisation ne dispose d’aucune sauvegarde (ou si vos sauvegardes ont également été chiffrées), vous devez tout reconstruire à partir de zéro, à moins que vous payez les criminels.
Ces dernières années, les menaces d’attaques de ransomwares ont fait les gros titres des médias. En 2017, le monde a par exemple été secoué par les attaques par WannaCry et NotPetya, des ransomwares tristement célèbres pour les ravages qu’ils ont faits dans les entreprises du monde entier. Et ce n’était que le début de ce type d’attaque. Depuis lors, les attaques de ransomware se sont multipliées, notamment parce qu’elles ont un potentiel de rendement élevé. Certaines d’entre elles ont donné lieu à des versements de centaines de milliers ou de millions d’euros. De plus, cette menace cybercriminelle peut viser n’importe quelle entité, des particuliers aux organismes gouvernementaux, en passant par les entreprises, les établissements de santé, etc.
La vraie réalité pour la majorité des hackers
Si le motif numéro un d’une cyberattaque reste l’argent, dans la plupart des cas, il semblerait qu’il n’y ait pas vraiment beaucoup d’argent à gagner.
On croit souvent à tort que les cyberattaqueurs s’efforcent inlassablement de briser les défenses des organisations et qu’ils accumulent des millions d’attaques réussies. Cependant, les résultats du sondage indiquent le contraire.
Le Ponemon Institute a demandé à 304 experts en menaces leur opinion sur les motivations des cyberattaques, l’argent qui peut être gagné, le temps investi par les pirates et comment les attaquants choisissent leurs cibles.
Les répondants, basés en Allemagne, aux États-Unis et au Royaume-Uni, étaient tous impliqués à des degrés divers dans la communauté de menaces (threat community). 79 % d’entre eux ont déclaré faire partie de la communauté de menaces, et 21 % ont déclaré qu’ils étaient « très impliqués ».
L’étude a mis en lumière ce qui motive les cyberattaques, tout en offrant un aperçu important de l’esprit des pirates informatiques.
Combien gagnent les hackers ?
Ceux qui veulent savoir combien gagnent réellement les pirates informatiques seront probablement surpris d’apprendre que la réalité n’est pas vraiment ce qu’ils auraient pu penser.
L’étude a déterminé qu’un pirate informatique techniquement compétent serait capable de mener un peu plus de 8 cyberattaques par an, et qu’environ 41 % de ces attaques ne donneraient lieu à une indemnisation.
Les profits tirés de la cybercriminalité se sont révélés relativement constants, quel que soit l’endroit où se trouvaient les criminels. Aux États-Unis, une seule cyberattaque a rapporté en moyenne 15 638 $ à un pirate informatique, contre environ 12 324 $ au Royaume-Uni et environ 14 983 $ en Allemagne.
Combien gagnent les hackers ?
En supprimant le coût des trousses d’outils qu’ils achètent, soit environ 1 367 $, l’institut Ponemon a évoqué que le salaire moyen d’un cybercriminel est de l’ordre de 28 744 $ par an. Ce chiffre est basé sur 705 heures de travail par an, soit environ 13,5 heures par semaine.
Bien entendu, certains pirates peuvent gagner beaucoup plus, mais le pirate moyen ferait mieux de trouver un vrai emploi. Les professionnels de la sécurité informatique gagnent 38,8 % de plus par heure.
Si les pirates informatiques trouvaient un emploi comme professionnels de la sécurité et utilisaient leurs compétences pour protéger les réseaux contre les pirates informatiques, ils pourraient gagner un salaire quatre fois plus élevé et toucheraient une indemnité de maladie, une indemnité de vacances et une assurance médicale ou dentaire.
D’autres facteurs qui peuvent motiver les cyberattaques
L’espionnage
L’espionnage est un autre type d’attaque cybercriminelle. Au lieu d’essayer de soutirer de l’argent à leurs victimes, les pirates tentent d’obtenir des informations protégées.
Les entreprises et d’autres organisations privées peuvent être victimes de l’espionnage, et les informations volées peuvent être vendues sur le dark web, ou utilisées par des concurrents pour obtenir des avantages tactiques. Mais en général, les pirates informatiques ciblent les gouvernements.
Selon un article du journal Reuters, le gouvernement américain a recensé 77 000 intrusions cybernétiques dans ses systèmes, rien qu’en 2015. Une étude mondiale menée par Verizon révèle également que 41 % des motifs des cyberattaques est le gain financier. Combiné à l’espionnage, le gain financier et l’espionnage représentent environ 70 % des motivations de la cybercriminalité.
Le spamming
Vous savez certainement ce qu’un un spam, ces petits courriels indésirables qui arrivent souvent dans vos boîtes de réception et dont les fins ne sont pas toujours très conventionnelles. Pour les pirates informatiques, le but du spamming n’est pas seulement de remplir votre boîte de réception de messages indésirables. Ils peuvent aussi les utiliser pour infecter votre réseau de malwares dans le but de prendre le contrôle des votre système d’information et de vos ordinateurs. D’autres spammeurs s’efforcent également de voler les mots de passe de vos employés afin d’utiliser leurs comptes de messagerie ou leurs comptes de médias sociaux afin de spammer d’autres contacts.
Le contrôle
Etes-vous certain d’avoir le contrôle total de vos appareils connectés ? L’une des tactiques courantes utilisées par les pirates est l’utilisation d’un cheval de Troie pour prendre le contrôle d’une partie ou de l’ensemble de votre réseau. S’ils y parviennent, ils peuvent transformer votre ordinateur en un « botnet » pouvant alimenter des opérations de spamming ou des attaques par déni de service (DDoS). Les pirates peuvent aussi prendre le contrôle total de vos systèmes à des fins de sabotage ou d’espionnage. Un exemple qu’on pourrait prendre est celui d’une personne qui vend des produits illicites sur le dark web. Dans ce cas, elle peut compromettre un système afin d’y placer un service caché, ce qui permet un certain degré d’abstraction par rapport à leurs actions et un déni plausible au cas où les forces de l’ordre interviennent.
La perturbation
Les hacktivistes désignent des groupes de personnes qui utilisent le piratage informatique dans un objectif politique précis. Certains d’entre eux cherchent à trouver et à diffuser des informations pour dénoncer les malversations et la corruption, tandis que d’autres peuvent utiliser la perturbation pour évacuer leur colère, leur frustration ou leur protestation à l’égard d’institutions. Etant donné que son but n’est pas d’ordre financier, le hackerisme est souvent ignoré par les entreprises,
La concurrence
Parvenir à s’introduire dans le système d’information d’une entreprise peut s’avérer précieux pour les escrocs, que ce soit pour voler de la propriété intellectuelle, pour faire du chantage ou pour gagner un avantage concurrentiel.
Les attaques DDoS sont par exemple l’une des attaques les plus utilisées comme un outil de concurrence commerciale. Les entreprises peuvent utiliser certaines d’entre elles pour empêcher leurs concurrents de participer à des événements importants, tandis que d’autres visent la fermeture complète des entreprises en ligne pendant plusieurs mois. Le but étant de provoquer des perturbations pour inciter les clients des concurrents à se ranger de leur côté, de tout en causant des dommages financiers et une perte de réputation à l’entreprise victime.
Cette liste n’est pas exhaustive, car il existe beaucoup d’autres raisons qui motivent les pirates à viser les organisations publiques et les entreprises. Il est toutefois essentiel de les comprendre pour mieux identifier où vos propres actifs peuvent être en danger et pour traiter plus efficacement les risques identifiés.
Comment les données de l’enquête peuvent-elles être utilisées pour prévenir les cyberattaques ?
Palo Alto Networks a interrogé les experts pour savoir dans quelle mesure les pirates informatiques étaient déterminés à violer les défenses informatiques des entreprises.
Étonnamment, il semblerait que même si le prix potentiel est important, les cybercriminels ont tendance à ne pas passer une grande partie de leur temps sur les attaques avant de trouver des cibles plus faciles.
72% des pirates informatiques sont opportunistes et 69% d’entre eux abandonneraient l’idée d’une attaque s’ils découvraient que les défenses d’une entreprise sont solides.
Ponemon a déterminé qu’une attaque contre une infrastructure de sécurité informatique typique prenait environ 70 heures à planifier et à exécuter, alors que pour attaquer une entreprise disposant d’une excellente infrastructure, il faudrait environ 147 heures.
Si la défense informatique d’une entreprise peut résister à une attaque pendant 40 heures, soit moins de deux jours, 60 % des attaquants se dirigeront vers une cible plus facile.
Les cybercriminels ne perdront pas leur temps à s’attaquer aux organisations qui rendent particulièrement difficile l’obtention de données. La raison est simple : il y a beaucoup d’autres cibles plus faciles à attaquer.
Installez des défenses complexes à plusieurs niveaux et utilisez des honeypots pour faire perdre du temps aux pirates. Si les pirates jugent que l’attaque est non rentable, dans la majorité des cas, ils abandonneront et passeront à des cibles plus faciles.
Les honeypots sont-ils vraiment efficace ?
Un honeypot ressemble à un véritable système informatique. Il intègre des applications et des données et dont le but est de tromper les pirates informatiques en leur faisant croire qu’il s’agit d’une cible légitime.
Pour rendre les pots de miel plus attrayants pour les cybercriminels, vous allez y introduire délibérément des failles de sécurité, comme des mots de passe faibles. Des ports vulnérables seront laissés ouverts afin d’attirer les attaquants vers le honeypot, plutôt que vers le réseau réel.
Le but du honeypot n’est pas de résoudre un problème spécifique, comme c’est le cas pour les antivirus et les pare-feu. Il s’agit plutôt d’un outil d’information visant à vous aider à comprendre les menaces existantes pour votre entreprise et à repérer les nouvelles menaces.
Un pot de miel peut par exemple être conçu pour imiter le système de facturation des clients de votre entreprise. En fait, ces derniers sont souvent la cible des criminels à la recherche de numéros de carte de crédit. Une fois que les cybercriminels sont entrés dans le honeypot, vos administrateurs système peuvent les suivre. Leur comportement peut également être évalué. De cette manière, votre équipe informatique pourra trouver des solutions pour rendre votre réseau réel plus sûr.
Pour vous donner une idée quant à l’importance du honeypot, sachez qu’en 2015, des experts en sécurité Internet ont déployé un système de contrôle de chemin de fer en ligne en guise d’appât. L’objectif du projet « HoneyTrain » était d’étudier comment les pirates s’attaqueraient à des projets d’infrastructure publique et où ils pourraient compromettre la sécurité publique et où ils pourraient mettre le public en danger.
Au final, les seuls dommages causés ont été ceux d’une maquette de train en ligne présentée lors d’une foire industrielle de l’informatique en Allemagne. Notez toutefois que le système fictif du « HoneyTrain » a subi 2,7 millions d’attaques en deux semaines seulement.
Utilisez un filtre web pour mettre votre entreprise à l’abri des piratages informatiques
Peu importe la motivation des cybercriminels, la sécurité du web doit être une priorité absolue pour votre entreprise, car les menaces en ligne comme les virus, les malwares, les ransomwares et le phishing peuvent permettre aux cybercriminels d’accéder à vos données privées et créer d’énormes dégâts. Les passerelles web basées sur le DNS constituent l’un des meilleurs moyens de vous protéger contre ces menaces. Un filtre DNS protège votre entreprise en bloquant les virus en ligne et en filtrant les sites web dangereux. Il fournit également des rapports sur le comportement des utilisateurs de votre réseau.
WebTitan Cloud est une solution de filtrage web robuste qui offre une protection efficace contre les menaces lancées via le web. Il empêche vos employés et les autres utilisateurs de votre réseau de consulter les pages web malveillantes, les sites web connus pour héberger des virus, des malwares et des ransomwares, ou encore les sites de phishing. Facile à déployer et à gérer, WebTitan Cloud offre une protection pour tous les appareils sur réseau et hors réseau.
WebTitan détecte 500 millions d’utilisateurs finaux, en temps réel, et environ 5 milliards de requêtes web par mois, couvrant ainsi 99,9% du web actif. Ceci offre une solide protection contre les menaces pour les utilisateurs au bureau ou ceux qui travaillent à distance. Enfin, sachez que WebTitan est une solution évolutive et abordable pour les PME, les MSP, les écoles et les établissements de santé à la recherche d’une protection web basée sur le DNS.
Conclusion
Il est certain que les cybercriminels sont (et resteront) l’une des préoccupations majeures pour les entreprises et les professionnels dans le domaine des technologies de l’information. La sécurisation du DNS devrait donc faire votre première ligne de défense contre ces menaces.
Testez régulièrement la fiabilité de vos solutions de protection contre les cybercriminalités et mettez à jour vos logiciels. N’oubliez pas de sensibiliser vos employés sur les menaces cybercriminelles et sur les mesures à prendre en cas d’attaque.
Même si certaines entreprises peuvent atteindre cet objectif, en appliquant ces différentes mesures dans un délai assez court, il n’est peut-être pas facile pour vous de tout faire en même temps. Le conseil que nous pouvons donner est d’essayer de faire une étape à la fois.
Si vous avez besoin d’informations complémentaires sur la sécurisation de votre réseau avec WebTitan, n’hésitez pas à contacter l’équipe de TitanHQ dès aujourd’hui.
Pour faire aussi simple que possible, la segmentation réseau est la pratique consistant à diviser un grand réseau informatique – qui constitue généralement une surface d’attaque importante pour les cybercriminels, et qui est difficile à gérer et à protéger – en plusieurs petits sous-réseaux isolés les uns des autres. Elle permet d’empêcher un attaquant de pénétrer et de se déplacer latéralement dans votre réseau pour accéder à vos données critiques.
Quels que soient la taille de votre entreprise et le type de configuration TCP/IP dont vous disposez, un pare-feu matériel est essentiel. C’est l’un des éléments les plus fondamentaux de la sécurité réseau. Il fournit une protection de base et est capable d’empêcher que de nombreuses attaques sur votre réseau soient couronnées de succès. Il est donc essentiel que vous disposiez de la meilleure configuration de segmentation de la zone de sécurité du pare-feu.
Notion de zone de sécurité
Une zone de sécurité est un système composé d’une ou plusieurs interfaces de pare-feu physiques ou virtuelles, et de segments de réseau connectés entre eux. Vous pouvez contrôler la protection de chaque sous-réseau individuellement pour qu’il puisse recevoir les protections spécifiques dont il a besoin. Par exemple, il est possible de configurer la protection d’une zone dédiée au département des finances pour qu’elle ne permette pas l’accès aux applications autorisées par une zone destinée au département informatique.
Etant donné que tout le trafic réseau doit passer par le pare-feu – ceci, afin de le protéger plus efficacement – vous pouvez configurer les interfaces ainsi que les zones pour créer d’autres zones distinctes pour certains domaines fonctionnels tels que :
le stockage de données sensibles,
la passerelle Internet,
les applications commerciales,
Vous pouvez aussi faire cela pour les groupes organisationnels, comme :
l’informatique,
les finances,
le marketing,
Des zones plus granulaires offrent plus de visibilité et de contrôle sur le trafic réseau
La segmentation d’un réseau en plusieurs zones de sécurité vous permet de créer une architecture dite « zéro confiance ». Ce concept consiste à ne faire confiance à aucun utilisateur/périphérique/paquet et à aucune application. Avant de donner l’accès automatique à un réseau/sous-réseau, il faut donc tout vérifier. De cette manière, vous aurez un réseau qui n’autorise l’accès qu’aux utilisateurs, applications et dispositifs qui ont des besoins professionnels légitimes, tout en refusant les autres trafics.
Toutes les communications autorisées doivent également traverser un pare-feu pour subir une inspection complète des menaces, comme les virus, les spywares, les vulnérabilités, etc.
Le pare-feu doit être conçu pour refuser tout trafic entre les zones de sécurité
Votre entreprise doit mettre en place des politiques de sécurité spécifiques dans le but de permettre uniquement au trafic que vous aurez explicitement autorisé de passer d’une zone à l’autre.
La façon dont vous utilisez les zones de sécurité pour segmenter votre réseau dépend des ressources que vous devez séparer des autres. A titre d’exemple, vous pouvez mettre en place une architecture comprenant des zones distinctes pour les serveurs de production et les serveurs de développement.
Chaque fois que vous effectuez une division logique de la fonctionnalité, des privilèges d’accès des utilisateurs et de l’utilisation des applications, le pare-feu peut être utilisé pour créer une zone distincte qui va isoler et protéger une zone spécifique. Ensuite, vous allez appliquer les politiques de sécurité que vous avez mises en place pour empêcher tout accès inutile aux applications et aux données auxquelles un ou plusieurs groupes doivent accéder.
Les zones de sécurité peuvent également être utilisées pour segmenter les serveurs hébergeant des informations très sensibles comme les informations d’identification personnelle ou les informations sur les cartes de crédit. Ainsi, vous pourrez segmenter les différents services internes de votre entreprise (ressources humaines, marketing, etc.).
Les cinq principales méthodes de segmentation d’un réseau
Pour votre réseau LAN, vous pouvez utiliser la méthode physique, la segmentation de réseau défini par logiciel, la segmentation via le cloud et la microsegmentation.
1. La segmentation physique
Pour séparer physiquement les parties d’un réseau LAN en plusieurs réseaux distincts, il faut que chaque segment possède sa propre infrastructure physique, y compris le câblage, les pare-feu et les commutateurs. Il s’agit d’une méthode très sûre, étant donné qu’il n’existe pas d’autres chemins physiques (sauf celui que vous mettez en place) entre les différents segments.
Par contre, la segmentation physique est assez difficile à mettre en œuvre et à maintenir. Tout changement important que vous allez effectuer dans votre réseau requiert un nouveau matériel, quelques configurations ainsi qu’un nouveau câblage. Cette tâche n’est pas facile à réaliser en raison de son coût et du temps qu’elle requiert, mais il existe des cas spécifiques où la segmentation physique peut être justifiée.
2. La segmentation via les VLAN
Pendant plusieurs décennies, la ségrégation virtuelle des réseaux en sous-réseaux plus petits via des VLAN était très utilisée. Aujourd’hui, les entreprises utilisent encore cette approche, en fragmentant les domaines de diffusion de leur réseau local et en divisant les adresses IP – via le masquage de sous-réseau – en de petits sous-ensembles d’adresses apparentées. Dans ce cas, les hôtes d’un même VLAN peuvent communiquer facilement entre eux. Par contre, pour que les autres VLAN puissent communiquer avec ces hôtes, il faut des autorisations réseau. Pour ce faire, on utilise généralement des listes de contrôle d’accès (ACL) pour des règles complexes qui peuvent être appliquées par les différents périphériques réseau, les routeurs, les pare-feu et les commutateurs.
Si les VLAN sont utilisés avec des pare-feu bien configurés, votre réseau deviendra beaucoup plus difficile à compromettre.
Notez toutefois que, même si les VLAN et les pare-feu constituent une solution fiable pour segmenter un réseau local, la mise en place et la maintenance des pare-feu et des ACL demandent beaucoup de travail. De plus, l’infrastructure VLAN doit toujours être mise à jour lorsque les exigences du réseau changent.
3. La segmentation de réseau défini par logiciel (SDN)
Au cours de la dernière décennie, l’utilisation des réseaux définis par logiciel (SDN) a explosé, ce qui a grandement facilité le concept de segmentation réseau. De nombreuses entreprises utilisent actuellement plusieurs transports WAN pour optimiser les performances de leurs applications, notamment en termes de VoIP, de streaming vidéo, de téléconférence, de communication mobile à haut débit, et bien d’autres applications critiques.
Cette méthode permet au dispositif SD-WAN d’agir comme une superposition virtuelle sur votre réseau physique, tandisqu’un logiciel convivial de haut niveau permet le marquage et le filtrage du trafic afin de connaître et de contrôler le trafic autorisé à circuler. En utilisant des protocoles ouverts, vous pourrez également accéder à des périphériques réseau comme les routeurs, les commutateurs, ou les pare-feu qui – autrement – ne pourraient pas être contrôlés à cause d’un firmware propriétaire.
4. La segmentation via le cloud
Grâce au développement de l’informatique, de l’infrastructure et du stockage dans le cloud, une nouvelle approche de la segmentation a actuellement le vent en poupe. Désormais, la segmentation du réseau permet de décharger le trafic et les flux de travail de votre réseau local vers un réseau basé dans le cloud.
Le trafic entre votre réseau LAN et le cloud est géré en toute sécurité par le biais de protocoles d’authentification robustes et/ou via des VPN sur SD-WAN ou des tunnels IP SD-WAN chiffrés. Vous allez donc créer un réseau hybride dont une partie de réseau local physique sera basé dans votre centre de données et une autre partie dans le cloud.
L’avantage de cette forme de segmentation réseau est qu’elle permet à votre entreprise de se connecter aux ressources du bureau à celles basées dans le cloud de manière sécurisée et avec des performances optimisées.
5. La microsegmentation
La microsegmentation est une solution qui rassemble toutes les techniques et concepts susmentionnés. Il s’agit d’un moyen de segmenter plus efficacement votre réseau, d’empêcher les brèches de sécurité et de contrôler les vulnérabilités de sécurité au sein d’un sous-réseau. On utilise des applications de pare-feu basées sur le périmètre pour gérer les entités extérieures qui pénètrent dans votre réseau.
L’objectif de la microsegmentation va au-delà du simple fait de permettre ou de refuser l’accès à votre réseau en se basant sur les adresses IP, les protocoles et les ports. Comme les adresses IP, les protocoles et les ports sont de plus en plus faciles à usurper, vous pouvez légitimement essayer d’accéder à votre réseau professionnel via d’autres adresses IP à différents endroits.
L’autre caractéristique de la microsegmentation est qu’elle s’appuie sur le modèle de « confiance zéro ». Le principe consiste à supposer qu’aucune entité – qu’il s’agisse d’un utilisateur, d’un hôte, d’un serveur, d’un type de trafic ou d’une application web – n’est digne de confiance, sauf si elle est explicitement étiquetée comme telle.
La microsegmentation requiert une analyse sophistiquée de l’ensemble du trafic, des hôtes, des utilisateurs, des serveurs, des ordinateurs portables, des téléphones, des applications Web, etc., pour établir la relation de confiance.
Pour automatiser ce processus, les outils les plus modernes tentent d’analyser toute la télémétrie impliquée dans un flux de travail pour élaborer des politiques de sécurité. Ainsi, les ressources autorisées pourront être identifiées via leur adresse IP et par leur interconnexion et leur dépendance avec d’autres ressources, et elles pourront interagir avec l’environnement du flux de travail.
Une fois qu’une ressource est vérifiée et que la « confiance » lui est accordée, il rare que du trafic indésirable parvient à traverser le flux de travail ou à contaminer les applications ou les hôtes.
Quelle est la meilleure configuration de segmentation de la zone de sécurité du pare-feu ?
Aujourd’hui, les réseaux s’étendent généralement à l’extérieur du périmètre du pare-feu. Pourtant, ils ont tendance à avoir une structure bien définie.
Votre réseau devrait donc avoir :
Une zone réseau interne,
Un réseau externe non fiable,
Une ou plusieurs zones de sécurité intermédiaires.
Chacune de vos zones de sécurité intermédiaires, généralement des sous-réseaux de couche 3 avec plusieurs postes de travail et/ou serveurs, doit contenir des systèmes qui peuvent être protégés de la même manière.
Ce sont des groupes de serveurs qui ont des exigences similaires. Ils peuvent être protégés par un pare-feu au niveau de l’application, ou plus généralement, au niveau du port et de l’IP.
Segmentation de la zone de sécurité du paramètre du pare-feu
Malheureusement, la topologie du réseau périmétrique qui vous convient le mieux peut différer considérablement de celle que vous avez déjà utilisée pour votre société. Votre réseau actuel sera naturellement différent et aura ses propres exigences et fonctions.
La segmentation de votre périmètre de sécurité devra donc être adaptée aux besoins spécifiques de votre entreprise. Cela dit, il existe de meilleures pratiques que vous pouvez adopter lors de la conception de votre périmètre réseau.
Pour mieux vous expliquer ce qu’est un périmètre de réseau typique, nous l’avons illustré dans le diagramme ci-dessous.
Votre réseau peut différer, mais cette illustration montre une configuration qui est généralement utilisée par de nombreuses entreprises.
En réalité, vous pouvez utiliser deux pare-feu ou n’avoir qu’une seule zone démilitarisée (DMZ). Les flèches rouges indiquent la direction du trafic autorisée par le pare-feu.
Segmentation des zones de sécurité et mise en place de votre DMZ
Votre équipement et les sections de votre réseau qui seront les plus susceptibles d’être attaqués seront les parties qui font face au public et qui sont connectées à Internet. Il s’agit notamment de vos serveurs web, de vos serveurs de messagerie et de vos serveurs DNS.
Si un pirate informatique tente d’attaquer votre réseau, c’est là que la menace est la plus susceptible de se produire. Il est donc important de pouvoir minimiser les risques de dommages au cas ou l’une de ces attaques réussirait et qu’un ou plusieurs de vos serveurs serait compromis.
C’est pour cette raison qu’il est important de mettre en place une DMZ. D’une manière générale, il s’agit d’un sous-réseau de couche 3 isolé. Dans notre exemple, nous en avons inclus deux, car cette configuration offre la meilleure protection pour notre zone interne.
Dans votre cas, un, trois, voire quatre DMZ peuvent être utilisées en fonction de la taille de votre réseau, du nombre de serveurs, etc.
DMZ1
Vous devez avoir au moins un serveur public accessible via Internet.
Le trafic doit être limité pour des raisons de sécurité, de sorte qu’il ne permet pas de passer qu’à partir d’Internet vers votre DMZ1. Il est également essentiel que seuls les ports TCP/UDP nécessaires soient ouverts et que tous les autres ports soient fermés.
Votre DMZ1 devrait héberger votre DNS, votre serveur proxy, votre serveur de messagerie et votre serveur web.
DMZ2
Pour une protection optimale, vous ne devriez jamais avoir vos bases de données situées sur le même matériel que votre serveur Web.
Les bases de données sont susceptibles d’avoir besoin d’être accessibles via votre serveur web, mais elles doivent être configurées dans une DMZ différente. Dans cet exemple, nous avons mis en place DMZ2 où nous avons placé les serveurs d’application et les serveurs de base de données.
Vous pouvez voir sur les flèches rouges de trafic que ces serveurs sont accessibles directement depuis la zone interne, ainsi que depuis DMZ1. On peut donc y accéder par Internet, mais seulement indirectement via DMZ1.
Il est également important que votre serveur d’application web et un serveur Web frontal soient situés dans différentes DMZ.
En utilisant la configuration ci-dessus, si un serveur est compromis, par exemple l’un de vos serveurs d’application dans DMZ2 via DMZ1, l’attaquant ne sera pas en mesure d’accéder à votre zone interne.
Vous devez configurer votre pare-feu pour autoriser le trafic entre vos deux DMZ, mais uniquement sur des ports spécifiques. Le trafic entre votre zone interne et votre DMZ2 est possible, mais il doit être limité. Ceci peut être nécessaire pour effectuer des sauvegardes de données, par exemple, ou pour accéder à un serveur de gestion interne.
Votre zone de sécurité interne
Dans la zone de sécurité interne se trouvent vos postes de travail d’utilisateur final, vos serveurs de fichiers et d’autres serveurs internes critiques. Vous aurez également des bases de données internes situées dans la zone interne, des serveurs Active Directory et de nombreuses applications professionnelles.
Il est essentiel qu’il n’y ait pas d’accès direct à votre zone de sécurité interne via Internet. Tout utilisateur ayant besoin d’accéder à Internet ne doit pas être autorisé. Cela ne doit être possible que par l’intermédiaire d’un serveur proxy situé en DMZ1.
Il est essentiel d’avoir une segmentation de la zone de sécurité, bien que la configuration que vous choisissez doive refléter les exigences de votre entreprise.
L’exemple d’une configuration typique de segmentation de zone de sécurité que nous avons présenté est idéal pour l’environnement de l’entreprise. Vous pouvez l’utiliser pour vous assurer d’avoir une sécurité réseau solide.
Procédez à des contrôles et des tests de la segmentation réseau
Par définition, le contrôle de segmentation est tout dispositif/processus/système pouvant être utilisé pour créer des zones de réseau distinctes afin d’isoler les actifs sur votre réseau. Les pare-feu internes sont, par exemple, un contrôle de segmentation courant, car vous pouvez les utiliser pour filtrer le trafic entre deux nœuds distincts sur un réseau. De même, vous pouvez utiliser la liste de contrôle d’accès (ACL) pour réaliser un contrôle de segmentation de réseau.
Les ACL sont des autorisations attachées à une ressource sur votre réseau. Elles ont pour rôle de spécifier qui peut utiliser la ressource et ce que l’on est autorisé à faire. Ce type de contrôle peut être très restrictif, mais il est efficace pour isoler les ressources sur votre réseau.
Il ne suffit pas d’appliquer les contrôles de segmentation et de supposer que votre réseau et vos données sont correctement protégés contre les tentatives d’accès illicite. Vos outils de segmentation réseau doivent également être testés afin de vérifier leur validité et leur efficacité contre toute tentative d’intrusion.
Les tests de segmentation sont conçus pour vérifier l’efficacité des contrôles de segmentation que vous avez appliqués pour isoler les différentes zones de sécurité. Ils sont souvent réalisés lors de tests de pénétration plus importants.
En soumettant les outils de segmentation à des contrôles et des tests rigoureux, votre entreprise pourra vérifier si la solution de segmentation réseau adoptée répond ou non aux normes de sécurité essentielles, comme la norme PCI DSS.
Pour une meilleure défense en profondeur
La défense en profondeur (DiD) est une approche de la sécurité de l’information qui utilise une série de mécanismes et de contrôles de sécurité judicieusement répartis dans un réseau informatique. Le but étant de protéger la disponibilité, la confidentialité et l’intégrité du réseau et des données qu’il contient.
Il est vrai qu’il n’existe aucune mesure d’atténuation individuelle pouvant arrêter toutes les attaques cybercriminelles. La DiD peut toutefois vous aider à lutter contre une grande variété de menaces, notamment en les stoppant avant qu’elles ne se produisent. Elle permet également de contrecarrer une attaque réussie, en évitant que d’autres dommages supplémentaires ne se produisent.
La stratégie de DiD implique l’utilisation d’antivirus, de pare-feu, de passerelles sécurisées et de réseaux privés virtuels (VPN). Les systèmes de tests et de contrôle jouent également un rôle essentiel, et vous pouvez les associer à d’autres mesures plus sophistiquées comme l’utilisation de l’apprentissage automatique qui permettent de détecter les anomalies dans le comportement des terminaux et de vos employés.
Nous ne saurions trop insister sur l’importance de créer une stratégie de défense en profondeur pour votre entreprise. Celle-ci doit s’appuyer sur une forte segmentation réseau et sur plusieurs outils de cybersécurité. Ainsi, vous pourrez déterminer de manière stricte et immuable les flux de communication autorisés et non-autorisés entre les différents segments prédéterminés.
Pour construire la défense la plus complète et la plus forte possible, il est aussi recommandé d’utiliser un filtre web comme WebTitan. Il s’agit d’une solution de filtrage web avancée qui offre une protection contre les menaces de sécurité HTTP et HTTPS. Le service WebTitan est hébergé et gérée par TitanHQ dans un environnement de cloud partagé. Cette solution de filtrage web DNS basée dans le cloud protège votre réseau contre les menaces en ligne comme les virus, les malwares, les ransomwares, le phishing, etc.
Enfin, l’aspect final d’une stratégie de cybersécurité efficace est la sensibilisation de vos employés à la cybersécurité, sous la forme d’une formation.
Voici donc les meilleures façons pour une entreprise de se défendre contre les vulnérabilités et les nombreuses menaces cybercriminelles. Le principe est simple : si vous adoptez les différentes mesures susmentionnées et si une mesure échoue, une autre mesure restera toujours en attente, prête à intervenir.
Questions fréquentes sur la segmentation réseau
Pourquoi devez-vous penser à segmenter votre réseau ?
Plus votre réseau informatique est grand, plus il est difficile à protéger. En fait, un grand réseau non segmenté représente une grande surface d’attaque pour les pirates. Une fois qu’un pirate parvient à pénétrer dans votre réseau, il peut se déplacer latéralement pour accéder à vos données sensibles. La segmentation du réseau limite ce risque, en empêchant les mouvements latéraux entre les différentes zones DMZ.
Comment un pare-feu empêche-t-il les attaques informatiques ?
Un pare-feu est un système destiné à bloquer toute connexion non autorisé à votre ordinateur, notamment lorsqu’un pirate tente de voler vos données. Il peut même vous permettre de sélectionner les programmes pouvant accéder à l’internet pour que vous ne soyez jamais connecté à votre insu.
Quel type serveur doit se trouver dans une zone DMZ ?
Vous pouvez y mettre n’importe quel service fourni aux utilisateurs sur l’internet public. Souvent, il s’agit d’un serveur web et d’un serveur proxy, ou encore d’un serveur de messagerie électronique. Vous pouvez également l’utiliser pour protéger davantage votre système de noms de domaine (DNS), la voix sur IP (VoIP) et le protocole de transfert de fichiers (FTP).
Combien de zones DMZ devriez-vous mettre en place ?
Lors de la création de votre architecture DMZ, vous pouvez utiliser un ou deux pare-feu. Cependant, il est recommandé de mettre en place deux pare-feu pour plus de sécurité. Ainsi, les pirates doivent contourner deux dispositifs de sécurité pour pouvoir accéder à votre réseau interne.
Une zone DMZ est-elle fiable à 100 % pour sécuriser votre réseau ?
Il est toujours possible pour un pirate déterminé et qui dispose de ressources suffisantes de franchir votre pare-feu externe et d’accéder à certaines ressources hébergées dans la DMZ. Pour compromettre votre réseau, il doit toutefois franchir plusieurs pare-feu internes et cela devrait déclencher des alarmes. Votre équipe informatique pourra donc intervenir à temps et éviter une brèche complète dans votre réseau.
Une récente attaque menée par des pirates informatiques russes a été signalée par des experts américains et britanniques en matière de cybersécurité. Le rapport indique qu’une armée de scripts et de robots a été déployée pour détecter les vulnérabilités des routeurs des petits commerces de détail.
Les routeurs sont installés dans presque n’importe quel établissement en tant que connexion à un fournisseur d’accès à Internet (FAI) ou au réseau WiFi public dans les magasins, les restaurants ou les cybercafés. Ces routeurs offrent une sécurité de base, mais les particuliers et les petites entreprises prennent rarement des précautions pour mettre à niveau leur firmware, en particulier les correctifs de vulnérabilité.
Le département de la Sécurité intérieure des États-Unis (DHS), le Federal Bureau of Investigation (FBI) et le National Cyber Security Centre (NCSC) du Royaume-Uni ont signalé des incidents au cours desquels ils ont constaté une augmentation des attaques liées à la Russie contre des routeurs plus anciens, notamment les pare-feu et les commutateurs des principaux FAI situés principalement aux États-Unis.
Attaques contre les vulnérabilités des anciens firmwares et des mots de passe de routeur inchangés
Ces types d’attaques automatisées ciblent deux vulnérabilités : les firmwares de routeur qui n’ont pas été mis à jour et les routeurs qui utilisent encore les mots de passe par défaut qui sont fournis par les fabricants. Ces deux menaces sont courantes dans les petites entreprises et les résidences individuelles où la cybersécurité est faible. Les utilisateurs laissent souvent le mot de passe par défaut sur la console du routeur sans le savoir. Ce qui permet à toute personne pouvant consulter la liste de mots de passe du fabricant d’accéder à vos réseaux informatiques.
Les systèmes d’exploitation et les logiciels peuvent facilement être mis à jour, mais les routeurs sont souvent oubliés, même dans l’entreprise. Les fabricants de routeurs publient des correctifs sur leur site, mais il est rare que les utilisateurs les téléchargent et les installent. Soit ils ne savent pas que la mise à jour existe, soit ils ne savent pas comment mettre à jour le firmware de leur routeur, car il faut plus de connaissances en réseau informatique pour le faire.
Le 19 avril 2018, l’Équipe d’intervention d’urgence informatique des États-Unis (US-CERT) a émis une alerte (TA18-106A) concernant les cyberacteurs russes parrainés par l’État russe et qui analysent des millions de routeurs à la recherche de failles aux États-Unis et au Royaume-Uni. Un partenaire industriel a découvert l’activité malveillante et l’a signalée au National Cybersecurity & Communications Integration Center (NCCIC) et au FBI. Des scans ont donné aux attaquants la marque et le modèle des routeurs découverts. Ainsi, ils ont pu réaliser un inventaire des dispositifs vulnérables qui pourront ensuite être utilisés à des fins malveillantes.
Parmi ces dispositifs ciblés, on compte :
Les dispositifs d’encapsulation de routage générique (GRE) activés.
Les dispositifs bénéficiant de la fonctionnalité Cisco Smart Install (CMI)
Les périphériques réseau avec des SNMP (Simple Network Management Protocol) activés
Certains dispositifs et périphériques intègrent des pare-feu et des commutateurs des FAI des infrastructures critiques et des grandes entreprises.
Mais la majorité d’entre eux comprennent les routeurs grand public, y compris les dispositifs d’Internet des Objets (IdO – IoT) basés sur le consommateur.
Selon le coordonnateur de la cybersécurité du Conseil national de sécurité, Rob Joyce, il y a une forte probabilité que la Russie ait mené une campagne bien coordonnée pour avoir accès à une entreprise ; à des petits routeurs de bureau ; à des bureaux à domicile (connus sous le nom de SOHO) et à des routeurs résidentiels à travers le monde.
Les routeurs piratés utilisés pour les attaques « Man-in-the-Middle »
Une fois que le routeur est piraté, les cybercriminels peuvent l’utiliser pour mener des attaques Man-in-the-Middle (MitM) qui soutiennent l’espionnage d’entreprise. Ils peuvent accéder aux informations d’identité ou intercepter des données telles que la propriété intellectuelle, car des utilisateurs non avertis peuvent continuer à utiliser les appareils compromis.
Les attaques MitM peuvent être difficiles à détecter pour l’utilisateur final parce qu’il n’y a pas de virus ou de malwares qui interrompent l’activité. Par ailleurs, le trafic peut fonctionner naturellement lorsque l’attaquant se fait voler les données à son insu.
Les experts rapportent que des millions d’appareils ont déjà été piratés et cela pourrait conduire à de futures attaques qui exploiteraient des appareils compromis. Les FAI et toutes les entreprises utilisant encore des routeurs achetés au détail devraient mettre à jour leurs firmwares et s’assurer que les mots de passe par défaut sont changés.
Les attaques parrainées par l’État russe se sont multipliées au fil des ans. Les vulnérabilités constatées par ces attaquants ont été utilisées pour influer sur les élections, réduire les réseaux électriques et arrêter la productivité des entreprises dans le monde entier. Les années précédentes, ils visaient principalement l’Ukraine. Pourtant, l’attaque susmentionnée se concentrait essentiellement sur les entreprises et les FAI basés aux États-Unis.
Ce n’est pas la première fois que des agents russes ciblent les SOHO et les appareils résidentiels. Au cours des deux dernières années, le Département de la sécurité intérieure a été témoin de l’activité russe en matière d’analyse des vulnérabilités des routeurs. Comme de nombreux pirates informatiques, ces auteurs parrainés par la Russie tirent parti des dispositifs obsolètes et des configurations de sécurité faibles.
Souvent, les routeurs et autres dispositifs similaires ne sont pas entretenus ou gérés avec la même vigilance et le même souci de sécurité que les serveurs et les ordinateurs. Un nombre important de ces routeurs et périphériques continuent d’utiliser leurs mots de passe administrateur par défaut, tandis que d’autres ne sont plus supportés par les correctifs de sécurité ou de firmware.
L’alerte TA18-106A conseille à tous les propriétaires de routeurs de modifier toutes les informations d’identification par défaut et d’utiliser des mots de passe différents sur plusieurs périphériques. Des mots de passe simples tels que « 12345678 » ne doivent plus être utilisés, car les attaquants peuvent utiliser la force brute pour spammer différentes combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce que l’appareil soit accessible. Le DHS recommande également de « retraiter et remplacer les anciens dispositifs » qui ne peuvent pas être mis à jour.
Attaques DDoS contre des sites gouvernementaux
L’alerte technique s’adresse également aux fabricants, les encourageant à commencer à concevoir des types d’appareils qui mettent en avant la sécurité dès le départ. Cela signifierait que les protocoles obsolètes et non chiffrés ne seraient plus supportés.
D’autres mesures pourraient inclure des changements forcés de mot de passe lorsque les dispositifs comme les routeurs sont démarrés pour la première fois, y compris les nombreux ordinateurs au niveau de l’entreprise.
Quant à la multitude d’appareils IoT dans utilisés dans les foyers aujourd’hui, ils sont souvent dépourvus de tout système de sécurité pour les rendre économiques et abordables.
C’est la première fois que des représentants du gouvernement s’adressent au public et aux fabricants pour leur donner des conseils sur la façon d’améliorer la sécurité des dispositifs pouvant être remis en cause.
Les représentants du gouvernement estiment que cet effort de balayage à grande échelle fait partie du grand plan de Poutine visant à perturber l’Occident. La question est de savoir à quelle fin. Les routeurs exploités par les FAI peuvent être utilisés à des fins d’espionnage pour voler la propriété intellectuelle ou pour saisir les informations des clients des FAI. Les pirates peuvent les utiliser au moment le plus opportun.
Des routeurs domestiques et des dispositifs IoT compromis peuvent aussi être utilisés pour coordonner des DDoS ou attaques par déni de service massives contre les sites gouvernementaux et l’infrastructure Internet. Ce qui les rend intéressantes, c’est que les Russes peuvent plaider la négation de telles attaques en cas de besoin.
« Une fois que vous possédez le routeur, vous possédez le trafic », déclare un haut responsable de la cybersécurité du DHS.
En réalité, les cyberattaques parrainées par l’État russe constituent une préoccupation de sécurité nationale pour les États-Unis et le Royaume-Uni. Ils peuvent utiliser les vulnérabilités pour affecter les élections, les réseaux électriques et le commerce. Les États-Unis ont déjà combattu contre les attaques de la Russie, celles menées en Iran et en Corée du Nord.
En publiant cette récente alerte, les deux pays envoient un message clair à Poutine et à son gouvernement, en affirmant que « ces actes malveillants sont inacceptables et ne seront pas tolérés. Un responsable britannique a déclaré : « L’attribution de cette activité malveillante envoie un message clair à la Russie : nous savons ce que vous faites et vous n’y parviendrez pas. ».
Bien entendu, les Russes ont répondu à ces accusations. Dans un commentaire envoyé par e-mail à l’ambassade de Russie à Londres, un porte-parole russe a déclaré que les accusations et les spéculations étaient imprudentes, provocatrices et sans fondement. La déclaration demandait également aux deux pays occidentaux d’apporter des preuves à l’appui de ces affirmations farfelues.
Pendant de nombreuses années, on a dit que les pays qui pouvaient contrôler les océans par leurs forces marines ou dominer le ciel par leur présence aérienne pouvaient contrôler la guerre. À l’avenir, ceux qui contrôlent l’infrastructure mondiale de l’Internet auront également un avantage significatif.
Les périphériques piratés peuvent être utilisés lors de futures attaques
L’espionnage d’entreprise n’est pas la seule conséquence des attaques cybercriminelles.
Les pirates peuvent aussi laisser un code de porte dérobée (backdoor) qui reste inactif en attendant qu’ils décident plus tard d’attaquer les entreprises. Les DDoS ont été à l’origine de certaines des plus grandes cyberattaques sur Internet et qui ont détruit les grandes entreprises, notamment les protocoles Internet critiques tels que DNS.
Étude de cas
En tant que fournisseur de services de filtrage Web, Family-Guard croît à un rythme effarant, ajoutant quotidiennement des clients à son service. WebTitan pour Wi-Fi permet à Family-Guard d’offrir facilement à ses clients des contrôles de contenus Web. Déployée en tant que service cloud, cette solution est basée sur le DNS et ne requiert qu’une simple redirection DNS vers les serveurs WebTitan. Découvrez ici l’étude de cas complet de ce fournisseur de services de filtrage Web.
Forte couche de protection pour les routeurs et la configuration Wi-Fi
De nos jours, Internet est devenu indispensable pour la majorité des gens. Malheureusement, les sites Web malveillants, les spywares et les virus présentent de réelles menaces ses utilisateurs et celles-ci ne doivent tout simplement pas être ignorées.
Si vous offrez le Wi-Fi public ou possédez un routeur Wi-Fi pour la connectivité Internet publique, vous pourrez réduire le risque d’attaques en ligne et vous pourrez contrôler la navigation Web en utilisant WebTitan Cloud for Wi-Fi.
WebTitan Cloud for Wi-Fi ajoute une forte couche de protection au routeur et à la configuration Wi-Fi de vos clients. Il est impératif que le Wi-Fi public ait toujours des règles strictes de cybersécurité, et tout firmware de routeur doit être régulièrement mis à jour. WebTItan vous aide dans ce cas à fournir une excellente sécurité informatique. Enfin, grâce à cette solution, les MSP qui vendent des routeurs utilisant le Wi-Fi WebTitan peuvent garantir un accès Wi-Fi sécurisé et filtré à leurs clients.
Une nouvelle forme de malware POS (Point of Service), appelée MajikPOS, a récemment été découverte par des chercheurs en sécurité chez Trend Micro. Le nouveau malware a été utilisé dans des attaques ciblées contre des entreprises aux États-Unis, au Canada et en Australie.
Les chercheurs ont identifié les malwares MajikPOS pour la première fois fin janvier, alors qu’ils avaient déjà été utilisés dans de nombreuses attaques contre des détaillants. Une enquête plus poussée a révélé que ces attaques avaient été menées depuis août 2016.
Les malwares MajikPOS ont une conception modulaire et ont été écrits en .NET, un cadre logiciel commun utilisé pour les malwares POS. La conception des malwares MajikPOS prend en charge un certain nombre de fonctions qui peuvent être utilisées pour recueillir des informations sur les réseaux et identifier les systèmes de points de vente et autres ordinateurs qui traitent les données financières.
Les attaquants infectent les ordinateurs en exploitant de faibles informations d’identification. Des attaques brutales sont menées sur les ports VNC (Virtual Network Computing) et RDP (Remote Desktop Protocol) ouverts.
Diverses techniques peuvent être utilisées pour installer les malwares MajikPOS et échapper à la détection, en s’appuyant dans certains cas sur les RAT ayant déjà été installés sur les systèmes des détaillants. Le malware comprend un composant de raclage de RAM pour identifier les données de carte de crédit et utilise un canal crypté pour communiquer avec son C&C et exfiltrer les données non détectées.
Les malwares MajikPOS sont utilisés par une organisation cybercriminelle bien organisée et le vol des détails des cartes de crédit sont à grande échelle. Ces informations sont ensuite vendues sur des « dump shops » sur le darknet. Les numéros de cartes de crédit volées, que les chercheurs estiment à au moins 23 400, sont vendus entre 9 et 39 $ l’unité, ou par lots de 25, 50 ou 100$. La majorité de ces cartes appartiennent à des particuliers aux États-Unis ou au Canada.
Les infections de malwares dans les systèmes de points de vente peuvent être dévastatrices
Un certain nombre de vecteurs d’attaque différents peuvent être utilisés pour installer des malwares dans les points de vente. Ils peuvent s’installer lorsque des employés tombent dans le piège des e-mails de spear phishing. Les cybercriminels prennent souvent pied dans les réseaux de détaillants parce que les employés divulguent des informations d’identification lorsqu’ils répondent à des e-mails de phishing.
Les attaques via des kits d’exploitation ont diminué ces derniers mois. Cependant, la menace n’a pas disparu et les campagnes de publicité malveillantes et les liens malveillants envoyés par e-mail sont toujours utilisés dans les attaques ciblées contre les détaillants américains.
Les attaques par force brute sont également fréquentes, ce qui souligne l’importance de modifier les informations d’identification par défaut et de définir des mots de passe forts.
Les infections de malwares dans les systèmes de points de vente peuvent s’avérer incroyablement coûteuses pour les détaillants. Il suffit de demander à Home Depot, un grand détaillant pour lequel une infection par un malware de son système de point de vente a coûté plus de 179 millions de dollars. Le coût de l’atteinte à la sécurité continue d’augmenter, et ce chiffre ne tient pas compte de la perte d’activité résultant de l’infraction. En effet, suite à cette attaque de malwares POS en 2014, les consommateurs ont décidé d’acheter ailleurs que dans leur entourage.
Cette dernière menace devrait servir d’avertissement à tous les détaillants.
Les vulnérabilités en matière de sécurité peuvent être exploitées par les cybercriminels. Si des protections inadéquates ne sont pas mises en place pour protéger les données des consommateurs, ce ne sera qu’une question de temps avant que vos systèmes ne soient attaqués.
