Brad Rudisail, le chevronné de l’Edu IT Pro, a donné son avis lorsqu’il a comparé les deux solutions de filtrage web WebTitan et Lightspeed.
Mon expérience avec WebTitan se résume en deux mots : simplicité et sécurité. Son interface est très intuitive et il serait facile pour une personne inexpérimentée en matière de filtrage de contenu d’apprendre rapidement à l’utiliser.
La désactivation de la diffusion audio ou vidéo en continu et la fonction de redirection sont très faciles à mettre en œuvre. Mais ce qui est encore plus important, c’est l’accent mis sur la sécurité.
Il y a dix ans, la raison d’être du filtrage de contenu était de réguler l’exposition des utilisateurs à des contenus web inappropriés.
Bien que cela soit toujours l’un des principaux objectifs du filtrage de contenu, les filtres web constituent désormais un élément essentiel pour le périmètre de sécurité des réseaux des entreprises pour les protéger contre les attaques de ransomwares et de malwares.
Jusqu’à ce que je passe en revue la solution WebTitan, je n’avais pas réalisé à quel point Lightspeed faisait défaut dans ce domaine.
Comparaison entre WebTitan et Lightspeed Rocket
Facteur de forme
Lightspeed intervient essentiellement dans le domaine du matériel informatique. La marque est tellement axée sur le matériel que son produit d’origine, il y a quelques années, était orienté vers le logiciel.
À l’époque, Lightspeed était commercialisé comme un appareil UTM, intégrant un pare-feu, un filtrage de contenu, un antispam, un IDS, un VPN et d’autres fonctionnalités, le tout dans une seule application installée sur un serveur.
La solution de filtrage sur site de Lightspeed est centrée sur le « Rocket ». Cela signifie un dispositif propriétaire supplémentaire dans votre centre de données et deux prises UPS supplémentaires, car le Rocket nécessite une double alimentation électrique.
C’est également synonyme d’une demande accrue en matière de refroidissement et d’espace de stockage dans votre centre de données.
WebTitan, par contre, n’intervient pas dans le domaine du matériel informatique. Sa solution peut être facilement téléchargée sur son site web en tant qu’ISO ou en tant qu’application virtuelle complète.
L’application virtuelle est compatible avec VMware ou tout autre hyperviseur compatible (une plate-forme virtuelle qui permet à plusieurs systèmes d’exploitation de travailler en même temps sur une même machine physique).
De cette manière, les entreprises peuvent déployer WebTitan dans leur infrastructure existante.
La majorité des entreprises sont actuellement en pleine transformation numérique de leurs services et de leur infrastructure réseau. En adoptant une solution qui n’est pas centrée sur le matériel, elles ont donc un grand avantage.
Face à l’augmentation de la demande en matière de virtualisation et d’utilisation du cloud privé, associée à une migration vers les nouvelles technologies de mise en réseau définie par des logiciels et des infrastructures sophistiqués, la solution WebTitan semble la mieux adaptée pour les centres de données d’aujourd’hui et de demain.
Trafic réseau
Lightspeed Rocket est une solution qui fonctionne via le web. Dans notre propre centre de données, le Rocket se trouve entre le commutateur central final et le pare-feu. Cela signifie que tout le trafic passe par ce système.
En raison de sa conception, le système de filtrage Rocket peut entraver d’autres types de trafic que le simple trafic web.
Par exemple, il y a quelques semaines, notre système a demandé à un fournisseur de téléphone portable local d’installer des répétiteurs GSM dans nos écoles.
Bien que les ports aient été ouverts pour eux, ils n’ont pas pu se connecter à leurs gestionnaires qui opèrent dans le cloud. En fin de compte, le problème était le filtre Lightspeed.
Nous avons dû exempter les adresses IP de ces répétiteurs. Cela arrive souvent, tant pour les périphériques réseau que pour les applications logicielles, car Lightspeed Rocket a un impact sur d’autres types de trafic.
Un dispositif de filtrage de contenu ne devrait affecter que le trafic web et c’est heureusement ce que fait WebTitan.
Il n’a pas d’impact sur les trafics qui ne sont pas liés au web, ce qui élimine des heures de dépannage pour les dispositifs et appareils connectés au réseau.
Tableau de bord
Après avoir utilisé Lightspeed Rocket pendant plusieurs années, je peux affirmer catégoriquement que le tableau de bord de WebTitan est largement meilleur.
Une grande partie des informations présentées dans le tableau de bord initial de WebTitan est affichée sous forme graphique, ce qui permet de comprendre rapidement et sans effort les informations les plus pertinentes.
Ainsi, vous pouvez obtenir toutes les informations dont vous avez besoin sur votre réseau via un seul portail en ligne, comme l’utilisation des ressources, le trafic web et les statistiques d’utilisation des contenus Internet.
Les graphiques sont composés de couleurs vives sur un fond blanc et sont beaucoup plus faciles à lire que ceux de la concurrence.
Rapports
Comme le tableau de bord, le reporting est un autre domaine dans lequel WebTitan est largement meilleur. En mettant l’accent sur la sécurité, les rapports comprennent :
Les appareils infectés par des malwares
Les noms de domaines infectés par des malwares
Les utilisateurs qui ont téléchargé des malwares
Les virus qui ont été bloqués par leur nom
Les virus bloqués par le biais de leur adresse IP
Les sites de phishing bloqués par leurs noms de domaines
Etc.
Ce ne sont que quelques-uns des précieux rapports qui sont inclus, dont aucun n’est offert par Lightspeed Rocket.
Il existe d’autres rapports qui ne sont pas inclus par ce dernier, comme les Top Blocked Users. Ils sont très utiles pour discerner les utilisateurs qui ont un comportement risqué sur Internet, étant donné que ces derniers constituent les maillons faibles de votre sécurité réseau.
Filtrage de contenu web
C’est évidemment la fonction principale d’un filtre de contenu, et les deux produits fournissent un moyen granulaire qui permet de le faire.
Cependant, si les deux produits offrent un moyen de mettre sur liste noire des mots-clés d’URL désignés, WebTitan propose une liste blanche de mots-clés d’URL qui pourraient s’avérer précieux.
En outre, WebTitan propose la fonctionnalité « Content Scoring » qui consiste à attribuer un score spécifique à divers mots et expressions afin de mesurer le caractère offensant de chaque mot.
Ces scores sont ensuite additionnés à chaque page web visitée et un score maximum est fixé pour servir de seuil afin que des mesures puissent être prises (comme le blocage du contenu d’un site web) en cas de besoin.
Cette fonctionnalité est très utile pour les établissements scolaires. Bien entendu, les deux systèmes utilisent des certificats SSL pour filtrer les sites chiffrés tels que Google, YouTube, etc.
Mais j’ai constaté que le système de certificat WebTitan était plus fiable, car le système de certificat Lightspeed plante souvent et offre un ensemble de résultats mitigés.
Antivirus
Dans l’onglet « Filtrage », il y a une section Antivirus, car WebTitan sert également de filtre antivirus.
Actuellement, cette option est particulièrement importante à cause de la prolifération des sites web de type « drive-by » qui permettent le téléchargement de souches de malwares, à l’instar des ransomwares.
Vous pouvez également configurer les mises à jour de l’antivirus en vous rendant sur l’onglet « Mise à jour ». Lightspeed Rocket est totalement dépourvu de tout type de protection antivirus.
Mises à jour de Microsoft
Avec la nouvelle approche que Microsoft adopte à l’égard de Windows 10, en le traitant comme un service plutôt que comme un système d’exploitation local, la gestion des mises à jour de Windows est devenue un défi pour les administrateurs réseaux.
Microsoft met désormais à jour les appareils Windows 10 à peu près de la même manière que les appareils Android et les appareils Apple. Ces mises à jour sont désormais obligatoires.
Bien que les mises à jour de Windows puissent être retardées, à un moment donné, il faut les installer. Malheureusement, l’acceptation de ces mises à jour peut intervenir à des moments inopportuns, comme lors d’un test scolaire.
WebTitan dispose d’un bouton sous l’onglet « Filtrage » qui permet à un administrateur de désactiver les mises à jour Microsoft.
En utilisant cette fonction, les administrateurs peuvent être sûrs que les mises à jour de Microsoft n’auront pas d’impact sur le bureau de l’utilisateur pendant les périodes d’utilisation critique.
Là encore, Lightspeed Rocket ne dispose pas de cette fonction.
Fonctionnalité d’aide
Avec WebTitan, chaque section compartimentée de chaque onglet comporte une icône en forme de point d’interrogation dans le coin supérieur droit.
Celle-ci fournit une explication rapide et sommaire de la fonction. J’ai trouvé cela très utile lorsque j’ai utilisé l’interface et lorsque je me suis renseigné sur certaines des fonctionnalités que je ne connaissais pas.
Lightspeed Rocket n’inclut pas de fonction d’aide.
Outils de dépannage
Bien qu’ils soient rarement utilisés sur un système de filtrage de contenu, les outils de dépannage pourraient être d’une importance capitale. Sur ce point, sachez que WebTitan comprend des utilitaires PING, TRACEROUTE et DNS LOOKUP.
LigthspeedRocket ne comprend aucun de ces outils.
Avantages de Ligthspeed
Il est toutefois important de noter que Lightspeed Rocket présente certains avantages par rapport à WebTitan.
Web Zone
C’est une fonction très intéressante pour les établissements d’enseignement. Supposons qu’un professeur donne un test en ligne à sa classe. Il peut créer une Web Zone et envoyer ensuite une invitation à tous ses élèves.
Les élèves ne pourront pas passer l’examen s’ils n’acceptent pas l’invitation. Une fois l’invitation acceptée, l’élève ne peut visiter que les sites web que l’enseignant a saisi pour la Web Zone.
Dans ce cas, seule l’URL de l’examen serait autorisée, ce qui empêcherait l’élève d’ouvrir un deuxième onglet ou une deuxième fenêtre de son navigateur et de faire une recherche sur le web pour trouver les réponses.
Les zones web peuvent également être utilisées pour les enseignants ou les présentateurs qui veulent simplement s’assurer que les étudiants ne soient pas distraits en naviguant en dehors des URL incluses dans la présentation.
Comparaison des deux offres de produits basés dans le cloud : WebTitan et Lightspeed Rocket
WebTitan
Une fois de plus, WebTitan est gagnant sur tous les aspects de la simplicité et de la sécurité. De plus, le tableau de bord et les rapports sont supérieurs dans la version « cloud », qui comprend les contrôles de la fonction de mise à jour de Windows.
WebTitan est la solution idéale pour le secteur de l’éducation.
Parmi les caractéristiques qui rendent la version « cloud » de WebTitan plus intéressante, on compte :
L’utilisation de « cloud keys » qui permet d’outrepasser les pages bloquées. Il s’agit d’une nouvelle approche qui permet de configurer une limite de session TTL, une limitation du nombre maximum d’utilisations et la journalisation des historiques de navigation.
Les fonctions IP et DNS dynamiques qui conviennent parfaitement à une entreprise disposant de petits bureaux ou qui emploient des travailleurs distants. L’agent d’itinérance est également un moyen très innovant de suivre la localisation des utilisateurs.
Lightspeed n’a aucune capacité de reconnaissance de la configuration de la localisation. Il est évident que Lightspeed ne prend pas en compte les organisations composées de bureaux distants.
Il se concentre uniquement sur les organisations à site unique. Pour les petites entreprises ou les start-ups employant des travailleurs distants, WebTitan est un meilleur.
Lightspeed
Le service basé dans le cloud de WebTitan présente des caractéristiques supérieures à celles de Lightspeed. Cependant, la version cloud de Lightspeed présente deux énormes avantages que WebTitan doit selon moi adopter.
La version cloud de Lightspeed s’authentifie avec Microsoft Azure. C’est un gros problème, car de nombreuses écoles migrent leurs ordinateurs portables et leurs appareils individuels vers Azure, plutôt que vers Domain Join AD.
La présence d’Azure ne fera que croître et cela donne à Lightspeed un gros avantage pour les écoles de la maternelle à la terminale (K12) et pour les moyennes et grandes entreprises.
Le service cloud de Lightspeed peut filtrer les extensions de fichiers. WebTitan le fait avec la solution application.
Service à la clientèle
L’autre aspect que je ne peux pas comparer est la qualité de l’assistance à la clientèle des deux organisations. Je peux vous dire que mon propre district scolaire est très insatisfait du soutien que Lightspeed offre.
L’une de nos frustrations est le fait que vous obtenez des réponses différentes selon votre interlocuteur, surtout lorsqu’il s’agit de nouvelles fonctionnalités ou de configurations avancées.
L’assistance par chat et par téléphone est très pratique et constitue toujours mon premier choix, mais malheureusement, les techniciens qui sont chargés de l’assistance par chat n’ont pas d’accès à distance à votre appareil.
Leurs capacités d’assistance sont donc limitées et le client doit souvent rappeler le support technique.
Autres faits sur Lightspeed
Lightspeed a fait une promotion intensive de la version 3 de Rocket. Les premiers adaptateurs qui sont passés à la version 3 ont finalement dû revenir à la version 2, car la nouvelle version était pleine de problèmes.
Le PDG de l’entreprise a ordonné un « temps mort » afin de rétablir tous les bugs et de faire en sorte que la nouvelle version soit prête pour l’été.
Lightspeed a organisé des présentations sur place pour les clients existants afin de récupérer leur confiance pour cette nouvelle version.
La fonction de prévention des proxy est un bon exemple de la vulnérabilité de Lightspeed et de la façon dont il se contente de lancer des fonctionnalités et des mises à jour sans faire preuve de la diligence requise.
Les K12 sont confrontées à l’épreuve des étudiants qui téléchargent des exécutables proxy tels que Ultrasurf et Psiphon afin de contourner le filtre web.
Pour cette raison, toutes les entreprises qui sont capables de combattre pleinement cette menace connaîtraient un succès du jour au lendemain sur le marché des K12.
Lightspeed a introduit une fonction optionnelle pour combattre les proxys il y a environ six mois. Malheureusement, celle-ci a créé autant de problèmes qu’elle ne tente d’en atténuer.
Depuis que la marque a activé cette nouvelle fonction, notre district ne peut plus accéder aux sites web qui utilisent des services basés dans le cloud comme l’AWS.
Comme de nombreux sites utilisent l’AWS, notre administrateur du filtrage de contenu doit constamment trouver les URL CDN des sites bloqués et les ajouter à la liste blanche. Cette procédure est extrêmement lourde.
Bon nombre d’utilisateurs de Lightspeed pensent qu’il essaie de faire trop de choses à la fois. Son produit phare est son filtre web, mais la marque semble consacrer trop de temps sur d’autres activités.
Il y a cinq ans, elle a fait la promotion d’un programme numérique appelé « Big Campus » qui était initialement gratuit si vous étiez un client de Lightspeed.
Peu de temps après sa mise en place, un abonnement a été attribué à ce produit et, deux ans plus tard, il a été abandonné après que de nombreuses écoles se soient donné beaucoup de mal pour l’intégrer.
Lightspeed utilise maintenant son application de surveillance appelée Classroom Orchestrator pour fidéliser ses clients. Cette solution permet aux enseignants de surveiller les bureaux de leurs élèves.
Le produit a également connu de nombreux bugs et qui ont été une source de plaintes.
Si vous êtes un professionnel de l’informatique dans une école et que vous souhaitez garantir la protection de vos données et des appareils sensibles de votre établissement, des élèves et du personnel, adressez-vous à l’un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com.
Si le téléphone reste un outil essentiel pour les entreprises, un grand nombre de transactions et de conversations se font maintenant via les emails.
Plus de 306 milliards d’emails sont actuellement envoyés chaque jour. Une entreprise de 100 employés envoie ou reçoit généralement environ 4 000 emails par jour, dont beaucoup contiennent des informations importantes.
La perte des messages électroniques pourrait s’avérer très coûteuse pour les entreprises, car une grande partie des informations qui y sont stockées ainsi que leurs pièces jointes risquent de ne pas être sauvegardées.
En cas de catastrophe (PST corrompus, panne de matériel, cyberattaque dévastatrice, etc.), les données des emails pourraient être perdues de façon définitive.
Non seulement la perte d’emails pourrait entraver la capacité d’une entreprise à fonctionner, mais elle pourrait aussi entraîner une pénalité financière non négligeable.
24 % des organisations ont déclaré avoir reçu une demande d’un tribunal ou d’un organisme de réglementation pour produire des emails. Si ces messages ne peuvent pas être produits, le coût des pénalités financières n’est même pas pris en compte.
Ils pourraient s’avérer catastrophiques pour une entreprise. La plupart des entreprises sauvegardent leurs emails dans le cadre de leurs plans de reprise d’activité, mais les sauvegardes posent des problèmes.
Elles ne permettent pas de rechercher certains messages. Et même si c’est possible, cela peut prendre un temps extraordinaire.
Pour s’assurer que les emails ne sont jamais perdus et qu’ils peuvent être trouvés et récupérés en quelques secondes ou minutes, la plupart des entreprises choisissent d’utiliser une solution fiable pour archiver ses emails.
10 raisons pour lesquelles les entreprises devraient archiver leurs emails
Prévention des pertes de données
L’une des raisons les plus importantes d’utiliser une archive des emails est la prévention contre les pertes de données.
Les emails sont envoyés aux archives pour un stockage sûr et à long terme.
Si un employé supprime accidentellement un message important de sa boîte de réception, celui-ci ne sera pas perdu, car il pourra être facilement récupéré dans les archives.
Performance du serveur de messagerie électronique
La quantité d’emails envoyés aujourd’hui met à rude épreuve les serveurs de messagerie.
Le fait que de grandes quantités de messages soient stockés sur le serveur d’une entreprise a une incidence négative sur les performances de ce dernier et ainsi l’espace de stockage peut poser problème.
En envoyant les emails dans les archives, ceux-ci peuvent être supprimés par le serveur de messagerie électronique, ce qui améliorera considérablement les performances de ce dernier.
Litiges et eDiscovery
En cas de litiges, vous serez probablement amené à produire des emails liés à l’affaire et vous ne disposerez que d’un court délai pour y répondre.
Trouver des emails dans des fichiers et des sauvegardes PST peut être un processus extraordinairement long, et vous devrez peut-être rechercher le message dont vous avez besoin parmi ceux qui ont été reçu ou envoyé plusieurs années auparavant.
Vous devez également vous assurer que les messages sont originaux et n’ont pas été altérés de quelque manière que ce soit.
Grâce à l’archivage des emails, répondre aux demandes d’eDiscovery ; trouver et produire des emails sera un processus simple et rapide.
Productivité du service informatique
Le service informatique doit consacrer un temps considérable pour pouvoir gérer le système de messagerie électronique et pour résoudre les problèmes de stockage.
Lorsque les employés suppriment ou perdent des emails importants, le service d’assistance informatique est tenu de réagir. L’envoi d’emails aux archives élimine ces problèmes, tout en simplifiant la maintenance du serveur de messagerie électronique.
De leur côté, les employés peuvent être autorisés à accéder à leurs propres archives et rechercher facilement certains emails, ce qui permet au service informatique de gagner beaucoup de temps.
Reprise après sinistre
En cas de défaillance matérielle, les données des emails peuvent facilement être perdues. Les ordinateurs portables peuvent être perdus ou volés, ce qui entraîne à nouveau la perte de ces données.
Les attaques de ransomware et de malware pourraient facilement anéantir le système de messagerie électronique et entraîner la perte de données critiques.
En envoyant des emails aux archives, en cas de catastrophe, ceux-ci peuvent être récupérés, rapidement et facilement.
Conformité réglementaire
Si vous travaillez dans un secteur très réglementé, vous devrez conserver les données de courrier électronique pendant une période déterminée.
Mais toutes les entreprises doivent conserver certains types de données, dont une grande partie est stockée dans les emails.
L’archivage des emails permet de respecter les réglementations en vigueur. Les données peuvent être marquées et des périodes de conservation peuvent être fixées.
De nos jours, vous n’avez plus besoin de supprimer les emails, même lorsque la période de conservation légale est terminée.
Accès aux données et droit à l’oubli
Le Règlement général sur la protection des données (GDPR) et d’autres lois donnent aux individus le droit de demander une copie des informations qu’une entreprise détient sur eux.
Si une demande d’accès à des données personnelles est reçue, celle-ci doit être produites rapidement.
L’archivage des emails vous permet de rechercher instantanément des données de courrier électronique et de répondre rapidement aux demandes de droit d’accès.
Audits internes
Il y aura probablement de nombreuses occasions où vous devrez effectuer des audits internes des données des emails pour savoir quels employés ont communiqués via les emails.
En cas de litige avec un client ou de problème de ressources humaines, vous devrez effectuer une recherche dans les données d’emails. L’archivage facilite et accélère ce processus.
Il vous permet de résoudre rapidement les problèmes sans que vous ayez besoin de faire appel au service informatique.
Continuité des activités
En cas de catastrophe, vous devrez avoir un accès rapide à vos emails. Si un employé quitte soudainement l’entreprise, vous devez également retrouver tous les messages qu’il a envoyé ou reçu par des clients spécifiques.
Grâce à l’accès facile au courrier électronique et à la capacité de recherche avancée d’une solution d’archivage des emails, vous serez en mesure de garantir la poursuite des activités normales de l’entreprise.
Réduction des coûts
La recherche des emails perdus ; la gestion des serveurs de courrier électronique ; la réponse aux demandes d’eDiscovery et la production de données des emails pour les audits peuvent prendre un temps extraordinaire.
L’archivage des emails permet de réduire le temps à consacrer à ces questions et vous aide à éviter des coûts inutiles. Une solution d’archivage sera plus que rentable en termes de coûts.
ArcTitan : la solution d’archivage des emails dans le cloud de TitanHQ
ArcTitan est une solution d’archivage puissante des emails. Elle est sécurisée et est basée dans le cloud. En adoptant cette solution, vous pouvez être certain de ne jamais perdre un email.
En réalité, ArcTitan fait office de boîte noire pour l’enregistrement des emails et vous offre une protection totale contre la perte de données.
La solution est entièrement conforme à toutes les réglementations, quelque soit votre secteur d’activité. Les données sont protégées par un chiffrement de bout en bout et sont chiffrées dans les archives.
De plus, la solution est rapide à mettre en place, facile à utiliser et à gérer.
Lorsque vous avez besoin de trouver certains emails, les recherches se font rapidement, car les messages sont envoyés automatiquement aux archives au rythme de 200 emails par seconde.
Pour vous donner une petite idée de l’efficacité de notre solution, sachez que vous pouvez rechercher un message parmi 30 millions d’emails en moins d’une seconde.
Comme l’espace de stockage n’est pas limité, vous n’avez plus besoin d’installer un matériel sur place et vous ne payez que pour le nombre de boîtes aux lettres actives.
Les entreprises qui utilisent ArcTitan économisent généralement jusqu’à 80 % de l’espace de stockage des emails.
Le filtrage de contenu web fait partie d’une approche à plusieurs niveaux de protection contre les cyberattaques. Microsoft Office 365 est une plateforme incroyablement populaire.
Bien entendu, à ce niveau, cette plateforme est également populaire auprès des cybercriminels, car les fraudeurs adorent usurper des marques connues et de confiances.
Plusieurs rapports ont identifié Microsoft Office 365 comme étant la plateforme préférée des auteurs de phishing.
Pour protéger les utilisateurs d’Office 365, vous pouvez vous tourner vers une technologie plus efficace qui se présente sous la forme d’un filtre de contenu. Plus précisément, il s’agit d’un filtre DNS.
Pourquoi est-ce nécessaire et comment cela peut-il aider votre entreprise à contrer les attaques de phishing contre Office 365 ?
Quels sont les principaux types de cybermenaces qui visent Microsoft Office 365 ?
Office 365 a toujours été une cible pour les cybercriminels, car c’est une marque connue et de confiance. Cette confiance peut être manipulée par les cybercriminels et utilisée pour alimenter des cyberattaques basées sur l’ingénierie sociale.
Les organisations doivent être conscientes des domaines dans lesquels ces menaces sont concentrées afin de pouvoir renforcer leurs systèmes et leurs processus.
Le phishing est une méthode courante utilisée par les fraudeurs pour voler les identifiants de connexion aux comptes d’utilisateurs d’Office 365.
Une fois qu’ils parviennent à usurper un compte, ils peuvent voler des données et des informations sensibles.
Lors de la pandémie du Covid-19, on a assisté à une intensification des attaques contre la plateforme avec comme cible, les utilisateurs d’Office 365 par des e-mails de phishing.
Un exemple récent d’une campagne de phishing liée au Covid-19 avait pour titre » Formation COVID-19 pour les employés « .
Les destinataires des e-mails malveillants étaient invités à cliquer sur un lien qui les amenaient à une page de connexion usurpée d’Office 365.
Si un utilisateur entrait ses identifiants Office 365 via la page malveillante, ceux-ci étaient volés et utilisés par les pirates pour qu’ils puissent se connecter au véritable portail Office 365 de la victime.
Les hauts responsables qui utilisent Microsoft Office 365 sont également en danger.
Trend Micro a identifié une campagne de Business Email Compromise (BEC) qui utilise le phishing et usurpe les pages de connexion d’Office 365 pour tenter de voler leurs identifiants de connexion.
Une fois que le pirate est en possession du compte de l’utilisateur d’Office 365, il crée des factures et/ou falsifie des informations bancaires pour rediriger les subalternes du haut responsable à transférer des fonds vers son propre compte bancaire.
À ce jour, plus de 1000 entreprises dans le monde ont été visées par cette méthode d’attaque.
Comment le filtrage de contenu web DNS peut-il vous aider à mieux protéger Office 365 ?
Le filtrage DNS fait partie d’une approche de protection multicouche contre les cyberattaques. Mais pour comprendre ce qu’est le filtrage DNS, nous devons examiner comment fonctionnent certains aspects de l’utilisation d’un site web.
Qu’est-ce qu’un système de noms de domaine ou DNS ?
Pour permettre l’utilisation de l’internet par les hommes et les machines, l’internet utilise un système connu sous le nom de système de noms de domaine (DNS) pour faire correspondre les opérateurs humains avec l’internet et les protocoles plus larges.
Pour naviguer sur un site web et en lire le contenu, il faut procéder comme suit :
L’humain : lorsque vous vous rendez sur un site web, vous tapez une « URL » compréhensible comme mycompany.com.
Le navigateur web : il communique avec les serveurs web en utilisant une adresse IP (Internet Protocol), qui ressemble à 30.99.11.89.
Le serveur DNS : il traduit le nom de domaine en une adresse IP, ce qui facilite le chargement des pages web et d’autres ressources Internet. Cela signifie que les humains n’ont pas besoin de se souvenir de chiffres, mais seulement de noms lisibles par l’homme.
Comment le filtrage de contenu web DNS empêche-t-il les cyberattaques contre Office 365 ?
La cybersécurité n’est pas une chose qui peut être faite de manière isolée. Les cybercriminels utilisent de multiples canaux, à travers des chaînes d’attaques complexes, pour voler des informations d’identification et des données.
Si vous voulez protéger votre organisation contre ces cyberattaques à plusieurs niveaux, vous devez mettre en place plusieurs niveaux de défense.
Un filtre DNS fournit une couche de protection contre les cyberattaques lancées via le web. Pour ce faire, il empêche les utilisateurs de se rendre sur des sites web malveillants.
C’est une couche importante pour votre organisation, car il peut intervenir lorsque les autres mesures de sécurité web échouent.
Supposons qu’une campagne de phishing soit habilement conçue de manière à ce que les filtres antispam ne repèrent pas les signes révélateurs d’un e-mail malveillant.
Sachez qu’il y a environ 14,5 milliards de messages de spam qui sont envoyés par jour dans le monde entier et les pirates informatiques améliorent sans cesse le contenu de leurs e-mails pour brouiller les pistes.
Supposons également qu’une campagne de phishing soit très sophistiquée et que l’e-mail malveillant soit bien conçu pour correspondre à un sujet d’actualité brûlant pour tromper les utilisateurs (comme la formation aux soins de santé concernant le Covid-19).
Si l’e-mail de phishing arrive dans la boîte de réception d’un employé sans méfiance (ou même formé), celui-ci peut facilement être amené à cliquer sur un lien malveillant.
C’est là que les filtres DNS excellent.
Étapes de la protection du filtre DNS
Un filtre DNS fournit une couche de protection supplémentaire en empêchant les utilisateurs de visiter les liens malveillants contenus dans les e-mails de phishing.
Les étapes de la protection sont les suivantes :
Le filtre DNS est configuré pour rechercher certaines URL malveillantes,
L’employé reçoit un e-mail de phishing contenant un lien malveillant,
L’employé clique sur le lien malveillant,
Cela déclenche une requête DNS, comme d’habitude, et une recherche DNS est effectuée pour trouver l’adresse IP de l’URL contenue dans le lien malveillant,
Le DNS détecte qu’il s’agit d’un lien malveillant et veille à ce que l’adresse IP ne soit pas ouvert,
L’employé ne peut pas accéder au site web frauduleux. Ses identifiants de connexion sont donc sécurisés.
Filtrage DNS, et bien plus encore !
Le filtre DNS de WebTitan protège contre les risques qu’un employé visite un site web malveillant, mais ce n’est pas tout !
WebTitan permet aux équipes informatiques de bloquer les téléchargements de malwares, de surveiller l’activité sur Internet et de contrôler soigneusement les types de sites web auxquels les employés distants peuvent accéder lorsqu’ils utilisent les appareils de l’entreprise.
Avec la sophistication et l’attention portée aux détails des cybermenaces modernes basées sur le web, cette approche multicouche de la protection des ressources de votre entreprise est essentielle.
Filtre de contenu WebTitan : ce sont les statistiques qui comptent !
700 millions d’URL sont explorées chaque jour, ce qui permet de catégoriser les menaces et de les protéger,
La solution est disponible en 200 langues,
5 billions de requêtes de recherches sont examinées chaque mois,
3 millions d’URL malveillantes et de sites de phishing sont bloqués à tout moment,
Chaque jour, 100 000 nouvelles adresses de sites malveillants et de phishing sont enregistrées,
300 000 URL malveillantes sont revisitées chaque jour,
Couverture à 100 % du « Top 1 Million » des sites web les plus visités,
99% de couverture et de précision de l’ensemble du web actif, ce qui fait de WebTitan le leader du secteur,
53 catégories de contenu unique,
200 000 requêtes par seconde/par instance,
5 microsecondes pour la consultation des bases de données,
Si vous n’avez pas encore mis en place une solution de filtrage DNS et que vous souhaitez obtenir plus d’informations sur la façon dont elle peut protéger les travailleurs à distance contre les cyberattaques, contactez l’équipe de TitanHQ dès aujourd’hui.
L’usurpation d’adresse email est la création de compte de messagerie avec une fausse adresse d’expéditeur afin de tromper le destinataire et d’extorquer de l’argent ou de voler des informations sensibles.
Si votre organisation utilise un domaine enregistré pour son propre compte de messagerie électronique, il y a de fortes chances que vous ayez déjà vu certains de ces messages dans votre boîte de réception.
Il est également probable que la plupart, sinon la totalité n’étaient qu’une escroquerie de phishing.
Usurpation d’adresse email ou piratage ?
La crainte initiale dans ces circonstances est que le compte de l’expéditeur ait été piraté. Si votre propre compte est compromis, un attaquant pourrait l’utiliser pour lancer des attaques sur les médias sociaux contre vos collègues et vos contacts.
Au minimum, il pourrait être utilisé comme un compte de spamming, ce qui affecterait négativement votre réputation en matière de messagerie électronique.
La bonne nouvelle est que les comptes de messagerie sont rarement piratés. La plupart de ces cas sont des usurpations d’adresses emails.
L’usurpation d’adresse email consiste à faire croire que le message électronique provient d’un expéditeur en qui vous avez confiance. En réalité, l’email provient d’une source externe qui pourrait se trouver à l’autre bout du monde.
Malheureusement, il est désormais facile d’usurper une adresse email.
Tout serveur d’emails peut être configuré pour envoyer des messages à partir d’un domaine donné par une personne malveillante qui a les connaissances requises.
Même si celle-ci n’a pas l’équipement ou le savoir-faire nécessaire, il existe des sites web qui vous permettent d’envoyer des emails ponctuels en utilisant l’adresse électronique de votre choix.
Tout cela est possible grâce au protocole d’envoi qui rend l’usurpation d’identité possible de par sa conception même. Cela est dû au fait que la sécurité n’était pas intégrée au protocole d’envoi des emails lors de sa création.
Vérification de l’origine d’un courrier électronique
Une des règles que vous devez adopter aujourd’hui lorsque vous recevez des emails qui vous demandent de « faire quelque chose » est de ne pas se fier uniquement au nom des expéditeurs.
Par exemple, le nom de l’expéditeur peut être PayPal mais l’adresse électronique est paypal@eydh12.com.
Si un email provient d’une source fiable au sein de votre entreprise, un coup d’œil rapide à la signature du message peut indiquer clairement qu’il ne provient pas de cette personne.
Les signatures électroniques usurpées contiennent souvent de faux numéros de téléphone qui n’ont aucun rapport avec votre entreprise ou qui ne portent pas le logo obligatoire de l’entreprise.
Vous pouvez également cliquer sur le bouton de transfert qui affichera alors les champs « À » et « De » du message original dans son contenu.
Bien que la vérification de l’adresse électronique correcte vous permet souvent de discerner correctement si un email a été usurpé, elle n’est pas infaillible.
La seule façon de savoir avec certitude d’où provient un email est d’examiner son en-tête. Chaque application de messagerie électronique à une façon différente d’accéder à l’en-tête.
Pour Office 365, ouvrez l’email et cliquez sur le menu « contenu de l’email » et sélectionnez « Afficher les détails du message ».
Pour Gmail, ouvrez le email et cliquez sur les trois points verticaux à côté de la flèche de réponse et sélectionnez « Afficher l’original ».
Pour Outlook, ouvrez l’email et allez dans Fichier, Propriétés et visualisez l’en-tête de l’email.
L’en-tête du courrier électronique contient beaucoup d’informations. Lorsque vous lisez l’en-tête d’un email, les données sont dans l’ordre chronologique inverse.
Cela signifie que les informations contenues dans la partie supérieure sont les plus récentes.
Pour pouvoir suivre l’email de l’expéditeur au destinataire, vous devez commencer par le bas. Deux champs très importants sont contenus dans l’en-tête complet.
Received (reçu) :
Cette partie de l’en-tête énumère tous les serveurs et ordinateurs qui ont été utilisés pour envoyer l’email. Comme nous partons du bas vers le haut, la dernière ligne « Received : » est l’endroit d’où provient l’email.
Ce domaine de messagerie doit correspondre à celui qui est affiché dans l’email.
Received-SPF :
Le Sender Policy Framework (SPF) est utilisé par les organisations pour spécifier quels serveurs sont autorisés à envoyer des emails en leur nom.
Le message envoyé par les serveurs autorisés apparaîtra comme « Pass » dans le champ Received-SPF, ce qui est un indicateur très fort de la légitimité du courrier électronique.
Si les résultats indiquent « Fail » ou « Softfail », cela signifie que l’email peut être usurpé.
Gardez à l’esprit que ce n’est pas vrai dans 100 % des cas, car certains domaines ne tiennent pas leurs enregistrements SPF à jour, ce qui entraîne des échecs de validation.
Champs optionnels :
Pour les organisations qui choisissent d’utiliser les protocoles DKIM et DMARC, l’en-tête comporte un champ supplémentaire pour donner des indices.
Authentification-Résultats :
Ce champ vous permettra de savoir si l’email a passé l’authentification DKIM ou DMARC. Alors que le SPF peut être contourné par l’usurpation d’identité, les protocoles DKIM et DMARC sont beaucoup plus fiables.
Les filtres d’emails utilisant les dernières fonctionnalités de sécurité antimalware sont le principal moyen dont disposent les administrateurs pour bloquer les attaques cybercriminelles.
En effet, ceux-ci vont directement à la racine du problème (les emails de phishing).
Le blocage des emails de phishing empêche les utilisateurs de cliquer sur des liens malveillants.
L’administrateur n’a donc plus besoin de limiter les fonctionnalités de partage de fichiers. Au contraire, il peut bloquer les emails malveillants avant qu’ils n’atteignent la boîte de réception de vos employés.
Qu’est-ce que la DMARC (Domain-based Message Authentication) ?
Le protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance) peut bloquer les emails de phishing en fonction des paramètres de l’administrateur et d’un ensemble de règles qui exploitent le DNS et le chiffrement à clé publique/privée.
Il intègre le Sender Policy Framework (SPF), qui exige une entrée DNS de la part de l’organisation afin que les serveurs de messagerie des destinataires puissent identifier si l’adresse IP de l’expéditeur est autorisée à envoyer un email au nom du propriétaire du domaine.
Le protocole DKIM (DomainKeys Identified Mail) est également intégré dans les règles de la DMARC. DKIM ajoute une signature de chiffrement à clé publique qui ne peut être déchiffrée que par le serveur de messagerie électronique de l’organisation qui contient la clé privée.
En ajoutant une signature au message électronique, l’organisation sait que seuls les messages chiffrés avec sa clé publique sont destinés au destinataire.
Avec le SPF, ce cadre de sécurité bloque les messages usurpés qui pourraient donner l’impression de provenir d’un expéditeur de confiance.
Les attaques OAuth sont courantes, et il suffit d’une erreur d’un utilisateur pour qu’un attaquant puisse avoir accès à son compte de messagerie via le cloud.
Avec le DMARC et les bons filtres d’emails, une organisation peut empêcher un attaquant d’atteindre la boîte de réception d’un utilisateur ciblé.
Aucune entreprise n’est à l’abri d’une usurpation d’adresse email
Les risques liés aux emails usurpés et malveillants sont beaucoup plus importants aujourd’hui. En fait, de nombreuses victimes peuvent perdre leur sécurité financière en raison d’un vol d’identité.
Les bases de données des organisations peuvent être exploitées pour y trouver des numéros de sécurité sociale, des informations sur les cartes de crédit, des dossiers médicaux, des numéros de compte bancaire, etc.
C’est ce qui entraîne des milliards de dollars de dommages, non seulement pour les organisations, mais aussi pour les personnes dont les informations ont été volées.
Les petites entreprises sont souvent victimes de dommages financiers important causés par des emails malveillants.
Se protéger contre les tentatives de phishing utilisant les comptes de messagerie usurpés
Bien qu’il soit relativement facile de se protéger contre les emails frauduleux, il faut savoir que c’est une technique qui est très prisée par les spammeurs et les cybercriminels.
Il faut un certain effort, et donc de l’argent, pour lutter contre cette menace, et c’est souvent la raison pour laquelle de nombreuses petites entreprises ne prennent pas les précautions nécessaires.
Pour faire face à cette menace, il existe des solutions que vous pouvez adopter :
Abonnez-vous à un service de filtrage des spams très efficace et réévaluez son efficacité chaque année.
Désignez quelqu’un (si ce n’est pas un employé, engagez une société d’externalisation informatique) pour surveiller et administrer le compte de messagerie électronique, y compris le service de filtrage du spam. Ce n’est pas une tâche triviale, car les fonctionnalités du courrier électronique changent, les nouvelles menaces évoluent constamment et les adresses électroniques changent fréquemment en raison des changements de personnel.
Sensibiliser vos employés à l’usurpation d’adresse électronique et aux autres techniques utilisées par les spammeurs et les cybercriminels. Formez-les à ce qu’ils doivent rechercher lorsqu’ils scannent leur boîte de réception afin qu’ils puissent identifier rapidement les emails potentiellement malveillants. Donnez-leur une ressource qui peut les aider à décider lorsqu’ils reçoivent un email suspect.
Le courrier électronique est un outil de communication nécessaire et extrêmement utile pour les entreprises. Malheureusement, comme il est tellement utilisé, il constitue une cible facile pour les cybercriminels.
Pour un utilisateur moyen d’un compte de messagerie électronique, il est difficile de repérer un message malveillant parmi les centaines ou les milliers d’emails qui arrivent dans sa boîte de réception.
C’est pourquoi il est important pour les organisations d’allouer les ressources et les fonds nécessaires pour protéger leurs personnels et leurs organisations contre toutes les menaces qui peuvent arriver sous la forme d’un message d’apparence légitime.
Depuis 1999, SpamTitan a mis en place un système de renseignements sur les menaces afin de réduire considérablement le risque d’une attaque réussie contre votre organisation.
Grâce à SpamTitan, vous réduisez considérablement le risque que de nouvelles variantes d’emails malveillants pénètrent dans votre réseau.
Si vous recherchez le meilleur filtre antispam pour les utilisateurs professionnels, n’oubliez pas de consulter SpamTitan , la solution antispam leader pour les PME et les entreprises contactez l’équipe de TitanHQ dès aujourd’hui pour obtenir de plus amples informations et pour bénéficier d’une démonstration gratuite de notre produit.
FAQs
L’objectif de l’usurpation d’identité est-il uniquement le vol d’argent ou de crédit ?
Non, le but de l’usurpation d’identité est généralement l’accès à votre compte bancaire pour voler votre argent, mais ce n’est pas le seul. Il existe d’autres types d’usurpations d’identité. Un pirate peut par exemple utiliser vos informations médicales pour recevoir des soins médicaux. Il peut également s’approprier votre identité et la fait sienne. Imaginez qu’il vous donne votre nom à des agents de la force publique et voilà, vous avez un casier judiciaire !
Quelle est la différence entre vol d’identité et usurpation d’identité ?
Le vol de données se produit lorsqu’un pirate tente d’obtenir des éléments clés de vos informations d’identification personnelle. L’usurpation d’identité, quant à elle, se produit lorsque ces informations sensibles sont utilisées à des fins frauduleuses ou illégales. Autrement dit, l’acquisition illégale d’informations d’identification personnelle n’implique pas nécessairement l’usurpation d’identité.
Que faire en cas d’usurpation d’identité ?
Dans un premier temps, vous devez rester calme et constituer un dossier qui comprend des captures d’écran, généralement constatées par un huissier de justice, et les adresses URL litigieuses. Vous pourrez ensuite fournir ces informations aux forces de l’ordre et aux responsables du site sur lequel l’usurpation d’identité a eu lieu.
Quelles sont les méthodes les plus couramment utilisées par les escrocs ?
Le vol et l’usurpation d’identité se font essentiellement par voie informatique (chevaux de Troie, phishing, pharming, spywares, etc.), mais pas seulement. Cela peut aussi se faire via un appel téléphonique, une inspection d’effets personnels laissés sans surveillance (portefeuille, sac à main, etc.) ou encore la récupération de documents sensibles comme les tickets de carte bancaire, les relevés de compte, etc.
Quelles sont les principales mesures à prendre pour protéger mon identité ?
Soyez prudent lorsque vous communiquez des informations personnelles en ligne. Ce n’est pas parce qu’un site Internet vous demande vos données personnelles qu’il est nécessaire de les lui fournir. Limitez les informations que vous partagez sur les médias sociaux et faites preuve de prudence quand vous cliquez sur des liens et ouvrez des pièces jointes à des e-mails. Utilisez un réseau WiFi sécurisé et, lorsque vous faites des achats ou des opérations bancaires en ligne, assurez-vous que vous utilisez une connexion sécurisée.
Pour chaque tragédie mondiale, il y a toujours une augmentation des escroqueries et des attaques de phishing.
La pandémie du COVID-19 a obligé de nombreuses entreprises à déplacer leur personnel comptable vers une main-d’œuvre travaillant à domicile, ce qui les expose à un risque de cybersécurité beaucoup plus élevé.
Les utilisateurs disposant de leurs propres appareils, d’une connexion Internet ou d’une connexion Wi-Fi publique ne disposent pas des cyberdéfenses de leur entreprise.
Les pirates savent que les travailleurs à domicile sont beaucoup plus vulnérables aux attaques, et ils en ont profité pour cibler les financiers avec de fausses factures, des emails de phishing et de l’ingénierie sociale.
Les pirates informatiques ciblent le personnel comptable
À une époque où le monde est sensible à la pandémie du COVID-19, il est important pour les financiers de rester conscients de l’augmentation des attaques de phishing et des autres menaces utilisant l’ingénierie sociale.
Les pirates utilisent des factures et des emails d’apparence légitime pour tromper les financiers afin de les inciter à envoyer de l’argent sur leurs comptes.
La plupart des comptes de messagerie électronique personnels ne sont pas équipés de dispositifs de détection et de prévention du phishing, contrairement aux serveurs d’emails des entreprises. Les pirates n’hésitent donc pas à rechercher les comptes de messageries personnels de vos employés pour tenter de leur soutirer des données.
L’utilisation de fausses factures n’est pas une nouveauté en matière de cybercriminalité. Les attaquants peuvent par exemple générer une facture d’apparence officielle pour tenter de tromper un membre du personnel financier pour leur envoyer de l’argent.
Les emails semblent provenir d’un expéditeur officiel, et les factures sont conçues de manière à ce qu’elles paraissent légitimes. Il faut que le destinataire soit vigilant afin de pouvoir déceler les signes avant-coureurs.
Selon le FBI, la compromission des emails professionnels (BEC) est une industrie qui représente plus de 2,5 milliards d’euros. Dans certains scénarios, un attaquant se fait passer pour un cadre, un comptable ou un avocat dans le but d’intimider l’utilisateur ciblé et et de l’inciter à agir rapidement sans remettre en cause la validité de la demande.
Toutes les attaques ne visent pas un gain financier immédiat. Certains attaquants veulent que les données soient ensuite vendues sur le dark web.
Le risque d’être pris est plus faible, mais la valeur d’une importante violation de données peut rapporter des millions aux pirates. Pour la plupart de ces attaques, un email de phishing est envoyé à l’utilisateur ciblé, l’incitant à cliquer sur un lien qui l’amène à une page web malveillante.
La page web ressemble à une page d’affaires officielle, et l’attaquant trompe l’utilisateur en l’amenant à s’authentifier. Au lieu de s’authentifier, l’utilisateur envoie des identifiants de connexion à l’attaquant, lequel peut alors accéder au réseau et agir en tant qu’utilisateur d’un compte officiel.
Avec des informations d’identification légitimes, il peut naviguer sur le réseau sans être détecté.Il faut parfois des mois aux administrateurs réseau pour détecter ce type de violation de données.
Voici quelques exemples d’emails de phishing qui menacent votre entreprise :
Vous recevez une demande de cliquer sur un lien « intéressant » qui vous semble louche. Ces emails sont normalement envoyés à des milliers de comptes. En cliquant sur le lien, vous risquez de télécharger sur votre PC un malware qui enregistre les informations que vous saisissez, notamment les noms d’utilisateur et les mots de passe des sites web et des applications de l’entreprise.
Vous recevez un email qui semble être une communication officielle de votre banque. Il peut contenir votre nom personnel ou celui de votre entreprise et vous demande de cliquer sur un lien pour effectuer une tâche urgente. Ce lien fait apparaître un faux site web qui ressemble beaucoup à celui de la banque concernée. Lorsque vous entrez votre nom d’utilisateur et votre mot de passe, ces informations sont enregistrées par les cybercriminels pour être utilisées plus tard, lors d’un transfert d’argent à partir de votre compte.
Vous recevez un email de votre patron, vous demandant d’effectuer un virement bancaire vers une entreprise réputée.
Devriez-vous donc vous méfier d’un email envoyé par votre patron ? La réponse est : oui. Réfléchissez toujours à deux fois avant de payer une facture ou de transférer des fonds.
Ce que les entreprises peuvent faire pour protéger les données pendant la COVID-19
Bien que les administrateurs aient moins de contrôle sur l’activité informatique des employés à domicile, il existe des moyens de réduire le risque d’une attaque du type BEC réussie.
La formation des utilisateurs est une option, et elle peut être effectuée à distance. Toutefois, même avec une formation, les employés peuvent commettre des erreurs, notamment en raison de la recrudescence du phishing et de l’ingénierie sociale pendant la pandémie.
Une solution comme SpamTitan bloquera les emails de phishing avant qu’ils n’atteignent votre réseau. Voici d’autres moyens de réduire les risques :
Authentification multifacteurs
Exigez une authentification à deux facteurs. Même si les utilisateurs tombent dans le piège d’une attaque de phishing, un pirate informatique ne pourra pas accéder au réseau sans le code PIN, généralement envoyé au Smartphone de l’utilisateur ciblé.
Méfiez-vous des liens dans les emails
Demandez aux utilisateurs d’éviter de cliquer sur les liens des emails. Tous les emails contenant un lien ne sont pas malveillants, mais les utilisateurs doivent se méfier tout particulièrement d’un email contenant un lien où les informations de connexion sont nécessaires pour aller plus loin. Tapez toujours le domaine dans la fenêtre du navigateur au lieu d’utiliser un lien pour vous authentifier.
Utilisez les espaces de stockage dans le cloud
Utilisez les espaces de stockage dans le cloud pour consulter les documents. Les malwares du type macro sont toujours bien utilisés par les pirates. Les documents Microsoft peuvent contenir des macros malveillantes, qui sont utilisées pour télécharger des malwares.
Ces logiciels peuvent donner à un attaquant le contrôle à distance d’un ordinateur ou la possibilité d’installer un enregistreur de frappe. Si vous téléchargez un document sur un lecteur dans le cloud (par exemple Google Drive) et que vous prévisualisez le fichier, les macros sont neutralisées et ne s’exécuteront pas sur votre appareil.
N’installez que des logiciels approuvés
Les administrateurs peuvent restreindre l’installation de logiciels sur les ordinateurs de l’entreprise, mais pas sur les ordinateurs personnels. Informez les utilisateurs sur les types de logiciels qui doivent être installés et limitez l’accès aux applications extrêmement sensibles aux seules machines approuvées.
Limitez l’utilisation des emails
Les utilisateurs doivent savoir que les emails sont un moyen peu sûr de transférer des données sensibles, et les employés ne doivent utiliser leurs comptes de messagerie d’entreprise que pour communiquer des informations professionnelles.
Pour limiter l’accès aux comptes de messagerie de votre entreprise, vous pouvez utiliser des filtres. Cela vous permet de bloquer les emails suspects et de mettre en quarantaine tout message contenant des pièces jointes malveillantes.
Les utilisateurs ne doivent jamais copier des informations sensibles d’un email de votre entreprise vers des comptes personnels afin d’éviter toute violation de données.
Des précautions nécessaires mais insuffisantes : optez pour une protection avancée
La liste ci-dessus n’est pas exhaustive. En raison de la nature sophistiquée des menaces persistantes avancées par email, SpamTitan comprend une fonction de sandboxing et des couches antispoofing. Le sandbox de SpamTitan protège vos employés contre les brèches et les pertes de données des menaces de type « zero day » et des attaques sophistiquées par email en fournissant un environnement puissant pour effectuer une analyse approfondie et sophistiquée des programmes et fichiers inconnus ou suspects.
Le sandboxing de SpamTitan protège votre entreprise contre les malwares, le spear phishing, les menaces persistantes avancées (APT) et les URL malveillantes, tout en vous offrant un aperçu des nouvelles menaces et en vous aidant à atténuer les risques.
Facilitez les tâches de votre personnel du service informatique et sécurisez davantage votre entreprise. Voyez les résultats immédiats de notre solution de blocage des spams et des attaques du type BEC sans immobiliser les ressources informatiques grâce à SpamTitan Cloud.
Une campagne active de phishing vocal (vishing) est utilisée pour arnaquer les employés de nombreuses industries différentes qui travaillent actuellement à distance.
Lors de cette campagne, les pirates se font passer pour une entité de confiance et essayent de tirer parti de tactiques d’ingénierie sociale pour persuader leurs victimes de partager l’accès à leur réseau privé virtuel (VPN) d’entreprise.
Un avis commun sur cette arnaque a été publié par le Federal Bureau of Investigation (FBI) et l’Agence de cybersécurité et de sécurité des infrastructures (CISA) du DHS. Ces derniers temps, ce type d’attaque a gagné en popularité en raison de l’augmentation considérable du travail à distance pendant la pandémie du COVID-19.
Le vishing : une attaque bien organisée
Pour commencer, les pirates achètent et enregistrent des noms de domaines qui seront ensuite utilisés pour héberger des pages de phishing, prétendant être la page de connexion VPN interne de l’entreprise ciblée. Ils essaient également d’obtenir des certificats SSL pour les domaines afin de les faire apparaître comme réels et authentiques.
De nombreux systèmes de dénomination sont utilisés pour les domaines, comme [entreprise] — soutien, soutien — [entreprise] et employé — [entreprise], afin de les rendre plus vraisemblables. Grâce à ces tactiques, les cybercriminels pourront enfin être capables de recueillir des données sur les employés de l’entreprise ciblée.
Les informations recueillies comprennent les noms, les adresses, les numéros de téléphone personnels, les titres de poste des employés ainsi que la période pendant laquelle ils travaillent dans l’entreprise. Ces informations sont ensuite utilisées pour gagner la confiance du membre du personnel visé.
Lors de la phase suivante, les employés sont contactés à partir d’un numéro de voix sur IP (VOIP). Au départ, le numéro VOIP n’est pas révélé.
Plus tard, les pirates informatiques commencent à usurper le numéro pour faire croire que l’appel provenait d’un bureau de l’entreprise ou d’un autre membre du personnel au sein de l’entreprise.
Les employés sont alors informés qu’ils recevront un lien sur lequel ils devront cliquer pour se connecter à un nouveau système VPN. Ils sont également informés qu’ils devront répondre à toute communication d’authentification à deux facteurs (2FA) et de mot de passe unique (OTP) avec leur téléphone.
Ensuite, les attaquants saisissent les informations de connexion au fur et à mesure qu’elles sont entrées sur leur faux site web et les utilisent pour se connecter à la page VPN légitime de l’entreprise.
Les pirates utilisent également le SIM-swap pour contourner l’étape 2FA/OTP, en se servant des informations recueillies sur l’employé pour persuader leur fournisseur de téléphonie mobile de porter leur numéro de téléphone sur leur carte SIM. Cela permet de s’assurer que tout code 2FA est envoyé directement au pirate.
Enfin, ils utilisent ces informations pour accéder au réseau de l’entreprise ciblée afin de voler des données sensibles pour pouvoir les utiliser dans d’autres attaques.
Selon le FBI et la CISA, l’objectif ultime de cette arnaque est de tirer profit de l’accès au VPN d’entreprise.
Les recommandations du FBI et de la CISA pour se protéger du vishing
Le FBI et la CISA recommandent de limiter les connexions VPN aux périphériques gérés en utilisant des mécanismes tels que les vérifications matérielles ou les certificats téléchargés.
Cela permet de limiter les heures pendant lesquelles les VPN peuvent être utilisés pour accéder au réseau d’entreprise, utiliser des outils de surveillance de domaine ou gérer les applications Web, dans le but de protéger le réseau des accès non autorisés et de toute autre activité suspecte.
Par ailleurs, une procédure d’authentification formelle devrait être créée pour les communications d’employé à employé sur le réseau téléphonique public, où un second facteur est nécessaire pour authentifier l’appel téléphonique avant la divulgation de toute donnée sensible.
Pour finir, le FBI et la CISA soulignent que les données doivent permettre de surveiller l’accès et les activités des utilisateurs autorisés afin de repérer les activités suspectes.
Quant aux employés, ils doivent être informés de l’escroquerie et recevoir l’instruction de signaler tout appel suspect à leur service de sécurité informatique.
Bien qu’il existe des moyens très simples de reconnaître un e-mail de phishing, il arrive encore que vos employés soient amenés à répondre ou à cliquer sur des liens malveillants.
Les campagnes de phishing peuvent être menées avec peu d’investissement. Elles ne nécessitent pas une compétence élevée en matière d’informatique. Elles peuvent également être très rentables pour les pirates et les attaques sont souvent réussies.
Il n’est pas surprenant que plus de deux tiers des violations de données commencent par un e-mail de phishing, selon le rapport d’enquête de Verizon sur les violations de données.
Reconnaître un e-mail de phishing
Un e-mail de phishing peut être envoyé dans votre boîte de réception de différentes manières. Les pirates changent de tactiques pour tenter de tromper vos employés et leur faire remettre des informations vitales ou leur donner accès à des données sensibles.
Lorsque vous recevez un e-mail suspect, suivez les étapes suivantes, et conseillez vos employés de faire de même :
Vérifiez l’expéditeur de l’e-mail : vous devez vous assurer que l’e-mail que vous avez reçu ne provient pas d’une adresse usurpée. Il peut sembler provenir d’une entreprise de confiance alors qu’en réalité, un caractère a été modifié pour vous duper. Placez la flèche de votre souris sur le nom d’affichage et vous verrez la véritable URL depuis laquelle le message a été envoyé.
Méfiez-vous des fautes d’orthographe : si quelque chose vous semble inhabituel, vous devriez reconsidérer la façon dont vous traitez le message. Dans certains cas, les pirates incluent intentionnellement des fautes d’orthographes dans les e-mails de phishing afin d’identifier les employés qu’ils pourraient facilement tromper. Plus tard, ils leur enverront d’autres e-mails malveillants pour essayer d’en tirer profit.
Les pirates utilisent généralement l’urgence : dans un e-mail de phishing, il est probable que vous soyez invité à accomplir une action dans un délai très court. De cette manière, vous n’aurez pas assez de temps ou de réactivité pour vous rendre compte que l’expéditeur n’est pas authentique. L’urgence est l’un des principaux outils utilisés par les pirates pour amener leurs victimes à leur remettre des informations sensibles. Il est donc important de prendre quelques secondes de plus pour vérifier que l’e-mail provient d’une personne légitime et non d’un hacker.
Méfiez-vous des URL intégrées au message : pour la plupart des e-mails de phishing, le but est d’obtenir des identifiants de connexion ou d’autres données précieuses. Pour ce faire, ils tentent de vous amener à cliquer sur une URL qui vous redirige vers un site web hébergeant des malwares et qui peut suivre toute votre activité en ligne. Pour éviter que cela ne se produise, il faut encore quelques secondes de plus pour s’assurer que l’adresse du site web est authentique.
Soyez prudent avec les pièces jointes : les pirates peuvent utiliser une autre méthode afin d’essayer d’infiltrer l’appareil utilisé par vos employés. Cette fois, ils incluent dans un e-mail un fichier qui semble authentique. Cependant, il s’agit d’une pièce jointe malveillante qui peut télécharger un logiciel de suivi sur votre appareil et qui peut voler toutes sortes d’informations ou verrouiller l’accès à votre réseau jusqu’à ce que vous payiez une rançon.
Solutions antiphishing pour les entreprises
Il existe de nombreuses options que vous pouvez choisir pour lutter contre les attaques de phishing. C’est pour cette raison que TitanHQ a créé plusieurs services antiphishing puissants pour vous aider à sécuriser votre réseau.
Le taux de détection des spams signalé par son service SpamTitan a atteint un niveau de 99,97 %.
Pour ce faire, il utilise une série de contrôles tels que les contrôles RBL, l’analyse bayésienne, l’heuristique, les méthodes d’apprentissage automatique pour repérer les attaques de type « zero day » et les cadres de politique d’envoi pour empêcher les campagnes d’usurpation d’identité via la messagerie électronique.
La solution intègre deux moteurs antivirus pour repérer les malwares et le sandboxing pour découvrir les pièces jointes dangereuses.
L’autre solution, WebTitan, est un filtre DNS capable d’empêcher toutes les attaques de phishing lancées via le web en empêchant vos employés de visiter les pages web interdites et les tentatives de téléchargement de malwares.
Étant donné que le télétravail est devenu une nécessité à cause de la pandémie du Covid-19, les entreprises doivent trouver des solutions qui permettent à leurs employés d’accéder à des applications critiques.
La solution la plus simple est de mettre en place un environnement basé dans le cloud où ces derniers peuvent accéder aux fichiers et aux applications sans passer par le réseau local.
Si ce type d’environnement peut être pratique, il expose également les entreprises à des risques supplémentaires en matière de cybersécurité.
Mais malgré ces risques, les organisations peuvent prendre des mesures de précaution pour protéger leurs données sensibles.
Sécurité cloud et télétravail
La pandémie du Coronavirus a obligé de nombreuses entreprises à permettre à leurs employés de travailler à domicile. C’était le seul choix possible pour maintenir la productivité et les revenus pendant la crise mondiale.
Ce changement des habitudes de travail a obligé le personnel informatique à trouver des moyens uniques de donner aux employés l’accès aux données sans précipiter les changements d’infrastructure, ce qui peut entraîner des erreurs.
Pour mettre en place une nouvelle infrastructure, la solution la plus simple est de l’héberger dans le cloud comme AWS, Azure ou GCP. Les fichiers peuvent y être stockés, les applications peuvent fonctionner et les utilisateurs peuvent y accéder avec un navigateur standard.
L’un des principaux éléments à considérer lorsque vous utilisez le cloud est que le service est ouvert au public. Il incombe donc au service informatique de configurer correctement l’authentification et l’autorisation.
Les fournisseurs de services cloud ont leurs propres moyens de défense en matière de cybersécurité, mais vous ne pouvez pas vous fier entièrement à ces protections. Une mauvaise configuration peut laisser vos données ouvertes au public et entraîner une faille de sécurité.
Dans le récent rapport d’enquête de Verizon sur les violations de données, 43 % des violations visaient les applications basées dans le cloud. Ces résultats démontrent que les applications qui sont basées dans le cloud sont une cible de choix pour les cybercriminels.
Le personnel informatique doit configurer les ressources du cloud pour s’assurer que les vulnérabilités sont détectées et réduites avant de pouvoir être exploitées. La protection des données sensibles nécessite de bonnes configurations, mais il est encore plus important de disposer des bons outils de surveillance et de détection.
La cybersécurité doit être proactive plutôt que réactive afin d’éviter les violations majeures des données, et les outils de surveillance et de détection détecteront de manière proactive les menaces potentielles.
Office 365 est une cible potentielle
Microsoft a fait de grands progrès en matière de cybersécurité, mais les gros titres continuent de faire état d’innombrables exploits où des pirates informatiques ont réussi à contourner les systèmes de défense d’Office 365.
Si votre entreprise a adopté Office 365 comme solution de messagerie hébergée, votre compte de messagerie est donc hébergé dans un centre de données Microsoft et est très probablement filtré par la protection en ligne de Microsoft Exchange Online Protection (EOP).
Bien que le filtre antispam d’Office 365 offre un niveau de sécurité raisonnable, certaines entreprises le trouvent basique et insuffisant lorsqu’il s’agit de cybermenaces très sophistiquées, notamment les attaques de spear phishing.
Malheureusement, les fonctionnalités de sécurité d’Office 365 ne correspondent pas à celles de nombreuses passerelles de sécurité de la messagerie électronique dédiée sur site et dans le cloud, qui incluent l’apprentissage-machine et l’intelligence artificielle.
La seule solution de sécurité pour la messagerie électronique comprend la capacité d’anticiper les nouvelles attaques à l’aide d’une technologie prédictive.
Vous utilisez Office 365 et le phishing et les malwares vous préoccupent ? Obtenez une démonstration personnalisée gratuite de SpamTitan et découvrez comment cette couche de sécurité peut vous aider à sécuriser votre environnement Office 365 dès aujourd’hui.
Combattre les risques de cybersécurité pendant la pandémie du COVID-19
Même si l’utilisation du cloud peut impliquer des risques pour les entreprises, certaines technologies sont disponibles pour aider à les minimiser.
La première solution consiste à utiliser des outils de surveillance qui identifient les mauvaises configurations, le trafic suspect et l’utilisation des ressources.
AWS dispose par exemple de CloudWatch pour aider à surveiller les applications et les ressources informatiques. Azure est également doté de plusieurs outils de surveillance qui fournissent des rapports permettant de traiter les problèmes éventuels.
Quant aux utilisateurs, ils devraient utiliser un VPN pour accéder à toutes les ressources internes. Si un VPN n’est pas disponible, toute connexion aux ressources basées dans le cloud doit toujours être chiffrée.
Le chiffrement protège contre les écoutes malveillantes lorsqu’un utilisateur utilise un réseau WiFi public ou domestique.
Sécurité du cloud et authentification multifacteurs
L’authentification multifacteurs (AMF) devrait être mise en œuvre pour se protéger contre le phishing et l’ingénierie sociale.
Les attaquants savent que les utilisateurs à domicile ne disposent généralement pas des ressources de l’entreprise pour se protéger contre la cybersécurité. Les campagnes de phishing peuvent ainsi être efficaces, même avec de bonnes défenses de cybersécurité, et il suffit qu’une seule erreur humaine se produise pour qu’une attaque réussisse.
Les pirates informatiques savent qu’une bonne campagne de phishing pourrait permettre d’accéder aux ressources de l’entreprise. L’AMF met fin à la plupart des attaques de phishing en imposant un niveau d’autorisation supplémentaire avant que l’accès à une ressource ne soit accordé.
Avec le confinement causé par la pandémie du Covid-19, les attaques de phishing ont augmenté. Les entreprises doivent donc mettre en place des protections adéquates pour leur compte de messagerie électronique.
Les applications tierces disposent de leurs propres filtres pour détecter et bloquer les attaques de phishing.
Par contre, les entreprises qui hébergent leurs propres serveurs de messagerie devraient disposer d’une surveillance et de filtres qui empêchent l’envoi de messages malveillants dans les boîtes de réception de leurs employés. Les messages malveillants peuvent comprendre du texte simple avec une URL ou des pièces jointes suspectes.
Les filtres de la messagerie électronique peuvent mettre en quarantaine les messages pour examen par un administrateur en cas de faux positifs, mais ce type de cybersécurité n’est pas suffisant pour réduire le risque de phishing lorsque les utilisateurs travaillent à domicile. Ces derniers doivent être formés à identifier les messages malveillants si un e-mail arrive dans leur boîte de réception.
En plus des filtres, les serveurs de messagerie électronique qui mettent en œuvre le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) augmentent l’efficacité de la cybersécurité.
Le DMARC utilise une combinaison de liste blanche DNS et de signatures chiffrées pour déterminer la légitimité des messages.
Le personnel informatique utilise les enregistrements DNS pour identifier les adresses IP qui peuvent ensuite être utilisées pour envoyer des messages, tandis que les signatures vérifient l’authenticité de chaque message pour s’assurer qu’il n’est pas malveillant.
Le DMARC semble complexe, mais avec la bonne configuration, c’est un outil de cybersécurité précieux qui vous protège contre le phishing et tous les contenus malveillants dans les messages électroniques.
Le phishing est l’un des moyens les plus courants dont disposent les attaquants pour voler des données.
Il est donc important que les entreprises mettent en place une bonne application et des règles qui arrêtent ces messages avant qu’ils n’atteignent la boîte de réception d’un utilisateur. Si le protocole SPF offre un certain degré de protection contre l’usurpation d’adresse électronique, le DMARC est bien plus fiable.
La solution de sécurité de la messagerie électronique de SpamTitan intègre l’authentification DMARC pour offrir une protection encore plus grande contre les attaques d’usurpation d’adresse électronique.
Sécuriser la messagerie électronique et les contenus web utilisés pour les cyberattaques
Travailler avec une infrastructure basée dans le cloud ne signifie pas que votre entreprise doit être laxiste en matière de cybersécurité. Les ressources, la surveillance et la détection appropriées peuvent être utilisées pour mettre fin aux attaques de cybersécurité les plus courantes, notamment le phishing.
Le personnel informatique peut mettre en œuvre plusieurs techniques de cybersécurité sans affecter la productivité des utilisateurs, et leur entreprise peut fonctionner en toute sécurité tout en protégeant les données sensibles.
Si vous vous souciez de la protection des travailleurs distants contre le phishing, les attaques du type « zero day », les malwares et les sites web dangereux, contactez dès maintenant nos experts. Ils vous expliqueront pourquoi il est vital de vous protéger contre les attaques lancées via les e-mails et via d’autres types de contenus web.
On parle beaucoup du dark web de nos jours, notamment de la façon dont les cybercriminels l’utilisent souvent pour répandre des malwares, pour vendre des données volées et pour publier les informations d’identification des comptes utilisateurs.
Le dark web. Ce terme peut-être défini comme un réseau chiffré qui existe entre les serveurs Tor et leurs clients. Il est complètement séparé du Web, ou tout simplement d’internet. Tor, acronyme de « The Onion Router », permet aux utilisateurs de surfer sur Internet, de chatter et d’envoyer des messages instantanés de manière anonyme. En soi, elle n’est pas néfaste.
Voici comment les développeurs des serveurs Tor voient leur création sur https://www.torproject.org/. Selon eux, Tor est un logiciel libre et un réseau ouvert qui vous aide à vous défendre contre l’analyse du trafic, une forme de surveillance du réseau qui menace la liberté personnelle et la vie privée, les activités et les relations commerciales confidentielles et d’une manière plus générale, la sécurité de l’État.
Il y a eu un taux de croissance de 24% des sites sur le dark web entre 2014 et 2015. Selon une recherche menée par Flashpoint, l’utilisation de Tor a encore bondi au cours de l’année dernière depuis la révélation du programme de surveillance de l’Agence de sécurité nationale.
Un peu d’histoire : Tor et le Dark Web
Les stéréotypes négatifs sur le dark web abondent. En mars, une étude du CIGI (Centre for International Governance Innovation) montre que 7 personnes sur 10 veulent la fermeture de cette plateforme. Beaucoup de gens ont entendu parler de la dark web pour la première fois en 2013, lorsque le FBI a démantelé la « Route de la soie », le plus grand site de marché noir (à l’époque) de trafic d’armes et de drogues.
Mais le dark web n’a pas commencé comme refuge pour les criminels. Tor a été développé au milieu des années 1990 par des informaticiens et des agences gouvernementales américaines.
En 2006, le projet Tor a été créé en tant qu’organisation à but non lucratif pour maintenir Tor pour l’usage public.
Il y a de nombreuses raisons pour lesquelles les gens pourraient vouloir rendre anonyme leur activité web en utilisant Tor.
D’une part, dans les pays où de nombreux sites Web sont bloqués, Tor fournit un moyen d’accéder à ces sites. Par exemple, en Chine continentale, en septembre 2015, environ 3 000 sites Web étaient bloqués. Il s’agissait notamment de la plupart des comptes Google, Facebook, YouTube, Twitter et Instagram.
L’anonymat était essentiel lorsqu’il s’aentrgit de communiquer des renseignements de nature délicate ou de dénoncer des abus.
Aujourd’hui, des organes d’information comme « The Guardian », « The Intercept » et « The New Yorker » hébergent tous des sites dark web pour des conseils et des documents ayant fait l’objet de fuites anonymes.
Tout comme WikiLeaks, Tor et le dark web ont été utilisés pour mobiliser le « printemps arabe ». Certaines personnes utilisent même Tor pour empêcher les sites Web de les traquer à des fins publicitaires.
Quelle est la différence entre Deep Web et Dark Web ?
L’acronyme « www » que vous trouverez sur les sites que vous visitez n’est que le sommet de l’iceberg. Vous pouvez par exemple consulter www.google.com, www.wikipedia.org et des blogs qui vont et viennent quotidiennement.
Sachez toutefois que sous l’eau se cache un monde profond et sombre, caché à la vue de tous, et ce, pour diverses raisons. Il s’agit en effet du Dark Web.
Les informations qui effleurent la surface du Dark Web, dans une zone appelée Deep Web, sont moins néfastes. Elles appartiennent généralement à des gouvernements ou à de grandes entreprises et ne sont jamais exposées au public. Vous y trouverez des dossiers médicaux, des rapports gouvernementaux, des dossiers financiers, etc. De par leur importance et pour les protéger, elles sont tenues à l’écart des moteurs de recherche et derrière de puissants pare-feu.
C’est vraiment dans les profondeurs du Dark Web que les choses deviennent plus louches. C’est souvent une chose dangereuse.
Dans le cas du Deep Web, comme les documents gouvernementaux, les dossiers personnels et bien d’autres données sensibles ne sont pas destinés à être vus par le public, ils sont protégés. Cependant, ils sont toujours connectés à l’Internet, car la plupart de ces informations forment un écosystème pour de nombreuses applications du web de surface.
Bien entendu, le concept du Dark Web est un peu compliqué. La partie www est souvent exécutée sur des réseaux de serveurs privés, ce qui ne permet la communication que par des moyens spécifiques. Cela permet un haut degré d’anonymat et rend difficile sa fermeture par les autorités.
Malheureusement, cela a conduit le Dark Web à devenir un lieu où se déroulent de nombreuses activités illégales ou immorales.
Si vous avez déjà entendu parler de la cybercriminalité, vous savez probablement que les pirates informatiques de nos jours ne cherchent pas seulement l’argent. Ils prennent littéralement tout ce qui a de la valeur, comme les informations sur les cartes de crédit, les informations personnelles, etc. Toutes ces choses peuvent être vendues ou échangées sur le Dark Web.
En dehors de cela, il existe également des transactions commerciales illégales qui ne peuvent pas être menées sur le Web surfacique. Presque tout peut être acheté sur le Dark Web, à condition d’être prêt à payer. Parmi les articles disponibles figurent des drogues illégales, des armes à feu, des animaux sauvages illégaux, voire des services tels que la location d’un tueur à gage.
Enfin, la plus grave des choses réalisées sur le dark web sont la vente des contenus pornographiques les plus pervers, qui sont illégaux dans presque toutes les régions du monde.
Il est important de comprendre que de nombreuses choses sur le Dark Web peuvent être hautement illégales. Quelles que soient les précautions que vous prenez, il est fort probable que vous puissiez rester anonyme. Mais n’oubliez pas que vous entrez dans le Dark Web à vos risques et périls.
Qu’est-ce que Tor et comment ça fonctionne ?
Tor n’est pas le seul outil pour accéder au dark web. C’est simplement le plus populaire. D’autres systèmes incluent « Freenet » ou le réseau anonyme « Invisible Internet Project (I2P) ».
Fonctionnement de Tor
Tor transfère le trafic réseau depuis l’ordinateur de l’utilisateur et le mélange à travers une série aléatoire de relais pour atteindre sa destination. Chaque nœud (ou « routeur oignon ») du chemin connaît son prédécesseur et son successeur, mais aucun autre nœud du circuit.
Le trafic descendant le long du circuit est envoyé en paquets de taille fixe qui sont déballés par une clé symétrique à chaque nœud (comme les couches d’un oignon) et relayés en aval.
Ce processus rend anonyme l’emplacement de l’utilisateur et rend difficile la surveillance des activités de l’utilisateur.
Le cryptage Tor est effectué par les serveurs Tor, pas sur votre ordinateur de bureau. Le trafic entre deux nœuds Tor ne peut pas être tracé, mais le trafic entrant ou sortant des passerelles Tor vers (ou depuis l’Internet « normal ») l’est. À moins qu’un chiffrement SSL ne soit appliqué.
Tor n’est pas un mécanisme de chiffrement de bout en bout. Autrement dit, si la communication n’est pas chiffrée à l’aide d’un logiciel séparé avant d’entrer dans le réseau Tor, tout le monde peut la lire sur les passerelles.
Depuis que la « National Security Agency », un organisme gouvernemental du département de la Défense des États-Unis, était soupçonnée d’administrer un pourcentage élevé de toutes les passerelles de sortie Tor dans le monde, vous pouvez parier que tout trafic non chiffré est surveillé par la NSA.
Les principales raisons pour lesquelles les internautes utilisent Tor
Blocage des traqueurs
Tor isole chaque site web que vous visitez pour que les traqueurs ne puissent pas vous suivre. Tous les cookies s’effacent automatiquement lorsque vous avez fini de surfer sur le dark web. Il en est de même pour votre historique de navigation.
Défense contre la surveillance
Tor empêche également les personnes qui surveillent votre connexion de savoir quels sites web vous visitez. Tout ce que quelqu’un qui surveille vos habitudes de navigation peut voir, c’est que vous utilisez le navigateur Tor.
Évitement de la prise d’empreintes digitales
L’un des objectifs du navigateur Tor est de rendre tous les utilisateurs identiques. Ceci rend difficile la prise d’empreintes digitales à partir des informations de votre appareil et de votre navigateur.
Chiffrement multicouche
Votre trafic est relayé et chiffré trois fois lorsqu’il passe sur le réseau Tor. En fait, le réseau est composé de milliers de serveurs gérés par des bénévoles, appelés relais Tor.
Pour une navigation libre
Avec Tor, vous êtes libre d’accéder à des sites que votre réseau domestique a peut-être bloqués.
Accéder au dark web en utilisant le réseau Tor
Pour accéder au dark web, il vous faudra un réseau de proxy anonyme. Les deux outils les plus populaires que les gens utilisent, ce sont Tor et I2P. Mais c’est Tor qui est le plus utilisé.
Les chiffres les plus récents publiés par metrics.torproject.org, révèlent que Tor compte actuellement plus de 2,5 millions d’utilisateurs chaque jour. Le site web de Facebook qui est consacré exclusivement à Tor attire à lui seul plus d’un million de visiteurs chaque mois.
La façon la plus simple d’utiliser Tor est de choisir son navigateur dédié. Il est disponible pour Windows, Linux et MacOS. Vous pouvez le lancer à partir d’une clé USB si vous ne voulez pas l’installer sur votre PC. En fait, le navigateur Tor est basé sur Firefox, mais vous devrez désactiver les plug-ins qui pourraient compromettre votre sécurité et votre vie privée.
Le navigateur Tor n’entre pas en conflit avec les autres logiciels que vous avez installés. Pourtant, vous devriez configurer votre pare-feu ou votre antivirus pour lui permettre d’accéder à Internet.
Notez qu’il existe aussi une application Tor pour Android. C’est l’Orbot, un système d’exploitation préconfiguré pour l’utilisation de ce service.
Sinon, vous pouvez toujours télécharger tout ce dont vous avez besoin pour démarrer avec Tor en vous rendant sur son site web. Ceci étant fait, vous devez juste cliquer sur Télécharger Tor et suivre quelques instructions.
Voilà, vous pouvez maintenant vous connecter à Tor.
La première fois que vous utiliserez ce service, vous serez confronté à un pop-up qui vous demandera de vous connecter ou de configurer le réseau Tor.
Vous allez également être invité à vous inscrire pour obtenir une adresse e-mail introuvable. Dans ce cas, n’utilisez pas un compte Gmail. Il vous faudra une adresse email qui vous permettra de vous inscrire à de nombreux sites avec le suffixe .onion.
Voici quelques comptes de messagerie que vous pouvez utiliser :
TORbox
Protonmail
Bitmessage
Lelantos (service payant)
RiseUp
Mail2Tor
Sachez que ces comptes de messagerie sont fournis avec des suffixes .onion et ils ne fonctionnent pas avec les navigateurs classiques tels que Chrome ou Firefox.
La plupart des internautes préfèrent cliquer sur « Connect » une fois qu’ils sont sur la page d’accueil du site. Par contre, si votre connexion internet est sécurisée par un proxy, vous devrez configurer vos paramètres de proxy locaux.
La fenêtre Tor ressemble à une fenêtre de navigateur normale, mais vous pouvez l’utiliser pour accéder à des sites dont le suffixe est .onion. Pour trouver ces sites, vous n’aurez pas besoin de faire une recherche sur Google. Il suffit d’entrer des liens spécifiques.
Si vous êtes soucieux de préserver votre anonymat, le projet Tor inclut plusieurs sortes d’avertissements sur ce qu’il ne faut pas faire lorsque vous naviguez sur le dark web. Il est donc recommandé d’être extrêmement prudent lorsque vous utilisez ce service. En fait, il existe des moyens simples de prendre des mesures pour protéger vos données. Vous pouvez par exemple utiliser certains moteurs de recherche anonymes comme Oscobo et DuckDuckGo.
La vraie signification du terme Tor
Tor – ou « The Onion Router » – est un logiciel libre permettant aux utilisateurs de protéger leur vie privée et leur sécurité contre une forme courante de surveillance de la navigation sur Internet. Il a été développé à l’origine pour l’US. Navy afin de protéger les communications gouvernementales. À l’origine, le nom du logiciel était un acronyme de « The Onion Router », mais Tor est maintenant le nom officiel du programme.
L’idée principale derrière cette conception était de protéger la vie privée des utilisateurs du réseau. Tor vise également à leur permettre de mener des affaires confidentielles. Le programme est actuellement largement utilisé dans les services de géolocalisation afin de fournir l’anonymat aux serveurs.
Pourquoi le réseau s’appelle-t-il Tor ?
Tor est le réseau de routage en oignon. Lorsque ses programmeurs ont commencé la nouvelle génération d’implémentation et de conception du routage en oignon en 2001-2002, ils pensaient donner le nom « Neat ». Même si le routage en oignon est devenu un terme courant, Tor est né d’un projet de routage en oignon réalisé par le Naval Research Lab.
Même s’il est issu d’un acronyme, Tor ne s’écrit pas « TOR ». Seule la première lettre est en majuscule.
Les oignons ont des couches
Il en est de même pour un message passant par Tor. Chaque couche de Tor est un chiffrement, ce qui signifie que vous ajoutez des couches de chiffrement à un message Tor, par opposition à l’ajout d’une seule couche de chiffrement.
Voici pourquoi Tor est appelé protocole de routage en oignon, parce qu’il ajoute des couches à chaque étape.
Le message entièrement encapsulé est ensuite transmis à travers une série d’ordinateurs dans un réseau, également appelés routeurs oignons. Chaque ordinateur enlève donc une couche de l’ « oignon ». Cette série d’ordinateurs est appelée un chemin, chaque couche contenant la prochaine destination, c’est-à-dire le prochain routeur auquel le paquet doit se rendre. Lorsque la dernière couche est déchiffrée, vous obtenez le texte en clair et un message non chiffré.
L’auteur original reste anonyme, car chaque nœud du réseau ne reconnaît que les nœuds précédents et suivants du chemin, à l’exception du premier nœud qui identifie qui est l’expéditeur. Cependant, le premier nœud ne connaît pas la destination finale du message.
De nombreux utilisateurs accèdent à Tor via un VPN. Voilà pourquoi :
En réalité, un VPN (ou Virtual Private Network, en anglais ») vous permet d’usurper votre position géographique.
Comme mentionné ci-dessus, n’importe quelle personne disposant la passerelle de sortie Tor peut lire les communications non chiffrées qui passent à travers.
Un VPN assure la confidentialité
Certains fournisseurs d’accès internet (FAI) bloquent Tor. Un FAI ne saura donc pas que vous accédez au dark web si vous utilisez un VPN.
La passerelle d’entrée Tor verra l’adresse IP du serveur VPN, et non l’adresse IP réelle de l’utilisateur. Cependant, les passerelles de sortie Tor sont souvent bloquées. De plus, un VPN n’offre aucune protection contre les passerelles de sortie Tor malveillantes.
Au lieu d’utiliser un VPN, certains utilisateurs de Tor passent par une passerelle Tor comme Obfsproxy, un sous-projet Tor qui peut être utilisé pour obscurcir le trafic (quel qu’il soit) afin qu’il devienne méconnaissable. Ceci peut être efficace pour masquer l’utilisation de Tor si l’inspection approfondie des paquets n’est pas configurée pour détecter Tor.
À quoi ressemble le dark web ?
La première chose à remarquer est la lenteur du navigateur Tor ; encore plus si un VPN est utilisé en tandem. Les URLs sont aussi un peu étranges. Un exemple est wlupld3ptjvsgvsgwqwqw.onion, un site Web sombre dédié à Wikileaks.
Pour ce site, les protocoles en dehors de la norme HTTP/HTTPS standard abondent, notamment IRC, IRCS, Gopher, XMPP, et FTP.
Une étude à long terme, réalisée par TrendMicro, a montré que 41 % des URL sont russes et 40 % anglaises.
Le fait de trouver ce que vous voulez chercher est souvent un peu difficile, car de nombreux sites apparaissent et disparaissent en quelques jours. Cela ne veut pas dire qu’il n’y a pas de moteurs de recherche, par exemple, le moteur de recherche de médicaments Grams qui ressemble à Google.
L’enjeu est que, puisqu’il y a beaucoup de liens de pages web malveillants, certains utilisateurs se fient aux listes de liens Tor.onion ou aux conseils d’un ami pour se déplacer.
Une alternative est l’un des moteurs de recherche dark ou deep Web, qui parle au service oignon via Tor et des relais. Ils résolvent les liens « .oignon », puis livrent le résultat final à votre navigateur habituel sur le Web.
Le Dark Web, quant à lui, possède certains des mêmes types de sites disponibles sur l’Internet « normal ».
Deep Web Radio est, par exemple, une station de radio musicale mondiale. Mais il existe d’autres services d’hébergement dédiés, des e-mails anonymes et de clavardages (chat) ; même des clones de Twitter qui proposent ce même service.
En janvier 2016, ProPublica a lancé le premier site d’information d’importance sur le dark web. Les dénonciateurs, les militants des droits de l’homme, les journalistes, les militaires et les forces de l’ordre étaient tous présents.
En réalité, les victimes de violences conjugales utilisaient le dark web pour communiquer sans être suivies par leurs agresseurs.
Une description du dark web ne serait pas complète sans mentionner les sites financiers. BIT, une nouvelle unité populaire qui sert à représenter des quantités faibles de Bitcoin, montrait par exemple un état concernant le marché de l’information volée et des marchandises illégales, des kits d’exploitation et de l’information pour les hackers mal intentionnés.
Daniel Moore et Thomas Rid, dans leur livre Cryptopolitik and the Darknet, ont rapporté que 57 % du dark web est constitué d’activités illégales. Il est juste de dire que le deep web, c’est-à-dire le web caché ou le web invisible, est une immense plateforme de partage d’informations qui facilite les activités criminelles.
Une autre alternative : les cryptomonnaires. C’est l’une des meilleures options pour sécuriser les transactions financières (comme bitcoin) et des réseaux d’anonymisation tels que Tor.
Elles permettent aux adversaires d’entrer facilement sur le marché des malwares et de commencer rapidement à générer des revenus.
Pourquoi le dark web est-il caché ?
Dans le cas du dark web, les documents gouvernementaux, les dossiers personnels, et bien d’autres ne sont pas destinés au public. Ils sont généralement gardés en lieu sûr. Cependant, les organisations doivent se connecter à Internet, car une grande partie de ces documents et données constitue un écosystème pour d’autres applications web de surface.
Le dark web est un peu plus compliqué. Il est souvent exploité sur des réseaux de serveurs privés, ce qui ne permet pas la communication, sauf si vous utilisez des moyens spécifiques, afin de fournir un degré d’anonymat élevé.
Malheureusement, cela a conduit le dark web à devenir un lieu où se produisent de nombreuses activités illégales.
La cybercriminalité est de nos jours l’une des principales préoccupations des organisations. Les cybercriminels recherchent plus que de l’argent. Ils peuvent aussi voler tout ce qui a de la valeur, comme les informations sur les cartes de crédit, les informations personnelles, etc. Toutes ces informations se vendent ou s’échangent sur le dark web.
En dehors de cela, il existe des transactions illégales sur le dark web. Presque tout peut être acheté sur cet espace sombre de l’Internet. Les articles qui y sont vendus peuvent inclure des drogues illicites, des armes à feu, voire le service de tueur à gages.
Tor (protocole onion) peut-il représenter un problème pour une entreprise ?
La police, les chercheurs médicaux, l’armée, et bien d’autres personnes comme les journalistes utilisent Tor afin de garder leurs activités en ligne privées ou d’éviter le cyberespionnage.
Tous les supports, tels que la page imprimée, ont le potentiel d’être douteux. Pourtant, le service web de Tor ne mène aucune action. Comme pour les technologies telles que Bitcoin (la monnaie préférée de Tor) il n’incite pas et ne tolère pas les entreprises illégales. Le site web reconnaît que des éléments criminels peuvent exploiter l’anonymat des utilisateurs finaux, mais il souligne que les criminels peuvent déjà faire de mauvaises choses, car ils disposent déjà beaucoup d’options disponibles.
L’utilisation de Tor est-elle complètement légale ?
Oui, il n’y a rien de douteux à vouloir naviguer en privé. Quoi qu’il en soit, personne n’a jamais été arrêté ou poursuivi pour avoir utilisé ce service, mais uniquement pour ce qu’il en faisait. Tor lui-même a publié dans sa foire aux questions qu’il ne s’agit pas d’un système conçu ou destiné à être utilisé pour enfreindre la loi.
Il est vrai que Tor a de nombreuses utilisations légitimes. Pourtant, il y a aussi d’autres raisons pour qu’un administrateur réseau souhaite bloquer tout le trafic basé sur ce réseau informatique au sein d’une entreprise.
Comme susmentionné, Tor pourrait être le moyen idéal pour les utilisateurs qui veulent couvrir leurs traces, mais son utilisation dans votre réseau informatique locale peut exposer votre organisation à certains risques.
La raison est que les criminels peuvent aussi avoir recours à Tor pour garder leurs communications privées. Dans la foulée, ils peuvent :
Contourner les contrôles de sécurité : en effet, Tor peut chiffrer tout le trafic sur votre réseau et rendre la surveillance de vos activités très difficile.
Voler des informations sensibles : les nœuds de sortie peuvent surveiller le trafic qui transite par les appareils de vos employés et capturer toute information non chiffrée telle que le login ou mot de passe.
Affecter la réputation de votre organisation : les personnes malveillantes qui gèrent les « nœuds de sortie » peuvent utiliser le nœud afin d’ajouter des malwares. Tout utilisateur qui télécharge un contenu web via Tor pourrait donc exposer votre réseau d’entreprise à un risque d’infection par des malwares.
Mener une attaque par déni de service (DDoS) : rappelons que le trafic via le réseau Tor peut entraîner une forte utilisation de la bande passante de votre réseau d’entreprise. Ceci peut exposer en permanence votre organisation à une attaque DDoS, laquelle peut rendre votre serveur, un service ou une infrastructure indisponible.
Exemple d’une menace liée à l’utilisation du navigateur Tor
En avril 2015, l’administrateur du service de messagerie électronique Sigaint – un service très populaire sur le Darknet – avait averti ses utilisateurs que Sigaint était devenu la cible d’un organisme gouvernemental qui tentait de le compromettre.
Le groupe derrière cette attaque avait tenté de pirater le service en utilisant environ 70 nœuds de sortie TOR corrompus.
À noter que, en plus de fournir l’anonymat aux utilisateurs qui naviguent sur l’Internet public, Tor fournit également un moyen pour les internautes d’héberger des sites web au sein de Tor lui-même.
Ce service est appelé « services cachés ». En effet, il s’agit des adresses qui se terminent par .oion, à l’instar du service caché de Facebook, https://facebookcorewwwi.onion. Pour accéder à l’un de ces sites, l’utilisateur doit se connecter au réseau Tor.
Pour notre cas, Sigaint a aussi fourni un service caché en .oion, accessible via l’adresse à l’adresse http://sigaintevyh2rzvw.onion. Le problème est que les adresses en .oion étaient générées par un algorithme de hachage. Elles avaient donc tendance à être difficiles à retenir pour les utilisateurs.
Pour faciliter l’accès des utilisateurs de Tor à ce service caché, Sigaint a publié un lien sur son site Internet public. De cette manière, les internautes pouvaient naviguer vers le site public plus facile à retenir et donc d’avoir accès à leur compte de messagerie électronique totalement dans l’anonymat via le réseau sécurisé de Tor.
Même si cette mesure semblait une bonne idée, ce n’était pas vraiment le cas !
Le problème est que les utilisateurs de Tor pouvaient cliquer sur un lien dans une réponse HTML en texte clair ayant transité par un nœud de sortie Tor. Mais toutes les personnes qui participent à ce réseau n’étaient pas des gens bien.
En réalité, un pirate avait configuré au moins 70 nœuds de sortie, soit environ 6% du nombre total de nœuds de sortie à l’époque, afin de réécrire le lien .oion de Sigaint dans la réponse HTML vers un lien qui semblait similaire. Pourtant le lien n’était pas le même et il redirigeait les utilisateurs vers un service caché complètement différent.
Ce service caché malveillant avait agi comme un proxy inverse du service caché légitime de SIGAINT.
Ainsi, tout utilisateur ayant accédé à sa boîte aux lettres Sigaint via le service caché malveillant n’était pas conscient que leurs activités étaient surveillées par des gens qui, à ce stade, étaient encore inconnus.
Les conséquences étaient non négligeables ?
Pour certains des utilisateurs qui avaient utilisé le service caché malveillant Sigaint, les mots de passe ont été compromis. Il était impossible de déterminer précisément le nombre d’utilisateurs de Sigaint ayant été ciblés lors de cette attaque.
Celle-ci a été facilitée par le fait que Sigaint n’utilisait pas SSL sur sa page publique.
Pour la contrer, les administrateurs de Sigaint devaient donc envisager de transformer le système de chiffrement qu’ils avaient utilisé puis de retirer l’URL en .onion de la page officielle de sigaint.org.
Ils étaient également contraints d’ajouter un support SSL pour le site grand public. Bien qu’elle n’empêche pas les risques d’attaques futures, cette mesure permet tout de même de contribuer à augmenter la difficulté pour les attaquants de compromettre le serveur de votre entreprise. Pour leur part, les utilisateurs du service Tor devaient changer leur mot de passe.
Comment empêcher Tor d’accéder à votre réseau ?
Il faut d’abord souligner qu’il est difficile de détecter et bloquer Tor dans votre réseau d’entreprise.
Vos administrateurs devraient donc envisager de déployer plus d’une solution afin d’augmenter les chances d’empêcher l’utilisation de ce service dans votre réseau. La raison est que Tor ne fournit pas seulement du chiffrement.
Il peut également ressembler au trafic HTTPS normal, rendant ainsi les communications via ce service difficiles à identifier. Dans ce qui suit, nous allons donc tenter de vous proposer quelques mesures d’atténuation pour vous rapprocher du but.
Empêchez les utilisateurs d’installer Tor : pour ce faire, il est recommandé de mettre en place des systèmes de contrôle de sécurité limitant les droits d’accès des utilisateurs à un ordinateur. Ceci contribuera à empêcher l’installation de dispositifs ou de logiciels non autorisés.
Développez une liste noire des nœuds Tor : vous pouvez également stopper tous les trafics sortants liés à Tor. Cela peut se faire au niveau des pare-feu, en créant une règle explicite de refus de sortie basée sur les adresses IP de votre liste noire. De cette manière, vous pourrez également établir un journal de tous les hôtes pouvant tenter de se connecter avec les nœuds Tor. Vous pouvez constituer votre liste noire en utilisant des ressources en ligne telles que https://www.dan.me.uk/tornodes.
Bloquez tout le trafic par le biais des certificats numériques autosignés : en réalité, Tor fait appel à des certificats SSL autogénérés pour chiffrer le trafic entre les serveurs et les nœuds. Si vous bloquez tout le trafic SSL sortant qui utilise des certificats SSL autosignés sur votre réseau, cela vous aidera à empêcher l’utilisation de Tor.
Conclusion
Que vous soyez un employé ou un chef d’entreprise, il est facile de comprendre que vous soyez impatient d’expérimenter toutes les possibilités offertes par le service Tor. Néanmoins, sachez que certaines de ces possibilités peuvent vous exposer (ou exposer votre entreprise) à de grands risques.
Ce qu’il faut retenir, c’est que la confidentialité n’est pas toujours synonyme de sécurité. Le service Tor ne peut garantir que vous serez à l’abri des cyberattaques que lorsque vous utiliserez son navigateur. De plus, la détection de l’utilisation de Tor sur votre réseau n’est pas une tâche facile, même si le filtrage des adresses IP pourrait réduire le risque.
Bien entendu, les développeurs de Tor sont conscients de ces risques. C’est pour cela qu’ils tentent d’améliorer en permanence leur logiciel afin de faciliter la protection des utilisateurs. D’autre part, votre entreprise doit mettre en œuvre des politiques de détection généralisées, accompagnées de sensibilisations, voire de sanctions sévères pour l’exécution d’applications non approuvées.
Questions fréquentes sur Tor et le Dark Web
Comment installer Tor ?
Ce navigateur est basé sur Firefox de Mozilla. En fait, les développeurs de Mozilla et de Tor ont collaboré pour mettre en œuvre ce système. Pour télécharger le pack de navigation Tor, il vous suffit de faire une recherche sur ce navigateur et d’exécuter le fichier téléchargé. Ceci étant fait, vous devez extraire le navigateur Tor dans le fichier téléchargé dans le dossier de votre ordinateur (ou de votre clé USB). Enfin, vous devez ouvrir le dossier et cliquer sur « Start Tor Browser ».
Pourquoi le dark web est-il caché?
Les dossiers personnels ainsi que les documents gouvernementaux ne doivent pas être accessibles au public. Il faut donc les garder en lieu sûr. Cependant, les organisations, comme les PME, doivent toujours se connecter à Internet. Le dark web peut dans ce cas être exploitée pour rendre leurs informations sensibles privées. Malheureusement, d’autres personnes ont profité du dark web pour qu’il devienne un lieu où ils peuvent effectuer de nombreuses activités illégales.
Tor est-il une solution facile à utiliser ?
Bien entendu, mais son utilisation peut causer différentes sortes de désagréments.
Est-ce une solution fiable ?
Tor peut éliminer l’historique de votre navigateur. Il peut aussi effacer d’autres données comme les cookies. Cette solution est idéale pour masquer votre identité, mais il ne cache pas votre position. La meilleure solution est d’utiliser un VPN avec Tor. De cette manière, vous pouvez accéder au web et masquer votre origine, votre emplacement, etc.
Pouvez-vous utiliser Tor avec les appareils mobiles ?
Oui, Tor est actuellement disponible en version stable pour les appareils mobiles comme les Smartphones (via Google Play). Il faut toutefois noter qu’il n’est pas encore accessible via les systèmes d’exploitation iOS, car Apple a mis en œuvre certaines restrictions. Cette marque recommande d’utiliser une autre application appelée Onion Browser.
La pandémie du COVID-19 est une aubaine pour les cybercriminels.
Ils l’ont exploitée avec vigueur, notamment pour mener des campagnes de phishing. Le phishing est une forme d’escroquerie consistant à tromper quelqu’un et l’amener à accomplir une action.
Des techniques d’ingénierie sociale ont été utilisées pour inciter les gens à ouvrir des pièces jointes à des e-mails malveillants, à cliquer sur des liens pointant vers des sites web où des informations sensibles peuvent être volées par les pirates, ou à prendre d’autres mesures comme faire des dons à de fausses organisations caritatives.
Au début de la pandémie, alors que l’on ne savait que peu de choses sur le virus – comme son mode de propagation, le risque d’infection, ou encore la maladie qu’il pourrait provoquer – le public était dans l’ignorance et avait soif d’informations.
C’était l’occasion parfaite pour les cybercriminels de mener des attaques de phishing et d’autres cyberattaques.
La cybercriminalité en hausse avec le COVID-19
Récemment, l’Organisation des Nations unies a publié les données qu’elle a recueillies sur les attaques de phishing utilisant divers thèmes liés au COVID-19.
Il y avait eu une augmentation de 350 % du nombre de nouveaux sites de phishing au cours du premier trimestre de l’année, dont beaucoup étaient liés à la santé et visaient les établissements de soins et santé ainsi que les hôpitaux.
Les recherches menées par Check Point ont également révélé une augmentation importante des enregistrements de domaines liés au COVID-19. Les recherches ont montré qu’entre février et fin avril, le nombre d’attaques de phishing était passé d’environ 5 000 par semaine à plus de 200 000 par semaine. La plupart de ces attaques étaient liées au COVID-19.
Au début de l’année, le manque de connaissances sur le COVID-19 et sur le virus SRAS-CoV-2 a donné lieu à des campagnes de phishing à grande échelle, impliquant des millions de messages malveillants.
Les cybercriminels ont réorienté leurs campagnes normales et ont commencé à utiliser des sites web et des leurres sur les thèmes liés au COVID-19.
Les e-mails de phishing offraient des informations sur le virus, sur les remèdes possibles et offraient d’autres conseils pour éviter l’infection. Lorsqu’il y avait une pénurie d’équipements de protection individuelle, des leurres de phishing étaient également utilisés, lesquels proposaient des fournitures et des kits de test à bas prix.
Maintenant que l’on dispose de plus d’informations sur le virus et que les cas et les pénuries d’EPI ont été largement traités, les escroqueries de phishing liées au COVID-19 ont évolué.
Une étude menée par ProPrivacy a montré que les attaques de phishing liées au COVID-19 sont loin de disparaître. Les cybercriminels reviennent à leurs anciennes tactiques comme l’utilisation de fausses factures.
Ces campagnes sont toujours en cours, mais elles sont devenues plus ciblées et plus sophistiquées. Elles offrent des réponses aux nouvelles questions soulevées par le public, comme celle de savoir s’il est sûr ou non pour les enfants de retourner à l’école.
En outre, une étude menée par VirusTotal, en partenariat avec WHOIS XML, a permis d’identifier que 1 200 domaines liés aux COVID étaient encore enregistrés chaque jour. Une analyse d’un échantillon de 600 000 de ces domaines a révélé qu’environ 125 000 d’entre eux étaient malveillants et étaient principalement utilisés pour le phishing.
Nous pouvons nous attendre à une nouvelle vague d’e-mails et de sites web de phishing liés aux vaccins contre le virus lorsqu’ils commenceront à être commercialisés.
Des précautions nécessaires à prendre contre le phishing et les malwares
Comme la menace n’a pas disparu et qu’elle risque de persister pendant un certain temps, il est important de rester sur ses gardes et de faire preuve de prudence avec tous les e-mails reçus, en particulier ceux liés au COVIID-19.
Les entreprises doivent également prendre des précautions supplémentaires pour s’assurer que leurs employés et les appareils qu’ils utilisent sont protégés.
La plupart des entreprises ont déjà mis en place différentes sortes de solutions de filtrage du spam pour bloquer les e-mails de phishing, mais il est peut-être temps de les revoir.
Si des spams et des e-mails de phishing continuent d’atteindre les boîtes de réception de vos employés, envisagez de mettre en place une solution alternative ou un filtre antispam tiers si vous utilisez Office 365 et que vous comptez sur Exchange Online Protection pour la protection contre le spamming et le phishing.
L’une des mesures antiphishing les moins utilisées par les entreprises est le filtre web. Ce dernier permet aux entreprises de contrôler les sites et pages web que leurs employés peuvent visiter. Les filtres web, tels que WebTitan, bloquent l’accès aux sites web malveillants, comme ceux connus pour être utilisés pour le phishing.
Les filtres web catégorisent également les sites web et permettent de bloquer certaines catégories. En contrôlant soigneusement le contenu du web auquel les employés peuvent accéder, les entreprises seront beaucoup mieux protégées contre les attaques de phishing et d’autres types de cyberattaques.
Il est également fortement recommandé de mettre en œuvre une authentification à deux facteurs, qui assurera une protection en cas de compromission des informations d’identification lors d’une attaque de phishing.
Si vous souhaitez obtenir plus d’informations sur le filtrage web WebTitan, ou si vous souhaitez améliorer de votre filtre antispam, appelez l’équipe de TitanHQ dès aujourd’hui.
