En 2015, les attaquants russes ont pu causer des pannes d’électricité qui ont affecté 230 000 résidents à cause de logiciels de contrôle à distance distribués via des attaques de spear-phishing.
Ce fut un évènement sans précédent, rappelant aux organismes gouvernementaux et aux services publics ce que les pirates informatiques peuvent faire plus que simplement de voler des données. Les attaques avaient affecté les infrastructures et ouvert la voie à de futures attaques contre les systèmes de contrôle et d’acquisition de données (SCADA).
La nouvelle cyberattaque en mars contre le réseau électrique américain
L’attaque qui s’est produite en mars contre l’infrastructure des services publics américains a mis en évidence que les organisations fédérales devraient prendre des précautions pour se protéger contre les menaces cybercriminelles courantes. Ladite attaque a profité des erreurs de configuration du pare-feu pour permettre à un attaquant de redémarrer en continu le système informatique.
Les pannes n’ont été que très brèves (à cinq minutes d’intervalle), mais le problème a persisté pendant 10 heures. L’attaque n’a pas été aussi dévastatrice que celle qui s’est produite en Ukraine, mais elle a rappelé que les paramètres du pare-feu et du firmware (micrologiciel) devaient toujours être revus régulièrement pour pouvoir les corriger en cas de besoin et pour éviter les éventuelles menaces cybercriminelles.
La North American Electric Reliability Corporation (NERC) a publié un document sur les « leçons apprises » de cette attaque. Ce document a rappelé ce qui s’était réellement passé et ce que l’organisation ciblée a fait pour remédier à l’incident. Le document a révélé que le problème était lié aux vulnérabilités des pare-feu. Plusieurs kits d’exploitation ont été ainsi exécutés via des scripts accessibles à toute personne, même celles qui ont des compétences limitées pour pouvoir les exécuter. Pourtant, ces kits d’exploitation pouvaient être utilisés par les pirates pour détecter les erreurs de configuration de l’infrastructure.
Mise à jour des pare-feu à l’aide des derniers firmwares
Au fur et à mesure que les entreprises se développent, il n’est pas rare que le personnel informatique perde le contrôle de l’infrastructure sur l’ensemble du réseau. Chaque pare-feu doit être vérifié et testé pour déceler les vulnérabilités, mais surtout pour rechercher les problèmes connus. Quant aux fabricants, ils publient souvent les problèmes de cybersécurité trouvés dans les infrastructures et les solutions adaptées pour les corriger. Si les services informatiques des entreprises ne tiennent pas compte des dernières menaces, des correctifs et des nouvelles solutions offertes par les fabricants, leur organisation pourrait être exposée à des attaques connues.
Il est essentiel que le personnel des services informatiques prenne toujours le temps d’examiner et de vérifier vos équipements. Les attaquants créent des scripts qui analysent des milliers de machines à la recherche de vulnérabilités. Puis, les scripts peuvent être rendus publics, ce qui permet aux attaquants, même ceux qui ne disposent pas d’une connaissance approfondie en informatique, de les exécuter et affecter les infrastructures informatiques. Et sachez que les attaquants non qualifiés peuvent causer autant de problèmes que ceux qui sont qualifiés lorsque des scripts publics sont disponibles.
Leçons apprises par le NERC qui peuvent aider d’autres organismes
Les dispositifs concernés étaient tous des équipements périmétriques. En effet, il s’agissait de routeurs critiques orientés vers le public et qui ont été utilisés pour empêcher le trafic de se répandre sur le réseau privé. Ces dispositifs font souvent l’objet d’analyses continues lorsque des attaquants du monde entier cherchent des vulnérabilités. Le personnel informatique peut cependant identifier les risques en matière de cybersécurité. L’examen des journaux et la mise en place de notifications devraient, par exemple permettre de détecter toute fuite suspecte de trafic du réseau local.
Après avoir lu les journaux, le personnel informatique en charge de la gestion de l’infrastructure des services publics américains a pu déployer rapidement un correctif qui a arrêté les redémarrages non autorisés du système. Les redémarrages eux-mêmes n’ont pas causé de problèmes perceptibles au niveau des consommateurs, mais ils ont coupé les communications entre les composants des services publics et les ingénieurs. Si les attaquants ont pu remarquer des temps de réponse lents de la part des utilisateurs et des responsables informatiques, ils pourraient lancer des attaques plus critiques contre l’infrastructure, causant des dégâts importants liés à une panne de courant sur un réseau.
Les pare-feux périmétriques sont des mécanismes mondiaux de défense pour la cybersécurité, de sorte que les leçons tirées de l’incident du NERC peuvent être appliquées à toute organisation. La première leçon à tirer est de toujours vérifier et corriger les pare-feu. Le personnel informatique peut passer en revue les fournisseurs de pare-feu spécifiques à l’équipement qu’ils utilisent ou consulter le site Common Weakness Enumeration pour être à l’affût des derniers problèmes connus en matière de cybercriminalité.
Avant de déployer toute solution, y compris les correctifs, le personnel informatique doit aussi tester les impacts des changements dans leur environnement informatique. En effet, les correctifs qui présentent des erreurs de configuration peuvent aussi être des sources de vulnérabilités que les attaquants peuvent exploiter.
Limitation de la surface d’exposition
La plupart du temps, les organisations disposent d’une zone démilitarisée (DMZ) où l’équipement destiné au public est placé à l’extérieur du réseau interne, mais ce concept a des limites. Seuls les systèmes nécessaires au public devraient se trouver à l’extérieur des pare-feux périmétriques.
Tout employé ou fournisseur qui a besoin d’accéder au réseau interne de l’extérieur devrait utiliser un VPN. Ceci protégera l’infrastructure informatique contre l’écoute clandestine où les attaquants pourraient éventuellement obtenir des identifiants d’utilisateur au cas où il accèderait au réseau local.
Enfin, les configurations de pare-feu doivent utiliser des listes de contrôle d’accès ou « Access Control List » pour ne permettre qu’aux utilisateurs autorisés d’accéder à votre infrastructure informatique. Utilisez une liste blanche d’adresses IP (si possible) pour limiter le trafic entrant et empêcher l’accès à partir de lieux inconnus. Les règles de pare-feu devraient pouvoir bloquer tout le monde, sauf les adresses IP sur la liste blanche, ce qui arrête de nombreuses attaques, y compris celle qui s’est produite récemment contre sur le réseau américain.
La sécurité à plusieurs niveaux est essentielle
Pour réussir, une cyberattaque doit contourner tous les systèmes de sécurité que vous aurez mis en place. Cela exige souvent des connaissances et de la persévérance de la part des pirates informatiques. Aujourd’hui plus que jamais, les professionnels de l’informatique ont donc besoin de redoubler de vigilance et superposer plusieurs couches de sécurité. Seule une approche de sécurité à plusieurs niveaux peut vous fournir la protection dont vous avez besoin contre les cybermenaces qui sont de plus en plus sophistiquées.
Vous savez peut-être déjà que les demandes de rançon et leur impact dévastateur sur les organisations sont toujours en hausse. Mais ce que vous ne savez peut-être pas, c’est que les attaquants se sont récemment concentrés sur les établissements scolaires de la maternelle à la terminale.
Au cours des dernières années, certains établissements scolaires et hospitaliers ont été forcés de payer la rançon lorsque les ransomwares ont infesté leurs réseaux. Alors que les hôpitaux étaient la cible d’attaques il y a des années, les agresseurs se sont tournés vers le système scolaire.
Incidents récents liés à la cybersécurité dans les établissements scolaires
L’établissement scolaire Flagstaff Unified School District a été récemment victime d’attaques de rançon. Peu de temps après, les cybercriminels se sont acharnés sur les établissements scolaires du Connecticut. Les attaques qui ont été menées dans le Connecticut ont été signalées comme étant deux attaques distinctes sur une période de quatre mois. Les écoles touchées par des ransomwares ont été mal équipées pour faire face aux attaques, et les élèves ont dû être renvoyés chez eux. Non seulement ces attaques ont affecté les horaires habituels de classe, mais elles ont aussi menacé de détruire des données critiques concernant les élèves et les enseignants.
Les établissements scolaires sont les organisations sur lesquelles les pirates informatiques se sont récemment concentrés. Au cours des dernières années, les chercheurs en cybersécurité ont constaté une augmentation des attaques de ransomwares. De nombreuses entités gouvernementales sont également mal formées concernant les risques lorsqu’ils sont victimes d’un e-mail de phishing.
Les employés des établissements scolaires disposent généralement des bases de données centralisées qui pourraient aussi être mal sécurisées. Le problème est que les ransomwares peuvent chiffrer n’importe quoi à partir de ces données, y compris les e-mails, les fichiers et d’autres informations contenues dans des répertoires partagés.
Lorsque les données sont chiffrées par des logiciels malveillants, cela entraîne des temps d’arrêt critiques pour n’importe quelle organisation et les entités gouvernementales. À cause de cela, les enseignants ne peuvent pas accéder à des informations sensibles et les notes des élèves ne peuvent pas être enregistrées. Il est également possible que les systèmes de paiement ne fonctionnent plus et l’organisation doit accepter de l’argent en utilisant des paiements par chèque. Par ailleurs, les élèves ne peuvent pas vérifier leurs notes, s’inscrire en classe ou communiquer avec les enseignants. Bref, lorsqu’elles sont victimes d’une grave attaque de ransomwares, les organisations ne peuvent plus fonctionner.
Qu’est ce qui motive les cybercriminels à lancer des attaques contre les établissements scolaires ?
Dans la plupart des attaques, les cybercriminels ont deux motifs, soit de voler des données ou de les chiffrer dans le but de gagner de l’argent contre une rançon.
En réalité, les données volées peuvent être utilisées à plusieurs fins. La première est de les vendre sur le Dark Web. Les numéros de sécurité sociale des étudiants sont précieux, alors un pirate informatique peut les collecter pour ensuite les vendre. Il peut également conserver les données et les utiliser pour d’autres attaques telles que le phishing. Si des informations d’identification sont incluses dans les données volées, les attaquants pourraient lancer des attaques sur d’autres comptes et réaliser un gain monétaire non négligeable.
Le deuxième objectif est de faire de l’argent avec la rançon. Plusieurs organisations ont déjà dû payer des milliers de dollars en utilisant la cryptomonnaie comme moyen de cacher leur identité afin que les forces de l’ordre ne puissent retracer les transactions jusqu’à l’agresseur. L’utilisation de la cryptomonnaie avec les ransomwares rend le suivi presque impossible. Mais la question est de savoir pourquoi les organisations choisissent parfois de payer la rançon plutôt que de trouver d’autres moyens de récupérer leurs données.
Les entreprises qui disposent des budgets suffisants ont la possibilité de former leurs employés quant aux dangers que représentent les attaques de phishing et de malwares. Les établissements scolaires ne disposent pas assez de financement, de sorte que les cybercriminels peuvent supposer qu’aucun budget n’a été alloué à la formation en cybersécurité.
Comment se protéger contre les ransomwares ?
Les attaques de ransomwares commencent principalement par le phishing. Les cybercriminels usurpent les adresses d’expéditeurs d’e-mails, en ciblant des destinataires ayant des privilèges élevés. Même les utilisateurs peu privilégiés peuvent être choisis comme des cibles potentielles lorsque l’objectif principal est de chiffrer des fichiers pour gagner de l’argent. Des pièces jointes et des liens pointant vers des sites malveillants peuvent être utilisés pour inciter les utilisateurs à télécharger le malware.
Les attaques peuvent être multiformes, car le contenu malveillant peut télécharger des malwares supplémentaires et donner aux attaquants le contrôle à distance de vos infrastructures. Pour lutter contre les attaques de phishing, il existe deux solutions.
La première solution consiste à utiliser de filtres intelligents basés sur l’intelligence artificielle. Ces filtres utilisent une combinaison de paramètres de sécurité de messagerie standard (appelés DMARC) et d’intelligence artificielle pour identifier les e-mails malveillants. Les messages sont mis en quarantaine où les administrateurs peuvent les examiner dans le but de rechercher les malwares et les supprimer du réseau ou (dans le cas d’un faux positif) les envoyer au destinataire prévu.
Comme alternative, vous pouvez aussi mettre en place un système de filtrage de contenu basé sur le DNS. Ce système de cybersécurité bloque l’accès aux adresses IP reconnues pour distribuer des malwares ou pour mener des attaques de phishing. Si un employé reçoit un e-mail contenant un lien malveillant, le système de filtrage de contenu basé sur le DNS empêche le destinataire d’accéder au site web malveillant.
En utilisant à la fois le filtrage de contenu basé sur le DNS et les systèmes de sécurisation des e-mails, une organisation peut réduire considérablement les cybercriminalités. Les organisations doivent réagir avant les attaques cybercriminelles. Au lieu de cela, elles devraient être proactives et mettre en œuvre des solutions qui luttent contre les ransomwares et les malwares.
Si vous êtes un professionnel de l’informatique travaillant dans le secteur de l’éducation, contactez-nous et un ingénieur chevronné examinera vos besoins et vous fournira des conseils pratiques pour sécuriser votre organisation. Tous nos clients bénéficient d’un support technique gratuit pendant la période d’essai de notre logiciel de sécurisation de données.
Imaginez le scénario suivant : vous allez sur le site web de votre banque tel que www.safebank.com pour vérifier le solde de votre compte et peut-être payer certaines factures. Lors de ce processus, vous faites une faute d’orthographe et vous tapez par inadvertance www.safebakn.com, en mettant le « k » avant le « n ». Pourtant, vous atterrissez sur un site qui semble habituel, que vous connaissez depuis plusieurs années. Alors, vous cliquez sur le lien de connexion et tapez votre nom d’utilisateur et votre mot de passe. À partir de ce moment, vous êtes redirigé sur une nouvelle page où l’on vous pose une question d’authentification telle que le nom de votre père. Vous tapez la réponse et cliquez sur le bouton « Envoyer ».
Vous êtes alors dirigé vers une page qui déclare qu’une erreur s’est produite et vous devez vous connecter à nouveau. Vous cliquez sur le bouton « Réessayer » et vous êtes redirigé vers la page légitime www.safebank.com, puis vous répétez le processus de saisie de votre nom d’utilisateur et de votre mot de passe. Heureusement, le processus de connexion est réussi cette fois-ci et vous avez désormais accès à votre compte.
Deux jours plus tard, vous vous reconnectez et constatez un retrait non autorisé de 2 000 $. Malheureusement, ce scénario n’est pas aussi farfelu que vous pourriez le penser. Ce n’est qu’un exemple classique de typosquatting, ou littéralement typosquattage. Une forme de détournement d’URL qui repose sur des erreurs typographiques commises par des utilisateurs finaux et qui les dirigent vers un faux site web. Ce genre de site est souvent créé pour mener des attaques malveillantes.
Les cybercriminels ciblent souvent les banques ou les sites e-commerce et achètent des noms de domaine composés d’une ou deux lettres incorrectes, comparés aux noms de domaines originaux. Ces URL dirigent les clients qui ont accidentellement mal tapé le nom de domaine désiré vers le serveur web du cybercriminel qui héberge un site malveillant.
Comment fonctionne le typosquatting étape par étape ?
Le typosquattage est une méthode utilisée par les arnaqueurs pour tirer profit des noms de domaine fréquemment mal orthographiés, créant souvent des domaines dupliqués, ressemblant à ceux des marques légitimes.
En lisant le scénario ci-dessus, vous vous demandez peut-être comment le faux site a su poser la question de sécurité appropriée. Était-ce juste une supposition de la part du cybercriminel ? La réponse est non. Dès que le client entre ses identifiants de connexion pour la première fois, le faux site a simultanément ouvert une session et entré les mêmes identifiants de connexion sur www.safebank.com.
Étant donné que cette tentative de connexion a été effectuée à partir d’une adresse IP non reconnue, le faux site s’est vu poser la question d’authentification à double facteur (pour notre cas, il s’agit du nom du père de la victime). En réalité, le faux site web n’a fait que transmettre la question d’authentification posée sur le site www.safebank.com à l’utilisateur.
Après avoir saisi toutes les informations pertinentes, le faux site web a affiché une page d’erreur. Lorsque le client clique sur le lien pour répéter le processus de connexion, il est redirigé vers le site web légitime de la banque, ce qui explique le succès de la connexion. Malheureusement, le cybercriminel a peut aussi ouvrir cette même session et retirer de l’argent facilement via le compte du client.
Les ventes de nom de domaines sont en constante augmentation
Force est de constater que l’utilisation des noms de domaines de premier niveau les plus populaires tels que « .com » et « .net » diminue progressivement.
Par contre, l’utilisation du nom de domaine « .om » est en constante augmentation. Comme on pouvait s’y attendre, la majorité de ces achats ne provenaient pas de citoyens du pays d’Oman ou du Moyen-Orient, qui possèdent le domaine de premier niveau légitime « .om ». L’une des raisons les plus probables est l’augmentation du nombre d’attaques du type « typosquattage. »
Comment vous protéger contre le typosquatting ?
Alors, comment prévenir un tel scénario ? En réalité, c’est très simple : il suffit de la diligence de l’entreprise qui est attaquée et peu d’attention de la part de l’utilisateur.
Voici comment vous pouvez vous protéger du typosquattage en 3 étapes :
Prise de conscience
Bien sûr, l’utilisateur aurait dû remarquer qu’il avait mal tapé le nom de domaine dans le navigateur, mais il aurait aussi dû remarquer que l’adresse n’utilisait pas SSL. Le faux site web aurait été présenté avec le préfixe « HTTP », car une connexion SSL aurait échoué en raison de l’absence de ce certificat de confiance.
Lorsque le client était redirigé vers le bon site web, le préfixe « HTTPS » ou l’icône d’un cadenas devrait apparaître correctement, indiquant un site de confiance et une connexion sécurisée. Le fait est que nous devons tous être plus vigilants lorsque nous accédons à des sites web qui nécessitent une authentification afin de protéger la confidentialité et l’intégrité des données.
Tout comme les gens devraient faire attention pour ne pas se faire voler leurs portefeuilles dans des environnements surpeuplés, les clients du web doivent être conscients de la sécurité de leur navigateur.
Sécurité Internet
Obtenez une suite de sécurité Internet complète pour vous protéger contre les tentatives de phishing, des virus, des ransomwares et d’autres types de malwares. À noter que les solutions de sécurité Internet de WebTitan peuvent bloquer les malwares et les empêcher de compromettre vos systèmes ou de voler vos données.
Sécurisation de votre site Web contre la capture d’iframe.
L’autre mesure que les entreprises peuvent prendre est de renforcer la sécurité de leur site web à partir de la capture iframe, un moyen trop simpliste pour une personne malveillante de capturer le contenu web et les liens d’un autre site. Les développeurs de sites internet doivent mettre en pratique des méthodes de chiffrement sûres afin de décourager le typosquattage et la duplication de contenu.
Si vous voulez en savoir plus sur notre gamme de solutions de sécurité, obtenez un devis d’essai gratuit et sans obligation en nous envoyant un e-mail à l’adresse info@titanhq.fr.
Le service populaire de voIP avec Skype a, une fois de plus, fait la une des journaux ces derniers temps. Cela fait suite à une série de nouvelles allégations selon lesquelles sa politique de récupération de compte peu fiable offrait aux pirates informatiques de nombreuses opportunités d’accéder illégalement à de nombreux comptes Skype.
À noter que Skype compte actuellement environ 700 millions d’utilisateurs dans le monde, et ce nombre ne cesse d’augmenter.
Comment fonctionne Skype ?
Skype est sorti en 2003. Il a été conçu par des développeurs estoniens. Le service permet aux utilisateurs de communiquer avec leurs amis, leur famille et leurs collègues en utilisant une webcam, un microphone et la messagerie instantanée.
Skype est un service permettant aux utilisateurs de Smartphones, de PC et de tablettes du monde entier de communiquer avec d’autres utilisateurs de l’application via la vidéo ou la voix.
Téléphoner gratuitement et simplement via Internet
C’est en effet l’ambition des développeurs de Skype au début. Et on peut dire qu’ils ont bien tenu leurs promesses marketing. Il n’était donc pas étonnant qu’en 2005, le programme ait été téléchargé 1,5 million de fois. Cette même année, la marque Ebay a acquis Skype et six années plus tard, c’est au tour de Microsoft de l’acquérir pour une impressionnante somme d’environ 7,58 milliards d’euros, en intégrant Skype à sa suite Office.
Le service permet aux utilisateurs de se parler avec des téléphones fixes et mobiles, moyennant des frais. Par ailleurs, le service dispose d’une messagerie instantanée intégrée et de fonctions de transfert de fichiers.
Pour utiliser Skype, les utilisateurs doivent télécharger un logiciel qui est compatible avec les systèmes d’exploitation Mac et Windows ou avec les applications iOS et Android.
Lorsque vous créez un compte Skype, votre mot de passe et votre nom d’utilisateur sont enregistrés à la fois sur l’appareil sur lequel vous vous connectez et sur les serveurs de Skype.
Cela permet d’authentifier ultérieurement les destinataires des appels et de s’assurer que les appelants qui souhaitent s’authentifier puissent accéder à nouveau à Skype.
Un concept basé sur le P2P
Skype reposait initialement sur un protocole de peer-to-peer (P2P), ce qui permettait à ses utilisateurs d’échanger de la voix et de différents types de données entre eux, sans l’intervention d’un tiers. De cette façon, les informations échangées étaient chiffrées, ce qui garantissait une forte protection de la vie privée aux utilisateurs de l’application.
De nos jours, selon la marque, tous les transferts de voix, de vidéo, de messages instantanés et de fichiers entre les utilisateurs Skype sont encore chiffrés. Cela les protège contre d’éventuelles écoutes téléphoniques par des pirates.
Skype est un outil puissant pour communiquer
Skype est un outil de communication qui vous permet de communiquer ou de travailler ensemble, où que vous soyez :
Skype permet d’effectuer des appels voix/vidéo, des visioconférences, des présences et des messages instantanés dans un seul et même client facile à utiliser.
Vous pouvez facilement partager des documents et des présentations via Skype.
Vous pouvez utiliser Skype à partir de votre PC, tablette et Smartphone avec une prise en charge de Windows, Mac, iOS, Android et Windows Phone. Dans un premier temps, le support sera disponible pour Windows.
Un système qui continue à être maintenu par le fournisseur.
Un meilleur partage d’écran, y compris la possibilité de contrôler les documents d’un autre utilisateur
Des appels de groupe faciles sans pont.
Des informations sur l’occupation de votre agenda Outlook.
Sauvegarde de l’historique des chats dans Outlook.
L’un des premiers avantages de Skype pour les entreprises est qu’il permet de limiter le montant qu’une entreprise dépensera sur ses factures de téléphone. Premièrement, ça facilite grandement les échanges internationaux. Et comme le travail à distance implique de ne pas être à proximité de vos collaborateurs et clients, les applications de vidéoconférence sont essentielles pour garder un minimum de contact humain.
Malheureusement, Skype est aussi une cible facile pour les pirates
Force est de constater que Skype est vieux. Ceci signifie qu’il y a beaucoup de comptes qui ont été abandonnés. Au cas où un pirate informatique parviendrait à détourner l’un de ces anciens comptes, il pourrait l’utiliser pour diffuser des malwares et des liens de phishing à toutes les personnes qui figurent sur la liste de contacts du compte. De plus, la plupart des utilisateurs de Skype ne vérifient pas leurs contacts et acceptent souvent les demandes d’inconnus.
Bien qu’il soit considéré comme un outil de communication vital pour de nombreux utilisateurs, Skype a également fait l’objet de plusieurs critiques au fil des ans, car ses fonctions de sécurité et de récupération de comptes ont subi quelques revers.
Par défaut, Skype peut par exemple enregistrer les détails de tous les appels (mais pas les appels eux-mêmes) puis les stocker dans un fichier « Historique ». L’historique des conversations se trouve sur votre appareil, ce qui ne constitue pas un problème en soi. Pourtant, si la sécurité de votre ordinateur, de votre tablette ou de votre Smartphone est compromise, les pirates pourront accéder à l’historique des conversations.
En 2016, la société de cybersécurité F-Secure a révélé que des pirates informatiques se faisaient passer pour des fonctionnaires américains qui offraient leur aide à des ressortissants suisses pour trouver des informations sur la façon de déposer une demande de visa pour visiter les États-Unis. Les escrocs ont réussi à piéger plusieurs victimes pour qu’elles téléchargent le malware QRAT.
Un autre malware Rietspoof a également été diffusé principalement via le spam Skype. Il s’agissait d’un cheval de Troie qui a été conçu pour infecter les systèmes d’exploitation afin qu’ils téléchargent des malwares plus puissants et plus intrusifs.
Selon l’utilisateur Skype et chercheur en sécurité @TibitXimer, son compte a été compromis jusqu’à six fois. Il a également prévenu que le compte de quiconque pourrait subir le même sort.
@TibitXimer a annoncé qu’un compte Skype peut être piraté facilement si l’attaquant parvient à :
Entrer en contact avec le support Skype
Fournir le prénom et/ou le nom de l’utilisateur
Proposer 3 à 5 contacts sur le compte Skype ciblé
Entrer une adresse e-mail qui a été associée à ce compte.
Afin d’argumenter ses propos contre ceux de Skype sur leurs mesures de sécurité, il s’est assuré de faire des captures d’écran lorsqu’il était en conversation avec un agent de support Skype.
Ces captures ont fourni la preuve que les agents ont seulement demandé les informations ci-dessus avant de vérifier le compte @TibitXimer.
Un problème similaire de détournement de compte a été découvert il y a cinq mois lorsqu’on a appris sur un site web russe que tout attaquant pouvait s’inscrire pour un nouveau compte avec un e-mail déjà utilisé.
A cause de cela, le pirate a pu continuer à configurer le compte pour recevoir les détails de la notification de sa victime.
Bien que Skype ait réussi à rectifier le problème peu de temps après, ce genre de failles de sécurité béantes ne devrait pas exister pour que des cybercriminels puissent en profiter.
Comment les cybercriminels piratent-ils un compte Skype ?
Ce que la plupart des gens ne savent pas, c’est que même si Skype est le leader mondial en matière d’envoi de messages et d’appels vidéo en direct, il est sujet à des actes de piratage, comme toute autre application de médias sociaux.
Les méthodes utilisées par les pirates pour pirater Skype vont de l’utilisation de programmes externes à l’utilisation d’étapes simples, mais tout aussi efficaces. En réalité, ces étapes ne nécessitent ni le téléchargement ni l’installation d’un programme supplémentaire.
Nous savons tous ce qui se passe lorsque le profil de réseau social ou le compte de messagerie d’un utilisateur est compromis. Mais savez-vous vraiment ce qui pourrait se passer si des pirates pouvaient obtenir l’accès à votre compte Skype ?
Les experts proposent diverses hypothèses comme :
l’utilisation des crédits Skype à des fins personnelles.
l’utilisation du compte de la victime comme un canal pour diffuser des liens malveillants ou des fichiers infectés.
l’utilisation des données comptables pour des services TDoS (Telephony Denial of Service) successifs.
Pour lancer les attaques, les pirates doivent tout simplement s’authentifier en utilisant un compte Skype usurpé, puis l’outil commencera automatiquement à utiliser le solde du compte et inondera le numéro de téléphone portable de la victime de messages multiples.
Nous avons également mentionné que le compte Skype peut être utilisé pour mener des campagnes malveillantes à grande échelle, en infectant les appareils des utilisateurs.
Un expert de Kaspersky Lab a récemment publié un article intéressant dans lequel il décrit un malware qui utilise Skype comme vecteur pour diffuser son code afin d’infecter des machines dans le but premier d’extraire de l’argent en Bitcoins.
Ce type de campagne malveillante est vraiment récent, et des chercheurs ont détecté une variante de malware utilisant le populaire VOIP Skype pour envoyer des messages aux utilisateurs. Pour ce faire, les pirates suggèrent à leurs victimes de cliquer sur un lien malveillant pour voir une image d’eux-mêmes en ligne.
Des milliers d’utilisateurs ont déjà été victimes de cette attaque et ont cliqué sur le lien malveillant proposé par Skype. Selon Kaspersky, environ 2000 clics par heure ont été constatés.
Bien entendu, ce n’est pas la première fois que Skype est utilisé pour diffuser des malwares.
D’autres campagnes ont déjà été utilisées pour diffuser des malwares en provenance du Venezuela, par exemple, en utilisant les mêmes techniques, mais dans un but différent.
Pour le dernier scénario, Skype a été utilisée pour soutirer des données comptables pour les services TDoS (Telephony Denial of Service) successifs.
Des experts en sécurité ont constaté une augmentation du nombre d’attaques TDoS contre les centres d’appel d’urgence. Aux Etats-Unis, le Département de la sécurité intérieure (DHS) et le Bureau fédéral d’enquête (FBI) ont émis une alerte sur les événements malveillants et sur la nécessité d’adopter les mesures appropriées pour les contrer.
Attaque DDoS contre Skype
En juin 2017, un groupe de cybercriminels a affirmé être à l’origine d’une panne de Skype et revendiquait la responsabilité des problèmes de connectivité ayant affecté la plate-forme au cours de deux jours. Plus précisément, la panne de Skype a commencé le lundi 19 juin à 19 h 1 GMT. De nombreux utilisateurs se sont plaints de ne pas pouvoir se connecter, passer des appels vocaux ou recevoir des messages. C’était le groupe de pirates CyberTeam qui a annoncé sur Twitter qu’il était responsable de l’attaque.
La panne de Skype a touché plusieurs pays d’Europe, l’Afrique du Sud, le Japon, l’Inde, le Pakistan et Singapour. Selon le service de surveillance Down Detector, Microsoft a déjà publié un blog concernant cette panne.
Selon les propos de Microsoft, il a eu connaissance d’un incident au cours duquel les utilisateurs ont perdu la connectivité à l’application ou étaient incapables de recevoir ou d’envoyer des messages. Certains utilisateurs ne pouvaient plus voir la barre noire, indiquant qu’un appel de groupe est en cours. De plus, les délais d’ajout d’utilisateurs à leur liste d’amis seraient plus longs.
Le mardi, à 20 h GMT, la marque a mis à jour le post, en annonçant qu’elle a fait quelques corrections de configuration et atténué l’impact. Elle affirmait également qu’elle continuait à surveiller la situation et qu’elle allait publier une mise à jour une fois le problème entièrement résolu.
Un second tweet du groupe CyberTeam a indiqué qu’il voulait ensuite cibler la plateforme de jeu numérique Steam.
Des spéculations ont eu lieu concernant le fait que la panne de Skype a été le résultat d’une attaque par déni de service distribué (DDoS). En fait, les attaques DDoS sont parmi les menaces les plus courantes pour démanteler des réseaux. Pour sa part, l’équipe de Skype n’a pas publiquement donné de détails sur ce qui se passait réellement.
Certaines attaques DDoS peuvent causer d’importants dégâts et perturber même les plus grandes entreprises. Quoi qu’il en soit, cela n’a pas affecté les informations privées des utilisateurs.
Des ransomwares peuvent être utilisés pour pirater les comptes Skype
Les utilisateurs de Skype, notamment ceux des pays occidentaux, se plaignaient des fausses annonces « flash » qui, lorsqu’on clique dessus, conduisaient à une attaque de ransomware.
Reddit a par exemple reçu de nombreux rapports qui indiquaient que l’écran d’accueil de Skype servait de terrain de jeu pour les malwares. Et la plupart des utilisateurs affirmaient qu’ils devaient quitter la plateforme de messagerie de Microsoft et trouver d’autres alternatives.
Selon Reddit, certains utilisateurs ont cliqué sur une publicité attrayante sur Skype, ce qui a conduit au téléchargement d’une application HTML, imitant une application légitime. Les utilisateurs qui ont ouvert l’application ont téléchargé une charge utile malveillante. Leurs ordinateurs ont été ensuite verrouillés lorsque des pirates informatiques ont réussi à chiffrer les fichiers dans le but d’obtenir une rançon.
Les utilisateurs qui utilisent l’application Skype de bureau sont désormais des cibles principales d’une telle attaque. Quant aux utilisateurs d’une application mobile, ils semblent être plus en sécurité.
Actuellement, ce sont les machines Windows qui sont principalement visées par les fausses publicités qui, lorsqu’elles sont ouvertes, exécutent un fichier JavaScript compliqué. Une fois que le code est exécuté, il lance une nouvelle ligne de commande et supprime l’application que l’utilisateur a ouverte afin d’exécuter une commande Powershell. Par la suite, la commande déclenche le téléchargement d’un script codé JavaScript à partir nom de d’un domaine
C’est à cause de ce processus que le ransomwares est difficile à détecter par les antivirus. En fait, la fausse publicité flash indique qu’il s’agit d’un dérivé du ransomwares mais Microsoft et Skype sont restés silencieux sur cette question.
Une nouvelle campagne de phishing a été détectée et elle est particulièrement convaincante
L’attaque se présente sous la forme d’un e-mail qui vous avertit que vous avez plusieurs notifications Skype et que vous devez cliquer sur un bouton « revoir ». Selon les chercheurs de Cofense, lorsque vous cliquez sur ce bouton, vous serez redirigé vers une fausse page de connexion Skype.
La fausse page Skype porte le suffixe « .app ». Elle est également sécurisée par HTTPS, ce qui lui donne une fausse légitimité. En fait, le domaine de premier niveau « .app » est géré par Google et il a été utilisé par les développeurs du logiciel malveillant.
Lors de cette attaque, les pirates étaient plutôt rusés. Le lien dans le message a un identifiant unique. Vous verrez donc votre propre nom déjà rempli dans la boîte de connexion qui semble très authentique. Le logo de votre entreprise peut également s’y trouver. Il pourrait même y avoir un avis qui indique que « le système est réservé aux utilisateurs autorisés » de votre entreprise et que « les utilisateurs illégaux pourraient être poursuivis ».
En franchissant l’étape finale, c’est-à-dire la saisie de votre mot de passe, les pirates informatiques pourront le voler et votre compte Skype deviendra donc leur compte. Pire encore, si vous avez utilisé le même nom d’utilisateur et le même mot de passe pour d’autres comptes, ils les saisissent automatiquement aussi.
Vous vous demandez probablement comment les cybercriminels pourraient déjà connaître votre nom, votre adresse électronique ainsi que votre lieu de travail. En réalité, la réponse est qu’ils ont parcouru les réseaux sociaux comme LinkedIn ou consulté la page « qui sommes-nous ? » de votre entreprise pour trouver ces informations.
Vous pouvez toutefois éviter de vous faire avoir par cette escroquerie. Le seul indice est que l’URL de la page de connexion est fausse. Selon un exemple publié par Confense, l’adresse pourrait être du type « skype-online0345.web.app ». Cependant, une vraie page Skype devrait avoir une adresse se terminant par « skype.com ». Et si vous pensez avoir été escroqué par ce genre de phishing, vous devez changer rapidement votre mot de passe Skype et ceux des autres plates-formes en ligne sur lesquels vous avez utilisé ce même mot de passe.
Coût d’une attaque via Skype
Selon Kaspersky, les fraudeurs ont récemment piraté Skype et piégé des personnes à partir d’une liste de contacts et ont récupéré plus de 4 560 euros en quelques jours. Le support Skype, les banques locales et la police ont refusé de faire quoi que ce soit.
Sergey Dolya, l’un des blogueurs russes les plus populaires a rapporté ce fait, en expliquant que cette histoire avait récemment impliqué un de ses amis. La victime était Katya, une employée d’une société internationale de services informatique. Il est important de le noter, car d’une certaine manière, la victime a une bonne connaissance en matière de sécurité web.
Récemment, Katya s’est fait pirater son compte Skype. Les pirates ont profité de cette occasion pour soutirer de l’argent aux personnes figurant sur sa liste de contacts. En une heure seulement, ils ont reçu plus de 1 368 euros.
Pour ce faire, les arnaqueurs ont décidé de demander à ses amis d’emprunter des sommes relativement modestes (environ 228 euros). En effet, c’est le montant maximum que Yandex Money (un système de paiement russe populaire) permet de transférer à la fois.
Comme argument, les pirates annonçaient que Katya voulait acheter des marchandises en ligne. Pourtant, elle n’avait pas d’argent sur son compte Yandex Money.
Cette approche était crédible et faisait croire aux gens qu’ils parlaient avec la victime. Ils ont décidé de transférer de l’argent sans appeler la victime. Certains ont même envoyé de l’argent deux fois.
Lorsque l’arnaque a été mise au grand jour, il était très difficile de faire quoi que ce soit pour résoudre le problème.
Quelques jours ont été consacrés à la communication avec le service d’assistance Skype. Les employés ont eu besoin de plus de 24 heures pour comprendre ce qui s’était passé. Lorsqu’ils ont découvert que le compte de Katya avait été piraté, ils lui ont envoyé un lien vers un formulaire de récupération de mot de passe, ignorant totalement la partie de la lettre dans laquelle Katya expliquait que les escrocs avaient également modifié l’e-mail associé.
Ensuite, le service d’assistance a demandé à Katya de remplir le formulaire de vérification, deux fois. Trois jours se sont écoulés depuis le début de cette affaire d’escroquerie et les pirates continuaient à envoyer leurs demandes par le biais de la liste de contacts de Katya. Le service de soutien a refusé de bloquer son compte Skype jusqu’à ce qu’ils aient pu clarifier la situation de bout en bout.
Au final, Katya a répondu correctement à toutes les questions du formulaire de vérification, sauf une, à savoir quand votre compte Skype a-t-il été créé ? Le service d’assistance a décidé que la situation était trop compliquée et lui a recommandé de créer un autre compte. À ce moment-là, les fraudeurs avaient déjà volé plus de 4 560 euros.
Pendant ce temps, un des amis de Katya a essayé d’obtenir un remboursement. Elle a bloqué sa carte et a demandé à sa banque d’annuler le paiement. Sa demande a été formellement acceptée. La banque a confirmé qu’elle n’avait jamais travaillé avec ce magasin auparavant et lui a demandé de déposer une plainte auprès du service de police local. Sa banque a demandé une copie de cette plainte afin d’ouvrir une enquête sur l’affaire.
La police a renvoyé la plainte à la banque, en plus de plusieurs documents. Elle annonçait qu’elle avait besoin d’un document de la banque pour que l’enquête soit lancée. Il y a eu beaucoup de va-et-vient à ce moment-là, et le service de police local n’avait aucune expérience d’une telle situation.
D’autres utilisateurs ont essayé d’écrire directement aux pirates. Ces derniers ne croyaient pas pourtant que la police pourrait faire quoi que ce soit dans cette affaire.
De toute évidence, ils ont bien compris l’imperfection du système juridique russe, combinée à la politique de sécurité de Skype.
D’une manière générale, la seule chose que vous puissiez faire dans ce cas est de sécuriser vos comptes, en utilisant un mot de passe fiable. Il ne faut pas utiliser le même mot de passe pour différents comptes, sinon vous risquez de perdre tous vos comptes lorsque l’un des services web est compromis. L’autre solution est d’utiliser l’authentification à deux facteurs pour protéger vos comptes. À titre d’exemple, vous devriez recevoir un code court par SMS ou par e-mail lorsque vous entrez votre mot de passe. Enfin, il ne faut pas cliquer sur des liens suspects, ni répondre aux messages provenant des contacts inconnus.
Combien d’attaques faudra-t-il pour que Skype reconnaisse l’urgence d’adopter des mesures de sécurité proactives ?
Il est certainement temps pour cette marque internationale de le faire comme tant d’autres géants des communications et des médias sociaux l’ont déjà fait. En effet, Skype pourrait mettre en place les mesures suivantes :
Questions de sécurité
Comme beaucoup de sites le font, les questions de sécurité peuvent être utilisées dans les scénarios de récupération de compte où la personne qui tente de se connecter au compte devra fournir une réponse à une question initialement établie par le créateur du compte, comme un fait ou une personne mémorable.
Authentifications à deux facteurs
La vérification en deux étapes offre une sécurité et une tranquillité d’esprit aux utilisateurs, car elle ajoute une couche de sécurité supplémentaire.
Il s’agit d’une approche d’authentification qui nécessite la présentation de deux ou plusieurs facteurs d’authentification, y compris un facteur de connaissance (quelque chose que l’utilisateur connaît) et un facteur de possession (quelque chose dont l’utilisateur est le propriétaire, comme le numéro d’un téléphone portable).
Certaines entreprises, comme Google, exigent par exemple que les utilisateurs entrent un code envoyé à leur téléphone par SMS pour confirmer l’accès à leur compte.
D’autres mesures de sécurité suggérées pour Skype consistent à mettre en place un support plus complet capable d’examiner les failles de sécurité avec plus d’urgence, la mise à disposition d’un support 24 h/24 et 7 j/7, outre la création d’une véritable politique de sécurité permettant aux utilisateurs de vérifier la propriété de leurs comptes.
Il est temps pour Skype de mettre de l’ordre dans sa politique de récupération
Vous avez récemment reçu un message bizarre sur Skype avec un lien vers LinkedIn ou Baidu ?
Sachez alors que vous n’êtes pas seul(e).
De nombreux utilisateurs de cette application ont aussi reçu des liens de spam vers Baidu. Ils étaient tous surpris de voir leurs comptes usurpés, mais certains ont cru qu’ils étaient protégés par l’authentification à deux facteurs de Microsoft. Pourtant, ce n’était pas le cas.
Un fil de discussion sur les forums d’assistance Skype de Microsoft révèle que cela se produit pour des centaines d’utilisateurs de Skype depuis des mois. Les comptes Skype usurpés ont été utilisés pour envoyer des milliers de spams avant qu’ils ne soient verrouillés et que leurs propriétaires ne pouvaient plus y accéder à nouveau.
Skype a déjà été victime d’attaques similaires auparavant. Les pirates informatiques ont réussi à usurper des messages sur le système après avoir utilisé les listes de noms d’utilisateurs et les mots de passe volés pour accéder aux comptes.
En 2016, Microsoft affirmait qu’il n’y a pas de faille dans la sécurité de Skype. Selon un porte-parole de la marque, certains clients de Skype ont signalé que leurs comptes étaient utilisés pour envoyer des spams.
Il n’y a pas eu de violation de la sécurité de Skype et Microsoft pensait plutôt que les criminels utilisaient des combinaisons de noms d’utilisateur et de mots de passe obtenues illégalement pour voir si elles existent sur Skype.
Microsoft avait déclaré qu’il continuait à prendre des mesures pour durcir le processus de connexion et recommandait aux clients de mettre à jour leur compte Skype afin de bénéficier de protections supplémentaires telles que l’authentification à deux facteurs.
Récemment, un employé anonyme de Microsoft a eu un compte Skype usurpé. Selon lui, Microsoft avait utilisé une authentification à deux facteurs, mais les pirates ont pu se connecter en utilisant une ancienne combinaison de nom d’utilisateur et de mot de passe Skype. Vous pouvez même tester sur vos propres comptes personnels pour vous connecter à votre compte Skype avec un ancien mot de passe.
Conclusion
Vous pouvez installer le pare-feu le plus cher et le plus performant secteur. Vous pouvez également informer vos employés sur l’importance de choisir des mots de passe solides pour vos comptes Skype professionnels ou sur les procédures de base en matière de sécurité web. Vous pouvez même verrouiller vos serveurs pour éviter une éventuelle infection par des malwares. Mais comment pouvez-vous être sûr de protéger votre entreprise contre les menaces d’attaques d’ingénierie sociale, comme celles lancées via des comptes Skype personnels ?
Les employés restent toujours le maillon faible de la chaîne de web. Et pour communiquer, la plupart d’entre eux utilise encore Skype, un programme qui présente lui-même certaines vulnérabilités. Il est donc essentiel de former vos employés pour qu’ils sachent comment reconnaître les menaces cybercriminelles et comment peuvent-il les éviter, les signaler ou les supprimer. De son côté, l’équipe d’assistance de Microsoft devrait également faire un effort pour mieux communiquer avec les utilisateurs de Skype et penser sérieusement à renforcer la sécurité de cette application.
SpamTitan recommande à tous les utilisateurs Skype de changer l’adresse e-mail de leur compte Skype avec un e-mail unique, c’est-à-dire, un compte qui n’est pas associé à d’autres comptes. Ils devraient également rester toujours très vigilants. Ne cliquez jamais sur des liens ou des pièces jointes non sollicités, surtout s’ils proviennent de contacts avec lesquels vous n’avez pas communiqué depuis un certain temps.
Questions fréquentes sur la sécurité Skype
Faut-il arrêter d’utiliser Skype à cause des cybermenaces ?
En réalité, il est actuellement presque impossible de ne pas utiliser cette plate-forme de communication à distance pour rester en contact avec vos collaborateurs et vos partenaires.
Les pirates peuvent-ils vraiment accéder à vos appareils photo mobiles et portables et tout enregistrer ?
C’est la triste vérité. Que vous utilisiez Skype, Zoom ou encore Microsoft Teams, la webcam de votre PC ou de votre ordinateur portable pourra toujours être accessible aux pirates (ou du moins, ils peuvent vous convaincre de l’avoir fait) si vous n’adoptez pas les mesures de sécurité adéquates.
Utiliser Skype Entreprise est-elle une alternative pour contrer les menaces en ligne ?
La version gratuite de Skype a des options limitées. Opter pour ce module est intéressant en termes de fonctionnalités, notamment si votre organisation compte plus de 20 salariés. À noter que Skype Entreprise peut prendre en charge jusqu’à 250 participants lors d’une réunion. Il s’agit donc d’un programme pratique, mais en matière de sécurité, sa fiabilité reste encore à prouver.
Skype vous rembourse-t-il vraiment si la vulnérabilité de l’application est avérée et que vous en êtes victime ?
Les fournisseurs de l’application vous demanderont tout d’abord une série de questions. C’était en effet le cas de Katya qui a dû remplir deux fois un formulaire de demande de remboursement. Mais trois jours après le début de l’arnaque, les pirates ont encore envoyé des demandes à travers sa liste de contacts. De plus, le support technique a refusé de bloquer son compte jusqu’à ce que la situation soit clarifiée de bout en bout. Jusqu’au moment où la situation a été réglée, les voleurs avaient déjà eu le temps de soutirer environ 4580 euros à ses contacts. Le remboursement est possible, mais c’est à vous de voir s’il en vaut vraiment la peine d’utiliser l’application, en considérant son efficacité.
Oui, il existe un moyen d’arrêter 91 % de toutes les cyberattaques avant qu’elles ne pénètrent dans votre entreprise. D’accord, c’est vraiment intéressant, mais comment faire ?
La réponse à cette question est simple. Il suffit de désactiver tous les services de messagerie de votre entreprise. La raison est que 91 % des cyberattaques commencent par un e-mail de phishing.
Comment se fait-il qu’à l’ère de la consumérisation de l’informatique, où la révolution numérique est en cours, le phishing par e-mail demeure le principal vecteur de cyberattaques ?
Selon le rapport d’enquête sur les atteintes à la protection des données 2017 de Verizon, un utilisateur sur quatorze serait amené à cliquer sur un lien pointant sur un site web infecté ; ou bien à ouvrir une pièce jointe. L’autre fait inquiétant est qu’un quart d’entre eux ont été dupés plus d’une fois par une menace cybercriminelle.
Les utilisateurs ouvrent 30 % des emails de phishing. Selon le groupe de travail antiphishing APWG, le nombre total d’attaques de phishing en 2016 était supérieur à 1,2 million, soit une augmentation de 65 % par rapport à 2015.
Alors, comment les utilisateurs peuvent-ils si facilement être trompés par les cybercriminels ?
Le fait est que les spammeurs ne sont plus une bande d’amateurs qui se cachent dans un entrepôt.
89 % des attaques de phishing sont le fait du crime organisé, et celles-ci n’ont cessé d’évoluer au cours des dernières années. Les e-mails de phishing ne sont plus des sujets qui font rire, à cause des nombreuses fautes de frappe évidentes dans les messages et des mauvaises compétences linguistiques de leurs expéditeurs.
Les attaques de phishing sont désormais formulées par des professionnels intelligents qui possèdent des compétences approfondies en matière de rédaction, de communication d’entreprise, de psychologie humaine ou d’ingénierie sociale.
Certaines des attaques de phishing les plus réussies ciblent spécifiquement les PDG, les directeurs financiers et d’autres membres de la haute direction des entreprises. Nous avons déjà écrit au sujet de la prévalence et du succès des escroqueries liées aux fausses factures.
L’une des statistiques les plus surprenantes présentées dans le rapport de la mi-année 2017 de Cisco sur la cybersécurité est le fait que les attaques Business Email Compromise (BEC) ont récolté cinq fois plus d’argent que les attaques de ransomwares au cours du quatrième trimestre de 2016.
En fait, le coût moyen d’une attaque BEC est de 1,6 million de dollars. Bien entendu, l’e-mail est aussi la principale méthode pour mener des attaques de ransomwares, lesquelles ont coûté plus d’un milliard de dollars aux entreprises en 2016. Le rapport mentionne également des attaques de phishing qui ciblent même les fournisseurs de services gérés, lesquels devraient pourtant être astucieux en matière de sécurité de la messagerie électronique.
Une astuce simple pour identifier les attaques de phishing
La solution la plus simple est de désactiver les services de messagerie électronique au sein de votre organisation. Mais ce n’est pas réaliste. Il y a d’autres mesures que vous pouvez prendre en tout temps lorsque vous recevez un e-mail suspect.
Par exemple, l’autre jour, j’ai reçu un e-mail sur mon compte Gmail. Le message aurait été envoyé par ma banque pour m’informer que mon compte en ligne avait été verrouillé en raison de nombreuses tentatives de connexion ratées. Auparavant, j’ai déjà reçu, et à maintes reprises, des messages similaires de la part de grandes banques pour lesquelles je n’ai même pas eu de compte. Bien que je fusse tout à fait sûr que l’e-mail que j’ai reçu était faux, je voulais quand même le vérifier, car cette fois-ci, c’était vraiment ma banque. Plutôt que de cliquer sur le lien intégré à mon e-mail, j’ai simplement ouvert une session de navigateur web privé et accédé à mon compte bancaire en ligne. Le fait est qu’il n’était même pas verrouillé.
Autres façons de vérifier la légitimité d’un e-mail
Au lieu de cliquer sur le bouton de retour, cliquez plutôt sur le bouton de renvoi. Vous pourrez ainsi voir l’adresse e-mail complète de l’expéditeur dans le contenu de l’e-mail de redirection. Assurez-vous que l’adresse contient le nom de domaine officiel de l’entreprise (en bonne et due forme). Un e-mail censé provenir de Bankingtrust.com peut en fait être envoyé par bankingtrust@msgr.com ou bank1ngtrust.com. Dans ce dernier cas, la lettre « i » a été remplacée par le chiffre « 1 ». Il pourrait donc s’agir d’un e-mail malveillant.
Passez votre souris sur les liens intégrés à votre e-mail. Encore une fois, vérifiez que le lien contient le nom de domaine officiel de l’entreprise. Assurez-vous également que l’URL inclut le protocole HTTPS. Une banque ou une société de transactions financières telle que PayPal ne vous enverra jamais de lien non chiffré pour accéder à votre compte.
Vérifiez la signature de l’e-mail. Toute demande légitime par e-mail aura une signature appropriée. Là encore, vous devriez vérifier les renseignements sur l’entreprise.
Téléphonez d’abord à votre banque avant d’entreprendre toute action.
Ne débloquez jamais de fonds sans avoir obtenu l’approbation de votre banque. Celle-ci doit mettre en place un solide processus d’approbation de paiements.
Mais l’étape la plus importante, si vous êtes propriétaire ou gestionnaire d’entreprise, est d’intégrer une passerelle de sécurité dans votre infrastructure de messagerie. Même si votre entreprise héberge un service de messagerie dans le cloud comme Office 365, vous avez toujours besoin d’une passerelle de messagerie pour compléter la protection par défaut. Un système de sécurité des e-mails devrait inclure des couches d’analyse des spams et un système de protection antivirus.
La formation des utilisateurs finaux est également vitale, car ils sont à la fois le maillon le plus faible de votre organisation et votre première ligne de défense. Formez-les non seulement pour qu’ils sachent identifier les e-mails de phishing évidents, mais aussi pour qu’ils puissent signaler les éventuelles attaques. De cette manière, le personnel informatique pourra prendre les mesures adéquates.
Souvent, les programmes de formation à la sécurité sont ignorés, car ils impliquent une interruption des travaux de vos collaborateurs. Mais sachez que ces efforts seront très payants à l’avenir.
La plupart d’entre nous pensent à notre propre sécurité lorsque nous nous trouvons dans un environnement surpeuplé. Nous avons tendance à serrer un peu plus fort notre sac à main ou passer notre porte-monnaie dans la poche avant de notre pantalon. Si nous faisons la queue au guichet automatique, nous nous assurons de bien regarder autour de nous lorsque nous composons le code de notre carte bancaire. Pourtant, nombreux d’entre nous sommes indifférents lorsqu’il s’agit de se connecter au WiFi public dans un tel environnement.
Selon un sondage réalisé par Norton Symantec l’an dernier, 60 % des répondants ont estimé que leurs renseignements personnels sont en sécurité lorsqu’ils utilisent le WiFi public. La grande majorité d’entre eux (87 %) ont admis avoir pris des risques de sécurité sur les réseaux WiFi publics, comme l’accès à leur compte de messagerie, à leurs comptes bancaires ou à d’autres informations financières.
Les plus grands preneurs de risques sont les millenials. Près de 95 % d’entre eux admettent avoir partagé des renseignements de nature délicate par le biais de connexions WiFi ouvertes. Même la majorité des utilisateurs qui étaient conscients des dangers ont déclaré qu’ils étaient prêts à ignorer les risques.
Ce qui est encore plus effrayant, c’est que 55 % des répondants ont dit qu’ils n’hésiteraient pas à utiliser le WiFi gratuit tant que le signal serait fort, tandis que 46 % ont admis qu’ils préfèreraient utiliser la connexion sans fil ouverte plutôt que d’attendre d’obtenir un mot de passe pour bénéficier d’une ligne protégée.
Même si de nombreuses personnes se tournent actuellement vers l’utilisation d’un réseau privé virtuel (VPN), 75 % des répondants ont affirmé ne pas avoir opté pour cette solution.
Résultats de l’enquête Spiceworks
Le laxisme face aux risques inhérents au WiFi public est devenu l’une des préoccupations majeures des entreprises.
Spiceworks a interrogé plus de 500 professionnels en informatique basés en Amérique du Nord et en Europe pour connaître leurs préoccupations à l’égard des utilisateurs du WiFi public. Les personnes ayant participé à l’étude provenaient des organisations et industries de diverses tailles. Spiceworks a constaté que 61 % des organisations ayant participé à l’enquête ont déclaré que leurs employés connectaient les appareils de leur entreprise aux réseaux WiFi publics – notamment dans les hôtels, les aéroports et les cafés — lorsqu’ils travaillaient à l’extérieur du bureau.
La majorité des répondants, soit 64 %, se disaient confiants que leurs utilisateurs étaient conscients des dangers de la connexion WiFi publique. Ces professionnels étaient également convaincus que les utilisateurs utilisaient un VPN quelconque pour sécuriser leurs données.
Seulement la moitié des personnes interrogées étaient convaincues que les données contenues dans les appareils de l’entreprise n’étaient pas suffisamment protégées lorsqu’ils sont utilisés dans des environnements où le WiFi public était disponible. Selon ce sondage, 12 % des professionnels en informatique ont déclaré que leur organisation avait connu un incident de sécurité impliquant leurs employés et le WiFi public. 34 % d’entre eux ne pouvaient pas dire avec certitude si un incident de sécurité s’était produit, car de nombreux incidents de sécurité n’ont pas été signalés. En effet, la plupart des utilisateurs n’étaient même pas au courant que leur session avait été compromise.
Les risques liés au WiFi public
Le fameux dicton « Ne laissez pas la porte de la grange ouverte » s’applique aussi dans l’environnement où le WiFi public est disponible. En effet, les réseaux WiFi ouverts, c’est-à-dire les réseaux non chiffrés, sont une aubaine pour les pirates informatiques.
De la même manière qu’un voleur discret peut se cacher dans le métro ou dans une zone touristique pour voler à la tire un piéton sans méfiance, les hackers aiment traîner dans les zones publiques proposant des connexions WiFi ouvertes et cibler une victime imprudente. Le mot hacker est, dans ce cas, utilisé comme un terme très général, car il n’est pas nécessaire d’être une personne hautement qualifiée et expérimentée en informatique pour attaquer des appareils dans un environnement WiFi ouvert. Il existe de nombreuses boîtes à outils que les pirates novices peuvent télécharger pour commettre des actes malveillants.
Les risques liés aux réseaux WiFi publics les plus courants
Le fait de regarder par-dessus l’épaule
Toutes les méthodes de piratage ne sont pas de nature technique.
Un malfaiteur assis à la table derrière vous peut facilement regarder par-dessus votre épaule pour voir votre activité. Dans de nombreux cas, il ne regarde pas votre écran, mais plutôt votre clavier pour détecter les informations d’identification que vous saisissez lorsque vous accéder à votre compte de messagerie, de médias sociaux ou bancaire.
Les jumeaux maléfiques, ou Evil Twins
Les pirates informatiques peuvent créer de faux points d’accès pour inciter les utilisateurs à s’y connecter.
Dans ce cas, ils peuvent diffuser un SSID qui ressemble au nom de l’établissement où ils se trouvent. Le but est de faire en sorte que les utilisateurs supposent qu’il s’agit du véritable SSID de l’établissement. Une fois connectés à ce faux SSID, les utilisateurs sont vulnérables aux attaques cybercriminelles.
Le partage de fichiers
Trop d’utilisateurs ont tendance à activer le partage de fichiers sur leur ordinateur.
Il est ainsi plus facile pour les pirates de se connecter à leurs dossiers personnels, de les voler ou encore de déposer des fichiers malveillants pouvant contenir des malwares dans leur ordinateur.
Ces malwares peuvent ensuite être utilisés pour prendre le contrôle de la machine, déposer un logiciel espion qui enregistre les frappes au clavier, installer un malware d’extraction de cryptomonnaie ou un ransomware.
Interception des messages
En utilisant un simple renifleur de paquets, n’importe quelle personne malveillante peut intercepter et surveiller votre trafic Web. Cela lui permettra de saisir des renseignements personnels à votre sujet.
Un pirate informatique peut également modifier les informations contenues dans votre flux de données ainsi que l’adresse de livraison d’une commande que vous venez de passer, entre autres.
L’attaque de malware
Un autre risque du WiFi public est lié à la simple absence de filtrage web. Alors que la plupart des entreprises utilisent aujourd’hui une solution de filtrage web pour éviter les téléchargements de malwares, la plupart des réseaux WiFi publics n’offrent aucun service similaire.
L’industrie aéronautique est aux prises avec la cybersécurité.
Depuis des années, les représentants de l’industrie, de la sécurité et du gouvernement insistent sur le fait qu’il est impossible pour les pirates d’infiltrer le réseau du poste de pilotage d’un avion en vol depuis le sol. Pourtant, selon les conclusions de Ruben Santamarta, un expert en cybersécurité, c’est plus que possible, car il a réussi à le faire.
Last Call for SATCOM security
Selon Ruben Santamarta, il a réussi à pirater le réseau WiFi et le système de communication par satellite d’un avion en vol depuis le sol. Il affirme avoir accédé à l’activité Internet des passagers et obtenu l’accès à d’importants appareils utilisés à bord de l’appareil.
Santamarta estime que les mêmes vulnérabilités pourraient permettre aux pirates informatiques d’avoir accès aux systèmes de contrôle d’un avion, d’un navire, d’un véhicule du personnel militaire ou d’un service d’urgence. Il a publié les détails de ses recherches lors de la conférence BlackHat hacker 2018 en août. Sa présentation s’intitule « Last Call for SATCOM security », lors de laquelle il a expliqué comment des flottes entières d’avions peuvent être accessibles via Internet.
Ce n’est pas la première fois que Ruben Santamarta s’exprime sur les vulnérabilités de l’industrie aérienne. Il a d’abord publié ses conclusions et ses théories dans un rapport en 2014, après avoir découvert de nombreuses failles de sécurité dans l’infrastructure SATCOM. Les failles qu’il a découvertes comprenaient des informations d’identification codées en dur, des protocoles non sécurisés, des portes dérobées et des fonctions de réinitialisation de mots de passe faibles. Ces environnements sont composés de milliers d’appareils, ce qui rend le réseau moins sûr.
L’une des principales vulnérabilités constatées par son équipe était que les pirates pouvaient accéder aux systèmes, exécuter leur propre code ou installer un micrologiciel malveillant afin de les compromettre. Une fois qu’un dispositif connecté au réseau est compromis, un attaquant pourrait faire des ravages. Il pourrait par exemple perturber les communications ou usurper des messages afin de tromper un avion ou un navire pour qu’il suive un chemin désigné.
Si un dispositif est accessible, il peut être compromis
Un réseau WiFi est dit ouvert lorsqu’il ne nécessite aucune forme d’autorisation ou d’authentification. Tout utilisateur disposant d’un appareil compatible WiFi peut y accéder et utiliser la connectivité offerte par le réseau.
Ruben Santamarta admet qu’un pirate informatique devrait avoir une certaine connaissance des failles informatiques et sur la façon de les exploiter pour atteindre l’appareil et compromettre son réseau. Pourtant, il affirme que même si les fournisseurs ont corrigé certains des points faibles qu’il a évoqués dans son rapport de 2014, beaucoup d’autres vulnérabilités ne l’ont pas été.
Selon cet expert en cybersécurité, les adversaires pourraient même profiter de ces failles pour révéler les bases de l’OTAN dans les zones de conflit. Il a déclaré : « L’environnement actuel des communications par satellite est vraiment en désordre. C’est ce qui me préoccupe le plus, d’après ce que j’ai pu observer dans ce domaine.»
Piratage de systèmes de divertissement en vol
Ruben Santamarta n’est pas la première personne à prétendre avoir pénétré le système de contrôle d’un avion.
En 2015, lors d’un interrogatoire, un chercheur en sécurité du nom de Chris Roberts a également déclaré au FBI qu’il avait réussi à pirater divers systèmes de divertissement en vol depuis son siège dans l’avion, et ce, plus d’une douzaine de fois sur une période de trois ans.
Selon un agent du FBI, Chris Roberts a affirmé avoir brièvement réquisitionné un avion pendant l’un de ces vols. Bien que ses actes aient été jugés irresponsables, il n’a pas été accusé d’un crime.
Boeing 747 piraté
Le 8 novembre dernier, lors de la conférence CyberSat Summit 2017, le directeur du programme d’aviation du département de la sécurité intérieure des États-Unis, Robert Hickey, a fait un discours lors duquel il a affirmé avoir réussi à pirater un Boeing 747 qui était en stationnement le 19 septembre 2016.
L’incident s’est produit à l’aéroport international d’Atlantic City, dans le New Jersey. En effet, lui et son équipe d’experts ont accédé à distance au poste de pilotage de l’avion et effectué une intrusion pour prendre le plein contrôle de ses fonctions de vol. Robert Hickey avait déjà partagé les détails de son piratage avec le département de la sécurité intérieure, lesquels sont restés confidentiels.
En mars dernier, le département de la sécurité intérieure et le FBI ont lancé une alerte selon laquelle des pirates informatiques parrainés par l’État russe s’étaient infiltrés dans l’industrie de l’aviation civile américaine dans le cadre d’une attaque générale contre les infrastructures sensibles du pays (les réseaux électriques étaient également très ciblés). L’industrie du transport aérien est une cible de choix pour les pirates informatiques parrainés par l’État, car une perturbation des systèmes aériens pourrait avoir d’énormes répercussions économiques et psychologiques.
L’exposition des aéronefs et de l’industrie aéronautique en général aux cyberterroristes et aux pirates informatiques malveillants ne doit pas être prise à la légère. Les faits sont là et leurs preuves croissantes ne peuvent plus être ignorées.
Sécurité WiFi publique
Les compagnies aériennes, voire tous les fournisseurs de WiFi publics, ont la responsabilité de fournir un service sécurisé et protégé par mot de passe. Un réseau WiFi ouvert sera à un moment donné utilisé par les pirates informatiques pour mener une attaque.
En utilisant un réseau WiFi ouvert et non filtré, vous invitez les pirates à attaquer vos clients, à porter atteinte à leur vie privée et l’intégrité de leurs données. Une attaque réussie pourrait résulter en une :
Perte totale de la confidentialité, de l’intégrité et de la confidentialité des données de vos clients.
Perte de la réputation de la marque et une augmentation des coûts.
Atteinte à la sécurité des réseaux d’entreprises par n’importe quelle personne utilisant ce réseau.
Litige potentiel.
À noter que dans certaines parties du monde, il est illégal de ne pas protéger les données de vos clients.
L’utilisation du WiFi non sécurisé dans les avions en vol permet aux pirates d’utiliser les mêmes tactiques qu’ils utilisent généralement au sol. Et à bien des égards, cela facilite leurs tâches. Bien entendu, si les compagnies aériennes intelligentes et les entreprises offrent le WiFi gratuit, c’est pour attirer de plus en plus de clients potentiels et pour fidéliser leurs clients existants. Mais si ces organisations veulent vraiment que le fait d’offrir le WiFi devienne un facteur différenciateur, elles doivent aussi penser à sécuriser leurs réseaux.
Le filtrage de contenu Web fait partie intégrante du plan de sécurité multicouche des entreprises d’aujourd’hui. Une solution de filtrage de contenu est conçue pour empêcher l’accès à des sites de déploiement de malwares bien connus, à des domaines parqués – c’est-à-dire qui n’appartiennent pas obligatoirement à un webmaster réel ou à un site web – et à des sites temporaires souvent utilisés pour les publicités malveillantes ou d’autres actes sans scrupules.
Certaines entreprises soucieuses de la sécurité appliquent des règles de liste blanche strictes concernant l’utilisation du web, empêchant l’accès à tout site qui ne figure pas sur une liste approuvée.
Un filtre de contenu est également conçu pour gérer les paramètres d’utilisation web des employés et des utilisateurs. De nombreuses entreprises empêchent leurs employés d’accéder à des sites improductifs, contenant des contenus inappropriés ou offensants. Certains organismes, comme les systèmes scolaires, mettent en œuvre le filtrage de contenu pour se conformer aux exigences gouvernementales afin d’obtenir des fonds et des subventions pour l’éducation.
Le filtrage de contenu doit être flexible
En ce qui concerne le filtrage de contenu, tous les utilisateurs ne sont pas identiques, car chacun d’eux a une fonction différente. Par exemple, une succursale d’une banque peut refuser l’accès à Internet aux caissiers, tandis que les courtiers en hypothèques peuvent avoir accès à une variété de sites pour mener à bien leur travail. Ceci peut être réalisé à l’aide de stratégies de configuration réseau telles que les VLAN.
Ainsi, les périphériques VLAN des caissiers se verraient refuser l’accès à l’internet tandis que ceux des courtiers en hypothèques se verraient attribuer une politique moins restrictive. Cette stratégie fonctionne parfaitement tant que les utilisateurs utilisent toujours le même appareil. Mais que se passe-t-il si un technicien informatique travaille sur un guichet automatique et a besoin d’un accès à Internet ? Que se passe-t-il si un administrateur a besoin d’accéder à un site bloqué ?
Un exemple courant est celui des systèmes scolaires, qui peuvent universellement bloquer un site tel que Facebook. Pourtant, il existe chaque semaine des circonstances exclusives, telles que le principe selon lequel il faut accéder à Facebook pour mener une enquête sur la cyberintimidation.
Chaque école pourrait avoir un kiosque d’ordinateur, c’est-à-dire un ordinateur autonome en accès public, avec une adresse statique assignée qui pourrait ensuite se voir attribuer un profil web ouvert pour les administrateurs scolaires ou les bibliothécaires des médias. Pourtant, ce type de stratégie limite l’agilité des utilisateurs privilégiés qui ont un profil d’itinérance.
Bref, la gestion claire du filtrage de contenu en fonction des VLAN et des sous-réseaux n’offrent que peu de flexibilité.
L’avantage de l’intégration LDAP
C’est pour toutes les raisons susmentionnées que le protocole LDAP s’avère actuellement si important pour les solutions de filtrage de contenu. Cette solution de gestion de l’accès web offre beaucoup plus de souplesse aux groupes et aux utilisateurs. La plupart des logiciels de filtrage de contenu web fournissent aujourd’hui une section de configuration pour entrer les informations LDAP, ce qui permet au logiciel d’utiliser les authentifications LDAP.
Différentes solutions de filtrage capturent les informations d’identification LDAP de différentes manières. Dans un environnement de laboratoire informatique scolaire, les enseignants et les élèves pourraient par exemple se connecter aux mêmes postes de travail et recevoir l’accès web dont ils ont besoin grâce à leur identifiant de compte LDAP. C’est un moyen beaucoup plus simple de fournir des politiques d’accès web multiples. Vous pouvez également attribuer des privilèges de priorité à certains utilisateurs afin que ceux qui sont approuvés puissent accéder à des sites web bloqués au cas où cela serait absolument nécessaire.
L’intégration LDAP se distingue nettement dans le domaine de l’enregistrement et du reporting. Comme la plupart des entreprises utilisent DHCP pour leur poste de travail et leurs appareils mobiles, il est impossible d’examiner les journaux datant de plus d’un jour pour déterminer quelles machines ont accédé ou tenté d’accéder aux sites non autorisés. Souvent, même si la machine exacte est localisée, la corrélation de cette machine avec un utilisateur désigné est toujours difficile.
Avec l’intégration LDAP, le reporting devient un jeu d’enfant. Pour les solutions de filtrage de contenu qui offrent des fonctions de rapport étendues, un rapport complet peut être créé, montrant chaque site consulté par un utilisateur dans une fenêtre temporelle désignée lorsqu’une enquête s’avère nécessaire.
Filtrage LDAP et DNS
Si un utilisateur est affecté à plusieurs stratégies web parce qu’il est membre de plus d’un groupe LDAP, la direction peut spécifier que la stratégie la moins restrictive ou la plus restrictive sert de valeur par défaut. Vous pouvez également créer une politique par défaut pour les visiteurs et les invités qui n’ont pas de compte LDAP dans l’entreprise.
L’intégration LDAP est encore plus importante pour les emplacements de filtrage DNS basés dans le cloud. Les solutions dans le cloud sont idéales pour les entreprises qui ont des appareils mobiles dont les utilisateurs quittent fréquemment l’entreprise. C’est par exemple le cas des étudiants inscrits à des programmes individuels dans les écoles de la maternelle à la 12e année. Dans ces cas, le gestionnaire de filtres ne réside pas sur place, l’adresse IP activée par NAT (Network Address Translation) ne sera pas reconnue. Cela signifie que les politiques de filtrage ne peuvent pas être dérivées autour des adresses IP et des VLAN. L’intégration LDAP est donc une nécessité dans ces circonstances. Elle est utilisée à l’aide d’une solution client qui capture la session LDAP.
LDAP s’intègre à de nombreux aspects des entreprises d’aujourd’hui et votre solution de filtrage de contenu web ne devrait pas faire exception. Il fournit la granularité dont vous avez besoin pour gérer tous vos utilisateurs, peu importe où ils se trouvent.
Si vous êtes à la recherche d’une nouvelle solution, n’hésitez pas à vous renseigner sur cette fonction essentielle.
Si votre organisation utilise des services d’annuaire tels que LDAP, NetIQ ou Active Directory, WebTitan fournit les API pour intégrer notre solution de filtrage de contenu HTTPS dans votre service d’annuaire ainsi que d’autres outils de déploiement, de facturation et de gestion.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et appareils sensibles sont protégés ? Inscrivez-vous pour découvrir une démonstration de notre produit ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.
Rappelez-vous le bon vieux temps où les principaux e-mails de phishing provenaient du Nigeria, essayant sans cesse d’attirer les deux pour cent restants de la population adulte qui n’étaient pas encore familiers avec les fraudes par virement bancaire !
En tant qu’administrateurs informatiques, nous nous rencontrions après le travail et nous nous amusions des fautes d’orthographe flagrantes et des erreurs grammaticales rampantes dans les e-mails. Nous nous moquions aussi tranquillement de la naïveté de leurs victimes qui pouvaient éventuellement tomber dans le piège de ces stratagèmes d’amateurs.
Cette arnaque de fausse facture a rapporté 3 millions de dollars
Avançons rapidement jusqu’au 30 avril 2015, date à laquelle la société Mattel s’est fait escroquer 3 millions de dollars via une attaque de phishing. L’arnaque a été brillamment conçue et parfaitement exécutée.
Le mois d’avril dernier a été une période tumultueuse pour le fabricant de poupées Barbie de renommée mondiale en raison de la combinaison des mauvaises ventes internationales et du licenciement du PDG. Au milieu de cette tourmente, un cadre financier a reçu un message utilisant l’adresse e-mail du nouveau PDG et demandant un transfert de fonds de routine à un nouveau fournisseur en Chine. Souhaitant faire plaisir au nouveau patron, le cadre financier a effectué le transfert à la Banque de Wenzhou, en Chine. Plus tard dans la journée, alors qu’il parlait au PDG, il s’est rendu compte qu’ils s’étaient fait arnaquer. Malheureusement, il était trop tard. L’argent qu’il a envoyé était déjà perdu.
Comment les dirigeants d’une grande entreprise internationale ont-ils pu se faire arnaquer si facilement ? L’attaque contre Mattel n’est qu’un incident parmi d’autres dans ce qui constitue une menace croissante pour les entreprises américaines, à tel point que le FBI a publié une déclaration écrite décrivant ce qu’il appelle le « Business Email Scam » ou « BEC ».
Selon la déclaration du FBI : « Les forces de l’ordre du monde entier ont reçu des plaintes de victimes dans tous les États américains et dans au moins 79 pays. D’octobre 2013 à février 2016, les services de détection et de répression ont reçu des déclarations de 17 642 victimes. Cela représente plus de 2,3 milliards de dollars de pertes.
215 millions de dollars perdus rien que pour les escroqueries de phishing de PDG
De ces 2,3 milliards de dollars, 215 millions de dollars ont été attribués aux seules escroqueries de phishing de PDG. La raison en est simple : les attaquants par phishing d’aujourd’hui font bien leurs devoirs. Ils apprennent la culture et le leadership de l’organisation qu’ils ciblent. Ils connaissent les modèles d’e-mails, les processus de travail et les horaires de tous les cadres de haut niveau. Ensuite, les attaquants capturent ou usurpent les adresses e-mail du PDG ou du président de la société pour mettre en œuvre leur arnaque.
L’usurpation d’adresse électronique est une tactique couramment utilisée dans les attaques de phishing. Comme celle qui visait Mattel, la majorité des attaques de phishing de PDG se produisent souvent lorsque le PDG voyage ou, pire encore, lorsqu’il est en vacances. En effet, cela rend plus difficile la vérification des demandes par e-mail.
Les attaquants de phishing d’aujourd’hui font bien leurs devoirs
L’attaque lancée l’année dernière contre Bonnier Publications en Floride — qui impliquait à nouveau une banque chinoise — est un autre exemple de la manière dont les escroqueries contre les entreprises sont préparées. L’arnaque impliquait deux demandes de virement bancaire distinctes représentant 1,5 million de dollars chacune.
Ce qui a rendu cette arnaque si efficace, c’est qu’elle a été lancée dès le premier jour de travail du nouveau PDG. Heureusement, l’arnaque a été découverte avant le deuxième transfert.
Fraude à la française par le PDG
L’incident le plus célèbre de la BEC en 2016 est l’incident est la fraude à la française par le PDG. Dans cette affaire, le chef comptable d’Etna Industrie avait été informé dans une série d’appels téléphoniques et d’e-mails — qui lui étaient adressés via le compte usurpé du PDG — lui ordonnant d’émettre une série de virements bancaires d’un montant total d’un demi-million de dollars afin de financer un rachat d’entreprise. Cela se passait rapidement et sous grande contrainte. Bien que de nombreux virements électroniques — dont le montant total s’élevait à près d’un demi-million de dollars- aient été envoyés, la banque émettrice a effectivement réussi à en retenir trois.
Le montant d’argent obtenu lors de ces attaques BEC est époustouflant, et c’est la raison pour laquelle ils ont attiré beaucoup d’attention. Mais au-delà des gros titres, il est clair que le phishing n’est plus un sujet de plaisanterie après le travail. Les entreprises doivent être sur leurs gardes et s’assurer qu’elles disposent d’un système de sécurité de la messagerie électronique pouvant détecter et bloquer les e-mails frauduleux avant qu’ils n’atteignent les employés.
Si vous travaillez dans le domaine de la paie, des ressources humaines ou dans des domaines connexes, méfiez-vous des dangers potentiels. Si vous recevez un e-mail vous demandant de payer des factures, prenez le temps de vérifier que l’e-mail en question est légitime avant de vous y conformer.
Ah ! La jeunesse, ce moment incroyable de la vie où nous nous sentons invincibles. C’est une époque où nous sommes enclins à prendre plus de risques et où nous ne sommes pas encore devenus sceptiques à l’égard du monde. Par conséquent, nous sommes plus confiants et moins méfiants que les personnes âgées. Ces caractéristiques rendent les jeunes moins surveillés et moins vulnérables aux menaces cybercriminelles.
La naïveté des élèves de tous les niveaux fait d’eux des cibles idéales.
De nombreux systèmes scolaires aux États-Unis mettent en œuvre des programmes individuels, de sorte que chaque élève du secondaire dispose d’un ordinateur, généralement un ordinateur portable. Dans de nombreux cas, ces programmes s’adressent aux élèves des écoles intermédiaires. Pour la plupart d’entre eux, il s’agit de leur premier appareil informatique personnel mobile et, pour certains, du premier ordinateur mobile du ménage. Pour cette raison, les parents de ces élèves ne peuvent pas transmettre les protocoles et procédures de sécurité de base concernant ces dispositifs. Pour ces étudiants, les menaces de cybersécurité et les malwares sont des concepts non pertinents ou inconnus et leur naïveté fait d’eux des cibles idéales.
Questions de confidentialité autour du partage de fichiers et des sites de Torrents
Comme nous le savons tous, le partage de fichiers est toujours très prisé par les adolescents d’aujourd’hui. Ces derniers se tournent volontiers vers les sites d’hébergement de fichiers (cyberlocker) et les sites de Torrents pour télécharger des films et de la musique. À titre d’exemple, jusqu’à sa fermeture récente par les autorités, en juin 2016, KickassTorrents était le 69e site le plus populaire sur Internet et attirait plus de 50 millions de visiteurs par mois.
Bien sûr, les sites de Torrents exposent les utilisateurs aux risques de divulgation des données confidentielles en exposant leurs adresses IP et en créant des connexions ouvertes à des exploits malveillants. Les adolescents sont également plus disposés à télécharger les dernières versions des jeux tendance, sans se soucier des éventuelles attaques de chevaux de Troie et des enregistreurs de clés installées dans des sites anonymes.
Contourner le filtre web des écoles
De nombreux étudiants de la maternelle à la 12e année se lancent quotidiennement dans une mission consistant à contourner le filtre web de l’école. Il existe un jeu de chat et de souris entre les étudiants et les membres du personnel informatique, car les étudiants partagent facilement entre eux les récents fichiers exécutables (proxy.exe) publics tels que Psiphon et UltraSurf.
Bien que la plupart des systèmes scolaires disposent d’une solution de filtrage web, nombre d’entre elles sont incapables de filtrer les sites miroirs, en particulier ceux à l’échelle de ces grands réseaux proxy. En contournant la protection totale du filtre, les étudiants font de leurs ordinateurs des cibles de choix pour les ransomwares et d’autres types de malwares.
Pourquoi un lycée ou un établissement d’enseignement supérieur nécessite-t-il une attention particulière ?
Pendant leurs études secondaires, les élèves utilisent leurs appareils informatiques dans un environnement relativement sûr et protégé. Bien que les étudiants recherchent constamment des failles de sécurité pour obtenir des proxies et des applications de partage de fichiers, les menaces potentielles sont contrôlées. Mais ensuite, ils vont à l’université et vivent dans un environnement qui est presque exactement le contraire.
Ce qui différencie réellement les établissements d’enseignement supérieur et le réseau d’entreprise est la nature du campus et du réseau de l’Université. Composée de nombreux réseaux, parfois dispersés, l’infrastructure réseau des universités constitue un cauchemar pour les professionnels de la sécurité informatique d’entreprise. Ce n’est pas dû à un manque de prévoyance ou d’ignorance en matière de sécurité informatique sur le campus (c’est loin d’être le cas !). En effet, l’environnement éducatif et l’ouverture du campus au grand public signifient qu’il n’y a aucune infrastructure centrée sur la sécurité étroite telle qu’on voit dans les réseaux d’entreprise.
Dans les établissements d’enseignement, il est courant de voir des flux réguliers d’étudiants de premier cycle ; des chercheurs et des diplômés qui collaborent et partagent des données à l’échelle mondiale ; des universitaires en visite ; des pratiques qui permettent aux utilisateurs d’apporter leurs propres appareils pour se connecter au réseau, etc. Pourtant, dans de tels environnements, le concept de sécurité des données rigoureuse a toujours été considéré comme inutile, voire indésirable. Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises. Les communautés de la maternelle à la 12e année ont été lentes à adopter des normes de sécurité strictes.
L’enseignement supérieur est le centre de partage d’idées et de collaboration avec à peu près n’importe qui dans le monde. Les réseaux de ces intuitions sont donc beaucoup moins gardés. C’est probablement la raison pour laquelle — selon l’organisation DataLossDB qui suit les atteintes à la cybersécurité dans le monde — 9 % de toutes les atteintes à la sécurité informatique aux États-Unis visaient les universités.
Alors que de nombreux étudiants continuent à participer ouvertement à des sites de partage et de télécharger des fichiers et des applications « gratuites » contenant des chevaux de Troie et d’autres malwares, les étudiants sont confrontés à un défi unique et assez important concernant la sécurité de leurs appareils. Lorsque dix à cinquante mille élèves sont rassemblés dans une même zone, les places sont limitées. Qu’il s’agisse du dortoir, de la bibliothèque du collège, du centre étudiant ou du café local, les étudiants travaillent dans des environnements très bondés. Dans ces types de lieux encombrés, laisser un ordinateur sans surveillance, ne serait-ce que quelques minutes, peut les exposer à de nombreuses brèches physiques, y compris le vol et les violations par le biais des clés USB. Le shoulder surfing (le fait de regarder par-dessus l’épaule) est aussi une menace constante dans les salles bondées et pleines d’activité. La mise en œuvre d’écrans protégés par mot de passe et de bloqueurs USB devrait être une mesure de protection obligatoire dans ces types d’environnements.
Attaques par des malwares diffusées par les réseaux sociaux
De nos jours, les étudiants n’accordent pas autant d’importance aux e-mails que leurs parents, mais la messagerie électronique est souvent la passerelle vers presque tous les autres comptes qu’un utilisateur peut avoir. Lorsqu’une personne perd ou oublie un mot de passe d’un compte, c’est son e-mail qui est utilisé pour pouvoir le réinitialiser. Alors que de nombreux professionnels utilisent maintenant l’authentification multifactorielle pour mieux protéger leurs comptes de messagerie, de nombreux étudiants n’utilisent leur messagerie que de façon limitée, par exemple pour communiquer avec leurs instituteurs, et ils le font avec moins de prudence.
Bien que les étudiants ne soient pas aussi vulnérables aux attaques de phishing par e-mail puisqu’ils n’utilisent pas la messagerie électronique de la même manière que les utilisateurs plus âgés, ils sont très exposés aux attaques de malwares livrés par les sites de médias sociaux. En juin 2016, une escroquerie mondiale par phishing sur Facebook a été découverte. Des messages d’amis malhonnêtes ont été transmis par le biais de Facebook Messenger. L’attaque touchait une victime toutes les 20 secondes. Récemment, une application malveillante appelée Instacare a également incité des utilisateurs Instagram peu méfiants à fournir les mots de passe de leur compte.
La vérité, c’est qu’en matière de cybersécurité, les étudiants ont encore beaucoup à apprendre.
Attaques dirigées par des ordinateurs compromis dans des universités américaines
Les administrateurs informatiques des écoles ou des districts scolaires doivent s’assurer que leurs machines sont propres. Ils doivent également éduquer les élèves, les sensibiliser à propos des politiques qui s’appliquent à l’ensemble de l’institution, notamment ceux qui possèdent et utilisent les ressources informatiques. Les données personnelles et financières stockées dans les systèmes de données universitaires sont d’une grande valeur pour les cybercriminels. Lorsque les systèmes informatiques du New York Times ont été piratés en 2013, l’enquête subséquente a révélé que les attaques avaient été dirigées par des ordinateurs compromis dans des universités américaines. Les données commerciales, quant à elles, peuvent intéresser les espions d’entreprises, tandis que les données liées à la recherche scientifique ou aux subventions peuvent être ciblées par des groupes soutenus par un État-nation.
La sécurité informatique est un compromis
Il y a un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place. La sécurité dans toutes les organisations, commerciales ou académiques, est un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier qui pourraient être encourus en défense en cas d’atteinte à la protection des données. Cela peut être complexe et nécessiter une analyse détaillée des risques, outre l’établissement de priorités de gestion et des mesures de sécurité connexes. En réalité, c’est une approche qui commence à être adoptée par les réseaux d’entreprise.
Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’établissement, des élèves et du personnel sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
