La messagerie électronique contient une propriété intellectuelle précieuse qui doit être protégée contre la perte. Quelles sont les alternatives qui s’offrent à vous pour atteindre cet objectif ?
La propriété intellectuelle est l’ensemble des idées, des inventions et des conceptions qui donnent de la valeur à votre entreprise. Bref, c’est votre capital intellectuel. Pour Google, ce sont les secrets de leur algorithme de recherche. Pour Lockheed Martin, c’est le design de leur nouveau chasseur furtif. Pour Pixar, c’est le logiciel qu’il a développé pour créer des graphiques de qualité supérieure.
Le terme propriété intellectuelle désigne la propriété incorporelle comme les brevets, les marques de commerce, les droits d’auteur et les secrets commerciaux. Les brevets, les marques de commerce et les droits d’auteur sont déposés dans les coffres de l’État, où le gouvernement est responsable de leur catalogage. Dans le cas d’un nouvel algorithme de tri ou d’une nouvelle conception de puce, ces documents de conception détaillés deviennent une affaire publique, de sorte que personne ne puisse la copier ou, si tel est le cas, le titulaire des droits puisse invoquer la contrefaçon.
Mais les secrets commerciaux prennent de nombreux formats différents. Cela comprend les e-mails et les documents qui y sont joints. Quel que soit le système que vous utilisez pour la messagerie, Exchange ou Zimbra, ceux-ci contiennent l’historique chronologique complet du développement de votre produit, de sa conception à sa révision, en passant par sa publication.
Pourquoi des archives fiables sont-elles importantes ?
Ces documents ont été stockés dans différents référentiels au fil des ans, à mesure que les technologies évoluaient. D’abord les disques partagés, puis Lotus Notes, puis SharePoint.
Lorsqu’une entreprise passe d’une plate-forme à l’autre, ces données sont censées être migrées, mais le document ou l’e-mail que vous avez écrit il y a 7 ans et enregistré sur un point de montage partagé sur le réseau risque de ne plus exister. C’est pourquoi il est important de disposer d’archives fiables.
De plus, la perte de documents archivés et de leurs pièces jointes expose l’entreprise à des risques réglementaires et juridiques importants.
Législation concernant la conservation des documents
Le gouvernement a des exigences particulières en matière de conservation des documents. Aux États-Unis, ces règles sont plus strictes qu’au sein de l’UE.
Suite à la faillite d’Enron, la loi Sarbanes-Oxley (SOX) a été adoptée afin que les entreprises puissent documenter l’exactitude de leurs états financiers.
La réforme des soins de santé s’est accompagnée de la loi HIPPA (Health Insurance and Patiently Portability Act).
La mise à jour de la loi Gramm-leach-Bliley, Franks-Dodds, était également apparue avec la récente récession et l’effondrement des frères Lehman.
L’objectif de toutes ces législations est d’obliger les entreprises à tenir des registres électroniques afin qu’elles puissent les produire en cas de litige, d’accusations de fraude ou de différend entre une entreprise et des actionnaires ; des intervenants ou des organismes de réglementation. Certaines de ces règles, comme la SEC 17a-3-4, stipulent le format requis – cette règle stipule que les dossiers électroniques doivent être conservés dans des installations sécurisées hors site et inviolables.
Les personnes accusées d’avoir altéré des dossiers électroniques sont passibles d’une peine d’emprisonnement pouvant aller jusqu’à 20 ans. Les exigences de conservation sont de 5 ans pour les dossiers des Sox et de 6 ans dans le cadre de l’HIPAA. Par ailleurs, en cas de litige, il est préférable d’avoir des archives permanentes.
Qu’en est-il de la propriété intellectuelle ?
Ce n’est pas seulement le modèle de conception d’un produit qu’il faut protéger, mais toute son évolution. Si votre entreprise intente une action contre un concurrent pour contrefaçon de brevet ou violation de droit d’auteur, c’est à ce moment que vous aurez besoin d’un e-mail pour documenter la piste qui a mené au développement de ce produit.
Les e-mails entre les dirigeants, les clients et les fournisseurs peuvent dans ce cas aider les avocats à démontrer que le concurrent tire profit de gains mal acquis.
Ce qu’on appelait autrefois la découverte s’appelle maintenant e-Discovery
C’est là que les archives sont d’une importance cruciale. L’omission de maintenir un centre d’archives pourrait constituer une infraction aux règlements ou même un outrage au tribunal.
Il existe plusieurs façons d’archiver les e-mails. La façon peu pratique et peu flexible est de copier les fichiers de données PST et NSF vers un stockage à long terme, puis d’importer ces données en ligne lorsque vous recherchez quelque chose qui date de quelques mois ou quelques années auparavant. C’est un peu comme si vous exportiez une base de données Oracle vers un format d’archivage et que vous l’importiez de nouveau lorsque vous recherchez quelque chose qui n’est pas en ligne.
La meilleure alternative est d’archiver les e-mails de manière à ce que les utilisateurs ne semblent pas du tout hors connexion. C’est ce que fait un fournisseur de solutions d’archivage d’emails dans le cloud. Ce type de configuration permet aux utilisateurs d’effectuer des recherches dans les archives et de récupérer des documents dans les dossiers de messagerie électronique actifs à l’aide d’un système d’archivage d’e-mails dans le cloud, comme ArcTitan, tout en respectant les règles relatives aux archives hors site, sécurisées et protégées.
Autres raisons de conserver des archives protégées
La violation des réglementations gouvernementales n’est pas la seule raison de conserver des archives protégées. Vous aurez besoin de ces documents en cas de poursuites judiciaires. Il peut s’agir de poursuites pour harcèlement sexuel, de congédiements illégaux, de responsabilité liée à des produits, voire de plaintes criminelles.
Les archives sont également importantes en cas de litige entre vendeurs ou entre contractants et en cas de questions concernant les garanties de produits telles qu’elles figurent dans l’e-mail : factures, contrats numérisés et accords.
Enfin, les archives sont importantes lorsque vous perdez les détails techniques sur la façon de faire quelque chose que vous avez réalisé il y a 3 ans, lorsque l’employé qui l’a conçu était toujours dans votre entreprise.
Réduisez donc les risques pour votre entreprise en mettant vos archives d’e-mails dans le cloud sécurisé, en vous fiant à un professionnel spécialisé dans ce domaine.
Beaucoup de gens croient que seules les entreprises réglementées doivent conserver les e-mails et d’autres fichiers numériques. C’est une idée fausse et dangereuse. Les lois sur la conservation des données touchent la plupart des entreprises, qu’elles soient réglementées ou non.
Les lois que vous devez respecter dépendent du pays dans lequel vous exercez vos activités. Aux États-Unis, la liste des réglementations est longue : SOX, HIPPA, Franks-Dobbs, Gramm Leach Bliley, et même le USA Patriot Act. En Europe, il existe des lois spécifiques pour les pays membres de l’UE, ainsi que pour l’Union européenne dans son ensemble.
Saviez-vous que vous pourriez commettre un crime si vous supprimez un e-mail ? Vous réutilisez des supports de sauvegarde qui peuvent aller à l’encontre de la loi ? Faites cela avec une intention malveillante et vous risquez de purger 20 ans de prison aux États-Unis. Le défaut de produire des e-mails pour les vérificateurs peut également amener la SEC (Security and Exchange Commission) à imposer une amende aux entreprises financières.
Voici un résumé de certains des règlements particuliers et voici comment ils ont vu le jour. En raison du grand nombre d’organismes de réglementation et de règles qui se chevauchent, certaines organisations décident de tout conserver, et pour toujours. La raison est que certaines règles stipulent que le document A doit être conservé pour la période B et le document C doit être conservé pour la période D.
Les règlements peuvent encore se compliquer, car les différentes périodes et règles de conservation s’appliquent à différents types de données. Il est plus simple de supposer que vous avez besoin d’une copie inviolable et hors site de toutes les communications commerciales, des dossiers de paie et de santé, et des transactions comptables, et ce, pour toujours.
SOX
Après le scandale Enron aux États-Unis, le Congrès a adopté la loi Sarbanes-Oxley de 2002 pour faire en sorte que les entreprises démontrent la véracité de leurs états financiers. L’objectif était d’étayer l’affirmation « Tout va bien ici. Les affaires vont bien » avec des faits réels pour protéger les investisseurs contre la fraude (dans le cas d’Enron).
À cette fin, tout type de données comptables doit être conservé pendant 7 ans. Étant donné que les e-mails peuvent contenir des informations concernant les audits de la société et l’examen des états financiers réalisés par le comptable, ils doivent alors être conservés pendant cette période.
Les mesures prises dans le cadre de l’exploitation de l’entreprise sont également liées aux résultats financiers, de sorte qu’elles doivent être conservées pendant sept ans. Bref, le mieux serait donc de conserver tous vos e-mails pendant au moins 7 ans.
HIPAA
L’HIPAA est la Loi sur la transférabilité et la responsabilité en matière d’assurance maladie. Il a été adopté sous le mandat du président Clinton pour permettre aux Américains de conserver leur assurance maladie lorsqu’ils perdent leurs emplois. Cette cruelle partie du capitalisme a été remplacée par la nouvelle loi sur la santé du président Obama, mais les exigences de l’HIPPA en matière de paperasserie demeurent.
On pourrait penser qu’une loi appelée « assurance maladie… » s’adresserait uniquement aux professionnels de la santé. Bien au contraire, la loi s’applique aux discussions sur la santé de toute personne, y compris votre personnel. Il peut s’agir d’un employé qui demande un congé médical pour consulter un médecin ou pour s’occuper d’un enfant malade ; ou bien d’un parent vieillissant. Du moment que la communication se fait par e-mail, l’HIPPA exige que vous conserviez le message pendant six ans.
Les règles au Royaume-Uni
Watson et Hall ont passé en revue les règles en matière de détention de documents au Royaume-Uni. Leur matrice regroupe les exigences de communication et de conservation par secteur : finance, gouvernement, communication et conformité interentreprises.
Selon Watson et Hall, les entreprises basées au Royaume-Uni sont tenues de conserver les dossiers fiscaux pendant trois ans ; les messages texte sur téléphone cellulaire pendant un an (ce serait difficile) ; et les e-mails pendant un an, à moins que vous soyez une entreprise financière, auquel cas l’exigence est de six ans.
Les fournisseurs d’accès internet (FAI) et les entreprises hébergeant des sites web sont tenus de conserver un registre de leur activité sur internet pendant 4 jours et des informations sur la connexion Internet pendant un an.
Lois allemandes sur la conservation des données
Iron Mountain, l’entreprise américaine d’archivage de documents et de données informatiques, a dressé une liste pour l’Allemagne. En effet, les entreprises allemandes et les entreprises opérant en Allemagne sont tenues de conserver les communications commerciales pendant 6 ans et les données salariales et comptables pendant 10 ans.
Archivage des e-mails avec ArcTitan Cloud
Les exigences eDiscovery stipulent que les e-mails doivent être conservés et consultables pendant 6 ans. Par conséquent, il est important d’utiliser un système d’archivage d’e-mails – comme ArcTitan – qui donne aux utilisateurs un accès en ligne à ce qui est archivé hors ligne et hors site.
Il existe une alternative consistant à suivre un processus fastidieux pour restaurer des fichiers de données d’e-mails à partir d’une sauvegarde afin de rechercher ce qui pourrait être demandé à votre entreprise. Cependant, il s’agit d’un processus lourd et sujet aux erreurs.
ArcTitan inclut un navigateur en langage naturel via lequel vous pouvez rechercher dans les archives de votre messagerie électronique tous les éléments liés, par exemple, à « Fusion avec Acme Company ». Cet outil permet à votre entreprise de rester en conformité avec les réglementations en vigueur et de se conformer facilement aux exigences eDiscovery.
Faire face aux implications des médias sociaux sur la sécurité des réseaux d’entreprise
Les médias sociaux sont désormais l’affaire de tous. Une nouvelle étude indique que l’utilisation des médias sociaux sur les réseaux d’entreprise est en nette augmentation. L’étude Osterman Research a révélé que 36 % des employés d’entreprises utilisent Facebook au travail, contre 28 % il y a 12 mois. L’utilisation de Twitter est passée de 11 % à 17 %, et celle de LinkedIn de 22 % à 29 %.
L’utilisation des médias sociaux dans les entreprises comporte de nombreux aspects commerciaux, y compris les implications informatiques et du contrôle sécuritaire. À cela s’ajoutent les problèmes liés aux utilisateurs finaux, notamment l’utilisation personnelle des médias sociaux sur le lieu de travail.
Les malwares sont omniprésents dans les médias sociaux
Ladite étude a également mis en évidence que les malwares sont omniprésents dans les médias sociaux. Les responsables informatiques et réseaux doivent désormais gérer et sécuriser les nouveaux points d’accès réseau créés par l’utilisation des médias sociaux. En fin de compte, plus il y a de personnes qui les utilisent, plus il y a de risques de problèmes de sécurité et d’attaques réussies.
Les spams et les attaques de phishing qui se propagent sur les réseaux sociaux peuvent avoir des conséquences dévastatrices pour les entreprises. Parmi celles qui ont permis l’utilisation de Facebook dans le milieu de travail, 24 % ont vu des malwares infiltrer leurs réseaux, contre 7 % pour Twitter et LinkedIn. Cependant, une proportion importante des personnes interrogées ne savaient tout simplement pas si elles avaient été victimes de malwares via les médias sociaux ou non.
Les utilisateurs professionnels sont tout aussi vulnérables aux attaques de phishing et de malwares que les consommateurs
Les employés passent de plus en plus de temps sur les réseaux sociaux. Ils partagent des informations personnelles et parfois, involontairement, des données sensibles concernant l’entreprise. L’augmentation du nombre d’attaques ciblées de spear phishing nous indique que les réseaux sociaux sont non seulement une excellente source d’information pour les cybercriminels, mais aussi (et le plus souvent) la plate-forme choisie par les pirates pour lancer des attaques.
Les entreprises et les utilisateurs individuels doivent donc s’efforcer continuellement de se protéger contre les attaques de phishing ciblées qui les exposent au risque d’usurpation d’identité, d’offres frauduleuses et d’attaques de malwares. Nous connaissons tous le scénario : un employé visite un site de média social à partir de son ordinateur de travail pendant son temps libre et finit par attraper un cheval de Troie via ce site.
Il est possible qu’un dirigeant d’une entreprise soit victime d’une telle escroquerie, mais les utilisateurs professionnels sont tout aussi vulnérables aux attaques de phishing et de malwares que les consommateurs. La différence est que, dans l’environnement commercial, les enjeux peuvent être plus élevés. Si l’utilisateur utilise le même mot de passe pour un site de média social personnel que pour votre réseau, il y a deux fois plus de risque.
Certains malwares surveillent l’activité de l’ordinateur et peuvent enregistrer les frappes au clavier réalisées par les utilisateurs. Les informations pourraient être utilisées par les pirates pour accéder à des comptes de messagerie électronique, à des comptes en ligne, à des comptes bancaires et à d’autres renseignements de ce genre. Elles ne devraient donc pas être partagées, car elles risquent d’être envoyées à une personne qui ne devrait pas y avoir accès.
Qui est responsable de la protection contre le spam et les malwares sur les médias sociaux ?
Il est clair qu’une approche multicouche de la sécurité est indispensable. Les entreprises doivent déployer une variété d’outils, et de manière intelligente, pour s’assurer que le réseau est protégé contre les attaques par e-mail et par Internet.
Du point de vue des réseaux sociaux, les entreprises doivent surveiller, gérer et contrôler leur utilisation sur le lieu de travail et protéger les données de l’entreprise contre les malwares et autres menaces Internet telles que les virus, les spywares et le phishing.
La croissance continue du Web 2.0 sur le lieu de travail et la prolifération du spam de réseau social constitue une nouvelle frontière en matière de responsabilité des employés dans le domaine de la sécurité réseau. Une escroquerie par phishing réussie peut entraîner des pertes financières et la perte de données des clients. Les organisations doivent donc rester vigilantes et suivre des directives éprouvées, à savoir de ne pas cliquer sur des liens ou des pièces jointes dans les e-mails non sollicités.
La formation et la sensibilisation des utilisateurs sont essentielles et devraient faire partie intégrante de tout programme de sécurité de l’entreprise. Les réseaux sociaux ont eux aussi un rôle à jouer dans la réussite des attaques cybercriminelles. La mise en œuvre et le renforcement des filtres antispam sociaux s’avèrent donc inévitables.
L’utilisation des réseaux sociaux se développe rapidement, mais les entreprises ont peu d’informations à ce sujet
Cette recherche nous a appris qu’aujourd’hui, l’utilisation des médias sociaux dans le milieu de travail est au même niveau que celle des e-mails au milieu des années 90.
En effet, leur utilisation croît rapidement, mais la surveillance ou la compréhension de cette utilisation sont insuffisantes. Cela laisse les entreprises vulnérables à un large éventail de menaces, notamment l’infiltration de malwares, les fuites de données, l’impossibilité d’archiver les enregistrements de l’entreprise publiés via les réseaux sociaux. Bien entendu, il y a d’autres risques qui coûtent beaucoup plus que les technologies pouvant être déployées pour s’en protéger.
Kaspersky Labs a été accusé par plusieurs anciens employés anonymes de créer de faux malwares afin que les produits antivirus concurrents signalent les faux positifs et soient discrédités. Lorsqu’il s’agit de sources anonymes, ce qui rend les informations de Kaspersky moins transparentes, la prudence est de mise. Nous avons contacté Kaspersky pour obtenir plus d’informations.
Kaspersky Labs nie strictement ces accusations et nous a fourni cette déclaration :
« Contrairement aux allégations faites dans un reportage de Reuters, Kaspersky Lab n’a jamais mené de campagne secrète pour tromper ses concurrents et les amener à générer de faux positifs afin de nuire à leur position sur le marché. De tels actes sont contraires à l’éthique. Elles sont malhonnêtes et illégales. Les accusations d’anciens employés anonymes et mécontents — selon lesquelles Kaspersky Lab, ou son PDG, aurait été impliqués dans ces incidents — sont sans fondement et tout simplement fausses. En tant que membre de la communauté de sécurité informatique, nous partageons avec d’autres fournisseurs nos données de renseignements sur les menaces et les Indicateurs de compromission (IOCs) sur les acteurs de menaces avancées. Nous recevons et analysons également les données sur les menaces fournies par d’autres fournisseurs. Bien que le marché de la sécurité soit très concurrentiel, l’échange de données fiables sur les menaces est un élément essentiel de la sécurité globale de l’ensemble de l’écosystème informatique. Nous nous efforçons de faire en sorte que cet échange ne soit pas compromis ou corrompu.
En 2010, nous avons effectué une expérience ponctuelle en téléchargeant seulement 20 échantillons de fichiers non malveillants sur le multiscanner VirusTotal, ce qui ne causerait pas de faux positifs, car ces fichiers étaient absolument propres, inutiles et sans danger. Après l’expérience, nous l’avons rendue publique et avons fourni tous les échantillons utilisés aux médias pour qu’ils puissent la tester eux-mêmes. Nous avons mené cette expérience pour attirer l’attention de la communauté de sécurité sur le problème de l’insuffisance de la détection multiscanner lorsque les fichiers sont bloqués uniquement parce que d’autres fournisseurs les ont détectés comme étant malveillants, sans examen réel de leurs activités.
Après cette expérience, nous avons eu une discussion avec l’industrie de l’antivirus à ce sujet et nous avons compris que nous étions d’accord sur tous les points importants.
En 2012, Kaspersky Lab faisait partie des entreprises touchées par une source inconnue qui a téléchargé des fichiers défectueux vers VirusTotal, ce qui a entraîné un certain nombre d’incidents avec des détections de faux positifs. Pour résoudre ce problème, en octobre 2013, lors de la conférence VB à Berlin, il y a eu une réunion privée entre les principaux fournisseurs d’antivirus dans le but d’échanger des informations sur les incidents ; de déterminer les motifs de cette attaque et d’élaborer un plan d’action. On ne sait toujours pas qui était derrière cette campagne. »
Selon Ronan Kavanagh, PDG de TitanHQ, « Kaspersky est un excellent produit. Nous n’avons jamais eu de problème avec lui, bien au contraire. Bien entendu, nous avons vu de faux positifs, nous avons été ciblés par de mauvais échantillons comme beaucoup d’autres fournisseurs de sécurité, mais nous n’aurions aucune visibilité sur les auteurs de ces attaques. L’essentiel, c’est qu’en tant qu’industrie, nous travaillons ensemble pour riposter aux éventuelles menaces.
Eugene Kaspersky n’a pas été content de l’article de Reuters et a décidé de nier vigoureusement ces revendications sur Twitter.
Avez-vous déjà demandé à un logiciel de sécurité de renvoyer de faux positifs ?
Les honeypots sont un élément de base de la boîte à outils de la sécurité réseau pour les administrateurs système. Ils peuvent offrir des avantages uniques aux entreprises. Pour ceux qui ne sont peut-être pas familiers avec ce terme, un honeypot est un système informatique qui est tout particulièrement fait pour être attaqué, scanné ou exploité.
Mais pourquoi se donner la peine d’affaiblir volontairement son système informatique ? N’avons-nous pas assez de problèmes pour assurer la sécurité de nos systèmes ?
Aussi valables que ces questions puissent être, elles passent complètement à côté du sujet. En réalité, les honeypots peuvent nous permettre d’observer le comportement d’un attaquant, lui faire perdre son temps, le frustrer et, généralement, le tenir éloigné des systèmes et réseaux auxquels nous tenons vraiment. Chaque fois qu’un attaquant passe du temps à interagir avec un honeypot, il ne passe pas du temps à attaquer un système réel.
Il existe de nombreux types de honeypots. Certains sont bons pour simuler une topologie réseau entière avec de nombreux hôtes, chacun exécutant différents systèmes d’exploitation et services. Les honeypots ont été largement utilisés par les chercheurs pour étudier les méthodes des attaquants, ils peuvent aussi être très utiles pour les systèmes de défense informatiques.
HONEYD
Honeyd est un outil particulièrement utile que vous pouvez obtenir à l’adresse http://www.honeyd.org. L’extrait suivant est tiré de ce site Web :
Honeyd est un petit démon qui crée des hôtes virtuels sur un réseau. Les hôtes peuvent être configurés pour exécuter des services arbitraires, ils peuvent également être adaptés pour donner l’impression d’utiliser des systèmes d’exploitation différents. Honeyd permet à un seul hôte de revendiquer plusieurs adresses (personnellement, j’ai testé jusqu’à 65536) sur un réseau local pour la simulation de réseau. Honeyd améliore donc la posture de sécurité en fournissant des mécanismes de détection et d’évaluation des menaces et dissuade les pirates informatiques en cachant les systèmes réels au milieu des systèmes virtuels.
Voici quelques caractéristiques intéressantes qui ont attiré mon attention :
Honeyd a la capacité de simuler de nombreux hôtes virtuels en même temps.
Il utilise l’empreinte digitale passive pour identifier les hôtes distants (attaquants).
Il simule plusieurs piles TCP/IP (OS X, Windows, Linux etc.) en utilisant les fichiers de signatures NMAP et NPROBE. Cette fonctionnalité spécifique m’a vraiment époustouflé !
Il peut simuler des topologies de réseau arbitraires et même vous permettre d’ajuster la latence et la perte de paquets.
Vous pouvez également exécuter de vraies applications UNIX sous des adresses IP virtuelles Honeyd (serveurs HTTP, serveurs FTP… bref, tout ce que vous voulez !).
Ce que notre administrateur système avait à dire
Nous avons parlé à Arona Ndiaye, notre administrateur système expert en Linux et basée aux Pays-Bas. Nous lui avons demandé de jeter un coup d’oeil à Honeyd et de nous faire part de ses commentaires. Voici ce qu’elle a dit :
« J’utilise principalement les systèmes *nix et Linux, donc je ne peux pas parler d’OS X ou Windows. Mais l’installation de cet honeypot sur Kali Linux m’a simplement demandé d’ajouter une ligne à mon fichier sources.list et d’exécuter apt-get update && apt-get install Honeyd. Pour le configurer, il fallait éditer un fichier de configuration textuel et s’assurer que mon pare-feu avait les bonnes permissions. Le site Web de l’outil contient la plupart des informations dont vous aurez besoin pour commencer…
… le reste peut être facilement récupéré en utilisant l’outil et en l’attaquant vous-même, ce qui est exactement ce que j’ai fait au début. J’ai été étonné de ce que me disait le NMAP et j’ai immédiatement voulu savoir comment j’avais réussi à le tromper. Il s’avère que l’installation de Honeyd inclut un fichier appelé nmap.prints. Le contenu de ce fichier est ce qui permet à Honeyd d’émuler un système d’exploitation spécifique. J’ai quelques honeypots en cours d’exécution sur les instances d’Amazon EC2 et le type d’informations que vous pouvez recueillir sur les scans et les attaques est tout simplement impressionnant ».
KIPPO
Kippo est aussi un honeypot, mais il se concentre sur la falsification d’un serveur SSH et laisse les attaquants le “forcer brutalement” en lui attribuant un mot de passe très facile à deviner, tel que 123456. Ce qui est intéressant avec Kippo, c’est ce qui se passe après que l’attaquant a réussi à se connecter à votre système. En effet, vous pouvez simuler un système de fichiers entier et même cloner la structure de fichiers d’un système installé. Notre administrateur système a également expérimenté cette possibilité et voici ce qu’elle a dit :
“Je l’ai fait avec Kali Linux et je m’y suis connecté à partir d’une autre machine. En utilisant divers utilitaires système, j’ai pu voir quelque chose qui ressemblait à une installation Kali normale. Je pouvais naviguer dans les dossiers, demander le contenu des fichiers, télécharger des fichiers, etc. Tout cela était bien sûr enregistré par Kippo.”
Voyez jusqu’où vous pouvez aller pour faire perdre du temps à un pirate informatique
“Ce que j’ai trouvé fascinant avec cet outil, c’est jusqu’où vous pouvez aller pour gaspiller le temps ou les ressources d’un éventuel attaquant. Kippo vous permet de spécifier le contenu des fichiers pour des fichiers spécifiques, tels que /etc/passwd, ce qui signifie que vous pouvez vraiment aller très loin pour truquer un système de fichiers spécifique. Le fait que toute interaction avec le système soit enregistrée signifie que tout code d’exploitation, shellcode ou malware téléchargé est enregistré. Il peut donc être disséqué ultérieurement dans une machine virtuelle”.
Kippo et Honeyd ne sont que deux outils parmi tant d’autres. La plupart d’entre eux sont open source, ce qui signifie que le fait de pouvoir les modifier pour les adapter à vos besoins est une véritable opportunité. Beaucoup de gens construisent des combo-honeypots où ils utilisent plusieurs outils pour construire des réseaux, des hôtes et des services élaborés. Tous ces outils sont faux, mais ils semblent bien réels.
Cinq avantages que les honeypots peuvent apporter à votre entreprise
Ce qui rend les honeypots intéressants, c’est qu’ils permettent de :
Gaspiller les ressources, le temps et l’attention des cybercriminels.
Recueillir des informations sur les attaques, les kits d’exploitations, les tendances et les malwares pour former votre équipe de sécurité.
Observer les comportements des attaquants.
Connaître le profil des attaquants et leurs méthodes.
Améliorer éventuellement votre posture de sécurité globale, à condition qu’elle soit bien gérée.
Un honeypot doit être maintenu et mis à jour
Je ne recommanderais pas de faire entièrement confiance à votre honeypot. Voici les raisons :
Un attaquant expérimenté peut écrire des scripts pouvant confirmer si une machine spécifique est un honeypot ou non.
Comme tout autre outil, un honeypot a des scénarios qui lui conviennent parfaitement et d’autres qui ne le sont pas.
Vous avez besoin d’une personne capable de gérer en permanence le honeypot et qui sera toujours prête à faire face aux éventuels problèmes.
Le honeypot doit être entretenu et mis à jour, tout comme les autres machines. Vous devez donc décider si le gain en vaut la peine.
Le simple fait d’“ajouter un honeypot” n’augmentera pas la sécurité de votre réseau et pourrait même constituer une faille de sécurité si le honeypot n’est pas aussi bien isolé.
Êtes-vous un fan de honeypots ? Sinon, pourquoi pas ?
Après une fuite de données, celles-ci sont souvent vendues sur le dark web. L’autre jour, je parlais à un de mes amis du dark web, cet endroit sinistre où des actes ignobles sont accomplis et où des biens et services interdits sont vendus et échangés.
À l’approche d’Halloween, ce conte était très approprié. Après m’avoir écouté, il a répondu : « J’aurais vraiment aimé que tu ne m’aies pas parlé du dark web. Je n’aime pas savoir qu’un tel endroit existe vraiment. »
Meurtres contre rémunération sur le dark web
Le dark web existe et c’est un endroit sombre et sinistre.
Lord Voldermort et les mangemorts ne s’y cachent peut-être pas, mais vous y trouverez les cartes d’appel et le butin de milliers de pirates et de cybercriminels des quatre coins du monde. Données de cartes de crédit volées, renseignements sur la santé des patients, drogues, meurtres, monnaies contrefaites, etc. tout y est. Ces biens et services illicites font l’objet d’une publicité sur le dark web, et les pirates sont à la recherche d’individus qui sont prêts à les acheter, et ce, uniquement en bitcoins. Le 15 décembre 2015, Forbes Magazine a publié un article intitulé “The Things You Can Buy on the Dark Web Are Terrifying.”, consacré aux choses illégitimes disponibles sur le dark web.
Alors, qu’est-ce que le dark web ?
Le web traditionnel, comme la plupart d’entre nous le savent, est l’endroit où nous vérifions nos emails, consultons les prévisions météo et achetons sur Amazon, entre autres. Il est connu sous le nom de clear web. Sachez qu’il ne représente que 4% de l’Internet. Les 96 % restants sont désignés sous le nom de deep web, un vaste secteur de l’Internet inaccessible aux moteurs de recherche traditionnels. La majorité du deep web est un espace légitime. Il se compose de zones sécurisées réservées à certains organismes ou catalogues de données qui exigent un certain type d’accès aux membres. Les données de nombreuses organisations scientifiques telles que la NASA constituent par exemple une partie du deep web.
Attaques menées par le groupe de pirate DarkOverLord
Il existe un petit secteur du deep web appelé dark web. Il ne s’agit certainement pas d’un endroit où vous voulez qu’on retrouve les dossiers médicaux de vos patients. Malheureusement, plus de 655 000 personnes ont été victimes d’une telle situation, suite à un trio d’atteintes à la protection des données qui se sont produites au cours des mois d’été. L’attaque a été commise par un groupe de pirates informatiques utilisant le nom « The DarkOverLord », ancien expert en ransomware qui a maintenant choisi de mener le jeu à un niveau plus élevé en volant les dossiers médicaux des patients. L’incident a été découvert lorsque le DarkOverLord a contacté les trois organismes de santé concernés pour les avertir que leurs bases de données de patients avaient été saisies et que des échantillons avaient été affichés sur RealDealMarket, un site sans scrupules sur le dark web où les cybercriminels vendent tout, des cartes de crédit volées aux drogues.
La fuite de données comprenait ce qui suit :
48 000 dossiers de patients d’une clinique de Farmington, une ville du Missouri, aux États-Unis. Les enregistrements ont été acquis à partir d’une base de données Microsoft Access en texte brut.
210 000 dossiers de patients provenant d’une clinique du centre du Midwest des États-Unis qui ont été saisis en texte brut. Les dossiers comprenaient les numéros de sécurité sociale, les prénoms et noms de famille, les initiales du deuxième prénom, les informations sur le genre, les dates de naissance et les adresses postales des victimes.
La plus grande attaque impliquait la violation de 397 000 dossiers d’une grande clinique basée à Atlanta, en Géorgie. Celles-ci comprenaient également les numéros d’assurance maladie primaire et secondaire et les numéros de police d’assurance des victimes. Comme pour les autres incidents, les données n’étaient pas chiffrées.
Le DarkOverLord exigeait une rançon pour les 655 000 dossiers de patients sur le dark web
Le DarkOverLord a exigé une rançon de 1 $ par dossier auprès de chacune des organisations et attribué une date limite distincte pour le règlement. Si ces demandes ne sont pas satisfaites aux dates fixées, ils menaçaient de vendre les dossiers à de multiples acheteurs. Le groupe de pirate prétend qu’il a communiqué avec les trois organisations avant de voler les dossiers des patients pour les informer qu’il avait violé leurs réseaux et qu’il demandait des fonds pour les informer de leurs vulnérabilités, mais celles-ci ne voulaient rien entendre. Sur un site d’informations qui rend compte de la communauté de piratage, il a déclaré : « La prochaine fois qu’un adversaire viendra à vous et vous offrira la possibilité de le cacher et de le faire partir pour une somme modique afin d’empêcher la fuite de données, acceptez l’offre ».
Les trois cliniques ont communiqué avec leurs patients pour les avertir de la brèche et du risque imminent de vol d’identités. Pour le cas de l’entreprise d’Atlanta, la police locale a déjà commencé à documenter les rapports de police des patients victimes ayant signalé que leur crédit a été compromis. Les trois organisations doivent maintenant subir d’importantes atteintes à leur crédibilité et à leur réputation, et des poursuites imminentes seront sans aucun doute intentées sous peu contre elles. Selon une étude réalisée en 2016 par le Ponemon Institute, le coût moyen par dossier volé dans le secteur des soins de santé est de 355 $ aux États-Unis et de 158 $ dans le monde.
À l’approche d’Halloween, nous avons tous beaucoup plus à avoir peur de simples fantômes et gobelins. Ce que nous devons vraiment craindre, c’est que nos données personnelles soient vendues au plus offrant dans cet endroit sans scrupules qu’est le dark web.
La communauté de cybersécurité croit généralement qu’il suffit qu’un pirate informatique arrive à compromettre un seul ordinateur dans une entreprise pour qu’il puisse lancer une attaque. L’administrateur réseau, par contre, doit protéger chaque périphérique pour réussir dans son travail.
Cette notion a été illustrée il y a deux mois lorsqu’un système scolaire en Géorgie (États-Unis) a été contraint de lutter contre une attaque virale à grande échelle pendant six semaines. L’analyse de la manière dont le malware a infiltré le système scolaire évoque la façon dont les cybercriminels peuvent s’attaquer aux plus petites vulnérabilités de votre réseau. Elle permet également de savoir comment les effets d’une telle attaque se sont propagés rapidement.
Retarder l’inévitable
Le système scolaire a mis en place un système de sécurité multicouche comprenant un pare-feu d’entreprise, une solution de filtrage web, un filtre antispam Office 365 complété par l’ATP, ainsi qu’une protection des terminaux. D’une manière générale, le système informatique de l’établissement était solidement protégé, à l’exception d’une petite poignée d’ordinateurs dans le service des transports.
Alors que le département informatique avait migré tous les postes de travail de l’école vers Windows 10 et mis à niveau tous les serveurs dotés d’un système d’exploitation antérieur à Server 2012 vers une version serveur actuelle, le département des transports retardait constamment ces mises à niveau. Les employés du département ont partagé une pléthore de fichiers sur un serveur Windows 2003 local et certains employés travaillaient encore avec des machines fonctionnant sous Windows XP. Les chefs de département ont toujours insisté sur le fait que le moment n’était pas propice à une mise à niveau chaque fois que la question a été évoquée.
Malheureusement, le virus Emotet a infecté le réseau de l’école à l’aide du kit d’exploitation EternalBlue. Plus tôt cette année, Emotet a coûté 314 000 $ à un district scolaire de la Caroline du Nord. Les attaques d’Emotet visent souvent des organisations éducatives. EternalBlue tire parti d’une vulnérabilité bien connue qui exploite Microsoft Server Message Block 1.0. SMB est un protocole de partage de fichiers en réseau qui permet aux applications sur un ordinateur de lire et d’écrire des fichiers et de demander des services. Le protocole SMBv1 est intégré à toutes les versions de Windows pour assurer la compatibilité avec les versions antérieures. Emotet, qui date de 2014, a été initialement publié comme un cheval de Troie bancaire. Depuis lors, il a évolué en une charge malveillante pour d’autres types de malwares et de chevaux de Troie.
La vulnérabilité a été découverte publiquement au début de l’année 2017. Suite à cela, Microsoft a publié le correctif MS17-010 en mars 2017 pour éliminer la vulnérabilité des plateformes actuelles. Ensuite, il a publié des correctifs pour Windows XP, Windows 8 et Server 2003, même si ces systèmes ne sont plus pris en charge. Malheureusement, il s’agissait d’une mise à jour hors bande, c’est-à-dire qu’elle exige que le personnel informatique télécharge et installe manuellement le correctif. Pour une raison ou une autre, le correctif publié n’a jamais été installé sur les machines obsolètes au sein du district scolaire.
Anatomie d’une infection virale
Bien qu’une enquête n’ait pas encore permis de découvrir comment le virus a été lancé pour la première fois, on croit qu’un employé du service des transports a cliqué sur quelque chose dans un e-mail. L’utilisateur utilisait une machine XP qui avait plusieurs lecteurs mappés sur le serveur Windows 2003 local. Une fois que le virus a établi une tête de pont au sein du département, il a commencé à infecter latéralement d’autres machines. En outre, il a impliqué l’infection des machines victimes avec des malwares de chiffrement, laquelle semblait être le principal objectif de l’attaque.
Les processus de cryptomining consomment des ressources du processeur, ce qui rend les machines pratiquement inutilisables. Dans l’ensemble du district scolaire, bon nombre de machines infectées ont planté sur l’écran bleu et été redémarrées tout au long de la journée en raison de la consommation de ressources. Le réseau informatique s’est également ralenti en raison des flux de trafic malveillants qui circulaient sur l’autoroute latérale SMB.
Comme le reste du système scolaire avait correctement mis à niveau ses machines vers les systèmes d’exploitation pris en charge, le virus avait besoin d’un autre moyen pour se propager. Un keylogger a été déposé sur les machines infectées. Il pouvait rapidement capturer les informations d’identification d’un technicien de support informatique disposant des droits d’administration du domaine. Avec les nouvelles informations d’identification, Emotet a alors commencé à désactiver la fonction de mise à jour de Windows Defender sur les postes de travail et les serveurs clés, y compris les contrôleurs de domaine.
Au bout d’une semaine, le virus a pu installer des chevaux de Troie récemment publiés sur ces ordinateurs en créant des tâches planifiées sous le compte de l’administrateur. Un module de spam d’Emotet a alors commencé à envoyer des spams malveillants aux utilisateurs dans tout le district, en utilisant plusieurs versions d’une facture qui nécessitait de l’attention. Plusieurs utilisateurs sont tombés dans le piège et leurs machines ont été infectées. D’autres dispositifs ont obtenu le virus à partir de partages qui résidaient sur des serveurs infectés. Emotet a ensuite déployé le cheval de Troie bancaire Trickbot, lequel a ciblé rapidement les systèmes effectuant des transactions financières. Heureusement, le logiciel financier a détecté le virus et a refusé la connexion à un site bancaire externe.
Comment le département informatique a-t-il maîtrisé le virus ?
Ne connaissant pas l’état de la protection des terminaux pour ses machines, les employés du département informatique se sont d’abord efforcés de désactiver SMBv1 sur toutes les machines. Ainsi, le réseau a commencé à accélérer. Par ailleurs, une stratégie de groupe Windows a été créée pour empêcher la création de tâches planifiées sur le réseau. Ils ont téléchargé manuellement les mises à jour les plus récentes de Windows Defender et les ont installées sur toutes les machines qui étaient en retard sur les mises à jour. Enfin, ils ont exécuté Autoruns for Windows et supprimé tous les processus et fichiers qui passaient par l’application Trojan.
Au total, il a fallu 6 semaines complètes pour que le département informatique, surchargé, puisse maîtriser, endiguer et éliminer le virus. Depuis lors, il a créé de nouvelles politiques informatiques concernant les mises à niveau et les correctifs obligatoires pour tous les systèmes informatiques. En outre, ils ont mis fin à la pratique du partage interne de fichiers, exigeant que tout le personnel partage les fichiers dans le cloud.
Le fait est que tout cela aurait pu être évité s’il n’y avait pas eu négligence de deux principes clés de l’hygiène en matière de cybersécurité :
Mettre à niveau tous les systèmes d’exploitation et périphériques non pris en charge.
Toujours s’assurer que tous les appareils sont correctement mis à jour.
Malheureusement, les pirates informatiques peuvent facilement savoir si votre organisation utilise Office 365. Ils peuvent le faire parce que vous le diffusez dans le monde entier sur vos enregistrements DNS MX publics. Le fait de savoir que vous êtes abonné à Office 365 peut influencer la façon dont ils lancent une attaque sur votre réseau. Cela leur donne un avantage énorme dès le départ.
De nombreuses entreprises utilisent une approche de sécurité multicouche pour leurs e-mails. La raison est qu’elles trouvent les solutions proposées par les fournisseurs de sécurité dédiés plus efficaces, flexibles et moins coûteuses, comparées à la protection avancée contre les menaces de Microsoft qui nécessite des licences et des coûts supplémentaires.
Vous venez de recevoir un rapport de votre hébergeur ou d’un tiers indiquant que votre site héberge du contenu de phishing ? Bien que votre premier réflexe puisse être de supprimer les fichiers, de changer les mots de passe et de tout mettre à jour le plus rapidement possible, ce serait une grosse erreur. En prenant quelques minutes pour recueillir des informations, vous obtiendrez un meilleur résultat.
Dans cet article, nous discuterons de ce qu’il faut faire si votre site web a été infecté par un contenu de phishing et comment trouver les vulnérabilités et nettoyer votre site. Selon le type d’hébergement que vous avez choisi, votre fournisseur peut être en mesure de vous aider. Quoi qu’il en soit, je vous recommande de consulter un professionnel qui a déjà traité ce genre de question.
Étape 1 – Trouvez la source de l’infection
Il est primordial de trouver la source de l’infection. Ne faites aucun changement avant de mener une enquête complète, car cela réduit vos chances de trouver la source. Les hackers sont très bons pour couvrir leurs traces. De plus, la vulnérabilité d’origine n’est généralement exploitée qu’une seule fois pour télécharger son propre malware. La plupart des indices n’indiqueront pas l’attaque initiale, à moins que les pirates n’aient été négligents. Donc, vous avez besoin de tous les indices disponibles.
Outre le fait de rechercher les vulnérabilités du site, vous devez trouver tout le contenu de phishing téléchargé. Il y en a probablement plus d’un. Les sites de phishing sont particulièrement difficiles à trouver puisqu’ils sont conçus pour ne pas perturber votre site. Leur contenu semble être normal pour les scanners, ce qui rend la détection automatisée inefficace.
Comment l’infection par le contenu de phishing se produit-elle ?
Avant d’entrer dans les détails, il importe de comprendre comment et pourquoi les sites sont infectés par un contenu de phishing. Souvent, les pirates utilisent des ordinateurs compromis pour héberger des contenus et actions malveillantes, y compris le vol d’identité, la fraude financière, ainsi que la collecte de données sensibles auprès des victimes pour une utilisation illégale future. D’autres pirates le font dans le but d’obtenir un contrôle administratif sur les sites web légitimes des entreprises et organisations afin de pouvoir dissimuler leurs activités de phishing.
Le but d’un site de phishing est d’accéder aux informations d’identification d’un utilisateur. Les cibles les plus communes sont les banques et les grandes entreprises comme Apple, Ebay, Google, Paypal et Microsoft. Mais en réalité, toute organisation ou entreprise de toute taille peut être une cible. Les entreprises ont leurs propres équipes de sécurité dédiées et elles reçoivent également de l’aide de la part des agences gouvernementales et de sociétés de sécurité privées. Par conséquent, les sites de phishing sont normalement découverts et éliminés assez rapidement.
Cela oblige les pirates informatiques à utiliser rapidement des outils automatisés pour gérer le réseau de sites et de serveurs de messagerie qu’ils ont piratés. Par conséquent, tout obstacle que mettez en place pourrait réduire les chances que les pirates informatiques ciblent votre site. Il est beaucoup plus efficace pour eux de passer au prochain site non sécurisé.
Les raisons les plus courantes qui amènent les cybercriminels à attaquer un site ou un serveur sont les mises à jour non appliquées, les sites mal sécurisés pendant leur conception, les mots de passe faibles et les scripts personnalisés non sécurisés. Pour en savoir plus, vous pouvez lire notre récent article sur la nécessité de mettre à jour vos applications et d’utiliser des mots de passe forts.
Lors de sa conception, votre site est-il sécurisé ?
Il y a une chose que même les administrateurs expérimentés négligent parfois : la sécurité de leur site lors de sa conception. Si des pirates parviennent à accéder à votre compte via une vulnérabilité sur votre site pendant cette phase, ils auront également accès à votre site habituel. Par ailleurs, il est fortement recommandé de supprimer tout site en phase de conception ou d’essai une fois les travaux terminés.
Enquêtez sur la sécurité des réseaux
Lors d’une enquête de sécurité, prenez des notes détaillées sur ce que vous découvrirez au fur et à mesure de votre progression. Tâchez de ne pas enlever ni de modifier aucun détail. Notez le chemin complet vers tous les sites de phishing que vous trouverez, ainsi que les fichiers malveillants, les injections de code et les scripts contenant du code non sécurisé. Gardez également trace de leurs horodatages et de toutes les entrées de journal connexes. Ensuite, vous pouvez utiliser ces informations pour déterminer la meilleure marche à suivre et pour supprimer les éléments malveillants.
Souvent, vous recevez un rapport sur des dossiers spécifiques. Mais parfois, l’information dont vous disposez est limitée. Plusieurs experts en matière de sécurité informatique à qui j’ai parlé aiment utiliser Sucuri Sitecheck pour vérifier s’il y a des problèmes connus.
https://sitecheck.sucuri.net/
Pour cet exemple, nous avons un rapport d’un lien de phishing pointant sur notre site WordPress qui s’exécute sur un serveur cPanel.
http://www.example.com/Apple/securelogin.html
C’est un exemple de base des tactiques les plus courantes utilisées par les pirates informatiques. Il y a beaucoup de variantes et, franchement, même les professionnels sont parfois perplexes. En réalité, les pirates informatiques sont intelligents et changent constamment de tactique.
Cela dit, la plupart des professionnels de la sécurité abordent une enquête de phishing sans jamais avoir vu le site et sans connaître le codage personnalisé. La procédure décrite ci-dessous peut sembler fastidieuse, mais avec un peu de pratique, vous pouvez faire une recherche complète et nettoyer un site web de taille standard en 10 à 15 minutes. C’est valable pour un serveur web Apache Linux/Unix.
Tout d’abord, examinez l’horodatage des dossiers infectés
Pour commencer, vous devez examiner les horodatages des fichiers concernés. Vous n’avez pas modifié ou supprimé les fichiers, n’est-ce pas ? Si oui, ne vous inquiétez pas. Vous trouverez probablement d’autres fichiers malveillants plus tard lors de votre enquête.
Pour voir l’horodatage complet, vous devez utiliser la commande « stat ». Utilisez-le sur le fichier que vous connaissez déjà.
Si vous regardez de près les informations ci-dessus, vous pouvez voir que les dates de modification sont différentes. « Modify » fait référence au contenu du fichier, tandis que « Change » fait référence aux métadonnées (nom de fichier, autorisations, etc.). La date de modification est généralement la plus importante, mais les deux peuvent être nécessaires pendant l’enquête.
Étape 2 – Comparez aux journaux
Maintenant que vous avez le temps de connaître le moment où certains des changements ont eu lieu, vous pouvez les comparer aux journaux. Les journaux d’accès Apache sont le meilleur endroit pour commencer. Si rien ne se trouve dans Apache, vous trouverez probablement un téléchargement dans les journaux FTP ou cPanel. Puisque les journaux Apache sont l’endroit le plus courant pour trouver les informations dont vous avez besoin, nous allons nous concentrer sur ce sujet.
La plupart du temps, vous devez voir les commandes POST afin de filtrer les journaux pour le POST ainsi que la date et l’heure.
# grep POST /usr/local/apache/domlogs/user/example.com|grep ‘10/Apr/2015:15’|less
Les horodatages ne correspondent pas exactement. Apache enregistre le temps d’accès au début de la transaction, tandis que le système de fichiers enregistre la date de la dernière écriture dans le fichier. Gardez cela à l’esprit lorsque vous consultez les journaux.
Base de données ARIN et GeoIP
Dans ce cas, vous trouverez plusieurs centaines d’entrées comme celle ci-dessous. Veuillez noter qu’il ne s’agit que d’un exemple et que l’adresse IP n’est donc pas valide.
Il y a plusieurs signes évidents d’activités malveillantes dans cet enregistrement. Pourquoi y a-t-il un fichier PHP dans le répertoire de téléchargement ? Cette zone est normalement réservée aux images et aux documents. Il ne devrait pas être là. Il utilise également HTTP 1.0 et ne fournit pas de lien référer qui sont des signes d’une requête chiffrée. Et la requête est identifiée comme Googlebot, mais si vous vérifiez l’adresse IP dans la base de données ARIN ou l’outil GeoIP, vous verrez qu’elle n’appartient pas à Google.
Maintenant que vous avez un tracé à suivre, examinez le fichier « xXx.php ».
Exemple :
# cd wp-content/uploads/2013/06
# stat xXx.php
stat: cannot stat ‘xXx.php’: No such file or directory
Comment est-ce possible ? Le fichier a été déplacé ou supprimé par l’attaquant pour vous écarter de la piste. C’est une tactique courante, mais elle ne vous ralentira pas trop. Le fichier devrait être retrouvé plus tard s’il a été déplacé. Pour l’instant, vous pouvez passer à l’indice suivant : l’heure du changement. Examinez à nouveau les journaux à la recherche de l’heure de changement que vous avez vue plus tôt. Il devrait maintenant y avoir un lien vers un fichier différent utilisant une nouvelle adresse IP et un nouvel agent utilisateur.
Cette requête ne semble pas être chiffrée comme la précédente. Cependant, elle POSTE un fichier dans le thème suivant, ce qui est inhabituel. Examinez le contenu du dossier pour voir si vous pouvez découvrir ce qu’elle faisait.
C’est du code PHP obfusqué qui ne signifie pas nécessairement qu’il est malveillant. Il y a de bonnes raisons de le faire et cela pourrait vraiment faire partie du thème. Vous pouvez utiliser UnPHP.net pour le décoder. Bien que ce service ne le décode pas toujours complètement, il vous donnera généralement suffisamment d’informations pour déterminer s’il est malveillant ou dangereux.
Si vous parvenez à décoder le script, vous constaterez qu’il s’agit d’un script standard pour télécharger des images (pour ce cas précis, je ne voulais pas inclure de vrai code malveillant). De toute façon, ce fichier a été utilisé par l’attaquant. Ajoutez-le à votre liste et continuez à suivre le tracé en faisant correspondre les horodatages des fichiers aux entrées du journal.
Quand arrêter l’enquête ?
Si vous suivez ce même processus sur le fichier « js.php », vous constaterez peut-être qu’il mène à un autre fichier à tracer ; qu’il indique une vulnérabilité dans notre application ou notre thème ; ou même qu’il pourrait pointer vers lui-même. Mais supposons que dans ce cas, vous n’avez rien trouvé de suspect dans les registres.
C’est bien, mais parfois ce n’est pas si évident. Filtrez les logs de manière un peu différente cette fois-ci pour voir tous les POST de cette IP.
# grep POST /usr/local/apache/domlogs/user/example.com|grep 60.123.234.345|less
Vous devrez peut-être filtrer davantage les résultats pour trouver les informations importantes. Supposons que vous trouvez le script suivant :
Cela indique soit un mot de passe compromis, soit une vulnérabilité dans WordPress. Vous pouvez consulter les journaux plus en détail pour savoir de quel type il s’agit. Pour gagner du temps, à ce stade, je vous recommande d’appliquer les mises à jour si elles sont disponibles et de réinitialiser tous les mots de passe administrateur.
Cependant, vous ne devriez pas arrêter l’enquête à ce stade. Qu’il s’agisse du compromis initial ou non, il y aura probablement plus de fichiers malveillants que ce que nous savons. Bien souvent, il y a même plusieurs compromis distincts à l’avenir.
Continuez la recherche sur les fichiers et répertoires récemment modifiés
Maintenant que vous avez épuisé la liste des fichiers malveillants connus, vous devez faire preuve de créativité pour trouver les autres éléments. J’espère que vous n’avez pas encore modifié de fichiers, sinon les résultats de ces tests peuvent être faussés.
Pour cette partie de l’enquête, vous devez commencer dans le répertoire racine du document du compte de l’utilisateur affecté. Examinez la structure des répertoires et les fichiers les plus récemment modifiés à l’aide de la commande suivante :
# ls -lrt
Vous pouvez voir tout de suite des annuaires avec le nom de compagnies ou des répertoires qui ne suivent pas vos conventions de nommage. Cherchez également les fichiers dont les horodatages ne sont pas synchronisés avec les fichiers environnants. Vous devrez examiner le contenu et les entrées pertinentes du journal afin de détecter tout objet suspect que vous avez trouvé, comme vous l’avez fait précédemment.
Pour trouver la majeure partie du contenu du phishing, il est préférable d’examiner chaque répertoire à 2 ou 3 niveaux de profondeur à partir du répertoire racine du document. Dans chaque répertoire, examinez la structure du répertoire et le contenu des fichiers qui n’apparaissent pas à leur place. S’ils semblent malveillants, comparez-les aux journaux et, bien entendu, documentez tout.
Enfin, revenez au répertoire racine du document et effectuez quelques recherches ciblées. Commencez par rechercher tous les fichiers qui ont été modifiés au cours de la dernière semaine. Il se peut que vous ayez besoin d’augmenter les recherches sur les 30 ou 90 jours auparavant. Si la liste est trop longue, réduisez-la avec grep. Vous pouvez même filtrer les fichiers que vous connaissez déjà.
# find . -type f -mtime -7 | less
# find . -type f -mtime -7 | egrep -v ‘cache|log|Apple’ | less
Il est parfois utile de vérifier les fichiers contenant des changements récents. Dans la plupart des cas, les résultats ne seront pas très différents, mais il pourrait y avoir des résultats clés.
# find . -type f -ctime -7 | less
Les liens symboliques sont couramment utilisés pour tenter de sortir du compte d’un utilisateur. Passez en revue tous les éléments que vous trouverez à l’aide de la commande suivante (la plupart des sites Web n’utilisent pas de liens symboliques du tout et il est presque toujours sûrs de les supprimer.
# find -type l
Vous avez presque terminé, mais faites une autre recherche pour vous assurer que vous avez tout trouvé. Voici une commande souvent utilisée pour détecter l’obscurcissement du code. Ceci est commun avec les codes malveillants :
Bien entendu, cela détectera également de nombreux éléments qui sont des parties valides de votre site. Vérifier chaque fichier avec le codage et l’accès aux fichiers journaux pour s’assurer qu’ils sont non seulement valides, mais aussi sûrs et protégés.
Nettoyer le désordre causé par le phishing
Maintenant que vous avez une liste de fichiers malveillants et que vous avez identifié les vulnérabilités de vos sites, vous devez vous sortir de cette situation. Faites une sauvegarde avant de continuer. S’il s’agit d’un grand site, j’aurais commencé la sauvegarde au moment de mon enquête. Oui, même une sauvegarde du site compromis pourrait être utile. Un bon administrateur n’est jamais trop prudent !
Après la sauvegarde, supprimez complètement tous les fichiers malveillants et réinitialisez tous les mots de passe qui ont pu être compromis. Souvent, les fichiers de code injectés devront être nettoyés manuellement. Ouvrez ces fichiers dans un éditeur de votre choix et supprimez les injections de code. Les injections de code malveillant se trouvent généralement sur la première ou la dernière ligne d’un fichier (mais pas toujours).
Un bon administrateur système n’est jamais trop prudent !
Si vous avez identifié des modèles avec les requêtes malveillantes dans les logs, vous pouvez les bloquer avec des règles .htaccess. Par exemple, si toutes les demandes provenaient du même sous-réseau ou même du même pays, vous pourriez les bloquer temporairement jusqu’à ce que vous ayez entièrement sécurisé votre site. Voici une excellente référence pour le codage htaccess.
Vous pouvez maintenant mettre à jour toutes les applications sur votre site et réparer tous les scripts non sécurisés que vous avez trouvés dans l’enquête. Lors de la mise à jour de votre logiciel, assurez-vous de vérifier d’autres éléments comme Timthumb et TinyMCE, car elles sont souvent négligées. Si vous utilisez un CMS comme WordPress, la mise à jour des éléments suivants est généralement suffisante pour résoudre les problèmes :
Le noyau WordPress
Tous les plug-ins
Et les thèmes
Mais si vous avez un site sur mesure, il est probable que vous avez trouvé un formulaire de téléchargement non sécurisé pendant l’enquête. Vous devrez ajouter une validation au script pour éviter qu’il ne soit mal utilisé. La méthode la plus simple est d’ajouter un mot de passe dans votre script pour que vous seul puissiez l’utiliser.
Retrait de la cote
Vous avez trouvé les vulnérabilités de vos applications. Alors vous, pouvez :
Supprimer les fichiers malveillants
Réinitialiser les mots de passe
Mettre à jour votre site.
Votre site est maintenant propre, sûr et n’héberge plus de contenu malveillant. Cependant, vos utilisateurs voient toujours un avertissement de sécurité sur leur navigateur ou via leur antivirus. Heureusement, il est beaucoup plus facile de se faire radier de ces listes que de se faire radier d’une liste noire de spam.
Le moyen le plus commun d’obtenir des rapports surs est d’utiliser Google Safe Browsing. Vous pouvez utiliser le lien suivant pour demander une radiation. Google explorera à nouveau votre site et vérifiera s’il y a des problèmes. Si vous n’en trouvez aucun, vous devriez être retiré de la liste bientôt.
Les erreurs les plus courantes qui causent des problèmes de sécurité sont les mêmes partout. Mises à jour non appliquées, sites de développement négligés, mots de passe ou comptes de test faibles et scripts personnalisés peu sûrs.
Je suis sûr que vous avez trouvé au moins un de ces problèmes au cours de ce processus. Ne t’inquiète pas, ça arrive.
Comment minimiser la vulnérabilité de votre site Web ?
Comment minimiser la vulnérabilité de votre site Web aux attaques de hameçonneurs ?
Durcissement du système d’exploitation du serveur. Le « durcissement » est un processus de sécurisation d’un système d’exploitation de sorte qu’il puisse être difficile à attaquer. Utilisez des scanners de vulnérabilité commerciaux et open source et des outils d’analyse de base de sécurité pour identifier les vulnérabilités.
Durcissement des applications Web. Il s’agit d’un processus de sécurisation des logiciels d’application de serveur Web, des applications web et des scripts, ainsi que du contenu dynamique contre les attaques. Encore une fois, utilisez des scanners de vulnérabilité web commerciaux et open sources pour identifier les paramètres de configuration incorrects et le contenu exploitable. Envisagez d’utiliser un pare-feu d’application web commercial ou open source et une technologie de filtrage de contenus pour fournir un examen en ligne et en temps réel du trafic Web entrant afin de détecter les modèles d’attaque et les anomalies.
Gestion des correctifs. Maintenez les niveaux de correctifs actuels sur tous les systèmes d’exploitation et applications utilisés pour votre site Web.
Programmation sécurisée, scripts sécurisés. N’utilisez pas de programmes exécutables sans vérifier l’authenticité et la fiabilité du développeur et l’intégrité du code lui-même. L’Open Web Application Security Project (OWASP) est une source utile pour apprendre à programmer et à écrire des scripts en toute sécurité.
Compartimentation. Créez des domaines de sécurité au sein de votre réseau et séparez-les par des systèmes de sécurité (par exemple, des pare-feu) afin de limiter les attaques réussies contre un serveur ou un service.
Examen de routine. Effectuez régulièrement des tests de vulnérabilité et de pénétration du réseau, de l’hôte et du web. Si possible, demandez à une partie indépendante, expérimentée et certifiée, d’effectuer une évaluation de la sécurité des systèmes qui prennent en charge votre site web.
Mise en œuvre des meilleures pratiques en matière de filtrage de pare-feu. Limitez la circulation aux pare-feux aussi étroitement que possible.
N’autorisez l’accès qu’aux ports TCP ou UDP où vos services autorisés le permettent. Limitez davantage les flux aux adresses IP des systèmes sur lesquels vous hébergez les services d’écoute. Limitez également les flux de trafic sortant des serveurs.
Maintenant que tout va bien avec votre site, gardez ces choses à l’esprit. Connectez-vous régulièrement à votre site pour vérifier les mises à jour. Utilisez des mots de passe forts et supprimez tous les comptes de test et sites en cours de développement. Si vous avez des scripts personnalisés, assurez-vous d’ajouter une validation à votre code pour éviter les abus. Tout cela contribuera à rendre la vie d’un hameçonneur difficile. Rappelez-vous toujours qu’un bon administrateur système n’est jamais trop prudent !
La première ligne de défense d’une entreprise est l’administrateur système, le héros infatigable qui travaillent 24 heures sur 24, 7 jours sur 7 et 365 jours par an pour vous assurer que l’infrastructure informatique soit toujours sécurisée. Nous avons dressé une liste de ressources qui vous seront utiles si jamais vous êtes victime d’un incident ou d’une brèche de sécurité.
Les ransomwares ne sont pas nouveaux. Depuis le milieu des années 2000, ils ont fait des ravages dans les entreprises, des plus grandes aux plus petites. Entre 2005 et 2017, plus de 7 600 demandes de rançon ont été signalées au Centre des plaintes concernant la criminalité sur Internet (IC3). Les attaques de ransomwares ont perturbé pendant des semaines les opérations de certaines de ses victimes et ont coûté des milliards de dollars aux organisations. Le ransomware est régulièrement considéré comme la menace n° 1 en matière de cybersécurité. Il y a tout juste un an, il semblait que la férocité du ransomware n’avait aucune limite.
Cependant, l’omniprésence croissante des ransomwares a stagné, sinon reculé en 2018. Selon Kaspersky, les ransomwares ne sont plus la menace numéro 1. Ils ont cédé la place aux malwares de cryptomining. Les chevaux de Troie bancaires ont aussi récemment éclipsé les ransomwares. Il n’est pas surprenant que ces derniers ne fassent plus les manchettes qu’ils faisaient il y a à peine douze mois. Les attaques de ransomwares sont peut-être en baisse, mais vous ne devez en aucun cas les sous-estimer.
Un ransomware a pris d’assaut un aéroport du Royaume-Uni
Le 14 septembre 2018, un ransomware a frappé l’aéroport de Bristol, forçant ses employés à afficher les horaires d’arrivée et de départ des vols sur des affiches et des tableaux blancs. En effet, l’attaque a affecté les communications internes de l’aéroport. Des alertes d’horaires ont été régulièrement annoncées sur le système de sonorisation pendant deux jours, au cours desquels le personnel informatique de l’aéroport s’est efforcé de mettre fin au malware. Heureusement, l’attaque s’est limitée aux fonctions opérationnelles de l’aéroport. Elle n’a eu aucun impact sur les opérations aériennes, de sorte que les passagers n’ont jamais été en danger.
Plus tôt cette semaine, 380 000 passagers ont été touchés par un piratage de British Airways. On pense que les pirates ont réussi à contourner les défenses de British Airways à cause d’un code trouvé sur le site web de la compagnie. Bien qu’il ne s’agisse pas d’une attaque de ransomware, il semble que les compagnies aériennes et les aéroports soient des cibles faciles pour les cybercriminels.
Une série d’attaques de ransomwares pendant la période d’été
Voici quelques-unes des nombreuses attaques qui ont eu lieu pendant cette période.
Le géant mondial du transport maritime, Cosco Shipping Lines, a été contraint de cesser les activités dans plusieurs de ses ports en Amérique du Nord, en Amérique centrale et en Amérique du Sud. Cela fait suite à une attaque de ransomware qui a mis fin à ses opérations de messagerie électronique et de téléphonie réseau dans ces régions. Après l’attaque, l’entreprise a averti ses employés de ne pas ouvrir des e-mails suspects (c’était le point d’entrée de la récente attaque). On estime que 93 % des e-mails de phishing sont maintenant à l’origine des attaques des ransomwares. Ce n’est pas la première fois qu’une compagnie maritime mondiale est victime de piratage informatique, puisque l’an dernier, la compagnie danoise A.P. Moller-Maersk a été également victime de la souche de malware NotPetya.
Wendell Furniture, à Colchester, a perdu l’accès à son système de commande pendant plusieurs semaines après que ses serveurs aient été infectés par un malware. Les pirates ont réussi à voler l’information sur les ventes des huit dernières années, y compris les noms, adresses, numéros de téléphone et adresses électroniques de ses clients. Wendell a fini par payer des milliers de dollars aux pirates pour récupérer les données.
Un détaillant de matelas de Winnipeg, au Canada, a été frappé par une demande de rançon qui a fait tomber ses serveurs, ce qui a complètement mis fin à ses activités. Best Sleep Centre a négocié la rançon initiale pour 6 000 $ à 2 000 $. Selon le propriétaire, l’attaque était causée par le manque de diligence dans la mise en œuvre des mises à jour régulières. Il a également déclaré que la société a tiré une leçon coûteuse de cet incident.
L’importance des sauvegardes
La seule certitude concernant le ransomware est que le maintien d’une solution de sauvegarde fonctionnelle bien conçue servira de mesure efficace contre ses effets durables, peu importe comment il peut évoluer un jour.
Pour protéger vos données et pour pouvoir les récupérer suite à une attaque de ransomware, vous devez disposer d’un système de sauvegarde fiable et sûre. La règle 3-2-1 est la meilleure pratique pour la sauvegarde et la restauration. Découvrez comment fonctionne l’approche de sauvegarde 3-2-1.
Le visage changeant des ransomwares
Les inquiétudes concernant les ransomwares ont atteint des sommets l’été dernier lors des attaques WannaCry et Locky, lesquelles ont détruit de nombreuses entreprises dans le monde entier. Bien que les dommages qu’elles ont causés aient été sans précédent, le montant des rançons versées était toutefois faible. En conséquence, les attaques à grande échelle ont considérablement diminué au cours des douze derniers mois.
Cela ne signifie pas que le ransomware ne constitue plus une menace. Pour ajuster leur tir, les pirates ont maintenant changé de stratégie, passant à des attaques plus ciblées. Les rançons ont également été réduites à des montants plus réalistes, ce qui a augmenté les taux de paiement de ce genre d’attaque. Comme les attaques sont très ciblées, elles font de moins en moins partie des gros titres des actualités. Pourtant, la liste des victimes continue de s’allonger.
Fin 2016, lorsque le FBI a annoncé que les ransomwares représentaient une industrie qui pèse des milliards de dollars, cela a fait tourner beaucoup de têtes, y compris celles de programmeurs expérimentés et malintentionnés. Ces derniers ont commencé à créer des codes malveillants plus complexes qu’ils pouvaient ensuite vendre sur le dark web à des pirates qui ne possédaient pas les compétences en matière codage pour réaliser leurs projets malveillants.
Le terme « Ransomware as a Service » (RaaS) a rapidement été inventé pour décrire ce qui est maintenant devenu une entreprise clé en main pour ceux qui sont prêts à payer quelques centaines de dollars à l’avance et à partager les rançons qu’ils obtiennent. C’est l’une des principales raisons pour lesquelles le nombre de familles de ransomwares a diminué. Par contre, le nombre de variantes a augmenté.
Les attaques de ransomwares ne sont pas toujours motivées financièrement
Les attaques de ransomwares ne sont pas toujours motivées financièrement. Les pirates informatiques commencent à utiliser des charges utiles de chiffrement de malwares pour couvrir leurs traces. Par exemple, ils déploient une charge utile de ransomware avant de déposer un rootkit ou une autre charge utile malveillante. Le dépôt de ransomware reste inactif jusqu’à ce que la charge utile de l’attaque primaire ne soit découverte. Ceci permet aux pirates de lancer une attaque de ransomware pour effacer le système et protéger les signatures de code. Cette attaque peut également être utilisée pour effacer les preuves d’une opération réussie, détruisant ainsi toutes les traces.
Bien qu’il y ait actuellement peu de pirates informatiques professionnels qui mettent en œuvre des attaques de ransomwares, celles qui sont parrainées par l’État-nation sont en hausse, selon Europol. Pas plus tard que la semaine dernière, le département de la Justice des États-Unis a accusé un programmeur informatique travaillant pour le compte du gouvernement nord-coréen d’un certain nombre d’attaques, dont l’attaque de WannaCry qui a été lancée l’an dernier.
Galway, Irlande & Tampa FL, 18 septembre 2019 – @TitanHQ, le leader de la sécurité des e-mails professionnels, a annoncé aujourd’hui qu’il a été reconnu comme l’un des leaders du rapport G2 Crowd Grid® Summer 2019 Report for Cloud Email Security pour le troisième trimestre consécutif.
G2 Crowd’s user awards est un classement définitif des meilleurs éditeurs de logiciels et produits dans le monde. Le rapport met l’accent sur les solutions de sécurité de la messagerie les mieux évaluées qui permettent aux entreprises de prévenir les menaces par courrier électronique et sur le Web et d’assurer la conformité des employés.
Dans le rapport de l’été 2019 sur la sécurité de la messagerie électronique dans le cloud sécurisé, récemment publié, les produits figurant dans le quadrant des leaders sont très bien cotés par les utilisateurs G2 et ont obtenu des scores substantiels de présence sur le marché.
Satisfaction des utilisateurs
Les produits sont classés en fonction de la satisfaction de la clientèle (selon les commentaires des utilisateurs) et de la présence sur le marché (selon la part de marché, la taille du fournisseur et l’impact social). Les leaders incluent SpamTitan Email Security, Proofpoint Email Security Protection et Barracuda Email Security Gateway. Parmi les 3 premiers leaders, SpamTitan a obtenu le taux de satisfaction le plus élevé de 97%.
Le graphique ci-dessous montre plus en détail la répartition de ces scores impressionnants, SpamTitan a été le gagnant clair avec une satisfaction impressionnante de 92 à 94% dans six catégories. Les critères de mesure de la satisfaction couverts étaient la qualité du support, la facilité d’administration, la facilité d’utilisation, la facilité de faire des affaires et si la solution répondait aux exigences.
« Les commentaires extrêmement positifs des utilisateurs de SpamTitan sur G2 Crowd témoignent de notre engagement à assurer le plus haut niveau de succès à nos clients. Une réalisation incroyable pour un produit qui est nettement plus abordable que les leaders du marché » a déclaré Ronan Kavanagh, PDG de TitanHQ.
Que vous soyez un professionnel de l’informatique d’entreprise ou un MSP offrant des services de sécurité, TitanHQ simplifie l’implémentation de la sécurité de la messagerie et du Web et ajoute des couches de protection très efficaces contre les logiciels malveillants, les logiciels en rançon et les attaques de phishing.
Merci à G2 Crowd et à tous les utilisateurs de G2 qui continuent à donner à SpamTitan et WebTitan ces excellentes évaluations !
