Une faille critique de sécurité WiFi a été découverte par des chercheurs en sécurité en Belgique. La vulnérabilité WiFi WPA2 peut être exploitée en utilisant la méthode KRACK (Key Reinstallation AttaCK), qui permet aux acteurs malveillants d’intercepter et de déchiffrer le trafic entre un utilisateur et le réseau WiFi dans le cadre d’une attaque « man-in-the-middle ». L’ampleur du problème est immense. Presque tous les routeurs WiFi sont susceptibles d’être vulnérables.
L’exploitation de la vulnérabilité WiFi WPA2 permettrait également à un acteur malveillant d’injecter un code ou d’installer un malware ou un ransomware. En théorie, cette méthode d’attaque permettrait même à un attaquant d’insérer un code malveillant ou un malware dans un site Web. En plus d’intercepter les communications, les pirates étaient capables d’accéder et de prendre le contrôle total de l’appareil et du disque de stockage connecté au réseau WiFi vulnérable.
L’attaque WPA-Enterprise
Il faut deux conditions qui caractérisent l’attaque par la méthode KRACK : le réseau WiFi doit utiliser WPA2-PSK (ou WPA-Enterprise) et l’attaquant doit se trouver à portée du signal WiFi.
La première condition est problématique, car la plupart des réseaux WiFi utilisent le protocole WPA2 et la plupart des grandes entreprises utilisent WPA-Enterprise. De plus, puisqu’il s’agit d’une faille dans le protocole WiFi, peu importe quel périphérique est utilisé ou la sécurité sur ce périphérique.
La seconde offre une certaine protection aux entreprises pour leurs réseaux WiFi internes puisqu’une attaque devrait être menée par un initié ou une personne à l’intérieur (ou à proximité) de l’établissement. Cela dit, si un employé devait utiliser son ordinateur portable pour se connecter à un point d’accès WiFi public, par exemple dans un café, ses communications pourraient être interceptées et son appareil infecté.
Dans ce dernier cas, l’attaque peut se produire avant que l’utilisateur n’ait incorporé du sucre dans son café et avant qu’une connexion à Internet n’ait été ouverte. C’est parce que cette attaque se produit dès que l’appareil se connecte au hotspot et subit un « four-way handshake ». Le but du « handshake » est de confirmer que le client et le point d’accès possèdent les informations d’identification correctes. Lors d’une attaque par KRACK, un client vulnérable est souvent amené à utiliser une clé qui a déjà été utilisée.
Les mots des chercheurs
Les chercheurs ont expliqué que « cette attaque est exceptionnellement dévastatrice contre Android 6.0. Elle force le client à utiliser une clé de chiffrement prévisible dénommé all-zero encryption key ».
Les chercheurs ont également déclaré : « Bien que les sites Web ou les applications puissent utiliser HTTPS comme couche de protection supplémentaire, nous avertissons que cette protection supplémentaire peut être contournée dans un nombre inquiétant de situations ».
La divulgation de cette vulnérabilité WiFi WPA2 a poussé de nombreux fournisseurs à développer frénétiquement des correctifs pour bloquer les attaques.
La chercheuse en sécurité qui a découvert la vulnérabilité WiFi WPA2, Mathy Vanhoef, a averti plusieurs mois auparavant les fournisseurs et les développeurs de logiciels pour leur permettre de commencer à travailler sur les correctifs. Mais malgré cet avertissement, très peu d’entreprises ont jusqu’à présent mis à jour leurs logiciels et leurs produits. Celles qui l’ont fait sont Microsoft, Linux, Apple et Cisco/Aruba. Par contre, Google n’a pas encore patché sa plate-forme Android, tout comme Pixel/Nexus. Google travaillerait déjà sur un correctif et devrait le publier prochainement.
On s’inquiète également des dispositifs IoT (Internet des objets) qui, selon Mathy Vanhoef, ne recevront peut-être jamais de correctifs pour la vulnérabilité WiFi WPA2, ce qui les rend très vulnérables aux attaques cybercriminelles. De même, il se peut que les smartphones ne soient pas patchés rapidement. Comme ces appareils se connectent régulièrement aux points d’accès WiFi publics, ils sont les plus vulnérables aux attaques utilisant la méthode KRACK.
La vulnérabilité WiFi WPA2 est sérieuse
Bien que la vulnérabilité WiFi WPA2 soit sérieuse, il n’y a peut-être pas lieu de paniquer. Du moins, c’est l’avis de la WiFi Alliance qui a développé WPA2. Selon cet organisme :
« Rien ne prouve que la vulnérabilité a été exploitée de manière malveillante, et Wi-Fi Alliance a pris des mesures immédiates pour s’assurer que les utilisateurs peuvent continuer à compter sur le Wi-Fi pour offrir des protections de sécurité solides.
L’organisme exige maintenant des tests permettant de détecter cette vulnérabilité au sein de son réseau mondial de laboratoires de certification et a fourni un outil de détection de vulnérabilités à l’usage de tous ses membres ».
Quant au National Cyber Security Center du Royaume-Uni, il a souligné que même avec la vulnérabilité WiFi WPA2, le WPA2 reste plus sûr que le WPA ou le WEP. Le centre a aussi souligné qu’il n’est pas nécessaire de changer les mots de passe WiFi ou les identifiants d’entreprise pour se protéger contre cette vulnérabilité.
Toutefois, les entreprises et les consommateurs devraient s’assurer qu’ils appliquent les correctifs rapidement, et les entreprises devraient envisager d’élaborer des politiques exigeant que tous les travailleurs à distance se connectent aux réseaux WiFi au moyen d’un VPN.
Un exemple de vulnérabilité Wi-Fi
Un chercheur en sécurité a découvert et divulgué une grave vulnérabilité qui a affecté le protocole Wi-Fi Protected Access II — WPA2. Wi-Fi Protected Access 2 (WPA2)
Wi-Fi Protected Access 2 (WPA2) est la version finale de WPA approuvée par la Wi-Fi Alliance. Cette organisation met en œuvre les différents aspects de la norme en termes de sécurité 802.11i qui a été ratifiée et qui est obligatoire dans le processus de certification Wi-Fi. Le WPA2 est rétrocompatible avec le WPA et peut être mis en œuvre en deux versions, à savoir WPA2 personnel et WPA2 entreprise.
Ce logiciel a été utilisé par tous les appareils Wi-Fi protégés et modernes. La vulnérabilité permet à un pirate informatique de modifier un protocole, ce qui peut conduire à l’interception du trafic d’un réseau Wi-Fi.
Selon la configuration de votre réseau, les pirates informatiques peuvent aussi injecter et/ou manipuler vos données, même s’ils ne possèdent ou ne déchiffrent pas votre mot de passe de sécurité.
La vulnérabilité est sérieuse. Elle présente une surface d’attaque très importante pour les escrocs. Cependant, elle a aussi ses limites, c’est-à-dire qu’elle ne peut pas être gérée à distance. Elle ne peut être réalisée que lorsqu’un pirate informatique est physiquement proche de sa victime.
Il existe désormais plusieurs moyens de vous protéger d’une attaque en attendant que des mises à jour de sécurité soient publiées pour vos appareils. En fait, la gravité d’un problème de sécurité ne doit pas être sous-estimée, mais vous ne devez pas non plus paniquer.
Le plus gros problème soulevé par une vulnérabilité – quelle que soit son ampleur — est le fait que la grande majorité des appareils concernés — par exemple, les appareils intelligents comme les routeurs pourraient ne jamais recevoir de correctif pour résoudre le problème. Voici quelques recommandations que vous pouvez suivre pendant que les mises à jour sont déployées par les différents fabricants et fournisseurs de logiciels.
La vulnérabilité et les attaques
Une faiblesse a été identifiée dans la norme Wi-Fi elle-même d’une organisation, et non dans les produits individuels ou les implémentations.
Par conséquent, selon le chercheur, toute mise en œuvre correcte de WPA2 est susceptible d’être affectée (liste des fournisseurs affectés). L’attaque contre la vulnérabilité est baptisée KRACK (Key Reinstallation Attack) et permet à un attaquant d’attaquer la poignée de main quadruple du protocole WPA2, c’est-à-dire l’initiation de la connexion WPA2.
Cette poignée de main a lieu chaque fois qu’un client souhaite rejoindre un réseau Wi-Fi protégé WPA2 afin de confirmer que le client et le point d’accès détiennent les bonnes informations d’identification, c’est-à-dire le mot de passe Wi-Fi, avant que le client ne rejoigne le réseau.
Au cours de cette même poignée de main quadruple, une nouvelle clé de chiffrement, utilisée pour chiffrer le trafic ultérieur, est établie. En manipulant cette poignée de main à quatre voies, un attaquant peut inciter une victime à réinstaller une clé de chiffrement déjà utilisée, alors qu’une clé ne devrait être installée et utilisée qu’une seule fois. La réinstallation d’une clé de chiffrement oblige à réinitialiser deux compteurs (également appelés « nonces ») utilisés par le protocole de chiffrement, ceci permet de lancer une attaque contre le protocole, par exemple pour rejouer, décrypter et/ou falsifier des paquets.
Un pirate informatique potentiel qui se trouve à proximité physique d’un réseau Wi-Fi protégé et qui effectue cette attaque réalise une attaque de type « man-in-the-middle ».
Il peut essentiellement intercepter ou déchiffrer le trafic internet sans posséder les informations d’identification du réseau Wi-Fi protégé, comme le changement de mot de passe Wi-F iC? ette attaque peut aussi être combinée à des attaques de déclassement contre des sites Web SSL/TLS ; ceux qui n’ont pas appliqué de mesures de sécurité contre les attaques de déchiffrement, afin de transformer une connexion HTTPS en HTTP et de voler plus d’informations sensibles. L’attaque par réinstallation de clé est illustrée dans la figure simplifiée ci-dessous :
Comment sécuriser WPA2 avant l’attaque ?
L’attaque fonctionne contre les réseaux Wi-Fi personnels et d’entreprise, contre le WPA original, le WPA2, et même contre les réseaux qui n’utilisent que l’AES, c’est-à-dire à peu près la plupart des configurations de réseaux Wi-Fi. Pour le public intéressé par les aspects techniques, le chercheur qui a découvert la vulnérabilité a noté que la même technique de réinstallation de la clé peut également être utilisée pour attaquer la clé de groupe, PeerKey, TDLS et les poignées de main de transition BSS rapide.
Le chercheur décrit la vulnérabilité dans un article intitulé « Key Reinstallation Attacks : Forcing Nonce Reuse in WPA2 ». Il s’agit d’un document très technique pour ceux qui sont intéressés par les détails de l’attaque. Le chercheur a aussi fourni une vidéo avec une preuve de concept de l’attaque contre un smartphone Android.
Les lignes à suivre
Malgré le fait que la vulnérabilité soit présente dans la norme Wi-Fi et affecte donc un très grand nombre d’appareils, il ne faut pas vous inquiéter !
La vulnérabilité WPA2 est grave et offre une grande surface d’attaque, mais elle ne peut être exploitée qu’à proximité physique du réseau Wi-Fi cible et non à distance via Internet, ce qui réduit son impact.
Le WPA2 n’est qu’une des couches de sécurité qui sont touchées. N’oubliez pas que les sites internet correctement configurés, comme les banques, les médias sociaux, les fournisseurs d’e-mails, etc. qui utilisent TLS (HTTPS), sont toujours protégés contre une telle attaque.
Rien ne prouve que la vulnérabilité a été exploitée dans la nature et on ne sait pas avec quelle facilité elle peut être exploitée.
WPA2 reste une solution plus sûre que l’ancien protocole Wi-Fi WEP, Iilest donc fortement déconseillé de passer à un protocole plus ancien qui serait trivialement exploitable. Il est préférable de continuer à utiliser WPA2 lorsque vous utilisez le Wi-Fi.
Éviter complètement les réseaux Wi-Fi protégés par WPA2 n’est pas réaliste.
La faiblesse identifiée se situe dans la norme Wi-Fi elle-même, et non dans les produits ou les implémentations individuelles.
Par conséquent, selon le chercheur, toute implémentation correcte de WPA2 est susceptible d’être affectée (liste des fournisseurs affectés). L’attaque contre la vulnérabilité est baptisée KRACK (Key Reinstallation Attack) et permet à un attaquant d’attaquer la poignée de main quadruple du protocole WPA2, c’est-à-dire l’initiation de la connexion WPA2.
Cette poignée de main a lieu chaque fois qu’un client souhaite rejoindre un réseau Wi-Fi protégé WPA2 afin de confirmer que le client et le point d’accès détiennent les bonnes informations d’identification, c’est-à-dire le mot de passe Wi-Fi, avant que le client ne rejoigne le réseau. Au cours de cette même poignée de main quadruple, une nouvelle clé de chiffrement, utilisée pour chiffrer le trafic ultérieur, est établie. En manipulant cette poignée de main à quatre voies, un attaquant peut inciter une victime à réinstaller une clé de chiffrement déjà utilisée, alors qu’une clé ne devrait être installée et utilisée qu’une seule fois. La réinstallation d’une clé de chiffrement oblige à réinitialiser deux compteurs (appelés « nonces ») utilisés par le protocole de cryptage, ce qui permet de lancer une attaque contre le protocole, par exemple pour rejouer, décrypter et/ou falsifier des paquets.
Un attaquant potentiel qui se trouve à proximité physique d’un réseau Wi-Fi protégé et qui effectue cette aattaqueréalise une attaque de type « man-in-the-middle ». L’attaquant peut essentiellement intercepter/décrypter le trafic internet sans posséder les informations d’identification du réseau Wi-Fi protégé (changer le mot de passe Wi-Fi ne sert donc à rien). Cette attaque peut en outre être combinée à des attaques de déclassement contre des sites Web SSL/TLS (qui n’ont pas appliqué de mesures de sécurité contre les attaques de déclassement) afin de transformer une connexion HTTPS[1] en HTTP et de voler davantage d’informations sensibles. L’attaque par réinstallation de clé est illustrée dans la figure simplifiée ci-dessous :
Optimiser la sécurité WPA2 avant l’attaque
L’attaque fonctionne contre les réseaux Wi-Fi personnels et d’entreprise, contre le WPA original, le WPA2, et même contre les réseaux qui n’utilisent que l’AES, c’est-à-dire à peu près la plupart des configurations de réseaux Wi-Fi. Pour le public intéressé par les aspects techniques, le chercheur qui a découvert la vulnérabilité a noté que la même technique de réinstallation de la clé peut également être utilisée pour attaquer la clé de groupe, PeerKey, TDLS et les poignées de main de transition BSS rapide.
Le chercheur décrit la vulnérabilité dans un article intitulé « Key Reinstallation Attacks : Forcing Nonce Reuse in WPA2 », qui est un document très technique pour ceux qui sont intéressés par les détails de l’attaque. En outre, le chercheur a fourni une vidéo avec une preuve de concept de l’attaque contre un smartphone Android.
Lignes à suivre
Malgré le fait que la vulnérabilité soit présente dans la norme Wi-Fi et affecte donc un très grand nombre d’appareils, ne paniquez pas !
La vulnérabilité WPA2 est grave et offre une grande surface d’attaque, mais elle ne peut être exploitée qu’à proximité physique du réseau Wi-Fi cible et non à distance via Internet, ce qui réduit son impact.
Le WPA2 n’est qu’une des couches de sécurité disponibles qui sont touchées. N’oubliez pas que les sites web correctement configurés, par exemple les banques, les fournisseurs d’e-mails, les médias sociaux, etc. qui utilisent TLS (HTTPS), sont toujours protégés contre une telle attaque.
Rien ne prouve que la vulnérabilité a été exploitée dans la nature et on ne sait pas avec quelle facilité elle peut être exploitée.
WPA2 reste une solution plus sûre que WEP, l’ancien protocole Wi-Fi. Il est donc fortement déconseillé de passer à un protocole plus ancien, trivialement exploitable. Il est préférable de continuer à utiliser WPA2 lorsque vous utilisez le Wi-Fi.
Il n’est pas réaliste d’éviter tous les réseaux Wi-Fi protégés par WPA2. Dans ce cas, il faut donc être pragmatique, appliquer les mesures de sécurité disponibles ou utiliser des connexions Internet mobiles 4G, en attendant que les fabricants préparent et diffusent des correctifs pour leurs appareils.
Le problème peut être résolu par des mises à jour de logiciels/firmware. Vérifiez auprès du fabricant/vendeur de chacun de vos appareils Wi-Fi et appliquez les correctifs dès qu’ils sont disponibles. L’état de préparation des fabricants sur ces questions devrait être un facteur de pondération lors de l’achat de dispositifs technologiques. Les particuliers qui se procurent leurs routeurs auprès de leur fournisseur d’accès à large bande doivent contacter ce dernier pour vérifier si un correctif est disponible pour leur équipement et demander des instructions d’installation.
Dans la mesure du possible, utilisez une connexion Internet mobile 4G plutôt qu’une connexion Wi-Fi.
En attendant les correctifs, vous pouvez traiter tous les réseaux Wi-Fi comme des réseaux publics, ouverts et non sécurisés. Par conséquent, appliquez des mesures de sécurité sur différentes couches. Il s’agit d’une règle essentielle en matière de sécurité et tout à fait efficace dans ce cas également. À savoir :
N’utilisez que des sites Web HTTPS. Évitez d’utiliser de simples sites Web HTTP et de partager des informations personnelles par leur intermédiaire. Envisagez d’utiliser une extension de navigateur telle que HTTPS Everywhere, qui oblige tout site prenant en charge les connexions HTTPS à crypter par défaut vos communications avec ce site.
FAQs
Qu’est ce qui différencie l’attaque KRACK des aux autres attaques contre WPA2 ?
Pour faire simple, c’est la première attaque visant le protocole WPA2 qui ne repose pas sur l’identification du mot de passe.
Le fait de changer le mot de passe de mon réseau Wifi me protège-il d’une telle attaque ?
Vous pouvez changer le mot de passe de votre réseau sans fil, mais cela n’empêche pas (ou n’atténue pas) la menace. Vous devriez plutôt vous assurer que tous vos appareils et le micrologiciel de votre routeur sont mis à jour. Ceci étant fait, ce n’est jamais une mauvaise idée de changer le mot de passe de votre réseau Wifi.
Qu’est ce que les utilisateurs finaux peuvent faire pour se protéger contre cette menace ?
La moindre des choses que les utilisateurs d’une connexion sans fil devraient faire est de mettre à jour leurs appareils compatibles Wifi dès qu’une mise à jour logicielle est disponible.
Dois-je utiliser temporairement d’autres solutions comme le WEP jusqu’à ce que mes appareils soient à jour ?
Non, vous pouvez continuer à utiliser WPA2. N’oubliez pas qu’il peut s’écouler un certain temps avant que le fabricant de vos appareils et du micrologiciel de votre routeur ne propose une nouvelle mise à jour de sécurité. En attendant, vous pouvez prendre des mesures supplémentaires comme l’utilisation d’un VPN pour sécuriser vos appareils et votre réseau.
L’attaquant doit-il toujours être à proximité de votre réseau pour pouvoir l’attaquer ?
En général, le pirate doit se trouver à portée de l’appareil attaqué (Smartphone, ordinateur portable, etc.) et du réseau lui-même. Néanmoins, un pirate informatique peut se trouver relativement loin. Pour mener son attaque, il utilise une antenne spéciale à partir de trois jusqu’à huit kilomètres (si les conditions de connexion sont idéales). Cela signifie qu’il est possible de mener l’attaque KRACK même si la victime est très éloignée.
L’importance de mettre en œuvre de bonnes politiques de gestion des correctifs a été clairement soulignée par les attaques de ransomware WannaCry en mai. Les attaques par ransomware ont été rendues possibles en raison des mauvaises politiques de gestion des correctifs dans des centaines d’entreprises.
Les attaquants ont profité d’une vulnérabilité dans Windows Server Message Block (SMB) à l’aide d’exploits développés par (et volés à) la National Security Agency des États-Unis.
Les exploits, c’est-à-dire des éléments de programme permettant à un pirate ou à un logiciel malveillant d’exploiter une vulnérabilité informatique, ont profité des failles SMB qui, au moment où ils allaient être rendus publics, avaient été corrigées par Microsoft. Heureusement pour les individus à l’origine des attaques, et malheureusement pour de nombreuses entreprises, la mise à jour n’avait pas été appliquée.
Contrairement à la majorité des attaques par ransomware qui nécessitent une certaine implication de l’utilisateur – par exemple en cliquant sur un lien ou en ouvrant une pièce jointe infectée — les failles SMB pouvaient être exploitées à distance sans aucune interaction de l’utilisateur.
WannaCry n’était pas la seule variante de malware qui a tiré parti des systèmes non mis à jour. Le mois suivant, les attaques NotPetya (ExPetr) ont utilisé un exploit similaire appelé EternalBlue. Encore une fois, ces attaques n’avaient pas besoin de l’intervention des utilisateurs. NotPetya était un malware de type wiper (qui détruit les données), qui a été utilisé pour le sabotage informatique. Les dommages causés par ces attaques étaient considérables. Des systèmes entiers ont dû être remplacés, des entreprises ne pouvaient pas fonctionner et, pour de nombreuses entreprises, les perturbations se sont poursuivies pendant plusieurs semaines après les attaques. Pour d’autres entreprises, les pertes causées par ces attaques se chiffraient en millions de dollars.
Ces attaques auraient pu être facilement évitées, en appliquant un seul patch (MS17-010). Le patch était disponible depuis deux mois avant les attaques WannaCry. Même des politiques de gestion des correctifs — qui exigeaient que les logiciels soient vérifiés une fois par mois — auraient pu les prévenir. Dans le cas de NotPetya, les entreprises concernées n’avaient pas non plus réagi à WannaCry, même si les attaques par ransomware ont été largement couvertes par les médias et si le risque lié au retard de la mise à jour a été clairement souligné.
Le message à retenir est que les vulnérabilités de sécurité non résolues peuvent être exploitées par des cybercriminels. Les entreprises peuvent acheter une variété de solutions de sécurité coûteuses pour sécuriser leurs systèmes, mais celles dont les politiques de gestion des correctifs sont inadéquates subiront des brèches de données. La question n’est plus de savoir s’il y aura une brèche de données, mais quand cela va se produire.
Les mauvaises politiques de gestion des correctifs coûtent plus de 5 millions de dollars à une compagnie d’assurance
Une autre bonne raison de procéder rapidement à la mise à jour a été constatée ce mois-ci. Nationwide Mutual Insurance Company et sa filiale, Allied Property & Casualty Insurance Company a du payer une somme conséquente à plusieurs procureurs généraux dans 32 États. En effet, Nationwide a accepté de payer 5,5 millions de dollars pour résoudre l’enquête sur la violation de ses données en 2012.
Il s’agissait d’un vol de données concernant 1,27 million de preneurs d’assurance et de particuliers qui ont obtenu des soumissions d’assurance de la compagnie. Dans ce cas, le vol de données a été possible en raison d’une vulnérabilité non traitée dans une application tierce. Même si la vulnérabilité a été jugée critique, l’assureur n’a pas procédé à sa mise à jour. La vulnérabilité n’était pas corrigée pendant trois ans. Le correctif n’a été appliqué qu’après le vol de données.
L’enquête sur la brèche a été menée conjointement par George Jepsen, procureur général du Connecticut. Lorsqu’il a annoncé le paiement de la somme, M. Jepsen a déclaré : « Il est extrêmement important que les entreprises prennent au sérieux la maintenance de leurs systèmes informatiques et de leurs protocoles de sécurité des données. »
Les vulnérabilités non traitées seront exploitées par les cybercriminels. Les attaques entraîneront des vols de données, des dommages matériels, des poursuites judiciaires intentées par les victimes d’infractions, des amendes imposées par les procureurs généraux et des amendes imposées par d’autres organismes de réglementation. Ces coûts peuvent tous être évités avec de bonnes politiques de gestion des correctifs.
Le harcèlement sexuel sur le lieu de travail et le licenciement abusif était deux des principales raisons pour lesquelles des poursuites judiciaires étaient intentées contre les employeurs. Cependant, la diffamation des employés sur les sites plateformes de réseaux sociaux peut maintenant être ajoutée à cette liste.
Désormais, il est beaucoup plus facile non seulement de rendre publics les propos diffamatoires, mais aussi de les partager avec des centaines, des milliers, voire des millions de personnes, et ce, en un simple clic de souris.
Ces derniers mois, un certain nombre de poursuites ont été intentées devant les tribunaux pour diffamation d’employés sur les réseaux sociaux.
La diffamation des employés sur les réseaux sociaux est courante
Il est très facile pour une personne de poster des commentaires sur un individu particulier ou sur une entreprise. Ces commentaires peuvent donner lieu à des poursuites judiciaires contre un employeur. La diffamation et la calomnie sont courantes. Lord McAlpine a par exemple intenté une action en justice pour diffamation après avoir été accusé d’être un pédophile sur des réseaux sociaux tels que Twitter.
Un tweet peut être envoyé, puis retweeté par plusieurs titulaires de compte différents. Des dizaines deviennent des centaines et des centaines peuvent devenir des centaines de milliers, au fur et à mesure que le commentaire ou le tweet devient viral. Si un employé envoie sur Twitter une opinion personnelle à l’aide d’un compte professionnel, son employeur peut être tenu responsable des dommages-intérêts.
Même si une entreprise n’est pas tenue responsable des dommages-intérêts, la presse négative qu’elle reçoit suite à une affaire judiciaire de grande envergure risque fort de nuire à sa réputation. Cela pourrait impliquer des pertes de chiffre d’affaires et les clients risquent de partir en allant chez leurs concurrents.
Publication d’informations confidentielles sur l’entreprise
La plupart des employés ont des comptes de réseaux sociaux. Bien qu’ils ne publient pas tous des informations sensibles ou des commentaires malveillants, certains le feront.
Une enquête récente sur l’utilisation des réseaux sociaux a révélé qu’une personne sur cinq possède des renseignements secrets ou personnels révélés par d’autres personnes sur les réseaux sociaux. 73 % des employeurs estiment que leurs employés partagent trop d’informations sur ces plateformes.
Selon les statistiques de Facebook, 3,5 milliards et demi d’extraits d’informations sont publiés chaque semaine sur cette plateforme. Bon nombre de ces commentaires pourraient s’avérer préjudiciables à un employeur.
Vous n’êtes pas inquiets de la diffamation des employés sur les réseaux sociaux ? Pourtant, vous devriez !
On croit souvent à tort que si un employeur n’a pas demandé à un employé d’afficher quelque chose sur les réseaux sociaux, il ne sera pas tenu responsable des dommages que cela peut impliquer. Ce n’est pas nécessairement le cas. Certaines affaires judiciaires peuvent exonérer l’employeur de sa responsabilité, mais d’autres peuvent le rendre responsable des actes de ses employés. Les renseignements publiés sur les réseaux sociaux sont désormais admissibles devant les tribunaux.
Le problème peut encore être plus grave. De nombreux employés ont été congédiés à cause des commentaires postés sur Facebook et Twitter, et leurs actions ont été considérées comme une faute grave. Les commentaires postés par les employés au sujet de leur employeur ou de leur travail ont entraîné un certain nombre de pertes d’emplois. Virgin Atlantic a récemment congédié 13 membres d’équipage de cabine pour avoir posté des commentaires malveillants au sujet de l’entreprise sur les réseaux sociaux.
Les entreprises sont maintenant obligées de surveiller de près ce que leurs employés disent d’elles sur ces plateformes. Des poursuites ont été intentées contre des individus pour avoir publié des données sensibles ou des commentaires diffamatoires sur Facebook et d’autres plateformes de réseaux sociaux. Des entreprises ont été également poursuivies en justice pour les actions de leurs employés.
Si des commentaires diffamatoires sont publiés sur le compte d’un employeur, une poursuite peut être intentée à son encontre et il est susceptible d’être tenu pour responsable.
Lorsqu’un commentaire est posté par un employé sur les réseaux sociaux, une action en justice peut être engagée à l’encontre de l’employeur même s’il est bien clair que ce dernier n’a pas approuvé la publication.
Si un employeur ne surveille pas l’utilisation des comptes de réseaux sociaux par ses employés ; s’il ne prend pas des mesures pour supprimer les commentaires diffamatoires ; ou bien s’il n’a publié aucune politique d’utilisation des réseaux sociaux à l’intention de son personnel, les tribunaux peuvent le contraindre de payer des dommages-intérêts.
Comment éviter d’être tenu responsable de la diffamation des employés sur les réseaux sociaux ?
Il importe de fournir aux employés des lignes directrices sur l’utilisation des réseaux sociaux, même si l’accès à ces plateformes n’est pas autorisé dans les lieux de travail. Les employés doivent être informés de ce qui est acceptable et de ce qui ne l’est pas. Si vous ne leur communiquez pas les règles pour lutter contre la cybercriminalité, comment pouvez-vous vous attendre à ce qu’ils les respectent ?
N’oubliez pas que ce qui est évident pour un employeur ne doit pas toujours l’être pour les employés.
Vous devriez donc demander à vos employés de ne pas publier d’opinions personnelles en utilisant les comptes de l’entreprise. Celles-ci peuvent sembler provenir de l’entreprise elle-même. Tout commentaire sexiste, raciste, discriminatoire ou pouvant être considéré comme diffamatoire ne doit pas être posté sur les réseaux sociaux. Vous devriez peut-être fournir quelques définitions, car tous vos employés ne doivent pas être au courant de ce qui constitue un commentaire discriminatoire ou diffamatoire, par exemple.
Après avoir communiqué les politiques sur l’utilisation des réseaux sociaux à vos employés, assurez-vous d’obtenir une signature confirmant qu’elles ont bien été reçues et lues par leurs destinataires. De cette manière, si un employé enfreint les règles, vous devriez être en mesure de démontrer qu’il a déjà été informé de l’existence de ces politiques.
En mai, les chercheurs en sécurité de Proofpoint ont découvert une campagne de spam qui distribuait un nouveau cheval de Troie bancaire nommé DanaBot. À l’époque, on pensait qu’un seul pirate l’utilisait pour cibler des organisations en Australie afin d’obtenir des références bancaires en ligne. Mais cette campagne s’est poursuivie.
D’autres campagnes ont été identifiées en Europe, ciblant les clients des banques en Italie, en Allemagne, en Pologne, en Autriche et au Royaume-Uni. Puis, à la fin du mois de septembre, une autre attaque de DanaBot a été menée auprès des banques américaines.
DanaBot est un malware modulaire écrit en Delphi et capable de télécharger des composants supplémentaires pour ajouter diverses fonctions. Il peut prendre des captures d’écran, voler des données de formulaire et enregistrer les frappes au clavier pour permettre aux pirates d’obtenir des identifiants bancaires. Ces informations sont renvoyées au serveur C2 de l’attaquant et sont ensuite utilisées pour voler de l’argent sur les comptes bancaires des entreprises.
Une analyse des programmes malveillants et des campagnes géographiques a montré que différents identifiants ont été utilisés dans les en-têtes de communication C2. Cela suggère fortement que les campagnes menées dans chaque région sont l’œuvre de différents pirates et le cheval de Troie DanaBot est distribué en tant que malware-as-a-service. Chaque pirate est responsable des campagnes qu’il mène dans un pays ou dans un groupe de pays spécifiques. L’Australie est le seul pays où deux cybercriminels ont mené les mêmes campagnes.
Au total, il semble qu’il y a actuellement 9 pirates qui mènent des campagnes de distribution du cheval de Troie DanaBot. Pour chaque pays, ils utilisent différentes méthodes pour distribuer la charge utile malveillante, notamment le nouveau kit d’exploitation Fallout, l’injection de code dans les applications web et le spamming. Ce dernier a été utilisé pour distribuer le malware aux États-Unis.
L’attaque menée aux États-Unis a utilisé un leurre d’avis se présentant comme un message fax et envoyé via des e-mails. Les messages semblent provenir du service eFax. Ils ont un aspect professionnel et sont complets, avec une mise en page et des logos appropriés. Ils contiennent également un bouton sur lequel il faut cliquer pour télécharger le message fax de 3 pages.
En cliquant sur ce bouton, vous téléchargez un document Word avec une macro malveillante qui, une fois exécutée, lance un script PowerShell, entraînant le téléchargement du malware Hancitor. À son tour, Hancitor téléchargera le voleur de mot de passe Poney et DanaBot.
L’analyse du malware par Proofpoint a révélé des similitudes avec les familles de ransomwares Reveton et CryptXXX. Ceci suggère que DanaBot a été développé par le même groupe responsable de ces deux ransomwares.
La campagne américaine DanaBot cible les clients de diverses banques américaines, dont RBC Royal Bank, Royal Bank, TD Bank, Wells Fargo, Bank of America et JP Morgan Chase. Il est probable qu’elle s’étendra à d’autres pays, au fur et à mesure que de plus en plus de cybercriminels utiliseront le malware DanaBot.
Pour prévenir une telle attaque, vous devez avoir un système de défense en profondeur contre chacun des vecteurs de Danabot. Un filtre antispam avancé est nécessaire pour bloquer le spam. Les utilisateurs d’Office 365 devraient également augmenter la protection de leur système informatique avec un filtre antispam tiers tel que SpamTitan.
Pour prévenir les attaques sur le Web, une solution de filtrage Web devrait être utilisée. WebTitan peut empêcher les utilisateurs finaux de visiter des sites Web connus pour contenir des kits d’exploitation et des adresses IP qui ont déjà été utilisées à des fins malveillantes.
Enfin, les utilisateurs finaux devraient être formés à ne jamais ouvrir de pièces jointes à des e-mails. Ils ne doivent pas cliquer sur des hyperliens dans les messages électroniques provenant d’expéditeurs inconnus ou activer des macros sur des documents à moins d’être certains que les fichiers sont authentiques. Les entreprises américaines ont intérêt à envisager d’avertir leurs employés des faux e-mails eFax afin de les sensibiliser à la menace de DanaBot.
Under Armour a été victime d’une brèche de données massive de MyFitnessPal qui a permis à un pirate informatique d’accéder aux renseignements personnels de 150 millions d’utilisateurs et de les voler.
Les données concernaient les utilisateurs de l’application mobile MyFitnessPal et de la version Web de la plate-forme de suivi de la condition physique et de la santé. Les types de données volées comprenaient les noms d’utilisateur, les mots de passe et les adresses électroniques chiffrées.
Les données des cartes de paiement ont été conservées par Under Armour, car les informations étaient traitées et stockées séparément et n’ont pas été affectées. Aussi, l’attaquant n’a pas obtenu d’autres renseignements de nature très délicate (qui sont habituellement utilisés pour le vol d’identité et la fraude) comme les numéros de sécurité sociale.
L’fuite de données de MyFitnessPal est remarquable par le volume de données obtenues, ce qui fait d’elle la plus importante fuite de données ayant été détectée cette année. Bien entendu, le vol de données chiffrées ne poserait normalement pas un risque immédiat pour les utilisateurs. C’est certainement le cas pour les mots de passe qui ont été chiffrés en utilisant bcrypt, un algorithme de chiffrement particulièrement puissant.
Cependant, les noms d’utilisateur et les mots de passe n’ont été chiffrés qu’avec la fonction de chiffrement SHA-1, qui n’offre pas le même niveau de protection. Il est donc possible de décoder les données de chiffrement SHA-1, ce qui signifie que l’attaquant pourrait potentiellement accéder aux informations des utilisateurs.
L’attaquant avait déjà accès aux données des utilisateurs depuis un certain temps. En réalité, Under Armour a pris connaissance de la fuite de données le 25 mars 2018, alors que l’attaque a eu lieu plus d’un mois avant d’être détectée, soit environ six semaines avant l’annonce de l’atteinte.
Compte tenu de la méthode qui a été utilisée pour protéger les noms d’utilisateur et les mots de passe, les données peuvent donc être considérées comme accessibles. Ainsi, il est fort probable que la personne responsable de l’attaque tentera de les monétiser. Si l’attaquant ne peut pas personnellement déchiffrer ces données, il est certain qu’il va les confier à d’autres pirates qui sont capables de le faire.
Bien qu’il soit possible que les mots de passe chiffrés en bcrypt puissent être décodés, il est peu probable que quelqu’un tente de les déchiffrer.
Pourquoi ? Parce que cela nécessiterait beaucoup de temps et d’efforts. De plus, Under Armour a déjà prévenu les utilisateurs concernés et les a encouragés à changer leur mot de passe par mesure de précaution, et ce, afin de s’assurer que leurs comptes ne puissent pas être accessibles aux pirates.
Bien que les comptes MyFitnessPal puissent rester sécurisés, cela ne signifie pas que les utilisateurs de MyFitnessPal ne seront pas affectés par une attaque cybercriminelle. Les pirates, ou les détenteurs actuels des données utiliseront sans aucun doute les 150 millions d’adresses e-mail et noms d’utilisateur pour des campagnes de phishing.
Under Armour a commencé à aviser les utilisateurs touchés quatre jours après l’fuite de données de MyFitnessPal. Tout utilisateur concerné doit se connecter et changer son mot de passe par mesure de précaution afin d’empêcher l’accès à son compte. Les utilisateurs doivent également être conscients des risques liés au phishing.
On peut s’attendre à des campagnes de phishing liées à l’fuite de données comme celles de MyFitnessPal. De plus, les pirates vont probablement élaborer divers types d’e-mails de phishing pour essayer d’atteindre leurs cibles. Un incident d’une telle ampleur présente également un risque pour les entreprises. Si un employé devait répondre à une campagne de phishing, il est possible qu’il télécharge des malwares sur son équipement de travail et compromette le réseau de l’entreprise.
Les attaques de ce genre sont de plus en plus fréquentes. Compte tenu de la grande quantité d’adresses e-mail utilisées actuellement pour les campagnes de phishing, des solutions avancées de filtrage du spam sont devenues une nécessité pour les entreprises.
Si vous n’avez pas encore mis en place de filtre antispam, ou bien si vous n’êtes pas satisfait de votre fournisseur actuel, du taux de détection ou du taux de détection de faux positifs, contactez TitanHQ pour en savoir plus sur SpamTitan, le leader des logiciels antispam pour les entreprises.
Les hôtels, restaurants et entreprises de télécommunications sont la cible d’une nouvelle campagne de spam qui distribue une nouvelle forme de malware appelée AdvisorsBot. AdvisorsBot est un téléchargeur de malwares qui, comme de nombreuses autres variantes, est distribué par des emails contenant des pièces jointes Microsoft Word avec des macros malveillantes.
L’ouverture d’une pièce jointe infectée et l’activation des macros figurant dans le document entraîneront l’installation d’Advisorsbot. Le rôle principal de ce malware est de relever les empreintes digitales sur un appareil infecté. Les informations recueillies sur le dispositif infecté sont ensuite communiquées aux serveurs de commande et de contrôle des acteurs de la menace et des instructions supplémentaires sont fournies au malware en fonction des informations collectées sur le système. Le malware enregistre les informations système, les détails des programmes installés sur l’appareil, les détails du compte Office et d’autres informations. Il est également capable de faire des captures d’écran sur un appareil infecté.
AdvisorsBot est ainsi nommé parce que les premiers échantillons de malwares identifiés en mai 2018 ont contacté les serveurs de commande et de contrôle qui contenaient le mot advisors.
La campagne de spam est principalement menée sur des cibles aux États-Unis, mais d’autres infections ont également été détectées dans le monde entier. Selon les chercheurs en sécurité de Proofpoint qui ont découvert cette nouvelle menace, plusieurs milliers d’appareils ont été infectés par le malware depuis le mois de mai. Les pirates qui seraient à l’origine de ces attaques sont un groupe d’attaquants APT (Advanced Persistent Threat), connu sous le nom de TA555.
Différents leurres par email ont été utilisés dans cette campagne de malware pour inciter les destinataires à ouvrir la pièce jointe infectée et à activer les macros. Les emails envoyés aux hôtels semblaient provenir de personnes ayant été facturées deux fois pour leur séjour. La campagne sur les restaurants a utilisé des emails qui affirmaient que l’expéditeur a souffert d’une intoxication alimentaire après avoir mangé dans un établissement particulier, tandis que les attaques contre les entreprises de télécommunications avaient recours à des pièces jointes d’emails qui semblaient être des curriculum vitae de candidats postulant à une offre d’emploi.
AdvisorsBot est écrit en langage « C », mais une deuxième forme du malware a également été détectée. Cette variante est écrite en .NET et PowerShell. Cette deuxième variante a été nommée PoshAdvisor et elle est exécutée via une macro malveillante. Cette macro va, à son tour, exécuter une commande PowerShell qui télécharge un script PowerShell, lequel exécute le shellcode, ce qui exécute le malware dans la mémoire sans l’écrire sur le disque de l’appareil infecté.
Ces menaces de malware sont encore en cours de développement. Elles sont typiques de nombreuses menaces de malwares récentes qui disposent d’un large éventail des capacités et de la polyvalence nécessaires pour de nombreux types d’attaques différents comme le vol d’informations, la distribution de ransomwares et l’extraction de cryptomonnaie. Les actions malveillantes sont déterminées en fonction du système sur lequel le malware a été installé. Si ce système est parfaitement adapté à l’extraction de cryptomonnaie, le code correspondant sera installé. Si l’entreprise présente un intérêt particulier, elle fera l’objet d’un compromis plus large.
La meilleure forme de défense contre cette campagne est l’utilisation d’une solution avancée de filtrage de spam pour empêcher la distribution des emails malveillants, ainsi qu’une formation de sensibilisation des employés à la sécurité afin qu’ils puissent réagir au cas où une telle menace arriverait dans leur boîte de réception.
Alors que les pirates informatiques se tournent vers les langages de script pour développer rapidement de nouvelles variantes de malwares, plusieurs nouvelles variantes de logiciels malwares AutoHotKey ont été découvertes ces dernières semaines. La toute dernière ayant été découverte — le malware Fauxpersky — est très efficace pour voler les mots de passe.
AutoHotKey est un langage de script open source populaire. Il facilite la création de scripts pour automatiser et planifier des tâches, même à l’intérieur de logiciels tiers. Il est possible d’utiliser AutoHotKey pour interagir avec le système de fichiers local et la syntaxe est simple, ce qui le rend facile à utiliser, même sans grande connaissance technique. AutoHotKey permet de compiler des scripts dans un fichier exécutable qui peut être facilement exécuté sur un système.
Pour les développeurs de malwares, AutoHotKey reste toujours très utile. Les logiciels malwares AutoHotKey sont maintenant utilisés pour le keylogging et pour installer d’autres variantes de malwares comme les mineurs de cryptocurrences. La première de ces variantes a été découverte en février 2018.
Depuis, plusieurs autres variantes de logiciels malwares AutoHotKey ont été découvertes. Le dernier né étant Fauxpersky, ainsi nommé parce qu’il se fait passer pour un antivirus Kaspersky.
Les malwares Fauxpersky
Les malwares Fauxpersky manquent de sophistication, mais peuvent être considérés comme une menace importante. S’il n’est pas détecté, il permet aux attaquants de voler des mots de passe qui peuvent être utilisés pour des attaques très dommageables et de leur donner une prise sur le réseau.
Le malware Fauxpersky a été découvert par les chercheurs en sécurité informatique Amit Serper et Chris Black. Ils ont expliqué dans un récent article de blog que le malware n’est peut-être pas particulièrement avancé et furtif, mais il constitue une menace et pourrait permettre aux cybercriminels de voler des mots de passe pour avoir accès aux données.
Fauxpersky infecte les clés USB pour répandre le malware entre les périphériques. Il peut également se répliquer sur les lecteurs répertoriés du système. La communication avec les attaquants se fait via un formulaire Google, lequel est utilisé pour envoyer des mots de passe volés et des listes de frappes au clavier dans leurs boîtes de réception. Comme la transmission est chiffrée, il ne semble pas s’agir d’une exfiltration de données par les systèmes de surveillance du trafic.
Une fois installé, Fauxpersky renomme le lecteur et ajoute « Protected by Kaspersky Internet Security 2017 » au nom du lecteur. Le logiciel malveillant enregistre toutes les frappes au clavier effectuées sur un système et ajoute également un contexte pour aider les attaquants à déterminer ce que fait l’utilisateur. Le nom de la fenêtre dans laquelle le texte est tapé est ajouté au fichier texte.
Une fois que la liste des frappes a été envoyée, elle est supprimée du disque dur pour éviter toute détection.
Les chercheurs ont signalé cette nouvelle menace à Google. Celle-ci a été éliminée rapidement, mais d’autres menaces pourraient bien être créées pour la remplacer.
Les logiciels malwares AutoHotKey devraient devenir plus sophistiqués
Il est peu probable que les logiciels malwares AutoHotKey remplacent les langages de script plus puissants comme PowerShell. Pourtant, l’augmentation de l’utilisation de l’AutoHotKey, ainsi que le nombre de nouvelles variantes détectées ces dernières semaines suggèrent qu’il ne sera pas abandonné de sitôt.
Les logiciels malveillants AutoHotKey ont maintenant été découverts avec plusieurs fonctions d’obscurcissement pour les rendre plus difficiles à détecter. Cependant, de nombreux fournisseurs d’antivirus n’ont pas encore doté leurs logiciels de la capacité de détecter ces malwares.
À court et moyen terme, il est fort probable que nous assisterons à une explosion des variantes de logiciels malveillants AutoHotKey, en particulier les keyloggers qui sont conçus pour voler les mots de passe.
Aux États-Unis, les attaques de phishing contre les écoles et les établissements d’enseignement supérieur se sont multipliées ces derniers mois, soulignant ainsi la nécessité d’améliorer les programmes de formation du personnel et des moyens de défense contre la cybersécurité.
Le phishing consiste à envoyer des emails dans le but d’amener les destinataires à révéler des renseignements de nature délicate, comme des ouvertures de session à des comptes de messagerie électronique, des comptes bancaires ou d’autres systèmes informatiques. Généralement, un lien est inclus dans l’email qui dirigera l’utilisateur vers un site Web où l’information doit être entrée. Les sites, ainsi que les emails, contiennent des informations qui donnent l’impression que la demande est authentique.
Le phishing n’est pas nouveau. Il existe depuis les années 1980, mais la manière avec laquelle les informations sensibles sont stockées électroniquement et l’augmentation du nombre de transactions effectuées en ligne ont rendu les attaques beaucoup plus rentables pour les cybercriminels. En effet, les attaques ont augmenté et la qualité des emails de phishing s’est améliorée de façon incommensurable. De plus, les emails de phishing sont de plus en plus difficiles à identifier, en particulier par les membres du personnel non formés.
Aucune organisation n’est à l’abri des attaques. Si auparavant, les cybercriminels concentraient leurs efforts sur les institutions financières et les organismes de santé, aujourd’hui, le secteur de l’éducation est largement ciblé. Les attaques de phishing contre les écoles sont beaucoup plus fréquentes, et elles sont trop souvent couronnées de succès.
L’ampleur du problème est telle que l’IRS (Internal Revenue Service, le fisc américain) a récemment lancé un avertissement à la suite d’une augmentation massive des attaques de phishing contre les écoles. Des campagnes étaient menées par des attaquants à la recherche de données du formulaire W-2 sur les employés des établissements scolaires. Ces renseignements ont ensuite été utilisés pour produire des déclarations de revenus frauduleuses au nom de leurs employés.
Les récentes attaques de phishing contre des écoles, collèges et universités
Le Westminster College est l’un des récents établissements d’enseignement à avoir signalé qu’un employé s’est fait prendre au piège avec le phishing par formulaire W-2, bien qu’il y ait eu des dizaines d’écoles, de collèges et d’universités qui ont été attaqués cette année.
Les emails de phishing n’ont pas seulement pour but d’obtenir des renseignements fiscaux. Récemment, une attaque contre des écoles publiques de Denver a donné à un cybercriminel les informations dont il avait besoin pour effectuer un virement bancaire frauduleux. Plus de 40 000 $ destinés à payer les salaires du personnel ont été transférés sur son compte.
Cette semaine, nous avons appris via les forums sur le darknet qu’un pirate informatique avait eu accès aux comptes de messagerie d’une école, aux cahiers de notes des enseignants et aux renseignements personnels de milliers d’élèves. Cette personne cherchait des conseils sur ce qu’il fallait faire avec les données et les accès qu’il a obtenus afin de gagner de l’argent.
L’École de médecine de l’Université de Washington a été la cible d’une attaque de phishing, laquelle a permis aux agresseurs d’avoir accès aux renseignements médicaux des patients. Plus de 80 000 patients se sont fait voler leurs renseignements médicaux à la suite de cette attaque.
La semaine dernière, des informations ont également fait état d’une tentative d’attaque de phishing contre des écoles du Minnesota, avec 335 districts scolaires publics et environ 170 écoles potentiellement attaquées. Cette fois, l’attaque de phishing a été identifiée avant que l’information n’ait été divulguée. Elle concernait un courriel qui semblait avoir été envoyé par le Commissaire à l’Éducation. En réalité, les attaquants essayaient d’avoir accès à des informations financières.
Comment améliorer les défenses contre les attaques de phishing ?
Heureusement, il existe un certain nombre de contrôles technologiques qui peuvent être mis en œuvre, et à moindre coût, pour réduire le risque de succès des attaques par phishing dans les écoles.
Une solution avancée de filtrage du spam dotée d’un puissant composant antiphishing est maintenant essentielle. Un filtre antispam recherche les signatures de spam et de phishing courantes. Il s’assure également que les messages suspects soient mis en quarantaine et qu’ils ne soient pas envoyés aux utilisateurs finaux.
Bien entendu, même avec un filtre antispam, des emails de phishing peuvent parfois être envoyés. Pour empêcher les employés de visiter des sites Web de phishing et de révéler leurs informations, une solution de filtrage Web peut être utilisée.
Les filtres Web peuvent être configurés pour empêcher les utilisateurs finaux de visiter des sites Web connus et qui peuvent être utilisés pour le phishing. De plus, ces filtres permettent d’empêcher les utilisateurs d’accéder à des sites Web connus pour contenir des malwares, pour héberger des contenus illégaux ou indésirables tels que la pornographie.
Ces solutions devraient s’accompagner d’une formation pour tous les membres du personnel sur les risques liés au phishing et sur les identificateurs communs qui peuvent aider le personnel à repérer un email de phishing.
Par ailleurs, les écoles devraient mettre en œuvre des politiques pour signaler les menaces au niveau des services informatiques de l’organisation. Un signalement rapide peut limiter les préjudices causés par les attaques de phishing et empêcher les autres membres du personnel d’y répondre.
En outre, les services informatiques devraient mettre en place des politiques pour s’assurer que les attaques déjouées soient signalées aux forces de l’ordre.
Enfin, le signalement doit être envoyé aux autres districts scolaires à la suite d’une attaque pour leur permettre de prendre des mesures afin de se protéger contre des attaques similaires.
Toute école ou institution d’enseignement supérieur qui ne met pas en place les moyens de défense appropriés courra un risque élevé qu’une attaque de phishing soit un succès.
Non seulement les attaques de phishing exposent les employés à un risque de fraude, mais elles peuvent s’avérer trop coûteuses à atténuer pour les écoles. Avec des budgets déjà serrés, la plupart d’entre elles n’ont tout simplement pas les moyens de le faire.
Si vous souhaitez obtenir de plus amples informations sur la gamme de protections en matière de cybersécurité pouvant être mises en place pour prévenir les attaques de phishing dans les écoles et autres établissements scolaires, appelez dès aujourd’hui TitanHQ.
Microsoft a corrigé une grave vulnérabilité d’exécution du code à distance de MS Office — une vulnérabilité qui permettrait l’installation à distance de malwares sans qu’aucune interaction de l’utilisateur ne soit nécessaire. Le défaut est présent dans Microsoft Office depuis 17 ans.
Découverte par des chercheurs d’Embedi, cette faille a fait l’objet d’un suivi sous la référence CVE-2017-11882. Elle se trouve dans l’éditeur d’équations de Microsoft, une partie de MS Office qui est utilisée pour insérer et éditer des équations (objets OLE) dans les documents. Plus précisément, la vulnérabilité se trouve dans le fichier exécutable EQNEDT32.exe.
Cette vulnérabilité de corruption de mémoire permet l’exécution de code à distance sur un ordinateur ciblé, et permettrait à un attaquant de prendre le contrôle total du système au cas où il serait utilisé avec les kits d’exploitation de privilèges du noyau Windows. La faille peut être exploitée sur tous les systèmes d’exploitation Windows, y compris ceux qui ne sont pas corrigés avec la mise à jour Windows 10 Creators Update.
Microsoft s’est attaquée à cette vulnérabilité lors de sa série de mises à jour de sécurité de novembre 2017. Tout système non patché est vulnérable aux attaques, il est donc fortement recommandé d’appliquer rapidement le correctif. Alors que la faille aurait pu potentiellement être exploitée à tout moment au cours des 17 dernières années, on peut s’attendre à ce que cela se produise maintenant qu’un patch a été publié.
La faille ne nécessite pas l’utilisation de macros. Il suffit que la victime ouvre un document Office malveillant, conçu pour exploiter la vulnérabilité et qui arriverait probablement via un e-mail non sollicité. Ceci souligne l’importance de mettre en œuvre une solution de filtrage de spam telle que SpamTitan pour bloquer la menace.
Les utilisateurs finaux qui sont dupés en ouvrant un document malveillant peuvent prévenir l’infection en fermant le document sans activer les macros. Mais dans ce cas, les malwares pourraient encore être installés simplement en ouvrant le document.
Microsoft a évalué la vulnérabilité comme étant importante, plutôt que critique. Pourtant, les chercheurs d’Embedi affirment qu’elle est « extrêmement dangereuse ». Embedi a développé une attaque de preuve de concept qui lui a permis d’exploiter avec succès la vulnérabilité. Les chercheurs ont déclaré : « En insérant plusieurs OLE qui exploitent la vulnérabilité, il était possible d’exécuter une séquence arbitraire de commandes (par exemple, télécharger un fichier arbitraire sur Internet et l’exécuter) ».
EQNEDT32.exe est exécuté en dehors de l’environnement Microsoft Office, il n’est donc pas soumis à Office et à de nombreuses protections Windows 10. En plus d’appliquer le correctif, les chercheurs en sécurité d’Embedi recommandent donc de désactiver EQNEDT32.EXE dans le registre, car même avec le correctif appliqué, l’exécutable affiche encore d’autres vulnérabilités. Désactiver cet exécutable n’aura aucun impact sur les utilisateurs, car c’est une fonctionnalité d’Office qui n’est jamais nécessaire pour la plupart d’entre eux.
Si vous êtes comme la plupart des professionnels de l’informatique aujourd’hui, vous avez un million de choses à faire et un court laps de temps pour les accomplir.
Pour alléger notre charge sans fin, nous les réalisons souvent par commodité plutôt que selon une bonne politique. Malheureusement, les mesures que nous prenons par commodité aujourd’hui peuvent finir par créer plus de travail pour nous à l’avenir. Cela crée un cercle vicieux dont il est difficile de sortir.
Ci-dessous, j’ai décrit cinq mesures qui peuvent prendre un peu de temps au début, mais qui peuvent offrir un gain substantiel, en réduisant le recours au support technique et les attaques de malwares.
Imposer le groupe d’administrateurs locaux
Regardons les choses en face.
Faire de nos utilisateurs des administrateurs de leurs appareils est facile. Ainsi, nous n’avons pas à nous soucier des applications qui peuvent nécessiter des droits d’administrateur pour fonctionner correctement. Cependant, cela va à l’encontre de tous les aspects de l’application de la pratique du moindre privilège.
Donner aux utilisateurs les droits d’administration locaux sur leurs périphériques, c’est comme confier les clés d’une Lamborghini à un jeune de 16 ans, sans aucune limitation. À un moment donné, cela va mal finir.
Le concept du moindre privilège est simplement que les utilisateurs ne devraient avoir que les privilèges et les droits dont ils ont besoin pour faire leur travail, et rien de plus.
Disposant des droits d’administrateur, les utilisateurs ont un accès injustifié aux paramètres de configuration du logiciel dans lesquels ils ne devraient pas s’immiscer. Ils ont également des privilèges élevés qui peuvent favoriser l’installation de malwares.
Heureusement, vous pouvez facilement contrôler l’appartenance du groupe des administrateurs locaux de toutes vos machines par le biais des préférences de stratégie de groupe. Une fois activés et déployés sur l’ensemble du domaine, les comptes non autorisés seront supprimés et empêchés de s’inscrire à l’avenir.
Désactiver tout service inutilisé ou inutile
Un aspect clé du renforcement de la sécurité réseau est de désactiver tous les services sur vos dispositifs. Cette tâche peut être faite simplement, et encore une fois, par le biais des préférences de stratégie de groupe. Vous devrez créer cette politique sur une machine de gestion dotée du système d’exploitation le plus récent afin de vous assurer que tous les services sont pris en charge.
Il se peut également que vous deviez élaborer plusieurs politiques pour tenir compte des différentes configurations matérielles.
Par exemple, de nombreuses entreprises préfèrent désactiver le service Bluetooth sur les ordinateurs portables des utilisateurs pour des raisons de sécurité. Dans ce cas, la politique devrait être créée sur un appareil qui utilise ce service.
Maintenez la mise à jour des correctifs grâce à des tests appropriés
Nous sommes tous conscients de l’importance de maintenir nos machines à jour avec les derniers correctifs et mises à jour. Nous connaissons également le chaos qu’une mise à jour non testée peut occasionner sur l’expérience utilisateur.
C’est pour cette raison que de nombreuses organisations accordent un délai de 30 à 60 jours à compter de la publication des mises à jour avant de les appliquer. Evidemment, le problème est que des vulnérabilités bien connues demeurent exposées aux attaques cybercriminelles pendant cette période. Sachez que plus de 200 000 nouvelles menaces de malwares sont créées chaque jour.
Disposer d’un environnement de test virtuel, qui vous permet de valider correctement les mises à jour et les correctifs dès leur sortie, peut vous aider à identifier les conflits potentiels qui pourraient survenir dans votre environnement utilisateur.
En même temps, votre entreprise pourra déployer les mises à jour et les correctifs à l’échelle du réseau au moment opportun.
Mettre en place des pare-feux sur les périphériques locaux
Pendant des années, la plupart des organisations ont pu compter sur une stratégie de périmètre de réseau, comme un roi qui dépendait des murs de son château et des douves pour le protéger. En raison de l’évolution des stratégies militaires, appuyées par des technologies de pointe, la seule dépendance à l’égard d’une stratégie de périmètre s’est avérée fatale pour de nombreux royaumes, comme c’est le cas aujourd’hui pour de nombreux réseaux.
Dans le monde mobile d’aujourd’hui, il ne suffit pas de se fier uniquement à la protection périmétrique. Chaque périphérique qui n’est pas couvert par la sécurité du réseau doit être protégé par un pare-feu local. Encore une fois, avant toute mise en œuvre d’une solution à grande échelle, il faut procéder à des tests approfondis de toutes les applications utilisées par vos utilisateurs, qu’il s’agisse d’une application de bureau ou dans le cloud. Mais toutes ces mesures peuvent aussi nécessiter beaucoup de temps.
Réévaluez vos filtres antispam et web
Le phishing par email est la plus grande menace d’ingénierie sociale pour votre entreprise.
Certains des blogs que nous avons publiés récemment ont décrit les récentes éclosions de demandes de rançon qui ont fait des ravages dans des organisations critiques comme les hôpitaux. Ces attaques forcent les organisations à tout fermer lorsque quelqu’un a cliqué sur un lien malveillant contenu dans un email.
Nous avons également décrit certaines des escroqueries de phishing des PDG, ou Business Email Compromise. Elles ont coûté des millions de dollars à certaines des plus grandes entreprises du monde.
Le spamming n’a pratiquement aucun coût, et c’est pour cette raison que cette pratique est si répandue. Les méthodologies utilisées pour lancer des attaques sont beaucoup plus avancées qu’elles ne l’étaient il y a cinq ans.
Un seul email de phishing peut faire tomber tout votre réseau, c’est pourquoi il vaut la peine d’évaluer chaque année votre service de filtrage de spams et de comparer les caractéristiques offertes par votre solution actuelle avec d’autres options.
Une solution qui semblait tout à fait appropriée il y a cinq ans est peut-être dépassée aujourd’hui.
Le plus souvent, la flexibilité et la possibilité d’optimisation des ressources sont les principaux facteurs décisifs pour le choix d’une solution de sécurisation du réseau. Pour ces raisons, et d’autres encore, nous voyons beaucoup d’entreprises se tourner vers le filtre web avancé WebTitan. Une version d’essai gratuite de 14 jours est disponible à l’adresse https://www.titanhq.fr/webtitan.
