Selon le rapport d’enquête 2018 de Verizon concernant les violations de données (DBIR 2018), récemment publié, 78% des utilisateurs d’une organisation n’ont cliqué aucun lien de phishing pendant toute l’année 2017. Malheureusement, 4% ont cliqué sur n’importe quoi lors des campagnes de phishing.
Les preuves montrent clairement que plus le nombre d’emails de phishing sur lesquels quelqu’un a cliqué dans le passé est élevé, plus il est probable qu’il cliquera à l’avenir. Si le taux de 4% est représentative de la plupart des organisations, il est plus qu’utile de retracer ce petit groupe de personnes au sein de votre organisation.
Vous pouvez faire cela en mettant en œuvre une série d’attaques de simulation de phishing parmi vos utilisateurs, puis en les rencontrant.
Les utilisateurs ne rapportent que 17% des campagnes de phishing
Une autre statistique préoccupante concernant est que les utilisateurs ne signalent que 17% des campagnes de phishing.
Non seulement la plupart des campagnes de phishing ne sont jamais rapportées, mais l’étude montre qu’il faut en moyenne 28 minutes pour que le premier rapport arrive, alors qu’un lien de phishing est cliqué dans les 16 minutes.
Les utilisateurs doivent recevoir une formation sur la façon d’identifier les emails suspects et être sensibilisés à l’importance de signaler les activités suspectes le plus tôt possible. En effet, ils ne sont pas seulement le maillon le plus faible de votre sécurité, mais ils constituent aussi votre dernière ligne de défense. L’éducation est donc primordiale.
D’autres statistiques intéressantes concernant le phishing l’an dernier révèlent que :
Le courrier électronique continue d’être le principal mécanisme de diffusion des attaques d’ingénierie sociale (96%).
59% des attaques de phishing sont motivées par des raisons financières.
Le phishing est souvent utilisé comme action principale d’une attaque et est suivi par l’installation de malwares.
Seulement 13% des atteintes utilisent le phishing. Cependant, 25% des phishing ont été utilisées pour attaquer les établissements d’enseignement.
Le ransomware est actuellement la méthode n°1
Dans le cadre de l’étude susmentionnée, 444 millions de malwares détectés dans environ 130 000 organisations ont été analysés. En moyenne, chaque organisation a reçu 22 malwares ou moins par an.
Pour la première fois, les ransomwares figurent en tête de liste des malwares les plus répandus dans les attaques. Depuis 2014, date à laquelle le ransomware est apparu pour la première fois sur la liste des menaces de malwares (22e rang), il a grimpé rapidement les échelons, atteignant même le 5e rang dans le DBIR 2017.
Alors que les ransomwares représentaient 56% de tous les malwares découverts l’année dernière, ils constituaient 85% de tous les malwares détectés dans le secteur des soins de santé. Il est donc évident que les auteurs d’attaques par ransomwares visent ce secteur.
Dans le blog de la semaine dernière, nous avons parlé de la prévalence des systèmes existants dans le secteur de la santé. Ces systèmes sont la principale cible des pirates informatiques, car ils sont extrêmement vulnérables.
Les vecteurs les plus courants pour la livraison de ransomwares étaient les emails et les sites web malveillants. Ainsi, des solutions de filtrage pour chacun de ces éléments sont absolument nécessaires pour sécuriser votre entreprise. Une stratégie de sauvegarde bien pensée et méthodique est le meilleur moyen de faire face à une attaque par ransomware, notamment la stratégie de sauvegarde 3-2-1.
Prétextes financiers
Le DBIR 2018 montre que le nombre d’attaques par prétexte a presque triplé par rapport à celui de l’année précédente. Bien que le phishing soit souvent associé à l’infestation de malwares, les prétextes financiers n’en impliquaient que rarement (moins de 10%).
Souvent, l’objectif final de ces types d’attaques est de convaincre quelqu’un au sein d’une organisation de transférer de l’argent, généralement sous la forme d’un virement bancaire ou d’une fausse facture. Le prétexte est en fait du spear phishing.
Encore une fois, l’email est le principal vecteur de telles attaques, bien que les conversations téléphoniques soient également utilisées. Dans le cadre d’attaques par prétexte, l’agresseur se fait passer pour le PDG ou un autre cadre supérieur. Cela peut se faire par le biais d’un compromis direct du compte de messagerie du cadre supérieur ou par usurpation d’identité. Ces attaques très lucratives peuvent facilement rapporter six chiffres.
Comme pour les attaques de phishing, la stratégie la plus efficace pour combattre les attaques par prétexte est une combinaison de filtrage des emails et d’éducation à la sécurité. Il faut apprendre aux utilisateurs comment identifier un email usurpé et ce qu’il faut rechercher dans un email de phishing. Une sorte d’authentification multifactorielle devrait également être mise en place pour tous les transferts financiers dont le montant est élevé.
Atteintes à la protection des données
Voici quelques-unes des principales statistiques concernant les atteintes à la protection des données :
73% des infractions sont mises en œuvre par des tiers, alors que 28% impliquent une partie interne.
48% des violations de données impliquent le piratage informatique, tandis que 30% dépendent des malwares.
24% des violations affectent les organismes de soins de santé.
58% des organisations victimes de violation de données sont des petites entreprises.
Le crime organisé, c’est-à-dire une structure humaine constituée de plusieurs personnes, demeure le principal responsable des atteintes à la protection des données.
Bien que les administrateurs système soient en tête de la liste des probables responsables d’infractions internes, l’utilisateur habituel se classe au deuxième rang, non loin derrière. Les médecins et les infirmières se trouvent au 4e rang.
La proéminence inquiétante des armées de botnets
Le DBIR 2018 était basé sur 53 000 incidents liés à la cybersécurité et 2 216 atteintes à la protection des données confirmées. Les auteurs du rapport ont choisi de ne pas inclure les atteintes impliquant les botnets, lesquelles totalisaient 43 000 l’an dernier.
Les botnets sont principalement utilisés dans les attaques de bourrage d’identifiants. Ces attaques constituent la grande majorité des violations par des botnets et la grande majorité d’entre elles ciblent les institutions financières.
Chaque année, l’objectif du DBIR est de fournir aux praticiens de la sécurité une vision réelle et fondée, c’est-à-dire basée sur des données, sur ce qui arrive habituellement aux entreprises en matière de cybercriminalité. Il décrit également les tendances afin que les professionnels de la sécurité puissent affecter les ressources de manière appropriée.
Les sites Web se terminant par .xxx sont désormais en vente. Il s’agit d’une évolution attendue depuis longtemps par les professionnels de l’industrie du divertissement pour adultes. Le suffixe .xxx est un domaine générique de premier niveau qui n’a pas de désignation géographique ou de pays, vers lequel tous les sites web pour adultes pourront être déplacés pour permettre de filtrer et d’éviter que les utilisateurs du web ne soient exposés à des contenus pour adultes.
Tout le monde peut acheter en ligne ce nom de domaine, dont ICM Registry est la société propriétaire. Actuellement, ce ne sont pas seulement les sociétés de divertissement pour adultes qui se précipitent d’enregistrer leur marque en tant que .xxx. Des entreprises, particuliers et autres institutions s’y sont également lancées pour éviter que d’autres ne le fassent à leur place et n’associent les noms de domaines à des contenus pour adultes.
Le domaine de premier niveau et son importance
L’adresse d’un site web contient plusieurs éléments qui permettent aux internautes de la distinguer et de s’en souvenir. Parmi ces éléments figure le domaine de premier niveau (ou « Top-Level Domain – TLD ») qui comprend des lettres placées après le point, comme .net et .com.
Le TLD fait partie de l’URL d’un site internet est il est le niveau le plus élevé du système hiérarchique des noms de domaine. C’est donc un élément important qui permet non seulement à un site web de fonctionner correctement, mais aussi de le faire apparaitre comme légitime aux yeux des visiteurs potentiels.
Lorsque vous créez votre propre site web, la première chose à faire est d’enregistrer un nom de domaine. Pour ce faire, vous aller sélectionner un TLD qui correspond à votre catégorie d’activité. Ce choix ne doit pas être pris à la légère, car il aura un impact sur l’apparence de votre URL et sur la facilité ou la difficulté pour les utilisateurs à s’en souvenir. De plus, certains noms de domaine de premier niveau ont des origines et des objectifs spécifiques selon leur nature.
Le .gov est, par exemple, réservé aux organismes gouvernementaux, tandisque .com est généralement utilisé par les organisations commerciales. Pour le cas du nouveau domaine .xxx, sa vocation est d’être exploité pour des sites pornographiques.
Pourquoi un nouveau domaine .xxx ?
Pour donner aux lecteurs un peu de contexte, l’ICANN (Internet Corporation for Assigned Names) a décidé de créer un nouveau domaine de premier niveau pour les sites Web pour adultes ou les sites à caractère pornographique, en utilisant le suffixe « .xxx ». Le plan était que tous les sites pornographiques puissent être consignés dans un coin de l’Internet.
Rappelons que l’ICANN est l’organisme qui régit les noms de domaine et qui a approuvé les sept premiers domaines dans les années 1980, à savoir .com, .org, .gov, edu, .net, .int et .mil. Dans les années 2000, il a ajouté d’autres domaines comme .aero, .coop, .jobs, .asia, .cat, .tel, .mobi, .museum et .travel. Ce n’est qu’en 2011, et après des années de réflexion, que l’ICANN a approuvé l’utilisation du domaine de premier niveau .xxx pour les sites web de divertissement pour adultes.
En théorie, une fois que tous les sites web pour adultes auront une adresse .xxx, il sera facile pour les utilisateurs de l’Internet de les trouver – si c’est exactement ce qu’ils veulent – et facile pour eux de les bloquer au cas où ils ne voudraient pas les voir.
L’idée sous-jacente à cette nouvelle extension est de permettre aux entreprises, parents et professionnels de la sécurité web de bloquer des sites pornographiques en bloquant simplement l’extension.
De nombreuses entreprises de l’industrie du divertissement pour adultes devraient donc s’inscrire pour un nom de domaine .xxx. Mais les entreprises qui basculent vers les nouveaux noms et qui les utilisent massivement sont sceptiques, car les analystes prédisent que de nombreuses entreprises vont simplement créer des redirections vers leurs sites « .com » principaux.
Alors, à qui profite réellement ce déménagement ?
Les opérateurs de sites pornographiques ont la possibilité d’utiliser ou non le nouveau domaine. Les opposants à ce concept estiment que, comme il ne s’agit pas d’une exigence de domaine imposé, cela ne représente aucun avantage.
Si seulement une sous-section des sites pornographiques se déplace vers le nouveau domaine, le blocage prévu des sites pornographiques via le domaine .xxx ne sera pas efficace.
Pro-domaine .xxx
Le domaine .XXX est sponsorisé. La communauté des sponsors est composée des personnes qui fournissent des divertissements pour adultes en ligne et de leurs fournisseurs et représentants. Il peut s’agir d’un individu, d’une entreprise, d’une entité ou d’une organisation qui fournit des divertissements en ligne pour adultes à orientation sexuelle et qui sont destinés à des adultes consentants ou à d’autres membres de la communauté.
Naturellement, ce sont donc ces personnes et entités qui sont les plus susceptibles d’être intéressées par l’enregistrement de leurs noms de domaine en tant que .xxx.
Selon les partisans de ce concept, ce changement est comme une nouvelle façon prometteuse de filtrer la pornographie sur Internet.
Rappelons que le directeur général d’ICM Registry, Stuart Lawley s’est battu depuis une dizaine d’années pour obtenir l’autorisation d’ajouter ce nouveau domaine pour adultes sur le web. Selon lui, cela permettrait aux gens d’identifier le contenu et le consulter ou l’éviter comme ils l’entendent. Il a également expliqué que ces nouveaux sites devraient être exempts de virus et plus difficiles d’accès pour les enfants, étant donné que chaque site .xxx recevra automatiquement un label de protection de l’enfance et qu’il sera possible de configurer les navigateurs pour filtrer automatiquement ces sites. Cela pourrait être une solution avantageuse pour l’industrie du divertissement pour adultes et pour les personnes qui se préoccupent de la sécurité de leurs enfants sur le web.
Du point de vue de la gestion de la réputation d’une marque, il n’y a aucun mal à acheter le nom de votre entreprise ou de votre marque en tant que domaine .xxx, à condition que le coût d’adhésion ne soit pas exhorbitant. Il constitue un moyen de protéger de façon proactive votre nom (ou celui de votre entreprise) sur le web. Il ne devrait donc y avoir un inconvénient à cela.
Mais tout le monde n’est pas du même avis.
Anti-domaine .xxx
Depuis que les noms de domaine de premier niveau qui terminent par le suffixe .xxx sont devenus disponibles, de nombreux groupes et institutions, y compris l’industrie du divertissement pour adultes elle-même, ne cessent de protester contre cette évolution.
D’une part, les personnalités publiques et les institutions académiques s’inquiètent de la possibilité d’apparition d’actes malveillants comme :
L’achat d’un nom dans le but de faire du « cybersquatting », en le revendant à une l’organisation ayant-droit à un prix plus élevé.
La redirection du public qui utilise la version .xxx d’un site web vers des sites qui peuvent nuire à leur réputation.
La revente de noms de domaine .xxx au plus offrant.
De nombreuses organisations, entreprises et personnalités publiques qui n’ont aucun lien avec l’industrie adulte ont même commencé à acheter les noms de domaines les concernant, de peur que le suffixe nouvellement disponible ne leur cause des problèmes ou des dépenses supplémentaires.
Dans un billet de blog, le vice-président de la politique d’Educause, Gregory Jackson, a souligné que les effets de la mise en place de ce nouveau domaine ont été négatifs. Aucun collège ou université n’a encore bénéficié de cette initiative. Au contraire, elle expose ces institutions à des risques sans qu’elles ne reçoivent aucune valeur en retour. Selon Gregory Jackson, il faudrait renforcer les procédures d’émission et de gestion des noms domaines génériques de premier niveau pour réduire leurs effets négatifs involontaires sur les collèges et les universités. En guise d’exemple, il a mentionné le cas de l’Université d’Hawaï. Cette institution a déjà été confrontée à un problème majeur lorsqu’un individu a acheté un nom de domaine connexe appelé universityofhawaii.xxx. L’acheteur du nom de domaine présentait ce qu’il décrivait comme des « étudiantes hawaïennes nues et sexy ». Heureusement, une lettre de désistement et de cessation de l’université a pu convaincre l’opérateur de retirer le site.
Stephen Balkam, PDG de l’organisation internationale Family Online Safety Institute, a également affirmé qu’il ne s’agit pas d’une solution miracle ni un moyen facile et rapide d’éviter le porno. Il s’agit plutôt d’un modeste outil de filtrage des contenus web. La raison est qu’il existe de nombreux autres sites qui utilisent d’autres extensions comme .com et qui n’utiliseront probablement pas le domaine .xxx.
Enfin, selon un article publié dans le magazine mensuel américain PCWorld, les propriétaires d’entreprises ne devraient pas nécessairement s’inquiéter de l’achat de l’équivalent de leur site web en tant que domaine .xxx, et ce, pour deux raisons. D’une part, la plupart d’entre elles – notamment les marques bien établies comme Microsoft – possèdent un contenu protégé par des marques déposées et des droits d’auteur. Au cas où le nom de domaine serait reproduit sur un site .xxx, il pourra donc être annulé par voie légale.
Que faire pour ne pas mettre votre marque en danger et éviter le cybersquatting ?
Il est possible de bloquer l’achat de votre nom de domaine en version .xxx. Il s’agit d’une action préventive qui empêchera que le nom de domaine de votre enseigne ou votre marque soit utilisé en tant que .xxx par quelqu’un d’autre pour créer un site pour adultes.
Il suffit d’un seul enregistrement pour bloquer l’usage de votre nom de domaine pendant 1 jusqu’à 10 ans et le rendre totalement inexploitable. Sachez toutefois que les TLD .xxx ne sont pas gratuits. Vous devez les acheter auprès d’un opérateur spécialisé et autorisé.
Les noms de domaine ne sont pas destinés à être achetés à vie. Ils sont seulement loués pendant une certaine période et le registrant doit être membre d’une communauté parrainée s’il veut que son nom de domaine .xxx soit résolu. Par contre, le processus d’adhésion est simple et rapide. Il suffit de confirmer vos informations de contact et d’obtenir un identifiant d’adhésion. Ensuite, lorsque vous allez acheter un domaine .xxx, vous fier à votre société d’hébergement (GoDaddy, Network Solutions, etc.) pour l’enregistrement de votre site. De cette manière, vous n’aurez pas de problème avec votre achat, sauf si le nom que vous demandez est déjà pris.
Les personnes qui soutiennent l’utilisation du nom de domaine .xxx recommandent aux entreprises de réserver le plus tôt possible leur TLD .xxx, même si elles n’envisagent pas encore d’enregistrer leur site. Autrement, quelqu’un pourrait revendiquer leur place et l’enregistrer en premier dans l’industrie du divertissement pour adultes. D’autres peuvent également utiliser leur marque pour générer du trafic sur leur site, ce qui n’est pas bon pour leur activité.
Les analystes de WebTitan ont leur avis concernant cette nouvelle mesure
Si vous avez envie d’acheter de manière proactive le nom de votre marque ou de votre entreprise en tant que domaine .xxx, vous pouvez considérer cela comme un bon investissement. Lorsqu’il s’agit de gestion de la réputation de votre marque sur le web, il est toujours utile de couvrir toutes les bases. Toutefois, n’oubliez pas que vous ne pourrez pas surveiller tous les coins d’Internet.
Bien que certains propriétaires de sites web de l’industrie du divertissement pour adultes enregistrent leurs sites en utilisant cette nouvelle extension, il est fort probable qu’ils conserveront encore leur domaine actuel afin de ne pas limiter leur audience. D’autres personnes aux intentions malveillantes, quant à elles, peuvent acheter d’autres noms de domaine pour faire en sorte que le site internet de votre marque apparaisse sur le web en .adult, .porn, .sex, etc., et arbore explicitement des contenus pour adultes.
En réalité, les utilisateurs finaux ne feront aucune différence en ce qui concerne la quantité de contenus pornographiques qu’ils peuvent visualiser en ligne, que le site utilise ce nouveau domaine ou non. Le fait de bloquer l’accès aux sites web avec le suffixe .xxx ne suffit pas pour empêcher vos employés de les consulter, sauf si de nouvelles lois sont adoptées afin de forcer tous les sites pornographiques à l’utiliser. Pour le moment, cette solution s’avère incroyablement difficile à réaliser.
Si vous voulez empêcher les utilisateurs d’accéder à des contenus pornographiques, la meilleure solution est d’utiliser un filtre web comme WebTitan.
Dans le passé, les filtres web ont été critiqués pour avoir surbloqué le contenu web. De nos jours, certains d’entre eux, comme WebTitan Cloud de TitanHQ, permettent un contrôle plus fin du contenu Internet grâce à des contrôles très granulaires. Ils peuvent bloquer l’accès à la pornographie et à d’autres catégories de contenu Internet en quelques clics de souris.
WebTitan Cloud comprend par exemple 53 catégories prédéfinies que vous pouvez utiliser pour filtrer le contenu Internet en quelques secondes une fois la solution implémentée. Il est facile à configurer et ne requiert aucun achat de matériel ni le téléchargement de logiciel. Il suffit de changer votre DNS pour qu’il pointe vers WebTitan et vous pourrez appliquer facilement le contrôle des contenus web.
Et vous, qu’en pensez-vous ? Allez-vous acheter le nom de votre marque ou de voire entreprise en tant que domaine .xxx ? Ou êtes-vous indifférent à cette évolution ?
FAQs
Quel risque représente le domaine .xxx pour les entreprises ?
Les cybercriminels peuvent tenter d’enregistrer des domaines .xxx liés à des marques connues. C’est pour cette raison que de nombreuses entreprises se demandent comment empêcher que leur marque soit associée à la pornographie ainsi qu’aux services de divertissement pour adultes.
Comment éviter que le site de votre marque ne devienne un site .xxx ?
Si vous êtes un propriétaire d’une marque qui a été associée à un nom de domaine .xxx sans votre consentement, vous pouvez bloquer ce nom de domaine en déposant une demande défensive auprès de l’Internet Corporation for Assigned Names and Numbers ou ICANN. Si la demande aboutit, le nom de domaine bloqué sera retiré de la réserve de noms de domaine .xxx disponibles. A noter que vous pouvez aussi acheter un nom de domaine .xxx simplement pour éviter qu’il soit piraté.
Cette nouvelle pratique n’accélère-t-elle pas la normalisation de la pornographie ?
En tout cas, c’est ce que pensent les militants des milieux religieux et conservateurs. Ces derniers ont déjà exercé un intense lobbying contre la création de ce genre de nom de domaine. Les défenseurs de cette nouvelle norme, quant à eux, avancent qu’elle permettra de mieux surveiller et de gérer les sites pour adultes.
Qui fixe les règles d’attribution et de gestion des noms de domaine .xxx ?
C’est la société ICM REGISTRY, l’organisation qui a lancé ce concept le 7 septembre 2011.
Combien coûte un nom de domaine avec l’extension .xxx ?
En général, il est difficile de définir précisément le prix d’achat d’un nom de domaine, car cela varie en fonction de l’extension. De toute façon, si vous êtes dans l’industrie de la pornographie, vous pouvez actuellement faire des comparaisons et opter pour d’autres suffixes comme .adult, .sex, .porn, etc. A noter seulement que, si le nom de domaine que vous souhaitez acheter est déjà réservé, son prix peut flamber.
L’un des principaux escrocs de l’arnaque au « prince nigérian » par email a été arrêté. Connu sous le nom de « Mike », le Nigérian a présidé un réseau multinational derrière des escroqueries par email d’une valeur de plus de 54.8 millions d’euros.
Les escrocs utilisaient des malwares, des faux comptes de messagerie et d’autres astuces pour attirer les gens à révéler leurs informations personnelles. Interpol a déclaré qu’une escroquerie leur avait rapporté 1,3 million d’euros.
Ces fraudes sont souvent connues sous le nom d’arnaque « Nigériane 419 » parce que la première vague est venue du Nigeria. La partie « 419 » de ce nom provient de l’article du Code pénal du Nigeria qui interdit cette pratique.
Utiliser l’e-mail pour arnaquer les gens
L’arnaque nigériane vous renvoie au fait qu’un prince exotique vous propose régulièrement un e-mail pour susciter votre bonté d’âme même s’il ne vous connaît pas. Il vous propose de donner un pourcentage de sa fortune immense si vous acceptez de l’aider à sortir de son pays.
Ce type d’arnaque ne date pas d’hier. Elle est vieille comme l’Internet et est basée sur l’envoi du même message à des centaines de milliers de personnes, en espérant que l’une d’entre elles mord à l’hameçon. En général, les contes censés accrocher les victimes sont dramatiques, émouvants, voire cocasses, et l’e-mail contient de nombreuses fautes d’orthographe.
La mule financière
En réalité, la fortune n’existe pas, tout comme le prince, et si la victime se fait prendre par l’arnaque, elle se retrouve finalement avec une perte. Une fois qu’elle a cessé d’envoyer de l’argent, le pirate informatique peut utiliser ses informations personnelles et ses chèques pour se faire passer pour la victime. Il peut alors vider son compte bancaire et les soldes de sa carte de crédit. Bien entendu, de nombreux citoyens ne tombent pas dans le piège des pirates, mais force est de constater que l’escroquerie implique des millions d’euros de pertes chaque année.
Le Nigeria n’est pas le seul pays à l’origine de ces escroqueries. Elles proviennent désormais de partout dans le monde.
Les sujets d’actualité sont la poussière d’or pour les spammeurs. Ces événements suscitent un énorme intérêt en ligne dans le monde entier. Les événements internationaux populaires comme les Jeux olympiques offrent aux escrocs de nombreuses nouvelles victimes potentielles.
En accaparant les gros titres de l’actualité, les spammeurs peuvent augmenter le volume de trafic vers leurs sites Web. À ce jour, on estime que plus de 73 milliards d’euros ont été perdus, seulement à cause de la fraude 419, ce qui explique pourquoi ces emails malveillants continuent d’exister et d’augmenter en fréquence et en férocité.
Qu’est-ce qui rend un email frauduleux évident ?
Il vous promet une importante récompense en argent en contrepartie de votre aide (l’utilisation d’un compte bancaire est une demande courante).
Mauvaise utilisation du français (grammaire et orthographe).
Il est lié à un événement en cours et qui fait la une des journaux.
Ces éléments réunis sont révélateurs d’un email d’arnaque typique. Les emails semblent toujours suivre le même schéma, ce qui rend les spammeurs prévisibles.
Variantes de l’escroquerie 419
Le classique
Quelqu’un vous contacte pour vous demander de l’aide afin d’obtenir une grosse somme d’argent à l’extérieur du pays, en échange d’une généreuse commission. Il demande vos coordonnées bancaires ou un petit don en espèces pour vous aider à recevoir l’argent.
Nous avons déjà évoqué ce fait au début de notre dossier. Certaines victimes peuvent penser que les gains qu’elles peuvent obtenir en contrepartie d’une somme négligeable sont gros. Dans d’autres cas, l’e-mail semble être envoyé par une soi-disant fille d’un directeur financier qui possède une mine de diamants en Sierra Leone, mais qui est réfugiée à l’étranger. Il peut aussi s’agir d’un militaire français en mission en Côte d’Ivoire qui a découvert un trésor abandonné par des rebelles, ou encore d’un riche célibataire sans enfant qui souffre d’un cancer en phase terminale au Canada.
La loterie
Pour ce cas précis, un e-mail vous informe que vous avez gagné à la loterie, même si vous n’avez jamais acheté un billet. Pour vous aider à récupérer la somme, le cybercriminel vous demande une petite somme d’argent comptant à l’avance.
La loterie est souvent peu connue. Elle a eu lieu dans un autre pays et, souvent, l’email vous demande d’envoyer vos informations personnelles pour pouvoir vérifier votre identité.
En faisant cela, vous devenez une victime d’une usurpation d’identité. De plus, l’argent que vous avez envoyé n’est plus récupérable.
Les signes avant-coureurs de ce genre d’escroquerie sont les suivants :
L’expéditeur de l’e-mail est une personne et non une entreprise.
D’autres personnes que vous connaissez ont également reçu le même e-mail.
Vous n’avez jamais entendu parler de ladite loterie.
Et surtout, soyez méfiant si vous n’avez jamais acheté un billet de loterie.
Dès que vous recevez ce genre d’e-mail, il est recommandé de faire une recherche rapide sur Google pour vérifier la légitimité de la loterie. L’autre mesure à prendre est de ne jamais communiquer vos informations personnelles par le biais de la messagerie électronique, notamment à des personnes que vous ne connaissez pas.
L’héritage
Vous avez hérité d’une somme d’argent de quelqu’un que vous ne connaissiez même pas. Vous devez d’abord faire un petit dépôt pour obtenir votre héritage.
Il existe de nombreuses autres variantes de l’escroquerie 419, mais ce sont les plus courantes. Aussi incroyable que cela puisse paraître, les gens continuent de tomber dans ces pièges. Ces escroqueries sont continuellement répétées, car elles récompensent les cybercriminels.
N’oubliez pas que vous ne devez jamais envoyer d’argent à quelqu’un qui vous contacte par email et que vous ne devez jamais divulguer des informations personnelles ou financières par email ou par téléphone.
Arnaques via les sites de rencontre
Imaginez que vous rencontrez un individu via un site de rencontre ou via un forum de discussion. Vous faites connaissance avec la personne et vous avez le sentiment que celle-ci est bien réelle. Pourtant, vous ne pouvez jamais être certain de la personne qui se trouve de l’autre côté de votre écran.
Il s’agit donc d’une relation virtuelle avec un individu, ce qui n’est pas mauvais en soi. Pour paraître authentique, le pirate peut usurper l’identité d’une personne réelle et fournir de fausses informations personnelles pour brouiller ses pistes.
Le problème survient lorsque la personne commence à vous demander de l’argent, des informations personnelles ou des photos intimes. À partir de ce moment, vous devez vous méfier, car il se peut que vous ayez affaire à un escroc, également appelé catfisher.
Il y a également certains signes qui peuvent révéler que vous parlez à un catfisher :
Il fait preuve d’émotions fortes et d’une grande justesse d’intentions en très peu de temps.
La relation passe rapidement d’un site de rencontre à des plateformes de discussion privées.
Il vous demande de l’argent en raison des difficultés personnelles, telles qu’un membre de sa famille malade ou suite à un échec professionnel.
Pour éviter l’arnaque de ce type, le mieux serait de ne jamais envoyer de l’argent ou de divulguer des informations personnelles à une personne que vous ne connaissez pas. Cela semble évident, mais sachez que de nombreuses victimes tombent encore dans le piège des cybercriminels.
Escroqueries aux faux organismes de bienfaisance
Après une catastrophe naturelle à grande échelle, nous souhaitons souvent apporter notre contribution aux victimes de la tragédie. Les escrocs sont conscients de ce fait et n’hésitent pas à en tirer profit.
Pour ce faire, ils créent des sites de dons et de faux comptes. Ensuite, ils rédigent un e-mail émouvant dont le but est de solliciter des fonds qui seront versés aux victimes. Pourtant, ces fonds ne parviendront jamais à leurs véritables bénéficiaires.
Pour augmenter leur chance de réussir, les escrocs jouent sur la compassion. Il est donc recommandé de mener votre enquête avant faire un don. Vérifiez concrètement le site web de l’organisme caritatif, lequel devrait inclure sa déclaration d’intention et publier certains documents d’exonération fiscale.
Arnaques aux dépannages
Cette autre variante de l’arnaque 419 débute dans la vie réelle et évolue rapidement vers une escroquerie virtuelle. Plus précisément, un escroc vous appelle et se fait passer pour un individu qui travaille pour Microsoft ou d’autres éditeurs de logiciels importants. Il vous informe qu’il peut résoudre certains problèmes informatiques comme la vitesse de connexion Internet très lente ou le délai de téléchargement très long.
Comme la proposition de service semble alléchante, lorsque la même personne vous envoie un e-mail, vous pourriez donc être tenté de télécharger un programme d’accès à distance, permettant au pirate informatique de prendre le contrôle de votre ordinateur et d’installer des malwares. En passant, il peut accéder à vos données, à vos fichiers et à vos informations personnelles.
Pour éviter d’être victime de cette arnaque, n’acceptez jamais un service de dépannage informatique que vous n’avez pas sollicité, sauf si vous êtes absolument certain de l’identité de l’individu qui propose le service. En outre, ne laissez jamais une personne accéder à distance à vos appareils.
L’arrêt de Mike est-il vraiment une mauvaise nouvelle pour les escrocs ?
Les arnaques du type « prince nigérian » ne cessent de se diversifier, mais leur principe est souvent le même. Il s’agit de vous solliciter à payer peu pour recevoir beaucoup.
Même si l’arnaque au « prince nigérian » n’est plus en vogue en 2020, d’autant plus que l’un des principaux escrocs qui l’utilisent s’est fait attraper, elle ne semble pas vieillir. Bien au contraire, elle ne cesse d’évoluer et les pirates changent constamment de tactique pour la perpétuer.
Mais vous ne devez pas seulement lutter contre ce type d’arnaque, car les cybercriminels – peut être même ceux qui sont derrière l’arnaque du type « prince nigérian par e-mail » – rivalisent d’ingéniosité pour démultiplier leurs chances de réussite. Ces nouvelles attaques sont essentiellement basées sur le phishing.
Lors d’une campagne de phishing, les pirates envoient des emails massifs dans le but de chercher à piéger vos employés. La tactique est simple : les messages tentent d’inciter leurs destinataires à effectuer une action. Dans la vie, il y a deux manières d’obtenir quelque chose d’une personne : soit vous lui demander gentiment, soit vous êtes une personne qui a l’autorité sur sa décision.
Le phishing rassemble ces deux conditions. L’astuce consiste à usurper l’identité d’un employé ou d’une organisation afin de lui demander gentiment d’exécuter une action telle que la modification de son mot de passe ou l’ouverture d’une pièce jointe. L’attaque repose essentiellement sur trois éléments : l’e-mail, une pièce jointe et le site web.
Les différentes sortes d’attaques susmentionnées, comme les tentatives de recevoir l’héritage d’un riche prince nigérian ou la fausse loterie, ne font plus beaucoup de victimes. La majorité des filtres antispam de nos jours peuvent bloquer ces attaques lancées via les emails. L’unique façon de voir les messages indésirables consiste à consulter votre dossier « spam ». Pourtant, il existe de nouvelles tactiques de phishing qui connaissent de plus en plus de succès, notamment :
Le spear phishing
Le spear phishing est une menace basée sur l’ingénierie sociale dans laquelle le pirate se déguise en un contact de confiance pour tromper sa cible en l’invitant à cliquer sur un lien dans un e-mail, un SMS ou un message instantané usurpé. Ainsi, la cible risque de révéler involontairement des informations sensibles ; de déclencher la première étape d’une menace persistante avancée (APT) ou d’installer des malwares sur votre réseau d’entreprise. Si le spear phishing connaît actuellement beaucoup de réussite, c’est parce qu’il mélange des éléments psychologiques et techniques.
Le dernier rapport de Symantec sur les menaces à la sécurité sur Internet a révélé que le spear phishing reste actuellement la menace la plus populaire. Parmi tous les cybercriminels connus, 65 % d’entre eux ont eu recours au spear phishing pour servir de principal vecteur d’infection. Un rapport de Mimecast concernant l’état de la sécurité de la messagerie électronique en 2019 a également rapporté que 94 % des personnes interrogées sur plus d’un millier de décideurs informatiques du monde entier ont été victimes d’attaques de spear phishing ou de phishing au cours des 12 derniers mois.
Les attaques BEC
Une attaque du type BEC (Business Email Compromise) commence par l’usurpation d’identité des comptes de messagerie des superviseurs, PDG ou fournisseurs de votre entreprise. Une fois que les pirates obtiennent les informations concernant les comptes de messagerie des décideurs, ils peuvent demander un paiement commercial qui semble légitime à leurs subalternes. Comme l’e-mail semble authentique et qu’il semble provenir d’une figure d’autorité connue, il est fort probable qu’un employé s’y conforme.
En mai 2017, le FBI (Federal Bureau of Investigation) publiait une alerte d’intérêt public où il soulignait que les attaques BEC avaient causé des dommages d’environ 5,3 milliards de dollars à l’échelle mondiale. Et sachez qu’en 2020, le montant moyen volé à cause d’une telle escroquerie a augmenté de 48 % au cours du deuxième trimestre, alors que le nombre d’attaques BEC a diminué pendant cette même période, selon les statistiques fournies par Anti-Phishing Working Group.
Le whaling
Le whaling est un type d’attaque utilisant le spear phishing. Elle vise spécifiquement les cadres supérieurs comme les PDG ou les directeurs financiers. Lors d’une attaque de spear phishing, les pirates ne visent pas nécessairement ces personnes.
Les attaques de whaling sont conçues pour inciter les employés à réaliser une action comme cliquer sur un lien malveillant ou réaliser un virement bancaire. Souvent, les pirates s’efforcent de recueillir et d’utiliser des informations personnelles sur leurs cibles afin de personnaliser davantage les e-mails qu’ils envoient. Ceci augmente encore leurs chances de succès, mais le pire est que ce type d’escroquerie est souvent convaincant et difficile à détecter ou à bloquer, tant pour les administrateurs systèmes/cadres que pour les systèmes de protection de la messagerie électronique.
Il est important de noter que le whaling et l’attaque du type BEC ne sont pas les mêmes. Bien entendu, elles peuvent parfois être utilisées de manière interchangeable, mais lorsqu’une attaque de whaling est lancée, elle peut viser les cadres supérieurs de haut niveau (et bien d’autres), mais les pirates peuvent ne pas se faire nécessairement passer pour eux.
Bon à savoir : Proofpoint a récemment publié le rapport « State of the Phish » qui analyse les tendances en matière de phishing à l’échelle mondiale. Ce document comprend de nombreuses statistiques intéressantes sur le phishing grâce à l’analyse des données compilées à partir de plusieurs sources. En fait, l’enquête a été menée auprès de plus de 600 professionnels intervenant dans le domaine de l’informatique, répartis dans sept pays.
Entre autres, l’enquête a révélé que près de 90 % des organisations ont dû faire face à des attaques de phishing ciblées l’année dernière. 88 % des organisations dans les quatre coins du globe ont subi des attaques de spear phishing et 86 % ont été confrontées des attaques de type BEC.
Que vous soyez la cible d’une nouvelle variante de l’arnaque du type « prince nigérian », de phishing, de spear phishing, etc. il existe toujours une solution pour minimiser les chances qu’elle réussisse.
Que faire en cas d’attaque cybercriminelle ?
Afin d’éviter ces pièges, le plus important est d’être vigilant lorsque vous recevez un e-mail non sollicité. Ne répondez jamais à ce type d’e-mail et surtout ne cliquez jamais sur un lien ; ne divulguez jamais vos informations personnelles à des inconnus et ne versez jamais d’argent à moins que vous soyez absolument certain que votre correspondant est légitime.
Si c’est trop tard, c’est-à-dire si vous avez déjà fait l’une des choses que nous avons évoquées, le mieux serait de déposer une plainte aux autorités compétentes en matière de cybercriminalité dans votre localité.
Si vous pensez être victime d’une escroquerie 419 en tant que mule financière, informez rapidement votre banque et signalez l’attaque aux autorités compétentes.
Les cybercriminels sont de plus en plus intelligents et c’est la raison pour laquelle vous devez être vigilant pour protéger vos appareils informatiques et vos données personnelles. Si vous êtes un propriétaire d’une entreprise, il est fortement recommandé d’utiliser un filtre web et une solution de protection de la messagerie électronique comme SpamTitan.
À propos de SpamTitan
Le spam est plus qu’une simple nuisance. Même si le nombre d’e-mails non sollicités reçus par vos employés est relativement faible, il peut représenter une ponction importante sur la productivité, notamment pour les organisations qui comptent des centaines ou des milliers d’employés. Mais les menaces de phishing comme l’arnaque au prince nigérian, les menaces de malwares et de ransomwares qui arrivent par les e-mails non sollicités sont bien pires que les heures perdues.
La messagerie électronique est désormais le premier vecteur d’attaque utilisé par les cybercriminels pour lancer diverses attaques et leurs méthodes sont de plus en plus sophistiquées pour duper les employés même les plus vigilants. C’est là que TitanHQ peut vous aider.
Des progrès considérables ont été réalisés par TitanHQ pour vous protéger des e-mails malveillants.
Comment SpamTitan peut-il protéger vos employés
SpamTitan peut traiter à la fois les e-mails entrants et sortants
SpamTitan est une couche de protection fiable que vous pouvez spécifier comme passerelle des e-mails entrants. Elle filtre les spams et les virus, puis transmet les e-mails aux serveurs de messagerie d’Office 365. Vous pouvez également utiliser SpamTitan comme passerelle pour les e-mails sortants. Ainsi, tous les messages électroniques sortants envoyés via votre compte Office 365 sont filtrés avant d’être transmis à leurs destinataires.
SpamTitan offre un contrôle supplémentaire pour les e-mails sortants
SpamTitan offre un contrôle supplémentaire pour les e-mails sortants qui n’est pas disponible dans Office 365. Par exemple, la solution garantit que vos domaines de messagerie ne sont pas utilisés par des spambots. C’est une fonctionnalité importante, car les fournisseurs d’accès à Internet bloquent les e-mails provenant d’adresses qui génèrent des spams. Imaginez donc ce qui pourrait arriver à votre entreprise si vous ne pouvez pas communiquer avec vos clients, et vice versa.
Filtrage dédié des e-mails avec un taux de capture et de protection global plus élevé
Comme vous le savez, le nombre et les variétés d’attaques lancées via les e-mails évoluent constamment. De nouvelles variantes de l’arnaque 419 et d’autres attaques cybercriminelles apparaissent chaque jour. SpamTitan offre une protection contre les menaces les plus courantes. La combinaison d’Office 365 et de SpamTitan se traduit par un taux de capture et de protection global plus élevé que celui des autres fournisseurs de solution de protection de la messagerie électronique.
Filtrage granulaire des e-mails
Les développeurs de TitanHQ s’attachent à fournir une solution de filtrage granulaire des e-mails. Par conséquent, les administrateurs peuvent configurer les paramètres pour l’ensemble de l’entreprise, mais les utilisateurs peuvent également affiner les filtres, par exemple par groupe d’utilisateur, voire par utilisateur.
SpamTitan dispose d’une fonctionnalité de personnalisation avancée
Il n’y a pas deux entreprises identiques. Il est donc possible que les e-mails qu’une entreprise peut considérer comme légitimes puissent être classés comme du spam par une autre organisation. Les fonctionnalités avancées de SpamTitan, telles que le filtre Advanced Content Control, permettent d’appliquer un ensemble de règles spécifiques à votre flux d’e-mails. De cette manière, vous ne recevez que les messages que vous voulez vraiment consulter et non ceux que vous ne devez pas voir. À noter que cette fonctionnalité de personnalisation avancée n’est pas disponible sur le filtrage standard d’Office 365.
Prévention des pertes de données des e-mails et des fichiers
Seule la version la plus coûteuse d’Office 365, Enterprise E3, offre une protection contre la perte de données pour la messagerie électronique et pour les fichiers. Mais la continuité des activités est une préoccupation pour les entreprises de toutes tailles.
L’infrastructure SpamTitan Private Cloud fournit une sauvegarde pour votre serveur de messagerie. SpamTitan maintient un cluster privé à 2 nœuds pour traiter les e-mails ; si un nœud tombe en panne, l’autre prend le relais pour continuer à filtrer les messages.
Chaque nœud est situé dans un centre de données différent, ce qui permet d’optimiser la sécurité des messages et données sauvegardées. De plus, le cloud privé de SpamTitan utilise la couche d’authentification et de sécurité simple (SASL) qui exige une identification lors de la connexion au réseau avant tout échange de données.
Enfin, pour une sécurité accrue, nous vous recommandons d’utiliser notre autre solution de filtrage web basée dans le cloud : WebTitan. Cette couche de protection supplémentaire peut filtrer l’accès à certains contenus web et empêcher vos employés d’accéder à des sites Internet connus pour héberger des malwares ou ceux qui contreviennent aux politiques d’utilisation acceptable de votre entreprise.
Le système de noms de domaine (DNS) a été mis en place pour faciliter l’utilisation d’Internet. Il traduit les noms de domaine en adresses IP, lesquelles sont utilisées par les périphériques réseau. Le DNS vous permet d’utiliser http://www.google.com au lieu de http://74.125.224.72/ pour lancer une recherche.
Bref, c’est le principal service d’annuaire d’Internet.
Le DNS existe depuis longtemps et tous les ordinateurs connectés à Internet en dépendent. Les pirates l’utilisent désormais à des fins de reconnaissance interne et externe, notamment pour détourner le trafic et créer des canaux de communication secrets. Heureusement, si vous surveillez vos serveurs DNS et si vous appliquez des analyses de sécurité, bon nombre d’attaques cybercriminelles peuvent être détectées et déjouées.
Qu’est-ce qu’un DNS ?
En quelques mots, le DNS est un système distribué ancré par les serveurs de noms racine. En-dessous de celui-ci se trouve des zones DNS pouvant être constituées d’un ou plusieurs domaines (google.com, par exemple, est un domaine), c’est-à-dire un ensemble de serveurs de noms faisant autorité est attribué à chaque zone DNS.
Un serveur de noms faisant autorité (Authoritative Name Server) peut être soit un serveur maître, soit un serveur esclave. Un serveur maître stocke les copies originales des enregistrements de zone tandis qu’un serveur esclave conserve les copies des enregistrements maîtres.
Un serveur de noms faisant autorfité fournit une réponse réelle à toutes vos requêtes DNS comme l’adresse IP d’un serveur de messagerie ou l’adresse IP d’un site web. Mais, même si son rôle principal est de fournir des réponses définitives aux requêtes DNS, il peut également fournir les réponses qui ont été mises en cache par un autre serveur de noms de domaine. Cela dit, il ne renvoie donc que des réponses aux questions sur les noms de domaine ayant été installées dans son système de configuration.
Comme susmentionné, il existe deux types de serveurs de noms faisant autorité :
D’une part, il y a le serveur maître qui est également appelé serveur de noms primaires. Ce type de serveur stocke les copies originales de tous les enregistrements de zone. Il ne peut apporter aucune modification qu’aux enregistrements de zone au niveau du serveur principal.
D’autre part, il y a le serveur esclave ou serveur de nom secondaire. Un serveur esclave est la réplique exacte du serveur maître. Il a pour rôle de partager la charge du serveur DNS et d’améliorer la disponibilité de la zone DNS au cas où il y aurait une défaillance du serveur maître. Par conséquent, il est recommandé de disposer d’au moins 2 serveurs esclaves et d’un serveur maître pour chaque nom de domaine.
À noter que chaque serveur esclave est mis à jour par le biais d’un mécanisme spécial du protocole DNS.
Les défis en matière de gestion du DNS
Il existe plusieurs failles de sécurité et défis architecturaux inhérents à la conception originale du DNS pour les serveurs de noms externes.
La gestion est complexe
La plupart des administrateurs système reconnaissent l’importance des serveurs de noms externes. Cependant, une erreur ou une mauvaise configuration occasionnelle est inévitable, notamment à cause de la complexité de la gestion de la plupart des serveurs de noms.
Presque tous les administrateurs système d’un serveur de noms « BIND » qui est la marque préférée des serveurs de noms externes ont fait une erreur. Ils introduisent souvent une erreur de syntaxe dans un fichier de données de zone. C’est un risque similaire d’erreur humaine.
Le risque similaire d’erreur humaine est aussi élevé lorsque les administrateurs système utilisent de solutions non BIND, comme celles de Microsoft. Par contre, une erreur de syntaxe dans un fichier de données de zone qui est souvent passée inaperçue rend le serveur de noms incapable de charger cette zone. Elle permettra aux pirates de récolter des données anciennes.
Pire encore, une erreur de syntaxe dans le fichier de configuration du serveur de noms peut empêcher le serveur de noms de démarrer.
Vulnérabilités d’attaque
De nombreux administrateurs système ne prennent pas la précaution de configurer leurs DNS afin de traiter les requêtes récursives qui proviennent d’adresses IP internes, alors que c’est une opération facile à réaliser. Cela peut être dû au fait parce qu’ils ne savent pas comment faire. L’autre raison est qu’ils ne comprennent pas souvent les implications de laisser un serveur de noms externe ouvert aux requêtes récursives.
À titre d’exemple, il se peut qu’une vulnérabilité inhérente apparaisse lorsqu’un serveur de noms permet des requêtes récursives à partir d’une adresse IP arbitraire. Cette approche permet aux pirates de mener une attaque par empoisonnement du cache lors de laquelle ils peuvent inciter le serveur de noms à mettre en cache des données fabriquées. L’attaque la plus célèbre de ce type est celle menée par Eugene Kashpureff qui a empoisonné les caches de centaines de serveurs de noms Internet, les amenant à rediriger les utilisateurs qui accèdent à www.intemic.net.
L’adresse IP d’un serveur Web a été gérée par une organisation appelée AlterNIC
Il est difficile de surestimer les dégâts qu’une attaque via le DNS pourrait causer aujourd’hui. Un pirate informatique pourrait rediriger le trafic destiné à un site Web, par exemple celle d’une banque, vers un serveur Web qui contient une réplique du contenu du site et voler des mots de passe et des numéros de compte. Les pirates peuvent aussi siphonner le trafic destiné à un commerçant en ligne vers un site web identique. De cette manière, ils peuvent capturer les numéros de cartes de crédit.
Des mises à jour difficiles
Avec « BIND » et les serveurs de noms de Microsoft, la mise à niveau des logiciels vers une nouvelle version n’est pas facile. La mise à niveau implique au moins le téléchargement du nouveau code source, de le compiler et de le tester avant de l’installer.
Dans plusieurs cas, des incompatibilités avec les versions précédentes des logiciels obligent les administrateurs système à modifier les configurations ou les données ou à lire des données sensibles de votre entreprise.
Par conséquent, certains administrateurs système remettent à plus tard cette tâche cruciale, même si de nouvelles versions sont disponibles.
La mise à niveau des serveurs de noms lorsque de nouvelles versions sont publiées
Il est important de mettre à niveau les serveurs de noms, mais sachez que cela peut avoir des effets désastreux.
Quelques mois après la découverte d’un dépassement de tampon et corrigé dans un code, un virus appelé LiOn a exploité la vulnérabilité du DNS dans le but d’infecter des centaines de serveurs de noms sur Internet. Il a également installé un « rootkit » que l’auteur du virus- ou toute autre personne- peut utiliser.
L’auteur du virus- ou toute autre personne qui connait son fonctionnement- pouvait l’utiliser pour accéder à la racine de l’hôte infecté. Les pirates auraient pu modifier ou détruire la zone démilitarisée ; ou utiliser le serveur de noms pour pénétrer dans votre réseau.
Aujourd’hui encore, il est fort probable qu’il y ait toujours des serveurs de noms compromis pendant la propagation de LiOn, à l’insu des administrateurs système.
Les récentes attaques liées au DNS
Une récente étude menée par EfficientIP et IDC fait la lumière sur la fréquence des différents types d’attaques DNS et les coûts associés pendant la pandémie de COVID-19.
La sécurité des réseaux DNS peut être compromise
Au Royaume-Uni, les dommages qui découlent de chaque attaque ont connu une baisse marquée de 27 % par rapport à l’année précédente. Les dommages enregistrés en 2021 étaient de 596 083 euros, tandis que les dommages en 2020 étaient d’environ 819 024 euros.
En fait, il s’agit de la plus forte baisse au niveau mondial. Les entreprises britanniques qui ont participé à l’enquête ont signalé environ 5,78 attaques au cours de l’année écoulée, ce qui constitue aussi la moyenne la plus faible signalée. Le chiffre le plus élevé était de 7,74 au Canada.
En termes de dommages régionaux causés par les attaques DNS, l’Europe a subi une moyenne de 743 920 euros par attaque. Il s’agit d’une légère augmentation de 3 % par rapport à l’année précédente.
Au niveau mondial, 87 % des entreprises ont subi des attaques DNS, dont le coût moyen s’élève à 779 008 euros. Cela signifie que les entreprises — tous secteurs confondus — ont subi environ 7,6 attaques l’année dernière. Ces chiffres démontrent le rôle central du DNS pour la sécurité des réseaux en tant que vecteur de menace et objectif de sécurité.
Les attaquants ciblent de plus en plus le cloud
Pendant la pandémie du COVID-19, les pirates informatiques ciblent de plus en plus le cloud. Ils profitent de la dépendance à l’égard des infrastructures de travail hors site et de cloud.
Environ un quart des entreprises ont subi une attaque DNS, abusant d’une mauvaise configuration du cloud. 47 % d’entre elles ont signalé une interruption de leur service cloud à la suite de l’attaque.
Sécurité des réseaux DNS
Bien que le coût et la variété des attaques restent élevés, on constate une sensibilisation croissante à la sécurité des DNS et à la manière de les combattre.
Les administrateurs système considèrent la sécurité du DNS comme un élément essentiel de leur architecture réseau. Par contre, il est important ce considérer que la confiance zéro n’existe pas si vous voulez protéger votre réseau à l’ère de l’informatique à distance.
Les solutions considérées comme les plus efficaces par les entreprises pour le vol de données comprennent la sécurisation des points d’extrémité du réseau, la surveillance des menaces et l’analyse du trafic DNS.
Bien sûr, il est positif que les entreprises utilisent le DNS pour protéger leur personnel de plus en plus éloigné, mais les entreprises continuent de subir les impacts coûteux des attaques DNS.
Alors que les acteurs de la menace cherchent à diversifier leurs tactiques, vous devez continuer à être conscientes de la variété des menaces, en vous assurant que la sécurité DNS est une priorité essentielle afin de les prévenir.
Faire du DNS votre première ligne de défense
Le DNS offre des informations précieuses contre les attaques cybercriminelles potentielles qui sont actuellement sous-utilisées.
Selon Ronan David, vice-président de la stratégie chez EfficientIP, l’existence de la pandémie du Covid-19 nous a montré que le DNS est important si vous voulez mettre en place un système de sécurité efficace. Alors que les travailleurs cherchent à effectuer une transition plus permanente vers des sites hors site, en faisant appel à l’IoT, au cloud, à la périphérie et à la connexion 5G, les entreprises et les fournisseurs de télécommunications devraient se tourner vers le DNS pour mettre en place une stratégie de sécurité proactive. Cela permettra d’assurer la prévention des temps d’arrêt de votre réseau ou de vos applications, ainsi que la protection de votre entreprise contre le vol de données confidentielles et les pertes financières.
Le fonctionnement du DNS sécurisé
Lorsqu’un utilisateur veut accéder à une page web spécifique, il doit entrer l’adresse
de la page ou son nom DNS dans la barre d’adresse de son navigateur. Ensuite, ces informations sont envoyées aux serveurs DNS de leur fournisseur de services Internet (FAI) sous la forme d’une « requête DNS ». Chaque FAI possède une base de données de noms DNS et un répertoire d’adresses IP correspondantes. Si le serveur peut répondre à la requête initiale à l’aide de ce répertoire, il envoie alors une réponse « faisant autorité » à l’ordinateur de l’utilisateur pour qu’il puisse se connecter avec le site web.
Il est bien possible que l’annuaire du FAI ne puisse pas répondre à la requête DNS initiale avec une réponse « faisant autorité ». Dans ce cas, le serveur va vérifier son cache. Le cache d’un serveur comprend un enregistrement de toutes les requêtes précédentes. Si le serveur peut utiliser ces informations du cache pour répondre à l’utilisateur, il va tout de même répondre, mais avec une réponse « non autorisée ». Autrement dit, les informations qui sont fournies à l’utilisateur ne proviennent pas directement du répertoire de son FAI, mais d’un tiers.
Si malgré ces deux solutions, le serveur ne parvient pas encore à fournir une réponse à la requête, alors le processus de requête DNS va utiliser la récursivité. Cela signifie que l’enquête DNS du FAI de l’utilisateur va se servir des informations qu’il possède sur d’autres serveurs « faisant autorité » dans leurs fichiers racine pour contacter et obtenir les informations que l’utilisateur souhaite avoir. Une connexion peut alors être établie par le FAI et son serveur va stocker ces nouvelles informations dans sa mémoire cache pour que le serveur puisse y accéder lors des futures requêtes.
DNS pour IPv4
IPv4 est l’abréviation de « Internet Protocol version 4 », qui spécifie le format et le schéma de l’adresse IP utilisé sur votre réseau local (Local Area Network). Pour vous aider à comprendre ce que c’est de façon la plus simple, vous pouvez considérer l’IPv4 comme l’adresse d’un ordinateur, et chaque adresse est unique.
Pour IPv4, le DNS est le plus souvent étroitement intégré au protocole DHCP (Dynamic Host Configuration Protocol). DHCP fournit des adresses IP, des serveurs de noms DNS et d’autres informations aux périphériques d’un réseau privé ou public.
Ainsi, pour sécuriser le DNS, il faut également protéger le DHCP, et ce, grâce à l’utilisation de techniques telles que l’espionnage DHCP et la limitation du relais DHCP.
DNS pour IPv6
Considéré comme la version du protocole Internet (IP), l’IPv4 est le moyen le plus utilisé dans le monde. Pourtant, ses adresses IP disponibles sont épuisées. Ce protocole utilise 32 bits pour ses adresses Internet. Cela signifie qu’il ne peut prendre en charge qu’environ 4,29 milliards d’IP. Oui, cela peut sembler beaucoup, mais sachez que ces 4,29 milliards d’adresses ont déjà été attribués à diverses institutions.
Voici pourquoi IPv4 doit être remplacé par une autre solution, à savoir Internet Protocol version 6 ou tout simplement IPv6. Ce nouveau protocole Internet IPv6 a été créé au milieu des années 90 et il est déjà très utilisé par les organismes gouvernementaux américains. Cette alternative à IPv4 commence également à s’introduire progressivement à travers le monde.
Selon la configuration du réseau IPv6, le protocole DHCP peut fournir ou non des informations DNS.
Par exemple, l’autoconfiguration des adresses sans état (SLAAC) ne nécessite pas de serveur DHCPv6, car le message Router Advertisement (RA) fournit le nom du ou des serveurs DNS.
IPv6 est un système qui offre non seulement beaucoup plus d’adresses internet, mais il simplifie également l’attribution d’adresses et de fonctions de sécurité réseau supplémentaires.
Comment passer de IPv4 à IPv6 ?
La transition de IPv4 à IPv6 peut s’avérer difficile, car la plupart des gens ne sont pas familiers avec ces protocoles, et encore moins avec l’impact potentiel du passage à IPv6.
Heureusement, ces deux protocoles peuvent coexister au sein d’un réseau. Cela permet aux entreprises de passer facilement et progressivement de IPv4 à IPv6.
Pour ce faire, il faut une bonne programmation est un inventaire de l’infrastructure existante. Cette opération doit aussi inclure une liste de toutes les adresses IPv4 de votre infrastructure réseau ; une liste des adresses auxquelles elles sont référencées dans toutes les applications, ainsi qu’une liste de tous les mappages DNS. Grâce à l’inventaire, vous pourrez vérifier si votre fournisseur DNS externe actuel et les périphériques de votre infrastructure réseau peuvent prendre en charge IPv6.
Attaques DNS et protection DNS
Le DNS fait partie de l’infrastructure fonctionnelle et du cadre de confiance de l’Internet. Sans les noms de domaine, les énormes matériels, logiciels et applications internet des entreprises ne pourront être trouvés et accessibles par les utilisateurs.
Malheureusement, parce que le DNS constitue un élément clé de l’infrastructure, il est devenu un élément très ciblé par les pirates informatiques.
Les attaques de déni de service distribué (DDoS) ciblant le DNS sont un type spécifique d’attaque exposant les vulnérabilités du DNS.
Un white hat recherche un résolveur DNS ouvert et lance une attaque par Déni De Service Distribué (DDoS), soit contre le résolveur lui-même, soit contre d’autres systèmes. La cible reçoit une réponse DNS de partout sur Internet. Les réponses DNS peuvent ensuite être usurpées, ou créées avec de fausses informations, pour rediriger les utilisateurs de sites légitimes vers des sites web malveillants.
Qu’est-ce qu’une attaque DDoS ?
Une attaque DDoS implique la surcharge intentionnelle d’un dispositif, dans le but de rendre ce dispositif ou le service qu’il fournit inaccessible aux utilisateurs.
L’attaque DDoS utilise trois éléments : le spoofing, la réflexion et l’amplification. En réalité, le but des pirates informatiques est de saturer un serveur de noms à travers de nombreux résolveurs DNS ouverts et en utilisant des botnets.
Le spoofing consiste à envoyer un grand nombre de requêtes à des dizaines de milliers de serveurs DNS où l’adresse IP source est spoofée vers le ou les serveurs DNS de l’organisation ciblée. Ensuite, ces serveurs reflètent l’attaque depuis la source vers la cible. Enfin, l’amplification intervient lorsque le serveur réfléchissant répond à la requête relativement petite avec une réponse beaucoup plus grande.
Dans le cas du DNS, le problème est aggravé parce qu’une très petite requête – de moins de 100 octets – peut être amplifiée jusqu’à 50 fois (ou plus) pour générer des milliers d’octets en réponse.
À elle seule, cette forme d’attaque ne tente pas d’accéder aux données d’une organisation. Pourtant, elle peut être utilisée à des fins malveillantes par des pirates informatiques pour empêcher l’accès à certaines ressources ou inhiber certains services fournis par le système ciblé.
Les attaques DDoS ne cessent d’augmenter dans le monde entier. L’une des plus importantes attaques jamais réalisées s’est produite contre les serveurs Dyn DNS en octobre 2016. Les pirates ont utilisé des dispositifs IoT (internet des objets) pour générer jusqu’à 1 téraoctet de trafic. Selon le Worldwide Infrastructure Security Report (WISR), un tiers des opérateurs DNS ont signalé une attaque de ce genre qui ont affecté leurs clients.
Attaque DNS Spamhaus en 2013
L’énormité d’une attaque DDoS est époustouflante. Prenons pour exemple celle qui a été menée en mars 2013 contre Spamhaus, une organisation internationale non gouvernementale basée à Genève et à Londres.
L’attaque a commencé avec une requête DNS avec une adresse IP bidon, mais elle a rapidement pris de l’ampleur pour deux raisons.
Premièrement, la taille du paquet de réponses envoyé par le résolveur DNS est souvent plusieurs fois supérieure à celle du paquet de requêtes. Deuxièmement, le nombre de réponses DNS générées augmente exponentiellement à mesure que le nombre de serveurs participant augmente.
Selon Spamhaus, plus de 30 000 résolveurs DNS ont initialement participé à l’augmentation du flux de réponses DNS.
Si une grande quantité de trafic est reçue d’une adresse IP, la sécurité peut être configurée pour limiter les paquets provenant de cette adresse.
Mais pour l’incident de Spamhaus, les attaquants ont utilisé un grand nombre d’adresses IP différentes. Par conséquent, le nombre de réponses DNS de chaque adresse IP individuelle n’a pas déclenché le mécanisme de limitation de paquets.
Détournement du DNS & sécurité des serveurs
Cette attaque est très facile à comprendre, comparée au spoofing. Elle consiste à changer complètement vos paramètres DNS, de sorte que toutes les requêtes de votre trafic Internet puissent être dirigées vers un serveur DNS malveillant. De ce fait, les résultats que vous recevrez – notamment les sites web que vous verrez dans votre navigateur – seront tous très probablement infectés ou corrompus.
Le fait que l’attaque est plus facile à comprendre ne signifie pas pour autant qu’elle est facile à détecter. En réalité, les pirates utilisent des chevaux de Troie spécifiquement conçus pour modifier les paramètres du DNS.
Pour que cette menace réussisse, les pirates doivent passer par une étape préliminaire, où les ordinateurs vont être affectés par des botnet qui donnent aux attaquants le contrôle du système.
Une autre façon de détourner les DNS consiste à modifier le comportement d’un serveur DNS de confiance, de telle sorte qu’il paraisse plus conforme aux standards Internet.
Dans les deux cas, le résultat reste toutefois le même, c’est-à-dire que les victimes se verront livrer toujours des sites web malveillants via lesquels des campagnes de pharming ou de phishing peuvent être lancées.
Identification du trafic DNS malveillant
Le DNS peut utiliser les protocoles TCP ou UDP. Le trafic sur le port TCP 53 représente souvent des transferts de zone pour garder les serveurs esclaves en synchronisation avec le fichier de zone maître. Toutefois, des intrus peuvent utiliser ce mécanisme pour télécharger le contenu du fichier de zone d’un serveur de noms. Pour éviter cela, les administrateurs doivent bloquer les demandes de transfert de zone à partir de tout périphérique autre que le serveur de noms esclave autorisé.
Comme tout autre port, le port 53 peut être utilisé en guise de tunnel de trafic non autorisé. Méfiez-vous donc si Wireshark signale des paquets « malformés » ou demandant des « opérations inconnues ».
À quoi ressemble le trafic malveillant ?
Pour comprendre la différence entre trafic malveillant et trafic bénin, vous devez d’abord comprendre la manière générale dont les malwares ciblent le DNS. Ces derniers utilisent généralement les algorithmes de génération de domaine (DGA) ou le DNS tunneling/C2.
Les DGA se produisent lorsqu’un malware communique avec un domaine généré de manière algorithmique plutôt que de faire cela avec un domaine C2 codé en dur. Ces domaines ont un aspect distinct et intègrent souvent des chaînes de caractères aléatoires. À noter que les DGA ne font que générer des domaines d’apparence aléatoire. Certains algorithmes peuvent aussi utiliser des mots du dictionnaire informatique pour rendre les domaines moins suspects.
Pour les auteurs de malware, le grand avantage de l’utilisation de la DGA est que, lorsqu’un seul domaine est en cours d’arrêt, cela ne signifie pas qu’ils ont perdu le contrôle de leur malware. Si les défenseurs tentent d’éteindre les malwares en mettant des noms de domaines sur une liste noire, ils auront plus de mal à le faire puisque les pirates peuvent contourner facilement ce système de défense.
Quant au DNS tunneling, cette forme d’atteinte à la sécurité utilise le DNS lui-même pour le transfert de données. Cette forme de cyberattaque code les données d’autres programmes ou protocoles dans les requêtes et les réponses DNS. Elle inclut souvent des données utiles qui peuvent être ajoutées au serveur DNS ciblé et utilisées pour contrôler un serveur distant et ses applications.
Parmi les récentes attaques de DNS tunneling, on peut citer celles menées par le groupe DarkHydrus en 2018 – ciblant des entités gouvernementales au Moyen-Orient – et OilRig qui opère depuis 2016 et est toujours en activité.
Apparence bénigne, mais suspecte
Ces deux techniques de cyberattaques devraient être suffisamment distinctes pour que les professionnels de l’informatique puissent les éviter. Mais il faut aussi noter qu’il existe un certain nombre de logiciels légitimes qui se comportent de la même manière.
Prenons l’exemple de Google Chrome. Au démarrage, ce navigateur interroge 3 domaines aléatoires. Ce comportement est nécessaire pour assurer le bon fonctionnement de l’Omnibox pour certains types de requêtes. Pourtant, ce mode de fonctionnement peut paraître très suspect pour la solution de sécurité de votre réseau.
Pour différencier ce trafic bénin du trafic malveillant réel, vous devez savoir que les domaines générés par Chrome n’incluront que les domaines racine qui figurent dans votre liste de suffixes DNS par défaut.
Une autre catégorie courante de trafic suspect, mais finalement bénin, est celle des logiciels de protection des terminaux qui communiquent avec leur infrastructure. Par exemple, Sophos Extensible List peut créer un certain nombre de requêtes différentes pour sophosxl.net. Il existe une variété de raisons différentes de faire cela, y compris les recherches de réputation IP et les vérifications de latence de la transmission des données. Nous avons vu McAfee et Cymru utiliser ce genre de méthode pour leurs systèmes DNS.
Ce trafic peut ressembler au tunneling DNS, car il utilise essentiellement le DNS de la même manière que les malwares. Pourtant, comme le domaine racine est celui d’un fournisseur connu et qui est déployé sur votre réseau, ce trafic est bénin, même si des recherches fondamentales et des analyses de l’infrastructure du domaine soient encore recommandées pour le confirmer.
Le DNS peut protéger votre réseau
Le DNS est essentiel pour rendre possible toute communication en réseau. Il semble être un outil qui travaille de manière invisible jusqu’à ce que quelque chose tourne mal. Si le service DNS tombe en panne, alors plus rien ne fonctionnera donc sur votre réseau.
Mais comment le filtrage DNS contribue-t-il à bloquer les malwares, les attaques de phishing et bien d’autres menaces en ligne ?
Bloquer les sites web malveillants
Un site web hébergeant un malware peut soit tenter de tromper les utilisateurs afin de les inciter à télécharger un programme malveillant, soit effectuer un téléchargement du type « drive-by », c’est-à-dire en téléchargeant automatiquement un malware lorsqu’une page web malveillante se charge.
D’autres types d’attaques sont également possibles. Par exemple, les pirates peuvent utiliser des pages web contenant un code JavaScript. JavaScript est un langage de programmation complet et il peut donc être utilisé de différentes façons pour compromettre les appareils de vos employés et votre réseau informatique.
Le filtrage DNS peut empêcher les utilisateurs de charger des sites web malveillants et prévenir ce type d’attaque.
Bloquer les sites de phishing
Pour mener leur campagne de phishing, les pirates utilisent un faux site web via lequel ils peuvent voler vos identifiants de connexion. Ils utilisent un domaine usurpé ou simplement un domaine qui semble officiel que la plupart de vos employés ne penseront pas à remettre en question.
Quelle que soit la méthode utilisée, l’objectif reste le même : tromper les utilisateurs et les inciter à divulguer leurs identifiants de connexion aux attaquants. Ces sites web peuvent également être bloqués si vous utilisez un filtre DNS.
Les capacités du filtre DNS à bloquer ces sites malveillants sont basées sur le fait que le système de filtrage sache identifier le plus d’adresses IP ou de domaines malveillants possible comme étant mauvais. Attention toutefois, car une fois que le filtre DNS parvient à identifier un site comme malveillant, les attaquants peuvent générer très rapidement de nouveaux domaines pour mener leurs campagnes de phishing. Autrement dit, il n’est pas possible de bloquer tous les sites de phishing uniquement avec un filtre DNS.
Bloquer les contenus interdits
Il est possible de restreindre l’accès à certains types de contenus grâce au filtre DNS. Le processus est similaire à celui décrit ci-dessus, c’est-à-dire que le filtre va bloquer les noms de domaine et les adresses IP connus pour héberger des contenus interdits. Mais vous pouvez aussi ajouter des sites web que vous avez approuvés à une liste d’autorisation. Dans ce cas, le filtre DNS ne bloquera que les sites web inappropriés pour le travail ou qui représentent une menace pour votre organisation.
Prévenir ou empêcher une attaque DNS ?
Le DNS peut être configuré pour atténuer les problèmes de sécurité DNS courants. Selon le projet Open Resolver, « les résolveurs ouverts représentent une menace importante pour l’infrastructure réseau globale ».
Empêchez votre serveur DNS d’être un résolveur ouvert, répondant aux requêtes DNS de n’importe quelle adresse sur Internet. Limitez les serveurs récursifs internes aux sous-réseaux IP utilisés par votre entreprise.
Gardez cependant à l’esprit que de nombreux (sinon la plupart des) résolveurs DNS sur Internet sont ouverts, soit parce qu’ils n’ont pas été sécurisés, soit parce qu’ils sont destinés à être ouverts au public, comme le service Comodo. Pour tester votre adresse IP pour détecter les résolveurs ouverts, consultez http://www.thinkbroadband.com/tools/dnscheck.html.
Bien qu’il n’existe aucun moyen sûr d’empêcher une attaque DNS, les mesures suivantes peuvent minimiser les risques :
Le blocage DNS utilisé pour la sécurité contre le phishing et le spam peut aider à prévenir les attaques DNS. Ce mécanisme empêche les entités de localiser des domaines ou des sites Web spécifiques et malveillants sur Internet.
Configurez vos serveurs DNS faisant autorité pour utiliser la limitation du taux de réponse DNS.
Le trafic DNS doit être limité en fonction du type de paquet DNS. Par exemple, une réponse de transfert de zone aurait un seuil plus élevé qu’une réponse pour le nom du serveur DNS.
Travaillez avec votre fournisseur d’accès Internet pour bloquer ou limiter le trafic que vous ne voulez pas sur votre réseau, si possible.
Surveillez votre réseau, en particulier les adresses IP des clients qui utilisent le plus de bande passante.
La fermeture des résolveurs ouverts et l’utilisation du blocage DNS ne peuvent pas protéger contre l’usurpation d’identité des paquets. Ainsi, Google déclare que votre site doit être équipé pour faire face à une charge accrue occasionnée par une attaque. Il vous faudra un filtre pour les cycles de bande passante et de processeur ainsi qu’une capacité générale d’équilibrer la charge.
Utilisez le filtre DNS WebTitan pour mieux sécuriser votre réseau
Le filtre DNS WebTitan est une couche de protection tierce qui permet de protéger en temps réel votre réseau contre les menaces en ligne comme les virus, les malwares, les ransomwares, le phishing et les botnets. Voici les principales caractéristiques de ce service basé dans le cloud :
Filtrage des URL avec une catégorisation en temps réel de plus de 500 millions de sites web.
Des clés cloud qui permettent aux administrateurs réseau de créer facilement des exceptions aux politiques de l’utilisation de l’internet sans avoir à les modifier.
Un système de filtrage complet avec plus de 53 catégories personnalisables.
Une grande protection contre les menaces en ligne grâce à l’utilisation d’une liste noire de DNS et d’URL malveillants.
Une plate-forme en ligne facile à mettre en place et à utiliser.
Suite complète de plus de 50 rapports prédéfinis avec de multiples options de programmation et d’exportation.
Visibilité en temps réel des activités de navigation de tous les utilisateurs du réseau de l’entreprise.
Un système basé dans le cloud, offrant un filtrage pour tous les utilisateurs, même ceux qui travaillent à distance.
Bref, ce filtre DNS est conçu pour faire de l’internet un endroit plus sûr et plus sécurisé pour vous et vos employés.
En résumé
Face à la recrudescence des menaces en ligne, le DNS peut offrir une couche de protection supplémentaire entre vos employés et l’internet. Pour ce faire, il met sur liste noire les sites malveillants et filtre les contenus indésirables. Utilisez des serveurs DNS sécurisés pour vos employés de bureau et les travailleurs distants et vous éviterez les risques inutiles d’attaques malveillantes.
Le système de noms de domaine reste un outil essentiel pour le bon fonctionnement de l’internet, mais sachez qu’une attaque contre le DNS peut avoir de graves conséquences. L’important est d’être toujours conscient des menaces en ligne et d’adopter les mesures nécessaires pour prévenir les éventuelles attaques. Si un pirate s’en prend à votre organisation et que vous subissez des dommages, vous devrez aussi être en mesure de les atténuer.
Redirigez vos requêtes DNS vers WebTitan Cloud. Il s’agit d’une puissante solution de filtrage de contenu 100 % basée dans le cloud et qui vous permet d’empêcher vos employés d’accéder à des pages web inappropriées via votre réseau, et de contrôler soigneusement l’accès aux applications web.
WebTitan Cloud est conçu pour être rapide et facile à mettre en œuvre et à gérer. Cette solution de filtrage DNS est évolutive et a été conçue pour répondre aux besoins de la majorité des fournisseurs de services gérés et des petites et moyennes entreprises. Elle est universellement compatible avec vos systèmes d’exploitation et peut être configuré pour répondre aux besoins de votre organisation par le biais d’une interface web, accessible depuis n’importe quel dispositif connecté à Internet.
Pour plus de détails sur WebTitan et sur la protection de votre entreprise contre les attaques DNS, contactez TitanHQ dès maintenant.
DNS FAQ
Qu’est-ce que le DNS ?
Le système de noms de domaine, ou DNS, est comme l’annuaire téléphonique de l’Internet. Il fonctionne en traduisant votre URL en utilisant la langue des ordinateurs. Cette langue, c’est-à-dire les adresses IP, est constituée d’une suite de chiffres du type 105.136.182.205.
Pour un simple internaute, il serait difficile de mémoriser ces chiffres pour chaque site qu’il visite. C’est pour cela qu’il lui faut le DNS. C’est un système qui peut traduire ces chiffres dans des noms communs pour qu’il le reconnaisse, comme Google.com.
Qu’est-ce que le filtrage DNS ?
Le filtrage DNS est une pratique consistant à bloquer l’accès à certains sites dans un but précis, dans la plupart des cas via un filtrage basé sur le contenu. Plus précisément, si un site (ou une catégorie de sites) représente une menace, son adresse IP sera instantanément bloquée par votre filtre DNS, c’est-à-dire que vos employés ne pourront pas accéder à ce site.
Parmi les sites qui sont susceptibles d’être bloqués, on compte par exemple les sites pour adultes ; les sites de jeu et toute autre plateforme en ligne qui peut présenter un risque important, comme ceux pouvant télécharger des malwares.
Comment le DNS est-il utilisé par les pirates informatiques ?
Un pirate informatique cherche toujours à trouver un moyen de faire en sorte qu’un site web signale la mauvaise adresse IP. Lorsque cela est fait, toute personne, comme vos employés, peut essayer d’accéder au site web en question. Ensuite, ils seront redirigés vers un faux site web.
Les cybercriminels peuvent également placer de fausses informations dans le cache d’un serveur. Ils y parviennent en attribuant à une demande d’information à une fausse réponse en utilisant une adresse IP source truquée.
Une fois que la fausse réponse revient, elle sera toujours mise en cache. Les pirates profitent ensuite de cette option pour répondre à toutes les demandes d’information jusqu’à ce que l’information soit considérée comme légitime et pour qu’ils puissent télécharger leur charge utile.
Pourquoi utiliser un filtre DNS ?
Un autre avantage de l’utilisation d’un filtrage DNS pour les entreprises est l’augmentation de la productivité de leur personnel. Par exemple, les sites de streaming peer-to-peer peuvent saper la bande passante, mais cela constitue également une source de téléchargement de malwares et peut saper la bande passante, outre le fait de distraire les travailleurs
Il suffit pourtant d’appliquer des politiques de filtrage DNS pour empêcher vos employés de visiter ces sites et de mieux contrôler leurs réseaux informatiques.
Un filtre DNS est-il suffisant pour vous mettre à l’abri des menaces cybercriminelles ?
Un serveur DNS sécurisé peut bloquer les sites web malveillants ou interdire leur consultation. Il faut également noter que certains serveurs DNS sécurisés peuvent offrir une confidentialité accrue pour protéger les données des utilisateurs.
Outre le filtrage DNS, vous pouvez aussi adopter d’autres moyens si vous voulez rendre votre processus DNS plus sûr. Il est par exemple possible d’appliquer le protocole DNSSEC qui permet de vérifier que les résolveurs DNS et qui fournit des informations exactes concernant les éventuelles attaques cybercriminelles.
Vous pouvez aussi utiliser les protocoles DNS DoT et DoH pour chiffrer les requêtes et les réponses DNS pour que les pirates ne puissent pas traquer les requêtes DNS de l’un de vos employés et pour suivre leurs activités en ligne.
Google a publié ses dernières statistiques sur les principales menaces à la sécurité des emails d’entreprise.
Le rapport du géant des moteurs de recherche se penche également sur les dernières attaques par email sur les utilisateurs de comptes Gmail d’entreprise. Le rapport fait suite à une présentation faite lors de la conférence de la RSA, laquelle avait fourni plus de détails sur les plus grandes menaces à la sécurité des emails d’entreprise et qui doivent maintenant être bloquées.
Selon les données de Google, le spam reste un problème majeur pour les entreprises. Bien que le blocage d’emails non sollicités constitue une nuisance, car il entraîne de nombreuses heures de perte de productivité pour les entreprises, les utilisateurs font actuellement face à une menace beaucoup plus importante par les spams. Les emails malveillants constituent désormais une menace majeure.
Les cybercriminels ciblent beaucoup plus d’utilisateurs professionnels que les titulaires de comptes de messagerie personnels. La raison en est claire : les pirates ont plus d’intérêt à infecter les ordinateurs d’entreprise par des malwares, plutôt que de faire cela sur les ordinateurs personnels. Les entreprises sont beaucoup plus susceptibles de payer des rançons si les données sont chiffrées par un ransomware. Les données stockées par les entreprises ont beaucoup plus de valeur sur le darknet, et le pillage des comptes bancaires des entreprises rapporte beaucoup plus.
Il n’est donc pas surprenant d’apprendre que les statistiques de Google montrent que les entreprises sont 6,2 fois plus susceptibles de recevoir des emails de phishing et 4,3 fois plus susceptibles d’être ciblées par des emails infectés. En revanche, le spam est plus universel, les comptes de messagerie professionnels étant 0,4 fois plus susceptibles d’être spammés que les comptes personnels.
Principales menaces pour la sécurité de la messagerie d’entreprise par secteur d’activité
Les menaces à la sécurité des emails d’entreprise ne sont pas uniformément réparties.
Les cybercriminels mènent des attaques très ciblées contre des secteurs spécifiques de l’industrie. Les données de Google montrent que les organisations à but non lucratif sont le plus souvent ciblées par des malwares, recevant 2,3 fois plus de emails infectés que les comptes professionnels.
Le secteur de l’éducation est également largement ciblé. Les écoles, les collèges et les universités sont 2,1 fois plus susceptibles de recevoir des emails infectés par des malwares, suivis des industries gouvernementales, lesquelles sont 1,3 fois plus susceptibles d’être ciblées que les entreprises.
Cependant, lorsqu’il s’agit de spam et d’attaques de phishing, c’est le secteur des affaires qui est le plus souvent ciblé. À l’heure actuelle, le spam est le plus gros problème pour les entreprises des secteurs de l’informatique (TI), du logement et du divertissement ; tandis que les attaques de phishing sont beaucoup plus souvent menées contre les entreprises de l’IT, les organismes artistiques et ceux du secteur financier.
Les spams malveillants représentent un risque majeur pour les entreprises
Comme nous l’avons vu à maintes reprises au cours des deux dernières années, l’email est un vecteur d’attaque majeur pour les entreprises.
Les cybercriminels utilisent les spams pour infecter les utilisateurs finaux avec des malwares qui volent des informations, des ransomwares qui chiffrent les fichiers et des attaques de phishing qui usurpent les identités. Les attaques par email sont encore très rentables. Elles ne nécessitent que peu d’efforts et permettent aux criminels de contourner les contrôles de sécurité en ciblant les utilisateurs finaux.
Compte tenu de l’augmentation massive des variantes de malwares et de ransomwares au cours des deux dernières années, le blocage du spam et des messages malveillants est aujourd’hui plus important que jamais. De plus, le coût de l’atténuation des atteintes à la protection des données augmente d’année en année (selon le Ponemon Institute). Les infections par des malwares et des ransomwares peuvent être extrêmement coûteuses à résoudre, tandis que les attaques de phishing réussies peuvent rapporter aux cybercriminels d’énormes sommes grâce à la vente de données d’entreprise volées et à la réalisation de transferts bancaires frauduleux. Ces coûts doivent être absorbés par les entreprises.
Protection de votre organisation contre les menaces transmises par des emails
Heureusement, il est possible d’atténuer les menaces à la sécurité de la messagerie d’entreprise en utilisant une solution avancée de filtrage de spam telle que SpamTitan. SpamTitan bloque 99,97 % des spams et affiche un faible taux de faux positifs (seulement 0,03 %).
Un puissant composant anti-phishing empêche également les emails de phishing d’être envoyés aux utilisateurs finaux ; tandis que deux moteurs antivirus (Bitdefender/ClamAV) sont utilisés pour analyser tous les messages entrants (et sortants) à la recherche de liens malveillants et de pièces jointes.
Si vous souhaitez améliorer vos défenses contre les dernières menaces de sécurité de messagerie d’entreprise, contactez l’équipe TitanHQ dès aujourd’hui. Étant donné que SpamTitan est disponible pour une période d’essai gratuite de 14 jours, vous pouvez constater par vous-même l’efficacité de notre produit pour protéger votre entreprise contre les menaces transmises par emails avant de l’acheter.
Un nouveau type d’attaque de ransomware pourrait se profiler à l’horizon. La méthode d’attaque, appelée ransomcloud, a été mise au point par un pirate white hat pour démontrer à quel point il est facile de lancer une attaque qui entraîne le chiffrement des emails dans le cloud.
Une attaque réussie permettra à l’attaquant de prendre le contrôle total d’un compte de messagerie dans le cloud, ce qui lui permettra de déployer une charge utile de ransomware qui chiffre tous les emails dans le compte. Cette méthode pourrait également être utilisée pour obtenir le contrôle total du compte qui va servir à des fins de spamming et à d’autres fins malveillantes.
L’attaque fonctionne sur tous les comptes de messagerie dans le cloud qui permettent aux applications tierces d’accéder aux comptes via OAuth, y compris aux comptes Gmail et Office 365.
L’attaque de ransomcloud commence par un email de phishing. Dans cet exemple, le message semble avoir été envoyé par Microsoft et offre à l’utilisateur la possibilité de s’inscrire et d’utiliser un nouveau service de filtrage du spam appelé AntiSpamPro. L’email inclut le logo Microsoft et semble être un nouveau service de la marque qui offre à l’utilisateur une meilleure protection contre le spam.
Afin de profiter de ce service, l’utilisateur doit cliquer sur un lien hypertexte dans l’email pour autoriser l’installation du nouveau service. Lorsqu’il clique sur le lien, une fenêtre contextuelle apparaîtra, dans laquelle il devra autoriser l’application à accéder à son compte de messagerie.
Une telle demande est tout à fait raisonnable, car une application qui offre une protection contre le spam nécessiterait naturellement l’accès au compte de messagerie. Les emails doivent être lus pour que l’application puisse déterminer si les messages sont authentiques ou s’il s’agit de spam. Cliquer sur « accepter » donnerait à l’attaquant le contrôle total du compte de messagerie via un jeton d’accès OAuth. Si l’accès est accordé, l’utilisateur perd le contrôle de son compte de messagerie.
Dans cet exemple, lorsque le ransomware est installé, il chiffre le corps du texte de tous les emails du compte. Un email apparaît alors dans la boîte de réception contenant la demande de rançon. L’utilisateur est tenu de payer une rançon pour récupérer l’accès à ses emails.
De plus, l’attaquant peut revendiquer le compte de messagerie comme le sien et verrouiller l’accès de l’utilisateur. Il peut également envoyer des emails de phishing à tous les contacts de l’utilisateur, accéder à des renseignements sensibles dans les emails, utiliser les renseignements dans les emails pour en apprendre davantage sur la personne et utiliser informations dans de futures attaques comme des campagnes de spear phishing.
La méthode d’attaque de ransomcloud est étonnamment simple à mettre en œuvre et pourrait être adoptée par les cybercriminels comme un nouveau moyen d’extorquer de l’argent et d’avoir accès à des informations sensibles.
Les attaques de phishing visant Office 365 sont courantes et très convaincantes. Les cybercriminels contournent facilement les contrôles de filtrage de spams d’Office 365 pour s’assurer que les messages atteignent les boîtes de réception de leurs victimes.
De plus, les formulaires de phishing sont hébergés sur des pages Web sécurisées par des certificats Microsoft SLL valides pour convaincre les utilisateurs que les sites Web sont authentiques.
Les attaques de phishing visant Office 365 peuvent être difficiles à identifier
Lorsqu’un email de phishing parvient à contourner les défenses du périmètre de sécurité et arrive dans une boîte de réception, il y a plusieurs signes révélateurs qu’il n’est pas authentique.
Il y a souvent des fautes d’orthographe, une grammaire incorrecte, et les messages sont envoyés par des expéditeurs ou proviennent des noms de domaine douteux. Pour obtenir des taux de réponse élevés, les cybercriminels passent désormais beaucoup plus de temps à rédiger soigneusement leurs emails de phishing. Souvent, ces messages sont pratiquement impossibles à distinguer des communications authentiques de la marque qu’ils usurpent.
En effet, il s’agit de copies conformes d’emails authentiques qui comportent l’image de marque, les informations, les coordonnées de l’expéditeur et les logos de l’entreprise qui est victime de l’usurpation. Le sujet est parfaitement crédible, le contenu est bien écrit et les actions que l’utilisateur est invité à entreprendre sont parfaitement plausibles.
Des hyperliens sont contenus dans les emails. Ils dirigent les utilisateurs vers un site Web où ils doivent entrer leurs données d’accès. À ce stade de l’attaque de phishing, il y a habituellement d’autres signes pouvant indiquer que tout n’est pas aussi normal qu’il n’y paraît.
Un élément qui vous permet de savoir qu’un site Web n’est pas être authentique est que son adresse commence par HTTP plutôt que par HTTPS, ou bien que son certificat SSL n’appartient pas à l’entreprise dont le site Web est en train d’être piraté.
Mais ces signes révélateurs ne sont pas toujours présents, comme l’ont montré les récentes attaques de phishing visant Office 365.
En réalité, les formulaires de phishing peuvent être hébergés sur des pages Web comportant des certificats SSL Microsoft valides ou des certificats SSL émis à d’autres fournisseurs de services dans le cloud, tels que CloudFlare, DocuSign, ou Google.
Arnaque de phishing sur le stockage Blob de Microsoft Azure
Une escroquerie récente par phishing utilise le stockage Blob de Microsoft Azure pour obtenir un certificat SSL valide pour le formulaire de phishing. Il peut être utilisé pour stocker une variété de données non structurées. Bien qu’il soit possible d’utiliser HTTP et HTTPS, la campagne de phishing utilise ce dernier, qui affichera un certificat SSL certifié par Microsoft.
Dans cette campagne, les utilisateurs finaux reçoivent un email avec un bouton sur lequel ils doivent cliquer pour voir le contenu d’un document hébergé dans le cloud. Dans ce cas, le document semble provenir d’un cabinet d’avocats de Denver.
En cliquant sur le bouton, l’utilisateur est dirigé vers une page HTML hébergée sur le blog Microsoft Azure qui nécessite l’entrée d’identifiants Office 365 pour visualiser le document. Étant donné que le document est hébergé sur le blog Microsoft Azure, c’est-à-dire un service de Microsoft, il possède un certificat SSL valide qui a été émis à Microsoft, ce qui ajoute de la légitimité à l’arnaque.
La saisie des identifiants de connexion dans le formulaire les enverra aux attaquants. L’utilisateur sera alors dirigé vers une autre page Web, probablement sans savoir qu’il a été victime d’une attaque de phishing.
La passerelle IPFS CloudFlare peut être utilisée abusivement
Une campagne similaire a été détectée et abuse de la passerelle IPFS CloudFlare.
Les utilisateurs peuvent accéder au contenu du système de fichiers distribué IPFS via un navigateur Web. Lorsqu’ils se connectent à cette passerelle via un navigateur Web, la page HTML est sécurisée par un certificat SSL CloudFlare. Dans ce cas, la connexion nécessite la saisie d’informations telles que le nom d’utilisateur, le mot de passe, l’adresse email de récupération et le numéro de téléphone — qui seront transmis à l’attaquant.
Les utilisateurs, quant à eux, seront dirigés vers un fichier PDF sans savoir que leurs identifiants ont été volés.
Les protections anti-phishing d’Office 365 sont insuffisantes
Les utilisateurs d’Office 365 sont la cible des cybercriminels. Ces derniers sont bien conscients que les contrôles de phishing d’Office 365 peuvent être facilement contournés. Même avec l’option « Advanced Threat Protection for Office 365 » de Microsoft, les emails de phishing peuvent toujours être envoyés aux utilisateurs finaux.
Une étude réalisée en 2017 par SE Labs a montré qu’en dépit de cette option, les mesures anti-phishing d’Office 365 n’étaient classées pas fiables en matière de protection de données. Si les utilisateurs utilisent uniquement l’option « Exchange Online Protection » de base de Microsoft, la protection est encore pire.
Que vous soyez une PME ou une grande entreprise, vous êtes susceptible de recevoir de gros volumes de spams et d’emails de phishing. De nombreux messages malveillants seront livrés dans les boîtes de réception des utilisateurs finaux.
Étant donné que les emails peuvent être pratiquement impossibles à identifier comme étant malveillants pour certains d’entre eux, il est probable que tous vos employés, sauf les plus expérimentés, bien formés et soucieux de la sécurité, seront trompés.
Vous devriez donc adopter une solution avancée de filtrage des spams d’une tierce partie. Elle doit être dotée de systèmes de contrôle et de filtrage de spams d’Office 365 afin d’offrir une protection plus fiable.
Comment rendre Office 365 plus sûr ?
Office 365 bloque les spams et les emails de phishing (Osterman Research a démontré qu’il bloque 100% des malwares connus). Pourtant, il a été prouvé qu’il n’est pas efficace contre les menaces de phishing avancées comme le spear phishing.
Office 365 n’a pas le même niveau de technologie prédictive que les passerelles de sécurité de messagerie dédiées sur site et dans le cloud. Celles-ci sont bien meilleures pour détecter les attaques zero-day, les nouveaux malwares et les campagnes avancées de spear phishing.
Afin d’améliorer considérablement la protection de votre système informatique, vous avez besoin d’une solution tierce de filtrage des spams pour Office 365n, telle que SpamTitan.
SpamTitan se concentre sur la défense en profondeur et offre une protection supérieure contre les attaques de phishing avancées, les nouveaux malwares et les attaques sophistiquées par email. Ce qui garantit que les messages malveillants sont bloqués ou mis en quarantaine plutôt que d’être livrés dans les boîtes de réception des utilisateurs finaux.
Certaines des protections supplémentaires fournies par SpamTitan contre les attaques de phishing visant Office 365 sont détaillées dans l’image ci-dessous :
Pour en savoir plus sur la sécurisation d’Office 365 et sur les avantages de SpamTitan pour votre entreprise, contactez TitanHQ.
Nos conseillers commerciaux hautement expérimentés seront en mesure de vous conseiller sur la gamme complète des avantages de SpamTitan et la meilleure option pour son déploiement. Ils peuvent vous offrir un essai gratuit pour vous permettre d’évaluer personnellement la solution avant de choisir notre solution.
TitanHQ a annoncé la conclusion d’un nouveau partenariat avec OneStopIT, l’un des principaux fournisseurs de services gérés (MSP) du Royaume-Uni.
Depuis plus de 16 ans, OneStopIT aide les petites et moyennes entreprises (PME) à mettre en œuvre des solutions technologiques fiables. Ce MSP, basé à Edimbourg, se concentre sur la fourniture de solutions informatiques orientées processus aux organisations en croissance à un prix abordable.
Grâce à son partenariat avec les entreprises britanniques, il est évident que OneStopIT devient la principale cible des cybercriminels pour lancer des attaques de phishing. À noter qu’actuellement, les attaques phishing contre les entreprises britanniques se produisent à un rythme record et elles coûtent cher aux entreprises.
Les entreprises britanniques ont besoin de solutions de cybersécurité avancées, mais à un prix abordable. Pour améliorer la protection contre les attaques de phishing et de malwares, OneStopIT s’est tourné vers TitanHQ.
TitanHQ a développé de puissantes solutions basées sur le cloud pour les PME et PMI. Elles intègrent des fonctions de sécurité de niveau entreprise, mais à un prix abordable, même pour les plus petites entreprises. Ces solutions ont été développées pour être livrées par les MSP et peuvent être facilement intégrées dans les systèmes d’auto approvisionnement, de facturation et de gestion.
Dans le cadre de ce nouveau partenariat, OneStopIT offrira à ses clients une protection avancée contre le phishing et la sécurité de la messagerie électronique grâce à SpamTItan. SpamTItan est une solution de filtrage web basé sur WebTitan et sur un service d’archivage de la messagerie électronique basé sur ArcTitan.
Ces trois solutions ont été intégrées de façon transparente dans la couche de sécurité de OneStopIT et sont maintenant utilisées pour mieux protéger ses clients contre les cybermenaces avancées et sophistiquées d’aujourd’hui.
Ally Hollins-Kirk, le PDG de OneStopIT a déclaré : « La prolifération des menaces de phishing contre Office 365 est un véritable problème pour les PME du Royaume-Uni. Nous travaillons en partenariat avec un fournisseur clé dans ce domaine pour protéger nos clients et pour leur offrir un service OneStopIT de qualité supérieure auquel ils se sont habitués ».
Le Règlement Général sur la Protection des Données (RGPD) est une nouvelle loi sur la confidentialité et la sécurité des données en Europe. Elle est entrée en vigueur le 25 mai 2018.
Voici quatre questions auxquelles nous allons tenter d’apporter quelques réponses et éclaircissements sur le sujet :
En quoi consiste le RGPD ?
Cette réglementation concerne-t-elle les entreprises américaines ?
Si c’est le cas, comment s’applique-t-il ?
Qu’est ce que les entreprises américaines doivent faire pour s’y conformer ?
Tout de suite, nous allons répondre de façon simple à l’une des questions susmentionnées : non seulement le RGPD s’applique aux entreprises américaines, mais si celles-ci font des affaires dans l’Union européenne (UE), cela pourrait leur coûter cher au cas où elles ne s’y conformeraient pas.
Qu’elles opèrent ou qu’elles servent des clients dans l’UE, ces entreprises doivent ainsi comprendre ce qu’elles doivent faire pour se préparer à cette nouvelle réalité.
Qu’est ce que le RGPD ?
Pour commencer, rappelons que le Parlement européen a adopté le RGPD en avril 2016. Il remplace une directive obsolète sur la protection des données qui date de 1995, car celle-ci ne réglementait généralement pas les entreprises basées en dehors de l’UE.
Le RGPD comporte de nombreuses dispositions, obligeant les entreprises à protéger les données personnelles ainsi que la vie privée des citoyens de l’UE pour toute transaction effectuée dans les États membres de l’UE.
Toutes les entreprises du monde entier qui ont des employés – ou qui font des affaires dans l’un des 28 États membres (Allemagne, Autriche, Belgique, Bulgarie, Croatie, Chypre, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, République tchèque, Roumanie, Royaume-Uni, Slovaquie, Suède et République Tchèque) – doivent donc se conformer à cette réglementation.
Et même si votre entreprise n’est pas basée dans l’UE et que vous avez des employés, des clients ou des sous-traitants basés dans un pays de l’UE ou citoyens de l’UE, elle doit aussi respecter les normes en matière de confidentialité des données, sous peine de sanctions sévères.
La pénalité pour non-conformité au RGPD pour les entreprises est de 20 000 000 euros (23 138 200 dollars) ou 4 % du chiffre d’affaires annuel global de l’entreprise pour l’exercice précédent (le plus élevé des deux montants étant retenu). S’il est avéré qu’une entreprise ne s’est pas conformée au RGPD, elle sera également soumise à des vérifications régulières et périodiques de la protection des données pour s’assurer que ses politiques et procédures sont mises à jour et que l’entreprise continue à se conformer au RGPD.
Qu’en est-il de la protection de la vie privée aux Etats-Unis ?
Certains d’entre nous se posent la question suivante : est-ce qu’il existe un équivalent américain du RGPD qui établit, au niveau local, la loi du pays concernant les cookies, le suivi des sites web et le respect de la vie privée des utilisateurs finaux ?
La réponse est non.
Les Etats-Unis n’ont rien de comparable au RGPD. Lorsqu’une entreprise collecte et traite les données personnelles des citoyens européens, c’est le RGPD qui entre en vigueur.
L’absence d’une réglementation fédérale portant sur la confidentialité des données ont poussé de nombreux États américains à légiférer localement afin de garantir aux consommateurs le droit de refuser que leurs données soient divulguées ou vendues à des tiers.
Prenons l’exemple de la loi californienne sur la protection de la vie privée des consommateurs, communément connue sous le nom de CCPA ou « California Consumer Privacy Act ». Cette norme est entrée en vigueur le 1er janvier 2020 et garantit aux citoyens de la Californie le droit d’accéder à leurs données ; le droit de refuser la vente de ces informations et le droit de demander leur suppression.
Le Nevada a également adopté sa propre loi sur la protection de la vie privée qui a pris effet le 1er octobre 2019. Même si cette loi est loin d’être aussi ambitieuse que la CCPA, elle donne néanmoins aux résidents du Nevada le droit de refuser la vente de leurs données à des tiers.
En matière de protection de la vie privée, il existe une certaine différence entre l’approche de l’UE et celle des Etats Unis. En général, les membres de l’UE perçoivent la vie privée comme un droit fondamental de l’homme où chaque individu est propriétaire de ses données. Par contre, les États-Unis ne la considèrent pas en tant que tel, et les entreprises considèrent qu’elles sont propriétaires des données personnelles qu’elles collectent.
C’est probablement pour cette raison que les États-Unis ont choisi de ne mettre en place aucune réglementation globale en matière de protection de la vie privée. Et lorsque le besoin s’en fait sentir, ils préfèrent plutôt créer des lois sur la protection de la vie privée en utilisant une approche sectorielle (santé, marketing, finances, etc.).
Mais, malgré ces approches fondamentalement différentes, les États-Unis tendent actuellement à se conformer au RGPD en réponse aux mesures imposées par l’UE.
Les entreprise américaines sont de plus en plus enclines à se conformer au RGPD
Une récente enquête menée par PricewaterhouseCoopers auprès de grandes multinationales américaines a montré que des efforts sont déjà en cours pour assurer le respect de cette réglementation européenne. Plus de la moitié des entreprises interrogées ont déclaré que la protection des données est désormais leur principale priorité, et 92 % d’entre elles ont déclaré que le respect de cette obligation est une priorité absolue cette année.
Le coût de la conformité est toutefois considérable. 77 % des entreprises sondées ont indiqué qu’elles prévoyaient dépenser plus d’un million de dollars pour se conformer à cette réglementation. L’un de leurs principaux postes de dépenses étant l’amélioration de leurs mesures de sécurité de l’information.
De nombreuses entreprises commencent à se demander comment le RGPD pourrait s’appliquer aux entreprises américaines. Une étude menée par NTT Security a révélé que trois quarts des entreprises américaines ignorent cette règlementation, car elles ne croient pas être concernées. L’ignorance pourrait s’avérer toutefois très coûteuse et, de surcroît, le temps presse.
Comment le RGPD s’applique-t-il aux sociétés américaines ?
L’objectif principal du RGPD est de donner aux citoyens de l’UE un plus grand contrôle sur la manière avec laquelle leurs données personnelles sont collectées, protégées et utilisées. Si la législation s’applique aux entreprises de l’UE, elle s’applique également à toute entreprise qui choisit de faire des affaires dans le territoire européen. Cela inclut toute entreprise en ligne qui possède un site web accessible aux citoyens de l’UE, au cas où ce site collecterait des données sur les utilisateurs.
Comme la définition des renseignements personnels comprend les identificateurs en ligne comme les cookies, le RGPD a donc des répercussions sur un grand nombre d’entreprises américaines.
Ce texte s’applique à toutes les entreprises qui font des affaires avec des personnes basées dans les États membres de l’UE, à l’exception des forces de l’ordre, ou lorsque des données sont collectées pour des activités de sécurité nationale.
Les sites e-commerce sont un excellent exemple d’une catégorie d’entreprises pouvant être situées en dehors de l’UE et qui peuvent être visées par le RGPD. Si une entreprise américaine, présente sur un site web, vend des produits à des citoyens de l’UE et expédie des articles en Europe depuis les États-Unis, elle doit respecter les normes stipulées dans le RGPD pour les données personnelles collectées dans le cadre de ce processus. Dans le cas contraire, elle risque une action coercitive avec des amendes potentielles à son encontre.
Sachez que le RGPD s’applique même si aucune transaction financière n’a lieu. C’est par exemple le cas lorsque l’entreprise américaine vend ou commercialise des produits via Internet à des citoyens de l’UE ; lorsque son site e-commerce possède un suffixe de domaine pour un pays de l’UE ou lorsqu’elle accepte la monnaie d’un pays de l’UE.
Pour continuer à exercer des activités commerciales dans l’UE, la plupart des entreprises devront donc mettre en œuvre des mesures supplémentaires de protection de la vie privée et adopter des stratégies de protection des données de bout en bout.
Que signifie exactement le terme « données personnelles » ?
Les lois américaines sur la notification des violations de données définissent ce terme comme le nom d’une personne accompagné d’un autre type d’informations d’identification telles qu’un numéro de sécurité sociale ou des informations sur un compte financier.
Pour l’UE, le sens d’une donnée personnelle va beaucoup plus loin. Selon la Commission nationale de l’informatique et des libertés (CNIL), elle peut être définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Les données personnelles peuvent ainsi inclure un large éventail d’informations (noms, adresses, numéros de téléphone, e-mails, informations bancaires, numéros de carte de crédit, informations médicales, messages sur les plateformes de médias sociaux, etc.
Même si des contrôles ont été mis en place pour assurer la sécurité des données personnelles que vous collectez, il peut s’avérer nécessaire de réviser vos systèmes afin de vous assurer que des protections suffisantes sont en place pour se conformer au RGPD.
Obligations des entreprises selon les termes du RGPD
Les entreprises doivent savoir où les données sont stockées et les employés doivent être formés pour s’assurer qu’ils sont conscients de leurs responsabilités quant à l’utilisation de ces données.
Les organisations devront fournir aux clients ainsi qu’aux visiteurs de site Web des renseignements détaillés sur la façon de collecter et d’utiliser les données. Le consentement doit être obtenu de l’utilisateur (ou bien du parent ou du gardien d’un mineur) avant la collecte des données.
Les entreprises doivent avoir une raison légitime et légale et se limiter au minimum d’informations nécessaires lorsqu’elles recueillent les données. Celles-ci doivent également être effacées lorsque l’objectif a été atteint.
Si leurs activités principales sont la collecte, le stockage ou le traitement des données, les organisations doivent nommer un délégué à la protection des données qui connaît bien le RGPD et qui en surveillera la conformité. Cette personne doit également avoir une connaissance approfondie de l’infrastructure organisationnelle et technique de l’entreprise. Par ailleurs, elles doivent mettre en œuvre des politiques, procédures et technologies appropriées pour garantir que les données des citoyens de l’UE puissent être effacées définitivement. Le droit à l’oubli (appelé « droit à l’effacement ») fait partie du droit à la liberté d’expression.
Consentement, droit à l’oubli et droit à l’effacement
La législation que le RGPD a remplacée n’exigeait pas l’effacement des données que lorsqu’elles causaient des dommages importants. Toutefois, à partir de l’année prochaine, un citoyen de l’UE peut demander que toutes les données collectées à son sujet soient effacées définitivement si les informations ne sont plus nécessaires aux fins pour lesquelles elles ont été initialement collectées.
Les données doivent également être effacées si le consentement concernant leur utilisation est retiré, ou encore si le traitement des données est considéré comme illicite et contreviennent au RGPD.
De nombreuses entreprises américaines ont déjà mis en place des technologies qui respecteront les exigences du RGPD, mais l’exigence relative au droit d’effacement pourrait poser problème.
Symantec a récemment mené une enquête qui a révélé que 9 entreprises sur 10 craignaient de ne pas être en mesure de se conformer à l’exigence du droit à effacement comme stipulé par le RGPD. Seulement 4 entreprises sur 10 disposent d’un système en place qui pourrait permettre de supprimer toutes les données collectées.
A ceux-ci s’ajoutent d’autres droits des personnes concernées comme les droits à la portabilité et d’opposition au traitement des données ; le droit d’information et de demande de copie des informations personnelles détenues par votre entreprise, etc.
Quelques conseils pour la mise en conformité avec le RGPD
Le respect du RGPD peut sembler difficile, mais en procédant étape par étape, votre organisation pourrait bientôt être sur la voie de la conformité.
Dans un premier temps, rappelez-vous que l’objectif n’est pas d’atteindre la conformité totale. Le simple fait de montrer un effort – comme l’élaboration d’un plan – pourrait déjà suffire à tenir les organes régulateurs à distance.
Ensuite, vous aller effectuer une évaluation des risques ; déterminer les éléments les plus risqués concernant le traitement des données personnelles que vous disposez et commencer à y travailler.
Surtout, ne paniquez pas !
Le RGPD est complexe et sa portée est grande. Il peut être difficile à gérer pour les entreprises, notamment les PME. L’astuce est de décomposer le processus en plusieurs éléments que vous pourrez gérer plus facilement, en accomplissant une petite tâche à la fois.
En fait, le processus de mise en conformité devrait être considéré comme une progression, plutôt qu’une liste de tâches à faire que vous devez rayer d’un seul coup.
Evaluez les risques
L’évaluation des risques est un bon point de départ. Cela vous permet d’identifier les domaines les plus vulnérables pour votre entreprise, c’est-à-dire ceux dans lesquels vous risquez d’enfreindre les règles du RGPD.
Ce faisant, vous allez classer par ordre de priorité les éléments à traiter en premier, en commençant par ceux qui sont les plus risqués. Par exemple, si votre sécurité est insuffisante, vous devriez renforcer vos défenses afin d’éviter les violations de données.
Lors de cette étape, il est plus judicieux de travailler avec un consultant en conformité avec le RGPD.
Comprenez les données et la raison pour laquelle vous les collectez
C’est aussi un élément important du RGPD. En fait, vous devez avoir une image complète des données collectées par votre organisation et les raisons pour lesquelles vous le faites. Assurez-vous que les consommateurs peuvent recevoir une copie de leurs données en cas de besoin, et que vous êtes en mesure de les supprimer ou de les modifier si leurs propriétaires le demandent. Par ailleurs, vous devez savoir comment les données sont stockées ; pourquoi elles sont utilisées et où elles sont partagées.
Établissez un programme de gouvernance formel
A ce stade, vous devriez avoir mis au point un processus interne de mise en conformité avec le RGPD. Par la suite, vous allez établir un programme de gouvernance formel qui vous aidera à démontrer vos efforts aux autorités de réglementation. La nomination d’un responsable de la protection des données pourrait être nécessaire pour superviser la collecte et le traitement des données.
Etant donné que la conformité au RGPD est un processus continu et que chaque texte de loi adopté ou proposé peut comporter d’autres exigences spécifiques, votre entreprise est donc censée faire beaucoup de choses. Mais n’oubliez pas que vous pouvez commencer à travailler à la mise en conformité même si vous ne connaissez pas encore tous les détails.
Ainsi, vous pouvez réduire votre risque d’enfreindre les textes stipulés par le RGPD. Dans le pire des cas, vous pourrez démontrer aux organes régulateurs que vous avez fait un effort de bonne foi pour protéger les données que vous avez collectées.
Le mot de la fin
Pour les entreprises américaines, la protection de la confidentialité des données personnelles des citoyens européens relève du bon sens, mais elle peut les aider à construire une marque de confiance.
En plus de la préparation au RGPD et la mise en œuvre des mesures d’application, votre entreprise devrait surveiller de près le Comité européen de la protection des données (CEPD), une institution qui remplace l’ancien groupe de l’article 29 et dont la mission principale est de veiller à l’application du RGPD dans tous les pays membres de l’UE.
Le CEPD pourrait publier de nouvelles directives ; des clarifications réglementaires supplémentaires et des documents d’orientations générales pour clarifier les dispositions européennes en matière de protection des données. Grâce à ces ressources, vous pourrez avoir une interprétation plus cohérente de vos droits et obligations.
Bien entendu, le RGPD n’est qu’une sorte de catalyseur qui a donné le coup d’envoi à de nombreuses lois mondiales sur la protection des données. Votre entreprise devrait donc suivre ces évolutions si elle veut prendre de l’avance, en investissant dans les flux de données dont vous disposez déjà.
Enfin, que votre organisation soit basée aux Etats-Unis, en Europe ou partout dans le monde, n’évitez pas la mise en conformité au RGPD et ne la remettez pas à demain. Commencez tout simplement !
Le ransomware Locky a fait l’objet d’une distribution effrénée ces derniers temps et il cherche de nouvelles façons d’atteindre des taux d’infection encore plus élevés. Ce malware se concentre sur le changement de tactique ; sur l’expérimentation de nouvelles extensions et sur le développement de nouveaux appâts pour inciter les utilisateurs qui ne se doutent de rien à cliquer sur des liens malveillants. Dans leur dernière vague de spam, les cyberattaquants ont utilisé Dropbox pour distribuer cette célèbre souche de ransomwares.
Qu’est-ce que Dropbox ?
Dropbox est un service de partage et de stockage de fichiers basé dans le cloud. Comme il est très populaire, les cybercriminels profitent de sa notoriété pour mener différentes sortes d’attaques via le web.
Cette plate-forme de partage de fichiers est considérée comme une incroyable réussite technologique. Il n’est donc pas surprenant qu’actuellement, elle compte plus de 500 millions d’utilisateurs enregistrés et que, chaque jour, plus de 1,2 milliard de fichiers soient téléchargés sur la plateforme, aussi bien par des particuliers que par les professionnels dans le monde entier.
Tout cela fait de Dropbox un outil très familier pour les internautes. Depuis sa création en 2007, les gens l’utilisent quotidiennement pour améliorer leurs communications et pour stocker différents documents et fichiers. Cela a créé un sentiment de confiance entre la marque et ses utilisateurs. Ces derniers confient à Dropbox certaines de leurs données les plus personnelles et le considèrent comme un canal de communication efficace pour le partage d’informations sensibles avec d’autres parties.
En dépit de la présence prolifique de Dropbox dans notre vie personnelle et professionnelle, il se trouve actuellement dans la ligne de mire des pirates informatiques. Si on ajoute à cela la confiance que nous accordons à la plate-forme, le fait qu’elle peut communiquer avec nous directement via nos boîtes aux lettres électroniques, et le fait qu’il est désormais possible de communiquer plus facilement avec nos contacts via ce service, on obtient la combinaison parfaite pour que les pirates puisse mener des attaques de phishing et de ransomware réussies.
Comment un ransomware infecte-t-il votre ordinateur via Dropbox ?
Les attaques de phishing
Il existe deux principaux types d’attaques de phishing par Dropbox. La première consiste à envoyer un lien qui demande aux utilisateurs de vérifier leur adresse électronique. En cliquant sur le lien, ils sont dirigés vers un site Web Dropbox usurpé qui ressemble de près au site Web officiel. Ils sont ensuite invités à entrer leurs identifiants de connexion dans le cadre du processus de confirmation.
Une autre arnaque de phishing a également été signalée par Symantec. Lors de cette attaque, un utilisateur a reçu un e-mail qui ressemble beaucoup aux messages envoyés par le service d’assistance de Dropbox. L’e-mail prévient la victime qu’un fichier trop lourd pour être envoyé par e-mail a été envoyé via Dropbox. Il invite donc ce dernier à cliquer sur un lien pour y accéder. Une fois qu’il clique sur le lien, il est dirigé vers une fausse page Dropbox. Ironiquement, la page frauduleuse est hébergée au sein même de Dropbox et demande à l’utilisateur de se connecter. Lorsqu’il saisit ses informations d’identification, celles-ci sont ensuite volées par le cybercriminel.
Dans d’autres attaques, le cybercriminel propose aux utilisateurs de Dropbox de s’y connecter en utilisant des sites sociaux tels que Google et Outlook afin de pouvoir récolter d’autres informations d’identification. Une fois en possession de ces informations confidentielles, il dispose de l’accès au compte Dropbox de l’utilisateur qui, quant à lui, sera en même temps redirigé vers la véritable plate-forme.
Ces types d’arnaques reposent généralement sur quatre éléments, à savoir la familiarité des utilisateurs avec la plate-forme, la confiance qu’ils accordent au service Dropbox, leur curiosité à vouloir découvrir le fichier mystère envoyé par les pirates et, souvent, le sentiment d’urgence intégré à l’e-mail. Bref, les pirates tentent d’utiliser votre propre psychologie contre vous pour vous inciter à vous comporter d’une certaine manière.
Les attaques de malwares
Les attaques de phishing par Dropbox sont également utilisées pour diffuser des malwares tels que les chevaux de Troie bancaires et les ransomwares. Un lien est envoyé aux utilisateurs concernant un fichier partagé. Lorsque ces derniers cliquent sur le lien fourni, ils téléchargent un malware, au lieu d’accéder au document.
Cette tactique utilise à nouveau la confiance des internautes comme levier pour mener une attaque de phishing. Elle consiste à utiliser une autre entreprise de confiance dans le but de susciter un comportement spécifique de la victime.
Un exemple de cette arnaque est la récente attaque de phishing qui utilisait une fausse version du site web du Better Business Bureau. La plate-forme malveillante a envoyé des e-mails à des personnes qui semblaient avoir été envoyés par le FBI. Le message demandait à l’utilisateur de cliquer sur un lien qui le redirigeait vers un faux site Dropbox. Sur le site, un fichier contenant un malware ou un ransomware était fourni. Si l’utilisateur télécharge le fichier, le malware pouvait donc s’installer sur son ordinateur.
Les cybercriminels peuvent utiliser différentes variantes d’attaques de malwares. Pour augmenter leur chance de réussir, ils peuvent ajouter un certain degré d’urgence dans un faux courriel ; associer cette urgence à une peur (perte financière, compromission d’un compte, etc.,) ; ou ajouter une marque connue et de confiance.
Rappelons qu’en septembre 2016, un hôpital a été infecté par Locky qui s’est propagé via de fausses factures Microsoft Word. Lorsqu’une personne peu méfiante a tenté de télécharger la facture, elle a été invitée à activer des macros. Une fois activées, les macros commençaient à télécharger et à exécuter un chiffrement qui verrouillait le système informatique. Les conséquences d’une telle attaque sont énormes pour les hôpitaux, car elle peut affecter des milliers de dossiers privés.
Locky se propage via une campagne massive de spams
Au cours des derniers jours, il y a eu une campagne massive utilisant ces deux méthodes d’attaque impliquant des millions de spams. La semaine dernière, plus de 23 millions de messages ont été envoyés en une seule journée.
La plupart des emails distribuaient des ransomwares Locky, et un plus petit pourcentage servait à diffuser des ransomwares Shade. Il n’y a pas un outil de déchiffrement gratuit disponible pour déverrouiller les fichiers chiffrés par les ransomware Locky et Shade. Si les fichiers ne peuvent pas être récupérés à partir des sauvegardes, les victimes devront creuser profondément.
En tant qu’arme de choix pour la cybercriminalité, les ransomwares ne cessent de prendre de l’ampleur. Désormais, ils peuvent être lancés même par des personnes qui n’ont que peu d’expérience en informatique. De plus, les cybercriminels amateurs peuvent embaucher des pirates sur le Dark Web et lancer des logiciels de phishing auto-exécutoires, capables de répliquer d’eux-mêmes.
Locky peut brouiller tous vos fichiers
Une fois qu’il a infecté votre machine, le ransomware peut bloquer tous vos fichiers, y compris les images, les vidéos, les codes sources et les fichiers Office. Il peut même brouiller votre fichier wallet.dat, c’est-à-dire votre portefeuille Bitcoin, si vous en avez un. En d’autres termes, si vous avez plus de Bitcoins dans votre portefeuille que le prix de la rançon, il est fort probable que vous allez payer.
Locky peut aussi supprimer les fichiers VSS (Volume Snapshot Service), connus sous le nom de copies d’ombre. Les fichiers VSS sont un moyen de faire des snapshots de sauvegarde en direct sur Windows sans avoir à arrêter de travailler, car vous n’avez pas besoin de vous déconnecter ni de fermer vos applications. Il s’agit donc d’une alternative rapide et populaire et d’une procédure de sauvegarde très prisée.
Enfin, sachez que Locky peut chiffrer les fichiers dans n’importe quel répertoire sur n’importe quel disque monté sur votre appareil, y compris les disques amovibles, les serveurs, etc. Si vous vous connectez en tant qu’administrateur réseau, vous pourriez être victime d’une demande de rançon et l’attaque pourrait causer des dommages très importants.
Une fois que Locky s’apprête à vous demander la rançon, il s’assure que vous voyez le message en changeant le fond d’écran de votre ordinateur. Si vous cliquez sur le lien intégré au message, alors, vous recevez les instructions de paiement via le Dark Web. Malheureusement, si vous ne payez pas, vous ne pourrez pas récupérer vos données au cas où vous n’auriez pas réalisé une sauvegarde récente.
Les coûts peuvent être énormes
Une récente étude publiée par Exabeam met en avant la tendance récente dans le paysage des ransomwares. La société a observé qu’au cours de la campagne de recherche qu’elle a menée, le prix des ransomwares a considérablement augmenté.
Il y a quelques mois, au moment de la rédaction du rapport, la rançon moyenne pour chaque machine infectée était évaluée à 0,5 jusqu’à 1,25 Bitcoins, soit l’équivalent de 3693 à 9232 euros. Cependant, étant donné que les ransomwares ont connu un grand succès, leurs prix ont fortement grimpé. Par exemple, la rançon exigée par Cerber, un ransomware populaire, a grimpé d’environ 1,25 à 2 Bitcoins, soit environ 9232 à 14771 euros. Pendant la même période, une attaque réussie via Locky était évaluée à 0,5 à 5 Bitcoins, soit environ 3692 plus de 36928 euros.
En raison de l’augmentation de la valeur du Bitcoin ces derniers temps, le coût de la récupération est considérable. Les acteurs malveillants à l’origine de ces attaques exigent 0,5 Bitcoin par dispositif infecté (environ 3693 euros). Pour une entreprise où plusieurs appareils ont été infectés, la récupération des données pourrait donc coûter des dizaines, voire des centaines de milliers d’euros.
Selon F-Secure, la majorité des spams malveillants détectés récemment (90 %) sont utilisés pour distribuer Locky. D’autres chercheurs en sécurité ont publié des rapports similaires, faisant état d’une recrudescence des infections Locky et des campagnes de spam par email.
Comment savoir si un e-mail provient réellement de Dropbox ?
Les e-mails envoyés officiellement par Dropbox n’apparaîtront que sur ou à partir de l’un de noms de domaine Dropbox comme dropbox.com ou dropboxmail.com. Mais pour être certain, vous pouvez consulter les en-têtes complets du message pour savoir s’il provient ou non d’une adresse falsifiée.
Gmail
Avant d’ouvrir l’e-mail, cliquez sur « … » (Plus) dans le coin supérieur droit.
Cliquez sur « Afficher l’original ».
Vérifiez l’adresse e-mail sous De : …
Yahoo Mail
Avant d’ouvrir l’e-mail, cliquez sur (Plus).
Cliquez sur « Afficher le message brut ».
Vérifiez l’adresse e-mail sous De :…..
Microsoft Outlook
Double-cliquez sur l’email afin qu’il s’ouvre dans une nouvelle fenêtre.
Sélectionnez l’onglet « Fichier » et cliquez sur « Propriétés ».
Web uniquement : cliquez sur « Détails du message » (une enveloppe sur laquelle se trouve un petit document)
Vérifiez l’adresse e-mail sous De :….
Apple Mail
Faites un clic droit avec votre souris sur l’e-mail et sélectionnez « Afficher la source dans le menu contextuel ».
Vérifiez l’adresse e-mail sous De :….
Ces quelques astuces vous permettront de reconnaitre si le message provient réellement de dropbox.com, de dropboxmail.com ou non.
N’oubliez pas de signaler le mail suspect à Dropbox
Si vous avez reçu un e-mail suspect, il est recommandé d’envoyer le message complet à abuse@dropbox.com. De même si vous recevez un lien suspect, envoyez-le à cette adresse en incluant une description de la manière dont vous avez reçu l’URL complète du lien.
Vous pouvez également contacter l’équipe Dropbox pour d’autres informations à abuse@dropbox.com. Au cas où une éventuelle violation de la politique d’utilisation serait constatée (telle qu’une attaque de phishing, de spamming ou de malwares), l’équipe Dropbox prendra immédiatement les mesures nécessaires.
Que faire si vos fichiers ont été corrompus par un ransomware ?
Si votre compte Dropbox a été infecté par un ransomware, vous pouvez adopter quelques mesures pour vous assurer de sa sécurité. Et si vous n’utilisez pas encore ce service, découvrez comment Dropbox peut faciliter la récupération de vos fichiers.
1. Déconnectez-vous à distance de vos appareils
C’est la première chose que vous devez faire si vous ne savez pas quel appareil est infecté par un malware tel que Locky.
2. Restaurez vos fichiers ou dossiers
Si vous voulez restaurer un fichier individuel, vous devez accéder à la page de l’historique des versions dudit fichier, puis sélectionner une version du fichier qui a été sauvegardée avant l’attaque de ransomware. Ce faisant, vous n’avez plus qu’à cliquer sur restaurer.
Il est également possible de restaurer un grand nombre de fichiers sur Dropbox. Le moyen le plus simple étant d’utiliser Dropbox Rewind. Cette fonctionnalité vous permet de rétablir l’intégralité de votre compte ou d’un dossier. Pour ce faire, vous devez remonter le temps jusqu’au moment qui a précédé l’attaque de ransomware. A noter que option est réservée aux utilisateurs de Dropbox Family, Dropbox Plus, Dropbox Professional et Dropbox Business.
3. Connectez-vous à votre appareil
Avant de faire cela, il est recommandé de vérifier que votre appareil n’est pas infecté par un malware. Ensuite, vous devez supprimer le dossier Dropbox contenant les fichiers chiffrés. Lorsque vous vous reconnectez à votre appareil, assurez-vous de ne télécharger que les fichiers récupérés et non chiffrés auprès de Dropbox.
Comment éviter les attaques de ransomwares ?
Pour prévenir les attaques de Locky, les entreprises doivent installer une solution avancée de filtrage de spams afin d’empêcher les emails malveillants d’être envoyés dans les boîtes de réception des utilisateurs finaux. Il est également important que tous les utilisateurs reçoivent une formation de sensibilisation à la sécurité pour les aider à identifier les emails malveillants.
Un filtre web peut éventuellement être très efficace pour bloquer les tentatives de visite de sites web malveillants où des malwares pourraient être téléchargés. Par ailleurs, le fait d’actualiser les solutions antivirus et antimalware permet de détecter et de mettre en quarantaine les fichiers malveillants avant leur ouverture.
Des sauvegardes de toutes les données et de tous les systèmes devraient aussi être effectuées. Celles-ci devraient être stockées sur un dispositif isolé. Les variantes de ransomware telles que Locky peuvent supprimer les copies Windows Shadow Volume et, si un périphérique de sauvegarde reste connecté, il est probable que les fichiers de sauvegarde risquent également d’être chiffrés par les pirates informatiques.
Les meilleures pratiques pour la sauvegarde des données impliquent la création de trois fichiers de sauvegarde sur deux supports différents, avec une copie stockée hors site et hors ligne. Les sauvegardes doivent également être testées pour s’assurer que les fichiers peuvent être restaurés en cas de sinistre.
L’augmentation des attaques de ransomwares a incité le National Institute of Standards and Technology (NIST) à élaborer de nouvelles directives (NIST SPECIAL PUBLICATION 1800-11) sur la récupération des données suite à des attaques de ransomwares et d’autres sinistres. Les lignes directrices de ces directives peuvent être téléchargées ici.
Conclusion
Il faut reconnaître que les cybercriminels sont de plus en plus ingénieux et ils ne cessent de trouver différents moyens de vous envoyer vers des faux sites web, mais qui sont plus vrais que nature. Ils utilisent la renommée de grands groupes pour tenter de vous duper, d’infecter vos appareils ou votre réseau par des malwares, ou encore de dérober vos données sensibles.
Dans ce dossier, nous avons parlé d’une infection par Locky, une menace que vous devez craindre si vous êtes un utilisateur de la plate-forme Dropbox. La raison est simple : Dropbox est actuellement l’un des moyens préférés des internautes pour sauvegarder des fichiers ; sa flexibilité ainsi que ses capacités de synchronisation font de lui une solution attrayante, mais il est aussi la cible de prédilection des pirates informatiques.
Faites des efforts supplémentaires pour protéger vos fichiers et données sensibles. Formez vos collaborateurs pour qu’ils puissent identifier les menaces de malwares et prendre les mesures adaptées en cas d’attaques cybercriminelles. Enfin, mettez en place un filtre Internet et une couche de protection supplémentaire pour éviter les attaques de phishing lancées via le web et le courrier électronique.
