Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis un mois maintenant et de nombreuses entreprises s’efforcent de se conformer à cette nouvelle réglementation, même si elles disposent encore de cinq ans pour se préparer et s’y conformer.
Les nouveaux règlements législatifs entraînent toujours des coûts supplémentaires et beaucoup d’initiatives de gestion. Cependant, ils offrent également de nouvelles opportunités pour les professionnels avertis, les entrepreneurs et les pirates informatiques.
Au fur et à mesure que les gestionnaires de dossiers de Niveau C discutent de l’impact du RGPD sur leur organisation, tandis que d’autres personnes évaluent les moyens d’en tirer des avantages financiers.
Le Délégué à la Protection des Données (DPD)
Si vous allez sur Indeed.co.uk et cherchez « Data Protection Officer », vous trouverez plus de 3 000 offres d’emploi, rien qu’en Angleterre.
En effet, les offres d’emploi de DPD sur le site de recherche d’emploi Indeed ont augmenté de plus de 700 % au cours des 18 derniers mois. Si vous avez la base de connaissances requise et les compétences décrites pour ce poste, alors le moment est propice pour vous y lancer.
L’article 37 du RGPD exige que les entreprises qui collectent ou traitent les données des citoyens de l’UE disposent d’un DPD. Selon l’Association internationale des professionnels de la protection de la vie (IAPP), plus de 28 000 DPD seront nécessaires en Europe et aux États-Unis et jusqu’à 75 000 dans le monde. La demande est particulièrement forte dans certains secteurs comme le marketing numérique, la finance, les soins de santé et la vente au détail.
De grandes sociétés technologiques comme Microsoft, Twitter, Facebook et Airbnb recrutent des DPD. Selon ITJobsWatch, le salaire moyen des professionnels intervenant dans le domaine du RGPD, y compris les DPD, s’élève à 71 584 euros par an. Le poste de DPD bénéficie d’un salaire médian de 106 500$. Aux États-Unis, un DPD peut toucher des salaires allant jusqu’à 150 000$.
L’article 37 du RGPD précise les pouvoirs exacts qu’un Délégué à la Protection des Données à caractère personnel doit détenir. Parmi tant d’autres, le niveau d’expertise du DPD « doit être déterminé notamment en fonction des traitements de données effectués et de la protection requise pour les données à caractère personnel traitées par le responsable ou le sous-traitant ». Cet article donne également un aperçu de certaines des responsabilités du DPD, à savoir :
Sensibiliser le responsable du traitement ou le sous-traitant et ses employés aux obligations qui leur incombent en matière de respect des règles du RGPD
Former le personnel chargé du traitement des données à une bonne hygiène en matière de cybersécurité
Surveiller la conformité au RGPD
Effectuer des vérifications et régler les problèmes éventuels de façon proactive
Servir de point de contact entre l’organisation et l’autorité de contrôle du RGPD
Servir de point de contact pour les demandes de renseignements des personnes concernant leurs données à caractère personnel et la manière dont elles sont utilisées, les pratiques en matière de protection des données et leurs droits personnels.
Tenir des registres complets de toutes les activités de traitement de données.
Le RGPD, une opportunité de piratage et d’augmentation des cyberattaques
Il existe un autre aspect du RGPD qui préoccupe les gestionnaires de fichiers de niveau C. Il s’agit de l’imposition éventuelle d’amendes en raison du manque de diligence raisonnable de la part d’une entreprise en matière de prévention ou de réaction contre l’atteinte à la protection des données personnelles d’un tiers.
Dans le cadre du RGPD, les entreprises peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4% de leur chiffre d’affaires annuel global pour les infractions les plus graves, le montant le plus élevé étant retenu.
Un palier inférieur impose une amende de 2% pour les infractions moins graves. Cependant, le grand public estime que de telles amendes devraient être substantielles afin de motiver les entreprises à prendre au sérieux leurs obligations en matière de protection des données personnelles. Cependant, l’ampleur colossale de ces amendes constitue une opportunité pour la communauté des pirates informatiques.
Les entreprises seront encouragées à effectuer régulièrement des tests d’intrusion par des pirates expérimentés, ou pirates white hat, qui peuvent fournir des informations sur la manière dont une personne malveillante pourrait violer leur infrastructure de stockage de données. À l’autre bout du spectre, les pirates informatiques aux intentions malveillantes reconnaîtront l’opportunité de cibler les entreprises conformes au RGPD.
Les pirates pourraient attaquer les entreprises dans le but de confisquer des données et imposer à la direction des frais d’extorsion afin de dissimuler l’infraction plutôt que de se voir infliger des amendes punitives qui pourraient se chiffrer en dizaines de millions de dollars. Comme avec les ransomwares, les cybercriminels essayeront de trouver l’endroit idéal où les entreprises seraient les plus susceptibles de payer volontiers la rançon pour éviter les amendes.
Les amendes potentielles liées aux infractions dont nous avons été témoins ces dernières années concernaient Equifax et Yahoo. Nous avons également vu des entreprises comme Uber travailler en coopération avec des pirates informatiques pour dissimuler les failles et les faire disparaître.
Le piratage d’Uber est l’exemple parfait de la façon dont les pirates pourraient tirer profit du RGPD. Suite au vol de données de plus de 57 millions de clients, les pirates ont fait chanter Uber, lequel a choisi de payer 750 000£ pour garder l’infraction secrète. Au regard du RGPD, Uber aurait enfreint la réglementation.
Une grande partie de l’attention médiatique autour du RGPD s’est concentrée sur les amendes potentielles, à savoir de 2 jusqu’à 4% du chiffre d’affaires global, mais moins sur les exigences de déclaration strictes définies par l’Organisation internationale du commerce ou (OIC). Les pirates pourront profiter de cette opportunité potentielle pour réaliser des gains rapides et substantiels.
La sécurité multicouche est la réponse
Aucune entreprise ne peut protéger ses données contre toutes les attaques possibles et garantir la sécurité des données qu’elle héberge. Ce que vous pouvez faire, c’est faire preuve de diligence raisonnable pour mettre en œuvre un plan de sécurité à plusieurs niveaux — y compris la couche vitale de protection DNS — pour combattre les attaques probables.
Deux des outils les plus efficaces dans l’arsenal de sécurité d’une entreprise sont les solutions de filtrage du courrier électronique et du contenu web. L’email continue d’être la principale méthode utilisée par les pirates informatiques pour lancer leurs sinistres attaques contre l’entreprise ciblée.
Le web occupe la deuxième place, derrière les pirates informatiques qui hébergent leurs propres sites de déploiement de malwares ou endommagent des sites légitimes avec des codes malveillants. Un pare-feu entreprise robuste est essentiel, ainsi que des pare-feu locaux activés sur tous vos périphériques, lesquels sont protégés avec une solution sécurité des nœuds d’extrémité.
Les opportunités se présentent sous de nombreuses formes. Non seulement les professionnels de la cybersécurité, mais aussi les pirates informatiques trouveront donc des récompenses potentielles avec le RGPD.
De nombreux responsables informatiques sont réticents à fournir aux employés l’accès au serveur de l’entreprise à l’aide d’un appareil personnel comme un iPad ou un smartphone, que ce soit pour accéder au réseau de l’entreprise depuis leur domicile ou pour d’autres raisons d’accès étendu ou de facilité d’utilisation.
Ces derniers sont désormais très familiers avec l’utilisation des applications sociales qu’ils veulent utiliser ces dispositifs même au bureau.
La question est de savoir qui est vraiment à l’origine de l’engouement envers la consumérisation des technologies de l’information, également appelée « Bring Your Own Device » ou BYOD ?
Ce sont les employés et non les fournisseurs de technologie qui favorisent le concept du BYOD
Bien entendu, les fournisseurs en profitent énormément, car de ce fait, leurs appareils rejoignent rapidement l’entreprise.
Mais ce sont les employés et non les fournisseurs de technologie comme Apple qui poussent à utiliser les appareils personnels dans les lieux de travail.
Au cœur de cette tendance se trouve l’idée simple que les employés savent quels outils ils veulent utiliser pour rendre leur journée de travail plus facile et, espérons-le, plus agréable.
Les problèmes de sécurité du réseau liés à cette pratique sont nombreux :
Pour permettre aux appareils personnels d’accéder au réseau de l’entreprise, le service informatique doit passer un temps précieux pour assurer la sécurité du réseau et gérer les appareils appartenant aux employés comme les iPhone, les iPad, les Smartphones Android, les tablettes Android, etc., en plus de ceux fournis aux employés.
Cette activité consomme de plus en plus de temps, alors que les services informatiques sont déjà soumis à des contraintes budgétaires et de ressources.
D’un point de vue stratégique, les appareils appartenant aux employés et ayant accès au réseau de l’entreprise constituent actuellement des récepteurs et des dispositifs de stockage d’informations sensibles et confidentielles de l’entreprise. Ceci crée une variété de problèmes de conformité et de sécurité. Outre les possibilités d’introduction de malwares sur le réseau, il existe également le risque que les employés partagent des données sensibles de manière non autorisée.
Par exemple, si un smartphone est perdu, des données sensibles peuvent tomber entre de mauvaises mains si celles-ci ne peuvent pas être effacées à distance.
Que se passe-t-il lorsque l’employé quitte votre entreprise ?
Il est crucial que les services informatiques s’assurent que toutes les données confidentielles concernant votre établissement soient retournées et que l’appareil lui-même ne contienne aucune information stockée en dehors du contrôle de votre entreprise.
Les données sont souvent la principale préoccupation, empêchant les entreprises d’autoriser les dispositifs personnels dans les lieux de travail.
Pourtant, l’ajout de l’utilisation d’applications basées dans le cloud à l’équation peut accroître la sécurité des données, surtout pour les petites entreprises où les ressources techniques sont limitées.
Dans ce cas, le stockage hors site supprime les données sensibles qui peuvent être exposées à des risques lorsqu’elles sont stockées sur site.
Il est donc nécessaire de se poser la question clé suivante : si vos employés demandent à utiliser leurs propres outils pour être plus productifs au bureau ou pour rattraper leur retard après les heures de travail, est-ce une perspective aussi effrayante ?
Selon un récent sondage réalisé auprès de la communauté Spiceworks, 48% des professionnels de l’informatique ont choisi un pare-feu et le système de gestion unifiée des menaces du périmètre réseau (UTM) comme solution de filtrage web pour leurs réseaux WiFi invité.
11% dépendent de leur contrôleur de gestion sans fil ou de leur logiciel de filtrage. Ainsi, seulement 41% des entreprises utilisent un dispositif ou un service de sécurité dédié spécialisé dans le filtrage web pour le WiFi. Ces chiffres semblent surprenants à notre époque où les entreprises migrent un si grand nombre de leurs services vers le cloud.
À cela s’ajoute le fait que seulement 38% des entreprises mondiales déclarent être prêtes à gérer une cyberattaque sophistiquée. On se demande pourquoi le filtrage web semble être sous-estimé !
Vous ne dépendez pas de votre pare-feu pour la sécurité de la messagerie électronique
Il y a dix ans, il était courant pour les entreprises de dépendre de leur pare-feu ou de leur UTM pour filtrer les spams.
Ces « boîtes à tout faire » offraient presque tous les types de services de sécurité disponibles. Aujourd’hui, ce n’est plus le cas, car les entreprises investissent maintenant dans des passerelles de sécurité dédiées ou acheminent leurs emails via une passerelle dans le cloud.
La raison en est simple : la sécurité des emails est beaucoup trop critique pour ne pas acquérir la meilleure solution de sécurité disponible. Le phishing est la principale méthode de distribution de ransomwares et d’autres types de malwares. Une seule attaque BEC (Business Email Compromise) peut également affecter des millions de personnes dans une entreprise, et ce dans un court laps de temps.
Comme les pirates informatiques développent constamment de nouvelles méthodes d’attaque pour cibler les systèmes de messagerie, il est important de s’associer avec un fournisseur de sécurité de messagerie disposant des ressources dédiées pour rester en avance sur ces méthodes d’attaque malveillantes.
La sécurité des emails est très importante pour les entreprises aujourd’hui et c’est pour cette raison que de nombreux clients d’Office 365 choisissent d’utiliser une solution de sécurité des emails d’un tiers, en plus de l’offre de sécurité par défaut d’Office 365.
Sécurisation de votre réseau WiFi invité
Plusieurs répondants à l’enquête ont déclaré qu’ils utilisaient des méthodes de filtrage identiques pour leur réseau local d’entreprise et leurs réseaux WiFi invité. La majorité, cependant, n’a pas donné de détails. Il est donc possible que certaines organisations n’accordent pas la même importance au réseau invité qu’à leur réseau local principal.
Le fait est que la sécurité doit être abordée de la même manière que le reste de votre réseau. Si aucun contrôle approprié n’est mis en place, une connexion WiFi peut devenir une porte dérobée dans le réseau de l’entreprise, affaiblissant ainsi les autres mesures de sécurité du réseau déjà en place. De plus, l’entreprise pourrait potentiellement être tenue responsable du contenu inapproprié ou malveillant consulté par les utilisateurs lors d’une connexion WiFi invité.
Le filtrage DNS basé dans le cloud prend tout son sens dans un monde hybride
Les logiciels de filtrage web traditionnels ne sont plus un moyen viable de bloquer les sites malveillants sur un réseau d’entreprise.
Internet est énorme avec des milliards de pages. Si vous utiliser un logiciel de filtrage web traditionnel, vous devez catégoriser les sites et vous ne pourrez les bloquer qu’une fois que l’utilisateur a effectué une recherche.
Il existe un meilleur moyen pour renforcer votre sécurité réseau : le filtrage DNS. Pourtant, de nombreux administrateurs pensent qu’il est compliqué et trop difficile à mettre en œuvre. Si vous n’utilisez pas le filtrage DNS, votre réseau risque davantage d’être exposé à des sites malveillants.
Depuis plusieurs années, les entreprises du monde entier connaissent un changement révolutionnaire. L’entreprise n’est plus seulement un centre de données. Le centre de données d’aujourd’hui évolue vers une écosphère de conglomérat de ressources dans le cloud et de services numériques sur site, publics, privés et hybrides.
Gartner qualifie cette transformation d’informatique hybride et, selon la firme, celle-ci transforme les architectures informatiques et le rôle de l’informatique lui-même. Selon une autre étude menée par la Harvard Review, 63% des organisations adoptent actuellement une approche informatique hybride.
L’ère de l’informatique hybride
L’informatique hybride n’est pas une « technologie unique », mais une approche ou une stratégie qui permet de trouver la meilleure solution pour le problème ou le besoin en question. Dans cette approche « IT as a Service », le gestionnaire de réseau devient un courtier informatique, recherchant les meilleures solutions possible, qu’elles résident sur site ou dans le cloud.
L’équipement traditionnel d’un centre de données nécessite un investissement à long terme en capital et en personnel. Les migrations coûteuses prennent des mois, voire plus, à planifier et à mettre en œuvre, ce qui peut rendre l’équipement désuet. Avec une solution de filtrage DNS dans le cloud, vous n’aurez plus besoin d’investissements importants pour la migration, les mises à niveau, les mises à jour et les correctifs de vos solutions de sécurité.
Problèmes liés au fait de dépendre de votre pare-feu pour sécuriser tous vos trafics web
L’un des problèmes que pose le fait de s’appuyer sur votre pare-feu pour sécuriser toutes les facettes de votre trafic Web entrant et sortant est qu’il fait tout. Le traitement de toutes ces tâches peut toutefois entraîner des niveaux de latence et de performance indésirables. Parce que votre pare-feu est une application en ligne, il constitue un goulot d’étranglement pour votre entreprise. Cela peut s’avérer coûteux, exiger beaucoup de main-d’œuvre et ne pas convenir à certaines situations.
Que se passe-t-il lorsque votre organisation s’agrandit ou que votre école adopte un programme individualisé pour ordinateurs portables ?
Cela peut se traduire par l’intégration de mécanismes d’équilibrage de charge et d’appareils redondants. Il se peut que vous deviez migrer vers un pare-feu plus robuste. Toutes ces options exigent des capitaux et des heures de travail précieux à déployer.
Agilité et flexibilité du filtrage DNS dans le cloud
Pour la même raison qui a amené les entreprises à reconnaître l’importance d’un fournisseur de sécurité de messagerie dédié, il est également très utile de faire appel à un spécialiste de la sécurité web.
Aujourd’hui, il y a plus d’un milliard de sites web sur Internet. Les cybercriminels lancent continuellement de nouveaux sites de phishing temporaires, des domaines de typosquattage et des sites de déploiement de malwares. Selon HelpNetSecurity, 46 000 nouveaux sites web de phishing sont créés chaque jour. Parmi tant d’autres, les attaques par « Drive-by Download » continuent d’évoluer et de se multiplier, tout comme la menace de ransomwares.
L’immense engagement de protéger votre entreprise par le filtrage web est trop important pour dépendre d’un fournisseur qui ne fait pas de cela son objectif principal. Tout comme la sécurité des emails, la sécurité du filtrage web est primordiale pour la protection de vos utilisateurs, vos appareils et vos données. Si vous vous méfiez de plus en plus des applications de pare-feu matérielles rigides, optez pour l’agilité et la flexibilité d’une solution de filtrage DNS dans le cloud.
Le filtrage DNS augmente la sécurité et la vitesse de votre connexion WiFi
Avec les anciennes techniques de filtrage web, l’utilisateur effectuait une recherche DNS et, avant de télécharger le site web, le système effectuait une recherche dans une base de données distincte de sites. Ce processus est lent en raison du nombre écrasant de sites et de domaines sur le web.
Le filtrage DNS effectue la requête de vérification pendant l’étape de recherche DNS. Autrement dit, une recherche DNS est effectuée avant le téléchargement du contenu du site. C’est beaucoup plus rapide et efficace que le filtrage web avec des fonctionnalités traditionnelles.
Le processus effectue également une recherche sur les adresses IP valides, considérées comme sûres par la base de données de filtrage DNS. Les attaquants ne peuvent ni masquer ni éviter la détection, car chaque recherche de navigateur nécessite une recherche DNS pour une entrée de domaine valide.
Vous devriez filtrer les sites non seulement pour bloquer les contenus malveillants, mais aussi pour augmenter la productivité de votre entreprise. En effet, les employés peuvent passer des heures sur les médias sociaux, ce qui fait baisser leurs niveaux de productivité. Heureusement, le filtrage DNS permet aux administrateurs informatiques de réaliser des configurations granulaires pour catégoriser les utilisateurs. Ils peuvent donner accès à des sites catégorisés spécifiques (comme les médias sociaux) pour ceux qui en ont besoin et bloquer l’accès des autres employés.
Les sites web utilisent souvent SSL, mais il est maintenant courant pour les attaquants de configurer des sites web avec de faux certificats SSL pour inciter les utilisateurs à leur faire confiance. À noter que le système de filtrage DNS inclut la protection contre les sites chiffrés avec de faux certificats SSL.
Si vous n’êtes pas encore passé au filtrage DNS, c’est peut-être parce que — selon un mythe courant — c’est trop difficile et cela ne vaut pas la peine. Pourtant, un seul changement de configuration vous permet de vous protéger sans avoir besoin de réaliser des travaux administratifs supplémentaires. Le filtrage DNS est beaucoup plus facile à utiliser que les logiciels de filtrage web traditionnels. Il est donc temps de passer à l’étape suivante et de rendre votre filtrage web plus sûr, plus efficace et plus rapide.
TitanHQ établit les normes de sécurité web dans le cloud, en offrant une gamme de services qui garantissent la sécurité de votre messagerie professionnelle, votre infrastructure informatique et la conformité et l’intégrité des données.
Avec l’apparition quasi quotidienne de nouvelles variantes de menaces, les entreprises ont réalisé qu’elles n’avaient ni les compétences informatiques ni le budget nécessaire pour investir en permanence du temps et de l’argent dans la lutte contre ces menaces.
Cependant, vous pouvez vous fier à des fournisseurs de services de sécurité dédiés dans le cloud — tels que WebTitan Cloud — pour le filtrage web. Ainsi, vous bénéficierez du savoir-faire d’un personnel expérimenté et d’une puissance de traitement considérable pour lutter contre les menaces émergentes. Cette solution peut être mise en œuvre de manière transparente et protéger votre réseau WiFi en temps réel.
Les fournisseurs de services d’infogérance (MSP) doivent toujours prendre des précautions pour protéger les utilisateurs contre les attaques cybercriminelles. Plus de 135 millions d’abonnés utilisent actuellement Office 365. Il est donc presque impossible pour tout MSP d’ignorer ce fait, c’est-à-dire de ne pas y porter une attention particulière, d’autant que ce service a ses propres problèmes de sécurité.
La suite Office de Microsoft offre aux utilisateurs l’accès à leurs emails, à leur stockage One Drive, à Skype et à SharePoint via un seul abonnement. Chacune de ces ressources a ses propres lacunes en matière de sécurité.
Voici donc quelques questions courantes que les MSP devraient toujours prendre en compte pour protéger les données des utilisateurs.
Mesures de sécurité offertes par les fournisseurs de cloud
Certains clients utiliseront Office 365 avec des applications cloud tierces. Bien que cela puisse être efficace pour les utilisateurs et améliorer la productivité de leur entreprise, l’ajout de toute application tierce à leurs plates-formes internes comporte un certain niveau de risque pour la sécurité. En effet, les attaquants peuvent utiliser les emails de phishing pour accéder à une plate-forme en utilisant parfois des fournisseurs tiers comme vecteur.
One Drive est inclus avec Office 365. Une attaque de phishing réussie pourrait donc compromettre un périphérique de stockage dans le cloud. Et comme le stockage dans le cloud est accessible au public, un attaquant peut violer les données stockées sans jamais attaquer le réseau interne. Ainsi, les fournisseurs de services mobiles doivent aussi prendre des précautions pour protéger le réseau interne contre les attaques de phishing.
Ransomware et cryptomining
Le ransomware NotPetya était devenu une menace pour la sécurité informatique mondiale lorsque la menace s’est étendue à différents réseaux et à des données chiffrées. En effet, le ransomware est l’une des applications malveillantes les plus dangereuses, car l’attaque analyse le matériel local de l’utilisateur (et dans certains cas le réseau) pour rechercher des données sensibles.
Lorsqu’il trouve les fichiers, il les chiffre avec une clé asymétrique qui ne peut pas être déchiffrée sans payer une rançon. Le montant de la rançon peut être minime, mais il peut aussi aller jusqu’à plusieurs milliers de dollars. Plus l’utilisateur met du temps à le payer, plus la somme augmente.
En 2018, les attaques de malwares par cryptomining (également appellées cryptojacking ou minage de cryptomonnaies) sont devenues fréquentes. Elles consistent en un vol des ressources des utilisateurs, lesquelles seront utilisées pour miner la cryptomonnaie de l’attaquant.
Ces attaques se présentent généralement sous la forme de code JavaScript côté client et injecté sur des sites à forte publicité. Les utilisateurs remarquent que leur ordinateur devient lent, mais ils reconnaissent rarement que les problèmes de performance sont basés sur une attaque par cryptojacking. À noter que 90% des attaques d’exécution de code à distance étaient des attaques par cryptojacking.
De tous les malwares livrés à un utilisateur distant, y compris les employés de l’entreprise, 92 % de la livraison se fait par messagerie électronique.
Les attaques de phishing sont courantes, car l’attaquant peut cibler un groupe de personnes avec des liens malveillants ou des pièces jointes pouvant porter une charge utile importante.
Vulnérabilités SAML
Microsoft utilise le langage SAML (Security Assertion Markup Language) pour transférer les informations d’authentification. Une faille a été trouvée, ayant permis à un attaquant d’exploiter un échec dans la procédure d’authentification qui n’authentifie pas un élément nommé NameID.
Les chercheurs ont suggéré que cette vulnérabilité de sécurité aurait pu être présente depuis que Microsoft a publié pour la première fois Office 365 pour le grand public.
Les MSP doivent toujours être à jour sur les derniers risques en matière de sécurité, lesquels peuvent affecter n’importe quel utilisateur d’Office 365 et entraîner une perte de données sur One Drive, via les emails depuis Exchange ou via Skype. Dans certains scénarios, les attaquants peuvent obtenir un accès administratif à la plate-forme Office 365.
Logiciels obsolètes lors d’une migration vers Office 365
Les anciens logiciels Office s’exécutent depuis l’ordinateur d’un utilisateur, contrairement à Office 365 qui fonctionne dans le cloud. Le nombre de vulnérabilités est le principal problème de sécurité d’un MSP chargé de la migration d’un logiciel ancien vers une nouvelle plateforme cloud. En effet, les applications tierces peuvent représenter un risque pour une entreprise qui n’a pas mis à jour son logiciel.
Ce sont les petites entreprises qui ignorent le plus souvent les mises à jour logicielles. Ceci les rend donc vulnérables aux attaques lorsque le MSP réalise la migration de leurs anciens logiciels vers la nouvelle plate-forme Office 365. Tous les logiciels doivent être mis à jour avant une telle opération. La simple mise à jour d’un logiciel réduit considérablement le nombre de menaces de sécurité relatives aux versions obsolètes et non corrigées.
L’email de phishing est commun à la plupart des vulnérabilités
Le problème de sécurité le plus problématique pour tout MSP travaillant avec des clients Office 365 est l’attaque par emails de phishing. Si l’organisation ne dispose pas encore d’une solution pour filtrer les emails malveillants, il faut une solution plus fiable. Les filtres de messagerie et la détection de malwares peuvent prendre en charge la plupart des pièces jointes de malwares, les emails de phishing, les cyberarnaques et tout autre problème de sécurité lié au serveur Exchange.
Les fournisseurs de services mobiles doivent prendre des précautions avancées pour protéger les utilisateurs contre les menaces à la sécurité web. Ils doivent faire appel à un fournisseur tiers fiable tel que TitanHQ, une enseigne spécialisée dans la sécurité de la messagerie et du web depuis 25 ans.
TitanHQ travaille avec plus de 2000 MSP dans le monde entier, dont beaucoup utilisent Office 365. SpamTitan est une couche de sécurité de messagerie supplémentaire vitale qui offre une protection avancée aux utilisateurs et aux entreprises contre le phishing, les ransomwares, les malwares et la fraude informatique.
Le WiFi reste une vulnérabilité majeure pour les organisations et les utilisateurs individuels dans notre monde mobile connecté numériquement. Le WiFi non sécurisé présente des faiblesses que les cybercriminels peuvent facilement exploiter, qu’il s’agisse d’un pirate informatique qui attaque le réseau d’une entreprise à partir du parking ou d’un criminel qui capture le trafic sans fil dans un café.
Malgré ces vulnérabilités, il semble étrange que le mécanisme principal du WiFi soit basé sur le protocole de sécurité WPA2, introduit pour la première fois en 2004. De nombreux routeurs certifiés WPA2 restent rétrocompatibles avec le protocole de sécurité WEP, introduit en 1999, qui est facile à pirater avec les outils actuels. Bien que des améliorations aient été apportées à la sécurité WiFi depuis sa création, il est déconcertant de constater qu’il existe tant de faiblesses évidentes que les pirates peuvent exploiter pour attaquer les périphériques connectés.
La bonne nouvelle est que WiFi Alliance, un consortium qui possède la marque WiFi, a lancé le protocole WPA3 plus tôt cette année. À certains égards, le WPA3 représente une amélioration considérable par rapport à son prédécesseur, car il renforce certains des passifs inhérents au protocole WPA2. Mais, comme tous les protocoles de sécurité, il ne traite pas toutes les vulnérabilités et c’est pourquoi les PME doivent continuer à utiliser une approche de sécurité multicouche. Nous avons énuméré les vulnérabilités du réseau WiFi dans son état actuel. Nous allons également expliquer la façon dont WPA3 les traite avec succès ou non.
Zoom sur le protocole WPA3
Plus la solution de sécurité que vous mettez en place pour protéger votre réseau est ancienne, moins elle est efficace. La raison est simple : les différents protocoles de sécurité ont été développés en fonction des menaces de l’époque. Ils peuvent donc devenir obsolètes au fil du temps, notamment lorsque de nouvelles formes de cyberattaques apparaissent. En fait, les pirates informatiques trouvent toujours diverses manières de les contourner et, en cas d’attaque réussie, les dommages que peut subir l’entreprise peuvent être considérables.
Le protocole WPA3 – ou WiFi Protected Access 3 – est une norme de sécurité qui vous permet de régir ce qui se passe lorsque vous vous connectez à un réseau WiFi fermé via un mot de passe. Il a été publié en 2018, après que des chercheurs en sécurité ont découvert une faille importante dans le protocole WPA2 (son prédécesseur). Suite à une attaque nommée KRACK, ou Key Reinstallation Attack, des pirates ont réussi à voler des données, telles que des identifiants de connexion, des informations sur les cartes de crédit, des chats privés, etc., lesquelles ont été transmises sur des réseaux sans fil.
Pour améliorer la cybersécurité des réseaux personnels, les développeurs du protocole WPA ont décidé d’y apporter de nouvelles capacités. Ils ont utilisé un système de chiffrement plus sécurisé des mots de passe ainsi qu’une protection renforcée contre les attaques par force brute. Ces deux mesures se combinent pour protéger davantage le WiFi domestique. Mais le protocole WPA3 possède d’autres caractéristiques encore plus intéressantes.
Autres caractéristiques du nouveau WPA3
Voici quelques-unes des fonctionnalités les plus frappantes que WPA3 apporte. Elles sont disponibles à la fois pour les réseaux WiFi personnels et professionnels ainsi que pour l’Internet des objets :
La protection contre les attaques par force brute : WPA3 fournit une protection renforcée contre ces menaces qui sont généralement menées lorsque vous êtes hors ligne. Le protocole vise à rendre la tâche beaucoup plus difficile pour un pirate informatique lorsqu’il tente de trouver ou déchiffrer votre mot de passe.
Le protocole Forward Secrecy : dans ce cas, WPA3 utilise la mesure de sécurité de la poignée de main (handshake) SAE (ou authentification simultanée d’égaux). Il s’agit d’une fonctionnalité de sécurité dédié à empêcher les cybercriminels de déchiffrer le trafic réseau lors de l’échange de clé et vise à résister aux attaques hors-ligne par dictionnaire.
Protection des réseaux publics ouverts : cette fonctionnalité est importante pour les utilisateurs qui se connectent au réseau WiFi dans les gares, les centres commerciaux, les restaurants, etc. Pour renforcer la sécurité, le protocole WPA3 utilise le chiffrement individualisé des données ; une fonction qui chiffre le trafic sans fil entre votre appareil et le point d’accès WiFi.
Chiffrement avancé des réseaux sensibles : en utilisant WPA3 Enterprise, les réseaux sans fil qui contrôlent les données confidentielles peuvent protéger les connexions par le biais d’un chiffrement 192 bits.
Vulnérabilité n° 1 — WiFi ouvert non chiffré
De nombreux commerces de détail comme les cafés, les restaurants et les halls d’entrée des hôtels continuent d’utiliser le WiFi ouvert 802.11. Malgré la faiblesse évidente de permettre aux utilisateurs d’envoyer du trafic en texte brut vers le point d’accès local, les petites entreprises continuent cette pratique à cause d’un simple fait : la facilité.
Un point d’accès WiFi (SSID) ouvert n’exige pas que les utilisateurs saisissent une clé pré-partagée lorsqu’ils essaient de se connecter, ce qui signifie que les propriétaires de magasins n’ont pas à se soucier des tracas liés à la distribution de la clé à leurs clients.
Avec WPA3, il n’y a plus de réseaux ouverts.
WPA3 introduit le chiffrement sans fil opportuniste (OWE), qui est peut-être la meilleure fonctionnalité de cette nouvelle norme. OWE permet aux réseaux qui n’offrent pas de mots de passe et de clés de fournir un chiffrement qui ne nécessite aucune configuration ou interférence de la part des utilisateurs.
Il peut faire cela par le biais d’un processus appelé « Individualized Data Protection (IDP) », ou littéralement Protection individualisée des données. Avec l’IDP, chaque appareil reçoit sa propre clé du point d’accès réseau (PA) même s’il ne s’est jamais connecté. Ainsi, les pirates ne peuvent pas renifler la clé et le trafic. IDP est également utile pour les réseaux protégés par mot de passe, car même si on connaît le mot de passe, cela ne donne pas accès à la communication chiffrée des autres périphériques.
Vulnérabilité n° 2 — Complexité et fissuration des mots de passe
Bien que le WPA2 soit beaucoup plus sûr que le WEP, il reste vulnérable à la fissuration des mots de passe. C’est ce qu’a démontré l’attaque WPA2 KRACK qui a été découverte l’année dernière et qui a nécessité des mises à jour de l’appareil pour l’éliminer.
WPA2 n’est sécurisé que si un utilisateur est capable de créer un mot de passe sécurisé, car la négociation à 4 voies utilisée par WPA2 est susceptible d’être attaquée hors-ligne à partir de dictionnaires de mots de passe courts. Comme tout le monde n’est pas formé à l’art pour créer un mot de passe sécurisé, la protection offerte par WPA2 n’est pas aussi bonne que la capacité de l’utilisateur à créer un mot de passe infaillible.
Le WPA3 offre une protection robuste des mots de passe courts et longs grâce à l’authentification simultanée d’égal à égal (SAE) qui remplace le protocole d’échange PSK (Pre-Shared Key) utilisé par WPAS2. SAE, également connue sous le nom de Dragonfly Key Exchange, est plus sûre dans la gestion de l’échange de clés initial et résiste aux attaques de déchiffrement hors ligne.
Autres vulnérabilités
Bien qu’OWE et SAE soient les deux améliorations les plus spectaculaires de la nouvelle norme sans fil, d’autres garanties ont également été ajoutées.
La fonction WiFi Protected Setup (WPS) qui permettait de relier facilement de nouveaux appareils — comme un prolongateur WiFi — à un réseau sans fil avait ses limites de sécurité. Ces problèmes ont été résolus grâce au nouveau protocole DPP (WiFi Device Provisioning Protocol) amélioré.
De plus, la nature de WPA2-Enterprise — qui permettait une multitude de paramètres de connexion tels que TLS, SHA, EAP, etc. — a créé des failles de sécurité. Avec le WPA3, les circonstances dans lesquelles les clients négocient la sécurité d’une connexion EAP-TLS ont été éliminées.
Ce que le WPA3 ne traite pas pour la sécurité WiFi
Bien qu’OWE fournisse un chiffrement pour les SSID qui n’incluent pas de phrase de chiffrement, il n’a pas d’élément d’authentification. Cela rend le WPA3 tout aussi acceptable que son prédécesseur pour les attaques Man-in-the-Middle et Evil Twin. En d’autres termes, tant qu’un utilisateur connecte un périphérique au point d’accès approprié, son flux de données est entièrement protégé.
WPA3 assure uniquement la protection entre le périphérique client et le PA. Cela signifie que votre appareil WPA3 reste encore sensible aux codes malveillants provenant de sites de déploiement de malwares connus et de sites web du genre drive-by. Bien que le WPA3 ait apporté quelques améliorations internes précises, votre WiFi a donc besoin d’être toujours protégé par une solution de filtrage web DNS sécurisé.
Des contrôles visant à empêcher les acteurs malveillants d’entreprendre plusieurs tentatives de connexion via des mots de passe couramment utilisés sont attendus, ainsi qu’une configuration plus simplifiée pour les dispositifs de l’internet des objets (IoT) qui n’ont pas d’affichage. Par ailleurs, le nouveau protocole WPA3 utilisera la sécurité 192 bits ou l’algorithme commercial de sécurité nationale pour améliorer la sécurité des réseaux gouvernementaux, de défense et industriels.
Joe Hoffman, Directeur de la recherche sur les technologies de connectivité sans fil chez SAR Insight & Consulting, a déclaré :
« Les technologies pour sécuriser les réseaux sans fil peuvent durer des décennies. Il est donc important qu’elles soient continuellement mises à jour pour répondre aux besoins de l’industrie du WiFi. Le WiFi évolue pour maintenir son haut niveau de sécurité au fur et à mesure que les demandes de l’industrie augmentent. »
Limites de l’utilisation du protocole WPA3
L’une des principales limites du WPA3 réside dans le fait que peu de clients le prennent en charge actuellement. Ce fait n’est pas anodin, car ce nouveau protocole n’a pris effet qu’en 2019. Pour Windows 10, il n’est pris en charge qu’à partir de la version 1903. Les appareils macOS, quant à eux, ne sont compatibles avec le WPA3 qu’à partir de la version 10.15. En ce qui concerne les appareils IoT, comme ceux utilisant les systèmes iOS et iPadOS, ce protocole n’a été introduit qu’à partir de la version 13. Enfin, pour les appareils Android, le WPA3 n’est compatible qu’à partir de la version Android 10. A noter toutefois que la prise en charge peut varier en fonction du Smartphone ou de la tablette que vous utilisez.
Autre élément important : pour utiliser ce protocole, certains périphériques WiFi peuvent requérir la reconfiguration de la connexion WiFi. Les périphériques WiFi plus anciens ne supportent pas les cadres de gestion protégés, ce qui les empêche de se connecter à votre réseau sans fil. Dans ce cas, vous devrez procéder à une mise à jour du micrologiciel.
Un rapport publié par deux chercheurs de l’Université de Tel Aviv et l’Université de New York a également mis en évidence certains des problèmes qui sont associés à l’utilisation du protocole WPA3. En réalité, WPA3 semble présenter des défauts, notamment au niveau du mécanisme d’authentification SAE. Ils ont présenté une description autonome et complète de WPA3 et ont estimé que les mécanismes anti-congestion du SAE n’empêchent pas les attaques par déni de service. Pour découvrir ces failles, les deux chercheurs ont réalisé un grand nombre d’attaques sur les différents mécanismes composant le WPA3 (attaque par dictionnaire contre le protocole, attaque secondaire de microarchitecture contre SAE, etc.). A la fin des tests, ils ont conclu que le WPA3 n’a pas la sécurité requise pour qu’il puisse être considéré comme une norme de sécurité moderne et que cette norme doit encore être développée davantage avant d’être largement adoptée.
Ces quelques précisions montrent encore une fois que le passage d’un protocole de sécurité à l’autre ne va jamais sans poser certaines difficultés. Mais quelle que soit la décision que vous choisissez, vous pouvez toujours adopter d’autres mesures pour mieux sécuriser votre réseau, comme l’utilisation d’un système de filtrage DNS.
Un filtre DNS basé dans le cloud peut vous fournir la protection dont vos clients et utilisateurs ont besoin
Une fois que les utilisateurs se connectent à votre infrastructure WiFi, un système de filtrage DNS comme WebTitan Cloud for WiFi vous permet de :
Filtrer les contenus web à travers plusieurs points d’accès WiFi,
Créer un environnement de navigation plus sûr pour les familles,
Gérer les points d’accès via une interface unique basé sur le web,
Déléguer la gestion de vos points d’accès WiFi,
Utiliser des filtres de contenu par site web, par catégorie de sites web, par mot-clé, par plage horaire, etc.
Bloquer les URL et contenus offensants et inappropriés pour les employés, les mineurs, etc.
Utiliser de listes noires et des listes blanches pour protéger votre réseau de nombreuses menaces en ligne comme les attaques de phishing,
Bloquer les téléchargements de malwares et de ransomwares,
Inspecter les sites web chiffrés par le biais des certificats SSL,
Programmer et obtenir des rapports à la demande,
Avoir une vue en temps réel des activités web des utilisateurs finaux de votre réseau,
Limiter l’utilisation de la bande passante en cas de besoin,
Intégrer le filtre web dans vos systèmes existants grâce à une suite d’interfaces de programmation d’application.
Pour plus d’informations sur la sécurité de votre réseau sans fil, y compris les prix de WebTitan for WiFi, et pour réserver une démonstration du produit, contactez l’équipe TitanHQ dès aujourd’hui.
Conclusion
Dans notre monde moderne, il est presque impossible de fonctionner sans accès à l’Internet sans fil. Partout, les gens comptent sur la connexion sans fil pour réaliser d’innombrables activités, du divertissement au travail, en passant par la formation, etc. Toutefois, l’omniprésence d’internet peut représenter un danger sous-jacent, notamment à cause des cybercriminels qui ne cessent d’exploiter les failles de sécurité dans votre réseau pour accéder à vos données et informations sensibles.
En passant à la nouvelle norme WPA3, la sécurité de votre réseau sans fil sera améliorée. Mais il est aussi recommandé d’ajouter une solution tierce pour mieux protéger vos données. Vous pouvez faire cela en choisissant WebTitan Cloud for WiFi. Grâce à cette solution basée dans le cloud, vos employés, invités, etc., seront protégés une fois qu’ils seront connectés à votre réseau.
Si vous voulez protéger et prendre le contrôle de votre réseau, ou si vous êtes un fournisseur de services gérés (MSP) qui cherchez une solution multilocataires pour fournir un service de filtrage web à vos clients, optez pour WebTitan Cloud for WiFi. C’est un moyen rapide, facile à utiliser et peu coûteux qui garantit une excellente protection en ligne pour votre entreprise.
Contactez TitanHQ dès aujourd’hui pour plus d’informations sur nos solutions et nos prix ou pour bénéficier d’une démonstration en direct. Si vous le souhaitez, vous pouvez-même vous inscrire à un essai gratuit pour évaluer l’efficacité de nos produits dans votre propre environnement.
FAQs
En quelques mots, quels sont les avantages du protocole WPA3 ?
WPA3 est la prochaine génération de la sécurité du Wifi. Il s’appuie sur le succès et l’adoption généralisée de WPA2, en ajoutant de nouvelles fonctionnalités afin de simplifier la sécurité Wifi, de permettre une authentification plus robuste et de maintenir la résilience des réseaux critiques.
Un filtre DNS est-il facile à configurer ?
Oui, il est très simple à configurer. Il suffit de transmettre votre DNS à votre fournisseur de services gérés. Cela peut se faire via votre pare-feu, votre routeur ou votre contrôleur de domaine en tant que zone de redirection. Une fois que votre DNS configuré pour envoyer des requêtes à votre prestataire, vous pouvez gérer entièrement votre solution dans un tableau de bord et consulter des rapports en temps quasi réel.
Est-ce qu’un filtre DNS ne ralentit pas ma connexion ?
Lorsque vous choisissez votre fournisseur de services gérés, assurez-vous simplement qu’il possède des serveurs répartis dans plusieurs endroits, de manière à ce que vous puissiez atteindre le serveur le plus proche de vous. Cela vous permet d’avoir un temps de réponse très rapide lors d’une requête.
Puis-je avoir plusieurs politiques sur le même réseau ?
Vous pouvez le faire en mettant en place des sous-réseaux séparés sur votre réseau. Faites en sorte que le DHCP distribue des adresses DNS différentes à chaque sous-réseau (également appelés IP NAT). Sinon, vous pouvez utiliser un logiciel pour spécifier différentes politiques.
Mes données sont-elles en sécurité sur le réseau de mon fournisseur de services gérés ?
La nature du service de votre fournisseur de services gérés est de faire correspondre les noms Internet à des adresses IP. Lorsque ces noms constituent une menace pour la sécurité ou sont bloqués par votre politique d’utilisation de l’Internet, votre filtre n’autorise pas la connexion. En fait, les informations que vous transférez ne passent jamais par les serveurs de votre prestataire. Il ne fait que les traduire.
Deux failles d’authentification factorielle ont été identifiées. Elles permettaient aux pirates d’accéder aux comptes même s’ils étaient protégés par un mot de passe et par un second facteur d’authentification.
L’authentification à deux facteurs (2FA) est une protection importante pour sécuriser les comptes. Dans le cas où les informations d’identification sont devinées ou obtenues d’une autre manière par un tiers, une méthode d’authentification supplémentaire est nécessaire pour avoir accès à un compte.
Sans ce deuxième facteur, l’accès devrait être bloqué, mais ce n’est pas toujours le cas. De multiples failles d’authentification à deux facteurs ont été identifiées.
Deux failles d’authentification de facteurs exploitées dans les cyberattaques de Reddit, LinkedIn et Yahoo
L’authentification à deux facteurs n’est pas infaillible.
Récemment, Reddit a révélé avoir subi une fuite de données même si l’authentification à deux facteurs avait été mise en œuvre. Plutôt que d’utiliser un jeton d’authentification, Reddit a utilisé les messages SMS envoyés à un téléphone mobile appartenant au titulaire du compte comme deuxième facteur d’authentification.
Comme Reddit l’a découvert, les messages SMS 2FA pouvaient être interceptés par l’attaquant, ce qui lui a permis d’accéder au compte d’un employé ainsi qu’à une ancienne base de données d’identifiants utilisateur.
L’authentification à deux facteurs était également mise en place par Yahoo en 2013, mais l’entreprise a tout de même subi une violation massive de données. Résultat : les pirates informatiques ont pu obtenir des les informations sur trois milliards d’utilisateurs.
Il y a un an, il y a encore eu une violation massive de 167 millions de données d’enregistrement chez LinkedIn, lequel avait également mis en œuvre l’authentification à deux facteurs.
Un appel téléphonique ou un message texte envoyé à un téléphone appartenant au titulaire du compte n’empêche pas nécessairement un tiers d’avoir accès au compte. Au mois d’août de l’année dernière, un investisseur de Bitcoin s’est fait voler 150 000$ de cryptomonnaie dans son portefeuille après qu’un tiers y ait eu accès.
Dans cette affaire, le numéro de téléphone du deuxième facteur de l’investisseur avait été redirigé vers un appareil appartenant à l’agresseur après que la compagnie de téléphone eut été dupée.
Tout deuxième facteur qui utilise le système téléphonique de messages SMS fournit une couche supplémentaire de protection, mais il n’est pas suffisant pour se protéger contre un hacker qualifié et déterminé.
Deux failles d’authentification à deux facteurs ont été découvertes dans Active Directory Federation Services de Microsoft
Une vulnérabilité majeure d’authentification à deux facteurs a récemment été découverte par un chercheur en sécurité chez Okta.
Okta, comme de nombreuses entreprises, utilise Active Directory Federation Services (ADFS) de Microsoft pour fournir une authentification multifactorielle.
Andrew Lee, chercheur en sécurité chez Okta, a découvert que le système présentait une vulnérabilité grave qui n’était pas seulement facile à exploiter, mais qui rendrait les contrôles d’authentification multifactorielle d’une organisation pratiquement inutile.
Andrew Lee a découvert qu’une personne possédant un nom d’utilisateur, un mot de passe et un jeton d’authentification valide à deux facteurs pour un compte pouvait utiliser le même jeton pour accéder à tout autre compte de l’organisation dans AD avec seulement un nom d’utilisateur et un mot de passe.
Tout employé à qui l’on a donné un compte et qui a spécifié son propre deuxième facteur peut l’utiliser pour accéder à d’autres comptes. En effet, le jeton d’authentification constituait une sorte de carte-clé d’un hôtel qui peut ouvrir toutes les chambres de l’hôtel.
Pour obtenir les identifiants de connexion d’un autre employé, il suffit d’une campagne de phishing. Si la personne répondait et divulguait ses titres de compétences, on pourrait accéder à son compte sans avoir besoin d’un deuxième facteur.
La vulnérabilité en question — qui a été corrigée par Microsoft le 14 août dans ses mises à jour lors du Patch Tuesday du mois d’août — était présente dans la façon dont l’ADFA (Australian Defence Force Academy) communiquait. Lorsqu’un utilisateur tentait de se connecter, un journal de contexte chiffré a été envoyé par le serveur qui contient le deuxième jeton d’authentification, mais pas le nom d’utilisateur.
Cette faille pouvant être exploitée pour faire croire au système que le bon jeton avait été fourni. En effet, aucune vérification n’a été faite pour déterminer si le bon jeton avait été fourni pour le compte d’un utilisateur spécifique. Tant qu’un nom d’utilisateur, un mot de passe et un jeton 2FA valides ont été obtenus, le système 2FA peut être contourné.
L’authentification à deux facteurs n’est pas suffisante
Ces deux failles d’authentification factorielle montrent que si l’authentification à deux facteurs est un contrôle important à mettre en œuvre, les entreprises ne doivent pas compter sur ce système pour empêcher l’accès non autorisé aux comptes. Il est peu probable que les failles d’authentification à deux facteurs que l’on vient d’examiner soient les dernières à être découvertes.
L’authentification à deux facteurs ne devrait être qu’un moyen de défense parmi tant d’autres qu’une organisation peut utiliser contre le phishing et le piratage. Comme il existe d’autres moyens plus fiables comme les filtres antispam, les filtres Web, les pare-feu, les systèmes de détection d’intrusion, les solutions antivirus, la segmentation des réseaux et la formation des employés à la sécurité, la 2FA ne devrait plus être considérée comme une solution miracle pour empêcher l’accès non autorisé à un compte.
Les menaces sont omniprésentes et nombreuses sur Internet. Qu’il s’agisse d’un virus, de malwares ou d’extensions malveillantes, vous devez toujours être sur vos gardes pour que votre ordinateur, votre réseau d’entreprises ou votre appareil mobile ne soit pas infecté par l’un de ces parasites informatiques.
La dernière arnaque par adresse email PayPal semble utiliser un compte de messagerie PayPal authentique
Un message arrive dans votre boîte de réception, prétendant venir de PayPal. Il utilise l’adresse service@paypal.com et a pour objet « Avertissement de compte PayPal ». Il renferme également une pièce jointe Microsoft Word.
Méfiez-vous de ce genre de message lorsque vous en recevez un. Il s’agit d’un email convaincant qui va probablement vous inciter à prendre des mesures afin de prévenir une fraude sur votre compte. N’ouvrez pas la pièce jointe, sinon votre ordinateur risque d’être infecté par des malwares.
Les arnaques paypal par email se multiplient
Nous sommes tous passés par là.
Combien d’entre nous ont déjà reçu un email dans notre boîte de réception, nous demandant de cliquer sur un lien ou d’ouvrir une pièce jointe, d’envoyer de l’argent ou de répondre immédiatement au message d’une manière ou d’une autre ?
Dans la plupart des cas, ces emails sont urgents et c’est ce qui éveille notre curiosité, voire peut nous menacer ou nous effrayer.
En réalité, les escroqueries par emails ne sont pas nouvelles et nombreuses sont déjà les victimes. Mais force est de constater qu’elles se sont beaucoup multipliées ces dernières années et elles sont de plus en plus audacieuses, sophistiquées et efficaces.
De nombreux fournisseurs de services Internet (FSI) sont devenus experts dans la détection et le blocage de spams. Étant donné que les messages malveillants envoyés via des emails légitimes sont de plus en plus nombreux et plus difficiles à détecter, les FSI s’efforcent de lutter contre les attaques cybercriminelles via la messagerie électronique. Pour leur part, les pirates informatiques continuent de chercher de nouveaux moyens de contourner les systèmes de sécurité informatique.
Selon un récent rapport de Symantec, les emails d’extorsion, c’est-à-dire ceux qui tentent d’obtenir de l’argent des victimes, ne cesse d’augmenter. Au cours des cinq premiers mois de 2019, l’enseigne a affirmé avoir bloqué 289 millions d’entre eux d’atteindre les utilisateurs finaux.
Quelques exemples d’escroqueries typiques à surveiller
Phishing
Le phishing est une technique via laquelle les cybercriminels conçoivent des emails pour tromper leurs cibles et les inciter à prendre des mesures qui peuvent impliquer le téléchargement de malware déguisé en document important, par exemple. Les victimes peuvent également invités à cliquer sur un lien qui les redirige vers un faux site web où on leur demande des informations sensibles comme les identifiants de connexion ou les mots de passe bancaires. De nombreux emails de phishing sont de grande envergure. Ils peuvent être envoyés à des milliers de destinataires. D’autres, par contre, ne visent qu’une catégorie de personne bien définie tels que les dirigeants d’entreprise.
Déni de service (DDoS)
Une attaque par déni de service (Distributed Denial of Service attack – DDoS) est une méthode dite « de force brute » dont le but est d’empêcher un service en ligne de fonctionner correctement. A titre d’exemple, les pirates peuvent envoyer un volume important de trafic à un site web de l’entreprise pour surcharger la capacité de ces systèmes à fonctionner, les rendant indisponibles aux employés. Une DDoS utilise des botnets qui sont généralement compromis par des malwares et sous le contrôle de cybercriminels.
L’attaque Man-In-The-Middle (MITM)
Il s’agit d’une méthode à travers laquelle les cybercriminels peuvent s’interposer discrètement entre un utilisateur et un service Web auquel il essaie d’accéder.
Via l’attaque MITM, le pirate peut par exemple créer un réseau Wi-Fi similaire à celui d’un hôtel pour duper ses clients et les inciter à ce faux réseau.
Une fois que la victime est connectée au réseau malveillant, il peut récolter toutes les informations que l’utilisateur envoie, tels que les mots de passe et les informations bancaires.
Injection SQL
L’injection SQL est un moyen par lequel un attaquant tente d’exploiter une vulnérabilité afin de prendre le contrôle de la base de données de ses victimes. De nombreuses bases de données sont conçues pour obéir à des commandes écrites dans le langage SQL.
Lors d’une attaque par injection SQL, le cybercriminel peut par exemple écrire des commandes SQL dans un formulaire Web qui demande des informations de nom et d’adresse. Si le site web et la base de données ne sont pas programmés correctement, la base de données pourrait essayer d’exécuter ces commandes.
Les kits d’exploitation zero-day
Ce genre d’attaque vise les vulnérabilités qui n’ont pas encore été corrigées dans les logiciels.
Ce nom vient du fait qu’une fois que le jour où un correctif est publié, de moins en moins d’ordinateurs sont exposés aux attaques cybercriminelles à mesure que utilisateurs téléchargent les mises à jour de leurs logiciels. Les kits d’exploitation zero-day sont souvent vendus et achetés sur le dark web.
Les analystes de Proofpoint ont rapporté une attaque potentielle du service de messagerie électronique légitime de PayPal dans le but de livrer du contenu malveillant. Plus précisément, ils ont découvert des emails dont l’objet était « Vous avez une demande d’argent » et qui semblaient provenir de PayPal.
Une escroquerie très sophistiquée par email frauduleux PayPal mise au jour
Des messages qui semblaient provenir de l’adresse email PayPal ont été utilisés pour livrer des malwares bancaires, notamment des Chevaux de Troie appelés Chthonic. Plutôt que de promettre au destinataire une somme d’argent, ou la possibilité de réclamer un héritage d’un parent perdu depuis longtemps, cette arnaque prétend qu’un paiement a été effectué sur le compte de sa victime et l’argent doit être remboursé.
Les emails d’escroquerie indiquent qu’une somme d’environ 90 euros ont été frauduleusement envoyés au compte de la victime et qu’un remboursement est demandé. Les emails contiennent les logos PayPal et semblent avoir été envoyés directement à partir du compte de messagerie members@paypal.com.
On ne sait pas exactement comment l’attaquant a réussi à usurper l’adresse email PayPal, ou comment l’email parvient à contourner le filtre antispam de Gmail. Ce qui est certain est que si la victime répond à l’email et effectue le paiement, elle perd 100 $. De plus, elle téléchargera automatiquement un malware sur son ordinateur, qu’il effectue le paiement ou non.
L’email contient un lien que l’utilisateur doit cliquer pour en savoir plus sur la transaction. Le lien contient une URL raccourcie qui renvoie la victime vers un document détaillant la transaction. Le document a une adresse goo.gl et le lien semble être une image JPEG contenant les détails de la transaction.
Cependant, s’il clique sur le lien, un fichier JavaScript (.js) sera téléchargé sur son ordinateur. Le script téléchargera ensuite un fichier exécutable flash qui, une fois exécuté, installera le malware Chthonic.
Chthonic a été livré via une arnaque par un email frauduleux PayPal
Ce malware est une variante du tristement célèbre malware bancaire de Zeus – Chthonic. Il a été programmé pour injecter son propre code et ses propres images dans les sites Web bancaires. Lorsque les victimes visitent leurs sites web bancaires, le malware saisit les noms de connexion, les mots de passe, les codes PIN et les réponses aux questions de sécurité.
De nombreuses variantes de malwares bancaires ciblent un petit nombre d’institutions financières. Par contre, Chthonic est capable d’enregistrer les informations saisies sur plus de 150 sites bancaires différents. Les victimes se trouvent principalement au Royaume-Uni, aux États-Unis, en Russie, au Japon et en Italie.
Chthonic est une sorte d’infection sévère pouvant causer beaucoup d’ennuis aux entreprises. S’il n’y a pas un programme de sécurité adapté sur votre ordinateur, vous ne savez peut-être même pas qu’un cheval de Troie est en train d’infecter votre système d’exploitation, car il peut fonctionner tranquillement.
Les chevaux de Troie permettent ensuite aux pirates d’espionner en arrière-plan leurs victimes ou d’installer un malware supplémentaire.
Le cheval de Troie peut, à son tour, envoyer les informations sensibles, telles que les coordonnées bancaires, aux pirates. L’une des principaux signes de la présence Chthonic est qu’il ralentit vos applications, votre connexion Internet.
Chthonic n’est pas le seul malware qui infecte les ordinateurs de ses victimes. Les chercheurs de Proofpoint ont déterminé qu’une autre variante auparavant inconnue, appelée AZORult, agit également de la même manière.
AZORult, une autre menace potentielle
Les chercheurs de Minerva Labs ont observé une souche de malwares voleurs d’informations, AZORult, qui se fait passer pour un programme d’installation signé de Google Update. Il agit en remplaçant le programme légitime Google Updater sur les ordinateurs compromis.
Mais pourquoi AZORult est une menace ?
AZORult peut causer des dommages importants au sein de votre organisation, car le code malveillant qu’il utilise est régulièrement mis à jour.
Selon ProofPoint, la version 3.2 intègre même la fonctionnalité qui permet aux pirates de voler l’historique de vos navigateurs Web, de détecter plusieurs portefeuilles de cryptomonnaie ou encore d’utiliser des proxys pour se connecter à votre compte.
L’autre fonctionnalité importante est que le malware inclut la prise en charge de liens de chargement illimités. Ceci permet aux cybercriminels de spécifier le fonctionnement du navigateur, par exemple en lui demandant de sauvegarder des mots de passe ou de télécharger des cookies pour des sites web spécifiques.
En outre, AZORult essaye à chaque fois de prendre la voie la moins courante pour voler les informations de leurs victimes et afin d’installer des ransomwares. Même si cela augmente les chances de détection par des anti-malwares, une installation réussie pourrait représenter un intérêt substantiel pour les acteurs.
Ce cheval de Troie est l’un des malwares les plus vendus dans le monde, notamment en Russie. Malgré son prix relativement élevé (100 $), les acheteurs préfèrent l’utiliser pour ses fonctionnalités étendues et parce qu’il offre une garantie élevée en ce qui concerne l’anonymat du pirate. Curieusement, Chthonic peut aussi mener une attaque en plusieurs étapes en utilisant le malware AZORult.
Comment savoir si un email provient réellement de PayPal ?
Voici comment identifier un email provenant réellement de PayPal :
Il sera toujours envoyé par paypal.com
Il s’adressera toujours avec le destinataire par ses noms et prénoms, ou bien par son nom commercial. Méfiez-vous donc des messages qui commencent par les expressions du genre « Salutations, cher client ».
Il ne vous demandera jamais de confirmer ni de fournir des informations sensibles comme votre mot de passe, vos informations bancaires, les données de votre carte de débit/crédit, etc.
Il ne vous demandera jamais de télécharger ni d’installer un logiciel particulier.
Au cas où vous auriez des doutes concernant la fiabilité de l’email, rendez-vous sur le site web de la marque et connectez-vous. Si l’équipe de PayPal essayait vraiment de communiquer avec vous, vous verriez certainement quelque chose dès que vous vous connectez. Si ce n’est pas le cas, vous feriez donc mieux d’ignorer l’email.
Quelques mesures pour éviter les arnaques par message PayPal
Le service PayPal est omniprésent.
Peu importe où vous vous trouvez, il y a de fortes chances que vous ayez entendu parler de cette marque internationale. Il n’est donc pas surprenant qu’elle ait été, et qu’elle pourrait une fois de plus, faire la une des actualités en matière de cybercriminalité. Les pirates vont toujours essayer d’envoyer des emails qui semblent provenir de la marque pour infecter vos ordinateurs avec les malwares.
L’une des solutions que vous pourrez adopter et de mettre à jour vos logiciels Microsoft Word vers une version plus récente. Cela protégera votre PC Windows contre les virus contenus dans les documents Word. Bien entendu, les versions de Microsoft Word à partir de 2010 ouvrent automatiquement les emails que vous téléchargez à partir d’Internet ou de la messagerie en mode « vue protégée ». Ceci empêchera tout malware de se répandre sur votre ordinateur. Mais dès qu’une mise à jour est disponible, vous devriez l’appliquer pour bénéficier de plus de protection contre les attaques de malwares.
Pour réduire le risque d’attaques via la messagerie électronique réussies, il est recommandé de mener des simulations de phishing dans le renforcer la sensibilisation à la sécurité chez vos employés. Vos équipes informatiques doivent concevoir de fausses attaques par phishing et tester la capacité des employés à reconnaître leurs éventuelles menaces sur le web.
Les experts en sécurité recommandent aussi de développer une culture de cybersécurité fiable qui intègre la cybersécurité et les processus métier, et qui encourage la collaboration entre les différents services.
Pour les utilisateurs qui ne disposent pas encore de systèmes de protection antimalwares et qui ne sont pas en mesure de détecter les liens compromis dans les emails, les risques d’attaques via le service PayPal est potentiellement élevé. PayPal a déjà été informé de cette menace et a déjà adopté des mesures pour s’en protéger. Mais ces mesures pourraient pousser les pirates à développer d’autres stratégies pour contourner à nouveau les défenses qui seront mises en place. De plus, l’approche combinée d’ingénierie sociale utilisée par les pirates pour demander de l’argent via ce service va sans aucun doute créer un risque supplémentaire pour les destinataires non formés ou peu attentifs à l’importance de la sécurité.
À propos de TitanHQ
Les employés répondent fréquemment aux emails de phishing et aux autres menaces envoyés via le web. Malheureusement, une étude a révélé que près des trois-quarts des employés ont été dupés par un test de phishing et ont fourni des informations sensibles aux attaquants.
Selon les chiffres émanant de ladite étude, 71 % des employés des 525 entreprises et qui ont été testées avaient au moins un employé qui avait divulgé leurs identifiants de connexion lors d’un test de phishing, contre 63 % en 2018. Dans 20 % des entreprises, plus de 50 % des employés testés ont été dupés par le phishing, contre 10 % l’année dernière.
Une autre étude réalisée par GetApp sur 714 entreprises a révélé qu’un quart des employés interrogées ont affirmé avoir au moins un employé ayant répondu à une attaque de phishing, divulguant ainsi ses identifiants de connexion.
Toujours selon cette étude, près de la moitié des employés ont cliqué sur des emails de phishing. Seulement 27 % des organisations proposaient une formation de sensibilisation à la sécurité à leurs employés.
30 % n’ont pas encore réalisé des simulations de phishing et 36 % de ces entreprises ne mettent pas en œuvre l’authentification multifactorielle sur les emails.
Si vous dirigez une entreprise et si vous êtes préoccupé par les attaques de phishing, TitanHQ peut vous aider. Nous avons développé une solution anti-spam et anti-phishing fiable, pouvant bloquer plus de 99,9 % des spams et des malwares.
Elle intègre un double moteur anti-virus qui permet de détecter les pièces jointes malveillantes. À cela s’ajoutent l’authentification DMARC et le sandboxing, des fonctionnalités essentielles pour effectuer des analyses approfondies des pièces jointes malveillantes.
La solution proposée par TitanHQ fonctionne en toute transparence avec Office 365 pour améliorer la détection du phishing et pour empêcher les spams, les emails de phishing et d’autres menaces web d’arriver dans les boîtes de réception de vos employés.
Contactez TitanHQ et bénéficiez d’une démonstration gratuite du produit de TitanHQ, ou contactez-nous pour bénéficier d’un essai gratuit de notre solution complète.
Questions fréquentes sur le phishing Paypal
Devriez-vous vous méfier d’une attaque de phishing utilisant le compte PayPal ?
Évidemment, car cette menace a déjà permis aux cybercriminels de piéger plus de 700 000 personnes, dont le montant demandé à chaque victime était de 45 euros. Oui, l’arnaque utilisant PayPal est bien ficelée.
Pourquoi PayPal n’a-t-il pas entrepris des solutions efficaces pour y remédier ?
Concrètement, la marque a déjà mis au jour cette forme d’escroquerie depuis fin 2011 et elle affirmait avoir déjà mis en place des solutions pour pouvoir la stopper. Seulement, elle n’a pas pu bien appréhender son évolution, car les cybercriminels rivalisent d’ingéniosité pour trouver de nouvelles tactiques afin que leurs attaques réussissent.
Comment identifier rapidement les emails frauduleux ?
Si vous résidez en France, sachez qu’une adresse PayPal valide doit toujours contenir le nom de domaine légitime de la marque : PayPal.fr. Si vous recevez un email qui prétend que vous avez reçu de l’argent, il suffit de vous connecter à votre compte PayPal et de vérifier que ce n’est pas une arnaque. L’autre conseil est de ne jamais agir dans l’urgence, même si l’email menace de supprimer votre compte si vous n’effectuez pas une action dans l’immédiat.
Que faire si vous recevez un email suspect qui semble venir de PayPal ?
Si vous consultez le site de PayPal et que vous constatez que votre solde est débiteur, il faut vous connecter directement à votre compte et entrer l’adresse dans votre navigateur, plutôt que de cliquer sur un lien intégré au message. Allez sur l’onglet « Aperçu du compte » et cliquez sur « Ramenez votre solde débiteur à un montant positif ». Après cela, vous n’avez qu’à choisir l’option qui vous convient le mieux. Quoi qu’il en soit, il est toujours recommandé de contacter directement l’équipe de PayPal.
Pourquoi est-il important de signaler une fraude potentielle liée à PayPal ?
Simplement, parce que cela permet de vous protéger, mais aussi de rendre le web plus sécurisé.
WhatsApp est actuellement l’une des applications de communication les plus utilisées dans le monde, car elle fournit un chiffrement de bout en bout pour la messagerie privée. Malheureusement, de nombreuses personnes aux intentions malveillantes n’hésitent pas à en abuser.
Une nouvelle escroquerie de phishing à l’encontre d’Adidas a été détectée, proposant des chaussures gratuites et de l’argent. Les messages affirment qu’Adidas célèbre son 69e anniversaire et offre à 2 500 clients chanceux une paire gratuite de baskets de la marque ainsi qu’un abonnement de 50 dollars par mois.
En quoi consiste l’arnaque « anniversaire Adidas » ?
L’escroquerie cible les utilisateurs d’appareils mobiles dans des endroits précis. Si l’utilisateur clique sur le lien dans le message et qu’il est déterminé qu’il n’utilise pas un appareil mobile, il sera dirigé vers une page web affichant une erreur 404. En effet, cette arnaque ne fonctionne que si l’utilisateur se trouve aux États-Unis, au Pakistan, en Inde, en Norvège, en Suède, au Nigeria, au Kenya, à Macao, en Belgique ou aux Pays-Bas.
Cibler les appareils mobiles
Si l’utilisateur utilise un appareil mobile et se trouve dans l’un des pays ciblés, quatre questions lui seront posées. Les réponses ne sont pas pertinentes, car tous les utilisateurs se verront toujours offrir une paire de baskets « gratuite » une fois qu’ils auront répondu aux quatre questions.
Afin de pouvoir réclamer le prix, les utilisateurs doivent partager l’offre avec leurs contacts sur WhatsApp. Qu’ils le fassent ou non, ils seront dirigés vers une autre page web où d’autres questions leur seront posées pour qu’ils puissent s’offrir finalement la paire de baskets « gratuite » d’une valeur de 180 euros.
Inciter la victime à payer
Il y a un autre piège : afin de réclamer leurs baskets gratuits, l’utilisateur doit payer moins de 1 euro. Il est également informé que l’abonnement lui sera facturé environ 45 euros par mois s’il n’annule pas, mais il peut annuler à tout moment.
Sur l’écran de paiement, l’utilisateur est informé que le paiement sera traité par organizejobs.net. En procédant au paiement, il devra payer moins de 1 euro ainsi que le prix de l’abonnement d’environ 45 euros, sous 7 jours.
La campagne est lancée sur WhatsApp, bien que des escroqueries similaires aient été menées par e-mail et par SMS. Plusieurs variantes similaires ont également été identifiées, ciblant d’autres fabricants de chaussures.
Le lien fourni dans le message WhatsApp semble authentique, car il utilise le nom de domaine officiel du pays où l’utilisateur se trouve. Bien que le nom de domaine semble correct, il ne s’agit que d’un exemple d’attaque de phishing par homoglyphe. Au lieu d’utiliser adidas.de, le pirate a remplacé le « i » par une ligne verticale « — », une sorte d’attaque par le biais de noms de domaine homographiques.
Ces types d’escroqueries sont courants. Les attaques par homoglyphe profitent de la possibilité d’utiliser des caractères non-ASCII dans les noms de domaine.
Le partage de lien
Pour réclamer le prix, la victime est également sollicitée à partager le lien malveillant sur WhatsApp et Facebook avec leurs contacts. Les redirections étaient basées sur l’adresse IP. Peu importe le nombre de fois où elle essaye de partager le lien, elle n’a aucun moyen de confirmer que le partage avait bien eu lieu. C’est juste une partie de l’arnaque. Le fait qu’elle ne peut pas choisir la taille ou la couleur des chaussures devrait être un indice qu’il ne s’agissait pas d’une campagne légitime.
Bien entendu, les victimes qui tombent dans ce piège n’ont jamais reçu les chaussures convoitées. Par contre, elles se retrouvent avec des frais récurrents qu’elles doivent gérer jusqu’à ce qu’elles résolvent le problème.
Ce n’est pas la première fois que la marque a fait l’objet d’une attaque de phishing
Bien avant cet évènement, la marque internationale a été la cible d’une autre arnaque lancée via la messagerie électronique.
Le faux courriel d’Adidas prétend que le destinataire a gagné une énorme somme d’argent, plus précisément de 800 000 dollars. Pour réclamer l’argent, il lui suffit d’envoyer ses coordonnées personnelles et bancaires à une adresse électronique censée être liée à une banque de premier ordre.
Le fait est que l’adresse électronique était fausse. L’envoi des coordonnées personnelles et bancaires à cette adresse pouvait permettre aux pirates informatiques de vider le compte de la victime en quelques jours.
Il y a eu énormément d’arnaques similaires qui ont été lancées via la messagerie électronique et le plus surprenant est que beaucoup de leurs victimes tombent dans le panneau. De plus, pour ce cas, les messages électroniques semblaient provenir d’une source fiable, car ils utilisaient l’adresse adidas@adidas.org.
Quelque temps après cet évènement, la marque Adidas avait précisé sur son site officiel que son groupe n’était en aucune façon affilié à l’expéditeur des e-mails. Elle demandait donc à tous les destinataires de ces faux messages de les supprimer immédiatement et de ne pas fournir à leurs expéditeurs les informations demandées.
La marque Adidas a réagi rapidement
Lors de l’arnaque liée au 69e anniversaire d’Adidas, de nombreux consommateurs se sont interrogés sur la véracité des contenus des annonces. Plusieurs d’entre eux n’ont pas également manqué de poster des statuts sur les réseaux sociaux pour vérifier la crédibilité de l’annonce avant de cliquer sur le lien intégré au message. On peut dire que ces derniers ont eu un bon réflexe et ils sont donc hors de danger.
Mais pour éviter le désastre, la marque a apporté rapidement des éclaircissements face aux faux messages qui circulent. En réponse à plusieurs tweets, le représentant de la marque au Royaume-Uni a déclaré : « Merci de nous avoir fait signe. Cette offre n’est pas affiliée à Adidas ».
Lauren Haakman, Directrice de la communication et des relations publiques d’Adidas en Afrique du Sud, a également déclaré : « Nous sommes au courant des messages de WhatsApp qui circulent actuellement et qui prétendent qu’Adidas offre des chaussures gratuites et nous voudrions mettre en garde le grand public contre cette affirmation. En réalité, il s’agit d’un canular ».
Pour sa part, l’équipe de Facebook, qui a acheté WhatsApp pour environ 16 milliards d’euros, a décidé de travailler sur la conception d’une option d’alerte dès qu’un spam est suspect.
Malgré cela, les pirates ne se contentent pas de rester là. Ils cherchent de nouvelles méthodes pour mener des attaques de phishing contre les consommateurs. Pour les internautes, l’essentiel est donc de toujours se méfier de ce type d’annonce.
Mais qu’est-ce que le phishing ?
Voici tout ce que vous devez savoir sur les attaques de phishing et comment vous protéger des messages électroniques frauduleux et des formes les plus courantes de cyberattaques.
Le phishing est l’une des formes de cyberattaques les plus faciles à mettre en œuvre pour les pirates informatiques, et l’une des plus faciles pour tromper les gens. C’est aussi celle qui peut fournir tout ce dont les pirates ont besoin pour piller les comptes professionnels et personnels de leurs cibles.
Généralement lancées via la messagerie électronique – bien que l’escroquerie ne se limite plus aux e-mails suspects, mais s’étende désormais aux appels téléphoniques, aux médias sociaux, aux services de messagerie et aux applications – une attaque de phishing vise toujours à inciter la cible à faire ce que le pirate souhaite qu’elle fasse.
Il peut s’agir de donner des mots de passe dans le but de faciliter le piratage d’une entreprise ou de modifier des coordonnées bancaires afin que des paiements soient réalisés au profit des fraudeurs au lieu du bon compte.
Le phishing est également une méthode populaire pour les cybercriminels pour diffuser des malwares, en encourageant leurs victimes à télécharger un document ou à cliquer sur un lien qui installera secrètement la charge utile malveillante (cheval de Troie, ransomware, etc.).
L’objectif et le mécanisme précis des escroqueries peuvent varier. Les victimes peuvent par exemple être amenées à cliquer sur un lien qui les redirige vers une fausse page web dans le but de les persuader de saisir des informations personnelles.
Les campagnes de phishing plus complexes peuvent impliquer un jeu de longue haleine, les cybercriminels utilisant de faux profils de médias sociaux, des e-mails et d’autres moyens pour établir une relation avec les victimes pendant des mois, voire des années dans les cas où des individus spécifiques sont ciblés pour des données qu’ils ne confieraient jamais qu’à des gens de confiance.
Les données que les pirates recherchent peuvent aller d’une adresse électronique et d’un mot de passe professionnels ou personnels à des données financières comme les détails d’une carte de crédit ou des identifiants bancaires en ligne, voire des données personnelles telles que la date de naissance, le numéro de sécurité sociale, etc.
Entre les mains de pirates informatiques, toutes ces données peuvent être utilisées pour réaliser des escroqueries comme l’usurpation d’identité, l’utilisation de données volées pour acheter des biens, voire la vente d’informations privées sur le dark web. Dans certains cas, le but est d’embarrasser la victime ou de faire du chantage.
Dans d’autres cas, le phishing est utilisé pour l’espionnage ou par des groupes de cybercriminels soutenus par des États-nations pour espionner des adversaires et des organisations. Tout le monde peut être victime de ces attaques, qu’il s’agisse d’un comité national à l’approche d’une élection présidentielle, d’entreprises commerciales, d’infrastructures critiques ou de particuliers.
Quel que soit le but ultime d’une attaque de phishing, sachez que le but des escrocs est d’inciter les utilisateurs à communiquer des données ou d’accéder à des systèmes en croyant à tort qu’ils ont affaire à une personne en qui ils ont confiance.
Lors d’une campagne de phishing, les escrocs agissent en piratant l’esprit des gens
La technique la plus utilisée pour le phishing consiste à demander à la personne visée de réaliser une action qui lui permettra d’obtenir quelque chose de très intéressant comme une réduction, une offre exceptionnelle, une promotion, une information inédite, etc. Le message qu’elle reçoit contient un lien. Une fois que la victime clique dessus, elle atterrit sur une page web qui lui demande de réaliser une action (remplissage d’un formulaire de connexion, réponse à un questionnaire satisfaction, etc.) afin d’accéder aux promesses proposées dans le message qu’elle a reçu. À partir de ce moment, la victime sera donc tentée de suivre scrupuleusement les étapes demandées. Pourtant, elle est en train de tomber dans le piège du phishing.
Ce qui différencie la campagne de phishing contre Adidas est que les pages d’escroquerie ont été conçues pour indiquer un nombre aléatoire de créneaux, de cadeaux ou d’offres promotionnelles restants. Ainsi, lorsque vous arrivez sur la page des faux cadeaux Adidas, les pirates peuvent changer au hasard le nombre de paires restantes, lequel est souvent supérieur à celui proposé lors de votre dernière visite.
Les pages de fausses chaussures Adidas peuvent vous demander différents types d’informations concernant votre carte de crédit, vos identifiants de connexion à des sites web ou à d’autres sites sociaux, vos numéros de téléphone, etc. Pour rendre encore leur campagne plus convaincante, les pirates n’hésitent pas à créer des faux avis et commentaires d’autres utilisateurs. Ainsi, les victimes peu méfiantes risquent de tomber facilement dans l’escroquerie.
Le « typosquatting », une autre variante de l’arnaque à l’encontre d’Adidas
Des escroqueries similaires utilisent une technique appelée « typosquatting » qui consiste à enregistrer des noms de domaines correspondant étroitement à des noms de marque réels, en utilisant des orthographes incorrectes comme Addidas au lieu d’Adidas, ou en remplaçant le « i » par un « 1 » ou un « L ».
Pour notre cas, les attaquants semblent gagner une commission pour inciter les utilisateurs à s’inscrire. Mais en divulguant les détails de leurs cartes de débit et de crédit, ces derniers risquent de se voir accumuler d’énormes factures ou de voir se vider leurs comptes bancaires.
Il existe plusieurs signes d’avertissement indiquant qu’il s’agit d’une escroquerie de phishing comme celle menée à l’encontre d’Adidas. Un examen attentif du nom de domaine révélera qu’il est incorrect. La nécessité de partager le message avec les contacts est également un signe atypique, outre le fait d’être averti d’une charge après avoir appris que les chaussures sont gratuites ; le fait de ne pas demander à l’utilisateur de choisir sa paire de chaussures ou même de choisir sa pointure ; ou encore le fait d’utiliser un nom de domaine impair pour traiter le paiement.
Cependant, même avec ces signes qui peuvent révéler que l’offre n’est pas authentique, cette arnaque de phishing à l’encontre d’Adidas est susceptible de tromper de nombreuses personnes.
Le fonctionnement du typosquattage en détail
Les pirates informatiques peuvent se faire passer pour des domaines en utilisant :
une erreur d’orthographe courante du domaine cible, par exemple « adidasonline.com » au lieu de adidas.com.
un domaine de premier niveau différent, en utilisant .uk au lieu de .co.uk, entre autres.
la combinaison de mots apparentés dans le domaine comme adidasonline-cybersecurity.com.
l’ajout de points à une URL, comme adidas.online.com.
l’utilisation des lettres d’aspect similaire dans le but de cacher le faux domaine comme adidasonliné.com.
Selon Russell Haworth, PDG de Nominet, une société qui gère le registre de noms de domaine .uk, il n’est pas toujours facile de voir rapidement la différence entre goggle.com et google.com. C’est pourquoi le typosquattage peut tromper certains gens et les amener à consulter la mauvaise page web.
De plus, l’enregistrement d’un domaine est actuellement devenu facile et rapide, et les pirates informatiques peuvent enregistrer plusieurs variantes du domaine cible légitime en même temps. Les domaines typosquattés peuvent être utilisés pour différentes fins comme :
L’extorsion, en revendant le domaine usurpé au propriétaire de la marque.
La fraude publicitaire. Pour ce faire, le cybercriminel peut monétiser le domaine avec des publicités qui proviennent de visiteurs via une orthographe incorrecte ; rediriger les utilisateurs vers des concurrents, ou encore rediriger le trafic vers la marque elle-même par le biais d’un lien affilié dans le but de gagner une commission sur chaque clic.
Le vol d’informations, en récupérant des données sensibles via des e-mails de phishing ou des pages de connexion de sites copiés, ou en récoltant des messages électroniques mal adressés.
La diffusion de malwares. Dans ce cas, les escrocs peuvent installer ou proposer des téléchargements de malwares.
Au bout du compte, la motivation des pirates informatiques est presque toujours financière, mais les autres motifs comme l’exfiltration de données, le vol de propriété intellectuelle et les motifs géopolitiques ne soient pas à écarter.
Adidas n’est pas la seule marque à être visée par des messages frauduleux
Récemment, un message similaire prétendant provenir de Zara s’est également propagé et a été diffusé pendant les fêtes de fin d’année. L’arnaque consistait à permettre aux consommateurs de profiter des ventes de Flipkart et d’Amazon India.
Certains pirates ont créé une fausse campagne de « Vente Amazon » afin d’inciter les gens à partager volontairement leurs données personnelles ou leurs identifiants de connexion.
Plus précisément, la campagne prétendait offrir à ceux qui le souhaitent jusqu’à 99 % de réduction sur une gamme de produits. Dans le message, un lien « Achetez maintenant » est intégré pour rediriger les consommateurs peu méfiants vers un site de phishing.
Étant donné qu’un grand nombre de faux sites Web ne cessent de voir le jour, les internautes qui veulent vérifier si une promotion Adidas est légitime ou non peuvent se rendre sur l’un des sites de médias sociaux de la marque et poser leurs questions :
Ils peuvent également se rendre directement sur le site Web de la marque à l’adresse https://www.adidas.com/ pour obtenir des informations sur une quelconque promotion.
Vous devez aussi vous protéger contre les attaques BEC
Selon l’IC3 (Internet Crime Complaint Center) du FBI, les stratégies de compromission d’e-mails professionnels, c’est-à-dire les attaques du type BEC (Business email compromise), ont connu une croissance vertigineuse, allant jusqu’à 2 370 % depuis 2015. Plus de 40 000 incidents internationaux et nationaux ont été enregistrés et ce type d’escroquerie a coûté plusieurs milliards d’euros en termes de pertes réelles et de tentatives.
Qu’est-ce qu’une attaque BEC ?
Une attaque BEC commence généralement par l’usurpation des e-mails par un cybercriminel pour se faire passer pour un superviseur, un PDG ou un fournisseur de votre entreprise. Une fois le mail usurpé, il demande un paiement commercial qui semble authentique et provenir d’une figure d’autorité de confiance. L’employé est donc plus enclin à s’exécuter.
Souvent, le pirate informatique demande que l’argent soit viré ou que les chèques soient déposés, selon les pratiques commerciales habituelles de votre entreprise. Mais cette forme d’escroquerie a évolué et ne concerne même plus l’argent. Au lieu de cela, la même technique peut être utilisée pour voler les informations personnelles des employés, des formulaires de salaire et d’impôt, et bien d’autres encore.
Ce que vous pouvez faire pour éviter d’être victime d’une telle attaque
Si certaines attaques BEC impliquent l’utilisation de malwares, beaucoup d’entre elles reposent sur des techniques d’ingénierie sociale, face auxquelles les filtres antispam, les antivirus, ou la liste blanche des e-mails sont inefficaces. Néanmoins, il existe des choses que vous pouvez faire pour les éviter, comme la sensibilisation de vos collaborateurs et le déploiement de techniques de prévention interne, notamment pour les employés de première ligne. Ces derniers sont le plus susceptibles d’être les destinataires des premières tentatives de phishing telles que l’arnaque « anniversaire Adidas ».
Il est recommandé d’éviter les comptes de messagerie électronique gratuits basés sur le Web, de créer un nom de domaine d’entreprise et de l’utiliser pour créer des comptes de messagerie d’entreprise à la place des comptes gratuits sur Internet. Vous pouvez également activer l’authentification multifactorielle pour les comptes de messagerie professionnelle. N’ouvrez pas les e-mails provenant de parties inconnues et, si vous deviez le faire, ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes intégrées au message, car elles contiennent souvent des malwares qui accèdent à votre système informatique.
En réalité, les attaques du type BEC ne sont pas aussi connues que les attaques de ransomwares ou d’autres formes de cybercriminalité. Cependant, elles constituent une menace très importante pour les organisations de toutes tailles. En associant les mesures de sécurité de la messagerie électronique à l’éducation et aux meilleures pratiques, votre entreprise peut éviter de telles attaques. Et, si votre entreprise est malheureusement visée, n’oubliez pas d’alerter immédiatement votre service informatique et votre institution financière, et de déposer une plainte auprès de l’IC3.
D’autres précautions que vous devriez prendre pour éviter une telle arnaque
Le plus important conseil à vous recommander est de ne jamais communiquer vos informations personnelles ou d’autres informations sensibles sur des pages que vous ne connaissez pas ou qui vous semblent suspectes. Il existe également quelques bonnes pratiques que vous pouvez réaliser à votre niveau, à savoir de :
Vérifier toujours le lien de la page d’accueil en le tapant manuellement dans la barre d’adresse de votre navigateur.
Vérifier si la même offre est également publiée sur site web légitime de l’entreprise. Pour ce faire, il suffit d’effectuer une recherche sur Google.
Signaler les pages, les profils et les messages qui vous semblent malveillants.
Vérifier les faux sites web. Pour ce faire, vérifiez les préfixes du nom de domaine de la page d’atterrissage (http ou https). Si le préfixe est http, alors vous ne devez jamais divulguer vos informations personnelles sur la page web. Par contre, une page contenant un préfixe https peut être considérée comme sécurisée, car elle utilise une connexion privée et chiffrée.
Faire une vérification minutieuse des droits d’auteur, des coordonnées de l’entreprise qui propose l’offre, des fautes d’orthographe dans les e-mails, des liens brisés et du nom de domaine. Ces informations peuvent être révélatrices d’une intention malveillante de la part des pirates.
Partager ce dossier spécial à vos collaborateurs et vos amis pour les aider.
Non, Adidas ne fait pas d’offres promotionnelles sur Whatsapp, n’offre pas des chaussures, et ne fait pas de célébration d’anniversaire
La raison pour laquelle les internautes tombent souvent dans le piège du phishing est incompréhensible. Les pirates informatiques le savent et ils profitent de cette faiblesse pour cacher leurs manigances derrière les habituels faux cadeaux ou fausses offres promotionnelles, lesquels sont souvent trop bons pour être vrais.
Bien entendu, des milliers d’internautes ont déjà cliqué sur le lien malveillant lors de cette nouvelle arnaque utilisant la marque Adidas. Ils sont désormais vulnérables aux fraudes, étant donné que certaines de leurs informations sensibles sont certainement désormais entre les mains des hackers.
Rappelez-vous que ce n’est pas la première fois que des internautes reçoivent de faux messages. L’utilisation des services de messagerie électronique est sujette à ce genre de fausses affirmations et des millions d’utilisateurs dans le monde se sont déjà fait avoir.
Les e-mails, les réseaux sociaux, les messages mobiles, etc. sont devenus l’apanage des cybercriminels pour mener des attaques réussies. Ces deux arnaques lancées contre la marque Adidas démontrent une fois de plus que les attaques de phishing ont toujours lieu et continueront d’évoluer.
Alors, si vous recevez un message sur WhatsApp avec une offre de paire de chaussures Adidas gratuite, vous devez le prendre avec précaution, car il peut s’agir d’un piège pour extraire vos données par des pirates informatiques.
Pour aller plus loin…
Si vous ne souhaitez pas vous laisser duper par les attaques de phishing comme celles menées à l’encontre de la marque Adidas, soyez prévenus ! Chaque fois que vous recevez un message WhatsApp non sollicité et qui vous propose des produits gratuits, supposez toujours qu’il s’agit d’une arnaque.
La forme de phishing la plus répandue consiste à envoyer un e-mail malveillant, prétendument envoyé par un expéditeur connu et qui parait donc légitime vis-à-vis de la victime. La meilleure solution pour contrer cette menace est donc d’empêcher ce genre d’e-mails d’arriver dans la boite de réception de vos employés, entre autres.
La solution de filtrage des e-mails de TitanHQ, SpamTitan, peut dans ce cas vous être grandement utile. Cette couche de sécurité supplémentaire soumet chaque e-mail entrant à divers types de vérifications afin de déterminer s’il est authentique ou non. Si le mail est reconnu comme légitime, il peut être renvoyé directement dans la boîte de réception de l’utilisateur. Dans le cas contraire, c’est-à-dire si le message est potentiellement malveillant, il sera bloqué.
SpamTitan peut également contrôler les e-mails sortants pour s’assurer qu’en cas de compromission du compte d’un utilisateur, celui-ci ne peut pas être utilisé à d’autres fins malveillantes, comme l’envoi de spams et de phishing à ses contacts en interne ou aux clients de votre entreprise.
Si vous voulez en savoir plus sur notre filtre de messagerie SpamTitan, contactez notre équipe dès aujourd’hui.
FAQ sur la phishing Adidas
Que veulent vraiment les pirates informatiques lors d’une telle attaque ?
Tout ce qu’ils veulent, dans le cas d’une attaque de phishing qui utilise la marque Adidas, c’est obtenir le plus de contacts possible pour pouvoir poursuivre leur escroquerie.
N’oubliez pas que les cybercriminels ne se reposent jamais, même pendant la période où l’épidémie du Covid-19 fait rage.
Alors, que faire ?
Ne faites pas attention si vous recevez un message suspect qui semble provenir d’Adidas. La meilleure chose à faire est de le supprimer et surtout de ne pas le transmettre.
Il est également important de signaler le message malveillant par l’intermédiaire de la plate-forme que vous utilisez afin que personne ne morde à l’hameçon et ne finisse par être victime d’une attaque similaire et divulguer leurs données sensibles à d’autres cybercriminels.
Quelles sont les mesures prises par la marque ?
Ce n’est pas la première fois que la marque a subi une telle attaque. En 2011, par exemple, elle a fermé les sites affectés tels que adidas.com, reebok.com ou adidas-group.com.
Heureusement que, lors de son 69e anniversaire, elle a agi rapidement, mais toutes les hypothèses restent imaginables au sujet de ce type d’arnaque informatique.
Existe-t-il des solutions pour vérifier rapidement si le message que l’on reçoit est une arnaque ou non ?
Oui, la première réaction devrait être de vérifier le lien qui y est intégré. Si le site comporte le préfixe http, plutôt que https, alors, méfiez-vous, car il ne doit pas être utilisé pour envoyer vos informations personnelles ou pour effectuer des paiements.
Par contre, le préfixe https est sécurisé étant donné qu’il est considéré comme sécurisé par une connexion privée chiffrée. Mais, soyez toujours vigilants lorsque vous divulguez des informations sur le web.
Est-ce que quelqu’un a déjà reçu les récompenses promises par les escrocs, juste pour démontrer que ce n’est pas une arnaque ?
En fait, les victimes qui sont tombées dans le panneau n’ont jamais reçu les chaussures qui ont été promises par les pirates informatiques. Au contraire, ils se sont retrouvés avec certains frais jusqu’à ce qu’ils résolvent le problème.
Toutes les organisations devraient prendre des mesures pour atténuer le risque de phishing, et l’une de ces mesures devrait consister à former les employés sur la façon de repérer un email de phishing.
Les employés verront souvent leurs capacités à identifier les emails de phishing mises à l’épreuve. Il suffit que l’un d’entre eux tombe dans le piège de phishing pour compromettre l’ensemble d’un réseau.
Ainsi, il est non seulement essentiel que tous les employés soient formés pour repérer un email de phishing, mais il faut aussi que leurs compétences soient évaluées après la formation pour savoir dans quelle mesure la formation a été efficace.
Quelle est la fréquence des attaques de phishing ?
Le phishing est aujourd’hui la principale menace pour la sécurité des entreprises, quels que soient leurs secteurs d’activité. Les recherches menées par PhishMe, une entreprise de formation en sensibilisation à la sécurité, suggèrent que plus de 90% des cyberattaques commencent par un email de phishing ou de spear phishing.
Bien que toutes les entreprises doivent faire face à la menace de phishing, celles qui interviennent dans l’éducation et les soins de santé sont particulièrement à risque. Elles sont souvent la cible d’arnaqueurs et de spammeurs, et trop souvent, ces attaques sont couronnées de succès.
Le rapport sur la vulnérabilité des données d’Intermedia en 2017 a montré comment les attaques de phishing courantes réussissent.
Les travailleurs ont été interrogés sur la formation de sensibilisation à la sécurité et sur les attaques de phishing réussies contre leurs organisations.
34% des cadres supérieurs de haut niveau ont admis avoir été victimes d’une escroquerie par phishing, tout comme 25% des professionnels dans les services informatiques. Pourtant, ces personnes devraient, en théorie, être les meilleures dans une organisation pour identifier les escroqueries par phishing.
La même étude a révélé que 30% des employés de bureau ne reçoivent pas de formation régulière de sensibilisation à la sécurité. 11% ont dit qu’ils n’avaient reçu aucune formation. De plus, on ne leur avait jamais appris la façon de repérer un email de phishing.
Une confiance excessive dans les capacités de détection du phishing favorise les atteintes à la protection des données
Les études sur les atteintes à la protection des données et la cybersécurité révèlent souvent que de nombreuses organisations ont confiance en leurs moyens de défense contre le phishing.
Toutefois, bon nombre de ces entreprises sont encore victimes des atteintes à la protection des données et des attaques de phishing. En effet, une confiance excessive dans la détection et la prévention du phishing expose de nombreuses entreprises à des risques.
C’est ce qu’a récemment mis en lumière l’étude menée par H.R. Rao à l’Université du Texas à San Antonio. Rao a expliqué que beaucoup de gens se croient plus intelligents pour ne pas tomber dans le piège des cybercriminels et les arnaqueurs. Pourtant, ce n’est pas souvent le cas et les pirates informatiques peuvent exploiter de cette situation pour réussir facilement leurs attaques.
La formation devrait être mise à l’épreuve
Vous pouvez former vos employés à repérer un email de phishing, mais comment pouvez-vous savoir si votre formation a été efficace ? Si vous ne faites pas d’exercices de simulation de phishing, vous ne pouvez pas être certain qu’elle ait été efficace.
Il y aura toujours des employés qui auront besoin de plus de formation que d’autres et des employés qui n’y prêteront pas attention pendant la formation. Vous devez trouver ces maillons faibles et la meilleure façon d’y parvenir est d’utiliser des exercices de simulation de phishing.
Faites des exercices de phishing factice et vérifiez si vos employés mettent régulièrement leur formation en pratique. Si un employé échoue à un test de phishing, vous pouvez l’identifier pour recevoir une formation supplémentaire. Chaque simulation ratée peut être considérée comme une occasion de formation. Avec de la pratique, les techniques d’identification par email par phishing s’amélioreront.
Comment repérer un email de phishing ?
La plupart des employés reçoivent quotidiennement des emails de phishing. Certains sont faciles à identifier, d’autres moins. Heureusement, les filtres antispams captent la plupart de ces emails, mais pas tous. Il est donc essentiel de former régulièrement les employés à repérer un email de phishing. Une session de formation par an n’est plus suffisante.
Les escrocs changent constamment de tactique. Il est important de s’assurer que les employés sont tenus au courant des dernières menaces.
Au cours de vos séances de formation régulières, montrez à vos employés comment repérer un email de phishing et quoi faire lorsqu’ils reçoivent des messages suspects. Mettez-les en garde, en particulier, contre les tactiques suivantes :
Noms d’affichage usurpés
Le rapport sur le phishing, publié en 2017 par GreatHorn, indique que 91% des attaques de spear phishing sont des usurpations d’identité. Cette tactique fait croire au destinataire qu’un email a été envoyé par un collègue de confiance, un ami, un membre de la famille ou une entreprise. C’est l’un des moyens les plus importants de détecter un courrier électronique de phishing.
Atténuation : Former les employés à faire passer la flèche de leur curseur de leur souris sur l’expéditeur de l’email pour afficher sa véritable adresse email.
Vous devriez donc former les employés à transmettre ces emails plutôt qu’à y répondre. En faisant cela, l’adresse réelle de l’email va s’afficher.
Compromis sur les comptes de messagerie
Cette année, les escroqueries par email d’affaires (BEC) ont grimpé en flèche. Ces escroqueries ont été largement utilisées pour obtenir des renseignements fiscaux sur le formulaire W-2 pendant la saison fiscale.
Cette méthode d’attaque implique l’utilisation de comptes de messagerie électronique réels — généralement ceux du PDG ou de cadres supérieurs — pour envoyer des demandes aux employés pour effectuer des virements bancaires et envoyer des données sensibles.
Atténuation : Mettre en œuvre des politiques qui exigent que toutes les demandes de renseignements sensibles par email soient vérifiées par téléphone et que toutes les nouvelles demandes de virement bancaire soient vérifiées.
Compromis sur les comptes de messagerie
Cette année, les escroqueries par email d’affaires (BEC) ont grimpé en flèche.
Ces escroqueries ont été largement utilisées pour obtenir des renseignements fiscaux sur le formulaire d’impôts W-2 pendant la saison fiscale.
Cette méthode d’attaque implique l’utilisation de comptes de messagerie électronique réels — généralement ceux du PDG ou de cadres supérieurs — pour envoyer des demandes aux employés ; effectuer des virements bancaires et envoyer des données sensibles.
Atténuation : Mettre en œuvre des politiques qui exigent que toute demande de renseignements par email de nature délicate soit vérifiée par téléphone et que toute nouvelle demande de virement bancaire et tout changement de compte soient vérifiés.
Hyperliens vers des sites Web de phishing
Le rapport trimestriel de Proofpoint sur les menaces, pour le troisième trimestre, a montré une augmentation de 600% de l’utilisation d’URL malveillantes dans les emails de phishing d’un trimestre à l’autre, et une augmentation de 2,200% par rapport à la même période l’année dernière.
Ces URL dirigent généralement les utilisateurs vers des sites sur lesquels on leur demande de se connecter en utilisant leurs identifiants de messagerie. Souvent, ils sont liés à des sites où des malwares peuvent être téléchargés à leur insu.
Atténuation : Formez vos employés pour qu’ils passent la flèche de leur curseur de leur souris sur l’URL pour afficher la véritable URL. Encouragez-les à visiter les sites Web en entrant l’URL manuellement, plutôt que d’utiliser des liens intégrés.
Alertes de sécurité et autres situations d’urgence
Les escrocs veulent que les destinataires des emails agissent rapidement. Plus la réponse est rapide, mieux c’est. Si les employés s’arrêtent et réfléchissent à la demande ou vérifient attentivement l’email, il y a de fortes chances que l’arnaque soit détectée.
Les emails de phishing comprennent souvent une demande urgente ou un besoin immédiat d’intervention. Ils font par exemple une annonce du genre : votre compte sera fermé, vous perdrez votre crédit, votre colis ne sera pas livré, votre ordinateur est en danger, etc.
Atténuation : Former vos employés pour qu’ils s’arrêtent et réfléchissent avant de répondre à un email. Une demande par email peut sembler urgente et contenir une menace, mais cette tactique est couramment utilisée pour inciter les gens à prendre des mesures rapides et par inadvertance.
Recherchez les fautes d’orthographe et les erreurs grammaticales
De nombreuses escroqueries par phishing proviennent de pays africains, d’Europe de l’Est et de Russie, notamment dans les endroits où le français ou l’anglais ne sont pas les langues principales. Bien que les escroqueries par phishing soient de plus en plus sophistiquées et que l’on fasse plus attention à la rédaction des emails, les fautes d’orthographe et la mauvaise grammaire sont encore courantes et sont un indicateur clé que les emails ne sont pas authentiques.
Atténuation : Former les employés à rechercher les fautes d’orthographe et les fautes grammaticales. Il faut qu’ils vérifient soigneusement leurs emails avant de répondre.
Pourquoi un filtre antispam est-il maintenant essentiel ?
La formation des employés sur la détection d’un email de phishing devrait faire partie de votre stratégie de cybersécurité, mais la formation à elle seule ne suffira pas à prévenir toutes les atteintes à la protection des données liées au phishing.
Il peut y avoir une culture de sécurité au sein de votre entreprise. Vos employés peuvent être compétents en matière de détection d’attaques de phishing, mais chaque employé peut avoir un jour férié d’un moment à l’autre. Il est donc important de réduire autant que possible l’arrivée des emails de phishing dans les boîtes de réception de vos employés. Pour ce faire, vous avez besoin d’une solution avancée de filtrage du spams.
SpamTitan bloque plus de 99,9% des spams et inclut deux antivirus pour bloquer les messages malveillants. Offrant un faible taux de faux positifs, cette solution garantit également que les emails authentiques ne déclenchent pas le filtre antispams pour qu’ils puissent arriver dans les boites de réception de vos employés.
Si vous voulez améliorer vos défenses de sécurité, formez vos employés sur le repérage des emails de phishing et utilisez SpamTitan pour les empêcher d’atteindre les boîtes de réception. Avec des solutions technologiques et humaines, vous serez mieux protégés.
Infographie qui vous aide à former le personnel sur la façon de repérer un email de phishing
Voici une infographique qui souligne l’importance de former le personnel à la détection d’un email de phishing et de certains des identificateurs communs qui indiquent qu’un email n’est pas authentique.
La formation de sensibilisation à la sécurité dispensée aux employés aide à éradiquer les comportements à risque qui pourraient mener à un compromis au sein du réseau informatique.
Les programmes de formation devraient couvrir toutes les principales menaces auxquelles votre entreprise est confrontée, y compris les attaques sur le web, les e-mails de phishing, les malwares et les escroqueries d’ingénierie sociale par téléphone, par messagerie texte ou par les médias sociaux.
Trop souvent, les entreprises se concentrent sur la sécurisation du périmètre réseau à l’aide de pare-feu, en déployant des solutions antimalware avancées et en mettant en œuvre d’autres contrôles technologiques tels que les filtres anti-spam et les systèmes de protection des terminaux.
Par contre, elles n’offrent pas de formation efficace en matière de sécurité à leurs employés. Et même lorsque des programmes de sensibilisation à la sécurité sont élaborés, les entreprises optent souvent pour une séance de formation en salle qui se déroule une fois par an. Les employés peuvent donc rapidement les oublier.
Si vous considérez que la formation de sensibilisation à la sécurité pour les employés est un élément à cocher une fois par an et qui doit être réalisé pour s’assurer tout simplement de la conformité vis-à-vis des réglementations du secteur, il y a de fortes chances que votre formation n’aura pas été efficace.
Le paysage des menaces cybercriminelles évolue rapidement. Celles-ci changent souvent de tactique et développent de nouvelles méthodes pour attaquer les organisations.
Si votre programme de sécurité n’intègre pas ces nouvelles méthodes d’attaque et que vous ne fournissez pas de cours de recyclage de sensibilisation à la sécurité à vos employés tout au long de l’année, ils seront plus susceptibles de tomber dans une escroquerie ou de s’engager dans des actions qui menacent la sécurité de vos données et l’intégrité de votre réseau.
De nombreuses entreprises n’offrent pas de formation efficace de sensibilisation à la sécurité à leurs employés
Une étude récente a mis en évidence l’inefficacité de nombreux programmes de formation à la sensibilisation à la sécurité. Positive Technologies a mené une étude sur le phishing et sur l’ingénierie sociale auprès de dix organisations afin de déterminer l’efficacité de leurs programmes de sensibilisation concernant la sécurité et la vulnérabilité des employés vis-à-vis des escroqueries les plus courantes par e-mails.
Il s’agit notamment des e-mails comportant des pièces jointes potentiellement malveillantes, des e-mails comportant des hyperliens vers des sites web où l’employé devait entrer ses renseignements d’ouverture de session, et des e-mails contenant des pièces jointes et des liens vers un site web.
Bien qu’aucun de ces e-mails ne soit de nature malveillante, ils reflétaient des scénarios d’attaque réels.
27% des employés ont répondu aux e-mails avec un lien qui leur demandait d’entrer leurs identifiants de connexion. 15% ont répondu aux e-mails avec des liens et des pièces jointes, et 7% ont répondu aux e-mails avec des pièces jointes.
Même une entreprise comptant 100 employés pourrait voir plusieurs comptes de messagerie compromis par une seule campagne de phishing ou télécharger de logiciels de ransomware. En réalité, le coût de l’atténuation des attaques cybercriminelles est considérable. Prenons l’exemple de l’attaque de ransomware récente menée contre la ville d’Atlanta. Selon Channel 2 Action News, la résolution de l’attaque a coûté 2,7 millions de dollars à la ville.
L’étude a révélé un manque de sensibilisation à la sécurité dans chaque organisation. Alors que les employés représentaient la plus grande menace à la sécurité du réseau, représentant 31% de toutes les personnes ayant répondu aux e-mails. 25% étaient des superviseurs d’équipe qui auraient des privilèges élevés.
19% étaient des comptables, des employés administratifs ou des employés du département des finances, dont les ordinateurs et les identifiants de connexion seraient beaucoup plus précieux pour les attaquants. Les gestionnaires des ministères représentaient 13% des répondants.
Même le département informatique n’était pas à l’abri des menaces. Bien qu’il n’y ait peut-être pas eu un manque de sensibilisation à la sécurité, 9% des répondants étaient dans les départements informatiques et 3% dans la sécurité de l’information.
Pour garantir la sécurité informatique, l’étude souligne qu’il est important non seulement d’offrir une formation de sensibilisation aux employés, mais aussi de tester l’efficacité de la formation et de s’assurer qu’elle est continue, et pas seulement une fois par an.
Conseils pour l’élaboration de programmes efficaces de sensibilisation à la sécurité des employés
Les programmes de sensibilisation à la sécurité des employés peuvent réduire la vulnérabilité aux attaques par phishing et à d’autres menaces par e-mail et sur le web.
Si vous voulez améliorer la sécurité de votre réseau informatique, vous devriez tenir compte des éléments suivants lorsque vous allez élaborer une formation de sensibilisation pour vos employés :
Créez un point de référence par rapport auquel l’efficacité de votre formation pourra être mesurée. Effectuez des simulations de phishing et déterminez le niveau global de sensibilité et les départements les plus à risque.
Offrez une séance de formation en salle une fois par an, qui explique l’importance de la sensibilisation à la sécurité et qui traite les menaces dont les employés devraient être conscients.
Utilisez des séances de formation informatisées tout au long de l’année et assurez-vous que tous vos employés en bénéficient. Toute personne ayant accès à la messagerie électronique ou au réseau devrait recevoir une formation générale – avec des sessions de formation spécifiques à l’emploi et au département – pour qu’elle puisse éviter les menaces spécifiques.
La formation devrait être suivie d’autres simulations de phishing et d’ingénierie sociale pour déterminer l’efficacité de la formation. Un échec de la simulation de phishing devrait être considéré comme une nouvelle opportunité de formation pour vos employés. Si ces derniers continuent d’échouer, réévaluez le style de formation que vous leur offrez.
Utilisez différentes méthodes de formation pour favoriser la rétention des connaissances.
Rappelez à vos employés l’importance de la sécurité informatique, et ce, grâce à des bulletins d’information, des affiches, des jeux-questionnaires et des jeux.
Mettez en place un système de signalement en un seul clic pour permettre à vos employés de signaler les e-mails potentiellement suspects à leurs équipes de sécurité.
Celles-ci pourront donc prendre rapidement des mesures pour supprimer toutes les occurrences de ces e-mails dans les boîtes de réception de l’entreprise.
