La plupart des détaillants luttent contre la baisse du trafic dans les magasins et la réticence des consommateurs à dépenser. En plus de ces préoccupations, le détaillant « Target » doit également faire face aux conséquences négatives de la récente violation de données à son encontre.
Depuis la violation de la sécurité commise envers Target, un premier sondage de suivi trimestriel a été mené auprès de ses consommateurs par Cowen & Co. Cette enquête a révélé des « diminutions significatives » de la satisfaction de la clientèle d’une année à l’autre, tant au niveau de l’expérience d’achat que pour le service à la clientèle.
L’image de marque et la réputation d’une entreprise sont « inextricablement liées ». Celles de votre entreprise pourraient-elles résister à une fuite de données?
Il y a beaucoup à perdre si votre entreprise subit une fuite de données. Une étude menée récemment par le Ponemon Institute auprès de 850 cadres supérieurs a révélé que 44% des entreprises peuvent avoir besoin de 10 mois à 2 ans pour rétablir leur réputation suite à une violation des données des clients.
Un tel incident a des effets à long terme sur la valeur d’une marque et il est donc important de savoir quel type de perte de données a le plus grand impact sur la réputation : les données des clients, les données financières ou les données des employés.
Selon l’étude, les organismes victimes de ce genre d’attaque ont perdu entre 184 et 330 millions de dollars en valeur de leurs marques. Au mieux, elles ont perdu 12 % de la valeur de leur marque avant l’atteinte.
Les plus grands scandales en matière de fuites de données
Les fuites et violations de données touchent non seulement les PME, mais aussi les plus grandes entreprises comme Yahoo, Facebook, et Marriott Hotels. L’intrusion dans ces grandes marques rappelle qu’après des années d’attaques qui font la une des journaux, même les réseaux informatiques les plus sophistiqués sont toujours vulnérables.
Prenons l’exemple de Yahoo. La marque a connu la plus grande violation de données de l’histoire en 2013. Cependant, il a fallu encore trois ans après la fuite des informations pour que la marque découvre la mésaventure. C’est le directeur du renseignement de la société de cybersécurité InfoArmor, Andrew Komarov, qui a découvert cette violation de données au moment où il aidait encore l’entreprise à faire face à une autre attaque en 2016. Lorsqu’Andrew Komarov essayait de démonter les données volées, il a décelé quelques indices concernant la brèche de 2013. Il a remarqué qu’en août 2015, un cybercriminel proposait environ 300 000 dollars pour une liste de plus d’un milliard de comptes Yahoo. La marque a vu ses revenus s’effondrer lorsqu’elle a rendu publique la violation de données. Pour faire face à cet incident, Yahoo a recommandé à ses utilisateurs de réinitialiser leur mot de passe et de renouveler les questions de sécurité. Suite à cela, la valeur de Yahoo a baissé de 350 millions de dollars, tandis que le cours de son action a chuté de 3 %. Sans oublier les litiges réglementaires et civils auxquels la marque s’est heurtée pour ne pas avoir divulgué la brèche en temps voulu.
Le géant Facebook a également connu le même sort en 2019. Les numéros de téléphone de 20 % des utilisateurs de cette plateforme de réseautage social – soit environ 419 millions d’abonnés – ont été divulgués, même si Facebook lui-même n’a pas été piraté. Les bases de données contenaient des informations sur les utilisateurs de la marque lorsqu’elle permettait encore aux développeurs d’accéder à leurs numéros de téléphone. Les informations sensibles comprenaient des enregistrements sur plusieurs millions d’utilisateurs de Facebook dans de nombreux sites géographiques, dont 18 millions au Royaume-Uni, plus de 50 millions au Vietnam et 133 millions aux États-Unis. Selon la marque, la cause de cette fuite de données est que les informations en question n’étaient pas protégées par un mot de passe ou un quelconque chiffrement. Toute personne effectuant une recherche sur le web pouvait donc les trouver et y accéder.
En 2018, le système de réservation de Marriott Hotels a été ciblé par des cybercriminels. Marriott International a révélé que des pirates informatiques avaient violé son système de réservation dénommé Starwood dans le but de voler ensuite les données personnelles d’environ 500 millions d’hôtes. Les noms, dates de naissance, adresses, adresses électroniques, numéros de téléphone, et d’autres informations chiffrées de cartes de crédit des clients de l’hôtel ont été volés, de même que l’historique des voyages ainsi que les numéros de passeport de certains clients. A l’issue d’une enquête, la marque a découvert que le réseau Starwood avait été compromis en 2014, au moment où elle était encore une entité distincte avant sa fusion avec Marriott.
Les concurrents ne manquent pas pour attirer vos clients insatisfaits à la suite d’une atteinte à la sécurité
Larry Ponemon, président et fondateur de Ponemon Institute, a déclaré : « La perte ou le vol de données sensibles des clients, comme l’indique notre étude, peut avoir un impact sérieux sur la valeur économique de la réputation d’une entreprise. Nous pensons que cette étude souligne l’importance de prendre des mesures pour réduire la probabilité d’une fuite de données. »
Les rapports qui ont fait état d’atteintes à la protection des données et qui ont touché certaines des plus grandes entreprises d’aujourd’hui continuent de faire les gros titres des actualités dans le monde entier. Toutes les organisations sont vulnérables face à cette menace, mais bon nombre d’entre elles ne sont ni préparées ni équipées pour gérer les conséquences.
Si une entreprise est victime d’une fuite de données, il peut être très difficile de réparer et de corriger des erreurs antérieures pour regagner la confiance de ses clients. Lorsque l’équilibre de la confiance est compromis, reste à voir si cette confiance pourra un jour être pleinement rétablie.
Dans les secteurs concurrentiels et dans l’environnement commercial actuel, caractérisé par un rythme rapide et impitoyable, les concurrents prêts à attirer des clients insatisfaits à la suite d’une atteinte à la sécurité ne manquent pas.
La relation entre la réputation et les résultats financiers est étroitement liée, comme l’a démontré la violation de données très médiatisée contre Sony. Celle-ci a permis aux criminels d’accéder à 20 millions de comptes, dont des adresses électroniques, des numéros de téléphone, des mots de passe et, dans certains cas, des numéros de carte de crédit.
Une grande partie de ces informations était en vente dans plusieurs forums sur la cybercriminalité. Suite à cette infraction, Sony a dû payer plusieurs amendes substantielles, causant de graves dommages à la marque.
Tout ce qui peut ternir une marque affectera en fin de compte les résultats financiers d’une entreprise, car une réputation ternie peut directement entraîner une réduction de la clientèle, des litiges coûteux et une réduction du chiffre d’affaires.
Tout ce qui peut ternir une marque affectera les résultats financiers d’une entreprise
Selon Ronan Kavanagh, PDG de TitanHQ, « Si vous êtes responsable d’un grand nombre de paiements par carte et de détails de connexion, la sécurité des données personnelles doit être votre priorité. Les chefs d’entreprise doivent prendre des mesures de précaution pour se protéger, protéger leurs clients, leurs employés et leur propriété intellectuelle contre les atteintes à la protection des données ».
De nombreuses entreprises ont eu des failles de sécurité et des faiblesses dans leurs systèmes, mais elles ont réussi à minimiser la gravité de l’incident grâce à une défense solide et en mettant en œuvre — et en priorité — des processus de sécurité proactifs.
La façon dont une entreprise est perçue par les consommateurs peut finalement mener à son succès ou à son échec. Une fuite de données peut rapidement mettre en cause la qualité et l’intégrité d’une entreprise, de ses produits et des services qu’elle propose, et ce, quelle que soit la durée de son activité. Il est donc temps que les entreprises adoptent une approche proactive en se demandant comment elles peuvent se protéger contre la divulgation des données sensibles.
Les causes les plus fréquentes des fuites et des violations de données
Il ne se passe pas un jour sans qu’un gros titre ne vienne annoncer qu’une entreprise a été victime d’une fuite ou d’une violation de données, mettant ainsi ses clients et partenaires en danger. Pour éviter cela, vous devez comprendre les causes les plus courantes des fuites et violations de données et comment vous pouvez faire pour atténuer les risques qu’elles représentent.
Utilisation d’identifiants et de mots de passe faibles
Les attaques des pirates informatiques sont sans aucun doute la cause la plus fréquente d’une violation de données, et pour ce faire, ils exploitent une vulnérabilité qui est souvent un mot de passe faible ou perdu. La solution la plus simple pour éviter cela est d’utiliser des mots de passe complexes et de ne jamais les partager avec d’autres personnes. Il est également recommandé d’utiliser l’authentification multifacteurs.
Portes dérobées, vulnérabilités des applications
Si vous êtes un cambrioleur, pourquoi prendre la peine d’enfoncer la porte quand elle est déjà ouverte ? De même, les cybercriminels adorent exploiter les applications logicielles qui sont mal écrites ou les systèmes de réseau mal conçus. Ces applications créent des brèches via lesquelles ils peuvent se faufiler et accéder directement à vos données sensibles. Comme solution, vous pouvez essayer de maintenir toutes vos solutions logicielles et matérielles corrigées et à jour.
Malwares
L’utilisation de malwares directs et indirects ne cesse d’augmenter. Par définition, un malware est un logiciel malveillant qui ouvre l’accès à un cybercriminel pour lui permettre d’exploiter un système et d’autres appareils connectés à votre réseau. Pour éviter la fuite de données à cause d’une attaque de malware, méfiez-vous de l’accès à des sites web qui ne sont pas ce qu’ils semblent être et n’ouvrez pas les e-mails dont vous ne connaissez pas l’origine. Ces deux méthodes sont parmi les plus populaires que les pirates utilisent pour diffuser des malwares.
Ingénierie sociale
Pour un pirate informatique, rien ne sert de se créer son propre point d’accès à exploiter s’il peut persuader d’autres personnes ayant un droit plus légitime sur les données qu’il recherche de le créer pour lui. En fait, l’ingénierie sociale se sert des comportements des utilisateurs (anxiété, confiance, fierté, respect, reconnaissance, serviabilité, etc.) dans le but de s’emparer de leurs données sensibles ou de leurs accès informatiques. Par exemple, si on vous demande de léguer une somme de 1 million d’euros à une personne que vous n’avez jamais rencontrée pour qu’elle puisse vous donner son héritage qui vaut 10 millions d’euros en retour, le feriez-vous ? Seriez-vous prêts à lui fournir vos informations personnelles pour qu’elle puisse vous envoyer l’argent qu’il vous a promis ?
Trop de permissions
Les autorisations d’accès trop complexes sont une aubaine pour les pirates. En fait, les entreprises qui ne contrôlent pas étroitement qui a accès à quoi au sein de leur réseau informatique sont susceptibles de fournir les mauvaises autorisations aux mauvaises personnes ou de laisser des autorisations obsolètes à la disposition d’un pirate informatique qui n’hésitera pas à les exploiter. Pour éviter une telle situation, utilisez un système d’autorisation d’accès simple, mais sécurisé.
Attaques physiques et sinistres
Les fuites de données peuvent également être le résultant d’un bâtiment mal sécurisé. Les pirates ne se contentent pas de rester assis dans leurs chambres dans des pays lointains. Certains d’entre peuvent se présenter comme une personne de confiance qui disposent d’une autorité plausible qui leur donnent le pouvoir de s’introduire dans votre bâtiment et dans vos systèmes informatiques. Pour éviter les fuites de données, vous devez donc être toujours vigilant, en faisant attention à tout ce qui semble suspect et de le signaler.
Menaces de l’initié
Il n’est pas rare qu’un employé malhonnête, un partenaire mécontent ou simplement un utilisateur de votre réseau qui n’est pas assez intelligent ait déjà reçu l’autorisation d’accéder à vos données sensibles. Rien ne l’empêche donc de copier, de modifier, voire de voler ces informations. Comme solution, vous devez savoir à qui vous avez affaire et agir rapidement dès qu’il y a un soupçon de problème. Couvrez le tout par des processus et des procédures sécurisées, soutenus par une formation.
Bon à savoir : comme vous pouvez le constater, il existe trois catégories de fuites de données. D’une part, elles peuvent être interceptées lors de leur déplacement (données en transit) par le biais des e-mails, des discussions en ligne, du trafic Internet, etc. D’autre part, les données peuvent être capturées lorsqu’elles sont au repos, dans les disques durs d’un ordinateur portable, dans votre serveur interne, etc. Enfin, les fuites de données peuvent se produire lorsque les informations sont en cours d’utilisation, par exemple à partir des captures d’écran, des imprimantes, des blocs-notes, des clés USB et d’autres supports de stockage amovibles.
En tant qu’entreprise, il importe de décomposer chaque catégorie et de créer une liste des endroits où vous stockez vos données avant de les attribuer à l’une des trois catégories. Vous pouvez ensuite classer les données dans chaque emplacement (par exemple, en fonction du niveau de sensibilité et des risques de fuites). Une fois que vous aurez compris quelles sont les informations dont vous disposez, ainsi que les risques auxquels vous êtes confronté, vous pourrez commencer à réfléchir aux contrôles et à la sécurisation de vos données afin de réduire les risques de fuites ou de violations.
Comment assurer la sécurité de vos données sensibles ?
La chose la plus importante que vous devez faire est de vous focaliser sur la prévention des fuites de données ou DLP (Data Leak Prevention). La DLP est une stratégie visant à s’assurer que vos informations sensibles ne quittent pas votre réseau d’entreprise. Il peut s’agir d’une solution ou d’un processus destiné à identifier et à suivre le parcours de vos données sensibles, ou à appliquer des politiques visant à empêcher toute divulgation non autorisée ou accidentelle.
De nombreuses entreprises décident d’entreprendre un projet DLP pour protéger leur propriété intellectuelle ou les données de leurs clients. Mais la complexité de la tâche et les ressources nécessaires pour la mener à bien et la maintenir font que le projet n’aboutit souvent jamais. Voici donc quelques mesures que vous pouvez mettre en œuvre dans le cadre d’un projet DLP.
Chiffrement
Vous devez chiffrer toutes les informations sensibles qui quittent votre réseau. Pour ce faire, vous pouvez mettre en place des systèmes logiciels, plutôt que de vous fier uniquement à vos employés. Il suffit d’une clé USB, d’un téléphone ou d’un ordinateur portable perdu et non sécurisé pour porter un coup dur à votre entreprise.
Protection des points finaux
Les terminaux de données sont constitués par les différents appareils utilisés par vos employés, tels que les ordinateurs portables, les ordinateurs de bureau ou les téléphones mobiles. C’est sur ces appareils que résident ou transitent vos données sensibles et la propriété intellectuelle de votre entreprise. Vous devez donc mettre en place des solutions pour protéger vos points finaux afin que vos administrateurs système puissent contrôler les appareils utilisés sur votre réseau. De cette manière, ils sauront quand (et par qui) ces appareils ont été utilisés, et quelles informations ont été consultées ou téléchargées. En même temps, votre entreprise doit mettre en place des politiques de sécurité qui régit l’utilisation de ces appareils.
Contrôle du contenu des e-mails
Si vous et vos employés envoient souvent des informations et des documents confidentiels par mail le risque de fuite de données peut donc être élevé. L’utilisation du filtrage du contenu des e-mails vous permet de rechercher les menaces potentielles. L’expéditeur, l’objet et le corps du message ; les images ainsi que les pièces jointes doivent tous être analysés pour détecter et signaler les risques de fuites potentielles. Le filtrage de contenu peut également alerter les administrateurs des menaces internes, par exemple lorsqu’un utilisateur tente d’envoyer des données confidentielles en dehors de l’entreprise.
Pare-feu intelligents
Outre le courrier électronique, la messagerie instantanée et l’utilisation d’autres services web présentent aussi un risque pour vos données. Il est dans votre intérêt (et de celui de vos employés) d’utiliser un pare-feu pour protéger les ordinateurs individuels et votre réseau informatiques contre les menaces de sécurité. Les pare-feu peuvent également prendre des mesures automatiques contre les fuites de données potentielles, les comportements malveillants et les accès non autorisés à votre réseau. Pour ce faire, soit ils informent l’administrateur soit ils bloquent l’action malveillante.
Contrôle des appareils
De nos jours, de plus en plus d’entreprises établissent et appliquent une politique de BYOD. C’est une politique qui permet aux employés d’apporter et de travailler en liberté avec leurs appareils personnels comme les ordinateurs portables, les Smartphones, les tablettes et les clés USB sur le réseau de l’entreprise. Cette politique peut aider à améliorer la productivité de vos employés. Par contre, si vous ne définissez pas précisément les règles qui déterminent comment les employés peuvent utiliser leurs propres appareils, des données sensibles peuvent être copiées, stockées et transmises sur le lieu de travail. Cela ne ferait qu’augmenter le risque de fuite de données.
Evaluation des autorisations de sécurité
De nombreuses entreprises donnent à leurs employés beaucoup plus d’accès que nécessaires. L’adoption d’une approche « confiance zéro » ou « zero trust » pour les autorisations d’accès permet de remédier à ce problème. Cela signifie qu’un employé n’aura accès qu’à ce dont il a vraiment besoin au quotidien. Cette approche permet de limiter l’ampleur des fuites de données et empêche vos employés d’accéder à certaines informations sensibles. Examinez vos autorisations de sécurité actuelles pour voir qui a accès à quoi. Ceci vous permettra de créer ensuite des politiques d’accès qui limitent les privilèges réseau des employés à ce dont ils ont réellement besoin pour leur travail et de recevoir des alertes au cas où un employé agirait de manière inhabituelle, par exemple, s’il commence à accéder à un grand nombre de documents ou s’il tente d’accéder à des documents à accès restreint.
La politique du moindre privilège
Il s’agit également d’une mesure importante que vous devez appliquer. En fait, il est difficile pour un employé de divulguer accidentellement des données auxquelles il n’a pas accès. C’est pour cette raison que vous devriez adopter une politique de moindre privilège qui limite l’accès aux données de chaque utilisateur au strict minimum, c’est-à-dire aux informations dont il a besoin pour exercer sa fonction. Une telle politique permet aussi de minimiser le risque de fuites de données intentionnelles.
Sauvegardes sécurisées
La sauvegarde des données sensibles est un élément fondamental pour votre entreprise. Mais les sauvegardes peuvent aussi être vulnérables et constituent souvent une mine d’or pour les pirates informatiques si elles ne sont pas sécurisées. Comme pour les fichiers originaux, vous devez chiffrer vos sauvegardes, stocker les informations dans divers supports et à différents endroits (sur site, dans le cloud, etc.) pour permettre la reprise après une éventuelle attaque cybercriminelle ou un sinistre.
Systèmes IDS/IPS
Les systèmes IDS/IPS vous permettent d’effectuer des tests de pénétration. Pour éviter une fuite de données, vous devez être en mesure d’identifier rapidement une tentative de vol de données et de la contenir. Plus vous prenez du temps pour identifier une tentative d’intrusion, plus les pirates informatiques auront le temps de percer vos défenses et de voler vos informations sensibles. En fait, les systèmes de détection d’intrusion ou « Intrusion Detection Systems » et les systèmes de prévention d’intrusion ou « Intrusion Prevention System » peuvent contribuer à la détection précoce des attaques. En utilisant ces systèmes, vous pourrez tester vos mesures de sécurité, déceler les éventuelles faiblesses ainsi que les différents types de tentatives d’intrusion.
Formation des utilisateurs
Les entreprises supposent souvent que leurs employés savent quelles données sont confidentielles et lesquelles ne peuvent pas être divulgués. Pourtant, les fuites de données ne sont pas toujours malveillantes. Il est possible qu’un employé ne se rende pas compte que son comportement met l’entreprise en danger. Voici pourquoi vous devez sensibiliser vos collaborateurs sur les dangers des fuites de données et organiser régulièrement des séances de formation afin de vous assurer que chacun est conscient des risques et pour que vos employés sachent la politique de votre entreprise en matière de cybersécurité.
Conclusion
Les fuites de données peuvent à la fois être embarrassantes et activement dangereuses pour votre entreprise et vos clients. La prévention des fuites de données – qu’elle résulte d’un accident ou d’une attaque intentionnelle – doit être votre priorité absolue, dans un monde où les informations peuvent se déplacer dans le monde en quelques secondes.
Combien de ces pratiques votre entreprise a-t-elle déjà adopté ? Si vous avez besoin d’aide pour mettre en œuvre des solutions de sécurité pour éviter les fuites de données et pour contrer les autres menaces cybercriminelles, contactez l’équipe de TitanHQ dès aujourd’hui. Nous disposons d’une équipe professionnelle qui se fera un plaisir d’aider votre entreprise à protéger vos données afin que vous et vos collaborateurs puissiez vous concentrer sur la croissance de votre entreprise, plutôt que de vous inquiéter de la sécurité de vos données et de votre architecture réseau.
Le gouvernement russe a été accusé par la société de sécurité allemande G Data d’avoir créé et de distribuer un malware appelé Uroboros.
Selon G Data Security, la société allemande de sécurité informatique et de détection antivirus, le gouvernement russe est derrière ce malware nouvellement découvert.
Le virus informatique russe Uroboros (Snake) n’a été détecté par aucun logiciel antivirus pendant 8 ans, et est probablement encore indétectable sur de nombreux systèmes infectés.
Qu’est-ce qu’un virus informatique ?
Tout comme un virus de la grippe, un virus informatique est conçu pour se propager d’hôte en hôte. Il a également la capacité de se répliquer. En réalité, un virus ne peut pas se reproduire sans une cellule hôte. De la même manière, les virus informatiques ne peuvent pas se reproduire et se propager sans une programmation comme un document ou un fichier.
Si vous avez peur de perdre vos informations sensibles, les données ou les objets précieux qui se trouvent sur votre ordinateur, vous pouvez utiliser un antivirus fiable comme ClamAV ou Bitdefender sur tous vos appareils (PC, Smartphones, tablettes, etc.)
En termes plus techniques, un virus informatique est une sorte de programme ou de code ou de programme malveillant écrit dans le but de modifier le fonctionnement d’un ordinateur. Il est généralement conçu pour se propager d’un appareil à un autre. Il fonctionne en s’attachant ou en s’insérant à un programme ou à un document légitime. Le document prend en charge les macros afin d’exécuter son code. Lors de ce processus, le virus peut provoquer des effets dommageables ou inattendus, comme l’altération du logiciel de votre système en détruisant ou en corrompant des données.
Comment un virus informatique attaque-t-il ?
Une fois qu’un virus réussit à s’attacher à un fichier, un document ou un programme, il reste en sommeil jusqu’à ce que les circonstances amènent le périphérique ou l’ordinateur à exécuter son code.
En général, vous devez exécuter le programme infecté pour que le virus infecte votre ordinateur, ce qui entraîne l’exécution du code malveillant. Cela signifie qu’un virus peut rester en sommeil sur votre appareil, sans montrer de signes majeurs. Par contre, une fois qu’il aura infecté votre ordinateur, il peut infecter d’autres appareils sur le même réseau, voler des données ou des mots de passe, enregistrer les frappes au clavier, corrompre vos fichiers ou envoyer des spams à vos contacts e-mail ou prendre le contrôle total de votre machine. Certains virus peuvent même avoir des effets profonds, notamment ceux qui sont conçus dans un but financier.
Comment les virus informatiques se propagent-ils ?
Dans le monde connecté d’aujourd’hui, vous pouvez contracter un virus informatique de différentes manières dont certaines sont plus évidentes que d’autres.
Parmi les moyens souvent utilisés par les pirates, on compte les pièces jointes des e-mails et des SMS, les liens frauduleux sur les médias sociaux et le téléchargement de fichiers sur Internet.
À noter qu’un virus informatique peut se dissimuler sous différentes formes (images amusantes, fichiers audio et vidéo, cartes de vœux, etc.
C’est quoi exactement Uroboros (Snake) ?
Uroburos est un virus informatique qui vérifie la présence d’Agent.BTZ, il reste inactif une fois qu’il est installé sur un appareil. Agent.BTZ est un malware extrêmement nuisible lié à une attaque majeure contre le Pentagone en 2008.
L’exemple le plus célèbre de malware d’origine gouvernementale est le ver Stuxnet. Il visait un logiciel de contrôle spécifique des installations nucléaires. L’Israël et Les États-Unis ont été impliqués dans la création et la distribution de ce ver.
Uroburos, quant à lui, est un rootkit composé de deux fichiers : un pilote et un système de fichiers virtuel chiffré, pouvant prendre le contrôle de l’ordinateur qu’il a infecté, exécuter des commandes arbitraires et masquer les activités du système. Ce type de malware est très dangereux, car sa structure est à la fois modulaire et flexible. Ceci signifie que de nouvelles fonctions malveillantes peuvent facilement être ajoutées.
La partie pilote d’Uroburos est très complexe. Il est conçu pour être très discret et difficile à identifier. Dans l’échantillon d’Uroburos détecté par G Data, le malware est destiné à voler des fichiers et à surveiller le trafic d’un réseau informatique.
Le nom du malware est une variante de l’orthographe « Ouroboros ». Il s’agit du symbole grec ancien d’un dragon ou d’un serpent qui mange sa propre queue.
Selon GData, Uroburos est l’un des rootkits les plus avancés qu’il a analysé qui est apparu en 2011, l’année la plus ancienne où son pilote a été conçu. Il fonctionne sur les ordinateurs Windows x64 et x86 et peut commander un ordinateur infecté disposant d’une connexion Internet. Ensuite, il infecte d’autres ordinateurs en réseau, même ceux qui n’ont pas de connexion directe à Internet.
Uroburos recueille toutes les données qu’il a collectées, puis les renvoie aux auteurs du malware via la même méthode afin de passer d’une machine à l’autre jusqu’à ce qu’il en trouve une avec une connexion Internet.
Ce comportement d’Uroburos est typique de la propagation dans les réseaux des autorités publiques ou des grandes entreprises. Les pirates informatiques s’attendent à ce que leur cible dispose d’ordinateurs coupés d’Internet et utilisent cette technique comme une sorte de solution de contournement afin d’atteindre leur objectif.
Le gouvernement russe est-il derrière le virus Uroboros ?
Bien qu’il ne soit pas prouvé que le gouvernement russe est à l’origine du virus Uroboros, les chercheurs en sécurité de Gdata et de la société britannique BAE pensent qu’il est très probablement d’origine russe. Ils spéculent également que les efforts compliqués pour programmer un virus aussi sophistiqué auraient nécessité un parrainage de l’État.
Contrairement au virus APT1, qui était clairement lié à l’armée chinoise, il n’y a aucune preuve spécifique que le gouvernement ou l’armée russe est derrière Snake.
L’International Business Times a déclaré : « Les experts n’ont pas identifié de victimes spécifiques des attaques d’Uroboros, mais sa nature sophistiquée suggère qu’il a été conçu pour attaquer des cibles de grande valeur comme les réseaux gouvernementaux et les systèmes télécoms. Sa nature incroyablement complexe suggère aux experts qu’il a été développé non pas par des cybercriminels, mais par une agence d’État. »
L’article rapporte que l’Ukraine a été attaquée 14 fois cette année. Par ailleurs, les chercheurs n’ont pas révélé qui d’autre a été pris pour cible. Cependant, les Américains affirment que le ministère de la Défense a été attaqué en 2010 et que le malware est l’œuvre d’une agence de renseignement étrangère.
La société allemande GData et la BAE ont analysé le malware. Selon GData, le niveau de sophistication est le même que celui de Stuxnet, un ver informatique que les Américains et les Israéliens ont utilisé pour forcer les centrifugeuses nucléaires iraniennes à devenir incontrôlables et à se détruire. Il s’agit d’un acte audacieux qui dépasse l’imagination des auteurs de science-fiction d’espionnage les plus créatifs.
Le site Web de Hacker News rapporte que Snake est un nom générique pour une série d’outils, notamment le rootkit Uroburos. Le nom « rootkit » signifie qu’il est conçu pour se cacher à l’intérieur des processus au niveau du noyau et donc pour ne pas se révéler aux logiciels antivirus. Hacker News indique que Snake a opéré depuis 8 ans sans être détecté.
Analyse du virus informatique russe Snake par le BAE
La BAE a rédigé une description détaillée de Snake. Son livre blanc cite une interview du secrétaire américain à la Défense (en 2010), William J. Lynn, qui décrit une attaque sophistiquée de malwares sur des ordinateurs classifiés du ministère de la Défense.
Le secrétaire d’État a déclaré que le malware était l’œuvre d’un service de renseignement étranger, mais il n’a pas révélé la source de cette information. La BAE, cependant, a déclaré qu’elle connaît certains détails.
Selon elle, « l’opération qui est à l’origine des attentats s’est poursuivie avec peu de modifications des outils et des techniques, en dépit de l’attention qui a lui a été accordée il y a quelques années. »
En d’autres termes, Snake est une opération en cours qui ne montre aucun signe de ralentissement. Elle peut donc, ou pourrait encore, attaquer l’armée américaine et d’autres organisations.
Les faiblesses exploitées par les pirates existent toujours, de sorte que les malwares continueront à fonctionner dans un avenir prévisible. Le virus cible le système d’exploitation Windows et certains logiciels tiers qui y sont installés.
Comment le virus Uroboros peut-il infecter votre ordinateur ?
Les malwares, y compris les ransomwares comme Snake, peuvent être distribués de différentes manières. L’une d’entre elles consiste à envoyer des e-mails comportant des fichiers malveillants en pièce jointe.
Si les messages sont ouverts, les fichiers attachés vont installer le ransomware. D’une manière générale, les pirates informatiques envoient des documents Microsoft Office ou des fichiers PDF. Ils archivent ces fichiers sous le format RAR ou ZIP ou sous forme de fichiers exécutables comme .exe.
Les pirates peuvent aussi infecter un système d’exploitation en utilisant des chevaux de Troie qui sont souvent conçus pour provoquer des infections en chaîne. Une fois que le malware est installé sur une machine, il télécharge et installe d’autres malwares.
Comme autre alternative, les pirates peuvent avoir recours à de sources de téléchargement de logiciels peu fiables, comme :
Les sites Web non officiels,
Les sites d’hébergement de fichiers gratuits ou de téléchargement de logiciels gratuits,
Les faux logiciels de mise à jour,
Les réseaux Peer-to-Peer,
Les outils de chiffrement,
Pourquoi le virus Uroboros a-t-il échappé à la détection pendant 8 ans ?
Snake opère en détournant un processus en cours d’exécution. Cela signifie qu’il fonctionne à l’intérieur de la mémoire de quelque chose qui fonctionne normalement sous Windows comme svchost, iexplorer.exe, chrome.exe, ou firefox.exe.
Cette approche contourne les logiciels antivirus, car le processus en cours d’exécution n’est pas répertorié comme un malware puisqu’il fait partie du système d’exploitation ou d’un programme légitime.
Snake communique avec ses ordinateurs de commande et de contrôle au niveau du noyau (kernel) et de la couche utilisateur (par exemple le navigateur web). Il attend que l’utilisateur ouvre un navigateur, puis fait sa propre requête GET pour obtenir des instructions.
Comme le souligne la BAE, un site Web normal, tel qu’un lecteur de flux d’actualités, fait des requêtes GET à des dizaines ou des centaines de domaines et de sites. Filtrer tout ce qui est malveillant est donc plus compliqué, car cela ressemble à un trafic ordinaire. Comme le virus utilise le protocole HTTP, il est capable de contourner les pare-feu.
Pour éviter d’être détecté, Snake s’endort parfois pendant des jours ou des mois suite aux instructions qu’il reçoit du serveur web de commande et de contrôle. Par exemple, il peut envoyer une requête HTTP GET /file.jpg et recevoir en retour la réponse « 1 » lui ordonnant de dormir.
La BAE a capturé le trafic réseau, ce qui montre que le code .dll a également été converti en code source en langage C. Cela a permis d’expliquer en détail le fonctionnement du virus.
La façon dont les processus sont attaqués et pris en charge consiste à tirer parti des fuites de mémoire et des faiblesses de la sécurité. Ceci permet aux pirates d’injecter des programmes malveillants – des fichiers .dlls dans le cas de Windows — dans le processus en cours.
Snake n’est pas le seul malware à utiliser cette approche.
Prenons un exemple simple. Si un programme déclare une telle variable :
int x ;
mais n’attribue aucune valeur à cette variable, l’ordinateur va réserver de la mémoire pour x valeurs du type int. Ensuite, un virus peut utiliser cette adresse allouée pour diriger le programme vers le chargement et l’exécution d’un fichier .dll qui est le logiciel du pirate. Le malware peut alors prendre le contrôle de la machine.
Les pirates informatiques peuvent souvent accéder à cette variable x et à beaucoup d’autres grâce à l’appel de fonction dans un programme en cours d’exécution. Ainsi, ils peuvent contourner les mesures de sécurité et laisser Windows ou tout autre logiciel faciliter sa propre exploitation.
On ne sait pas encore par quel moyen Snake infecte les machines. La BAE spécule qu’il pourrait provenir d’une clé USB infectée ou d’un phishing par e-mail. Le virus fonctionne au niveau de noyau du système d’exploitation et de la couche utilisateur. Au niveau du noyau, il pirate les processus réseau pour intercepter le trafic entrant et sortant. De cette façon, il peut à la fois envoyer des données et des journaux (logs), attendre et détecter les commandes entrantes.
Une vulnérabilité qui a aidé Snake à fonctionner est un problème de sécurité avec Oracle Virtualbox. À cause de cela, le malware peut accéder à la mémoire du noyau et y mettre à jour une variable pour indiquer que le serveur Windows a été démarré en mode WinPE. Cela signifie qu’il a été démarré de telle manière que le système d’exploitation chargera des fichiers .dlls non signés (une mesure de sécurité qui a été introduite dans les versions 64 bits de Windows).
En effet, les logiciels non signés n’ont pas de certificat valide, comme celui émis par Verizon qui en vérifie l’origine et l’intégrité. Un hacker aura des difficultés à en obtenir un, car les militaires d’un pays ne peuvent pas simplement appeler Verisign, une société leader dans l’industrie des certificats SSL, pour demander cela sans éveiller les soupçons.
Le virus est intimidant par sa complexité et sa sophistication. Il déploie différentes versions de lui-même en fonction de la version du système d’exploitation en cours d’exécution. Il monte des disques virtuels sur la machine et utilise ceux-ci pour stocker les données qu’il envoie ensuite au centre de commande et de contrôle pour permettre aux pirates de les dérober.
Instructions de suppression du virus Uroboros
Détecté par l’équipe MalwareHunter, Snake Ransomware a été conçu pour avoir la capacité de contourner toutes les formes de solutions antimalware que tous les autres malwares précédents auraient pu faire jusqu’à présent.
Selon le chercheur en sécurité Vitali Kremez de l’équipe de MalwareHunter, Uroboros cible d’abord un système pour ensuite supprimer tous les processus liés aux machines virtuelles, aux systèmes SCADA, aux systèmes de contrôle industriel, aux logiciels de gestion de réseau, aux outils de gestion à distance, etc.
Ensuite, il commence à chiffrer des fichiers et dépose une demande de rançon. Grâce à ce malware, les pirates informatiques ont même été capables de contourner les plus récentes fonctions de sécurité intégrées à Windows.
La seule façon de résoudre le problème est de déchiffrer les fichiers avec une clé de déchiffrement qui peut être achetée auprès des pirates ayant conçu le malware. Pour ce faire, les victimes sont obligées de les contacter en leur envoyant un e-mail à l’adresse bapcocrypt@ctemplar.com.
En effet, les pirates offrent une clé de déchiffrement gratuite pour prouver qu’ils disposent d’un outil de déchiffrement fonctionnel. De cette manière, les victimes croient qu’ils peuvent vraiment restaurer leurs fichiers. Pourtant, il n’est pas recommandé de les payer, car il est très probable que les cybercriminels n’enverront pas la clé de déchiffrement même après un paiement.
Une autre façon de récupérer les fichiers infectés sans avoir à payer la rançon est de les restaurer à partir d’un fichier de sauvegarde.
À noter que si vous tentez de supprimer Snake de votre système d’exploitation, les fichiers resteront chiffrés. Cette action ne fait qu’empêcher ces fichiers de provoquer d’autres dégâts.
Une autre méthode de résoudre l’infection par Uroboros
Certaines infections de type de virus sont créées dans le but de crypter des fichiers dans des périphériques de stockage externes, les infecter et même se propager dans tout votre réseau local. Voici pourquoi il est très important d’isoler l’appareil infecté dès que possible.
Déconnexion d’Internet
Le moyen le plus facile de déconnecter un ordinateur d’Internet est de débrancher le câble Ethernet de la carte mère, mais certains appareils sont connectés via un réseau sans fil. Pour certains utilisateurs, notamment ceux qui ne connaissent pas très bien les nouvelles technologies, déconnecter les câbles peut sembler difficile. Ainsi, vous pouvez également déconnecter le système manuellement via le Panneau de configuration de l’ordinateur :
Pour ce faire, clique sur « Panneau de configuration » puis sur la barre de recherche dans le coin supérieur droit de votre écran. Cliquez sur « Centre de réseau et de partage » et sélectionnez le résultat de la recherche « Déconnexion de l’ordinateur d’Internet ».
Cliquez ensuite sur l’option « Modifier les paramètres de l’adaptateur » qui se trouve dans le coin supérieur gauche de la fenêtre puis sur « Déconnexion de l’ordinateur d’Internet ».
Pour finir, cliquez avec le bouton droit de votre souris sur chaque point de connexion et sélectionnez « Désactiver ». Ceci étant fait, le système ne sera plus connecté à Internet.
Vous pouvez réactiver les points de connexion en cliquant à nouveau avec le bouton droit de votre souris puis sur « Activer ».
Débranchez de tous les périphériques de stockage
Comme susmentionné, Uroboros peut chiffrer les données et infiltrer tous les périphériques de stockage connectés à votre ordinateur. Pour cette raison, vous devez déconnecter tous les périphériques de stockage externes, comme les lecteurs flash, les disques durs portables, etc. Vous devez le faire immédiatement, mais il est recommandé d’éjecter chaque périphérique avant de tout déconnecter afin d’éviter toute corruption des données : cliquez sur « Poste de travail » et cliquez avec le bouton droit de votre souris sur chaque périphérique connecté. Ensuite sélectionnez « Éjecter ». Ceci vous permet d’éjecter les périphériques de stockage externes connectés à votre ordinateur.
Déconnectez vos comptes de stockage dans le cloud
Certains malwares sont capables de détourner les applications qui gèrent les données stockées dans le Cloud. Ainsi, elles peuvent être corrompues ou chiffrées.
Il est donc recommandé de déconnecter tous vos comptes de stockage dans le cloud dans les navigateurs et autres logiciels connexes. Envisagez également de désinstaller temporairement votre logiciel de gestion du cloud jusqu’à ce que l’infection par Uroboros soit complètement éliminée.
Que pouvez-vous faire pour éviter le virus Snake et les attaques similaires ?
La meilleure sécurité est peut-être de supposer que les pirates seront toujours en mesure de contourner la sécurité et ont déjà compromis vos machines. Cela suggère que vous devriez réinstaller régulièrement vos systèmes d’exploitation et les logiciels sur toutes vos machines. Bien sûr, ce serait difficile à faire sur des serveurs de production critiques.
Parmi les autres mesures possibles à prendre pour renforcer la sécurité, on compte :
Maintenez vos logiciels à jour en utilisant uniquement les fonctions ou les outils fournis par le développeur officiel. L’installation et l’utilisation d’un antivirus légitime sont également primordiales. Si votre ordinateur est déjà infecté par Ouroboros, il est recommandé d’exécuter une analyse avec un logiciel fiable comme SpamTitan pour éliminer automatiquement ce malware.
Il est aussi important de former vos employés sur le phishing. Vos employés doivent faire très attention lorsqu’ils naviguent sur Internet et téléchargent ou mettent à jour des logiciels. Il faut également réfléchir à deux fois avant d’ouvrir les pièces jointes d’un e-mail non sollicité. Les fichiers qui ne semblent pas pertinents provenant d’un expéditeur suspect ne doivent jamais être ouverts.
L’interdiction du branchement des périphériques USB comme les lecteurs et les Smartphones,
Le retrait des anciennes versions de Windows comme Windows 7 qui ont des problèmes de sécurité connus,
Le bannissement de l’utilisation de Windows, en passant aux appareils sans disque, mais en réseau uniquement, à l’instar de Chromebooks,
L’inspection au niveau des paquets pour lire le trafic HTTP entrant et sortant afin de détecter les signes de malware qui communiquent avec les serveurs de commande et de contrôle.
Notez ici que nous ne mentionnons pas le chiffrement de données. Le plus gros problème lorsque vous essayez d’utiliser cette solution est que vous pouvez chiffrer les données au repos, c’est-à-dire les données qui ne sont pas déplacées d’un endroit à l’autre sur un réseau — ainsi que les données en transit, mais pas celles qui sont en mémoire.
Microsoft a rendu la lecture des données en mémoire plus difficile en utilisant des schémas comme ASLR (Address Space Layout Resolution), permettant ainsi d’assigner des données en mémoire dans des adresses sélectionnées au hasard plutôt que dans un bloc contigu.
Ceci rend plus difficile pour un pirate de prédire l’emplacement des données. Pourtant, le chiffrement pourra protéger des données sur disque seulement au cas où un fichier entier serait volé et non les enregistrements individuels qui sont effacés de la mémoire au fur et à mesure de leur traitement.
Attendez-vous à voir de multiples variantes du virus Snake au cours des prochaines années.
Jusqu’à présent, il semble que les gouvernements aient été les principales cibles de Snake. Cependant, maintenant qu’il a été détecté et que ses mécanismes de fonctionnement ont été rendus publics, il est probable qu’il sera bientôt utilisé par des cybercriminels pour attaquer votre organisation, s’ils ne l’ont pas déjà fait.
Attendez-vous à voir de multiples variantes de Snake au cours des prochaines années, ainsi que des outils permettant aux pirates informatiques de les déployer pour lancer une charge utile ou pour voler des informations spécifiques.
La menace que représente Snake souligne la nécessité d’une approche multidimensionnelle de la sécurité des réseaux. Elle met également en exergue la sophistication croissante des attaques et de leur furtivité, empêchant ainsi leur détection pendant plusieurs années. Il s’agit d’une course aux armements entre les gouvernements, les cybercriminels et les professionnels de l’industrie de la sécurité des réseaux.
Selon David Grout, chercheur français en sécurité qui travaille pour le fournisseur de solutions en cybersécurité FireEye, l’apparition des nouveaux ransomwares comme Snake nous fait entrer dans une nouvelle ère dans laquelle les attaques contre les infrastructures industrielles vont devenir monnaie courante puisqu’elles sont lucratives.
Les industriels qui sont victimes des attaques de ransomwares ont tendance à payer plus rapidement que les professionnels des autres secteurs comme les collectivités territoriales, les institutions financières, etc., car ils veulent reprendre immédiatement la production.
Les responsables de la sécurité numérique des groupes industriels devraient donc tenir compte des nouvelles menaces de ransomwares, notamment les éventuelles variantes d’Uroboros.
Ce qu’il faut retenir
Pour l’instant, on pense que le virus Uroboros est utilisé pour cibler des gouvernements étrangers. Malheureusement, une fois que certains détails sont publiés, on sait qu’il peut être utilisé pour créer des variantes. Les pirates informatiques non étatiques n’ont peut-être pas pu créer le virus. Par contre, les techniques utilisées pour exploiter les ordinateurs et les réseaux peuvent être copiées par d’autres cybercriminels.
Dans les prochaines années, on pourrait découvrir un certain nombre de versions différentes de ce virus, qui pourraient être utilisées pour différentes raisons. Des données spécifiques peuvent être volées, ou des systèmes sabotés.
Cette découverte montre jusqu’où certains individus et groupes aux intentions malveillantes sont prêts à aller pour voler vos données, et pourquoi il est essentiel de mettre en œuvre des systèmes de sécurité à plusieurs niveaux si vous voulez les protéger. Utilisez toujours des contrôles pour empêcher l’envoi d’e-mails de phishing et la réponse aux messages malveillants.
Êtes-vous donc condamné à rester dans la ligne de mire et à espérer que votre réseau ne sera pas la prochaine victime de la cyberguerre ? Non, vous n’êtes pas aussi impuissant que vous ne le pensez. La sécurité du réseau dans votre organisation exige une vigilance constante.
Assurez-vous que votre réseau dispose de la dernière version patchée des systèmes d’exploitation, des logiciels et des solutions de filtrage du trafic entrant et sortant. Vos utilisateurs finaux doivent également être conscients des risques et être attentifs aux éventuelles menaces.
Ce sont des précautions que vous pouvez (et devriez) prendre et qui réduiront considérablement les risques de cybercriminalités.
À propos de SpamTitan
Tout à l’heure, nous avons parlé de SpamTitan. En réalité, il s’agit d’une solution de sécurité de la messagerie électronique qui permet d’identifier et de prévenir les spams, les virus lancés via les e-mails, les attaques de malwares, les liens malveillants et les attaques de phishing.
SpamTitan vous protège également contre l’usurpation d’identité et d’autres menaces malveillantes par e-mail. TitanHQ, le fournisseur de la solution, offre une sécurité avancée de la messagerie pour votre entreprise sans la rendre compliquée. Parmi ses fonctionnalités, SpamTitan propose par exemple l’analyse des messages entrants et sortants avec intelligence artificielle en temps réel.
SpamTitan est conçu pour les PME, mais aussi les organisations qui utilisent Office 365, les fournisseurs de services gérés et les professionnels de l’éducation.
En fait, la sécurisation de la messagerie électronique, la sécurité du Web et la conformité ne doivent pas toujours coûter cher pour ceux qui cherchent à économiser sur leurs dépenses de sécurité informatique et ceux qui veulent en même temps améliorer la productivité de leurs employés.
La fonction « sandboxing » de SpamTitan protège votre réseau contre les brèches et les attaques sophistiquées lancées via les e-mails, ce qui fournit un environnement puissant, permettant d’effectuer une analyse approfondie des programmes et fichiers inconnus ou suspects.
SpamTitan Cloud est une couche de sécurité de messagerie supplémentaire essentielle pour protéger votre système Office 365 contre les malwares et les attaques de type « zero day ».
Depuis 1999, TitanHQ a développé des systèmes de renseignement sur les nouvelles menaces cybercriminelles. Cela réduit considérablement le risque d’une attaque par e-mail réussie contre votre entreprise.
Si vous voulez découvrir les capacités de notre solution et comment elle protège votre entreprise contre les menaces cybercriminelles, profitez des maintenant d’un essai gratuit pendant 14 jours.
Que faites-vous d’autre pour protéger votre réseau ? Veuillez nous faire part de vos suggestions ci-dessous. Nous aimerions connaître votre opinion.
Questions fréquentes sur Snake/Uroboros
Quel langage de programmation Snake utilise-t-il ?
Ce malware est écrit dans un langage de programmation open source appelé Golang ou « Go-language ». Ce langage permet de créer facilement des logiciels fiables et efficaces.
Comme Snake s’infiltre dans les systèmes via Windows ?
Il s’infiltre un système d’exploitation Windows une fois qu’il a vérifié que le terminal n’était pas déjà infecté. Ceci étant fait, il corrompt le système WMI ou « Windows management instrumentation » et le système de gestion du logiciel Microsoft. Ensuite, il neutralise Shadow Volume Copies. Cette application est incluse dans Windows pour permettre d’effectuer des sauvegardes automatiques des fichiers, même lorsque vous êtes en train de les utiliser. C’est à ce moment-là que le malware peut commencer à chiffrer des données sensibles.
Peut-on utiliser un ordinateur infecté par le malware Snake ?
Comme la plupart des ransomwares, Snake ne cherche pas à corrompre les programmes et fichiers de votre système d’exploitation, votre machine pourra encore démarrer, se connecter et vous laisser ouvrir les applications que vous souhaitez. Bref, vous aurez l’impression que votre système fonctionne. Par contre, vos fichiers de données importants (documents, photos, vidéos, feuilles de calcul, musique, business plan, déclarations de revenus, comptes clients, etc.) seront chiffrés avec une clé de chiffrement que les pirates choisissent au hasard.
Snake est-t-il une menace persistante ?
Oui, les attaques de Snake peuvent prendre des semaines, voire des mois. Le processus d’exfiltration des données que les pirates utilisent avant de lancer le malware est souvent long pour qu’ils puissent récolter des téraoctets de données. La durée de l’attaque dépend en effet de la cible.
Que pouvez-vous faire pour vous préparer à une attaque de Snake ?
N’oubliez pas que plus votre entreprise est grande, plus il sera difficile d’identifier les dispositifs vulnérables et de les protéger. Les responsables informatiques peuvent donc faire pencher la balance en leur faveur en essayant de connaître leur infrastructure et les nouvelles méthodes utilisées par les pirates pour savoir les actifs à protéger et pour hiérarchiser leurs efforts.
Quelle est la meilleure stratégie pour les entreprises afin de se protéger contre les ransomwares, le phishing et les attaques par spoofing ? Il existe de nombreuses stratégies de protection contre ces menaces, mais la sensibilisation et l’éducation des utilisateurs sont de loin les plus efficaces. Pour que les malwares et les ransomwares infectent avec succès vos équipements informatiques, il faut une certaine forme d’interaction de la part de leurs utilisateurs.
Vos utilisateurs sont des pare-feu humains, la dernière défense de votre organisation.
Les entreprises peuvent toujours être des victimes des cyberattaques, malgré des architectures de sécurité multicouches élaborées. C’est particulièrement vrai en matière de messagerie électronique.
La sécurité de la messagerie électronique est désormais essentielle pour toutes les organisations, car c’est la méthode la plus populaire pour les pirates de déployer un code malveillant. Selon les chercheurs d’IBM X-Force, plus de la moitié des messages électroniques sont du spam.
Si on considère qu’il y a environ 300 milliards d’e-mails envoyés chaque jour, on peut commencer à comprendre la tâche accablante que les entreprises doivent mener pour assurer la sécurité de leur messagerie électronique.
Compte tenu de la grande quantité de spams qui sont envoyés aux utilisateurs, une solution de sécurité de messagerie qui ne peut pas prétendre un taux fiable de capture de spam (au moins 99 %) ne devrait plus être une option.
Comme le courrier électronique continue d’être le principal moyen de communication pour les entreprises, vous avez également besoin d’une solution de sécurité disposant d’un taux de faux positifs égal ou proche de zéro.
La majorité des spams sont inoffensifs, mais ils peuvent nuire à la productivité des utilisateurs, étant donné que ces derniers vont perdre du temps en triant les e-mails non sollicités ou en cliquant sur des liens publicitaires.
Seul un faible pourcentage de spams contient du code malveillant. Selon Symantec, un utilisateur de messagerie sur neuf a rencontré des malwares au cours du premier semestre 2017.
Cependant, force est de constater que les utilisateurs sont deux fois plus susceptibles de rencontrer des malwares via la messagerie électronique que par tout autre moyen de diffusion.
Cela est dû en partie à l’innovation des créateurs de malwares. Selon Kaspersky Lab, son laboratoire a traité un nombre stupéfiant, plus précisément 360 000 nouveaux fichiers malveillants chaque jour en 2017, soit une hausse de 11,5 % par rapport à l’année précédente. C’est pourquoi il est si important de choisir une solution de sécurité de messagerie avec une protection antivirus intégrée.
Le fait de bloquer le spam n’est plus suffisant. Votre solution de sécurité informatique doit également bloquer les virus, les malwares et les liens qui redirigent les utilisateurs vers des sites Web malveillants.
L’autre raison pour laquelle les utilisateurs continuent d’être exposés aux malwares est la sophistication croissante des attaques de phishing. Selon un article paru dans TechRepublic, 90 % des e-mails de phishing capturés entre le mois de mars et novembre 2016 contiennent des composants de spear phishing conçus pour usurper l’identité d’une personne.
Ces types d’attaques visent à imiter un e-mail envoyé en interne, par un cadre intermédiaire, un cadre supérieur ou une source de confiance. Le but est d’amener un utilisateur à révéler des informations financières ou à fournir des données confidentielles.
Les attaques d’usurpation d’identité ont augmenté de 50 % d’un trimestre à l’autre en 2017. Il s’agit actuellement de la forme de cyberattaque par e-mail qui connaît la croissance la plus rapide.
Les attaques d’usurpation d’identité sont très efficaces pour trois raisons :
Bien souvent, ces types d’attaques sont très ciblés. Les pirates informatiques peuvent prendre des semaines ou des mois à étudier les protocoles de messagerie ; la culture de la messagerie électronique et les styles d’écriture avant de mettre en œuvre une attaque.
Les attaques d’usurpation d’identité sont la menace la plus difficile à combattre pour un filtre de messagerie.
Les utilisateurs sont les plus vulnérables à ces attaques. Les recherches ont montré que même les utilisateurs les plus avertis en matière de sécurité peuvent se faire avoir par des escroqueries d’usurpation d’identité.
Le phishing
Le phishing est une méthode consistant à tenter de recueillir des informations personnelles à l’aide d’e-mails et de sites web malveillants. C’est une forme d’attaque sophistiquée.
Un hameçon est lancé sur la messagerie d’un ordinateur portable avec des leurres au milieu de données abstraites. En réalité, le phishing est une cyberattaque qui utilise des e-mails déguisés comme arme. L’objectif étant de faire croire au destinataire que le message est quelque chose qu’il veut ou dont il a besoin — telle qu’une demande de sa banque ou une note de quelqu’un de son entreprise — et de télécharger une pièce jointe ou de cliquer sur un lien.
Ce qui distingue vraiment le phishing, c’est la forme que prend le message : les escrocs se font passer pour une entité de confiance, souvent une personne réelle ou plausible, ou une entreprise avec laquelle la victime pourrait faire affaire. Il s’agit de l’un des plus anciens types de cyberattaques, qui remonte aux années 1990, et il reste l’un des plus répandus et des plus pernicieux. Mais les messages et les techniques de phishing deviennent de plus en plus sophistiqués.
Le terme est apparu au milieu des années 90 à cause des pirates informatiques qui voulaient inciter les utilisateurs d’AOL à donner leurs informations de connexion. Le « ph » s’inscrit dans une tradition d’orthographe fantaisiste des pirates et a probablement été influencé par le terme « phreaking » — une abréviation de « phone phreaking », la première forme de piratage qui consistait à jouer des sons dans des combinés téléphoniques pour obtenir des appels gratuits.
Près d’un tiers de toutes les brèches qui se sont survenues de nos jours ont impliqué le phishing, selon le rapport Verizon Data Breach Investigations Report. Pour les attaques de cyberespionnage, ce chiffre grimpe à 78 %. La pire nouvelle concernant le phishing est que ses auteurs deviennent beaucoup, beaucoup plus performants grâce à des outils et des modèles bien produits et prêts à l’emploi.
Certaines escroqueries par phishing ont suffisamment bien réussi pour faire des vagues
L’une des attaques de phishing les plus marquantes de l’histoire est peut-être celle qui s’est produite en 2016, lorsque des escrocs ont réussi à amener le président de la campagne d’Hillary Clinton (John Podesta) à offrir son mot de passe Gmail.
L’attaque — au cours de laquelle les photos intimes d’un certain nombre de célébrités ont été rendues publiques — était initialement considérée comme le résultat de l’insécurité des serveurs iCloud d’Apple. Cependant, c’était le produit d’un certain nombre de tentatives de phishing réussies.
En 2016, des employés de l’université du Kansas ont répondu à un e-mail de phishing et ont transmis l’accès aux informations concernant leur chèque de paie, ce qui leur a fait perdre leur salaire.
Le whaling
Le « whale phishing », ou whaling, est une forme de phishing visant les gens les plus importants comme les PDG ou d’autres cibles de grande valeur. Beaucoup de ces escroqueries visent les membres du conseil d’administration d’une entreprise, qui sont considérés comme particulièrement vulnérables. Ils jouissent d’une grande autorité au sein d’une entreprise, mais comme ils ne sont pas employés à plein temps, ils utilisent souvent des adresses électroniques personnelles pour la correspondance professionnelle, qui ne bénéficie pas des protections offertes par la messagerie d’entreprise.
Rassembler suffisamment d’informations pour piéger une cible de grande valeur peut prendre du temps, mais le résultat peut être étonnamment élevé. En 2008, des cybercriminels ont ciblé des PDG d’entreprise en leur envoyant des e-mails qui prétendaient contenir des citations à comparaître du FBI. En fait, ils ont téléchargé des enregistreurs de frappe sur les ordinateurs des dirigeants. Le taux de réussite des pirates informatiques a été de 10 % et ils ont fait près de 2 000 victimes.
Il existe de nombreuses formes de phishing, comme le clone phishing, le vishing et le snowshoeing. Pourquoi le phishing augmente-t-il actuellement ?
Les escrocs comptent sur la tromperie et la création d’un sentiment d’urgence pour réussir leurs campagnes de phishing. Les crises telles que la pandémie de coronavirus leur donnent une grande opportunité d’attirer les victimes en les faisant mordre à l’hameçon.
Pendant une crise, les gens sont sur les nerfs. Ils veulent des informations et cherchent des directives auprès du gouvernement, de leurs employeurs et d’autres autorités compétentes. Un e-mail qui semble provenir de l’une d’une entité légitime et qui promet de nouvelles informations ou demande aux destinataires d’effectuer une tâche rapidement sera probablement moins consulté qu’avant la crise. Un clic impulsif plus tard, et l’appareil de la victime est infecté ou son compte est compromis.
Qu’est-ce qui rend un pare-feu humain efficace contre ces attaques ?
Si un de vos utilisateurs sur neuf pouvait être exposé à des e-mails malveillants, malgré la présence d’un filtre web, il est impératif de créer un programme de surveillance des e-mails dans votre organisation.
Bien entendu, la vigilance en matière de sécurité ne remplacera jamais un système de filtrage en raison du nombre colossal d’attaques par e-mail. Mais un personnel soucieux de la sécurité pourrait constituer la dernière ligne de défense pour protéger votre entreprise.
L’une des premières mesures à prendre est donc de créer de nouvelles politiques qui limitent les possibilités d’escroquerie.
Créez une politique qui interdit le partage de documents sensibles dans les e-mails. Cela élimine la possibilité qu’une personne réponde à une demande de documents financiers ou de renseignements exclusifs par e-mail.
Créez une politique qui exige l’authentification multifactorielle pour les transactions financières. Toute demande par e-mail devrait être suivie d’un appel vers un numéro non divulgué pour confirmer un mot de passe ou une phrase secrète.
Désactivez tous les liens à l’intérieur des corps des e-mails pour forcer les utilisateurs à naviguer manuellement vers n’importe quel site interne.
Chaque organisation doit fournir un niveau minimum de formation à ses utilisateurs pour les aider à identifier les attaques de phishing. Voici certains des signes que chacun d’entre eux doit être en mesure de faire :
Rechercher différents formats et mises en page d’e-mails qui sont la norme.
Exiger de tous les utilisateurs utilisent une signature d’e-mail et vérifier les signatures appropriées.
Rechercher différents styles d’écriture et de grammaire qui ne correspondent pas à la norme.
Vérifier que les noms d’affichage de tous les e-mails apparaissent normalement.
Créer un nouvel e-mail plutôt que de simplement répondre à un e-mail demandant des informations sensibles ou des transactions financières.
Lorsqu’il répond à un e-mail, il vérifie que l’adresse de réponse est conforme à celle attendue et qu’elle n’a pas été modifiée.
Pourquoi la formation de sensibilisation au phishing est-elle importante ?
Combinez la formation à la sensibilisation au phishing et la formation à la sensibilisation à la sécurité pour aider à réduire votre plus grande surface d’attaque : vos employés.
La simulation d’attaques de phishing est aussi importante
La simulation d’attaques de phishing sur vos employés vous permet d’évaluer la maturité de votre organisation en matière de sensibilisation à la sécurité et de développer des initiatives efficaces de formation à la sensibilisation au phishing. Mettez vos employés à l’épreuve et voyez où ils en sont en termes de compétences et de connaissances en matière de sensibilisation à la sécurité.
Les attaques de phishing continueront de faire la une des journaux et de cibler vos employés. Les simulations de phishing peuvent contribuer à renforcer la résilience de votre personnel en matière de sécurité.
Comme les attaquants ne ciblent pas forcément vos employés régulièrement, les simulations de phishing contrôlées leur permettent de rester en alerte. Cela améliore également et en permanence leurs compétences en matière de détection.
Un exemple de simulation
Un matin ordinaire, Luc reçoit environ quarante e-mails sur son compte professionnel. Il les parcourt, supprime les indésirables, ouvre les documents partagés, en envoie certains, lit ceux qui sont urgents, scrute les bulletins d’information et vérifie son agenda de la journée. Cette tâche est normale.
Ces jours-ci, cependant, Luc fait face à sa boîte de réception avec une détermination sinistre. Il y a deux semaines, elle a été attaquée par une équipe d’escrocs dont le but était d’hameçonner l’entreprise de Luc. Il a reçu un e-mail contenant un lien vers un autre site qui semblait être presque identique au nom de l’entreprise. Le fait est que le nom de domaine se terminait par « .org » alors que l’URL réelle du site aurait dû être « .com ». Luc n’a pas remarqué la subtile différence. Après avoir cliqué sur le lien, il a été dirigé vers une page qui ressemblait au site web légitime, qui lui demandait d’entrer son nom d’utilisateur et son mot de passe pour l’échange d’un document téléchargeable. Il s’est exécuté.
En l’espace de trois jours, sa boîte de réception a été inondée d’e-mails méconnaissables. Son compte a été frappé par des messages inattendus et est devenu plein de spams avec des lignes d’objet comme « Delivery Failure », et des messages d’expéditeurs inconnus lui demandant d’arrêter de leur envoyer des messages indésirables.
Après avoir informé la direction de ces activités suspectes, l’équipe informatique a constaté d’un seul coup d’œil que son compte de messagerie avait été piraté et que les escrocs l’utilisaient pour envoyer des messages de phishing à d’autres cibles.
Cet événement a instillé la paranoïa en lui, chaque e-mail d’un destinataire inconnu aurait pu être faux.
Ce scénario vous semble-t-il familier ?
Si oui, vous vous demandez sans doute de quelle manière éviter que cela ne se reproduise. Pour que cela n’arrive pas à l’un de vos employés, il faut effectuer des simulations de phishing.
La simulation de phishing est un moyen efficace de tester les compétences de vos employés et de mesurer leurs progrès. Un test fournit des données sur les employés qui ont été appâtés par l’e-mail de phishing en cliquant sur les liens correspondants. En ayant la possibilité de faire l’expérience d’une attaque de phishing, vos collaborateurs pourront apprendre à identifier les e-mails suspects et, par conséquent, à appliquer les meilleures pratiques de sensibilisation à la sécurité.
Comment réaliser une simulation efficace ?
1. Obtenez l’adhésion de la direction
La première étape de toute bonne simulation de phishing est d’obtenir l’approbation de la direction. Prévenez le moins d’employés possible et donnez-leur des instructions sur la manière de traiter les appels des utilisateurs qui signalent le message de phishing. N’oubliez pas que la réaction d’un employé lorsqu’il détecte un message de phishing, simulé ou réel, doit toujours être la même. Pendant les simulations, vous pouvez ne pas avertir les employés qu’il s’agit d’un test et leur indiquer simplement que le service informatique s’en occupe.
2. Planifiez votre simulation
La seconde phase est la planification. Créez un plan pour ne pas envoyer des tests trop fréquemment, car vos employés finiront par s’y attendre. Ne les envoyez pas trop rarement, car vous devez recueillir des statistiques. Établissez des rapports et garder les utilisateurs en alerte à tout moment.
Il n’est pas nécessaire d’envoyer des e-mails de phishing à toute l’entreprise en même temps, car cela pourrait éveiller les soupçons. Envoyez-les plutôt à des services spécifiques comme le service de facturation. Imprégnez votre e-mail d’un ton urgent pour que vos employés agissent en toute hâte. Il s’agit d’une technique qui est souvent utilisée par les escrocs pour les inciter à cliquer sur des liens ou à télécharger des pièces jointes.
Commencez à penser comme un pirate informatique. Qu’est-ce qui va inciter vos employés à cliquer sur un lien malveillant ? Les lignes d’objet qui incluent les termes du genre « facture impayée », « offre exclusive » ou « gratuit » attirent souvent l’attention des employés, ce qui augmente les chances d’être la proie de l’attaque.
3. Équilibrez la formation et les rapports
Lors de votre campagne de simulation de phishing, suivez les taux d’ouverture des e-mails, de téléchargement des pièces jointes, de clics et de divulgation des informations. Établissez des rapports sur le nombre d’employés qui s’est laissé prendre au piège, ainsi que sur le nombre d’employés qui ont signalé l’incident à la direction. Une tendance à la baisse des taux de clics et à l’augmentation des taux de signalement indique que votre campagne de simulation et votre programme de formation à la cybersécurité sont efficaces.
Selon plusieurs entreprises de formation antiphishing, la formation de sensibilisation à la sécurité et les simulations d’e-mails de phishing peuvent réduire jusqu’à 95 % la susceptibilité aux cyberattaques par e-mails. D’autre part, un filtre antispam tel que SpamTitan peut garantir que les employés ne sont pas exposés à une telle menace.
À propos de SpamTitan
SpamTitan est une solution de filtrage des spams destiné aux entreprises, aux fournisseurs de services gérés (MSP) et aux établissements scolaires pour les aider à bloquer les spams, les virus, les malwares, les ransomwares, les tentatives de phishing et autres menaces lancées via la messagerie électronique. La solution peut être déployée sur site ou hébergée dans le cloud. Les principales fonctionnalités comprennent un bloqueur de spam, une liste blanche et une liste noire, une protection antivirus, une protection des e-mails, etc.
La solution permet également d’archiver les e-mails, tandis que sa fonction d’administration générale permet au personnel informatique des écoles et des campus de gérer les clients de messagerie et de protéger les comptes de messagerie contre les attaques cybercriminelles. En outre, SpamTitan permet à vos employés de connecter des dispositifs personnels et offre un moteur de rapports personnalisés qui leur permet de générer des rapports sur les types de menaces et la sécurité.
SpamTitan peut bloquer plus de 99,9 % des spams, ce qui garantit la mise en quarantaine des e-mails de ransomwares et d’autres e-mails malveillants pour qu’ils ne puissent causer aucun dommage. Formez vos utilisateurs à être sceptiques à l’égard de tout e-mail contenant des liens ou des demandes de renseignements qui pourraient être utiles à d’autres personnes. Un bon niveau de scepticisme peut mettre votre entreprise à l’abri d’une attaque dévastatrice.
Pour en savoir plus sur SpamTitan ; sur la façon dont vous pouvez sécuriser votre organisation ; et comment mettre en place un système de défense impressionnante contre les menaces par messagerie électronique et via internet, contactez l’équipe de TitanHQ dès aujourd’hui.
Les logiciels obsolètes sont probablement la faille de sécurité la plus répandue dans le monde. Les cybercriminels ne sont pas différents des utilisateurs des entreprises en termes d’évolutivité et d’efficacité.
Les entreprises continuent de migrer leurs services et applications vers le cloud afin de servir leurs utilisateurs dispersés dans le monde entier, avec un degré d’évolutivité et d’efficacité qui ne peut être atteint que par le cloud computing.
De même, les pirates cherchent constamment de nouvelles façons d’optimiser leurs attaques. En ciblant l’entreprise d’un fournisseur de cloud computing très populaire, par exemple, un attaquant pourrait obtenir l’accès à tout ou partie de données de ses clients.
Lorsqu’un groupe de pirates informatiques bien connu a compromis un fournisseur de services de soins de santé dans le cloud, les dossiers des patients de certains de leurs plus gros clients ont été volés grâce à des connexions VPN qui n’offraient aucun niveau de sécurité fiable.
Et si vous pouviez simplement infiltrer un seul réseau et laisser un nombre incalculable d’autres entreprises télécharger facilement votre virus malveillant, et ce, sans aucun soupçon ? Cela peut sembler invraisemblable, mais détrompez-vous.
Plus tôt cette année, le très populaire logiciel de nettoyage de système, CCleaner, a été infecté par une attaque malveillante de la chaîne d’approvisionnement. Pendant six mois, les pirates informatiques ont pu infiltrer le réseau et finalement accéder à des serveurs clés.
Les attaquants ont d’abord obtenu l’accès au site via un poste de travail d’un développeur qu’ils ont ensuite utilisé pour compromettre l’application TeamViewer installée sur son ordinateur. De là, ils ont installé des keyloggers (enregistreurs de frappe) dans tout le réseau qui leur ont permis de voler les informations d’identification et d’obtenir des privilèges administratifs pour les serveurs clés utilisant le protocole RDP (Remote Desktop Protocol).
Ils ont ensuite remplacé la version authentique du logiciel par une version malveillante qui a finalement été téléchargée par 2,3 millions d’utilisateurs.
Ce n’est qu’un mois après l’installation du malware que les chercheurs de Cisco Talos ont détecté la version malveillante du logiciel et en ont informé la société mère, Avast. Le malware a été conçu pour fonctionner en deux étapes.
La première consistait à recueillir des informations sur les ordinateurs ayant téléchargé le code, comme le nom de l’ordinateur, la version du système d’exploitation, l’adresse MAC et les processus actifs.
Heureusement, le malware a été découvert avant que la deuxième étape n’ait pu être mise en œuvre, bien que son intention n’ait pas été claire. Considérant qu’il y a eu plus de deux milliards de téléchargements de CCleaner depuis sa création, les conséquences possibles auraient pu être terribles.
Attaque de malwares de la chaîne d’approvisionnement
Ce n’est pas la première fois que les pirates informatiques tirent parti d’une attaque malveillante de la chaîne d’approvisionnement.
Il y a deux mois, des chercheurs en sécurité informatique de plusieurs organisations ont publié une analyse complète de la façon dont les pirates ont infiltré la société ukrainienne de logiciels de comptabilité Medoc.
Cette attaque a permis d’injecter un code malveillant dans les futures mises à jour logicielles de la société et qui étaient en attente de distribution. Les clients du Médoc, qui représentent environ 80 % des entreprises ukrainiennes, ont ensuite téléchargé ces mises à jour.
Quelques mois plus tard, le code téléchargé a été utilisé pour lancer l’attaque NotPetya, laquelle a perturbé les entreprises de services publics et les entreprises publiques ukrainiennes, avant de se propager dans le monde.
L’année dernière, Kaspersky Labs a publié sur Wired Magazine deux autres exemples dans lesquels des malwares ont été largement diffusés par le biais de mises à jour logicielles, incluant une société de logiciels financiers ainsi qu’un fabricant de logiciels pour ATM.
Dès 2012, une souche de malwares de cyberespionnage appelée Flame a exploité une faille de l’autorité de certification des services terminaux de l’entreprise.
Armées de faux certificats, les machines infectées dans un réseau ciblé pourraient tromper les PC Windows et les amener à accepter un fichier malveillant comme une mise à jour de Microsoft.
Manipulation de systèmes pour la livraison de malwares
L’ironie de ce type de piratage est troublante, car de nombreuses attaques peuvent actuellement profiter des ordinateurs, serveurs et périphériques réseau qui ne sont pas correctement mis à jour.
Les professionnels de la cybersécurité continuent de souligner l’importance de maintenir tous les dispositifs à jour comme l’un des principaux moyens de renforcer la sécurité. Par conséquent, de nombreux utilisateurs et administrateurs configurent leurs appareils pour une mise à jour automatique.
Si le public commençait à perdre confiance vis-à-vis des mises à jour logicielles, de plus en plus de machines pourraient rester vulnérables. En fin de compte, c’est peut-être le véritable objectif de la communauté des hackers.
Plus tôt cet été, l’American Civil Liberties Union (ACLU) a publié un rapport intitulé « How Malicious Software Updates Endanger Everyone ? ». Le rapport résume la façon dont les agents gouvernementaux peuvent tenter de forcer les développeurs de logiciels à créer ou à installer du code malveillant dans les mises à jour de logiciels pour des applications légitimes.
Selon cette organisation, il est probable que les acteurs gouvernementaux tentent de forcer les fabricants de logiciels à mettre à jour leurs logiciels, en considérant les malwares conçus pour obtenir des données à partir d’appareils ciblés, car de plus en plus d’entreprises sécurisent les données de leurs utilisateurs par chiffrement.
Par exemple, Apple a récemment comblé une lacune technique que les organismes d’application de la loi utilisaient couramment pour extraire les données de l’iPhone. Après avoir refusé d’aider le FBI à ouvrir un iPhone verrouillé pour faciliter l’enquête sur un tueur en série, le FBI a trouvé une alternative en accédant à l’appareil par son port de chargement et de données. Apple a comblé cette lacune en exigeant le mot de passe de l’utilisateur pour accéder au port et pour transférer les données.
La question est de savoir si le gouvernement, disposant des droits d’accès aux appareils personnels, est à nouveau sous les feux de la rampe. À mesure que les entreprises supprimeront d’autres échappatoires technologiques, les forces de l’ordre seront de plus en plus soumises à des pressions pour trouver d’autres vulnérabilités à exploiter.
Il existe un risque réel que la confiance du public à l’égard des mises à jour logicielles soit perdue et que les systèmes soient mis à jour moins fréquemment en raison de l’exploitation par des pirates.
Enfin, la méthode la plus simple pour éviter le téléchargement de malwares lors de la mise à jour de vos programmes est d’éviter les options de mises à jour automatiques. Au lieu de cela, vous devriez les activer pour qu’elles puissent vous avertir lorsqu’une mise à jour est disponible.
Et lorsque vous devez le faire, il est recommandé de télécharger uniquement la mise à jour proposée par le développeur du logiciel.
L’ingénierie sociale est l’art de manipuler quelqu’un pour obtenir quelque chose. C’est peut-être une bonne pratique… mais pas toujours !
Dans cet article, nous nous concentrerons sur l’ingénierie sociale dans le contexte de la sécurité de l’information. De nos jours, la plupart des atteintes graves à la protection des données comportent une composante d’ingénierie sociale.
Types d’attaques d’ingénierie sociale
1. E-mail provenant d’un ami/collègue/membre de la famille
Ces attaques abusent de la confiance entre deux individus. Une personne prétend être quelqu’un qu’il n’est pas réellement.
Variante « Bloqué à l’étranger »
Il n’est pas rare de recevoir un e-mail qui prétend provenir d’une personne que vous connaissez et en qui vous avez confiance. Parfois, il s’avère que l’e-mail a été envoyé par une personne ayant des intentions criminelles.
L’e-mail pourrait vous informer que Marie est bloquée à Barcelone, car elles s’est fait voler son sac à main. Elle est à l’ambassade et a juste besoin d’argent pour avoir un billet d’avion pour rentrer chez elle. Si vous recevez un tel e-mail, essayez de contacter Marie via un autre moyen de communication comme Skype, Whatsapp, le téléphone, etc.
Cela vous permettra de confirmer si l’e-mail a bien été envoyé par la bonne personne. Ainsi, vous pouvez vous assurer que vous ne divulguez pas d’informations confidentielles ou bien que vous n’envoyez pas d’argent à des cybercriminels. Si le contact par e-mail est la seule option, signalez-le à votre service de la sécurité informatique. Ils sauront comment s’y prendre.
Variante « Lien amusant/intéressant »
Nous connaissons tous celui-là !
Le cybercriminel peut faire preuve de la plus étonnante de la gentillesse naturelle que vous pourriez rencontrer et vous invite à cliquer un lien qui vous redirige vers une vidéo. En faisant cela, vous pourriez perdre le contrôle de votre ordinateur.
S’il s’agit d’un ordinateur connecté à un réseau de travail, cela va créer des problèmes, car il peut maintenant servir d’une porte ouverte via laquelle les pirates pourront attaquer le reste du réseau interne de votre entreprise.
2. Tentatives de phishing
Ces attaques sur les réseaux sociaux abusent de la confiance que nous avons envers les institutions officielles qui sont dignes de confiance.
Variante « Échec de livraison de colis DHL/Fedex »
Vous pourriez recevoir un e-mail vous informant que DHL n’a pas été en mesure de livrer un colis à votre domicile. Pour régler le problème, vous pouvez simplement cliquer sur le lien suivant et … c’est là que vous devez dire : STOP !
Le mieux serait de vous demander si vous attendiez vraiment un paquet. Si ce n’est pas le cas, oubliez le message !
Si la livraison est suffisamment importante, l’expéditeur vous contactera directement, et non via DHL.
Variante « Vous êtes reconnu par un organisme de bienfaisance ou de collecte de fonds »
Si c’est important pour vous, ignorez toutes les informations contenues dans l’email, allez sur Google pour découvrir les détails concernant cette œuvre de charité.
Appelez directement les responsables pour pouvoir vérifier l’exactitude des informations.
Variante « Résolution instantanée d’un problème urgent »
Dans ce cas, essayez de joindre directement l’entreprise par téléphone ou en vous rendant à son bureau local.
Encore une fois, si c’est assez important, l’entreprise aura de nombreuses façons de communiquer avec vous.
Variante « Vous avez gagné à la loterie ! »
Si vous gagnez à la loterie, n’auriez-vous pas dû tout d’abord jouer ou acheter un billet pour pouvoir participer au jeu ?
Si ce n’est pas le cas, le mieux serait d’ignorer l’e-mail, sinon vous risquez d’appeler un numéro de téléphone contrôlé par les arnaqueurs.
Variante « Votre aide est nécessaire pour secourir des gens après une catastrophe naturelle »
Dans les heures qui suivent une catastrophe naturelle, les arnaqueurs commencent à cibler des individus partout dans le monde. Ils envoient de faux e-mails pour obtenir de l’aide, des ressources, etc.
Vous pouvez vous protéger contre ces pirates et arnaqueurs, à condition que vous disposiez d’un filtre de spams fiable.
Voici quelques mesures préventives de base que vous pouvez prendre lorsque vous recevez un message
En cas de doute, ignorez-le !
Respirez profondément et réfléchissez avant d’agir.
Faites des recherches et utilisez d’autres moyens de communication.
Rapportez les messages à votre service informatique et supprimez toutes les demandes d’informations privées, d’entreprise ou financières.
Signalez puis ignorez les demandes d’aide. Si c’est légitime, vous en entendrez parler d’une manière officielle.
Demandez-vous toujours : faut-il cliquer sur ce lien ?
Utilisez des noms d’utilisateur et des mots de passe différents pour différents services.
Utilisez l’authentification à deux facteurs, c’est-à-dire deux modes d’identification à partir de catégories de données distinctes.
Utilisez les cartes de crédit avec prudence.
Ces mesures n’empêcheront pas votre compte d’être compromis si un fournisseur de services tombe dans le piège d’un piratage d’ingénierie sociale et remet votre compte à l’attaquant. Cependant, elles peuvent au moins minimiser les éventuels dommages liés à une tentative d’attaques malveillantes et vous donner plus de tranquillité pour vous protéger des cybercriminalités via les réseaux sociaux.
L’antispam désigne l’utilisation de tout logiciel, matériel ou processus qui permet d’empêcher les spams d’arriver dans les boites de réception de vos employés. Pour ce faire, le logiciel antispam utilise un ensemble de protocoles dédié à déterminer les messages non sollicités.
Quel que soit le serveur de messagerie ou le filtre antispam que vous utilisez, il y a quelques mesures rapides et simples que vous pouvez prendre pour réduire les spams et les attaques de malwares sur votre réseau.
Les avantages d’utiliser un logiciel antispam
D’abord, il faut savoir que le spamming consiste à utiliser un système de messagerie électronique pour envoyer des messages non sollicités – notamment des messages publicitaires ou malveillants – à un groupe de destinataires. Cela signifie que les destinataires n’ont pas donné leur accord pour l’envoi de ces messages. Il est donc important d’utiliser un logiciel antispam. Examinons certains de ses avantages et de ses caractéristiques.
Blocage des spams
Certaines solutions antispam permettent de bloquer des adresses électroniques spécifiques. Mais d’autres peuvent également rechercher des lignes d’objet et du texte dans les e-mails. Vous pouvez les personnaliser afin qu’elles puissent bloquer les e-mails entrants en fonction des expéditeurs.
Mise en quarantaine des spams
Les filtres antispam mettent automatiquement en quarantaine les e-mails indésirables afin de garantir que votre boîte de réception est exempte de spams. Lorsqu’un e-mail est mis en quarantaine, il est généralement conservé pendant une certaine période, par exemple 30 jours, et ensuite supprimé automatiquement. Pendant cette période, vous pouvez vérifier et récupérer les messages légitimes qui sont mis en quarantaine.
Mises à jour automatiques des filtres
La plupart des logiciels antivirus disposent d’une fonction de mise à jour automatique des filtres afin de détecter rapidement les nouveaux types de menaces de malwares. Les mises à jour automatiques aident non seulement votre logiciel antispam à rester à jour, mais aussi à protéger votre système contre les nouveaux types de malwares.
Surveillance de comptes multiples
Grâce à cette fonction, vous pouvez surveiller et filtrer les spams qui proviennent de plusieurs comptes. Vous pouvez filtrer votre messagerie électronique personnelle ou professionnelle.
Une liste blanche personnelle
Certains logiciels antispam vous permettent de maintenir une liste des personnes dont vous souhaitez accepter les messages. Ces e-mails ne seront jamais confondus avec des spams, contrairement à la liste noire des spammeurs. Il est également possible de mettre à jour cette liste à l’avenir.
Signaler un spam
Certains programmes antispam vous permettent de signaler les spams à votre entreprise. Cela permet aux équipes informatiques de développer de nouveaux types de filtres basés sur l’analyse des spams signalés.
Voici plus de détails concernant la protection contre les spams. Utilisez la liste ci-dessous pour mieux protéger vos employés.
1. Utilisez un RBL, ou Realtime BlackHole
Votre première ligne de défense, que vous ayez ou non un filtre antispam, est d’utiliser une liste noire RBL (Realtime Blackhole), pour rejeter tout e-mail provenant des serveurs de spam connus.
Il réduira à lui seul le spam de 70 à 90 %, selon votre secteur d’activité.
Le RBL a été mis en œuvre pour la première fois par l’organisation Mail Abuse Prevention System (MAPS) qui a été acquis par Trend Micro en 2005. Trend Micro adhère à des directives et des politiques strictes dans ses efforts continus pour désigner et supprimer les adresses IP de spams de ses listes de données blackhole.
Cela réduira également la charge sur votre serveur de messagerie ou votre filtre antispam, ainsi que sur votre réseau, car l’e-mail est rejeté avant d’être téléchargé, ce qui pourrait vous faire économiser beaucoup de bande passante. Il est recommandé d’utiliser zen.spamhaus.org, car c’est le site le plus à jour, avec le meilleur blocage de spams et les taux de faux positifs les plus bas.
Mieux encore, il vous suffit de quelques minutes pour configurer votre serveur de messagerie ou votre filtre antispam pour utiliser un RBL.
Le RBL empêche les abus en bloquant les spams. Cependant, le processus de mise sur liste noire doit être géré avec soin. Il ne peut pas interdire les connexions source appropriées ou authentiques ou la mise en réseau open source. Si un fournisseur d’accès internet s’abonne au système RBL, il peut déterminer quelles adresses IP doivent être bloquées et ajoutées à la liste noire. Si une adresse IP correspond à une adresse IP répertoriée sur cette liste, la connexion devrait automatiquement être bloquée.
2. Configurez votre serveur pour qu’il requière des protocoles de négociation SMTP corrects
Si vous vous assurez que seule la messagerie électronique utilisant le SMTP correct est acceptée, vous bloquerez la plupart des spambots.
Assurez-vous que vous avez besoin de HELO (EHLO) avec un nom de domaine pleinement qualifié (FQDN) et, de préférence, un nom d’hôte pouvant être résolu.
Comme avec l’utilisation d’un RBL, la vérification est faite avant d’accepter l’e-mail, ce qui réduira la charge sur votre filtre antispam, votre serveur e-mail et votre réseau. Cela ne prendra que quelques minutes pour configurer votre serveur de messagerie ou votre filtre antispam.
Un conseil : Certaines organisations peuvent occasionnellement avoir besoin d’une liste blanche de fournisseurs ou de clients dont les serveurs de messagerie sont mal configurés pour permettre l’acceptation de leurs e-mails.
Cela permettra de réduire de manière significative le spam pour les organisations individuelles, mais cette solution n’est peut-être pas appropriée pour les fournisseurs de services gérés (MSPs).
3. Utilisez la vérification du destinataire pour rejeter les e-mails à des adresses inexistantes
Les spammeurs envoient souvent des e-mails à un éventail d’adresses de e-mail possibles telles que « admin@ », « info@ ». Ils peuvent aussi utiliser un dictionnaire de noms pour recevoir des e-mails dans les boîtes de réception individuelles.
Pour rejeter les e-mails qui ne sont pas adressés à des adresses électroniques authentiques, téléchargez vos adresses électroniques valides sous forme de fichier CSV sur votre serveur de messagerie ou votre filtre antispam, ou utilisez l’intégration de Microsoft Active Directory, si possible.
Encore une fois, comme avec l’utilisation d’un RBL et d’un protocole de négociation SMTP, la vérification du destinataire empêche le téléchargement d’e-mails indésirables, ce qui vous permet d’économiser de la bande passante et de réduire la charge sur votre serveur e-mail et votre réseau.
Cela peut prendre un peu plus de temps à mettre en œuvre si vous avez besoin d’obtenir une liste valide d’adresses e-mail, car vous devez les convertir au format CSV et les télécharger sur votre serveur de messagerie ou votre filtre antispam.
Cependant, l’effort en vaut la peine en raison de la quantité de spams que vous pourriez bloquer grâce à cette solution.
Notez que ces trois solutions se complètent et peuvent être implémentées sur la plupart des serveurs de messagerie — même sans filtre antispam. Si vous ne les utilisez pas, vous risquez de gaspiller votre bande passante ; d’exposer votre réseau à des risques inutiles.
Par ailleurs, vous pourriez perdre beaucoup de temps et d’efforts à gérer les effets du spam, comme l’infection par le virus CryptoLocker.
Prévoyez une demi-heure cette semaine pour mettre en œuvre ces trois mesures, et vous économiserez probablement des semaines de travail au cours de l’année prochaine.
Les autres étapes ne sont pertinentes que si vous disposez d’un filtre antispam (commercial ou open source, sur site ou dans le cloud).
Le filtrage heuristique des e-mails peut protéger votre messagerie des spams
L’analyse heuristique est une technique permettant de détecter et de protéger votre boîte de messagerie contre les spams. Il s’agit d’un filtre basé sur l’analyse des contenus d’un e-mail et non sur la comparaison avec des bases de données en utilisant des listes noires.
L’objectif est d’examiner un e-mail grâce à un très grand nombre de paramètres, allant de quelques centaines à plusieurs milliers, comme la proportion de code HTML, la présence de signes monétaires, le nombre ou la qualité d’images ou l’absence du sujet de l’e-mail.
L’analyse par expressions régulières
Le filtrage heuristique est basé sur le principe des expressions régulières. Une expression régulière, également appelée expression rationnelle, est une chaîne de caractères qui permet d’interpréter ou de réaliser des actions sur une autre chaîne de caractère. De cette façon, il est possible d’effectuer une recherche, de traiter des éléments ou de les remplacer.
L’analyse heuristique permet la recherche de virus
L’analyse heuristique une des méthodes les plus utilisées pour la recherche de nouveaux virus informatiques, permettant une détection de plus de 90 % des virus inconnus. Elle permet d’évaluer la structure d’une application en vue de détecter si elle présente des caractéristiques ressemblant à celles d’un virus.
4. Bloquez les types d’attachement dangereux
Très peu d’entreprises ont besoin de recevoir des fichiers .exe par e-mail.
Bloquez-les et, dans les rares cas où ils sont nécessaires, créez une autre méthode de prestation qui assure la sécurité avec un minimum de bureaucratie.
Assurez-vous que vous bloquez par type MIME (Multipurpose Internet Mail Extensions), et non par extension de fichier, car très peu de spammeurs utiliseront l’extension de fichier .exe.
Ils déguiseront plutôt le fichier utile en PDF, en image, en feuille de calcul ou en document.
En fait, les pièces jointes malveillantes constituent une menace de plus en plus dangereuse pour la sécurité de toute entreprise. Déguisées en documents, messages vocaux, en fax ou en PDF, elles sont conçues pour lancer une attaque sur l’ordinateur de la victime une fois qu’elles sont ouvertes. Les pièces jointes malveillantes peuvent également être conçues pour installer des virus sur un ordinateur ; pour lancer des attaques de ransomware ou des menaces persistantes avancées contre votre organisation.
Les attaques de malware
Une attaque de malware est une forme de cyberattaque courante dans laquelle un logiciel malveillant exécute des actions non autorisées sur le système de la victime. Le virus englobe différents types d’attaques spécifiques comme les spywares, les systèmes de commande et de contrôle, etc.
Des pirates informatiques particuliers, des entreprises, des organisations criminelles, voire des acteurs étatiques bien connus ont été accusés utilisent des virus pour de nombreuses raisons. Comme d’autres types de cyberattaques, certaines attaques de malware font l’objet d’une couverture médiatique importante, car leurs impacts sont souvent considérables.
Les attaques de ransomware
Les ransomwares sont des logiciels d’extorsion destinés à verrouiller votre ordinateur et vos fichiers et demander une rançon en échange de la clé de déverrouillage. Selon le type de ransomware, c’est l’ensemble de votre système d’exploitation ou certains fichiers individuels qui peuvent être chiffrés.
Parmi les plus grandes attaques de ransomware, on peut citer celle qui s’est produite en juillet 2020. Lors de cette attaque, la société américaine de services de voyage CWT Global a réalisé le record mondial du plus gros paiement de rançon jamais effectué. En réalité, l’organisation a remis environ 3,5 millions d’euros en bitcoins aux escrocs derrière le ransomware Ragnar Locker. Lors de cette attaque, 30 000 ordinateurs auraient été mis hors service et deux téraoctets de données auraient été compromis.
Les menaces persistantes avancées
Comme le suggère le mot « avancé », une attaque persistante avancée, ou APT, utilise des techniques de piratage sophistiquées — mais aussi continues et clandestines — pour accéder à un système et y rester pendant une période prolongée. L’objectif des APT est souvent le vol de données, et les conséquences peuvent être potentiellement destructrices.
L’une des APT les plus connues est celle qui a ciblé Stuxnet. Il s’agit d’un ver qui a été utilisé pour attaquer le programme nucléaire iranien et qui se transmet par un dispositif USB infecté. Il a endommagé les centrifugeuses qui servent à enrichir l’uranium. Pour ce faire, Stuxnet a ciblé les systèmes industriels de contrôle et d’acquisition de données (SCADA), perturbant ainsi l’activité des machines du programme nucléaire à l’insu de leurs opérateurs.
La protection contre les pièces jointes malveillantes aux e-mails nécessite un système avancé, c’est-à-dire un système qui va au-delà des mesures de sécurité standard. Il doit être conçu pour protéger votre système de messagerie et offrir une défense très efficace contre les attaques lancées via les e-mails.
Pour se protéger contre les pièces jointes malveillantes, votre outil doit être capable d’analyser tous les e-mails et chaque clic sur n’importe quel e-mail sur tous les appareils utilisés par vos employés afin d’identifier les pièces jointes potentiellement dangereuses. Dès qu’une pièce jointe est jugée suspecte, il peut faire deux choses, à savoir de la mettre en bac à sable ou de le renvoyer le contenu à son destinataire, sans pièces jointes.
Il est également de convertir instantanément les pièces jointes malveillantes en un format sécurisé pour neutraliser tout code malveillant avant de le renvoyer à son destinataire. Les administrateurs peuvent combiner le système de sandboxing avec la prévisualisation instantanée pour plus de sécurité.
5. Recherchez les virus
Si vous n’avez pas de filtre antispam, vous devez disposer d’une bonne protection antivirus pour tous les points finaux. Si vous avez un filtre antispam, assurez-vous que vous utilisez un antivirus et que le moteur antivirus et les signatures sont à jour.
La plupart des filtres antispam vous permettent d’automatiser et de régler la fréquence de mise à jour.
Mon opinion personnelle est que, si votre filtre antispam contient un antivirus, vous pouvez utiliser un antivirus différent pour la protection des terminaux afin de bénéficier de la redondance.
Même si l’avantage d’avoir différents moteurs est minime, c’est quand même mieux que d’avoir tous vos œufs dans le même panier.
Le marché des filtres antispam et de l’antivirus est suffisamment diversifié et concurrentiel pour que vous n’ayez pas à payer un supplément pour faire appel à deux fournisseurs.
Quelques exemples des meilleurs antivirus que vous pouvez utiliser
Il existe actuellement des millions de virus actifs et de logiciels malveillants. Chaque année, ils coûtent des milliards de dollars à l’économie mondiale. Il n’est donc pas surprenant qu’il existe de nombreux antivirus sur le marché. Leurs prix sont différents, et cela dépend de plateforme pour laquelle ils sont conçus, de fonctionnalités et des caractéristiques supplémentaires qu’ils disposent.
Voici quelques-uns des meilleurs antivirus disponibles actuellement :
Bitdefender
Bitdefender est un antivirus complet qui offre une protection optimale contre les virus et d’autres types de malwares. Il est compatible avec les principaux systèmes d’exploitation et est convivial. Bitdefender comprend également un VPN gratuit dont la limite quotidienne est de 200 Mo. Il propose un contrôle parental, un gestionnaire de mots de passe, une protection de la webcam et un outil spécialement conçu pour lutter contre les ransomwares. Cet antivirus est proposé à un prix très compétitif et permet de protéger vos dispositifs 24 heures sur 24 et 7 jours sur 7.
Norton
Norton est un produit de Symantec. Il existe depuis près de trois décennies et est sans aucun doute l’un des antivirus les plus reconnaissables en termes de cybersécurité. La suite logicielle de sécurité de Norton Security Premium est compatible avec les principaux systèmes d’exploitation et avec les maisons intelligentes. Elle est dotée de plusieurs fonctionnalités, bien qu’elle ne comprenne pas de service VPN gratuit. Par contre, Norton offre un contrôle parental ainsi qu’un grand espace de stockage en ligne (25 Go). Cet antivirus est idéal pour les propriétaires de plusieurs dispositifs, car une licence peut protéger jusqu’à 10 appareils.
Panda
Panda est un autre excellent antivirus qui offre une protection fiable contre toutes les cyberattaques connues. Ce logiciel est connu pour ses performances rapides, mais il est uniquement compatible avec les systèmes d’exploitation macOS, Windows et Android. Bien que Panda ne prenne pas en charge iOS, le logiciel est livré avec un service VPN dont la limite quotidienne est de 150 Mo. Il dispose également d’un gestionnaire de mots de passe, d’un contrôle parental et d’un programme antivirus USB autonome. Panda comprend un scanner complet de malwares pour Android et protéger jusqu’à cinq appareils.
McAfee LiveSafe
McAfee LiveSafe est unique, car il propose une seule licence qui est valable pour un nombre illimité d’appareils. Cet antivirus est compatible avec les principaux systèmes d’exploitation et offre une protection supérieure contre les malwares pour les machines qui fonctionnent sous Android et Windows, sans affecter leurs performances. Le fait est que ce logiciel ne propose pas une fonction de contrôle parental aussi avancée que celle de la concurrence, mais il inclut un gestionnaire de mots de passe True Key fiable. L’autre aspect de McAfee LiveSafe est qu’il dispose d’une fonction de reconnaissance faciale qui garantit la sécurité de vos données de connexion.
ClamAV
ClamAV est un antivirus open source pouvant être téléchargé sur son site web. Il peut être utilisé de façon fiable afin de détecter différents types de fichiers malveillants. En particulier, il peut détecter certains e-mails de phishing grâce à des techniques avancées.
Bien sûr, le choix d’un antivirus peut varier en fonction des situations, alors n’hésitez pas à les partager dans les commentaires !
6. Assurez-vous que toutes les URLs dans le corps de l’email sont sûres
Utilisez URIBL et SURBL pour vérifier que les URLs dans le corps de l’email ne sont pas des malwares ou des sites de phishing connus.
La plupart des filtres de messagerie analysent seulement le corps des courriers électroniques dans le but de détecter la présence d’éventuelles URL de phishing connues. Mais les cybercriminels ne cessent de trouver de nouvelles tactiques pour les contourner. Ils dissimulent souvent l’URL malveillante dans les pièces jointes.
Lorsqu’un e-mail arrive dans la boîte de réception d’un employé, il l’avertit qu’il a reçu par exemple une facture ou un document important, nécessitant une relecture ou son accord. L’URL de phishing se trouve souvent dans le corps du texte du document joint qui est généralement rédigé sous un format Word ou PDF. Bien que le sandboxing permette de scanner ce type de pièce jointe, la plupart des technologies de sandboxing n’inspectent que les documents qui contiennent des malware et non des URL de phishing.
Lorsqu’un utilisateur clique sur la pièce jointe pour la télécharger ou l’afficher, il est automatiquement redirigé vers une page malveillante qui permet aux pirates de télécharger des malwares ou des ransomwares sur son ordinateur.
Les fichiers ZIP peuvent également contenir des virus et des URLS cachées. C’est une stratégie les de plus en plus utilisées par les cybercriminels, car elle est très efficace pour contaminer les ordinateurs et parce qu’elle est difficile à contrer pour les administrateurs réseau.
Les pirates qui utilisent le malware Emotet sont particulièrement friands de cette tactique. À titre d’exemple, à la fin de l’année 2020, des groupes de pirates ont envoyé des vagues massives de malspam dans lesquelles ce malware se cachait derrière des fichiers ZIP protégés par des mots de passe.
7. Utilisez une bibliothèque de modèles de spams régulièrement mise à jour
La plupart des moteurs de spams ont une fonction intégrée et elle n’est généralement pas configurable. C’est grâce à cela qu’une quantité importante de spams peut être capturée, sur la base d’une vaste base de données de spams récents et d’un historique fourni par la communauté de la lutte contre le spam.
Cependant, il existe certains mots à éviter pour que vous ne tombiez pas dans les spams. Le mot « facture » est par exemple celui le plus préféré des cybercriminels. Si vous le voyez dans l’objet d’un email, vous devriez vérifier avant tout l’authenticité de l’expéditeur.
Il existe également d’autres mots comme « PayPal », « Mastercard » ou « Visa », via lesquels des expéditeurs malveillants peuvent essayer de se faire passer pour des organismes bancaires légitimes. Sans oublier les e-mails qui proposent des cadeaux ; ceux qui semblent urgents, ou encore ceux qui sont liés aux jeux d’argent.
SpamAssassin est une excellente ressource de signatures de spam précises et à jour.
SpamTitan est également un bon exemple.
SpamTitan est un outil qui permet de protéger les systèmes de messageries électroniques professionnelles contre les cybermenaces, comme les virus, les spams, le phishing et les malwares.
Filtre et contrôle des e-mails
À destination des entreprises, écoles et des fournisseurs de services gérés, SpamTitan peut rapidement être configuré. Il protège votre organisation contre toutes les attaques informatiques internes et externes.
Dès qu’un mail est envoyé à la messagerie protégée par SpamTitan, le logiciel intercepte le message afin de détecter s’il est malveillant ou non.
SpamTitan scanne d’abord le message pour vérifier qu’il ne contient aucun virus ou de pièces jointes corrompues. Ensuite, il va vérifier qu’il ne s’agit pas d’un spam et si l’expéditeur est inscrit dans une liste noire ou blanche. Enfin, le logiciel délivre le message au destinataire – si le message est considéré comme légitime — ou le redirige vers une zone de quarantaine où il sera soumis à une analyse plus approfondie par les administrateurs système.
8. Utilisez le filtrage bayésien
La plupart des moteurs de spam utilisent un moteur Bayes, tout particulièrement conçu pour reconnaître le spam.
Bayes était un statisticien dont les méthodes sont largement utilisées pour la classification (dans ce cas : « spam » vs. « ham»).
Le filtrage bayésien est une technique souvent utilisée pour détecter et se protéger votre boîte de messagerie contre les spams. Elle est issue du théorème de Bayes et consiste à comparer les mots d’un e-mail. Chaque mot est associé à une probabilité correspondant au nombre de fois où ce mot apparaît dans un spam. Si cette probabilité dépasse un certain seuil, le message sera donc considéré comme un spam.
Les e-mails entrants sont évalués en fonction de la bibliothèque de modèles de spams, des mauvaises pièces jointes, des mauvais liens et des commentaires de l’utilisateur final (via un clic sur le bouton « Spam » ou « Junk » dans le client de messagerie de l’utilisateur).
Le moteur Bayes apprend alors à reconnaître les nouveaux spams et à oublier les anciens modèles de spams susceptibles de bloquer les e-mails légitimes.
Le système utilise l’apprentissage automatique pour calculer la probabilité de chaque mot, et ce, grâce aux expériences passées. Il classe chaque e-mail dans le dossier des spams et analyse des mots. Plus un mot apparaît fréquemment dans les spams, plus sa probabilité d’être considéré en tant que chaîne suspecte augmente.
Par exemple, le mot « viagra » a une probabilité de 100 %, tandis que le mot sécurité n’a qu’une probabilité de 20 %.
Au final, si la probabilité dépasse un certain seuil, le message sera considéré comme étant un spam. Si certains mots apparaissent souvent dans d’autres e-mails, le système bayésien les considérera comme des spams à l’avenir.
9. Définissez le score de spam approprié pour votre organisation
La plupart des filtres antispam donnent à un e-mail entrant un score basé sur le contenu et les pièces jointes.
C’est à vous, l’administrateur système, de décider du bon seuil de score de spam pour votre organisation. C’est quelque chose qui demande un peu d’essais et d’erreurs pour être opérationnel, mais en général, vous pouvez le réaliser pendant la première ou les deux premières semaines après son déploiement.
Un score de 1 à 30 % peut par exemple être considéré comme faible.
Un score de 31 à 60 % peut être considéré comme un score de spam moyen.
Un score de 61 à 100 % devrait être considéré comme un score élevé.
Le mieux serait de ne recevoir aucun spam. Cependant, si votre site ou votre boîte de messagerie présente un score de spam élevé, cela ne signifie pas qu’il s’agit nécessairement que vous soyez une cible d’un acte d’escroquerie. Pourtant, vous devriez faire une enquête plus approfondie sur la pertinence et la qualité de votre site ou de votre système de messagerie électronique.
Pour ce faire, le mieux serait de faire appel à un fournisseur de services gérés. Attention toutefois, car votre prestataire doit vous accorder une période d’essai pour confirmer que vous pouvez obtenir ce droit pour votre organisation et pour vous aider à configurer leur filtre antispam.
Ainsi, vous pourrez obtenir le taux de blocage optimal et le taux minimal possible de faux positifs avec leur produit. Profitez de votre période d’essai gratuite pour vous assurer que tout fonctionne.
10. Activez le feedback spam de l’utilisateur final
Les feedback spam de l’utilisateur final contiennent une liste de tous les e-mails mis en quarantaine que l’utilisateur final a reçus pendant une période que vous pouvez configurer. En fait, lorsque vous utilisez un service de messagerie électronique particulier, vous pouvez spécifier une valeur allant de 1 et 15 jours. Il est également possible de configurer la langue dans laquelle le message de notification est rédigé.
Offrez à vos utilisateurs finaux un moyen d’améliorer votre moteur Bayes en marquant manuellement tout spam qui passe à travers votre filtre comme « Spam » ou « Junk » pour corriger les faux positifs.
11. Formez vos utilisateurs finaux à la prévention des infections
Une bonne politique d’utilisation de la messagerie électronique — qui enseigne et met en garde contre les risques et les conséquences du spam, des malwares, des virus et du phishing — offre à vos utilisateurs finaux les connaissances dont ils ont besoin pour maîtriser les dernières tentatives d’escroquerie.
À elle seule, la politique d’utilisation pourrait sauver votre organisation d’une éventuelle ruine financière. On pourrait facilement plaider pour que cela soit le n° 1 de la liste des priorités, notamment parce que de nombreux utilisateurs finaux n’accordent qu’une petite attention à ce sujet.
Il existe beaucoup d’opinions négatives à l’égard des « utilisateurs » et de la façon dont ils sont contraints de se protéger d’eux-mêmes.
Au lieu de les abandonner en tant que cause perdue, vous devriez leur donner l’armure et des munitions dont ils ont besoin pour se joindre à vous afin de protéger les données. Utilisez le grand méchant CryptoLocker comme tactique d’intimidation des pirates si nécessaire.
Toutefois, assurez-vous que tout le monde connaît les risques potentiels en cliquant sur un lien dans un email. Par ailleurs, ils doivent se méfier de tout email provenant de la banque (ou de toute autre organisation essentielle à votre activité) qui demande certains détails qu’ils devraient déjà avoir, tels que les noms d’utilisateur, les mots de passe, les numéros de compte, les numéros de sécurité sociale, etc.
Même si vous fournissez ces différents outils et qu’ils ne sont pas utilisés, vous avez au moins une jambe sur laquelle vous pouvez vous tenir en cas de besoin.
Le fait de dire : « Je vous l’avais dit » ne servira plus à grand-chose une fois que votre entreprise est en faillite.
Pourtant, votre carrière, au moins, ne se terminera pas dans l’entreprise si vous avez fait tout ce que vous pouvez pour protéger le réseau et empêcher les intrus d’entrer.
Bonne chance dans votre lutte continue pour mettre fin à la cybercriminalité !
Si vous avez des questions sur l’un de ces conseils, n’hésitez pas à nous contacter, nous serons ravis de vous répondre. Envoyez-nous un e-mail à info@titanhq.fr.
La sécurité des applications web est devenue un enjeu majeur non seulement pour les entreprises, mais aussi pour les particuliers. Beaucoup de services fonctionnent actuellement grâce aux technologies web et il est essentiel de comprendre les risques qui y sont liés.
Dans ce dossier, nous passerons en revue quelques principes simples que vous pouvez utiliser pour assurer la sécurité des applications web. Vous apprendrez quelques bonnes pratiques de sécurité en matière de développement des applications web afin de garantir la confidentialité, la disponibilité et l’intégrité de vos données.
Plus précisément, nous allons parler de l’OWASP qui a publié les 10 risques les plus critiques pour la sécurité des applications. C’est parti !
Introduction
Imaginez un instant la quantité de données personnelles que les applications web traitent aujourd’hui.
Les utilisateurs interagissent en permanence avec les applications logicielles relatives aux transactions dans le domaine de la santé, de la banque et du commerce de détail.
Presque toutes les grandes entreprises et organisations qui traitent des données de grande valeur disposent aujourd’hui d’une application web. De plus, l’infrastructure qui supporte les nouveaux sites web basés sur les applications d’aujourd’hui est devenue très complexe.
De nos jours, ces sites sont généralement structurés en trois niveaux :
Le niveau client est le premier niveau
Un moteur utilisant une technologie de contenu web dynamique est le niveau intermédiaire
Une base de données est le troisième niveau.
Cette architecture de type multiniveaux signifie qu’en plus du modèle de trafic Nord-Sud, qui va de l’utilisateur et vers le niveau du client (le serveur HTML frontal), le site crée également un grand volume de trafic Est-Ouest entre les multiples serveurs résidant dans des niveaux séparés.
Cette autoroute supplémentaire et la complexité accrue de sa conception rendent la cybersécurité beaucoup plus difficile.
Ajoutez à cela le rythme rapide des processus de développement des logiciels et l’intégration des opérations de développement et vous allez rapidement reconnaître les défis en matière de sécurisation des applications web d’aujourd’hui.
L’OWASP, une référence en matière de développement d’applications web
L’Open web Application Security Project (OWASP) est une communauté ouverte dont la mission est de permettre aux entreprises de développer, acheter et maintenir des applications et des interfaces de programmation applicative (API) plus fiables.
L’insécurité des logiciels entrave non seulement la confiance des utilisateurs, mais aussi la sécurité de notre pays lorsqu’il concerne le secteur industriel, celui de l’énergie et de la défense. En 2003, l’OWASP a publié les principaux risques de sécurité des applications les plus répandues à l’époque.
L’objectif était d’identifier les principales tactiques utilisées par les pirates pour infiltrer et compromettre les données dans les applications web.
Les projets de l’OWASP
L’OWASP recense un nombre important de projets disponibles en accès libre. Le champ d’application de ces projets est très varié, mais il est toujours en lien avec la sécurité web.
Parmi ces champs d’application, on y retrouve des listes et des guides tels que ceux que nous allons vous présenter, mais aussi des logiciels qui permettent de rechercher des vulnérabilités sur une application web (OWASP O-Saft, OWASP SQLiX, OWASP JHijack, OWASP webScarab, et bien d’autres).
Voici 4 projets populaires que vous devez savoir à propos de l’OWASP :
OWASP web security testing guide
Le projet web Security Testing Guide (WSTG) est un guide complet qui permet aux développeurs de tester la sécurité de leurs applications. C’est une sorte de superchecklist que les développeurs peuvent utiliser pour effectuer des tests de sécurité web.
Ce guide est une référence en matière de tests de sécurité, car il est très complet et est fourni avec un ensemble de bonnes pratiques qui ont été déjà utilisées par de nombreuses organisations dans le monde entier. Il est constamment mis à jour par des bénévoles de l’OWASP et d’autres professionnels de la cybersécurité.
OWASP mobile Top 10
L’OWASP ne se concentre pas seulement sur la sécurité des applications. L’organisation travaille plus largement sur la sécurité des technologies web en général. Mais suite au succès de l’OWASP Top 10, elle a mis en place une liste dédiée particulièrement à la sécurisation des applications mobiles, à savoir l’OWASP Mobile Top 10.
Ce Top 10 présente les dix risques de sécurité les plus critiques pour les applications mobiles. Il a pour but de sensibiliser les développeurs ainsi que les organisations à la sécurité des applications mobiles. C’est l’une des plus importantes références à prendre en compte, car la part de l’utilisation des services avec des Smartphones ne cesse d’augmenter.
OWASP mobile security testing guide
En plus des offres précédentes, l’OWASP propose une norme de sécurité dédiée aux applications mobiles, accompagnée d’un guide de tests complet. Ce guide couvre les processus, les outils ainsi que les techniques que vous pouvez utiliser lors des tests de sécurité de vos applications mobiles.
Ce document fournit également un ensemble de cas de tests, permettant aux testeurs de fournir des résultats complets et cohérents.
Bref, il s’agit d’un référentiel très prisé par les développeurs pour la sécurité des applications web et mobile.
OWASP Top 10
Le Top 10 de l’OWASP est le projet le plus connu de l’organisation. En réalité, il s’agit d’une liste des 10 risques de sécurité les plus cruciales pour les applications web.
Le but de ce projet est de sensibiliser les développeurs à la sécurité web. D’ailleurs, ce Top 10 est reconnu mondialement par les développeurs en guise de base de référence pour sécuriser le code de leurs applications.
C’est le sujet que nous allons aborder un peu plus en profondeur dans ce dossier.
L’OWASP a publié ses Tops 10 des risques en matière de sécurité des applications en 2017
L’OWASP a publié sa liste très attendue pour 2017. Celle-ci est basée sur 11 jeux de données d’entreprises spécialisées dans la sécurité des applications.
Elle couvre les vulnérabilités rassemblées auprès de centaines d’organisations et de plus de 50 000 applications et API dans le monde.
Injection
Authentification interrompue et gestion des sessions
Scripts XSS (Cross-Site Scripting)
Contrôle d’accès cassé
Mauvaise configuration de la sécurité
Exposition aux données sensibles
Protection insuffisante contre les attaques
Contrefaçon de demande intersite (CSRF)
Utilisation de composants présentant des vulnérabilités connues
Sous APIs protégées
Injection de code
L’injection de code est un type de stratégie que les pirates peuvent utiliser pour prendre vos propres codes à partir d’un site web. Pour ce faire, ils manipulent les paquets de vos flux de données existant grâce à de nombreux outils.
Ils peuvent ensuite utiliser de nombreux types de code pour ensuite les injecter dans votre flux de données, en utilisant des vulnérabilités pour lancer un kit d’exploitation. C’est notamment le cas lorsque l’un de vos développeurs a fait un mauvais travail de codage d’un programme informatique.
Normalement, ces derniers devraient s’assurer que leurs collaborateurs utilisent les applications de façon efficace et réparer les vulnérabilités afin que les cybercriminels ne puissent pas en profiter.
L’une des choses que les pirates ont l’habitude de faire est d’injecter votre propre code SQL dans certains de vos flux de données. Ils modifient les demandes SQL qui sont faites à une base de données à travers un front end web. Bien entendu, ils n’ont pas l’accès direct à votre base de données, mais lorsqu’ils font une requête sur votre serveur web, le serveur va réaliser une requête à votre base de données SQL.
De cette manière, ils peuvent donner à votre serveur web de mauvaises informations, ce qui donne par la suite de mauvaises informations au serveur SQL. En fin de compte, ils peuvent obtenir des informations sensibles depuis votre base de données.
Étant donné qu’il existe tellement de types de données différents, les responsables informatiques doivent empêcher les pirates d’injecter de données HTML, SQL, XML et LDAP. La meilleure façon d’y parvenir est de mettre vos informations dans un flux de données pour que les pirates ne puissent pas contourner la sécurité.
L’attaque par injection SQL est très répandue, mais il y a d’autres types d’injection tels que l’injection XML et l’injection LDAP qui permettent aux pirates d’accéder facilement aux identifiants de connexion de vos employés.
Authentification interrompue et gestion des sessions
Saviez-vous que plus de 113 millions de sites web présentent actuellement une faille de sécurité ? Cela représente environ 6 % de tous les sites internet dans le monde. En fait, chaque vulnérabilité est considérée comme une faiblesse du code d’un site web que les cybercriminels peuvent exploiter pour obtenir un accès non autorisé à votre réseau ou aux périphériques qui y sont connectés.
En 2018, l’un des types de vulnérabilités les plus courants signalés par l’OWASP concernait l’authentification interrompue et la gestion des sessions. En termes simples, la gestion des sessions et de l’authentification interrompue permet à un cybercriminel de voler les données de connexion d’un de vos employés ou de falsifier leurs données d’identification comme les cookies pour accéder à votre site web, sans votre autorisation.
Le Top 10 de l’OWASP est une liste des 10 failles de sécurité les plus dangereuses des applications web de nos jours, y compris l’authentification et la gestion de session interrompues. Selon owasp.org, son but est de favoriser la visibilité et l’évolution de la sécurité des solutions logicielles dans le monde.
Qu’est-ce que l’authentification interrompue et la gestion de session ?
De nombreux sites web exigent que les utilisateurs se connectent pour accéder à leurs comptes, pour faire un achat, etc. Le plus souvent, cela se fait à l’aide d’un nom d’utilisateur et d’un mot de passe.
Avec cette information, un site va rediriger le visiteur vers son compte. Si les informations d’identifications ne sont pas correctement sécurisées, les pirates peuvent utiliser un faux schéma d’authentification et de gestion de session pour se faire passer pour un utilisateur valide.
Comment les pirates peuvent-ils exploiter l’authentification et la gestion de session interrompue ?
Lorsqu’un employé se connecte à votre site web, le site utilise un algorithme qui lui permet de générer un identifiant de session unique. L’appareil de votre employé va utiliser cette information d’identification pour lui permettre d’accéder à son compte.
Toutes ces informations doivent être envoyées et retournées depuis l’appareil utilisé jusqu’au serveur. Si ces informations ne sont pas chiffrées et au moment où elles sont envoyées au serveur web de votre entreprise, les pirates peuvent les intercepter.
Ces derniers peuvent ensuite usurper les identifiants de connexion de l’utilisateur pour pouvoir les utiliser à des fins malveillantes.
Quels sont les risques ?
Une telle attaque ne doit pas être prise à la légère, car elle affecte directement la vie privée et la protection des données des utilisateurs finaux, mais aussi ceux des administrateurs des entreprises si les cybercriminels parviennent à accéder à des comptes non autorisés.
Si vous voulez comprendre comment fonctionne le vol de session et comment vous en protéger, vous devriez faire un rappel sur le fonctionnement d’une session avant de concevoir votre application web. Vous devriez également mettre en place un système d’authentification à deux facteurs que les utilisateurs devront utiliser pour se connecter à leur compte Windows, par exemple.
Scripts XSS (Cross-Site Scripting)
Le Cross-site Scripting ou XSS est une attaque par injection de code du côté de l’utilisateur. L’attaquant vise à exécuter des scripts malveillants dans le navigateur web de vos employés en incluant du code malveillant dans une application web ou une page web légitime.
L’attaque réelle se produit lorsque la victime consulte la page ou l’application web qui exécute le code malveillant. En conséquence, la page ou l’application web devient un vecteur de scripts malveillants.
Les moyens d’attaque utilisés pour le Cross-site Scripting sont souvent les forums, les messages électroniques et les pages web qui permettent de faire des commentaires.
Par exemple, un pirate peut poster un script malveillant sur un forum de discussion. Lorsqu’un autre utilisateur clique sur le lien fourni, cela déclenche un appel asynchrone HTTP TRACE, collectant les informations du cookie de l’utilisateur sur le serveur. Ensuite, ces informations sont envoyées à un autre serveur malveillant qui collecte à nouveau les informations du cookie pour permettre au pirate de lancer une attaque de détournement de session
Le Cross-site Scripting peut aussi être utilisé pour défigurer un site web au lieu de cibler l’utilisateur. Dans ce cas, le pirate peut utiliser des scripts injectés afin de modifier le contenu du site web ou même rediriger le navigateur vers une autre page web, par exemple, vers une page contenant un code malveillant.
Comment vous protéger ?
Les principales défenses contre les scripts XSS sont précisées dans la fiche de prévention des XSS de l’OWASP. Cependant, le plus important est de désactiver le support HTTP TRACE sur tous vos serveurs web. Vous devriez également supprimer la prise en charge de HTTP TRACE sur tous vos serveurs web si vous ne voulez pas qu’un pirate vole vos données de cookies via Javascript, même lorsque l’objet document.cookie est désactivé.
Contrôle d’accès cassé
Le contrôle d’accès est la façon dont une application web permet à certains de vos employés d’accéder à des contenus et à des fonctions spécifiques. Ces contrôles sont effectués grâce à un système d’authentification et régissent ce que les employés « autorisés » peuvent faire.
La mise en place d’un contrôle d’accès semble être simple, mais ce n’est pas vraiment le cas. Le modèle de contrôle d’accès d’une application web est étroitement lié au contenu et aux fonctions que le site fournit.
De plus, vos employés peuvent appartenir à un certain nombre de groupes ayant des privilèges différents.
Les développeurs sous-estiment souvent la difficulté de mettre en place un mécanisme de contrôle d’accès fiable. Le fait est que de nombreux mécanismes de sécurité web ne sont pas souvent conçus délibérément.
Ils ont simplement évolué en même temps que le site web de leur entreprise. Dans ces cas, des règles de contrôle d’accès sont insérées à divers endroits. Au fur et à mesure que le site est déployé, la collection de règles devient si lourde, de sorte qu’il devient presque impossible de les comprendre.
Cela peut entraîner des failles de sécurité que les pirates peuvent exploiter. Une fois que ces derniers découvrent la vulnérabilité, les conséquences d’un système de contrôle d’accès défectueux peuvent être dévastatrices. Par exemple, un cybercriminel peut prendre en charge l’administration de votre site Internet.
Mauvaise configuration de la sécurité
Le fait de ne pas configurer correctement vos serveurs, vos ordinateurs et vos périphériques réseau peut entraîner de nombreux problèmes de sécurité. Les réseaux peuvent être reconfigurés par les pirates pour qu’ils puissent accueillir de nouvelles tâches ou de nouveaux utilisateurs.
Chaque périphérique connecté à votre réseau doit donc être configuré correctement. Si vous êtes le gestionnaire de réseau de votre entreprise, vous devez également savoir comment tous les dispositifs connectés au réseau sont configurés et sécurisés.
L’un des exemples concrets est celui de Target qui n’avait pas pris conscience qu’un système tiers d’un fournisseur de chauffage, ventilation et climatisation (CVC) était directement connecté à son réseau central. L’entreprise a subi l’une des plus grandes brèches de données de l’histoire.
Si la société avait réalisé que le fournisseur tiers était connecté à son réseau, elle aurait pu empêcher la violation des données en revenant au paramètre de configuration avant que le fournisseur de CVC ne s’y connecte.
Comme autre solution, la société pouvait mettre le système du fournisseur sur un VLAN séparé.
Exposition des données sensibles
Les logiciels de nos jours deviennent de plus en plus complexes et connectés. Ce qui rend difficile le fait d’assurer la sécurité des applications. Le rythme rapide des processus de développement de logiciels modernes rend les risques les plus courants essentiels à découvrir et à résoudre de façon précise et rapide.
Les entreprises ne devraient plus tolérer des problèmes de sécurité relativement simples tels que ceux présentés dans le Top 10 de l’OWASP.
Après la publication de ce Top 10, de nombreux commentaires ont été reçus par l’OWASP. Bien que son but initial fût simplement de sensibiliser les développeurs et les gestionnaires réseau concernant les risques en matière de cybercriminalité, il est actuellement devenu le standard de la sécurité des applications.
Protection insuffisante contre les attaques
Le terme « protection insuffisante contre les attaques » est souvent difficile à expliquer parce que cela englobe plusieurs concepts. En réalité, les entreprises doivent se focaliser sur toutes les applications web et les solutions de protection web, même les plus élémentaires.
Pour ce faire, vous devrez d’abord considérer toute source pouvant accéder ou envoyer des requêtes à vos applications web, que ce soit via un réseau local ou via l’Internet.
L’essentiel est de savoir le niveau de préparation nécessaire pour détecter et répondre adéquatement aux anomalies et aux attaques automatisées ou manuelles. Vous devez également vous assurer que vous disposez de la technologie nécessaire pour sécuriser votre réseau et vos applications.
Si vous parvenez à détecter et à bloquer les attaques entrantes avant qu’elles ne se manifestent, vous allez améliorer grandement le niveau de sécurité web. Ce qui rend cette solution difficile à réaliser, c’est parce que la plupart des applications ne disposent pas d’un niveau de protection dès le départ.
Les failles concernant vos applications et votre réseau peuvent provenir d’utilisateurs connus ou de sources anonymes. Pour éviter cela, vous devez donc être capable de reconnaître les failles en utilisant des outils d’évaluation des vulnérabilités comme Burp Suite ou le ZAP de l’OWASP.
N’oubliez pas également que les pirates compétents peuvent utiliser des tactiques de furtivité pour sonder discrètement vos applications à la recherche de vulnérabilités qu’ils pourraient exploiter ultérieurement.
L’OWASP suggère par exemple l’utilisation des technologies telles que les WAF et le RASP pour vous permettre de détecter ou même de prévenir les attaques entrantes.
Contrefaçon de demande intersite (CSRF)
Une contrefaçon de requête intersite est une attaque consistant à forcer l’un de vos employés à envoyer une requête HTTP vers une destination cible à son insu afin qu’il effectue une action en tant que victime.
La cause sous-jacente est la fonctionnalité de l’application qui utilise des actions URL/formulaires prévisibles de manière répétable. Le but de l’attaque est d’exploiter la confiance d’un utilisateur envers un site web.
Ce genre d’attaque est efficace dans un certain nombre de situations, notamment lorsque la victime a une session active sur le site cible, lorsqu’elle est authentifiée via une authentification HTTP sur le site cible ou lorsqu’elle se connecte au même réseau local que le site cible.
CSRF a été principalement utilisé pour effectuer une action contre un site cible en utilisant les privilèges de la victime. Pourtant, des techniques récentes ont été découvertes, consistant à divulguer des informations lorsque le site cible est vulnérable au XSS.
En effet, le site cible peut être utilisé comme plate-forme pour la CSRF, ce qui permet aux attaquants de mener des actions qui vont au-delà des limites de la politique d’utilisation acceptable de votre entreprise.
Si un attaquant souhaite forger une requête HTTP, il commence généralement par profiler le site cible, soit en examinant la source HTML, soit en inspectant le trafic HTTP. Cela lui permet de déterminer le format d’une requête légitime, car la requête falsifiée est censée imiter aussi fidèlement que possible une requête légitime.
Par exemple, il se peut que votre site web permette à vos employés de configurer leur compte de messagerie électronique sur le web pour transférer tous leurs e-mails entrants à une autre adresse.
Pourtant, un pirate peut déduire de la visualisation de cette source HTML ou utiliser le formulaire d’une requête falsifiée, dans un format similaire à celui installé sur votre site web.
Si l’attaquant peut forger une telle requête d’un autre utilisateur, il peut commencer à recevoir tous les e-mails de ses victimes.
Utilisation de composants présentant des vulnérabilités connues
Les vulnérabilités de sécurité connues sont celles qui ont été identifiées soit par le développeur/le fournisseur de services gérés, soit par l’utilisateur/le développeur, soit par un pirate informatique.
Pour exploiter les vulnérabilités de sécurité connues, ce dernier peut identifier un composant faible dans votre système d’information (SI). Il pourra donc analyser votre SI à l’aide d’outils automatisés.
C’est la méthode la plus courante, car ces outils de piratage sont disponibles en ligne. Il peut aussi analyser les composants manuellement, ce qui est une option moins courante puisqu’elle nécessite des compétences plus avancées.
Presque toutes les applications ont au moins quelques vulnérabilités, dues à des faiblesses dans les composants ou les bibliothèques dont dépend l’application. Parfois, les vulnérabilités sont délibérées. Les vendeurs sont connus pour laisser des vulnérabilités appelées « backdoor » dans leurs systèmes afin de pouvoir accéder au système à distance une fois qu’il est déployé. Cependant, la plupart des vulnérabilités sont involontaires. Elles sont dues à des failles de sécurité inhérentes à la conception du produit.
La plupart des fournisseurs de services gérés s’attaquent aux vulnérabilités au fur et à mesure qu’ils les identifient et les corrigent en publiant des mises à jour et des correctifs du produit ou en proposant une nouvelle version du produit.
Il est important de garder les composants et les bibliothèques à jour avec les derniers correctifs et de mettre à niveau vos applications dès qu’une nouvelle version est disponible.
Cela réduit considérablement le nombre de vulnérabilités connues qui pourraient mettre en danger vos applications.
Mais dans la plupart des cas, les développeurs ne connaissent pas tous les composants de leurs applications, ce qui rend impossible de remédier à toutes les vulnérabilités.
Comment les pirates exploitent-ils les vulnérabilités de sécurité connues ?
Malheureusement, les pirates informatiques ont accès aux mêmes bases de données publiques et aux mêmes listes de diffusion que les clients légitimes.
De plus, ils peuvent assembler et partager des listes de vulnérabilités connues en ligne, puis utiliser ces listes afin de développer des outils de piratage qui s’introduisent dans les composants et les applications même si l’attaquant n’a pas de connaissances ou de savoir-faire personnels sur ce composant particulier.
Ainsi, les développeurs légitimes doivent devenir encore plus vigilants et avertis pour protéger leurs applications que les pirates ne le sont pour les attaquer.
Sous APIs protégées
Les applications modernes utilisent des API provenant de nombreuses sources directement en guise de sous-composants de bibliothèques tierces liées lors de la construction d’une application.
Toutes ces API peuvent présenter des vulnérabilités non protégées et, plus inquiétant encore, ne peuvent être détectées par les outils d’analyse de sécurité standard utilisés pour mettre en évidence les risques.
Toutes les API utilisées pour créer une application doivent être testées pour détecter les vulnérabilités, comme tous les autres composants utilisés pour fournir des applications web.
Les tests doivent englober tous les types de vulnérabilités courantes tels que les attaques par injection, l’usurpation des identifiants de connexion, les problèmes de contrôle d’accès, les problèmes de chiffrement et la mauvaise configuration des paramètres réseau.
Cette liste n’est pas exhaustive et d’autres types de vulnérabilités pourraient exister dans les API.
Comme nous l’avons également mentionné dans le paragraphe « Protection insuffisante contre les attaques » ce nouvel ajout à la liste des 10 risques de sécurité de l’OWASP a l’air d’une liste fourre-tout.
Les vulnérabilités sont bien connues, mais l’objectif de ces nouvelles catégories de vulnérabilités semble être d’amener les développeurs et les administrateurs système à se concentrer sur les solutions de sécurité web en interne, notamment celles concernant les applications et des plateformes web.
Plutôt que de vous fier uniquement aux outils de sécurité existants, à l’instar des pare-feux, des applications réseau et d’une solution de protection web, vous devrez également appliquer ces quelques conseils pour protéger vos employés et les données de votre entreprise.
Étant donné la nature des API et le fait qu’elles sont souvent attaquées via des codes malveillants, il n’y a pratiquement pas d’interfaces utilisateur conviviales qui peuvent être utilisées pour vérifier les vulnérabilités. C’est ce qui rend leur utilisation risquée.
Que faut-il retenir ?
En 2010, les trois principaux risques étaient identiques à ceux publiés cette année. Si on compare les rapports de 2010 à celui de 2017, sept des placements de risque sont identiques. La principale raison de la différence entre les deux est que l’OWASP a consacré une plus grande attention à l’API cette année.
Bon nombre des risques qui ont été décrits relèvent de la responsabilité des développeurs.
Les attaques par injections en sont un bon exemple, car elles continuent de représenter le risque le plus important. Elles se produisent lorsque des données SQL, OS et LDAP non fiables sont envoyées dans le cadre d’une commande ou d’une requête.
Les données hostiles injectées par l’attaquant peuvent entraîner l’exécution de commandes involontaires ou l’accès à des données sans autorisation appropriée. Ce type d’attaque est généralement le résultat de l’absence de validation de la saisie (n’autorisant que certains caractères ou commandes dans une zone de texte ou un autre point de saisie).
Tous les Tops 10 de l’OWASP ne sont cependant pas le résultat de techniques de programmation inappropriées.
De nombreux aspects d’une mauvaise configuration de sécurité relèvent également de la compétence de l’administrateur réseau. Les administrateurs doivent s’assurer que tous les serveurs web, d’applications et de bases de données sont toujours patchés et mis à jour.
Les paramètres de configuration doivent être analysés pour s’assurer que ces serveurs sont renforcés. Ils peuvent par exemple s’assurer que la navigation dans les répertoires est désactivée sur le serveur web.
Une autre catégorie qui affecte les administrateurs aujourd’hui est l’exposition aux données sensibles. Les organisations qui sont soumises aux obligations de conformité de la HIPAA et de la Cour pénale internationale (CPI) devraient chiffrer les données personnelles et de grande valeur. En effet, le chiffrement est le meilleur moyen de protéger l’acquisition non autorisée de données par des pirates et d’autres tiers.
Si votre organisation utilise une quelconque application web, vous devez mettre en œuvre des tests de vulnérabilité réguliers afin de vous assurer que ces risques hautement exploités ne constituent pas une menace pour votre organisation.
Conclusion
Il est difficile d’assurer à 100 % la sécurité web des entreprises. Toutefois, grâce à des services comme ceux proposés par l’OWASP, ainsi que l’adoption d’une bonne stratégie interne, vous pouvez optimiser la sécurisation de vos outils web.
Les projets de l’OWASP proposent plusieurs mesures préventives et des contre-mesures efficaces que vous devriez utiliser. Cependant, pour que ces mesures soient efficaces, il est recommandé de les considérer dès le commencement de votre projet, comme la création d’une application web. Plus vous mettez en avant la sécurité en amont de votre projet, plus il sera plus facile à réaliser et à gérer.
Pendant le développement de vos applications, les développeurs doivent miser sur leur sécurité. Ils doivent aussi veiller à ce que l’équipe technique qui met en œuvre le projet soit au courant des mesures de sécurité à appliquer.
Enfin, des audits de sécurité réguliers devraient être réalisés dans le cas d’un projet sensible afin de limiter tout risque d’attaques, dont les préjudices peuvent être sévères. Lors de cette étape, les équipes techniques peuvent se référer aux nombreux projets de l’OWASP.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que votre réseau et vos appareils sont protégés ? Adressez-vous à l’un de nos spécialistes de la sécurité ou écrivez-nous à info@titanhq.fr pour toute question.
FAQs
La sécurité des applications est-elle vraiment importante ?
À l’ère du numérique, toutes les organisations doivent s’attaquer aux risques de sécurité de leurs applications. Sans cela, elles risquent de perdre leurs données sensibles. D’autres informations et propriétés intellectuelles pourraient également être compromises. Et sachez que les dommages causés par les brèches sont souvent extrêmes et permanents. De plus, les applications d’entreprises sont désormais l’une des plus grandes cibles de violations de données.
Comment savoir si la sécurité de mes applications est en danger ?
Il existe plusieurs signes montrant que la sécurité de vos applications est défaillante. Il peut s’agir d’un ralentissement ou d’un dysfonctionnement d’une application ; de messages de journal inattendus, de modification de fichiers ou d’apparition de nouveaux utilisateurs. Vous devez également vous méfier lorsque vous recevez des avertissements du navigateur ; des plaintes des clients via ou des médias sociaux ou les e-mails du service d’assistance concernant le dysfonctionnement de vos applications. En cas de violation de la sécurité de vos applications, votre équipe de sécurité informatique doit disposer d’un plan de réponse aux éventuels incidents.
Mon réseau est déjà bien sécurisé, alors pourquoi devrais-je me soucier de la sécurité de mes applications ?
On pense souvent qu’un pare-feu réseau peut protéger les sites web et les applications web se trouvant derrière lui. Cependant, sachez que la sécurité du réseau utilise des défenses périmétriques comme les pare-feu pour empêcher les pirates d’accéder à votre réseau et d’accorder l’accès aux utilisateurs légitimes. Le fait est que ces défenses périmétriques du réseau ne suffisent pas à protéger les applications web contre les attaques malveillantes.
Quelle est la meilleure façon de procéder pour améliorer la sécurité des applications web ?
Pensez à faire des tests de sécurité de vos applications. C’est un élément essentiel de la gestion de toute application. Suivez les meilleures pratiques en matière de sécurité des applications pour améliorer vos perspectives. Demandez l’aide d’un expert qui est en mesure de créer un plan de sécurité pour vos applications.
Est-ce vraiment nécessaire de s’associer à un expert en sécurité pour protéger mes applications ?
Même les plus grandes entreprises disposant d’une équipe informatique interne étendue font appel à une aide extérieure lorsqu’il s’agit de cybersécurité. Les menaces qui pèsent sur les applications sont devenues si vastes et si diverses, qu’il est presque impossible pour les équipes internes de posséder toutes les connaissances nécessaires pour protéger leurs employeurs contre toutes les menaces, à tout moment. Un partenariat avec des experts en sécurité permettra donc d’approfondir l’approche de la sécurité des applications web de votre entreprise. C’est l’occasion d’éviter les omissions flagrantes et d’identifier les opportunités manquées.
Imaginez une entreprise SaaS mondialement reconnue qui invite des étrangers à pirater ses sites Web ou ses logiciels.
Cela peut paraître fou, mais c’est exactement ce que font aujourd’hui certains géants de l’industrie tels que Microsoft, Facebook et Walmart. Leur but est de trouver les failles de sécurité critiques et celles qui sont susceptibles d’être exploitées par des cybercriminels.
Ces étrangers sont appelés chasseurs de primes Bug Bounty. Des pirates en chapeau blanc qui utilisent leurs compétences en matière piratage et en informatique, de manière à ce qu’elles profitent aux organisations.
Des entreprises telles que Google versent régulièrement des primes pour la découverte de vulnérabilités. Dans la plupart des cas, ces primes prennent la forme de récompenses monétaires dont le montant se situe généralement entre 200$ et 5 000$.
Parfois, les récompenses peuvent se présenter sous la forme de titres honoraires du genre « Hall of fame » ou être des choses fournies gratuitement.
Les primes peuvent être forfaitaires ou varier en fonction de la gravité de la vulnérabilité découverte. Et parfois, elles peuvent devenir assez substantielles. En 2012, Microsoft a par exemple décerné à un étudiant en doctorat de l’Université Columbia une récompense de 200 000$, tandis qu’United Airlines a accordé un million de milles de crédit de vol à chacun des deux traqueurs de bugs qu’il a engagé.
Netscape a mis en œuvre cette pratique pour la première fois il y a 21 ans, en 1995, pour le lancement des versions bêta de Netscape Navigator 2.0 via lesquelles les traqueurs de bugs recevaient de l’argent comptant et des crédits officiels pour la découverte d’erreurs.
Dans les années qui ont suivi, d’autres marques comme Mozilla ont mis en œuvre leurs propres programmes, mais cette pratique n’a pas fonctionné tant que Google n’a pas adapté l’approche de son navigateur Chrome en 2010. Depuis, Google a élargi son programme et a accordé neuf millions de dollars pour payer des chasseurs de primes Bug Bounty.
Un exemple typique d’une faille détectée par les traqueurs de bugs a été illustré dans une découverte récente d’une vulnérabilité critique trouvée dans Facebook.
Lorsqu’un compte Facebook est réinitialisé, un code PIN à 6 chiffres est envoyé au téléphone du titulaire du compte. Celui-ci doit le saisir pour déverrouiller son compte. Facebook n’autorise qu’un certain nombre de tentatives pour entrer le bon code PIN, sinon il verrouille le compte.
Un chercheur en sécurité nommé Anand Prakash a constaté que cette fonctionnalité était absente sur son site bêta. En effet, Facebook héberge une version bêta de son site (beta.facebook.com) dans laquelle de nouvelles fonctionnalités sont introduites à titre d’essai.
Anand a découvert qu’il pouvait deviner à l’infini le code PIN, ce qui lui permettait d’accéder à n’importe quel compte. Après avoir établi ses conclusions, Facebook lui a accordé 15 000$.
Pourquoi les programmes Bug Bounty sont-ils si populaires ?
La prémisse derrière les programmes Bug Bounty est simple.
Chaque application web peut présenter de bugs, quel que soit leurs types, ce qui pourrait l’exposer aux attaques cybercriminelles. Mieux vaut donc les faire découvrir par un pirate éthique plutôt que par une personne aux intentions malveillantes.
Bien que les grandes entreprises puissent tenter de réaliser ce processus en interne, elles peuvent aussi intégrer les efforts d’autres professionnels qu’elles ne pourraient jamais en embaucher par le biais d’invitations à la prime au Bug Bounty.
Ainsi, ces entreprises peuvent bénéficier de la grande expérience et compétence des chasseurs de primes. De plus, les traqueurs de bugs sont bien plus en phase avec les dernières techniques et outils de piratage. Plus il y a d’yeux qui scannent un site internet, meilleurs sont donc les résultats.
Il y a aussi un autre gros avantage financier pour les entreprises qui émettent des primes dans le cadre d’un programme Bug Bounty. Payer quelques milliers de dollars pour la découverte d’une vulnérabilité critique peut être beaucoup moins coûteux que de supporter les nombreux coûts associés aux conséquences d’une atteinte à la protection de données.
Cependant, il ne s’agit pas seulement d’éviter les dégâts liés à la divulgation des informations sensibles. Les coûts des éventuels litiges suite à une brèche rendent également les programmes de primes Bug Bounty si populaires.
La méthode traditionnelle d’analyse de vulnérabilité consiste à faire faire un test d’intrusion par une entreprise de cybersécurité tierce. Ces tests sont effectués en vertu d’un contrat officiel, habituellement sur la base d’un tarif horaire.
Le problème est que, si un test confirme un certificat de bonne santé – ce qui est certainement une bonne nouvelle — ou, au pire, ne trouve qu’une ou deux vulnérabilités, le client est toujours facturé de la même façon.
En d’autres termes, le montant du règlement ne dépend pas du fait qu’il s’agisse d’un défaut mineur ou d’une série de vulnérabilités critiques. Par contre, en utilisant les primes Bug Bounty, la compagnie ne paie que pour les défauts, et c’est tout.
En 2016, le ministère américain de la Défense a annoncé un programme de primes Bug Bounty pour une période de trente jours. Les participants au programme ont dû passer un test de base rigoureux et signer un certain nombre de documents juridiques concernant le protocole à suivre.
En fin de compte, 250 chercheurs ont participé à l’étude et ont découvert 138 failles dans la cyberinfrastructure du ministère de la Défense. Le montant total des prestations s’élevait à plus de 150 000$. En considérant qu’un test d’intrusion formel de cette ampleur aurait coûté plus d’un million de dollars, la Défense en a certainement eu pour son argent.
Gestionnaires de programme Bug Bounty
L’implémentation d’un programme de primes Bug Bounty n’est pas à la portée de tout le monde.
Seules les plus grandes entreprises disposent des ressources internes à consacrer pour lancer ce type d’activité et pour pouvoir la gérer efficacement.
De plus, il y a toujours un risque à travailler avec des étrangers dans le monde entier, lesquels peuvent participer à un tel programme pour des raisons malveillantes.
Par ailleurs, il faut beaucoup d’expérience pour analyser le rapport signal/bruit (une notion importante permettant d’évaluer la qualité d’un produit), car les entreprises peuvent être submergées par les soumissions de pirates amateurs à la recherche d’un paiement rapide.
Pour cette raison, de nombreuses organisations embauchent des entreprises tierces spécialisées dans l’exécution d’un programme Bug Bounty. Celles-ci savent comment vérifier la fiabilité des participants et peuvent analyser le rapport signal/bruit pour obtenir des résultats aussi efficacement que possible. À noter que certaines de ces entreprises génèrent des millions de dollars en guise de primes qu’elles distribuent ensuite avec les entreprises tierces spécialisées.
Un nombre croissant d’entreprises encouragent les chercheurs à disséquer leurs logiciels pour trouver des fissures dans les armures. Beaucoup plus de vulnérabilités peuvent ainsi être découvertes et corrigées, et les utilisateurs sont plus en sécurité.
Vous voulez vous être au courant de toutes les dernières menaces à la cybersécurité ? Inscrivez-vous aux newsletters de TitanHQ.
Dans les semaines à venir, on peut s’attendre à des escroqueries par phishing pour la Coupe du monde 2018. Il y a déjà eu un pic d’e-mails de phishing liés à cet évènement et de nombreux domaines malveillants ayant pour thème la Coupe du monde ont été enregistrés.
Des escroqueries par phishing pour la Coupe du monde 2018 ont été détectées
La Coupe du monde ne sera lancée que dans deux semaines, mais l’intérêt pour ce spectacle de football atteint déjà son paroxysme.
La Coupe du monde est regardée par des milliards de personnes à travers le monde, et on s’attend à ce qu’environ 5 millions de fans de football se rendent en Russie pour voir les matches en direct entre le 14 juin et le 15 juillet. Avec un tel engouement pour cet événement sportif, il n’est pas surprenant que les cybercriminels soient prêts à en tirer profit.
Kaspersky Lab a déjà détecté plusieurs escroqueries par phishing pour la Coupe du monde 2018. Plusieurs d’entre elles utilisent des e-mails offrant aux amateurs de football la possibilité d’acheter des billets pour les jeux, mais qui les dirigent vers des sites Web malveillants.
Faux billets et faux tournois
Les billets pour les grands matches étant rares et la demande dépassant l’offre, de nombreux fans sont donc prêts à tout faire pour se procurer ces billets.
La FIFA a pris des mesures pour rendre plus difficile le fonctionnement des billetteries. Par exemple, elle n’autorise que l’achat d’un seul billet pour un match, et ce, par chaque fan de football. Le nom de ce dernier est également inscrit sur le billet.
Cependant, il est toujours possible pour les particuliers d’acheter des billets pour les invités et les rabatteurs en profitent. Dans ce cas, le prix des billets pour les invités pourrait être exorbitant, allant jusqu’à dix fois leur valeur nominale, et il augmentera probablement au fur et à mesure que l’événement approche.
Ce prix élevé signifie qu’il ne faut manquer aucune occasion de se procurer un billet moins cher. Cependant, il y a beaucoup d’arnaqueurs qui ont des sites Web enregistrés et se font passer pour des revendeurs et des tiers qui ont des tickets à vendre.
L’achat d’un billet sur un site quelconque, autre que le site officiel de la FIFA, représente un risque énorme. La seule garantie est que son prix sera sensiblement plus faible, mais il n’y a aucune garantie qu’il vous sera envoyé après le paiement.
Si un billet est acheté auprès d’un vendeur non officiel, il peut s’avérer être un faux. Pire encore, le paiement par carte de crédit ou de débit peut entraîner la liquidation du compte bancaire de l’acheteur.
Kaspersky Lab a détecté un grand nombre de domaines malveillants configurés et chargés de pages de phishing pour profiter de la ruée vers l’achat de billets avant les matches. Pour ajouter de la crédibilité, les pirates ont acheté des domaines comprenant les mots worldcup2018 et d’autres variantes portant sur ce thème.
De même, des certifications SSL bon marché ont été achetées. Par conséquent, le fait que l’adresse d’un site Web commence par HTTPS ne garantit pas sa légitimité. Les billets doivent être achetés uniquement sur le site officiel de la FIFA.
Escroqueries de compétition
Pourquoi payer un prix élevé pour un billet alors qu’il y a une chance d’en obtenir un gratuitement ?
De nombreux e-mails de phishing sur le thème de la Coupe du monde 2018 ont été détectés. Ils sont envoyés par millions et offrent aux fans de football la possibilité de gagner un billet gratuit pour un match.
Pour tenter sa chance, le destinataire de l’email doit enregistrer ses coordonnées. Mais ces données peuvent ensuite être utilisées pour d’autres campagnes de phishing et de spamming.
La deuxième étape de l’escroquerie se fait au cours de laquelle la personne soi-disant « chanceuse » est informée qu’elle a obtenu un billet.
Pour le récupérer, il lui suffit d’ouvrir une pièce jointe à un e-mail, mais cette action entraine l’installation d’un malware.
Notifications de la FIFA et prix offerts par les partenaires de la FIFA lors de la Coupe du Monde 2018
Méfiez-vous de toute communication de la FIFA ou d’une entreprise prétendant être l’un de ses partenaires officiels pour la Coupe du Monde.
Kaspersky Lab a détecté plusieurs e-mails qui semblent avoir été envoyés, à première vue, par la FIFA ou ses partenaires pour la Coupe du Monde 2018. Ces e-mails demandent habituellement au destinataire de mettre à jour son compte pour des raisons de sécurité.
Visa est une marque en particulier qui est usurpée dans les e-mails de phishing lors de la Coupe du monde 2018, et ce, pour des raisons évidentes.
Les fausses alertes de sécurité de Visa exigent que les informations d’identification de carte de crédit soient entrées sur des sites Web falsifiés. Si vous recevez une alerte de sécurité, le mieux serait donc de visiter le site Web officiel en tapant le domaine officiel dans le navigateur.
Et surtout, ne cliquez pas sur les liens contenus dans vos e-mails.
Escroqueries sur l’hébergement bon marché
Les billets d’avion pour les villes où se déroulent les matches de la Coupe du Monde sont difficiles à trouver, et avec plus de 5 millions de fans attendus en Russie lors de cet évènement, l’hébergement sera rare.
Les escrocs profitent de la rareté des vols et de l’hébergement, ainsi que le coût élevé des factures pour proposer des offres bon marché, généralement par le biais des spams.
De nombreux sites Web malveillants ont été créés pour imiter les agences de voyages et les fournisseurs d’hébergements officiels afin de tromper les imprudents et les inciter à divulguer les informations concernant leurs cartes de crédit.
Les commerçants sont également victimes d’usurpation d’identité. En effet, les pirates profitent d’eux pour vendre des répliques de chemises et divers autres vêtements de la Coupe du monde à prix réduit, via des e-mails.
Ces escroqueries par phishing de la Coupe du monde 2018 peuvent généralement être identifiées à partir du nom de domaine d’un site web, qui doit être vérifié avec soin. Les sites Web malveillants sont souvent des clones et ne se distinguent pas des sites Web officiels.
Nouvelles concernant les équipes, les matchs et les médailles de la Coupe du monde
Au début de la Coupe du Monde, il y aura probablement des vagues de spams envoyés avec des nouvelles sur les matchs, des informations sur les équipes, des cotes dans les paris et certains ragots sur les équipes et les joueurs.
Chaque grand événement sportif voit une variété de leurres envoyés via des spams pour inciter les utilisateurs à cliquer sur des liens et visiter des sites Web malveillants.
Les liens hypertextes dirigent souvent les utilisateurs vers des pages Web contenant de fausses pages de connexion (Facebook, Google, etc.), où les informations d’identification doivent être entrées avant que le contenu ne soit affiché.
Comment éviter d’être victime d’une escroquerie par phishing lors de la Coupe du monde 2018 ?
Ce ne sont que quelques-unes des escroqueries par phishing qui peuvent se produire lors de la Coupe du monde 2018.
Celles-ci ont déjà été détectées, mais on pourrait toujours s’attendre à bien d’autres choses avant que le gagnant de la Coupe du monde ne lève le trophée le 15 juillet prochain.
Les meilleures pratiques de sécurité standard aideront les amateurs de football à éviter les escroqueries par phishing pour la Coupe du monde 2018. Si vous en êtes un, assurez-vous de :
Ne pas acheter vos billets ailleurs que sur le site officiel de la FIFA.
Ne réserver les billets d’avion et l’hébergement qu’auprès de fournisseurs de confiance. Examinez-les sur internet avant d’effectuer un achat.
Ne jamais acheter de produits ou services annoncés dans des e-mails non sollicités.
Ne jamais ouvrir de pièces jointes dans les e-mails portant sur le thème de la Coupe du monde et provenant d’expéditeurs inconnus.
Ne pas cliquer sur les liens hypertextes dans les e-mails provenant d’expéditeurs inconnus.
Ne jamais cliquer sur un lien hypertexte tant que vous n’avez pas vérifié le vrai domaine. Évitez également de cliquer sur des URL raccourcies.
S’assurer que tous les logiciels, y compris les navigateurs et les plug-ins, soient mis à jour.
Avoir un logiciel antivirus à jour.
Mettre en œuvre une solution tierce de filtrage des spams pour empêcher la livraison de spams et de messages malveillants. Cette solution est particulièrement importante pour les entreprises afin d’empêcher les employés d’être dupés et d’installer des malwares sur leurs ordinateurs professionnels.
Rester vigilant. Si une offre semble trop bonne pour être vraie, il est fort probable qu’elle le soit réellement.
L’attaque de ransomware SamSam contre la ville d’Atlanta — qui a détruit plusieurs services municipaux essentiels pendant près d’une semaine en mars dernier — a montré à quel point les municipalités locales sont vulnérables aux attaques cybercriminelles.
Bien que la ville ait refusé de payer la rançon correspondante, l’attaque s’est révélée coûteuse au-delà de toutes les estimations initiales. Selon un document de sept pages examiné par deux médias locaux, le montant demandé par les pirates est d’environ 17 millions de dollars. Cette estimation comprend 11 millions de dollars associés au processus de nettoyage de virus dans les équipements ainsi qu’à l’achat de nouveaux matériels.
Les 6 millions de dollars restants sont alloués à de tiers entrepreneurs pour les services de sécurité et les mises à niveau logicielles nécessaires pour réparer les vulnérabilités et prévenir tout dommage futur.
Cet incident est le résultat d’un seul clic sur un lien contenu dans un e-mail, réalisé par un employé.
Environ 90% des cyberattaques commencent par un message électronique.
Avec la numérisation rapide des services des villes et l’intégration de technologies de ville intelligente utilisant des dispositifs IoT de mise en réseau, la tendance croissante des pirates à cibler les municipalités et les administrations locales semble certaine. Voici une courte liste des nombreuses attaques dont nous avons été témoins cet été.
Les attaques par ransomware ciblent aussi la Géorgie
Cinq mois après l’attaque d’Atlanta, le comté de Coweta qui se trouve au sud du comté d’Atlanta, a perdu l’usage de la plupart de ses serveurs, dont certains étaient hors service pendant près de deux semaines. Les auteurs de l’attaque exigeaient 50 Bitcoins, ce qui équivaut à environ 340 000 $.
Heureusement, pour le comté, tous les systèmes avaient été sauvegardés la veille de l’attaque du 19 août, ce qui explique en grande partie pourquoi le comté n’a jamais envisagé de payer la rançon. Le personnel informatique a été en mesure de rétablir le service à l’aéroport local, les services de sécurité publique et l’inscription des électeurs dans les 48 heures. Par la suite, ils ont rétabli les services du bureau gouvernemental, de tous les services judiciaires et d’autres services au cours des dix jours après l’attaque.
L’attaque contre le comté de Coweta montre comment les sauvegardes récurrentes constituent un moyen efficace de récupérer d’une cyberattaque telle que les ransomwares. L’attentat aurait dû coûter 17 millions de dollars aux contribuables, ce qui en fait l’un des attentats les plus coûteux pour les administrations locales en 2018.
Deux victimes dans les villes de l’Alaska
Situé juste à l’extérieur d’Anchorage, en Alaska, l’arrondissement de Matanuska-Susitna se remet encore d’une attaque qui a eu lieu le 24 juillet. L’arrondissement compte plus de 100 000 habitants et les employés municipaux ont dû avoir recours aux machines à écrire, à l’estampillage et à la documentation manuscrite.
Bien que la protection des logiciels locaux ait détecté des parties du malware qui ont infiltré le réseau le 17 juillet, ils n’ont pas détecté d’autres composants dormants qui ont déclenché l’infestation une semaine plus tard (c’est un excellent exemple qui démontre pourquoi vous ne devriez pas compter sur une seule couche de cybersécurité).
L’infection par les ransomwares a paralysé les réseaux gouvernementaux de l’arrondissement et a entraîné la fermeture d’une grande partie des systèmes informatiques infectés. Les experts en cybersécurité ont signalé que l’attaque était très avancée et elle a permis de chiffrer certaines sauvegardes du comté.
En conséquence, le système de messagerie était irrécupérable selon le responsable informatique. D’autres systèmes sont en cours de restauration avec des données datant d’un an, obligeant les employés à reconstruire manuellement les ordinateurs affectés.
C’était une attaque très insidieuse et très bien organisée. Le « virus » a été identifié comme étant le ransomware BitPaymer. Cette souche de ransomware a été vue pour la première fois en juillet 2017, lorsqu’elle a frappé une série d’hôpitaux écossais.
Après avoir accédé à un système d’information hospitalier, les attaquants se déplacent latéralement sur le réseau pour installer BitPaymer manuellement sur chaque système compromis. Il a été rapporté que le ransomware a ensuite chiffré les fichiers avec une combinaison d’algorithmes de chiffrement RC4 et RSA-1024. Les chercheurs disent qu’il n’y a actuellement aucun moyen de déchiffrer les fichiers verrouillés par le ransomware BitPaymer.
Quelques jours seulement après cette attaque, la ville de Valdez, en Alaska, a perdu l’usage de l’ensemble de son réseau en raison d’une attaque séparée contre ses installations. Selon le directeur municipal, l’attaque a commencé par quelques problèmes sur le site Web du service de police.
Lorsque le système antivirus installé n’a pas réussi à combattre la menace, tous les systèmes ont été arrêtés pour empêcher le cryptovirus de se propager aux services essentiels.
Le FBI a été alerté et la ville a réussi à se remettre de l’attaque en une semaine.
Perturbation dans les écoles de deux districts scolaires
En mars 2016, le Cloquet School District du Minnesota a été forcé d’annuler les cours pendant une journée afin de donner suffisamment de temps à son personnel informatique pour se remettre d’une attaque de rançon. Le même scénario s’est répété au sein du district scolaire le 13 août.
Tous les serveurs de l’école ont été chiffrés une fois de plus lors de cette attaque, mais les précieuses connaissances acquises lors de l’attaque précédente ont permis au district de s’en remettre beaucoup plus rapidement, sans trop d’interruption.
Pendant ce temps, un lycée public néo-zélandais a été victime d’une autre attaque liée à des clics sur des liens intégrés à des e-mails.
En réalité, les élèves de l’école secondaire Hawera ont perdu l’accès à une grande partie des travaux qu’ils ont récemment terminé. L’attaque a eu lieu le 2 août et les cybercriminels qui l’ont perpétrée ont demandé 5 000 $ pour déchiffrer les fichiers.
Heureusement, l’école était en train de migrer son système de stockage de données vers le cloud, ce qui a permis de préserver une grande partie de ses données vitales. Les cours se sont déroulés comme prévu, mais les enseignants ont dû relever le défi d’enseigner sans l’aide de la technologie pendant plusieurs jours.
Les autorités sanitaires perdent les dossiers de 1,5 millions de patients à cause de pirates informatiques
La ville de Hong Kong a avancé que son Département de la Santé était la cible d’une attaque de ransomware survenue le 3 août 2018.
L’attaque était le résultat d’une brèche de connées survenue deux semaines plus tôt. Trois des serveurs de l’organisation ont été touchés, rendant toutes ses données inaccessibles, sans aucune communication de la part des attaquants. Contrairement à l’attaque à grande échelle qui a eu lieu contre le ministère de la Santé de Singapour — qui a eu lieu deux semaines auparavant et entraîné la perte de plus de 1,5 million de dossiers médicaux —, aucune donnée n’a été compromise et le ministère a réussi à rétablir les dossiers perdus.
Hong Kong a également connu plusieurs cas majeurs de piratage informatique cette année. En avril, les données personnelles de 380 000 clients du Hong Kong Broadband Network — y compris les détails de plus de 40 000 cartes de crédit — ont été consultées sans autorisation.
En janvier, des ordinateurs de deux agences de voyages locales — Goldjoy Holidays et Big Line Holiday — ont été piratés et les renseignements personnels de leurs clients ont été confisqués par les pirates qui voulaient les échanger contre une rançon.
Les pirates utilisent actuellement des tactiques de plus en plus sophistiquées et des techniques d’autopropagation. Ainsi, il est plus important que jamais de bloquer les infections avant qu’elles n’atteignent votre réseau et se propagent.
Après une attaque par ransomware, une analyse complète du système doit être effectuée pour s’assurer qu’aucune porte dérobée (qui donne un accès secret au logiciel) n’a été installée et que toutes les traces de malwares sont supprimées.
Des protections supplémentaires doivent ensuite être mises en place pour s’assurer que de futures attaques ne se produiront plus.
Le coût réel d’une attaque par ransomware est considérable. Il est essentiel que les entreprises de toutes tailles disposent de protections appropriées pour prévenir ce genre de cybercriminalité et limiter sa gravité au cas où elle se produirait.
SamSam ne partira pas de si tôt.
Il suffit d’un simple clic pour que vous soyez confronté à des décisions similaires et contraint de payer des factures importantes. Empêchez les e-mails malveillants d’atteindre les boîtes de réception des utilisateurs de votre réseau informatique.
SpamTitan, par exemple, peut vérifier chaque URL d’un e-mail en se référant à des listes noires connues, avec une couverture Web active à 100 %. Cette solution vous permet d’empêcher vos utilisateurs de cliquer sur des liens dans les e-mails et qui pointent vers des sites malveillants.
Pour en savoir plus sur les principales fonctionnalités en termes de protection web de SpamTitan et sur les différentes solutions que vous pouvez mettre en place pour éviter de vous exposer aux attaques par ransomware, contactez l’équipe TitanHQ dès aujourd’hui.
