Une nouvelle campagne de malwares utilisant Microsoft Word sans macros a été détectée. L’ouverture d’un document Word envoyé par e-mail ne génère pas les avertissements habituels selon lesquels les macros doivent être activées.
Les employés peuvent avoir été avertis de se méfier de tout courriel contenant des pièces jointes et de ne jamais activer les macros sur les documents reçus par courriel. Cependant, l’utilisation de Microsoft Word sans macros signifie que même l’ouverture des pièces jointes d’e-mails peut impliquer le téléchargement de malwares si des correctifs n’ont pas été appliqués.
Le processus d’infection en plusieurs étapes utilise la vulnérabilité CVE-2017-11822 Word pour installer un voleur d’informations. CVE-2017-11822 a été patché par Microsoft l’année dernière, mais les entreprises qui n’ont pas récemment corrigés leurs systèmes seront encore vulnérables à cette attaque.
CVE-2017-11822 est une vulnérabilité dans Office Equation Editor. Le bug peut se produire avec Microsoft Office depuis 17 ans. Mais l’an dernier, Microsoft a jugé que la vulnérabilité d’exécution du code était importante, mais pas critique. Cependant, de nombreux professionnels de la sécurité n’étaient pas d’accord et ont affirmé que la vulnérabilité était très dangereuse, car le bug pouvait être exploité par les pirates informatiques pour exécuter un code arbitraire et qu’elle était présente dans toutes les versions Office.
Microsoft Equation Editor est une application qui permet l’insertion et l’édition d’équations complexes dans des documents Office en tant qu’éléments OLE. L’an dernier, les chercheurs en sécurité ont été en mesure d’exploiter la vulnérabilité pour exécuter une séquence de commandes, y compris le téléchargement de fichiers à partir d’Internet. Cette campagne déclenche également le téléchargement d’un document — un fichier RTF (Rich Text File) — via un objet OLE intégré dans le document Word.
L’objet OLE ouvre le fichier RTF qui utilise la vulnérabilité pour exécuter une ligne de commande MSHTA, laquelle télécharge et exécute un fichier HTA contenant un VBScript. Le VBScript décompresse un script PowerShell qui, à son tour, télécharge et exécute le malware voleur d’informations. Le but du malware est de voler les mots de passe de navigateurs Web, de comptes de messagerie électronique et de serveurs FTP.
La campagne de malware a été conçue pour cibler les entreprises. Jusqu’à présent, quatre modèles d’e-mails ont été détectés par les chercheurs de SpiderLabs, mais beaucoup d’autres seront certainement utilisés au cours des prochains jours et semaines.
Les quatre courriels interceptés ont les lignes d’objet :
Relevé de compte TNT
Demande d`offre de prix (RFQ)
Notification de transfert envoyé par télex
Copie rapide pour le paiement du solde
Bien qu’un correctif ait été publié l’année dernière pour remédier à cette vulnérabilité, ce mardi, Microsoft a pris d’autres mesures en supprimant certaines des fonctionnalités de Microsoft Equation Editor pour empêcher l’exploitation de CVE-2017-11882.
Les entreprises peuvent atténuer cette attaque de trois façons principales :
S’assurer que les installations et les systèmes d’exploitation de Microsoft Office sont mis à jour à 100 % et régulièrement.
Utiliser un logiciel antispam pour empêcher la livraison de courriels malveillants aux utilisateurs finaux
Formation des utilisateurs finaux aux meilleures pratiques en matière de cybersécurité et aux dangers liés à l’ouverture des documents Office provenant d’une personne inconnue. Vous devriez également envisager d’envoyer un avertissement au sujet de cette campagne de malware et des lignes d’objet qui ont été utilisées.
Toute organisation qui s’appuie sur la messagerie électronique comme principal canal de communication devrait savoir comment éviter le blacklistage des serveurs email.
Si vous recevez un message de rebondissement indiquant que votre adresse IP x.x.x.x est mise sur liste noire par une organisation de spam, cela signifie que cette adresse IP a été mise sur liste noire pour l’envoi d’e-mails non sollicités. Une telle inscription est généralement due à une plainte déposée auprès de l’organisme de lutte contre le spam. Les conséquences de l’inscription de votre serveur de messagerie sur une liste noire peuvent être coûteuses et préjudiciables à la réputation de votre organisation. Alors, comment éviter le blacklistage de vos serveurs email ?
Pour mieux comprendre ce que le blacklistage des serveurs email peut signifier pour votre organisation, l’idéal serait de savoir comment fonctionnent les filtres de serveur de messagerie.
Par conséquent, nous avons réparti cet article en plusieurs sections, expliquant d’abord ce que sont les filtres de serveur email, ce qui peut ensuite entraîner l’inscription de votre serveur de messagerie sur une liste noire et enfin comment éviter ce genre d’inscription.
Généralités
Personne ne pense jamais que cela pourrait leur arriver, jusqu’à ce que ce soit le cas. Imaginez que vous et vos collaborateurs passez votre journée à envoyer des e-mails à vos clients, partenaires, etc., mais personne ne semble vous répondre. Vous avez donc une étrange sensation que vous n’existez plus et vous vous renseignez auprès de votre collègue, lequel reconnaît quand même votre existence. Pourtant, il vous signale également qu’un des vendeurs a reçu un rebondissement d’e-mails lorsqu’il a essayé de vous envoyer un message.
Qu’est-ce qui pourrait expliquer ce fait ? Il existe plusieurs raisons à cela, mais avez-vous pensé que votre serveur de courrier électronique a été peut-être mis sur liste noire ?
Avec la prévalence des spams qui circulent massivement dans le monde, il est plus que jamais important pour les administrateurs système de comprendre les causes potentielles de l’inscription de leur adresse IP sur une liste noire. Les spammeurs de nos jours ont recours à différentes sortes d’astuces dans le but d’envoyer le plus grand nombre possible de spams sans révéler leur identité. Pour ce faire, ils utilisent diverses techniques comme l’ingénierie sociale, l’utilisation de malwares, les réseaux de bonnets, la falsification des en-têtes de message, ou encore l’exploitation des failles au niveau des systèmes de messagerie électronique ou des infrastructures de réseau.
Les spammeurs misent essentiellement sur les chiffres. Leur tactique est d’envoyer des milliers de messages de spam, ce qui ne coûte pratiquement rien. Il suffit qu’une petite poignée de personnes clique sur un lien malveillant, s’abonne à une newsletter, ou achète un produit annoncé dans le message pour que le spammeur puisse en tirer profit.
Si votre serveur de messagerie n’est pas correctement sécurisé, il risque d’être infecté par un malware ou de faire partie d’un réseau de robots collecteurs de spams. Et même si votre serveur n’est pas infecté par des malwares, votre adresse IP pourrait se retrouver sur une liste noire.
Qu’est ce qu’un spam ?
Ce qui est surprenant, c’est que pour un concept qui suscite tant d’intérêt sur le web, le terme « spam » est un peu difficile à définir avec précision. La définition qui est la plus explicite est peut-être celle de Spamhaus. Selon la marque, un message électronique est considéré comme du « spam » si :
L’identité personnelle ainsi que le contexte du destinataire ne sont pas pertinents et que le message est applicable à de nombreux autres destinataires.
Le destinataire n’a pas fourni de manière vérifiable l’autorisation explicite, délibérée et toujours révocable de l’envoyer.
En réalité, le spamming est plutôt une question de consentement que de contenu. Que le contenu du message électronique non sollicité ou « Unsolicited Bulk Email (UBE) » soit de la publicité, du porno, de l’escroquerie, une lettre de mendicité, une offre de repas gratuit, etc., cela n’a pas d’importance. Du moment que le message a été envoyé en masse et de manière non sollicitée, alors il s’agit d’un spam.
Quelle que soit la cause, si un fournisseur de service de messagerie électronique sanctionne plusieurs serveurs, il constitue ce qu’on appelle une « liste noire ».
Bref aperçu des filtres de serveur email
Les filtres de serveur de messagerie ne filtrent pas réellement vos emails entrants au niveau du serveur. Ils protègent votre entreprise contre les spams et les autres menaces véhiculés via le cloud ou sous la forme d’une application virtuelle installée entre votre pare-feu et votre serveur de messagerie. La distinction entre ces deux types de filtres est que les applications virtuelles peuvent être plus appropriées pour certaines grandes entreprises.
Quelle que soit la façon dont ils sont déployés, les filtres de messagerie fonctionnent efficacement de la même manière, à savoir en utilisant des tests frontaux rapides pour détecter et rejeter la majorité des spams avant de procéder à une analyse plus approfondie de l’email. L’un de ces tests préliminaires consiste à comparer chaque email à une liste de sources connues de spams. Cette liste est connue sous le nom de Realtime Block List ou RBL.
C’est quoi exactement une RBL ou « RealTime Blacklist »?
Une RBL est une liste d’adresses IP de tiers ayant été signalées ou détectées comme ayant récemment envoyé du spam. Le terme « RealTime » (qui signifie littéralement « en temps réel ») signifie que les inscriptions de ces adresses peuvent se faire peu de temps après la détection d’une campagne de spam et exigent souvent que les administrateurs des adresses IP d’envoi prennent des mesures afin de résoudre rapidement le problème (mot de passe compromis, script malveillant intégré à un e-mail sur le serveur, etc.).
Imaginez que vous regardez une série policière : une liste noire est dans ce cas la liste des personnes qui causent différentes sortes de problèmes et qui doivent être arrêtées. Dans le monde de l’informatique, une RBL est une liste d’adresses IP, d’expéditeurs ou de domaines soupçonnés d’envoyer du spam et qui doivent être bloqués.
Une RBL créée par une organisation antispam bloquera l’adresse IP de votre serveur de messagerie au cas où les messages que vous avez envoyés seraient jugés « indésirables ». La plupart des listes noires traitent les demandes de radiation en quelques heures. Certaines peuvent même le faire en moins de 30 minutes.
Si l’adresse IP de votre organisation apparaît sur la RBL, tous vos emails seront rejetés par la plupart des filtres email jusqu’à ce que cette adresse IP soit retirée de la liste. Pourtant, la résolution de ce problème peut prendre 24 heures à six mois. Pendant ce temps, vous devrez demander à vos clients et aux autres contacts d’ajouter votre adresse email à une liste blanche sécurisée ou « whitelist ».
Pourquoi ajouter votre adresse email à une liste blanche ?
Contrairement à la RBL, la liste blanche est un moyen de s’assurer que les serveurs de messagerie des destinataires de vos messages ne bloquent pas les e-mails en tant que spam lorsqu’ils sont envoyés depuis le même domaine. Si vous remarquez également que des e-mails légitimes provenant de vos contacts spécifiques sont incorrectement marqués comme spam par votre serveur de messagerie, vous pouvez mettre sur liste blanche l’adresse IP de ces contacts. Ceci étant fait, les messages provenant de ces personnes ne seront plus considérés comme du spam.
En établissant une liste blanche, vous éviterez ces problèmes et vous pourrez contourner les filtres anti-spam inutiles ainsi que les contrôles de la liste noire.
Pourquoi mon serveur mail a-t-il été blacklisté ?
Il existe plusieurs raisons pour lesquelles une adresse email (ou une adresse IP) peut être blacklistée, et il est important de connaître la raison exacte avant d’essayer de faire supprimer cette adresse de votre organisation de la RBL.
Si vous ne parvenez pas à identifier la cause et que vous ne prenez pas les mesures nécessaires pour éviter que le serveur de messagerie ne soit blacklisté, il risque facilement de l’être à nouveau à l’avenir.
Le blacklistage se produit généralement pour l’une ou l’autre des raisons suivantes :
Votre système a été infecté par un spambot qui a créé plusieurs comptes de messagerie avec le nom de domaine de votre organisation et utilisé ces comptes pour envoyer des spams.
Un utilisateur dans votre organisation a révélé ses identifiants de connexion qu’un spammeur a utilisés pour envoyer des spams à partir du compte de messagerie de l’utilisateur en question.
Les emails envoyés de manière innocente à partir d’un ou plusieurs comptes d’utilisateurs finaux contiennent une forte proportion de mots-clés liés à des spams ou à des fichiers infectés.
Le dernier scénario se produit notamment lorsque l’utilisateur final a préparé une présentation ou une feuille de calcul sur un ordinateur domestique infecté et a apporté le fichier infecté dans le lieu de travail via une clé USB.
La plupart des filtres de messagerie disposent d’un logiciel antivirus permettant d’identifier les malwares dans les pièces jointes. Si la pièce jointe infectée est envoyée à plusieurs destinataires, et au cas où elle serait identifiée par plusieurs filtres de messagerie, l’adresse IP de votre organisation est rapidement blacklistée.
Liste des bases de données de contrôle des listes noires de serveurs email les plus populaires
Le fait d’être sur la liste noire ne signifie pas nécessairement que vous avez commis un délit ou une action illégale. Le problème des RBL est que, parfois, une source légitime de messagerie électronique peut aussi y être ajoutée, par exemple, parce que votre ordinateur a été infecté par un virus ou parce que vous avez partagé l’adresse IP que vous envoyez avec un spammeur.
Il importe donc de vérifier de temps en temps votre liste de domaines et d’adresses IP dans la base de données des RBL mondiales, dont voici quelques-unes des plus populaires. La plupart de ces bases de données comprennent également les adresses de spammeurs connus, de serveurs proxy, de relais SMTP ouverts, des botnets et des codes malveillants :
Barracuda
Composite Blocking List (CBL)
Invaluement
Senderbase
SenderScore
Spam and Open Relay Blocking System (SORBS)
Spamcop
Spamhaus Block List (SBL)
XBL Exploits Block List
Passive Spam Block List (PSBL)
Si vous voulez vérifier rapidement si votre serveur email a été ajouté à une liste noire, vous pouvez choisir une ou plusieurs de ces ressources et entrer son adresse ou votre adresse de protocole Internet dans la zone de saisie. Au cas où votre adresse IP serait effectivement sur la liste noire, alors que vous n’avez pas envoyé du spam, vous pouvez demander un retrait et suivre attentivement les instructions sur le site. Il est également possible que votre serveur de messagerie figure sur de nombreuses listes noires. Dans ce cas, contactez votre fournisseur d’accès Internet ou votre fournisseur de messagerie pour lui demander de résoudre le problème en votre nom.
Comment éviter le blacklistage des serveurs email ?
L’idéal serait que les entreprises soient en mesure d’éviter blacklistage des serveurs email.
Pour ce faire, il faut qu’elles disposent d’une protection antivirus robuste et informent les utilisateurs finaux sur la sécurité web.
Elles devraient également mettre en place une politique d’utilisation de la messagerie électronique, ce qui éviterait le blacklistage des serveurs email en raison d’un contenu inapproprié ou de pièces jointes dangereuses, même lorsque ces événements se produisent par inadvertance.
Malheureusement, les utilisateurs finaux sont le maillon le plus faible de la chaîne de sécurité informatique. Il suffit qu’un utilisateur final clique sur une URL malveillante, ou révèle ses identifiants de connexion, pour que l’adresse IP de votre organisation soit blacklistée.
Et sachez que le blacklistage est la pire conséquence d’une atteinte à la sécurité. Si votre organisation parvient à s’en sortir indemne d’un tel évènement, elle devrait se considérer comme chanceuse, car les conséquences n’étaient pas beaucoup plus graves.
La meilleure façon d’éviter le blacklistage des serveurs email est d’utiliser un filtre de messagerie qui bloque les URL malveillantes pour empêcher les utilisateurs finaux de visiter des sites web infestés de malwares.
Le filtre doit également être associé à une protection contre le phishing pour rejeter les emails pouvant rediriger un utilisateur final vers un faux site web.
À ceux-ci devrait s’ajouter un système d’analyse des courriers électroniques sortants. C’est un bon moyen d’identifier les spams et les infections potentiels joints aux (ou contenus dans les) emails sortants.
En fait, bien qu’il soit possible que votre serveur email puisse se retrouver sur une liste noire sans que cela soit de votre faute, il est aussi possible que cela se produise si vous envoyez de gros volumes de messages non sollicités, en particulier si certaines des adresses électroniques ne sont pas valides. Cela peut par exemple se produire lorsque vous envoyez de nombreux e-mails marketing lors d’une campagne commerciale. Pour évitez cela, assurez-vous de n’envoyer des messages qu’aux personnes qui ont « opté » pour la liste et n’achetez jamais une liste de contacts. Utilisez également une fonction de « désabonnement » sur les courriers électroniques pour que vos contacts puissent se désabonner quand ils le souhaitent.
Évitez le blacklistage des serveurs email avec SpamTitan
Toutes les solutions de filtrage des emails ne disposent pas de mécanismes permettant d’éviter le blacklistage des serveurs email. Cependant, l’équipe de SpamTitan a pris en compte ce facteur lorsqu’elle a conçu SpamTitan Cloud et SpamTitan Gateway.
Nos deux solutions de filtrage d’emails utilisent les protocoles « URIBL » et « SURBL » qui permettent de comparer les liens contenus dans les emails entrants et leurs pièces jointes avec une liste noire mondiale de sites malveillants et de sites de phishing connus.
Les mêmes protocoles, et plusieurs autres mécanismes, sont utilisés dans l’analyse des emails sortants pour s’assurer qu’ils sont exempts de virus et qu’ils ne peuvent pas être interprétés comme renfermant un contenu spammé.
L’analyse des emails sortants permettrait également d’identifier les spams provenant d’un spambot ou d’un compte de messagerie compromis. Cela évite le fait qu’ils arrivent dans les boites de réception de vos employés et le blacklistage des serveurs email.
SpamTitan Cloud et SpamTitan Gateway sont dotées de fonctions de reporting complètes qui vous informent des éventuels problèmes afin qu’ils puissent être corrigés rapidement et efficacement.
Cette mesure peut être mise en œuvre plus rapidement que si vous essayez de faire supprimer l’adresse IP de votre organisation de la Realtime Block List.
Une nouvelle escroquerie de sextorsion a été détectée et tentait de faire croire au destinataire du message que son compte de messagerie avait été compromis et que son ordinateur était sous le contrôle total d’un pirate.
Cette escroquerie par email est très convaincante ; contient une menace inquiétante et exige un paiement pour empêcher la divulgation d’informations potentiellement dommageables.
Méfiez-vous des pirates qui usurpent votre propre adresse email
En quelques années seulement, la cybercriminalité est passée d’une activité de piratage classique à une menace inquiétante et un phénomène largement répandus.
De nos jours, il est plus que jamais facile de télécharger des outils et des manuels pratiques pour s’initier à la cyberextorsion dans le but de mener des attaques réussies via le dark web ou à travers une organisation de piratage informatique. Ceci signifie que, même si vous n’avez pas de compétences approfondies en matière de gestion des réseaux informatiques ou en programmation, vous pourrez être embauché immédiatement par ces organisations, ou lancer une cyberattaque d’une autre façon.
Parmi les moyens les plus prisés par les pirates, on peut citer l’envoi d’emails falsifiés pour donner l’impression qu’ils proviennent de quelqu’un d’autre que la victime connaît. Cela n’a rien de nouveau. Les pirates et les arnaqueurs le font depuis de nombreuses années.
Par le passé, les emails de sextorsion incluaient généralement le mot de passe de la victime. Pour trouver ces informations, les attaquants faisaient des recherches dans des forums, rapports, etc., qui révèlent des atteintes à la protection des données. De ce fait, la victime peut penser que les menaces étaient réelles. De nos jours, ils peuvent prétendre d’avoir accès au compte de messagerie de la cible en usurpant l’expéditeur de l’email falsifié pour le rendre encore plus convaincant.
Pour avoir une idée de l’importance des menaces de sextorsion, vous devez savoir que su certains forums clandestins, les pirates peuvent obtenir rapidement des guides sur le chantage en ligne et la cyberextorsion pour moins de 9 euros. Sur ces forums web sombres, ils peuvent aussi acheter des identifiants d’utilisateur, des codes d’accès à vote réseau internet, voire consulter des documents sensibles que vous pouvez imaginer. Ces informations comprennent par exemple la propriété intellectuelle des meilleurs studios de cinéma hollywoodiens.
Il n’est donc pas étonnant que parmi les victimes, les pirates ont réussi à duper des personnes célèbres telles que Cassidy Wolf, la Miss Teen USA. Cette dernière a été victime de chantage de la part d’un arnaqueur qui a utilisé la sextorsion connue sous le nom de « Blackshades », ce qui lui a permis d’avoir des photos nues d’elle via sa webcam.
Ce genre d’attaque est généralement appelé « escroquerie à la sextorsion » ou « chantage à la webcam ». Des millions voire des milliards d’emails similaires ont certainement été envoyés au fil des ans, et la situation ne fait qu’empirer.
Avez-vous déjà reçu un message de ce type ?
Voici un message type que les pirates utilisent pour escroquer les gens via la sextorsion. Si ce n’est pas encore le cas, alors méfiez-vous, car d’autres personnes en étaient déjà victimes.
Patrick Gilmour <patrickgilmour@outlook.com>
À : (votre adresse e-mail)
03 juillet à 10:29
Bonjour,
Je sais que le mot de passe de votre compte de messagerie est XXXXXXXXXXXXXX. Il est évident que vous ne me connaissez pas. Alors, vous pourriez vous demander pourquoi vous recevez cet e-mail, n’est-ce pas ?
En fait, je vais vous expliquer. J’ai installé un malware sur les vidéos pour adultes. Vous savez quoi, vous avez visité ce site, peut-être pour vous amuser (vous voyez de quoi je parle en fait).
Pendant que vous étiez occupé à regarder les vidéos, j’ai utilisé votre navigateur web pour qu’il fonctionne comme un RDP (Remote desktop). Les enregistreurs de touches m’ont permis d’accéder à votre écran et à votre webcam. De cette manière, mon logiciel a pu collecter vos contacts complets sur votre compte Messenger, votre page Facebook et d’accéder à vos e-mails.
J’ai fait une capture d’écran et j’ai pu regarder ce que vous avez fait lorsque vous avez consulté la page. Je pourrai très bien envoyer cela à vos contacts.
Qu’est-ce que vous pouvez faire ?
Eh bien, c’est facile, vous m’envoyer de l’argent et je garderai notre petit secret. Il suffit d’effectuer le paiement via Bitcoin (c’est facile, il faut juste faire des recherches sur Google en tapant « Comment acheter des Bitcoins ? ».
Mon compte Bitcoin est : XXXXXXXXX (À noter que ce compte est temporaire. Il faut donc le copier-coller).
Important :
Vous disposez d’un jour pour effectuer le paiement. Au cas où je ne recevrais pas les Bitcoins, je vais envoyer vos vidéos à tous vos contacts, même à vos collègues et à vos parents. Par contre, si vous payez la somme, la vidéo sera effacée immédiatement.
Vous avez besoin d’une preuve ? Alors, répondez tout simplement par un « oui » et j’enverrai votre vidéo à cinq de vos contacts. Bien entendu, l’offre est non négociable, alors vous aurez intérêt à ne pas perdre votre temps pour répondre à ce message.
Ce type de message a été envoyé à plusieurs personnes, mais sachez qu’il est toujours utilisé par les pirates pour arnaquer les gens.
Une nouvelle arnaque de sextorsion a été découverte
Dans le corps du message, l’utilisateur est informé que son ordinateur a été piraté. En effet, le pirate informatique prétendait avoir installé un virus sur son ordinateur lorsqu’il a visité un site web pour adultes. Le virus a permis au pirate d’accéder aux informations sensibles sur l’ordinateur de l’utilisateur, y compris tous ses mots de passe, ce qui a donné à l’attaquant le contrôle total de sa webcam et l’accès aux sites web qu’il a visités en temps réel.
Pendant que l’utilisateur visitait des sites web pornographiques, la webcam enregistrait et envoyait les séquences vidéo au pirate. Ce dernier prenait également des captures d’écran du contenu qui était visionné à ce moment-là. Il prétend avoir synchronisé le contenu du site web avec la vidéo de la webcam et a produit une vidéo très embarrassante, déclarant « Vos goûts sont si étranges ».
Le pirate a menacé d’envoyer cette vidéo à tous les contacts de l’utilisateur, ses amis, sa famille et son partenaire par email. La vidéo serait également affichée sur les médias sociaux.
Pour éviter ce scénario potentiellement désastreux, le pirate a exigé que le paiement soit effectué avec des Bitcoins, auquel cas il a indiqué que la vidéo serait définitivement supprimée. Cette arnaque sera sans doute familière aux téléspectateurs de la série télévisée Black Mirror, dont l’un des épisodes récents a fait référence à une arnaque de sextorsion très similaire.
Les personnes qui reçoivent l’email et qui n’ont pas visité de sites web pornographiques, ou celles qui ne disposent pas de webcam seront naturellement en mesure d’identifier le message comme une arnaque. Cependant, pour de nombreuses personnes, la menace peut sembler réelle. Les personnes ayant visité des sites douteux, ou qui ont beaucoup à perdre si de tels renseignements sont divulgués sont susceptibles d’être extrêmement préoccupées par une telle menace.
Cependant, il s’agit d’une escroquerie de sextorsion où l’attaquant n’a aucun moyen de pression. Il n’y a pas de virus, pas de vidéo de webcam, et c’est une menace vide de sens, mais certains destinataires n’étaient pas prêts à prendre le risque. Selon le chercheur en sécurité SecGuru, qui a reçu une version de l’email en néerlandais, le compte Bitcoin utilisé par l’escroc avait reçu des paiements de 0,37997578 Bitcoin dans les deux premiers jours de la campagne, soit environ 3124 euros. 7 jours après le premier paiement, le compte a révélé que 1,1203 Bitcoin, soit une somme d’environ 5729 euros, avait été payée par 15 personnes.
Une escroquerie de sextorsion similaire a été menée pendant l’été, laquelle avait aussi une tournure intéressante. Elle avait recours à un ancien mot de passe que l’utilisateur avait utilisé pour son compte de messagerie et que le pirate avait obtenu à partir d’un transfert de données. Pour ce cas précis, le mot de passe était réel, du moins à un moment donné dans le passé, ce qui donnait à l’utilisateur l’impression que l’arnaque était authentique.
Dans cette escroquerie, une nouvelle technique a été utilisée en plus de l’inclusion d’un mot de passe. L’adresse du pirate a été falsifiée pour faire croire qu’il a également eu accès au compte de messagerie de l’utilisateur. Les noms de l’expéditeur et du destinataire dans les emails étaient identiques. Le message semblait donc avoir été envoyé à partir du compte de l’utilisateur.
Il existe une vérification rapide et facile qui peut être effectuée pour déterminer si le nom de l’expéditeur affiché dans un email est un compte authentique. Il suffit de cliquer sur le bouton « Transférer ». Ceci étant fait, le nom de l’affichage devrait s’afficher, mais aussi l’adresse email réelle à partir de laquelle le message a été envoyé. Pour le cas susmentionné, cette simple vérification n’a pas fonctionné, ce qui signifiait que l’email a bien été envoyé depuis le compte de l’utilisateur.
Plusieurs escroqueries similaires ont été menées récemment sur un thème similaire. Une autre arnaque a fait appel à une pièce jointe à un email qui, selon le pirate, contient la vidéo qu’il a créée. Il s’agit d’un fichier exécutable capable de télécharger des malwares sur l’appareil de l’utilisateur.
Si vous recevez un tel email, vous devez le supprimer, plutôt que de prendre une autre mesure. Par mesure de précaution, effectuez une recherche complète des malwares sur votre ordinateur et modifiez les mots de passe de votre compte de messagerie ou de médias sociaux.
De nos jours, les escroqueries à la sextorsion peuvent aussi exploiter les produits IoT
En date du 18 juillet 2018, le site krebsonsecurity.com a rapporté une nouvelle arnaque à la sextorsion, bien que les premiers signalements aient été détectés sur Reddit au mois d’avril.
Selon ce site, le message aurait été envoyé par un prétendu hacker qui a compromis l’ordinateur de ses victimes et utilisé leurs webcams pour enregistrer une vidéo d’eux lorsqu’ils regardaient des contenus pornographiques.
Le pirate leur menaçait de diffuser la vidéo à tous les contacts de ses victimes, sauf s’ils décident de payer une rançon en Bitcoins. Cette menace n’a rien de particulière, hormis le fait que les messages contenaient de vrais mots de passe liés à l’adresse de messagerie des victimes.
Les destinataires du message malveillant avaient déclaré que les mots de passe mentionnés dataient de près de 10 ans. Ils ont aussi affirmé ne pas avoir utilisé ces mots de passe sur leurs ordinateurs actuels.
Bien entendu, le fait que les identifiants soient anciens aurait dû mettre la puce à l’oreille des victimes, d’autant plus que leurs ordinateurs n’avaient en réalité pas été piratés. Mais comme les pirates utilisaient des mots de passe anciennement valides, associés à l’éventuelle honte d’avoir regardé du porno, voire la possibilité que ces contenus puissent être révélée à leurs amis et connaissances, tout ceci était bien suffisant pour forcer la plupart d’entre eux à payer les rançons.
Pour ce cas, les e-mails semblaient provenir des 4 coins du monde, bien que 90 % d’entre eux aient été rédigés en anglais, avec quelques mauvaises traductions françaises. L’autre élément important est aussi le fait que les messages utilisaient l’internet des objets (IoT) telles que des caméras, des routeurs et des sites Internet piratés. De plus, la plupart des adresses électroniques des pirates étaient aléatoires. Ils utilisaient par exemple ces comptes Outlook et Hotmail, comme :
Environ 600 000 e-mails ont été envoyés, contenant dans la plupart des cas une adresse Bitcoin pour le paiement de la rançon. Une somme équivalente à environ 26 600 euros a été payée sous la forme de rançon suite à cet évènement.
Ce qu’il faut retenir de ce genre de situation est que l’attaque de sextorsion est bien réelle et cyclique. Les hackers ne cessent d’analyser les résultats de leurs attaques puis de les affiner pour éviter d’être repérés par les solutions de sécurité de la messagerie mises en place par les organisations.
Même la CIA a été utilisée par les pirates pour mener leurs attaques
Oui, les pirates informatiques se font passer pour des agents qui officient au sein de la CIA pour demander aux internautes de payer une rançon. Ils ont affirmé que les utilisateurs étaient en possession de pédopornographie et menaçaient de les interpeller.
Imaginez que vous receviez un e-mail dont l’objet se présente comme suit :
Central Intelligence Agency – Affaire N° 45362978
Pourriez-vous croire qu’une personne aux intentions malveillantes, quelque part dans le monde, aurait commis une erreur pour vous envoyer un fichier classé top secret ? Il est bien possible que vous soyez dupé par un tel message, mais vous avez certainement tort, car il s’agit d’une autre méthode d’extorsion que les pirates peuvent utiliser dans le cadre d’une sextorsion.
Pire encore, pour attirer votre attention, les auteurs de ces e-mails prétendent avoir trouvé vos coordonnées et vous êtes maintenant impliqué dans l’affaire N° 45362978, mentionnant que vous possédez et distribuez de la pornographie juvénile. Ajoutez à cela le fait que la CIA est actuellement en train d’interpeller 2 000 personnes suspectées de pédophilie dans plusieurs pays.
Le message vous informe que le pirate dispose des accès au dossier de l’affaire et peut vous aider à éviter cette détention. Pour ce faire, il doit juste effacer toutes les informations compromettantes, à condition que vous payiez environ 8 900 euros en Bitcoin. Et pour combler le tout, sachez que les pirates ne vous donnent pas beaucoup de temps pour réfléchir à une telle situation, étant donné que les premières détentions auront lieu dans quelques semaines. Le soi-disant employé de la CIA qui vous envoie le message, et qui semble le seul à pouvoir vous aider, veut que l’argent soit viré sous neuf jours.
Ce genre de message a été envoyé à des milliers, voire des millions de personnes. Les pirates espéraient que quelqu’un d’entre elles mordent à l’hameçon, et c’était bien le cas. Même s’ils ne parvenaient qu’à duper que quelques personne, ils ont trouvé leur compte vu la somme que celles-ci ont payé suite à l’arnaque.
Le sextorsion est-elle une activité rentable pour les hackers ?
Cette forme d’escroquerie est devenue très rentable pour les fraudeurs, lesquels peuvent actuellement gagner plus de dizaines de milliers de dollars en une semaine. Elle a été vue pour la première fois aux Pays-Bas. Le principe est toujours le même. Les arnaqueurs en ligne envoient des emails malveillants à des destinataires pour les informer qu’ils ont été surpris en train de regarder du contenu pour adulte via leur webcam. Si ces derniers ne paient pas la rançon, les pirates les menacent de diffuser tout leur linge sale en public.
Même s’il ne s’agit pas d’une arnaque d’extorsion de fonds, il faut dire que la plupart des victimes tombent malheureusement dans le panneau.
Les raisons sont nombreuses, dont voici quelques-unes :
La plupart des gens qui regardent des contenus pour adultes sur le web seraient horrifiés à l’idée qu’ils aient été filmés en faisant des actes embarrassants et que leur réputation puisse être affectée.
Même si très peu de personnes effectuent le paiement de la rançon, sachez que le coût de l’envoi de millions de spams est quasiment nul. De ce fait, les pirates peuvent faire des profits en augmentant le volume des emails malveillants qu’ils envoient.
Pour donner une nouvelle tournure à la sextorsion, les cybercriminels peuvent aussi envoyer des mots de passe qu’ils prétendent avoir volés et qui peuvent servir de preuves qu’ils ont vraiment espionné la victime.
Pourtant, les affirmations selon lesquelles les cybercriminels auraient réussi à voler des mots de passe et à avoir accès à la webcam de leurs victimes semblent être des mensonges. Ils ont tout simplement recueilli des mots de passe via des fuites de données antérieures.
L’ironie du sort est qu’ils arrivent encore à tromper suffisamment de gens, pour gagner plus de 30 Bitcoins en quelques semaines. Cela dit, les cybercriminels peuvent maintenant gagner trois fois plus que les pirates derrière le ransomware WannaCry, même si en 2017, ce denier s’est répandu rapidement dans le monde.
Un chercheur en sécurité aux Pays-Bas, connu sous le nom de SecGuru, a récemment évoqué qu’il existe deux variantes du spam de sextorsion. La première variante n’intègre aucun mot de passe volé et le montant de la rançon se situe entre 200 et 700 $. Pour la seconde variante, qui contient un mot de passe, le montant de la rançon s’élevait entre 1 900 et 8 000 $.
Pour cette dernière, les emails ont été envoyés via des comptes de messagerie Microsoft Outlook et Hotmail réelle, rendant ainsi les spams plus difficiles à bloquer. De plus, les pirates ont actuellement tendance à utiliser de nombreux portefeuilles Bitcoin pour recevoir des fonds pour échapper plus facilement à toute enquête.
Deux éléments importants
Comme vous pouvez le constater, la sextorsion repose sur deux éléments principaux. C’est pour cette raison que vous pouvez facilement l’éviter.
Le premier élément est que les pirates profitent de votre méconnaissance de l’informatique. Ils en profitent pour vous faire peur et pour vous impressionner.
Parmi les signes qui devraient vous mettre la puce à l’oreille, on compte l’utilisation des mots trop techniques tels que « Remote desktop » ou « enregistreurs de touches » dans notre exemple. Dans la plupart des cas, il peut vous informer d’avoir découvert une faille sur votre routeur ; d’avoir déposée un cheval de Troie sur votre ordinateur, etc. Bien entendu, il est bien possible qu’il parvienne à faire cela, mais cela peut éventuellement être une chose très compliquée à mettre en œuvre. Dans d’autres cas, il peut se vanter d’avoir sauvegardé l’intégralité des données dans votre disque dur (ce ne serait tout de même pas possible de sauvegarder tous les disques de toutes ses victimes.
L’autre élément essentiel est qu’il tente de vous paralyser et surtout de vous empêcher de réfléchir afin que vous puissiez déceler les failles ainsi que les erreurs grossières contenues dans le message. Pour éviter les arnaques, gardez toujours à l’esprit que tout ce qui est dit ou écrit sur internet n’est pas forcément véridique. Les pirates peuvent utiliser différentes sortes de méthodes pour abuser de votre méconnaissance et votre attitude lorsque vous surfez sur la toile.
Enfin, vous devriez également faire attention aux paiements via des cryptomonnaies telles que le Bitcoin. C’est un autre élément qui devrait attirer votre attention sur le fait qu’il peut s’agir d’une escroquerie. Sachez que le Bitcoin est une monnaie virtuelle très difficile à tracer et c’est pour cela qu’il est souvent utilisé sur internet pour certaines transactions douteuses. Cela ne signifie pas pour autant que vous voyez cette monnaie virtuelle comme dangereuse. L’astuce est de vous méfier lorsque quelqu’un vous demande d’effectuer un paiement via une méthode peu conventionnelle. Cela dit, il existe également d’autres solutions qui vous permettent d’éviter ces attaques.
Comment empêcher et prévenir les arnaques de sextorsion ?
Il est crucial pour les utilisateurs d’en apprendre davantage sur les nouvelles menaces sur Internet, car il est déjà prouvé qu’elles peuvent très bien réussir à leur faire peur pour qu’ils effectuent des paiements.
Ignorer les emails non sollicités
La meilleure façon de traiter attaques de phishing et de sextorsion est d’ignorer ou de supprimer, plutôt que de répondre aux emails non sollicités.
S’ils parviennent à ouvrir les messages, les utilisateurs ne devraient pas ouvrir les documents qui y sont attachés ou cliquer un lien qui semblent suspicieux.
Certains d’entre eux peuvent encore cliquer par inadvertance sur les liens fournis. Ils atterrissent donc sur un site web malveillant. Dans ce cas, si la plate-forme en ligne leur demande de fournir leurs informations personnelles ou d’envoyer un montant d’argent, les utilisateurs ne devaient pas tout simplement s’exécuter.
Après un tel évènement, vous devriez réaliser une analyse complète de votre ordinateur par le biais d’un programme antivirus.
L’authentification à 2 facteurs
De votre côté, vous pouvez également protéger les utilisateurs des attaques de sextorsion. Vous pouvez par exemple avoir recours l’authentification à 2 facteurs. Il s’agit d’une protection importante qui empêche l’accès non autorisé aux comptes d’utilisateurs.
Pour vous explique le concept, imaginez qu’un mot de passe utilisateur est divulgué, obtenu ou deviné lors d’une attaque de phishing, une deuxième méthode d’authentification peut empêcher les pirates d’accéder à son compte, comme un appel téléphonique.
Dans de nombreux cas, cette tactique permet d’éviter les attaques de phishing, mais elle n’est pas infaillible. D’aucuns pensent actuellement qu’il s’agit d’une couche de sécurité supplémentaire peu couteuse et importante qui vaut la peine d’être mise en œuvre. Mais elle doit être combinée à d’autres solutions.
Suivre la règle de sauvegarde 1-2-3
Malgré les efforts que vous déployez en matière de sensibilisation de vos employés ou pour mettre en place le système d’authentification à deux facteurs, il n’est pas rare que les pirates parviennent à contourner vos systèmes de sécurité informatique. Pour toutes les attaques de phishing, de sextorsion ou de malwares, la solution est peut-être de s’assurer que vos données sensibles soient protégées, quelle que soit la situation.
La règle de sauvegarde 3-2-1 peut dans ce cas être considérée comme une excellente alternative. Cet acronyme facile à retenir et il permet de protéger vos données dans presque toutes les situations de défaillance.
La règle est simple, à savoir :
Conserver au moins 3 copies de vos données,
Stocker 2 copies de sauvegarde sur différents supports de stockage,
L’une (1) des copies de sauvegarde doit se trouver hors site.
Trop d’entreprises et d’organisations ont déjà souffert de l’atteinte à la protection des données ; d’une infection par des malwares ou d’attaques ciblées comme la sextorsion. La vraie question est de savoir si votre entreprise est prête à faire face aux pires des scénarios en matière de cybercriminalité. Si vous avez besoin de conseils avisés à ce sujet, sachez que l’équipe de TitanHQ peut vous aider. Elle vous propose également d’autres outils qui vous permettront de renforcer votre sécurité informatique et de récupérer vos données après un sinistre (incendie, catastrophe naturelle, etc.).
Les solutions TitanHQ
Les entreprises peuvent protéger leurs réseaux contre les infections de malwares contre de telles escroqueries en mettant en œuvre deux solutions de cybersécurité. Le premier consiste à déployer un filtre antispam avancé pour empêcher les emails frauduleux d’être envoyés aux utilisateurs finaux. La seconde, quant à elle, consiste à déployer une solution de filtrage web pour bloquer les téléchargements de malware et empêcher en même temps les utilisateurs de visiter des sites web pour adultes sur le lieu de travail.
TitanHQ est une marque spécialisée en matière de fourniture de solutions de sécurité des emails et du web. Actuellement, nous proposons des solutions fiables à plus de 5 000 organisations dans 129 pays. Des produits de sécurité web avancés qui sont capables de bloquer les menaces en ligne, telle que la sextorsion, et d’empêcher les infections par des malwares ou des ransomwares.
Pour chaque gamme de produits, nous offrons de multiples options pour les entreprises soucieuses de protéger leurs données sensibles contre le vol et la divulgation non autorisée. Ces options protègent votre entreprise contre les attaques directes, les attaques par drive-by, celles du type Man-in-the-middle (MITM) et celles qui peuvent être lancées via les objets connectés. SpamTitan est, par exemple, un filtre de messagerie avancé qui peut reconnaître et bloquer plus de 99,9 % des emails non sollicités.
C’est également une solution adaptée pour contrer les tentatives de phishing et les communications frauduleuses. À noter que SpamTitan est extrêmement rapide, évolutif, très facile à déployer et à utiliser. Bref, il dispose de toutes les fonctionnalités dont votre entreprise pourrait avoir besoin pour mettre en place un service de messagerie électronique sûr et peu coûteux.
Pour plus d’informations sur les avantages de ces solutions de cybersécurité, leurs prix, ou pour demander une version démo afin d’avoir une idée quant à leur fonctionnement en situation réelle, contactez dès aujourd’hui l’équipe TitanHQ.
Questions fréquentes sur les attaques de Sextorsion
Pourquoi se méfier de l’arnaque à la webcam ?
Selon Vade Secure – une enseigne qui réalise des recherches approfondies sur ce genre d’escroquerie – de nouvelles versions d’e-mails qui utilisent la sextorsion sont signalés tous les jours. Les hackers analysent continuellement les résultats de leurs attaques et affinent leurs tactiques afin d’éviter d’être repérés par les solutions de sécurité des e-mails.
Plus de 7 millions d’e-mails de sextorsion ont été envoyés aux victimes, êtes-vous dans la liste ?
Selon les chercheurs de l’entreprise Cofense, plus de 7 millions d’adresses e-mails liés à la sextorsion ont été enregistrés au cours du premier semestre 2019 seulement. Cela a impliqué le versement de plus de 1,3 million d’euros en Bitcoin.
Pourquoi il ne faut pas céder à la panique ?
Dans la plupart des cas, les e-mails de sextorsion sont suffisamment percutants pour pousser leurs victimes à céder. Pourtant, il ne faut pas oublier qu’il s’agit d’un faux piratage de votre webcam même si les pirates parviennent à utiliser des informations inquiétantes comme votre mot de passe ou votre identifiant de connexion sur des sites pour adultes. Vous n’avez donc aucune raison de vous inquiéter.
De nos jours, quelles sont les nouvelles tactiques utilisées par les pirates dans le cadre de la sextorsion ?
En avril dernier, une nouvelle arnaque a été dévoilée. Les pirates ne se contentent plus de divulguer les contenus pour adultes aux contacts de leurs victimes. Ils profitent également de la pandémie du Covid-19, en les menaçant d’infecter toutes leurs familles avec le virus en cas de non-paiement de la rançon. Cela semble absurde, mais cela fonctionne.
Qui sont les gens susceptibles de mener cette attaque ?
N’importe quel pirate informatique peut mener les attaques de sextorsion, à condition qu’il dispose des ressources et du savoir-faire nécessaires. Mais ce sont souvent des groupes de criminels organisés, pour la plupart basés à l’étranger, qui sont derrière cette attaque.
Une nouvelle escroquerie par phishing de FedEx a été détectée et semble cibler les universités et les entreprises. Des e-mails non sollicités dont l’objet est « Avis de livraison FedEx » ont été envoyés aux utilisateurs expliquant que FedEx n’a pas été en mesure de livrer un colis. L’email prétend que le poids du colis était supérieur à la limite du poids permis et qu’il n’était pas admissible à la livraison gratuite.
Les destinataires de l’e-mail sont informés que pour retirer le colis, ils doivent se rendre au dépôt FedEx local en personne. Le colis ne sera pas libéré à moins que l’utilisateur ne présente une étiquette à l’expéditeur, qu’il est tenu d’imprimer.
L’escroquerie sophistiquée par phishing de FedEx n’a aucune pièce jointe à un e-mail, mais celui-ci intègre un lien, sauf que le lien ne semble pas être un site malveillant. Les attaquants utilisent Google Drive pour distribuer leurs malwares.
C’est une tactique de plus en plus courante qui abuse de la confiance de Google. Etant donné le site Web est authentique – drive.google.com – les utilisateurs sont moins susceptibles de croire qu’ils sont victimes d’une fraude. L’hyperlien dirigera l’utilisateur vers Google Drive et déclenchera le téléchargement d’un fichier appelé Lebal copy.exe. Un fichier exécutable qui, lorsqu’il est exécuté, installera les malwares.
Beaucoup de gens savent qu’il ne faut pas exécuter de fichiers exécutables, mais dans ce cas, le fichier est déguisé en PDF et il a l’icône PDF. Si les extensions de fichier connues ne sont pas configurées pour être affichées sur l’ordinateur des utilisateurs – ce qui est maintenant courant – ils ne sauraient pas que le fichier n’est pas un PDF.
La dernière arnaque a été découverte par des chercheurs de Comodo, qui ont identifié le malware comme un cheval de Troie appelé TrojWare.Win32.Pony.IENG. Celui-ci est capable de voler des cookies, des identifiants, et des informations des clients FTP.
Il peut aussi tenter d’obtenir et d’accéder à des portefeuilles cryptomonnaies, d’extraire un large éventail de données utilisateur et de transmettre les informations à son serveur de commande et de contrôle. Le malware utilise diverses tactiques pour éviter d’être détecté par les défenses anti-malware et anti-virus.
Les universités et les entreprises tombent dans le piège de phishing FedEx
Selon Comodo, jusqu’à présent, 23 entreprises, plusieurs employés du gouvernement et cinq employés d’université ont été victimes de cette arnaque.
Comme ces entreprises étaient protégées par un logiciel antivirus capable de bloquer les malwares, elles ont évité l’infection, mais beaucoup d’autres n’auront pas cette chance.
Pour se protéger contre de telles escroqueries, il faut des moyens de défense à plusieurs niveaux et la vigilance de l’utilisateur. Les entreprises devraient utiliser des filtres antispams pour détecter et mettre en quarantaine les spams de ce genre. Les liens vers Google Drive peuvent être difficiles à bloquer, car Google Drive est un site Web légitime. Des défenses antivirus et anti-malwares doivent donc être mis en place pour détecter le téléchargement malveillant.
Les entreprises ne doivent pas oublier l’importance des utilisateurs humains dans la chaîne de sécurité. La formation de sensibilisation à la sécurité et les simulations de phishing peuvent les aider à détecter une escroquerie par phishing de FedEx comme celle susmentionnée.
Les utilisateurs de Netflix ciblés par les attaques de phishing
Une nouvelle escroquerie sophistiquée de Netflix est apparue ces derniers jours. Les utilisateurs de Netflix se verront suspendre leur adhésion à Netflix en raison d’un problème lors du traitement du paiement le plus récent.
L’e-mail semble avoir été envoyé par Netflix et comprend tous les éléments de marque appropriés, ce qui le rend très convaincant. L’objet du message est « Suspension de votre adhésion ».
L’e-mail indique qu’il y a eu un problème lors de la validation du paiement le plus récent. Un lien est ensuite fourni dans l’e-mail, demandant à l’utilisateur de valider son paiement et ses informations de facturation.
En cliquant sur le lien, l’utilisateur est dirigé vers ce qui semble être le site Web de Netflix où il est invité à passer par une série d’étapes pour valider son compte. Le processus de validation exige qu’il saisisse à nouveau les renseignements relatifs à sa carte de paiement et que le fait de ne pas compléter l’étape entraîne la suspension de son compte Netflix.
Le site Web contient la bonne image de marque et ressemble exactement au site légitime. L’URL est différente, mais le site Web est en HTTPS et a le cadenas vert. Un simple coup d’œil à l’URL peut ne pas révéler qu’il y a un problème avec le site.
Les solutions de filtrage de spam telles que SpamTitan peuvent détecter ce type d’escroquerie, mais les utilisateurs doivent faire preuve de prudence, car tous les e-mails de phishing ne peuvent pas être bloqués.
Les utilisateurs doivent vérifier soigneusement l’URL de tout site qu’ils visitent pour s’assurer qu’il est légitime avant de saisir des informations sensibles. Les liens envoyés dans les e-mails doivent être vérifiés en passant la flèche de la souris sur le lien pour trouver l’URL réelle.
Un tel e-mail devrait inciter l’utilisateur à se rendre sur Netflix à l’aide de son signet habituel ou en tapant l’URL dans son navigateur, plutôt que de se rendre sur les liens qu’il contient.
Les organisations de soins de santé sont la cible de hackers et des escrocs, et l’email est le vecteur d’attaque n° 1. 91% de toutes les cyberattaques commencent par un email de phishing.
Les chiffres du groupe de travail antiphishing indiquent que les utilisateurs finaux ouvrent 30% des emails de phishing qui arrivent dans leurs boîtes de réception.
Il est donc essentiel d’empêcher ces emails d’atteindre les boîtes de réception, tout comme il est essentiel de former les employés du secteur de la santé pour qu’ils soient davantage sensibilisés à la sécurité informatique.
Étant donné qu’un grand nombre d’atteintes à la protection des données dans les organismes de soins et de santé sont attribuables aux emails de phishing, ces établissements doivent donc mettre en place des moyens de défense robustes pour prévenir les attaques.
De plus, la sécurité des emails est un élément important de la conformité à la loi HIPAA. Le non-respect des règles de l’HIPAA sur la sécurité des emails est passible d’une sanction pécuniaire en cas d’atteinte à la protection des données.
La sécurité des emails est un élément important de la conformité à la HIPAA
Les règles de la HIPAA exigent que les organismes de soins et de santé mettent en œuvre des mesures de protection pour sécuriser les renseignements médicaux électroniques protégés afin d’assurer leur confidentialité, leur intégrité et leur disponibilité.
La sécurité des emails est un élément important de la conformité à l’HIPAA. Avec autant d’attaques sur les réseaux, à commencer par les emails de phishing, il est essentiel pour les organismes de soins et de santé de mettre en œuvre des mesures de protection contre l’hameçonnage afin de protéger leurs réseaux.
Le Bureau des droits civils du ministère de la Santé et des Services sociaux a déjà imposé des amendes aux organismes de soins de santé qui ont été victimes d’atteintes à la protection des données lorsque des employés ont été victimes d’emails de phishing. UW medicine a par exemple versé 750 000$ à l’Office for Civil Rights (OCR) à la suite d’une attaque liée à un malware lorsqu’un employé a répondu à un email de phishing. Le Metro Community Provider Network a également réglé une affaire de phishing pour 400 000$.
L’évaluation des risques est l’un des aspects de la conformité à la HIPAA en ce qui concerne la messagerie électronique. Elle devrait couvrir tous les systèmes, y compris les emails. Les risques doivent être évalués, puis gérés et réduits à un niveau approprié et acceptable.
Pour assurer la gestion du risque de phishing, il faut faire appel à la technologie et à la formation. Tous les emails devraient être acheminés par une passerelle email sécurisée, et il est essentiel que les employés reçoivent une formation pour les sensibiliser au risque de phishing et quant aux mesures à prendre au cas où ils recevraient un email suspect.
Comment sécuriser les emails, prévenir et identifier les attaques de phishing ?
De nos jours, les emails de phishing sont sophistiqués, bien écrits et très convaincants. Il est souvent difficile de les distinguer d’une communication légitime.
Cependant, il existe des mesures simples que tous les organismes de soins et de santé peuvent prendre pour améliorer la sécurité des emails.
Le simple fait d’adopter les mesures ci-dessous peut réduire considérablement le risque de phishing et la probabilité de subir une atteinte par courriel.
Bien que la désinstallation de tous les services de messagerie soit le seul moyen le plus sûr de prévenir les attaques de phishing, c’est loin d’être une solution pratique. La messagerie électronique est essentielle pour communiquer avec les membres du personnel, les intervenants, les associés d’affaires et même les patients.
Étant donné que les emails sont incontournables, les organismes de soin et de santé devraient prendre deux mesures pour mieux les sécuriser :
Implémentez une solution antispam tierce dans votre infrastructure de messagerie électronique
Sécuriser votre passerelle email est la mesure la plus importante à prendre pour prévenir les attaques de phishing qui ciblent votre entreprise. De nombreuses organisations de soins et de santé ont déjà ajouté une solution antispam pour empêcher les courriels non sollicités d’être livrés dans les boîtes de réception des utilisateurs finaux. Mais qu’en est-il des services de messagerie dans le cloud ?
Avez-vous déjà sécurisé votre passerelle de messagerie électronique Office 365 avec une solution tierce ? Vous devriez donc être protégé par le filtre antispam de Microsoft. Mais pour qu’un email malveillant n’atteigne pas les boîtes de réception des utilisateurs finaux, vous avez besoin de défenses plus solides.
SpamTitan s’intègre parfaitement à Office 365 et offre une couche de sécurité supplémentaire qui bloque les malwares connus et plus de 99,9% des spams.
Formez continuellement vos employés et ils deviendront des actifs de sécurité
Les utilisateurs finaux — la cause d’innombrables violations de données — représentent une épine dans le pied pour le personnel de sécurité informatique.
Ils sont un maillon faible et peuvent facilement défaire les meilleures défenses de sécurité. Toutefois, ils peuvent être transformés en actifs de sécurité et en une impressionnante dernière ligne de défense. C’est possible, mais il faut les former, et une seule séance de formation par an ne suffit pas.
La formation de l’utilisateur final est un élément important de la conformité HIPAA. Bien que ce texte ne précise pas sa fréquence, la formation devrait être un processus continu.
Le Bureau des droits civils du ministère de la Santé et des Services sociaux a récemment mis l’accent sur certaines pratiques exemplaires en matière de formation à la sécurité des emails dans son bulletin de juillet sur la cybersécurité. Il suggère que « le programme de formation d’une organisation devrait être un processus continu, évolutif et suffisamment souple pour informer les membres du personnel des nouvelles menaces à la cybersécurité et des mesures à prendre pour y faire face ».
La fréquence de la formation devrait être dictée par le niveau de risque auquel fait face une organisation. De nombreuses entités ont opté pour des sessions de formation semestrielles pour leur personnel, avec des bulletins d’information mensuels. Des mises à jour de sécurité ont également été envoyées par email, incluant des informations sur les dernières menaces telles que les nouvelles escroqueries par phishing et les techniques d’ingénierie sociale.
Par ailleurs, l’OCR a rappelé aux entités visées par la HIPAA qu’il n’y a aucune méthode de formation qui correspond à tous les employés.
Il est préférable de mélanger les méthodes et d’utiliser une variété d’outils de formation, comme la formation sur la TCC, les séances en classe, les bulletins d’information, les affiches, les alertes par courriel, les discussions d’équipe et les exercices de simulation d’attaques par emails de phishing.
Étapes simples pour vérifier les emails et identifier les escroqueries de phishing
Les employés du secteur de la santé peuvent réduire considérablement le risque de tomber dans une escroquerie par phishing en effectuant quelques vérifications. Avec la pratique, ces vérifications deviennent une seconde nature.
Passez la souris sur l’hyperlien dans l’email pour faire afficher et vérifier le vrai nom de domaine. Tout texte d’ancre, c’est-à-dire un texte pointant vers un autre URL que l’URL réel, doit être traité comme suspect jusqu’à ce que le nom de domaine réel soit identifié. Vérifiez également que l’URL de destination commence par HTTPS.
Ne répondez jamais directement à un email — cliquez toujours sur transférer. C’est un peu plus lent, mais vous verrez l’adresse email complète de la personne qui a envoyé le message. Vous pouvez ensuite comparer ce nom de domaine à celui utilisé par l’entreprise.
Portez une attention particulière à la signature de l’email — tout email légitime doit contenir des informations de contact. Cela peut être falsifié, ou de vraies informations de contact peuvent être utilisées dans un email spam, mais les cybercriminels font souvent des erreurs dans les signatures qui sont faciles à identifier.
N’ouvrez jamais une pièce jointe d’un expéditeur inconnu — Si vous avez besoin d’ouvrir la pièce jointe, ne cliquez jamais sur un lien dans le document ou sur un objet intégré, ou cliquez pour activer le contenu ou exécuter des macros. Si vous n’êtes pas sûr de vous, envoyez l’email à votre service informatique et demandez une vérification.
N’effectuez jamais un virement bancaire demandé par email sans vérifier la légitimité de la demande.
Les organisations légitimes ne demanderont pas d’informations d’identification par email.
Si on vous demande de prendre des mesures urgentes pour sécuriser votre compte, n’utilisez aucun des liens contenus dans cet email. Visitez plutôt le site officiel en tapant directement l’URL dans votre navigateur. Si vous n’êtes pas 100% de l’URL, vérifiez sur Google.
Que vous exploitiez un hôtel, un café ou un magasin, les clients s’attendent à avoir accès à Internet dans vos locaux, mais assurez-vous de sécuriser votre réseau WiFi invité.
Fournir un accès internet à vos visiteurs professionnels et vos clients présente de nombreux avantages. Pourtant, si vous ne sécurisez pas votre réseau WiFi invité, ces derniers, tout comme vous, vous exposer à un risque considérable.
Pourquoi l’accès à Internet est-il si important ?
En 2013, une étude a révélé que 80 % des clients des magasins estimaient que la fourniture d’un accès WiFi gratuit influencerait leurs décisions d’achat. Si les détaillants fournissent un accès WiFi invité, ils sont susceptibles d’attirer plus de clients potentiels dans leurs magasins et de générer plus de vente.
Les entreprises de nos jours doivent s’adapter à l’augmentation des solutions d’achats en ligne. Les clients préfèrent mener des recherches sur le web avant de faire un achat ou de s’inscrire à votre service, par exemple en lisant les avis et commentaires des internautes.
Si votre établissement n’offre pas d’accès à Internet, vos clients seront plus susceptibles de ne passer à l’acte d’achat qu’ultérieurement. Il y a donc de fortes chances que la vente se fasse en dehors de votre magasin.
La meilleure solution est de les garder dans votre magasin et leur permettre d’accéder à Internet, ce qui augmentera vos chances de réaliser une vente.
Bien entendu, si vous n’êtes pas en mesure de concurrencer les gros détaillants en ligne, tels qu’Amazon, vous pouvez toujours fournir gratuitement le WiFi et bloquer l’accès à leurs sites web.
Voici quatre avantages concrets de la fourniture du service WiFi pour votre entreprise :
La disponibilité du WiFi augmente la satisfaction de vos clients
Quel que soit votre secteur d’activité, sachez que les clients considèrent l’accès au WiFi dans votre entreprise comme indispensable. Si auparavant, le principe consistait tout simplement à répondre aux attentes des clients, de nos jours, il est question de fournir un avantage non-négligeable pour votre enseigne.
Dans l’industrie hôtelière en particulier, l’inexistence d’un accès WiFi dans votre établissement peut emmener vos clients à se tourner vers d’autres concurrents qui offrent un tel service.
Pour les acteurs dans d’autres secteurs qui nécessitent l’attente des clients, comme dans les entreprises qui travaillent sur rendez-vous (cabinets médicaux, salons de beauté, cabinets juridiques, etc.), la disponibilité du WiFi permet de réduire l’aspect négatif des temps d’attente, tout en améliorant le confort de vos clients en cas de retard imprévu.
De même, les clients pourront faire des recherches sur vos produits en magasin et être plus confiants dans leurs décisions d’achat.
Mais le plus important, c’est que le WiFi vous permet de créer de nouvelles opportunités marketing.
En effet, vous pouvez créer un portail en ligne où vous pouvez offrir des coupons, des actualités à propos de vos services, des recommandations personnalisées ou encore des récompenses de fidélité à vos clients.
Bien entendu, lorsque vos clients attendent dans votre hall, la disponibilité du WiFi leur permet de publier des photos ou faire des témoignages sur leur expérience dans votre établissement.
Autrement dit, ils peuvent faire une promotion gratuite pour votre entreprise sur leurs médias sociaux préférés.
Promouvoir la productivité grâce au WiFi
Une bonne connexion sans fil, c’est au profit de vos employés, lesquels pourront augmenter leur productivité.
Les applications dans le cloud permettent à vos collaborateurs de travailler de n’importe où, avec des partenaires du monde entier. Le cloud leur permet de sauvegarder les données sensibles sur vos clients et celles de votre entreprise, en toute sécurité, de sorte que vos collaborateurs et invités peuvent y accéder à tout moment, quoi qu’il arrive.
Cela dit, la disponibilité du WiFi permet donc de consolider et de rationaliser le flux de travail de vos employés, sans avoir besoin d’installer un logiciel ou un équipement supplémentaire.
Une autre option consiste à utiliser le WiFi pour l’optimisation de votre système téléphonique. Désormais, la voix sur IP (VoIP) est devenue la norme pour les entreprises, ainsi que d’autres technologies de communication basées sur le web.
L’existence d’une connexion WiFi vous permet, en effet, d’acheminer et de réacheminer sans effort tous les appels entrants et sortants, même si un membre-clé de votre équipe est en déplacement. Vos collaborateurs pourront donc s’adapter facilement à la croissance de votre établissement dans la mesure où ils sont joignables à tout moment, pour un coût réduit.
Cette option est toute aussi importante, car elle permet de résoudre les problèmes ou de prendre des décisions le plus rapidement possible.
Un moyen d’augmenter la satisfaction de vos employés
L’un des meilleurs moyens de maintenir la motivation et l’engagement de vos employés est de fournir les meilleurs outils pour qu’ils puissent mener à bien leurs tâches quotidiennes.
Si vous voulez que vos collaborateurs aient l’impression que vous vous occupez d’eux – et si vous avez déjà essayé de regarder comment ils travaillent lorsque le temps de chargement d’une page web est trop long –, vous aurez donc pu constater la différence entre la disponibilité d’une bonne ou d’une mauvaise connexion WiFi.
Si vos employés peinent à ouvrir les pages sur lesquelles ils doivent travailler, cela peut affecter leur productivité et leur humeur. En déployant une connexion WiFi rapide et fiable, vous les aidez à mieux faire leur travail avec moins de frustration.
Mieux encore, un réseau sans fil permet à vos collaborateurs de se déplacer d’un bureau à l’autre pour trouver le meilleur espace pour se concentrer. Grâce à cela, ils peuvent travailler dans un endroit plus calme, au bout du couloir, dans leur bureau personnel, etc.
Lorsque vos employés arrivent à trouver l’environnement qui leur convient à un moment donné, vous augmenterez leur productivité et leur satisfaction.
Optimisez vos bénéfices grâce au WiFi invité
Tous les avantages commerciaux susmentionnés vont de pair avec le WiFi.
Mais ce qui rend ce service très intéressant, c’est que vous n’avez pas besoin d’équipements coûteux ou de passer des heures à installer un logiciel qui sera difficile à utiliser pour fournir un réseau Internet fiable dans vos locaux.
En effet, le WiFi professionnel offre un retour sur investissement important, à condition que vous choisissiez un bon fournisseur de connexion sans fil. Oui, contrairement à ce que l’on peut souvent imaginer, toutes les offres d’accès à Internet sans fil ne se ressemblent pas.
La plupart des fournisseurs proposent un très haut débit de connexion.
Mais ce n’est pas forcément le critère de choix le plus important à prendre en considération. C’est nécessaire pour échanger régulièrement des fichiers lourds ou lorsque plusieurs ordinateurs doivent se partager une même connexion. Mais un bon fournisseur d’accès WiFi doit également être en mesure de renforcer la sécurité de votre réseau sans fil.
Pourquoi le fait de sécuriser le WiFi invité est-il si important pour les entreprises ?
Il y a des avantages considérables à offrir un accès Internet gratuit à vos clients. C’est un service qu’ils souhaitent bénéficier, mais que vous pouvez aussi utiliser pour communiquer avec eux.
En outre, l’internet sans fil est une occasion pour vous de recueillir des informations précieuses sur vos clients (coordonnées, intérêts, etc.) dans le but de mener une future campagne marketing ciblée.
Vous devez toutefois noter que le Règlement général sur la protection des données (RGPD) exige l’obtention d’un consentement de vos clients avant toute collecte et utilisation de leurs données personnelles.
L’enjeu est que, lorsque vous donnez à vos clients et invités l’accès à Internet, cela expose votre entreprise à certains risques en matière de cybercriminalité. Si ces risques ne sont pas atténués, les dommages qui en découlent peuvent vous coûter très cher.
Vous avez peut-être formé vos employés pour qu’ils soient plus vigilants quant à la sécurité informatique et mis en place des politiques couvrant l’utilisation autorisée d’Internet.
Mais vos invités, vos clients et bien d’autres visiteurs sont susceptibles d’avoir des opinions différentes sur le contenu accessible via votre réseau WiFi. Ils pourraient profiter de l’absence de restrictions pour accéder à des contenus inappropriés comme la pornographie.
Ils peuvent aussi se livrer à des activités douteuses sur le plan moral ou éthique via votre réseau, voire procéder à des activités illégales comme les téléchargements qui violent le droit d’auteur.
Pire encore, vous devez réaliser que votre réseau WiFi ne s’arrête pas aux murs de votre bureau. Il peut s’étendre sur plus de 300 mètres dans les airs. Si vous n’arrivez pas à sécuriser correctement votre point d’accès, des personnes aux intentions malveillantes ou non peuvent y accéder.
Ceci peut réduire considérablement le débit de votre connexion.
En outre, des pirates peuvent installer délibérément ou accidentellement des malwares, des ransomwares ou mener des attaques de phishing.
En sécurisant votre connexion WiFi invité, vous allez vous protéger, mais vous protégez aussi vos clients et autres utilisateurs lorsqu’ils se connectent à votre réseau.
Vous pourrez par exemple bloquer les attaques du genre « man-in-the-middle », les téléchargements de malwares et les attaques de phishing. Vous serez aussi en mesure de réduire la responsabilité légale si vous contrôlez soigneusement les sites web qui peuvent être consultés par les utilisateurs.
Un exemple d’une attaque du type Man-In-The-Middle
Une attaque du type « Man-In-The-Middle » nécessite trois intervenants.
D’un côté, il y a la victime. De l’autre côté, il y a l’entité ou la personne avec laquelle la victime essaie de communiquer. Enfin, il y a l’« homme du milieu ».
Le « Man-In-The-Middle – MiTM » tente d’intercepter les communications entre la victime et la personne avec laquelle elle souhaite s’adresser. L’élément critique du scénario est que les deux premiers acteurs ne sont pas conscients de l’existence du MiTM qui est généralement un pirate informatique.
Le pirate peut établir des connexions WiFi avec des noms SSID à consonance très légitime, comme celui de l’entreprise avec laquelle elle veut communiquer.
Une fois qu’un utilisateur se connecte au WiFi du pirate, l’attaquant pourra surveiller ses activités en ligne et intercepter ses informations de connexion. Il peut également voler des informations relatives à des cartes de paiement, etc.
Bien que le nombre d’attaques du type MiTM ait diminué ces dernières années, celles-ci se produisent toujours.
Prenons l’exemple d’une attaque contre le groupe russe APT 29 – également connu sous le nom de Fancy Bear – à travers laquelle les pirates ont piraté l’OIAC (Organisation pour l’interdiction des armes chimiques en Hollande) en 2018.
La police néerlandaise avait trouvé quatre agents russes dans une voiture garée à l’extérieur de l’organisation. Ces derniers tentaient de pirater le réseau sans fil de l’OIAC et de mettre en place un point d’accès MiTM pour voler les références des employés.
En avril 2018, les centres de cybersécurité britanniques et américains ont également émis des avertissements selon lesquels « Des cybercriminels Russes, parrainés par un État-nation ciblaient activement les routeurs des entreprises et des foyers ».
Les cybercriminels russes voulaient mener des attaques du type MiTM dans le cadre d’un espionnage. Ils tentaient d’extraire la propriété intellectuelle des organisations et de permettre l’accès à des réseaux d’entreprises.
Aujourd’hui, les attaques du type MiTM sont le plus souvent couronnées de succès lorsque les utilisateurs se connectent à un routeur WiFi compromis.
Ces routeurs représentent un point faible en termes de sécurité, car ils ne sont pas souvent mis à jour ou parce qu’ils ont des protocoles non chiffrés hérités ou des paramètres par défaut faibles.
Méfiez-vous également des attaques de phishing lancées via le WiFi
Dans les hôtels et autres espaces publics, un autre type d’attaque pourrait être utilisé par les pirates : il s’agit de l’attaque « evil twin phishing ».
Dans le cadre de cette arnaque, les utilisateurs sont incités à saisir à nouveau leur mot de passe WiFi sur un réseau crée par un pirate, en usurpant le nom du réseau légitime.
Les utilisateurs innocents peuvent être amenés à taper leurs identifiants et leurs mots de passe sur le site compromis, plutôt qu’avec celui du fournisseur légitime du réseau WiFi.
En octobre dernier, la chaîne hôtelière Marriott International a dû payer 530 000 euros pour régler une plainte déposée auprès de la Commission fédérale des communications, selon laquelle elle utilisait la technologie de blocage du WiFi dans l’un de ses établissements pour obliger les clients à payer pour accéder au réseau WiFi de l’hôtel.
Marriott International a ensuite déposé une pétition, demandant à l’agence de déclarer que les opérateurs WiFi ont le droit de gérer leurs réseaux en utilisant des équipements approuvés par la Commission fédérale des communications.
Dans une récente déclaration sur son site, la chaîne hôtelière a déclaré que cette affaire découle de la nécessité de bloquer les points d’accès WiFi malveillants via lesquels les pirates pourraient mener des attaques depuis les salles de réunion et de conférence de l’hôtel et que cette réglementation ne s’appliquait pas à l’accès WiFi dans les espaces du hall et dans les chambres d’hôtel.
Qu’il s’agisse d’une bonne décision ou non, la question n’est pas là.
En réalité, il suffit de regarder les statistiques pour avoir une idée de l’importance de la menace du phishing. Selon un rapport publié en 2018 par la société de sécurité FireEye, le nombre d’arnaques de phishing a augmenté de 65 % au cours de l’année 2017.
En se basant sur les attaques les plus récentes, le montant des sommes volées par les pirates via le phishing varie de 270 000 à 9,8 millions d’euros. Selon IBM, si les pirates parviennent à exploiter une « méga brèche », le montant des dommages pourrait aller de 315 millions jusqu’à plusieurs milliards d’euros.
Cela ne veut pas pour autant dire que vous ne devez jamais offrir une connexion WiFi au grand public, mais il vaut la peine d’être prudent et de suivre quelques précautions de base.
L’attaque karma
Chaque fois que le WiFi d’un appareil utilisateur est allumé, mais non connecté à un réseau, il diffuse ouvertement les SSID des réseaux qui y ont été précédemment associés afin de tenter de se connecter à l’un d’entre eux. Ces petits paquets peuvent être consultés par toute personne se trouvant dans la zone concernée.
Les informations recueillies à partir des demandes d’exploration peuvent être combinées avec des bases de données de réseaux sans fil géolocalisées comme Wigle.net afin de cartographier l’emplacement physique de ces réseaux.
Si l’une des demandes contient un SSID de réseau WiFi ouvert, la génération du même point d’accès pour lequel l’appareil de l’utilisateur envoie des requêtes entraînera la connexion automatique de l’ordinateur portable, du téléphone ou d’un autre appareil de l’utilisateur au faux point d’accès de l’agresseur. Il est très facile de forcer un appareil connecté à envoyer des demandes de requête grâce cette technique pour que le pirate puisse ensuite accéder à votre réseau.
15 choses à considérer au sujet de la sécurisation du WiFi invité pour les clients d’affaires
Si vous voulez ouvrir votre réseau aux invités, la sécurisation du WiFi invité est un must.
Avant de le faire, assurez-vous de tenir compte des points ci-dessous !
Segmentez votre réseau
La segmentation de votre réseau est importante pour deux raisons. La sécurisation du WiFi invité consiste à empêcher vos employés et les utilisateurs d’accéder à une partie de votre réseau. Autrement dit, votre réseau interne doit donc être totalement séparé du réseau utilisé par les invités.
Autre élément important : les invités ne devraient pas aussi voir les actifs de votre réseau ainsi que vos fichiers et ressources confidentiels. Utilisez un pare-feu réseau ou créez un VLAN séparé dédié aux invités.
Installez un pare-feu logiciel pour protéger vos serveurs et les postes de travail liés au trafic du réseau invité. Cette opération limitera considérablement les dommages en cas d’infection par un malware ou par un logiciel de phishing.
Assurez-vous que votre routeur est physiquement sécurisé
Il est important de s’assurer que seul le personnel autorisé peut accéder à votre routeur Wifi. Un pirate informatique qui parvient à y accéder, il peut facilement appuyer sur le bouton de réinitialisation de votre routeur et accéder à celui-ci et à d’autres parties de votre réseau. Verrouillez-le dans un bureau ou un placard sécurisé et assurez-vous que seul le personnel autorisé a la clé.
Changez toujours les mots de passe et les SSID par défaut
C’est l’une des pratiques de sécurité les plus élémentaires, mais à cause de cela, il est facile de l’oublier. L’Internet est jonché de rapports faisant état d’atteintes à la protection des données qui se sont produites à cause de l’omission de modifier les mots de passe par défaut. Tous les périphériques réseau doivent avoir des mots de passe forts et uniques.
Il est également important de changer votre SSID (Service Set Identifier), c’est-à-dire le nom de votre réseau sans fil. Le SSID doit refléter le nom de votre entreprise et il doit être très clair pour vos clients pour qu’ils puissent identifier votre réseau. Si vous ne le faites pas, les pirates peuvent facilement établir des points d’accès malveillants pour mener des attaques « man-in-the-middle » à grande l’échelle.
Vous pouvez ensuite afficher le SSID et le mot de passe en interne pour faciliter l’accès des utilisateurs légitimes à votre réseau. Assurez-vous toutefois de changer régulièrement votre mot de passe.
Mettez à jour vos logiciels et microprogrammes
Les pirates informatiques adorent quand vous ne voyez pas s’il existe des mises à jour logicielles pour votre routeur WiFi. Ces correctifs sont généralement un correctif de sécurité et ne pas mettre à jour votre micrologiciel est comme une invitation spéciale pour les pirates.
Une récente publication du FBI a parlé d’une vulnérabilité dans les routeurs et si vous aviez changé votre mot de passe et gardé votre microprogramme à jour, vous n’auriez probablement pas été touché.
Utilisez WPA2 au lieu de WEP
Ce genre de chose ressemble plus à du charabia si vous n’êtes pas un geek de la sécurité informatique. En termes simples, c’est le moyen de s’assurer que les données que vous transmettez et recevez sont chiffrées. Le WEP (ou « Wired Equivalent Privacy ») est plus ancien et beaucoup plus facile à pirater. Le WPA (ou « WiFi Protected Access ») est un bien meilleur protocole de chiffrement. Si votre routeur n’en dispose pas, nous vous suggérons d’investir dans un routeur plus récent et plus sûr.
Utilisez un pare-feu de qualité professionnelle
Un pare-feu est un élément de sécurité indispensable pour toute entreprise qui opère dans notre monde moderne. Vous devriez avoir un pare-feu capable de s’assurer que votre propre logiciel n’envoie pas de données sur Internet sans votre autorisation ou de détecter des problèmes, ou même des sites web malveillants.
Il existe des pare-feu intelligents qui permettent spécifiquement d’offrir aux petites et moyennes entreprises une sécurité de niveau entreprise sans coûter une fortune.
Configurer un accès privé et public séparé
Votre WiFi doit avoir un accès séparé pour vos employés et pour le public, afin de ne pas donner à un pirate informatique un accès involontaire aux ordinateurs et réseaux internes de votre entreprise. Vous devrez créer deux identifiants de service (SSID) différents avec deux points d’accès distincts à votre réseau. L’un doit être un point d’accès sécurisé de niveau professionnel pour vos employés, et un point d’accès public pour vos clients.
Connaître tous vos points d’accès
Parfois, quelqu’un installe un point d’accès inconnu à votre réseau. Ces points sont souvent créés par un employé qui pourrait avoir une mauvaise connexion réseau dans son bureau. Ces points d’accès ne sont généralement pas configurés pour la sécurité et ouvrent certaines vulnérabilités. Vous devriez occasionnellement effectuer un balayage des points d’accès si vous avez un grand bureau ou un réseau important.
Éteindre les WPS
À moins que vous n’en ayez besoin pour quelque chose de spécifique, vous devez désactiver le WiFi Protected Setup, ou WPS. Il est conçu pour faciliter le couplage d’un appareil avec votre réseau chiffré, en appuyant sur un bouton. Le problème est qu’il peut ouvrir la porte à quelqu’un ayant de mauvaises intentions.
Remplacez votre routeur tous les deux ans
Même si votre routeur semble toujours fonctionner correctement, l’appareil est arrivé en fin de vie lorsque les fabricants cessent de le prendre en charge avec des mises à jour de micrologiciels, le rendant ainsi vulnérable aux futures cyber-menaces. Vous pouvez vous attendre à ce que cela se produise tous les trois à cinq ans. À ce moment-là, il est crucial de passer à un nouveau matériel. La meilleure façon de le vérifier est de consulter le site web du fabricant de votre routeur et de lire des notes sur les versions de son microprogramme. S’il n’y a pas eu de mise à jour du microprogramme au cours de l’année écoulée, le routeur a probablement été abandonné.
Mise en garde du DHCP
L’internet des objets (IoT) signifie que de plus en plus d’appareils recherchent une connexion sans fil pour fonctionner. Le DHCP (ou « Dynamic Host Configuration Protocol ») est l’adresse internet attribuée à ces appareils. Bien que le DHCP soit peu pratique, le plus sûr est de l’éteindre et d’attribuer manuellement une adresse internet à chaque appareil utilisé dans votre entreprise.
Utilisez un VPN pour maintenir votre trafic local crypté
L’un des défauts fondamentaux de la WPA2 qui est corrigé dans la WPA3 est le concept de secret avancé. Cela signifie que dans la nouvelle norme WPA3, le trafic WiFi enregistré ne peut pas être espionné même si le pirate informatique prend connaissance du mot de passe WiFi plus tard. Avec la norme WPA2 actuelle, ce n’est pas le cas. Le trafic sur un réseau local peut être espionné à la fois par d’autres utilisateurs et par un attaquant qui enregistre le trafic et le déchiffre après avoir appris le mot de passe.
Alors que le HTTPS a rendu l’internet beaucoup plus sûr et plus privé pour les utilisateurs de WiFi sur des connexions non fiables, les VPN prennent le relais pour décourager l’espionnage du trafic. En chiffrant les requêtes DNS et d’autres informations qui peuvent ouvrir la porte à une attaque de phishing, les VPN rendent plus difficile pour un cybercriminel de voir ce que leurs victimes font en ligne, ou de les rediriger vers un site web malveillant.
Afin de chiffrer votre trafic local, la plupart des VPN populaires offrent une couche de protection qui vous permet d’éviter d’être une proie facile. Le VPN rendra votre trafic local indéchiffrable par un pirate et assurera le secret des transmissions en rendant les enregistrements de votre trafic WiFi inutiles, même si l’attaquant parvient à collecter votre mot de passe WiFi.
Gardez votre firmware à jour
La raison pour laquelle vous devez faire des mises à jour de votre firmware est qu’il peut corriger les vulnérabilités pouvant facilement être exploitées par les cybercriminels pour accéder à vos appareils et à votre réseau. Si ces vulnérabilités sont exploitées, les configurations peuvent être modifiées et utilisées à diverses fins.
Adoptez des politiques qui exigent l’installation rapide et les vérifications mensuelles des mises à jour du firmware. Ceci vous permet de vous assurer que tous les dispositifs soient sécurisés et qu’aucune mise à jour du firmware n’a été omise.
Chiffrez vos signaux sans fil
Vous pouvez rendre l’accès à votre réseau WiFi invité aussi facile que possible pour vos clients et visiteurs, mais ne le rendez pas trop facile, car les pirates risquent d’espionner les individus qui se connectent au réseau. Assurez-vous de chiffrer votre réseau sans fil en utilisant la méthode de chiffrement WPA2/WPA3.
Si votre routeur ne prend pas en charge WPA2, il est peut-être temps de mettre à jour le firmware de votre routeur. Si ce n’est pas encore possible, alors vous devriez acheter un routeur moderne qui prend en charge la méthode de chiffrement WPA3.
N’oubliez pas que, si vous ne parvenez pas à chiffrer votre WiFi, il est trop facile de vous faire voler votre bande passante.
Sécurisez le WiFi invité en filtrant les contenus
Sécuriser le réseau WiFi invité signifie ajouter des contrôles pour limiter le contenu qui peut être consulté via votre réseau WiFi.
Vous devriez bloquer l’accès au contenu pour adultes, y compris la pornographie, les sites de jeux d’argent, les sites de rencontres, ainsi que les contenus Web illégaux ou douteux sur le plan éthique ou moral.
Une solution de filtrage web protégera vos clients contre les téléchargements accidentels de malwares et les attaques de phishing. Optez pour un filtre Web basé dans le cloud si vous ne voulez pas acheter du matériel supplémentaire.
D’ailleurs, cette solution peut être configurée et maintenue à distance, sans avoir besoin d’une mise à jour logicielle ou du firmware.
Contrairement aux filtres Web basés sur des applications, les filtres web basés dans le cloud sont plus évolutifs et s’adaptent mieux aux besoins changeants de votre entreprise.
WebTitan Cloud for WiFi – Une solution de sécurisation du WiFi invité pour les utilisateurs professionnels
TitanHQ a facilité la sécurisation du WiFi invité pour les utilisateurs professionnels. WebTitan Cloud for WiFi est un filtre Web 100 % dans le cloud et permet aux entreprises de contrôler soigneusement les catégories de contenu Web accessibles aux utilisateurs invités.
WebTitan Cloud for WiFi permet aux entreprises de bloquer l’accès à 53 catégories prédéfinies différentes de contenus web tels que la pornographie, les jeux d’argent, les sites de rencontres, les actualités et les sites de médias sociaux. Dans ces 53 catégories se trouvent plus de 500 millions de sites web dans 200 langues, dont les contenus ont été évalués et catégorisés. L’utilisation de la recherche dans le cloud garantit un filtrage précis et flexible des contenus des pages.
La sécurisation du WiFi invité est essentielle pour mettre en place une protection efficace contre les malwares, les ransomwares et le phishing. En déployant WebTitan Cloud, vous pourrez empêcher les utilisateurs d’accéder à des sites web compromis, aux sites de phishing et à d’autres sites malveillants.
Vous devez également créer des stratégies souples qui vous permettront de déléguer le contrôle du filtre à différents services et d’appliquer des contrôles à différents types d’utilisateurs. Par ailleurs, des clés de chiffrement dans le cloud peuvent être créées pour permettre à des utilisateurs spécifiques de contourner les règles mises en place.
À ceux-ci devrait s’ajouter une suite complète de rapports qui garantit la disponibilité permanente d’informations détaillées, avec des possibilités de notifications par e-mail pour alerter les administrateurs des tentatives de violation des règles et leur fournir l’historique de navigation et la liste chronologique des sites visités par les utilisateurs, et ce, en temps réel.
Conclusion
Le WiFi est devenu un outil de marketing essentiel pour la plupart des entreprises et une attente des clients. Malheureusement, de nombreuses entreprises ne disposent pas encore des compétences nécessaires pour protéger leur réseau contre les attaques cybercriminelles. De plus, les attaques lancées via le WiFi sont faciles à déployer et la plupart des pirates peuvent accéder à vos précieuses données sensibles en moins quelques minutes. La cybersécurité dans tous les aspects – quelle que soit la taille de votre entreprise – devient rapidement indispensable si vous ne voulez pas être la prochaine victime d’une attaque réussie à cause de la négligence d’une vulnérabilité que vous auriez pu corriger.
Avec les progrès de la technologie ainsi que la dépendance des utilisateurs et de vos clients au réseau WiFi, TitanHQ – en tant qu’acteur clé du marché – devrait être au sommet de son art en termes de sécurisation des informations sensibles concernant votre entreprise et vos clients.
Bien entendu, il est très important de créer et de maintenir un système sophistiqué de prévention des intrusions contre les brèches dans votre réseau WiFi.
Mais, même avec toutes les mises à jour modernes, le fait de fournir un accès internet sans fil représente toujours des risques en matière de piratage.
Vous devriez donc mettre en place une stratégie et un système de contre-attaque efficaces comme celui de TitanHQ.
Vous voulez prendre le contrôle de votre réseau WiFi ? Vous êtes un fournisseur de services gérés à la recherche d’une solution multilocataires et facile à utiliser pour vous permettre de fournir un service de filtrage Web à vos clients ? Alors, optez pour notre solution WebTitan Cloud for WiFi. Il s’agit d’un moyen rapide, facile à utiliser, peu coûteux et qui fournit un haut niveau de sécurité WiFi invité aux utilisateurs professionnels.
Contactez TitanHQ dès aujourd’hui pour plus d’informations sur nos produits, nos tarifs ou pour vous inscrire à un essai gratuit !
De nombreux professionnels de la sécurité aimeraient savoir quelle est la motivation derrière les cyberattaques.
Combien gagnent les hackers ?
Qu’est-ce qui motive réellement les pirates informatiques à attaquer une organisation particulière ?
Combien de temps les pirates informatiques essaient-ils avant d’abandonner et de passer à autre chose ?
Dans quelle mesure la cybercriminalité est-elle rentable pour un pirate informatique ?
Un récent sondage mené par Palo Alto Networks fournit quelques réponses à ces questions et donne un aperçu de l’esprit des pirates informatiques. Les résultats de l’enquête suggèrent que la cybercriminalité n’est pas aussi rentable que beaucoup le pensent.
Généralités sur les cyberattaques
La cybersécurité est la pratique qui consiste à protéger vos systèmes, vos réseaux et vos programmes contre les attaques lancées via Internet. De nombreuses raisons peuvent pousser les pirates informatiques à accéder aux informations sensibles de votre entreprise, à les modifier ou les détruire.
Comme vous allez le constater dans ce dossier, les pirates sont généralement motivés par des intérêts financiers, notamment en extorquant de l’argent aux utilisateurs du web. Ensuite, il y a l’espionnage ou l’obtention d’informations sensibles pour ou interrompre des processus commerciaux normaux, et enfin les intérêts personnels. Il est crucial de comprendre ces différentes motivations, car cela vous aide à protéger vos actifs.
La mise en œuvre de mesures de cybersécurité efficaces peut être une tâche particulièrement, étant donné qu’il y a plus de dispositifs connectés que de personnes inconscientes des risques de piratage informatique, d’autant plus que les attaquants ne cessent d’innover leurs tactiques et Il faut parfois plusieurs mois pour vos données ont été piratées.
Pour empêcher la compromission complète de votre système d’information, il faut adopter certaines mesures d’hygiène et de sécurité informatique. Mais avant cela, vous devez connaître les raisons qui motivent réellement les pirates à mener des attaques cybercriminelles.
Le « Grand Jour de Paie », une sorte de mythe ?
Les hacktivistes et les saboteurs constituent une menace, mais dans la majorité des cas, les attaquants ne sont pas déterminés à causer du tort aux organisations. La majorité des cybercriminels sont motivés par l’argent. Plus précisément, la motivation derrière 67 % de la cybercriminalité est l’argent.
Le gain financier est généralement ce qui motive les pirates informatiques. Cela s’est par exemple vérifié en 2016, lorsque des pirates informatiques ont visé la Bangladesh Bank. Ils ont réussi à mettre la main sur une coquette somme de 80 millions de dollars suite à une compromission réussie des informations d’identification du compte concernant les transactions internationales de la banque.
Selon une étude mondiale sur les grandes organisations, présentée par Visual Capitalist en 2017, l’objectif de la plupart des cyberattaques (41 %) est l’obtention d’une rançon. Pour ce faire, les pirates peuvent infecter les réseaux d’une organisation avec un ransomware, un malware qui chiffre les données des ordinateurs vulnérables, et en exigeant de l’argent en contrepartie de la clé privée qui permettra de déchiffrer les données. Si votre organisation ne dispose d’aucune sauvegarde (ou si vos sauvegardes ont également été chiffrées), vous devez tout reconstruire à partir de zéro, à moins que vous payez les criminels.
Ces dernières années, les menaces d’attaques de ransomwares ont fait les gros titres des médias. En 2017, le monde a par exemple été secoué par les attaques par WannaCry et NotPetya, des ransomwares tristement célèbres pour les ravages qu’ils ont faits dans les entreprises du monde entier. Et ce n’était que le début de ce type d’attaque. Depuis lors, les attaques de ransomware se sont multipliées, notamment parce qu’elles ont un potentiel de rendement élevé. Certaines d’entre elles ont donné lieu à des versements de centaines de milliers ou de millions d’euros. De plus, cette menace cybercriminelle peut viser n’importe quelle entité, des particuliers aux organismes gouvernementaux, en passant par les entreprises, les établissements de santé, etc.
La vraie réalité pour la majorité des hackers
Si le motif numéro un d’une cyberattaque reste l’argent, dans la plupart des cas, il semblerait qu’il n’y ait pas vraiment beaucoup d’argent à gagner.
On croit souvent à tort que les cyberattaqueurs s’efforcent inlassablement de briser les défenses des organisations et qu’ils accumulent des millions d’attaques réussies. Cependant, les résultats du sondage indiquent le contraire.
Le Ponemon Institute a demandé à 304 experts en menaces leur opinion sur les motivations des cyberattaques, l’argent qui peut être gagné, le temps investi par les pirates et comment les attaquants choisissent leurs cibles.
Les répondants, basés en Allemagne, aux États-Unis et au Royaume-Uni, étaient tous impliqués à des degrés divers dans la communauté de menaces (threat community). 79 % d’entre eux ont déclaré faire partie de la communauté de menaces, et 21 % ont déclaré qu’ils étaient « très impliqués ».
L’étude a mis en lumière ce qui motive les cyberattaques, tout en offrant un aperçu important de l’esprit des pirates informatiques.
Combien gagnent les hackers ?
Ceux qui veulent savoir combien gagnent réellement les pirates informatiques seront probablement surpris d’apprendre que la réalité n’est pas vraiment ce qu’ils auraient pu penser.
L’étude a déterminé qu’un pirate informatique techniquement compétent serait capable de mener un peu plus de 8 cyberattaques par an, et qu’environ 41 % de ces attaques ne donneraient lieu à une indemnisation.
Les profits tirés de la cybercriminalité se sont révélés relativement constants, quel que soit l’endroit où se trouvaient les criminels. Aux États-Unis, une seule cyberattaque a rapporté en moyenne 15 638 $ à un pirate informatique, contre environ 12 324 $ au Royaume-Uni et environ 14 983 $ en Allemagne.
Combien gagnent les hackers ?
En supprimant le coût des trousses d’outils qu’ils achètent, soit environ 1 367 $, l’institut Ponemon a évoqué que le salaire moyen d’un cybercriminel est de l’ordre de 28 744 $ par an. Ce chiffre est basé sur 705 heures de travail par an, soit environ 13,5 heures par semaine.
Bien entendu, certains pirates peuvent gagner beaucoup plus, mais le pirate moyen ferait mieux de trouver un vrai emploi. Les professionnels de la sécurité informatique gagnent 38,8 % de plus par heure.
Si les pirates informatiques trouvaient un emploi comme professionnels de la sécurité et utilisaient leurs compétences pour protéger les réseaux contre les pirates informatiques, ils pourraient gagner un salaire quatre fois plus élevé et toucheraient une indemnité de maladie, une indemnité de vacances et une assurance médicale ou dentaire.
D’autres facteurs qui peuvent motiver les cyberattaques
L’espionnage
L’espionnage est un autre type d’attaque cybercriminelle. Au lieu d’essayer de soutirer de l’argent à leurs victimes, les pirates tentent d’obtenir des informations protégées.
Les entreprises et d’autres organisations privées peuvent être victimes de l’espionnage, et les informations volées peuvent être vendues sur le dark web, ou utilisées par des concurrents pour obtenir des avantages tactiques. Mais en général, les pirates informatiques ciblent les gouvernements.
Selon un article du journal Reuters, le gouvernement américain a recensé 77 000 intrusions cybernétiques dans ses systèmes, rien qu’en 2015. Une étude mondiale menée par Verizon révèle également que 41 % des motifs des cyberattaques est le gain financier. Combiné à l’espionnage, le gain financier et l’espionnage représentent environ 70 % des motivations de la cybercriminalité.
Le spamming
Vous savez certainement ce qu’un un spam, ces petits courriels indésirables qui arrivent souvent dans vos boîtes de réception et dont les fins ne sont pas toujours très conventionnelles. Pour les pirates informatiques, le but du spamming n’est pas seulement de remplir votre boîte de réception de messages indésirables. Ils peuvent aussi les utiliser pour infecter votre réseau de malwares dans le but de prendre le contrôle des votre système d’information et de vos ordinateurs. D’autres spammeurs s’efforcent également de voler les mots de passe de vos employés afin d’utiliser leurs comptes de messagerie ou leurs comptes de médias sociaux afin de spammer d’autres contacts.
Le contrôle
Etes-vous certain d’avoir le contrôle total de vos appareils connectés ? L’une des tactiques courantes utilisées par les pirates est l’utilisation d’un cheval de Troie pour prendre le contrôle d’une partie ou de l’ensemble de votre réseau. S’ils y parviennent, ils peuvent transformer votre ordinateur en un « botnet » pouvant alimenter des opérations de spamming ou des attaques par déni de service (DDoS). Les pirates peuvent aussi prendre le contrôle total de vos systèmes à des fins de sabotage ou d’espionnage. Un exemple qu’on pourrait prendre est celui d’une personne qui vend des produits illicites sur le dark web. Dans ce cas, elle peut compromettre un système afin d’y placer un service caché, ce qui permet un certain degré d’abstraction par rapport à leurs actions et un déni plausible au cas où les forces de l’ordre interviennent.
La perturbation
Les hacktivistes désignent des groupes de personnes qui utilisent le piratage informatique dans un objectif politique précis. Certains d’entre eux cherchent à trouver et à diffuser des informations pour dénoncer les malversations et la corruption, tandis que d’autres peuvent utiliser la perturbation pour évacuer leur colère, leur frustration ou leur protestation à l’égard d’institutions. Etant donné que son but n’est pas d’ordre financier, le hackerisme est souvent ignoré par les entreprises,
La concurrence
Parvenir à s’introduire dans le système d’information d’une entreprise peut s’avérer précieux pour les escrocs, que ce soit pour voler de la propriété intellectuelle, pour faire du chantage ou pour gagner un avantage concurrentiel.
Les attaques DDoS sont par exemple l’une des attaques les plus utilisées comme un outil de concurrence commerciale. Les entreprises peuvent utiliser certaines d’entre elles pour empêcher leurs concurrents de participer à des événements importants, tandis que d’autres visent la fermeture complète des entreprises en ligne pendant plusieurs mois. Le but étant de provoquer des perturbations pour inciter les clients des concurrents à se ranger de leur côté, de tout en causant des dommages financiers et une perte de réputation à l’entreprise victime.
Cette liste n’est pas exhaustive, car il existe beaucoup d’autres raisons qui motivent les pirates à viser les organisations publiques et les entreprises. Il est toutefois essentiel de les comprendre pour mieux identifier où vos propres actifs peuvent être en danger et pour traiter plus efficacement les risques identifiés.
Comment les données de l’enquête peuvent-elles être utilisées pour prévenir les cyberattaques ?
Palo Alto Networks a interrogé les experts pour savoir dans quelle mesure les pirates informatiques étaient déterminés à violer les défenses informatiques des entreprises.
Étonnamment, il semblerait que même si le prix potentiel est important, les cybercriminels ont tendance à ne pas passer une grande partie de leur temps sur les attaques avant de trouver des cibles plus faciles.
72% des pirates informatiques sont opportunistes et 69% d’entre eux abandonneraient l’idée d’une attaque s’ils découvraient que les défenses d’une entreprise sont solides.
Ponemon a déterminé qu’une attaque contre une infrastructure de sécurité informatique typique prenait environ 70 heures à planifier et à exécuter, alors que pour attaquer une entreprise disposant d’une excellente infrastructure, il faudrait environ 147 heures.
Si la défense informatique d’une entreprise peut résister à une attaque pendant 40 heures, soit moins de deux jours, 60 % des attaquants se dirigeront vers une cible plus facile.
Les cybercriminels ne perdront pas leur temps à s’attaquer aux organisations qui rendent particulièrement difficile l’obtention de données. La raison est simple : il y a beaucoup d’autres cibles plus faciles à attaquer.
Installez des défenses complexes à plusieurs niveaux et utilisez des honeypots pour faire perdre du temps aux pirates. Si les pirates jugent que l’attaque est non rentable, dans la majorité des cas, ils abandonneront et passeront à des cibles plus faciles.
Les honeypots sont-ils vraiment efficace ?
Un honeypot ressemble à un véritable système informatique. Il intègre des applications et des données et dont le but est de tromper les pirates informatiques en leur faisant croire qu’il s’agit d’une cible légitime.
Pour rendre les pots de miel plus attrayants pour les cybercriminels, vous allez y introduire délibérément des failles de sécurité, comme des mots de passe faibles. Des ports vulnérables seront laissés ouverts afin d’attirer les attaquants vers le honeypot, plutôt que vers le réseau réel.
Le but du honeypot n’est pas de résoudre un problème spécifique, comme c’est le cas pour les antivirus et les pare-feu. Il s’agit plutôt d’un outil d’information visant à vous aider à comprendre les menaces existantes pour votre entreprise et à repérer les nouvelles menaces.
Un pot de miel peut par exemple être conçu pour imiter le système de facturation des clients de votre entreprise. En fait, ces derniers sont souvent la cible des criminels à la recherche de numéros de carte de crédit. Une fois que les cybercriminels sont entrés dans le honeypot, vos administrateurs système peuvent les suivre. Leur comportement peut également être évalué. De cette manière, votre équipe informatique pourra trouver des solutions pour rendre votre réseau réel plus sûr.
Pour vous donner une idée quant à l’importance du honeypot, sachez qu’en 2015, des experts en sécurité Internet ont déployé un système de contrôle de chemin de fer en ligne en guise d’appât. L’objectif du projet « HoneyTrain » était d’étudier comment les pirates s’attaqueraient à des projets d’infrastructure publique et où ils pourraient compromettre la sécurité publique et où ils pourraient mettre le public en danger.
Au final, les seuls dommages causés ont été ceux d’une maquette de train en ligne présentée lors d’une foire industrielle de l’informatique en Allemagne. Notez toutefois que le système fictif du « HoneyTrain » a subi 2,7 millions d’attaques en deux semaines seulement.
Utilisez un filtre web pour mettre votre entreprise à l’abri des piratages informatiques
Peu importe la motivation des cybercriminels, la sécurité du web doit être une priorité absolue pour votre entreprise, car les menaces en ligne comme les virus, les malwares, les ransomwares et le phishing peuvent permettre aux cybercriminels d’accéder à vos données privées et créer d’énormes dégâts. Les passerelles web basées sur le DNS constituent l’un des meilleurs moyens de vous protéger contre ces menaces. Un filtre DNS protège votre entreprise en bloquant les virus en ligne et en filtrant les sites web dangereux. Il fournit également des rapports sur le comportement des utilisateurs de votre réseau.
WebTitan Cloud est une solution de filtrage web robuste qui offre une protection efficace contre les menaces lancées via le web. Il empêche vos employés et les autres utilisateurs de votre réseau de consulter les pages web malveillantes, les sites web connus pour héberger des virus, des malwares et des ransomwares, ou encore les sites de phishing. Facile à déployer et à gérer, WebTitan Cloud offre une protection pour tous les appareils sur réseau et hors réseau.
WebTitan détecte 500 millions d’utilisateurs finaux, en temps réel, et environ 5 milliards de requêtes web par mois, couvrant ainsi 99,9% du web actif. Ceci offre une solide protection contre les menaces pour les utilisateurs au bureau ou ceux qui travaillent à distance. Enfin, sachez que WebTitan est une solution évolutive et abordable pour les PME, les MSP, les écoles et les établissements de santé à la recherche d’une protection web basée sur le DNS.
Conclusion
Il est certain que les cybercriminels sont (et resteront) l’une des préoccupations majeures pour les entreprises et les professionnels dans le domaine des technologies de l’information. La sécurisation du DNS devrait donc faire votre première ligne de défense contre ces menaces.
Testez régulièrement la fiabilité de vos solutions de protection contre les cybercriminalités et mettez à jour vos logiciels. N’oubliez pas de sensibiliser vos employés sur les menaces cybercriminelles et sur les mesures à prendre en cas d’attaque.
Même si certaines entreprises peuvent atteindre cet objectif, en appliquant ces différentes mesures dans un délai assez court, il n’est peut-être pas facile pour vous de tout faire en même temps. Le conseil que nous pouvons donner est d’essayer de faire une étape à la fois.
Si vous avez besoin d’informations complémentaires sur la sécurisation de votre réseau avec WebTitan, n’hésitez pas à contacter l’équipe de TitanHQ dès aujourd’hui.
2017 a vu une augmentation importante des attaques de malwares dans les écoles. Alors que les cybercriminels ont mené des attaques à l’aide d’une variété de malwares différents, l’un des plus gros problèmes est celui des ransomwares.
Un ransomware est un logiciel malveillant qui chiffre les fichiers, les systèmes et même les tables de fichiers maître, empêchant ses victimes d’accéder à leurs données. L’attaque s’accompagne d’une demande de rançon. Les victimes doivent payer une rançon pour chaque appareil infecté, dont le montant peut varier de quelques centaines à plusieurs milliers de dollars par appareil. Les demandes de rançon de dizaines de milliers de dollars sont désormais courantes.
Les données peuvent être restaurées à partir d’une sauvegarde, mais seulement si elles sont sauvegardées de manière fiable. Mais souvent, les fichiers de sauvegarde sont chiffrés, ce qui rend la récupération impossible à moins que la rançon ne soit payée.
Les attaques de ransomwares peuvent être aléatoires, le code malveillant étant installé par le biais de campagnes de spam à grande échelle, impliquant des millions de messages.
Les écoles sont souvent ciblées. Les cybercriminels savent très bien que les moyens de défense en matière de cybersécurité dans les écoles sont généralement insuffisants et que les rançons sont plus susceptibles d’être payées parce qu’elles ne peuvent pas fonctionner si elles n’ont pas accès à leurs données.
D’autres variantes de malwares sont utilisées pour enregistrer des informations sensibles telles que les identifiants de connexion. Ceux-ci sont ensuite relayés aux attaquants et sont utilisés par les pirates pour accéder aux réseaux informatiques des écoles. Les attaquants recherchent des informations personnelles comme les détails fiscaux, les numéros de sécurité sociale et d’autres renseignements qu’ils peuvent utiliser pour le vol d’identité.
En ce qui concerne les attaques de ransomwares, elles peuvent rapidement être découvertes, car les notes de rançon sont placées sur les ordinateurs et les fichiers ne sont pas accessibles. Contrairement, les enregistreurs de frappe et les autres formes de vol d’informations prennent souvent plusieurs mois à détecter.
Les récentes attaques de malwares dans les écoles peuvent entraîner le sabotage de l’ensemble de leurs réseaux.
Les attaques NotPetya impliquaient par exemple une forme de malware qui chiffre la table de fichiers maître, empêchant l’ordinateur de localiser les données stockées. Leur but était de saboter des infrastructures essentielles. Il n’y avait aucun moyen de récupérer la table de fichiers principale chiffré en dehors d’une restauration complète du système.
Les conséquences des attaques de malwares à l’encontre des écoles peuvent être considérables. Elles entraînent des pertes financières, les données peuvent être perdues ou volées, les équipements informatiques peuvent être rendus inutilisables et les établissements d’enseignement peuvent faire l’objet de poursuites ou d’actions en justice en raison des attaques.
Dans certains cas, les établissements scolaires ont été contraints de refuser des élèves afin de résoudre les problèmes causés par les infections de malwares, en remettant leurs systèmes en ligne.
Principales attaques de malwares dans les écoles en 2017
Vous trouverez ci-dessous quelques-unes des principales attaques de malwares qui ont eu lieu dans les écoles en 2017.
Ce n’est qu’une très petite sélection parmi un grand nombre d’attaques signalées au cours des six derniers mois.
Fermeture pendant une journée du Minnesota School District en raison d’une attaque de malwares
Les attaques de malwares dans les écoles peuvent avoir des conséquences majeures pour les élèves. En mars, le district scolaire de Cloquet, au Minnesota, a subi une attaque de ransomware qui a entraîné le chiffrement d’importantes quantités de données, empêchant l’accès à de nombreux fichiers. Les attaquants ont émis une demande de rançon de 6 000$ pour déverrouiller le chiffrement.
Le fonctionnement du district scolaire est axé sur la technologie, de sorte que sans accès à ses systèmes, les cours ont été gravement perturbées. L’école a même dû fermer pendant une journée pour que le personnel de soutien informatique puisse restaurer les données.
Pour ce cas précis, les données sensibles n’ont pas été compromises, bien que la perturbation causée ait été grave. Le ransomware était censé avoir été installé à la suite de l’ouverture par un membre du personnel d’un e-mail de phishing qui a permis d’installer le ransomware sur le réseau.
Le district scolaire Swedesboro-Woolwich a souffert d’une attaque par cryptoransomware
Le district scolaire Swedesboro-Woolwich de New Jersey comprend quatre écoles primaires et compte environ 2 000 élèves. Elle a été également victime d’une attaque de cryptoransomware qui a mis ses systèmes informatiques hors d’usage. L’attaque s’est produite le 22 mars et a entraîné le chiffrement de documents et de feuilles de calcul, bien que les données sur les étudiants n’aient pas été apparemment touchées.
L’attaque a mis hors service une partie importante du réseau, y compris les systèmes de communications internes et externes du district scolaire, voir le système de point de vente utilisé par les élèves pour payer leurs repas.
L’école a été obligée de recourir à un stylo et à du papier suite à cet incident. Son administrateur réseau a dit : « On est de nouveau en 1981 ! ».
Los Angeles Community College District (LACCD) a dû verser une rançon de 28 000$
Un ransomware a été installé sur le réseau informatique du LACCD, mettant non seulement les postes de travail du collège hors service, mais aussi son système de messagerie électronique et son système de messagerie vocale.
Des centaines de milliers de fichiers ont été chiffrés, et l’incident a touché la plupart de ses 1 800 employés et 20 000 étudiants.
Une demande de rançon de 28 000$ a été émise par les attaquants. L’école n’avait d’autre choix que de payer la rançon pour déverrouiller ses systèmes.
Le Calallen Independent School District a rapporté une attaque par ransomware
Le Calallen Independent School District, dans le nord-ouest de Corpus Christi, est l’une des dernières victimes d’une attaque par rançon.
En juin, l’attaque a commencé avec un poste de travail avant de se propager à d’autres systèmes. Cette fois, aucune donnée étudiante n’a également été compromise ou volée et le service informatique était en mesure d’agir rapidement pour pouvoir isoler les parties du réseau touchées, ce qui a mis un terme à sa propagation.
L’attaque a quand même causé des perturbations considérables, notamment pour la réparation des serveurs et des systèmes. Le district scolaire a également dû faire un investissement conséquent pour améliorer son système de sécurité afin de prévenir des attaques similaires.
Prévention des attaques de malwares et de ransomwares dans les écoles
Les attaques de malwares dans les écoles peuvent se produire par l’intermédiaire d’un certain nombre de vecteurs différents. Les attaques de NotPetya ont par exemple profité des vulnérabilités logicielles qui n’avaient pas été corrigées.
Les attaquants ont pu les exploiter à distance, sans interaction de l’utilisateur. Mais Microsoft a publié un correctif pour pouvoir corriger les failles et les empêcher deux mois avant l’attaque.
Les vulnérabilités logicielles peuvent également être exploitées via des kits d’exploitation. Il s’agit de kits de piratage chargés sur des sites Web malveillants qui recherchent les vulnérabilités des navigateurs et des plug-ins et exploitent ces vulnérabilités pour télécharger discrètement des ransomwares et des malwares.
S’assurer que les navigateurs et les plug-ins sont à toujours à jour est un des moyens pour prévenir ces attaques. Cependant, il n’est pas possible de garantir que tous les ordinateurs sont à 100 % à jour à tout moment. De plus, il y a toujours un certain délai entre le développement d’un kit d’exploitation et la sortie d’un correctif.
Ces attaques de malwares sur le web dans les écoles peuvent être évitées en utilisant une solution de filtrage Web. Un filtre Web peut empêcher les utilisateurs finaux d’accéder à des sites Web malveillants qui contiennent des kits d’exploitation ou des malwares.
La méthode la plus courante de diffusion de malwares est le spam. Les malwares (ou téléchargeurs de malwares) sont envoyés sous forme de pièces jointes malveillantes dans les spams. L’ouverture des pièces jointes entraîne une infection. Les liens vers des sites Web qui téléchargent des malwares sont également envoyés par ce moyen.
Vous pouvez empêcher les utilisateurs de visiter ces sites malveillants si vous utilisez un filtre Web. Par ailleurs, une solution avancée de filtrage des spams peut bloquer les attaques de malwares dans les écoles en garantissant que les e-mails malveillants ne sont pas envoyés dans les boîtes de réception des utilisateurs finaux.
TitanHQ peut aider les écoles, collèges et universités à améliorer leurs défenses contre les malwares
TitanHQ offre deux solutions de cybersécurité qui peuvent prévenir les attaques de malwares dans les écoles. WebTitan est un filtre Web 100% dans le cloud qui empêche les utilisateurs finaux de visiter des sites Web malveillants, y compris les sites de phishing et ceux qui téléchargent des malwares et des ransomwares.
WebTitan ne nécessite aucun matériel et aucun téléchargement de logiciel. Il peut être installé facilement et rapidement, même si vous n’avez aucune compétence technique. WebTitan peut également être utilisé pour bloquer l’accès à des contenus inappropriés tels que la pornographie, ce qui aide les écoles à se conformer à la CIPA ou « Children’s Internet Protection Act ».
SpamTitan est une solution avancée de filtrage de spam pour les écoles. Il peut bloquer plus de 99,9 % des spams et empêcher les messages malveillants d’être envoyés aux utilisateurs finaux. Si vous l’utilisez avec WebTitan, votre école sera bien protégée contre les attaques de malwares et de ransomwares.
Pour en savoir plus sur WebTitan et SpamTitan et si vous voulez plus d’informations sur les prix, contactez l’équipe de TitanHQ dès aujourd’hui. À noter que ces deux solutions sont disponibles pour un essai gratuit de 14 jours, sans obligation d’achat, ce qui vous permet de les tester et déterminer leur capacité à bloquer les cybermenaces.
Pour faire aussi simple que possible, la segmentation réseau est la pratique consistant à diviser un grand réseau informatique – qui constitue généralement une surface d’attaque importante pour les cybercriminels, et qui est difficile à gérer et à protéger – en plusieurs petits sous-réseaux isolés les uns des autres. Elle permet d’empêcher un attaquant de pénétrer et de se déplacer latéralement dans votre réseau pour accéder à vos données critiques.
Quels que soient la taille de votre entreprise et le type de configuration TCP/IP dont vous disposez, un pare-feu matériel est essentiel. C’est l’un des éléments les plus fondamentaux de la sécurité réseau. Il fournit une protection de base et est capable d’empêcher que de nombreuses attaques sur votre réseau soient couronnées de succès. Il est donc essentiel que vous disposiez de la meilleure configuration de segmentation de la zone de sécurité du pare-feu.
Notion de zone de sécurité
Une zone de sécurité est un système composé d’une ou plusieurs interfaces de pare-feu physiques ou virtuelles, et de segments de réseau connectés entre eux. Vous pouvez contrôler la protection de chaque sous-réseau individuellement pour qu’il puisse recevoir les protections spécifiques dont il a besoin. Par exemple, il est possible de configurer la protection d’une zone dédiée au département des finances pour qu’elle ne permette pas l’accès aux applications autorisées par une zone destinée au département informatique.
Etant donné que tout le trafic réseau doit passer par le pare-feu – ceci, afin de le protéger plus efficacement – vous pouvez configurer les interfaces ainsi que les zones pour créer d’autres zones distinctes pour certains domaines fonctionnels tels que :
le stockage de données sensibles,
la passerelle Internet,
les applications commerciales,
Vous pouvez aussi faire cela pour les groupes organisationnels, comme :
l’informatique,
les finances,
le marketing,
Des zones plus granulaires offrent plus de visibilité et de contrôle sur le trafic réseau
La segmentation d’un réseau en plusieurs zones de sécurité vous permet de créer une architecture dite « zéro confiance ». Ce concept consiste à ne faire confiance à aucun utilisateur/périphérique/paquet et à aucune application. Avant de donner l’accès automatique à un réseau/sous-réseau, il faut donc tout vérifier. De cette manière, vous aurez un réseau qui n’autorise l’accès qu’aux utilisateurs, applications et dispositifs qui ont des besoins professionnels légitimes, tout en refusant les autres trafics.
Toutes les communications autorisées doivent également traverser un pare-feu pour subir une inspection complète des menaces, comme les virus, les spywares, les vulnérabilités, etc.
Le pare-feu doit être conçu pour refuser tout trafic entre les zones de sécurité
Votre entreprise doit mettre en place des politiques de sécurité spécifiques dans le but de permettre uniquement au trafic que vous aurez explicitement autorisé de passer d’une zone à l’autre.
La façon dont vous utilisez les zones de sécurité pour segmenter votre réseau dépend des ressources que vous devez séparer des autres. A titre d’exemple, vous pouvez mettre en place une architecture comprenant des zones distinctes pour les serveurs de production et les serveurs de développement.
Chaque fois que vous effectuez une division logique de la fonctionnalité, des privilèges d’accès des utilisateurs et de l’utilisation des applications, le pare-feu peut être utilisé pour créer une zone distincte qui va isoler et protéger une zone spécifique. Ensuite, vous allez appliquer les politiques de sécurité que vous avez mises en place pour empêcher tout accès inutile aux applications et aux données auxquelles un ou plusieurs groupes doivent accéder.
Les zones de sécurité peuvent également être utilisées pour segmenter les serveurs hébergeant des informations très sensibles comme les informations d’identification personnelle ou les informations sur les cartes de crédit. Ainsi, vous pourrez segmenter les différents services internes de votre entreprise (ressources humaines, marketing, etc.).
Les cinq principales méthodes de segmentation d’un réseau
Pour votre réseau LAN, vous pouvez utiliser la méthode physique, la segmentation de réseau défini par logiciel, la segmentation via le cloud et la microsegmentation.
1. La segmentation physique
Pour séparer physiquement les parties d’un réseau LAN en plusieurs réseaux distincts, il faut que chaque segment possède sa propre infrastructure physique, y compris le câblage, les pare-feu et les commutateurs. Il s’agit d’une méthode très sûre, étant donné qu’il n’existe pas d’autres chemins physiques (sauf celui que vous mettez en place) entre les différents segments.
Par contre, la segmentation physique est assez difficile à mettre en œuvre et à maintenir. Tout changement important que vous allez effectuer dans votre réseau requiert un nouveau matériel, quelques configurations ainsi qu’un nouveau câblage. Cette tâche n’est pas facile à réaliser en raison de son coût et du temps qu’elle requiert, mais il existe des cas spécifiques où la segmentation physique peut être justifiée.
2. La segmentation via les VLAN
Pendant plusieurs décennies, la ségrégation virtuelle des réseaux en sous-réseaux plus petits via des VLAN était très utilisée. Aujourd’hui, les entreprises utilisent encore cette approche, en fragmentant les domaines de diffusion de leur réseau local et en divisant les adresses IP – via le masquage de sous-réseau – en de petits sous-ensembles d’adresses apparentées. Dans ce cas, les hôtes d’un même VLAN peuvent communiquer facilement entre eux. Par contre, pour que les autres VLAN puissent communiquer avec ces hôtes, il faut des autorisations réseau. Pour ce faire, on utilise généralement des listes de contrôle d’accès (ACL) pour des règles complexes qui peuvent être appliquées par les différents périphériques réseau, les routeurs, les pare-feu et les commutateurs.
Si les VLAN sont utilisés avec des pare-feu bien configurés, votre réseau deviendra beaucoup plus difficile à compromettre.
Notez toutefois que, même si les VLAN et les pare-feu constituent une solution fiable pour segmenter un réseau local, la mise en place et la maintenance des pare-feu et des ACL demandent beaucoup de travail. De plus, l’infrastructure VLAN doit toujours être mise à jour lorsque les exigences du réseau changent.
3. La segmentation de réseau défini par logiciel (SDN)
Au cours de la dernière décennie, l’utilisation des réseaux définis par logiciel (SDN) a explosé, ce qui a grandement facilité le concept de segmentation réseau. De nombreuses entreprises utilisent actuellement plusieurs transports WAN pour optimiser les performances de leurs applications, notamment en termes de VoIP, de streaming vidéo, de téléconférence, de communication mobile à haut débit, et bien d’autres applications critiques.
Cette méthode permet au dispositif SD-WAN d’agir comme une superposition virtuelle sur votre réseau physique, tandisqu’un logiciel convivial de haut niveau permet le marquage et le filtrage du trafic afin de connaître et de contrôler le trafic autorisé à circuler. En utilisant des protocoles ouverts, vous pourrez également accéder à des périphériques réseau comme les routeurs, les commutateurs, ou les pare-feu qui – autrement – ne pourraient pas être contrôlés à cause d’un firmware propriétaire.
4. La segmentation via le cloud
Grâce au développement de l’informatique, de l’infrastructure et du stockage dans le cloud, une nouvelle approche de la segmentation a actuellement le vent en poupe. Désormais, la segmentation du réseau permet de décharger le trafic et les flux de travail de votre réseau local vers un réseau basé dans le cloud.
Le trafic entre votre réseau LAN et le cloud est géré en toute sécurité par le biais de protocoles d’authentification robustes et/ou via des VPN sur SD-WAN ou des tunnels IP SD-WAN chiffrés. Vous allez donc créer un réseau hybride dont une partie de réseau local physique sera basé dans votre centre de données et une autre partie dans le cloud.
L’avantage de cette forme de segmentation réseau est qu’elle permet à votre entreprise de se connecter aux ressources du bureau à celles basées dans le cloud de manière sécurisée et avec des performances optimisées.
5. La microsegmentation
La microsegmentation est une solution qui rassemble toutes les techniques et concepts susmentionnés. Il s’agit d’un moyen de segmenter plus efficacement votre réseau, d’empêcher les brèches de sécurité et de contrôler les vulnérabilités de sécurité au sein d’un sous-réseau. On utilise des applications de pare-feu basées sur le périmètre pour gérer les entités extérieures qui pénètrent dans votre réseau.
L’objectif de la microsegmentation va au-delà du simple fait de permettre ou de refuser l’accès à votre réseau en se basant sur les adresses IP, les protocoles et les ports. Comme les adresses IP, les protocoles et les ports sont de plus en plus faciles à usurper, vous pouvez légitimement essayer d’accéder à votre réseau professionnel via d’autres adresses IP à différents endroits.
L’autre caractéristique de la microsegmentation est qu’elle s’appuie sur le modèle de « confiance zéro ». Le principe consiste à supposer qu’aucune entité – qu’il s’agisse d’un utilisateur, d’un hôte, d’un serveur, d’un type de trafic ou d’une application web – n’est digne de confiance, sauf si elle est explicitement étiquetée comme telle.
La microsegmentation requiert une analyse sophistiquée de l’ensemble du trafic, des hôtes, des utilisateurs, des serveurs, des ordinateurs portables, des téléphones, des applications Web, etc., pour établir la relation de confiance.
Pour automatiser ce processus, les outils les plus modernes tentent d’analyser toute la télémétrie impliquée dans un flux de travail pour élaborer des politiques de sécurité. Ainsi, les ressources autorisées pourront être identifiées via leur adresse IP et par leur interconnexion et leur dépendance avec d’autres ressources, et elles pourront interagir avec l’environnement du flux de travail.
Une fois qu’une ressource est vérifiée et que la « confiance » lui est accordée, il rare que du trafic indésirable parvient à traverser le flux de travail ou à contaminer les applications ou les hôtes.
Quelle est la meilleure configuration de segmentation de la zone de sécurité du pare-feu ?
Aujourd’hui, les réseaux s’étendent généralement à l’extérieur du périmètre du pare-feu. Pourtant, ils ont tendance à avoir une structure bien définie.
Votre réseau devrait donc avoir :
Une zone réseau interne,
Un réseau externe non fiable,
Une ou plusieurs zones de sécurité intermédiaires.
Chacune de vos zones de sécurité intermédiaires, généralement des sous-réseaux de couche 3 avec plusieurs postes de travail et/ou serveurs, doit contenir des systèmes qui peuvent être protégés de la même manière.
Ce sont des groupes de serveurs qui ont des exigences similaires. Ils peuvent être protégés par un pare-feu au niveau de l’application, ou plus généralement, au niveau du port et de l’IP.
Segmentation de la zone de sécurité du paramètre du pare-feu
Malheureusement, la topologie du réseau périmétrique qui vous convient le mieux peut différer considérablement de celle que vous avez déjà utilisée pour votre société. Votre réseau actuel sera naturellement différent et aura ses propres exigences et fonctions.
La segmentation de votre périmètre de sécurité devra donc être adaptée aux besoins spécifiques de votre entreprise. Cela dit, il existe de meilleures pratiques que vous pouvez adopter lors de la conception de votre périmètre réseau.
Pour mieux vous expliquer ce qu’est un périmètre de réseau typique, nous l’avons illustré dans le diagramme ci-dessous.
Votre réseau peut différer, mais cette illustration montre une configuration qui est généralement utilisée par de nombreuses entreprises.
En réalité, vous pouvez utiliser deux pare-feu ou n’avoir qu’une seule zone démilitarisée (DMZ). Les flèches rouges indiquent la direction du trafic autorisée par le pare-feu.
Segmentation des zones de sécurité et mise en place de votre DMZ
Votre équipement et les sections de votre réseau qui seront les plus susceptibles d’être attaqués seront les parties qui font face au public et qui sont connectées à Internet. Il s’agit notamment de vos serveurs web, de vos serveurs de messagerie et de vos serveurs DNS.
Si un pirate informatique tente d’attaquer votre réseau, c’est là que la menace est la plus susceptible de se produire. Il est donc important de pouvoir minimiser les risques de dommages au cas ou l’une de ces attaques réussirait et qu’un ou plusieurs de vos serveurs serait compromis.
C’est pour cette raison qu’il est important de mettre en place une DMZ. D’une manière générale, il s’agit d’un sous-réseau de couche 3 isolé. Dans notre exemple, nous en avons inclus deux, car cette configuration offre la meilleure protection pour notre zone interne.
Dans votre cas, un, trois, voire quatre DMZ peuvent être utilisées en fonction de la taille de votre réseau, du nombre de serveurs, etc.
DMZ1
Vous devez avoir au moins un serveur public accessible via Internet.
Le trafic doit être limité pour des raisons de sécurité, de sorte qu’il ne permet pas de passer qu’à partir d’Internet vers votre DMZ1. Il est également essentiel que seuls les ports TCP/UDP nécessaires soient ouverts et que tous les autres ports soient fermés.
Votre DMZ1 devrait héberger votre DNS, votre serveur proxy, votre serveur de messagerie et votre serveur web.
DMZ2
Pour une protection optimale, vous ne devriez jamais avoir vos bases de données situées sur le même matériel que votre serveur Web.
Les bases de données sont susceptibles d’avoir besoin d’être accessibles via votre serveur web, mais elles doivent être configurées dans une DMZ différente. Dans cet exemple, nous avons mis en place DMZ2 où nous avons placé les serveurs d’application et les serveurs de base de données.
Vous pouvez voir sur les flèches rouges de trafic que ces serveurs sont accessibles directement depuis la zone interne, ainsi que depuis DMZ1. On peut donc y accéder par Internet, mais seulement indirectement via DMZ1.
Il est également important que votre serveur d’application web et un serveur Web frontal soient situés dans différentes DMZ.
En utilisant la configuration ci-dessus, si un serveur est compromis, par exemple l’un de vos serveurs d’application dans DMZ2 via DMZ1, l’attaquant ne sera pas en mesure d’accéder à votre zone interne.
Vous devez configurer votre pare-feu pour autoriser le trafic entre vos deux DMZ, mais uniquement sur des ports spécifiques. Le trafic entre votre zone interne et votre DMZ2 est possible, mais il doit être limité. Ceci peut être nécessaire pour effectuer des sauvegardes de données, par exemple, ou pour accéder à un serveur de gestion interne.
Votre zone de sécurité interne
Dans la zone de sécurité interne se trouvent vos postes de travail d’utilisateur final, vos serveurs de fichiers et d’autres serveurs internes critiques. Vous aurez également des bases de données internes situées dans la zone interne, des serveurs Active Directory et de nombreuses applications professionnelles.
Il est essentiel qu’il n’y ait pas d’accès direct à votre zone de sécurité interne via Internet. Tout utilisateur ayant besoin d’accéder à Internet ne doit pas être autorisé. Cela ne doit être possible que par l’intermédiaire d’un serveur proxy situé en DMZ1.
Il est essentiel d’avoir une segmentation de la zone de sécurité, bien que la configuration que vous choisissez doive refléter les exigences de votre entreprise.
L’exemple d’une configuration typique de segmentation de zone de sécurité que nous avons présenté est idéal pour l’environnement de l’entreprise. Vous pouvez l’utiliser pour vous assurer d’avoir une sécurité réseau solide.
Procédez à des contrôles et des tests de la segmentation réseau
Par définition, le contrôle de segmentation est tout dispositif/processus/système pouvant être utilisé pour créer des zones de réseau distinctes afin d’isoler les actifs sur votre réseau. Les pare-feu internes sont, par exemple, un contrôle de segmentation courant, car vous pouvez les utiliser pour filtrer le trafic entre deux nœuds distincts sur un réseau. De même, vous pouvez utiliser la liste de contrôle d’accès (ACL) pour réaliser un contrôle de segmentation de réseau.
Les ACL sont des autorisations attachées à une ressource sur votre réseau. Elles ont pour rôle de spécifier qui peut utiliser la ressource et ce que l’on est autorisé à faire. Ce type de contrôle peut être très restrictif, mais il est efficace pour isoler les ressources sur votre réseau.
Il ne suffit pas d’appliquer les contrôles de segmentation et de supposer que votre réseau et vos données sont correctement protégés contre les tentatives d’accès illicite. Vos outils de segmentation réseau doivent également être testés afin de vérifier leur validité et leur efficacité contre toute tentative d’intrusion.
Les tests de segmentation sont conçus pour vérifier l’efficacité des contrôles de segmentation que vous avez appliqués pour isoler les différentes zones de sécurité. Ils sont souvent réalisés lors de tests de pénétration plus importants.
En soumettant les outils de segmentation à des contrôles et des tests rigoureux, votre entreprise pourra vérifier si la solution de segmentation réseau adoptée répond ou non aux normes de sécurité essentielles, comme la norme PCI DSS.
Pour une meilleure défense en profondeur
La défense en profondeur (DiD) est une approche de la sécurité de l’information qui utilise une série de mécanismes et de contrôles de sécurité judicieusement répartis dans un réseau informatique. Le but étant de protéger la disponibilité, la confidentialité et l’intégrité du réseau et des données qu’il contient.
Il est vrai qu’il n’existe aucune mesure d’atténuation individuelle pouvant arrêter toutes les attaques cybercriminelles. La DiD peut toutefois vous aider à lutter contre une grande variété de menaces, notamment en les stoppant avant qu’elles ne se produisent. Elle permet également de contrecarrer une attaque réussie, en évitant que d’autres dommages supplémentaires ne se produisent.
La stratégie de DiD implique l’utilisation d’antivirus, de pare-feu, de passerelles sécurisées et de réseaux privés virtuels (VPN). Les systèmes de tests et de contrôle jouent également un rôle essentiel, et vous pouvez les associer à d’autres mesures plus sophistiquées comme l’utilisation de l’apprentissage automatique qui permettent de détecter les anomalies dans le comportement des terminaux et de vos employés.
Nous ne saurions trop insister sur l’importance de créer une stratégie de défense en profondeur pour votre entreprise. Celle-ci doit s’appuyer sur une forte segmentation réseau et sur plusieurs outils de cybersécurité. Ainsi, vous pourrez déterminer de manière stricte et immuable les flux de communication autorisés et non-autorisés entre les différents segments prédéterminés.
Pour construire la défense la plus complète et la plus forte possible, il est aussi recommandé d’utiliser un filtre web comme WebTitan. Il s’agit d’une solution de filtrage web avancée qui offre une protection contre les menaces de sécurité HTTP et HTTPS. Le service WebTitan est hébergé et gérée par TitanHQ dans un environnement de cloud partagé. Cette solution de filtrage web DNS basée dans le cloud protège votre réseau contre les menaces en ligne comme les virus, les malwares, les ransomwares, le phishing, etc.
Enfin, l’aspect final d’une stratégie de cybersécurité efficace est la sensibilisation de vos employés à la cybersécurité, sous la forme d’une formation.
Voici donc les meilleures façons pour une entreprise de se défendre contre les vulnérabilités et les nombreuses menaces cybercriminelles. Le principe est simple : si vous adoptez les différentes mesures susmentionnées et si une mesure échoue, une autre mesure restera toujours en attente, prête à intervenir.
Questions fréquentes sur la segmentation réseau
Pourquoi devez-vous penser à segmenter votre réseau ?
Plus votre réseau informatique est grand, plus il est difficile à protéger. En fait, un grand réseau non segmenté représente une grande surface d’attaque pour les pirates. Une fois qu’un pirate parvient à pénétrer dans votre réseau, il peut se déplacer latéralement pour accéder à vos données sensibles. La segmentation du réseau limite ce risque, en empêchant les mouvements latéraux entre les différentes zones DMZ.
Comment un pare-feu empêche-t-il les attaques informatiques ?
Un pare-feu est un système destiné à bloquer toute connexion non autorisé à votre ordinateur, notamment lorsqu’un pirate tente de voler vos données. Il peut même vous permettre de sélectionner les programmes pouvant accéder à l’internet pour que vous ne soyez jamais connecté à votre insu.
Quel type serveur doit se trouver dans une zone DMZ ?
Vous pouvez y mettre n’importe quel service fourni aux utilisateurs sur l’internet public. Souvent, il s’agit d’un serveur web et d’un serveur proxy, ou encore d’un serveur de messagerie électronique. Vous pouvez également l’utiliser pour protéger davantage votre système de noms de domaine (DNS), la voix sur IP (VoIP) et le protocole de transfert de fichiers (FTP).
Combien de zones DMZ devriez-vous mettre en place ?
Lors de la création de votre architecture DMZ, vous pouvez utiliser un ou deux pare-feu. Cependant, il est recommandé de mettre en place deux pare-feu pour plus de sécurité. Ainsi, les pirates doivent contourner deux dispositifs de sécurité pour pouvoir accéder à votre réseau interne.
Une zone DMZ est-elle fiable à 100 % pour sécuriser votre réseau ?
Il est toujours possible pour un pirate déterminé et qui dispose de ressources suffisantes de franchir votre pare-feu externe et d’accéder à certaines ressources hébergées dans la DMZ. Pour compromettre votre réseau, il doit toutefois franchir plusieurs pare-feu internes et cela devrait déclencher des alarmes. Votre équipe informatique pourra donc intervenir à temps et éviter une brèche complète dans votre réseau.
Considéré comme l’un des réseaux professionnels les plus populaires sur le web, LinkedIn peut être utilisé par des escrocs pour amasser des données dans le but de mener des attaques informatiques telles que le phishing et le vol d’identité.
Une fois qu’ils ont recueilli les données, les fraudeurs infectent votre ordinateur avec un malware ou volent vos renseignements personnels. Une arnaque courante sur LinkedIn est un courrier électronique vous invitant à vous connecter à un autre membre qui est en réalité un faux profil LinkedIn.
Le nombre de ces invitations ne cesse de croitre et nous avons souvent le tracas pour les examiner minutieusement.
Faux profil LinkedIn avec de vraies photos
On pourrait croire que les membres Premium de LinkedIn sont dignes de confiance et sont tous de vraies personnes.
Pourtant, la photo suivante est par exemple à vendre partout sur Internet. Bien entendu, il est toujours possible que ce soit parfaitement légal.
On pourrait donc croire que Michael était peut-être mannequin avant de devenir chercheur associé.
La photo ci-dessous se trouve également partout sur Internet, et le nom du monsieur semble être Vitali Klichko, ou Klitschko. En réalité, c’est un boxeur célèbre et il est maire de Kiev.
Identités multiples et plusieurs emplois
Il est difficile d’imaginer que c’est un profil douteux, car cet homme ne pourrait pas avoir deux identités et vivre à la fois à Austin et en Ukraine et poser avec les mêmes vêtements.
Mais cette femme réussit un exploit qui pourrait être encore plus difficile à détecter. Cette photo peut également être trouvée partout sur Internet, sur des sites jugés particulièrement inappropriés pour le travail (NSFW).
Et ce n’est pas tout.
Pendant qu’elle ne pose pas sur Internet, regardez ses emplois. Cette femme talentueuse administre simultanément trois sociétés différentes. Ce qui est encore plus impressionnant, c’est qu’elle réalise tout cela alors qu’elle vit à Willcox, en Arizona, une ville qui compte environ 3000 personnes.
Peut-être que toutes ces compagnies ont des succursales à Willcox parce que Mary est tout simplement incroyable.
Peut-être pas autant qu’Anna. La photo d’Anna se trouve sur des centaines de sites NSFW.
C’est probablement la seule programmeuse du Dakota du Nord qui travaille sur des sites pornographiques sur Internet pendant son temps libre.
Tous les faux profils LinkedIn ne semblent pas suspects
Anna est tellement occupée qu’elle oublie parfois son propre nom. Sous « New project in Dubai », cette programmeuse basée dans le Dakota du Nord fait de la publicité pour des emplois à Dubaï. Elle donne ses coordonnées, et mystérieusement, son nom a changé. Vous soupçonnerez presque qu’il s’agit d’un travail de copier-coller très peu soigné et que le texte a été retiré du profil de quelqu’un d’autre.
Oui, il semble y avoir un nombre incroyable de faux comptes sur LinkedIn, mais tous ne semblent même pas suspects. Il y a quelques semaines, un homme au profil LinkedIn très impressionnant l’a démontré. Une petite enquête a révélé qu’il s’agissait d’une copie exacte du profil de quelqu’un d’autre dont le nom avait été légèrement changé.
Quel est l’intérêt de créer de fausses identités sur LinkedIn ?
L’une des raisons qui motivent les pirates à faire cela est la collecte d’adresses électroniques qu’ils vendent à des spammeurs pour permettre à ces derniers d’envoyer des spams.
L’autre possibilité effrayante est le fait que les escrocs peuvent utiliser les fausses identités pour recueillir suffisamment d’informations en vue d’un vol d’identité ou d’une attaque de phishing.
Par ailleurs, les cybercriminels peuvent créer des profils commerciaux faux ou semi-faux.
Par exemple, une entreprise dispose d’une photo de quatre personnes assises autour d’une table de conférence sur la page « À propos » de son site web. Le propriétaire peut créer de faux profils LinkedIn en utilisant les visages des personnes sur la photo, par exemple, pour donner l’impression que ces personnes totalement fictives travaillent pour lui. C’est peut-être une simple tentative permettre de rendre son entreprise plus impressionnante.
Cependant, cette pratique peut aussi être dangereuse. En effet, les fausses entreprises qui créent de faux emplois peuvent recueillir toutes sortes de données auprès des membres de LinkedIn.
De faux comptes LinkedIn utilisent l’intelligence artificielle pour duper les utilisateurs
Deepfakes. C’est le nom donné à la vidéo qui utilise un son développé par l’intelligence artificielle (IA) pour que celle-ci ressemble à quelqu’un (ou à quelqu’un qui fait quelque chose). En réalité, cette personne n’existe pas.
Les progrès de l’apprentissage machine et de l’IA continuent à rendre les deepfakes plus réalistes. Dans de nombreux cas, il est très difficile de distinguer ce qui est réel et une chose qui est le fruit de l’IA.
Le nombre de deepfakes a doublé au cours de l’année dernière, et la technologie ne cesse de progresser. Cela a crée des inquiétudes concernant les différentes façons dont les pirates peuvent utiliser pour mener leurs attaques. Beaucoup prédisent que des images truquées pourraient constituer un nouveau moyen dangereux pour collecter les informations sensibles des utilisateurs de LinkedIn. Les pirates informatiques les utilisent pour diffuser de fausses informations ou de fausses nouvelles. Mais dans la plupart des cas, les faux comptes sont utilisés pour créer de la pornographie ciblant les célébrités, en raison des grandes quantités d’échantillons de données qu’ils peuvent trouver sur les réseaux sociaux.
Bien que cela ouvre la porte à des pirates informatiques pour extorquer de l’argent, il est également à craindre que l’IA soit de plus en plus utilisée dans des campagnes de phishing de plus en plus sophistiquées. En mars de cette année, des escrocs ont tenté d’utiliser l’IA pour se faire passer pour la voix d’un dirigeant d’une entreprise d’énergie basée au Royaume-Uni, demandant à un employé de transférer avec succès des milliers d’euros sur un compte frauduleux.
Plus récemment, cependant, ces inquiétudes étaient fondées et qu’il s’avérait que les attaques de phishing n’avaient pas besoin d’être très sophistiqué pour qu’elles réussissent. Un faux compte de Katie Jones a par exemple été utilisé par les pirates pour espionner et collecter les identifiants de connexions des utilisateurs de LinkedIn. Ils utilisaient une image générée par l’IA pour tromper des hommes d’affaires sans méfiance pour qu’ils se connectent et partagent leurs informations sensibles.
Katie Jones est diplômée en études russes de l’université du Michigan. Elle est titulaire d’une bourse d’études internationales et stratégiques à Washington. Elle travaille également dans un groupe de réflexion de haut niveau, mais le problème est qu’il n’y avait aucune trace d’elle sur le web. Son image de profil ressemblait à première vue à une photo. Pourtant, celle-ci a été créée par des programmes informatiques connus sous le nom de GAN (Generative Adversarial Networks), le créateur des deepfakes. Les utilisateurs de LinkedIn ne pouvaient donc pas la découvrir via une recherche d’image sur Google.
Ce qui est impressionnant, c’est que le profil de Katie Jones a été accepté par des personnes puissantes et influentes comme le sous-secrétaire des États-Unis d’Amérique, l’assistant principal d’un sénateur et l’économiste connu Paul Winfree.
Après que le faux compte ait été examiné et révélé, le chercheur de Malwarebytes, Chris Boyd, a expliqué que le succès d’un faux profil comprenant la photo de Katie Jones était tout à fait ordinaire. Heureusement, ces hautes personnalités ont également affirmé n’avoir jamais partagé d’informations sensibles avec le faux profil. Mais cela montre comment les pirates informatiques peuvent intervenir pour acquérir l’authenticité des profils sur les réseaux sociaux et les vulnérabilités des utilisateurs finaux face aux techniques de phishing.
Dans son blog, Chris Boyd a déclaré que les faux comptes vont encore persister et ils vont causer encore plus de problèmes. Entre autres, vous devriez vous méfier des faux clips pornographiques de célébrités et des clips payants de personnes non célèbres qui peuvent aussi être utilisés pour duper de nombreuses victimes.
Comment reconnaître un faux compte LinkedIn ?
Il y a beaucoup d’informations en ligne qui vous permet de reconnaître un faux compte LinkedIn, et parfois c’est assez facile, à moins que vous ne pensiez qu’un boxeur ukrainien bien connu est aussi un travailleur dans le secteur de la santé mentale à Austin.
Voici quelques signes avant-coureurs :
Il n’y a pas de photo ou il s’agit d’une photo d’archives,
les informations sur le compte ne correspondent pas au nom de la personne,
Le compte relate une histoire d’emploi qui n’a pas de sens ou qui n’existe pratiquement pas.
La seule façon d’être parfaitement en sécurité est de ne pas accepter les invitations de personnes que vous ne connaissez pas. Vous pouvez faire des recherches sur une invitation jusqu’à ce que vous soyez certain que le compte est légitime, mais soyez conscient qu’il y a toujours un certain niveau de risque à accepter l’invitation d’un étranger.
FAQ sur les arnaques sur LinkedIn
Surfer sur les réseaux sociaux comme LinkedIn est-il dangereux ?
Oui, c’est possible, mais vous devez encore être plus prudent si vous détenez des cryptomonnaies. Les pirates informatiques ne manquent pas d’imagination pour essayer de réaliser des profits à votre insu lorsque vous naviguez sur le web et, actuellement, LinkedIn est l’une des cibles les plus visées.
Pourquoi les pirates préfèrent-ils utiliser ce réseau social ?
La raison est que les gens font plus confiance à LinkedIn qu’aux autres réseaux sociaux. D’autre part, il offre une multitude d’informations aux pirates. Ils peuvent non seulement apprendre des choses sur vous, mais aussi sur votre entreprise, et même sur les messages que vous échangez avec vos contacts.
Comment repérer rapidement un faux compte sur LinkedIn ?
Souvent, les pirates utilisent la photo d’une personne célèbre ou une photo de profil trop parfaite pour capter leurs cibles. Dans d’autres cas, leur photo de profil semble représenter une personne travaillant dans une entreprise à l’étranger, dont le nom ne vous semble pas familier. Et même si la photo semble crédible, il faut toujours vérifier sur Google Image ou en utilisant d’autres outils de recherche d’image avant d’accepter sa demande d’ajout à votre liste de contact.
Il semble que LinkedIn est aussi utilisé par de faux recruteurs pour mener des attaques de phishing, est-ce vrai ?
L’une des tendances actuelles est l’utilisation de ce réseau social pour de faux recrutements. Si vous avez par exemple plus de centaines de contacts, il est fort probable qu’un arnaqueur se cache derrière un faux compte dans votre liste de contacts. Il peut persuader un ou plusieurs de vos contacts afin de les inciter à se connecter à son compte, et la demande peut de ce fait sembler légitime.
Alors, comment éviter une telle menace ?
Il est facile de spécifier les types de messages que vous voulez recevoir sous l’onglet « Préférences et confidentialité », « Communications » puis en décochant les cases « Opportunités de carrière ».
