La campagne de phishing à grande échelle de 2017 – qui ciblait un milliard d’utilisateurs de la messagerie Gmail de Google – a démontré non seulement à quel point les attaques actuelles peuvent être sophistiquées, mais aussi à quel point elles peuvent proliférer à travers le monde. Un filtre Gmail renforcé devient indispensable.
Heureusement, aucune donnée réelle, outre les coordonnées, n’a été compromise.
Plusieurs caractéristiques de cette attaque l’ont rendue si efficace :
Elle a été distribuée par un ver qui a immédiatement accédé à la liste de contacts d’un utilisateur affecté, laquelle a été utilisée pour se propager une fois enracinée dans l’appareil compromis
Le lien malveillant semblait très crédible et digne de confiance
L’email était envoyé par un contact de confiance.
Arnaque au phishing sur Gmail — un million d’utilisateurs touchés
Au total, près d’un million d’utilisateurs ont été touchés par cette attaque et sa vitesse de propagation ainsi que sa couverture sont inquiétantes.
Mais ce qui est encore plus troublant, c’est qu’en 2017, après des années de discussions sur la question sur le phishing, il semble que nous sommes plus vulnérables que jamais à ces attaques.
Bien que celle menée à l’encontre de Google ait fait la une des journaux, l’histoire a été illustrée par des statistiques, lesquelles ont montré à quel point les menaces peuvent être bouleversantes pour tout responsable de la cybersécurité.
Selon un rapport publié par Symantec le mois dernier, un courriel sur 131, envoyé l’an dernier, contenait des virus ou des liens dangereux. Ce taux est le plus élevé depuis cinq ans.
Selon le rapport d’enquête Verizon Data Breach 2017 de Verizon, 1 utilisateur sur 14 a été amené à cliquer sur un lien ou à ouvrir une pièce jointe. De ce nombre, 25% ont été dupés plus d’une fois.
Le même rapport a montré que 43% de toutes les atteintes à la protection des données résultaient de l’installation d’un malware à la suite d’une attaque de phishing. Une étude similaire a montré que ce taux a actuellement atteint 93%.
On estime que, partout dans le monde, les arnaques par phishing ont coûté plus de trois milliards de dollars (2,3 millions de livres sterling) aux entreprises au cours des trois dernières années.
Optez pour un filtre Gmail : Le phishing est omniprésent et coûteux
Pourquoi le phishing est-il considéré comme une épidémie aujourd’hui ? Peut-être de la même manière qu’un politicien annonce que l’adoption d’une nouvelle loi qu’il a rédigée résoudra tous nos problèmes et nous permettra de passer au prochain défi. De nombreuses organisations pourraient donc choisir une solution de sécurité de la messagerie électronique et ne s’en préoccuperont plus jamais.
En réalité, la sécurité de la messagerie électronique est désormais considérée comme un produit de base et nombreux d’entre nous pensent encore que toutes les solutions sont les mêmes.
L’enjeu est que l’email reste le principal système de lancement et de livraison de malwares et de ransomwares. Nous ne devrions jamais considérer le problème comme résolu en adoptant une seule solution en une seule étape facile.
Vous trouverez ci-dessous quelques suggestions sur la façon de réévaluer votre approche de la sécurité de la messagerie électronique :
Envisagez une évaluation annuelle de votre solution antiphishing actuelle. Demandez à ses concepteurs si la technologie et l’approche utilisées intègrent la lutte contre les menaces par emails.
Dans ce cas, il est recommandé de tenir un registre d’emails des attaques de phishing qui ont déjà été signalés afin de mesurer l’efficacité de votre solution actuelle. Discutez également avec d’autres organisations au sujet de l’efficacité des outils qu’elles ont adoptées.
Si votre entreprise utilise une solution de messagerie dans le cloud comme Office 365, complétez sa propre protection de messagerie avec une solution tierce de votre choix. La récente attaque de Google a prouvé que même les meilleurs fournisseurs de services Cloud sont effectivement vulnérables aux attaques.
Chaque fournisseur peut proposer son propre filtre antispam, mais sont-ils vraiment efficaces contre les nouvelles attaques de phishing ?
Compte tenu de l’augmentation vertigineuse des coûts résultant d’une atteinte à la protection des données, la mise en place d’un système de sécurité des emails par une tierce partie devrait être considérée comme une assurance et vous rendre proactif et responsable.
La réévaluation ne devrait pas se limiter aux fournisseurs de sécurité du courrier électronique.
En fait, cela commence au sein de votre propre organisation. Vos utilisateurs finaux sont votre point d’arrivée le plus faible, mais ils constituent aussi votre première ligne de défense. Aujourd’hui, il est devenu indispensable de leur fournir les connaissances nécessaires pour identifier et discerner les emails qui sont de nature malveillante. La formation ne doit pas se limiter à un bref email ou à une présentation par année. Elle doit être un processus continu, car les cybercriminels modifient constamment leurs méthodes pour attirer les utilisateurs afin d’initier une action requise pour lancer un malware. Selon un article paru récemment dans InformationWeek, les raisons pour lesquelles les utilisateurs cliquent sur de tels liens sont la curiosité (13,7%), la peur (13,4%) et l’urgence (13,2%), suivie par la récompense/reconnaissance, les activités sociales, le divertissement et les opportunités. Le fait est que les tactiques changent constamment, ce qui signifie que vous devez tenir vos utilisateurs au courant des dernières tendances et méthodologies en termes de menaces de phishing.
Testez vos propres utilisateurs ! Les cybercriminels le font sans relâche et à tout moment, alors pourquoi pas vous ? Quelle est la meilleure façon de voir à quel point vos utilisateurs sont scrupuleux avec leurs emails ? Des études ont montré que les incidents d’infection par des malwares diminuent considérablement après une simulation en interne d’une attaque de phishing. Bien que ces tests s’avèrent très efficaces, il est toutefois essentiel de les mettre en œuvre correctement et, surtout, de ne pas les considérer comme un moyen de punir les utilisateurs qui tombent dans le piège. Au lieu de cela, vous devriez informer sur les solutions de sécurité dont vous avez mises en place et raisons pour lesquelles elles sont utilisées.
Contactez TitanHQ dès aujourd’hui pour savoir comment nous pouvons répondre à vos besoins spécifiques et renforcer la sécurité de votre environnement Office 365.
** MISE À JOUR 25/09/2018 :
Lisez notre nouveau rapport, tout juste publié en 2018, sur la façon de surmonter les faiblesses de la sécurité de la messagerie électronique dans Office 365.
Des recherches récentes menées par Osterman ont montré que Microsoft Exchange Online Protection (EOP) peut détecter 100% de tous les virus connus, avec des mises à jour toutes les 15 minutes. Cependant, la recherche a révélé qu’il était moins efficace contre les malwares inconnus ou nouveaux livrés par emails. Ainsi, les administrateurs système qui implémentent Office 365 doivent s’assurer qu’il est sécurisé en ajoutant une solution de messagerie sécurisée et de filtrage du spam comme SpamTitan afin de se protéger contre les menaces persistantes avancées. Pour ce faire, vous avez aussi besoin d’une protection avancée.
Les dernières tendances en matière d’attaques par spear phishing sont extrêmement inquiétantes. Commençons par une définition du spear phishing. Selon Kaspersky, il s’agit d’une escroquerie ciblée via un email dont le seul but est d’obtenir un accès non autorisé à des données sensibles.
Désormais, les pirates préfèrent abandonner le phishing de masse car le spear phishing est beaucoup plus rentable. Les équipes de l’entreprise Fireeye ont comparé le coût des emails de masse avec celui du spear phishing. Ils ont constaté que même si le spear phishing coûte 20 fois plus cher par victime, son rendement moyen est 40 fois plus élevé. Cela explique pourquoi ces attaques s’intensifient.
En janvier 2016, SC Magazine UK a rapporté que 42% des professionnels de la sécurité considéraient le spear phishing comme l’un des trois principaux problèmes de sécurité : voici pourquoi.
Les cybercriminels affinent de plus en plus leur façon de procéder, ce qui rend leurs attaques très difficile à détecter. Plus de 90% de ces attaques utilisent le spear phishing à un moment donné.
Même si les dépenses consacrées à la prévention contre le spear phishing ont grimpé en flèche au cours de l’année dernière, une étude réalisé par le magazine CSO et publiée en janvier 2016 a évoqué que 28% des attaques sont réussies.
Le spear phishing est davantage basé sur l’ingénierie sociale (social engineering) que sur une technologie intelligente, de sorte que la protection exige plus qu’une solution technologique.
Pour qu’une attaque par spear phishing soit crédible, l’attaquant doit en apprendre le plus possible sur sa victime et sur son entreprise. Il peut avoir votre adresse email en le recherchant sur internet, en l’achetant auprès d’une source louche, en pénétrant dans votre réseau ou en persuadant un de vos collègues de le lui fournir.
L’attaquant façonne soigneusement l’email qu’il vous envoie pour donner l’impression qu’il provient d’une source avec laquelle vous aviez déjà fait affaire, comme une entreprise de livraison, un magasin en ligne, un fournisseur de divertissement ou une institution financière. Souvent, l’email contient un logo qui ressemble beaucoup à celui de votre entreprise.
Voler de l’argent
Que veulent réellement les attaquants par spear phishing ? En effet, ils ciblent régulièrement les clients des institutions financières, des banques, des coopératives de crédit, des compagnies d’assurance et des entreprises en ligne telles que Paypal et Amazon.
Au lieu d’utiliser une pièce jointe à un email, de nombreux messages contiennent un document ou des données sous format HTML. Par exemple, vous recevez un email d’une institution financière vous demandant de cliquer sur un lien pour changer votre mot de passe. Vous serez alors redirigé à votre insu vers un site qui collecte votre ancien mot de passe. L’attaquant peut donc se connecter à votre compte et voler votre argent.
Les entreprises sont aussi des victimes potentielles des pirates. Selon le Federal Bureau of Investigation, ce genre d’escroquerie ciblée a permis à ces derniers de gagner 520 millions de livres sterling provenant de 7000 entreprises aux États-Unis entre l’été 2013 et 2015.
Prenons l’exemple d’une campagne récente rapportée par le FBI. Un email ou un appel téléphonique a été émis de la part des fraudeurs qui s’identifiaient comme des avocats s’occupant de questions confidentielles ou urgentes. Le bénéficiaire a subi des pressions pour qu’il agisse rapidement ou secrètement et pour qu’il transfère des fonds. Ce genre d’escroquerie se produit souvent à la fin d’un jour ouvrable ou d’une semaine de travail. Dans la plupart du temps, il coïncide également avec la fermeture des bureaux des institutions financières internationales.
Piggybacking d’événements d’intérêt
Pendant la saison des impôts, les victimes des attaques ciblées peuvent recevoir un email qui semble être envoyé par les « autorités fiscales ». Il demande des informations financières ou fournit des « reçus » d’impôt. Pourtant, les pièces qui y sont jointes ne sont que des malwares déguisés.
Aux États-Unis, il existe actuellement une campagne de ce genre qui cible les professionnels de la sécurité et la gestion des services informatiques dans les entreprises techniques. L’email provient d’une adresse comme assupport@gov.com ou support@link2.gov. La pièce jointe contient un script VBA malveillant qui s’exécute automatiquement dès que la victime l’ouvre.
Même les attaques terroristes ont été utilisées par les attaquants par spear phishing comme une occasion de tirer profit des événements d’un grand intérêt pour le public.
Vol de données
Les atteintes à la protection des données commencent souvent par une attaque par spear phishing. En août 2015, la désastreuse effraction des données au sein de l’entrepôt de Carphone Warehouse a commencé par des emails de spear phishing.
Les attaques par spear phishing sont difficiles à détecter et il est ainsi difficile de s’en protéger. Étant donné qu’elles reposent sur l’ingénierie sociale, la formation des utilisateurs quant au repérage des emails malveillants est donc essentielle.
Protection contre le spear phishing
Les attaquants changent constamment de tactique. C’est pour cette raison qu’il est important d’utiliser plusieurs défenses, à savoir :
Une approche multicouche de la sécurité
Des passerelles de messagerie sécurisées
Des moteurs antivirus multiples
Des filtres antispam puissants
Une protection avancée contre les malwares
Une meilleure surveillance et gestion de vos équipements informatiques.
Une faille dans les défenses
La protection évoquée ci-dessus est, bien entendu, installée dans l’environnement de l’entreprise.
Mais imaginons qu’un employé utilise un équipement personnel de communication (BYOD). Que se passe-t-il lorsqu’il ouvre un email malveillant en dehors du réseau de l’entreprise, ou bien lorsqu’il clique sur un lien malveillant via un compte de messagerie personnel comme Gmail ?
Les employés doivent savoir que ces actions peuvent compromettre l’ensemble du réseau de leur entreprise.
Les experts estiment que le spear phishing poursuivra sa croissance fulgurante et il y aura de plus en plus de variantes nécessitant des technologies avancées pour pouvoir les repousser. Les attaques impliqueront également des tactiques d’ingénierie sociale encore plus intelligentes.
Ainsi, la meilleure défense globale consiste à sensibiliser les utilisateurs. Ils doivent être vigilants et réfléchir à deux fois avant de révéler des informations, de cliquer sur des liens dans un email ou d’ouvrir une pièce jointe.
L’année dernière, le montant d’un seul de rançon suite à une attaque de ransomware a franchi la barre d’un million de dollars. Au cours de l’année, les cybercriminels se sont concentrés de plus en plus sur les attaques ciblées contre les entreprises et les organisations, plutôt que de se focaliser sur les utilisateurs individuels.
Les attaques WannaCry et Petya ont généré des ondes de choc qui ont affecté les professionnels de la cybersécurité et les dirigeants d’entreprises. Bien que ces deux attaques aient entraîné d’importantes perturbations dans les activités commerciales — qui se sont traduites par une perte de revenus et, dans certains cas, par la chute des cours de leurs actions — les instigateurs à l’origine de ces attaques n’ont pu rapporter que très peu d’argent. Dans de nombreux cas, l’année dernière, le coût de la réparation des dommages générés par les attaques de ransomware était toutefois bien plus élevé que celui des autres stratagèmes d’extorsion.
Selon Cybersecurity Ventures, le coût des dommages causés par les ransomwares est estimé à plus de 5 milliards de dollars. Dans l’ensemble, les attaques par ransomware ont augmenté de 250 % par rapport à l’année précédente. Lors du troisième trimestre de l’année dernière, une attaque était lancée toutes les 40 secondes.
En moyenne, les entreprises ont dû payer environ 1 400$ pour obtenir les clés de déchiffrement des attaquants afin de récupérer leurs données. Bien que toutes les attaques ne soient pas payantes pour les criminels, beaucoup le sont. Voici pourquoi l’industrie des ransomwares ne cesse de croître.
Attaque contre l’hôpital de l’Indiana en janvier 2018
Il n’a pas fallu longtemps pour que les ransomwares fassent la une des journaux en 2018. Hancock Health, un hôpital situé à Greenfield, en Indiana, a signalé la semaine dernière qu’il avait été victime d’une attaque par ransomware, laquelle a été découverte le vendredi 11 janvier. Le malware malicieux était identifié comme étant la souche SamSam.
Contrairement à la plupart des variantes de ransomwares qui utilisent des techniques d’ingénierie sociale telles que le phishing et les pièces jointes malveillantes, SamSam cible les serveurs non corrigés en analysant Internet pour rechercher de connexions RDP ouvertes. Les attaquants utilisent ensuite les tactiques de force brute sur ces connexions RDP afin de rechercher les fichiers critiques.
Pour le cas de Hancock Health, le compte administratif d’un tiers fournisseur sur le portail d’accès à distance de l’hôpital a été compromis.
En effet, les organisations de soins de santé sont une cible populaire pour la souche SamSam. Les cybercriminels, qui semblaient opérer en Europe de l’Est, ont réclamé une rançon de quatre bitcoins, d’une valeur d’environ 55 000 $ au moment de l’attaque. En outre, les médecins ont dû recourir à des crayons et du papier pour pouvoir continuer à travailler.
Les administrateurs de l’hôpital ont examiné les options qui s’offraient à eux face à la menace. Bien que celle-ci ait été de nature aléatoire, elle est survenue à un mauvais moment pour l’hôpital.
Steve Long, PDG de Hancock Health, a déclaré : « Nous étions dans une situation très précaire au moment de l’attaque. Avec la tempête de verglas et de neige à portée de main, associée à l’une des pires saisons de grippe de tous les temps, nous voulions récupérer nos systèmes le plus rapidement possible pour éviter d’allonger le fardeau et de détourner les patients vers d’autres hôpitaux. »
En fin de compte, bien que les administrateurs aient eu la possibilité de récupérer toutes les données à partir de sauvegardes, ils ont choisi de payer la rançon 48 heures après l’attaque, car le coût de la récupération dépassait les demandes des attaquants. Une fois le paiement effectué, la clé a été libérée et toutes les opérations étaient à nouveau opérationnelles dès lundi matin.
La communauté informatique, en général, est contre le paiement de rançons.
Une enquête menée auprès de la communauté Spiceworks, un réseau en ligne de professionnels de l’informatique, a révélé que les répondants étaient quasi unanimes à ce sujet. Cette opinion était même partagée par les membres dont les réseaux avaient été infectés. Ces victimes ont indiqué que la plupart des données étaient récupérables à partir de sauvegardes. Ceci, malgré le fait qu’elles aient subi des pertes de données à cause des sauvegardes non surveillées ou échouées, ou d’une perte de données entre 1 et 24 heures après leur dernier cycle de sauvegarde.
On peut donc supposer que l’organisation a le choix de payer la rançon ou non. Mais si elle ne dispose pas de données sauvegardées et non affectées, elle n’aura pas d’autre choix que le paiement de la rançon.
Autres entreprises victimes des attaques par le ransomware SamSam
Hancock Health n’a pas été la seule victime de SamSam ce mois-ci. Des attaques ont également été signalées contre un autre hôpital de l’Indiana — une municipalité du Nouveau-Mexique — et contre la célèbre société de systèmes de dossiers de santé électroniques Allscripts.
Rob Mayes, le City Manager de la ville de Farmington – qui a été touchée par l’attaque – a déclaré que le FBI leur avait conseillé de ne pas payer la rançon de 35 000$. Grâce à leur plan efficace en matière de continuité de la sauvegarde des données, la ville a pu les récupérer et reprendre ses activités.
Allscripts a rapporté qu’ils n’ont pas payé la rançon demandée par les pirates. Le compte Bitcoin ayant été utilisé pour le paiement de Hancock Health a reçu un afflux de 26 bitcoins depuis le 25 décembre de l’année dernière. Cela représente une valeur d’environ 300 000$.
En se référant aux nombres de cas constatés en janvier, on pourrait supposer que 2018 sera une année record en termes d’attaques par ransomwares.
Il y a beaucoup de choses que vous pouvez faites pour atténuer les dommages causés par de telles attaques, et même les prévenir.
Voici quelques conseils qui empêcheront les ransomwares de détruire votre réseau et de verrouiller vos données :
Utiliser le meilleur filtre antispam que vous puissiez obtenir pour protéger les utilisateurs contre les liens et les pièces jointes de phishing comportant un code malveillant,
Mettre en œuvre des couches de filtrage de contenu pour empêcher les utilisateurs et les sessions automatisées avec des sites Web qui servent de centres de téléchargement,
Installer un système de protection antivirus et antimalware réputés sur les périphériques d’extrémité,
Utiliser l’approche de secours 3-2-1,
Déployer un antivirus de passerelle qui analyse toutes les sessions Internet actives et supprime les paquets de code infectés par des malwares,
Désactiver le protocole de bureau à distance sur tous les ordinateurs qui sont directement exposés à Internet,
Désactiver les fichiers s’exécutant depuis les dossiers AppData ou LocalAppData,
Former les utilisateurs afin de les éduquer à devenir plus vigilants et proactifs,
Protéger les informations d’identification privilégiées sur les systèmes d’extrémités.
Les ransomwares constituent actuellement un moyen efficace pour les cybercriminels d’attaquer les organisations. Ces derniers sont en train de passer des campagnes de spam malveillant vers des attaques plus ciblées.
Vous êtes un professionnel du service informatique et vous voulez vous assurer que les données et les appareils sensibles de votre organisation sont protégés ? Contactez l’un de nos spécialistes ou envoyez-nous un e-mail à l’adresse info@titanhq.fr pour toute question.
Une récente attaque menée par des pirates informatiques russes a été signalée par des experts américains et britanniques en matière de cybersécurité. Le rapport indique qu’une armée de scripts et de robots a été déployée pour détecter les vulnérabilités des routeurs des petits commerces de détail.
Les routeurs sont installés dans presque n’importe quel établissement en tant que connexion à un fournisseur d’accès à Internet (FAI) ou au réseau WiFi public dans les magasins, les restaurants ou les cybercafés. Ces routeurs offrent une sécurité de base, mais les particuliers et les petites entreprises prennent rarement des précautions pour mettre à niveau leur firmware, en particulier les correctifs de vulnérabilité.
Le département de la Sécurité intérieure des États-Unis (DHS), le Federal Bureau of Investigation (FBI) et le National Cyber Security Centre (NCSC) du Royaume-Uni ont signalé des incidents au cours desquels ils ont constaté une augmentation des attaques liées à la Russie contre des routeurs plus anciens, notamment les pare-feu et les commutateurs des principaux FAI situés principalement aux États-Unis.
Attaques contre les vulnérabilités des anciens firmwares et des mots de passe de routeur inchangés
Ces types d’attaques automatisées ciblent deux vulnérabilités : les firmwares de routeur qui n’ont pas été mis à jour et les routeurs qui utilisent encore les mots de passe par défaut qui sont fournis par les fabricants. Ces deux menaces sont courantes dans les petites entreprises et les résidences individuelles où la cybersécurité est faible. Les utilisateurs laissent souvent le mot de passe par défaut sur la console du routeur sans le savoir. Ce qui permet à toute personne pouvant consulter la liste de mots de passe du fabricant d’accéder à vos réseaux informatiques.
Les systèmes d’exploitation et les logiciels peuvent facilement être mis à jour, mais les routeurs sont souvent oubliés, même dans l’entreprise. Les fabricants de routeurs publient des correctifs sur leur site, mais il est rare que les utilisateurs les téléchargent et les installent. Soit ils ne savent pas que la mise à jour existe, soit ils ne savent pas comment mettre à jour le firmware de leur routeur, car il faut plus de connaissances en réseau informatique pour le faire.
Le 19 avril 2018, l’Équipe d’intervention d’urgence informatique des États-Unis (US-CERT) a émis une alerte (TA18-106A) concernant les cyberacteurs russes parrainés par l’État russe et qui analysent des millions de routeurs à la recherche de failles aux États-Unis et au Royaume-Uni. Un partenaire industriel a découvert l’activité malveillante et l’a signalée au National Cybersecurity & Communications Integration Center (NCCIC) et au FBI. Des scans ont donné aux attaquants la marque et le modèle des routeurs découverts. Ainsi, ils ont pu réaliser un inventaire des dispositifs vulnérables qui pourront ensuite être utilisés à des fins malveillantes.
Parmi ces dispositifs ciblés, on compte :
Les dispositifs d’encapsulation de routage générique (GRE) activés.
Les dispositifs bénéficiant de la fonctionnalité Cisco Smart Install (CMI)
Les périphériques réseau avec des SNMP (Simple Network Management Protocol) activés
Certains dispositifs et périphériques intègrent des pare-feu et des commutateurs des FAI des infrastructures critiques et des grandes entreprises.
Mais la majorité d’entre eux comprennent les routeurs grand public, y compris les dispositifs d’Internet des Objets (IdO – IoT) basés sur le consommateur.
Selon le coordonnateur de la cybersécurité du Conseil national de sécurité, Rob Joyce, il y a une forte probabilité que la Russie ait mené une campagne bien coordonnée pour avoir accès à une entreprise ; à des petits routeurs de bureau ; à des bureaux à domicile (connus sous le nom de SOHO) et à des routeurs résidentiels à travers le monde.
Les routeurs piratés utilisés pour les attaques « Man-in-the-Middle »
Une fois que le routeur est piraté, les cybercriminels peuvent l’utiliser pour mener des attaques Man-in-the-Middle (MitM) qui soutiennent l’espionnage d’entreprise. Ils peuvent accéder aux informations d’identité ou intercepter des données telles que la propriété intellectuelle, car des utilisateurs non avertis peuvent continuer à utiliser les appareils compromis.
Les attaques MitM peuvent être difficiles à détecter pour l’utilisateur final parce qu’il n’y a pas de virus ou de malwares qui interrompent l’activité. Par ailleurs, le trafic peut fonctionner naturellement lorsque l’attaquant se fait voler les données à son insu.
Les experts rapportent que des millions d’appareils ont déjà été piratés et cela pourrait conduire à de futures attaques qui exploiteraient des appareils compromis. Les FAI et toutes les entreprises utilisant encore des routeurs achetés au détail devraient mettre à jour leurs firmwares et s’assurer que les mots de passe par défaut sont changés.
Les attaques parrainées par l’État russe se sont multipliées au fil des ans. Les vulnérabilités constatées par ces attaquants ont été utilisées pour influer sur les élections, réduire les réseaux électriques et arrêter la productivité des entreprises dans le monde entier. Les années précédentes, ils visaient principalement l’Ukraine. Pourtant, l’attaque susmentionnée se concentrait essentiellement sur les entreprises et les FAI basés aux États-Unis.
Ce n’est pas la première fois que des agents russes ciblent les SOHO et les appareils résidentiels. Au cours des deux dernières années, le Département de la sécurité intérieure a été témoin de l’activité russe en matière d’analyse des vulnérabilités des routeurs. Comme de nombreux pirates informatiques, ces auteurs parrainés par la Russie tirent parti des dispositifs obsolètes et des configurations de sécurité faibles.
Souvent, les routeurs et autres dispositifs similaires ne sont pas entretenus ou gérés avec la même vigilance et le même souci de sécurité que les serveurs et les ordinateurs. Un nombre important de ces routeurs et périphériques continuent d’utiliser leurs mots de passe administrateur par défaut, tandis que d’autres ne sont plus supportés par les correctifs de sécurité ou de firmware.
L’alerte TA18-106A conseille à tous les propriétaires de routeurs de modifier toutes les informations d’identification par défaut et d’utiliser des mots de passe différents sur plusieurs périphériques. Des mots de passe simples tels que « 12345678 » ne doivent plus être utilisés, car les attaquants peuvent utiliser la force brute pour spammer différentes combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce que l’appareil soit accessible. Le DHS recommande également de « retraiter et remplacer les anciens dispositifs » qui ne peuvent pas être mis à jour.
Attaques DDoS contre des sites gouvernementaux
L’alerte technique s’adresse également aux fabricants, les encourageant à commencer à concevoir des types d’appareils qui mettent en avant la sécurité dès le départ. Cela signifierait que les protocoles obsolètes et non chiffrés ne seraient plus supportés.
D’autres mesures pourraient inclure des changements forcés de mot de passe lorsque les dispositifs comme les routeurs sont démarrés pour la première fois, y compris les nombreux ordinateurs au niveau de l’entreprise.
Quant à la multitude d’appareils IoT dans utilisés dans les foyers aujourd’hui, ils sont souvent dépourvus de tout système de sécurité pour les rendre économiques et abordables.
C’est la première fois que des représentants du gouvernement s’adressent au public et aux fabricants pour leur donner des conseils sur la façon d’améliorer la sécurité des dispositifs pouvant être remis en cause.
Les représentants du gouvernement estiment que cet effort de balayage à grande échelle fait partie du grand plan de Poutine visant à perturber l’Occident. La question est de savoir à quelle fin. Les routeurs exploités par les FAI peuvent être utilisés à des fins d’espionnage pour voler la propriété intellectuelle ou pour saisir les informations des clients des FAI. Les pirates peuvent les utiliser au moment le plus opportun.
Des routeurs domestiques et des dispositifs IoT compromis peuvent aussi être utilisés pour coordonner des DDoS ou attaques par déni de service massives contre les sites gouvernementaux et l’infrastructure Internet. Ce qui les rend intéressantes, c’est que les Russes peuvent plaider la négation de telles attaques en cas de besoin.
« Une fois que vous possédez le routeur, vous possédez le trafic », déclare un haut responsable de la cybersécurité du DHS.
En réalité, les cyberattaques parrainées par l’État russe constituent une préoccupation de sécurité nationale pour les États-Unis et le Royaume-Uni. Ils peuvent utiliser les vulnérabilités pour affecter les élections, les réseaux électriques et le commerce. Les États-Unis ont déjà combattu contre les attaques de la Russie, celles menées en Iran et en Corée du Nord.
En publiant cette récente alerte, les deux pays envoient un message clair à Poutine et à son gouvernement, en affirmant que « ces actes malveillants sont inacceptables et ne seront pas tolérés. Un responsable britannique a déclaré : « L’attribution de cette activité malveillante envoie un message clair à la Russie : nous savons ce que vous faites et vous n’y parviendrez pas. ».
Bien entendu, les Russes ont répondu à ces accusations. Dans un commentaire envoyé par e-mail à l’ambassade de Russie à Londres, un porte-parole russe a déclaré que les accusations et les spéculations étaient imprudentes, provocatrices et sans fondement. La déclaration demandait également aux deux pays occidentaux d’apporter des preuves à l’appui de ces affirmations farfelues.
Pendant de nombreuses années, on a dit que les pays qui pouvaient contrôler les océans par leurs forces marines ou dominer le ciel par leur présence aérienne pouvaient contrôler la guerre. À l’avenir, ceux qui contrôlent l’infrastructure mondiale de l’Internet auront également un avantage significatif.
Les périphériques piratés peuvent être utilisés lors de futures attaques
L’espionnage d’entreprise n’est pas la seule conséquence des attaques cybercriminelles.
Les pirates peuvent aussi laisser un code de porte dérobée (backdoor) qui reste inactif en attendant qu’ils décident plus tard d’attaquer les entreprises. Les DDoS ont été à l’origine de certaines des plus grandes cyberattaques sur Internet et qui ont détruit les grandes entreprises, notamment les protocoles Internet critiques tels que DNS.
Étude de cas
En tant que fournisseur de services de filtrage Web, Family-Guard croît à un rythme effarant, ajoutant quotidiennement des clients à son service. WebTitan pour Wi-Fi permet à Family-Guard d’offrir facilement à ses clients des contrôles de contenus Web. Déployée en tant que service cloud, cette solution est basée sur le DNS et ne requiert qu’une simple redirection DNS vers les serveurs WebTitan. Découvrez ici l’étude de cas complet de ce fournisseur de services de filtrage Web.
Forte couche de protection pour les routeurs et la configuration Wi-Fi
De nos jours, Internet est devenu indispensable pour la majorité des gens. Malheureusement, les sites Web malveillants, les spywares et les virus présentent de réelles menaces ses utilisateurs et celles-ci ne doivent tout simplement pas être ignorées.
Si vous offrez le Wi-Fi public ou possédez un routeur Wi-Fi pour la connectivité Internet publique, vous pourrez réduire le risque d’attaques en ligne et vous pourrez contrôler la navigation Web en utilisant WebTitan Cloud for Wi-Fi.
WebTitan Cloud for Wi-Fi ajoute une forte couche de protection au routeur et à la configuration Wi-Fi de vos clients. Il est impératif que le Wi-Fi public ait toujours des règles strictes de cybersécurité, et tout firmware de routeur doit être régulièrement mis à jour. WebTItan vous aide dans ce cas à fournir une excellente sécurité informatique. Enfin, grâce à cette solution, les MSP qui vendent des routeurs utilisant le Wi-Fi WebTitan peuvent garantir un accès Wi-Fi sécurisé et filtré à leurs clients.
Prenez-vous des mesures pour empêcher les téléchargements de malwares par « drive-by downloads » ?
Avez-vous mis en place des contrôles pour réduire votre surface d’attaque et empêcher vos employés de télécharger par inadvertance des malwares sur votre réseau ?
Le « malvertising », un risque majeur pour la sécurité qu’il faut gérer
La malvertising est le terme utilisé pour désigner la pratique consistant à afficher des publicités malveillantes aux visiteurs d’un site web.
Les publicités malveillantes sont diffusées par l’intermédiaire de réseaux publicitaires tiers présents sur un large éventail de sites web légitimes. Des publicités malveillantes ont été diffusées auprès des visiteurs de la plupart des 500 principaux sites web mondiaux.
On a découvert que le site web du quotidien New York Times affichait de la publicité malveillante par l’intermédiaire d’un réseau publicitaire tiers. Ces publicités redirigeaient les visiteurs vers des sites web où des ransomwares ont été téléchargés. De même, on a découvert que le site web de la BBC au Royaume-Uni affichait des publicités malveillantes qui donnaient lieu à des téléchargements de ransomwares.
D’autres sites très connus affichent de la publicité malveillante. Parmi tant d’autres, on compte AOL, le site web de la NFL, Realtor, theweathernetwork, Newsweek, infolinks, answers.com et thehill.
Proofpoint a récemment annoncé avoir réussi à fermer l’opération de contamination de malwares d’AdGholas.
Cette opération à grande échelle aurait donné lieu à l’affichage de publicités malveillantes auprès de 1 à 5 millions d’individus par jour. Les chercheurs de Proofpoint ont estimé qu’entre 10 et 20 % des ordinateurs ayant chargé les publicités malveillantes ont été redirigés vers des sites web contenant des kits d’exploitation.
Les kits d’exploitation sondent les vulnérabilités de sécurité des navigateurs web. Si des vulnérabilités sont découvertes, les malwares sont téléchargés discrètement sur l’ordinateur du visiteur du site. Bien entendu, ce n’était qu’une opération de malversation parmi tant d’autres.
Coût des infections par les malwares et les ransomwares
De nombreuses variantes de ransomwares sont capables de se déplacer latéralement au sein d’un réseau et de se répliquer. Un téléchargement peut donc infecter plusieurs ordinateurs. Chaque dispositif infecté est chiffré avec une clé distincte et une demande de rançon distincte est émise pour chaque infection.
Les organisations qui ont été victimes de multiples infections peuvent recevoir des demandes de rançon de l’ordre de plusieurs dizaines de milliers de dollars. En janvier, le Hollywood Presbyterian Medical Center a dû payer 17 000 dollars pour obtenir les clés de déchiffrement afin de déverrouiller ses ordinateurs.
La menace de malware peut être beaucoup plus grave.
Les malwares, tels que les keyloggers peuvent être utilisés pour obtenir des identifiants de connexion des comptes bancaires d’entreprise. Ceci permet aux criminels d’effectuer des transferts frauduleux et de vider les comptes d’entreprise. Les malwares peuvent installer des backdoors qui peuvent être utilisées pour voler les données des patients dans les organisations de soins de santé.
Si vous n’empêchez pas les téléchargements de malwares par « drive-by download », cela peut s’avérer très coûteux. Récemment, Ponemon Institute a calculé le coût moyen d’une atteinte à la protection des données sur les soins de santé, lequel s’élevait à 4 millions de dollars. Le coût par dossier de santé compromis a été estimé à 158 $.
Empêchez les téléchargements de malwares par « drive-by downloads »
Pour éviter les téléchargements de malwares par « drive-by downloads », vous devez employer toute une série de tactiques.
De bonnes politiques de gestion des correctifs peuvent vous aider à vous assurer que vos périphériques ne restent pas vulnérables. Les logiciels, les navigateurs et les plug-ins de navigateur doivent être tenus à jour et les correctifs doivent être appliqués rapidement en cas de besoin. À noter que les plug-ins et logiciels couramment exploités par les cybercriminels comprennent Java, Adobe Flash et PDF Reader et les navigateurs web obsolètes.
Les entreprises peuvent empêcher les employés d’être dirigés vers des sites web malveillants en utilisant une solution de filtrage Web. Ce dernier peut être configuré pour bloquer les sites web connus pour contenir des malwares ou des kits d’exploitation. Un filtre web peut être utilisé pour bloquer l’affichage des publicités tierces. Bloquez les réseaux publicitaires, et vous pouvez être certain que les publicités malveillantes ne seront plus affichées sur les sites web que vos employés peuvent visiter.
Vous devriez également mettre en œuvre des politiques d’utilisation acceptables (PUA) pour limiter les sites web pouvant être visités par vos employés. Une solution de filtrage Web peut vous aider à cet égard. Vous pouvez demander aux employés de ne pas visiter certaines catégories de sites web pouvant présenter un risque supérieur à la moyenne, mais utiliser un filtre Web serait encore plus intéressant pour appliquer les PUA.
En bloquant l’accès aux sites web pornographiques et de jeux d’argent ; aux sites contenant du contenu illégal, et à d’autres sites web à risque tels que les sites de partage de fichiers p2p, le risque de télécharger des malwares peut être considérablement réduit.
Une solution de filtrage Web ne peut pas empêcher toutes les brèches dans les données et les attaques de malwares. Pourtant, c’est un élément vital pour la cybersécurité qui ne doit donc pas être ignoré. C’est l’un des contrôles les plus importants à utiliser pour empêcher les téléchargements de malwares par « drive-by downloads ».
Le ransomware Locky est de retour. Ces dernières attaques de Locky tirent parti d’une technique d’infection utilisée dans les campagnes de malwares Dridex.
Tout a été calme sur le Front de l’Ouest. Les attaques de ransomwares Locky ne représentant plus qu’une infime fraction par rapport à celles observées en 2016. Au premier trimestre de 2017, elles ont pratiquement cessé et Cerber était devenu la plus grande menace en matière de ransomware.
Mais c’est sur le point de changer, car Locky est de retour. Son mécanisme de livraison a changé, et le crypto-ransomware est maintenant encore plus difficile à détecter.
La dernière campagne a été détectée par Cisco Talos et PhishMe. L’équipe Talos a identifié une campagne d’environ 35 000 spams répartis en quelques heures seulement. Les chercheurs suggèrent que les e-mails ont été envoyés à l’aide du botnet Necurs, qui était jusqu’à récemment utilisé pour l’envoi de spams liés aux stocks.
Nouvelle méthode d’infection utilisée dans les dernières attaques du ransomware Locky
La dernière campagne Locky utilise une méthode d’infection différente. Les campagnes précédentes ont utilisé des macros Word malveillantes attachées aux spams. Si la pièce jointe est ouverte, les utilisateurs finaux sont invités à activer les macros pour visualiser le contenu du document. L’activation des macros permet l’exécution d’un script qui télécharge la charge utile. Pour la dernière campagne, les spams ont été utilisés pour livrer des fichiers PDF.
Le changement de méthode d’infection s’explique facilement. Au cours des derniers mois, les macros Word ont été largement utilisées pour infecter les utilisateurs finaux avec des ransomwares. Le danger que représentent les macros Word a été largement rapporté et les entreprises ont mis en garde leur personnel contre les documents Word malveillants contenant ces macros.
Si un utilisateur final arrive à ouvrir une pièce jointe à un e-mail qui lui demande d’activer les macros, il est alors plus susceptible de fermer le document et déclencher l’alarme. Pour augmenter la probabilité que l’utilisateur final prenne les mesures souhaitées, les auteurs ont apporté un changement. Les macros sont toujours impliquées, mais plus tard dans le processus d’infection.
Les e-mails contiennent peu de texte et ils informent le destinataire que le fichier PDF contient une image ou un document numérisé, un bon de commande ou un reçu. Les fichiers PDF, quant à eux, sont plus fiables et sont plus susceptibles d’être ouverts. En ouvrant le fichier PDF, l’utilisateur sera invité à autoriser le lecteur PDF à télécharger un fichier supplémentaire. Pourtant, le deuxième fichier est un document Word contenant une macro que l’utilisateur final sera invité à activer.
Le reste du processus d’infection se déroule de la même manière que les précédentes attaques de Locky. En activant les macros, une charge utile Dridex sera téléchargée pour télécharger ensuite Locky. Locky procédera au chiffrement d’une large gamme similaire de types de fichiers sur l’ordinateur infecté, les périphériques de stockage connectés et les lecteurs réseau mappés.
La rançon exigée est de 1 bitcoin. C’est beaucoup plus que la rançon exigée par Locky lorsqu’il a vu le jour il y a un peu plus d’un an.
Ce qui a changé un peu pour cette campagne est que l’utilisateur doit installer le navigateur Tor pour pouvoir visiter le site de paiement. Ce changement serait dû au blocage des services proxy Tor.
L’ajout d’une étape supplémentaire dans le processus d’infection devrait entraîner d’autres infections. De nombreux utilisateurs qui n’ouvriraient pas une pièce jointe Word peuvent se faire avoir en ouvrant le PDF.
Les entreprises devraient tirer la sonnette d’alarme et envoyer des e-mails d’avertissement au personnel pour les avertir de cette nouvelle campagne et leur conseiller de se méfier des fichiers PDF dans leurs e-mails.
Une nouvelle menace de malware, appelée Viro botnet, a été détectée. Le malware combine les fonctions de chiffrement de fichiers de ransomware à un enregistreur de frappe pour obtenir des mots de passe et à un botnet capable d’envoyer des spams à partir de dispositifs infectés.
Le malware Viro botnet fait partie d’une nouvelle génération de variantes de malwares très flexibles et qui disposent d’un large éventail de fonctionnalités leur permettant de maximiser les bénéfices d’une infection réussie. Plusieurs variantes de malwares ont été découvertes récemment, combinant les propriétés de chiffrement de fichiers des ransomwares avec le code d’exploitation minière de cryptomonnaies.
La dernière menace a été identifiée par des chercheurs en sécurité de Trend Micro. Ils ont souligné que cette nouvelle menace est encore en cours de développement et semble avoir été créée de toutes pièces. Le code est différent de ceux des autres variantes de ransomwares connues.
Certaines variantes de ransomwares sont capables de s’autopropager d’un appareil infecté à d’autres appareils sur un même réseau. Viro botnet y parvient en détournant les comptes de messagerie Outlook. Il utilise ensuite ces comptes pour envoyer des spams – contenant soit une copie d’eux-mêmes en pièce jointe, soit un téléchargeur — à toutes les personnes de la liste de contacts de l’utilisateur.
Viro botnet a été utilisé dans des attaques ciblées aux États-Unis via des campagnes de spams, bien que bizarrement, la note de rançon déposée sur les ordinateurs des victimes était écrite en français. Ce n’est pas la seule nouvelle menace de ransomware à inclure une demande de rançon en français. C’est aussi le cas de PyLocky, une nouvelle menace de ransomware récemment détectée et qui se fait passer pour Locky. Cela semble être une coïncidence, car rien n’indique que ces deux types de ransomwares sont liés ou distribués par un même groupe de menaces.
Avec Viro botnet, l’infection commence par un spam contenant une pièce jointe malveillante. Si celle-ci est ouverte et que le contenu est autorisé à s’exécuter, la charge utile malveillante sera téléchargée. Viro botnet malware vérifiera d’abord les clés de registre et les clés de produit pour déterminer si sa routine de cryptage doit s’exécuter. Si ces contrôles sont réussis, une paire de clés de chiffrement/déchiffrement sera générée via un générateur cryptographique de nombres aléatoires qui seront ensuite renvoyés au serveur C2 de l’attaquant. Les fichiers sont ensuite chiffrés par le biais d’un chiffrement RSA et une note de rançon est déposée sur le bureau de l’ordinateur infecté.
Le malware Viro botnet contient un keylogger de base capable d’enregistrer toutes les frappes sur une machine infectée et de renvoyer les données au serveur C2 de l’attaquant, puis de télécharger d’autres fichiers malveillants à partir de ce même serveur.
Alors que le serveur C2 de l’attaquant était initialement actif, il est actuellement désactivé, de sorte que les données des autres périphériques infectés ne puissent plus être chiffrées. En effet, la connexion à ce serveur est nécessaire pour que la routine de chiffrement puisse démarrer. La menace a été neutralisée, mais il ne devrait s’agir que d’une brève interruption. On pourrait s’attendre à ce que le C2 soit réactivé et que d’autres campagnes de distribution plus vastes se produisent.
La protection contre les menaces par courrier électronique comme le malware Viro botnet nécessite une solution avancée de filtrage des spams comme SpamTitan pour empêcher la transmission de messages malveillants aux utilisateurs finaux. Un logiciel antimalware avancé devrait être installé pour détecter les fichiers malveillants au cas où ils seraient téléchargés.
Les utilisateurs finaux devraient également recevoir une formation de sensibilisation à la sécurité pour les aider à identifier les menaces de sécurité et à réagir de manière appropriée.
Enfin, des sauvegardes multiples doivent être créées, dont une copie sera stockée en toute sécurité hors site, et ce, afin de garantir que les fichiers puissent être récupérés en cas de chiffrement des fichiers.
À partir du 25 mai 2018, toutes les entreprises faisant affaire avec des résidents de l’Union européenne (UE) doivent se conformer au Règlement Général sur la Protection des Données (RGPD).
Comment les entreprises peuvent-elles protéger les renseignements personnels identifiables en vertu du RGPD et éviter une pénalité en cas de non-respect ?
Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD)
Le RGPD est un nouveau règlement de l’UE qui obligera les entreprises à mettre en œuvre des politiques, procédures et technologies visant à améliorer la protection de la vie privée des consommateurs. Cette loi donne également aux citoyens de l’UE davantage de droits sur les données enregistrées et stockées par les entreprises.
Le RGPD s’applique à toutes les entreprises qui font des affaires avec des citoyens de l’UE, qu’elles soient basées ou non dans l’UE. Cela signifie qu’une entreprise disposant d’un site web accessible aux résidents de l’UE serait tenue de s’y conformer.
Les renseignements personnels identifiables comprennent un large éventail d’éléments d’information concernant les consommateurs. En plus des noms, adresses, numéros de téléphone, informations financières et médicales, ces renseignements incluent les adresses IP, les identifiants de connexion, les vidéos, les photos, les messages sur les médias sociaux et les données de localisation, notamment les informations permettant d’identifier une personne spécifique.
Des politiques doivent être élaborées concernant les personnes dont les données sont collectées, les responsables du traitement (organisations qui collectent les données) et les sous-traitants (entreprises qui traitent les données). Des registres doivent être tenus sur la façon dont les données sont recueillies, stockées, utilisées et supprimées lorsqu’elles ne sont plus nécessaires.
Certaines entreprises sont tenues de nommer un délégué à la protection des données (DPD) dont le rôle est de veiller au respect du RGPD. Cette personne doit avoir une compréhension approfondie concernant le RGPD et une connaissance technique des processus, des procédures et de la structure de l’organisation.
D’une part, les entreprises doivent s’assurer que les données sont stockées en toute sécurité et que les consommateurs ont le droit de voir leurs données stockées effacées. D’autre part, le RGPD les oblige à divulguer rapidement les atteintes à la protection des données, à savoir dans les 72 heures suivant leur découverte.
Le non-respect du RGPD pourrait entraîner de lourdes amendes, allant jusqu’à 20 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise concernée, le montant le plus élevé étant retenu.
Beaucoup d’entreprises ne sont pas encore préparées au RGPD ou pensent que ce règlement ne les concerne pas. D’autres se sont rendu compte de l’ampleur du travail à accomplir et se sont efforcés de mettre leur entreprise en conformité avant l’échéance. Pour de nombreuses entreprises, le coût de la conformité a été considérable.
Comment puis-je protéger les renseignements personnels identifiables dans le cadre du RGPD ?
Le RGPD impose un certain nombre de restrictions sur ce que les entreprises peuvent et ne peuvent pas faire avec les données et la manière dont celles-ci doivent être protégées, bien qu’aucun contrôle spécifique ne leur soit exigé pour protéger les renseignements personnels identifiables en vertu de la réglementation. Quant à la technologie utilisée pour protéger les données, elle est laissée à la discrétion de chaque entreprise. En réalité, il n’existe pas de modèle normalisé pour protéger les renseignements personnels identifiables dans le cadre du RGPD.
Un bon point de départ consiste à examiner les processus et les systèmes qui recueillent et stockent les données. Elles doivent être localisées avant de pouvoir être protégées. Les systèmes et processus doivent également être identifiés pour assurer l’application de contrôles appropriés.
Le RGPD est rattaché au droit à l’oubli (ou droit à l’effacement), de sorte que toutes les données relatives à une personne doivent être effacées lorsqu’une personne le demande. Il est donc essentiel qu’une entreprise sache où se trouvent toutes les données relatives aux personnes pour lesquelles les données ont été collectées. Par ailleurs, des contrôles doivent être mis en place pour restreindre l’accès des personnes ayant accès aux données des consommateurs et une formation doit être dispensée pour que tous les employés connaissent le RGPD et la façon dont il s’applique à eux.
Les entreprises devraient procéder à une évaluation des risques pour déterminer le niveau pertinence et de gravité des dangers. Cette évaluation peut être utilisée pour déterminer les technologies les plus appropriées à mettre en œuvre.
Des technologies permettant la pseudonymisation et le chiffrement des données devraient être envisagées. Si les données sont stockées sous forme chiffrée, elles ne sont plus considérées comme des données personnelles.
Les entreprises doivent envisager de mettre en œuvre une technologie qui améliore la sécurité des systèmes et des services de traitement des données ; des mécanismes qui permettent de restaurer les données en cas de violation, ainsi que des politiques qui testent régulièrement les contrôles de sécurité.
Pour protéger les renseignements personnels identifiables dans le cadre de RGPD, les organisations doivent sécuriser tous les systèmes et applications utilisés pour stocker ou traiter des données personnelles et mettre en place des contrôles pour protéger leurs infrastructures informatiques. Il faudrait également mettre en place des systèmes permettant aux entreprises de détecter les atteintes à la protection des données en temps réel.
Une nouvelle forme de malware POS (Point of Service), appelée MajikPOS, a récemment été découverte par des chercheurs en sécurité chez Trend Micro. Le nouveau malware a été utilisé dans des attaques ciblées contre des entreprises aux États-Unis, au Canada et en Australie.
Les chercheurs ont identifié les malwares MajikPOS pour la première fois fin janvier, alors qu’ils avaient déjà été utilisés dans de nombreuses attaques contre des détaillants. Une enquête plus poussée a révélé que ces attaques avaient été menées depuis août 2016.
Les malwares MajikPOS ont une conception modulaire et ont été écrits en .NET, un cadre logiciel commun utilisé pour les malwares POS. La conception des malwares MajikPOS prend en charge un certain nombre de fonctions qui peuvent être utilisées pour recueillir des informations sur les réseaux et identifier les systèmes de points de vente et autres ordinateurs qui traitent les données financières.
Les attaquants infectent les ordinateurs en exploitant de faibles informations d’identification. Des attaques brutales sont menées sur les ports VNC (Virtual Network Computing) et RDP (Remote Desktop Protocol) ouverts.
Diverses techniques peuvent être utilisées pour installer les malwares MajikPOS et échapper à la détection, en s’appuyant dans certains cas sur les RAT ayant déjà été installés sur les systèmes des détaillants. Le malware comprend un composant de raclage de RAM pour identifier les données de carte de crédit et utilise un canal crypté pour communiquer avec son C&C et exfiltrer les données non détectées.
Les malwares MajikPOS sont utilisés par une organisation cybercriminelle bien organisée et le vol des détails des cartes de crédit sont à grande échelle. Ces informations sont ensuite vendues sur des « dump shops » sur le darknet. Les numéros de cartes de crédit volées, que les chercheurs estiment à au moins 23 400, sont vendus entre 9 et 39 $ l’unité, ou par lots de 25, 50 ou 100$. La majorité de ces cartes appartiennent à des particuliers aux États-Unis ou au Canada.
Les infections de malwares dans les systèmes de points de vente peuvent être dévastatrices
Un certain nombre de vecteurs d’attaque différents peuvent être utilisés pour installer des malwares dans les points de vente. Ils peuvent s’installer lorsque des employés tombent dans le piège des e-mails de spear phishing. Les cybercriminels prennent souvent pied dans les réseaux de détaillants parce que les employés divulguent des informations d’identification lorsqu’ils répondent à des e-mails de phishing.
Les attaques via des kits d’exploitation ont diminué ces derniers mois. Cependant, la menace n’a pas disparu et les campagnes de publicité malveillantes et les liens malveillants envoyés par e-mail sont toujours utilisés dans les attaques ciblées contre les détaillants américains.
Les attaques par force brute sont également fréquentes, ce qui souligne l’importance de modifier les informations d’identification par défaut et de définir des mots de passe forts.
Les infections de malwares dans les systèmes de points de vente peuvent s’avérer incroyablement coûteuses pour les détaillants. Il suffit de demander à Home Depot, un grand détaillant pour lequel une infection par un malware de son système de point de vente a coûté plus de 179 millions de dollars. Le coût de l’atteinte à la sécurité continue d’augmenter, et ce chiffre ne tient pas compte de la perte d’activité résultant de l’infraction. En effet, suite à cette attaque de malwares POS en 2014, les consommateurs ont décidé d’acheter ailleurs que dans leur entourage.
Cette dernière menace devrait servir d’avertissement à tous les détaillants.
Les vulnérabilités en matière de sécurité peuvent être exploitées par les cybercriminels. Si des protections inadéquates ne sont pas mises en place pour protéger les données des consommateurs, ce ne sera qu’une question de temps avant que vos systèmes ne soient attaqués.
Cela a pris un certain temps, car Google ne voulait pas avoir à prendre des mesures. Mais, finalement, le Google Chrome Ad blocker a été dévoilé. Grâce à cette nouvelle fonctionnalité de Chrome, les utilisateurs peuvent désormais bloquer les publicités intrusives s’ils le souhaitent.
Qu’est-ce que le Google Chrome Ad Blocker peut bloquer ?
Google gagne beaucoup d’argent grâce à la publicité, voici pourquoi Google Chrome Ad blocker ne bloque pas toutes les publicités, seulement celles qui sont considérées comme intrusives et gênantes. Mais ce ne sont là que des termes naturellement subjectifs. Alors comment Google va-t-il déterminer ce qui constitue une « intrusion » ?
L’un des premiers contrôles effectués par Google consiste à vérifier si les publicités sur une page Web enfreignent les normes établies par le Coalition for Better Ads, un groupe d’organisations professionnelles et de sociétés de médias en ligne qui s’engagent à améliorer l’expérience en ligne des internautes.
La Coalition for Better Ads a identifié les expériences publicitaires les moins bien classées parmi une gamme de facteurs liés à l’expérience et a établi une norme sur ce qui peut être considéré comme acceptable. Ces normes comprennent quatre types d’annonces pour les utilisateurs d’ordinateurs de bureau : pop-up ads, vidéos en lecture automatique avec son (autoplay), publicités interstitielles avec compte à rebours et grandes annonces collantes.
Il existe huit catégories couvrant la publicité mobile à savoir les publicités pop-up, les publicités interstitielles (où les publicités sont chargées avant le contenu), les publicités interstitielles avec compte à rebours, les publicités animées clignotantes, l’autoplay, les publicités scrollover plein écran, les grandes publicités collantes et la densité publicitaire supérieure à 30 %.
Google Chrome évalue les pages Web en fonction de ces normes. Si la page n’appartient pas à l’une des catégories d’annonces ci-dessus, aucune action ne sera entreprise. Google affirme que lorsque 7,5 % des publicités sur un site violent les normes, le filtre se déclenche.
Si les normes ci-dessus ne sont pas respectées, le site reçoit un avertissement et dispose d’un délai de 30 jours pour prendre des mesures adéquates. Les propriétaires de sites qui ne tiennent pas compte de l’avertissement et qui ne prennent aucune mesure se verront leur site ajouté à une liste de sites en échec. Leurs annonces publicitaires seront donc bloquées, bien que les visiteurs aient encore la possibilité de les charger sur le site en question.
L’objectif du Google Chrome Ad blocker n’est pas de bloquer les publicités, mais d’inciter les propriétaires de sites à adhérer aux normes Better Ads. Google rapporte que la menace du blocage des publicités a déjà eu un effet positif. Avant même la sortie du Chrome Ad blocker, Google a affirmé que 42% des sites avec des publicités intrusives ont déjà apporté des changements pour les rendre conformes aux normes Better Ads.
Ce changement n’était peut-être pas celui que Google voulait faire, mais c’est une étape importante qu’il fallait franchir. Les publicités intrusives sont devenues une nuisance majeure, et les internautes passent à l’action en installant des bloqueurs de publicités. Ce qui pose problème c’est que ces bloqueurs ne classent pas les publicités suivant le fait qu’elles sont ennuyeuses ou non. Ils bloquent toutes les publicités, ce qui est évidemment mauvais pour des entreprises comme Google.
Rappelons que Google a réalisé 95,4 milliards de dollars en termes de publicité l’an dernier. L’utilisation généralisée des bloqueurs de publicités pourrait donc faire une sérieuse entaille dans ses profits. Selon les chiffres de Deloitte, 31 % des utilisateurs aux États-Unis ont déjà installé des bloqueurs de publicités et ce chiffre devrait atteindre un tiers de tous les ordinateurs cette année.
Alors, est-ce que le lancement du Google Chrome Ad blocker signifiera-t-il que moins de gens utiliseront le logiciel de blocage de publicité ? Seul l’avenir nous le dira, mais c’est peu probable. Toutefois, ce changement pourrait signifier que moins de gens envisageront sérieusement de bloquer des publicités à l’avenir si les entreprises commencent à adhérer aux normes Better Ads.
Pourquoi les entreprises devraient envisager d’utiliser un filtre Web
Pour les entreprises, les publicités sont plus qu’une nuisance.
Certaines d’entre elles présentent un risque sérieux pour la sécurité. Les cybercriminels peuvent en effet utiliser des publicités malveillantes pour diriger les utilisateurs finaux vers des sites Web de phishing et des pages Web hébergeant des kits d’exploitation et des malwares.
Appelées malvertising, ces publicités malveillantes représentent un risque majeur. Bien qu’il soit possible d’utiliser un adblocker pour empêcher leur affichage, celui-ci n’empêchera pas d’autres menaces graves qui sont diffusées sur la toile. Pour une plus grande sécurité web, un filtre web s’avère donc nécessaire.
Un filtre Web peut être configuré pour bloquer différentes catégories de contenus d’un site Web que vos employés n’ont pas besoin de visiter pendant leur journée de travail. Le filtre peut être configuré pour bloquer les sites et pages web connus pour être utilisés pour le phishing ou la distribution de malwares. Par ailleurs, il peut bloquer le téléchargement de types de fichiers spécifiques tels que JavaScript et autres fichiers exécutables, c’est-à-dire des fichiers souvent utilisés pour installer des malwares.
Enfin, WebTitan permet aux entreprises de réduire le risque de malvertising sans avoir besoin d’installer de bloqueurs de publicités.
En contrôlant minutieusement les contenus web auxquels les employés peuvent accéder, les entreprises peuvent améliorer considérablement la sécurité Web et bloquer la majorité des menaces cybercriminelles.
Pour plus d’informations sur le blocage des contenus malveillants et indésirables, contactez l’équipe TitanHQ dès aujourd’hui.
