TitanHQ est ravi de parrainer DattoCon19 la semaine prochaine à San Diego, sous le soleil. En tant que fournisseur de Datto Select, c’est une excellente occasion pour les fournisseurs de services de discuter de leurs besoins en matière de sécurité Web et de messagerie avec l’équipe TitanHQ.
Nous sommes impatients de rencontrer nos clients, partenaires et partenaires potentiels dans la communauté des fournisseurs de services.
Pourquoi visiter le stand 23 pour voir TitanHQ à DattoCon19 ?
1. Les fournisseurs de services peuvent en savoir plus sur notre programme exclusif TitanShield pour les fournisseurs de services – un programme partenaire pour les fournisseurs de services avec des tarifs partenaires sur la sécurité de la messagerie et la protection contre le phishing, notre filtre DNS et notre solution d’archivage de messagerie.
Nous travaillons actuellement avec 2.000 fournisseurs de servicess dans le cadre du programme TitanShield. Passez nous voir et nous pouvons discuter de la manière dont nous pouvons aider votre entreprise
2. Nous sommes la seule entreprise de Threat Intelligence dans l’ADN Datto – et le SEUL fournisseur de sécurité tiers auquel Datto fait confiance et avec lequel Datto travaille.
4. Nous faisons gagner une bouteille de whisky irlandais millésimé tous les jours du salon. Venez nous rendre visite et vous participez à la tombola.
Voici quelques-uns de nos derniers gagnants :
5. Si vous prenez en charge Office 365, vous n’avez qu’à ajouter une solution tierce de protection des emails et de protection contre le phishing.
SpamTitan pour fournisseurs de services est une option fantastique et très populaire.
6. Si vous utilisez Cisco Umbrella pour votre couche de sécurité web et malware, il se peut que vous payiez trop cher et que vous manquiez de support.
7. Enfin et surtout, nous ne sponsorisons pas une mais DEUX soirées à DattoCon.
Avec nos amis de BVOIP, nous sponsorisons une soirée GasLamp District Trakeover les lundi 16 juin mercredi 19 juin. Vous pouvez vous inscrire ici – boissons gratuites – billets disponibles sur notre stand – 23
N’hésitez pas à contacter directement n’importe quel membre de l’équipe TitanHQ à l’avance :
TitanHQ travaille avec des fournisseurs de services dans le monde entier depuis 1999 et travaille actuellement en partenariat avec plus de 2 000 fournisseurs de services dans le monde. Nos produits ont été construits à partir de la base avec des fournisseurs de services pour les fournisseurs de services. Nous économisons le temps de support et d’ingénierie de fournisseurs de services en arrêtant les problèmes de sécurité de messagerie et de sécurité Web à la source tout en fournissant des produits idéaux à vendre dans votre pile technologique.
Au cours des dernières semaines, il y a eu une augmentation significative des attaques de phishing dans le domaine de la santé, tant en termes de fréquence que de gravité des attaques. En juillet seulement, plus de 1,6 million de dossiers de santé ont été exposés à cause des attaques de phishing et celles-ci ne montrent aucun signe de ralentissement.
Il faut s’attendre à des attaques de phishing dans le secteur de la santé.
Les comptes de messagerie des employés dans ce domaine contiennent souvent des renseignements de nature très délicate. Ils peuvent être utilisés à de nombreuses fins néfastes comme la fraude fiscale, le vol d’identité pour obtenir des médicaments sur ordonnance et le vol d’identité pour obtenir des cartes de crédit et de prêts.
S’il est possible d’accéder au compte de messagerie d’un employé de la santé, des messages peuvent être envoyés aux autres employés de l’organisation à partir du compte compromis. Comme ces messages semblent provenir d’un véritable compte de messagerie au sein de l’organisation, ils sont moins susceptibles d’être bloqués et sont plus susceptibles d’obtenir une réponse.
En outre, lorsqu’un compte de messagerie est compromis, il y a une forte probabilité que l’accès à d’autres comptes soit obtenu.
L’Office for Civil Rights (OCR) du département de la Santé et des Services sociaux des États-Unis a publié un résumé de toutes les fuites de données relatives aux soins de santé, comprenant plus de 500 dossiers. Sur son portail, l’OCR a énuméré des centaines de cas d’attaques liées à la messagerie électronique, lesquelles ont été signalées depuis le début de la publication des résumés en 2009.
Bien qu’il y ait eu une augmentation importante des atteintes à la protection des données liées au phishing au cours des derniers mois, deux d’entre elles se sont révélées plus importantes. En juillet 2018, ces attaques ont été considérées comme les plus graves jamais signalées dans le domaine de la santé.
Les plus importantes attaques de phishing en juillet ont été signalées par l’Iowa Health System (UnityPoint Health), le Boys Town National Research Hospital et Confluence Health. Elles ont entraîné l’exposition de 1 421 107 dossiers, 105 309 dossiers et 33 821 dossiers respectivement.
Rien qu’au mois de juillet, 33 graves fuites de données ont été signalées à l’OCR. Ces violations comprennent l’accès non autorisé des employés à des dossiers de santé, la perte d’appareils contenant des renseignements électroniques sur la santé, l’élimination inappropriée de dossiers médicaux et la divulgation non autorisée de dossiers de santé par les employés.
Bien que les communications non autorisées soient souvent à l’origine de la majorité des atteintes à la protection des données, en juillet, ce sont les incidents de piratage par e-mail qui ont été à l’origine de 39% de toutes les attaques signalées. Ils auraient entraîné l’exposition et le vol de 1 620 318 renseignements personnels et sur la santé des patients.
L’e-mail reste le moyen le plus utilisé pour soutirer des renseignements médicaux divulgués, ce qui était le cas en juillet, de même que pour les attaques qui se sont produites en mars, en avril, en mai et en juin.
Les attaques de phishing à grande échelle dans le secteur de la santé se sont poursuivies en août. Ce mois-ci, Augusta University Health a signalé qu’une attaque de phishing avait entraîné l’exposition et le vol des RPI et RPS de 417 000 personnes. Lors de cette attaque, des pirates ont eu accès aux comptes de messagerie de 24 membres du personnel. Pour sa part, Legacy Health a rapporté que 38 000 dossiers ont été consultés par des pirates informatiques à la suite d’une attaque de phishing.
À cause de l’augmentation des menaces d’attaques de phishing et le coût élevé de l’atténuation de leurs effets, il est plus important que jamais pour les organismes de santé d’améliorer leurs moyens de défense contre le phishing.
TitanHQ offre aux organisations de soins de santé deux solutions de cybersécurité vitales qui peuvent aider à prévenir les attaques de phishing. Combinées à une sensibilisation continue à une formation antiphishing pour le personnel, elles peuvent réduire considérablement le risque de réussite d’une attaque de phishing.
SpamTitan est une solution avancée de filtrage de spams qui bloque 100 % des malwares connus et plus de 99,97 % des e-mails malveillants, en les empêchant d’atteindre les boîtes de réception des utilisateurs finaux. Des e-mails occasionnels peuvent également être envoyés dans leurs boîtes de réception, et c’est là que WebTitan devient utile.
Il s’agit d’une puissante solution de filtrage Web DNS qui bloque les tentatives des employés d’accéder à des sites Web de phishing connus, les empêchant ainsi d’accéder à des sites Web où ils risquent de divulguer à des pirates leurs identifiants de connexion.
Pour en savoir plus sur ces solutions et sur la façon dont elles peuvent être déployées dans votre établissement de soins et de santé, contactez dès aujourd’hui l’équipe commerciale de TitanHQ et faites un premier pas important pour améliorer la résilience de votre organisation face aux attaques de phishing.
Des chercheurs en sécurité informatique ont découvert une vulnérabilité sérieuse du plug-in Jetpack qui expose les sites à un risque d’attaque par des cybercriminels. Si vous exécutez des sites WordPress pour votre entreprise et que vous utilisez le plug-in d’optimisation de site Web Jetpack, vous devez effectuer une mise à jour dès que possible pour éviter que le défaut ne soit exploité.
La vulnérabilité du plug-in Jetpack peut être utilisée pour injecter un code JavaScript malveillant dans des sites Web ou pour insérer des liens, vidéos, documents, images et autres ressources. Cela exposerait les visiteurs du site à un risque de téléchargement de malware ou de ransomware.
Les acteurs malveillants pourraient intégrer un code JavaScript malveillant dans les commentaires du site, et chaque fois qu’un visiteur consulte un commentaire malveillant, il autorise l’exécution du code. Les visiteurs pourraient donc être redirigés vers d’autres sites Web et la faille risque d’être utilisée pour voler des cookies d’authentification et détourner les comptes d’administrateur, ou pour intégrer des liens vers des sites Web contenant des kits d’exploitation.
La faille peut également être exploitée par les concurrents pour affecter négativement le classement dans les moteurs de recherche en utilisant des techniques de spamming SEO. Ceci pourrait avoir de graves conséquences pour le classement des sites et pour le trafic.
Plus d’un million de sites Web WordPress sont affectés par la vulnérabilité du nouveau plug-in Jetpack
La vulnérabilité du plug-in Jetpack a récemment été découverte par des chercheurs de Sucuri.
La vulnérabilité est une faille Cross-Site Scripting ou XSS qui a été introduite pour la première fois en 2012 et qui a affecté la version 2.0 du plug-in. Toutes les versions ultérieures de Jetpack contiennent également la même vulnérabilité de module Shortcode Embeds Jetpack.
Jetpack est un plug-in WordPress populaire qui a été conçu par des développeurs d’Automattic, la société qui propose WordPress. Il a été téléchargé et utilisé sur plus d’un million de sites Web. Ce n’est pas seulement un problème pour les propriétaires de sites Web, mais aussi pour les visiteurs du Web qui pourraient facilement voir cette faille exploitée et infecter leurs ordinateurs avec un ransomware ou un malware. Les failles de ce genre soulignent l’importance d’utiliser un logiciel de filtrage Web qui bloque les redirections vers des sites Web malveillants.
Alors que de nombreuses vulnérabilités de plug-ins WordPress nécessitent un niveau de compétence substantiel pour être exploitées, celle du plug-in jetpack ne nécessite que très peu de compétences. Heureusement, Jetpack n’a découvert aucun élément de programme actif permettant à un individu ou à un malwares d’exploiter une faille de sécurité informatique. Cependant, maintenant que la vulnérabilité a été annoncée, et que les détails sur la manière de l’exploiter sont fournis en ligne, ce n’est qu’une question de temps avant que les pirates et les acteurs malveillants en profitent.
Le défaut ne peut être exploité que si le module Shortcode Embeds Jetpack est activé, bien qu’il soit fortement conseillé à tous les utilisateurs du plug-in d’effectuer une mise à jour dès que possible. Jetpack a travaillé avec WordPress pour que la mise à jour soit diffusée via le système de mise à jour de base de WordPress. Si vous avez la version 4.0.3 installée, vous êtes déjà probablement protégé.
Jetpack signale que, même si le défaut a déjà été exploité, la mise à jour vers la dernière version du logiciel supprimera tous les kits d’exploitations déjà présents sur les sites web WordPress.
Il existe de nombreuses solutions de cybersécurité que les fournisseurs de services (ESN ou SSII) peuvent ajouter à la pile de services qu’ils proposent à leurs clients. L’enjeu est que, s’ils sont incapables d’offrir une gamme complète de solutions de cybersécurité, cela peut s’avérer coûteux, car la demande de services est considérable.
Si les ESN n’arrivent pas à fournir ces services, leurs clients risquent de se tourner effectivement vers l’un de leurs concurrents. Par ailleurs, les fournisseurs de services offrent des solutions de cybersécurité préventive depuis de nombreuses années. Mais la concurrence dans ce domaine s’intensifie.
Les entreprises spécialisées en technologie de l’information (TI) — qui se concentraient auparavant sur la résolution de problèmes informatiques ou sur la prestation de services d’enquête concernant les atteintes à la protection des données — ont réalisé qu’il y avait beaucoup d’argent à gagner en fournissant des services de cybersécurité complets pour prévenir les problèmes. Un nombre croissant d’entreprises de l’IT ont maintenant pu tirer parti des atteintes à la protection des données et de la demande de solutions préventives de la part des PME, en offrant actuellement ces services.
Afin de capitaliser sur les opportunités de vente et de s’assurer que leurs clients ne cherchent pas ailleurs, les fournisseurs de services doivent s’assurer qu’ils offrent une gamme complète de solutions de cybersécurité. Des solutions qui protègeront leurs clients contre les nombreuses attaques cybercriminels de nos jours.
Heureusement, le passage des solutions matérielles aux services basés dans le cloud facilite la tâche des ESN. Non seulement elles sont moins chères pour les clients, mais elles sont aussi plus faciles à fournir et à gérer pour les ESN. Auparavant, le fait d’offrir des solutions pour prévenir les cyberattaques était peu pratique et celles-ci étaient peu rentables. Mais ce n’est plus le cas aujourd’hui.
Il existe de nombreuses solutions potentielles de cybersécurité pour les ESN. Mais le domaine en particulier où les fournisseurs de services mobiles peuvent tirer parti est celui des solutions de prévention des attaques de phishing.
Le phishing, c’est-à-dire l’obtention d’informations sensibles auprès des employés, est l’un des principaux moyens par lesquels les cybercriminels ont accès aux réseaux et aux données sensibles.
Les entreprises dépensent beaucoup d’argent en matière de sécurité réseau pour prévenir les attaques directes. Pourtant, les cybercriminels savent très bien que même des défenses de sécurité qui coûtent plusieurs millions de dollars peuvent être violées. Et sachez que la manière la plus simple pour les pirates d’accéder au réseau se fait à travers les employés.
Désormais, il est beaucoup plus facile pour les pirates de tromper un employé en lui demandant de télécharger des malwares, des ransomwares ; ou de révéler ses informations de connexion ou ses identifiants de connexion dans le but de rechercher des failles de sécurité ou d’utiliser des attaques par force brute. Il leur suffit qu’un e-mail de phishing parvienne à la boîte de réception de l’employé.
Les entreprises de formation antiphishing — offrant aux employés une formation de sensibilisation à la sécurité et qui leur apprennent à identifier les e-mails de phishing — savent très bien que la formation seule est inefficace. La raison est que certains d’entre eux ont du mal à mettre la formation en pratique.
Même si une formation de sensibilisation à la sécurité est offerte, les employés continueront d’ouvrir les pièces jointes aux e-mails provenant des étrangers et de cliquer sur les liens qui leur sont envoyés par messagerie électronique. De plus, les cybercriminels sont de plus en plus doués pour créer des e-mails qui permettent de cliquer sur des liens et d’ouvrir des pièces jointes contenant des malwares.
Nous avons déjà vu cette année (lors de la dernière saison fiscale) à quel point les e-mails de phishing peuvent être efficaces. L’an dernier, au moins 145 entreprises aux États-Unis ont envoyé par e-mail des formulaires W-2 de leurs employés à des fraudeurs. Cette année, il semble que la situation pourrait encore s’aggraver.
Un pourcentage élevé d’infections par des malwares se produit à la suite de spams infectés, soit par des pièces jointes à des e-mails (téléchargeurs), soit par des liens qui pointent vers des sites malveillants où des malwares qui sont téléchargés de façon discrète. Il en va de même pour de nombreuses infections de ransomwares.
Compte tenu du risque élevé d’attaque de phishing ou d’installation de malwares et de ransomwares qui volent des informations, les entreprises sont heureuses de payer pour des solutions gérées qui peuvent bloquer les e-mails de phishing, empêcher la livraison d’e-mails infectés et empêcher les employés de consulter des liens malveillants.
Les ESN peuvent tirer profit de ces services, puisqu’il existe des solutions basées dans le cloud et qui offrent le niveau de protection requis. L’ajout de ces solutions à la pile de services des ESN est facile. Les solutions basées sur le cloud et qui permettent aux entreprises de se protéger contre les infections de phishing, de malware ou de ransomware ne nécessitent aucun matériel ni visite sur les lieux. De plus, elles ne requièrent que très peu de frais de gestion.
TitanHQ peut fournir des solutions basées dans le cloud. Celles-ci peuvent être facilement incluses dans les piles de services des ESN. Les solutions de protection de la messagerie et de site Web de TitanHQ — SpamTitan et WebTitan — sont efficaces pour bloquer un large éventail de menaces par messagerie électronique et via le Web.
SpamTitan bloque plus de 99,97 % des spams. Il a un faible taux de faux positifs et bloque 100 % des malwares connus. Les boîtes de réception sont protégées contre le spam et les malwares. Un composant antiphishing empêche également les e-mails de phishing d’être envoyés aux utilisateurs finaux.
WebTitan offre une excellente protection contre les menaces sur le Web, protège les employés et les réseaux contre les téléchargements malveillants et les ransomwares et bloque les liens vers des sites Web malveillants.
Ces solutions peuvent être exécutées dans le cloud public ou privé et être fournies en marque blanche. De plus, les frais généraux de gestion sont minimes, ce qui permet aux ESN de générer de marges généreuses.
Si vous êtes un fournisseur de services et que vous souhaitez augmenter la gamme de services de cybersécurité que vous proposez à vos clients, appelez TitanHQ dès aujourd’hui et découvrez nos solutions de cybersécurité pour les ESN.
Avec nos solutions de cybersécurité pour les ESN, vous pouvez améliorer votre portefeuille de cybersécurité, offrir une valeur ajoutée à vos clients et améliorer votre résultat net.
Une nouvelle version améliorée du malware AZORult a été identifiée. La dernière version de ce programme de vol d’informations et de téléchargement de malware a déjà été utilisée dans des attaques et a été distribuée via le kit d’exploitation RIG.
Le malware AZORult est principalement un voleur d’informations utilisé pour obtenir des noms d’utilisateur et des mots de passe, des numéros de carte de crédit et d’autres informations telles que l’historique des navigateurs. Des fonctionnalités de vol de portefeuille cryptomonnaie ont été ajoutées aux nouvelles versions du malware.
AZORult a été identifié pour la première fois en 2016 par des chercheurs de Proofpoint.
Depuis, il a été utilisé dans un grand nombre d’attaques via des kits d’exploitations et de campagnes de phishing par e-mails. Celles-ci utilisaient des liens vers des sites malveillants ou, plus généralement, des fichiers Word malveillants contenant des programmes de téléchargement de malwares.
En 2016, la variante du malware était initialement installée à côté du cheval de Troie bancaire Chthonic. Mais lors des campagnes suivantes, AZORult était déployé en tant que charge utile principale du malware. Cette année, plusieurs acteurs de la menace ont associé ce voleur d’informations à une charge utile secondaire de ransomware.
D’autres campagnes ont été détectées et utilisaient Hermes et Aurora ransomware comme charges utiles secondaires. Dans les deux cas, l’objectif initial était de voler les identifiants de connexion pour perquisitionner des comptes bancaires et des portefeuilles de cryptomonnaie. Lorsque toutes les informations utiles ont été obtenues, le ransomware a été activé et un paiement de rançon a été demandé pour déchiffrer les fichiers.
Une nouvelle version de l’AZORult a été publiée en juillet 2018 : la version 3.2. Celle-ci contenait des améliorations significatives concernant à la fois son rôle de voleur et de téléchargeur d’informations.
Dernièrement, les chercheurs de Proofpoint ont encore identifié une nouvelle variante : la version 3.3. Celle-ci a déjà été ajoutée au kit d’exploitation RIG et a été publiée peu de temps après la fuite en ligne du code source de la version précédente.
La nouvelle variante utilise une méthode de chiffrement différente. Elle a amélioré la fonctionnalité de vol de cryptomonnaie pour permettre le vol de portefeuilles BitcoinGold, ElectrumG, BTCPrivate (Electrum-BTCP), Bitcore et Exodus Eden. Il s’agit d’une version mise à jour et améliorée, avec un nouveau chargeur et un taux de détection inférieur par les antivirus.
Le kit d’exploitation RIG a recours à tous les types d’attaques qui tirent parti des vulnérabilités connues d’Internet Explorer et de Flash Player et qui utilisent JavaScript et VBScripts pour télécharger AZORult.
Si vos systèmes d’exploitation et vos logiciels sont entièrement patchés et mis à jour, vous serez protégé contre ces téléchargements de kits d’exploitation, car les vulnérabilités exploitées par RIG ne sont pas nouvelles. Cependant, de nombreuses entreprises tardent à appliquer des correctifs, lesquels nécessitent des tests approfondis.
Il est donc vivement conseillé de déployer une solution de filtrage Web telle que WebTitan afin de fournir une protection supplémentaire contre les téléchargements de malwares par le kit d’exploitation. WebTitan empêche les utilisateurs finaux de visiter des sites Web malveillants, tels que ceux qui hébergent des kits d’exploitation.
La dernière version du malware AZORult a été mise en vente pour la première fois le 4 octobre. Il est fort probable que d’autres cybercriminels achèteront ce malware et le distribueront via des emails de phishing, comme ce fut le cas avec les versions précédentes. Vous feriez donc mieux de mettre en place un filtre antispam avancé et de veiller à ce que les utilisateurs finaux soient formés à la reconnaissance des messages potentiellement malveillants.
G2, le site mondial d’évaluation des utilisateurs qui aide les entreprises à prendre des décisions d’achat plus judicieuses, a lancé aujourd’hui sa première liste des meilleures sociétés de logiciels en Europe, au Moyen-Orient et en Afrique (EMEA). TitanHQ, fournisseur de solutions logicielles de filtrage web, d’antispam et d’archivage des emails, s’est vu décerner la 37ème place dans la liste des meilleurs fournisseurs de logiciels de la région EMEA.
Ce classement prend en compte plus de 66 000 avis d’utilisateurs sur les produits logiciels de la plate-forme G2 et a examiné près de 900 entreprises desservant la région EMEA. Il identifie les meilleures entreprises basées dans la zone EMEA, telles que déterminées par des examinateurs du monde entier.
Avec plus de 750 000 commentaires d’utilisateurs, plus de 80 000 produits et plus de 1 600 catégories de technologie et de services en G2, la reconnaissance de TitanHQ dans la prestigieuse liste des meilleurs fournisseurs de logiciels en EMEA est une réalisation exceptionnelle, qui ne peut être obtenue que par l’approbation de ses utilisateurs.
C’est la première fois que TitanHQ obtient le titre de l’une des meilleures sociétés de logiciels dans la région EMEA.
« L’étendue et la profondeur sans cesse croissantes des produits, des évaluations et de la couverture du trafic de G2 fournissent plus de 5 millions de points de données pour aider les acheteurs à naviguer dans le monde complexe de la transformation numérique « , explique Godard Abel, PDG. « Dans notre liste des meilleurs éditeurs de logiciels de la région EMEA, nous utilisons ces données pour identifier les entreprises dont nos utilisateurs nous disent qu’elles les aident au mieux à réaliser leur potentiel.
A propos de TitanHQ :
TitanHQ est une entreprise fondée en 1999 et primée de multiples fois pour ses solutions de filtrage web, protection de messagerie et d’archivage email. L’entreprise protège près de 7 500 entreprises et collabore chaque jour avec plus de 1 500 fournisseurs de services. Ils défendent leurs clients de menaces de type malware, ransomware, phishing, viruses, botnets et bien d’autres. La plus grande force de leurs solutions est qu’elles ont été pensées par des ESN pour des ESN. TitanHQ leur permet de gagner du temps en détectant et stoppant les menaces à la source mais aussi en leur procurant les solutions idéales pour leur offre de sécurité.
Les midterms (élections de mi-parcours) des États-Unis ont attiré une attention considérable. Il n’est donc pas surprenant que les cybercriminels profitent de cet évènement en menant une campagne d’empoisonnement SEO des élections à moyen terme. C’était une histoire similaire à l’approche des élections présidentielles de 2016 et de la Coupe du monde. Chaque fois qu’il y a un événement majeur digne d’intérêt, il y a toujours des escrocs prêts à en profiter.
Des milliers de pages Web sur le thème des élections de mi-mandat ont vu le jour et ont été indexées par les moteurs de recherche. Certaines d’entre elles sont à fort trafic et sont très bien placées dans les résultats organiques pour les phrases de mots clés des élections de mi-mandat.
L’objectif de la campagne n’est pas d’influencer les résultats des élections de mi-mandat, mais de profiter de l’intérêt public et du grand nombre de recherches liées aux élections, puis de détourner le trafic vers des sites web malveillants.
Qu’est-ce que l’empoisonnement par SEO ?
La création de pages Web malveillantes et leur classement dans les résultats organiques des moteurs de recherche s’appelle l’empoisonnement des moteurs de recherche.
Les techniques d’optimisation pour les moteurs de recherche (SEO) sont utilisées pour promouvoir les pages Web et convaincre les algorithmes des moteurs de recherche que les pages sont dignes d’intérêt et pertinentes pour des termes de recherche spécifiques. Les pratiques suspectes de SEO telles que l’occultation, le remplissage de mot-clé, et le backlinking sont utilisées pour tromper les spiders des moteurs de recherche en évaluant favorablement les pages Web.
Le contenu des pages apparaît extrêmement pertinent pour les robots des moteurs de recherche qui explorent Internet et qui indexent les pages. Cependant, ces dernières n’ont pas toujours le même contenu.
Les spiders et les robots voient un type de contenu, tandis que les visiteurs humains se verront afficher quelque chose de complètement différent. Les escrocs sont ainsi capables de différencier les visiteurs humains et les bots via différents en-têtes HTTP dans les requêtes Web.
Les visiteurs réels voient alors un contenu différent ou sont redirigés vers des sites Web malveillants.
Campagne d’empoisonnement par SEO des midterms ciblant plus de 15 000 mots-clés
La campagne d’empoisonnement SEO des élections de mi-mandat a été suivie par Zscaler qui a noté que les arnaqueurs ont réussi à obtenir plusieurs pages malveillantes dans les résultats de la première page pour les phrases à fort trafic comme « élections de mi-mandat ».
Cependant, ce n’est que la partie visible de l’iceberg. Les arnaqueurs cibleraient en fait plus de 15 000 mots-clés électoraux de mi-mandat différents et utiliseraient plus de 10 000 sites Web compromis au cours de la campagne. Chaque jour, de plus en plus de sites ont été compromis et utilisés dans le cadre de cette campagne.
Lorsqu’un visiteur arrive sur l’une de ces pages Web à partir d’un moteur de recherche, il est redirigé vers l’une des nombreuses pages Web différentes. Les redirections multiples sont souvent utilisées avant que le visiteur n’arrive finalement à une page d’atterrissage particulière. Ces pages d’accueil comprennent des formulaires de phishing pour obtenir des informations sensibles ; des kits d’exploitation de l’hôte qui téléchargent silencieusement des malwares.
Elles peuvent également être utilisées pour des escroqueries de support technique et inclure diverses ruses pour tromper les visiteurs en installant des logiciels publicitaires, spywares, mineurs de cryptocurrences, ransomwares ou extensions malveillantes de navigateur.
En plus des sites d’escroquerie, la campagne permettait aux escrocs de générer du trafic vers des sites politiques, religieux et pour adultes.
Cette campagne d’empoisonnement SEO des élections de mi-parcours représente une menace importante pour tous les utilisateurs d’Internet, mais en particulier les entreprises qui ne contrôlent pas le contenu qui peut être consulté par leurs employés. Des cas similaires peuvent facilement entraîner le vol de justificatifs d’identité ou des infections par des malwares et ransomwares qui peuvent tous s’avérer incroyablement coûteux à résoudre.
Une solution facile à mettre en œuvre est un filtre Web tel que WebTitan. Ce dernier peut être déployé en quelques minutes et utilisé pour contrôler soigneusement le contenu auquel les employés peuvent accéder.
Les sites Web figurant sur la liste noire seront automatiquement bloqués ; les téléchargements de logiciels malveillants empêchés et les redirections malveillantes vers des sites Web de phishing et des kits d’exploitation seront stoppés avant que le mal soit fait.
Pour plus d’informations sur les avantages du filtrage Web et les détails de WebTitan, contactez l’équipe TitanHQ dès aujourd’hui.
Un avertissement concernant le malware Mac a été émis pour toute personne qui a récemment téléchargé Handbrake pour Mac. Un serveur a été compromis et un cheval de Troie d’accès à distance (RAT) a été livré avec le fichier image du disque Apple Handbrake.
Un cheval de Troie d’accès à distance de vol d’informations d’identification a été découvert. Il a été fourni avec l’application d’encodage vidéo Handbrake lors des téléchargements de l’application entre le 2 et le 6 mai 2017. Ceci a permis l’installation du fichier malveillant Proton RAT.
Tous les utilisateurs ayant récemment téléchargé l’application entre les dates ci-dessus ont été avertis. Il leur est fortement recommandé de vérifier que leurs appareils n’ont pas été infectés. Selon une déclaration publiée par les développeurs de l’application, ces utilisateurs ont 50 % de chance d’avoir téléchargé le fichier malveillant.
Les cybercriminels ont pu compromettre un serveur Handbrake et associer le logiciel malveillant à l’application. Tous les appareils ayant utilisé le miroir de téléchargement hébergé download.handbrake.fr pouvaient donc être potentiellement infectés.
Apple a maintenant mis à jour son OSX XProtect pour détecter et supprimer l’infection, bien que les personnes à risque doivent vérifier si leur appareil a été infecté. Celle-ci peut être détectée en recherchant le processus Activity_agent dans le moniteur d’activité OSX. Si le processus est en cours d’exécution, ceci signifie que l’appareil a été infecté par le cheval de Troie.
Tout utilisateur ayant téléchargé le malware devra modifier tous les mots de passe stockés dans le trousseau d’accès Mac. Tout mot de passe stocké dans un navigateur devra également être modifié, car il est probable qu’il ait également été compromis.
Le cheval de Troie peut être facilement supprimé en ouvrant le Terminal et en entrant les commandes suivantes avant de supprimer toutes les instances de l’application Handbrake :
si /Library/VideoFrameworks/ contient proton.zip, supprimez le dossier
Proton RAT a été identifié pour la première fois plutôt cette année. Il est capable d’enregistrer les frappes au clavier pour voler les mots de passe ; d’exécuter des commandes « shell » en tant que « root » ; de voler des fichiers ; de prendre des captures d’écran du bureau et d’accéder à la webcam. Une fois installé, il s’exécutera à chaque fois que l’utilisateur se connecte.
Seuls les téléchargements de Handbrake pour Mac ont été affectés. Tout utilisateur ayant récemment effectué une mise à niveau via le mécanisme de mise à jour de Handbrake n’est donc pas concerné, car des vérifications sont effectuées pour empêcher le téléchargement de fichiers malveillants.
Le serveur compromis a maintenant été fermé afin d’empêcher tout nouveau téléchargement de malwares. Mais on ne sait pas encore comment l’accès au serveur a été obtenu par les pirates et comment le fichier image du disque Apple Handbrake a été remplacé par une version malveillante.
Si vous avez téléchargé HandBrake pour Mac, vous pourriez être infecté par
Proton RAT
Un serveur de téléchargement miroir de HandBrake — une application de conversion vidéo open source populaire pour Mac — a été compromis, et le fichier .dmg de l’application légitime a été remplacée par une version Trojan contenant le RAT Proton.
L’infection pourrait être néfaste
Toute personne ayant téléchargé HandBrake sur Mac doit vérifier le code « SHA1/256 » du fichier avant de l’exécuter, ont prévenu les développeurs qui ont affiché un lien vers l’alerte sur la page principale du projet.
Seuls les utilisateurs qui ont téléchargé le fichier HandBrake « 1.0.7.dmg » depuis le miroir de téléchargement à l’adresse « download.handbrake.fr » sont en danger. Le miroir de téléchargement principal et le site web n’ont pas été compromis.
Si vous voyez un processus appelé « Activity_agent » dans l’application « OSX Activity Monitor », cela signifie que votre appareil est infecté. Vous pouvez trouver l’Activity Monitor dans le menu « Applications/Utilitaires ».
Quel est le risque ?
Proton est un cheval de Troie d’accès à distance (RAT) pour macOS. Il a été récemment repéré comme étant vendu sur des forums clandestins russes de cybercriminalité.
Pour 40 bitcoins, les acheteurs obtenaient des installations illimitées. Le malware était signé d’une signature de développeur Apple légitime, afin qu’il ne soit pas bloqué par la technologie Gatekeeper d’Apple.
Proton permet à l’attaquant de se connecter à distance à la machine infectée. Il est capable de surveiller les frappes au clavier ; de surveiller une webcam ; de télécharger des fichiers malveillants et depuis une machine distante ; etc.
Il peut également présenter une fenêtre native personnalisée qui demande aux utilisateurs de saisir des informations — comme un numéro de carte de crédit — et peut accéder au compte iCloud de la victime, même s’il est protégé par une authentification à deux facteurs.
Que faire si votre appareil a été infecté par le ransomware ?
Les développeurs de HandBrake ont conseillé aux utilisateurs qui ont des ordinateurs infectés de modifier tous leurs mots de passe et ceux qu’ils ont enregistrés dans leur navigateur.
Mais avant de faire cela, ils doivent s’assurer qu’ils ont démarré Proton et les autres logiciels malveillants qu’il a pu installer sur leur machine.
Pour supprimer Proton, les développeurs conseillent d’ouvrir « Terminal.app » et d’exécuter les commandes suivantes :
Si « Library /VideoFrameworks/ » contient proton.zip, supprimez le dossier. Supprimez ensuite toute installation de HandBrake.app que vous pourriez avoir.
Pour trouver et supprimer d’autres malwares, les utilisateurs sont invités à utiliser une solution antivirus pour Mac pour analyser leur système.
Qu’est-ce qu’Apple à fait à ce sujet ?
Apple a ajouté une signature pour la version initiale de Proton à XProtect. Il s’agit d’un scanner antimalware intégré à macOS. La marque a également ajouté la signature pour une variante particulière de Proton, à savoir OSX.Proton.B.
Selon Patrick Wardle, chercheur en sécurité et développeur d’outils de sécurité pour Mac, cette protection peut facilement être déjouée par les pirates.
La signature n’est qu’un hachage « SHA-1 » correspondant uniquement à ce binaire Handbrake utilisant un RAT spécifique. En d’autres termes, si les auteurs du malware utilisent un autre vecteur d’infection, ou même s’ils recompilent simplement le binaire qui est infecté, cette signature ne signalera plus le malware.
Pour démontrer sa théorie, il a modifié le dernier octet du binaire. Cette manœuvre a changé son hachage « SHA-1 » grâce au téléchargement et l’installation sur un système Mac propre, sans aucun problème.
La raison pour laquelle Apple a opté pour une signature spécifique est que ses développeurs ont pensé que toute nouvelle attaque utiliserait un nouveau vecteur de distribution totalement différente. Ils ont pensé qu’il fallait juste utiliser une signature spécifique pour ce vecteur d’attaque.
Pourtant, comme XProtect prend désormais en charge YARA, une méthode permettant de mettre des signatures plus complexes, Help Net Security affirme qu’il aurait été judicieux de créer une signature plus générique, ce qui aurait au moins permis de déjouer des variantes de ce même vecteur d’attaque..
Cependant, aucune approche basée sur une signature ne peut arrêter les pirates informatiques. Même si Apple avait créé une signature plus robuste, si les escrocs étaient bons et voulaient continuer à distribuer le malware via ce vecteur d’attaque (ou un autre similaire), ils seraient capables de contourner toute signature.
Cette tactique particulière de diffusion de malwares n’est pas nouvelle
Sur le site officiel du projet Transmission (une plate-forme qui propose au téléchargement le client BitTorrent Transmission pour Mac), le système a été compromis plusieurs fois en une année. Le binaire légitime du logiciel a également été échangé avec un malware, notamment le ransomware Keydnap et KeRanger.
Notez que le développeur initial de Handbrake et de Transmission est la même personne. Cependant, l’équipe HandBrake a tenu à préciser qu’il ne fait pas partie de l’équipe actuelle de développeurs HandBrake et qu’elle ne partage pas ses machines virtuelles avec le projet Transmission.
Les utilisateurs qui ont effectué la mise à jour vers HandBrake 1.0.7 sont désormais en sécurité. En fait, le programme de mise à jour utilise les signatures « DSA » pour vérifier les fichiers téléchargés. La vérification des signatures a été introduite dans HandBrake 0.10.6. Si les utilisateurs ont effectué une mise à jour à partir d’une version antérieure, ils doivent donc vérifier leurs systèmes s’ils ont été compromis.
Instructions de suppression
L’équipe HandBrake fournit les instructions de suppression suivantes :
Ouvrez l’application « Terminal » et exécutez la commande : launchctl unload /Library/LaunchAgents/fr.handbrake.activity_agent.plist
Exécutez ensuite la commande :
rm -rf / Library /RenderFiles/activity_agent.app
Si « Library/VideoFrameworks/ » contient proton.zip, supprimez le dossier.
supprimez toute autre installation de HandBrake.app.
Changez tous les mots de passe pouvant résider dans les magasins de mots de passe de votre navigateur ou dans votre « KeyChain OSX ».
L’équipe HandBrake a mis hors ligne le serveur miroir de téléchargement concerné en vue d’une enquête. Après cela, l’équipe a déclaré que les téléchargements de l’application HandBrake seraient plus lents.
C’est déjà arrivé à la même équipe
L’auteur principal de l’application HandBrake est également l’auteur du client BitTorrent Transmission pour Mac. En mars 2016, un pirate inconnu avait compromis le miroir de téléchargement du client Transmission pour Mac, puis remplacé l’original par une version contenant le ransomware KeRanger.
Quelques mois plus tard, le même miroir de téléchargement a été à nouveau compromis. Cette fois, les escrocs ont utilisé le voleur d’identifiants de connexion Keydnap.
Le RAT Proton
Le RAT Proton est récemment apparu dans le paysage des menaces. La variante qui a été nouvellement annoncée sur les forums de piratage comprend de nombreuses fonctionnalités comme la possibilité d’exécuter des commandes de console ; d’accéder à la webcam de l’utilisateur ; d’enregistrer les frappes au clavier ; d’effectuer des captures d’écran, ou encore d’ouvrir des connexions distantes. Le code malveillant est également capable d’injecter un autre code malveillant dans le navigateur de l’utilisateur afin d’afficher des popups qui demandent aux victimes des informations comme des numéros de carte de crédit, des identifiants de connexion, etc.
Pour obtenir des privilèges d’administrateur, le programme d’installation malveillant de HandBrake demande aux utilisateurs leur mot de passe, sous prétexte d’installer des codecs vidéo supplémentaires.
Selon l’expert en sécurité Patrick Wardle, la variante Proton utilisée dans cette attaque n’a pas été détectée par les programmes antimalware.
L’avis publié sur le forum HandBrake fournit également des instructions de suppression manuelle. Les utilisateurs de Mac ayant trouvé le malware sur leur appareils doivent changer tous leurs mots de passe dans macOS ou dans leur navigateur.
Les escrocs ont utilisé des tactiques similaires dans le passé afin de diffuser des malwares. La version macOS du populaire BitTorrent Transmission a été trouvée, distribuant des malwares pour Mac à deux reprises.
Les utilisateurs de Mac qui ont téléchargé l’application de traitement vidéo HandBrake peuvent donc être infectés par un dangereux malware.
HandBrake est un outil gratuit qui est souvent utilisé dans le but d’éditer et de convertir des fichiers vidéo sur les machines macOS. Cependant, tous ceux qui l’ont téléchargé peuvent avoir involontairement infecté leur appareils avec un malware.
Des cybercriminels ont remplacé le programme d’installation de HandBrake par le cheval de Troie d’accès à distance (RAT) Proton, qui prend ensuite le contrôle total du système de la victime. Il peut également voler les mots de passe stockés sur votre appareil Mac.
Sur le forum MacRumors, Gannet a décrit comment le malware a essayé d’infecter son ordinateur. Comme c’est souvent le cas avec les malwares ciblant les appareils Mac, l’assistance de l’utilisateur est nécessaire pour que l’attaque réussisse.
Pour éviter tout cela, il faut toujours faire preuve d’esprit critique lorsque le système vous demande votre mot de passe. D’un autre côté, c’est précisément ce que l’on attend du véritable programme d’installation de HandBrake.
Comment savoir si votre système est infecté par HandBrake ?
Tout d’abord, ouvrez l’application « Activity Monitor » sur votre appareil. Elle se trouve dans le dossier « Utilities » du répertoire « Applications ». Si vous voyez un processus listé nommé « Activity_agent », cela signifie que votre appareil est infecté.
Pour supprimer l’infection, ouvrez l’application « Terminal ». Elle se trouve également dans le dossier « Utilities ». Ensuite, copiez et collez chacune des commandes suivantes (sans les guillemets), en appuyant sur Retour après chacune d’elles.
Si le Terminal indique que vous n’êtes pas autorisé, tapez alors le mot « sudo » avant la première commande et connectez-vous en utilisant le mot de passe d’un utilisateur autorisé à installer et supprimer des logiciels sur votre appareil.
La dernière commande liste les fichiers dans un certain répertoire. Si l’un de ces fichiers s’appelle proton.zip, alors vous n’avez qu’à copier et coller la chaîne de texte suivante dans le Terminal. Appuyez sur Retour pour supprimer le fichier.
rm -rf /Library/VideoFrameworks/proton.zip
Ensuite, appuyez sur Command (avec un espace) afin d’ouvrir la recherche « Spotlight » et tapez « handbrake.app ». Faites défiler jusqu’au bas des résultats et cliquez sur « Voir tous les résultats ». Dans la fenêtre suivante, recherchez toutes les instances de l’application Handbrake puis supprimez-les toutes. Faites un clic de commande sur l’icône de la corbeille, puis sélectionnez « Vider la corbeille ».
Quid des mots de passe ?
Ouvrez « Keychain » à partir du dossier « Utilitaires » susmentionné afin d’afficher vos mots de passe stockés. Changez-les pour chaque compte répertorié, car Proton avait accès à votre trousseau.
Vous devrez faire de même pour tous les mots de passe enregistrés dans vos navigateurs web. Si vous voulez afficher ceux enregistrés par Safari, cliquez sur « Safari » dans la barre de menus, puis sélectionnez « Préférences » et cliquez sur « Mots de passe ».
Dans Chrome, consultez chrome://settings/passwords pour les voir.
Si vous utilisez Firefox, vous les trouverez en vous rendant sur about:preferences#security et en cliquant sur « Saved Logins ».
Avez-vous des machines fonctionnant sur des systèmes d’exploitation non pris en charge ? Tous vos logiciels sont-ils à jour avec les derniers correctifs appliqués ?
Si vous n’effectuez pas les correctifs rapidement, ou si vous utilisez encore des systèmes d’exploitation ou des logiciels obsolètes et non pris en charge, vous prenez des risques inutiles et laissez votre réseau ouvert aux attaques informatiques.
Les hackers parcourent constamment Internet à la recherche de systèmes vulnérables à attaquer. Même si vous utilisez Windows XP ou Vista sur une seule machine d’un réseau, cela pourrait permettre à un pirate d’exploiter les vulnérabilités et d’accéder à tout ou partie de ce réseau.
Un nombre alarmant d’entreprises utilisent encore des logiciels périmés et ne procèdent pas rapidement aux correctifs. Par exemple, 7,4 % des entreprises utilisent encore Windows XP, même si Microsoft a cessé de publier des correctifs de sécurité pour ce système d’exploitation il y a trois ans.
Les pirates découvrent de nouvelles vulnérabilités dans les logiciels et les systèmes d’exploitation plus rapidement que les fabricants de logiciels ne peuvent corriger ces failles. Des vulnérabilités « zero day » sont régulièrement découvertes et des exploits — portions de code qui permettent d’exploiter une vulnérabilité dans un programme de façon à obtenir des privilèges utilisateur — sont développés pour tirer parti des failles et accéder aux réseaux d’entreprise.
Lorsqu’un développeur de logiciel cesse de publier des mises à jour, la liste des vulnérabilités potentielles qui peuvent être exploitées s’allonge rapidement.
Prenez l’exemple de Windows.
Chaque « Patch Tuesday » — un ensemble de mises à jour publiées chaque deuxième mardi de chaque mois — contient des correctifs pour remédier à plusieurs vulnérabilités critiques. Celles-ci peuvent être exploitées pour exécuter un code ou accéder à un système afin d’obtenir des privilèges utilisateur. Bien qu’il n’existe peut-être pas d’exploits qui permettent d’exploiter les failles au moment où les correctifs sont publiés, cela ne tarde pas souvent à se produire.
En effet, les pirates peuvent consulter les mises à jour et les correctifs d’ingénierie inverse pour découvrir les vulnérabilités. Des exploits pourront alors être développés pour attaquer les machines fonctionnant avec des systèmes d’exploitation non corrigées.
Prenons l’exemple de la récente série de mises à jour de Microsoft dans son Patch Tuesday de mars. La marque a discrètement corrigé un tas de défauts pour lesquels des exploits avaient été développés. Quatre jours plus tard, des kits d’exploitation développés par The Equation Group ont été mis en ligne par Shadow Brokers. Ces outils pouvaient être utilisés pour exploiter les failles corrigées par Microsoft quelques jours auparavant.
Les kit d’exploitation peuvent être utilisés pour attaquer des machines non corrigées. Pourtant, les correctifs publiés par la marque n’ont été conçus que pour corriger des failles dans les versions prises en charge de Windows. Beaucoup de ces outils d’exploitation peuvent ainsi être utilisés pour attaquer les versions non prises en charge telles que Windows XP et Vista.
L’un de ces outils, appelé Eternalromance, est probablement fonctionnel sur toutes les versions précédentes de Windows jusqu’à Windows XP. Par ailleurs, EasyPi, Eclipsedwing, Emeraldthread, Emeraldthread, eraticgopher et esteemaudit ont tous été confirmés fonctionner sous Windows XP.
Voici les outils d’exploitation récemment découverts par The Equation Group. Ils ne représentent qu’un petit pourcentage des exploits qui existent et qui peuvent attaquer la vulnérabilité des anciennes versions non corrigées de Windows. Et sachez qu’en plus de ces exploits, il en existe d’autres pour de nombreux autres logiciels.
Il aura toujours d’exploits « zero-day » qui pourront être utilisés pour attaquer les entreprises, mais l’utilisation de logiciels périmés et de systèmes d’exploitation non pris en charge rend les choses trop faciles pour les pirates informatiques.
Les entreprises de toutes tailles doivent donc s’assurer qu’elles disposent de bonnes politiques de gestion des correctifs qui couvrent leurs logiciels et systèmes d’exploitation et tous leurs périphériques. Cependant, comme les systèmes d’exploitation non pris en charge ne seront jamais corrigés, l’utilisation continue de ces produits représente un risque très important et inutile.
Les questions de sécurité sont devenues l’un des aspects les plus importants d’un réseau d’entreprise, en particulier la sécurité du réseau sur le serveur. Celles-ci sous-tendent la nécessité de mettre en place un système capable de détecter les menaces lancées par les cybercriminelles afin de les contrer. Il existe plusieurs manières d’y parvenir, mais avez-vous envisagé d’implémenter un honeypot de malwares ?
Cette solution consiste à attirer volontairement les cybercriminels dans le but de les prendre la main dans le sac. Bref, il s’agit de créer des pièges à pirates.
Attirer les pirates (et éventuellement les malwares) peut sembler contre-intuitif, mais il y a de grands avantages à en installer un honeypot. Explications !
Qu’est-ce qu’un honeypot ?
Essayons de définir en quelques points la signification de ce terme :
Un honeypot est un système en réseau que les administrateurs réseau créent en guise de leurre afin d’attirer les cybercriminels et pour détecter, dévier ou étudier leurs tentatives de piratage.
Il s’agit d’un système qui a été délibérément rendu vulnérable tel qu’un serveur ou un appareil de grande valeur.
Un honeypot est donc conçu pour se présenter sur le web comme une cible potentielle pour les pirates.
Pourtant, un honeypot est une sorte de diversion de l’attention des pirates, qu’ils pensent qu’ils ont réussi à faire tomber en panne un appareil ou un serveur et à récupérer des données sensibles d’un réseau.
Le honeypot permet de recueillir des informations et de notifier aux administrateurs réseau les tentatives d’accès au faux serveur par des utilisateurs non autorisés, alors que les données que ces derniers obtiennent ne sont pas importantes et que l’emplacement de ces informations est sécurisé.
Les honeypots constituent un outil important pour les grandes entreprises qui souhaitent mettre en œuvre une défense active contre les pirates. Ils permettent également aux chercheurs en cybersécurité d’en savoir plus sur les techniques et les outils utilisés par les attaquants.
Notons que le coût de maintenance d’un honeypot peut être plus ou moins élevé, car sa mise en œuvre et son administration peuvent requérir des compétences spécialisées.
Comment fonctionne un honeypot ?
Un honeypot est généralement constitué d’un ordinateur, de plusieurs applications et de données qui sont utilisés pour simuler le comportement d’un système réel. Il apparaît donc comme un système qui fait partie d’un réseau. Pourtant, il est en réalité isolé et rigoureusement surveillé.
Ces dispositifs peuvent prendre la forme de machines virtuelles délibérément affaiblies et placées dans une zone accessible du réseau. Elles présentent souvent des mises à jour de sécurité critiques manquantes, des ports ouverts, des services inutiles activés, de telle sorte que les pirates puissent les exploiter.
Bien entendu, un système honeypot est également sécurisé par des comptes administrateur, mais les mots de passe sont souvent faibles ou inexistants.
Ceci permet d’augmenter les chances que les pirates s’intéressent aux honeypots. En effet, ces faiblesses en matière de sécurité leur feront croire qu’ils ont trouvé une cible facile à infiltrer.
En réalité, ils perdent leur temps, car les administrateurs réseau surveillent leur activité et bloquent leur accès au reste du réseau. Le temps qu’ils réalisent ce qui se passe, les administrateurs auront déjà recueilli suffisamment d’informations pour renforcer leur réseau ou pour signaler l’activité malveillante aux autorités compétentes.
On utilise généralement les machines virtuelles pour héberger les honeypots. Ainsi, au cas où celles-ci seraient compromises par des malwares, le honeypot pourra être rapidement restauré.
Autre élément important : comme les utilisateurs légitimes n’ont aucune raison d’accéder aux honeypots que vous avez mis en place, toute tentative d’accès à un honeypot particulier doit donc être considérée comme hostile.
Avantages et inconvénients des honeypots
Sachez que la mise en place des honeypots nécessite des ressources importantes. Pourtant, elle offre des avantages non-négligeables dont voici quelques-uns :
Les honeypots collectent des données provenant des activités non autorisées et des attaques réelles, ce qui fournit aux analystes une riche source d’informations.
Les technologies ordinaires de détection d’attaques cybercriminelles génèrent des alertes pouvant inclure un volume important de faux positifs. Par contre, les honeypots réduisent ce volume, car les utilisateurs légitimes n’ont aucune raison d’y accéder.
La mise en place des honeypots offre un bon retour sur investissement puisqu’ils ne nécessitent pas de ressources à haute performance pour analyser de grands volumes de trafic réseau dans le but de rechercher les menaces. En réalité, les honeypots n’interagissent qu’avec des activités malveillantes.
Les honeypots peuvent détecter les activités malveillantes, même si les pirates utilisent la technique du chiffrement.
Force est toutefois de constater que les honeypots présentent quelques inconvénients :
Ils ne collectent les informations que lorsqu’une attaque se produit. Le fait qu’aucune tentative malveillante n’accède pas au honeypot ne signifie donc pas qu’il n’y a aucune menace de cybersécurité.
Le trafic malveillant capturé ne peut être collecté que lorsqu’une attaque vise le réseau de honeypot. Au cas où les attaquants soupçonneraient qu’un réseau est un honeypot, ils pourraient donc l’éviter.
Les honeypots se distinguent souvent des systèmes de protection légitimes. Autrement dit, les pirates informatiques expérimentés parviennent souvent à différencier un système légitime d’un honeypot en utilisant des techniques avancées.
En résumé, les honeypots peuvent aider les chercheurs et administrateurs réseau à comprendre les menaces qui sont susceptibles de porter atteinte aux systèmes en réseau. Néanmoins, il faut qu’ils soient configurés correctement, sinon ils peuvent constituer un moyen pour les pirates d’accéder à des systèmes légitimes ou servir de rampe de lancement pour d’autres attaques cybercriminelles.
Conseils pratiques sur la mise en place d’un honeypot de malwares
Un honeypot de malwares peut être très bénéfique pour une organisation.
Cependant, il est important de l’installer correctement et d’engager suffisamment de ressources pour sa maintenance et son entretien.
Un honeypot de malwares n’aura que peu d’utilité, sauf s’il peut facilement être identifié comme un faux système et s’il peut être utilisé comme une plate-forme pour attaquer votre système.
Vous trouverez ci-dessous quelques conseils et astuces pour commencer.
Quel degré d’interaction recherchez-vous ?
Lorsque vous configurez un honeypot de malwares, vous devez décider du niveau d’interaction que vous souhaitez. Quelle marge de manœuvre donnerez-vous à un pirate informatique ? Quelle quantité d’activité êtes-vous prêt à autoriser ?
D’une manière générale, plus vous permettez d’interactions, plus vous aurez besoin de temps afin de configurer et de maintenir votre honeypot de malwares.
Vous devez également garder à l’esprit que plus vous permettez d’interactions, plus le risque que l’attaquant s’échappe du honeypot et lance une attaque sur vos systèmes est élevé. En effet, les honeypots de malwares à forte interaction exécutent de véritables systèmes d’exploitation. Par contre, si vous êtes satisfait de l’interaction de bas niveau, vous pouvez utiliser l’émulation, ce qui nécessite moins de maintenance et comporte moins de risques.
Les systèmes de honeypots de malwares prêts à l’emploi sont peut-être le point de départ le plus facile, bien qu’il existe des options open source qui peuvent être modifiées pour répondre à vos besoins. Ce n’est pas parce que vous utilisez un honeypot commercial que vous devez dépenser beaucoup. Il y a beaucoup d’options gratuites à essayer.
Honeypots de malwares, et plus encore…
Un paquet d’attaques informatiques est généralement le point de départ logique avant de passer à des options open source ou à des systèmes de honeypots coûteux et complets.
Vous pouvez évaluer l’intérêt d’utiliser un honeypot pour détecter les malwares. Si cela s’avère utile, vous pouvez consacrer plus de temps et de ressources au développement d’un honeypot entièrement personnalisé pour votre organisation.
Vous pouvez également commencer avec un honeypot de malwares et, si vous êtes satisfait des résultats, configurer un honeypot pour SCADA/ICS et pour vos services Web.
Nous vous suggérons les honeypots suivants pour commencer :
Honeyd
Un excellent choix pour simuler plusieurs hôtes et services sur une seule machine en utilisant la virtualisation. Ce honeypot à faible interaction permet de mettre en place un réseau convaincant impliquant de nombreux systèmes d’exploitation tels que Windows, Linux et Unix au niveau de la pile TCP/IP. Il est capable d’identifier passivement les hôtes distants.
Kippo
Il existe une façon courante de fournir un accès shell à distance sur un système d’exploitation. En effet, vous pouvez utiliser le protocole réseau Secure Shell (SSH). En utilisant ce protocole, vous pouvez établir une connexion distante sécurisée sur un réseau non sécurisé afin d’accéder à un shell distant. Mais pour s’y connecter, l’utilisateur doit d’abord s’authentifier auprès du serveur SSH. Le problème est que les pirates peuvent s’authentifier en récupérant le mot de passe lors d’une attaque par force brute.
Kippo est un honeypot à interaction moyenne conçu pour enregistrer toutes les attaques par force brute et toutes les interactions shell réalisées par les pirates. Il dispose d’un faux système de fichiers qui peut simuler un serveur Debian Linux. C’est ce que les attaquants voient lors de la connexion, c’est-à-dire qu’ils peuvent naviguer sur le serveur, mais ils ne peuvent pas faire de réels dégâts.
Kippo possède également d’excellentes capacités de journalisation et permet de visionner la rediffusion d’une attaque. De plus, il permet de créer des systèmes de fichiers complets.
Dionaea
C’est un bon honeypot de malwares basé sur Windows. Dionaea peut piéger les malwares qui exploitent les vulnérabilités exposées par les services offerts à un réseau.
Son but ultime est d’obtenir une copie du malware.
Ghost USB
Il s’agit d’un honeypot qui détecte les malwares diffusés via des clés USB. En gros, Ghost USB imite un périphérique de stockage USB.
Au cas où votre machine serait infectée par un malware utilisant de tels dispositifs pour se propager, Ghost USB incitera le malware à infecter le dispositif émulé.
Glastopf
Glastopf est un honeypot avec une faible interaction.
Son principe consiste à émuler un serveur web vulnérable qui héberge de nombreuses applications et pages web présentant des milliers de vulnérabilités.
Thug
C’est un honeypot côté client qui imite un navigateur Web. L’outil sert à explorer et interagir avec un site web malveillant afin de détecter le code malveillant ainsi que les objets qu’il contient.
On utilise souvent le terme « Thug » pour l’apprentissage et l’analyse des malwares ou pour la découverte de menaces.
Paquets de honeypots puissants
Il existe trois excellents ensembles complets de honeypots qui sont énumérés ci-dessous. Il peut être préférable de payer pour ces forfaits plutôt que de consacrer le temps et les ressources nécessaires au développement de votre propre système de honeypot personnalisé.
Capteur KFS
C’est un système de honeypots basé sur Windows avec une excellente fonctionnalité et flexibilité. Il est cher, mais c’est le choix des professionnels.
Pourquoi l’utiliser ?
Le Capteur KFS détecte les menaces inconnues, tout en améliorant la sécurité et en offrant une solution économique. C’est une solution économique qui ne nécessite que peu de maintenance.
En tant qu’honeypot, le capteur KFS est conçu pour attirer et détecter les pirates et les malwares en simulant des services système vulnérables.
De plus, il peut être préconfiguré pour surveiller tous les ports UDP, TCP et ICMP. Le honeypot peut démarrer la surveillance dès son installation et il est possible de le personnaliser si vous voulez ajouter des services supplémentaires.
MHN
MHN (ou littéralement Modern Honeypot Network) est un honeypot open source qui permet une configuration et une personnalisation faciles, avec une large gamme d’outils. Il fonctionne à l’aide d’une base de données Mongo.
Pourquoi l’utiliser ?
Ce honeypot est caractérisé par une interaction faible ou forte, selon sa complexité. Les configurations à forte interaction peuvent encourager les pirates à passer beaucoup de temps à exploiter un environnement factice, ce qui laisse de nombreux indices et fait perdre son temps.
Pour les configurations à faible interaction, le honeypot ne recueille que les informations de base sur les comportements invasifs des pirates. Son avantage est qu’il utilise moins de ressources.
HoneyDrive
C’est une application virtuelle (OVA) avec Xubunti pour Linux. Elle est fournie avec une gamme d’outils d’analyse, ainsi qu’un choix de 10 logiciels de honeypot préinstallés.
Pourquoi l’utiliser ?
Ce honeypot vous fait gagner du temps, car les principaux logiciels qui y sont liés sont préconfigurés et préinstallés pour fonctionner dès le départ.
À propos du honeypot CAPTCHA
La capture et le blocage des spams ont créé (et créeront toujours) l’un des plus grands désagréments sur Internet. L’une des solutions pour éviter ce problème est l’utilisation d’un champ CAPTCHA. Il vous protège contre les spams potentiels et de nombreux types d’abus automatisés.
Cette méthode fonctionne bien, mais elle présente quelques inconvénients. En fait, vous devez ajouter un champ de saisie de caractères encombrant sur tous vos formulaires. Là encore, vous pouvez penser que ce n’est pas un problème, mais vous allez souvent vous heurter à la conception, notamment si vous essayez de placer un formulaire de messagerie électronique dans un espace restreint. Pour bloquer rapidement les spams, vous pouvez simplement utiliser un honeypot CAPTCHA.
La méthode du honeypot CAPTCHA est assez simple. Il suffit de mettre un champ supplémentaire dans votre formulaire qui sera caché aux utilisateurs humains (c’est-à-dire que les humains ne devront pas remplir). La plupart des robots de spam recherchent des formulaires, puis ils remplissent tous les champs disponibles et les envoient. Si le robot remplit le champ CAPTCHA du honeypot, vous pourrez reconnaître qu’il s’agit d’un spam.
L’avantage du champ CAPTCHA caché est qu’il n’a pas d’impact sur l’expérience des utilisateurs finaux. Souvent, ces derniers ne savent même pas qu’il est mis en œuvre.
L’inconvénient de cette méthode est que, si les utilisateurs disposent d’une fonction de remplissage automatique ou d’un lecteur d’écran destiné à remplir les champs pour eux, ces outils peuvent aussi voir les champs invisibles et les remplir automatiquement, comme le ferait un spambot. Ceci entraînerait le rejet du formulaire.
Si vous avez installé un honeypot CAPTCHA et que vous recevez encore trop de spams, vous aurez probablement besoin d’une solution supplémentaire pour assurer une protection maximale de votre réseau.
Utiliser des honeypots basés dans le cloud est-elle une bonne idée ?
Les entreprises qui utilisent le cloud sont particulièrement vulnérables à une myriade de cybermenaces, dont certaines ne sont même pas encore connues.
Si vous souhaitiez protéger votre réseau, vos logiciels, vos données basées dans le cloud ou votre système de messagerie électronique contre d’éventuelles menaces, vous pouvez utiliser un honeypot. Il pourra recueillir les données sur les éventuelles attaques et personnaliser la protection de votre réseau contre les attaques futures.
Mais pourquoi héberger vos honeypots dans le cloud ?
Il est possible de déployer des honeypots directement sur votre cloud privé, mais la plupart des entreprises de sécurité ne le recommandent pas (ou ne le font pas), car cela pourrait faire courir des risques inutiles à vos systèmes. Une autre option consiste à utiliser le cloud public pour les héberger. Ainsi, vous pourrez mieux protéger votre réseau réel des attaques sur les vulnérabilités et de ne pas mettre en danger vos données sensibles. Vous pouvez également utiliser le cloud public pour détecter les cyberattaques provenant de différents pays du monde.
De plus, les honeypots basés dans le cloud peuvent être configurés pour découvrir les activités des cybercriminels de n’importe quelle partie du monde. Vous pourrez donc collecter des informations précieuses qui feront passer votre système de cybersécurité à un niveau supérieur.
Attention toutefois : un rapport d’étude publié par Sophos — qui portait sur dix serveurs cloud honeypots — a révélé que les cybercriminels peuvent rechercher automatiquement des buckets open cloud vulnérables. S’ils réussissent à entrer dans votre réseau, vos données sensibles seront exposées. Ils peuvent aussi se servir de vos serveurs cloud compromis comme relais afin d’accéder à d’autres réseaux ou serveurs.
Votre honeypot peut être détecté !
Comme on l’a dit ci-dessus, les honeypots présentent quelques inconvénients.
Ce n’est peut-être qu’une question de temps avant que votre honeypot ne soit détecté, et lorsque cela se produit, l’information est susceptible d’être partagée avec d’autres pirates. Heureusement, il existe de nombreux forfaits différents et il est possible de créer des honeypots personnalisés. Les pirates informatiques ne peuvent donc pas rechercher une signature unique pour identifier un système comme étant un honeypot.
Il y a des signes évidents qu’un système est un honeypot. Nous vous recommandons de prendre des mesures pour résoudre les problèmes suivants si vous voulez vous assurer qu’il n’est pas détecté comme un faux système.
Assurez-vous qu’il y ait de l’activité dans le système – Un signe certain d’un faux système est qu’aucune personne ne l’utilise !
Faites en sorte qu’il soit beaucoup trop facile de compromettre le système – en définissant par exemple « mot de passe » comme mot de passe.
Laissez les ports impairs ouverts et assurez-vous que les services hors du commun sont en cours d’exécution.
Presque aucun logiciel n’a été installé.
Les configurations par défaut des logiciels et des systèmes d’exploitation ont été installées.
La structure des fichiers est trop régulière et les noms de fichiers sont manifestement faux – les noms de fichiers tels que « liste de mots de passe utilisateur » et « numéros de sécurité sociale du personnel » sont irréalistes.
Il vaut également la peine d’envisager l’inclusion ou non d’un « port de tromperie ».
Il s’agit d’un port ouvert, permettant à un attaquant de détecter un honeypot.
Quel est l’intérêt ?
Cela montrera à tout attaquant potentiel qu’il a affaire à une organisation qui a consacré beaucoup de temps et d’efforts à la cybersécurité.
Cela, en soi, peut suffire à convaincre les attaquants de regarder ailleurs et de poursuivre des cibles beaucoup plus faciles.
Les réglementations concernant les honeypots
La diversité de honeypots rend difficile l’appréhension des aspects juridiques liés à ces outils informatiques. Les honeypots servent à alarmer le personnel informatique d’une activité anormale, mais aussi à surveiller l’activité des cybercriminels. Face à cette diversité d’outils, il faut que les organisations se conforment à quelques règlementations.
Certain pays acceptent l’utilisation des honeypots, tandis que d’autres le condamnent. Depuis la mi-avril 2003, quelques états américains reconnaissent que cette pratique est illégale sur leurs territoires.
En France, le ministère de l’intérieur a affirmé que les organismes gouvernementaux français ne doivent pas utiliser les technologies basées sur les honeypots. Selon ladite insitution, un honeypot est une technique de leurre dont le but est d’éprouver et de comprendre les techniques d’intrusion sur des systèmes. En réalité, le droit pénal français prohibe toute forme de provocation à commettre une infraction. Cette technique ne devrait donc pas utilisée.
L’article 23 de la loi du 29 juillet 1881 sur la liberté de la presse confirme que toute action commise par le biais de certains canaux, et qui auront directement provoqué un ou plusieurs auteurs à commettre ladite action, est qualifiée de crime ou délit si la provocation a été suivie d’effet.
De plus, l’utilisation d’un honeypot ne relève pas seulement d’un problème légal, car l’outil peut récupérer des données à caractère personnel. Le traitement de ces informations doit faire l’objet d’une déclaration à la Commission nationale de l’informatique et des libertés (CNIL).
Les administrateurs réseaux qui souhaitent protéger leur réseau via les honeypots doivent donc se prémunir contre les poursuites judiciaires, même si ces poursuites devraient être dédiées aux hackers.
Nos conseils !
Comme susmentionnée, la mise en place d’un honeypot peut exiger beaucoup de ressources. Pour éviter cela, vous pouvez l’installer sur de vieux ordinateurs ou sur d’autres appareils que vous n’utilisez plus. Quant aux logiciels, vous pouvez choisir des honeypots prêts à l’emploi afin de réduire le travail interne nécessaire pour son déploiement.
Sachez que les honeypots ont un faible taux de faux positifs, contrairement aux systèmes traditionnels de détection d’intrusion (IDS) qui peuvent produire un niveau élevé de fausses alertes. Mais si vous savez utiliser les données collectées par vos honeypots pour les corréler avec d’autres journaux du système et du pare-feu, vous pourrez configurer l’IDS avec des alertes plus pertinentes pour produire moins de faux positifs. Ceci vous permet d’améliorer vos systèmes de cybersécurité.
Les honeypots peuvent également servir d’outils de formation pour votre personnel de sécurité informatique. Comme il s’agit d’un environnement contrôlé et sûr, il permet de montrer comment fonctionnent les cybercriminalités et d’examiner de nombreux types de menaces.
Les pare-feu ne sont pas efficaces pour contrer les menaces internes, par exemple, lorsqu’un employé qui envisage de quitter votre organisation et qui voudrait voler des fichiers avant de partir. Un honeypot peut vous donner certaines informations valables sur ces menaces internes.
Bien qu’un honeypot puisse cartographier les menaces internes ou celles venant de l’extérieur, il ne voit pas tout ce qui se passe, c’est-à-dire qu’il ne peut détecter que les activités qui sont dirigées vers lui. Si aucune menace n’a pas été dirigée contre le honeypot que votre organisation est à l’abri des actes cybercriminelles.
Ajoutez des couches de sécurité supplémentaires pour protéger votre réseau
Un honeypot peut vous aider à contrer certaines attaques en ligne, mais la meilleure solution est d’adopter un ensemble de solutions de cybersécurité comprenant les services de sécurité de base dont toutes les entreprises ont besoin afin qu’elles puissent mieux se protéger contre les principaux vecteurs d’attaques.
En réalité, vous devez disposer de cinq services de sécurité clé, à savoir :
Une solution de cybersécurité de base ;
Un pare-feu ;
Une couche supplémentaire pour la sécurisation de la messagerie électronique ;
Un service de filtrage du DNS
Une solution de sécurisation des nœuds d’extrémité.
D’abord, le pare-feu est essentiel si vous voulez sécuriser votre périmètre réseau, en séparant les réseaux fiables de ceux qui ne le sont pas. Il peut également protéger vos ressources et votre infrastructure réseau contre les accès non autorisés. Pour plus de sécurité, vous pouvez même mettre en place plusieurs pare-feu.
Ensuite, la sécurité de la messagerie électronique est cruciale, car ce canal est le plus utilisé par les pirates pour mener leurs attaques. Sans cela, de nombreux e-mails malveillants ou de phishing risquent d’atteindre les boîtes de réception de vos employés. Ainsi, vous ne pourrez plus compter que sur leur capacité à réagir face aux attaques cybercriminelles.
Vous devez également déployer un filtre DNS pour vous protéger contre les attaques cybercriminelles, notamment les téléchargements par drive-by, les publicités malveillantes et les kits d’exploitation.
Même les meilleures honeypots ne permettent pas de bloquer toutes les menaces en ligne. Le filtrage DNS s’avère dans ce cas une couche de sécurité supplémentaire qui protégera votre organisation contre les attaques de malwares et de phishing. Il peut également assurer la protection de vos employés lorsqu’ils utilisent le WiFi public.
En ce qui concerne la sécurisation des nœuds d’extrémité, sachez que cette solution peut ajouter une couche supplémentaire à votre pile de sécurité. Au cas où l’une des solutions susmentionnées échouerait et que des malwares seraient téléchargés, la sécurisation des nœuds d’extrémité pourra fournir une protection supplémentaire. Vous pouvez utiliser un logiciel antivirus ou d’autres solutions plus avancées tels que les systèmes de détection d’intrusion.
Bon à savoir : Lorsque vous choisissez les solutions à adopter pour votre pile de sécurité, assurez-vous qu’elles peuvent fonctionner parfaitement ensemble. Il est donc recommandé de ne pas acheter vos solutions de sécurité auprès de fournisseurs différents.
Pour assurer la sécurité de votre réseau et de vos données, optez pour TitanHQ, leader mondial en matière de sécurité web et de la protection de la messagerie dans le cloud. La marque fournit des produits efficaces, faciles à utiliser et à gérer.
Les différents produits de TitanHQ
La marque propose trois solutions de base, notamment la sécurisation de la messagerie électronique (SpamTitan) ; le filtrage DNS (WebTitan) et la solution d’archivage des e-mails (ArcTitan).
Toutes ces solutions peuvent être à 100 % basées dans le cloud. Elles ont été développées pour que vous puissiez facilement l’intégrer dans votre pile de sécurité, en plus de votre système honeypot. Il est aussi possible de les mettre en place sur votre infrastructure existante. Vous pouvez même personnaliser l’interface utilisateur afin de n’inclure que les fonctionnalités dont vous avez besoin.
Si vous avez besoin de rapports, vous n’aurez aucun problème. La solution de TitanHQ est dotée d’une large gamme de rapports préconfigurés. Vous pouvez les planifier dans le but d’alléger votre charge administrative, surtout lorsque vous devez fournir des rapports à votre conseil d’administration. Bien entendu, vous pouvez aussi créer vos propres rapports.
Grâce à TitanHQ, votre entreprise pourra offrir facilement des services de sécurité fiables à vos employés et améliorer ses marges.
Pour en savoir plus sur nos produits ou pour toute autre information, contactez dès aujourd’hui notre équipe. Vous bénéficierez d’un essai gratuit pour vous permettre de constater par vous-même pourquoi de nombreuses entreprises ont choisi nos solutions.
