Les organisations de soins de santé traversent une période difficile en matière de cybersécurité.
En effet, le fait de ne pas prévenir les attaques par phishing ne justifie pas nécessairement le paiement d’une amende de conformité HIPAA. Mais le fait de ne pas mettre en œuvre des mesures de protection suffisantes pour prévenir de telles attaques pourrait causer des problèmes aux entités couvertes par cette loi sur l’accès à l’information et la protection de la vie privée.
Les pirates informatiques et les cybercriminels continuent de cibler l’industrie des soins de santé. Selon le rapport « Internet Security Threat Report 2017 » de Symantec sur les menaces de sécurité Internet, le nombre de brèches a augmenté de 22% en 2016. Avec une telle augmentation, l’industrie des soins de santé a donc enregistré le deuxième plus grand nombre d’incidents de sécurité dans le secteur des services l’an dernier.
D’autre part, les organismes de soins de santé doivent se conformer à une longue liste de règlements imposés par la loi HIPAA et faire face aux conséquences des amendes élevées pour non-conformité.
Au cours des trente derniers jours, deux règlements importants concernant les atteintes à la vie privée résultant de « petits » incidents illustrent à quel point les tâches nécessaires pour protéger les cyberenvironnements des organisations de soins de santé sont vastes. Pour ceux qui ont la responsabilité de soutenir les infrastructures informatiques dans le domaine de la santé, tout cela représente une nuit blanche.
2,5 millions de dollars d’amendes en vertu de la LPVPH
Le mois dernier, le Département de la Santé et des Services sociaux des États-Unis et l’« Office for Civil Rights » (OCR) ont annoncé le règlement d’une amende de 2,5 millions de dollars par la société CardioNet, basée en Pennsylvanie, en vertu de la loi HIPAA. La raison est la divulgation non autorisée de renseignements médicaux électroniques protégés et non sécurisés le mois dernier. Cela fait suite à une enquête de cinq ans concernant le vol de l’ordinateur portable d’un employé dans un véhicule contenant 1391 dossiers de patients.
En bref, CardioNet ne disposait pas d’un système d’analyse des risques ni de processus de gestion des risques suffisants au moment du vol. En plus du règlement financier, CardioNet doit également mettre en œuvre un plan de mesures correctives. Il s’agit de la première amende de ce genre et qui implique un fournisseur de services de santé sans fil. À noter que CardioNet est l’un des principaux fournisseurs de services mobiles de télémétrie cardiaque ambulatoire.
Ce cas est un exemple des défis de sécurité auxquels sont confrontées les organisations de soins de santé dans le monde mobile d’aujourd’hui.
Dans un autre règlement annoncé le mois dernier, le Metro Community Provider Network (MCPN) du Colorado est contraint de verser 400 000 dollars et de mettre en œuvre un plan de mesures correctives. L’enquête menée par l’OCR a révélé que le MCPN n’a pas effectué une analyse des risques en temps opportun, ni effectué une évaluation complète des risques et des vulnérabilités de son environnement ePHI (Environmental Public Health Indicators).
Cette affaire concerne également un incident qui remontait à 2012, année à laquelle le MCPN avait déposé un rapport d’atteinte à la sécurité des renseignements personnels. En effet, 3 200 dossiers de RPS (prévention des risques psychosociaux) ont été compromis et volés par un pirate informatique. La brèche a été commise parce que le pirate avait accédé aux comptes de courriel des employés à la suite d’une attaque de phishing.
Pour ce cas précis, un employé avait cliqué sur un lien qui a ensuite impliqué le déploiement de logiciels malwares sur son ordinateur, ce qui a permis au pirate de lancer l’attaque à distance. Ce clic a coûté 400 000 dollars à MCPN.
Le phishing et les keyloggers sont les véhicules de distribution les plus populaires
Aussi élevées qu’elles puissent paraître, ces amendes ne sont pas les plus importantes. Au début de février, Memorial Healthcare System (MHS) a dû débourser 5,5 millions de dollars pour régler des infractions plus importantes, car les dossiers ePHI ont été consultés par quelqu’un qui utilisait les identifiants de connexion d’un ancien employé. Cette action n’a pas été détectée pendant au moins un an.
Malheureusement, l’acquisition et l’utilisation de comptes d’employés dans le secteur de la santé sont maintenant courantes dans l’ensemble de l’industrie, comme l’indiquait récemment un article paru dans HealthcareITNews le 10 mars 2017.
L’article résume les résultats d’une étude récente selon laquelle 68% des organisations de soins de santé avaient des identifiants de courrier électronique compromis. Parmi ces comptes compromis, 76% étaient à vendre sur le dark web, et les deux moyens les plus populaires utilisés pour accéder à ces comptes étaient le phishing et les keyloggers.
Ces trois violations étaient toutes le résultat d’incidents simples et évitables, soit d’un compte de connexion compromis, soit d’un ordinateur portable volé ou encore d’un simple clic sur un e-mail de phishing.
Selon un rapport Verizon, 43 % de toutes les atteintes à la protection des données ont eu recours au phishing.
Le même rapport a montré que 32% des incidents de sécurité signalés étaient le résultat de vols de biens. Le fait est que la plupart des infractions impliquent les tentatives les plus simples, en particulier le phishing.
Cette année, la plus grande brèche s’est produite à l’École de médecine de l’Université de Washington, où plus de 80 000 dossiers de patients ont été compromis, tout cela parce qu’un employé a répondu à un e-mail de phishing, conçu pour ressembler à une demande de traitement légitime.
Ce degré de personnalisation fait partie d’une tendance croissante dans les attaques contre les soins de santé, y compris celles de ransomware dans lesquelles les souches de Ransomware as a Service (RaaS), Philadelphia, sont maintenant personnalisées spécifiquement pour l’industrie de la santé.
Tout cela montre clairement que ce n’est pas la pénétration complexe des périmètres de sécurité réseau, par des pirates informatiques insaisissables et très talentueux, qui doit préoccuper les équipes informatiques du secteur de la santé. Il s’agit plutôt se focaliser sur les éléments de base, à savoir s’assurer que tous les comptes de messagerie soient protégés par le dernier filtrage antispam, que des politiques strictes en matière de mots de passe soient appliquées, ou encore que des inventaires de localisation des données soient effectués régulièrement pour s’assurer que tous les silos de données puissent être entièrement protégés.
L’application de ces mesures de sécurité peut non seulement protéger les dossiers des patients, mais aussi permettre à votre entreprise d’économiser des millions de dollars, plutôt que d’être contraint de régler les potentiels dommages en raison d’une faille au niveau de la sécurité informatique.
Vous êtes un professionnel de l’informatique qui travaille dans le secteur de la santé et vous souhaitez assurer la protection de vos données et de vos appareils sensibles ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
Lisez notre tout nouveau rapport, tout juste publié en 2019, sur la façon de surmonter les faiblesses de la sécurité des mails offerte par Office 365.
Des recherches récentes menées par Osterman ont montré que Microsoft Exchange Online Protection (EOP) peut détecter 100 % des virus connus avec des mises à jour toutes les 15 minutes. Cependant, la recherche a révélé qu’il était moins efficace contre les logiciels malveillants inconnus ou les nouveaux livrés par e-mail. Les administrateurs système implémentant Microsoft Office 365 doivent ainsi s’assurer qu’il est sécurisé, en ajoutant une solution de messagerie de filtrage de spams comme SpamTitan.
Cela leur permet de se protéger contre les menaces persistantes avancées, ou APT pour « Advanced Persistent Threats ». Pour vous protéger contre les APT, vous avez besoin d’une protection avancée.
Avec l’augmentation des attaques de ransomwares et de phishing, Office 365 est devenu une cible de choix pour les cybercriminels, ce qui oblige les professionnels de l’informatique à prendre des mesures proactives en matière de sécurité de la messagerie Office 365 et à protéger leur environnement contre le piratage.
Une étude exhaustive réalisée en 2016 par Skyhigh Networks a révélé que 71,4 % des utilisateurs d’Office 365 ont au moins un compte compromis chaque mois. La recherche était basée sur une enquête menée auprès de 600 entreprises et 27 millions d’utilisateurs.
Office 365 est le service cloud d’entreprise le plus utilisé au monde, avec plus de 70 millions d’utilisateurs actifs.
78 % des décideurs informatiques utilisent ou prévoient d’utiliser Office 365 en 2017, alors que 70 % des entreprises du Fortune 500 ont déjà acheté Office 365 pour leurs utilisateurs. Ils n’utilisent pas tous les services de courrier électronique d’Office 365. Certains utilisent tout simplement une suite d’applications ou OneDrive. Selon Gartner, moins de 10 % des entreprises utilisent les services de messagerie Office 365. Pourtant, elles détiennent une part de marché de 80 % des grandes entreprises publiques, lesquelles ont recours à des services de messagerie dans le cloud.
En fin de compte, on comprend très bien pourquoi un plus grand nombre d’entreprises vont migrer leurs services de messagerie vers Office 365 dans les années à venir.
Pourquoi les fournisseurs de services proposent-ils d’ajouter du filtrage antispam à Office 365 ?
Ceci peut être décourageant pour les fournisseurs de services et ESN qui, depuis de nombreuses années, utilisent les services mailbox comme source de revenus. De plus, la vente d’abonnements à Office 365 n’est pas une grande consolation pour eux, car les marges sont très faibles.
À première vue, il semble qu’Office 365 représente un véritable défi pour les ESN qui veulent garder leurs clients. Cependant, de la même manière que les ESN ont gagné de l’argent en offrant des services de support et des solutions pour le système d’exploitation Microsoft, ils peuvent bénéficier de nombreuses opportunités, en fournissant un service à plus grande valeur ajoutée à leurs clients ainsi qu’à leurs services de messagerie Office 365.
Les mails Office 365 sont des cibles importante pour les pirates informatiques
Le fait d’être le « grand Kahuna » dans l’espace de messagerie cloud pose un gros problème. En effet, vous devenez la principale cible des pirates informatiques et des experts en phishing.
Ironiquement, Microsoft se retrouve victime de son propre succès, de la même manière qu’il l’a été pour ses systèmes d’exploitation ou « Operating System » (OS) au fil des ans. Lorsque de nombreuses personnes utilisent le même OS, les pirates peuvent simplement se concentrer sur celui-ci pour ne pas perdre de temps avec les autres. De même, si plusieurs millions d’utilisateurs ont recours au même service de messagerie dans le cloud et utilisent le même ensemble d’outils de sécurité, les pirates peuvent simplement consacrer leurs ressources et leur temps pour découvrir les faiblesses de ces outils afin de les exploiter.
Tout comme les utilisateurs sont satisfaits de ce qu’ils aient obtenu pour le prix qu’ils ont mis pour migrer leurs services de messagerie vers Office 365, les hackers le sont aussi en disposant autant d’utilisateurs d’entreprise concentrés sur une seule plate-forme.
Vous n’y avez peut-être jamais pensé, mais les créateurs de phishing et les pirates utilisent également Office 365. Ils ont la possibilité de payer les frais d’abonnement ou de s’introduire dans le compte d’un autre utilisateur avec une attaque par « credential stuffing ». Cette pratique consiste à voler les identifiants d’un compte dans le but de les utiliser à des fins malveillantes, c’est pourquoi il est si important d’avoir des mots de passe complexes et sûrs. Les pirates utilisent ensuite ces comptes pour tester et étudier le fonctionnement de la sécurité Microsoft.
De nombreux clients d’Office 365 supposent qu’ils bénéficient de la protection complète contre les piratages, mais ce n’est pas le cas. Tous les comptes bénéficient de l’offre de sécurité de messagerie par défaut. Microsoft, cependant, offre un package de sécurité supplémentaire appelé Advanced Threat Protection (ATP). Ce forfait comprend la sécurisation des messages via une sandbox (bac à sable), la vérification de la réputation des liens, la création de rapports, le traçage d’URL et la protection contre le phishing.
Pour bénéficier de toutes ces fonctionnalités, vous devez disposer d’une sous licence d’entreprise. Les clients peuvent également ajouter ces services à la carte, mais chaque service supplémentaire exige des frais supplémentaires. De plus, n’oubliez pas que les pirates informatiques ont, eux aussi, accès aux Sandbox.
Compensation des failles de sécurité de la messagerie avec une solution complémentaire
Vous voulez mettre fin aux attaques de ransomwares lancés par des e-mails, aux attaques BEC (« Business Email Compromise ») et aux autres menaces malveillantes ? Si vous devez payer plus cher pour obtenir la couverture de sécurité globale dont votre entreprise a besoin, pourquoi ne pas dépenser cet argent dans une solution complète construite à partir de zéro par un fournisseur spécialisé dans la sécurité de la messagerie ?
Ces derniers temps, force est de constater que Microsoft a fait de grands progrès en matière de cybersécurité. Pourtant, les gros titres continuent aujourd’hui à rapporter d’innombrables techniques utilisées par les pirates informatiques pour saper les systèmes d’exploitation et les applications. Alors, pourquoi ne pas confier la sécurité de votre messagerie à un spécialiste ?
C’est la raison pour laquelle tant d’entreprises se tournent actuellement vers des solutions tierces pour améliorer la sécurité de leurs comptes de messagerie Office 365 hébergés. Selon un récent rapport de Gartner, 40 % des déploiements d’Office 365 s’appuieront sur des outils tiers d’ici 2018, ceci, afin de combler les lacunes et pour répondre aux exigences de sécurité et de conformité attendues. Gartner s’attend à ce que ce taux passe à 50 % d’ici 2020.
Le coût de la prévention est bien inférieur au coût de la récupération
Comme l’a montré la récente attaque du ransomware Petya, laquelle a affecté des entreprises de toutes tailles pendant des jours ou des semaines, le coût de la prévention est bien inférieur au coût de la réparation des dommages.
Bien entendu, de nombreuses entreprises de sécurité de la messagerie disposent actuellement des solutions de passerelle de messagerie spécialement conçues pour compléter et s’intégrer à Office 365. Mais sachez que toutes les entreprises risquent d’être piratées, en particulier les PME qui ne disposent que d’une sécurité minimale.
Selon la fondation U.S. National Cyber Security Alliance, 60% des PME font faillite six mois après une cyberattaque !
Pour les fournisseurs de services gérés, l’offre d’une solution supplémentaire de sécurité des e-mails est un autre moyen de s’assurer que leurs clients restent à l’abri des logiciels malveillants. Le fait est qu’Office 365 est actuellement une solution de messagerie très rentable pour de nombreuses organisations. Combinée à une solution de sécurité supplémentaire, elle peut devenir le package complet dont vous avez besoin.
De nombreuses entreprises estiment qu’il est nécessaire de compléter la sécurité par défaut de leur messagerie Office 365 par des solutions complémentaires, telles qu’un filtre antispam dédié. C’est pourquoi elles se tournent vers des solutions tierces pour améliorer la sécurité de leurs comptes de messagerie Office 365 hébergés. Plutôt que d’opter pour l’ATP, elles préfèrent faire des dépenses supplémentaires pour l’achat d’une solution complète construite à partir de zéro par un fournisseur spécialisé dans la sécurité des e-mails.
Atténuer le risque d’un incident de sécurité
La principale leçon à retenir est qu’il peut être très difficile pour les organisations de se protéger entièrement contre les attaques sophistiquées de piratage et de phishing. Les organisations sont toujours contraintes de réduire leurs coûts, mais cela ne doit pas être au détriment de la sécurité des e-mails, car le risque est trop grand.
Comme susmentionnés, 60% des PME qui subissent une cyberattaque font faillite dans les six mois qui suivent. Les entreprises doivent donc atténuer le risque d’un incident de sécurité de manière significative en se dotant d’une infrastructure de messagerie robuste et sécurisée. Il faut un complément à Office 365, c’est-à-dire une solution complète de filtrage du spam construite à partir de zéro par un fournisseur spécialisé dans la sécurité des e-mails.
Parlez dès aujourd’hui à l’un de nos experts en sécurité pour savoir comment sécuriser votre logiciel Microsoft Office 365 et prévenir les attaques coûteuses et préjudiciables via la messagerie, y compris les attaques de spear phishing, les attaques de ransomwares et les compromissions des e-mails professionnels.
Vous avez peut-être déjà entendu parler de la dernière arnaque par phishing sur Facebook qui a été lancée depuis quelques semaines.
Même si cette forme d’escroquerie semble sophistiquée et maligne, elle n’est pas vraiment effrayante. Les pirates l’utilisent pour voler non seulement vos identifiants Facebook, mais aussi les détails de votre connexion par courriel ainsi que les informations concernant votre carte de crédit.
Qu’est-ce que le phishing ?
Le phishing est une forme de fraude sur Internet. Il vise à voler des informations précieuses concernant les cartes de crédit, les coordonnées bancaires, les identificateurs de session et les mots de passe. Il utilise des spams, des sites Web malveillants, des courriels et des messages instantanés pour amener les gens à divulguer des informations sensibles.
La dernière arnaque de phishing par chat sur Facebook, rapportée dans le blog officiel de Kaspersky, concerne la fonction de chat sur Facebook. Une fois que votre compte est compromis avec succès, l’arnaqueur change le nom de ce compte pour celui de « Facebook security ».
Un message de chat est alors envoyé à votre liste des contacts, avertissant que leurs comptes seront fermés à moins qu’ils ne confirment à nouveau les détails de leurs comptes.
Devinez ce qui se passe ensuite ?
Comme il s’agit d’un message de sécurité Facebook, cela ne devrait créer aucun soupçon pour les utilisateurs. Pourtant, le message instantané contient un lien qui redirige les titulaires des comptes vers un site qui ressemble à Facebook.
Les victimes, sans méfiance, sont alors invitées à fournir les détails de leur compte, y compris les détails de leur connexion à Facebook. C’est aussi simple que cela, l’escroc a maintenant accès aux détails du compte de tous vos contacts Facebook, ce qui lui permet de passer à la prochaine partie de l’arnaque.
Cette attaque particulière demande également des mots de passe pour les courriels, ce qui laisse le fraudeur en position de force pour compromettre facilement plusieurs autres comptes… Comme si cela ne suffisait pas ! Kaspersky rapporte que cette attaque de phishing va encore plus loin, en demandant à vos contacts un paiement, ce qui donne à l’escroc l’accès aux détails de leurs cartes de crédit, y compris le code CSC/CVV.
Parfois, il est préférable de prendre un peu de recul, de respirer profondément et vous demander pourquoi un réseau social, qui d’ailleurs est gratuit, vous demanderait-il les détails de votre carte de crédit pour confirmer votre compte. Gardez à l’esprit qu’on ne devrait pas vous demander un numéro de CVV, sauf lorsque vous commandez quelque chose en ligne.
Par précaution, il est normal que vous soyez plus enclin à répondre aux messages de sécurité qui vous sont envoyés. Mais seriez-vous assez dupé pour vous faire avoir par ce type d’arnaque sur Facebook ?
Il s’agit certainement d’une escroquerie qui semble complexe, mais elle est facile à éviter puisqu’elle repose sur la croyance de la victime au faux message de sécurité Facebook.
Facebook, ou toute autre organisation digne de confiance, ne vous demandera pas les détails de votre carte de crédit comme moyen de prouver votre identité. On peut dire que l’approche est intelligente, mais comme ces attaques sont de nature malveillante, le mot le plus approprié est peut-être celui de « supercherie évoluée ».
Un petit conseil : Même si vous ne fournissez pas les informations concernant votre carte de crédit, votre compte Facebook ne sera pas fermé !
Les attaques de phishing tirent parti des vulnérabilités sur les réseaux sociaux
Il existe actuellement un grand nombre d’attaques cybercriminels. Bien entendu, Internet offre des avantages et des possibilités à tous, y compris les criminels. Et n’oubliez pas que les attaques de phishing tirent parti des vulnérabilités sur les réseaux sociaux.
Le fait que certaines entreprises ne prennent pas les mesures nécessaires pour se protéger contre les attaque sophistiquées est inquiétant. En effet, elles risquent de perdre d’importantes sommes d’argent en raison de la fraude, des dommages au réseau et de leur réparation.
Comme le dirait Sherlock Holmes : c’est élémentaire !
A cause une attaque de phishing et de malware réussie, tout votre système peut être en danger. Un réseau d’entreprise peut par exemple souffrir d’une infection par un malware lorsqu’un employé clique sur un lien bidon dans un message Facebook ou un autre site de réseautage social.
L’impact d’une attaque de malware réussie peut avoir des conséquences graves et à long terme telles que l’accès non autorisé à votre réseau, l’exposition des systèmes d’information de votre entreprise aux cyberattaques et l’exploitation des informations commerciales hautement confidentielles par des cybercriminels.
Un réseau non sécurisé est un maillon faible brisé qui permet aux attaquants de tirer profit de vos ressources internes. Ainsi, il est crucial de recommander à vos employés d’ignorer les messages suspicieux qui arrivent dans leur boîte de réception ou dans leur fil d’actualité.
En plus de faire preuve de bon sens sur l’utilisation d’Internet, assurez-vous que votre entreprise utilise également de puissants logiciels de filtrage Web et de sécurité des courriels. Cela pourrait mettre votre entreprise à l’abri des éventuelles attaques si un employé venait à se faire avoir par une arnaque par phishing.
La protection de votre réseau informatique contre les attaques cybercriminels exige une combinaison de technologies, de bonnes pratiques et de vigilance. En ce qui concerne l’aspect technologique, de nombreux professionnels de la sécurité informatique accordent peu d’attention à la sécurisation de la couche DNS, et c’est une grosse erreur.
L’implémentation de la sécurité DNS est maintenant tout aussi importante que la protection de votre réseau avec un pare-feu standard. Les pirates informatiques profitent de l’absence de la sécurité DNS pour infiltrer les réseaux informatiques, installer des malwares et exfiltrer les données.
La majorité des variantes de malwares actuellement disponibles utilisent les failles de sécurité du système DNS pour communiquer avec les serveurs de commande et de contrôle et voler des données. Les entreprises qui n’ont pas encore adopté un système de filtrage DNS pourraient déjà avoir vu leurs réseaux compromis à leur insu.
Sécuriser la couche DNS est essentiel
Le DNS, ou système de noms de domaine, peut être considéré comme un carnet d’adresses Internet. Il traduit les noms de domaine comme google.com en chiffres appelés « Internet Protocol » ou adresse IP.
Le DNS est un élément fondamental de l’infrastructure Internet, mais il ne peut pas réellement empêcher les utilisateurs d’être dirigés vers des sites Web malveillants et il est loin d’être sûr. Sécuriser la couche DNS est essentiel, car, sans ce niveau de protection supplémentaire, les entreprises se laissent facilement attaquer par des cybercriminels.
Les individus peuvent être renvoyés vers des sites Web malveillants où ils divulguent volontairement des données sensibles, sans savoir que tout ce qu’ils font est surveillé et enregistré. C’est ce qui rend de nombreuses attaques de spear phishing si efficaces. Les victimes n’ont aucune idée à propos de la manière dont elles compromettent leurs propres réseaux.
L’implémentation d’un filtre Web basé sur le DNS permettra de détecter et d’empêcher les connexions malveillantes et d’alerter les administrateurs système de la présence de malwares et de botnets.
L’utilisation d’un filtre Web DNS basé sur le Cloud, et fourni via une console d’administration, vous permet de configurer et de gérer rapidement différentes politiques d’utilisation par réseau, par groupe, par utilisateur, par périphérique ou par adresse IP. Ceci vous permet de mieux contrôler l’utilisation d’Internet dans votre entreprise.
Blocage des communications malveillantes
Les attaques de phishing sont devenues le fléau des entreprises dans le monde entier. Les attaques de phishing sont utilisées pour diffuser des malwares qui contournent tous les contrôles de sécurité mis en œuvre par une organisation.
Quelle que soit la façon dont une personne parvient à installer un malware, par exemple par le biais de spams ou via le téléchargement à la dérobée (« drive-by-download »), celui-ci doit être détecté rapidement. En effet, une fois installés, les malwares peuvent se déplacer latéralement à une vitesse surprenante, et cette situation risque de passer inaperçue de l’utilisateur.
Sécuriser la couche DNS pour prévenir les cyberattaques
Si vous n’avez pas encore ajouté un système de filtrage DNS à vos défenses de sécurité, rassurez-vous, car vous n’êtes pas le seul.
Malheureusement, de nombreuses entreprises, voire des organisations gouvernementales, accordent peu d’attention à la sécurisation de la couche DNS et ont déjà été attaquées ou ont déjà vu leurs systèmes compromis.
Les cybercriminels ont déjà exploité des entreprises qui ne parviennent pas à sécuriser les DNS
Les cybercriminels ont déjà exploité les vulnérabilités concernant la sécurité de la couche DNS. Ils ont utilisé cette faille pour mener des attaques de phishing et pour accéder aux données appartenant aux entreprises.
Ne pas sécuriser la couche DNS rend la tâche beaucoup trop facile pour les pirates informatiques. Alors, si vous voulez vraiment empêcher les cybercriminels de voler vos données et de saboter vos systèmes, il est temps d’ajouter le filtrage DNS à votre arsenal de sécurité réseau.
La bonne nouvelle est que la sécurisation de la couche DNS est un processus simple qui ne nécessite aucun matériel informatique ni l’installation d’un logiciel supplémentaire. Certains fournisseurs offrent maintenant des solutions de filtrage DNS dans le cloud qui peuvent être mises en place en quelques minutes.
Il est peut-être temps que vous commenciez à sécuriser la couche DNS et à faire en sorte que votre réseau soit beaucoup plus difficile à compromettre pour les cybercriminels.
Vous souhaitez bénéficier d’un haut niveau de protection contre les malwares et les attaques de phishing ? Alors, consultez WebTitan Cloud, le filtre Web DNS qui vous permet de surveiller, contrôler et protéger vos utilisateurs et votre réseau d’entreprise. Cette solution ne requiert pas l’installation d’un logiciel de votre part ni de la part des utilisateurs finaux. De plus, sa mise en place est extraordinairement simple et rapide.
Aujourd’hui, nous partageons avec Steve Havert, un professionnel expérimenté de l’informatique, d’autres informations précieuses sur la sécurité de la messagerie. Dans cet article, Steve s’intéresse à l’usurpation d’adresse électronique, l’outil souvent utilisé par les spammeurs pour diffuser des campagnes de phishing.
Depuis longtemps, l’usurpation d’adresse électronique (email spoofing) a été utilisée comme un moyen efficace pour les spammeurs d’atteindre leurs cibles. Bien qu’il existe des méthodes pour identifier une adresse d’email usurpée, aucune d’entre elles n’est parfaite. Les emails falsifiés risquent d’être considérés comme des spams.
Un email falsifié est simplement un email dont l’adresse de l’expéditeur a été falsifiée. Lorsqu’un destinataire reçoit le message, il croit qu’il vient d’une source connue et il est plus susceptible de l’ouvrir et de cliquer sur un lien dans le message ou d’ouvrir une pièce jointe.
Grâce à cette technique, les cybercriminels peuvent atteindre un certain nombre d’objectifs, notamment le phishing, l’installation de malwares, l’accès à des données confidentielles, etc. La dernière attaque la plus importante est « Locky ». Elle se propage le plus souvent par le biais des spams, dont la plupart sont déguisés en factures et utilisent souvent une adresse électronique usurpée.
La première fois que j’ai trouvé une adresse d’email usurpée, je dirigeais ma propre entreprise de conseil en IT qui offrait des services d’externalisation des IT aux petites entreprises. À l’époque, les plus grandes menaces provenant de l’ouverture d’emails malveillants étaient l’infection par des virus informatiques.
Mon client avait ouvert une pièce jointe à un email qu’il avait reçu d’un associé (du moins, c’est ce qu’il pensait) et avait libéré un virus. Le virus n’avait pas causé beaucoup de dommages, mais il avait transformé son ordinateur en spambot.
Qu’est-ce que le spoofing ?
La plupart des e-mails frauduleux peuvent facilement être détectés et il suffit de les supprimer pour y remédier. Cependant, certaines variétés d’e-mails de spams peuvent représenter des risques pour la sécurité et causer de graves problèmes. Par exemple, un e-mail malveillant peut prétendre provenir d’un site d’achat très connu et demander à son destinataire de fournir des données sensibles, comme son numéro de carte de crédit ou son mot de passe.
Mon client a soupçonné un problème lorsqu’il a commencé à recevoir une grande quantité de rapports non livrables (« Non-Deliverable Reports ») dans un court laps de temps. Son carnet d’adresses électroniques contenait un certain nombre d’adresses électroniques invalides et les spams générés par son ordinateur étaient renvoyés par les serveurs des adresses invalides. Il était surpris que son associé ait envoyé un email infecté.
Il a communiqué avec l’associé pour l’avertir que l’ordinateur de son associé était infecté. Pourtant, lorsque ce dernier a analysé plusieurs virus, il n’a rien trouvé.
Au moment où mon client m’avait appelé, il était déconcerté. Dès que j’ai regardé l’en-tête de l’email offensant, j’ai réalisé ce qui s’était passé. Je lui ai expliqué le concept de l’usurpation d’adresse électronique. Il ne croyait pas que quelqu’un ait pu falsifier l’adresse électronique de l’expéditeur.
Comment l’usurpation d’identité par email a évolué et est devenue plus risquée ?
Je pense parfois à ces moments comme au bon vieux temps. Les types d’attaques que mes clients ont subies avaient tendance à causer des dommages minimes.
La plupart du temps, ils commençaient à recevoir des popups ennuyeux ou leur ordinateur commençait à ralentir quand un moteur de spambot commençait à envoyer des emails à tout le monde dans leur carnet d’adresses, ou encore lorsqu’un programme en arrière-plan téléchargeait l’historique de navigation vers un serveur situé quelque part.
Les raisons de l’usurpation d’identité par e-mail ont évolué. Outre le phishing, les pirates d’aujourd’hui utilisent l’usurpation d’adresse électronique pour les principales raisons suivantes :
Cacher leur véritable identité lorsqu’ils envoient des spams à leurs cibles ;
Contourner les filtres antispam ainsi que les listes de blocage. Pour minimiser cette menace, les utilisateurs peuvent bloquer les adresses de protocole Internet (IP) et les fournisseurs d’accès Internet (FAI) ;
Se faire passer pour une personne fiable, comme un collègue ou un collaborateur, pour soutirer des informations confidentielles ;
Se faire passer pour une organisation de confiance, telle qu’une société financière pour obtenir+ l’accès aux données de cartes de crédit ;
Commettre un vol d’identité. Pour ce faire, les escrocs peuvent se passer pour une victime ciblée et demander des informations personnelles identifiables ;
Nuire à la réputation d’une personne ou d’une organisation ;
Diffuser des malwares cachés dans des pièces jointes ;
Mener une attaque de type « man-in-the-middle » (MitM) pour pouvoir s’introduire entre la communication entre deux personnes ou deux dispositifs pour s’emparer des données sensibles de leurs victimes ;
Obtenir l’accès à des informations critiques collectées par des fournisseurs tiers.
Quelle est la différence entre le phishing, l’usurpation d’identité et l’usurpation de domaine ?
Les pirates informatiques utilisent l’usurpation d’identité pour mener une attaque de phishing. Le phishing, quant à lui, est une méthode qui leur permet d’obtenir des données en falsifiant une adresse électronique et en envoyant des e-mails qui semblent provenir d’une source de confiance. L’objectif étant d’inciter les victimes à cliquer sur un lien ou à télécharger une pièce jointe malveillante conçue pour installer un malware sur leur système.
Le spoofing est aussi lié à l’usurpation d’identité de domaine. Le principe consiste à utiliser une adresse électronique similaire à une autre adresse e-mail. Lors d’une usurpation de domaine, un e-mail peut provenir d’une adresse telle que customerservice@apple.com. Pour duper les utilisateurs finaux, les pirates peuvent utiliser l’adresse du faux expéditeur qui l’air authentique, comme customerservice@apple.co.
Une catastrophe coûteuse
Parfois, il y avait un désastre coûteux, par exemple lorsque l’ordinateur d’un client était infecté par le virus ILOVEYOU (attaché à un email usurpé). Ce virus écrasait plusieurs centaines de fichiers avant que le client ne se rende compte qu’il y avait un problème.
L’une des choses les plus étranges s’est passé le 5 mai 2000. La plupart des téléphones de professionnels de la sécurité se sont mis à sonner. Ces appels provenaient de personnes qui voulaient désespérément de l’aide. Elles signalaient un virus qui faisait rage dans leurs systèmes qui détruisaient et corrompaient leurs données au passage. La plus grande question pour tout le monde à ce moment était de savoir comment une telle chose pourrait arriver à quelqu’un.
En fait, la réponse a été la même pour tous. L’un de leurs employés avait reçu un e-mail dont l’objet était « ILOVEYOU ». Le message était « veuillez vérifier la LOVELETTER ci-jointe venant de moi ». Lors de cette arnaque, la pièce jointe semblait être un fichier texte. Cependant, il s’agissait d’un programme exécutable qui se faisait passer pour un fichier texte. Très rapidement, le virus a pris le contrôle. Il téléchargeait des copies de lui-même aux contacts du carnet d’adresses électroniques de la victime. Les destinataires pensaient qu’il s’agissait d’une blague ou d’une déclaration d’amour sérieuse et ont ouvert la pièce jointe. À chaque clic, le virus continuait à se propager.
ILOVEYOU aurait infecté des dizaines de millions d’ordinateurs dans le monde et causé des milliards d’euros de dommages. Une fois qu’une machine était infectée, il analysait le carnet d’adresses de Windows et envoyait ensuite des copies de lui-même à chaque contact de la liste. Il utilisait à son avantage le manque de sécurité de la messagerie électronique et a pu se faire passer pour une pièce jointe légitime envoyée par une connaissance connue. C’est grâce à cette simple tactique d’ingénierie sociale que le virus a réussi à se propager rapidement et efficacement dans le monde entier.
Si ce dernier avait sauvegardé son ordinateur sur une base régulière comme je lui avais recommandé, il n’y aurait pas eu de désastre. Mais comme le dit le proverbe : « On peut emmener le cheval à l’abreuvoir, mais on ne peut pas le forcer à boire. »
Aucune entreprise n’est à l’abri de la perte de données
Les risques liés aux emails usurpés et malveillants sont de plus en plus nombreux aujourd’hui et les individus concernés peuvent perdre leur sécurité financière en raison du vol d’identité.
Les bases de données des organisations peuvent contenir des numéros de sécurité sociale, des informations de leur carte de crédit, des dossiers médicaux, des numéros de comptes bancaires, etc.
Lorsque ces informations sont exploitées par des cybercriminels, cela peut entrainer des milliards de dollars de dommages et intérêts, non seulement pour l’organisation, mais aussi pour les personnes concernées.
Les petites entreprises victimes des emails malveillants peuvent ainsi subir d’importants dommages financiers.
J’ai eu un client qui a perdu plusieurs centaines de fichiers à cause d’un virus qui s’est manifesté sous la forme d’une pièce jointe usurpée à un email. Il s’agissait de fichiers actualisés qui étaient essentiels à un projet sur lequel l’entreprise travaillait, mais qui n’avaient pas encore été sauvegardés. Il n’avait pas d’autre choix que de recréer les documents à partir de zéro ou à partir des versions plus anciennes, ce qui lui coûtait plusieurs milliers de dollars en heures supplémentaires.
Cela dit, aucune entreprise n’est donc à l’abri de la perte de données, et sachez que les petites entreprises sont souvent celles qui souffrent le plus.
Comment se protéger contre le spoofing ?
Malgré le fait qu’il soit relativement facile de se protéger contre les emails frauduleux, c’est toujours une technique courante utilisée par les spammeurs et les cybercriminels. Et sachez qu’il faut un certain effort, et donc de l’argent, pour lutter contre l’usurpation d’identité par email. C’est probablement la raison pour laquelle de nombreuses petites entreprises ne prennent pas les précautions nécessaires.
Sur ce point, voici dix conseils que je donne souvent à mes clients :
1. Déployer une passerelle de sécurité du courrier électronique
Les passerelles de sécurité du courrier électronique protègent les entreprises en bloquant les e-mails entrants et sortants qui présentent des éléments suspects ou ne respectent pas les politiques de sécurité mises en place par l’entreprise. Certaines passerelles offrent des fonctions supplémentaires, mais toutes peuvent détecter la plupart des malwares, des spams et des attaques de phishing.
2. Utiliser un logiciel antimalware
Les logiciels peuvent identifier et bloquer les sites web suspects ; détecter les attaques par usurpation d’identité et arrêter les e-mails frauduleux avant qu’ils n’atteignent les boîtes de réception des utilisateurs finaux.
3. Utiliser le chiffrement pour protéger les e-mails
Un certificat de signature d’e-mail chiffre les e-mails, permettant uniquement au destinataire prévu d’accéder au contenu. Dans le cas d’un chiffrement asymétrique, une clé publique chiffre l’e-mail tandis qu’une clé privée appartenant au destinataire déchiffre le message. Une signature numérique supplémentaire peut garantir au destinataire que l’expéditeur est une source valide. Dans les environnements qui ne disposent pas d’un système de chiffrement général, les utilisateurs peuvent apprendre à chiffrer les pièces jointes des messages électroniques.
4. Utiliser des protocoles de sécurité du courrier électronique
Les protocoles de sécurité de la messagerie électronique basés sur l’infrastructure peuvent réduire les menaces et le spam en utilisant l’authentification du domaine. En plus des protocoles SMTP et SPF, les entreprises peuvent utiliser DomainKeys Identified Mail (DKIM) pour fournir une autre couche de sécurité avec une signature numérique. Le protocole Domain-based Message Authentication, Reporting and Conformance (DMARC) peut également être mis en œuvre pour définir les mesures à prendre lorsque les messages ne répondent pas aux critères DKIM et SPF.
5. Utiliser la recherche d’adresse IP inversée pour authentifier les expéditeurs
Une recherche d’adresse IP inversée confirme que l’expéditeur apparent est le vrai et vérifie la source de l’e-mail en identifiant le nom de domaine associé à l’adresse IP. Les propriétaires de sites web peuvent également envisager de publier un enregistrement du système de nom de domaine (DNS) qui indique qui peut envoyer des messages électroniques au nom de leur domaine. Les e-mails sont alors inspectés avant que leurs contenus ne soient téléchargés et peuvent être rejetés avant de causer un quelconque dommage.
7. Faites attention aux éventuelles adresses électroniques usurpées
Les adresses électroniques avec lesquelles les utilisateurs communiquent sont souvent prévisibles et familières. Les personnes peuvent apprendre à se méfier des adresses électroniques inconnues ou étranges et à vérifier l’origine d’un e-mail avant d’y répondre. Les escrocs utilisent souvent les mêmes tactiques plusieurs fois. Les utilisateurs doivent donc rester vigilants.
8. Évitez d’ouvrir les pièces jointes étranges ou de cliquer sur des liens inconnus
Les utilisateurs doivent se tenir à l’écart des pièces jointes et des liens suspects. La meilleure pratique consiste à examiner chaque élément d’un e-mail, en recherchant les signes révélateurs (fautes d’orthographe, extensions de fichiers inconnues, etc.,) avant d’ouvrir un lien ou une pièce jointe.
9. Surveiller les e-mails
Désignez quelqu’un — si ce n’est pas un employé, engagez un partenaire externe IT — pour surveiller et administrer le système d’email, y compris le filtre antispam. Ce n’est pas une tâche triviale, car la fonctionnalité de messagerie électronique change, les nouvelles menaces évoluent constamment et les adresses électroniques évoluent fréquemment en raison des changements de personnel.
Les adresses électroniques avec lesquelles les utilisateurs communiquent sont souvent prévisibles et familières. Les personnes peuvent apprendre à se méfier des adresses électroniques inconnues ou étranges et à vérifier l’origine d’un e-mail avant d’y répondre. Les pirates utilisent souvent les mêmes tactiques plusieurs fois, les utilisateurs finaux doivent donc rester vigilants.
10. Former les employés à la cyberconscience
En plus des mesures antispoofing logicielles, les entreprises doivent encourager la prudence des employés, en leur enseignant la cybersécurité et la manière de reconnaître les éléments suspects et de se protéger. De simples formations peuvent fournir aux employés des exemples d’usurpation d’adresse électronique et leur donner la capacité de reconnaître et de gérer les tactiques d’usurpation, ainsi que les procédures à suivre lorsqu’une tentative d’usurpation est découverte. La formation doit être continue afin que le matériel et les méthodes puissent être mis à jour à mesure que de nouvelles menaces apparaissent.
Que pouvez-vous dire pour conclure ?
Sensibilisez vos employés à l’usurpation d’adresse électronique et aux autres techniques utilisées par les spammeurs et les cybercriminels. Formez-les sur ce qu’il faut rechercher lors de l’analyse de leur boîte de réception afin qu’ils puissent rapidement identifier les emails malveillants potentiels. Donnez-leur une ressource qui peut les aider à décider lorsqu’ils ne sont pas sûrs qu’un email soit malveillant.
Le courrier électronique est un outil de communication professionnelle indispensable et extrêmement utile. Malheureusement, comme il est tellement utilisé, il constitue une cible facile pour les cybercriminels.
Pour un utilisateur lambda de courrier électronique, il est difficile de repérer un email malveillant parmi les centaines ou les milliers d’emails qui arrivent dans sa boîte de réception. C’est pourquoi il est devenu si important pour les organisations d’allouer les ressources et les fonds nécessaires pour protéger leur personnel et leur organisation contre toutes les menaces provenant d’un message qui semble provenir d’une source connue.
Office 365 est un logiciel de plus en plus convoité, avec plus de 135 millions d’utilisateurs commerciaux mensuels, et cette tendance ne fait que se renforcer. Son adoption par les petites et moyennes entreprises s’accroît à un rythme rapide, en grande partie grâce à des conseillers de confiance comme les ESN et fournisseurs de services, les revendeurs et les CSP (fournisseurs de solutions cloud) Microsoft.
Aujourd’hui, les partenaires peuvent acheter auprès de CSP Microsoft comme AppRiver, Intermedia, Pax8, etc., et revendre des licences Office 365 à leurs clients avec de très faibles marges.
Pour de nombreux VAR (distributeurs à valeur ajoutée) et ESN, Office 365 est une solution solide pour leur clientèle. Pourquoi ? Parce que cela leur permet de conquérir de nouvelles affaires. Mais avec une faible marge, à quoi cela pourrait réellement servir ?
Il ne fait aucun doute que Office 365 est une excellente application de messagerie et de productivité, mais les ESN ne peuvent pas bâtir une entreprise durable avec des marges très minces.
Bien entendu, les migrations dans le cloud, les sauvegardes et d’autres services peuvent ajouter de la valeur à une offre Office 365.
Pourtant, sachez que :
73 % des fournisseurs de services inscrits en 2018 ont considéré la sécurité comme leur service affichant la croissance la plus rapide.
55 % ont choisi les services professionnels.
seulement 52 % ont choisi Office 365.
Pour les ESN, les consultants et les revendeurs, Office 365 représente une opportunité d’aider à construire une pratique rentable pour la vente d’abonnements aux PME. Il permet également de former les clients à la protection de leur investissement dans le cadre de leur budget informatique et à la sécurisation de leur réseau grâce au concept de « défense en profondeur ».
Alors que les attaques de phishing et de ransomware se multiplient, les budgets informatiques sont établis en tenant compte de la sécurité, même pour les petites et moyennes entreprises. Cela n’a rien de surprenant, étant donné les innombrables gros titres rapportant les exploits des pirates ayant porté atteinte à l’environnement Office 365.
La sécurité est une fonctionnalité que Microsoft a ajoutée à son logiciel Office 365, mais pour la plupart des organisations, cela ne répond pas à leurs critères de sécurité. Une étude récente a révélé qu’un propriétaire d’entreprise sur trois n’a pas de mesures de protection en place pour lutter contre les atteintes à la sécurité informatique et que 60 % des petites entreprises qui en sont victimes font faillite dans les six mois après l’incident.
En tant qu’experts en sécurité de la messagerie, et disposant de plus de 20 ans d’expérience dans le domaine, nous savons que les nouveaux logiciels malveillants peuvent pénétrer les mécanismes habituels de filtrage d’e-mails.
Depuis longtemps, les anciennes technologies de protection du courrier électronique — comme la réputation d’analyse et la prise d’empreintes digitales — ne sont plus efficaces contre l’évolution de ces menaces. Des recherches récentes menées par Osterman ont montré que Microsoft Exchange Online Protection (EOP) peut détecter 100 % de tous les virus connus grâce à des mises à jour toutes les 15 minutes. Cependant, la recherche a révélé qu’il était moins efficace contre les logiciels malveillants inconnus ou les nouveaux logiciels malveillants livrés par email.
Les ESN, en tant que conseillers de confiance, ont une énorme opportunité de fournir une gamme complète d’outils de productivité (Office 365, Dynamics, Azure), de sécurité et de conformité dans le Cloud (sécurité des e-mails et sécurité Web, DLP et archivage) à leurs clients PME. Ils peuvent bénéficier des marges combinées de 75 à 100 % sans avoir besoin d’augmenter drastiquement leurs dépenses mensuelles.
Comme les petites et moyennes entreprises doivent s’efforcer de « maintenir les lumières allumées » et de faire croître leur entreprise, Microsoft a annoncé que celles qui choisissent Office 365 peuvent faire des économies de coûts grâce à l’adoption d’une solution basée sur le Cloud.
Un tel changement permet à une entreprise d’économiser de l’argent et au personnel informatique de travailler sur d’autres problèmes commerciaux. Ce qui ajoute plus de valeur à l’entreprise.
Pour garantir la sécurité de leur courrier électronique, de leur site Web, pour assurer la conformité et pour augmenter leur productivité informatique, les entreprises n’ont pas besoin de trop dépenser.
Comment les ESN peuvent-elles augmenter les marges sur les activités Office 365 ?
Les ESN doivent investir dans la sécurité en tant que service et dans un concept de « défense en profondeur » pour rentabiliser leur activité Office 365. Le dilemme pour les partenaires n’est pas de savoir s’il faut offrir plus de sécurité à Office 365, mais plutôt comment offrir une plate-forme de sécurité avancée et rentable qui peut gérer les menaces avancées d’aujourd’hui. De plus, il faut prendre en compte le budget de sécurité informatique de leurs clients PME.
Aujourd’hui, les ESN, les consultants et les revendeurs ont la possibilité d’offrir à leurs clients une défense très lucrative dans un concept de défense en profondeur. Avec les services de sécurité de cloud privé de TitanHQ — SpamTitan (sécurité des emails), WebTitan (filtrage de contenu) et ArcTitan (archivage d’emails) —, les ESN peuvent offrir une sécurité avancée en plus des abonnements Office 365 et augmenter leurs marges, tout en offrant de faibles coûts mensuels à leurs clients.
Office 365 continue d’être le leader dans le domaine de la productivité et de la collaboration, mais pour les partenaires qui vendent et gèrent ce service, les marges sont serrées.
Comme les partenaires vendent et gèrent de plus en plus de boîtes aux lettres Office 365, ils doivent trouver un moyen de les rendre rentables. Comme solution, ils peuvent donc offrir une sécurité supplémentaire.
Attention aux failles de sécurité d’Office 365
La véritable opportunité pour les ESN réside dans les services améliorés que les entreprises recherchent autour d’Office 365. Offrir un service de sécurité en profondeur pour combler les lacunes de sécurité d’Office 365 peut aider les ESN à aller plus loin dans leurs activités.
Le courrier électronique est essentiel à la mission des organisations et est constamment ciblé par les attaquants, il est donc devenu impératif que les entreprises disposent de mesures de sécurité fiables en place. Il est essentiel que les ESN utilisent un fournisseur de sécurité tiers fiable comme TitanHQ qui, depuis 25 ans, se spécialise dans la sécurité du courrier électronique et du Web.
Contrairement à Microsoft, nous nous focalisons tout particulièrement sur la sécurité. Nous travaillons quotidiennement avec plus de 2000 ESN dans le monde entier. Nous protégeons vos clients contre les logiciels malveillants, les ransomwares, le phishing, les virus, les botnets et autres cybermenaces. Et sachez que beaucoup de nos clients utilisent Office365.
Nos produits ont été construits à partir de la base, avec des ESN et pour les ESN. Nous économisons le temps de support et d’ingénierie des ESN en évitant les problèmes à la source, tout en fournissant des produits fiables que vous pourrez vendre dans votre pile technologique pour générer des marges.
Contactez-nous dès aujourd’hui pour savoir comment les ESN comme vous peuvent augmenter leurs marges avec Office 365 business.
Les utilisateurs occasionnels d’Internet remarquent rarement qu’il y a deux options pour débuter une URL. Il s’agit des fameux protocoles HTTP et HTTPS qui sont largement utilisés pour envoyer et recevoir des informations sur le web.
Que vous soyez un professionnel qui dispose déjà d’une certaine connaissance sur la signification et l’utilité de ces acronymes ; ou que vous soyez un simple utilisateur du web très enthousiaste à l’idée de savoir comment ils fonctionnent exactement, ce dossier spécial pourrait élargir vos horizons.
HTTP et HTTPS : quelle différence entre ces deux protocoles ?
Pour faire simple, lorsqu’une URL commence par HTTP, cela signifie qu’aucun chiffrement des données n’est mis en œuvre. Dans ce cas, l’URL utilise le protocole de transfert hypertexte ou « HyperText Transfer Protocol ». Il s’agit d’une norme créée par Tim Berners-Lee dans les années 1990, à l’époque où Internet n’était encore qu’à ses balbutiements. Le protocole HTTP permet aux navigateurs et aux serveurs web de communiquer via l’échange de données.
HTTP est également appelé « protocole sans état », ce qui signifie qu’il permet une connexion à la demande. Lorsque vous cliquez sur un lien qui demande une connexion, votre navigateur web envoie cette requête au serveur qui, à son tour, va répondre en ouvrant la page en question. Plus votre connexion est rapide, plus les données vous sont présentées rapidement.
Ce protocole se concentre uniquement sur la présentation des informations. Comme il se soucie moins de la manière dont ces informations transitent d’un endroit à l’autre, cela peut poser problème, car le protocole HTTP peut être intercepté et potentiellement modifié. Ceci rend vulnérables les informations ainsi que l’internaute qui cherche à consulter la page web demandée.
HTTPS n’est pas le contraire de HTTP. Comme vous pouvez le constater, il s’agit plutôt de son petit cousin qui fait aussi référence au « protocole de transfert hypertexte » pour permettre aux informations demandées sur le web d’être présentées sur votre écran. Néanmoins, HTTPS présente une légère différence, mais très importante : il est plus avancé et beaucoup plus sûr que HTTP.
Si cela vous semble un peu flou, on peut dire simplement que HTTPS est une extension de HTTP. Le « S » à la fin de l’acronyme vient du mot « Secure ». Ce qui caractérise ce protocole est qu’il est alimenté par la technologie de sécurité TLS (« Transport Layer Security ») qui établit une connexion chiffrée entre un serveur web et votre navigateur. Si l’URL que vous consultez n’utilise pas le protocole HTTPS, toutes les données que vous saisissez sur le site (nom d’utilisateur, mot de passe, numéro de carte de crédit, coordonnées bancaires, etc.) seront donc envoyées en clair et seront susceptibles d’être écoutées ou interceptées par des pirates informatiques.
Tous les filtres web ne peuvent pas bloquer les sites internet en HTTP. Par exemple, certains peuvent bloquer HTTP://facebook.com, mais pas HTTPs://facebook.com. Cela permet aux utilisateurs de contourner facilement le filtre, ce qui se traduit par une perte de temps et des risques accrus pour les entreprises.
Des sites populaires, dont Facebook, YouTube et LinkedIn, ont récemment adopté la norme HTTPS. C’est une bonne nouvelle pour la sécurité. Mais c’est aussi une mauvaise nouvelle pour les entreprises utilisant une solution de filtrage web qui n’est pas capable de bloquer les sites en HTTPS, ou celles qui doivent acheter un composant supplémentaire pour ce faire.
Voici pourquoi vous devriez utiliser un filtre web HTTPS
Chaque organisation doit pouvoir autoriser ou bloquer les sites en HTTPS.
Voici les raisons :
1. Augmenter la productivité
Par le passé, l’extension HTTPS était utilisée pour les transactions en ligne, les opérations bancaires et bien d’autres sessions sensibles. De nos jours, même les sites web qui ne traitent pas des données sensibles adoptent cette extension.
Les sites de réseaux sociaux comme Facebook, Twitter, YouTube sont souvent bloqués par les entreprises pour certains employés, mais ces sites utilisent maintenant HTTPS par défaut.
Pour une petite entreprise, avoir un filtre web capable de bloquer HTTPS est donc le moyen le plus pratique d’éviter de perdre du temps sur ces sites.
2. Bloquer les sites web dangereux
Il existe des millions de sites web à risque sur Internet. Ils ont généralement des antécédents en termes de transmission de logiciels malveillants ou de fraudes en ligne. Des techniques telles que l’usurpation d’adresse (spoofing) ; les attaques « drive by download » ; le vol de session (session hijacking) et d’autres tactiques peuvent infecter un PC d’utilisateur avec des logiciels malveillants.
À noter que ces techniques fonctionnent sur les sites en HTTP et en HTTPS. Le filtre HTTPS peut donc aider les entreprises à se protéger contre ces dangers.
3. Bloquer le contenu offensant d’un site web
Les sites web contenant des contenus inappropriés sont courants sur le Web. Ces sites peuvent également utiliser HTTPS.
La seule façon pour une organisation de se protéger de ces contenus offensants est d’utiliser un filtre web qui peut gérer à la fois les sites en HTTP et en HTTPS.
4. Conformité
De nombreuses industries sont tenues d’améliorer la sécurité de leurs réseaux. Certaines normes, comme la « Children’s Internet Protection Act » (CIPA), exigent que les organisations filtrent les contenus Web.
Toute industrie qui a besoin d’un filtrage HTTP est presque certaine d’avoir aussi besoin d’un filtrage HTTPS, pour les raisons décrites ci-dessus.
Ce qu’il faut savoir avant de passer à HTTPS
Maintenant que vous avez compris les avantages d’utiliser le protocole HTTPS, il est temps de comprendre comment passer réellement du HTTP au HTTPS. En fait, ce processus peut nécessiter un certain nombre d’étapes, mais en général, il n’est pas si difficile puisqu’il s’agit d’un processus à sens unique. Attention toutefois, car de nombreuses personnes s’égarent pendant la migration, probablement à cause du grand nombre d’options qui leur sont proposées.
Voici donc ces quatre étapes :
1. Achetez un certificat SSL auprès d’une autorité de certification de confiance
Un certificat SSL est un fichier de données liant une clé cryptographique aux informations de votre organisation. Il est préférable de l’acheter directement auprès de votre société d’hébergement.
2. Installez le certificat SSL sur votre compte d’hébergement de votre site
C’est l’autorité de certification de confiance qui va s’assurer que le certificat SSL est activé et installé correctement sur votre serveur. Demandez à votre société d’hébergement de l’installer et, si vous l’avez acheté auprès d’une tierce partie, il faudra importer le certificat dans l’environnement d’hébergement. Sans assistance, cette opération peut s’avérer assez délicate.
3. Assurez-vous que les liens internes sont désormais en HTTPS
Avant de procéder à la conversion, vous devez vérifier que chaque lien interne de votre site web comporte l’URL HTTPS appropriée. Cette vérification est importante, car si vous mettez en ligne de liens qui mélangent HTTP et HTTPS, cela va perturber les lecteurs et aura un impact sur le référencement de votre site, voire entraîner le chargement incorrect de certaines fonctionnalités de la page.
4. Configurez des redirections 301 pour informer les moteurs de recherche
Si vos utilisez un site CMS, vous pouvez rediriger automatiquement tout le trafic du serveur vers le nouveau protocole HTTPS grâce à un plug-in. Si ce n’est pas le cas, votre site web devra être mis à jour manuellement. Les redirections 301 ont pour rôle d’alerter les moteurs de recherche que votre site a fait l’objet d’une petite modification et qu’ils devront l’indexer selon le nouveau protocole HTTPS. Ce faisant, les utilisateurs qui avaient déjà ajouté votre site à leurs favoris sous l’ancien protocole HTTP seront dirigés vers la nouvelle URL sécurisée.
Cela vous semble compliqué ?
Vous vous êtes peut-être demandé s’il est possible de faire vous-même la migration de votre site HTTP en HTTPS. En réalité, vous pouvez vous en sortir, même sans l’intervention d’un spécialiste, surtout si votre site Internet est encore à ses débuts. Mais si votre plate-forme en ligne est complexe et contient une importante quantité de contenus, vous aurez intérêt de faire recours à un spécialiste, notamment si vous n’êtes pas familier avec la manipulation des différents éléments qui composent votre site web. Ces actions peuvent même endommager votre site.
Heureusement, il existe actuellement de nombreuses sociétés spécialisées qui proposent des certificats SSL. Ces spécialistes de l’hébergement de sites web font eux-mêmes le gros du travail, c’est-à-dire les trois premières des quatre étapes susmentionnées. Il vous suffit de communiquer à vos visiteurs la nouvelle adresse de votre plate-forme en ligne. Bien entendu, cela peut vous coûter quelques euros supplémentaires.
Est-ce que tout repose sur le protocole TLS ?
TLS (Transport Layer Security) est un élément essentiel de l’infrastructure informatique. Et lorsque les sites web en HTTP l’utilisent pour sécuriser les communications entre leurs serveurs et leurs navigateurs web, on obtient donc l’extension HTTPS.
Essayez de penser de la manière suivante, le processus de migration de HTTP vers HTTPS est l’équivalent d’une destination. Le protocole SSL, quant à lui, est l’équivalent d’un trajet. Si le premier se charge d’acheminer les informations jusqu’à votre écran, le second gère la façon dont elles y arrivent. Lorsque ces deux protocoles travaillent conjointement, ils permettent de déplacer les données de manière sûre.
TLS est également très utilisé pour sécuriser d’autres protocoles :
SMTP (Simple Mail Transfer Protocol) peut par exemple utiliser TLS pour accéder aux certificats afin de vérifier l’identité des terminaux. Les fournisseurs ont créé des VPN basés sur TLS, tels qu’OpenVPN et OpenConnect. De tels VPNs ont des avantages pour le pare-feu et permettent aux datagrammes IPsec de traverser un réseau utilisant la technologie NAT par rapport aux VPNs IPsec traditionnels.
TLS est une méthode standard pour protéger la signalisation de l’application SIP (Session Initiation Protocol). TLS/SSL n’est pas la valeur par défaut sur de nombreux sites web ou parties de sites web. Une étude réalisée en 2014 sur un million de sites web a montré qu’environ 450 000 seulement prenaient en charge TLS, par opposition à l’ancien SSL (source : HTTPs://jve.linuxwall.info/blog/index.php?post/TLS_Survey).
En fait, les sites web en TLS/SSL sont le plus souvent très différents de leurs homologues non sécurisés. Par exemple, la version sécurisée par TLS de HTTP://en.wikipedia.org/wiki/ est HTTPs://secure.wikimedia.org/wikipedia/en/wiki. Autrement dit, il ne suffit pas de remplacer HTTP:// par HTTPs:// pour mieux sécuriser le site.
C’est pourquoi l’Electronic Frontier Foundation a proposé l’extension HTTPS Everywhere pour les navigateurs. Le module complémentaire active les fonctions de sécurité TLS si elles sont présentes sur les sites web concernés, mais il ne peut pas les créer si elles n’existent pas encore.
Les vulnérabilités du protocole TLS
Lorsque le Trustwortworthy Internet Movement, une organisation à but non lucratif, a analysé les vulnérabilités SSL sur les 20 000 sites web les plus populaires au monde, elle a signalé en janvier 2016 que 64 % des sites sondés présentaient une sécurité insuffisante.
Il convient de noter que SSL n’est pas sûr. À partir de 2014, la version de SSL 3.0 a été considérée comme non sécurisée, car elle est vulnérable à l’attaque Poodle qui affecte tous les chiffrements par blocs SSL.
L’implémentation de SSL 3.0 de RC4, le seul chiffrement non bloqué pris en charge, peut être cassée. Le protocole TLS a été donc révisé à plusieurs reprises pour tenir compte des vulnérabilités en matière de sécurité. Mais comme pour tout logiciel non corrigé, l’utilisation d’anciennes versions peut conduire à l’exploitation des vulnérabilités ayant déjà été corrigées.
TLS peut être transmis en utilisant le protocole TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Même si TCP possède des fonctionnalités plus sécurisées qu’UDP, dans les deux cas, les transmissions TLS peuvent encore être compromises par certaines vulnérabilités. Idem pour la cryptographie à clé publique, le chiffrement et l’échange de clefs.
TLS a été intégré dans de nombreux progiciels utilisant des bibliothèques « open source ». Selon un article présenté à la conférence de l’Association for Computing Machinery en 2012 sur la sécurité informatique et des communications, peu d’applications utilisaient correctement certaines de ces bibliothèques SSL, ce qui renforce les vulnérabilités.
Le bug Heartbleed a par exemple affecté un composant d’OpenSSL, une bibliothèque « open source » qui était largement utilisée pour l’implémentation de protocoles de sécurisation des échanges SSL. Cet incident a permis aux cybercriminels de voler les clés privées des serveurs, ce qui a affecté environ un demi-million de sites web.
Le point le plus faible d’une connexion SSL/TLS est l’échange de clés. Si l’algorithme est déjà connu de l’attaquant et que la clé publique du serveur a été compromise, en théorie, ce système est ouvert aux attaques « Man in The Middle ». L’attaquant serait alors en mesure de surveiller le client subrepticement.
HTTPS réserve un seul port (TCP 443) pour l’échange de clés. Ainsi, les attaques « Distributed denial-of-service », lesquelles sont très évoluées, doivent inonder ce seul port afin de paralyser le réseau d’une organisation.
La Trustworthy Internet Movement a signalé que 91 % des sites web étaient vulnérables à l’attaque « Beast », lors de laquelle un attaquant peut utiliser les caractéristiques de données chiffrées pour deviner leur contenu.
Certains sites web prennent en charge les SSL/TLS plus anciens pour une compatibilité ascendante, c’est-à-dire la compatibilité d’un protocole vis-à-vis des versions plus récentes. En juin 2016, ladite organisation a estimé que 26 % des sites web proposent le « protocol fallback », une solution de recours destinée à prévenir la défaillance totale d’un système.
Mais cela peut être une opportunité pour des attaques « protocol downgrade » telles que Drown. Cette attaque permet par exemple de récupérer la clef d’une session TLS et de déchiffrer la communication interceptée, ce qui peut affecter OpenSSL.
Tous les détails de Drown ont été annoncés en mars 2016, ainsi qu’un patch pour le kit d’exploitation. À l’époque, sur un million de sites les plus populaires, 81 000 faisaient partie des sites protégés par le TLS et étaient vulnérables à l’attaque Drown.
Alors, les protocoles TLS et SSL sont-ils sécurisés ?
Si votre organisation utilise exclusivement la version TLS la plus récente et tire parti de toutes les fonctions de sécurité de ce protocole, vous avez une longueur d’avance en termes de sécurité informatique.
Afin de protéger votre entreprise contre les malwares dissimulés sous une couche de SSL, vous avez toutefois besoin d’un filtre web ou d’une passerelle web capable d’intercepter et de déchiffrer le trafic SSL. Cette solution est relativement simple à mettre en place.
Le filtre web crée une connexion sécurisée entre le navigateur client et le filtre, puis déchiffre le trafic SSL sur lequel le trafic est analysé.
Une fois examiné, le trafic est à nouveau chiffré et une autre connexion sécurisée est créée entre le filtre web et le serveur web. Cela signifie que le filtre web agit effectivement comme un serveur proxy SSL et peut donc intercepter la connexion SSL tout en inspectant le contenu.
Google Chrome pourrait étiqueter tous les sites en HTTP comme non sécurisés
Google a annoncé que son navigateur, Google Chrome, adoptera une mesure plus rigoureuse quant au chiffrement web, marquant les sites qui n’utilisent pas l’extension HTTPS comme non sécurisée.
Cette règle prendra effet à partir de janvier et s’appliquera à tout site qui demande un mot de passe ou de renseignements via une carte de crédit. À terme, Chrome étiquettera tous les sites HTTP comme non sécurisés.
Le filtrage Web pour HTTPS comme standard
Les solutions de filtrage WebTitan analysent le trafic chiffré de façon plus facile et abordable. La possibilité d’analyser le trafic HTTPS – par exemple le courrier web et la plupart des réseaux sociaux – est une épine dans le pied de nombreuses entreprises qui utilisent un filtre web ; qui ne peuvent pas bloquer les extensions HTTPS ou qui nécessitent l’achat d’un composant supplémentaire pour ce faire. Le coût et les inconvénients peuvent être considérables.
WebTitan peut vous fournir une couche supplémentaire de contrôle granulaire pour le filtrage HTTP et HTTPS avec intégration Active Directory. L’inspection SSL permet à WebTitan de traiter le trafic HTTPS chiffré.
En termes simples, HTTPS est un protocole SSL superposé sur HTTP. Il parvient à sécuriser le réseau en inspectant le contenu du trafic HTTPS, puis en réalisant un déchiffrement et un rechiffrement de ce trafic.
Avec WebTitan, le filtrage web pour HTTPS est inclus en standard. Ceci comprend toutes les fonctions de sécurité que nous offrons, ainsi qu’un support technique gratuit.
Que faut il faut retenir ?
Il existe de nombreuses raisons pour lesquelles vous souhaitez rendre votre site sécurisé. D’une part, vous voulez peut-être protéger vos informations sensibles et, d’autre part, vous voulez vous assurer que les internautes soient à l’aise lorsqu’ils naviguent sur votre site. Qu’à cela ne tienne, vous devez donc songer à vos passer du protocole HTTP et migrer vers HTTPS. Le plus dans tout cela est que, lorsque vous allez opter pour cette solution, vous allez constater son impact sur votre référencement.
Alors, si vous n’avez pas encore basculé votre site Internet en HTTPS, il est peut-être temps de le faire, même s’il y a un certain nombre d’étapes que vous devrez franchir. Comme HTTPS est désormais devenu le protocole standard, l’effort qu’il faudra fournir pour mener à bien la migration vaut bien le résultat. Plus vous hésitez, plus votre site risque de présenter des failles et d’être distancé par ses sites concurrents.
N’oubliez pas que, même si vous avez déjà adopté le protocole HTTPS, ce n’est qu’un début pour renforcer la sécurité et le référencement de votre site. Vous pouvez aussi donner à votre organisation une sécurité sans compromis avec WebTitan.
FAQs
Quelle est exactement la différence entre HTTP et HTTPS ?
Techniquement, il n’y a aucune différence, car le protocole qu’ils utilisent est le même. En d’autres termes, la syntaxe est identique pour ces deux variantes. Ce qui les différencie, c’est que le HTTPS utilise un protocole de transport particulier, plus précisément le protocole SSL/TLS. Ce n’est donc pas le protocole qui doit être remis en question, mais son mode de transport sécurisé de façon supplémentaire.
Mais pourquoi utiliser le protocole HTTP ?
HTTP est un protocole dédié à vous permettre de créer des connexions à la demande. Plus votre connexion est rapide, plus la page demandée s’affiche rapidement. Le fait est que ce protocole ne se soucie pas de la façon dont les informations sont transmises d’un endroit à un autre. Elles peuvent donc être interceptées, et éventuellement détournées, par des pirates informatiques.
Comment le protocole HTTPS est-il sécurisé ?
En gros, le « S » à la fin du protocole est une extension qui signifie « Secure » ou « sécurisé », car il fonctionne grâce au protocole TLS ou « Transport Layer Security », le successeur du protocole SSL ou « Secure Sockets Layer ». C’est actuellement la technologie de sécurité standard qui permet d’établir une connexion chiffrée entre un navigateur et un serveur web.
Pourquoi utiliser une connexion chiffrée ?
L’ajout d’un certificat SSL permet de sécuriser les données à l’aide d’un chiffrement. Ainsi, même si les cybercriminels parviennent à intercepter vos informations, il leur sera très difficile de les déchiffrer.
Mon site utilise encore le protocole HTTP, comment passer à HTTPS ?
Pour sécuriser le site web de votre entreprise avec le protocole HTTPS, il suffit de contacter votre hébergeur. Il va émettre et installer un certificat SSL afin de rediriger votre trafic vers la version HTTPS.
Une brèche dans les données d’Edmodo a été signalée, qui a touché des dizaines de millions d’utilisateurs de la plateforme éducative, y compris des enseignants, des élèves et des parents.
Sur le site web d’Edmodo, on peut lire : « Grâce à ceux qui nous ont guidés et soutenus au début de notre projet, nous sommes actuellement le premier réseau mondial d’apprentissag, dédié à la mise en relation de tous les apprenants avec les personnes et les ressources dont ils ont besoin pour atteindre leur plein potentiel ».
Edmodo est une plateforme utilisée pour la planification des leçons, les devoirs à la maison et pour accéder aux notes et aux bulletins scolaires. Le but est de soutenir l’apprentissage, en permettant aux enseignants, aux élèves et aux parents d’accéder aux devoirs et aux plans d’apprentissage. Il y a actuellement plus de 78 millions d’utilisateurs enregistrés de la plate-forme.
Le pirate responsable de l’atteinte à la protection des données d’Edmodo affirme avoir volé les identifiants de 77 millions d’utilisateurs. La plate-forme d’éducation en ligne populaire a envoyé un e-mail à ses utilisateurs, confirmant qu’elle a subi une faille de sécurité.
L’e-mail d’Edmodo suite à la fuite de données
Dans un e-mail, la plate-forme a annoncé que « les données sensibles concernant les utilisateurs ont été acquises par un tiers non autorisé. Les mots de passe étaient chiffrés à l’aide d’un algorithme fort et robuste, et la plateforme était contrainte d’ajouter une couche supplémentaire de sécurité. Nous recommandons fortement les utilisateurs de réinitialiser leurs mots de passe dès que possible. Bien que le risque de chiffrement des mots de passe soit relativement faible (à moins que vous n’ayez utilisé un mot de passe particulièrement mauvais), nous recommandons également aux utilisateurs de changer les mots de passe qu’ils utilisent sur d’autres sites, au cas où ils commettraient l’erreur classique de réutiliser le même mot de passe. »
Bien entendu, aucune organisation n’aime annoncer une telle nouvelle, à savoir qu’elle a perdu des données concernant ses utilisateurs.
Du moment que les mots de passe sont tombés entre les mains des personnes aux intentions malveillantes, que ce soit en ligne ou non, c’est toujours une mauvaise nouvelle, car les fraudeurs peuvent maintenant exploiter la brèche et envoyer des e-mails de phishing ou lancer d’autres arnaques aux utilisateurs d’Edmodo.
Au moment d’écrire ces lignes, je n’ai trouvé aucune mention de la brèche de sécurité sur le compte Twitter d’Edmodo ou sur son site web. Ce n’est certainement pas une note de passage à mes yeux.
La demande a été partiellement vérifiée par Motherboard, qui a reçu un échantillon de 2 millions d’enregistrements qui ont été utilisés à des fins de vérification. Bien que l’ensemble des 77 millions d’enregistrements n’ait pas été vérifié, il semblerait que la demande soit authentique.
Quels détails ont été piratés ?
Il s’agit d’un cas classique de piratage informatique qui tente d’obtenir des informations sensibles en vue de les exploiter sur le dark web pour un profit important. 11,7 Go de données volées, incluant :
Des noms d’utilisateur,
Des adresses e-mail,
Des mots de passe hachés.
Le darkweb est essentiellement une plateforme de vente en ligne utilisée par les pirates informatiques, où ils vendent des informations privées et confidentielles dans le but d’extorquer de l’argent ou d’accéder à d’autres informations privées.
Le pirate, nclay, a listé les données à vendre sur le marché darknet Hansa et a demandé à être payé 900 euros pour la liste complète. Les données comprennent les noms d’utilisateur, les mots de passe hachés et les adresses e-mail. Les adresses e-mail d’environ 40 millions d’utilisateurs auraient été obtenues par le pirate.
Les mots de passe ont été chiffrés à l’aide de l’algorithme bcrypt. Bien qu’il soit possible que les mots de passe puissent être décryptés, le processus serait long et difficile. Les utilisateurs d’Edmodo ont donc eu un peu de temps pour réinitialiser leurs mots de passe et sécuriser leurs comptes.
L’atteinte à la protection des données d’Edmodo fait actuellement l’objet d’une enquête et des experts en cybersécurité ont été engagés par des tiers pour effectuer une analyse complète afin de déterminer comment l’accès à son système a été obtenu. Tous les utilisateurs de la plate-forme ont reçu un courriel leur demandant de réinitialiser leur mot de passe.
Edmodo a reconnu la brèche
Edmodo a déclaré : « Nous avons immédiatement commencé à enquêter sur la façon dont cet incident s’est produit. Nous avons fait appel aux services d’experts externes en matière de cybercriminalités et nous avons signalé l’incident aux services de police. »
L’entreprise a souligné le fait que leurs mots de passe ont été « hachés », ce qui les rend plus difficiles à déchiffrer. Elle a également rapporté avoir trouvé des preuves sur le dark web que les données confidentielles obtenues par les pirates suite à cette attaque étaient vendues illégalement. Elle a trouvé un utilisateur anonyme qui vendait l’accès à la base de données pour plus de 1000 euros.
Edmodo n’a sans doute pas réussi à protéger les droits de protection des données de ses utilisateurs. Ce qui est encore plus inquiétant, c’est la plupart d’entre eux sont des enfants.
Même si l’accès aux comptes ne peut être obtenu, 40 millions d’adresses électroniques seraient précieuses pour les spammeurs. Les utilisateurs de la plate-forme sont susceptibles d’être confrontés à un risque élevé de phishing et d’autres e-mails non sollicités, si nclay trouve un acheteur pour les données volées.
Ce n’est pas la seule atteinte à la protection des données à grande échelle qui touche le secteur de l’éducation cette année. Schoolzilla, un service d’entreposage de données pour les écoles de la maternelle à la 12e année, a également été victime d’une importante cyberattaque cette année.
La fuite de données a été découverte en avril 2017 et on croit qu’elle a entraîné le vol de 1,3 million de données d’étudiants. Dans le cas de Schoolzilla, le pirate a profité d’une erreur de configuration du fichier de sauvegarde.
Cette affaire est toujours en cours et elle fait l’objet d’une enquête par les forces de l’ordre.
En 2016, Starbucks a accepté de filtrer la pornographie de ses réseaux WiFi, mais deux ans plus tard, aucun filtre WiFi n’avait encore été appliqué en dehors du Royaume-Uni.
La promesse de 2016 a été faite en réponse aux pressions exercées par le public pour qu’il prenne des mesures afin d’empêcher les clients d’abuser de son réseau WiFi gratuit pour regarder de la pornographie. Bien que Starbucks ait une politique d’utilisation et interdise le visionnement de pornographie sur son réseau WiFi, il n’y avait aucun contrôle en place pour empêcher les clients d’accéder à ce contenu.
La campagne pour un filtre WiFi Starbucks a été menée par le groupe de sécurité Internet Enough is Enough. En 2016, dans le cadre de sa Campagne Porn Free WiFi (rebaptisée depuis Campagne SAFE WiFi), le groupe a intensifié ses efforts pour convaincre les grandes entreprises de prendre les devants et de mettre en place une technologie de filtrage pour appliquer des politiques acceptables d’utilisation d’Internet sur leurs réseaux WiFi gratuits. McDonalds et Starbucks sont deux de ces marques qui ont fait l’objet d’une pétition du groupe – une coalition de 75 organisations partenaires.
Plus de 50 000 pétitions ont été envoyées à Starbucks et McDonald’s en 2016 et, en réponse, tous deux ont accepté de commencer à filtrer le contenu pornographique sur leurs réseaux WiFi. Bien que McDonald’s ait agi rapidement et commencé à bloquer le contenu pour adultes, le filtre WiFi Starbucks ne s’est pas matérialisé. La chaîne de cafés a mis en place un filtre WiFi dans ses succursales au Royaume-Uni, mais le filtre WiFi Starbucks n’a pas été déployé dans d’autres pays.
Depuis que McDonalds a pris les devants et créé un réseau WiFi gratuit et convivial pour toute la famille, Chick-fil-A a emboîté le pas et a mis en place un filtre WiFi dans ses 2 200 restaurants, tout comme de nombreuses autres chaînes de restaurants et cafés. Cependant, deux ans plus tard, Starbucks n’a pas tenu sa promesse. L’absence apparente de mesures incitatives est suffisante pour que la chaîne de cafés lance un nouvel appel à l’action.
Enough is Enough appelle Starbucks à déployer un filtre WiFi
« Starbucks a eu l’occasion extraordinaire de faire de son mieux pour protéger ses clients contre les images jugées obscènes et illégales en vertu de la loi, mais elle n’a pas bougé, malgré sa promesse faite il y a deux ans et malgré le fait qu’elle filtre volontairement ce même contenu au Royaume-Uni, a déclaré Donna Rice Hughes, présidente et directrice générale d’Enough is Enough. « En brisant son engagement, Starbucks garde les portes grandes ouvertes pour que les délinquants sexuels reconnus coupables et d’autres personnes puissent passer inaperçus aux yeux des forces de l’ordre et utiliser des services WiFi publics gratuits pour accéder à la pornographie juvénile illégale et à la pornographie dure « .
Malgré cette promesse, peu de nouvelles ont été publiées sur le front du filtre WiFi Starbucks. « Jusqu’à présent, aucune mesure n’a été prise pour laisser entendre que Starbucks a donnerait suite à son engagement public. Depuis 2016, EIE a tenté à plusieurs reprises de joindre les dirigeants de Starbucks par téléphone, par courriel et par courrier certifié. Starbucks n’a pas réagi, à l’exception d’une lettre type des relations avec la clientèle, a expliqué Donna Rice Hughes le 26 novembre 2018.
Enough is Enough a demandé au public de pétitionner une fois de plus Starbucks et d’exiger qu’une solution de filtrage WiFi soit appliquée pour empêcher les clients d’accéder à des contenus inappropriés dans ses cafés.
Starbucks a maintenant confirmé à Business Insider avoir pris des mesures et évalué les solutions de filtrage WiFi afin de déterminer si elles pouvaient être appliquées pour bloquer l’accès à la pornographie sans bloquer par inadvertance d’autres types de contenu. Une solution a enfin été choisie et sera déployée en 2019.
Le filtrage WiFi simplifié avec WebTitan Cloud pour WiFi
Alors que les filtres web ont été critiqués dans le passé pour avoir surbloqué le contenu web, aujourd’hui, des filtres web comme WebTitan Cloud for WiFi de TitanHQ permettent un contrôle fin du contenu Internet grâce à des contrôles très granulaires. Bloquer l’accès à la pornographie, ou à toute autre catégorie de contenu Internet, ne nécessite que quelques clics de souris.
WebTitan Cloud pour WiFi comprend 53 catégories prédéfinies de contenu Internet qui peuvent être filtrées en quelques secondes une fois la solution implémentée. L’implémentation de WebTitan Cloud for WiFi, la configuration du filtre et la protection des clients (et des employés) ne prennent que quelques minutes. Aucun achat de matériel n’est requis et aucun téléchargement de logiciel n’est nécessaire. Il suffit de changer le DNS pour pointer vers WebTitan et les contrôles peuvent facilement être appliqués.
En plus de bloquer la pornographie, les contenus illégaux tels que la pornographie enfantine et les téléchargements de fichiers violant les droits d’auteur via des sites de partage de fichiers P2P et être bloqués. Les utilisateurs WiFi seront également protégés contre les sites malveillants qui téléchargent des logiciels malveillants, des sites web de phishing et d’autres menaces sur le web.
WebTitan Cloud for WiFi est hautement évolutif et peut être utilisé pour protéger plusieurs points d’accès WiFi, où qu’ils se trouvent, grâce à une interface web facile à utiliser. Avec WebTitan Cloud pour WiFi, filtrer Internet et protéger les clients n’a jamais été aussi simple.
Si vous exploitez une entreprise et que vous offrez à vos clients un accès WiFi gratuit et non filtré, c’est le moment idéal pour faire un changement et envoyer un message à vos clients que vous menez la lutte contre la pornographie en ligne et prenez des mesures pour protéger vos clients en créant un environnement WiFi convivial.
Contactez TitanHQ dès aujourd’hui pour plus d’informations, pour réserver une démonstration de produit, ou pour vous inscrire à un essai gratuit de WebTitan Cloud for WiFi.
Les fournisseurs de services qui souhaitent commencer à offrir le filtrage WiFi à leurs clients doivent contacter l’équipe du programme ESN de TitanHQ pour savoir comment WebTitan (et d’autres produits TitanHQ) peuvent être intégrés dans leurs piles de sécurité.
Le malware Xbash est l’une des nombreuses nouvelles menaces de logiciels malveillants qui ont été détectées au cours des dernières semaines et qui intègrent les propriétés de cryptage de fichiers des ransomwares avec la fonctionnalité de minage de cryptomonnaires de certains logiciels malveillants.
Cette année, plusieurs sociétés de cybersécurité et de renseignements sur les menaces ont signalé que les attaques de rançon ont plafonné ou sont en déclin. Les attaques de ransomwares sont toujours rentables, bien qu’il soit possible de gagner plus d’argent grâce au minage de cryptomonnaies.
Le récent rapport d’Europol sur les menaces liées à la criminalité organisée sur Internet, publié récemment, note que le détournement par cryptage est une nouvelle tendance de la cybercriminalité et constitue désormais une source de revenus régulière et à faible risque pour les cybercriminels, mais que « les logiciels rançon restent la principale menace des logiciels malveillants ». Europol note dans son rapport que le nombre d’attaques aléatoires par courrier électronique non sollicité a diminué, alors que les cybercriminels se concentrent sur les entreprises où les profits sont les plus importants. Ces attaques sont très ciblées.
Une autre tendance émergente offre aux cybercriminels le meilleur des deux mondes – l’utilisation de logiciels malveillants polyvalents qui ont les propriétés à la fois des ransomwares et des mineurs de cryptomonnaie. Ces variantes très polyvalentes de malwares offrent aux cybercriminels la possibilité d’obtenir des paiements de rançon ainsi que la possibilité de miner de la cryptomonnaie. Si le logiciel malveillant est installé sur un système qui n’est pas parfaitement adapté à l’extraction de cryptomonnaie, la fonction ransomware est activée et vice versa.
Le malware Xbash est l’une de ces menaces, bien qu’avec une mise en garde majeure. Le malware Xbash n’a pas la capacité de restaurer les fichiers. A cet égard, il est plus proche de NotPetya que de Cerber. Comme c’était le cas avec NotPetya, les logiciels malveillants Xbash se déguisent en rançon et demandent un paiement pour restaurer les fichiers – Actuellement 0.2 BTC ($127). Le paiement de la rançon n’entraînera pas la fourniture de clés pour déverrouiller les fichiers chiffrés, car les fichiers ne sont pas vraiment chiffrés. Le malware supprime simplement les bases de données MySQL, PostgreSQL et MongoDB. Cette fonction est activée si le malware est installé sur un système Linux. S’il est installé sur des périphériques Windows, la fonction de cryptojacking est activée.
Xbash a également la capacité de se propager lui-même. Une fois installé sur un système Windows, il se répandra sur le réseau en exploitant les vulnérabilités des services Hadoop, ActiveMQ et Redis.
Les logiciels malveillants Xbash sont écrits en Python et compilés dans un format exécutable portable (PE) en utilisant PyInstaller. Le logiciel malveillant exécutera sa routine de chiffrement/suppression de fichiers sur les systèmes Linux et utilisera JavaScript ou VBScript pour télécharger et exécuter un coinminer sur les systèmes Windows. L’Unité42 de Palo Alto Networks a attribué le malware à un groupe de menaces connu sous le nom d’Iron Group, qui a déjà été associé à des attaques par rançon de logiciels.
Actuellement, l’infection se produit par l’exploitation de vulnérabilités non corrigées et des attaques par force brute sur des systèmes dont les mots de passe et les services non protégés sont faibles. La protection contre cette menace nécessite l’utilisation de mots de passe forts et uniques sans défaut, de correctifs rapides et de solutions de sécurité des terminaux. Bloquer l’accès à des hôtes inconnus sur Internet empêchera la communication avec son C2 s’il est installé, et il est naturellement essentiel que de multiples sauvegardes soient effectuées régulièrement pour assurer que la récupération des fichiers est possible.
Kaspersky Lab a déterminé que le nombre de ces outils d’accès à distance polyvalents a doublé au cours des 18 derniers mois et que leur popularité devrait continuer à augmenter. Ce type de logiciel malveillant polyvalent pourrait bien s’avérer être le logiciel malveillant de choix pour les acteurs de menaces avancées au cours des 12 prochains mois.
