Office 365 dans le cloud présente de grands avantages. Microsoft gère les mises à jour logicielles, ce qui facilite les services de support informatique. Il vous permet aussi de collaborer en temps réel en utilisant des ordinateurs portables ou d’autres appareils mobiles connectés.
Selon le rapport annuel Adalloms sur les risques d’utilisation du cloud : Box, Office 365, Salesforce et Google Apps constituent actuellement les applications les plus utilisées dans le cloud.
L’utilisation du cloud ne cessera de croitre. À titre d’exemple, sachez que les licences pour le prochain logiciel Windows 10 seront octroyées par utilisateur et non par périphérique. Cela encouragera l’utilisation du VDI (Virtual Desktop Infrastructure), grâce auquel votre ordinateur ne résidera plus dans votre bureau, mais dans le cloud.
Mais avouons-le, le transfert d’applications et de données vers le cloud les expose à une plus grande variété de malwares. Voici pourquoi de nombreux clients choisissent actuellement d’implémenter SpamTitan, une solution qui s’adapte parfaitement à Office 365 et qui permet d’améliorer la sécurité informatique, en bloquant efficacement les spams et les malwares.
SpamTitan augmentera la fiabilité de votre système de filtrage antispam pour Office 365. Il est meilleur que les solutions d’Exchange Online Protection (EOP) et d’Advanced Threat Protection (ATP), des solutions de sécurité qui sont aussi disponibles pour les utilisateurs d’Office 365.
Sécurité du courrier électronique pour Office 365
Face à l’augmentation du nombre d’attaques de ransomware et de phishing, Office 365 est devenu une cible de choix pour les professionnels de l’informatique, ce qui les oblige à prendre des mesures proactives en matière de sécurité de la messagerie Office 365 et à protéger leur environnement contre le piratage.
Une étude réalisée en 2016 par Skyhigh Networks a révélé que 71,4 % des utilisateurs d’Office 365 ont au moins un compte compromis chaque mois. L’enquête était réalisée auprès de 600 entreprises et 27 millions d’utilisateurs.
Office 365 est un exemple du succès de l’utilisation du cloud. En effet, il est actuellement l2e service cloud d’entreprise le plus utilisé au monde, avec plus de 70 millions d’utilisateurs actifs.
L’authentification multifacteur
Pour renforcer la sécurité informatique de votre organisation, l’une des solutions les plus faciles à mettre en œuvre – et qui s’avère très efficace – est d’utiliser l’authentification multifacteur.
En réalité, cette solution consiste à faire une vérification en deux étapes. Elle peut être utilisée pour plusieurs comptes, comme avec un compte Microsoft Office 365 ou Google.
Lorsqu’un utilisateur se connecte au réseau d’entreprise, l’authentification multifacteur lui permet de taper un code à partir de son téléphone portable pour accéder à Microsoft 365. De ce fait, les pirates ne pourront prendre le relais que s’ils ont également pris le contrôle du téléphone.
Le chiffrement de messages Office
La solution Microsoft 365 inclut aussi le chiffrement de messages. Grâce à cela, vos employés peuvent recevoir ou envoyer des messages électroniques chiffrés à d’autres collaborateurs ou à d’autres utilisateurs en dehors de votre organisation en toute sécurité
Chiffrer un message électronique avec Outlook consiste à le convertir à partir d’un texte brut lisible en un texte brouillé, difficile à déchiffrer. Seul le destinataire disposant d’une clé privée pourra le faire pour la lecture.
Au cas où le destinataire utiliserait un compte de messagerie Office 365, il va recevoir un message d’alerte et seuls les messages autorisés s’afficheront dans son volet de lecture. Une fois la clé saisie, il pourra donc afficher le message comme n’importe quel autre.
Bien entendu, le destinataire peut aussi utiliser un autre service ou compte de messagerie comme Gmail ou Yahoo. Dans ce cas, il verra un lien qui lui permettra de se connecter pour lire l’e-mail, ou bien demander un code secret à usage unique afin d’afficher le message dans un navigateur web.
Les limites de l’utilisation d’Office 365
Selon Gartner, moins de 10 % des entreprises seulement utilisent les services de messagerie Office 365. Pourtant, elles détiennent 880 du marché des grandes entreprises publiques qui utilisent des services de messagerie dans le cloud.
Office 365 est offert dans plusieurs versions, mais seules les versions Enterprise offrent une sécurité renforcée. Office 365, dispose également d’une passerelle de messagerie qui améliore la sécurité, mais SpamTitan est encore plus efficace pour bloquer les spams.
Ce dernier peut bloquer plus de 999,9 des spams, avec un taux de faux positifs inférieur à 0,03 %. En plus, SpamTitan fournit deux moteurs antivirus, à savoir Kaspersky Lab et Clam AV, qui vous permettent de mieux vous protéger contre les malwares.
Il y a un gros problème avec le fait d’être le gros joueur dans l’espace de messagerie dans le cloud : vous devenez la cible numéro un des pirates informatiques et des cybercriminels. L’ironie du sort est que Microsoft se retrouve actuellement victime de son propre succès, de la même manière qu’il l’a été pour ses systèmes d’exploitation.
Le fait est que, lorsque la plupart des gens utilisent le même système d’exploitation, les pirates préfèrent se concentrer sur ce système, plutôt que de perdre du temps avec les autres.
Filtrage des emails dédié avec SpamTitan
Comme vous le savez, les types d’attaques en ligne évoluent constamment et de nouvelles menaces apparaissent chaque jour.
SpamTitan offre une protection contre celles qui sont les plus courantes. Pour TitanHQ, qui n’est autre que l’éditeur de SpamTitan, le filtrage des emails n’est pas seulement une option de plus sur une longue liste de services : c’est son offre de base.
Les développeurs de SpamTitan se concentrent sur la fourniture d’une solution de filtrage d’e-mail riche en fonctionnalités et granulaire. Les administrateurs peuvent configurer les paramètres pour l’ensemble de l’entreprise, mais ils ont également la possibilité d’affiner les filtres.
Chaque entreprise est différente. C’est une évidence. Les e-mails qu’une entreprise considère comme légitimes peuvent donc être classés comme des spams pour l’autre.
Les fonctionnalités avancées de SpamTitan telles que le filtre Advanced Content Control permettent aux ingénieurs de TitanHQ d’appliquer une règle spécifique à votre flux d’emails. Vous ne voyez donc que les emails que vous avez besoin de voir. Ce niveau de personnalisation n’est pas disponible sur le filtrage standard d’Office 365.
Prévention des pertes de données pour le courrier électronique et les fichiers (data loss prevention)
Seule la version la plus chère d’Office 365, Enterprise E3, offre la prévention des pertes de données pour les emails et les fichiers.
Mais la continuité des affaires est aussi devenue l’une des principales préoccupations des entreprises de toutes tailles. Et l’infrastructure SpamTitan Private Cloud vous permet de le faire, en assurant la sauvegarde de votre serveur de messagerie.
SpamTitan maintient un cluster privé à 2 nœuds pour traiter le courrier électronique : si un nœud tombe en panne, l’autre nœud prend la relève pour permettre de continuer le traitement du courrier. De plus, chaque nœud se trouve dans un centre de données différent, ce qui offre une sauvegarde optimale.
Par ailleurs, SpamTitan Private Cloud utilise Simple Authentication and Security Layer (SASL), nécessitant une identification lors de la connexion au réseau, et ce, avant tout échange de données.
Même si vous choisissez de maintenir votre propre serveur de messagerie, SpamTitan vous offre donc deux fonctions garantissant la continuité de votre activité :
Si votre serveur de messagerie privé n’est pas disponible, SpamTitan conserve tous les messages dans une file d’attente différée pendant 5 jours, par défaut. Mais cette valeur peut être augmentée depuis l’interface web. Dès que votre serveur de messagerie reprend ses activités, le courrier est redirigé vers tous les destinataires.
SpamTitan peut aussi stocker des copies d’e-mails « propres » pendant une période définie et permet aux utilisateurs finaux de consulter leurs e-mails via un portail personnel. C’est pratique, notamment si votre serveur de messagerie n’est pas disponible. Ainsi, les utilisateurs finaux ne manqueront aucun e-mail important.
Arnaques de phishing sur Office 365 et Gmail
Vous avez surement déjà entendu parler de la récente escroquerie par phishing de Google Docs qui a affecté plus d’un million d’utilisateurs de Gmail. Cela s’est produit peu de temps après qu’un pirate lituanien a réussi à mener une arnaque de phishing pour voler des millions de dollars à des utilisateurs de ce service de messagerie.
Cette fois, les cybercriminels ont visé les utilisateurs de Google Docs ainsi que la suite bureautique liée à Gmail. L’arnaque s’était répandue très rapidement, causant des dégâts non négligeables.
Les utilisateurs de Gmail ont reçu des emails qui semblaient provenir des contacts de confiance. C’est pour cette raison que la plupart d’entre eux étaient facilement dupés par le message.
L’attaque a touché près d’un milliard d’utilisateurs de Gmail, mais les pirates ne sont pas parvenus à profiter pleinement de la faille que pendant environ une heure. Selon un porte-parole de Google, environ 1 million d’utilisateurs ont été victimes de cette cybercriminalité.
Pour éviter un tel incident, il est essentiel de redoubler de prudence avant d’ouvrir des messages ou de cliquer sur des liens qui arrivent dans votre boite de réception. Le mieux serait de contacter directement – par exemple par téléphone – l’expéditeur.
Pourtant, malgré les séances de sensibilisation des utilisateurs, il a toujours un risque que certains d’entre eux, notamment ceux qui sont peu méfiants, de tomber dans le piège des cybercriminels.
Désormais, la question n’est plus de savoir s’il y aura une autre attaque cybercriminelle d’une telle ampleur, mais de savoir quand va-t-elle se produire.
Il est donc essentiel que vous fassiez tout votre possible pour empêcher des messages malveillants d’atteindre les boîtes de réception de vos employés. Et sachez que SpamTitan a eu 100 % de succès dans la protection de ses utilisateurs contre ce genre de menace.
Comment SpamTitan filtre-t-il les spams et les virus ?
SpamTitan est une solution antispam performante. Elle peut filtrer et mettre en quarantaine les e-mails douteux et les virus. Cet outil peut également rejeter d’office les messages dont l’expéditeur figure sur une liste noire.
Lorsqu’un expéditeur vous envoie un e-mail, qu’il soit sain ou indésirable, SpamTitan va le soumettre à un serveur privé basé dans le Cloud. Puis, l’outil va analyser le message pour sa pertinence. S’il contient une menace connue, le message sera directement retenu sur le serveur de filtrage.
En ce qui concerne l’e-mail sain, il est acheminé sur le réseau par le biais de pare-feux vers des serveurs de messagerie (Mail Server). Enfin, le message sera transmis dans la boîte de réception de son destinataire.
Tous les jours, l’outil SpamTitan génère un rapport qui est envoyé à l’utilisateur, intégrant la liste des mails bloqués. Si besoin, il pourra libérer temporairement un message ou le supprimer s’il est considéré comme malveillant.
Protection avancée contre les attaques du type zero day
Une attaque de type « zero day » peut se produire lorsque l’un de vos employés clique sur une pièce jointe d’e-mail infectée par un malware.
Une fois qu’il a ouvert la pièce jointe, le malware peut exploiter toutes les failles de sécurité qui existent dans son PC ou votre réseau. La seule solution pour éviter une telle attaque est d’anticiper de nouvelles menaces en utilisant la technique de prédiction.
Malheureusement, les fonctionnalités de sécurité de la messagerie électronique d’Office 365 ne correspondent pas à celles de nombreuses applications dédiées sur site et dans le cloud.
La solution idéale pour sécuriser la messagerie électronique est donc une solution qui est capable d’anticiper les nouvelles attaques en utilisant la technologie prédictive.
Les techniques prédictives comprennent l’analyse bayésienne, l’heuristique et l’apprentissage automatique pour bloquer de nouvelles variétés d’e-mails de spear phishing, de whaling et d’autres attaques de type « zero day » avant qu’elles n’atteignent votre boîte aux lettres.
À cela s’ajoutent d’autres fonctionnalités optionnelles comme la protection avancée contre le typosquattage, le chiffrement des e-mails et la protection contre les liens malveillants.
SpamTitan se concentre sur une approche de défense en profondeur, protégeant votre entreprise contre les menaces de malwares, les tentatives de spear phishing et les attaques de type « zero day ».
Prévention des fuites de données
Alors que SpamTitan inclut un système de blocage des spams amélioré ainsi qu’une protection contre les malwares, il protège également votre entreprise contre les virus et les e-mails de phishing.
Mais en plus, il ajoute une couche supplémentaire de protection contre la perte de données, tout en facilitant la gestion de la mise en œuvre d’Office 365 et des règles puissantes qui protègent les fuites de données.
Ainsi, vous ne risquez pas de perdre vos données internes, par exemple, grâce à l’étiquetage des mots clés, des numéros de sécurité sociale, etc.
SpamTitan complète les fonctionnalités d’Office 365
Si votre entreprise a opté pour Office 365 comme solution des e-mails, votre système de messagerie électronique est hébergé dans un centre de données Microsoft et très probablement filtré par le biais de la protection en ligne de l’EOP.
Comme nous venons de l’évoquer, cette solution n’est plus suffisante. Résumons maintenant les principaux avantages de l’utilisation de SpamTitan associée à Office 365 :
Un niveau de protection plus élevé
Un taux de capture de spam plus élevé
Un plus grand niveau de personnalisation/granularité
Un meilleur contrôle du courrier sortant
La continuité des activités.
Malgré les efforts de Microsoft, vous n’êtes pas satisfait du volume de spams détectés par le filtre antispam d’Office 365 ? Alors, pourquoi ne pas profiter d’un essai gratuit de SpamTitan ? Cet essai gratuit vous donne accès à toutes les fonctionnalités de SpamTitan afin que vous puissiez surveiller de façon réaliste ses capacités à détecter et filtrer les spams.
Contactez-nous dès aujourd’hui pour en savoir plus au sujet de TitanHQ, pour connaître vos besoins spécifiques et pour renforcer la sécurité de votre environnement Office 365. Si vous souhaitez obtenir notre guide de configuration de SpamTitan Office365, veuillez également nous contacter et nous vous l’enverrons.
A propos de TitanHQ
TitanHQ a été créé par une équipe d’experts de l’industrie qui dispose de nombreuses années d’expertise dans le développement et le déploiement de produits de sécurité Internet avancés.
Tous nos produits peuvent être utilisés comme éléments clés d’une stratégie de conformité à l’HIPAA (Health Insurance Portability and Accountability Act), une loi qui régit la sécurité des environnements virtuels et le cloud.
** MISE À JOUR 25/09/2018 :
Lisez notre tout nouveau rapport 2018 qui évoque la façon de surmonter les faiblesses de la sécurité du courrier électronique dans O365.
Des recherches récentes menées par Osterman ont montré que le service de filtrage EOP de Microsoft peut détecter 1100 de tous les virus connus avec des mises à jour toutes les 15 minutes. Cependant, la recherche a révélé qu’il était moins efficace contre les malwares inconnus ou nouveaux envoyés par mail. Les administrateurs système qui implémentent Office 365 doivent donc s’assurer qu’il est sécurisé en ajoutant une solution de messagerie sécurisée et de filtrage du spam comme SpamTitan pour se protéger contre les menaces persistantes avancées.
Dans cet article, nous expliquons deux des stratégies les plus importantes à adopter pour se protéger les attaques de phishing et de ransomwares.
S’assurer que les messages malveillants n’atteignent pas les boîtes de réception
L’an dernier, Netwrix a publié un rapport basé sur un sondage qui a montré que 100% des travailleurs IT du gouvernement croyaient que les employés représentaient la plus grande menace à la sécurité informatique. Bien que ces chiffres soient les plus élevés de la plupart des sondages de ce genre, le thème commun à toutes ces recherches est que les employés sont la cause la plus probable d’une atteinte à la protection des données.
L’un des plus importantes menaces est l’attaque par courrier électronique. Une étude menée par l’Université Friedrich Alexander en Allemagne suggère que la moitié des employés n’hésitent pas à cliquer sur les liens dans les e-mails provenant d’expéditeurs inconnus.
Pourtant, ces liens peuvent les rediriger vers des sites web de phishing ou des sites web infectés de malwares. Avec des taux de clics aussi élevés, il n’est pas surprenant que tant de travailleurs de l’IT croient que les employés sont le maillon le plus faible de leurs défenses en matière de sécurité informatique.
Comme il est difficile d’empêcher les employés de prendre de tels risques, les entreprises doivent donc faire tout ce qui est en leur pouvoir pour s’assurer que les e-mails malveillants n’arrivent pas dans leurs boîtes de réception. C’est ainsi que les travailleurs de l’IT pourront être certains que les employés ne cliqueront pas sur des liens ou n’ouvriront pas les pièces dangereuses jointes aux e-mails.
Comment fonctionne SpamTitan ?
TitanHQ est un fournisseur leader de solutions de filtrage de spam pour les entreprises. SpamTitan s’assure que la grande majorité des spams et des e-mails malveillants sont identifiés et mis en quarantaine et ne sont pas envoyés dans les boîtes de réception.
SpamTitan a été testé indépendamment et a démontré qu’il bloque 99,97% des spams, ce qui assure une meilleure protection des utilisateurs finaux.
Mais que peuvent faire les entreprises pour protéger leurs employés contre les 0,03 % d’e-mails restants et qui réussissent souvent à arriver dans les boîtes de réception ?
Il n’y a aucune solution miracle pour se protéger du phishing et des ransomwares dans 100 % des cas
Aucune entreprise ne peut survivre sans courrier électronique et, malheureusement, aucune solution de filtrage ne peut bloquer en permanence tous les spams.
Les entreprises ne peuvent donc pas compter tout simplement sur le filtre anti-spam pour contrer les attaques de phishing et de ransomwares. Bien entendu, il s’agit d’un outil qui offre un haut niveau de sécurité, mais il faut le combiner avec d’autres couches de protection.
Les solutions antivirus et anti-malwares sont essentielles pour détecter les malwares, mais ces contrôles de sécurité basés sur les signatures s’avèrent de moins en moins efficaces au fil des ans. Par exemple, les solutions ne sont pas particulièrement efficaces pour détecter les malwares sans fichiers.
La plupart des entreprises réduisent davantage les risques en mettant en place des systèmes de protection pouvant détecter les anomalies et les comportements anormaux sur les nœuds d’extrémité (PC, mobile, autres). Ces anomalies et comportements peuvent en effet impliquer une intrusion, une attaque de malware ou de ransomware.
Cependant, les logiciels antivirus et les systèmes de détection des nœuds d’extrémité ne peuvent pas détecter les attaques de phishing et de ransomware que lorsque celles-ci se produisent. Pour les bloquer, l’une des solutions les plus efficaces est donc d’installer un pare-feu humain.
Les services informatiques peuvent blâmer les employés d’être le maillon le plus faible en matière de sécurité, mais si les employés ne sont pas formés et ne savent pas reconnaître les e-mails malveillants, ils resteront la plus grande menace pour la sécurité informatique.
Le pare-feu humain : la meilleure défense contre le phishing, les malwares et les ransomwares caché dans des e-mails
Un pare-feu est la première ligne de défense, tandis que le logiciel anti-spam permet de mieux protéger les boîtes de réception contre les messages malveillants. Quant à vos employés, ils doivent faire office d’arrière-garde. Pour vous assurer d’avoir une défense solide contre les menaces informatiques, vous devez donc leur offrir une formation de sensibilisation à la sécurité.
Beaucoup d’employés ne savent pas qu’ils prennent souvent de gros risques et pourraient compromettre le réseau informatique. Il incombe donc aux entreprises de les sensibiliser à propos de l’existence de ces risques.
La plupart des attaques de malwares et de ransomwares impliquent au moins une certaine interaction de l’utilisateur, comme le clic sur un lien, l’ouverture d’un document malveillant, ou l’activation d’une macro.
Les employés doivent être informés de la manière dont les malwares peuvent s’installer et dont les pirates informatiques peuvent accéder aux comptes de messagerie et aux réseaux. Une fois qu’ils sont conscients de l’importance de la sécurité, ils constitueront une véritable dernière ligne de défense contre les menaces en ligne.
La formation de sensibilisation à la sécurité devrait être continue
Autrefois, il était possible d’offrir une formation annuelle portant sur la sécurité informatique pour permettre aux employés d’être en mesure de reconnaître les e-mails malveillants.
Malheureusement, ce n’est plus le cas aujourd’hui. Les cyberattaques par email sont maintenant beaucoup plus sophistiquées et les cybercriminels investissent beaucoup plus de temps dans l’élaboration de campagnes de mailing très convaincantes. Leurs tactiques changent constamment et le programme de formation doit en tenir compte.
Pour mettre au point un pare-feu humain solide, la formation doit être continue.
Une séance de formation annuelle en salle doit être accompagnée de séances de formation régulières sur les Thérapies Cognitivo-Comportementales (TCC), offertes en petites séances. Par ailleurs, l’importance de la cybersécurité devrait toujours être rappelée aux employés, et ce, grâce à des bulletins mensuels par courriel et des alertes ponctuelles sur les nouvelles menaces.
Des recherches menées par plusieurs entreprises de formation de sensibilisation à la sécurité informatique soulignent l’importance et l’efficacité d’une telle formation. PhishMe, Wombat Security Technologies et Knowbe4 suggèrent également qu’avec une formation régulière, il est possible de réduire jusqu’à 95% la vulnérabilité aux attaques par e-mail.
Testez l’efficacité de la formation de sensibilisation à la sécurité à l’aide de simulations de phishing
Vous pouvez sauvegarder toutes vos données pour vous assurer de pouvoir les restaurer en cas de sinistre. Poudrant, si vos solutions sauvegardes ne sont jamais testées, vous ne pourrez jamais être sûr que la restauration sera possible au moment où vous en aurez le plus besoin.
De même, si vous donnez une formation de sensibilisation à la sécurité à vos employés, cela ne garantit pas nécessairement que vous avec créé un pare-feu humain solide. Votre pare-feu doit aussi être testé.
En envoyant des simulations de phishing à vos employés, vous pouvez savoir à quel point votre formation a été efficace. Grâce à cela, vous pourrez également identifier les maillons faibles, c’est-à-dire les employés qui n’ont pas compris le concept du phishing et de la sécurisation des e-mails. Ces personnes doivent donc recevoir une formation supplémentaire.
Enfin, sachez que les exercices de simulation de phishing peuvent vous aider à renforcer le programme de formation. Lorsqu’un test échoue, il peut être transformé en une occasion d’apprentissage, ce qui permettra d’améliorer la rétention de connaissances.
En résumé, vous devez donc mettre en œuvre des solutions technologiques pour bloquer les attaques de phishing et de ransomwares, former vos employés puis les tester avec toutes sortes d’attaques par email. Lorsqu’un véritable email de phishing ou de ransomware arrive dans leurs boîtes de réception, ils seront donc préparés et s’en occuperont de façon appropriée. Autrement, votre entreprise sera probablement victime d’une attaque par mail dont les conséquences seront potentiellement désastreuses et coûteuses.
Souvenez-vous, il y a un peu moins d’une décennie, de l’époque où Windows était connu pour ses attaques de malwares et où les ordinateurs Mac ne l’étaient pas ? Cette époque est révolue. Aujourd’hui, les malwares sont partout, et cette tendance est inquiétante.
En fait, Kaspersky Lab a récemment découvert dans quelle mesure un cheval de Troie d’accès à distance (RAT) est utilisé par les cybercriminels, mettant en évidence le risque de sécurité lié à Java Runtime Environment (JRE).
En 2013, les développeurs de malwares ont rebaptisé ledit malware Adwind RAT. Depuis lors, plusieurs variantes ont été nommées, notamment AlienSpy, jRat, JSocket, Sockrat et Unrecom.
Les pays dans lesquels les attaques d’Adwind ont été les plus fréquentes sont l’Algérie, l’Arabie Saoudite, l’Espagne, l’Inde, les Émirats arabes unis, les États-Unis, la Turquie et la Russie.
Les pirates mettent régulièrement à jour le malware afin d’échapper aux solutions de sécurité et continuent d’ajouter des couches d’obscurcissement.
A propos de Java Runtime Environment
L’environnement d’exécution Java est une couche logicielle qui s’exécute au-dessus du système d’exploitation d’un ordinateur et fournit les bibliothèques de classes et autres ressources dont un programme Java spécifique a besoin pour s’exécuter.
JRE est l’un des trois composants interdépendants qui permettent de développer et d’exécuter des programmes Java. Les deux autres composants sont :
Le kit de développement Java (JDK)
La machine virtuelle Java, (JVM)
JDK est un ensemble d’outils permettant de concevoir des applications Java. Les développeurs choisissent les JDK suivant la version de Java et de l’édition ou du package – Java EE (Java Enterprise Edition), Java SE (Java Special Edition) ou Java ME (Java Mobile Edition). Chaque JDK intègre un JRE compatible, car l’exécution d’un programme Java fait partie du processus de développement d’un programme écrit sous le langage JavaScript.
La machine JVM, quant à elle, exécute directement les applications Java. Chaque JRE comprend un JRE par défaut, les développeurs peuvent en choisir un autre selon leurs besoins spécifiques en ressources de leurs applications.
Le JRE combine le code Java créé à l’aide du JDK avec les bibliothèques qui sont nécessaires à son exécution sur une JVM. Ensuite, il crée une instance de la JVM qui exécute le programme résultant.
Les JVM sont disponibles pour de nombreux systèmes d’exploitation, et les programmes créés avec le JRE fonctionneront sur tous ces systèmes. De cette façon, l’environnement d’exécution Java est ce qui permet à un programme Java de s’exécuter dans n’importe quel système d’exploitation sans modification.
Comment fonctionne JRE ?
JRE et JDK interagissent l’un avec l’autre pour créer un environnement d’exécution durable qui permet l’exécution transparente d’applications basées sur Java dans pratiquement tous les systèmes d’exploitation. Voici les éléments qui constituent l’architecture d’exécution du JRE :
Class Loader
Le Class Loader de Java est un chargeur de classes. Il charge dynamiquement toutes les classes requises pour l’exécution d’un programme Java. Les classes Java ne sont pas chargées en mémoire que lorsqu’elles sont nécessaires et c’est le JRE qui utilise des ClassLoaders afin d’automatiser ce processus à la demande.
Le Class Loader en Java fonctionne selon trois principes :
La délégation
Le principe de délégation consiste à transmettre la demande de chargement de classe au chargeur de classe parent et de ne pas charger la classe que si le parent ne parvient pas à la trouver ou la charger.
La visibilité
Ce principe permet au chargeur de classe enfant de voir toutes les classes chargées par le Class Loader parent. A noter que le chargeur de classe parent ne peut pas voir les classes ayant été chargées par la classe enfant.
L’unicité
Le principe de l’unicité permet de charger une classe exactement une fois. Cette opération est réalisée par le biais d’une délégation et garantit que le Class Loader enfant ne recharge pas la classe ayant déjà été chargée par la classe parent.
Vérificateur de bytecode
Le vérificateur de bytecode garantit le format et l’exactitude du code Java avant qu’il ne soit transmis à l’interpréteur. Dans le cas où le code viole les droits d’accès ou l’intégrité du système, la classe sera considérée comme corrompue et ne sera donc pas chargée.
Le vérificateur de bytecode agit tel qu’un gardien. En réalité, il s’assure que le code transmis à l’interpréteur Java est en état d’être exécuté et est en mesure de s’exécuter sans aucun risque de casser l’interpréteur Java. Le code importé n’est pas autorisé à s’exécuter – quelque soit le moyen utilisé – tant qu’il n’a pas passé les tests du vérificateur. Une fois que la vérification terminée, un certain nombre de propriétés importantes peuvent être identifiées :
L’existence ou l’absence de sous-débordement ou de débordement de la pile des opérandes.
Les types des paramètres de toutes les instructions du bytecode peuvent être connus, ce qui permet de s’assurer qu’ils sont toujours corrects.
Le système peut reconnaître si les accès aux champs privés, publics ou protégés des objets sont légaux ou non.
Bien que toutes ces vérifications semblent détaillées, dès que le vérificateur de bytecode a fait son travail, l’interprète Java peut continuer et le code pourra s’exécuter en toute sécurité. La connaissance de ces propriétés rend l’interpréteur Java beaucoup plus rapide, car il de vérification du débordement de la pile ni vérification du type d’opérande. Par conséquent, l’interpréteur peut fonctionner à pleine vitesse sans compromettre la fiabilité du système.
Interprète
Après le chargement réussi du bytecode, l’interpréteur Java va créer une instance de la JVM. Celle-ci permet ensuite l’exécution native de Java sur la machine sous-jacente.
Le cheval de Troie d’accès à distance Adwind (RAT)
Kaspersky Lab a découvert que le cheval de Troie d’accès à distance Adwind (RAT), identifié en 2012, est largement utilisé par les cybercriminels pour attaquer les entreprises. Le RAT est fréquemment modifié pour éviter d’être détecté avec de nombreuses variantes actuellement utilisées dans la nature. Le RAT a de nombreux noms en plus d’Adwind, avec Alien Spy, JSocket, jRat, et Sockrat juste quelques-uns des noms des variantes des malwares Adwind.
Le RAT basé sur Java est maintenant loué à des gangs criminels pour leur permettre de mener leurs attaques opportunistes contre des entreprises et des individus, parfois pour des montants très faibles, de l’ordre de 20 euros.
Kaspersky Lab estime que le nombre de criminels qui utilisent actuellement ces malwares est passé à environ 1 800. On estime que le malware rapporte environ 170 000 euros par an aux auteurs. À ce jour, on estime que le RAT a été utilisé pour attaquer jusqu’à 440 000 utilisateurs.
La fréquence des attaques augmente également. Au cours des 6 derniers mois, environ 68 000 nouvelles infections ont été découvertes.
Le cheval de Troie d’accès à distance multiplateforme est écrit en Java. Il est entièrement fonctionnel sur Windows, et partiellement fonctionnel sur OS X. Il y a plusieurs choses à savoir sur cette menace spécifique et sur la façon dont les utilisateurs de macOS/OS X peuvent s’en protéger.
400 000 systèmes ont été infectés au cours des trois années
Le cheval de Troie d’accès à distance multiplateforme a été vendu ouvertement comme service à tous les types de pirates informatiques, des cybercriminels opportunistes et aux groupes de cyberespionnage. Il a été utilisé pour attaquer plus de 400 000 systèmes au cours de trois années.
Le RAT, qui, selon la variante, est connu sous les noms d’Adwind, Unrecom, AlienSpy, Frutas, Sockrat, jRat ou encore JSocket, témoigne du succès que peut rencontrer le modèle de malwares en tant que service pour les créateurs de malwares.
Adwind est écrit en Java et peut donc fonctionner sur tout système d’exploitation doté d’un moteur d’exécution Java, comme Windows, Mac OS X, Android et Linux. Il a été développé en continu depuis au moins 2012 et est vendu au grand jour via un site web public.
Comme la plupart des chevaux de Troie, Adwind peut être utilisé pour contrôler à distance les ordinateurs infectés dans le but de voler des fichiers, des frappes au clavier et des mots de passe enregistrés. Ceci permet au malware d’enregistrer des fichiers audio et vidéo via la webcam et le microphone de l’ordinateur ciblé, entre autres.
Comme il possède une architecture modulaire, les utilisateurs peuvent aussi installer des plug-ins qui étendent ses fonctionnalités.
L’auteur d’Adwind — que les chercheurs de Kaspersky Lab pensent être un hispanophone — vendait l’accès au malware sur la base d’un modèle d’abonnement, avec des prix allant d’environ 20 euros pour 15 jours à environ 250 euros par an.
Les acheteurs obtiennent un support technique et d’autres services qui leur permettent d’échapper à la détection de l’antivirus, des comptes de réseaux virtuels et des analyses gratuites avec plusieurs moteurs antivirus afin de s’assurer que leur échantillon n’est pas détecté lorsqu’il est déployé.
Selon Kaspersky Lab, depuis 2013, les cybercriminels ont tenté d’infecter plus de 440 000 systèmes avec différentes versions d’Adwind. Ils ont utilisé le malware dans environ 200 campagnes de spear-phishing qui ont touché environ 68 000 utilisateurs.
La dernière incarnation d’Adwind a été lancée en juin 2015 sous le nom de JSocket. Ce malware est toujours en vente.
En 2015, la Russie a été le pays le plus attaqué par ce type de malware, avec la Turquie et les Émirats arabes unis, ainsi que les États-Unis, l’Allemagne et la Turquie, selon les chercheurs de Kaspersky dans un blog.
Ils ont estimé qu’à la fin de 2015, il y avait environ 1 800 utilisateurs d’Adwind et de JSocket, ce qui place le revenu annuel des pirates à plus de 160 000euros.
Le grand nombre d’utilisateurs rend difficile la construction d’un profil des attaquants. Le malware pourrait être utilisé par n’importe qui, des escrocs de bas niveau aux cyberespions, en passant par les particuliers qui cherchent à surveiller leur partenaire ou leur conjoint.
Java continue d’être la principale cible des pirates
Des chercheurs travaillant avec le « Citizen Lab de la Munk School of Global Affairs » de l’Université de Toronto ont documenté les activités d’un groupe de pirates qui ciblaient des journalistes, des politiciens et des personnalités publiques de plusieurs pays d’Amérique du Sud. Une version antérieure d’Adwind — appelée AlienSpy — a été répertoriée comme l’un des malwares utilisés par le groupe.
Kaspersky Lab a aussi lancé une enquête approfondie sur Adwind après qu’une institution financière de Singapour a été ciblée par le biais d’e-mails frauduleux censés provenir d’une grande banque malaisienne. Cela faisait partie d’une attaque ciblée qui a été lancée par un pirate d’origine nigériane, se concentrant sur les institutions financières.
Malgré plusieurs tentatives de démanteler et d’empêcher les développeurs d’Adwind de distribuer le malware, le malware a survécu pendant des années et a connu des changements de marque et une expansion opérationnelle.
Adwind étant écrit en Java, il est distribué sous forme de fichier JAR (Java Archive). Il nécessite également le système Java Runtime Environment (JRE) pour fonctionner. Une méthode possible pour empêcher son installation est de changer l’application par défaut pour la gestion des fichiers JAR en quelque chose comme Notepad. Cela empêchera l’exécution du code et se traduira simplement par une fenêtre de bloc-notes contenant du texte charabia.
Bien sûr, si JRE n’est pas nécessaire aux autres applications installées sur un ordinateur ou aux sites Web visités par ses utilisateurs, il doit être supprimé. Malheureusement, ce n’est pas possible dans la plupart des environnements professionnels, car Java reste un langage de programmation majeur pour les applications professionnelles et reste l’une des cibles préférées des cybercriminels.
Plus d’un million d’e-mails de spam mensuels diffusent de nouvelles variantes d’Adwind
En 2017 Symantec a mis en garde les utilisateurs contre l’augmentation du nombre de spams qui diffusent de nouvelles variantes d’Adwind. Celles-ci peuvent surveiller l’activité des utilisateurs, enregistrer leurs frappes au clavier, effectuer des captures d’écran, télécharger des fichiers malveillants et enregistrer des fichiers audio et vidéo.
En fait, la marque a commencé à constater une augmentation du nombre de messages électroniques qui intègrent des fichiers JAR malveillants et qui diffusent Adwind au mois d’août 2017. Mais le phénomène s’est drastiquement accéléré. En octobre, le nombre de messages malveillants a atteint 1,55 million.
En d’autres termes, les cybercriminels ont lancé cette campagne à fort volume dans le but de profiter de la saison des achats des fêtes. Selon encore Symantec, le timing aurait pu donner aux pirates plus de temps pour utiliser les informations d’identification volées, étant donné que les victimes sont plus susceptibles de baisser leur garde pendant la saison des fêtes, car elles sont plus détendues et engagées dans d’autres activités festives.
Java est l’un des plus anciens langages de programmation informatique. Depuis sa création, la programmation s’est développée de manière spectaculaire. Actuellement, il continue d’être largement utilisé par les développeurs des logiciels personnalisés.
Cependant, contrairement à la croyance selon laquelle ce langage de codage est surtout utilisé dans le domaine de l’informatique, sachez qu’il trouve aussi son utilité dans le domaine commercial. De nombreuses caractéristiques de ce langage de programmation le rendent également adapté à l’usage professionnel. De plus, grâce à sa portabilité, son évolutivité, sa sécurité, son efficacité et sa compatibilité avec Android, Java est devenu incontournable dans le domaine des affaires.
Avez-vous géré efficacement les risques de sécurité liés à l’environnement d’exécution Java ?
La première chose que les utilisateurs de Mac doivent savoir est que le risque d’infection est élevé, et ce, pour de nombreuses raisons. Tous les utilisateurs d’ordinateurs doivent également savoir que, comme Adwind est écrit en Java, il est capable d’infecter tous les principaux systèmes d’exploitation où Java est pris en charge, notamment pour Windows, Mac, Android et Linux.
La dernière variante est connue sous le nom de JSocket. On pense que le malware est apparu pour la première fois à l’été 2015 et qu’il est encore largement utilisé.
Le RAT est le plus souvent répandu par des campagnes de phishing avec des utilisateurs dupés dans l’exécution du fichier Java, l’installation du cheval de Troie.
Bien que le RAT soit principalement distribué par le biais de campagnes de spams à grande échelle, certaines preuves ont été découvertes pour suggérer qu’il est utilisé dans le cadre d’attaques ciblées contre des individus et des organisations.
Il s’agit d’un malware multiplateforme qui peut être utilisé sur les systèmes Windows, Linux, Android et Mac OS. Il sert de backdoor permettant aux cybercriminels d’accéder au système sur lequel il est installé, ce qui leur permet de prendre le contrôle des dispositifs, de recueillir des données, d’enregistrer les frappes et d’exfiltrer les données.
Il est également capable de se déplacer latéralement. Il est entièrement écrit en Java et peut être utilisé pour attaquer tout système qui supporte l’environnement d’exécution Java.
Le risque de sécurité lié à Java Runtime Environment est considérable. Kaspersky Lab recommande à toutes les organisations de revoir leur utilisation de JRE et de la désactiver dans la mesure du possible.
Malheureusement, de nombreuses entreprises utilisent des applications basées sur Java, et la désactivation ou la désinstallation de JRE est susceptible de causer des problèmes. Cependant, il est essentiel de gérer le risque de sécurité à partir de Java Runtime Environment pour prévenir les infections dues à Adwind et ses variantes.
S’il n’est pas nécessaire d’installer JRE sur les ordinateurs, il faut le supprimer. Il s’agit d’un risque inutile qui pourrait entraîner la compromission d’un réseau d’affaires.
S’il n’est pas possible de désactiver JRE, il est possible de protéger les ordinateurs contre Adwind/JSocket. Comme ce logiciel malveillant est généralement envoyé sous la forme d’un fichier d’archives Java, il est possible d’empêcher l’exécution du code en modifiant le programme utilisé pour ouvrir les fichiers JAR.
Le fonctionnement du malware
Sur Softpedia.com, les chercheurs en sécurité de Catalin Cimpanu ont découvert une version de la RAT Adwind. Le malware a été distribué dans le cadre d’une campagne de distribution. En fait, il a déposé une charge utile spécifique à des ordinateurs Mac. Adwind RAT semble se propager dans le cadre d’une campagne de spam, ciblant des entreprises danoises.
Le programme malveillant fonctionne en envoyant des informations système et en acceptant les commandes d’un attaquant distant. Ces commandes peuvent ensuite être utilisées — entre autres — pour afficher des messages sur le système, mettre à jour le malware, ouvrir des URL, télécharger et exécuter des fichiers et télécharger ou charger des plug-ins.
Une quantité importante de fonctionnalités supplémentaires peut être fournie par les plug-ins téléchargeables, y compris des éléments comme des options de contrôle à distance et l’exécution de commandes shell.
Indépendamment de sa portée initiale, tous les spams ont été rédigés en anglais, de sorte qu’une extension à d’autres pays ne nécessite pas plus que la pression d’un bouton quelque part dans le panneau de contrôle des pirates.
Pourquoi Adwind est-il une menace pour les utilisateurs d’appareils Mac ?
Il est important de savoir que pour installer le malware Adwind, il faut que Java soit installé. Par défaut, OS X et macOS ne sont pas livrés avec Java. Par conséquent, pour exécuter le fichier, les utilisateurs de Mac doivent télécharger le JRE sur Oracle.com.
En outre, au fil des ans, Apple a ajouté un certain nombre de fonctions de sécurité à sa plate-forme Mac. Les systèmes macOS et OS X d’Apple offrent des fonctions de sécurité intégrées pour protéger les utilisateurs contre les fichiers de développeurs non identifiés. La plupart des utilisateurs de Mac sont protégés en limitant les téléchargements d’applications à l’aide de paramètres Gatekeeper sécurisés.
Dans Préférences Système, cliquez sur « Sécurité et confidentialité » puis « Général ». Gatekeeper doit être réglé sur « Autoriser les applications téléchargées depuis le Mac App Store » et les développeurs identifiés. Pour restreindre l’accès au Mac App Store uniquement, réglez-le sur « Mac App Store ».
Où s’installe le logiciel malveillant Adwind, et comment ?
Quelles que soient les préférences des paramètres de Gatekeeper, n’importe quel utilisateur, que ce soit par négligence ou intentionnellement, peut passer outre sa protection.
Si un utilisateur tente d’exécuter un fichier provenant d’un développeur non identifié qui est non signé par un certificat numérique Apple valide, Gatekeeper l’avertit. Par contre, il n’empêche pas complètement l’installation si l’utilisateur ignore l’avertissement.
Par exemple, en tentant d’exécuter le fichier RAT d’Adwind en double-cliquant dessus, les utilisateurs Mac verront apparaître une alerte Gatekeeper « Adwind Unidentified Developer ».
Pour passer outre Gatekeeper, les utilisateurs peuvent faire un « Control-Click » ou un « Right-Click » sur le fichier « Contournement de Gatekeeper Adwind ».
Et ce n’est pas le seul moyen de contourner la protection de Gatekeeper. L’attribut de quarantaine de Gatekeeper n’est pas appliqué si un utilisateur dépose un fichier localement d’un Mac à un autre. Par exemple, si vous téléchargez l’échantillon du RAT d’Adwind sur votre appareil Mac, décompressez l’archive protégée par mot de passe puis déposez le fichier sur un Mac distant dans votre réseau local.
Exécution du compte-gouttes
Si vous utilisez un système OS X ou macOS, lors de l’exécution du dropper Adwind, notamment lorsque le fichier malveillant est exécuté, il peut déposer son infection sur votre appareil. Un agent de lancement est créé, qui est ensuite utilisé pour lancer un chargeur destiné à télécharger des fichiers malveillants sur Internet ou à se connecter à des serveurs malveillants.
Comme susmentionné, pour exécuter ce fichier, l’utilisateur doit installer un « Java Developer Kit » depuis Oracle.com.
Selon les constats des chercheurs en sécurité d’Intego, si le kit est exécuté, Adwind RAT tente toujours d’ouvrir une connexion vers une URL spécifique.
Lors de l’exécution du fichier sur OS X, l’agent de lancement n’est pas créé, même lorsqu’il a été exécuté avec sudo. Cependant, les chercheurs d’Intego ont constaté qu’il pourrait être créé sous OS X Mavericks.
Le fichier malveillant écrit ensuite un certain nombre de fichiers sur l’ordinateur cible et se copie lui-même sur le disque.
Comment supprimer Adwind des ordinateurs Mac ?
Si vous votre ordinateur a été infecté par AdWind, alors vous devez immédiatement prendre des mesures pour supprimer non seulement le cheval de Troie mais aussi tous les scripts associés. Cela empêche le malware de causer de graves dommages, entraîner la perte de fichiers sensibles et de l’argent. Adwind peut également voler vos identifiants de connexion et causer une grave corruption de votre système.
Il est possible de supprimer manuellement Adwind RAT, mais c’est une tâche délicate et qui prend un certain temps. En fait, vous devez fouiller dans les fichiers enfouis profondément dans votre système Mac afin de trouver les dossiers et les applications qui ne semblent pas à leur place, puis les supprimer. Pour finir l’opération, vous devez redémarrer votre ordinateur. Cette solution pourrait vous aider, mais vous ne pouvez pas être certain qu’Adwind a disparu.
En cas d’infection, vous pouvez supprimer manuellement l’application Java, nommée « « BgHSYtccjkN.ELbrtQ » dans le dossier « Home ». Vous pouvez aussi supprimer manuellement le fichier de lancement malveillant « org.yrGfjOQJztZ.plist » du dossier « LaunchAgents ».
Pour supprimer l’application Java, choisissez le menu « Go », puis « Go to Folder ». Entrez ensuite le code suivant« /.UQnxIJkKPii/UQnxIJkKPii », puis cliquez sur « Go ».
Déplacez « BgHSYtccjkN.ELbrtQ » vers la corbeille. Les fichiers sont souvent déposés dans le dossier d’accueil. Il faut un chemin, comme « /Users/intego/.UQnxIJkKPii/UQnxIJkKPii/BgHSYtccjkN.ELbrtQ ».
Une autre solution consiste à utiliser un antivirus. Toutes les solutions antivirus ne sont pas équipées pour supprimer le cheval de Troie Adwind. Pour certains d’entre eux, il faut d’abord effectuer une mise à niveau si vous voulez vous assurer que la suppression est complète.
Conseils pour éviter d’être infecté par Adwind
Ce type de malware peut échapper à la détection en premier lieu. Il est donc essentiel de prendre toutes les mesures de sécurité nécessaires pour garder vos données en sécurité.
Maintenez votre système d’exploitation — y compris tous vos applications et logiciels — à jour, car c’est le premier endroit où les pirates peuvent exploiter les vulnérabilités.
Une fois encore, n’ouvrez pas les e-mails et ne cliquez pas sur les fichiers ou pièces jointes qui vous semblent suspects.
Une façon de vous protéger contre Adwind est de prêter attention aux messages contenant des pièces jointes .XLT et .CSV. Méfiez-vous également des pièces jointes qui portent des extensions comme .XCL, .HTM et .DB., surtout si vous ne reconnaissez pas l’expéditeur de l’e-mail. Tous ces formats de fichiers sont ouverts par défaut par Excel ou Numbers sur un appareil macOS, ce qui permet potentiellement au cheval de Troie Adwind d’accéder à votre appareil Mac.
Sécurisez toutes vos données importantes. Pour ce faire, il importe de créer des sauvegardes sur des disques durs externes, des CD, des DVD ou en vous fiant à une sauvegarde en ligne en utilisant Google Drive, Dropbox, entre autres. De cette façon, même si un logiciel malveillant vous attaque, vous éviterez une perte de données importante et vous pourrez facilement récupérer vos données.
Assurez-vous d’avoir un programme antivirus fiable installé sur votre ordinateur pour protéger vos précieuses données contre les nombreuses menaces en ligne. Il serait également plus sûr d’ajouter plusieurs couches de protection et d’utiliser une solution logicielle de cybersécurité proactive.
Comme la prévention est le meilleur remède, apprenez le plus possible sur la manière de détecter facilement les e-mails indésirables.
Utilisez un filtre antispam fiable comme SpamTitan
SpamTitan Cloud est notre filtre antispam basé dans le cloud, conçu pour les entreprises. SpamTitan Cloud est un service antispam, de blocage des malwares et de filtrage des e-mails solide comme le roc et plusieurs fois récompensé, conçu pour les entreprises.
SpamTitan a remporté un nombre incroyable de 36 prix consécutifs VB Bulletin Anti-Spam.
Comme son nom l’indique, il s’agit d’un service de filtrage d’e-mails basé dans le cloud, abordable et très facile à mettre en place. Il suffit de le configurer et de l’oublier.
SpamTitan Cloud ne nécessite qu’une assistance informatique minimale. La solution est construite sur la même technologie que SpamTitan Gateway et dispose d’un ensemble de fonctionnalités complet qui convient aux entreprises de toute taille. Elle est également idéale pour les fournisseurs de services gérés qui souhaitent offrir des services antispam à leurs clients.
La fonction de sandboxing de SpamTitan protège les entreprises contre les brèches et les attaques sophistiquées lancées via la messagerie électronique, en fournissant un environnement puissant qui permet d’exécuter une analyse approfondie et sophistiquée des programmes et fichiers inconnus ou suspects.
SpamTitan Cloud est également une couche de sécurité supplémentaire essentielle pour protéger votre réseau ou ordinateur contre les malwares et les attaques de type « zero day ».
Conclusion
Adwind est toujours aussi puissant et peut créer de graves dommages à votre appareil Mac. L’augmentation de l’activité des chevaux de Troie d’accès à distance comme Adwind signifie qu’il faut stopper les attaques au stade initial. Si vous votre ordinateur a été infecté par AdWind, prenez des mesures pour pouvoir le supprimer immédiatement.
Ayez une visibilité sur l’ensemble de votre réseau pour que vous puissiez détecter toute menace qui aurait échappée à votre première couche de sécurité. Mettez en œuvre des politiques de contrôle du pare-feu et du trafic réseau. Cela vous aidera à surveiller et à bloquer les ports et les connexions indésirables, ce qui contribuera à déjouer les pirates informatiques.
Enfin, outre l’utilisation de logiciels antivirus, pensez à déployer une couche de sécurité supplémentaire pour mieux protéger votre réseau contre les spams et les attaques de malwares.
Avez-vous géré les risques de sécurité liés à l’environnement d’exécution Java ? JRE est-il inutilement installé sur les ordinateurs utilisés pour accéder à votre réseau ?
Lorsque vous songez au montant à investir dans les moyens de défense en matière de cybersécurité, n’oubliez pas de tenir compte du coût d’une atteinte à la protection des données pour les supermarchés.
De mauvaises pratiques de sécurité et l’absence de moyens de défense appropriés en matière de cybersécurité peuvent coûter cher à une entreprise.
Une fuite de données de l’ampleur de celle subie par Home Depot en 2014 coûtera des centaines de millions de dollars à résoudre. La fuite de données du dépôt d’origine a été massive. Il s’agit de la plus importante atteinte à la protection des données au détail concernant un système de point de vente qui a été signalée à ce jour.
Des logiciels malveillants avaient été installés qui permettaient aux criminels de voler plus de 50 millions de numéros de cartes de crédit aux clients des dépôts à domicile et environ 53 millions d’adresses électroniques.
L’attaque a été rendue possible grâce à l’utilisation de justificatifs d’identité volés à l’un des vendeurs du détaillant. Ces lettres de créance ont été utilisées pour prendre pied dans le réseau. Ces privilèges ont par la suite été augmentés, le réseau Home Depot a été exploré et, lorsque l’accès au système de PDV a été obtenu, des logiciels malveillants ont été installés pour saisir les détails des cartes de crédit. L’infection malveillante n’a pas été détectée pendant cinq mois entre avril et septembre 2014.
L’an dernier, Home Depot a accepté de verser 19,5 millions de dollars aux clients qui avaient été touchés par la fuite de données. Le paiement comprenait les coûts de la prestation de services de surveillance du crédit aux victimes d’atteintes à la sécurité du crédit.
Home Depot a également versé au moins 134,5 millions de dollars à des sociétés émettrices de cartes de crédit et à des banques, et cette semaine, un autre règlement de 25 millions de dollars a été convenu pour couvrir les dommages subis par les banques en raison de la violation.
Le dernier montant du règlement permettra aux banques et aux sociétés émettrices de cartes de crédit de présenter des demandes d’indemnisation de 2$ par carte de crédit compromise sans avoir à présenter de preuve des pertes subies.
Si les banques peuvent afficher des pertes, elles recevront jusqu’à 60% des pertes non compensées.
Le coût total de la fuite des données s’élève à environ 179 millions de dollars, bien que ce chiffre ne comprenne pas tous les frais juridiques que Home Depot sera obligé de payer, ni les règlements non divulgués.
Le coût final de l’atteinte à la protection des données au détail sera considérablement plus élevé. Il se rapproche déjà de la barre des 200 millions de dollars.
Ensuite, il y a la perte d’affaires découlant de l’atteinte à la sécurité des renseignements personnels. À la suite d’une atteinte à la protection des données, les clients vont souvent faire affaire ailleurs.
De nombreux consommateurs touchés par la violation ont choisi d’acheter ailleurs. Après tout, il n’y a pas qu’une seule chaîne de magasins de bricolage aux États-Unis.
Un certain nombre d’études ont été menées sur les retombées d’une atteinte à la protection des données. Selon une étude de HyTrust, les entreprises pourraient perdre 51 % de leurs clients à la suite d’une fuite de données sensibles !
Pour Home Depot, le coût d’une atteinte à la protection des données au détail a été beaucoup plus élevé que le coût de la mise en œuvre de technologies pour surveiller les pratiques de cybersécurité de son fournisseur, détecter les logiciels malveillants et mettre en œuvre les meilleures pratiques de sécurité.
Un nouveau Fallout Exploit kit a été détecté qui est utilisé pour propager des chevaux de Troie et des logiciels de rançon le ransomware GandCrab. Le Fallout exploit kit est resté inconnu jusqu’en août 2018, date à laquelle il a été identifié par le chercheur en sécurité Nao_sec.
Zoom sur le nouveau Fallout exploit kit
Nao_sec a observé que le Fallout Exploit kit était utilisé pour fournir SmokeLoader – une variante de malware dont le but est de télécharger d’autres types de malware.
Nao_sec a déterminé qu’une fois SmokeLoader installé, il a téléchargé deux autres variantes de logiciels malveillants – une variante de logiciel malveillant inconnue auparavant et CoalaBot – un bot DDos HTTP basé sur le code August Stealer.
Depuis la découverte du Fallout exploit kit en août, les chercheurs de FireEye ont observé le téléchargement du logiciel de rançon GandCrab sur des appareils Windows vulnérables.
Alors que les utilisateurs de Windows sont ciblés par le groupe de menace derrière Fallout, les utilisateurs de MacOS ne sont pas ignorés. Si un utilisateur de MacOS rencontre Fallout, il est redirigé vers des pages web qui tentent de tromper les visiteurs en téléchargeant une fausse mise à jour Adobe Flash Player ou un faux logiciel antivirus.
Dans le premier cas, l’utilisateur est informé que sa version d’Adobe Flash Player est obsolète et doit être mise à jour. Dans ce dernier cas, l’utilisateur est informé que son Mac peut contenir des virus, et il est invité à installer un faux programme antivirus qui, selon le site web, supprimera tous les virus de son appareil.
Le Fallout Exploit kit est installé sur des pages Web qui ont été compromises par l’attaquant – des sites avec des mots de passe faibles qui ont été forcés à la brute et ceux qui ont des installations CMS obsolètes ou d’autres vulnérabilités qui ont été exploitées pour avoir accès.
Les deux vulnérabilités exploitées par le Fallout Exploit kit sont la vulnérabilité de Windows VBScript Engine – CVE-2018-8174 – et la vulnérabilité d’Adobe Flash Player – CVE-2018-4878, toutes deux identifiées et corrigées en 2018.
Le Fallout exploit kit tentera d’exploiter d’abord la vulnérabilité VBScript, et si cela échoue, une tentative sera faite pour exploiter la vulnérabilité Flash. L’exploitation réussie de l’une ou l’autre de ces vulnérabilités entraînera le téléchargement silencieux de GandCrab Ransomware.
La première étape du processus d’infection, si l’un ou l’autre des deux exploits réussit, est le téléchargement d’un cheval de Troie qui vérifie si certains processus fonctionnent, à savoir :
filemon.exe
netmon.exe
procmon.exe
regmon.exe
sandboxiedcomlaunch.exe
vboxservice.exe
vboxtray.exe
vmtoolsd.exe
vmwareservice.exe
vmwareuser.exe
wireshark.exe.
Si l’un de ces processus est en cours d’exécution, aucune autre mesure ne sera prise.
Si ces processus ne s’exécutent pas, une DLL sera téléchargée qui installera le ransomware GandCrab. Une fois les fichiers chiffrés, une note de rançon est déposée sur le bureau. Un paiement de 499$ par appareil est exigé pour déverrouiller les fichiers chiffrés.
Les kits d’exploitation ne fonctionneront que si le logiciel n’est pas à jour. Les pratiques de patch ont tendance à être meilleures aux États-Unis et en Europe, de sorte que les attaquants ont tendance à utiliser d’autres méthodes pour installer leurs logiciels malveillants dans ces régions. L’activité des kits d’exploitation est principalement concentrée dans la région Asie-Pacifique où les logiciels sont plus susceptibles d’être obsolètes.
La meilleure protection contre le Fallout Exploit kit est de s’assurer que les systèmes d’exploitation, les navigateurs, les extensions de navigateur et les plug-ins sont entièrement patchés et que tous les ordinateurs utilisent les dernières versions des logiciels.
Les entreprises qui utilisent des filtres web, comme WebTitan, seront mieux protégées car les utilisateurs finaux ne pourront pas visiter ou être redirigés vers des pages web connues pour héberger des kits d’exploitation.
Pour s’assurer que les fichiers peuvent être récupérés sans payer de rançon, il est essentiel que des sauvegardes régulières soient effectuées. Une bonne stratégie consiste à créer au moins trois copies de sauvegarde, stockées sur deux supports différents, dont une stockée en toute sécurité hors site sur un appareil qui n’est pas connecté au réseau ou accessible sur Internet.
Il y a des avantages et des inconvénients à filtrer Internet dans les bibliothèques.
Le sujet est à la fois sensible et complexe puisqu’il oblige les professionnels de l’information à faire un choix difficile. En effet, le fait de donner un accès Internet peut engager les responsabilités de l’établissement, à divers degrés, du fait des éventuels agissements délictueux des usagers. Par conséquent, il est important de trouver le bon équilibre entre la responsabilité de l’établissement et la liberté des usagers. Mais c’est plus facile à dire qu’à faire, notamment à cause du nombre croissant de textes qui régissent cette pratique.
Bien qu’il y ait des inconvénients potentiels au filtrage d’Internet, un nombre croissant de bibliothèques à travers le monde choisissent maintenant d’utiliser une solution de filtrage web.
Introduction
Vous souvenez-vous du début des années 1990, l’époque où nous étions si nombreux à penser qu’Internet n’était qu’une mode, un moyen de divertissement pour les personnes qui disposent de plus de temps et de ressources nécessaires pour se connecter. La plupart d’entre nous étaient réticents à adopter cette nouvelle technologie, et ce, pour deux principales raisons. D’une part, nous ne voulions pas dépenser de l’argent pour quelque chose qui était considéré comme éphémère et, d’autre part, nous ne comprenions pas encore la véritable utilité d’Internet.
Si auparavant, nous ne savions pas grand-chose en ce qui concerne l’Internet, actuellement, toute personne travaillant dans une bibliothèque vous dira que cette technologie est devenue si essentielle qu’il est désormais difficile d’imaginer travailler sans elle.
Les contenus disponibles sur le web sont devenus aussi important pour les bibliothécaires que les sources imprimées en termes de facilité d’accès et d’utilisation. De nombreuses organisations et établissements d’enseignement supérieur diffusent actuellement toutes sortes d’informations en ligne, réduisant au minimum les publications imprimées. Internet est tellement utilisé dans les établissements scolaires d’aujourd’hui que même le plus réticents d’avant ne peuvent plus nier qu’il devrait faire partie intégrante de nos systèmes éducatifs.
Mais au-delà des objectifs éducatifs, le web a aussi un côté sombre. En fait, il demeure difficile de contrôler tout ce qui se passe en ligne. Des images, des propos et d’autres informations non censurées peuvent être publiées facilement par pratiquement n’importe qui sur la toile. A titre d’exemple, la pornographie sur Internet est devenue un marché qui représente des milliards d’euros, et cette croissance va sans aucun doute se poursuivre dans les années à venir. Mais la pornographie n’est pas le seul domaine litigieux, car Internet peut également être utilisé comme moyen de communication privilégié pour les groupes racistes, la vente de drogues illicites, la propagande politique, la diffamation, la publication d’images violentes et d’autres contenus répréhensibles. De plus, les opérateurs de ces sites conçoivent leurs plateformes en ligne pour en faciliter et en encourager l’accès.
Les filtres web peuvent être la solution à ces problèmes, notamment pour protéger les enfants contre les contenus inappropriés. Selon ses fournisseurs de ces applications web, il suffit de choisir une solution fiable qui filtre les contenus inappropriés et vous n’avez plus à vous inquiéter des ressources auxquelles les étudiants peuvent accéder dans les bibliothèques. Oui, c’est aussi simple que cela si vous vous fiez à un fournisseur de services gérés spécialisé dans ce domaine. Malheureusement, d’autres organisations se contentent seulement de bloquer l’accès à Internet plutôt que de se soucier des éventuelles dérives.
Filtrage et blocage d’Internet : quelles est la différence entre ces deux notions ?
Certaines personnes, y compris les fournisseurs de logiciels et d’accès Internet et les législateurs qui devraient être les mieux placées pour le savoir, utilisent les termes « filtrage » et « blocage » d’Internet de façon plus ou moins interchangeable. Pourtant, il existe des différences importantes entre ces deux notions.
Les logiciels de blocage, ont pour rôle de refuser l’accès en fonction des URLs des sites inappropriés. Ils peuvent donc contenir des listes de milliers, voire de millions d’URL considérées comme renfermant des contenus offensants et ils ne permettent tout simplement pas l’accès à ces sites. L’inconvénient de ce concept est qu’il faut insérer chaque URL litigieuse dans le logiciel, ce qui ne peut se faire que si les concepteurs ou les fournisseurs des logiciels n’ont pas consulté et vérifié le site. Bien entendu, presque tous les fournisseurs mettent régulièrement à jour leur liste d’URL, mais ils ont toujours un retard dans l’inclusion de nouvelles adresses interdites.
De l’autre côté, le filtrage web consiste à refuser l’accès à certains sites sur la base de mots clés, comme les blasphèmes courants, les termes liés aux organes génitaux ou aux actes sexuels, etc. Ce concept peut aussi représenter une certaine limite. Si le filtre web refuse par exemple l’accès aux sites contenant le mot « sein », il pourra empêcher les étudiants dans les bibliothèques de consulter certains sites pornographiques. Cependant, il refusera également l’accès à d’autres sites qui contiennent des informations sur le cancer du sein, par exemple.
Imaginez un étudiant qui recherche des informations au sujet du musicien Ron Sexsmith ou sur le comte de Sussex, si la configuration d’un filtre web considère le terme « sex » comme l’un des mots-clés interdits, l’étudiant ne trouvera pas les informations dont il a besoin, même si ces pages ne contiennent rien d’offensant ou de pornographique.
Quels sont les avantages et les inconvénients du filtrage d’Internet dans les bibliothèques ?
Le contrôle des types de contenus accessibles via les ordinateurs des bibliothèques a suscité de nombreux débats. L’American Library Association (ALA), par exemple, ne recommande pas le filtrage d’Internet.
Pourtant, selon l’ALA, le blocage du contenu Internet dans les bibliothèques « compromet les libertés du premier amendement et les valeurs fondamentales de la bibliothéconomie ».
S’il est vrai que les bibliothèques sont des institutions d’apprentissage, il est particulièrement important de restreindre l’accès à certains types de contenus de sites web pour assurer la protection des enfants.
L’accès illimité à Internet signifie que les mineurs pourraient trop facilement voir des images qui pourraient leur causer du tort : la pornographie, par exemple.
L’ALA affirme qu’il vaut mieux s’attaquer au problème de l’accès inapproprié à Internet par le biais de programmes éducatifs plutôt que de restreindre l’accès.
Bien que l’ALA comprenne que les enfants doivent être protégés contre le contenu obscène et tout autre contenu potentiellement nuisible des sites web, enseigner aux enfants comment utiliser l’Internet correctement – et comment rechercher des informations – est considéré comme une mesure raisonnable pour limiter les dommages.
Cependant, pour les adultes, la formation est susceptible de s’avérer moins efficace. Si un adulte souhaite accéder à un contenu illégal ou inapproprié du site web, les politiques d’utilisation acceptables et les programmes éducatifs peuvent s’avérer inefficaces. Les enfants peuvent également choisir d’ignorer les règles de la bibliothèque et d’accéder à des contenus inappropriés.
Bien que de nombreux utilisateurs aient accueilli favorablement l’utilisation du filtrage d’Internet dans les bibliothèques pour restreindre l’accès à des documents obscènes ou illégaux, on s’est inquiété de la façon dont l’utilisation de filtres Internet pourrait limiter l’accès aux idées et aux renseignements précieux.
Le principal inconvénient du contrôle de l’accès à Internet dans les bibliothèques n’est pas la restriction de l’accès à certains types de contenu web qui ont peu ou pas de valeur éducative, mais le surblocage du contenu du site.
Certaines solutions de filtrage Internet n’ont pas de contrôles granulaires qui permettent aux bibliothèques de restreindre par inadvertance l’accès à des documents de valeur. Un exemple serait le blocage du contenu à caractère sexuel.
Comme susmentionné, le fait de bloquer le contenu à caractère sexuel empêcherait la pornographie d’être visionnée, mais pourrait également fournir des informations précieuses sur l’éducation sexuelle : Maladies sexuellement transmissibles ou informations sur les questions LGBT par exemple.
Cependant, avec la bonne solution, il est possible de contrôler soigneusement le contenu d’Internet sans bloquer accidentellement du matériel pédagogique précieux.
Les ransomwares constituent une menace importante pour les bibliothèques
Si les pirates préféraient cibler les hôpitaux, les entreprises et les entités gouvernementales, aujourd’hui, les établissements d’enseignement sont également devenus des cibles potentielles.
Les attaques de ransomware sont devenues de véritables menaces, car elles permettent aux pirates de chiffrer, verrouiller des données sensibles et d’exiger une rançon pour permettre à leurs victimes de les libérer.
L’impossibilité d’accéder aux données sensibles peut être catastrophique pour les membres des bibliothèques, entraîner des pertes financières non-négligeables ou nuire à la réputation de l’organisation. Oui, les ordinateurs dans les bibliothèques sont tout aussi susceptibles de faire l’objet de rançon et la perte d’accès à des informations personnelles, y compris les photos de famille, les vidéos et d’autres documents appartenant aux élèves et étudiants.
Lorsqu’un étudiant accède à son compte de messagerie, il voit un message qui lui est adressé et il est susceptible de l’ouvrir. Il peut ensuite cliquer sur une pièce jointe qui semble légitime, mais qui contient en fait le code malveillant du ransomware. Le message peut aussi contenir un lien qui redirige l’utilisateur vers un site web d’apparence légitime. Pourtant, lorsqu’il clique dessus, il atterrit sur un site web malveillant pouvant infecter l’ordinateur qu’il utilise avec un malware.
Une fois que l’infection est présente, le malware peut chiffrer les fichiers et les dossiers des disques locaux, des disques de sauvegarde de la bibliothèque et éventuellement d’autres ordinateurs qui sont connectés au même réseau. Il est fort possible que les responsables de la bibliothèque ne sachent pas que leur système informatique a été infecté par le malware jusqu’au moment où ils ne peuvent plus accéder à leurs données ou jusqu’à ce qu’ils commencent à voir des messages informatiques qui leur demandent une rançon en échange d’une clé de déchiffrement de leurs données sensibles. Ces messages comprennent souvent des instructions sur la manière de payer la rançon qui, dans la plupart des cas, se fait en Bitcoin pour garder l’anonymat des pirates.
Quelques exemples d’attaques de ransomwares contre les bibliothèques
Il y a 2 ans, une attaque de ransomware a paralysé les bibliothèques de St Louis. Les pirates exigeaient des rançons en Bitcoin. Leurs activités ont dû être arrêtées lorsque tous les ordinateurs de toutes les bibliothèques de la ville de St Louis ont été infectés par des ransomwares.
Plus précisément, les pirates ont exigé plus de 31 000 euros pour restaurer les systèmes après la cyberattaque ayant infecté touché 700 ordinateurs dans les 16 bibliothèques publiques de la ville. La chaîne CNN avait rapporté que l’autorité a refusé de payer la rançon qui permettait de déverrouiller les machines. Par contre, elle a décidé d’effacer tous leurs systèmes informatiques puis de les reconstruire à partir de zéro. C’est une solution qui avait pris des semaines, mais les responsables des bibliothèques publiques de St Louis ont annoncé avoir réussi à reprendre le contrôle de leurs serveurs, même si le personnel technique était encore contraint de travailler pour rétablir les services d’emprunt.
En plus d’empêcher la saisie du système de prêts, empêchant ainsi les élèves et étudiants d’emprunter ou de retourner les livres, l’attaque a gelé tous les ordinateurs. Personne ne pouvait donc accéder aux quatre millions d’articles qui devaient être disponibles dans les bibliothèques concernées.
Certaines villes ont été aussi très malchanceuses puisqu’elles ont été frappées plusieurs fois par des attaques de ransomware. Le district scolaire de Middletown au Connecticut a, par exemple, été la cible des pirates en 2018, et encore en mai 2019. De même, la bibliothèque du comté de Daviess à Owensboro (Kentucky) a été attaquée en avril, puis de nouveau au mois de juillet 2019. Les autorités locales ont dû faire une analyse minutieuse pendant de longues périodes pour s’assurer que les criminels ne reviennent plus après une attaque réussie.
Les élèves, étudiants et personnels des bibliothèques devraient donc garder à l’esprit qu’Internet, bien qu’il soit un outil de recherche et de divertissement précieux, peut représenter des menaces. Le filtrage du contenu est une nécessité, mais le blocage de certains sites ne doit pas empêcher d’autres sites qui ne sont pas répréhensibles d’être consultés.
Le filtrage de contenu Internet aide les bibliothèques à atteindre les objectifs d’inclusion numérique
Le débat sur les avantages et les inconvénients du filtrage d’Internet dans les bibliothèques va probablement se poursuivre pendant un certain temps encore, bien que pour de nombreuses bibliothèques, la décision ne porte plus autant sur les libertés du premier amendement que sur l’argent.
Les bibliothèques font face à des pressions financières considérables, qui peuvent être atténuées grâce à des subventions des États et du gouvernement fédéral.
Des subventions en vertu de la Loi sur les services de bibliothèque et la technologie sont disponibles, bien que des fonds puissent être reçus, à moins qu’un filtre de contenu Internet ne soit en place, ces fonds ne peuvent être utilisés pour la technologie Internet, ce qui peut limiter la capacité des bibliothèques à atteindre leurs objectifs d’inclusion numérique et à mieux servir les communautés locales.
La Children’s Internet Protection Act américaine exige par exemple que les bibliothèques mettent en place un filtre Internet pour bloquer les images obscènes, la pornographie juvénile et d’autres images qui pourraient nuire aux mineurs. La conformité n’est pas obligatoire, bien qu’il s’agisse d’une condition préalable à l’obtention de certaines subventions et rabais dans le cadre du programme E-rate.
La loi de protection des mineurs sur Internet (Children’s Internet Protection Act)
Le Children’s Internet Protection Act (CIPA) est l’un des principaux textes qui régissent l’utilisation de l’Internet dans les bibliothèques. Il a été mis en place par le gouvernement fédéral américain dans le but de contrôler l’accès à l’Internet dans les espaces publics. Bien entendu, ce n’est pas la première initiative qui vise à restreindre certains contenus sur les ordinateurs publics.
D’autres mesures ont déjà été lancées pour réglementer, sinon restreindre, les contenus inadaptés en ligne, comme le décret sur la communication décente ou Communications Decency Act (CDA). On peut également citer le décret sur la protection en ligne de l’enfant appelé Child Online Protection Act (COPA).
Le CDA était jugé comme un texte anticonstitutionnel dans la mesure où il violait les droits liés au premier amendement. Le gouvernement fédéral a donc tenté de réglementer ce texte en stipulant, via un décret, que le fait d’envoyer intentionnellement des contenus « indécents » à des mineurs est considéré comme un crime. C’est ce qui a conduit à la création du COPA. Ce texte a poussé un peu plus loin le concept du CDA en y ajoutant que la transmission de contenus jugés « dangereux pour les mineurs » — au cas où elle serait effectuée dans un but commercial — est prohibée.
Une fois encore, ces deux décrets avaient des limites. Ils se contentaient de définir vaguement les termes. La signification du terme « commercial » était, par exemple, confuse. Il était également difficile de savoir à qui incombe le rôle de déterminer les standards communautaires de « décence ».
Force est de constater que le COPA, contrairement au CIPA, ne visait pas réellement les bibliothèques, mais plutôt le secteur privé. Ce n’est qu’en 2000 que le Congrès des États-Unis a accepté et promulgué que ce décret concerne aussi les écoles publiques et les bibliothèques.
Ainsi, les bibliothèques qui veulent recevoir un financement pour acheter des ordinateurs qui vont servir à l’accès Internet doivent mettre en place une politique qui renforce la sécurité des mineurs. Cette mesure comprend la protection technologique de tous les ordinateurs connectés, empêchant ainsi l’accès à des images visuelles obscènes, à la pornographie infantile ou aux contenus dangereux pour les mineurs.
L’ALA ne recommande pas, du moins à l’heure actuelle, l’utilisation du filtrage d’Internet dans les bibliothèques
Cette institution soutient que l’utilisation de logiciel de filtrage des discours constitutionnellement protégés dans les bibliothèques est contradictoire avec la constitution des États-Unis. La loi fédérale devrait donc engager des poursuites judiciaires à l’encontre des établissements qui le font.
Selon l’ALA, l’utilisation de logiciels de filtrage est contre le premier amendement, mais elle risque aussi de ne pas permettre aux usagers d’accéder à toutes les informations pertinentes dont ils ont besoin pour s’informer efficacement.
Bien que l’organisation concède que certaines bibliothèques comptent sur le financement fédéral ou étatique pour fournir aux usagers des ordinateurs et un accès Internet.
Le message à ces institutions est de choisir une solution qui « atténuera le plus possible les effets négatifs du filtrage ».
Les bibliothèques peuvent mettre en place une solution de filtrage de contenu Internet pour bloquer le niveau minimum de contenu afin de se conformer aux réglementations nationales et fédérales. Des politiques peuvent être mises en œuvre pour permettre au contenu d’être débloqué, s’il a été bloqué par inadvertance par une solution de filtrage de contenu.
Il est alors possible de recevoir un financement qui leur permettra de mieux servir leurs communautés et d’atteindre les objectifs d’inclusion numérique, tout en s’assurant que les enfants – et dans une moindre mesure les adultes – sont protégés de façon appropriée.
En France, que disent les textes ?
D’une manière générale, internet a été conçu pour être accessible gratuitement au grand public. De ce point de vue, les bibliothèques ne sont pas tenues de recueillir des informations concernant l’identité des usagers à qui elles proposent ce privilège. Ces derniers peuvent même utiliser un pseudo pour se connecter et disposer d’un espace personnel. Pourtant, les responsables des bibliothèques doivent être capables d’identifier l’ordinateur qui a fait l’objet d’un usage illicite via une adresse IP fixe.
L’autre obligation qui s’impose à ce genre d’établissement est aussi de remettre, en cas de besoin, une réquisition judiciaire ou administrative des logs de connexion et toutes les informations qu’il détient. Il incombe donc aux services chargés de l’enquête de recouper les informations disponibles dans le but de retrouver la personne ayant commis l’infraction. La durée de conservation de ces informations est toutefois limitée à un an.
En ce qui concerne la sécurisation des ordinateurs, la loi n’impose pas le filtrage des accès Internet des appareils mis à la disposition des usagers. Le fait de mettre en place un filtre pour bloquer certains sites pénalement répréhensibles ne ferait que limiter la responsabilité des bibliothèques en cas de réquisition judiciaire.
Il y a aussi un autre enjeu de taille : la lutte contre le terrorisme. Selon la loi antiterroriste du 23 janvier 2006, les fournisseurs d’accès Internet (FAI) doivent conserver pendant un an les données de connexion, mais cette mesure a été étendue à tous les établissements qui offrent un accès à l’Internet à leur public. De ce fait, grâce à la loi dite Hadopi (Haute Autorité pour la diffusion des œuvres et la protection des droits d’auteur), il est possible de dissocier les obligations des FAI de celles des bibliothèques qui proposent un accès Internet. Selon l’injonction écrite de la Hadopi, la responsabilité d’une bibliothèque ne devrait être engagée que pour les usages illicites commis à partir des ordinateurs connectés au réseau et qui ont été mis à la disposition des usagers si les postes n’ont pas été sécurisés.
Aucun de deux décrets susmentionnés n’oblige donc les bibliothèques à identifier les utilisateurs des ordinateurs qui ont été mis à leur disposition. Par ailleurs, elles ne sont pas obligées de conserver des informations nominatives qu’elles devraient remettre aux autorités compétentes lors d’une enquête ordonnée par un juge, au titre de la loi Hadopi. Elles ne sont même pas contraintes de filtrer à titre préventif les accès Internet.
Le problème est que, selon une enquête menée par l’Agence du numérique en 2017, trois à quatre personnes sur dix affirment être non compétentes – pas très ou pas du tout – pour utiliser les produits technologiques au quotidien, à l’instar de l’Internet. Ajoutez à cela le nombre croissant des menaces cybercriminelles sur le web et le risque que les usagers soient exposés à des contenus inadaptés (contenus à caractère pornographique, incitations à la violence, discussions non modérées, etc.).
WebTitan, la solution idéale de filtrage Internet pour les bibliothèques
Avec WebTitan, les bibliothèques peuvent contrôler l’accès à Internet pour satisfaire aux exigences de la CIPA et bénéficier de rabais et de subventions, tout en atténuant les effets négatifs du contrôle d’Internet.
WebTitan est à la fois un logiciel de filtrage et de blocage sophistiqué, doté de contrôles très granulaires permettant aux bibliothécaires de contrôler avec précision les types de contenu web auxquels les utilisateurs peuvent accéder sans surbloquer le contenu web.
Dans le cas où un utilisateur souhaite débloquer du contenu web, les demandes peuvent être facilement traitées par le personnel de la bibliothèque. Aucune compétence technique n’est requise.
Les cloud keys permettent d’utiliser les ordinateurs de la bibliothèque avec tous les contrôles de filtrage contournés, au cas où les utilisateurs ou le personnel auraient besoin d’accéder à du contenu qui serait autrement bloqué.
Voici les principaux atouts de WebTitan :
Il est basé dans le cloud. De ce fait, vous n’avez plus besoin d’installer un logiciel de blocage d’Internet supplémentaire.
Le déploiement de la solution est simple et rapide (moins de 5 minutes). Pour ce faire, vous devez simplement rediriger votre DNS vers les serveurs WebTitan pour protéger votre bibliothèque et les utilisateurs d’Internet des menaces en ligne.
WebTitan peut filtrer à la fois les URLs en HTTPS et HTTP.
Si votre établissement propose une connexion sans fil, TitanHQ vous propose une solution de filtrage fiable : WebTitan Cloud for WiFi. En utilisant cette solution, tout appareil qui se connecte à votre réseau WiFi ne pourra accéder qu’à des contenus et services Internet filtrés.
Vous pouvez placer des blocs sur l’anonymiseur d’adresse IP pour empêcher le contournement des contrôles de filtrage.
Le filtrage DNS de WebTitan Cloud for WiFi permet de protéger les périphériques mobiles, même ceux utilisés hors site.
Pour en savoir plus sur l’utilisation de WebTitan dans les bibliothèques, contactez TitanHQ dès aujourd’hui. Vous bénéficierez d’une assistance complète pour configurer WebTitan pour une période d’essai gratuite de 14 jours et découvrirez par vous-même à quel point il est facile de répondre aux exigences de la CIPA sans bloquer le contenu du site.
Conclusion
En général, les bibliothécaires de nos jours croient fermement au libre accès à l’information et à la liberté intellectuelle. Cependant, ils reconnaissent aussi que le fait de permettre aux mineurs de consulter des sites Internet inappropriés peut causer beaucoup de préjudices aux étudiants et à l’organisation. Les logiciels de filtrage web constituent une solution qui peut résoudre ce dilemme.
Depuis leur apparition au début des années 1990, les logiciels de blocage d’Internet ont sur-bloqué les contenus en ligne en refusant l’accès à de nombreux sites web éducatifs. D’autres logiciels ont également sous-filtré les ressources en ligne, permettant ainsi aux étudiants d’accéder à des sites web inacceptables.
En fait, les logiciels de blocage d’Internet n’ont pas encore la capacité humaine de porter des jugements de valeur. Ils ne peuvent pas distinguer les contenus acceptables de ceux qui sont sensibles. Les développeurs de ces solutions se contentent donc de mettre à jour leurs application en ajoutant de nouvelles URL, de nouveaux mots-clés, même si cela ne se fait souvent qu’après que les sites aient été consultés et signalés comme inappropriés.
Heureusement, TitanHQ propose désormais une solution qui permet de contourner ces problèmes. Notre logiciel de filtrage d’Internet met à jour la liste des URL malveillants, les sites de phishing et les sites susceptibles de télécharger des malwares, et ce, en temps réel.
Pour se conformer aux réglementations en vigueur ; pour bénéficier de certaines subventions dans le cadre du programme E-rate et pour se protéger contre les nombreuses menaces en ligne, les bibliothèques devraient donc penser à utiliser WebTitan et WebTitan for WiFi, sans oublier de mettre en place des politiques claires et non ambiguës pour éviter l’utilisation abusive de l’Internet.
FAQs
Pourquoi les bibliothèques utilisent-elles des filtres Internet ?
Le filtrage web permet aux bibliothèques de garantir la protection des mineurs lorsqu’ils naviguent sur le web avec les ordinateurs de la bibliothèque ou à partir d’appareils personnels connectés aux réseaux WiFi de l’établissement. Les filtres web peuvent par exemple bloquer l’accès à tous les contenus à caractère sexuel ou inappropriés pour les mineurs.
Que fait le filtre web ?
Le filtre web est une technologie qui permet d’empêcher les utilisateurs de consulter certaines URL ou certains sites web en empêchant leurs navigateurs de charger les pages de ces sites. Il peut être conçu de différentes manières et offre diverses solutions pour un usage individuel, institutionnel ou d’entreprise.
Le filtrage d’Internet est-il vraiment mauvais pour les bibliothèques ?
Certaines personnes qui sont contre le filtrage web dans les bibliothèques avancent que cette solution est coûteuse à mettre en place et à entretenir. De plus, les élèves devraient apprendre à faire des recherches via d’autres moyens, plutôt que de se fier uniquement aux informations qu’ils trouvent sur internet. De plus, ils risquent de ne pas se concentrer sur leurs activités et leurs leçons dans la salle de classe, en passant beaucoup de temps sur les sites de jeux et les médias sociaux.
Et pourquoi certaines personnes soutiennent-elles l’utilisation d’un filtre web dans les bibliothèques ?
L’accès à Internet permet aux étudiants de se tenir au courant d’informations qui ne figurent pas souvent dans les manuels scolaires. D’autres ressources ayant été publiées dans un format traditionnel pourraient également être dépassées. Avoir accès aux informations actualisées permet aux étudiants d’améliorer leurs connaissances, et les recherches le confirment.
Comment résoudre le dilemme entre l’intérêt de l’utilisation ou le bannissement du filtrage web dans les bibliothèques ?
Même si les logiciels de filtrage web ne peuvent pas filtrer à 100 % tous les contenus inappropriés pour les utilisateurs d’internet dans les bibliothèques, ils sont capables de bloquer la plupart des contenus offensants et distrayants. De plus, un filtre web comme WebTitan peut protéger les réseaux informatiques de bibliothèques contre les attaques de malwares, l’accès des mineurs à des contenus inappropriés pour eux.
Récemment, des pressions de plus en plus fortes ont été exercées sur les entreprises américaines pour qu’elles bloquent la pornographie sur les réseaux WiFi ouverts au public. McDonalds et Starbucks ont réagi en annonçant qu’ils bloqueront la diffusion de pornographie sur les réseaux WiFi publics dans leurs restaurants et cafés.
Au début de la semaine dernière, McDonalds a annoncé utiliser désormais le filtrage web sur réseau WiFi pour bloquer la pornographie – et la pornographie juvénile – dans ses plus de 14 000 restaurants aux États-Unis.
La technologie avait été introduite au début de l’année, bien que la chaîne de restauration rapide ne l’ait annoncée que tout récemment. McDonalds est l’une des premières – et l’une des plus importantes – organisations à bloquer la pornographie sur les réseaux WiFi des restaurants.
Quelques jours plus tard, Starbucks a annoncé que l’entreprise utiliserait également le filtrage web du réseau WiFi pour bloquer la pornographie dans ses cafés aux États-Unis.
Starbucks évaluera des solutions de filtrage web pour bloquer la pornographie afin de s’assurer que l’implantation d’un filtre web n’empêche pas les clients d’accéder à des sites web non pornographiques.
Une fois ce processus terminé, la solution de filtrage web sera déployée dans plus de 12 200 cafés aux États-Unis, puis dans les magasins appartenant à l’entreprise partout dans le monde.
Bien qu’aucune des deux organisations n’ait publié de chiffres sur la mesure dans laquelle leurs réseaux WiFi sont utilisés pour visionner de la pornographie, les organismes de sécurité en ligne ont averti les entreprises américaines que cette pratique est de plus en plus répandue et que le risque pour les mineurs est considérable si des efforts ne sont pas faits pour bloquer la pornographie sur les réseaux WiFi des restaurants.
Les pressions exercées par les organisations anti-pornographiques pour bloquer la pornographie sur les réseaux WiFi portent leurs fruits
L’organisation de sécurité Internet Enough is Enough a lancé il y a deux ans sa campagne nationale de Wi-Fi gratuit et a fait pression sur les entreprises américaines pour qu’elles utilisent le filtrage WiFi pour bloquer la pornographie et empêcher l’accès à la pédopornographie illégale sur les réseaux WiFi des restaurants.
Les réseaux WiFi publics offrent un degré d’anonymat plus élevé que les connexions Internet à domicile et au travail, et un nombre croissant de personnes recherchent activement des réseaux WiFi non filtrés pour visualiser, télécharger et partager des images inappropriées et illégales.
Enough is Enough – dont la mission est de rendre Internet plus sûr pour les enfants et les familles – a recueilli plus de 50 000 signatures de membres du public et bénéficie du soutien de plus de 75 organisations partenaires.
Au cours des derniers mois, des pressions ont été exercées sur Starbucks – la plus grande chaîne de cafés des États-Unis – pour bloquer la pornographie sur les réseaux WiFi et empêcher que des contenus inappropriés ne soient vus accidentellement ou délibérément par des mineurs.
De nombreuses petites chaînes de restaurants ont déjà pris la décision de bloquer la pornographie sur les réseaux WiFi qui sont fournis aux clients. Panera Bread et Chick-fil-A utilisent le filtrage WiFi pour bloquer la pornographie et protéger leurs clients depuis un certain nombre d’années, mais les grandes chaînes viennent tout juste d’être convaincues qu’il est important de bloquer la pornographie sur les réseaux WiFi des restaurants.
Donna Rice Hughes, présidente d’Enough Is Enough Is Enough, a félicité Starbucks et McDonalds d’avoir mis en place une solution de filtrage WiFi pour restreindre l’accès à la pornographie. Elle a déclaré :
« Nous continuerons d’encourager vigoureusement d’autres entreprises et lieux tels que les hôtels, les compagnies aériennes, les centres commerciaux et les bibliothèques à filtrer la pornographie et les images d’abus pédosexuels sur Wi-Fi accessible au public afin de protéger les enfants et les familles.
2016 n’a pas été une bonne année pour la cybersécurité.
Les atteintes à la protection des données et les cyberattaques ont pris des proportions historiques au fil des ans, faisant de 2016 la pire année en matière de sécurité pour le gouvernement, les entreprises et les utilisateurs individuels jusqu’à présent. Le danger avec ces violations est qu’elles ont la capacité de faire tomber des entreprises et de causer de graves dommages à leur réputation, leurs finances et leurs utilisateurs.
Les plus grands hacks de 2016 ont démontré que beaucoup de données Internet ne sont toujours pas sécurisées. Il y avait les piratages typiques facilités par le spear phishing ainsi que certains piratages menaçants de l’Internet des objets (IoT) qui n’augurent rien de bon pour l’avenir.
Industrie juridique
Les cabinets d’avocats, en particulier ceux impliqués dans les fusions et acquisitions, ont été ciblés en 2016. Les pirates recherchent des informations non publiques sur les entreprises à des fins de délit d’initié. En mars 2016, une cinquantaine de cabinets d’avocats, dont les géants Cravath Swaine & Moore LLP et Weil Gotshal & Manges LLP, ont été victimes d’un groupe de pirates informatiques russes appelé Oleras. À la suite de l’atteinte à la protection des données, des plans ont été annoncés en vue d’intenter un recours collectif contre les entreprises attaquées au sujet de l’exposition des renseignements sur les clients.
Encore une fois, en décembre, Cravath a été harponnée, probablement pour découvrir des informations sur l’énorme projet de fusion de Time-Warner et d’AT&T. Le magazine Fortune a affirmé que l’atteinte à la protection des données s’inscrivait dans le cadre d’une initiative plus vaste du gouvernement chinois.
Toujours en décembre, le procureur général de New York a mis en garde contre une escroquerie qui consistait à envoyer des courriels à des avocats se faisant passer pour des avocats de son bureau.
L’atteinte à la protection des données du Panama Papers a été la plus importante impliquant un cabinet d’avocats en 2016. La firme panaméenne attaquée était Mossack Fonseca, qui vend des sociétés offshore anonymes qui peuvent servir à blanchir des fonds illégaux. Un dénonciateur a fourni au Süddeutsche Zeitung environ 2,6 téraoctets de données sur les politiciens, les criminels, les athlètes professionnels, etc. Environ 400 journalistes du monde entier ont participé à la recherche sur les 11,5 millions de documents constitués de courriels, de fichiers pdf, de fichiers photos et d’extraits d’une base de données interne Mossack Fonseca. Les données couvrent une période allant des années 1970 au printemps 2016. Il y a environ deux ans, le dénonciateur avait déjà fourni des données sur quelques centaines de sociétés offshore ; les Panama Papers concerne environ 214.000 sociétés.
La fuite a eu de profondes conséquences dans le monde entier. « Le point principal ici est que nous pouvons relier les entreprises de la fuite de Panama non seulement avec des crimes économiques comme le blanchiment d’argent, » a déclaré Simon Riondet, chef du renseignement financier d’Europol, « mais aussi avec le terrorisme, les OCG russes [Organized Crime Groups], le trafic de drogue, la traite des êtres humains, l’immigration illégale,[et] la cybercriminalité. »
Industrie de la santé
Depuis le 1er janvier 2017, la Californie s’est associée joint au Wyoming pour faire de l’utilisation de ransomwares un crime autonome. La loi est le résultat de l’attaque du Hollywood Presbyterian Medical Center en février 2016. Les pirates ont pris le contrôle de quelques centaines d’ordinateurs, demandant 3,6 millions de dollars en rançon. Hollywood Presbyterian a finalement payé 17 000 $ pour faire partir les hackers.
Quest Diagnostics a été ciblé en décembre. L’atteinte à la protection des données portait sur les noms, les dates de naissance, les résultats de laboratoire et certains numéros de téléphone, pour un total de 34 000 dossiers.
Banner Health a découvert que les cyberattaquants ne cherchent pas toujours à voler les données des patients. Pendant deux semaines au cours de l’été, des pirates informatiques ont recueilli des données sur les cartes de paiement dans certains points de vente d’aliments et de boissons de Banner. Les attaquants ont intercepté jusqu’à 3,7 millions de noms de titulaires de cartes, de numéros de cartes, de dates d’expiration et de codes de vérification internes au fur et à mesure que les données passaient dans leurs systèmes de traitement des paiements.
Gouvernement
Des rapports continuent de faire surface concernant le piratage des élections américaines par la Russie. De nombreuses sources affirment que l’objectif était d’influencer les électeurs en faveur de Donald Trump. Cela serait conforme au calendrier et à la cible des attentats au début de l’année. Plus de 19 000 courriels de responsables du DNC ont été publiés sur WikiLeaks immédiatement avant la convention nationale du parti démocrate (DNC). Apparemment, la DNC était une cible facile parce qu’elle ne disposait pas d’un service avancé de filtrage des spams. Plus tôt dans l’année, le Comité national démocrate et le Comité de campagne du Congrès démocrate ont été piratés par un groupe de Russes appelés les ducs (TheDukes).
Selon un rapport publié par les services de renseignement américains en janvier 2017, la Russie a utilisé des outils d’attaque typiques pour exfiltrer les données. Elle a complété ces attaques par des campagnes de diffamation non seulement au sein du gouvernement russe et des médias contrôlés par l’État, mais aussi par l’intermédiaire de tiers intermédiaires et d’utilisateurs de réseaux sociaux rémunérés ou « trolls ». En outre, après le jour des élections, les services de renseignement russes ont lancé une campagne de spear phishing ciblant les employés du gouvernement américain et les personnes associées aux groupes de réflexion et ONG américains dans les domaines de la sécurité nationale, de la défense et de la politique étrangère.
L’une des plus grandes brèches gouvernementales de l’histoire a eu lieu en mars lorsque 55 millions de documents ont été volés à la Commission électorale des Philippines (COMELEC). Tout a commencé avec le groupe hacktiviste Anonymous qui a publié un message sur le site web du COMELEC avertissant le gouvernement de ne pas interférer avec les élections aux Philippines. Ensuite, toute la base de données COMELEC a été volée et mise en ligne sur de multiples serveurs miroirs disponibles en téléchargement. La base de données contenait des renseignements permettant d’identifier personnellement chaque électeur philippin inscrit, y compris des renseignements sur son passeport et ses empreintes digitales.
Vente au détail
Il y a eu moins de brèches dans l’industrie de la vente au détail qu’en 2015, année où Home Depot et Target ont été la cible d’attaques massives. Il y avait quand même de quoi s’inquiéter.
En juillet, la Corée du Sud a accusé la Corée du Nord d’avoir volé 20 millions de disques à Interpark, un centre commercial en ligne. La Corée du Sud prétend que le but était d’obtenir des devises étrangères. Interpark a reçu un message anonyme menaçant de rendre publique la fuite de données personnelles à moins de payer l’équivalent de 2,6 milliards de dollars en monnaie sud-coréenne.
Le fabricant de jouets VTech a connu une violation de 6,4 millions de comptes d’enfants en décembre 2015. La tendance s’est poursuivie avec le piratage de 3,3 millions de comptes chez Sanrio, probablement mieux connu pour les produits Hello Kitty. Les dossiers comprenaient les noms, les dates d’anniversaire non chiffrées, le sexe, le pays d’origine, les adresses électroniques, les hachages de mots de passe SHA-1 non salés et les questions et réponses aux indices de mots de passe. En tant qu’adulte, le fait d’avoir de telles données personnelles révélées est déjà assez grave. Cependant, comme la plupart des parents ne surveillent pas le dossier de crédit de leur enfant, toute fraude découlant du piratage pourrait ne pas être détectée avant des années.
En novembre, une ouverture de session d’employé a été utilisée pour accéder aux serveurs de Three Mobile. Les informations prétendument privées des deux tiers des neuf millions de clients de l’entreprise auraient pu être exfiltrées.
Le service de messagerie instantanée Telegram a connu la plus importante brèche connue dans un système de communications chiffrées de bout en bout en août. Le talon d’Achille du système de Telegram était l’utilisation de messages texte SMS pour activer de nouveaux appareils. Des pirates associés au gouvernement iranien ont intercepté les messages et utilisé les codes pour ajouter de nouveaux dispositifs aux comptes de Telegram. Ensuite, les pirates pouvaient lire l’historique des chats et surveiller les nouveaux messages pour les comptes. Plus d’une douzaine de comptes ont été touchés. En outre, les numéros de téléphone de 15 millions d’utilisateurs iraniens ont fait l’objet de fuites.
Les fuites de données qui touchent toutes les industries
Toutes les entreprises ont été potentiellement touchées par le piratage de SWIFT. La Society for Worldwide Interbank Financial Telecommunication (SWIFT) fournit un réseau qui permet aux institutions financières du monde entier d’envoyer et de recevoir des informations sur les transactions financières.
Après une attaque malveillante contre une banque bangladaise, qui s’est soldée par un vol de 81 millions de dollars, SWIFT a publié un correctif logiciel qui détecte le malware attaquant. En septembre, l’organisation a annoncé une série de contrôles de sécurité obligatoires. Les clients doivent démontrer chaque année que ces contrôles sont en place à compter de 2018.
Ciblage des dispositifs IoT – Fuites de données dans l’Internet des Objets
Les cybercriminels ont ciblé les dispositifs Internet des objets (IoT) tels que les webcams, les téléviseurs et les enregistreurs numériques dans une bien plus large mesure qu’auparavant. Étant donné que Gartner prévoit qu’il y aura 20,8 milliards de dispositifs IoT d’ici 2020, il semble probable que l’avenir annonce des attaques similaires à celles de 2016. +
En octobre, un grand nombre de sites web ont été perturbés par les attaques de déni de service distribué (DDoS) contre le fournisseur d’hébergement de systèmes de noms de domaine (DNS) Dyn. Quelque 20 000 appareils IoT ont été infectés par des logiciels malveillants Mirai pour créer un botnet. Le botnet a livré des paquets DDoS à un taux allant jusqu’à un téraoctet par seconde. Un DDoS a également été utilisé pour attaquer les dispositifs IoT eux-mêmes. En octobre, des cybercriminels ont arrêté le chauffage dans deux bâtiments de la ville finlandaise de Lappeenranta.
En 2016, Yahoo a battu le record du plus grand piratage annoncé de l’histoire – deux fois. En septembre, Yahoo a signalé une brèche 2014 d’au moins 500 millions de comptes utilisateurs. Puis en décembre, Yahoo a révélé qu’un autre piratage en 2013 a divulgué des données concernant 1 milliard d’utilisateurs. Cela prouve que vos informations sur Internet ont peut-être été piratées, mais vous ne le savez pas encore. Pire encore, une base de données concernant 57 millions de personnes a été mise en vente sur le dark web en mai 2016. L’origine des données, qui comprenaient les adresses électroniques, les mots de passe et les numéros de cellulaire, est inconnue. Les mots de passe étaient chiffrés avec MD5, un chiffrement facile à contourner.
Et la vie continue …
Les atteintes à la cybersécurité ne doivent jamais être prises à la légère. Bien que les incidents décrits dans cet article soient de grande envergure et très médiatisés, les propriétaires d’entreprises de toutes tailles peuvent tirer des leçons de ces erreurs et prendre des mesures pour les éviter.
Nous nous attendons à ce que ces pirates continuent de muter en 2017. Nous verrons de nouveaux rebondissements dans les anciens emballages. La protection des données continuera d’être un défi, nécessitant des logiciels de sécurité de plus en plus sophistiqués. Bonne année 2017 !
Avec les réseaux sociaux à la portée de pratiquement tous les employés, la diffamation sur Internet est de plus en plus répandue.
La croissance sans précédent des médias sociaux a vu le nombre d’affaires de diffamation impliquant du contenu en ligne augmenter rapidement.
Plusieurs affaires très médiatisées sont en cours, notamment celle de Lord McAlpines pour diffamation contre des utilisateurs de Twitter qui l’ont à tort qualifié de pédophile.
Les sites de médias sociaux et les utilisateurs, y compris les entreprises qui utilisent les réseaux sociaux, doivent faire preuve d’intelligence lorsqu’une action en diffamation est intentée et gagnée.
La popularité des réseaux sociaux tels que Facebook et Twitter auprès de plus d’un milliard d’utilisateurs dans le monde et la possibilité pour les utilisateurs de partager leurs points de vue ou de « retweeter » des commentaires diffamatoires posent un énorme problème aux individus et aux entreprises qui tentent de protéger leur réputation de tels contenus nuisibles générés par les utilisateurs.
Ce qui rend Twitter particulièrement risqué, c’est que n’importe qui peut rapidement atteindre une audience énorme si son message « devient viral » et est publié par d’autres utilisateurs. Les employeurs doivent souligner l’importance de politiques claires afin d’éviter le risque de diffamation sur les médias sociaux parmi leurs employés.
Le harcèlement, la discrimination et les brimades au travail par l’intermédiaire des réseaux sociaux sont en hausse
Les messages sur Facebook et les tweets sur Twitter ont donné lieu à des cas légaux de harcèlement, de discrimination et d’intimidation au travail. Les entreprises doivent être vigilantes quant aux activités en ligne de leurs employés.
Les messages sur Facebook et les tweets sur Twitter ont donné lieu à des poursuites judiciaires pour harcèlement, discrimination et intimidation au travail. À cela s’ajoute l’effet néfaste de ces commentaires diffamatoires de la part d’employés ou de clients sur la marque et la bonne volonté de l’entreprise.
De même, le partage d’une trop grande quantité d’informations en ligne a conduit à l’abandon d’informations confidentielles et exclusives par les entreprises. 3,5 milliards d’éléments de contenu sont partagés chaque semaine sur Facebook, un récent sondage de l’industrie de la sécurité a montré que 73% des personnes interrogées pensent que les employés partagent trop de contenu en ligne. 1 sur 5 ont déclaré qu’ils avaient eux-mêmes subi l’impact négatif de l’information diffusée sur les médias sociaux.
La réputation d’une entreprise est souvent son atout le plus important. Les atteintes à la réputation peuvent entraîner la perte de clients, de revenus et d’employés.
Le risque de réputation devient une préoccupation majeure pour les entreprises de toutes tailles. Les réseaux sociaux ont exacerbé ces préoccupations. Avec la vitesse des réseaux sociaux et leur portée énorme et croissante, la réputation d’une entreprise peut être ruinée en quelques minutes, car des employés mécontents ou même des concurrents peuvent poster des commentaires diffamatoires instantanément et souvent anonymement à travers le monde .
Le contenu des réseaux sociaux est admissible devant les tribunaux
Le contenu des réseaux sociaux est maintenant admissible devant les tribunaux pour être utilisé comme preuve, actuellement un législateur du Texas propose de permettre aux gens d’obtenir des assignations à comparaître par le biais des médias sociaux, « licenciements Facebook » des employés pour leur mauvaise conduite en ligne sont devenus presque monnaie courante.
Virgin Atlantic Airlines, par exemple, a congédié 13 membres d’équipage de cabine après avoir fait des commentaires francs sur Facebook au sujet de la compagnie, de ses passagers et de ses avions.
Certaines grandes entreprises ont formé des équipes de réponse médiatique pour surveiller les commentaires négatifs et, plus récemment, des entreprises ont commencé à se défendre en intentant des poursuites contre ces personnes.
Le revers de la médaille, c’est lorsqu’un employé, en utilisant l’équipement de son employeur et les comptes de réseaux sociaux, diffame une personne ou une entreprise externe.
Les employeurs risquent d’être tenus responsables des actes posés par les employés par l’intermédiaire des réseaux sociaux
Un employeur devrait-il être tenu responsable de cette diffamation s’il n’est pas dirigé et sanctionné ?
La position juridique d’une personne qui publie du contenu en ligne, que ce soit sur Facebook ou Twitter, est claire : elle est responsable de ce contenu. L’ignorance de la loi n’est pas un moyen de défense et cela ne s’applique pas seulement aux individus, mais aussi aux employeurs qui pourraient être tenus responsables des déclarations faites par leurs employés qui sont ensuite considérées comme diffamatoires.
Beaucoup d’utilisateurs sont surpris d’apprendre qu’ils peuvent avoir des ennuis non seulement pour avoir publié des informations diffamatoires, mais aussi pour avoir simplement retweeté ou rediffusé le tweet d’un autre utilisateur. Les employeurs peuvent être tenus responsables du fait d’autrui pour les actes posés par des employés par l’intermédiaire de sites de réseautage social, y compris la diffamation de clients, d’employés ou de concurrents. Si un employeur sait ou a des raisons de savoir qu’un employé se livre à une telle activité, il peut être tenu responsable du fait d’autrui s’il ne prend aucune mesure.
Une orientation claire par le biais d’une politique d’utilisation des réseaux sociaux est vitale
Un employeur doit fournir des directives claires au personnel sur la façon dont il utilise les sites de réseautage social en milieu de travail pour s’assurer que les employés utilisent les sites de façon responsable et qu’ils prennent garde aux commentaires qu’ils font en ligne.
Une politique claire sur les réseaux sociaux doit être mise en place, qui précise clairement que la loi sur la diffamation s’applique à tous les employés qui utilisent les réseaux sociaux, et qu’une attention particulière doit être portée à l’utilisation des comptes de réseaux sociaux d’entreprise.
La communication de la politique de l’entreprise en matière de médias sociaux est vitale, tout comme le fait de s’assurer que cette politique est bien comprise. En l’absence d’une telle politique, les employés non informés ne sont pas conscients des préjudices potentiels de leurs actions.
Définissez clairement la politique de votre entreprise en matière de réseaux sociaux au travail
Les employeurs devraient d’abord décider s’ils autorisent l’utilisation des réseaux sociaux au bureau.
Il est maintenant clair que l’interdiction de l’utilisation des réseaux sociaux a un effet négatif sur le moral des employés et, ce qui est important, cela signifie que l’entreprise ne peut pas profiter des nombreux avantages commerciaux qui sont disponibles via les réseaux sociaux. Il est nécessaire de soutenir l’utilisation des réseaux sociaux dans le cadre d’une politique d’utilisation d’Internet clairement définie.
Voici quelques lignes directrices pour l’élaboration d’une politique sur les médias sociaux :
Lorsqu’ils affichent sur des sites de réseautage social, les employés ne devraient pas parler au nom de l’entreprise à moins d’y être autorisés. Si un employé mentionne l’entreprise à quelque titre que ce soit sur un site web sans autorisation de parler au nom de l’entreprise, l’employé doit déclarer que ses opinions sont personnelles et non une représentation de l’entreprise. Les employés doivent s’abstenir d’afficher tout commentaire qui pourrait être interprété comme étant discriminatoire ou diffamatoire. Il serait utile d’inclure une définition du harcèlement et de la diffamation avec des exemples.
Définir la politique concernant le partage d’informations business
Les réseaux sociaux représentent un changement de paradigme dans la façon dont les gens communiquent et partagent l’information. Un point qui ressort clairement des récentes affaires juridiques est que nous sommes tous des éditeurs maintenant, de sorte que tant les particuliers que les employeurs seraient bien avisés de s’assurer qu’ils sont pleinement informés.
Ce n’est pas un casse-tête, mais vous devez hausser la barre de sécurité de tous les membres de votre organisation pour faire de votre stratégie de réseaux sociaux un succès.
Vous êtes installé dans un nouveau café qui vient tout juste d’ouvrir ses portes et vous apportez votre ordinateur portable ou votre smartphone pour profiter du service Wi-Fi gratuit qu’il offre.
Le café s’appelle « Bread and Butter », votre ordinateur portable identifie un point d’accès (PA) sans fil appelé « Bread and Butter Wi-Fi », et vous vous connectez volontiers en supposant qu’il appartient au café.
Pendant que vous parcourez votre site de médias sociaux préféré, vous accédez à votre courriel et vous constatez qu’une transaction financière a effacé votre compte bancaire en ligne, c’est parce qu’un pirate informatique a capturé toutes vos informations d’identification et vos données personnelles.
Vous venez donc d’être victime d’une attaque de type man-in-the-middle utilisant le jumeau maléfique ou « Evil Twin ».
Introduction
Aujourd’hui, les réseaux sans fil basés sur la norme 802.11, également appelés réseaux Wi-Fi, sont partout. Les gens utilisent ces réseaux dans leur vie quotidienne pour faire des achats en ligne et pour payer leurs factures, entre autres.
Ces dernières années, de plus en plus d’entreprises, comme les cafés, restaurants, et commerces de détail, ont mis en place des points d’accès Wi-Fi pour fournir un service Internet gratuit afin d’attirer et de mieux servir leurs clients. Ces points d’accès sont également appelés « hotspots ».
La plupart du temps, les points d’accès Wi-Fi n’offrent qu’une protection très limitée, voire aucune protection. Les clients n’ont qu’à faire une recherche pour pouvoir se connecter au réseau sans fil d’un établissement, sans autre moyen de chiffrement ou d’authentification que le nom du réseau sans fil (SSID).
En raison de l’absence de protection, les hotspots sont vulnérables à l’attaque Evil Twin, un point d’accès Wi-Fi malveillant qui est conçu par des cybercriminels pour ressembler à un point d’accès légitime offert dans les locaux. Cependant, le hotspot malveillant est mis en place pour écouter les communications sans fil.
Comme les réseaux sans fil Wi-Fi de la plupart des établissements ne fournissent aucun type de chiffrement et d’authentification, un pirate peut configurer un autre point d’accès malveillant pour commencer à transmettre le même SSID que celui utilisé par l’établissement.
Pour un client qui souhaite utiliser le Wi-Fi, si la puissance de signal perçue du point d’accès de l’attaquant est plus forte que celle fournie par l’établissement — soit parce que le pirate dispose d’une antenne d’émission plus puissante, soit parce qu’il est plus proche du client — ce dernier sera amené à faire passer sa connexion Wi-Fi du hotspot légitime à celui du pirate.
Un Evil Twin est un hotspot sans fil malveillant qui se fait passer pour un hotspot légitime
Les pirates informatiques mettent en place des points d’accès jumeaux maléfiques dans les zones desservies par le Wi-Fi public en clonant l’adresse MAC et le Service Set Identifier (SSIS) d’un point d’accès sans fil existant.
Par exemple, un café peut avoir un point d’accès appelé « Internet Coffee » qui est diffusé à partir d’un point d’accès sans fil dans le back office. Le pirate informatique, utilisant son ordinateur portable couplé à l’équipement nécessaire, peut diffuser le même SSID à partir d’une table dans votre environnement Wi-Fi.
En s’assurant que le signal du jumeau maléfique est plus fort que le réseau autorisé, les clients seront tentés de le choisir plutôt que se connecter à un point d’accès légitime.
Dans certains cas, l’ordinateur portable d’un client peut choisir automatiquement le signal le plus fort. Par exemple, les clients séjournant dans un hôtel de villégiature peuvent sélectionner « Connexion automatique » sur leurs appareils pour qu’ils se connectent automatiquement à votre réseau pendant la durée de leur séjour.
Cela permet aux appareils sans fil de se connecter au jumeau maléfique lorsqu’ils se trouvent à sa portée. Si les clients identifient les deux SSID, ils choisiront sans aucun doute le signal fort par défaut.
Il est également possible pour un pirate informatique d’effectuer une attaque par déni de service (DOS) sur le hotspot légitime qui, à son tour, déconnectera tout le monde du réseau Wi-Fi légitime. Les appareils choisiront alors le jumeau maléfique lors de la reconnexion. Ceci est particulièrement facile à réaliser sur les réseaux Wi-Fi ouverts au grand public.
Une fois qu’un client est connecté à un jumeau maléfique, l’attaquant peut facilement écouter le signal et pirater les communications entre les appareils qui y sont connectés. L’attaquant peut surveiller le trafic, voler des identifiants ou rediriger les clients vers des sites web malveillants pour télécharger des malwares ou capturer des identifiants en ligne sur de faux sites.
Dans certains cas, le hotspot malveillant n’a pas besoin d’être un jumeau maléfique en soi. Par exemple, un café local n’a peut-être jamais pris la peine de changer le nom par défaut de son SSID qui inclut le nom du fournisseur Internet. Dans ce cas, un pirate pourrait simplement diffuser un SSID qui incorpore le nom du café et de nombreux clients feront la supposition incorrecte et le sélectionneront.
Un pirate informatique pourrait également créer un hotspot maléfique dans la zone de la piscine d’une station hôtelière avec le mot « pool » contenu dans le SSID, trompant ainsi les voyageurs de la station hôtelière qu’ils doivent se connecter via un hotspot séparé offert par l’hôtel.
Méthodologie de l’attaque Evil Twin
En général, les pirates informatiques procèdent comme suit :
Étape 1 : il scanne les réseaux Wi-Fi existants pour trouver les informations sur le point d’accès de leurs cibles comme le nom du SSID de la connexion.
Il utilise ensuite ces informations pour créer un point d’accès qui ont les mêmes caractéristiques. C’est pour cela qu’on appelle l’attaque « jumeau maléfique ».
Étape 2 : les clients qui se connectent au point d’accès légitime peuvent se déconnecter à plusieurs reprises, ce qui les oblige à se connecter au point d’accès frauduleux. L’une des façons dont les pirates peuvent tromper leurs victimes est d’inonder son réseau de confiance avec des paquets de désauthentification, ce qui rend impossible toute connexion normale à l’internet. Face à une connexion lente ou qui ne permet aucun accès, l’utilisateur moyen frustré découvrira un réseau Wi-Fi ouvert du même nom que le réseau auquel il peut se connecter.
Étape 3 : dès qu’un client se connecte au faux point d’accès, il peut commencer à naviguer sur Internet.
Étape 4 : lorsque le client ouvre une fenêtre de navigateur, il voit un avertissement de l’administrateur web disant « Entrez le mot de passe WPA si vous voulez télécharger et mettre à jour le micrologiciel du routeur ».
Étape 5 : il n’est pas rare qu’un client saisisse le mot de passe pour se connecter au réseau malveillant. A ce moment, il est redirigé vers une page de chargement et son mot de passe est stocké dans une base de données MySQL de la machine du pirate informatique.
Le fait est qu’un utilisateur WiFi peut utiliser différents types d’appareils (Android, iOS, MacOS Windows), mais ils sont tous sensibles. Actuellement les cybercriminels utilisent de nombreux autres moyens pour mener leurs attaques avec moins de complications. Dans le paragraphe suivant, nous allons vous lister quelques scénarios qu’ils peuvent utiliser.
Les différents scénarios d’attaque Evil Twin
Selon Kevin Mitnick, un hacker reconnu mondialement, même si un système de sécurité est aussi fort que l’on pourrait penser, il a toujours un maillon faible – les utilisateurs finaux – et c’est notamment vrai pour la sécurité des réseaux Wi-Fi. Il est par exemple très difficile pour les pirates de contourner le mécanisme de sécurisation des réseaux sans fil WPA2. Comme alternative, ils préfèrent donc attaquer les utilisateurs en utilisant par exemple l’attaque Evil Twin.
Pour ce faire, les cybercriminels peuvent utiliser différents scénarios pour tromper leurs victimes :
La coexistence
Le point d’accès des pirates et les points d’accès de leurs victimes coexistent au même endroit. Les cybercriminels vont tenter de capturer les informations qui circulent via un réseau malveillant. Le point d’accès Evil Twin tente alors de leur fournir un signal plus puissant et d’envoyer un paquet de désauthentification à leurs victimes.
Le remplacement
Le point d’accès de la victime est détourné physiquement avec le nom de l’escroc qui utilise le même SSID que celui du réseau Wi-Fi légitime.
Le clone ad hoc
Pour ce cas précis, le pirate va tenter d’intercepter la communication de leurs victimes et de leur fournir un numéro de téléphone pour les profils demandés. Pour ce faire, il utilise un point d’accès d’outils et un dispositif sans fil qui prend en charge mode moniteur.
Le clone à distance
Le point d’accès du pirate est défini en différents lieux. Il possède le même nom que le point d’accès légitime, lequel est déjà enregistré dans le profil de sa victime. Le pirate peut dont se connecter automatiquement au réseau qu’il utilise.
En général, les faux sites web ou les sites web clonés sont utilisés dans l’une des combinaisons suivantes. D’abord, le site web peut être complètement cloné avec le nom et le logo de tout le contenu du site web légitime. Il peut également n’intégrer que la copie du contenu, du logo et du thème du site légitime.
Bien entendu, les pirates peuvent utiliser un site cloné avec le logo mais avec un nom de domaine différent. Parfois, seul le contenu du site a été copié ou cloné avec un nom différent. Il peut aussi contenir une page d’inscription malveillante.
Bon à savoir
Il est possible que le pirate ne parvienne pas à tromper sa victime pour qu’elle se connecte au point d’accès malveillant. Dans ce cas, il peut rompre la connexion en inondant l’accès au site légitime avec des trames de désauthentification usurpées. Cette attaque, également connue sous le nom d’attaque de désauthentification, indique à la victime que sa connexion a été interrompue.
Une fois que la victime se connecte au point d’accès malveillant, l’attaque est terminée. L’ensemble du processus est utilisé pour permettre aux attaquants de disposer d’une position Man-in-The-Middle à partir de laquelle ils peuvent télécharger des paquets, des malwares ; ou installer des portes dérobées sur l’appareil pour bénéficier d’un accès à distance.
Wi-Fi Phisher, un exemple d’attaque du type Evil Twin
Un chercheur en sécurité grec du nom de George Chatzisofroniou a développé un outil d’ingénierie sociale Wi-Fi qui a été publié sur GitHub. Il a été conçu pour voler les informations d’identification des utilisateurs via les réseaux Wi-Fi sécurisés.
L’outil est dénommé Wi-FiPhisher.
Contrairement à d’autres méthodes de phishing, cette attaque d’ingénierie sociale n’utilise pas la force brute. Il s’agit d’un moyen facile d’obtenir les mots de passe WPA de la personne victime.
Bien entendu, il existe déjà plusieurs outils de piratage sur Internet qui permettent d’attaquer un réseau sécurisé Wi-Fi. Mais ce qui rend cet outil différent, c’est qu’il automatise de multiples techniques de piratage Wi-Fi.
Wi-FiPhisher utilise le scénario d’attaque du type « Evil Twin » en créant d’abord un faux point d’accès sans fil et en se faisant passer pour un point d’accès Wi-Fi légitime. Il déclenche ensuite une attaque par déni de service (DoS) contre le point d’accès Wi-Fi légitime. Il peut également créer des interférences autour de ce point d’accès pour déconnecter les utilisateurs sans fil. Ces derniers sont ensuite invités à inspecter les réseaux disponibles et le piège se referme.
Une fois déconnecté du point d’accès Wi-Fi légitime, Wi-FiPhisher va forcer les ordinateurs et les périphériques hors ligne à se reconnecter automatiquement au jumeau maléfique, ce qui permet au pirate d’intercepter tout le trafic via ces dispositifs.
Cette technique est également connue sous le nom de Phishing du PA, Wi-Fi Phishing, Hotspotter ou PA Honeypot.
Ce genre d’attaque fait usage de faux points d’accès avec des pages de connexion usurpées pour capturer les informations d’identification Wi-Fi des utilisateurs, leurs numéros de carte de crédit, ou pour lancer des attaques du type « Man-in-The-Middle » et infecter les hôtes du réseau sans fil.
Bref, Wi-FiPhisher est un outil de sécurité capable de monter des attaques de phishing rapides et automatisées contre les réseaux Wi-Fi. Il permet aux pirates d’obtenir les identifiants de connexion sans utiliser force la brute.
Une fois que la victime demande l’accès à une page web, l’outil Wi-FiPhisher servira de fausse page réaliste qui lui demandera de confirmer son mot de passe en raison d’une mise à niveau du firmware du routeur.
L’outil pourrait être utilisé par les pirates pour générer du phishing et des attaques du type « man-in-the-middle ».
Cout d’une attaque par Evil-Twin
Une attaque par Evil-Twin est une forme d’attaque de phishing, bien qu’elle semble un peu différente. Contrairement aux autres méthodes de phishing que nous avons mentionnées dans d’autres articles, une attaque par Evil Twin est une forme de phishing qui exploite le Wi-Fi.
Selon TechTarget.com, un jumeau maléfique peut être défini comme « un point d’accès sans fil malveillant qui se fait passer pour un point d’accès Wi-Fi légitime afin que l’attaquant puisse recueillir des informations personnelles ou professionnelles à l’insu de l’utilisateur final ». D’autres surnomme ce type d’attaque comme l’arnaque Starbucks, car elle a souvent lieu dans des cafés.
L’attaque par Evil Twin implique qu’un cybercriminel crée un point d’accès Wi-Fi qui ressemble au vrai. Elle utilise l’identifiant de service (SSID) défini et qui ressemble à celui du vrai réseau. Lorsque les utilisateurs finaux s’y connectent, l’attaquant peut alors écouter le trafic qui circule via le réseau ciblé et voler le nom de compte des utilisateurs, leurs mots de passe et voir toutes les pièces jointes auxquelles ils accèdent lorsqu’ils se connectent au point d’accès compromis.
Sachez que de multiples attaques de phishing ciblent actuellement les entreprises chaque jour. Certaines impliquent l’utilisation des e-mails, tandis que d’autres font appel à de faux sites web ou à des appels téléphoniques frauduleux.
Selon Cybersecurity Ventures, les dommages causés par la cybercriminalité devraient coûter au monde 5,5 milliards d’euros par an d’ici 2021, et le phishing devrait jouer un rôle important.
Et ce n’est pas tout !
L’attaque Evil Twin représente un risque important pour la cybersécurité. Vos employés peuvent par exemple se connecter au site web de votre entreprise via un faux point d’accès WiFi en pensant qu’il s’agit d’un point d’accès légitime. Le pirate derrière le hotspot malveillant peut ainsi obtenir ses identifiants de connexion et avoir accès au site web de votre entreprise. En outre, il peut voler des données ou installer des malwares.
Par ailleurs, les pirates peuvent utiliser l’ingénierie sociale pour cloner une page de connexion et expulser les utilisateurs de votre point d’accès. Cela oblige ces derniers à entrer des identifiants de connexion et à se reconnecter par le portail du pirate, où ses identifiants seront volés et le trafic surveillé.
Le fait est que l’attaque elle-même n’est pas difficile à réaliser. Les pirates n’ont pas besoin de disposer d’un matériel spécial pour réaliser ce type d’attaque. Un pirate peut s’asseoir à côté de l’un de vos clients et lancer le hotspot malveillant en utilisant simplement son ordinateur portable. Enfin, gardez à l’esprit que les utilisateurs finaux peuvent établir manuellement leur connexion sans fil. Leur principale préoccupation est d’avoir une connexion Internet puissante et peu d’entre eux vérifieront comment et où ils sont connectés. C’est ce qui fait le succès de l’attaque Evil Twin.
Comment pouvez-vous savoir si vous vous connectez à un site « Evil Twin » ?
C’est une bonne question ! En fait, la détection d’une attaque Evil Twin repose sur le fait que les utilisateurs puissent repérer un nouveau réseau non sécurisé qui vient d’apparaître et l’éviter.
On pourrait penser que ce serait assez facile. Pourtant, ce n’est pas le cas. Comme nous l’avons susmentionné, la plupart des appareils standards ne disposent pas du type d’outils de reniflage de réseau qui leur permettrait de distinguer un réseau légitime d’un réseau malveillant qui est mis en place par un attaquant.
Les pirates informatiques sont de plus en plus intelligents lorsqu’il s’agit de faire passer le nouveau réseau pour un réseau de confiance. Ils peuvent choisir le même nom de SSID, par exemple, ce qui est souvent suffisant pour confondre un réseau malveillant à un réseau légitime.
En allant plus loin, ils peuvent cloner l’adresse MAC du réseau de confiance pour donner l’impression que le nouveau point d’accès est un clone des points d’accès existants sur le réseau cible, ce qui renforce l’illusion qu’il est légitime.
Pour les réseaux publics, les pirates peuvent même donner l’impression que le faux point d’accès est plus légitime que les vrais routeurs, car les informaticiens sont de plus en plus paresseux, au point qu’ils oublient de cloner eux-mêmes les adresses MAC.
La détection d’une attaque Evil Twin est rendue encore plus difficile, car les attaquants n’ont plus besoin d’utiliser des matériels volumineux et encombrants pour en mener une. Ils peuvent même utiliser l’adaptateur réseau de leurs ordinateurs portables pour lancer l’attaque ou pour créer un petit routeur comme faux point d’accès.
De nombreuses attaques utilisent également le Wi-Fi ananas. Il s’agit d’un kit d’exploitation. Il utilise des sites légitimes comme outil de test de réseau, mais qui peut aussi être utilisé pour créer un réseau Wi-Fi sur une vaste zone. Cela signifie qu’un attaquant n’a pas besoin d’être dans le même bâtiment, ni même dans la même rue, pour cibler un réseau particulier.
Les pirates peuvent utiliser d’autres techniques pour rendre le signal de leur réseau beaucoup plus puissant que celui du réseau légitime. En augmentant la puissance de leur signal Wi-Fi, ils peuvent submerger le réseau cible et le rendre pratiquement indétectable.
Comment éviter les attaques Evil Twin ?
Comme le nombre et la sophistication des cyberattaques ne cessent de croître, il est utile de se tenir au courant des différents types de menaces auxquelles vous pourriez être confronté. Une attaque de type « Evil Twin » n’est que l’une d’entre elles.
Cette technique de piratage ne date pas d’hier. Elle est vieille de près de deux décennies. Pourtant, même s’il s’agit d’un vecteur d’attaque connu, les attaques Evil Twin restent difficiles à prévenir si vous n’adoptez pas certaines mesures de sécurité et si vous ne mettez pas en place les protections adéquates. Et même si cette attaque est assez courante, elle peut être d’une efficacité dévastatrice contre les victimes non avisées.
Les méthodes existantes pour détecter les attaques Evil Twin est de tenir une liste blanche et d’appliquer des correctifs sur les points d’accès. Vous devriez également appliquer les solutions basées sur le timing, les modifications de protocole, etc.
Ces méthodes nécessitent généralement une installation et une maintenance importantes pour qu’elles ne présentent pas de problèmes d’évolutivité et de compatibilité. De plus, elles nécessitent des modifications de la pile de protocoles, ce qui les rend coûteuses à déployer et à gérer.
Les conditions du réseau dans le cadre d’une attaque normale et d’une attaque par jumeau maléfique sont presque similaires, ce qui fait que la création d’une signature ou la définition d’un modèle d’anomalie entraîne généralement une grande quantité de faux positifs.
Les entreprises qui offrent la connexion Wi-Fi à leurs employés ou à leurs clients peuvent utiliser des systèmes de prévention des intrusions sans fil afin de détecter la présence d’une attaque Evil Twin et empêcher les employés et les clients des entreprises s’y connecter.
Demandez toujours à l’établissement quel est le nom du hotspot officiel. Cela vous évitera de faire des suppositions incorrectes et de choisir un hotspot malveillant.
Évitez de vous connecter à des points d’accès Wi-Fi qui portent la mention « Unsecure » (ou « non sécurisé »), même s’ils leurs SSID vous semblent familier.
Ne visitez que les sites web HTTP, surtout lorsqu’ils se trouvent sur des réseaux ouverts. Les sites web HTTP offrent un chiffrement de bout en bout. Ceci rend difficile – voire impossible – pour les pirates de voir ce que vous faites lorsque vous visitez ces sites.
Si le hotspot officiel auquel vous voulez vous connecter a une clé, essayez de taper intentionnellement la mauvaise clé. Si la connexion accepte la clé manifestement erronée, il s’agit très probablement d’un jumeau maléfique.
Désactivez les fonctions « auto connect » ou « auto join » pour les hotspots enregistrés pour tous vos appareils sans fil. C’est quoi qu’il en soit une bonne idée.
Vous devriez également vous déconnecter manuellement d’un hotspot toutes les deux heures et vous reconnecter manuellement au hotspot de votre choix, en saisissant le mot de passe pour confirmer la connexion.
Utilisez un VPN chaque fois que vous vous connectez à un Wi-Fi public. Ceci vous permet de vous assurer que les pirates ne puissent voir vos habitudes de navigation.
Malheureusement, la plupart des innovations dans l’environnement Wi-Fi se sont limitées à des éléments tels que la portée du signal, au débit et à la connectivité plutôt que la sécurité.
En l’absence d’une plus grande insistance de l’industrie sur la sécurité Wi-Fi, ou de critères définis pour évaluer la sécurité Wi-Fi en général, de nombreux administrateurs réseau n’ont pas la clarté nécessaire pour prévenir avec succès les menaces Wi-Fi. L’éducation sur les menaces web est essentielle, tout comme la mise en place d’un système de protection contre les attaques lancées via le web.
Ce que vous pouvez faire en tant que propriétaire d’entreprise
Annoncez clairement le nom du réseau sans fil que vous offrez à vos clients dans un endroit bien en vue pour qu’ils puissent le voir. Plutôt que de simplement fournir un Wi-Fi ouvert, protégez le hotspot avec une Personal Security Key (PSK) et créez un système pour fournir la clé à vos clients.
Vérifiez l’espace client avec votre propre appareil mobile pour rechercher les hotspots qui se font passer pour vos hotspots officiels et alertez vos clients si nécessaire.
Obtenez les services d’un expert en communications sans fil si vous soupçonnez que quelqu’un a placé de façon permanente un hotspot malveillant ou Evil Twin sur votre propriété. À l’aide d’un ordinateur portable et d’une antenne, un professionnel qualifié peut trianguler l’emplacement d’un AP malveillant. Il existe également des applications logicielles telles que EvilAP_Defender, qui est conçu pour trouver des jumeaux maléfiques et même avertir par e-mail lorsqu’on en a identifié un.
Conseils pour les administrateurs réseau
La conception de la méthode de détection d’une attaque Evil Twin est la détection de différentes passerelles, basée sur l’hypothèse suivante :
Les pirates peuvent déployer plus d’une interdiction d’accès à un point d’accès, tout en offrant une couverture plus large à vos clients. Cependant, même s’ils créent plusieurs points d’accès appartenant à un même point d’accès, ils utiliseront toujours une seule passerelle pour permettre aux utilisateurs finaux d’accéder à Internet. On retrouve souvent ce type de topologie de réseau sans fil dans les cafés, les hôtels et les aéroports. Pour éviter les attaques, vous pouvez donc attribuer des adresses IP privées aux clients qui se connectent à votre réseau Wi-Fi. Ces adresses IP privées seront traduites en IP publique de la passerelle par le biais d’un traducteur d’adresse de port (PAT) ou d’un traducteur d’adresse réseau (NAT).
En fait, dans notre dossier, nous avons seulement discuté du scénario où il y a un point d’accès légitime et un autre point d’accès malveillant. Si le client reçoit plus de deux signaux de hotspots, la méthode de détection susmentionnée peut être utilisée sans aucun changement afin de passer d’un hotspot à l’autre.
Comme chaque changement de point d’accès doit être effectué au milieu d’une connexion SSL/TCP, si l’un de ces points d’accès utilise une passerelle différente, la connexion SSL/TCP sera interrompue et déclenchera une alarme. Cela empêchera le pirate informatique de créer un serveur pour contourner votre procédure de détection.
Il peut arriver que l’attaquant utilise la même passerelle légitime pour transmettre les données du client, cette méthode de détection ne fonctionnera pas. Mais si vous combinez cette méthode avec d’autres méthodes de détection, vous pourrez mettre en place un système de détection efficace contre les attaques du type Evil Twin.
Conclusion
La sécurisation du Wi-Fi est une opération difficile, et les consignes de sécurité recommandée par les différents fournisseurs de connexion sans fil créent plus de confusion que de clarté.
Pour les utilisateurs d’une connexion sans fil, l’attaque evil twin est presque impossible à détecter puisque les pirates utilisent un SSID qui semble légitime et fournissent généralement un service Internet.
Dans la plupart des cas, le meilleur moyen de rester en sécurité est de toujours utiliser un VPN. Ceci permet d’encapsuler la session Wi-Fi dans une couche de sécurité plus fiable. Pour les entreprises, il est également essentiel de donner une formation aux employés afin qu’ils puissent détecter les escroqueries de phishing, les attaques du type Man-in-The-Middle, et bien d’autres menaces en lignes qui peuvent être lancées via les réseaux Wi-Fi non sécurisés.
Pour remédier à ce problème, TitanHQ a développé des solutions technologiques, des solutions complètes, facile à déployer et à gérer pour sécuriser votre connexion Wi-Fi. Elles sont capables de détecter et de prévenir les différentes menaces Wi-Fi qui ciblent votre organisation, y compris les attaques evil twin.
Parlez dès aujourd’hui à l’un de nos experts en sécurité pour savoir comment sécuriser votre Wi-Fi public afin de prévenir les attaques coûteuses et dommageables.
