Bien que la plupart des organisations mettent en place la meilleure formation et solution de sécurité pour protéger les informations d’identification des utilisateurs contre le vol, les attaquants ont toujours de nombreux moyens de compromettre un réseau et de voler des données.
On ne sait pas encore comment les attaquants ont pu dérober plus de 3,2 millions d’enregistrements de données des clients de DriveSure, mais il semble que les informations volées provenaient de la base de données MySQL de l’entreprise.
Résultat : les informations d’identification du site ainsi que plusieurs points de données privées ont été exposés publiquement sur Internet.
Qu’est-il arrivé à DriveSure ?
DriveSure est un site de formation utilisé pour aider les concessionnaires automobiles à vendre et à conserver leurs clients. Il compte des millions de clients qui s’inscrivent pour recevoir des formations et des cours.
Pour ce faire, ces derniers doivent fournir leur nom complet, leur adresse, leur numéro de téléphone, leur adresse électronique, le numéro d’immatriculation et le carnet d’entretien de leur véhicule, leurs déclarations de sinistre, entre autres.
Les données publiées comprenaient des comptes de grandes entreprises et des adresses des autorités militaires
Plus tôt dans l’année, des chercheurs ont remarqué que des informations concernant les clients de DriveSure avaient été téléchargées sur plusieurs forums de piratage. La plupart des attaquants ont volé des données pour les revendre ensuite avec profit. Cependant, l’argent qui aurait pu être généré ne semblait pas être leur principal objectif.
Les pirates ont lentement mis à jour l’ensemble de la base de données des données volées, gratuitement et sans demander de l’argent
Le motif de des pirates n’ayant pas encore été connu, les données ont été déjà proposées gratuitement sur de nombreux forums de piratage. Elles étaient ainsi librement accessibles à toute personne qui était en mesure de trouver les fichiers en ligne.
Au fur et à mesure que de plus en plus de personnes téléchargeaient les fichiers, les données devenaient disponibles pour davantage de personnes sur d’autres sites. Tout utilisateur qui s’est inscrit sur le site DriveSure doit donc changer son mot de passe sur le site.
Quelles sont les données clients de DriveSure ayant été exposées publiquement ?
Outre les données privées sensibles disponibles, le cyber-attaquant de DriveSure a également mis à disposition pour téléchargement plus de 93 000 mots de passe hachés par bcrypt.
Dans une application sécurisée, le développeur stocke un mot de passe sous forme de valeur hachée avec un sel pour le rendre plus difficile à craquer.
En cryptographie, un sel est une donnée aléatoire utilisée comme entrée supplémentaire dans une fonction de hachage à sens unique d’un mot de passe ou d’une phrase de passe, tandis que bcrypt est une fonction standard pour le hachage de mots de passe.
Qu’est ce que le hachage ?
Pour faire simple, une fonction de hachage est destinée à prendre le texte d’un mot de passe pour ensuite le « mouliner » afin d’obtenir une signature (également appelée empreinte).
Lorsqu’un utilisateur entre un mot de passe, l’ordinateur ne va pas envoyer celui-ci au serveur ni l’enregistrer, mais plutôt sa signature. Lorsque l’utilisateur se connectera, au lieu de vérifier si le mot de passe est identique, le serveur va donc vérifier que la signature du mot de passe entrée est bien la même que celle du mot de passe enregistré.
DriveSure utilise une méthode cryptographique sécurisée pour stocker les mots de passe
Cependant, même si un mot de passe est sécurisé par cryptographie, d’autres, qui ont été téléchargés, peuvent encore être forcés par force brute pendant une longue période si rien n’est mis en place pour limiter le nombre de tentatives.
Par ailleurs, les mots de passe de mauvaise qualité peuvent être forcés par force brute même s’ils sont stockés sous forme de hachage sécurisé par cryptographie.
Le problème avec la disponibilité de mots de passe hachés est qu’un attaquant peut passer des jours à exécuter des scripts contre chacun d’entre eux. Tout mot de passe faible peut être forcé par brute, et de nombreux utilisateurs configurent le même mot de passe sur plusieurs sites.
Puisque les adresses email sont également disponibles, un attaquant pourra utiliser des scripts pour prendre le contrôle de comptes sur plusieurs sites en utilisant les mêmes mots de passe obtenus sur le site DriveSure. Cela permet à un pirate d’accéder à tout compte utilisant le même mot de passe sur plusieurs sites, y compris celui de DriveSure.
Les données provenaient d’une base de données MySQL piratée, de sorte que toute information collectée à partir de DriveSure serait vulnérable à l’exposition. Pour pallier ce problème, l’entreprise a décidé de chiffrer les données qui devraient être conformes aux normes de conformité, mais la plupart des données étaient encore disponibles en texte brut.
Que pouvez-vous faire si vous avez utilisé DriveSure ?
Comme DriveSure ciblait les entreprises en tant que clients, les chercheurs ont trouvé de nombreux comptes de messagerie professionnelle inclus dans la base de données.
Si votre entreprise a utilisé DriveSure pour former vos employés, toutes les informations relatives aux comptes d’utilisateurs fournies au site sont peut-être incluses dans sa base de données en ligne et sont probablement mise en ligne sur divers forums de piratage.
La meilleure défense contre les attaques cybercriminels consiste à changer immédiatement les mots de passe, même s’ils étaient sécurisés par cryptographie et comportaient plusieurs caractères. Tout employé ayant le même mot de passe sur DriveSure et sur le réseau de votre entreprise fait courir à cette dernière le risque d’une violation de données.
Il n’est pas rare que les attaquants utilisent des données trouvées sur Internet pour lancer des attaques de phishing. Ils peuvent envoyer directement un email malveillant aux utilisateurs qui figurent sur la liste ou utiliser les adresses électroniques pour lancer d’autres attaques sur d’autres employés.
Si un pirate peut accéder au compte de messagerie de l’utilisateur par le biais d’une usurpation d’identité, il peut alors envoyer un email à d’autres employés en incitant ces derniers à divulguer des informations sensibles.
Les filtres de messagerie empêcheront les attaques par usurpation d’identité, de sorte que la base de données divulguée ne pourra pas être utilisée contre votre organisation dans une attaque par phishing. Vous pouvez également former les utilisateurs à la détection des attaques de phishing afin qu’ils n’en soient pas victimes.
Outre l’utilisation de filtres de messagerie, tout utilisateur trouvé dans la base de données doit immédiatement changer son mot de passe. Enfin, il faut apprendre aux utilisateurs à ne pas utiliser le même mot de passe pour plusieurs comptes afin d’éviter tout problème à l’avenir.
Sachez que vous pouvez améliorer la protection des données de vos clients avec la protection multicouche de TitanHQ. Si vous voulez découvrir comment nous pouvons protéger votre organisation contre les violations de données, contactez un membre de notre équipe dès aujourd’hui.
Les clients choisissent de plus en plus de rendre visite aux détaillants en fonction de la disponibilité ou non d’un accès Internet gratuit.
Le fait de fournir un accès Wifi n’attire pas seulement plus de clients.
Il offre aussi aux détaillants l’occasion de communiquer de nouvelles initiatives de vente à leurs clients et permet de recueillir des renseignements précieux sur ce que les clients font à l’intérieur des magasins.
La surveillance des sites Web consultés par les clients permet également aux détaillants d’avoir une connaissance précieuse de leur comportement.
Les détaillants offrent de plus en plus de services Wifi gratuits en magasin pour attirer davantage de clients, mais cela comporte des risques.
Les risques du Wifi en magasin pour les clients de Selfridges
Si les clients disposent d’un accès libre et gratuit à Internet, ils pourraient accéder à des contenus inappropriés, télécharger accidentellement des malwares ou utiliser la connexion pour télécharger de fichiers illégaux.
Les détaillants peuvent tirer d’énormes avantages en offrant à leurs clients un accès gratuit à leur réseau Wifi, mais l’absence de solutions de sécurité permettant d’atténuer ces risques peut créer des dégâts néfastes.
Un filtre de contenu Web pour les hotspots publics est maintenant essentiel.
Les magasins Selfridges avaient l’avantage de fournir un accès Wifi gratuit à leurs clients, mais cela représentait aussi des risques.
Si le Wifi devait être fourni en magasin, il devrait être sécurisé pour empêcher les clients d’installer des malwares ou d’accéder à des sites Web de phishing.
Les magasins Selfridges avaient également besoin d’une protection contre la responsabilité juridique.
Des mesures devaient donc être prises pour empêcher les clients d’accéder à des contenus inappropriés en magasin et pour empêcher les mineurs d’accéder à des contenus pour adultes.
Selfridges était fier d’offrir des produits et un service à la clientèle de haute qualité. Il était donc important pour cette enseigne de s’assurer que son service Wifi reflète les valeurs de ses magasins.
Alisdair Morison, responsable informatique chez Selfridges, a déclaré : « Nous devions nous assurer que les clients ne puissent pas accéder à des sites malveillants ou à des contenus inappropriés lorsqu’ils se trouvent dans nos magasins.
En cas de consultation de contenu inapproprié, les risques sont considérables.
Nous savions que si un invité accédait à un contenu pornographique via notre réseau Wifi et qu’un enfant ou une autre personne pouvait par inadvertance voir son écran, nous serions légalement responsables.
Il en va de même pour les téléchargements illégaux de fichiers via notre réseau Wifi. »
Le choix d’une solution a posé un certain nombre de défis. En effet, Selfridges ne dispose que d’un petit département informatique très occupé.
Pour les employés de ce département, la mise en place d’une solution de filtrage Web ne représente donc qu’une petite charge administrative.
Comme le personnel technique ne pouvait pas être présent dans chaque magasin, il était donc important que la solution de filtrage Web puisse être gérée à distance pour les quatre sites, c’est-à-dire qu’il n’est plus nécessaire d’être présent sur le site
Selfridges sécurise la Wifi de ses magasins avec WebTitan
Selfridges a contacté TitanHQ et a choisi WebTitan Cloud pour la sécurisation de ses réseaux Wifi.
Sur ce point, Alisdair Morison a déclaré : « Nous avons examiné un tas de solutions. J’ai été vraiment surpris par le prix et les fonctionnalités que nous allions obtenir avec WebTitan Wifi.
Les autres solutions n’avaient pas toutes les fonctionnalités que nous voulions. Elles pouvaient faire ce que nous faisons maintenant avec WebTitan Wifi, mais à un coût supérieur ».
La solution a été mise en place en moins d’une demi-journée et l’équipe informatique de Selfridges peut désormais gérer la solution à distance et surveiller toutes les connexions Wifi.
Les quatre sites sont gérés par l’intermédiaire d’une console centrale de gestion de l’administration.
Tout ce qu’il fallait pour commencer était :
D’ajouter l’adresse IP externe de l’entreprise à une interface graphique
De mettre à jour les redirecteurs DNS
De régler les contrôles de filtrage.
Selfridges peut maintenant bloquer les contenus pornographiques, les activités illégales comme le partage de fichiers et les activités douteuses sur le plan éthique ou juridique.
Le réseau Wifi est adapté aux enfants, de sorte que les parents n’ont plus à se soucier du contenu auquel leurs enfants peuvent accéder dans les magasins.
Ses réseaux Wifi peuvent être utilisés en toute sécurité par les 200 millions de visiteurs annuels.
Par ailleurs, les employés et les clients de Selfridges peuvent désormais bénéficier des avantages du Wifi en magasin.
Le site web de réservation d’hôtel en ligne Hotels.com, basé au Texas, a informé ses clients que certaines de leurs informations sensibles ont été exposées.
La violation de données du site Hotels.com a impliqué la divulgation de noms d’utilisateur et de mots de passe, d’adresses email et des quatre derniers chiffres des numéros de carte de crédit des utilisateurs du site.
Plusieurs clients du site Hotels.com ont été piratés
Les comptes d’utilisateurs ont été piratés entre le 22 et le 29 mai, mais jusqu’alors, on ne sait pas exactement combien de personnes ont été touchées.
Bien que les numéros de carte de crédit complets n’aient pas été obtenus, la violation des données du site Hotels.com exposera les utilisateurs à un risque élevé d’attaques de phishing.
Il est courant pour les utilisateurs qui ont subi une atteinte à la protection des données ou un incident de sécurité de recevoir des emails d’avertissement concernant l’attaque de phishing.
Cependant, les emails de phishing peuvent prendre de nombreuses formes.
D’une manière générale, ces emails prétendent à juste titre que les renseignements sensibles d’un utilisateur ont été compromis, mais ils ne proviennent pas de l’entreprise qui a subi l’atteinte.
Ce sont plutôt les cybercriminels qui ont mené l’attaque, ou les individus qui ont acheté des données volées aux attaquants, qui les envoient.
Dans un scénario typique de phishing, les victimes sont informées que leur nom d’utilisateur et leur mot de passe ont été compromis.
Un lien est inclus dans les emails pour permettre à l’utilisateur de réinitialiser son mot de passe ou d’activer des contrôles de sécurité supplémentaires sur son compte.
Ce lien dirigera l’utilisateur vers un site web de phishing où il obtiendra de plus amples renseignements — les chiffres manquants de son numéro de carte de crédit par exemple — ou d’autres renseignements personnels.
Le lien peut également diriger l’utilisateur vers un site web malveillant contenant un kit d’exploitation qui télécharge un malware sur son ordinateur.
Les clients d’Hotels.com ont été ciblés par une campagne de phishing en 2015 qui a amené de nombreux utilisateurs du site à divulguer des informations telles que leurs noms, numéros de téléphone, adresses email et les détails de leurs voyages.
Ces informations pourraient être utilisées dans d’autres escroqueries ou même pour des vols qualifiés, par exemple, lorsque les victimes sont connues pour être en vacances.
La violation des données du site Hotels.com est la dernière d’une série d’attaques contre des entreprises en ligne.
Bien qu’on ne sache pas encore clairement comment l’accès aux comptes des clients a été obtenu, une lettre envoyée par email aux victimes laisse entendre que les attaques pourraient être liées à des violations sur d’autres sites web.
Utilisez des mots de passes forts et uniques pour contrer les attaques de phishing
La lettre laisse entendre que l’accès aux comptes en ligne aurait pu résulter de la réutilisation de mot de passe.
Réutiliser les mots de passe sur plusieurs plateformes en ligne est une mauvaise idée.
Bien qu’il soit plus facile de se souvenir d’un seul mot de passe, une violation sur n’importe quel site web en ligne signifie que les attaquants seront en mesure d’accéder à des comptes sur plusieurs sites.
Pour éviter cela, des mots de passe forts et uniques devraient être utilisés pour chaque compte en ligne. Bien que ces mots de passe puissent être difficiles à mémoriser, un gestionnaire de mots de passe peut être utilisé pour les stocker.
De nombreux gestionnaires de mots de passe aident également les utilisateurs à générer des mots de passe forts et uniques.
Dans la mesure du possible, les utilisateurs devraient également tirer parti des contrôles d’authentification à deux facteurs sur les sites pour améliorer la sécurité de leurs comptes.
Étant donné que de nombreuses entreprises utilisent des sites web de réservation d’hôtels comme Hotels.com, elles devraient être particulièrement vigilantes en ce qui concerne les emails de phishing au cours des prochaines semaines, notamment ceux liés à hotels.com.
SpamTitan : la solution contres les attaques de phishing
Pour vous protéger contre les attaques de phishing, nous vous recommandons d’utiliser SpamTitan.
SpamTitan bloque plus de 99,9 % des emails de phishing et autres spams, réduisant ainsi le risque que ces messages soient transmis aux utilisateurs finaux.
En plus de la formation de sensibilisation à la sécurité et des exercices de simulation de phishing, les entreprises peuvent se défendre avec succès contre les attaques de phishing grâce à SpamTitan.
Suite à l’annonce récente de l’abandon par Intel Security des produits SaaS de protection de la messagerie Mcafee, SpamTitan se prépare pour 2016, étant donné que les entreprises commenceront à chercher un nouveau fournisseur de sécurité pour assurer une protection continue.
La solution antispam SaaS de protection de la messagerie Mcafee touche à sa fin
Intel Security, le nouveau nom de la société McAfee, a pris la décision de quitter le secteur de la sécurité de la messagerie électronique. L’entreprise abandonnera ses produits SaaS de protection de la messagerie et se concentrera sur d’autres secteurs d’activité.
À partir du 11 janvier 2016, McAfee SaaS Email Protection and Archiving et McAfee SaaS Endpoint ne seront plus vendus par Intel Security.
La nouvelle ne devrait pas déclencher un exode massif des entreprises vers d’autres fournisseurs au début de 2016, car Intel Security a annoncé qu’elle continuera à fournir un support pour ses produits pendant les 3 années à venir.
La prise en charge de McAfee SaaS Email Protection and Archiving et SaaS Endpoint cessera après le 11 janvier 2019.
Toutefois, on pourrait s’attendre à ce que de nombreux clients se tournent vers un nouveau fournisseur de sécurité de la messagerie électronique au cours de la nouvelle année.
Solutions antispam de SpamTitan Technologies
SpamTitan Technologies offre une gamme d’appliances de sécurité de la messagerie d’entreprise rentables qui protègent les réseaux contre les malwares, les autres variantes de logiciels malveillants et les spams.
Les utilisateurs bénéficient des deux moteurs antivirus, dont Bitdefender et Clam Anti-Virus, qui offrent une excellente protection contre le spamming et le phishing.
SpamTitan est une solution antispam très efficace qui a d’abord été lancée en tant que solution image.
Suite à un accord avec VMware, SpamTitan a été développé en appliance virtuelle.
La gamme de produits antispam a depuis été développée pour inclure SpamTitan OnDemand en 2011 et SpamTitan Cloud en 2013.
En août 2015, SpamTitan a bloqué 2 341 milliards d’e-mails et a aidé à protéger les réseaux d’affaires des malwares et des virus.
SpamTitan a été la première appliance anti-spam à recevoir deux prix VBSPAM+ de Virus Bulletin. La marque a également reçu 22 certifications VBSpam consécutives de Virus Bulletin.
De plus, SpamTitan a remporté le prix de la meilleure solution anti-spam aux Computing Security Awards en 2012.
Des entreprises basées dans plus de 100 pays à travers le monde ont choisi SpamTitan comme partenaire offrant une solution antispam pour leur messagerie électronique.
L’appliance de sécurité de la messagerie empêche 99,98 % des spams d’arriver dans la boite de réception des utilisateurs.
Solutions de filtrage Web de WebTitan de SpamTitan Technologies
WebTitan offre aux petites et moyennes entreprises une passerelle Web sécurisée et rentable qui leur permet de bloquer les malwares et les sites Web malveillants, avec des contrôles très granulaires permettant de définir des privilèges individuels, de groupe et d’organisation.
Livrée sous forme d’appliance logicielle qui peut être intégrée de manière transparente aux réseaux existants, la solution Webtitan est essentielle pour protéger tous les utilisateurs professionnels et permettre une navigation sécurisée sur Internet.
WebTitan Cloud est une solution de filtrage Web dans le cloud. Elle ne requiert aucune installation logicielle.
Grâce à cela, vous pouvez créer vos propres politiques d’utilisation du Web et bloquer les sites Web infectés par des malwares, les sites Web répréhensibles ; et limiter facilement l’accès des employés à des contenus inapproprié d’Internet pendant leur temps de travail.
Par ailleurs, vous pouvez bénéficier d’un ensemble complet d’outils de reporting qui vous permettent de suivre facilement l’activité de navigation de chaque utilisateur final au sein de votre organisation.
WebTitan WiFi a été développé pour les fournisseurs WiFi et les fournisseurs de services gérés (MSP) pour permettre un contrôle facile de l’accès Internet.
WebTitan WiFi permet aux utilisateurs de bloquer facilement le contenu répréhensible et les sites Web malveillants, avec des contrôles pouvant être appliqués par emplacement.
La solution de cloud computing ne nécessite aucune installation logicielle. Tout ce qu’il vous faut pour commencer à protéger votre entreprise, c’est une simple redirection DNS vers les serveurs cloud WebTitan.
Les filtres web avancés WebTitan ont bloqué 7 414 pages Web infectées par des malwares en août 2015 et aidé les entreprises à mieux se protéger contre les contenus malveillants des sites Web, les campagnes de phishing et les téléchargements de malwares par drive-by.
Combien de fois avez-vous reçu un appel téléphonique ou un email d’un gestionnaire de votre organisation vous demandant de lui donner le mot de passe d’un salarié pour lui permettre d’accéder à son compte de messagerie électronique ?
Cette demande est souvent faite lorsqu’une personne est en congé et qu’elle reçoit un appel d’un client ou d’un collègue qui veut savoir si elle a donné suite à une demande envoyée avant son départ.
Trop souvent, un client envoie un email à son gestionnaire de compte avant de partir en vacances, mais il n’est pas rare qu’il oublie de le faire par inadvertance.
L’accès au compte de messagerie électronique est nécessaire pour éviter tout embarras ou pour s’assurer qu’une occasion de vente ne soit pas manquée.
Peut-être que le salarié en question n’a pas configuré son message d’absence du bureau et que les clients ne savent pas qu’ils doivent communiquer avec une autre personne pour obtenir une réponse à leurs questions.
Autrefois, les gestionnaires avaient l’habitude de garder un journal de tous les mots de passe des utilisateurs dans un fichier sur un ordinateur.
En cas d’urgence, ils peuvent donc vérifier le mot de passe et accéder à tout compte utilisateur.
Désormais, ce comportement représente un certain risque et il n’est plus acceptable pour de nombreuses raisons, outre le fait d’empiéter sur la vie privée des employés.
Si un mot de passe ou des informations d’identification sont connus d’une autre personne, rien n’empêche cette dernière de les utiliser à tout moment.
Comme les mots de passe sont fréquemment utilisés pour les comptes personnels et professionnels, la divulgation de ce mot de passe pourrait compromettre les comptes personnels de l’individu.
La tenue à jour de listes de mots de passe rend plus difficile la prise de mesures en cas d’utilisation inappropriée d’Internet et du courrier électronique.
Si un mot de passe a été partagé, il n’y a aucun moyen de déterminer si une personne a enfreint la loi ou les politiques de l’entreprise. Cela pourrait être n’importe quel autre individu qui utilise le login et le mot de passe partagé.
Le personnel informatique n’est donc pas autorisé à donner des mots de passe. Si besoin, il doit plutôt réinitialiser le mot de passe de l’utilisateur, créer et émettre un mot de passe temporaire que l’utilisateur devra réinitialiser à son retour au travail.
De nombreux gestionnaires seront insatisfaits de ces procédures et voudront tout de même tenir leur liste à jour.
Les employés seront mécontents, car ils utilisent souvent leurs comptes de messagerie professionnels pour envoyer des emails personnels.
La réinitialisation d’un mot de passe et le fait de donner l’accès à un gestionnaire pourraient être considérés comme une atteinte majeure à la vie privée.
Quelle est la solution pour sécuriser les mots de passe de vos salariés ?
Il existe une solution simple pour garantir la protection de la vie privée des personnes, pour régler les répondeurs automatiques en cas d’absence du bureau et pour ne manquer aucun email important.
Pour ce faire, vous pouvez configurer des boîtes aux lettres partagées, bien que celles-ci ne soient pas toujours populaires.
Vous pouvez faire ceci dans Outlook. Souvent, le gestionnaire peut avoir besoin d’en configurer plusieurs dans son programme Outlook.
Il devra également former les membres du personnel sur l’utilisation des boîtes aux lettres partagées et rédiger les politiques d’utilisation. Ils peuvent avoir besoin de garder toujours ouvertes les boîtes aux lettres de plusieurs équipes dans Outlook.
Existe-t-il une autre solution plus simple pour sécuriser les mots de passe de vos salariés ?
Il y a un autre choix : déléguer les permissions.
Il est plus compliqué d’implémenter ce contrôle, car il ne requiert qu’un administrateur MS Exchange pour fournir un accès délégué.
L’utilisation de l’accès délégué permettra à une personne, avec les autorisations appropriées, d’envoyer un email au nom d’un autre employé.
Cela signifie que les boîtes aux lettres n’ont plus besoin d’être ouvertes en permanence. Elles peuvent simplement être ouvertes lorsqu’un email doit être envoyé.
C’est peut-être l’idéal, mais cela ne permettra pas à un responsable de configurer un répondeur « Out-Of-Office ».
Cela nécessiterait qu’un membre du département informatique, c’est-à-dire un gestionnaire de domaine, le fasse. Un ticket devra également être soumis pour demander l’action.
Ce n’est peut-être pas très populaire auprès des gestionnaires, mais c’est la seule façon d’exécuter la tâche sans révéler les informations d’identification de l’utilisateur et sans établir un mot de passe temporaire qui pourrait porter atteinte à sa vie privée.
La sécurité des mots de passe est toujours vitale
Si vous rencontrez une résistance, vous devez expliquer les raisons pour lesquelles le partage de mot de passe n’est pas autorisé, c’est-à-dire les risques et inconvénients que cela peut entraîner.
Ces questions devraient être incluses dans les politiques d’utilisation des ordinateurs, d’Internet et du courrier électronique d’une entreprise.
Si le partage des mots de passe contrevient aux politiques de l’entreprise, toute demande de partage de mots de passe entraînerait la violation de ces politiques par le service informatique.
Les demandes de divulgation de ces informations devraient donc être rejetées.
Bien entendu, les répondeurs automatiques « Out-Of-Office » ne constituent pas un problème informatique.
C’est une question qui devrait être traitée dans le cadre de la formation du personnel.
C’est aussi une vérification qu’un gestionnaire doit faire avant qu’un membre du personnel quitte et parte en vacances, alors que l’employé est encore au travail.
Raisons pour lesquelles les mots de passe ne devraient jamais être partagés, même avec un gestionnaire
Les mots de passe sont privés : il s’agit d’un élément fondamental de la sécurité informatique et des réseaux. Cette règle ne peut pas être enfreinte ou contournée.
Il existe des alternatives au partage des mots de passe qui permettront d’atteindre le même objectif : les demandes de tickets, les boîtes aux lettres partagées et les autorisations de déléguer devraient être utilisées comme alternatives.
Le partage de mots de passe viole la vie privée d’une personne.
Si un mot de passe est partagé, les résultats d’un audit de compte ne seront plus fiables.
La sécurité des données est plus importante qu’un répondeur automatique.
Les politiques d’utilisation acceptables pourraient être violées.
S’il n’existe aucune interdiction de partage de mot de passe dans votre organisation, elle doit être mise en œuvre en priorité.
Vous ne serez pas en mesure de le faire sans l’appui des cadres supérieurs.
Vous n’êtes peut-être pas convaincu qu’il est de votre devoir de mettre en œuvre une interdiction de partage de mot de passe dans votre organisation, mais vous devriez plaider en sa faveur.
Cela aidera votre département à protéger son réseau ; vous fera gagner du temps à long terme et ce sera mieux pour votre entreprise.
L’une des principales préoccupations des entreprises est de voir leurs données sensibles ou celles de leurs clients divulguées à des tiers. Aujourd’hui, les brèches de sécurité des données sont devenues un phénomène quotidien et qui figure dans les actualités du monde entier.
Les pirates peuvent par exemple profiter de ces fuites de données pour les tenir en otage. Autrement dit, les entreprises ne peuvent les récupérer que si elles acceptent de payer une rançon.
Quelle que soit la source de violation de données, sachez qu’il existe des mesures que vous pouvez prendre pour faire face à la situation.
Suivez le plan d’intervention en cas de fuite de données dans votre entreprise
Il ne fait aucun doute que votre entreprise a déjà mis en place un plan pour les tremblements de terre, les incendies et les inondations.
En plus de ces éventuels sinistres, le plan d’intervention en cas de violation de données devrait également tenir compte des catastrophes d’origine humaines, comme les atteintes à la sécurité. En effet, les données doivent être considérées comme un actif commercial à part entière et qu’il faut protéger autant que possible.
Si vous devez formuler un plan d’intervention en cas d’incident, vous pouvez vous inspirer des nombreux modèles qui sont proposés sur Internet. Assurez-vous toutefois de conserver une copie de votre plan hors site, sous forme imprimée.
1. Communiquez avec les personnes appropriées
L’équipe ou la personne qui est en charge d’assurer la sécurité des données doit être contactée immédiatement dès qu’un problème de sécurité informatique se produit.
Assurez-vous donc que tous les employés savent à qui ils pourront s’adresser en cas de besoin. Le service de dépannage informatique doit également rester vigilant pour détecter les signes révélateurs d’une infraction comme :
Les faux messages antivirus
Les barres d’outils du navigateur non souhaitées
Les installations inattendues de logiciels
Les pop-ups de rançon
2. Mener une enquête préliminaire
Une fois le problème détecté, l’équipe de sécurité doit mener une enquête préliminaire dans le but de déterminer son ampleur approximative. Cela ne devrait prendre que quelques minutes.
Selon la politique adoptée par votre entreprise, le réseau peut être désactivé immédiatement pour empêcher tout virus de se propager et d’infecter d’autres équipements.
3. Définir l’incident
L’étape suivante dépend du type d’incident de sécurité. S’il est facile à contenir et à corriger et qu’aucune violation de données ne s’est produite, l’équipe de sécurité se contentera d’informer la direction à propos de l’incident.
Par contre, si un email de phishing a été détecté, il est recommandé d’envoyer à tous les employés des informations sur l’email afin qu’ils puissent éviter de provoquer un nouvel incident.
4. Faites participer les intervenants
Assurez-vous de toujours impliquer deux types d’intervenants, à savoir l’équipe de direction et les gestionnaires d’affaires dont les données peuvent être affectées par l’incident.
5. Lois sur la notification des violations de la sécurité
La loi intervient s’il y a eu une violation de données. Aux États-Unis, 47 États ont des lois sur la notification des violations de la sécurité, dont beaucoup exigent des rapports aux clients ainsi qu’aux organismes de réglementation.
Au Canada par exemple, la province de l’Alberta exige la notification. En ce qui concerne les données de l’UE, le Règlement général sur la protection des données (RGPD) exige que les atteintes à la protection des données soient divulguées dans les 72 heures à compter de 2018.
Selon l’industrie, la Health Insurance Portability and Accountability Act (HIPAA), la loi Sarbanes-Oxley ou une autre loi fédérale étatique ou locale peut imposer l’établissement d’un rapport supplémentaire concernant la violation. Cette tâche incombe au responsable de la conformité de la société.
Le FBI encourage les entreprises à signaler les cyberincidents à son Centre de plaintes pour les crimes sur Internet (www.ic3.gov). Par ailleurs, il est recommandé de produire et de déposer un rapport concernant l’incident auprès du service de police local. Le service juridique devrait être impliqué dans ces activités.
Vous disposez maintenant d’une équipe d’intervention complète. Il est important de tenir tous les membres au courant des progrès réalisés en matière de remédiation.
6. Analyse et mesures correctives contre une fuite de données
L’équipe de sécurité doit travailler rapidement pour analyser le réseau et les points d’extrémité, en examinant en détail les hôtes les plus compromis. Une fois que les causes de la compromission sont trouvées, l’équipe établira rapidement un plan de remédiation.
En général, elle peut déterminer un ou plusieurs des éléments suivants :
Signature du virus
Adresse IP de l’attaquant
Hashage MD5 d’un fichier malveillant
URL ou nom de domaine d’un serveur de commande et de contrôle de botnet
Les pare-feu, les systèmes de détection d’intrusion et/ou les logiciels antivirus devraient être mis à jour pour se défendre contre les menaces cybercriminelles.
De même, il faut que les dispositifs affectés soient remis en état. Si nécessaire, des sauvegardes de données peuvent être utilisées pour restaurer le système à une date précise avant l’attaque. Ces étapes peuvent prendre des heures, des jours ou même des semaines.
7. Qu’arrive-t-il à l’entreprise pendant cette période ?
Selon la gravité de la compromission, le service réseau peut être non opérationnel ou restreint pendant la phase d’analyse et de restauration. Pire encore, les entreprises dont les activités sont essentiellement basées sur des sites web peuvent être durement touchées puisque leurs revenus proviennent de clients en ligne.
D’autres types d’entreprises peuvent également être fortement touchés, comme l’a montré la récente attaque de ransomware contre le Hollywood Presbyterian Medical Center, un hôpital privé situé à Los Angeles :
Sans pouvoir accéder au service de messagerie électronique, les médecins et les infirmières devaient communiquer par fax ou en personne.
Les antécédents de traitement des patients n’étaient pas disponibles puisque les dossiers médicaux étaient conservés en ligne.
Les résultats des tests ne pouvaient pas être facilement partagés au sein de l’hôpital ou avec des entités externes.
Des dossiers papier ont dû être utilisés pour l’enregistrement des patients. Ce système ne pouvait pas traiter le volume habituel de patients, et certains d’entre eux ont dû être transférés dans d’autres hôpitaux.
L’hôpital n’avait aucune sauvegarde de données utilisable pour pouvoir restaurer les opérations. Elle était restée dans cette situation difficile pendant 10 jours et a dû finalement payer plus de 15 000 euros aux cybercriminels pour obtenir les clés leur permettant de déchiffrer leurs propres données.
8. L’incident de sécurité pourrait ne pas être que la pointe de l’iceberg
Il n’est pas rare qu’au cours de l’enquête, l’équipe découvre qu’il y a d’autres problèmes de sécurité. Le système peut avoir été compromis pendant des mois ou même des années. Prenons le cas du virus Heartbleed. Il a été introduit dans un logiciel en 2012, mais n’a été rendu public qu’en avril 2014.
L’incident de sécurité dont il est question pourrait en fait être le prélude à une attaque plus importante. C’est notamment le cas si des emails de phishing sont impliqués. Une petite attaque pourrait faire perdre du temps et des efforts au personnel de sécurité pendant qu’une attaque plus importante se faufile sous leur radar.
Les piratages ne sont pas toujours perpétrés par des personnes extérieures. Les rapports de diverses organisations de sécurité indiquent qu’au moins 15 % des attaques proviennent d’un initié qui peut avoir accès à des informations d’identification pour attaquer le système de manière répétée.
Bien entendu, certains incidents sont le résultat d’erreurs commises par des employés. La formation et l’attribution de justificatifs d’identité selon le principe du moindre privilège sont donc les meilleurs remèdes dans ce cas.
L’incident de sécurité aurait peut-être pu être évité si des logiciels, paramètres logiciels ou matériels appropriés étaient en place. Envisagez d’utiliser un logiciel de filtrage des emails tel que SpamTitan Cloud, une solution robuste pour la sécurité des emails.
Pour les menaces Internet générales, optez pour WebTitan Cloud, un service de filtrage web qui vous permet de surveiller, contrôler et protéger votre entreprise et vos utilisateurs contre les menaces en ligne.
9. Leçons apprises – Revue complète
Dans la semaine suivant le rétablissement d’une brèche, l’équipe devrait se réunir pour déterminer ce qui a bien fonctionné et ce qui a mal fonctionné. Le plan d’intervention en cas d’incident devrait être mis à jour pour tenir compte des leçons apprises.
Étant donné le caractère inévitable des attaques, l’entreprise sera mieux préparée lorsque (et non pas si) une prochaine attaque se produira.
Les ransomwares Sodinokibi et Bourane peuvent être diffusés via le kit d’exploitation RIG, mais un autre kit d’exploitation a récemment rejoint les rangs, bien que sa charge utile soit des chevaux de Troie bancaires.
Les kits d’exploitation sont des programmes utilitaires sur les sites web qui mènent des attaques automatisées contre les visiteurs.
Lorsqu’un internaute atterrit sur une page hébergeant le kit d’exploitation, son navigateur ainsi que les applications basées sur son navigateur sont analysés pour détecter certaines vulnérabilités.
Le trafic vers la page d’atterrissage est généré par des redirections ou des publicités malveillantes. Dans la plupart des cas, le code du kit d’exploitation est également ajouté à des sites web à fort trafic compromis.
Les kits d’exploitation contiennent des exploits pour plusieurs vulnérabilités. Une seule suffit pour permettre le téléchargement et l’exécution d’une charge utile malveillante sur l’appareil de la victime sans qu’elle le sache.
Les kits d’exploitation étaient autrefois le mécanisme de diffusion de malwares de choix, mais ils sont tombés en désuétude à la suite d’une répression des forces de l’ordre.
La menace que représentent les kits d’exploitation n’a jamais disparu, mais le nombre d’attaques a baissé. Au cours des derniers mois, cependant, l’activité d’exploitation a atteint un niveau élevé.
Le nouveau kit d’exploitation s’appelle Spelevo et son but est de livrer deux chevaux de Troie bancaires – Dridex et IceD – via un site web interentreprises. Il a été découvert par un chercheur en sécurité nommé Kafeine en mars 2019.
Spelevo héberge actuellement plusieurs exploits pour Adobe Flash et un pour Internet Explorer. Si un utilisateur visite une page web hébergeant le kit d’exploitation, il ne saurait pas probablement qu’il se passe quelque chose de malveillant.
En effet, un onglet s’ouvrira et le navigateur semblerait passer par une série de redirections avant d’atterrir sur Google.com.
L’ensemble du processus – depuis l’atterrissage de l’utilisateur sur une page hébergeant le kit d’exploitation, jusqu’à l’identification et l’exploitation de la vulnérabilité et la redirection de l’utilisateur vers Google.com – ne prend que quelques secondes.
Le kit d’exploitation peut être hébergé sur un domaine appartenant à un attaquant, mais il est facile de l’ajouter à n’importe quel site web. Une fois qu’un site web est compromis, il suffit d’y intégrer quatre lignes de code.
Les kits d’exploitation sont un moyen efficace et automatisé de fournir une charge utile de malwares, mais ils dépendent des utilisateurs qui n’ont pas mis de correctifs sur leur navigateur et leurs plugins.
Si les navigateurs et les plugins sont maintenus à jour, il ne devrait y avoir aucune vulnérabilité que les pirates pourront exploiter.
Le kit d’exploitation Spelevo semble être utilisé dans une campagne ciblant les entreprises. Les équipes informatiques ont souvent du mal à maîtriser les correctifs et ont une mauvaise visibilité sur les périphériques qui se connectent à leur réseau.
Pourtant, au cas où un périphérique serait compromis, un attaquant peut utiliser divers outils pour lancer des kits d’exploitations et compromettre d’autres périphériques et serveurs.
La principale défense contre les kits d’exploitation est le patch, mais des protections supplémentaires sont nécessaires.
Vous devriez mettre en place un filtre web pour vous protéger contre les attaques pendant l’application des correctifs ; pour empêcher les attaques de réussir en utilisant des exploits de type « zero day » et pour empêcher les utilisateurs de visiter les sites web hébergeant des kits d’exploitation.
WebTitan est un filtre DNS qui permet de détecter et de bloquer les menaces en temps réel. De manière automatisée, il vous protège contre les kits d’exploitation et les attaques de phishing basées sur le web.
La base de données de WebTitan contient trois millions d’URL malveillantes qui sont bloquées lorsqu’un utilisateur tente de les visiter.
La base de données répertorie également plus de 300 000 sites web pouvant contenir des malwares et des ransomwares qui sont bloquées chaque jour pour protéger les utilisateurs finaux.
Si vous souhaitez améliorer la protection contre les menaces basées sur le web ; contrôler les contenus auxquels vos employés peuvent accéder et avoir une visibilité sur ce que vos employés font en ligne, WebTitan Cloud est la réponse.
Cette solution peut être mise en place en quelques minutes seulement.
Ces derniers mois, les villes et les organismes gouvernementaux ont été la cible d’une série d’attaques de ransomware. Les établissements de soins de santé sont les plus touchés, mais ce ne sont pas les seules industries visées.
Les écoles, les collèges et les universités sont des cibles de choix pour les pirates informatiques et les attaques de ransomware sont courantes. Une attaque récente se distingue par son ampleur et la demande massive de rançon qui a été émise.
Le Monroe Collège est la nouvelle victime d’attaque de ransomwares
Les attaquants ont exigé 170 bitcoins (environ 17,9 millions d’euros) contre les clés qui permettaient de déchiffrer le réseau.
Le Monroe Collège à New York a été attaqué à 6 h 45 le mercredi 10 juillet 2019.
Le ransomware s’est rapidement répandu dans son réseau, créant la panne des systèmes informatiques de ses campus de Manhattan, New Rochelle et Sainte-Lucie et détruisant le site web du collège.
Le collège est passé au papier et au crayon et travaillait à la recherche d’une solution pour contourner le problème et pour s’assurer que les étudiants qui suivent des cours en ligne reçoivent leurs devoirs.
Le Monroe Collège n’a pas encore annoncé si les fichiers pourront être récupérés à partir des sauvegardes ou s’il devra payer la rançon.
Il s’agit de l’une des nombreuses attaques récentes de ransomwares aux États-Unis. Bien qu’elles semblent avoir perdu la faveur des cybercriminels en 2018, elles sont de nouveau en vogue et le nombre d’attaques de ransomware est en forte hausse.
170 bitcoins est peut-être un montant particulièrement élevé, mais il y a eu plusieurs attaques récentes impliquant des demandes de rançon de centaines de milliers de dollars. Dans plusieurs cas, les victimes ont dû payer la rançon.
La ville de Riviera Beach City en Floride a été par exemple attaquée. Elle a dû payer une rançon d’environ 537 000 euros pour pouvoir accéder à ses fichiers et remettre ses systèmes informatiques en service.
Lake City en Floride a également payé une rançon importante, de l’ordre de 447 000 euros, tandis que le comté de Jackson a dû payer une rançon de plus de 358 000 euros après une attaque.
Il y a eu plusieurs cas où les rançons n’ont pas été payées. Entre autres, la ville d’Atlanta a été ciblée et environ 45 000 euros ont été exigés par les pirates.
Atlanta a refusé de payer, mais pour réparer les dommages créés par l’attaque, sa facture a déjà dépassé les 2,6 millions d’euros. Avec des coûts aussi élevés, il est clair de voir certaines victimes qui choisissent de payer la rançon.
Protégez votre établissement scolaire des attaques de ransomwares
Dans tous les cas susmentionnés, le coût de la mise en œuvre de solutions de cybersécurité pour se protéger contre les principaux vecteurs d’attaque n’aurait coûté qu’une infime fraction du montant de la rançon ou des coûts d’atténuation après une attaque.
Pour moins de 1,8 euros par employé, vous pouvez vous assurer que votre système de messagerie est sécurisé et que vous êtes bien protégé contre les attaques sur le web. Pour en savoir plus, appelez TitanHQ dès aujourd’hui.
De fausses alertes emails, récemment découvertes, demandent aux utilisateurs de mettre à jour leurs navigateurs Firefox « pour des raisons de sécurité », et incluent un lien de téléchargement vers la fausse mise à jour.
Celle-ci inclut un cheval de Troie qui vole des mots de passe. Alors, ne cliquez pas sur ce lien, sinon risquez de vous faire voler vos mots de passe. D’ailleurs, les utilisateurs doivent toujours faire preuve de prudence lorsqu’ils cliquent sur un lien dans un email.
Dans le passé, SpamTitan a averti à plusieurs reprises ses lecteurs, mais cela vaut toujours la peine d’être répété : N’ouvrez pas les pièces jointes aux emails qui arrivent dans votre boîte de réception et auxquelles vous ne vous attendiez pas.
Si vous ne vous attendiez pas à recevoir un email, le mieux serait d’y répondre et d’attendre la réponse, sans ouvrir la pièce jointe. De cette façon, vous pouvez vous assurer que l’adresse de l’expéditeur n’est pas fausse.
Fausses alertes de sécurité Firefox : SpamTitan recommande aux utilisateurs de :
Maintenir à jour leur logiciel antispam et antivirus pour s’assurer que ces types de messages soient bloqués avant d’arriver dans leurs boîtes aux lettres.
Il est également important de se rappeler que si vous n’avez pas demandé la réinitialisation de votre mot de passe, ignorez simplement un email (probablement un spam) qui cherche à réinitialiser vos mots de passe.
Pour plus d’informations sur les meilleures pratiques en matière de sécurité web et de la messagerie, pourquoi ne pas télécharger notre nouveau livre blanc, conçu en collaboration avec Ostermann Research.
Le déchiffrement gratuit du ransomware Dharma est maintenant possible suite à la publication des clés de déchiffrement utilisées par le gang cybercriminel derrière le ransomware.
Les clefs de déchiffrement du ransomware Dharma peuvent maintenant être utilisées pour développer un déchiffreur permettant de déverrouiller des dossiers chiffrés par Dharma.
Comment déchiffrer le ransomware Dharma gratuitement ?
Si votre organisation a été attaquée par ce ransomware, vous pouvez déverrouiller vos fichiers en utilisant le déchiffreur Dharma développé par Kaspersky Lab ou ESET. À noter qu’il n’y a plus de rançon à payer.
Le déchiffreur disponible sur ESET déverrouillera les fichiers chiffrés par Dharma et son prédécesseur, Crysis. Kaspersky Lab a ajouté les clés de son déchiffreur de ransomware Rakhni.
Il est facile de déterminer quelle variante de ransomware a été utilisée en vérifiant l’extension des fichiers infectés. Par exemple, Dharma ransomware ajoute l’extension « .dharma » aux fichiers qu’il a chiffrés.
Les clés de déchiffrement ont été postées sur un forum d’assistance technique BleepingComputer la semaine dernière par un individu dont le nom d’utilisateur est « gektar ».
L’endroit où cette personne a obtenu les clés de déchiffrement est inconnu, bien que Kaspersky Lab et ESET aient tous deux confirmé que les clés de déchiffrement sont authentiques.
Les clés de déchiffrement pourront fonctionner avec toutes les variantes du ransomware Dharma.
Le nom gektar n’est pas connu des chercheurs en sécurité. Aucun autre message en ligne n’aurait été publié avec ce nom d’utilisateur, lequel semble avoir été créé uniquement pour poster les clés de déchiffrement.
Il semblerait que la personne responsable veuille faire profil bas.
Les ransomwares : une menace persistante
Malheureusement, il existe aujourd’hui plus de 200 familles de ransomwares, avec de nombreuses variantes différentes au sein de chacune de ces familles.
Le dharma n’existe peut-être plus, mais la menace des ransomwares est encore grave. Il n’y a toujours pas de déchiffreurs disponibles pour les ransomwares les plus importantes comme Locky, Samsa (Samsam) et CryptXXX.
Ceux-ci sont encore très prisés par les cybercriminels pour extorquer de l’argent aux entreprises.
Pour s’assurer que les fichiers chiffrés par des ransomwares peuvent être récupérés gratuitement, la meilleure défense que les entreprises peuvent adopter est de s’assurer que les sauvegardes des fichiers critiques sont effectuées sur une base quotidienne.
Ces sauvegardes devraient être stockées sur un dispositif isolé physiquement de tout réseau informatique et aussi dans le cloud.
La récupération des sauvegardes et l’élimination des infections par des ransomwares peuvent demander beaucoup de travail et de temps.
Voici pourquoi des défenses anti-ransomwares devraient également être utilisées pour prévenir l’infection.
Nous vous recommandons d’utiliser SpamTitan pour empêcher les emails de ransomware d’arriver dans les boîtes de réception des utilisateurs finaux et WebTitan pour empêcher les téléchargements de ransomwares par drive-by.
