En février dernier, l’attaque contre l’hôpital presbytérien de Hollywood a fait la une des journaux.
Après avoir perdu l’usage de leur système informatique interne et l’arrêt de leurs activités, les cadres supérieurs ont pris la décision de payer une rançon négociée de plus de 15 000 euros. À l’époque, une telle somme semblait choquante.
Le coût d’une attaque de ransomware a atteint plus de 895 000 euros
Le 10 juin 2017, la société d’hébergement web sud-coréenne Nayana a été victime d’une attaque de ransomware appelé Erebus.
Bien qu’à l’origine, le ransomware ait été conçu pour compromettre le système d’exploitation Windows, il a été récemment modifié pour cibler les serveurs web Linux.
La façon dont le malware a infecté le système n’a pas été identifiée. Ce qui est certain, c’est qu’aucun des 153 serveurs Linux qui composaient l’infrastructure d’hébergement web n’a été correctement mis à jour.
La société Nayana étant complètement fermée, la direction est venue à la table des négociations pour conclure un accord avec les pirates.
Le prix final convenu était de plus de 895 000 euros, soit nettement moins que le prix demandé à l’origine, à savoir de plus de 39,4 millions d’euros. La rançon est payée en trois versements et chaque versement a permis de déchiffrer un lot de serveurs de la société.
Le paiement de rançon pour les entreprises est souvent de l’ordre de 8 900 à plus de 22 000 euros. Pourtant, les pirates derrière cette attaque ont exigé 550 bitcoins pour déchiffrer les accès aux réseaux, soit environ 1,45 millions d’euros.
Le 14 juin 2017, la société Nayana a signalé qu’elle avait négocié un paiement de 397,6 bitcoins, soit plus de 905 000 euros, ce qui est en fait d’elle l’un des plus grosses rançons jamais signalées et payées.
Vous avez bien lu, plus de 905 000 euros. Pourtant, cet incident aurait pu être évité si la société avait mis en œuvre le correctif approprié.
Anatomie d’une attaque de ransomware
Un mois plus tard, une entreprise canadienne a également été frappée par une attaque de ransomware et elle doit s’estimer chanceuse, car elle n’a dû payer qu’environ 380 000 euros.
L’équipe de la direction n’a pas eu d’autres choix que de payer, car l’attaque permettait aux pirates de chiffrer toutes les sauvegardes de l’entreprise.
Une équipe médico-légale qui enquête sur les conséquences de l’attaque pense que les pirates savaient exactement où se trouvaient les serveurs de base de données et les sauvegardes.
Le malware a été lancé par une attaque de phishing visant six cadres supérieurs de l’entreprise. Des e-mails malveillants ont été envoyés par les pirates.
Ils semblaient provenir d’une entreprise de messagerie et avaient pour objet des factures impayées. Les soi-disant factures étaient jointes aux messages au format PDF.
Deux cadres étaient tombés dans le piège et la charge utile malveillante contenue dans les pièces jointes s’est rapidement répandue dans tout le réseau de l’entreprise.
Bien entendu, si l’entreprise avait appliqué la stratégie de sauvegarde 3-2-1, qui consiste à faire 3 copies de toutes les données dans 2 formats différents, avec une copie hors site, le paiement par extorsion aurait peut-être été évité.
Devriez-vous payer ou ne pas payer la rançon en cas d’attaque ?
Avec des rançons d’un montant aussi épique, le conseil logique peut être de ne pas payer la rançon. C’était l’état d’esprit du centre médical du comté d’Erié à New York lorsqu’il a été victime d’une attaque de ransomware en avril dernier.
Au début, l’attaque visait le serveur web de l’hôpital, mais elle a finalement mis hors service 6 000 ordinateurs.
Une fois que les pirates ont obtenu l’accès à distance au serveur du centre médical, ils ont commencé à lancer une attaque de bourrage d’identifiants pour avoir accès au système.
Le compte compromis n’était protégé que par un mot de passe par défaut et c’est ce qui leur a permis de compromettre le réseau.
Les attaquants se sont alors connectés au système de l’entreprise et ont commencé à tout chiffrer de façon à compliquer la capacité du centre à restaurer ses données.
Plus tard, les cybercriminels ont exigé une rançon de plus de 26 000 euros pour le déchiffrement des données, mais l’équipe de direction du centre n’a pas décidé de payer une telle somme.
Après trois mois, l’organisation a dû dépenser près de 895 000 euros pour réparer les dommages.
Selon une source d’information de l’HIPAA, environ la moitié de cette somme a été consacrée au matériel informatique, aux logiciels et à l’assistance nécessaire pour éviter les représailles des pirates.
L’autre moitié a été allouée à la rémunération des heures supplémentaires du personnel et au recouvrement de pertes de revenus liés à l’arrêt du système.
De plus, l’hôpital a dû débourser environ 223 000 euros par mois depuis l’apparition de cet incident pour mettre à niveau sa technologie et pour améliorer la formation de ses employés en matière de cybersécurité.
La décision de payer une rançon pour obtenir les clés de déchiffrement des données est une question complexe. Du point de vue des coûts et de la productivité, elle peut s’avérer moins coûteuse.
D’un autre côté, il n’y a aucune garantie que les pirates vont donner les clés une fois la rançon payée.
Certains affirment également que les victimes d’une attaque de ransomware subissent souvent des attaques répétées, car les pirates savent que l’organisation sera toujours prête à payer.
Selon une étude réalisée par Symantec en avril 2017, 64 % des victimes d’attaques cybercriminelles aux Etats-Unis affirment être prêtes à payer la rançon, contre 34 % à l’échelle internationale.
La somme d’argent demandée lors de ces différentes attaques est considérable. En réalité, une seule attaque peut désormais mettre une entreprise en faillite. Ce qui est encore plus bouleversant, c’est que ces attaques ont pu être évitées grâce à de simples mesures de sécurité.
Des mesures de sécurité simples permettent de se protéger contre les attaques de ransomware
La première chose à faire est de sauvegarder régulièrement vos fichiers. Aucune stratégie de sauvegarde n’est à 100 % infaillible, mais la méthode 3-2-1 est celle la plus solide possible.
L’autre conseil est de ne pas activer les macros qui sont souvent envoyées par des e-mails. Ces messages tentent de convaincre l’utilisateur d’activer les macros pour pouvoir lancer une attaque. L’administrateur système devrait donc mettre en place une politique d’utilisation acceptable pour empêcher les employés d’activer eux-mêmes des macros contenus dans des e-mails dont la source n’est pas fiable.
N’ouvrez pas les pièces jointes aux e-mails non sollicitées. Si vous utilisez une solution de sécurité antispam comme SpamTitan, les fichiers chargés de malwares seront automatiquement mis en quarantaine avant d’atteindre votre ordinateur. Quoi qu’il en soit, tous les utilisateurs doivent suivre une règle simple, à savoir de ne pas ouvrir les pièces jointes ou les e-mails inattendus provenant d’expéditeurs inconnus.
Mettez à jour régulièrement vos systèmes et applications. Les équipes informatiques doivent intégrer la redondance dans leur infrastructure. En effet, lors de l’application d’une mise à jour, un système peut tomber en panne. Un autre devrait donc être opérationnel et prendre le relai pendant ce temps.
Sensibilisez vos employés concernant les menaces cybercriminelles. Bien que la plupart des organisations fournissent à leurs employés un manuel de sécurité, un guide de sécurité est tout aussi important. Ce document devrait comprendre des conseils sur l’hygiène des e-mails, les politiques de l’entreprise en matière de mots de passe, la politique BYOD et les informations concernant les menaces auxquelles les employés doivent être conscients et où ils peuvent obtenir de l’aide au besoin.
Les cybercriminels préfèrent s’attaquer aux réseaux ouverts et non segmentés. Une fois à l’intérieur d’un réseau non segmenté, ils peuvent voler vos données sensibles et mener d’autres attaques sur votre système. Vous aurez donc intérêt à segmenter le réseau de votre entreprise.
Vous êtes un professionnel de l’informatique et vous souhaitez vous assurer que vos données et périphériques sensibles soient protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
Pour les cybercriminels, tous les moyens sont bons pour se faire de l’argent. Actuellement, les établissements scolaires constituent l’une de leurs principales cibles pour mener des attaques de ransomware ou de phishing.
Le Centre de partage et d’analyse de l’information multi-états (MS-ISAC), une division de la Sécurité intérieure des États-Unis, a lancé une alerte le 4 décembre 2017 à tous les districts scolaires de la maternelle à la 12e année (K12).
Voici comment se présente le résumé de l’alerte :
« Les attaquants utilisent des attaques de phishing pour capturer les identifiants de connexion des employés de l’école qui accèdent à leurs comptes de dépôt direct.
Ils utilisent ensuite les identifiants de connexion qu’ils ont capturés pour modifier les informations de dépôt direct et charger des cartes prépayées qu’ils peuvent utiliser à leur tour. »
Les cybercriminels lancent leurs attaques de la façon suivante :
Ils envoient des emails de phishing aux employés du district scolaire. Le message contient un document Microsoft Office qui capture l’adresse email du destinataire et envoie d’autres messages de phishing à ses contacts. Le malware est lancé via la fonction de prévisualisation de Microsoft Office et ne nécessite pas que l’utilisateur ouvre le document.
L’email usurpe l’identité du service de la paie et informe le personnel qu’il met à jour le portail de paiement en ligne. Un lien est intégré au message afin que les membres du personnel puissent mettre à jour leurs informations de dépôt direct et leurs justificatifs d’identité. Le message inclut également le logo de l’établissement scolaire pour qu’il ait l’air authentique.
Le lien redirige les utilisateurs vers un domaine tiers géré par les pirates informatiques qui saisissent ensuite les données d’identification de l’utilisateur, après quoi, l’email s’efface automatiquement.
Les cybercriminels utilisent ensuite les informations capturées pour se connecter aux comptes compromis et rediriger les paiements vers une série de cartes prépayées.
Patch de mise à jour contre les attaques de phishing visant les écoles
Cette nouvelle forme d’attaque présente un avantage et un inconvénient. L’avantage est qu’elle peut être atténuée si votre logiciel Microsoft Office est entièrement patché, car la menace tire parti d’une vulnérabilité dans la fonction d’aperçu de Microsoft Office.
Si vous gardez vos systèmes entièrement patchés, vous pouvez donc contrer plus efficacement la majorité des cyberattaques.
L’inconvénient est que les districts scolaires sont des cibles faciles.
Souvent, le personnel informatique est peu nombreux ; ou bien, il est trop occupé par les tickets, le dépannage et la maintenance ; ou encore parce qu’il n’a pas le temps ni la base de connaissances nécessaire pour garantir la cybersécurité.
Selon la revue académique « The Journal », il faut en moyenne 221 jours aux K12 pour identifier une brèche et 83 jours pour la contenir, alors qu’il faut respectivement 155 et 34 jours pour les professionnels dans le secteur financier.
Force est de constater que les districts scolaires disposent souvent de plus d’informations sur les personnes que la plupart des entreprises.
Les pirates informatiques ciblent les districts scolaires pour pénétrer dans leurs systèmes d’information afin de voler les renseignements personnels des élèves et du personnel, comme les numéros de sécurité sociale et les renseignements fiscaux.
Dans certains cas, il peut s’écouler des années avant que les victimes apprennent que leurs renseignements personnels ont été compromis.
Les données sur les adolescents sont particulièrement attrayantes pour les pirates informatiques. C’est pour cette raison qu’ils sont assez patients pour attendre que ces élèves commencent à établir leur crédit plus tard dans leur vie.
Un certain nombre d’écoles ont déjà été la cible d’attaques de ransomware. Ces établissements constituent d’excellentes cibles puisque la plupart d’entre eux sont complètement dépendantes de la technologie pour l’enseignement en classe.
Les écoles doivent même s’inquiéter des attaques d’élèves qui tentent de modifier les notes ; de voler des tests ou de mettre en œuvre des attaques DDoS afin de perturber les tests en ligne.
Puisque les districts scolaires sont considérés comme des cibles faciles à atteindre, ils sont parfois utilisés comme moyen de s’introduire dans d’autres institutions gouvernementales.
En octobre dernier, un groupe de pirates informatiques a pénétré dans quatre districts scolaires de Floride pour tenter de pénétrer dans d’autres systèmes gouvernementaux sensibles, notamment les systèmes de vote de l’État.
Compte tenu des failles dans la sécurité web des districts scolaires, il n’est pas surprenant que 445 incidents de sécurité aient eu lieu dans le secteur de l’éducation. C’est ce que le rapport d’enquête de Verizon sur les atteintes à la sécurité des données a rapporté l’an dernier.
Les résultats d’une récente enquête menée par le Consortium for School Networking (SoSN) et l’Education Week Research Center sont aussi surprenants.
Selon ledit rapport, seulement 15 % des responsables dans établissements scolaires ont déclaré avoir mis en place un plan de cybersécurité dans leur propre district.
Voici quelques-uns des résultats :
37 % ont affirmé que les escroqueries de phishing constituent une menace importante, tandis que 11 % les ont identifiées comme une menace très importante
27 % ont déclaré que les malwares et les virus constituent une menace importante, tandis que 6 % les ont identifiés comme une menace très importante
20 % considèrent les ransomwares comme une menace importante, tandis que 7 % les ont identifiés comme très importants
12 % des répondants considèrent les attaques DDoS comme une menace importante, tandis que 6 % les ont identifiées comme une menace très importante
10 % affirment que le vol d’identité constitue une menace importante, tandis que 6 % l’ont qualifié de menace très importante.
Les recommandations du MS-ISAC pour contrer le phishing visant les écoles
Utiliser une authentification à deux facteurs pour l’accès aux sites web de dépôt direct des employés
Les environnements Microsoft Office ne doivent pas être configurés pour une connexion mobile sans vérification du système ou de l’adresse IP
Tapez manuellement l’adresse du site web de votre compte de dépôt direct. Ne vous fiez pas aux hyperliens intégrés dans les emails non sollicités qui prétendent provenir de votre site web de dépôt direct
Les changements apportés au site web de dépôt direct pour les employés devraient comprendre une question de contestation
Ne fournissez pas de renseignements personnels ou financiers en réponse à une demande par email
Les districts scolaires ont reconnu la valeur de l’intégration de la technologie dans l’apprentissage. De la même manière, ils doivent aussi reconnaître les risques que peuvent représenter les vulnérabilités du monde numérique.
Le fait de ne pas sécuriser chaque appareil qui se connecte au réseau de l’école offre l’ultime espace ouvert aux pirates informatiques. Alors, ne les laissez pas franchir la porte d’entrée de votre établissement scolaire.
Vous êtes un professionnel de l’informatique dans une école ? Vous souhaitez vous assurer que les données et les périphériques sensibles des élèves et du personnel sont protégés ? Parlez à un spécialiste ou envoyez-nous un email à info@titanhq.com pour toute question.
Pour une PME à court d’argent, la sécurité semble être un luxe, et non une nécessité. Pourtant, c’est un élément crucial pour la survie de votre organisation, notamment en cas d’attaque cybercriminelle.
Dans notre précédent article, nous avons discuté de la façon dont les PME peuvent gérer l’informatique comme les grandes organisations, en adoptant les meilleures pratiques de sécurité web.
Dans ce dossier, nous allons examiner les mesures qui peuvent faire la plus grande différence dans la posture de sécurité de votre entreprise.
En effet, certaines des défenses les plus solides contre les pirates informatiques peuvent être tout simplement des actions de bon sens. Vous pouvez les adopter pour vous protéger des éventuelles menaces avec peu de frais, ou gratuitement.
Évaluez les risques
Si vous voulez mettre en place une sécurité informatique solide, la première étape consiste à décider ce qu’il faut sécuriser. Une évaluation des risques donne une image globale des besoins de sécurité de votre entreprise.
Elle sert également de base pour établir l’ordre de priorité lorsque vous voulez investir dans la sécurité informatique.
Développez une politique d’utilisation acceptable
Les politiques écrites offrent une protection juridique. Tout aussi importantes, elles permettent de sensibiliser les employés pour qu’ils puissent adopter une bonne conduite.
Il existe de nombreux types de politiques. Elles sont toutes essentielles, que ce soit pour les PME ou les grandes entreprises.
Une politique acceptable décrit comment les employés peuvent utiliser les systèmes et les ressources de l’entreprise, tout en contribuant grandement à protéger vos investissements.
Formez gratuitement vos employés à la sécurité résau
De nombreuses infractions à la sécurité informatique résultent de l’ignorance des employés. Connaissez-vous l’arnaque du prince nigérian ? En effet, les pirates ont misé sur la crédulité de leurs cibles pour leur soutirer de l’argent. Ce genre d’arnaque a fait beaucoup de ravages.
Vous n’avez pas besoin de créer votre propre matériel de formation. De nombreux sites web publient d’excellents programmes gratuits que vous pouvez utiliser.
Le centre américain d’alerte et de réaction aux attaques informatiques (US-CERT) propose par exemple « Protect Your Workforce Campaign », une campagne de formation prête à l’emploi disponible sur :
Quand avez-vous changé votre mot de passe Wifi pour la dernière fois ? Vous devez savoir qu’un signal Wi-Fi ne s’arrête pas aux murs de votre bureau.
Pour constituer votre première ligne de défense, vous aurez donc besoin de créer de bons mots de passe qui doivent être changés au moins une fois par mois.
Les serveurs, les routeurs, les commutateurs et tout autre appareil constituant votre système informatique devraient avoir des mots de passe fiables.
N’oubliez pas que de nombreux appareils ont des mots de passe par défaut. Vous aurez donc intérêt à les changer immédiatement après l’installation de l’équipement.
Effectuez un contrôle de sécurité du réseau
Pour vérifier le niveau de sécurité de votre système informatique, utilisez un contrôle de sécurité gratuit. Vous en trouverez sur de nombreux sites web.
Attention toutefois, car certains de ces portails en ligne ne sont pas réputés et peuvent infecter votre ordinateur avec des malwares. Assurez-vous donc d’utiliser l’un des sites web référencés sur :
Pour vérifier le niveau de sécurité de votre réseau, utilisez également un outil de test de pénétration gratuit tel que Metasploit.
Protégez-vous contre les malwares
Utilisez les filtres de phishing et le logiciel de sécurité qui sont déjà intégrés à votre navigateur. En fonction du type de navigateur, sélectionnez « Options » ou « Paramètres ».
Vous verrez le filtre de contenu et les paramètres des fenêtres contextuelles, des témoins et des certificats.
Vous n’avez absolument aucune excuse pour ne pas installer un logiciel de protection contre les malwares.
Celui-ci doit automatiquement mis à jour sur tous les appareils, y compris les dispositifs mobiles personnels, du moment qu’ils utilisent le Wifi de l’entreprise (assurez-vous d’intégrer les mises à jour dans votre politique d’utilisation acceptable).
L’un des meilleurs investissements que vous puissiez faire est le filtrage des emails. Bien entendu, les attaquants savent que les PME ne disposent pas toujours d’une solution de filtrage des emails sophistiquée et coûteuse.
Mais sachez qu’un système de filtrage des emails fiable ne doit pas toujours vous coûter une fortune. SpamTitan est une solution antispam vraiment flexible et peut être déployée en fonction des besoins de votre entreprise, à savoir :
sur place ou sur site, comme une appliance sur un serveur physique à locataire unique
sur site ou en local, en tant qu’appliance VMWare sur un serveur partagé.
dans le cloud (SpamTitan Cloud). Pour ce cas précis, il vous suffit de procéder à une configuration minimale de votre compte de messagerie, de définir votre mot de passe. Ajoutez ensuite votre domaine de messagerie (ou plusieurs domaines si vous en avez), puis modifiez vos enregistrements MX afin de commencer le filtrage.
Sauvegardez vos données
Selon une étude de Kroll Ontrack, 40 % des pertes de données sont dues à des erreurs humaines.
Selon le site web TechRadar :
« Ce sont le plus souvent des événements quotidiens tels que la suppression accidentelle de fichiers ou le renversement d’une boisson chaude sur un matériel informatique qui peuvent provoquer la plus grande perturbation d’une entreprise si les données ne sont pas correctement stockées et sauvegardées ».
Il existe de nombreux choix pour la sauvegarde des données. Bien entendu, il faut déterminer cela en fonction du volume de données que vous devez conserver et protéger.
Parmi ces options, on compte la synchronisation de fichiers et la sauvegarde des données dans le cloud et l’utilisation d’un logiciel de sauvegarde traditionnel.
Appliquez régulièrement les mises à jour de vos logiciels
Du point de vue de la sécurité, il est essentiel d’appliquer les mises à jour des logiciels qui constituent votre système dès qu’elles sont disponibles.
Cela s’applique aux systèmes d’exploitation (Windows, Mac OS, Linux) et tout autre logiciel de sécurité tel qu’un antivirus. L’idéal serait de choisir des solutions de sécurité réseau qui se mettent à jour automatiquement.
Logiciel et matériel de contrôle pour la sécurité du réseau
L’installation de logiciel sur le serveur ou sur tout appareil professionnel doit être préalablement approuvée par le responsable informatique.
Ceci est particulièrement important, car les logiciels de nos jours sont de plus en plus open-source, ce qui rend difficile l’application des contrôles réguliers.
N’oubliez pas que chaque application supplémentaire introduit de nouvelles vulnérabilités, augmentant ainsi la surface d’attaque de votre entreprise.
Par exemple, il peut être pratique d’avoir un accès à distance au serveur de l’entreprise, mais cela offre aux attaquants un autre moyen de pénétrer votre réseau.
L’installation d’un logiciel d’accès à distance doit donc être considérée comme une décision d’affaires à travers laquelle les risques doivent être évalués en fonction des avantages.
Chaque fois que de nouveaux périphériques sont ajoutés au réseau de votre entreprise, vous risquez de perdre des données ou d’être victime de malwares.
Si vous permettez à vos employés d’apporter et d’utiliser leurs propres appareils dans le cadre du travail, chacun d’entre eux doit se conformer aux mêmes normes de sécurité que tout autre appareil de l’entreprise.
Si votre PME utilise davantage le cloud, notamment pour les applications SAAS (software-as-a-service), l’accès aux ressources du cloud doit aussi avoir les mêmes restrictions que l’accès aux ressources locales de l’entreprise.
Améliorez la posture de sécurité de réseau de votre entreprise
Les mesures décrites ci-dessus exigent un minimum de temps et de dépenses, mais cela en vaut la peine si on considère qu’une atteinte à la sécurité pourrait menacer la survie de votre entreprise.
Gardez aussi à l’esprit que la mise en place d’un logiciel de sécurité globale coûteux serait inefficace si les mesures susmentionnées ne sont pas adoptées.
Vous êtes un professionnel de l’informatique et vous voulez protéger les données et les appareils des employés au sein de votre entreprise ? Parlez à un de nos spécialistes ou envoyez-nous un email à info@titanhq.com pour toute question.
Brian Krebs, blogueur célèbre en matière de cybersécurité et ancien journaliste du Washington Times, était l’un des orateurs invités à la conférence Aruba Atmosphere qui s’est déroulée à Nashville la semaine dernière.
Son exposé intitulé « Les défis de la cybersécurité de l’IoT » a été l’un des séminaires les plus suivis de cette conférence de deux jours.
Le blog de Brian Krebs est largement lu à travers le monde. Bien qu’il écrive sur toutes les facettes de la cybersécurité, il a tendance à se concentrer sur le sujet du dark web et sur les cybercriminels en quête de profit et qui le fréquentent, dont la plupart résident en Europe de l’Est.
En plus de ses écrits, les recherches journalistiques de Brian Krebs ont mis au grand jour un certain nombre d’infractions, notamment les attaques contre Target, Home Depot et Neiman Marcus. En conséquence, il a de nombreux sponsors qui financent ses recherches.
Il est détesté, mais bien respecté par la communauté des hackers. Son identité a été volée à six reprises par des cybercriminels d’Europe de l’Est, lesquels continuent également de faire tomber son site web.
Sa vie a été menacée et de nombreuses tentatives ont été faites pour le piéger. Par exemple, ses adversaires ont usurpé un appel au 911, demandant à une équipe du SWAT d’intervenir à son domicile.
En effet, Sony Pictures envisage de sortir un film basé sur Brian Krebs, lequel aurait blogué avec un fusil de chasse de calibre 12 à ses côtés.
Comment prévenir une cybermenace ?
« Les personnes derrière les claviers sont vos points d’extrémité les plus faibles », a-t-il déclaré au début de son exposé. « Les entreprises doivent investir du temps et des ressources dans l’éducation des utilisateurs finaux, mais même en faisant cela, il y aura toujours des gens qui vont cliquer sur n’importe quoi ».
Ensuite, il a expliqué comment chaque service informatique doit sonder et tester ses utilisateurs, tout simplement parce que les pirates informatiques le font. Il est impératif de trouver les maillons les plus faibles (employés) avant que les cybercriminels ne les trouvent et ne violent votre réseau et votre propriété intellectuelle.
Selon Brian Krebs, « Une fois infiltré, le pirate n’est plus un attaquant. C’est un utilisateur. Et, une fois qu’il opère depuis votre réseau, il est extrêmement difficile de détecter sa présence ».
Il a comparé cela à un jeu d’échecs ou de dames dans lequel un joueur est capable de promouvoir une pièce qui atteint la dernière rangée de son adversaire à la pièce de son choix.
Pour un pirate informatique, l’élément de choix est le compte utilisateur d’un Directeur général, d’un Directeur financier ou d’un Administrateur d’Enterprise. Les cybercriminels d’aujourd’hui sont très patients lorsqu’ils infiltrent une entreprise.
Au lieu de frapper immédiatement, ils prennent le temps d’apprendre la culture de l’entreprise et la façon dont les dirigeants ciblés communiquent entre eux.
Les cabinets d’avocats sont souvent attaqués pour obtenir des informations sur leurs clients
Les administrateurs système et les responsables des ressources humaines sont les cibles les plus populaires d’une attaque cybercriminelle, et ce, pour une multitude de raisons.
Pourtant, les cabinets d’avocats sont aussi fréquemment attaqués, non pas pour obtenir la propriété intellectuelle du cabinet, mais pour en savoir plus sur leurs clients.
Les informations personnelles des clients peuvent ensuite être vendues à d’autres organisations qui, à leur tour, vos entrer en négociations avec ces mêmes clients pour en tirer profit.
Lors de sa présentation, Brian Krebs a mis l’accent sur la façon dont l’internet des objets (IoT) a modifié le spectre des cyberattaques. Le risque de prise de contrôle de comptes en est un exemple frappant.
Le bourrage de justificatifs d’identité représente une menace croissante. Sachez qu’environ 90 % de toutes les activités de connexion sur les systèmes Internet des entreprises du Fortune 100 sont attribuées au bourrage de justificatifs d’identité.
Jusqu’à récemment, ce genre d’attaque était relativement facile à détecter, car des dizaines de milliers de tentatives de connexion proviennent d’une seule adresse IP.
Une fois exposées, les connexions à partir de ces adresses IP malveillantes peuvent simplement être interrompues. Cependant, avec l’IoT, d’énormes botnets peuvent maintenant être utilisés pour acheminer les demandes de mots de passe à travers des centaines, voire des milliers d’appareils.
Brian Krebs a déclaré : « Nous avons besoin de systèmes plus vérifiables pour identifier les gens. Les identificateurs statiques tels que le nom du père, l’adresse physique, le lieu de naissance, etc., sont devenus complètement inutiles ».
Il a expliqué qu’un pirate informatique peut trouver n’importe quoi sur n’importe quelle personne de plus de 35 ans, pour environ 4 $ en bitcoin.
Il a même lancé un défi à l’audience : si une des personnes présentes lui donnait 4 dollars et une carte de visite avec une adresse de messagerie électronique, il lui enverrait un rapport complet sur son profil par e-mail. Après la présentation, quelques personnes ont relevé le défi par simple curiosité.
Attaques DDOS
L’IoT a propulsé l’utilisation des attaques DDOS, car les cybercriminels peuvent facilement exploiter et piéger des centaines de milliers de dispositifs IoT pour former des armées de botnets, dont la taille est sans précédent.
Les attaques DDOS sont infligées à des organisations comme une forme de censure. Des sites — qui sont susceptibles d’exposer ces organisations et leurs méthodologies — sont régulièrement piratés dans le but de les faire tomber.
L’une de ces organisations malfaisantes, vDOS, a été organisée par deux adolescents israéliens qui ont gagné plus de 600 000 dollars en deux ans pour aider leurs clients à coordonner plus de 150 000 attaques DDOS destinées à mettre hors ligne des sites web.
À la fin de sa présentation, Brian Krebs a ouvert la foire aux questions. Un membre de l’auditoire lui a demandé quelle était la plus grande cybermenace d’aujourd’hui : les attaques BEC, les ransomwares ou les attaques DDOS ? Il a répondu : « La plus grande cybermenace est l’apathie ! »
L’article a été fourni par IT Pro, Brad Rudisail, qui a assisté à l’exposé de Brian Krebs à la conférence Aruba Atmosphere.a
Si votre ordinateur a été infecté par Petya, WannaCry ou un autre ransomware similaire, il n’est pas certain que vous allez pouvoir récupérer vos fichiers et données, même si vous payez la rançon.
La plupart d’entre nous savent que les pirates peuvent utiliser le ransomware pour chiffrer vos données et demander ensuite un paiement pour les déchiffrer.
Mais ce que vous devez aussi noter, c’est que le nombre d’attaques de ransomware a atteint son plus haut niveau historique en avril 2016, soit une augmentation de 159 % par rapport à mars, selon Enigma Software.
Bien qu’il s’agisse d’une hausse inhabituelle, les attaques de ransomware augmentent de 9 à 20 % par mois depuis un certain temps. Il y a plusieurs raisons à cela :
Les attaquants profitent de la panique causée par chaque nouvelle attaque.
Les technologies de chiffrement de haut niveau, comme la version 2048 bits de l’algorithme cryptographique RSA, sont de plus en plus répandues.
Les innovations dans le traitement des devises numériques telles que Bitcoin ont rendu encore plus difficile la traçabilité des transferts.
Les attaquants n’ont plus besoin d’avoir une connaissance approfondie sur les nouvelles technologies pour mener une attaque. La plupart des ransomwares sont disponibles sous forme de kits d’exploitation prêts à être utilisés.
Quelle est l’ampleur de la menace que représentent les ransomwares ?
L’attaque de ransomware est aujourd’hui l’une des plus grandes menaces de cybersécurité. De nouvelles variantes sont publiées en permanence, ce qui rend les attaques plus difficiles à contrer, et le nombre d’attaques ne cesse d’augmenter.
En 2017, les spécialistes prévoyaient que les cybercriminels s’attaqueront aux serveurs et PC critiques des entreprises.
En retenant ces dispositifs sensibles en otage, les cybercriminels pouvaient exercer des pressions au bon moment dans le but d’obtenir des rançons, et ce, le plus rapidement possible.
Les entités publiques paniquaient déjà lorsque les gouvernements américain et canadien ont lancé conjointement une alerte aux demandes de rançon en mars 2016. En mai 2016, un sous-comité judiciaire du Sénat des États-Unis a tenu une audience pour étudier la question.
Rappelons que le Hollywood Presbyterian Medical Center en Californie a été paralysé par une attaque de ransomware de grande envergure pendant dix jours. Il n’est donc pas surprenant que l’État ait rédigé une loi visant à établir des sanctions spécifiques pour les ransomwares.
Le paiement de la rançon est une décision d’affaires
Dans une récente étude menée par BitDefender, la moitié des victimes des ransomwares ont déclaré qu’elles avaient payé la rançon, et les deux cinquièmes des personnes interrogées ont déclaré qu’elles seraient prêtes à le faire si jamais elles se trouvaient une telle situation.
Payer la rançon n’est pas une décision de sécurité, mais une décision commerciale. Récupérer des fichiers à partir d’une sauvegarde prend du temps et des efforts. De plus, cela peut entraîner une perte de revenus pour les entreprises victimes de l’attaque.
Devriez-vous payer la rançon ?
La réponse est non ! Nous vous recommandons de ne jamais le faire. Une telle pratique soutient les criminels, perpétue leurs cycles d’attaque et les encourage à continuer.
En ce qui concerne le ransomware Petya, comme tout autre ransomware, il y a de fortes chances que vous ne récupériez pas vos données même si vous acceptez de payer la rançon.
Avec Petya, l’adresse e-mail utilisée pour la demande de rançon n’était plus accessible. Elle avait été fermée par le fournisseur de messagerie.
Si vous constatez une infection avant l’apparition d’une demande de rançon, éteignez immédiatement votre machine. En aucun cas, vous ne devriez pas la redémarrer, car il est possible que tous vos fichiers et données ne soient pas encore chiffrés.
Et même si vous payez, les attaquants peuvent choisir de ne pas vous fournir une clé valide ou un code de déverrouillage approprié pour déchiffrer vos fichiers.
Selon le FBI, la plupart des organisations qui paient la rançon n’arrivent pas toujours à retrouver l’accès à leurs données. C’est entre autres le cas de l’hôpital du Kansas Heart. Le 18 mai 2016, l’hôpital a été victime d’une attaque de ransomware et a payé la rançon.
Pourtant, les attaquants ont exigé plus d’argent pour la clé de déverrouillage. L’hôpital a refusé de payer à nouveau.
Il y a un autre problème avec la variante du ransomware Cerber. Il s’agit d’un ransomware qui peut potentiellement « dormir » dans le réseau ciblé.
Plus tard, il pourra être converti en botnet et lancer des attaques par déni de service distribué (DDoS). Grâce aux caractéristiques du botnet, les victimes devaient payer une rançon, encore et encore.
Pouvez-vous faire confiance aux criminels pour déverrouiller vos données ?
Comme pour toute entreprise, il est en fait dans son intérêt de tenir ses promesses. Les attaquants de CryptoWall sont connus pour déchiffrer les fichiers après le paiement de la rançon.
Ils ont même guidé leurs victimes dans la procédure d’obtention de Bitcoins et leur ont accordé des prolongations du délai pour le règlement de la rançon. Mais d’autres auteurs de ransomwares ont une réputation moins fiable.
Les professionnels de l’informatique sont contre le paiement de la rançon
Le FBI a publié un avis en juin au sujet des ransomwares. Le Bureau fédéral d’enquête conseille aux victimes de communiquer avec les représentants du FBI dans leur localité au cas où leurs données feraient l’objet d’une demande de rançon.
Mais certains agents du FBI ont averti qu’ils ne peuvent pas, le plus souvent, déchiffrer les données compromises. Un agent a même déclaré : « La façon la plus simple pour sortir de la situation est peut-être de payer la rançon. »
Cependant, certains professionnels suggèrent que le fait de payer la rançon encourage les criminels à attaquer de nouveau et à demander un montant plus élevé.
Dans la foulée, certaines victimes affirment avoir décidé de payer la rançon afin d’éviter que les pirates causent plus de dommages en représailles.
La communauté informatique en général est contre le fait de payer. Dans un sondage mené auprès de la communauté Spiceworks, un réseau en ligne de professionnels de l’informatique, il y a eu une quasi-unanimité contre le paiement de la rançon.
Cette opinion était même partagée par les membres dont les réseaux avaient été infectés.
Ces victimes ont déclaré que la plupart des données étaient récupérables à partir des sauvegardes, bien qu’elles aient subi une perte de données en raison des sauvegardes ratées, non surveillées, et de la perte des données dans les 24 heures qui suivent leur dernier cycle de sauvegarde.
En effet, votre organisation a le choix de payer la rançon ou non en cas d’attaque de ransomware. Mais si vous ne disposez pas de sauvegardes non affectées, vous n’aurez pas d’autre choix que de le faire.
Donnez plusieurs options à votre organisation
Il y a beaucoup de mesures que vous pouvez adopter pour atténuer les dommages causés par une attaque de ransomware, voire pour en empêcher une de se produire ou de réussir. Inscrivez-vous à notre blog si vous souhaitez recevoir notre prochain article directement dans votre boîte de réception.
Une attaque d’email de phishing sur une entité couverte par la loi américaine HIPAA (Health Insurance Portability and Accountability Act) a entraîné une pénalité de 400 000 $ pour non-respect de ce texte.
Ce n’est pas la première fois qu’une attaque de phishing est sanctionnée par l’Office des droits civils (OCR) pour non-conformité.
L’incapacité à prévenir les attaques de phishing n’est pas nécessairement synonyme de sanction, mais le fait de ne pas mettre en œuvre des protections suffisantes pour empêcher de telles attaques pourrait mettre les entités couvertes par l’HIPAA dans l’embarras.
Conformité HIPAA et attaque d’email de phishing
L’OCR du Département américain de la santé et des services sociaux est chargé de faire respecter les règles de la loi sur la transférabilité et la responsabilité en matière d’assurance maladie.
L’OCR effectue les audits des entités couvertes pour identifier les aspects des règles HIPAA qui s’avèrent problématiques pour les entités concernées.
Cependant, à ce jour, aucune sanction financière n’a été émise suite à des infractions à la loi HIPAA découvertes lors de ces audits. Mais ce n’est certainement pas le cas lorsqu’il s’agit d’enquêtes sur des violations de données.
OCR enquête sur toutes les formes de violations de données touchant plus de 500 personnes. Ces enquêtes aboutissent souvent à la découverte de violations des règles de l’HIPAA.
Toute entité couverte par cette loi et qui subit une attaque de phishing entraînant l’exposition d’informations de santé protégées de patients ou de membres d’assurance maladie pourrait être considérée comme ayant violé l’HIPAA.
Une seule attaque de phishing qui n’a pas été contrecarrée pourrait donc entraîner une amende considérable pour non-conformité.
Quelles sont les règles de l’HIPAA qui couvrent le phishing ?
Bien que cette loi ne mentionne pas spécifiquement le phishing, cette menace pourrait porter atteinte à la confidentialité, l’intégrité et la disponibilité des informations électroniques protégées sur la santé (ou Electronic protected health information – ePHI).
Le phishing est donc couvert par les exigences administratives de la règle de sécurité HIPAA.
Les entités couvertes par la règle de sécurité HIPAA sont tenues de dispenser une formation continue appropriée aux membres de leur personnel.
Selon le §164.308.(a).(5).(i), une formation de sensibilisation à la sécurité est nécessaire. Bien que ces exigences soient adressables, elles ne peuvent être ignorées.
Les exigences administratives incluent l’envoi de rappels de sécurité, la protection contre les malwares, la gestion de mots de passe et la surveillance des connexions.
Les employés doivent également apprendre à identifier les emails de phishing potentiels et connaître la réponse correcte lorsqu’ils en reçoivent un.
La règle de sécurité HIPAA exige également la mise en place de protections techniques contre les menaces pesant sur les ePHI.
Des mesures de sécurité raisonnables et appropriées, telles que le chiffrement, devraient être utilisées pour protéger les informations.
Comme les EPHI sont souvent divulguées via des comptes de messagerie, une mesure de sécurité raisonnable et appropriée consisterait donc à utiliser une solution de filtrage du spam avec un composant anti-phishing.
PhishMe rapporte que 91 % des cyberattaques commencent par un email de phishing. Une solution de filtrage anti-spam peut donc être considérée comme un contrôle de sécurité essentiel.
Le risque de phishing doit être mis en évidence lors de l’analyse de votre système de sécurité. C’est un élément obligatoire de la règle de sécurité HIPAA.
Une telle analyse doit identifier les risques et les vulnérabilités susceptibles d’entraîner la divulgation ou le vol des ePHI. Ces failles doivent ensuite être traitées dans le cadre du processus de gestion de la sécurité de l’entité couverte.
Sanctions HIPAA pour attaques d’email de phishing
OCR a récemment conclu un accord avec Metro Community Provider Network (MCPN), un centre de santé agréé par le gouvernement fédéral (FQHC), basé à Denver, au Colorado.
Cela fait suite à une attaque de phishing survenue en décembre 2011.
L’attaque a permis aux pirates d’accéder aux comptes de messagerie de l’organisation après que les employés aient répondu à un email de phishing et fourni ses informations d’identification.
Les ePHI de 3 200 personnes figuraient dans les comptes de messagerie piratés.
L’amende ne visait pas précisément à empêcher toutes les attaques de phishing, mais à faire suffisamment d’efforts pour gérer les risques de sécurité.
MCPN n’avait pas effectué l’analyse des risques avant l’attaque et n’avait pas mis en œuvre de mesures de sécurité suffisantes pour réduire les failles et les vulnérabilités à un niveau raisonnable et approprié.
Le centre de santé MCPN a dû verser 400 000 $ à l’OCR suite à cet incident.
En 2015, une autre entité couverte par l’HIPAA a fini par se mettre d’accord avec l’OCR pour résoudre les violations des règles HIPAA suite à une attaque de phishing.
Le centre médical de l’Université de Washington a versé 750 000 dollars à l’OCR en raison de la divulgation de 90 000 ePHI individuelles. Pour ce cas précis, l’attaque de phishing permettait à des attaquants d’installer des malwares.
Jocelyn Samuels, directeur d’OCR à l’époque, a déclaré: « Une analyse de risque efficace doit être exhaustive et menée dans l’ensemble de l’organisation pour traiter suffisamment les risques et les vulnérabilités des données des patients.
Trop souvent, nous voyons des entités couvertes avec une analyse de risque limitée, qui se concentre sur un système spécifique tel que les dossiers médicaux électroniques, où qui n’assure pas une supervision et une responsabilité appropriées pour toute l’entreprise. »
On ne s’attend pas à ce que les entités visées empêchent toutes les attaques de phishing, mais elles doivent s’assurer que le risque de phishing soit identifié et que des mesures soient mises en place pour empêcher ces attaques d’entraîner l’exposition au vol des ePHI.
Dans le cas contraire, une amende relative à violation de la loi HIPAA pourrait être infligée aux entreprises concernées.
Une faille dans le navigateur Safari mobile a été exploitée par des cybercriminels et utilisée pour extorquer de l’argent à des individus qui ont déjà utilisé leur appareil mobile pour regarder de la pornographie ou d’autres contenus illégaux.
Comment fonctionne le Scareware utilisé contre Safari ?
Le scareware empêche l’utilisateur du navigateur Safari d’accéder à Internet sur son appareil et charge une série de messages popup.
Un popup s’affiche pour informer l’utilisateur que Safari ne peut pas ouvrir la page demandée.
Cliquer sur « OK » pour fermer le message déclenche un autre avertissement popup.
Safari est alors verrouillé dans une boucle sans fin de messages popup qui ne peuvent pas être fermés.
Un message s’affiche en arrière-plan indiquant que l’appareil a été verrouillé, car il a été découvert que l’utilisateur avait consulté un contenu Web illégal.
Certains utilisateurs ont signalé des messages contenant des bannières d’Interpol, dont le but est de faire croire à l’utilisateur que la serrure a été placée sur son téléphone par les forces de l’ordre.
La seule façon de déverrouiller l’appareil, selon les messages, est de payer une amende.
L’un des domaines utilisés par les attaquants est police-pay.com.
Cependant, peu d’utilisateurs seraient probablement trompés en pensant que le verrouillage du navigateur avait été mis en place par un service de police, car l’amende devait être payée sous la forme de carte-cadeau iTunes.
D’autres messages ont menacé l’utilisateur d’une action de la police si le paiement n’est pas effectué.
Dans ce cas, les attaquants ont affirmé qu’ils enverront l’historique de navigation de l’utilisateur et les fichiers téléchargés à la Metropolitan Police.
Cette campagne de scareware sur Safari n’est pas nouvelle, bien que la vulnérabilité « zero day » qui a été exploitée pour afficher les messages l’était.
Les attaquants ont chargé du code sur un certain nombre de sites Web, exploitant ainsi une vulnérabilité dans la façon dont le navigateur Safari gère les fenêtres pop-up JavaScript. Le code visait les versions 10.2 et antérieures d’iOS.
La campagne scareware sur Safari a récemment été découverte par Lookout qui a transmis les détails du kit d’exploitation à Apple le mois dernier.
Apple vient de publier une mise à jour de son navigateur pour empêcher l’attaque de se produire.
Les utilisateurs peuvent donc protéger leurs appareils contre une telle menace en mettant à jour leurs navigateurs avec la version 10.3 d’iOS.
Quelle est la différence entre un scareware et un ransomware ?
Les scarewares sont différents des ransomwares, bien que les deux soient utilisés pour extorquer de l’argent.
Dans le cas d’un ransomware, l’accès à un dispositif est obtenu par l’attaquant et un malware de chiffrement de fichiers est téléchargé.
Ce malware verrouille alors les fichiers des utilisateurs à l’aide d’un chiffrement puissant.
Si une sauvegarde des fichiers chiffrés n’appartient pas à l’utilisateur, ce dernier risque de perdre des données, sauf s’il paie les attaquants pour qu’ils déchiffrent les fichiers verrouillés.
Les scarewares peuvent impliquer des malwares, bien que le plus souvent — comme ce fut le cas pour cette campagne sur Safari — il s’agit de codes malveillants sur des sites Web.
Le code est exécuté lorsqu’un utilisateur doté d’un navigateur vulnérable visite une page Web infectée.
L’idée derrière le scareware est d’effrayer l’utilisateur final pour qu’il paie la rançon demandée afin de déverrouiller son appareil.
Contrairement aux attaques par ransomwares, qui ne peuvent être déverrouillés sans une clé de déchiffrement, il est généralement possible de déverrouiller les navigateurs verrouillés par un scareware avec un peu de savoir-faire informatique.
Pour notre cas, le contrôle du téléphone pouvait être récupéré en vidant le cache du navigateur Safari.
Qu’est-ce qui vous empêche de dormir la nuit ? Si vous êtes un Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une grande entreprise, il se peut que vous ayez peur de perdre votre emploi au cas où votre employeur serait victime d’une cyberattaque comme une atteinte à la protection des données.
Les RSSI prennent la responsabilité des cyberattaques subit par leurs entreprises
C’est l’une des statistiques inquiétantes rapportées par l’étude Megatrend Study du Ponemon Institute.
Cette étude, rendue publique plus tôt cette année, a montré que les nombreux incidents cybernétiques qui ont fait la une des journaux et des médias au cours des deux dernières années semblent avoir des répercussions sur les dirigeants du RSSI et d’autres dirigeants de C-Suite.
L’enquête portait sur 612 RSSI, DSI et autres professionnels de la sécurité de l’information :
45 % des répondants ont déclaré qu’ils craignaient de perdre leur emploi à la suite d’une cyberattaque majeure.
Cela semble compréhensible puisqu’en 2018, 67 % d’entre eux s’attendent à une atteinte à la protection des données ou à un type d’attaque informatique semblable, contre 60 % en 2017.
Ces appréhensions ne sont pas propres aux professionnels de l’industrie établis aux États-Unis.
Une enquête menée dans le cadre de la conférence Infosecurity Europe 2017 a rapporté des résultats similaires.
En effet, on a demandé aux professionnels de la sécurité le poste le plus responsable d’une entreprise en cas d’atteinte à la protection des données.
Parmi les répondants, 40 % affirmaient que les PDG seraient les premiers à être sur la ligne de mire, suivis des RSSI (21 %), des autres professionnels de la sécurité de l’information (15 %) et des DSI (14 %).
Parmi les exemples récents de départs forcés, on peut citer celui du chef de la direction d’Equifax, Richard Smith, après la divulgation d’une violation massive de données.
Chez Uber, trois cadres supérieurs du département sécurité ont également démissionné suite à la dissimulation révélée d’une attaque cybercriminelle. Suite à cela, les données de plus de 50 millions de conducteurs et passagers ont été atteintes.
Uber a dû payer un groupe de pirates informatiques pour effacer les dossiers infectés.
D’autres exemples d’attaques de haut niveau ont impliqué d’autres entreprises, comme :
Le fabricant aérospatial autrichien FACC
Sony
Target
Home Depot.
Le grand public est clairement convaincu que les entreprises doivent être pénalisées pour les violations de données impliquant des informations personnelles.
Dans un sondage mené récemment auprès de 9 000 consommateurs en Australie, au Benelux, en France, en Allemagne, en Russie, aux Émirats arabes unis, en Arabie saoudite, en Inde, au Japon, au Royaume-Uni et aux États-Unis, 70 % des répondants ont attribué la responsabilité de protéger et de sécuriser leurs données directement aux entreprises.
L’étude du Ponemon Institute montre que le stress lié à la cybercriminalité affecte les RSSI
Non seulement la majorité d’entre eux estiment qu’une cyberattaque est imminente, mais 66 % disent qu’ils s’attendent à ce que leur travail devienne plus stressant au cours des douze prochains mois.
Un autre fait inquiétant est que :
44 % des répondants ont indiqué qu’ils prévoyaient de faire une mutation latérale au sein de leur organisation, en travaillant hors du domaine de la sécurité informatique.
40 % envisagent tout simplement de changer de carrière.
Pourquoi les responsables de la sécurité informatique du C-Suite sont-ils si inquiets ?
Certes, la publicité sur les cyberattaques – telles que les atteintes à la protection des données et les attaques de ransomwares – a fait monter la pression pour ces dirigeants.
Mais la surcharge d’informations et l’augmentation des réglementations y contribuent également.
Outre ces faits, l’étude du Ponemon Institute a mis en évidence d’autres préoccupations spécifiques des répondants.
70 % d’entre eux ont affirmé que la cause la plus probable d’une atteinte à la protection des données était le manque de personnel interne compétent.
64 % ont souligné le manque d’expertise interne qui pourrait entraîner une atteinte à la protection des données. La pénurie chronique de talents dans le domaine de la cybersécurité est qualifiée d’épidémie selon certains analystes de l’industrie. L’un des principaux groupes de défense de la sécurité de l’information prévoit qu’il y aura une pénurie mondiale de deux millions de professionnels de la sécurité d’ici 2019.
47 % s’inquiétaient d’une brèche potentielle due à l’incapacité de leur organisation à sécuriser les dispositifs IoT (Internet des objets).
56 % d’entre eux ont cité que les organisations sont incapables de faire face aux cyberattaques qui sont de plus en plus sophistiquées.
Un tiers des répondants ont affirmé que cette préoccupation est due à un financement inadéquat.
40 % ont déclaré que leurs budgets de sécurité informatique étaient restés stables l’an dernier malgré les menaces croissantes, tandis que 23 % s’attendaient à un budget réduit pour les douze mois à venir.
L’une des principales préoccupations exprimées dans le rapport était l’incapacité de se préparer à de nouveaux types de menaces sur le long terme, en raison de l’augmentation du nombre d’attaques quotidiennes.
Les malwares et le phishing demeurent leur principale préoccupation, car ils constituent le principal moyen de diffusion des attaques cybernétiques.
La capacité de sécuriser complètement la messagerie électronique des utilisateurs est également une priorité absolue, outre la mise en œuvre d’outils de sécurité tels que le filtrage moderne des emails et des contenus web.
La cybersécurité doit devenir une culture pratiquée dans chaque organisation. En attendant, le stress des RSSI restera certainement élevé.
Le mardi 27 juin 2017, une importante cyberattaque utilisant des ransomwares a eu lieu.
Elle ciblait des organisations à travers le monde.
Les analystes de TitanHQ ont enquêté sur cette nouvelle vague d’attaques de ransomwares.
Les premiers résultats de notre fournisseur antivirus Kaspersky suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya, telle que rapportée publiquement, mais d’un nouveau ransomware qui n’a jamais été vu auparavant.
Bien qu’il présente des chaînes de caractères similaires à celles de Petya, il possède des fonctionnalités complètement différentes. Kaspersky l’a nommé « ExPetr ».
Il s’agit d’une attaque complexe impliquant plusieurs vecteurs de malwares.
Nous pouvons confirmer que les kits d’exploitation modifiés d’EternalBlue et d’EternalRomance — lesquels ont été utilisés lors de l’attaque ransomwares avec WannaCry en mai — ont été utilisés par les criminels pour propager des virus dans le réseau des entreprises.
Kaspersky a nommé les variantes de cette menace de différentes manières, à savoir :
Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
Trojan-Ransom.Win32.ExPetr.gen
Win32.Generic
Win32.Generic.
Protection SpamTitan contre le ransomware ExPetr
Les clients utilisant SpamTitan sont protégés contre toutes les variantes récentes du ransomware ExPetr.
Notre service antivirus peut bloquer cette menace et nous travaillons en étroite collaboration avec des fournisseurs spécialisés pour assurer une protection optimale de vos réseaux d’entreprise.
TitanHQ a détecté l’infection initiale à l’aide de la fonction de protection Kaspersky.
Que devriez-vous faire ?
Nous conseillons à toutes les organisations de mettre à jour leurs logiciels Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le correctif de sécurité MS17-010.
Nous conseillons également à toutes les organisations de s’assurer qu’elles disposent de systèmes de sauvegarde des données, notamment la méthode de sauvegarde 3-2-1. Un système de sauvegarde approprié et opportun peut être utilisé pour restaurer les fichiers originaux après une perte de données.
S’assurer que tous les mécanismes de protection antivirus sont activés.
Évitez d’ouvrir des pièces jointes à des emails auxquels vous ne vous attendez pas ou provenant de destinataires que vous ne connaissez pas.
Couches de sécurité
De nos jours, les entreprises ont besoin de plusieurs niveaux de sécurité pour stopper les emails qui passent à travers votre pare-feu, par le biais d’un antispam et d’une solution antivirus pour votre serveur de messagerie.
Si l’email parvient à contourner votre système de défense, il sera alors arrêté par l’antivirus.
Au cas où un malware s’installerait sur votre poste de travail, il va également être détecté dès qu’il commence à fonctionner de façon suspecte.
Vous pouvez donc vous protéger contre les virus, les attaques de phishing et de ransomwares, et bien d’autres menaces en ligne.
Corriger – Répondre – Atténuer
En cas d’attaque par des ransomwares, les sauvegardes sont essentielles, tout comme la mise à jour régulière de vos systèmes.
Le problème est que les entreprises ne peuvent pas toujours appliquer les correctifs le jour où elles sont disponibles, car les entreprises doivent encore tester les modifications et s’assurer que les mises à jour n’auront aucun impact sur leur fonctionnement.
Il est également crucial pour les équipes informatiques d’intégrer la redondance dans l’infrastructure, de sorte que lorsqu’un système sera mis hors service pendant la période de test, un autre système pourra fonctionner correctement.
Les équipes informatiques doivent disposer d’un plan pour hiérarchiser les mises à jour de sécurité ou mettre en place des mesures de protection pour celles qui ne peuvent pas être corrigées.
La seule certitude concernant les ransomwares, c’est qu’ils évoluent tout le temps. Rien qu’en janvier, 37 nouvelles variantes se sont apparues, dont :
F Society
CyberHub
Spora
Marlboro
Dark OverLord
Pour n’en citer que quelques-unes.
Avec autant de souches différentes qui circulent sur le web, les précautions restent les mêmes :
Les entreprises doivent maintenir des sauvegardes
Utiliser une sécurité efficace de la messagerie électronique et du web
Traiter le spam comme un vecteur sérieux de malwares plutôt que comme une simple nuisance.
Les statistiques concernant les attaques de ransomwares montrent clairement comment les entreprises ignorent ou n’accordent pas la priorité aux correctifs.
Avez-vous appliqué tous vos correctifs après les attaques de WannaCry ?
Avez-vous été victime d’une attaque par le ransomware ExPetr ?
Si vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles soient protégés, parlez-en à nos spécialistes ou envoyez-nous un email à info@titanhq.com pour toute question.
Les établissements d’enseignement, de la maternelle au lycée ainsi que de l’enseignement supérieur, sont régulièrement piratés.
La situation ne montre aucun signe d’amélioration.
Les conséquences de tout vol de données sont énormes non seulement en termes de réputation, mais aussi en termes juridique, économique et opérationnel.
Le financement futur pourrait être affecté, mais il y a aussi le risque de perte de frais de scolarité futurs et de revenus associés.
L’année dernière, un article paru dans le Huffington Post donnait des exemples de cinq collèges dont les atteintes à la protection des données étaient encore plus importantes que celles de Sony.
Voici quelques exemples d’atteintes récentes à la protection des données dans le domaine de l’éducation :
Les réseaux de l’Université du Maryland ont été piratés en janvier 2014, ce qui a entraîné la divulgation des données de 310 000 étudiants. La brèche a coûté plus de 6 millions de dollars à l’université pour que les victimes puissent bénéficier de services de surveillance du crédit.
Le district scolaire Park Hill de Kansas City, au Missouri, a signalé une infraction en juillet 2014. Un ancien employé a eu accès à des données confidentielles sur des élèves et des employés. Ces données ont été ensuite publiées par inadvertance sur Internet. Plus de 10 000 personnes ont été victimes de cette attaque. Des dossiers ont été endommagés, y compris des numéros de sécurité sociale et des évaluations des employés.
En juin 2014, plus de 30 000 étudiants du Riverside Community College District, en Californie, ont vu leurs données exposées (numéros de sécurité sociale, dossiers scolaires, etc.) lorsqu’un employé a envoyé des dossiers par email à une adresse électronique incorrecte via un système non sécurisé.
Universities UK est une organisation regroupant les directeurs généraux des universités britanniques qui œuvre pour le soutien et la promotion du secteur de l’enseignement supérieur britannique.
Elle a commandé un rapport qui examine les moyens de mettre en œuvre la cybersécurité dans les établissements d’enseignement supérieur au niveau de la direction.
Leurs suggestions sur la manière d’assurer une cybersécurité adéquate semblent très similaires aux approches que toute grande entreprise devrait adopter :
Évaluer le risque institutionnel en identifiant les actifs informationnels, en évaluant leurs vulnérabilités et en établissant leurs priorités de gestion.
Mettre en place un système de surveillance et de communication efficace des risques liés à l’information entre le conseil d’administration de l’institution, les propriétaires, les contrôleurs et les actifs informationnels.
Mettre en œuvre des contrôles réseau généraux, ciblés et appropriés, notamment le partage et la mise à jour des vulnérabilités et des pratiques menées en interne et en externe.
La nature et la fiabilité des données associées à un large éventail d’activités nécessitent un ensemble de modèles de cybersécurité ciblés, adaptés et proportionnés à leurs actifs.
Les universités sont les cibles parfaites pour un vol de données
Les données sont essentielles au bon fonctionnement d’un établissement d’enseignement, ainsi qu’à la recherche et à la production d’autres données.
Il peut s’agir du principal actif intellectuel — parfois sensible du point de vue politique ou commercial — et essentiel pour que l’université puisse répondre à ses besoins commerciaux ou académiques.
Il suffit prendre l’exemple de la nature des données sur les changements climatiques ou des dossiers médicaux.
Il peut également s’agir de données d’entreprise, sur les étudiants, les finances et les ressources humaines.
Celles-ci sont soumises aux lois habituelles sur la protection des données.
Le financement futur pourrait être affecté, mais il y a aussi le risque de perte de frais de scolarité futurs et de revenus associés.
Des poursuites et d’autres sanctions pourraient être intentées à l’encontre de l’établissement, mais la perte de propriété intellectuelle pourrait aussi survenir.
Il peut même y avoir des dommages aux infrastructures qui paralysent les activités de l’institution.
Les réseaux universitaires alimentaient les attaques contre les systèmes externes
Les données personnelles et financières stockées dans les systèmes de données universitaires sont d’une grande valeur pour les cybercriminels.
Les données commerciales, quant à elles, peuvent intéresser les espions d’entreprises, tandis que les données liées à la recherche scientifique ou aux subventions peuvent être ciblées par des groupes soutenus par un État-nation.
Même l’infrastructure universitaire, avec sa large bande passante et ses serveurs puissants, constitue une cible pour les pirates informatiques. Il peut être détourné et utilisé pour mener des attaques sur d’autres systèmes externes.
Lorsque les systèmes informatiques du New York Times ont été piratés en 2013, l’enquête qui a suivi a révélé que les attaques avaient été dirigées contre des ordinateurs compromis dans des universités américaines.
Les menaces habituels des vols de données
Les menaces auxquelles font face les établissements d’enseignement sont toujours les mêmes.
Manipulation psychologique qui cible l’utilisateur,
Spams/emails de phishing,
Macros malveillantes/ransomwares,
Protocoles de sécurité obsolètes et/ou faibles,
Vulnérabilités des navigateurs,
Logiciels non corrigés et vulnérabilités logicielles,
Kits d’exploitation « zero-day »,
Mauvaise configuration du pare-feu et du réseau,
Manque de contrôle des applications,
Accès USB non sécurisé,
Botnets et attaques par déni de service distribué (DDOS),
Accès à distance permanent,
Banque de contrôle des appareils mobiles
Problèmes d’infrastructure et silos de données : Un cauchemar pour la sécurité des réseaux
Ce qui différencie réellement les établissements d’enseignement supérieur et le réseau d’entreprise est la nature du campus et du réseau de l’Université.
Composée de nombreux réseaux, parfois dispersés, l’infrastructure réseau des universités constitue un cauchemar pour les professionnels de la sécurité informatique d’entreprise.
Ce n’est pas dû à un manque de prévoyance ou d’ignorance en matière de sécurité informatique sur le campus (c’est loin d’être le cas !).
En effet, L’environnement éducatif et l’ouverture du campus au grand public signifient qu’il n’y a aucune infrastructure centrée sur la sécurité étroite tel qu’on voit dans les réseaux d’entreprise.
Dans les établissements d’enseignement, il est courant de voir
Des flux réguliers d’étudiants de premier cycle
Des chercheurs et des diplômés qui collaborent et partagent des données à l’échelle mondiale
Des universitaires en visite
Des pratiques qui permettent aux utilisateurs d’apporter leurs propres appareils pour se connecter au réseau
Etc.
Pourtant, dans de tels environnements, le concept de sécurité des données rigoureuse a toujours été considéré comme inutile, voire indésirable.
Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises.
La sécurité informatique est un compromis
Il y a un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place.
La sécurité dans toutes les organisations, commerciales ou académiques, est un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier qui pourraient être encourus en défense en cas d’atteinte à la protection des données.
L’augmentation des menaces en ligne et les nouvelles sanctions sévères pour les atteintes à la protection des données obligent les universités à prendre la cybersécurité plus au sérieux.
Une approche efficace consistait à segmenter et à partitionner autant que possible les réseaux des campus afin que les données les plus sensibles et les plus précieuses puissent être protégées de manière adéquate.
Il fallait également permettre la création de parties du réseau relativement ouvertes pour répondre aux besoins en matière de formation et de recherche.
Cela peut être complexe et nécessiter une analyse détaillée des risques, outre l’établissement de priorités de gestion et des mesures de sécurité connexes.
En réalité, c’est une approche qui commence à être adoptée par les réseaux d’entreprise.
Le fait de considérer que le « monde extérieur » est dangereux et que le réseau local est toujours sécurisé est désormais quelque chose de démodé.
La DMZ qui servait auparavant de sandbox aux systèmes partagés entre le WAN et le LAN est maintenant considérée comme la zone protégée pour sécuriser les serveurs du monde extérieur et du monde intérieur.
La pratique consistait à utiliser des systèmes de sécurité capables de surveiller le réseau et détecter les anomalies comportementales, plutôt que de compter sur une protection par périmètre.
Et c’est là que les universités peuvent être en avance sur le monde de l’entreprise.
L’équipe de TitanHQ travaille depuis plus de 20 ans sur les solutions antispam ; le filtrage Web et l’archivage des emails pour les écoles.
Nous avons une compréhension profonde des problèmes de sécurité web et nous sommes conscients que toutes les écoles et tous les collèges devraient faire quelque chose pour protéger les étudiants, le personnel scolaire et les visiteurs.
Les cybercriminels veulent vos données, alors ne les leur donnez pas !
Commencez dès aujourd’hui à protéger votre organisme éducatif contre les infractions coûteuses et les amendes.
La sécurité web est essentielle à la protection de vos données.
Essayez la version gratuite de WebTitan dès aujourd’hui !
