Les systèmes scolaires sont censés être des environnements sûrs où les enfants peuvent venir apprendre. Malheureusement, les cybercriminels ont autre chose à dire à ce sujet. Actuellement, un district scolaire américain est victime d’une cyberattaque presque tous les trois jours. Dans un rapport publié par Malwarebytes, « 2019 State of Malware », l’éducation, la fabrication et la vente au détail étaient les principales industries touchées par les chevaux de Troie.
L’éducation était en fait l’une des principaux secteurs les plus touchées par Emotet, le cheval de Troie le plus répandu et le plus insaisissable. Selon le fournisseur de pare-feu, Fortinet, l’éducation est aussi le secteur le plus ciblé par les demandeurs de rançon. 13 % des établissements d’enseignement ont subi des attaques de ransomwares à un moment donné.
Comment se fait-il que les systèmes scolaires soient exploités si facilement et si fréquemment ? Le fait est que les établissements scolaires de la maternelle à la terminale sont actuellement confrontés à des défis de taille. Voici quelques-uns des principaux défis auxquels les systèmes scolaires sont confrontés.
Les établissements scolaires ne sont pas assez réactifs face à l’explosion des cybermenaces
La mission des établissements scolaires est d’éduquer les enfants. L’objectif du département informatique des établissements scolaires est de soutenir la technologie sur laquelle les enseignants comptent. Traditionnellement, cela signifie qu’il faut déployer et soutenir des dispositifs informatiques pour le personnel et les élèves et s’assurer que les projecteurs de classe fonctionnent correctement.
Ce n’est pas une seconde nature pour le personnel des établissements scolaires de commencer sa journée à rechercher les menaces à la sécurité. Ce n’est pas une mauvaise chose. Cela s’explique en grande partie par le fait que l’accent est mis sur l’éducation des enfants. Une enquête publiée par la National School Boards Association a révélé que les responsables scolaires sont moins préparés aux cyberattaques que leurs pairs des entreprises du secteur privé.
Dans une enquête récente sur les CTO K12, plus de 70 pour cent ne considèrent pas les cyberattaques telles que les atteintes à la protection des données, les logiciels de rançon ou les attaques par déni de service comme des menaces graves. Les bonnes nouvelles de la même étude ont toutefois montré que plus de la moitié d’entre eux considèrent maintenant les escroqueries de phishing comme un problème important et que l’accent est mis sur la sécurité du courrier électronique.
Contraintes budgétaires en matière de technologie de l’information
Selon le Consortium for School Networking (CoSN), la principale barrière pour 6 des 7 dernières années est la contrainte budgétaire. Bien que toutes les entreprises et organisations aient des budgets qu’elles doivent respecter, les budgets sont beaucoup plus restreints que ceux du secteur privé. C’est parce que les budgets sont fondés sur des estimations des recettes fiscales. Il n’y a pas de caisse noire importante sur laquelle se tourner pour acheter un système de sécurité imprévu au besoin. De plus, les recettes fiscales fluctuent en fonction des cycles économiques de la région. En période de prospérité économique, les districts peuvent profiter d’importantes rentrées fiscales et maximiser leurs achats d’appareils et de technologies éducatives. Puis, lorsqu’un ralentissement économique se produit, l’argent nécessaire pour sécuriser et entretenir correctement ces appareils n’est pas disponible. La technologie qui n’appuie pas l’enseignement est souvent mise en veilleuse jusqu’à ce que les temps s’améliorent.
Insuffisance du personnel informatique et de sécurité de l’information
Soyons réalistes, la plupart des districts scolaires n’ont pas le personnel nécessaire pour protéger suffisamment leurs grands réseaux. Cela s’explique en grande partie par des contraintes budgétaires. Il est déjà assez difficile pour les grands districts métropolitains d’obtenir le personnel dont ils ont besoin, alors que certains districts ruraux doivent compter sur le personnel à temps plein qui connaît le mieux la technologie. Quand il s’agit de cybersécurité, c’est encore pire. Selon une enquête CoSN de l’année dernière, seulement 25 % des établissements scolaires ont un membre du personnel à plein temps dédié à la sécurité des réseaux. Dans les écoles rurales, ce chiffre tombe à seulement 8 %.
Shadow IT
Le Shadow IT est un problème pour tous les types d’organisations en raison de la consumérisation de l’informatique. Il n’est pas rare que les administrateurs scolaires ou les enseignants fassent des achats de technologie sans le consentement ou même sans que le département de technologie du système en soit informé. Dans ces cas, les équipements et les logiciels sont achetés avec peu ou pas d’égard pour la cybersécurité. Certains enseignants apportent leur propre équipement technologique personnel, comme des imprimantes, des appareils informatiques et des points d’accès WiFi. Parce que ces appareils ne sont pas prêts pour l’entreprise, ils n’ont souvent pas les normes de sécurité requises pour les réseaux qui sont activement ciblés par les cybercriminels. Naturellement, il est impossible pour le personnel technologique interne de protéger ce qu’il ne connaît pas.
Infrastructure patrimoniale
Là encore, en raison de contraintes budgétaires, de nombreux systèmes scolaires ne disposent pas des technologies les plus récentes. Il n’est pas rare de trouver des appareils de classe utilisant des systèmes d’exploitation obsolètes tels que Windows XP ou des logiciels qui ne sont plus supportés du tout. Ces dispositifs ne sont pas corrigés lorsque des vulnérabilités sont découvertes. Les serveurs et les périphériques réseau obsolètes tels que les routeurs et les pare-feu sont souvent en proie à des protocoles de sécurité obsolètes qui offrent une protection minimale sinon nulle.
Manque de sensibilisation et de formation en matière de sécurité
Pour beaucoup d’enseignants, il n’y a pas assez de temps dans la journée. Les enseignants et le personnel doivent déjà jongler avec leur temps pour le personnel professionnel et la formation pédagogique. Le personnel informatique est surchargé dans tout le district et soutient tout le monde et leurs appareils. Et puis, bien sûr, il y a les étudiants. Étant donné qu’un si grand nombre de districts mettent maintenant en œuvre des programmes d’appareils individuels, les jeunes élèves des écoles intermédiaires et élémentaires utilisent des ordinateurs. Bien sûr, personne ne peut s’attendre à ce qu’ils pratiquent une bonne cyberhygiène à un si jeune âge. Tout cela rend la formation des utilisateurs pour qu’ils soient conscients de la sécurité extrêmement difficile.
Partout aux États-Unis, les districts K12 se démènent pour se protéger contre les cyberattaques, qui prennent la forme de courriels hameçons, de logiciels malveillants et d’atteintes à la protection des données. En fin de compte, ce sont tous des défis, et les défis ne sont pas des limites permanentes. Être prêt à faire face à ces menaces comprend l’élaboration et la promotion de politiques sur l’utilisation responsable, le stockage sécurisé des données, la mise en œuvre d’une sécurité et de sauvegardes complètes par couches du courrier électronique et du Web. Les défis peuvent être surmontés et les districts commencent à trouver des moyens d’accomplir le travail, malgré les épreuves et les circonstances uniques que d’autres types d’organisations n’ont pas à endurer.
Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’école, des élèves et du personnel sont protégés ? Parlez à un spécialiste ou envoyez-nous un courriel à info@titanhq.fr pour toute question.
La lutte contre Locky et Samas a certainement été un casse-tête majeur pour les services informatiques. Ces deux variantes de ransomware ont été dotées de fonctions intelligentes conçues pour prévenir leur détection, pour faire croître les infections et pour infliger le plus de dommages possible, ne laissant souvent aux entreprises que le choix de payer la rançon.
Cependant, une nouvelle menace de ransomware est apparue, et elle pourrait bien être encore plus menaçante que Locky et Samas : Spora. Heureusement, ses auteurs semblent ne cibler que les utilisateurs russes, mais il est fort possible qu’ils changent de cibles. Une version russe du ransomware a été utilisée jusqu’à présent pour mener des attaques cybercriminelles, mais une version anglaise vient d’être créée. Les attaques de ransomware Spora seront bientôt un problème mondial.
Les pirates informatiques ont passé une grande partie de leur temps et ont concentré leurs efforts à la production de Spora et il est peu probable qu’une clé de déchiffrement soit créée en raison de la façon dont ce ransomware chiffre les données.
Contrairement à de nombreuses nouvelles attaques de ransomware qui dépendent d’un serveur de commande et de contrôle pour recevoir les instructions, Spora peut chiffrer les fichiers même si l’utilisateur est hors ligne. La fermeture de l’accès à Internet n’arrêtera pas l’infection. Il n’est pas non plus possible de restreindre l’accès au serveur C&C pour se protéger de cette attaque.
D’autres variantes de ransomwares ont été créées pour chiffrer les fichiers sans communication C&C, mais une seule clé permettait de les déchiffrer. Par contre, pour déchiffrer les fichiers infectés par Spora, les victimes doivent utilisent une clé de déchiffrement unique. Une clé publique RSA codée en dur est utilisée pour créer une clé AES unique pour chaque utilisateur. La clé AES est ensuite utilisée pour chiffrer la clé privée d’une paire de clés RSA publique/privé établie avec chaque victime, sans communication C&C. Par ailleurs, la clé RSA chiffre les clés AES séparées pour chaque utilisateur. Sans cette clé, qui est fournie par les pirates, la victime ne pourra pas déverrouiller les fichiers.
Ce processus de chiffrement complexe rend Spora unique, et ce n’est pas tout ! Contrairement à de nombreuses autres variantes de ransomwares, les pirates ne fixent pas le montant de la rançon. Cela donne aux pirates un certain degré de flexibilité et, ce qui est encore plus inquiétant, c’est que ce processus se produit automatiquement.
De par cette flexibilité, chaque entreprise victime de l’attaque peut se voir facturer un montant différent. L’ensemble de la rançon est calculé en fonction de l’étendue de l’infection et des types de fichiers chiffrés. Puisque Spora recueille des données sur l’utilisateur, lorsque le contact est établi pour payer la rançon, les montants peuvent facilement être modifiés.
Lorsque les victimes visitent le portail du pirate pour payer la rançon, elles doivent fournir le fichier clé infecté par le ransomware. Les fichiers clés contiennent une série de données sur l’utilisateur, y compris les détails de la campagne utilisée. Les hackers peuvent donc surveiller de près les infections et les campagnes. Ils peuvent ensuite réutiliser les campagnes qui réussissent et qui donnent lieu à un plus grand nombre de paiements pour atteindre d’autres cibles. Celles qui sont moins efficaces sont mises à l’oubli.
À l’heure actuelle, il existe un certain nombre d’options de paiement. Les victimes peuvent choisir de payer la rançon pour déverrouiller le chiffrement, ou de payer un montant supplémentaire pour éviter de futures attaques, en bénéficiant essentiellement d’une sorte d’immunité contre le ransomware.
Les experts d’Emisoft qui ont analysé Spora affirment qu’il est loin d’être une variante qui a été mise au point à la va-vite. Le groupe qui l’a conçu est très bien informé et le processus de chiffrement ne contient aucune faille, ce qui est rare pour une nouvelle variante de ransomware. La conception de la demande de rançon est écrite dans un format HTML. Le portail de paiement est très sophistiqué et contient une option de chat pour permettre la communication avec les hackers. La grande complexité de cette attaque est le fruit de beaucoup d’investissements et d’un travail acharné. De plus, il est peu probable que cette menace disparaisse rapidement. En fait, elle pourrait s’avérer l’une des menaces les plus graves à l’avenir.
L’infection se produit actuellement par le biais de spams contenant des pièces jointes ou des liens malveillants. Actuellement, les pièces jointes ressemblent à des factures PDF, bien qu’il s’agisse de fichiers HTA incluant du code JavaScript. La meilleure défense, c’est donc d’empêcher ces e-mails d’arriver dans les boites de réception des utilisateurs finaux. Une sauvegarde de vos données sera également nécessaire pour vous permettre de récupérer vos informations sensibles, plutôt que de payer la rançon.
Des pirates ont utilisé les emails de phishing qui distribuent le ransomware WannaCry pour mener des attaques cybercriminelles à l’échelle mondiale.
Une campagne d’emails a été découverte au Royaume-Uni, visant les clients de la marque BT (anciennement British Telecom). Les hackers ont été capables d’usurper des noms de domaines de BT pour rendre leurs emails de phishing très réalistes. Ils ont utilisé le logo BT et bien conçu les messages. Ceux-ci prétendaient avoir été envoyés par Libby Barr, responsable des ventes et du service à la clientèle chez BT. Les emails semblaient donc authentiques et ils étaient parvenus à tromper de nombreux clients.
Les emails affirment que BT souhaite améliorer sa sécurité informatique, notamment contre la campagne de ransomwares qui a touché plus de 300 000 ordinateurs dans 150 pays le 12 mai 2017. Au Royaume-Uni, 20 % des NHS (Service national de santé) ont été touchées par cet incident. Ils ont vu leurs données chiffrées et leurs services gravement endommagés par les attaques de ransomware. Si votre organisation est basée au Royaume-Uni, il vous serait extrêmement difficile d’éviter ces attaques et d’en subir les dommages qu’elles ont infligés.
Les emails de phishing qui distribuent WannaCry incitent les clients de BT à agir rapidement. En effet, ils proposaient une mise à niveau de sécurité pour empêcher les utilisateurs d’être victimes des attaques de ransomwares. Les emails affirment que, pour protéger les données sensibles des clients, l’accès à certaines fonctions a été désactivé sur les comptes BT. Ces derniers sont donc informés que, pour restaurer toutes les fonctionnalités, ils doivent confirmer la mise à niveau de sécurité en sélectionnant la case de mise à niveau contenue dans l’email.
Bien entendu, si la victime ouvre le lien, cela n’entraînera pas l’application d’une mise à jour de sécurité. Au lieu de cela, ils sont tenus de partager leurs identifiants de connexion avec les hackers.
D’autres emails de phishing utilisant WannaCry sont susceptibles d’être envoyés par d’autres fournisseurs de services aux intentions malveillantes. Des campagnes similaires pourraient être utilisées pour installer discrètement des malwares ou des ransomwares.
Les pirates informatiques profitent souvent des actualités internationales qui suscitent beaucoup d’intérêt dans les médias pour mener des attaques. Il y avait par exemple beaucoup de spams envoyés sur le thème des Jeux olympiques au cours de cet évènement. Les emails de phishing étaient également répandus pendant les élections présidentielles américaines, la Coupe du monde et l’épidémie du virus Zika.
Il est essentiel de ne jamais cliquer sur des liens envoyés par emails et par des personnes que vous ne connaissez pas. Vous devriez également être extrêmement prudent lorsque vous visitez des liens envoyés par des personnes que vous connaissez et supposez toujours que les messages électroniques que vous recevez pourraient toujours être un email de phishing ou malveillant.
Un seul email de phishing envoyé à un membre de votre personnel peut entraîner une atteinte à la protection des données ou une atteinte à votre réseau informatique. Il est donc crucial que les employeurs soient prudents. Vos employés devraient recevoir une formation de sensibilisation au phishing et apprendre à adopter les mesures nécessaires lorsqu’ils se doutent de l’authenticité des messages qu’ils reçoivent.
Vous devriez également mettre en place une solution avancée de filtrage du spam pour empêcher la plupart des emails de phishing d’arriver dans les boîtes de réception de vos employés. TitanHQ est là pour vous aider dans cette démarche. Contactez notre équipe dès maintenant pour voir comment notre solution de filtrage des emails, SpamTitan, peut protéger votre entreprise contre le phishing, les malwares et les ransomwares.
Les cybercriminels utilisent SharePoint pour envoyer des documents malveillants aux entreprises au Royaume-Uni. Cette tactique a permis à de nombreux e-mails de contourner les défenses de sécurité de la messagerie électronique et d’arriver dans les boîtes de réception des employés.
La campagne semble cibler les entreprises du secteur des services financiers et vise à obtenir des informations d’identification Office 365 des victimes et des combinaisons de nom d’utilisateur et de mot de passe des fournisseurs de services de messagerie. Ces informations d’identification peuvent être utilisées pour accéder à des informations sensibles dans les comptes de messagerie et dans les systèmes de stockage dans le cloud comme OneDrive.
Lors de la dernière campagne, le pirate informatique a utilisé un compte de messagerie compromis d’un cabinet d’avocats de Londres pour envoyer des e-mails aux employés d’entreprises du secteur des services financiers. L’attaquant a utilisé SharePoint pour envoyer une demande de révision d’un document. Pour visualiser le document, l’utilisateur doit cliquer sur un lien intégré dans l’e-mail.
Si l’utilisateur clique sur le lien, il est dirigé vers SharePoint et vers une autre URL malveillante où il sera invité à télécharger un document OneNote. Pour télécharger le document, il doit saisir ses identifiants de connexion.
Puisque l’URL initiale utilise le nom de domaine SharePoint, de nombreuses solutions de sécurité de messagerie ne parviennent pas à identifier le lien comme malveillant. Des tactiques similaires ont été utilisées dans les campagnes de phishing liées à OneDrive, Citrix ShareFile, Google Drive et Windows.net. Étant donné que les noms de domaine utilisés semblaient authentiques et que les e-mails ne contenaient aucun malware, les messages ont été transmis aux utilisateurs finaux.
L’URL utilisée dans cette campagne aurait pu susciter des soupçons même si elle utilisait un nom de domaine SharePoint. Pourtant, tous les utilisateurs ne vérifient pas soigneusement les URL, ou bien ils ne pouvaient pas lire l’URL complète sur les appareils mobiles. Ceci augmente le risque qu’un utilisateur final soit dupé pour divulguer ses identifiants de connexion.
Le portail OneDrive for Business vers lequel l’utilisateur est dirigé est également une mauvaise imitation, mais il est suffisamment réaliste pour tromper de nombreux utilisateurs finaux. D’autres campagnes de phishing utilisant des sites web de partage de fichiers sont beaucoup plus convaincantes et il est peu probable qu’elles soient détectées comme malveillantes même par des employés peu soucieux de la sécurité.
Lorsque les informations d’identification sont compromises, le compte de messagerie est souvent utilisé pour envoyer d’autres e-mails de phishing à d’autres employés de l’entreprise. Comme ces e-mails proviennent d’un compte interne, les utilisateurs sont plus susceptibles de répondre. Les attaquants peuvent également consulter les messages dans le compte compromis et les utiliser pour engager une conversation avec leurs cibles. De plus, ils peuvent imiter le style rédactionnel du titulaire du compte usurpé pour ajouter plus de réalisme aux e-mails de phishing.
Souvent, les entreprises parviennent à détecter un compte de messagerie compromis, mais l’enquête susmentionnée a révélé que l’attaque était beaucoup plus répandue. De nombreux comptes de messagerie ont été ainsi usurpés.
Pour bloquer ces menaces, une solution avancée de sécurité de la messagerie électronique est nécessaire. Les entreprises devraient chercher une solution qui intègre la DMARC. DMARC intègre les protocoles d’authentification SPF et DKIM. Elle permet donc de vérifier si l’adresse IP utilisée pour envoyer l’e-mail est authentique ou non. Si cette vérification échoue, l’e-mail est bloqué. C’est l’une des méthodes les plus importantes et les plus efficaces pour détecter et bloquer les attaques d’usurpation d’identité par e-mail, y compris les attaques BEC et les tentatives de phishing.
Heureusement, la combinaison d’une solution avancée de filtrage de spams et d’une formation de sensibilisation à la sécurité des utilisateurs finaux permet de s’assurer que les e-mails malveillants n’atteignent pas leurs boîtes de réception. Le cas échéant, les employés devraient être conscients des menaces cybercriminelles et éviter de cliquer sur les liens contenus dans un e-mail. Et surtout, ils ne devraient pas divulguer leurs identifiants de connexion, ni leurs mots de passe sans avoir bien vérifié l’identité de l’expéditeur de l’e-mail.
Les escroqueries liées à la compromission des e-mails d’affaires (BEC – Business Email Compromise) sont maintenant la principale cause des pertes financières liées aux cyberattaques. Des milliards sont perdus chaque année et on prévoit que le nombre d’attaques et de pertes continuera d’augmenter.
Business Email Compromise : quelles sont les pertes ?
Environ 1 % du PIB mondial est perdu chaque année à cause de la cybercriminalité et ce chiffre augmente rapidement. Actuellement, environ 600 milliards de dollars sont perdus chaque année à cause des attaques cybercriminelles. Un rapport publié par le bureau du département du Trésor des États-Unis, Financial Crimes Enforcement Network ou FinCEN, le juillet 2018 montre que les déclarations d’activités suspectes (DAS) sont passées de plus de 98 millions d’euros par mois en 2016 à plus de 270 millions d’euros par mois en 2018. Cybersecurity Ventures prévoit que les pertes mondiales atteindront près de 5,4 milliards de dollars en 2021. Selon le FBI, plus d’un milliard d’euros ont été perdus aux États-Unis en 2018 à cause d’escroqueries liées à la compromission des emails professionnels.
Business Email Compromise : comment fonctionne l’attaque ?
Les emails de Business Email Compromise impliquent l’usurpation de l’identité d’un cadre supérieur ou d’une autre personne, dont le compte e-mail compromis est utilisé pour envoyer des demandes frauduleuses de virement électronique. Une autre variante vise à usurper l’identité d’un associé de l’entreprise et les demandes envoyées exigent des rançons qui doivent être d’être payés. Cette dernière est maintenant plus fréquente que les attaques qui usurpent l’identité du PDG.
Les attaques BEC commencent généralement par une attaque de spear phishing dont le but est d’obtenir des informations d’identification de compte de messagerie. Une fois les informations d’identification compromises, le compte est utilisé pour envoyer des messages à d’autres personnes de l’organisation, telles que les employés du service de la paie, le personnel des ressources humaines ou de la finance. Comme les e-mails semblent provenir d’une source fiable au sein de l’organisation et les demandes de virement bancaire ne sont pas inhabituelles, le paiement est souvent effectué.
Une attaque réussie peut entrainer des virements bancaires importants effectués sur des comptes contrôlés par les attaquants. Les paiements s’élèvent souvent à des dizaines de milliers d’euros ou, dans certains cas, à plusieurs millions d’euros. Une attaque récente contre une filiale du constructeur automobile Toyota Boshoku Corporation a donné lieu à un transfert frauduleux de plus de 33 millions d’euros aux agresseurs.
Bien que cet incident se distingue des autres par l’ampleur de la perte d’argent causée, les transferts frauduleux de millions d’euros sont loin d’être inhabituels. Dans de nombreux cas, seul un faible pourcentage des fonds transférés est recouvré. Comme ces attaques peuvent être extrêmement rentables, il n’est pas surprenant que tant de cybercriminels le fassent.
Un nouveau rapport de l’assureur AIG montre que les attaques BEC sont maintenant la principale raison des réclamations d’assurance liées à la cybersécurité, ayant dépassé pour la première fois les attaques de ransomwares. 23 % de toutes les réclamations liées aux cyberattaques sont dues à des escroqueries de la BEC.
Business Email Compromise : comment éviter ces attaques ?
Dans la plupart des cas, ces attaques BEC peuvent être évitées grâce à des mesures de cybersécurité de base. AIG attribue l’augmentation des réclamations à de mauvaises mesures de sécurité dans les organisations ciblées. Les enquêtes ont révélé de nombreuses défaillances de base en matière de cybersécurité, comme le fait de ne pas offrir de formation de sensibilisation à la sécurité aux employés, le fait de ne pas imposer l’utilisation de mots de passe forts, l’absence d’authentification multifactorielle et la faiblesse des contrôles de sécurité de la messagerie.
Si les entreprises ne parviennent pas à mettre en œuvre ces mesures de cybersécurité de base, les attaques sont inévitables. Les polices d’assurance peuvent couvrir une partie des pertes, mais de nombreuses PME ne seront pas en mesure de faire une réclamation. Pour eux, les attaques BEC peuvent être catastrophiques.
Si vous dirigez une entreprise et que vous vous inquiétez de vos défenses contre le phishing, le spear phishing et les attaques BEC, contactez TitanHQ. Nous nous ferons un plaisir de vous faire découvrir nos solutions de sécurité web qui peuvent bloquer les attaques BEC.
