La plupart d’entre nous pensent à notre propre sécurité lorsque nous nous trouvons dans un environnement surpeuplé. Nous avons tendance à serrer un peu plus fort notre sac à main ou passer notre porte-monnaie dans la poche avant de notre pantalon. Si nous faisons la queue au guichet automatique, nous nous assurons de bien regarder autour de nous lorsque nous composons le code de notre carte bancaire. Pourtant, nombreux d’entre nous sommes indifférents lorsqu’il s’agit de se connecter au WiFi public dans un tel environnement.
Selon un sondage réalisé par Norton Symantec l’an dernier, 60 % des répondants ont estimé que leurs renseignements personnels sont en sécurité lorsqu’ils utilisent le WiFi public. La grande majorité d’entre eux (87 %) ont admis avoir pris des risques de sécurité sur les réseaux WiFi publics, comme l’accès à leur compte de messagerie, à leurs comptes bancaires ou à d’autres informations financières.
Les plus grands preneurs de risques sont les millenials. Près de 95 % d’entre eux admettent avoir partagé des renseignements de nature délicate par le biais de connexions WiFi ouvertes. Même la majorité des utilisateurs qui étaient conscients des dangers ont déclaré qu’ils étaient prêts à ignorer les risques.
Ce qui est encore plus effrayant, c’est que 55 % des répondants ont dit qu’ils n’hésiteraient pas à utiliser le WiFi gratuit tant que le signal serait fort, tandis que 46 % ont admis qu’ils préfèreraient utiliser la connexion sans fil ouverte plutôt que d’attendre d’obtenir un mot de passe pour bénéficier d’une ligne protégée.
Même si de nombreuses personnes se tournent actuellement vers l’utilisation d’un réseau privé virtuel (VPN), 75 % des répondants ont affirmé ne pas avoir opté pour cette solution.
Résultats de l’enquête Spiceworks
Le laxisme face aux risques inhérents au WiFi public est devenu l’une des préoccupations majeures des entreprises.
Spiceworks a interrogé plus de 500 professionnels en informatique basés en Amérique du Nord et en Europe pour connaître leurs préoccupations à l’égard des utilisateurs du WiFi public. Les personnes ayant participé à l’étude provenaient des organisations et industries de diverses tailles. Spiceworks a constaté que 61 % des organisations ayant participé à l’enquête ont déclaré que leurs employés connectaient les appareils de leur entreprise aux réseaux WiFi publics – notamment dans les hôtels, les aéroports et les cafés — lorsqu’ils travaillaient à l’extérieur du bureau.
La majorité des répondants, soit 64 %, se disaient confiants que leurs utilisateurs étaient conscients des dangers de la connexion WiFi publique. Ces professionnels étaient également convaincus que les utilisateurs utilisaient un VPN quelconque pour sécuriser leurs données.
Seulement la moitié des personnes interrogées étaient convaincues que les données contenues dans les appareils de l’entreprise n’étaient pas suffisamment protégées lorsqu’ils sont utilisés dans des environnements où le WiFi public était disponible. Selon ce sondage, 12 % des professionnels en informatique ont déclaré que leur organisation avait connu un incident de sécurité impliquant leurs employés et le WiFi public. 34 % d’entre eux ne pouvaient pas dire avec certitude si un incident de sécurité s’était produit, car de nombreux incidents de sécurité n’ont pas été signalés. En effet, la plupart des utilisateurs n’étaient même pas au courant que leur session avait été compromise.
Les risques liés au WiFi public
Le fameux dicton « Ne laissez pas la porte de la grange ouverte » s’applique aussi dans l’environnement où le WiFi public est disponible. En effet, les réseaux WiFi ouverts, c’est-à-dire les réseaux non chiffrés, sont une aubaine pour les pirates informatiques.
De la même manière qu’un voleur discret peut se cacher dans le métro ou dans une zone touristique pour voler à la tire un piéton sans méfiance, les hackers aiment traîner dans les zones publiques proposant des connexions WiFi ouvertes et cibler une victime imprudente. Le mot hacker est, dans ce cas, utilisé comme un terme très général, car il n’est pas nécessaire d’être une personne hautement qualifiée et expérimentée en informatique pour attaquer des appareils dans un environnement WiFi ouvert. Il existe de nombreuses boîtes à outils que les pirates novices peuvent télécharger pour commettre des actes malveillants.
Les risques liés aux réseaux WiFi publics les plus courants
Le fait de regarder par-dessus l’épaule
Toutes les méthodes de piratage ne sont pas de nature technique.
Un malfaiteur assis à la table derrière vous peut facilement regarder par-dessus votre épaule pour voir votre activité. Dans de nombreux cas, il ne regarde pas votre écran, mais plutôt votre clavier pour détecter les informations d’identification que vous saisissez lorsque vous accéder à votre compte de messagerie, de médias sociaux ou bancaire.
Les jumeaux maléfiques, ou Evil Twins
Les pirates informatiques peuvent créer de faux points d’accès pour inciter les utilisateurs à s’y connecter.
Dans ce cas, ils peuvent diffuser un SSID qui ressemble au nom de l’établissement où ils se trouvent. Le but est de faire en sorte que les utilisateurs supposent qu’il s’agit du véritable SSID de l’établissement. Une fois connectés à ce faux SSID, les utilisateurs sont vulnérables aux attaques cybercriminelles.
Le partage de fichiers
Trop d’utilisateurs ont tendance à activer le partage de fichiers sur leur ordinateur.
Il est ainsi plus facile pour les pirates de se connecter à leurs dossiers personnels, de les voler ou encore de déposer des fichiers malveillants pouvant contenir des malwares dans leur ordinateur.
Ces malwares peuvent ensuite être utilisés pour prendre le contrôle de la machine, déposer un logiciel espion qui enregistre les frappes au clavier, installer un malware d’extraction de cryptomonnaie ou un ransomware.
Interception des messages
En utilisant un simple renifleur de paquets, n’importe quelle personne malveillante peut intercepter et surveiller votre trafic Web. Cela lui permettra de saisir des renseignements personnels à votre sujet.
Un pirate informatique peut également modifier les informations contenues dans votre flux de données ainsi que l’adresse de livraison d’une commande que vous venez de passer, entre autres.
L’attaque de malware
Un autre risque du WiFi public est lié à la simple absence de filtrage web. Alors que la plupart des entreprises utilisent aujourd’hui une solution de filtrage web pour éviter les téléchargements de malwares, la plupart des réseaux WiFi publics n’offrent aucun service similaire.
L’industrie aéronautique est aux prises avec la cybersécurité.
Depuis des années, les représentants de l’industrie, de la sécurité et du gouvernement insistent sur le fait qu’il est impossible pour les pirates d’infiltrer le réseau du poste de pilotage d’un avion en vol depuis le sol. Pourtant, selon les conclusions de Ruben Santamarta, un expert en cybersécurité, c’est plus que possible, car il a réussi à le faire.
Last Call for SATCOM security
Selon Ruben Santamarta, il a réussi à pirater le réseau WiFi et le système de communication par satellite d’un avion en vol depuis le sol. Il affirme avoir accédé à l’activité Internet des passagers et obtenu l’accès à d’importants appareils utilisés à bord de l’appareil.
Santamarta estime que les mêmes vulnérabilités pourraient permettre aux pirates informatiques d’avoir accès aux systèmes de contrôle d’un avion, d’un navire, d’un véhicule du personnel militaire ou d’un service d’urgence. Il a publié les détails de ses recherches lors de la conférence BlackHat hacker 2018 en août. Sa présentation s’intitule « Last Call for SATCOM security », lors de laquelle il a expliqué comment des flottes entières d’avions peuvent être accessibles via Internet.
Ce n’est pas la première fois que Ruben Santamarta s’exprime sur les vulnérabilités de l’industrie aérienne. Il a d’abord publié ses conclusions et ses théories dans un rapport en 2014, après avoir découvert de nombreuses failles de sécurité dans l’infrastructure SATCOM. Les failles qu’il a découvertes comprenaient des informations d’identification codées en dur, des protocoles non sécurisés, des portes dérobées et des fonctions de réinitialisation de mots de passe faibles. Ces environnements sont composés de milliers d’appareils, ce qui rend le réseau moins sûr.
L’une des principales vulnérabilités constatées par son équipe était que les pirates pouvaient accéder aux systèmes, exécuter leur propre code ou installer un micrologiciel malveillant afin de les compromettre. Une fois qu’un dispositif connecté au réseau est compromis, un attaquant pourrait faire des ravages. Il pourrait par exemple perturber les communications ou usurper des messages afin de tromper un avion ou un navire pour qu’il suive un chemin désigné.
Si un dispositif est accessible, il peut être compromis
Un réseau WiFi est dit ouvert lorsqu’il ne nécessite aucune forme d’autorisation ou d’authentification. Tout utilisateur disposant d’un appareil compatible WiFi peut y accéder et utiliser la connectivité offerte par le réseau.
Ruben Santamarta admet qu’un pirate informatique devrait avoir une certaine connaissance des failles informatiques et sur la façon de les exploiter pour atteindre l’appareil et compromettre son réseau. Pourtant, il affirme que même si les fournisseurs ont corrigé certains des points faibles qu’il a évoqués dans son rapport de 2014, beaucoup d’autres vulnérabilités ne l’ont pas été.
Selon cet expert en cybersécurité, les adversaires pourraient même profiter de ces failles pour révéler les bases de l’OTAN dans les zones de conflit. Il a déclaré : « L’environnement actuel des communications par satellite est vraiment en désordre. C’est ce qui me préoccupe le plus, d’après ce que j’ai pu observer dans ce domaine.»
Piratage de systèmes de divertissement en vol
Ruben Santamarta n’est pas la première personne à prétendre avoir pénétré le système de contrôle d’un avion.
En 2015, lors d’un interrogatoire, un chercheur en sécurité du nom de Chris Roberts a également déclaré au FBI qu’il avait réussi à pirater divers systèmes de divertissement en vol depuis son siège dans l’avion, et ce, plus d’une douzaine de fois sur une période de trois ans.
Selon un agent du FBI, Chris Roberts a affirmé avoir brièvement réquisitionné un avion pendant l’un de ces vols. Bien que ses actes aient été jugés irresponsables, il n’a pas été accusé d’un crime.
Boeing 747 piraté
Le 8 novembre dernier, lors de la conférence CyberSat Summit 2017, le directeur du programme d’aviation du département de la sécurité intérieure des États-Unis, Robert Hickey, a fait un discours lors duquel il a affirmé avoir réussi à pirater un Boeing 747 qui était en stationnement le 19 septembre 2016.
L’incident s’est produit à l’aéroport international d’Atlantic City, dans le New Jersey. En effet, lui et son équipe d’experts ont accédé à distance au poste de pilotage de l’avion et effectué une intrusion pour prendre le plein contrôle de ses fonctions de vol. Robert Hickey avait déjà partagé les détails de son piratage avec le département de la sécurité intérieure, lesquels sont restés confidentiels.
En mars dernier, le département de la sécurité intérieure et le FBI ont lancé une alerte selon laquelle des pirates informatiques parrainés par l’État russe s’étaient infiltrés dans l’industrie de l’aviation civile américaine dans le cadre d’une attaque générale contre les infrastructures sensibles du pays (les réseaux électriques étaient également très ciblés). L’industrie du transport aérien est une cible de choix pour les pirates informatiques parrainés par l’État, car une perturbation des systèmes aériens pourrait avoir d’énormes répercussions économiques et psychologiques.
L’exposition des aéronefs et de l’industrie aéronautique en général aux cyberterroristes et aux pirates informatiques malveillants ne doit pas être prise à la légère. Les faits sont là et leurs preuves croissantes ne peuvent plus être ignorées.
Sécurité WiFi publique
Les compagnies aériennes, voire tous les fournisseurs de WiFi publics, ont la responsabilité de fournir un service sécurisé et protégé par mot de passe. Un réseau WiFi ouvert sera à un moment donné utilisé par les pirates informatiques pour mener une attaque.
En utilisant un réseau WiFi ouvert et non filtré, vous invitez les pirates à attaquer vos clients, à porter atteinte à leur vie privée et l’intégrité de leurs données. Une attaque réussie pourrait résulter en une :
Perte totale de la confidentialité, de l’intégrité et de la confidentialité des données de vos clients.
Perte de la réputation de la marque et une augmentation des coûts.
Atteinte à la sécurité des réseaux d’entreprises par n’importe quelle personne utilisant ce réseau.
Litige potentiel.
À noter que dans certaines parties du monde, il est illégal de ne pas protéger les données de vos clients.
L’utilisation du WiFi non sécurisé dans les avions en vol permet aux pirates d’utiliser les mêmes tactiques qu’ils utilisent généralement au sol. Et à bien des égards, cela facilite leurs tâches. Bien entendu, si les compagnies aériennes intelligentes et les entreprises offrent le WiFi gratuit, c’est pour attirer de plus en plus de clients potentiels et pour fidéliser leurs clients existants. Mais si ces organisations veulent vraiment que le fait d’offrir le WiFi devienne un facteur différenciateur, elles doivent aussi penser à sécuriser leurs réseaux.
Le filtrage de contenu Web fait partie intégrante du plan de sécurité multicouche des entreprises d’aujourd’hui. Une solution de filtrage de contenu est conçue pour empêcher l’accès à des sites de déploiement de malwares bien connus, à des domaines parqués – c’est-à-dire qui n’appartiennent pas obligatoirement à un webmaster réel ou à un site web – et à des sites temporaires souvent utilisés pour les publicités malveillantes ou d’autres actes sans scrupules.
Certaines entreprises soucieuses de la sécurité appliquent des règles de liste blanche strictes concernant l’utilisation du web, empêchant l’accès à tout site qui ne figure pas sur une liste approuvée.
Un filtre de contenu est également conçu pour gérer les paramètres d’utilisation web des employés et des utilisateurs. De nombreuses entreprises empêchent leurs employés d’accéder à des sites improductifs, contenant des contenus inappropriés ou offensants. Certains organismes, comme les systèmes scolaires, mettent en œuvre le filtrage de contenu pour se conformer aux exigences gouvernementales afin d’obtenir des fonds et des subventions pour l’éducation.
Le filtrage de contenu doit être flexible
En ce qui concerne le filtrage de contenu, tous les utilisateurs ne sont pas identiques, car chacun d’eux a une fonction différente. Par exemple, une succursale d’une banque peut refuser l’accès à Internet aux caissiers, tandis que les courtiers en hypothèques peuvent avoir accès à une variété de sites pour mener à bien leur travail. Ceci peut être réalisé à l’aide de stratégies de configuration réseau telles que les VLAN.
Ainsi, les périphériques VLAN des caissiers se verraient refuser l’accès à l’internet tandis que ceux des courtiers en hypothèques se verraient attribuer une politique moins restrictive. Cette stratégie fonctionne parfaitement tant que les utilisateurs utilisent toujours le même appareil. Mais que se passe-t-il si un technicien informatique travaille sur un guichet automatique et a besoin d’un accès à Internet ? Que se passe-t-il si un administrateur a besoin d’accéder à un site bloqué ?
Un exemple courant est celui des systèmes scolaires, qui peuvent universellement bloquer un site tel que Facebook. Pourtant, il existe chaque semaine des circonstances exclusives, telles que le principe selon lequel il faut accéder à Facebook pour mener une enquête sur la cyberintimidation.
Chaque école pourrait avoir un kiosque d’ordinateur, c’est-à-dire un ordinateur autonome en accès public, avec une adresse statique assignée qui pourrait ensuite se voir attribuer un profil web ouvert pour les administrateurs scolaires ou les bibliothécaires des médias. Pourtant, ce type de stratégie limite l’agilité des utilisateurs privilégiés qui ont un profil d’itinérance.
Bref, la gestion claire du filtrage de contenu en fonction des VLAN et des sous-réseaux n’offrent que peu de flexibilité.
L’avantage de l’intégration LDAP
C’est pour toutes les raisons susmentionnées que le protocole LDAP s’avère actuellement si important pour les solutions de filtrage de contenu. Cette solution de gestion de l’accès web offre beaucoup plus de souplesse aux groupes et aux utilisateurs. La plupart des logiciels de filtrage de contenu web fournissent aujourd’hui une section de configuration pour entrer les informations LDAP, ce qui permet au logiciel d’utiliser les authentifications LDAP.
Différentes solutions de filtrage capturent les informations d’identification LDAP de différentes manières. Dans un environnement de laboratoire informatique scolaire, les enseignants et les élèves pourraient par exemple se connecter aux mêmes postes de travail et recevoir l’accès web dont ils ont besoin grâce à leur identifiant de compte LDAP. C’est un moyen beaucoup plus simple de fournir des politiques d’accès web multiples. Vous pouvez également attribuer des privilèges de priorité à certains utilisateurs afin que ceux qui sont approuvés puissent accéder à des sites web bloqués au cas où cela serait absolument nécessaire.
L’intégration LDAP se distingue nettement dans le domaine de l’enregistrement et du reporting. Comme la plupart des entreprises utilisent DHCP pour leur poste de travail et leurs appareils mobiles, il est impossible d’examiner les journaux datant de plus d’un jour pour déterminer quelles machines ont accédé ou tenté d’accéder aux sites non autorisés. Souvent, même si la machine exacte est localisée, la corrélation de cette machine avec un utilisateur désigné est toujours difficile.
Avec l’intégration LDAP, le reporting devient un jeu d’enfant. Pour les solutions de filtrage de contenu qui offrent des fonctions de rapport étendues, un rapport complet peut être créé, montrant chaque site consulté par un utilisateur dans une fenêtre temporelle désignée lorsqu’une enquête s’avère nécessaire.
Filtrage LDAP et DNS
Si un utilisateur est affecté à plusieurs stratégies web parce qu’il est membre de plus d’un groupe LDAP, la direction peut spécifier que la stratégie la moins restrictive ou la plus restrictive sert de valeur par défaut. Vous pouvez également créer une politique par défaut pour les visiteurs et les invités qui n’ont pas de compte LDAP dans l’entreprise.
L’intégration LDAP est encore plus importante pour les emplacements de filtrage DNS basés dans le cloud. Les solutions dans le cloud sont idéales pour les entreprises qui ont des appareils mobiles dont les utilisateurs quittent fréquemment l’entreprise. C’est par exemple le cas des étudiants inscrits à des programmes individuels dans les écoles de la maternelle à la 12e année. Dans ces cas, le gestionnaire de filtres ne réside pas sur place, l’adresse IP activée par NAT (Network Address Translation) ne sera pas reconnue. Cela signifie que les politiques de filtrage ne peuvent pas être dérivées autour des adresses IP et des VLAN. L’intégration LDAP est donc une nécessité dans ces circonstances. Elle est utilisée à l’aide d’une solution client qui capture la session LDAP.
LDAP s’intègre à de nombreux aspects des entreprises d’aujourd’hui et votre solution de filtrage de contenu web ne devrait pas faire exception. Il fournit la granularité dont vous avez besoin pour gérer tous vos utilisateurs, peu importe où ils se trouvent.
Si vous êtes à la recherche d’une nouvelle solution, n’hésitez pas à vous renseigner sur cette fonction essentielle.
Si votre organisation utilise des services d’annuaire tels que LDAP, NetIQ ou Active Directory, WebTitan fournit les API pour intégrer notre solution de filtrage de contenu HTTPS dans votre service d’annuaire ainsi que d’autres outils de déploiement, de facturation et de gestion.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et appareils sensibles sont protégés ? Inscrivez-vous pour découvrir une démonstration de notre produit ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.
Rappelez-vous le bon vieux temps où les principaux e-mails de phishing provenaient du Nigeria, essayant sans cesse d’attirer les deux pour cent restants de la population adulte qui n’étaient pas encore familiers avec les fraudes par virement bancaire !
En tant qu’administrateurs informatiques, nous nous rencontrions après le travail et nous nous amusions des fautes d’orthographe flagrantes et des erreurs grammaticales rampantes dans les e-mails. Nous nous moquions aussi tranquillement de la naïveté de leurs victimes qui pouvaient éventuellement tomber dans le piège de ces stratagèmes d’amateurs.
Cette arnaque de fausse facture a rapporté 3 millions de dollars
Avançons rapidement jusqu’au 30 avril 2015, date à laquelle la société Mattel s’est fait escroquer 3 millions de dollars via une attaque de phishing. L’arnaque a été brillamment conçue et parfaitement exécutée.
Le mois d’avril dernier a été une période tumultueuse pour le fabricant de poupées Barbie de renommée mondiale en raison de la combinaison des mauvaises ventes internationales et du licenciement du PDG. Au milieu de cette tourmente, un cadre financier a reçu un message utilisant l’adresse e-mail du nouveau PDG et demandant un transfert de fonds de routine à un nouveau fournisseur en Chine. Souhaitant faire plaisir au nouveau patron, le cadre financier a effectué le transfert à la Banque de Wenzhou, en Chine. Plus tard dans la journée, alors qu’il parlait au PDG, il s’est rendu compte qu’ils s’étaient fait arnaquer. Malheureusement, il était trop tard. L’argent qu’il a envoyé était déjà perdu.
Comment les dirigeants d’une grande entreprise internationale ont-ils pu se faire arnaquer si facilement ? L’attaque contre Mattel n’est qu’un incident parmi d’autres dans ce qui constitue une menace croissante pour les entreprises américaines, à tel point que le FBI a publié une déclaration écrite décrivant ce qu’il appelle le « Business Email Scam » ou « BEC ».
Selon la déclaration du FBI : « Les forces de l’ordre du monde entier ont reçu des plaintes de victimes dans tous les États américains et dans au moins 79 pays. D’octobre 2013 à février 2016, les services de détection et de répression ont reçu des déclarations de 17 642 victimes. Cela représente plus de 2,3 milliards de dollars de pertes.
215 millions de dollars perdus rien que pour les escroqueries de phishing de PDG
De ces 2,3 milliards de dollars, 215 millions de dollars ont été attribués aux seules escroqueries de phishing de PDG. La raison en est simple : les attaquants par phishing d’aujourd’hui font bien leurs devoirs. Ils apprennent la culture et le leadership de l’organisation qu’ils ciblent. Ils connaissent les modèles d’e-mails, les processus de travail et les horaires de tous les cadres de haut niveau. Ensuite, les attaquants capturent ou usurpent les adresses e-mail du PDG ou du président de la société pour mettre en œuvre leur arnaque.
L’usurpation d’adresse électronique est une tactique couramment utilisée dans les attaques de phishing. Comme celle qui visait Mattel, la majorité des attaques de phishing de PDG se produisent souvent lorsque le PDG voyage ou, pire encore, lorsqu’il est en vacances. En effet, cela rend plus difficile la vérification des demandes par e-mail.
Les attaquants de phishing d’aujourd’hui font bien leurs devoirs
L’attaque lancée l’année dernière contre Bonnier Publications en Floride — qui impliquait à nouveau une banque chinoise — est un autre exemple de la manière dont les escroqueries contre les entreprises sont préparées. L’arnaque impliquait deux demandes de virement bancaire distinctes représentant 1,5 million de dollars chacune.
Ce qui a rendu cette arnaque si efficace, c’est qu’elle a été lancée dès le premier jour de travail du nouveau PDG. Heureusement, l’arnaque a été découverte avant le deuxième transfert.
Fraude à la française par le PDG
L’incident le plus célèbre de la BEC en 2016 est l’incident est la fraude à la française par le PDG. Dans cette affaire, le chef comptable d’Etna Industrie avait été informé dans une série d’appels téléphoniques et d’e-mails — qui lui étaient adressés via le compte usurpé du PDG — lui ordonnant d’émettre une série de virements bancaires d’un montant total d’un demi-million de dollars afin de financer un rachat d’entreprise. Cela se passait rapidement et sous grande contrainte. Bien que de nombreux virements électroniques — dont le montant total s’élevait à près d’un demi-million de dollars- aient été envoyés, la banque émettrice a effectivement réussi à en retenir trois.
Le montant d’argent obtenu lors de ces attaques BEC est époustouflant, et c’est la raison pour laquelle ils ont attiré beaucoup d’attention. Mais au-delà des gros titres, il est clair que le phishing n’est plus un sujet de plaisanterie après le travail. Les entreprises doivent être sur leurs gardes et s’assurer qu’elles disposent d’un système de sécurité de la messagerie électronique pouvant détecter et bloquer les e-mails frauduleux avant qu’ils n’atteignent les employés.
Si vous travaillez dans le domaine de la paie, des ressources humaines ou dans des domaines connexes, méfiez-vous des dangers potentiels. Si vous recevez un e-mail vous demandant de payer des factures, prenez le temps de vérifier que l’e-mail en question est légitime avant de vous y conformer.
Ah ! La jeunesse, ce moment incroyable de la vie où nous nous sentons invincibles. C’est une époque où nous sommes enclins à prendre plus de risques et où nous ne sommes pas encore devenus sceptiques à l’égard du monde. Par conséquent, nous sommes plus confiants et moins méfiants que les personnes âgées. Ces caractéristiques rendent les jeunes moins surveillés et moins vulnérables aux menaces cybercriminelles.
La naïveté des élèves de tous les niveaux fait d’eux des cibles idéales.
De nombreux systèmes scolaires aux États-Unis mettent en œuvre des programmes individuels, de sorte que chaque élève du secondaire dispose d’un ordinateur, généralement un ordinateur portable. Dans de nombreux cas, ces programmes s’adressent aux élèves des écoles intermédiaires. Pour la plupart d’entre eux, il s’agit de leur premier appareil informatique personnel mobile et, pour certains, du premier ordinateur mobile du ménage. Pour cette raison, les parents de ces élèves ne peuvent pas transmettre les protocoles et procédures de sécurité de base concernant ces dispositifs. Pour ces étudiants, les menaces de cybersécurité et les malwares sont des concepts non pertinents ou inconnus et leur naïveté fait d’eux des cibles idéales.
Questions de confidentialité autour du partage de fichiers et des sites de Torrents
Comme nous le savons tous, le partage de fichiers est toujours très prisé par les adolescents d’aujourd’hui. Ces derniers se tournent volontiers vers les sites d’hébergement de fichiers (cyberlocker) et les sites de Torrents pour télécharger des films et de la musique. À titre d’exemple, jusqu’à sa fermeture récente par les autorités, en juin 2016, KickassTorrents était le 69e site le plus populaire sur Internet et attirait plus de 50 millions de visiteurs par mois.
Bien sûr, les sites de Torrents exposent les utilisateurs aux risques de divulgation des données confidentielles en exposant leurs adresses IP et en créant des connexions ouvertes à des exploits malveillants. Les adolescents sont également plus disposés à télécharger les dernières versions des jeux tendance, sans se soucier des éventuelles attaques de chevaux de Troie et des enregistreurs de clés installées dans des sites anonymes.
Contourner le filtre web des écoles
De nombreux étudiants de la maternelle à la 12e année se lancent quotidiennement dans une mission consistant à contourner le filtre web de l’école. Il existe un jeu de chat et de souris entre les étudiants et les membres du personnel informatique, car les étudiants partagent facilement entre eux les récents fichiers exécutables (proxy.exe) publics tels que Psiphon et UltraSurf.
Bien que la plupart des systèmes scolaires disposent d’une solution de filtrage web, nombre d’entre elles sont incapables de filtrer les sites miroirs, en particulier ceux à l’échelle de ces grands réseaux proxy. En contournant la protection totale du filtre, les étudiants font de leurs ordinateurs des cibles de choix pour les ransomwares et d’autres types de malwares.
Pourquoi un lycée ou un établissement d’enseignement supérieur nécessite-t-il une attention particulière ?
Pendant leurs études secondaires, les élèves utilisent leurs appareils informatiques dans un environnement relativement sûr et protégé. Bien que les étudiants recherchent constamment des failles de sécurité pour obtenir des proxies et des applications de partage de fichiers, les menaces potentielles sont contrôlées. Mais ensuite, ils vont à l’université et vivent dans un environnement qui est presque exactement le contraire.
Ce qui différencie réellement les établissements d’enseignement supérieur et le réseau d’entreprise est la nature du campus et du réseau de l’Université. Composée de nombreux réseaux, parfois dispersés, l’infrastructure réseau des universités constitue un cauchemar pour les professionnels de la sécurité informatique d’entreprise. Ce n’est pas dû à un manque de prévoyance ou d’ignorance en matière de sécurité informatique sur le campus (c’est loin d’être le cas !). En effet, l’environnement éducatif et l’ouverture du campus au grand public signifient qu’il n’y a aucune infrastructure centrée sur la sécurité étroite telle qu’on voit dans les réseaux d’entreprise.
Dans les établissements d’enseignement, il est courant de voir des flux réguliers d’étudiants de premier cycle ; des chercheurs et des diplômés qui collaborent et partagent des données à l’échelle mondiale ; des universitaires en visite ; des pratiques qui permettent aux utilisateurs d’apporter leurs propres appareils pour se connecter au réseau, etc. Pourtant, dans de tels environnements, le concept de sécurité des données rigoureuse a toujours été considéré comme inutile, voire indésirable. Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises. Les communautés de la maternelle à la 12e année ont été lentes à adopter des normes de sécurité strictes.
L’enseignement supérieur est le centre de partage d’idées et de collaboration avec à peu près n’importe qui dans le monde. Les réseaux de ces intuitions sont donc beaucoup moins gardés. C’est probablement la raison pour laquelle — selon l’organisation DataLossDB qui suit les atteintes à la cybersécurité dans le monde — 9 % de toutes les atteintes à la sécurité informatique aux États-Unis visaient les universités.
Alors que de nombreux étudiants continuent à participer ouvertement à des sites de partage et de télécharger des fichiers et des applications « gratuites » contenant des chevaux de Troie et d’autres malwares, les étudiants sont confrontés à un défi unique et assez important concernant la sécurité de leurs appareils. Lorsque dix à cinquante mille élèves sont rassemblés dans une même zone, les places sont limitées. Qu’il s’agisse du dortoir, de la bibliothèque du collège, du centre étudiant ou du café local, les étudiants travaillent dans des environnements très bondés. Dans ces types de lieux encombrés, laisser un ordinateur sans surveillance, ne serait-ce que quelques minutes, peut les exposer à de nombreuses brèches physiques, y compris le vol et les violations par le biais des clés USB. Le shoulder surfing (le fait de regarder par-dessus l’épaule) est aussi une menace constante dans les salles bondées et pleines d’activité. La mise en œuvre d’écrans protégés par mot de passe et de bloqueurs USB devrait être une mesure de protection obligatoire dans ces types d’environnements.
Attaques par des malwares diffusées par les réseaux sociaux
De nos jours, les étudiants n’accordent pas autant d’importance aux e-mails que leurs parents, mais la messagerie électronique est souvent la passerelle vers presque tous les autres comptes qu’un utilisateur peut avoir. Lorsqu’une personne perd ou oublie un mot de passe d’un compte, c’est son e-mail qui est utilisé pour pouvoir le réinitialiser. Alors que de nombreux professionnels utilisent maintenant l’authentification multifactorielle pour mieux protéger leurs comptes de messagerie, de nombreux étudiants n’utilisent leur messagerie que de façon limitée, par exemple pour communiquer avec leurs instituteurs, et ils le font avec moins de prudence.
Bien que les étudiants ne soient pas aussi vulnérables aux attaques de phishing par e-mail puisqu’ils n’utilisent pas la messagerie électronique de la même manière que les utilisateurs plus âgés, ils sont très exposés aux attaques de malwares livrés par les sites de médias sociaux. En juin 2016, une escroquerie mondiale par phishing sur Facebook a été découverte. Des messages d’amis malhonnêtes ont été transmis par le biais de Facebook Messenger. L’attaque touchait une victime toutes les 20 secondes. Récemment, une application malveillante appelée Instacare a également incité des utilisateurs Instagram peu méfiants à fournir les mots de passe de leur compte.
La vérité, c’est qu’en matière de cybersécurité, les étudiants ont encore beaucoup à apprendre.
Attaques dirigées par des ordinateurs compromis dans des universités américaines
Les administrateurs informatiques des écoles ou des districts scolaires doivent s’assurer que leurs machines sont propres. Ils doivent également éduquer les élèves, les sensibiliser à propos des politiques qui s’appliquent à l’ensemble de l’institution, notamment ceux qui possèdent et utilisent les ressources informatiques. Les données personnelles et financières stockées dans les systèmes de données universitaires sont d’une grande valeur pour les cybercriminels. Lorsque les systèmes informatiques du New York Times ont été piratés en 2013, l’enquête subséquente a révélé que les attaques avaient été dirigées par des ordinateurs compromis dans des universités américaines. Les données commerciales, quant à elles, peuvent intéresser les espions d’entreprises, tandis que les données liées à la recherche scientifique ou aux subventions peuvent être ciblées par des groupes soutenus par un État-nation.
La sécurité informatique est un compromis
Il y a un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place. La sécurité dans toutes les organisations, commerciales ou académiques, est un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier qui pourraient être encourus en défense en cas d’atteinte à la protection des données. Cela peut être complexe et nécessiter une analyse détaillée des risques, outre l’établissement de priorités de gestion et des mesures de sécurité connexes. En réalité, c’est une approche qui commence à être adoptée par les réseaux d’entreprise.
Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’établissement, des élèves et du personnel sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
