Pour les responsables de la sécurité informatique, assurer la sécurité mobile et web du travailleur distant est un grand défi. Nous vivons dans un monde très mobile. De plus en plus de personnes travaillent aujourd’hui à distance. Le modèle de l’entreprise, où des milliers d’employés se rassemblent dans des cabines pour s’asseoir devant un ordinateur dédié, n’est plus d’actualité. Une étude publiée par IWG plus tôt cette année a révélé que 70 % des professionnels travaillent à distance au moins un jour par semaine, tandis que 53 % le font pendant au moins la moitié de la semaine. Que ce soit pour éviter un long trajet, être présent pour les enfants, atteindre un meilleur équilibre de travail ou éviter les perturbations du bureau, les employés apprécient aujourd’hui la possibilité de travailler à distance.
En conséquence, les entreprises offrent à leurs employés la possibilité de travailler à la fois sur site et hors site. De nombreux employés travaillent même exclusivement à domicile.
Non seulement plus d’employés travaillent à distance, mais ils le font plus souvent. Selon un sondage réalisé par Gallup l’an dernier, 43 % des 15 000 répondants ont déclaré avoir travaillé au moins un certain temps à distance. Depuis 2006, le nombre d’Américains qui travaillent pour un employeur à temps plein depuis leur domicile a augmenté de 115 %.
Cependant, le fait de travailler à distance n’est pas un phénomène typiquement américain. Selon Eurostat, 35 % des entreprises européennes offrent actuellement à leurs employés la possibilité de travailler à domicile.
Les défis de la protection des travailleurs à distance
Qu’un employé travaille avec un appareil informatique sur place ou à l’extérieur de l’entreprise, une chose est sûre : vous devez sécuriser les périphériques utilisateurs. De nombreux ordinateurs portables peuvent contenir des données sensibles. Le défi évident est donc de les protéger en cas de perte ou de vol d’un appareil. Le concept de cybersécurité doit néanmoins aller au-delà de la simple protection des appareils et des fichiers sensibles.
Il peut sembler que la protection des périphériques distants ne soit pas une priorité aussi importante que celle des ordinateurs connectés hors site. Cependant, tout malware ou toute application malveillante qui infecte un périphérique distant finira très probablement par être utilisé au sein de l’entreprise. À un moment donné, le travailleur qui profite de la politique de travail à distance à court terme finira par ramener un appareil infecté sur le site. Les travailleurs à temps plein, qui utilisent un poste de travail permanent à leur domicile, pourront éventuellement activer leur VPN, qui sert de pipeline pour les malwares. Dans l’environnement de travail à distance d’aujourd’hui, protéger l’entreprise contre les attaques informatiques signifie protéger tous les périphériques, même ceux qui se trouvent en dehors des locaux de l’entreprise.
Liste de contrôle de la cybersécurité pour les travailleurs distants
Des mots de passe solides
Un mot de passe peut être la dernière ligne de défense pour un dispositif distant ou un logiciel en tant que service (SaaS). Les politiques de mots de passe qui imposent des normes minimales de complexité sont essentielles en dehors des limites du périmètre sécurisé.
Authentification multifactorielle
Lorsqu’un employé travaille sur site, ses mots de passe sont complétés par des mesures de sécurité locales, mais ce n’est pas le cas lorsqu’il travaille à distance. En dehors d’une conférence web, il est impossible de confirmer l’identité (sans visage) d’un utilisateur se trouvant à l’autre bout d’une session connectée.
Ainsi, on ne peut pas se fier uniquement aux mots de passe lorsque les employés sont hors site. Le processus d’authentification pour les services essentiels tels que la messagerie électronique et les services sensibles dans le cloud devrait être renforcé par une authentification multifactorielle telle que la confirmation d’un texte envoyé sur le téléphone portable de l’employé.
Politique d’utilisation de l’ordinateur
Il est important d’avoir une politique d’utilisation des ordinateurs pour les employés distants. Celle-ci doit stipuler que les appareils informatiques utilisés pour le travail devraient être uniquement dédiés au travail à distance et ils ne devraient être utilisés que par l’employé.
Filtrage de contenu web
Bien que le filtrage des e-mails soit une exigence de base en matière de sécurité pour la plupart des entreprises, le filtrage web est parfois ignoré lorsqu’il s’agit d’employés distants. Le filtrage web est encore plus critique pour les appareils qui ne sont pas installés dans les locaux de l’entreprise. Alors que de nombreux travailleurs affirment qu’ils sont plus productifs en travaillant à domicile, les employeurs n’ont pas la possibilité de confirmer visuellement si un employé distant est productif, ou s’il perd du temps à regarder la dernière série de vidéos virales sur YouTube.
La plupart des solutions de filtrage de contenu web s’intègrent aujourd’hui à Active Directory ou LDAP, permettant à la direction de surveiller l’activité Internet de tous les employés. Lorsqu’un ordinateur distant établit une connexion VPN, la session web fonctionne de la même manière que si l’appareil se trouvait sur place.
Grâce aux solutions de filtrage DNS basées dans le cloud, tous les périphériques liés au travail peuvent bénéficier d’une protection de filtrage web similaire à celle d’un parapluie. Que l’employé travaille en permanence à domicile ou qu’il se déplace à l’aide du WiFi public, une solution de filtrage de contenus dans le cloud, telle que WebTitan peut combattre le malware, le spam, la publicité malveillante, les fichiers malveillants, le ransomware et les popups. Peu importe où vos employés utilisent leurs appareils, ils restent protégés.
Protection des endpoints
La combinaison du filtrage des e-mails et celui du web peuvent stopper la majorité des menaces actuelles. Cependant, une approche de sécurité à plusieurs niveaux est désormais essentielle dans le monde numérique dangereux d’aujourd’hui. Chaque dispositif de travail doit être protégé par une solution de sécurité des terminaux (endpoints). Souvent, ces solutions servent de dernière ligne de défense.
Assurez-vous que tous les appareils, mobiles et de bureau, sont protégés avec une solution de sécurité adéquate avant que vos employés puissent les utiliser pour se connecter à votre réseau.
La formation des employés sur les meilleures pratiques en matière de sécurité sera très utile. Il est important d’apprendre aux employés comment repérer les escroqueries potentielles par phishing et d’expliquer l’importance d’un mot de passe solide. Lorsqu’un périphérique est utilisé à distance, les fichiers malveillants susceptibles d’infecter vos périphériques ne sont qu’à un clic d’envahir votre entreprise. Ce n’est pas parce qu’un appareil se trouve à l’extérieur du site que sa protection doit être oubliée.
Restez protégé
Tout au long de la vie des travailleurs mobiles, il y aura un moment où un point d’accès WiFi public gratuit et non sécurisé sera la seule connexion disponible pour leur permettre de mener à bien leur travail. Comprendre les risques du WiFi public vous permettra de vous assurer que vos données professionnelles importantes ne figurent pas parmi les statistiques de piratage.
Vous souhaitez en savoir plus sur la sécurisation des données de vos employés mobiles ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
Les attaques de ransomware se sont accentuées et deviennent la menace de sécurité réseau la plus reconnue dans le monde, et les fournisseurs de technologie ne cessent de publier un arsenal d’outils pour vous aider à les combattre. Un peu plus tôt cette année, Microsoft a pris l’initiative sans précédent de lancer la mise à jour (MS17-010) pour le système d’exploitation Windows XP. Bien que XP ne soit plus pris en charge, cette mise à jour a été publiée afin de remédier à une vulnérabilité qui pourrait permettre l’exécution de code à distance si un attaquant envoie des messages spécialement conçus à un serveur Microsoft Server Message Block 1.0 (SMBv1). Cette vulnérabilité connue est devenue plus tard le moyen utilisé par les pirates informatiques pour lancer les épidémies de WannaCry et Petya qui ont infecté des milliers d’appareils au cours des deux derniers mois.
Pas plus tard que la semaine dernière, Microsoft a annoncé la sortie d’une nouvelle fonctionnalité anti-ransomware pour son récent système d’exploitation Windows 10 Insider Preview Build (16232). La marque prévoit actuellement d’introduire cet outil, ainsi que d’autres fonctions de sécurité dans la prochaine mise à jour de Windows 10 Creator Update, dont la sortie est prévue à l’automne de cette année. Cet outil de lutte contre les malwares, appelé « Controlled Folder Access », est conçu pour empêcher les applications non autorisées de créer de nouveaux fichiers ou de modifier des fichiers existants qui sont stockés dans des dossiers jugés comme importants et « protégés ». Pour ce faire, la marque crée une liste blanche d’applications. Si l’application n’est pas dans la liste, Windows Defender bloque son exécution.
Cette fonctionnalité est similaire à celle d’AppLocker de Microsoft, laquelle est disponible depuis un certain nombre d’années pour certaines versions du système d’exploitation Windows, comme les éditions Enterprise et Education. Les listes blanches d’AppLocker peuvent être déployées par le biais d’une stratégie de groupe sur les périphériques dont les systèmes d’exploitation sont pris en charge. Ceux qui sont abonnés à Microsoft Intune peuvent importer des stratégies AppLocker dans l’interface de gestion Intune via un fichier XML. Avec l’accès contrôlé aux dossiers, la liste blanche des applications sera disponible pour tous les ordinateurs Windows 10 via le Centre de sécurité Windows Defender.
Pour accéder actuellement à cette fonction :
Allez dans le menu Démarrer et ouvrez le Centre de sécurité de Windows Defender,
Allez à la section Paramètres de protection contre les virus et les menaces,
Régler l’interrupteur sur On.
Ici, l’utilisateur peut également ajouter d’autres dossiers en plus des dossiers qui sont sélectionnés par défaut. Les dossiers par défaut sont ceux qui sont généralement ciblés par les ransomwares. L’an dernier, nous avons écrit un blog sur la façon dont il est possible de protéger ces dossiers contre la création de fichiers non autorisés en créant des politiques de restriction logicielle soit localement, soit par le biais d’une politique de groupe ou via un logiciel de gestion de système édité par Microsoft (SCCM).
Arrêter les ransomwares bien avant qu’ils arrivent au niveau du nœud final
Il existe un nombre croissant d’outils disponibles pour combattre les ransomwares au niveau du nœud final. Mais, en réalité, il est vital de les arrêter avant qu’ils n’atteignent le périphérique. Aussi répandus que soient aujourd’hui les ransomwares, il existe des mesures concrètes que vous pouvez prendre pour prévenir efficacement une attaque.
La protection des e-mails est primordiale, car la messagerie électronique continue d’être le principal mécanisme de lancement de ransomwares. Les distributeurs de ransomwares utilisent des liens et des pièces jointes intégrés pour inciter les utilisateurs peu méfiants à cliquer dessus et à lancer des déploiements de malwares. Les solutions de sécurité pour systèmes de messagerie d’aujourd’hui doivent faire plus, plutôt que de bloquer simplement les spams. Une solution de sécurité de messagerie doit également bloquer et éradiquer les virus, les malwares, les pièces jointes infectées et les liens vers des sites web malveillants. Outre le fait d’empêcher les attaques de ransomwares, une solution de sécurité de messagerie protégera vos utilisateurs contre les attaques de phishing et les attaques BEC (Business E-mail Compromise).
Filtrage web — Les utilisateurs peuvent télécharger par inadvertance un ransomware en visitant un site de lancement de malwares ou en naviguant simplement sur un site web piégé par des cybercriminels. De nombreux sites sont infectés par des fichiers d’installation de ransomwares qui y ont été déposés par des pirates. Une solution de filtrage web moderne protège les sessions Internet de vos utilisateurs de deux façons. Elle bloque d’abord l’accès aux sites malveillants ou infectés par des malwares connus. Ensuite, elle filtre tout le trafic web par le biais d’un antivirus passerelle.
Correctifs et mises à jour — Il est impératif de maintenir vos systèmes d’exploitation, vos applications et vos navigateurs web patchés et à jour. Si les entreprises avaient simplement installé la mise à jour (MS17-010) sur ses périphériques Windows non pris en charge, elles auraient pu échapper aux dommages causés par WannaCry à de nombreux réseaux dotés de périphériques Windows. Il y a une raison pour laquelle les fournisseurs publient régulièrement des correctifs et des mises à jour pour leurs clients. De nouvelles menaces du type « zero-day » sont continuellement découvertes, forçant les développeurs à publier des correctifs pour les combattre le plus rapidement possible. Le patch et la mise à jour sont probablement les tâches de routine les plus importantes pour toute équipe informatique.
Règle de sauvegarde 3-2-1 — La sauvegarde de vos données est une fonction critique dans la protection de vos données. Il est important de suivre les meilleures pratiques lors de l’exécution de sauvegardes régulières de vos données afin de vous assurer que vos sauvegardes peuvent être restaurées correctement si ce jour fatidique se réalise. La règle 3-2-1 se transcrit de la manière suivante :
Conservez 3 copies de vos données
Utilisez 2 types de médias pour les stocker
Gardez toujours 1 copie hors site
En suivant ce modèle éprouvé, vous pourrez restaurer rapidement les données corrompues ou perdues en cas de défaillance des disques durs, de reprise après sinistre et, bien entendu, d’attaque de malware.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.
Cet automne, TitanHQ participera à plusieurs événements et salons MSP (Managed Service Provider) en Europe et aux Etats-Unis.
TitanHQ développe des solutions de cybersécurité innovantes pour les MSPs depuis plus de deux décennies et toutes les solutions ont été créées avec les MSPs en tête. En impliquant les MSP dans le processus de conception, TitanHQ a pu s’assurer que ses produits intègrent des fonctionnalités facilitant la vie des MSP, telles que l’intégration facile dans les systèmes de gestion des MSP grâce à l’utilisation d’APIs aux fonctionnalités rarement présentes dans les produits de cybersécurité – comme les versions en marque blanche complète prêtes pour le marquage MSP et la capacité à héberger les solutions dans les environnements MSPs propres.
Les salons professionnels donnent à l’équipe de TitanHQ l’occasion de rencontrer en personne des clients potentiels pour discuter de leurs besoins en matière de sécurité de la messagerie et du Web et obtenir les commentaires de clients actuels qui ont déjà intégré les produits TitanHQ à leurs piles technologiques.
L’équipe de TitanHQ a lancé le programme des salons professionnels d’automne le 12 septembre lors de la conférence Taylor Business Group BIG 2019 à l’hôtel Westin à Chicago, où les membres ont pu rencontrer l’équipe de TitanHQ pour discuter du nouveau programme TitanShield et découvrir comment les produits TitanHQ peuvent améliorer la sécurité pour leurs clients et économiser temps et argent aux MSPs.
Au même moment, TitanHQ était présent à la conférence CloudSec Europe 2019 à Londres pour présenter WebTitan Cloud, SpamTitan Cloud et ArcTitan aux MSP et aux fournisseurs de services cloud.
Si vous n’avez pu assister à aucun de ces deux événements ou si vous n’avez pas eu la chance de rencontrer l’équipe, tout n’est pas perdu. L’horaire d’automne ne fait que commencer et il y a encore beaucoup d’opportunités de rencontrer l’équipe pour discuter de vos besoins et découvrir comment les produits TitanHQ peuvent répondre et dépasser vos attentes.
Salons auxquels TitanHQ va participer – Automne 2019
Date
Événement
Ville
17 Septembre, 2019
Datto Dublin
Dublin, Ireland
18 Septembre, 2019
MSH Summit
London, UK
6-10 Octobre, 2019
Gitex
Dubai, UAE
7-8 Octobre, 2019
CompTIA EMEA Show
London, UK
16-17 Octobre, 2019
Canalys Cybersecurity Forum
Barcelona, Spain
21-23 Octobre, 2019
DattoCon Paris
Paris, France
30 Octobre, 2019
MSH Summit North
Manchester, UK
30 Octobre, 2019
IT Nation Evolve (HTG 4)
Florida, USA
30 Octobre, 2019
IT Nation Connect
Florida, USA
5-7 Novembre, 2019
Kaseya Connect
Amsterdam, Netherlands
Rocco Donnino, Vice-président exécutif – Alliances stratégiques, LinkedIn
Eddie Monaghan, gestionnaire de l’alliance MSP, LinkedIn
Marc Ludden, MSP Alliance Manager, LinkedIn
Dryden Geary, Directeur Marketing
Il est surprenant de constater que bon nombre des pires cyberattaques contre l’industrie de la santé ne sont pas signalées. L’attaque de WannaCry en mars, qui a paralysé les organisations de santé à travers la Grande-Bretagne, met en évidence la vulnérabilité des systèmes de sécurité réseau des établissements hospitaliers.
Selon un récent sondage mené par Bloomberg Law et l’American Health Lawyers Association auprès de 300 avocats présents à l’assemblée annuelle de l’Association of Corporate Counsel, cela s’est effectivement produit. L’enquête a révélé que 97 % des avocats travaillant pour des établissements de santé estiment que leurs organisations sont plus exposées aux cyberattaques que celles des autres secteurs. C’est presque unanime ! Voici quelques-unes des autres conclusions de l’enquête :
70 % des personnes interrogées s’efforcent de développer une expertise en matière de sécurité des données pour faire face à une telle situation.
84 % disent avoir été appelés à évaluer si un incident de sécurité implique des obligations de déclaration. La plupart d’entre eux ont ensuite été invités à élaborer des politiques et procédures internes pertinentes.
97 % ont déclaré qu’ils s’attendent à ce que leur participation aux questions de cybersécurité continuera d’augmenter au cours des prochaines années.
40 % ont indiqué que leurs organisations ou leurs clients ont des plans trop génériques et qu’ils n’ont pas de directives et ne réalisent pas d’essais spécifiques.
Le tiers des répondants ont déclaré que les plans de leur organisation n’étaient pas à jour pour faire face aux derniers types de menaces informatiques ou de changements organisationnels.
En fait, il ne faut pas l’avis de 300 avocats pour comprendre que les établissements des soins de santé sont vulnérables aux attaques cybercriminelles. D’autres rapports ont montré que 88 % des attaques de ransomware – qui se sont produites au cours du deuxième trimestre de 2016 – étaient dirigées contre des organismes de soins de santé. La menace est tellement préoccupante que Jocelyn Samuels, directeur du Bureau des droits civils du HHS, a déclaré :
« L’une des plus grandes menaces actuelles en matière de protection de la confidentialité des renseignements médicaux est la compromission grave de l’intégrité et de la disponibilité des données causée par les cyberattaques malveillantes sur les systèmes électroniques d’information sur la santé, à l’instar des programmes de ransomware. »
Les avocats ne sont pas les seuls à se préoccuper de la sécurité de leurs organisations de soins de santé. Dans un sondage mené par KPMG, 80 % des personnels de santé a déclaré que leur technologie de l’information avait été compromise cette année.
Cela n’a pas toujours été le cas. Il y a à peine trois ans, les organisations de soins de santé n’étaient pas aussi assiégées par la cybercriminalité qu’elles le sont aujourd’hui. Selon le rapport annuel Cyber Security Intelligence Index 2016, publié par IBM X-Force, cinq des huit plus importantes atteintes à la sécurité des soins de santé qui se sont produites depuis le début de 2010 ont eu lieu pendant les six premiers mois de 2015. Dans chacune de ces huit attaques, plus d’un million d’enregistrements ont été compromis. En fait, une seule attaque qui s’est produite en fin 2015 s’est soldée par le compromis de 80 millions d’enregistrements. Dans les conclusions d’IBM, la comparaison suivante illustre cette tendance inquiétante :
Les cinq principaux secteurs ciblés par les cyberattaques en 2015 :
Soins de santé
Fabrication
Services financiers
Gouvernement
Transport
Les cinq premiers secteurs ciblés par les cyberattaques en 2014 :
Services financiers
Information/communication
Fabrication
Vente au détail
Énergie et services publics
Comme vous pouvez le constater, en 2014, les soins de santé n’étaient même pas sur la carte en tant que principales cibles des cyberattaques. Mais en un an, ils ont dépassé les services financiers. Dans l’ensemble, le nombre d’attaques cybercriminelles perpétrées contre les organismes de santé a augmenté de plus de 125 % entre 2010 et 2015.
Cette évolution alarmante pourrait s’expliquer par le fait que les cybercriminels reconnaissent que les données relatives aux soins de santé sont d’une grande valeur pour eux. Selon un article publié par Reuters en 2015, les renseignements sur les dossiers médicaux ont une valeur plus élevée que les données des cartes de crédit.
Dans un autre rapport de l’InfoSec Institute, les numéros d’identification de Medicare ont atteint un prix beaucoup plus élevé sur le marché noir et le dark web que les numéros de sécurité sociale en 2015. Les dossiers de santé électronique (DSE) des patients contiennent des données qui peuvent être vendues à des fins multiples, comme le vol d’identité médicale ou les demandes frauduleuses de remboursement de médicaments sur ordonnance. L’un des inconvénients majeurs des DSE est que, contrairement aux cartes de crédit, les données médicales ne peuvent ni être annulées ni rééditées.
Cette tendance à la hausse des attaques cybercriminelles ciblant des soins de santé peut également être attribuée au fait que ce secteur est beaucoup plus vulnérable que d’autres, comme les services financiers qui ont une expérience considérable dans le renforcement de leurs systèmes de sécurité. Par le passé, les hôpitaux et les établissements de soins de santé similaires avaient généralement un personnel informatique minimal qui n’avait pas les connaissances et l’expérience nécessaires pour combattre ces menaces croissantes. Heureusement, la situation s’améliore. À titre d’indicateur, de nombreuses grandes organisations recrutent à présent des responsables de la sécurité de l’information du secteur des services financiers et de l’énergie avec de vastes programmes de rémunération. Il y a tout juste deux ans, ce poste n’existait presque pas au sein de l’industrie des soins de santé.
De telles mesures sont aujourd’hui indispensables dans le secteur de la santé. Selon le Ponemon Institute, un chef de file de la recherche sur la sécurité, le coût moyen d’une atteinte à la sécurité d’un organisme de santé américain est de plus de 2,2 millions de dollars. Sur une base sectorielle globale, on estime que le coût annuel s’élève à 6,2 milliards de dollars. À un moment donné, ces pertes seront insoutenables et pourraient mener à des faillites, ou pire encore. Ce qui est bien, c’est que les dirigeants de l’industrie, les conseillers juridiques et même le Congrès américain et d’autres gouvernements ont reconnu la gravité du problème.
Vous êtes un professionnel de l’informatique travaillant dans le secteur de la santé et vous souhaitez assurer la protection des données et de vos appareils sensibles ? Parlez à un spécialiste ou envoyez-nous un courriel pour toute question.
Le monde de la cybersécurité est en constante évolution. D’un côté, les pirates informatiques sont de plus en plus intelligents et sournois. Ils sont toujours à la recherche de nouvelles façons d’exploiter les failles et vulnérabilités de vos systèmes d’exploitation et de vos solutions de sécurité existantes. De l’autre côté, d’autres personnes, tout aussi intelligentes, s’efforcent de les arrêter.
Malheureusement il existe une limite importante : les personnes aux bonnes intentions doivent toujours être informées d’une menace avant de pouvoir agir.
Lorsqu’une vulnérabilité ou une faille de sécurité est découverte, votre entreprise devrait normalement se mettre immédiatement au travail afin de mettre en place un correctif. Vous ne voulez quand même pas être tenue responsable des dommages qui pourraient survenir, ou subir les conséquences d’une violation de vos données sensibles.
Voici pourquoi votre équipe doit être assez rapide pour règles ce genre de problèmes.
Le fait est qu’il faut toujours du temps pour obtenir et appliquer les plus récents correctifs de sécurité, ce qui laisse aux cybercriminels le temps d’exploiter les failles de sécurité. C’est pourquoi les attaques de type « zero-day » sont parmi les plus difficiles à gérer.
Explorons un peu plus le sujet !
Que sont les attaques zero-day ?
On peut définir les attaques zero-day de différentes manières. Certaines les définissent comme des attaques qui visent les vulnérabilités qui n’ont pas été patchées ou rendues publiques. D’autres avancent qu’il s’agit d’attaques tirant parti d’une faille ou d’une vulnérabilité de sécurité le « jour même » où celle-ci devient publiquement connue.
Chez TitanHQ, nous définissons l’attaque zero-day comme une attaque qui cible des vulnérabilités logicielles connues du public, mais qui ne sont pas encore corrigées.
C’est ce qu’on appelle la « fenêtre de vulnérabilité ». Les pirates informatiques se concentrent sur la recherche de vulnérabilités dans des logiciels largement utilisés tels que Windows, les navigateurs et les logiciels de sécurité. Les attaques zero-day ont touché les produits Adobe (Flash, Reader), Internet Explorer, Java, Mozilla Firefox, Windows, Microsoft Office, et bien d’autres.
Une fois qu’une vulnérabilité est découverte, la communauté de pirates est alertée par le biais des réseaux sociaux, de chats et d’e-mails. Les pirates s’activent ensuite à développer des kits d’exploitation pour tirer parti de la vulnérabilité. Des codes ou des kits d’exploitation sont alors mis en vente sur Internet.
Des efforts sont actuellement en cours pour réglementer la vente des kits d’exploitation zero-day. La politicienne néerlandaise Marietje Schaake a fait campagne pour des lois visant à limiter le commerce de ce qu’elle appelle des « armes numériques ».
Bien entendu, les éditeurs de logiciels testent leurs produits avant de les expédier. Mais le progiciel d’aujourd’hui est vaste et compliqué. Certains éditeurs proposent une version bêta d’un paquet logiciel à un certain nombre de clients afin de résoudre les problèmes avant le début de la production. D’autres emploient des sociétés de test ou des pirates white hat pour « battre le logiciel à mort ».
Quelques exemples très médiatisés d’attaques zero-day
En 2011, des cybercriminels ont exploité une vulnérabilité alors non corrigée dans Adobe Flash Player pour pouvoir accéder au réseau informatique de la société de sécurité RSA. Ils ont envoyé des e-mails contenant des pièces jointes de feuilles de calcul Excel à un groupe restreint d’employés de la firme. Les feuilles de calcul contenaient un fichier intégré qui exploitait la vulnérabilité zero-day du logiciel Adobe Flash.
Lorsque l’un des employés a ouvert la pièce jointe, les attaquants ont installé l’outil d’administration à distance dénommé Poison Ivy, ce qui leur a permis de prendre le contrôle de l’ordinateur de la victime. Une fois qu’ils ont eu accès au réseau informatique de la société, les pirates ont recherché des informations sensibles puis copié et transmis les données à des serveurs externes qu’ils contrôlaient.
Selon RSA, les données volées contenaient entre autres des informations sensibles liées aux produits d’authentification à deux facteurs, utilisés dans le monde entier pour permettre l’accès aux appareils et données sensibles.
Sony Pictures a également été victime d’une attaque zero-day à la fin de 2014, ce qui a paralysé son réseau informatique et qui a permis la diffusion de données sensibles de l’entreprise sur de nombreux sites de partage de fichiers. Parmi les données compromises se trouvaient des détails sur les films à venir, les adresses e-mails personnelles de hauts dirigeants de la marque ainsi que des plans d’affaires. Quant aux détails de la vulnérabilité qui a été exploitée lors de cette attaque, Sony n’a pas fourni des informations supplémentaires.
Quand on parle d’attaque zero-day, on devrait également mentionner Stuxnet, un ver informatique malveillant qui visait les ordinateurs utilisés à des fins de fabrication dans plusieurs pays, tels que l’Iran, l’Indonésie et l’Inde.
En réalité, les pirates ont choisi comme cible principale les usines d’enrichissement d’uranium de l’Iran. Leur but étant de perturber le programme nucléaire du pays. Les vulnérabilités exploitées lors de cette attaque zero day se trouvaient au niveau d’un logiciel qui fonctionnait sur des ordinateurs industriels appelés automates programmables industriels (API), fonctionnant sous Microsoft Windows.
Le ver a infecté les API par le biais des vulnérabilités du logiciel dénommé Step7 de Siemens. Ce faisant, les API ont commencé à exécuter des commandes inattendues sur les machines de la chaîne de montage et saboté les centrifugeuses dédiés à séparer des matières nucléaires dans plusieurs usines d’enrichissement d’uranium.
Minimiser l’impact des attaques zero-day
Une fois le logiciel expédié, certains fournisseurs tentent de minimiser l’impact des attaques zero-day en essayant de trouver les bugs avant les pirates. Les fournisseurs recherchent des sites de pirates informatiques, des blogs et des sites sociaux populaires à la recherche de personnes qui reportent des bugs.
Ce programme, plus connu sous le nom de « Bug bounty », consiste à récompenser les pirates qui reportent des bugs documentés. Les primes varient normalement entre 100 $ et 500 $.
Les pirates attirés par ces offres sont prêts à s’abonner à des sites Web tels que bugcrowd.com et hackerone.com pour trouver des programmes de Bug bounties. La plupart des principaux fournisseurs de logiciels (à l’exception d’Apple) ont de tels programmes, notamment Facebook Whitehat Program, Google Vulnerability Reward Program, Microsoft Online Services Bug Bounty Program et Mozilla Bug Bounty.
Ces programmes sont une volte-face des attitudes typiques des fournisseurs à l’égard des vulnérabilités il y a quelques années à peine. Les universitaires – et encore moins les pirates informatiques qui ont envoyé des informations sur les vulnérabilités à un fournisseur – pourraient être menacés de poursuites judiciaires s’ils divulguaient ces vulnérabilités.
La controverse sur la divulgation
La divulgation des vulnérabilités est vivement contestée. Certains pensent qu’elle peut conduire à d’autres attaques. D’autres pensent toutefois que, sans au moins la menace de divulgation, un fournisseur de logiciels n’a aucune raison de créer un correctif.
Gardez à l’esprit que les vulnérabilités affectent les utilisateurs beaucoup plus qu’elles n’affectent les fournisseurs. Les utilisateurs ont déjà payé pour leur logiciel, mais les fournisseurs ne réagissent que si la communauté des utilisateurs demande des correctifs. Cela signifie que les fournisseurs ont tendance à ne créer des correctifs que pour les logiciels ayant une large base installée.
Il existe deux approches principales en matière de divulgation :
La « divulgation complète » révèle tous les détails de la vulnérabilité, ce qui fait pression sur le fournisseur pour qu’il trouve rapidement une solution.
Aux États-Unis, la « divulgation responsable » se produit lorsque le fournisseur est avisé de manière confidentielle deux semaines avant que le CERT (Computer Emergency Readiness Team) soit avisé. Le fournisseur de logiciel dispose donc d’un délai de grâce de 45 jours pour publier un avis de sécurité. Théoriquement, cela lui donne le temps de coder et de publier un correctif.
Une fois qu’une vulnérabilité est exposée, elle est répertoriée dans un système accessible au public appelé Common Vulnerabilities and Exposures (Vulnérabilités et expositions communes) à l’adresse https://cve.mitre.org/. Sur ce site, chaque vulnérabilité est classée en utilisant le Common Vulnerability Scoring System.
Une fois répertoriée, la vulnérabilité devient connue du grand public
Une vulnérabilité peut également être trouvée par le fournisseur du logiciel lui-même. Dans ce cas, il a tendance à le garder secret jusqu’à ce qu’un correctif soit prêt à être distribué. Dans certains cas, cependant, il est annoncé publiquement si les utilisateurs peuvent prendre des mesures pour éviter le problème. Par exemple, si le bug dans un logiciel de comptabilité survient seulement pendant le traitement de fin de trimestre, cette activité peut être reportée jusqu’à ce qu’un correctif soit publié.
Si la vulnérabilité est connue du public, mais que le fournisseur n’a pas de correctif, les pirates informatiques peuvent lancer des attaques zero-day. Qu’est-ce qui protège donc l’utilisateur jusqu’à ce que le patch soit disponible ?
Il n’existe pas de solution unique pour protéger un réseau contre toutes les attaques du type « zero-day », car il y a trop de variantes de vulnérabilités qui nécessitent des solutions différentes. Cependant, même si votre système est une cible, il existe des solutions pouvant repousser de nombreuses attaques. On compte par exemple l’antispam, l’antivirus, l’utilisation de réseaux locaux virtuels (LAN) pour protéger les données transmises, l’utilisation d’un système WiFi sécurisé pour se protéger contre les attaques de malwares et les logiciels de filtrage de contenu web.
Quand le correctif est prêt
Après la publication d’un correctif, vous seriez surpris du nombre d’utilisateurs qui ne l’appliquent pas à temps.
Pourtant, il est essentiel pour la sécurité du réseau de garder le logiciel à jour, y compris les navigateurs, les systèmes d’exploitation, les plug-ins de navigateur et les applications telles que Microsoft Office. En effet, les auteurs de malwares peuvent exploiter rapidement les vulnérabilités des anciennes versions de logiciels populaires.
La plupart des attaques se produisent parce que les utilisateurs ne patchent pas leurs logiciels et leur matériel pour détecter les vulnérabilités connues. Selon FireEye, il y a eu 21 kits d’exploitation zero-day sur une période de plus de 2 ans, impliquant Internet Explorer, Microsoft Office, Adobe Flash, Java, et autres. Ils ont sans aucun doute été utilisés pour des attaques. Mais ce nombre est faible par rapport au nombre total de kits d’exploitation qui ont été corrigés par les éditeurs de logiciels.
Microsoft publie ses mises à jour de sécurité appelées « Patch Tuesday » le deuxième mardi de chaque mois. Les pirates informatiques connaissent ce cycle de correctifs et ciblent les logiciels Microsoft immédiatement après la livraison des mises à jour. Ainsi, ils peuvent inverser le code de mise à jour pour créer des kits d’exploitation. À noter que les mises à jour de sécurité importantes n’ont pas lieu avant le « Patch Tuesday ». C’est pourquoi les utilisateurs reçoivent un petit nombre de correctifs tout au long du mois.
Les entreprises de toutes tailles sont menacées par des malwares. Ne laissez pas la sécurité de vos informations critiques au hasard. Les données de votre entreprise sont trop précieuses pour ne pas être laissées sans protection et nécessitent une approche globale de la sécurité par couches pour les mettre à l’abri des dangers.
Chronologie d’une attaque zero-day
Deux chercheurs en sécurité, Leyla Bilge et Tudor Dumitras, se sont focalisés sur la chronologie d’une attaque zero-day et ont avancé que la menace se déroule en sept étapes distinctes, allant de l’introduction de la vulnérabilité jusqu’à l’application du correctif de sécurité.
Étape 1 : Introduction de la vulnérabilité
Lors de cette étape, un développeur crée une application qui – sans qu’il s’en rende compte – contient un code vulnérable.
Étape 2 : Publication du kit d’exploitation
Un pirate informatique découvre la vulnérabilité à l’insu du développeur ou avant que ce dernier n’ait pu la corriger. Ensuite, le pirate crée et déploie un code d’exploitation alors que la vulnérabilité reste encore ouverte.
Étape 3 : Découverte de la vulnérabilité
Le développeur ou le fournisseur de l’application prend connaissance de la vulnérabilité, mais il ne dispose pas encore de correctif.
Étape 4 : Divulgation de la vulnérabilité
Le fournisseur/développeur (ou d’autres chercheurs en sécurité) annonce publiquement la vulnérabilité. Les utilisateurs et les cybercriminels sont alors informés de son existence.
Étape 5 : Publication des signatures antivirales
Si les pirates informatiques ont déjà créé un logiciel malveillant de type zero-day qui cible la vulnérabilité, les éditeurs d’antivirus pourront identifier rapidement sa signature et fournir la solution de protection adaptée. Néanmoins, les systèmes peuvent encore rester exposés si les pirates trouvent d’autres moyens d’exploiter ladite vulnérabilité.
Étape 6 : Publication d’un correctif
A ce stade, le fournisseur de l’application va publier un correctif public afin de corriger la vulnérabilité. Cela peut prendre un temps plus ou moins long en fonction de la complexité de la vulnérabilité et de la priorité que le fournisseur lui accorde dans son processus de développement d’applications.
Étape 7 : Déploiement du correctif de sécurité
Vous l’aurez compris, le déploiement d’un correctif de sécurité n’est pas une solution instantanée, car il faut du temps aux utilisateurs finaux pour l’obtenir et l’appliquer. Les organisations et les utilisateurs individuels devraient donc activer les mises à jour automatiques de leurs logiciels et tenir compte des notifications de mise à jour.
Notez que les attaques zero-day sont rarement découvertes assez rapidement (il faut généralement des jours, des mois, voire des années) et vos systèmes restent vulnérables aux attaques tout au long du processus, c’est-à-dire à partir de l’étape 1 jusqu’à l’étape 7. Même si l’attaque zero-day ne peut avoir lieu qu’entre les étapes 2 et 4, d’autres attaques peuvent se produire si la vulnérabilité reste non corrigée.
Que pouvez-vous faire pour vous protéger des attaques zero-day ?
Les attaques zero-day représentent de sérieuses menaces pour votre sécurité informatique, car elles peuvent entraîner des dommages potentiels à votre réseau, à vos appareils ou à vos données personnelles. Si vous voulez garantir la sécurité de votre équipement et de vos données, on ne saurait trop vous recommander de prendre les quelques mesures de sécurité proactives et réactives suivantes.
Pour construire votre première ligne de défense, vous devez choisir une solution proactive. En d’autres termes, vous devez utiliser un logiciel de sécurité complet, comme Bitdefender ou ClamAV, pour vous protéger contre les menaces connues et inconnues.
Comme deuxième ligne de défense, optez pour une solution réactive et mettez à jour immédiatement vos logiciels dès que de nouvelles mises à jour sont disponibles auprès de votre fournisseur. Cela réduit le risque d’infection par des malwares et les attaques zero-day.
Les mises à jour logicielles vous permettent d’appliquer les révisions nécessaires à vos logiciels et vos systèmes d’exploitation. Il peut s’agir de l’ajout de nouvelles fonctionnalités, de la suppression des fonctionnalités obsolètes, de la correction des bugs, de la mise à jour des pilotes, et surtout de la correction des failles de sécurité au niveau de votre réseau informatique.
Malheureusement, l’attaque zero-day est très difficile à contrer. Comme nous l’avons mentionné au début de ce dossier, il est presque impossible de vous prémunir contre une menace totalement inconnue. Les bonnes pratiques en matière de cybersécurité ainsi que les mises à jour fréquentes sont certes utiles – et vous devriez toujours les appliquer – mais vos chances d’empêcher ce type d’attaque ne sont pas bonnes.
Dans de nombreux cas, la seule chose que vous pouvez faire est de déconnecter tout appareil connecté à Internet jusqu’à ce qu’un correctif soit publié et installé. Par ailleurs, n’oubliez pas de renforcer les paramètres de votre pare-feu, de sorte que seules les connexions les plus essentielles soient autorisées. Si c’est votre site web qui est touché par une attaque zero-day, vous pourriez peut-être vous contenter d’un temps d’arrêt, mais vous pouvez aussi utiliser un proxy ou un VPN afin de résoudre temporairement le problème.
Cela explique la raison pour laquelle vous et vos employés doivent pratiquer une bonne sauvegarde des données. Pourquoi ? Parce que la perte des informations sensibles est l’un des effets les plus courants d’une cyberattaque, alors que c’est l’un des plus faciles à éviter. Si vous disposez d’une sauvegarde récente de vos données, et si celles-ci n’ont pas été compromises, vous pouvez simplement les restaurer et votre activité pourra se poursuivre normalement.
À titre préventif, pensez à stocker vos données les plus sensibles sur un appareil non connecté à Internet et conservez également une copie de vos archives dans le cloud.
En cas d’attaque zero-day, il est toujours important de la signaler à l’entreprise qui a fabriqué le matériel ou l’application concernée. En fonction de la gravité de l’incident, vous pouvez aussi avertir les autorités compétentes. Tant que personne ne signale chaque forme d’attaque zero-day, il y a peu de chances que l’on puisse remédier à ses effets.
Utilisez SpamTitan, un logiciel de sécurité proactif et complet pour bloquer les menaces en ligne
SpamTitan de TitanHQ est un service géré qui filtre et vérifie intelligemment tout trafic entrant dans votre réseau informatique. La solution peut bloquer les menaces à la périphérie de votre réseau, notamment 99,9 % des spams, les malwares, les ransomwares, les attaques de phishing et les virus.
Grâce à SpamTitan, vous pourrez renforcer la couche de sécurité de votre logiciel Office 365 contre les malwares et les attaques zero-day et prévenir les fuites de données grâce à l’ajout de puissantes règles de prévention, ce qui évite les pertes de données internes.
En ce qui concerne la sécurité de la messagerie électronique, sachez que SpamTitan peut bloquer les pièces jointes infectées. Il peut être déployé comme une solution basée dans un cloud partagé, dans un cloud privé ou comme une solution sur site.
Enfin, SpamTitan est une application sécurisée, capable d’anticiper les nouvelles attaques grâce à l’utilisation de la technologie prédictive. Son déploiement est très facile, tout comme sa gestion et son utilisation.
Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.
Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.
FAQ sur les attaques Zero-Day
Quel est exactement le but d’une attaque zero day ?
Les attaques du type zero day ciblent souvent les entreprises et les gouvernements connus, mais aucune organisation n’est à l’abri de ce type de menace. En fait, des recherches ont montré que ce sont les PME qui ne disposent pas d’équipes ni de solutions de cybersécurité adéquates en raison des limites de leurs investissements qui souffrent davantage d’une telle attaque que les grandes organisations.
Pouvez-vous donner quelques exemples des plus célèbres exploits d’une attaque zero day ?
Parmi les attaques les plus notoires, on compte Stuxnet qui visait l’usine d’enrichissement de l’uranium de Natanz. Il s’agit d’un virus qui aurait été développé par les États-Unis et l’Israël, exploitant de multiples vulnérabilités « zero day ». Il y a également Aurore qui a fait des ravages en 2010, lors de laquelle des cybercriminels chinois ont utilisé une vulnérabilité de type « zero day » via Internet Explorer. Enfin, on peut citer le piratage RSA en 2011. Lors de cette attaque, les cybercriminels ont exploité ce type de vulnérabilité par le biais du lecteur Flash d’Adobe pour lancer une campagne de spear phishing, ciblant les employés de la RSA.
Peut-on détecter facilement une faille « zero day » ?
En soi, un exploit du type zero day est une simple faille dans un composant matériel ou un logiciel. Toutefois, elle peut entraîner des dommages bien avant qu’elle ne soit détectée.
Pour quelles raisons cette attaque est-elle presque indétectable ?
Une attaque zero day ne se produit que lorsqu’une faille ou une vulnérabilité matérielle ou logicielle est exploitée par un malware. L’administrateur système n’aura donc pas la possibilité de créer un correctif afin de combler la brèche à temps. C’est d’ailleurs pour cela qu’on appelle attaque « zero day ».
Quel genre de système d’exploitation est le plus visé par les pirates ?
Au cours du premier semestre 2014, ce type d’attaque s’est poursuivi sans relâche, et ce, à partir de 2013. La menace visait essentiellement les applications des utilisateurs finaux comme les navigateurs et les applications Microsoft Office. Microsoft Internet Explorer a été le système d’exploitation le plus corrigé du marché, mais il a également été le plus exploité, surpassant Adobe Flash et Oracle Java. Internet Explorer continuera probablement à être la cible de choix pour les pirates à l’avenir.
