Une faille critique de sécurité WiFi a été découverte par des chercheurs en sécurité en Belgique. La vulnérabilité WiFi WPA2 peut être exploitée en utilisant la méthode KRACK (Key Reinstallation AttaCK), qui permet aux acteurs malveillants d’intercepter et de déchiffrer le trafic entre un utilisateur et le réseau WiFi dans le cadre d’une attaque « man-in-the-middle ». L’ampleur du problème est immense. Presque tous les routeurs WiFi sont susceptibles d’être vulnérables.
L’exploitation de la vulnérabilité WiFi WPA2 permettrait également à un acteur malveillant d’injecter un code ou d’installer un malware ou un ransomware. En théorie, cette méthode d’attaque permettrait même à un attaquant d’insérer un code malveillant ou un malware dans un site Web. En plus d’intercepter les communications, les pirates étaient capables d’accéder et de prendre le contrôle total de l’appareil et du disque de stockage connecté au réseau WiFi vulnérable.
L’attaque WPA-Enterprise
Il faut deux conditions qui caractérisent l’attaque par la méthode KRACK : le réseau WiFi doit utiliser WPA2-PSK (ou WPA-Enterprise) et l’attaquant doit se trouver à portée du signal WiFi.
La première condition est problématique, car la plupart des réseaux WiFi utilisent le protocole WPA2 et la plupart des grandes entreprises utilisent WPA-Enterprise. De plus, puisqu’il s’agit d’une faille dans le protocole WiFi, peu importe quel périphérique est utilisé ou la sécurité sur ce périphérique.
La seconde offre une certaine protection aux entreprises pour leurs réseaux WiFi internes puisqu’une attaque devrait être menée par un initié ou une personne à l’intérieur (ou à proximité) de l’établissement. Cela dit, si un employé devait utiliser son ordinateur portable pour se connecter à un point d’accès WiFi public, par exemple dans un café, ses communications pourraient être interceptées et son appareil infecté.
Dans ce dernier cas, l’attaque peut se produire avant que l’utilisateur n’ait incorporé du sucre dans son café et avant qu’une connexion à Internet n’ait été ouverte. C’est parce que cette attaque se produit dès que l’appareil se connecte au hotspot et subit un « four-way handshake ». Le but du « handshake » est de confirmer que le client et le point d’accès possèdent les informations d’identification correctes. Lors d’une attaque par KRACK, un client vulnérable est souvent amené à utiliser une clé qui a déjà été utilisée.
Les mots des chercheurs
Les chercheurs ont expliqué que « cette attaque est exceptionnellement dévastatrice contre Android 6.0. Elle force le client à utiliser une clé de chiffrement prévisible dénommé all-zero encryption key ».
Les chercheurs ont également déclaré : « Bien que les sites Web ou les applications puissent utiliser HTTPS comme couche de protection supplémentaire, nous avertissons que cette protection supplémentaire peut être contournée dans un nombre inquiétant de situations ».
La divulgation de cette vulnérabilité WiFi WPA2 a poussé de nombreux fournisseurs à développer frénétiquement des correctifs pour bloquer les attaques.
La chercheuse en sécurité qui a découvert la vulnérabilité WiFi WPA2, Mathy Vanhoef, a averti plusieurs mois auparavant les fournisseurs et les développeurs de logiciels pour leur permettre de commencer à travailler sur les correctifs. Mais malgré cet avertissement, très peu d’entreprises ont jusqu’à présent mis à jour leurs logiciels et leurs produits. Celles qui l’ont fait sont Microsoft, Linux, Apple et Cisco/Aruba. Par contre, Google n’a pas encore patché sa plate-forme Android, tout comme Pixel/Nexus. Google travaillerait déjà sur un correctif et devrait le publier prochainement.
On s’inquiète également des dispositifs IoT (Internet des objets) qui, selon Mathy Vanhoef, ne recevront peut-être jamais de correctifs pour la vulnérabilité WiFi WPA2, ce qui les rend très vulnérables aux attaques cybercriminelles. De même, il se peut que les smartphones ne soient pas patchés rapidement. Comme ces appareils se connectent régulièrement aux points d’accès WiFi publics, ils sont les plus vulnérables aux attaques utilisant la méthode KRACK.
La vulnérabilité WiFi WPA2 est sérieuse
Bien que la vulnérabilité WiFi WPA2 soit sérieuse, il n’y a peut-être pas lieu de paniquer. Du moins, c’est l’avis de la WiFi Alliance qui a développé WPA2. Selon cet organisme :
« Rien ne prouve que la vulnérabilité a été exploitée de manière malveillante, et Wi-Fi Alliance a pris des mesures immédiates pour s’assurer que les utilisateurs peuvent continuer à compter sur le Wi-Fi pour offrir des protections de sécurité solides.
L’organisme exige maintenant des tests permettant de détecter cette vulnérabilité au sein de son réseau mondial de laboratoires de certification et a fourni un outil de détection de vulnérabilités à l’usage de tous ses membres ».
Quant au National Cyber Security Center du Royaume-Uni, il a souligné que même avec la vulnérabilité WiFi WPA2, le WPA2 reste plus sûr que le WPA ou le WEP. Le centre a aussi souligné qu’il n’est pas nécessaire de changer les mots de passe WiFi ou les identifiants d’entreprise pour se protéger contre cette vulnérabilité.
Toutefois, les entreprises et les consommateurs devraient s’assurer qu’ils appliquent les correctifs rapidement, et les entreprises devraient envisager d’élaborer des politiques exigeant que tous les travailleurs à distance se connectent aux réseaux WiFi au moyen d’un VPN.
Un exemple de vulnérabilité Wi-Fi
Un chercheur en sécurité a découvert et divulgué une grave vulnérabilité qui a affecté le protocole Wi-Fi Protected Access II — WPA2. Wi-Fi Protected Access 2 (WPA2)
Wi-Fi Protected Access 2 (WPA2) est la version finale de WPA approuvée par la Wi-Fi Alliance. Cette organisation met en œuvre les différents aspects de la norme en termes de sécurité 802.11i qui a été ratifiée et qui est obligatoire dans le processus de certification Wi-Fi. Le WPA2 est rétrocompatible avec le WPA et peut être mis en œuvre en deux versions, à savoir WPA2 personnel et WPA2 entreprise.
Ce logiciel a été utilisé par tous les appareils Wi-Fi protégés et modernes. La vulnérabilité permet à un pirate informatique de modifier un protocole, ce qui peut conduire à l’interception du trafic d’un réseau Wi-Fi.
Selon la configuration de votre réseau, les pirates informatiques peuvent aussi injecter et/ou manipuler vos données, même s’ils ne possèdent ou ne déchiffrent pas votre mot de passe de sécurité.
La vulnérabilité est sérieuse. Elle présente une surface d’attaque très importante pour les escrocs. Cependant, elle a aussi ses limites, c’est-à-dire qu’elle ne peut pas être gérée à distance. Elle ne peut être réalisée que lorsqu’un pirate informatique est physiquement proche de sa victime.
Il existe désormais plusieurs moyens de vous protéger d’une attaque en attendant que des mises à jour de sécurité soient publiées pour vos appareils. En fait, la gravité d’un problème de sécurité ne doit pas être sous-estimée, mais vous ne devez pas non plus paniquer.
Le plus gros problème soulevé par une vulnérabilité – quelle que soit son ampleur — est le fait que la grande majorité des appareils concernés — par exemple, les appareils intelligents comme les routeurs pourraient ne jamais recevoir de correctif pour résoudre le problème. Voici quelques recommandations que vous pouvez suivre pendant que les mises à jour sont déployées par les différents fabricants et fournisseurs de logiciels.
La vulnérabilité et les attaques
Une faiblesse a été identifiée dans la norme Wi-Fi elle-même d’une organisation, et non dans les produits individuels ou les implémentations.
Par conséquent, selon le chercheur, toute mise en œuvre correcte de WPA2 est susceptible d’être affectée (liste des fournisseurs affectés). L’attaque contre la vulnérabilité est baptisée KRACK (Key Reinstallation Attack) et permet à un attaquant d’attaquer la poignée de main quadruple du protocole WPA2, c’est-à-dire l’initiation de la connexion WPA2.
Cette poignée de main a lieu chaque fois qu’un client souhaite rejoindre un réseau Wi-Fi protégé WPA2 afin de confirmer que le client et le point d’accès détiennent les bonnes informations d’identification, c’est-à-dire le mot de passe Wi-Fi, avant que le client ne rejoigne le réseau.
Au cours de cette même poignée de main quadruple, une nouvelle clé de chiffrement, utilisée pour chiffrer le trafic ultérieur, est établie. En manipulant cette poignée de main à quatre voies, un attaquant peut inciter une victime à réinstaller une clé de chiffrement déjà utilisée, alors qu’une clé ne devrait être installée et utilisée qu’une seule fois. La réinstallation d’une clé de chiffrement oblige à réinitialiser deux compteurs (également appelés « nonces ») utilisés par le protocole de chiffrement, ceci permet de lancer une attaque contre le protocole, par exemple pour rejouer, décrypter et/ou falsifier des paquets.
Un pirate informatique potentiel qui se trouve à proximité physique d’un réseau Wi-Fi protégé et qui effectue cette attaque réalise une attaque de type « man-in-the-middle ».
Il peut essentiellement intercepter ou déchiffrer le trafic internet sans posséder les informations d’identification du réseau Wi-Fi protégé, comme le changement de mot de passe Wi-F iC? ette attaque peut aussi être combinée à des attaques de déclassement contre des sites Web SSL/TLS ; ceux qui n’ont pas appliqué de mesures de sécurité contre les attaques de déchiffrement, afin de transformer une connexion HTTPS en HTTP et de voler plus d’informations sensibles. L’attaque par réinstallation de clé est illustrée dans la figure simplifiée ci-dessous :
Comment sécuriser WPA2 avant l’attaque ?
L’attaque fonctionne contre les réseaux Wi-Fi personnels et d’entreprise, contre le WPA original, le WPA2, et même contre les réseaux qui n’utilisent que l’AES, c’est-à-dire à peu près la plupart des configurations de réseaux Wi-Fi. Pour le public intéressé par les aspects techniques, le chercheur qui a découvert la vulnérabilité a noté que la même technique de réinstallation de la clé peut également être utilisée pour attaquer la clé de groupe, PeerKey, TDLS et les poignées de main de transition BSS rapide.
Le chercheur décrit la vulnérabilité dans un article intitulé « Key Reinstallation Attacks : Forcing Nonce Reuse in WPA2 ». Il s’agit d’un document très technique pour ceux qui sont intéressés par les détails de l’attaque. Le chercheur a aussi fourni une vidéo avec une preuve de concept de l’attaque contre un smartphone Android.
Les lignes à suivre
Malgré le fait que la vulnérabilité soit présente dans la norme Wi-Fi et affecte donc un très grand nombre d’appareils, il ne faut pas vous inquiéter !
La vulnérabilité WPA2 est grave et offre une grande surface d’attaque, mais elle ne peut être exploitée qu’à proximité physique du réseau Wi-Fi cible et non à distance via Internet, ce qui réduit son impact.
Le WPA2 n’est qu’une des couches de sécurité qui sont touchées. N’oubliez pas que les sites internet correctement configurés, comme les banques, les médias sociaux, les fournisseurs d’e-mails, etc. qui utilisent TLS (HTTPS), sont toujours protégés contre une telle attaque.
Rien ne prouve que la vulnérabilité a été exploitée dans la nature et on ne sait pas avec quelle facilité elle peut être exploitée.
WPA2 reste une solution plus sûre que l’ancien protocole Wi-Fi WEP, Iilest donc fortement déconseillé de passer à un protocole plus ancien qui serait trivialement exploitable. Il est préférable de continuer à utiliser WPA2 lorsque vous utilisez le Wi-Fi.
Éviter complètement les réseaux Wi-Fi protégés par WPA2 n’est pas réaliste.
La faiblesse identifiée se situe dans la norme Wi-Fi elle-même, et non dans les produits ou les implémentations individuelles.
Par conséquent, selon le chercheur, toute implémentation correcte de WPA2 est susceptible d’être affectée (liste des fournisseurs affectés). L’attaque contre la vulnérabilité est baptisée KRACK (Key Reinstallation Attack) et permet à un attaquant d’attaquer la poignée de main quadruple du protocole WPA2, c’est-à-dire l’initiation de la connexion WPA2.
Cette poignée de main a lieu chaque fois qu’un client souhaite rejoindre un réseau Wi-Fi protégé WPA2 afin de confirmer que le client et le point d’accès détiennent les bonnes informations d’identification, c’est-à-dire le mot de passe Wi-Fi, avant que le client ne rejoigne le réseau. Au cours de cette même poignée de main quadruple, une nouvelle clé de chiffrement, utilisée pour chiffrer le trafic ultérieur, est établie. En manipulant cette poignée de main à quatre voies, un attaquant peut inciter une victime à réinstaller une clé de chiffrement déjà utilisée, alors qu’une clé ne devrait être installée et utilisée qu’une seule fois. La réinstallation d’une clé de chiffrement oblige à réinitialiser deux compteurs (appelés « nonces ») utilisés par le protocole de cryptage, ce qui permet de lancer une attaque contre le protocole, par exemple pour rejouer, décrypter et/ou falsifier des paquets.
Un attaquant potentiel qui se trouve à proximité physique d’un réseau Wi-Fi protégé et qui effectue cette aattaqueréalise une attaque de type « man-in-the-middle ». L’attaquant peut essentiellement intercepter/décrypter le trafic internet sans posséder les informations d’identification du réseau Wi-Fi protégé (changer le mot de passe Wi-Fi ne sert donc à rien). Cette attaque peut en outre être combinée à des attaques de déclassement contre des sites Web SSL/TLS (qui n’ont pas appliqué de mesures de sécurité contre les attaques de déclassement) afin de transformer une connexion HTTPS[1] en HTTP et de voler davantage d’informations sensibles. L’attaque par réinstallation de clé est illustrée dans la figure simplifiée ci-dessous :
Optimiser la sécurité WPA2 avant l’attaque
L’attaque fonctionne contre les réseaux Wi-Fi personnels et d’entreprise, contre le WPA original, le WPA2, et même contre les réseaux qui n’utilisent que l’AES, c’est-à-dire à peu près la plupart des configurations de réseaux Wi-Fi. Pour le public intéressé par les aspects techniques, le chercheur qui a découvert la vulnérabilité a noté que la même technique de réinstallation de la clé peut également être utilisée pour attaquer la clé de groupe, PeerKey, TDLS et les poignées de main de transition BSS rapide.
Le chercheur décrit la vulnérabilité dans un article intitulé « Key Reinstallation Attacks : Forcing Nonce Reuse in WPA2 », qui est un document très technique pour ceux qui sont intéressés par les détails de l’attaque. En outre, le chercheur a fourni une vidéo avec une preuve de concept de l’attaque contre un smartphone Android.
Lignes à suivre
Malgré le fait que la vulnérabilité soit présente dans la norme Wi-Fi et affecte donc un très grand nombre d’appareils, ne paniquez pas !
La vulnérabilité WPA2 est grave et offre une grande surface d’attaque, mais elle ne peut être exploitée qu’à proximité physique du réseau Wi-Fi cible et non à distance via Internet, ce qui réduit son impact.
Le WPA2 n’est qu’une des couches de sécurité disponibles qui sont touchées. N’oubliez pas que les sites web correctement configurés, par exemple les banques, les fournisseurs d’e-mails, les médias sociaux, etc. qui utilisent TLS (HTTPS), sont toujours protégés contre une telle attaque.
Rien ne prouve que la vulnérabilité a été exploitée dans la nature et on ne sait pas avec quelle facilité elle peut être exploitée.
WPA2 reste une solution plus sûre que WEP, l’ancien protocole Wi-Fi. Il est donc fortement déconseillé de passer à un protocole plus ancien, trivialement exploitable. Il est préférable de continuer à utiliser WPA2 lorsque vous utilisez le Wi-Fi.
Il n’est pas réaliste d’éviter tous les réseaux Wi-Fi protégés par WPA2. Dans ce cas, il faut donc être pragmatique, appliquer les mesures de sécurité disponibles ou utiliser des connexions Internet mobiles 4G, en attendant que les fabricants préparent et diffusent des correctifs pour leurs appareils.
Le problème peut être résolu par des mises à jour de logiciels/firmware. Vérifiez auprès du fabricant/vendeur de chacun de vos appareils Wi-Fi et appliquez les correctifs dès qu’ils sont disponibles. L’état de préparation des fabricants sur ces questions devrait être un facteur de pondération lors de l’achat de dispositifs technologiques. Les particuliers qui se procurent leurs routeurs auprès de leur fournisseur d’accès à large bande doivent contacter ce dernier pour vérifier si un correctif est disponible pour leur équipement et demander des instructions d’installation.
Dans la mesure du possible, utilisez une connexion Internet mobile 4G plutôt qu’une connexion Wi-Fi.
En attendant les correctifs, vous pouvez traiter tous les réseaux Wi-Fi comme des réseaux publics, ouverts et non sécurisés. Par conséquent, appliquez des mesures de sécurité sur différentes couches. Il s’agit d’une règle essentielle en matière de sécurité et tout à fait efficace dans ce cas également. À savoir :
N’utilisez que des sites Web HTTPS. Évitez d’utiliser de simples sites Web HTTP et de partager des informations personnelles par leur intermédiaire. Envisagez d’utiliser une extension de navigateur telle que HTTPS Everywhere, qui oblige tout site prenant en charge les connexions HTTPS à crypter par défaut vos communications avec ce site.
FAQs
Qu’est ce qui différencie l’attaque KRACK des aux autres attaques contre WPA2 ?
Pour faire simple, c’est la première attaque visant le protocole WPA2 qui ne repose pas sur l’identification du mot de passe.
Le fait de changer le mot de passe de mon réseau Wifi me protège-il d’une telle attaque ?
Vous pouvez changer le mot de passe de votre réseau sans fil, mais cela n’empêche pas (ou n’atténue pas) la menace. Vous devriez plutôt vous assurer que tous vos appareils et le micrologiciel de votre routeur sont mis à jour. Ceci étant fait, ce n’est jamais une mauvaise idée de changer le mot de passe de votre réseau Wifi.
Qu’est ce que les utilisateurs finaux peuvent faire pour se protéger contre cette menace ?
La moindre des choses que les utilisateurs d’une connexion sans fil devraient faire est de mettre à jour leurs appareils compatibles Wifi dès qu’une mise à jour logicielle est disponible.
Dois-je utiliser temporairement d’autres solutions comme le WEP jusqu’à ce que mes appareils soient à jour ?
Non, vous pouvez continuer à utiliser WPA2. N’oubliez pas qu’il peut s’écouler un certain temps avant que le fabricant de vos appareils et du micrologiciel de votre routeur ne propose une nouvelle mise à jour de sécurité. En attendant, vous pouvez prendre des mesures supplémentaires comme l’utilisation d’un VPN pour sécuriser vos appareils et votre réseau.
L’attaquant doit-il toujours être à proximité de votre réseau pour pouvoir l’attaquer ?
En général, le pirate doit se trouver à portée de l’appareil attaqué (Smartphone, ordinateur portable, etc.) et du réseau lui-même. Néanmoins, un pirate informatique peut se trouver relativement loin. Pour mener son attaque, il utilise une antenne spéciale à partir de trois jusqu’à huit kilomètres (si les conditions de connexion sont idéales). Cela signifie qu’il est possible de mener l’attaque KRACK même si la victime est très éloignée.
L’importance de mettre en œuvre de bonnes politiques de gestion des correctifs a été clairement soulignée par les attaques de ransomware WannaCry en mai. Les attaques par ransomware ont été rendues possibles en raison des mauvaises politiques de gestion des correctifs dans des centaines d’entreprises.
Les attaquants ont profité d’une vulnérabilité dans Windows Server Message Block (SMB) à l’aide d’exploits développés par (et volés à) la National Security Agency des États-Unis.
Les exploits, c’est-à-dire des éléments de programme permettant à un pirate ou à un logiciel malveillant d’exploiter une vulnérabilité informatique, ont profité des failles SMB qui, au moment où ils allaient être rendus publics, avaient été corrigées par Microsoft. Heureusement pour les individus à l’origine des attaques, et malheureusement pour de nombreuses entreprises, la mise à jour n’avait pas été appliquée.
Contrairement à la majorité des attaques par ransomware qui nécessitent une certaine implication de l’utilisateur – par exemple en cliquant sur un lien ou en ouvrant une pièce jointe infectée — les failles SMB pouvaient être exploitées à distance sans aucune interaction de l’utilisateur.
WannaCry n’était pas la seule variante de malware qui a tiré parti des systèmes non mis à jour. Le mois suivant, les attaques NotPetya (ExPetr) ont utilisé un exploit similaire appelé EternalBlue. Encore une fois, ces attaques n’avaient pas besoin de l’intervention des utilisateurs. NotPetya était un malware de type wiper (qui détruit les données), qui a été utilisé pour le sabotage informatique. Les dommages causés par ces attaques étaient considérables. Des systèmes entiers ont dû être remplacés, des entreprises ne pouvaient pas fonctionner et, pour de nombreuses entreprises, les perturbations se sont poursuivies pendant plusieurs semaines après les attaques. Pour d’autres entreprises, les pertes causées par ces attaques se chiffraient en millions de dollars.
Ces attaques auraient pu être facilement évitées, en appliquant un seul patch (MS17-010). Le patch était disponible depuis deux mois avant les attaques WannaCry. Même des politiques de gestion des correctifs — qui exigeaient que les logiciels soient vérifiés une fois par mois — auraient pu les prévenir. Dans le cas de NotPetya, les entreprises concernées n’avaient pas non plus réagi à WannaCry, même si les attaques par ransomware ont été largement couvertes par les médias et si le risque lié au retard de la mise à jour a été clairement souligné.
Le message à retenir est que les vulnérabilités de sécurité non résolues peuvent être exploitées par des cybercriminels. Les entreprises peuvent acheter une variété de solutions de sécurité coûteuses pour sécuriser leurs systèmes, mais celles dont les politiques de gestion des correctifs sont inadéquates subiront des brèches de données. La question n’est plus de savoir s’il y aura une brèche de données, mais quand cela va se produire.
Les mauvaises politiques de gestion des correctifs coûtent plus de 5 millions de dollars à une compagnie d’assurance
Une autre bonne raison de procéder rapidement à la mise à jour a été constatée ce mois-ci. Nationwide Mutual Insurance Company et sa filiale, Allied Property & Casualty Insurance Company a du payer une somme conséquente à plusieurs procureurs généraux dans 32 États. En effet, Nationwide a accepté de payer 5,5 millions de dollars pour résoudre l’enquête sur la violation de ses données en 2012.
Il s’agissait d’un vol de données concernant 1,27 million de preneurs d’assurance et de particuliers qui ont obtenu des soumissions d’assurance de la compagnie. Dans ce cas, le vol de données a été possible en raison d’une vulnérabilité non traitée dans une application tierce. Même si la vulnérabilité a été jugée critique, l’assureur n’a pas procédé à sa mise à jour. La vulnérabilité n’était pas corrigée pendant trois ans. Le correctif n’a été appliqué qu’après le vol de données.
L’enquête sur la brèche a été menée conjointement par George Jepsen, procureur général du Connecticut. Lorsqu’il a annoncé le paiement de la somme, M. Jepsen a déclaré : « Il est extrêmement important que les entreprises prennent au sérieux la maintenance de leurs systèmes informatiques et de leurs protocoles de sécurité des données. »
Les vulnérabilités non traitées seront exploitées par les cybercriminels. Les attaques entraîneront des vols de données, des dommages matériels, des poursuites judiciaires intentées par les victimes d’infractions, des amendes imposées par les procureurs généraux et des amendes imposées par d’autres organismes de réglementation. Ces coûts peuvent tous être évités avec de bonnes politiques de gestion des correctifs.
Le harcèlement sexuel sur le lieu de travail et le licenciement abusif était deux des principales raisons pour lesquelles des poursuites judiciaires étaient intentées contre les employeurs. Cependant, la diffamation des employés sur les sites plateformes de réseaux sociaux peut maintenant être ajoutée à cette liste.
Désormais, il est beaucoup plus facile non seulement de rendre publics les propos diffamatoires, mais aussi de les partager avec des centaines, des milliers, voire des millions de personnes, et ce, en un simple clic de souris.
Ces derniers mois, un certain nombre de poursuites ont été intentées devant les tribunaux pour diffamation d’employés sur les réseaux sociaux.
La diffamation des employés sur les réseaux sociaux est courante
Il est très facile pour une personne de poster des commentaires sur un individu particulier ou sur une entreprise. Ces commentaires peuvent donner lieu à des poursuites judiciaires contre un employeur. La diffamation et la calomnie sont courantes. Lord McAlpine a par exemple intenté une action en justice pour diffamation après avoir été accusé d’être un pédophile sur des réseaux sociaux tels que Twitter.
Un tweet peut être envoyé, puis retweeté par plusieurs titulaires de compte différents. Des dizaines deviennent des centaines et des centaines peuvent devenir des centaines de milliers, au fur et à mesure que le commentaire ou le tweet devient viral. Si un employé envoie sur Twitter une opinion personnelle à l’aide d’un compte professionnel, son employeur peut être tenu responsable des dommages-intérêts.
Même si une entreprise n’est pas tenue responsable des dommages-intérêts, la presse négative qu’elle reçoit suite à une affaire judiciaire de grande envergure risque fort de nuire à sa réputation. Cela pourrait impliquer des pertes de chiffre d’affaires et les clients risquent de partir en allant chez leurs concurrents.
Publication d’informations confidentielles sur l’entreprise
La plupart des employés ont des comptes de réseaux sociaux. Bien qu’ils ne publient pas tous des informations sensibles ou des commentaires malveillants, certains le feront.
Une enquête récente sur l’utilisation des réseaux sociaux a révélé qu’une personne sur cinq possède des renseignements secrets ou personnels révélés par d’autres personnes sur les réseaux sociaux. 73 % des employeurs estiment que leurs employés partagent trop d’informations sur ces plateformes.
Selon les statistiques de Facebook, 3,5 milliards et demi d’extraits d’informations sont publiés chaque semaine sur cette plateforme. Bon nombre de ces commentaires pourraient s’avérer préjudiciables à un employeur.
Vous n’êtes pas inquiets de la diffamation des employés sur les réseaux sociaux ? Pourtant, vous devriez !
On croit souvent à tort que si un employeur n’a pas demandé à un employé d’afficher quelque chose sur les réseaux sociaux, il ne sera pas tenu responsable des dommages que cela peut impliquer. Ce n’est pas nécessairement le cas. Certaines affaires judiciaires peuvent exonérer l’employeur de sa responsabilité, mais d’autres peuvent le rendre responsable des actes de ses employés. Les renseignements publiés sur les réseaux sociaux sont désormais admissibles devant les tribunaux.
Le problème peut encore être plus grave. De nombreux employés ont été congédiés à cause des commentaires postés sur Facebook et Twitter, et leurs actions ont été considérées comme une faute grave. Les commentaires postés par les employés au sujet de leur employeur ou de leur travail ont entraîné un certain nombre de pertes d’emplois. Virgin Atlantic a récemment congédié 13 membres d’équipage de cabine pour avoir posté des commentaires malveillants au sujet de l’entreprise sur les réseaux sociaux.
Les entreprises sont maintenant obligées de surveiller de près ce que leurs employés disent d’elles sur ces plateformes. Des poursuites ont été intentées contre des individus pour avoir publié des données sensibles ou des commentaires diffamatoires sur Facebook et d’autres plateformes de réseaux sociaux. Des entreprises ont été également poursuivies en justice pour les actions de leurs employés.
Si des commentaires diffamatoires sont publiés sur le compte d’un employeur, une poursuite peut être intentée à son encontre et il est susceptible d’être tenu pour responsable.
Lorsqu’un commentaire est posté par un employé sur les réseaux sociaux, une action en justice peut être engagée à l’encontre de l’employeur même s’il est bien clair que ce dernier n’a pas approuvé la publication.
Si un employeur ne surveille pas l’utilisation des comptes de réseaux sociaux par ses employés ; s’il ne prend pas des mesures pour supprimer les commentaires diffamatoires ; ou bien s’il n’a publié aucune politique d’utilisation des réseaux sociaux à l’intention de son personnel, les tribunaux peuvent le contraindre de payer des dommages-intérêts.
Comment éviter d’être tenu responsable de la diffamation des employés sur les réseaux sociaux ?
Il importe de fournir aux employés des lignes directrices sur l’utilisation des réseaux sociaux, même si l’accès à ces plateformes n’est pas autorisé dans les lieux de travail. Les employés doivent être informés de ce qui est acceptable et de ce qui ne l’est pas. Si vous ne leur communiquez pas les règles pour lutter contre la cybercriminalité, comment pouvez-vous vous attendre à ce qu’ils les respectent ?
N’oubliez pas que ce qui est évident pour un employeur ne doit pas toujours l’être pour les employés.
Vous devriez donc demander à vos employés de ne pas publier d’opinions personnelles en utilisant les comptes de l’entreprise. Celles-ci peuvent sembler provenir de l’entreprise elle-même. Tout commentaire sexiste, raciste, discriminatoire ou pouvant être considéré comme diffamatoire ne doit pas être posté sur les réseaux sociaux. Vous devriez peut-être fournir quelques définitions, car tous vos employés ne doivent pas être au courant de ce qui constitue un commentaire discriminatoire ou diffamatoire, par exemple.
Après avoir communiqué les politiques sur l’utilisation des réseaux sociaux à vos employés, assurez-vous d’obtenir une signature confirmant qu’elles ont bien été reçues et lues par leurs destinataires. De cette manière, si un employé enfreint les règles, vous devriez être en mesure de démontrer qu’il a déjà été informé de l’existence de ces politiques.
En mai, les chercheurs en sécurité de Proofpoint ont découvert une campagne de spam qui distribuait un nouveau cheval de Troie bancaire nommé DanaBot. À l’époque, on pensait qu’un seul pirate l’utilisait pour cibler des organisations en Australie afin d’obtenir des références bancaires en ligne. Mais cette campagne s’est poursuivie.
D’autres campagnes ont été identifiées en Europe, ciblant les clients des banques en Italie, en Allemagne, en Pologne, en Autriche et au Royaume-Uni. Puis, à la fin du mois de septembre, une autre attaque de DanaBot a été menée auprès des banques américaines.
DanaBot est un malware modulaire écrit en Delphi et capable de télécharger des composants supplémentaires pour ajouter diverses fonctions. Il peut prendre des captures d’écran, voler des données de formulaire et enregistrer les frappes au clavier pour permettre aux pirates d’obtenir des identifiants bancaires. Ces informations sont renvoyées au serveur C2 de l’attaquant et sont ensuite utilisées pour voler de l’argent sur les comptes bancaires des entreprises.
Une analyse des programmes malveillants et des campagnes géographiques a montré que différents identifiants ont été utilisés dans les en-têtes de communication C2. Cela suggère fortement que les campagnes menées dans chaque région sont l’œuvre de différents pirates et le cheval de Troie DanaBot est distribué en tant que malware-as-a-service. Chaque pirate est responsable des campagnes qu’il mène dans un pays ou dans un groupe de pays spécifiques. L’Australie est le seul pays où deux cybercriminels ont mené les mêmes campagnes.
Au total, il semble qu’il y a actuellement 9 pirates qui mènent des campagnes de distribution du cheval de Troie DanaBot. Pour chaque pays, ils utilisent différentes méthodes pour distribuer la charge utile malveillante, notamment le nouveau kit d’exploitation Fallout, l’injection de code dans les applications web et le spamming. Ce dernier a été utilisé pour distribuer le malware aux États-Unis.
L’attaque menée aux États-Unis a utilisé un leurre d’avis se présentant comme un message fax et envoyé via des e-mails. Les messages semblent provenir du service eFax. Ils ont un aspect professionnel et sont complets, avec une mise en page et des logos appropriés. Ils contiennent également un bouton sur lequel il faut cliquer pour télécharger le message fax de 3 pages.
En cliquant sur ce bouton, vous téléchargez un document Word avec une macro malveillante qui, une fois exécutée, lance un script PowerShell, entraînant le téléchargement du malware Hancitor. À son tour, Hancitor téléchargera le voleur de mot de passe Poney et DanaBot.
L’analyse du malware par Proofpoint a révélé des similitudes avec les familles de ransomwares Reveton et CryptXXX. Ceci suggère que DanaBot a été développé par le même groupe responsable de ces deux ransomwares.
La campagne américaine DanaBot cible les clients de diverses banques américaines, dont RBC Royal Bank, Royal Bank, TD Bank, Wells Fargo, Bank of America et JP Morgan Chase. Il est probable qu’elle s’étendra à d’autres pays, au fur et à mesure que de plus en plus de cybercriminels utiliseront le malware DanaBot.
Pour prévenir une telle attaque, vous devez avoir un système de défense en profondeur contre chacun des vecteurs de Danabot. Un filtre antispam avancé est nécessaire pour bloquer le spam. Les utilisateurs d’Office 365 devraient également augmenter la protection de leur système informatique avec un filtre antispam tiers tel que SpamTitan.
Pour prévenir les attaques sur le Web, une solution de filtrage Web devrait être utilisée. WebTitan peut empêcher les utilisateurs finaux de visiter des sites Web connus pour contenir des kits d’exploitation et des adresses IP qui ont déjà été utilisées à des fins malveillantes.
Enfin, les utilisateurs finaux devraient être formés à ne jamais ouvrir de pièces jointes à des e-mails. Ils ne doivent pas cliquer sur des hyperliens dans les messages électroniques provenant d’expéditeurs inconnus ou activer des macros sur des documents à moins d’être certains que les fichiers sont authentiques. Les entreprises américaines ont intérêt à envisager d’avertir leurs employés des faux e-mails eFax afin de les sensibiliser à la menace de DanaBot.
Under Armour a été victime d’une brèche de données massive de MyFitnessPal qui a permis à un pirate informatique d’accéder aux renseignements personnels de 150 millions d’utilisateurs et de les voler.
Les données concernaient les utilisateurs de l’application mobile MyFitnessPal et de la version Web de la plate-forme de suivi de la condition physique et de la santé. Les types de données volées comprenaient les noms d’utilisateur, les mots de passe et les adresses électroniques chiffrées.
Les données des cartes de paiement ont été conservées par Under Armour, car les informations étaient traitées et stockées séparément et n’ont pas été affectées. Aussi, l’attaquant n’a pas obtenu d’autres renseignements de nature très délicate (qui sont habituellement utilisés pour le vol d’identité et la fraude) comme les numéros de sécurité sociale.
L’fuite de données de MyFitnessPal est remarquable par le volume de données obtenues, ce qui fait d’elle la plus importante fuite de données ayant été détectée cette année. Bien entendu, le vol de données chiffrées ne poserait normalement pas un risque immédiat pour les utilisateurs. C’est certainement le cas pour les mots de passe qui ont été chiffrés en utilisant bcrypt, un algorithme de chiffrement particulièrement puissant.
Cependant, les noms d’utilisateur et les mots de passe n’ont été chiffrés qu’avec la fonction de chiffrement SHA-1, qui n’offre pas le même niveau de protection. Il est donc possible de décoder les données de chiffrement SHA-1, ce qui signifie que l’attaquant pourrait potentiellement accéder aux informations des utilisateurs.
L’attaquant avait déjà accès aux données des utilisateurs depuis un certain temps. En réalité, Under Armour a pris connaissance de la fuite de données le 25 mars 2018, alors que l’attaque a eu lieu plus d’un mois avant d’être détectée, soit environ six semaines avant l’annonce de l’atteinte.
Compte tenu de la méthode qui a été utilisée pour protéger les noms d’utilisateur et les mots de passe, les données peuvent donc être considérées comme accessibles. Ainsi, il est fort probable que la personne responsable de l’attaque tentera de les monétiser. Si l’attaquant ne peut pas personnellement déchiffrer ces données, il est certain qu’il va les confier à d’autres pirates qui sont capables de le faire.
Bien qu’il soit possible que les mots de passe chiffrés en bcrypt puissent être décodés, il est peu probable que quelqu’un tente de les déchiffrer.
Pourquoi ? Parce que cela nécessiterait beaucoup de temps et d’efforts. De plus, Under Armour a déjà prévenu les utilisateurs concernés et les a encouragés à changer leur mot de passe par mesure de précaution, et ce, afin de s’assurer que leurs comptes ne puissent pas être accessibles aux pirates.
Bien que les comptes MyFitnessPal puissent rester sécurisés, cela ne signifie pas que les utilisateurs de MyFitnessPal ne seront pas affectés par une attaque cybercriminelle. Les pirates, ou les détenteurs actuels des données utiliseront sans aucun doute les 150 millions d’adresses e-mail et noms d’utilisateur pour des campagnes de phishing.
Under Armour a commencé à aviser les utilisateurs touchés quatre jours après l’fuite de données de MyFitnessPal. Tout utilisateur concerné doit se connecter et changer son mot de passe par mesure de précaution afin d’empêcher l’accès à son compte. Les utilisateurs doivent également être conscients des risques liés au phishing.
On peut s’attendre à des campagnes de phishing liées à l’fuite de données comme celles de MyFitnessPal. De plus, les pirates vont probablement élaborer divers types d’e-mails de phishing pour essayer d’atteindre leurs cibles. Un incident d’une telle ampleur présente également un risque pour les entreprises. Si un employé devait répondre à une campagne de phishing, il est possible qu’il télécharge des malwares sur son équipement de travail et compromette le réseau de l’entreprise.
Les attaques de ce genre sont de plus en plus fréquentes. Compte tenu de la grande quantité d’adresses e-mail utilisées actuellement pour les campagnes de phishing, des solutions avancées de filtrage du spam sont devenues une nécessité pour les entreprises.
Si vous n’avez pas encore mis en place de filtre antispam, ou bien si vous n’êtes pas satisfait de votre fournisseur actuel, du taux de détection ou du taux de détection de faux positifs, contactez TitanHQ pour en savoir plus sur SpamTitan, le leader des logiciels antispam pour les entreprises.
