Selon le rapport d’enquête 2018 de Verizon concernant les violations de données (DBIR 2018), récemment publié, 78% des utilisateurs d’une organisation n’ont cliqué aucun lien de phishing pendant toute l’année 2017. Malheureusement, 4% ont cliqué sur n’importe quoi lors des campagnes de phishing.
Les preuves montrent clairement que plus le nombre d’emails de phishing sur lesquels quelqu’un a cliqué dans le passé est élevé, plus il est probable qu’il cliquera à l’avenir. Si le taux de 4% est représentative de la plupart des organisations, il est plus qu’utile de retracer ce petit groupe de personnes au sein de votre organisation.
Vous pouvez faire cela en mettant en œuvre une série d’attaques de simulation de phishing parmi vos utilisateurs, puis en les rencontrant.
Les utilisateurs ne rapportent que 17% des campagnes de phishing
Une autre statistique préoccupante concernant est que les utilisateurs ne signalent que 17% des campagnes de phishing.
Non seulement la plupart des campagnes de phishing ne sont jamais rapportées, mais l’étude montre qu’il faut en moyenne 28 minutes pour que le premier rapport arrive, alors qu’un lien de phishing est cliqué dans les 16 minutes.
Les utilisateurs doivent recevoir une formation sur la façon d’identifier les emails suspects et être sensibilisés à l’importance de signaler les activités suspectes le plus tôt possible. En effet, ils ne sont pas seulement le maillon le plus faible de votre sécurité, mais ils constituent aussi votre dernière ligne de défense. L’éducation est donc primordiale.
D’autres statistiques intéressantes concernant le phishing l’an dernier révèlent que :
Le courrier électronique continue d’être le principal mécanisme de diffusion des attaques d’ingénierie sociale (96%).
59% des attaques de phishing sont motivées par des raisons financières.
Le phishing est souvent utilisé comme action principale d’une attaque et est suivi par l’installation de malwares.
Seulement 13% des atteintes utilisent le phishing. Cependant, 25% des phishing ont été utilisées pour attaquer les établissements d’enseignement.
Le ransomware est actuellement la méthode n°1
Dans le cadre de l’étude susmentionnée, 444 millions de malwares détectés dans environ 130 000 organisations ont été analysés. En moyenne, chaque organisation a reçu 22 malwares ou moins par an.
Pour la première fois, les ransomwares figurent en tête de liste des malwares les plus répandus dans les attaques. Depuis 2014, date à laquelle le ransomware est apparu pour la première fois sur la liste des menaces de malwares (22e rang), il a grimpé rapidement les échelons, atteignant même le 5e rang dans le DBIR 2017.
Alors que les ransomwares représentaient 56% de tous les malwares découverts l’année dernière, ils constituaient 85% de tous les malwares détectés dans le secteur des soins de santé. Il est donc évident que les auteurs d’attaques par ransomwares visent ce secteur.
Dans le blog de la semaine dernière, nous avons parlé de la prévalence des systèmes existants dans le secteur de la santé. Ces systèmes sont la principale cible des pirates informatiques, car ils sont extrêmement vulnérables.
Les vecteurs les plus courants pour la livraison de ransomwares étaient les emails et les sites web malveillants. Ainsi, des solutions de filtrage pour chacun de ces éléments sont absolument nécessaires pour sécuriser votre entreprise. Une stratégie de sauvegarde bien pensée et méthodique est le meilleur moyen de faire face à une attaque par ransomware, notamment la stratégie de sauvegarde 3-2-1.
Prétextes financiers
Le DBIR 2018 montre que le nombre d’attaques par prétexte a presque triplé par rapport à celui de l’année précédente. Bien que le phishing soit souvent associé à l’infestation de malwares, les prétextes financiers n’en impliquaient que rarement (moins de 10%).
Souvent, l’objectif final de ces types d’attaques est de convaincre quelqu’un au sein d’une organisation de transférer de l’argent, généralement sous la forme d’un virement bancaire ou d’une fausse facture. Le prétexte est en fait du spear phishing.
Encore une fois, l’email est le principal vecteur de telles attaques, bien que les conversations téléphoniques soient également utilisées. Dans le cadre d’attaques par prétexte, l’agresseur se fait passer pour le PDG ou un autre cadre supérieur. Cela peut se faire par le biais d’un compromis direct du compte de messagerie du cadre supérieur ou par usurpation d’identité. Ces attaques très lucratives peuvent facilement rapporter six chiffres.
Comme pour les attaques de phishing, la stratégie la plus efficace pour combattre les attaques par prétexte est une combinaison de filtrage des emails et d’éducation à la sécurité. Il faut apprendre aux utilisateurs comment identifier un email usurpé et ce qu’il faut rechercher dans un email de phishing. Une sorte d’authentification multifactorielle devrait également être mise en place pour tous les transferts financiers dont le montant est élevé.
Atteintes à la protection des données
Voici quelques-unes des principales statistiques concernant les atteintes à la protection des données :
73% des infractions sont mises en œuvre par des tiers, alors que 28% impliquent une partie interne.
48% des violations de données impliquent le piratage informatique, tandis que 30% dépendent des malwares.
24% des violations affectent les organismes de soins de santé.
58% des organisations victimes de violation de données sont des petites entreprises.
Le crime organisé, c’est-à-dire une structure humaine constituée de plusieurs personnes, demeure le principal responsable des atteintes à la protection des données.
Bien que les administrateurs système soient en tête de la liste des probables responsables d’infractions internes, l’utilisateur habituel se classe au deuxième rang, non loin derrière. Les médecins et les infirmières se trouvent au 4e rang.
La proéminence inquiétante des armées de botnets
Le DBIR 2018 était basé sur 53 000 incidents liés à la cybersécurité et 2 216 atteintes à la protection des données confirmées. Les auteurs du rapport ont choisi de ne pas inclure les atteintes impliquant les botnets, lesquelles totalisaient 43 000 l’an dernier.
Les botnets sont principalement utilisés dans les attaques de bourrage d’identifiants. Ces attaques constituent la grande majorité des violations par des botnets et la grande majorité d’entre elles ciblent les institutions financières.
Chaque année, l’objectif du DBIR est de fournir aux praticiens de la sécurité une vision réelle et fondée, c’est-à-dire basée sur des données, sur ce qui arrive habituellement aux entreprises en matière de cybercriminalité. Il décrit également les tendances afin que les professionnels de la sécurité puissent affecter les ressources de manière appropriée.
Les sites Web se terminant par .xxx sont désormais en vente. Il s’agit d’une évolution attendue depuis longtemps par les professionnels de l’industrie du divertissement pour adultes. Le suffixe .xxx est un domaine générique de premier niveau qui n’a pas de désignation géographique ou de pays, vers lequel tous les sites web pour adultes pourront être déplacés pour permettre de filtrer et d’éviter que les utilisateurs du web ne soient exposés à des contenus pour adultes.
Tout le monde peut acheter en ligne ce nom de domaine, dont ICM Registry est la société propriétaire. Actuellement, ce ne sont pas seulement les sociétés de divertissement pour adultes qui se précipitent d’enregistrer leur marque en tant que .xxx. Des entreprises, particuliers et autres institutions s’y sont également lancées pour éviter que d’autres ne le fassent à leur place et n’associent les noms de domaines à des contenus pour adultes.
Le domaine de premier niveau et son importance
L’adresse d’un site web contient plusieurs éléments qui permettent aux internautes de la distinguer et de s’en souvenir. Parmi ces éléments figure le domaine de premier niveau (ou « Top-Level Domain – TLD ») qui comprend des lettres placées après le point, comme .net et .com.
Le TLD fait partie de l’URL d’un site internet est il est le niveau le plus élevé du système hiérarchique des noms de domaine. C’est donc un élément important qui permet non seulement à un site web de fonctionner correctement, mais aussi de le faire apparaitre comme légitime aux yeux des visiteurs potentiels.
Lorsque vous créez votre propre site web, la première chose à faire est d’enregistrer un nom de domaine. Pour ce faire, vous aller sélectionner un TLD qui correspond à votre catégorie d’activité. Ce choix ne doit pas être pris à la légère, car il aura un impact sur l’apparence de votre URL et sur la facilité ou la difficulté pour les utilisateurs à s’en souvenir. De plus, certains noms de domaine de premier niveau ont des origines et des objectifs spécifiques selon leur nature.
Le .gov est, par exemple, réservé aux organismes gouvernementaux, tandisque .com est généralement utilisé par les organisations commerciales. Pour le cas du nouveau domaine .xxx, sa vocation est d’être exploité pour des sites pornographiques.
Pourquoi un nouveau domaine .xxx ?
Pour donner aux lecteurs un peu de contexte, l’ICANN (Internet Corporation for Assigned Names) a décidé de créer un nouveau domaine de premier niveau pour les sites Web pour adultes ou les sites à caractère pornographique, en utilisant le suffixe « .xxx ». Le plan était que tous les sites pornographiques puissent être consignés dans un coin de l’Internet.
Rappelons que l’ICANN est l’organisme qui régit les noms de domaine et qui a approuvé les sept premiers domaines dans les années 1980, à savoir .com, .org, .gov, edu, .net, .int et .mil. Dans les années 2000, il a ajouté d’autres domaines comme .aero, .coop, .jobs, .asia, .cat, .tel, .mobi, .museum et .travel. Ce n’est qu’en 2011, et après des années de réflexion, que l’ICANN a approuvé l’utilisation du domaine de premier niveau .xxx pour les sites web de divertissement pour adultes.
En théorie, une fois que tous les sites web pour adultes auront une adresse .xxx, il sera facile pour les utilisateurs de l’Internet de les trouver – si c’est exactement ce qu’ils veulent – et facile pour eux de les bloquer au cas où ils ne voudraient pas les voir.
L’idée sous-jacente à cette nouvelle extension est de permettre aux entreprises, parents et professionnels de la sécurité web de bloquer des sites pornographiques en bloquant simplement l’extension.
De nombreuses entreprises de l’industrie du divertissement pour adultes devraient donc s’inscrire pour un nom de domaine .xxx. Mais les entreprises qui basculent vers les nouveaux noms et qui les utilisent massivement sont sceptiques, car les analystes prédisent que de nombreuses entreprises vont simplement créer des redirections vers leurs sites « .com » principaux.
Alors, à qui profite réellement ce déménagement ?
Les opérateurs de sites pornographiques ont la possibilité d’utiliser ou non le nouveau domaine. Les opposants à ce concept estiment que, comme il ne s’agit pas d’une exigence de domaine imposé, cela ne représente aucun avantage.
Si seulement une sous-section des sites pornographiques se déplace vers le nouveau domaine, le blocage prévu des sites pornographiques via le domaine .xxx ne sera pas efficace.
Pro-domaine .xxx
Le domaine .XXX est sponsorisé. La communauté des sponsors est composée des personnes qui fournissent des divertissements pour adultes en ligne et de leurs fournisseurs et représentants. Il peut s’agir d’un individu, d’une entreprise, d’une entité ou d’une organisation qui fournit des divertissements en ligne pour adultes à orientation sexuelle et qui sont destinés à des adultes consentants ou à d’autres membres de la communauté.
Naturellement, ce sont donc ces personnes et entités qui sont les plus susceptibles d’être intéressées par l’enregistrement de leurs noms de domaine en tant que .xxx.
Selon les partisans de ce concept, ce changement est comme une nouvelle façon prometteuse de filtrer la pornographie sur Internet.
Rappelons que le directeur général d’ICM Registry, Stuart Lawley s’est battu depuis une dizaine d’années pour obtenir l’autorisation d’ajouter ce nouveau domaine pour adultes sur le web. Selon lui, cela permettrait aux gens d’identifier le contenu et le consulter ou l’éviter comme ils l’entendent. Il a également expliqué que ces nouveaux sites devraient être exempts de virus et plus difficiles d’accès pour les enfants, étant donné que chaque site .xxx recevra automatiquement un label de protection de l’enfance et qu’il sera possible de configurer les navigateurs pour filtrer automatiquement ces sites. Cela pourrait être une solution avantageuse pour l’industrie du divertissement pour adultes et pour les personnes qui se préoccupent de la sécurité de leurs enfants sur le web.
Du point de vue de la gestion de la réputation d’une marque, il n’y a aucun mal à acheter le nom de votre entreprise ou de votre marque en tant que domaine .xxx, à condition que le coût d’adhésion ne soit pas exhorbitant. Il constitue un moyen de protéger de façon proactive votre nom (ou celui de votre entreprise) sur le web. Il ne devrait donc y avoir un inconvénient à cela.
Mais tout le monde n’est pas du même avis.
Anti-domaine .xxx
Depuis que les noms de domaine de premier niveau qui terminent par le suffixe .xxx sont devenus disponibles, de nombreux groupes et institutions, y compris l’industrie du divertissement pour adultes elle-même, ne cessent de protester contre cette évolution.
D’une part, les personnalités publiques et les institutions académiques s’inquiètent de la possibilité d’apparition d’actes malveillants comme :
L’achat d’un nom dans le but de faire du « cybersquatting », en le revendant à une l’organisation ayant-droit à un prix plus élevé.
La redirection du public qui utilise la version .xxx d’un site web vers des sites qui peuvent nuire à leur réputation.
La revente de noms de domaine .xxx au plus offrant.
De nombreuses organisations, entreprises et personnalités publiques qui n’ont aucun lien avec l’industrie adulte ont même commencé à acheter les noms de domaines les concernant, de peur que le suffixe nouvellement disponible ne leur cause des problèmes ou des dépenses supplémentaires.
Dans un billet de blog, le vice-président de la politique d’Educause, Gregory Jackson, a souligné que les effets de la mise en place de ce nouveau domaine ont été négatifs. Aucun collège ou université n’a encore bénéficié de cette initiative. Au contraire, elle expose ces institutions à des risques sans qu’elles ne reçoivent aucune valeur en retour. Selon Gregory Jackson, il faudrait renforcer les procédures d’émission et de gestion des noms domaines génériques de premier niveau pour réduire leurs effets négatifs involontaires sur les collèges et les universités. En guise d’exemple, il a mentionné le cas de l’Université d’Hawaï. Cette institution a déjà été confrontée à un problème majeur lorsqu’un individu a acheté un nom de domaine connexe appelé universityofhawaii.xxx. L’acheteur du nom de domaine présentait ce qu’il décrivait comme des « étudiantes hawaïennes nues et sexy ». Heureusement, une lettre de désistement et de cessation de l’université a pu convaincre l’opérateur de retirer le site.
Stephen Balkam, PDG de l’organisation internationale Family Online Safety Institute, a également affirmé qu’il ne s’agit pas d’une solution miracle ni un moyen facile et rapide d’éviter le porno. Il s’agit plutôt d’un modeste outil de filtrage des contenus web. La raison est qu’il existe de nombreux autres sites qui utilisent d’autres extensions comme .com et qui n’utiliseront probablement pas le domaine .xxx.
Enfin, selon un article publié dans le magazine mensuel américain PCWorld, les propriétaires d’entreprises ne devraient pas nécessairement s’inquiéter de l’achat de l’équivalent de leur site web en tant que domaine .xxx, et ce, pour deux raisons. D’une part, la plupart d’entre elles – notamment les marques bien établies comme Microsoft – possèdent un contenu protégé par des marques déposées et des droits d’auteur. Au cas où le nom de domaine serait reproduit sur un site .xxx, il pourra donc être annulé par voie légale.
Que faire pour ne pas mettre votre marque en danger et éviter le cybersquatting ?
Il est possible de bloquer l’achat de votre nom de domaine en version .xxx. Il s’agit d’une action préventive qui empêchera que le nom de domaine de votre enseigne ou votre marque soit utilisé en tant que .xxx par quelqu’un d’autre pour créer un site pour adultes.
Il suffit d’un seul enregistrement pour bloquer l’usage de votre nom de domaine pendant 1 jusqu’à 10 ans et le rendre totalement inexploitable. Sachez toutefois que les TLD .xxx ne sont pas gratuits. Vous devez les acheter auprès d’un opérateur spécialisé et autorisé.
Les noms de domaine ne sont pas destinés à être achetés à vie. Ils sont seulement loués pendant une certaine période et le registrant doit être membre d’une communauté parrainée s’il veut que son nom de domaine .xxx soit résolu. Par contre, le processus d’adhésion est simple et rapide. Il suffit de confirmer vos informations de contact et d’obtenir un identifiant d’adhésion. Ensuite, lorsque vous allez acheter un domaine .xxx, vous fier à votre société d’hébergement (GoDaddy, Network Solutions, etc.) pour l’enregistrement de votre site. De cette manière, vous n’aurez pas de problème avec votre achat, sauf si le nom que vous demandez est déjà pris.
Les personnes qui soutiennent l’utilisation du nom de domaine .xxx recommandent aux entreprises de réserver le plus tôt possible leur TLD .xxx, même si elles n’envisagent pas encore d’enregistrer leur site. Autrement, quelqu’un pourrait revendiquer leur place et l’enregistrer en premier dans l’industrie du divertissement pour adultes. D’autres peuvent également utiliser leur marque pour générer du trafic sur leur site, ce qui n’est pas bon pour leur activité.
Les analystes de WebTitan ont leur avis concernant cette nouvelle mesure
Si vous avez envie d’acheter de manière proactive le nom de votre marque ou de votre entreprise en tant que domaine .xxx, vous pouvez considérer cela comme un bon investissement. Lorsqu’il s’agit de gestion de la réputation de votre marque sur le web, il est toujours utile de couvrir toutes les bases. Toutefois, n’oubliez pas que vous ne pourrez pas surveiller tous les coins d’Internet.
Bien que certains propriétaires de sites web de l’industrie du divertissement pour adultes enregistrent leurs sites en utilisant cette nouvelle extension, il est fort probable qu’ils conserveront encore leur domaine actuel afin de ne pas limiter leur audience. D’autres personnes aux intentions malveillantes, quant à elles, peuvent acheter d’autres noms de domaine pour faire en sorte que le site internet de votre marque apparaisse sur le web en .adult, .porn, .sex, etc., et arbore explicitement des contenus pour adultes.
En réalité, les utilisateurs finaux ne feront aucune différence en ce qui concerne la quantité de contenus pornographiques qu’ils peuvent visualiser en ligne, que le site utilise ce nouveau domaine ou non. Le fait de bloquer l’accès aux sites web avec le suffixe .xxx ne suffit pas pour empêcher vos employés de les consulter, sauf si de nouvelles lois sont adoptées afin de forcer tous les sites pornographiques à l’utiliser. Pour le moment, cette solution s’avère incroyablement difficile à réaliser.
Si vous voulez empêcher les utilisateurs d’accéder à des contenus pornographiques, la meilleure solution est d’utiliser un filtre web comme WebTitan.
Dans le passé, les filtres web ont été critiqués pour avoir surbloqué le contenu web. De nos jours, certains d’entre eux, comme WebTitan Cloud de TitanHQ, permettent un contrôle plus fin du contenu Internet grâce à des contrôles très granulaires. Ils peuvent bloquer l’accès à la pornographie et à d’autres catégories de contenu Internet en quelques clics de souris.
WebTitan Cloud comprend par exemple 53 catégories prédéfinies que vous pouvez utiliser pour filtrer le contenu Internet en quelques secondes une fois la solution implémentée. Il est facile à configurer et ne requiert aucun achat de matériel ni le téléchargement de logiciel. Il suffit de changer votre DNS pour qu’il pointe vers WebTitan et vous pourrez appliquer facilement le contrôle des contenus web.
Et vous, qu’en pensez-vous ? Allez-vous acheter le nom de votre marque ou de voire entreprise en tant que domaine .xxx ? Ou êtes-vous indifférent à cette évolution ?
FAQs
Quel risque représente le domaine .xxx pour les entreprises ?
Les cybercriminels peuvent tenter d’enregistrer des domaines .xxx liés à des marques connues. C’est pour cette raison que de nombreuses entreprises se demandent comment empêcher que leur marque soit associée à la pornographie ainsi qu’aux services de divertissement pour adultes.
Comment éviter que le site de votre marque ne devienne un site .xxx ?
Si vous êtes un propriétaire d’une marque qui a été associée à un nom de domaine .xxx sans votre consentement, vous pouvez bloquer ce nom de domaine en déposant une demande défensive auprès de l’Internet Corporation for Assigned Names and Numbers ou ICANN. Si la demande aboutit, le nom de domaine bloqué sera retiré de la réserve de noms de domaine .xxx disponibles. A noter que vous pouvez aussi acheter un nom de domaine .xxx simplement pour éviter qu’il soit piraté.
Cette nouvelle pratique n’accélère-t-elle pas la normalisation de la pornographie ?
En tout cas, c’est ce que pensent les militants des milieux religieux et conservateurs. Ces derniers ont déjà exercé un intense lobbying contre la création de ce genre de nom de domaine. Les défenseurs de cette nouvelle norme, quant à eux, avancent qu’elle permettra de mieux surveiller et de gérer les sites pour adultes.
Qui fixe les règles d’attribution et de gestion des noms de domaine .xxx ?
C’est la société ICM REGISTRY, l’organisation qui a lancé ce concept le 7 septembre 2011.
Combien coûte un nom de domaine avec l’extension .xxx ?
En général, il est difficile de définir précisément le prix d’achat d’un nom de domaine, car cela varie en fonction de l’extension. De toute façon, si vous êtes dans l’industrie de la pornographie, vous pouvez actuellement faire des comparaisons et opter pour d’autres suffixes comme .adult, .sex, .porn, etc. A noter seulement que, si le nom de domaine que vous souhaitez acheter est déjà réservé, son prix peut flamber.
L’un des principaux escrocs de l’arnaque au « prince nigérian » par email a été arrêté. Connu sous le nom de « Mike », le Nigérian a présidé un réseau multinational derrière des escroqueries par email d’une valeur de plus de 54.8 millions d’euros.
Les escrocs utilisaient des malwares, des faux comptes de messagerie et d’autres astuces pour attirer les gens à révéler leurs informations personnelles. Interpol a déclaré qu’une escroquerie leur avait rapporté 1,3 million d’euros.
Ces fraudes sont souvent connues sous le nom d’arnaque « Nigériane 419 » parce que la première vague est venue du Nigeria. La partie « 419 » de ce nom provient de l’article du Code pénal du Nigeria qui interdit cette pratique.
Utiliser l’e-mail pour arnaquer les gens
L’arnaque nigériane vous renvoie au fait qu’un prince exotique vous propose régulièrement un e-mail pour susciter votre bonté d’âme même s’il ne vous connaît pas. Il vous propose de donner un pourcentage de sa fortune immense si vous acceptez de l’aider à sortir de son pays.
Ce type d’arnaque ne date pas d’hier. Elle est vieille comme l’Internet et est basée sur l’envoi du même message à des centaines de milliers de personnes, en espérant que l’une d’entre elles mord à l’hameçon. En général, les contes censés accrocher les victimes sont dramatiques, émouvants, voire cocasses, et l’e-mail contient de nombreuses fautes d’orthographe.
La mule financière
En réalité, la fortune n’existe pas, tout comme le prince, et si la victime se fait prendre par l’arnaque, elle se retrouve finalement avec une perte. Une fois qu’elle a cessé d’envoyer de l’argent, le pirate informatique peut utiliser ses informations personnelles et ses chèques pour se faire passer pour la victime. Il peut alors vider son compte bancaire et les soldes de sa carte de crédit. Bien entendu, de nombreux citoyens ne tombent pas dans le piège des pirates, mais force est de constater que l’escroquerie implique des millions d’euros de pertes chaque année.
Le Nigeria n’est pas le seul pays à l’origine de ces escroqueries. Elles proviennent désormais de partout dans le monde.
Les sujets d’actualité sont la poussière d’or pour les spammeurs. Ces événements suscitent un énorme intérêt en ligne dans le monde entier. Les événements internationaux populaires comme les Jeux olympiques offrent aux escrocs de nombreuses nouvelles victimes potentielles.
En accaparant les gros titres de l’actualité, les spammeurs peuvent augmenter le volume de trafic vers leurs sites Web. À ce jour, on estime que plus de 73 milliards d’euros ont été perdus, seulement à cause de la fraude 419, ce qui explique pourquoi ces emails malveillants continuent d’exister et d’augmenter en fréquence et en férocité.
Qu’est-ce qui rend un email frauduleux évident ?
Il vous promet une importante récompense en argent en contrepartie de votre aide (l’utilisation d’un compte bancaire est une demande courante).
Mauvaise utilisation du français (grammaire et orthographe).
Il est lié à un événement en cours et qui fait la une des journaux.
Ces éléments réunis sont révélateurs d’un email d’arnaque typique. Les emails semblent toujours suivre le même schéma, ce qui rend les spammeurs prévisibles.
Variantes de l’escroquerie 419
Le classique
Quelqu’un vous contacte pour vous demander de l’aide afin d’obtenir une grosse somme d’argent à l’extérieur du pays, en échange d’une généreuse commission. Il demande vos coordonnées bancaires ou un petit don en espèces pour vous aider à recevoir l’argent.
Nous avons déjà évoqué ce fait au début de notre dossier. Certaines victimes peuvent penser que les gains qu’elles peuvent obtenir en contrepartie d’une somme négligeable sont gros. Dans d’autres cas, l’e-mail semble être envoyé par une soi-disant fille d’un directeur financier qui possède une mine de diamants en Sierra Leone, mais qui est réfugiée à l’étranger. Il peut aussi s’agir d’un militaire français en mission en Côte d’Ivoire qui a découvert un trésor abandonné par des rebelles, ou encore d’un riche célibataire sans enfant qui souffre d’un cancer en phase terminale au Canada.
La loterie
Pour ce cas précis, un e-mail vous informe que vous avez gagné à la loterie, même si vous n’avez jamais acheté un billet. Pour vous aider à récupérer la somme, le cybercriminel vous demande une petite somme d’argent comptant à l’avance.
La loterie est souvent peu connue. Elle a eu lieu dans un autre pays et, souvent, l’email vous demande d’envoyer vos informations personnelles pour pouvoir vérifier votre identité.
En faisant cela, vous devenez une victime d’une usurpation d’identité. De plus, l’argent que vous avez envoyé n’est plus récupérable.
Les signes avant-coureurs de ce genre d’escroquerie sont les suivants :
L’expéditeur de l’e-mail est une personne et non une entreprise.
D’autres personnes que vous connaissez ont également reçu le même e-mail.
Vous n’avez jamais entendu parler de ladite loterie.
Et surtout, soyez méfiant si vous n’avez jamais acheté un billet de loterie.
Dès que vous recevez ce genre d’e-mail, il est recommandé de faire une recherche rapide sur Google pour vérifier la légitimité de la loterie. L’autre mesure à prendre est de ne jamais communiquer vos informations personnelles par le biais de la messagerie électronique, notamment à des personnes que vous ne connaissez pas.
L’héritage
Vous avez hérité d’une somme d’argent de quelqu’un que vous ne connaissiez même pas. Vous devez d’abord faire un petit dépôt pour obtenir votre héritage.
Il existe de nombreuses autres variantes de l’escroquerie 419, mais ce sont les plus courantes. Aussi incroyable que cela puisse paraître, les gens continuent de tomber dans ces pièges. Ces escroqueries sont continuellement répétées, car elles récompensent les cybercriminels.
N’oubliez pas que vous ne devez jamais envoyer d’argent à quelqu’un qui vous contacte par email et que vous ne devez jamais divulguer des informations personnelles ou financières par email ou par téléphone.
Arnaques via les sites de rencontre
Imaginez que vous rencontrez un individu via un site de rencontre ou via un forum de discussion. Vous faites connaissance avec la personne et vous avez le sentiment que celle-ci est bien réelle. Pourtant, vous ne pouvez jamais être certain de la personne qui se trouve de l’autre côté de votre écran.
Il s’agit donc d’une relation virtuelle avec un individu, ce qui n’est pas mauvais en soi. Pour paraître authentique, le pirate peut usurper l’identité d’une personne réelle et fournir de fausses informations personnelles pour brouiller ses pistes.
Le problème survient lorsque la personne commence à vous demander de l’argent, des informations personnelles ou des photos intimes. À partir de ce moment, vous devez vous méfier, car il se peut que vous ayez affaire à un escroc, également appelé catfisher.
Il y a également certains signes qui peuvent révéler que vous parlez à un catfisher :
Il fait preuve d’émotions fortes et d’une grande justesse d’intentions en très peu de temps.
La relation passe rapidement d’un site de rencontre à des plateformes de discussion privées.
Il vous demande de l’argent en raison des difficultés personnelles, telles qu’un membre de sa famille malade ou suite à un échec professionnel.
Pour éviter l’arnaque de ce type, le mieux serait de ne jamais envoyer de l’argent ou de divulguer des informations personnelles à une personne que vous ne connaissez pas. Cela semble évident, mais sachez que de nombreuses victimes tombent encore dans le piège des cybercriminels.
Escroqueries aux faux organismes de bienfaisance
Après une catastrophe naturelle à grande échelle, nous souhaitons souvent apporter notre contribution aux victimes de la tragédie. Les escrocs sont conscients de ce fait et n’hésitent pas à en tirer profit.
Pour ce faire, ils créent des sites de dons et de faux comptes. Ensuite, ils rédigent un e-mail émouvant dont le but est de solliciter des fonds qui seront versés aux victimes. Pourtant, ces fonds ne parviendront jamais à leurs véritables bénéficiaires.
Pour augmenter leur chance de réussir, les escrocs jouent sur la compassion. Il est donc recommandé de mener votre enquête avant faire un don. Vérifiez concrètement le site web de l’organisme caritatif, lequel devrait inclure sa déclaration d’intention et publier certains documents d’exonération fiscale.
Arnaques aux dépannages
Cette autre variante de l’arnaque 419 débute dans la vie réelle et évolue rapidement vers une escroquerie virtuelle. Plus précisément, un escroc vous appelle et se fait passer pour un individu qui travaille pour Microsoft ou d’autres éditeurs de logiciels importants. Il vous informe qu’il peut résoudre certains problèmes informatiques comme la vitesse de connexion Internet très lente ou le délai de téléchargement très long.
Comme la proposition de service semble alléchante, lorsque la même personne vous envoie un e-mail, vous pourriez donc être tenté de télécharger un programme d’accès à distance, permettant au pirate informatique de prendre le contrôle de votre ordinateur et d’installer des malwares. En passant, il peut accéder à vos données, à vos fichiers et à vos informations personnelles.
Pour éviter d’être victime de cette arnaque, n’acceptez jamais un service de dépannage informatique que vous n’avez pas sollicité, sauf si vous êtes absolument certain de l’identité de l’individu qui propose le service. En outre, ne laissez jamais une personne accéder à distance à vos appareils.
L’arrêt de Mike est-il vraiment une mauvaise nouvelle pour les escrocs ?
Les arnaques du type « prince nigérian » ne cessent de se diversifier, mais leur principe est souvent le même. Il s’agit de vous solliciter à payer peu pour recevoir beaucoup.
Même si l’arnaque au « prince nigérian » n’est plus en vogue en 2020, d’autant plus que l’un des principaux escrocs qui l’utilisent s’est fait attraper, elle ne semble pas vieillir. Bien au contraire, elle ne cesse d’évoluer et les pirates changent constamment de tactique pour la perpétuer.
Mais vous ne devez pas seulement lutter contre ce type d’arnaque, car les cybercriminels – peut être même ceux qui sont derrière l’arnaque du type « prince nigérian par e-mail » – rivalisent d’ingéniosité pour démultiplier leurs chances de réussite. Ces nouvelles attaques sont essentiellement basées sur le phishing.
Lors d’une campagne de phishing, les pirates envoient des emails massifs dans le but de chercher à piéger vos employés. La tactique est simple : les messages tentent d’inciter leurs destinataires à effectuer une action. Dans la vie, il y a deux manières d’obtenir quelque chose d’une personne : soit vous lui demander gentiment, soit vous êtes une personne qui a l’autorité sur sa décision.
Le phishing rassemble ces deux conditions. L’astuce consiste à usurper l’identité d’un employé ou d’une organisation afin de lui demander gentiment d’exécuter une action telle que la modification de son mot de passe ou l’ouverture d’une pièce jointe. L’attaque repose essentiellement sur trois éléments : l’e-mail, une pièce jointe et le site web.
Les différentes sortes d’attaques susmentionnées, comme les tentatives de recevoir l’héritage d’un riche prince nigérian ou la fausse loterie, ne font plus beaucoup de victimes. La majorité des filtres antispam de nos jours peuvent bloquer ces attaques lancées via les emails. L’unique façon de voir les messages indésirables consiste à consulter votre dossier « spam ». Pourtant, il existe de nouvelles tactiques de phishing qui connaissent de plus en plus de succès, notamment :
Le spear phishing
Le spear phishing est une menace basée sur l’ingénierie sociale dans laquelle le pirate se déguise en un contact de confiance pour tromper sa cible en l’invitant à cliquer sur un lien dans un e-mail, un SMS ou un message instantané usurpé. Ainsi, la cible risque de révéler involontairement des informations sensibles ; de déclencher la première étape d’une menace persistante avancée (APT) ou d’installer des malwares sur votre réseau d’entreprise. Si le spear phishing connaît actuellement beaucoup de réussite, c’est parce qu’il mélange des éléments psychologiques et techniques.
Le dernier rapport de Symantec sur les menaces à la sécurité sur Internet a révélé que le spear phishing reste actuellement la menace la plus populaire. Parmi tous les cybercriminels connus, 65 % d’entre eux ont eu recours au spear phishing pour servir de principal vecteur d’infection. Un rapport de Mimecast concernant l’état de la sécurité de la messagerie électronique en 2019 a également rapporté que 94 % des personnes interrogées sur plus d’un millier de décideurs informatiques du monde entier ont été victimes d’attaques de spear phishing ou de phishing au cours des 12 derniers mois.
Les attaques BEC
Une attaque du type BEC (Business Email Compromise) commence par l’usurpation d’identité des comptes de messagerie des superviseurs, PDG ou fournisseurs de votre entreprise. Une fois que les pirates obtiennent les informations concernant les comptes de messagerie des décideurs, ils peuvent demander un paiement commercial qui semble légitime à leurs subalternes. Comme l’e-mail semble authentique et qu’il semble provenir d’une figure d’autorité connue, il est fort probable qu’un employé s’y conforme.
En mai 2017, le FBI (Federal Bureau of Investigation) publiait une alerte d’intérêt public où il soulignait que les attaques BEC avaient causé des dommages d’environ 5,3 milliards de dollars à l’échelle mondiale. Et sachez qu’en 2020, le montant moyen volé à cause d’une telle escroquerie a augmenté de 48 % au cours du deuxième trimestre, alors que le nombre d’attaques BEC a diminué pendant cette même période, selon les statistiques fournies par Anti-Phishing Working Group.
Le whaling
Le whaling est un type d’attaque utilisant le spear phishing. Elle vise spécifiquement les cadres supérieurs comme les PDG ou les directeurs financiers. Lors d’une attaque de spear phishing, les pirates ne visent pas nécessairement ces personnes.
Les attaques de whaling sont conçues pour inciter les employés à réaliser une action comme cliquer sur un lien malveillant ou réaliser un virement bancaire. Souvent, les pirates s’efforcent de recueillir et d’utiliser des informations personnelles sur leurs cibles afin de personnaliser davantage les e-mails qu’ils envoient. Ceci augmente encore leurs chances de succès, mais le pire est que ce type d’escroquerie est souvent convaincant et difficile à détecter ou à bloquer, tant pour les administrateurs systèmes/cadres que pour les systèmes de protection de la messagerie électronique.
Il est important de noter que le whaling et l’attaque du type BEC ne sont pas les mêmes. Bien entendu, elles peuvent parfois être utilisées de manière interchangeable, mais lorsqu’une attaque de whaling est lancée, elle peut viser les cadres supérieurs de haut niveau (et bien d’autres), mais les pirates peuvent ne pas se faire nécessairement passer pour eux.
Bon à savoir : Proofpoint a récemment publié le rapport « State of the Phish » qui analyse les tendances en matière de phishing à l’échelle mondiale. Ce document comprend de nombreuses statistiques intéressantes sur le phishing grâce à l’analyse des données compilées à partir de plusieurs sources. En fait, l’enquête a été menée auprès de plus de 600 professionnels intervenant dans le domaine de l’informatique, répartis dans sept pays.
Entre autres, l’enquête a révélé que près de 90 % des organisations ont dû faire face à des attaques de phishing ciblées l’année dernière. 88 % des organisations dans les quatre coins du globe ont subi des attaques de spear phishing et 86 % ont été confrontées des attaques de type BEC.
Que vous soyez la cible d’une nouvelle variante de l’arnaque du type « prince nigérian », de phishing, de spear phishing, etc. il existe toujours une solution pour minimiser les chances qu’elle réussisse.
Que faire en cas d’attaque cybercriminelle ?
Afin d’éviter ces pièges, le plus important est d’être vigilant lorsque vous recevez un e-mail non sollicité. Ne répondez jamais à ce type d’e-mail et surtout ne cliquez jamais sur un lien ; ne divulguez jamais vos informations personnelles à des inconnus et ne versez jamais d’argent à moins que vous soyez absolument certain que votre correspondant est légitime.
Si c’est trop tard, c’est-à-dire si vous avez déjà fait l’une des choses que nous avons évoquées, le mieux serait de déposer une plainte aux autorités compétentes en matière de cybercriminalité dans votre localité.
Si vous pensez être victime d’une escroquerie 419 en tant que mule financière, informez rapidement votre banque et signalez l’attaque aux autorités compétentes.
Les cybercriminels sont de plus en plus intelligents et c’est la raison pour laquelle vous devez être vigilant pour protéger vos appareils informatiques et vos données personnelles. Si vous êtes un propriétaire d’une entreprise, il est fortement recommandé d’utiliser un filtre web et une solution de protection de la messagerie électronique comme SpamTitan.
À propos de SpamTitan
Le spam est plus qu’une simple nuisance. Même si le nombre d’e-mails non sollicités reçus par vos employés est relativement faible, il peut représenter une ponction importante sur la productivité, notamment pour les organisations qui comptent des centaines ou des milliers d’employés. Mais les menaces de phishing comme l’arnaque au prince nigérian, les menaces de malwares et de ransomwares qui arrivent par les e-mails non sollicités sont bien pires que les heures perdues.
La messagerie électronique est désormais le premier vecteur d’attaque utilisé par les cybercriminels pour lancer diverses attaques et leurs méthodes sont de plus en plus sophistiquées pour duper les employés même les plus vigilants. C’est là que TitanHQ peut vous aider.
Des progrès considérables ont été réalisés par TitanHQ pour vous protéger des e-mails malveillants.
Comment SpamTitan peut-il protéger vos employés
SpamTitan peut traiter à la fois les e-mails entrants et sortants
SpamTitan est une couche de protection fiable que vous pouvez spécifier comme passerelle des e-mails entrants. Elle filtre les spams et les virus, puis transmet les e-mails aux serveurs de messagerie d’Office 365. Vous pouvez également utiliser SpamTitan comme passerelle pour les e-mails sortants. Ainsi, tous les messages électroniques sortants envoyés via votre compte Office 365 sont filtrés avant d’être transmis à leurs destinataires.
SpamTitan offre un contrôle supplémentaire pour les e-mails sortants
SpamTitan offre un contrôle supplémentaire pour les e-mails sortants qui n’est pas disponible dans Office 365. Par exemple, la solution garantit que vos domaines de messagerie ne sont pas utilisés par des spambots. C’est une fonctionnalité importante, car les fournisseurs d’accès à Internet bloquent les e-mails provenant d’adresses qui génèrent des spams. Imaginez donc ce qui pourrait arriver à votre entreprise si vous ne pouvez pas communiquer avec vos clients, et vice versa.
Filtrage dédié des e-mails avec un taux de capture et de protection global plus élevé
Comme vous le savez, le nombre et les variétés d’attaques lancées via les e-mails évoluent constamment. De nouvelles variantes de l’arnaque 419 et d’autres attaques cybercriminelles apparaissent chaque jour. SpamTitan offre une protection contre les menaces les plus courantes. La combinaison d’Office 365 et de SpamTitan se traduit par un taux de capture et de protection global plus élevé que celui des autres fournisseurs de solution de protection de la messagerie électronique.
Filtrage granulaire des e-mails
Les développeurs de TitanHQ s’attachent à fournir une solution de filtrage granulaire des e-mails. Par conséquent, les administrateurs peuvent configurer les paramètres pour l’ensemble de l’entreprise, mais les utilisateurs peuvent également affiner les filtres, par exemple par groupe d’utilisateur, voire par utilisateur.
SpamTitan dispose d’une fonctionnalité de personnalisation avancée
Il n’y a pas deux entreprises identiques. Il est donc possible que les e-mails qu’une entreprise peut considérer comme légitimes puissent être classés comme du spam par une autre organisation. Les fonctionnalités avancées de SpamTitan, telles que le filtre Advanced Content Control, permettent d’appliquer un ensemble de règles spécifiques à votre flux d’e-mails. De cette manière, vous ne recevez que les messages que vous voulez vraiment consulter et non ceux que vous ne devez pas voir. À noter que cette fonctionnalité de personnalisation avancée n’est pas disponible sur le filtrage standard d’Office 365.
Prévention des pertes de données des e-mails et des fichiers
Seule la version la plus coûteuse d’Office 365, Enterprise E3, offre une protection contre la perte de données pour la messagerie électronique et pour les fichiers. Mais la continuité des activités est une préoccupation pour les entreprises de toutes tailles.
L’infrastructure SpamTitan Private Cloud fournit une sauvegarde pour votre serveur de messagerie. SpamTitan maintient un cluster privé à 2 nœuds pour traiter les e-mails ; si un nœud tombe en panne, l’autre prend le relais pour continuer à filtrer les messages.
Chaque nœud est situé dans un centre de données différent, ce qui permet d’optimiser la sécurité des messages et données sauvegardées. De plus, le cloud privé de SpamTitan utilise la couche d’authentification et de sécurité simple (SASL) qui exige une identification lors de la connexion au réseau avant tout échange de données.
Enfin, pour une sécurité accrue, nous vous recommandons d’utiliser notre autre solution de filtrage web basée dans le cloud : WebTitan. Cette couche de protection supplémentaire peut filtrer l’accès à certains contenus web et empêcher vos employés d’accéder à des sites Internet connus pour héberger des malwares ou ceux qui contreviennent aux politiques d’utilisation acceptable de votre entreprise.
Le système de noms de domaine (DNS) a été mis en place pour faciliter l’utilisation d’Internet. Il traduit les noms de domaine en adresses IP, lesquelles sont utilisées par les périphériques réseau. Le DNS vous permet d’utiliser http://www.google.com au lieu de http://74.125.224.72/ pour lancer une recherche.
Bref, c’est le principal service d’annuaire d’Internet.
Le DNS existe depuis longtemps et tous les ordinateurs connectés à Internet en dépendent. Les pirates l’utilisent désormais à des fins de reconnaissance interne et externe, notamment pour détourner le trafic et créer des canaux de communication secrets. Heureusement, si vous surveillez vos serveurs DNS et si vous appliquez des analyses de sécurité, bon nombre d’attaques cybercriminelles peuvent être détectées et déjouées.
Qu’est-ce qu’un DNS ?
En quelques mots, le DNS est un système distribué ancré par les serveurs de noms racine. En-dessous de celui-ci se trouve des zones DNS pouvant être constituées d’un ou plusieurs domaines (google.com, par exemple, est un domaine), c’est-à-dire un ensemble de serveurs de noms faisant autorité est attribué à chaque zone DNS.
Un serveur de noms faisant autorité (Authoritative Name Server) peut être soit un serveur maître, soit un serveur esclave. Un serveur maître stocke les copies originales des enregistrements de zone tandis qu’un serveur esclave conserve les copies des enregistrements maîtres.
Un serveur de noms faisant autorfité fournit une réponse réelle à toutes vos requêtes DNS comme l’adresse IP d’un serveur de messagerie ou l’adresse IP d’un site web. Mais, même si son rôle principal est de fournir des réponses définitives aux requêtes DNS, il peut également fournir les réponses qui ont été mises en cache par un autre serveur de noms de domaine. Cela dit, il ne renvoie donc que des réponses aux questions sur les noms de domaine ayant été installées dans son système de configuration.
Comme susmentionné, il existe deux types de serveurs de noms faisant autorité :
D’une part, il y a le serveur maître qui est également appelé serveur de noms primaires. Ce type de serveur stocke les copies originales de tous les enregistrements de zone. Il ne peut apporter aucune modification qu’aux enregistrements de zone au niveau du serveur principal.
D’autre part, il y a le serveur esclave ou serveur de nom secondaire. Un serveur esclave est la réplique exacte du serveur maître. Il a pour rôle de partager la charge du serveur DNS et d’améliorer la disponibilité de la zone DNS au cas où il y aurait une défaillance du serveur maître. Par conséquent, il est recommandé de disposer d’au moins 2 serveurs esclaves et d’un serveur maître pour chaque nom de domaine.
À noter que chaque serveur esclave est mis à jour par le biais d’un mécanisme spécial du protocole DNS.
Les défis en matière de gestion du DNS
Il existe plusieurs failles de sécurité et défis architecturaux inhérents à la conception originale du DNS pour les serveurs de noms externes.
La gestion est complexe
La plupart des administrateurs système reconnaissent l’importance des serveurs de noms externes. Cependant, une erreur ou une mauvaise configuration occasionnelle est inévitable, notamment à cause de la complexité de la gestion de la plupart des serveurs de noms.
Presque tous les administrateurs système d’un serveur de noms « BIND » qui est la marque préférée des serveurs de noms externes ont fait une erreur. Ils introduisent souvent une erreur de syntaxe dans un fichier de données de zone. C’est un risque similaire d’erreur humaine.
Le risque similaire d’erreur humaine est aussi élevé lorsque les administrateurs système utilisent de solutions non BIND, comme celles de Microsoft. Par contre, une erreur de syntaxe dans un fichier de données de zone qui est souvent passée inaperçue rend le serveur de noms incapable de charger cette zone. Elle permettra aux pirates de récolter des données anciennes.
Pire encore, une erreur de syntaxe dans le fichier de configuration du serveur de noms peut empêcher le serveur de noms de démarrer.
Vulnérabilités d’attaque
De nombreux administrateurs système ne prennent pas la précaution de configurer leurs DNS afin de traiter les requêtes récursives qui proviennent d’adresses IP internes, alors que c’est une opération facile à réaliser. Cela peut être dû au fait parce qu’ils ne savent pas comment faire. L’autre raison est qu’ils ne comprennent pas souvent les implications de laisser un serveur de noms externe ouvert aux requêtes récursives.
À titre d’exemple, il se peut qu’une vulnérabilité inhérente apparaisse lorsqu’un serveur de noms permet des requêtes récursives à partir d’une adresse IP arbitraire. Cette approche permet aux pirates de mener une attaque par empoisonnement du cache lors de laquelle ils peuvent inciter le serveur de noms à mettre en cache des données fabriquées. L’attaque la plus célèbre de ce type est celle menée par Eugene Kashpureff qui a empoisonné les caches de centaines de serveurs de noms Internet, les amenant à rediriger les utilisateurs qui accèdent à www.intemic.net.
L’adresse IP d’un serveur Web a été gérée par une organisation appelée AlterNIC
Il est difficile de surestimer les dégâts qu’une attaque via le DNS pourrait causer aujourd’hui. Un pirate informatique pourrait rediriger le trafic destiné à un site Web, par exemple celle d’une banque, vers un serveur Web qui contient une réplique du contenu du site et voler des mots de passe et des numéros de compte. Les pirates peuvent aussi siphonner le trafic destiné à un commerçant en ligne vers un site web identique. De cette manière, ils peuvent capturer les numéros de cartes de crédit.
Des mises à jour difficiles
Avec « BIND » et les serveurs de noms de Microsoft, la mise à niveau des logiciels vers une nouvelle version n’est pas facile. La mise à niveau implique au moins le téléchargement du nouveau code source, de le compiler et de le tester avant de l’installer.
Dans plusieurs cas, des incompatibilités avec les versions précédentes des logiciels obligent les administrateurs système à modifier les configurations ou les données ou à lire des données sensibles de votre entreprise.
Par conséquent, certains administrateurs système remettent à plus tard cette tâche cruciale, même si de nouvelles versions sont disponibles.
La mise à niveau des serveurs de noms lorsque de nouvelles versions sont publiées
Il est important de mettre à niveau les serveurs de noms, mais sachez que cela peut avoir des effets désastreux.
Quelques mois après la découverte d’un dépassement de tampon et corrigé dans un code, un virus appelé LiOn a exploité la vulnérabilité du DNS dans le but d’infecter des centaines de serveurs de noms sur Internet. Il a également installé un « rootkit » que l’auteur du virus- ou toute autre personne- peut utiliser.
L’auteur du virus- ou toute autre personne qui connait son fonctionnement- pouvait l’utiliser pour accéder à la racine de l’hôte infecté. Les pirates auraient pu modifier ou détruire la zone démilitarisée ; ou utiliser le serveur de noms pour pénétrer dans votre réseau.
Aujourd’hui encore, il est fort probable qu’il y ait toujours des serveurs de noms compromis pendant la propagation de LiOn, à l’insu des administrateurs système.
Les récentes attaques liées au DNS
Une récente étude menée par EfficientIP et IDC fait la lumière sur la fréquence des différents types d’attaques DNS et les coûts associés pendant la pandémie de COVID-19.
La sécurité des réseaux DNS peut être compromise
Au Royaume-Uni, les dommages qui découlent de chaque attaque ont connu une baisse marquée de 27 % par rapport à l’année précédente. Les dommages enregistrés en 2021 étaient de 596 083 euros, tandis que les dommages en 2020 étaient d’environ 819 024 euros.
En fait, il s’agit de la plus forte baisse au niveau mondial. Les entreprises britanniques qui ont participé à l’enquête ont signalé environ 5,78 attaques au cours de l’année écoulée, ce qui constitue aussi la moyenne la plus faible signalée. Le chiffre le plus élevé était de 7,74 au Canada.
En termes de dommages régionaux causés par les attaques DNS, l’Europe a subi une moyenne de 743 920 euros par attaque. Il s’agit d’une légère augmentation de 3 % par rapport à l’année précédente.
Au niveau mondial, 87 % des entreprises ont subi des attaques DNS, dont le coût moyen s’élève à 779 008 euros. Cela signifie que les entreprises — tous secteurs confondus — ont subi environ 7,6 attaques l’année dernière. Ces chiffres démontrent le rôle central du DNS pour la sécurité des réseaux en tant que vecteur de menace et objectif de sécurité.
Les attaquants ciblent de plus en plus le cloud
Pendant la pandémie du COVID-19, les pirates informatiques ciblent de plus en plus le cloud. Ils profitent de la dépendance à l’égard des infrastructures de travail hors site et de cloud.
Environ un quart des entreprises ont subi une attaque DNS, abusant d’une mauvaise configuration du cloud. 47 % d’entre elles ont signalé une interruption de leur service cloud à la suite de l’attaque.
Sécurité des réseaux DNS
Bien que le coût et la variété des attaques restent élevés, on constate une sensibilisation croissante à la sécurité des DNS et à la manière de les combattre.
Les administrateurs système considèrent la sécurité du DNS comme un élément essentiel de leur architecture réseau. Par contre, il est important ce considérer que la confiance zéro n’existe pas si vous voulez protéger votre réseau à l’ère de l’informatique à distance.
Les solutions considérées comme les plus efficaces par les entreprises pour le vol de données comprennent la sécurisation des points d’extrémité du réseau, la surveillance des menaces et l’analyse du trafic DNS.
Bien sûr, il est positif que les entreprises utilisent le DNS pour protéger leur personnel de plus en plus éloigné, mais les entreprises continuent de subir les impacts coûteux des attaques DNS.
Alors que les acteurs de la menace cherchent à diversifier leurs tactiques, vous devez continuer à être conscientes de la variété des menaces, en vous assurant que la sécurité DNS est une priorité essentielle afin de les prévenir.
Faire du DNS votre première ligne de défense
Le DNS offre des informations précieuses contre les attaques cybercriminelles potentielles qui sont actuellement sous-utilisées.
Selon Ronan David, vice-président de la stratégie chez EfficientIP, l’existence de la pandémie du Covid-19 nous a montré que le DNS est important si vous voulez mettre en place un système de sécurité efficace. Alors que les travailleurs cherchent à effectuer une transition plus permanente vers des sites hors site, en faisant appel à l’IoT, au cloud, à la périphérie et à la connexion 5G, les entreprises et les fournisseurs de télécommunications devraient se tourner vers le DNS pour mettre en place une stratégie de sécurité proactive. Cela permettra d’assurer la prévention des temps d’arrêt de votre réseau ou de vos applications, ainsi que la protection de votre entreprise contre le vol de données confidentielles et les pertes financières.
Le fonctionnement du DNS sécurisé
Lorsqu’un utilisateur veut accéder à une page web spécifique, il doit entrer l’adresse
de la page ou son nom DNS dans la barre d’adresse de son navigateur. Ensuite, ces informations sont envoyées aux serveurs DNS de leur fournisseur de services Internet (FAI) sous la forme d’une « requête DNS ». Chaque FAI possède une base de données de noms DNS et un répertoire d’adresses IP correspondantes. Si le serveur peut répondre à la requête initiale à l’aide de ce répertoire, il envoie alors une réponse « faisant autorité » à l’ordinateur de l’utilisateur pour qu’il puisse se connecter avec le site web.
Il est bien possible que l’annuaire du FAI ne puisse pas répondre à la requête DNS initiale avec une réponse « faisant autorité ». Dans ce cas, le serveur va vérifier son cache. Le cache d’un serveur comprend un enregistrement de toutes les requêtes précédentes. Si le serveur peut utiliser ces informations du cache pour répondre à l’utilisateur, il va tout de même répondre, mais avec une réponse « non autorisée ». Autrement dit, les informations qui sont fournies à l’utilisateur ne proviennent pas directement du répertoire de son FAI, mais d’un tiers.
Si malgré ces deux solutions, le serveur ne parvient pas encore à fournir une réponse à la requête, alors le processus de requête DNS va utiliser la récursivité. Cela signifie que l’enquête DNS du FAI de l’utilisateur va se servir des informations qu’il possède sur d’autres serveurs « faisant autorité » dans leurs fichiers racine pour contacter et obtenir les informations que l’utilisateur souhaite avoir. Une connexion peut alors être établie par le FAI et son serveur va stocker ces nouvelles informations dans sa mémoire cache pour que le serveur puisse y accéder lors des futures requêtes.
DNS pour IPv4
IPv4 est l’abréviation de « Internet Protocol version 4 », qui spécifie le format et le schéma de l’adresse IP utilisé sur votre réseau local (Local Area Network). Pour vous aider à comprendre ce que c’est de façon la plus simple, vous pouvez considérer l’IPv4 comme l’adresse d’un ordinateur, et chaque adresse est unique.
Pour IPv4, le DNS est le plus souvent étroitement intégré au protocole DHCP (Dynamic Host Configuration Protocol). DHCP fournit des adresses IP, des serveurs de noms DNS et d’autres informations aux périphériques d’un réseau privé ou public.
Ainsi, pour sécuriser le DNS, il faut également protéger le DHCP, et ce, grâce à l’utilisation de techniques telles que l’espionnage DHCP et la limitation du relais DHCP.
DNS pour IPv6
Considéré comme la version du protocole Internet (IP), l’IPv4 est le moyen le plus utilisé dans le monde. Pourtant, ses adresses IP disponibles sont épuisées. Ce protocole utilise 32 bits pour ses adresses Internet. Cela signifie qu’il ne peut prendre en charge qu’environ 4,29 milliards d’IP. Oui, cela peut sembler beaucoup, mais sachez que ces 4,29 milliards d’adresses ont déjà été attribués à diverses institutions.
Voici pourquoi IPv4 doit être remplacé par une autre solution, à savoir Internet Protocol version 6 ou tout simplement IPv6. Ce nouveau protocole Internet IPv6 a été créé au milieu des années 90 et il est déjà très utilisé par les organismes gouvernementaux américains. Cette alternative à IPv4 commence également à s’introduire progressivement à travers le monde.
Selon la configuration du réseau IPv6, le protocole DHCP peut fournir ou non des informations DNS.
Par exemple, l’autoconfiguration des adresses sans état (SLAAC) ne nécessite pas de serveur DHCPv6, car le message Router Advertisement (RA) fournit le nom du ou des serveurs DNS.
IPv6 est un système qui offre non seulement beaucoup plus d’adresses internet, mais il simplifie également l’attribution d’adresses et de fonctions de sécurité réseau supplémentaires.
Comment passer de IPv4 à IPv6 ?
La transition de IPv4 à IPv6 peut s’avérer difficile, car la plupart des gens ne sont pas familiers avec ces protocoles, et encore moins avec l’impact potentiel du passage à IPv6.
Heureusement, ces deux protocoles peuvent coexister au sein d’un réseau. Cela permet aux entreprises de passer facilement et progressivement de IPv4 à IPv6.
Pour ce faire, il faut une bonne programmation est un inventaire de l’infrastructure existante. Cette opération doit aussi inclure une liste de toutes les adresses IPv4 de votre infrastructure réseau ; une liste des adresses auxquelles elles sont référencées dans toutes les applications, ainsi qu’une liste de tous les mappages DNS. Grâce à l’inventaire, vous pourrez vérifier si votre fournisseur DNS externe actuel et les périphériques de votre infrastructure réseau peuvent prendre en charge IPv6.
Attaques DNS et protection DNS
Le DNS fait partie de l’infrastructure fonctionnelle et du cadre de confiance de l’Internet. Sans les noms de domaine, les énormes matériels, logiciels et applications internet des entreprises ne pourront être trouvés et accessibles par les utilisateurs.
Malheureusement, parce que le DNS constitue un élément clé de l’infrastructure, il est devenu un élément très ciblé par les pirates informatiques.
Les attaques de déni de service distribué (DDoS) ciblant le DNS sont un type spécifique d’attaque exposant les vulnérabilités du DNS.
Un white hat recherche un résolveur DNS ouvert et lance une attaque par Déni De Service Distribué (DDoS), soit contre le résolveur lui-même, soit contre d’autres systèmes. La cible reçoit une réponse DNS de partout sur Internet. Les réponses DNS peuvent ensuite être usurpées, ou créées avec de fausses informations, pour rediriger les utilisateurs de sites légitimes vers des sites web malveillants.
Qu’est-ce qu’une attaque DDoS ?
Une attaque DDoS implique la surcharge intentionnelle d’un dispositif, dans le but de rendre ce dispositif ou le service qu’il fournit inaccessible aux utilisateurs.
L’attaque DDoS utilise trois éléments : le spoofing, la réflexion et l’amplification. En réalité, le but des pirates informatiques est de saturer un serveur de noms à travers de nombreux résolveurs DNS ouverts et en utilisant des botnets.
Le spoofing consiste à envoyer un grand nombre de requêtes à des dizaines de milliers de serveurs DNS où l’adresse IP source est spoofée vers le ou les serveurs DNS de l’organisation ciblée. Ensuite, ces serveurs reflètent l’attaque depuis la source vers la cible. Enfin, l’amplification intervient lorsque le serveur réfléchissant répond à la requête relativement petite avec une réponse beaucoup plus grande.
Dans le cas du DNS, le problème est aggravé parce qu’une très petite requête – de moins de 100 octets – peut être amplifiée jusqu’à 50 fois (ou plus) pour générer des milliers d’octets en réponse.
À elle seule, cette forme d’attaque ne tente pas d’accéder aux données d’une organisation. Pourtant, elle peut être utilisée à des fins malveillantes par des pirates informatiques pour empêcher l’accès à certaines ressources ou inhiber certains services fournis par le système ciblé.
Les attaques DDoS ne cessent d’augmenter dans le monde entier. L’une des plus importantes attaques jamais réalisées s’est produite contre les serveurs Dyn DNS en octobre 2016. Les pirates ont utilisé des dispositifs IoT (internet des objets) pour générer jusqu’à 1 téraoctet de trafic. Selon le Worldwide Infrastructure Security Report (WISR), un tiers des opérateurs DNS ont signalé une attaque de ce genre qui ont affecté leurs clients.
Attaque DNS Spamhaus en 2013
L’énormité d’une attaque DDoS est époustouflante. Prenons pour exemple celle qui a été menée en mars 2013 contre Spamhaus, une organisation internationale non gouvernementale basée à Genève et à Londres.
L’attaque a commencé avec une requête DNS avec une adresse IP bidon, mais elle a rapidement pris de l’ampleur pour deux raisons.
Premièrement, la taille du paquet de réponses envoyé par le résolveur DNS est souvent plusieurs fois supérieure à celle du paquet de requêtes. Deuxièmement, le nombre de réponses DNS générées augmente exponentiellement à mesure que le nombre de serveurs participant augmente.
Selon Spamhaus, plus de 30 000 résolveurs DNS ont initialement participé à l’augmentation du flux de réponses DNS.
Si une grande quantité de trafic est reçue d’une adresse IP, la sécurité peut être configurée pour limiter les paquets provenant de cette adresse.
Mais pour l’incident de Spamhaus, les attaquants ont utilisé un grand nombre d’adresses IP différentes. Par conséquent, le nombre de réponses DNS de chaque adresse IP individuelle n’a pas déclenché le mécanisme de limitation de paquets.
Détournement du DNS & sécurité des serveurs
Cette attaque est très facile à comprendre, comparée au spoofing. Elle consiste à changer complètement vos paramètres DNS, de sorte que toutes les requêtes de votre trafic Internet puissent être dirigées vers un serveur DNS malveillant. De ce fait, les résultats que vous recevrez – notamment les sites web que vous verrez dans votre navigateur – seront tous très probablement infectés ou corrompus.
Le fait que l’attaque est plus facile à comprendre ne signifie pas pour autant qu’elle est facile à détecter. En réalité, les pirates utilisent des chevaux de Troie spécifiquement conçus pour modifier les paramètres du DNS.
Pour que cette menace réussisse, les pirates doivent passer par une étape préliminaire, où les ordinateurs vont être affectés par des botnet qui donnent aux attaquants le contrôle du système.
Une autre façon de détourner les DNS consiste à modifier le comportement d’un serveur DNS de confiance, de telle sorte qu’il paraisse plus conforme aux standards Internet.
Dans les deux cas, le résultat reste toutefois le même, c’est-à-dire que les victimes se verront livrer toujours des sites web malveillants via lesquels des campagnes de pharming ou de phishing peuvent être lancées.
Identification du trafic DNS malveillant
Le DNS peut utiliser les protocoles TCP ou UDP. Le trafic sur le port TCP 53 représente souvent des transferts de zone pour garder les serveurs esclaves en synchronisation avec le fichier de zone maître. Toutefois, des intrus peuvent utiliser ce mécanisme pour télécharger le contenu du fichier de zone d’un serveur de noms. Pour éviter cela, les administrateurs doivent bloquer les demandes de transfert de zone à partir de tout périphérique autre que le serveur de noms esclave autorisé.
Comme tout autre port, le port 53 peut être utilisé en guise de tunnel de trafic non autorisé. Méfiez-vous donc si Wireshark signale des paquets « malformés » ou demandant des « opérations inconnues ».
À quoi ressemble le trafic malveillant ?
Pour comprendre la différence entre trafic malveillant et trafic bénin, vous devez d’abord comprendre la manière générale dont les malwares ciblent le DNS. Ces derniers utilisent généralement les algorithmes de génération de domaine (DGA) ou le DNS tunneling/C2.
Les DGA se produisent lorsqu’un malware communique avec un domaine généré de manière algorithmique plutôt que de faire cela avec un domaine C2 codé en dur. Ces domaines ont un aspect distinct et intègrent souvent des chaînes de caractères aléatoires. À noter que les DGA ne font que générer des domaines d’apparence aléatoire. Certains algorithmes peuvent aussi utiliser des mots du dictionnaire informatique pour rendre les domaines moins suspects.
Pour les auteurs de malware, le grand avantage de l’utilisation de la DGA est que, lorsqu’un seul domaine est en cours d’arrêt, cela ne signifie pas qu’ils ont perdu le contrôle de leur malware. Si les défenseurs tentent d’éteindre les malwares en mettant des noms de domaines sur une liste noire, ils auront plus de mal à le faire puisque les pirates peuvent contourner facilement ce système de défense.
Quant au DNS tunneling, cette forme d’atteinte à la sécurité utilise le DNS lui-même pour le transfert de données. Cette forme de cyberattaque code les données d’autres programmes ou protocoles dans les requêtes et les réponses DNS. Elle inclut souvent des données utiles qui peuvent être ajoutées au serveur DNS ciblé et utilisées pour contrôler un serveur distant et ses applications.
Parmi les récentes attaques de DNS tunneling, on peut citer celles menées par le groupe DarkHydrus en 2018 – ciblant des entités gouvernementales au Moyen-Orient – et OilRig qui opère depuis 2016 et est toujours en activité.
Apparence bénigne, mais suspecte
Ces deux techniques de cyberattaques devraient être suffisamment distinctes pour que les professionnels de l’informatique puissent les éviter. Mais il faut aussi noter qu’il existe un certain nombre de logiciels légitimes qui se comportent de la même manière.
Prenons l’exemple de Google Chrome. Au démarrage, ce navigateur interroge 3 domaines aléatoires. Ce comportement est nécessaire pour assurer le bon fonctionnement de l’Omnibox pour certains types de requêtes. Pourtant, ce mode de fonctionnement peut paraître très suspect pour la solution de sécurité de votre réseau.
Pour différencier ce trafic bénin du trafic malveillant réel, vous devez savoir que les domaines générés par Chrome n’incluront que les domaines racine qui figurent dans votre liste de suffixes DNS par défaut.
Une autre catégorie courante de trafic suspect, mais finalement bénin, est celle des logiciels de protection des terminaux qui communiquent avec leur infrastructure. Par exemple, Sophos Extensible List peut créer un certain nombre de requêtes différentes pour sophosxl.net. Il existe une variété de raisons différentes de faire cela, y compris les recherches de réputation IP et les vérifications de latence de la transmission des données. Nous avons vu McAfee et Cymru utiliser ce genre de méthode pour leurs systèmes DNS.
Ce trafic peut ressembler au tunneling DNS, car il utilise essentiellement le DNS de la même manière que les malwares. Pourtant, comme le domaine racine est celui d’un fournisseur connu et qui est déployé sur votre réseau, ce trafic est bénin, même si des recherches fondamentales et des analyses de l’infrastructure du domaine soient encore recommandées pour le confirmer.
Le DNS peut protéger votre réseau
Le DNS est essentiel pour rendre possible toute communication en réseau. Il semble être un outil qui travaille de manière invisible jusqu’à ce que quelque chose tourne mal. Si le service DNS tombe en panne, alors plus rien ne fonctionnera donc sur votre réseau.
Mais comment le filtrage DNS contribue-t-il à bloquer les malwares, les attaques de phishing et bien d’autres menaces en ligne ?
Bloquer les sites web malveillants
Un site web hébergeant un malware peut soit tenter de tromper les utilisateurs afin de les inciter à télécharger un programme malveillant, soit effectuer un téléchargement du type « drive-by », c’est-à-dire en téléchargeant automatiquement un malware lorsqu’une page web malveillante se charge.
D’autres types d’attaques sont également possibles. Par exemple, les pirates peuvent utiliser des pages web contenant un code JavaScript. JavaScript est un langage de programmation complet et il peut donc être utilisé de différentes façons pour compromettre les appareils de vos employés et votre réseau informatique.
Le filtrage DNS peut empêcher les utilisateurs de charger des sites web malveillants et prévenir ce type d’attaque.
Bloquer les sites de phishing
Pour mener leur campagne de phishing, les pirates utilisent un faux site web via lequel ils peuvent voler vos identifiants de connexion. Ils utilisent un domaine usurpé ou simplement un domaine qui semble officiel que la plupart de vos employés ne penseront pas à remettre en question.
Quelle que soit la méthode utilisée, l’objectif reste le même : tromper les utilisateurs et les inciter à divulguer leurs identifiants de connexion aux attaquants. Ces sites web peuvent également être bloqués si vous utilisez un filtre DNS.
Les capacités du filtre DNS à bloquer ces sites malveillants sont basées sur le fait que le système de filtrage sache identifier le plus d’adresses IP ou de domaines malveillants possible comme étant mauvais. Attention toutefois, car une fois que le filtre DNS parvient à identifier un site comme malveillant, les attaquants peuvent générer très rapidement de nouveaux domaines pour mener leurs campagnes de phishing. Autrement dit, il n’est pas possible de bloquer tous les sites de phishing uniquement avec un filtre DNS.
Bloquer les contenus interdits
Il est possible de restreindre l’accès à certains types de contenus grâce au filtre DNS. Le processus est similaire à celui décrit ci-dessus, c’est-à-dire que le filtre va bloquer les noms de domaine et les adresses IP connus pour héberger des contenus interdits. Mais vous pouvez aussi ajouter des sites web que vous avez approuvés à une liste d’autorisation. Dans ce cas, le filtre DNS ne bloquera que les sites web inappropriés pour le travail ou qui représentent une menace pour votre organisation.
Prévenir ou empêcher une attaque DNS ?
Le DNS peut être configuré pour atténuer les problèmes de sécurité DNS courants. Selon le projet Open Resolver, « les résolveurs ouverts représentent une menace importante pour l’infrastructure réseau globale ».
Empêchez votre serveur DNS d’être un résolveur ouvert, répondant aux requêtes DNS de n’importe quelle adresse sur Internet. Limitez les serveurs récursifs internes aux sous-réseaux IP utilisés par votre entreprise.
Gardez cependant à l’esprit que de nombreux (sinon la plupart des) résolveurs DNS sur Internet sont ouverts, soit parce qu’ils n’ont pas été sécurisés, soit parce qu’ils sont destinés à être ouverts au public, comme le service Comodo. Pour tester votre adresse IP pour détecter les résolveurs ouverts, consultez http://www.thinkbroadband.com/tools/dnscheck.html.
Bien qu’il n’existe aucun moyen sûr d’empêcher une attaque DNS, les mesures suivantes peuvent minimiser les risques :
Le blocage DNS utilisé pour la sécurité contre le phishing et le spam peut aider à prévenir les attaques DNS. Ce mécanisme empêche les entités de localiser des domaines ou des sites Web spécifiques et malveillants sur Internet.
Configurez vos serveurs DNS faisant autorité pour utiliser la limitation du taux de réponse DNS.
Le trafic DNS doit être limité en fonction du type de paquet DNS. Par exemple, une réponse de transfert de zone aurait un seuil plus élevé qu’une réponse pour le nom du serveur DNS.
Travaillez avec votre fournisseur d’accès Internet pour bloquer ou limiter le trafic que vous ne voulez pas sur votre réseau, si possible.
Surveillez votre réseau, en particulier les adresses IP des clients qui utilisent le plus de bande passante.
La fermeture des résolveurs ouverts et l’utilisation du blocage DNS ne peuvent pas protéger contre l’usurpation d’identité des paquets. Ainsi, Google déclare que votre site doit être équipé pour faire face à une charge accrue occasionnée par une attaque. Il vous faudra un filtre pour les cycles de bande passante et de processeur ainsi qu’une capacité générale d’équilibrer la charge.
Utilisez le filtre DNS WebTitan pour mieux sécuriser votre réseau
Le filtre DNS WebTitan est une couche de protection tierce qui permet de protéger en temps réel votre réseau contre les menaces en ligne comme les virus, les malwares, les ransomwares, le phishing et les botnets. Voici les principales caractéristiques de ce service basé dans le cloud :
Filtrage des URL avec une catégorisation en temps réel de plus de 500 millions de sites web.
Des clés cloud qui permettent aux administrateurs réseau de créer facilement des exceptions aux politiques de l’utilisation de l’internet sans avoir à les modifier.
Un système de filtrage complet avec plus de 53 catégories personnalisables.
Une grande protection contre les menaces en ligne grâce à l’utilisation d’une liste noire de DNS et d’URL malveillants.
Une plate-forme en ligne facile à mettre en place et à utiliser.
Suite complète de plus de 50 rapports prédéfinis avec de multiples options de programmation et d’exportation.
Visibilité en temps réel des activités de navigation de tous les utilisateurs du réseau de l’entreprise.
Un système basé dans le cloud, offrant un filtrage pour tous les utilisateurs, même ceux qui travaillent à distance.
Bref, ce filtre DNS est conçu pour faire de l’internet un endroit plus sûr et plus sécurisé pour vous et vos employés.
En résumé
Face à la recrudescence des menaces en ligne, le DNS peut offrir une couche de protection supplémentaire entre vos employés et l’internet. Pour ce faire, il met sur liste noire les sites malveillants et filtre les contenus indésirables. Utilisez des serveurs DNS sécurisés pour vos employés de bureau et les travailleurs distants et vous éviterez les risques inutiles d’attaques malveillantes.
Le système de noms de domaine reste un outil essentiel pour le bon fonctionnement de l’internet, mais sachez qu’une attaque contre le DNS peut avoir de graves conséquences. L’important est d’être toujours conscient des menaces en ligne et d’adopter les mesures nécessaires pour prévenir les éventuelles attaques. Si un pirate s’en prend à votre organisation et que vous subissez des dommages, vous devrez aussi être en mesure de les atténuer.
Redirigez vos requêtes DNS vers WebTitan Cloud. Il s’agit d’une puissante solution de filtrage de contenu 100 % basée dans le cloud et qui vous permet d’empêcher vos employés d’accéder à des pages web inappropriées via votre réseau, et de contrôler soigneusement l’accès aux applications web.
WebTitan Cloud est conçu pour être rapide et facile à mettre en œuvre et à gérer. Cette solution de filtrage DNS est évolutive et a été conçue pour répondre aux besoins de la majorité des fournisseurs de services gérés et des petites et moyennes entreprises. Elle est universellement compatible avec vos systèmes d’exploitation et peut être configuré pour répondre aux besoins de votre organisation par le biais d’une interface web, accessible depuis n’importe quel dispositif connecté à Internet.
Pour plus de détails sur WebTitan et sur la protection de votre entreprise contre les attaques DNS, contactez TitanHQ dès maintenant.
DNS FAQ
Qu’est-ce que le DNS ?
Le système de noms de domaine, ou DNS, est comme l’annuaire téléphonique de l’Internet. Il fonctionne en traduisant votre URL en utilisant la langue des ordinateurs. Cette langue, c’est-à-dire les adresses IP, est constituée d’une suite de chiffres du type 105.136.182.205.
Pour un simple internaute, il serait difficile de mémoriser ces chiffres pour chaque site qu’il visite. C’est pour cela qu’il lui faut le DNS. C’est un système qui peut traduire ces chiffres dans des noms communs pour qu’il le reconnaisse, comme Google.com.
Qu’est-ce que le filtrage DNS ?
Le filtrage DNS est une pratique consistant à bloquer l’accès à certains sites dans un but précis, dans la plupart des cas via un filtrage basé sur le contenu. Plus précisément, si un site (ou une catégorie de sites) représente une menace, son adresse IP sera instantanément bloquée par votre filtre DNS, c’est-à-dire que vos employés ne pourront pas accéder à ce site.
Parmi les sites qui sont susceptibles d’être bloqués, on compte par exemple les sites pour adultes ; les sites de jeu et toute autre plateforme en ligne qui peut présenter un risque important, comme ceux pouvant télécharger des malwares.
Comment le DNS est-il utilisé par les pirates informatiques ?
Un pirate informatique cherche toujours à trouver un moyen de faire en sorte qu’un site web signale la mauvaise adresse IP. Lorsque cela est fait, toute personne, comme vos employés, peut essayer d’accéder au site web en question. Ensuite, ils seront redirigés vers un faux site web.
Les cybercriminels peuvent également placer de fausses informations dans le cache d’un serveur. Ils y parviennent en attribuant à une demande d’information à une fausse réponse en utilisant une adresse IP source truquée.
Une fois que la fausse réponse revient, elle sera toujours mise en cache. Les pirates profitent ensuite de cette option pour répondre à toutes les demandes d’information jusqu’à ce que l’information soit considérée comme légitime et pour qu’ils puissent télécharger leur charge utile.
Pourquoi utiliser un filtre DNS ?
Un autre avantage de l’utilisation d’un filtrage DNS pour les entreprises est l’augmentation de la productivité de leur personnel. Par exemple, les sites de streaming peer-to-peer peuvent saper la bande passante, mais cela constitue également une source de téléchargement de malwares et peut saper la bande passante, outre le fait de distraire les travailleurs
Il suffit pourtant d’appliquer des politiques de filtrage DNS pour empêcher vos employés de visiter ces sites et de mieux contrôler leurs réseaux informatiques.
Un filtre DNS est-il suffisant pour vous mettre à l’abri des menaces cybercriminelles ?
Un serveur DNS sécurisé peut bloquer les sites web malveillants ou interdire leur consultation. Il faut également noter que certains serveurs DNS sécurisés peuvent offrir une confidentialité accrue pour protéger les données des utilisateurs.
Outre le filtrage DNS, vous pouvez aussi adopter d’autres moyens si vous voulez rendre votre processus DNS plus sûr. Il est par exemple possible d’appliquer le protocole DNSSEC qui permet de vérifier que les résolveurs DNS et qui fournit des informations exactes concernant les éventuelles attaques cybercriminelles.
Vous pouvez aussi utiliser les protocoles DNS DoT et DoH pour chiffrer les requêtes et les réponses DNS pour que les pirates ne puissent pas traquer les requêtes DNS de l’un de vos employés et pour suivre leurs activités en ligne.
Google a publié ses dernières statistiques sur les principales menaces à la sécurité des emails d’entreprise.
Le rapport du géant des moteurs de recherche se penche également sur les dernières attaques par email sur les utilisateurs de comptes Gmail d’entreprise. Le rapport fait suite à une présentation faite lors de la conférence de la RSA, laquelle avait fourni plus de détails sur les plus grandes menaces à la sécurité des emails d’entreprise et qui doivent maintenant être bloquées.
Selon les données de Google, le spam reste un problème majeur pour les entreprises. Bien que le blocage d’emails non sollicités constitue une nuisance, car il entraîne de nombreuses heures de perte de productivité pour les entreprises, les utilisateurs font actuellement face à une menace beaucoup plus importante par les spams. Les emails malveillants constituent désormais une menace majeure.
Les cybercriminels ciblent beaucoup plus d’utilisateurs professionnels que les titulaires de comptes de messagerie personnels. La raison en est claire : les pirates ont plus d’intérêt à infecter les ordinateurs d’entreprise par des malwares, plutôt que de faire cela sur les ordinateurs personnels. Les entreprises sont beaucoup plus susceptibles de payer des rançons si les données sont chiffrées par un ransomware. Les données stockées par les entreprises ont beaucoup plus de valeur sur le darknet, et le pillage des comptes bancaires des entreprises rapporte beaucoup plus.
Il n’est donc pas surprenant d’apprendre que les statistiques de Google montrent que les entreprises sont 6,2 fois plus susceptibles de recevoir des emails de phishing et 4,3 fois plus susceptibles d’être ciblées par des emails infectés. En revanche, le spam est plus universel, les comptes de messagerie professionnels étant 0,4 fois plus susceptibles d’être spammés que les comptes personnels.
Principales menaces pour la sécurité de la messagerie d’entreprise par secteur d’activité
Les menaces à la sécurité des emails d’entreprise ne sont pas uniformément réparties.
Les cybercriminels mènent des attaques très ciblées contre des secteurs spécifiques de l’industrie. Les données de Google montrent que les organisations à but non lucratif sont le plus souvent ciblées par des malwares, recevant 2,3 fois plus de emails infectés que les comptes professionnels.
Le secteur de l’éducation est également largement ciblé. Les écoles, les collèges et les universités sont 2,1 fois plus susceptibles de recevoir des emails infectés par des malwares, suivis des industries gouvernementales, lesquelles sont 1,3 fois plus susceptibles d’être ciblées que les entreprises.
Cependant, lorsqu’il s’agit de spam et d’attaques de phishing, c’est le secteur des affaires qui est le plus souvent ciblé. À l’heure actuelle, le spam est le plus gros problème pour les entreprises des secteurs de l’informatique (TI), du logement et du divertissement ; tandis que les attaques de phishing sont beaucoup plus souvent menées contre les entreprises de l’IT, les organismes artistiques et ceux du secteur financier.
Les spams malveillants représentent un risque majeur pour les entreprises
Comme nous l’avons vu à maintes reprises au cours des deux dernières années, l’email est un vecteur d’attaque majeur pour les entreprises.
Les cybercriminels utilisent les spams pour infecter les utilisateurs finaux avec des malwares qui volent des informations, des ransomwares qui chiffrent les fichiers et des attaques de phishing qui usurpent les identités. Les attaques par email sont encore très rentables. Elles ne nécessitent que peu d’efforts et permettent aux criminels de contourner les contrôles de sécurité en ciblant les utilisateurs finaux.
Compte tenu de l’augmentation massive des variantes de malwares et de ransomwares au cours des deux dernières années, le blocage du spam et des messages malveillants est aujourd’hui plus important que jamais. De plus, le coût de l’atténuation des atteintes à la protection des données augmente d’année en année (selon le Ponemon Institute). Les infections par des malwares et des ransomwares peuvent être extrêmement coûteuses à résoudre, tandis que les attaques de phishing réussies peuvent rapporter aux cybercriminels d’énormes sommes grâce à la vente de données d’entreprise volées et à la réalisation de transferts bancaires frauduleux. Ces coûts doivent être absorbés par les entreprises.
Protection de votre organisation contre les menaces transmises par des emails
Heureusement, il est possible d’atténuer les menaces à la sécurité de la messagerie d’entreprise en utilisant une solution avancée de filtrage de spam telle que SpamTitan. SpamTitan bloque 99,97 % des spams et affiche un faible taux de faux positifs (seulement 0,03 %).
Un puissant composant anti-phishing empêche également les emails de phishing d’être envoyés aux utilisateurs finaux ; tandis que deux moteurs antivirus (Bitdefender/ClamAV) sont utilisés pour analyser tous les messages entrants (et sortants) à la recherche de liens malveillants et de pièces jointes.
Si vous souhaitez améliorer vos défenses contre les dernières menaces de sécurité de messagerie d’entreprise, contactez l’équipe TitanHQ dès aujourd’hui. Étant donné que SpamTitan est disponible pour une période d’essai gratuite de 14 jours, vous pouvez constater par vous-même l’efficacité de notre produit pour protéger votre entreprise contre les menaces transmises par emails avant de l’acheter.
