Un nouveau type d’attaque de ransomware pourrait se profiler à l’horizon. La méthode d’attaque, appelée ransomcloud, a été mise au point par un pirate white hat pour démontrer à quel point il est facile de lancer une attaque qui entraîne le chiffrement des emails dans le cloud.
Une attaque réussie permettra à l’attaquant de prendre le contrôle total d’un compte de messagerie dans le cloud, ce qui lui permettra de déployer une charge utile de ransomware qui chiffre tous les emails dans le compte. Cette méthode pourrait également être utilisée pour obtenir le contrôle total du compte qui va servir à des fins de spamming et à d’autres fins malveillantes.
L’attaque fonctionne sur tous les comptes de messagerie dans le cloud qui permettent aux applications tierces d’accéder aux comptes via OAuth, y compris aux comptes Gmail et Office 365.
L’attaque de ransomcloud commence par un email de phishing. Dans cet exemple, le message semble avoir été envoyé par Microsoft et offre à l’utilisateur la possibilité de s’inscrire et d’utiliser un nouveau service de filtrage du spam appelé AntiSpamPro. L’email inclut le logo Microsoft et semble être un nouveau service de la marque qui offre à l’utilisateur une meilleure protection contre le spam.
Afin de profiter de ce service, l’utilisateur doit cliquer sur un lien hypertexte dans l’email pour autoriser l’installation du nouveau service. Lorsqu’il clique sur le lien, une fenêtre contextuelle apparaîtra, dans laquelle il devra autoriser l’application à accéder à son compte de messagerie.
Une telle demande est tout à fait raisonnable, car une application qui offre une protection contre le spam nécessiterait naturellement l’accès au compte de messagerie. Les emails doivent être lus pour que l’application puisse déterminer si les messages sont authentiques ou s’il s’agit de spam. Cliquer sur « accepter » donnerait à l’attaquant le contrôle total du compte de messagerie via un jeton d’accès OAuth. Si l’accès est accordé, l’utilisateur perd le contrôle de son compte de messagerie.
Dans cet exemple, lorsque le ransomware est installé, il chiffre le corps du texte de tous les emails du compte. Un email apparaît alors dans la boîte de réception contenant la demande de rançon. L’utilisateur est tenu de payer une rançon pour récupérer l’accès à ses emails.
De plus, l’attaquant peut revendiquer le compte de messagerie comme le sien et verrouiller l’accès de l’utilisateur. Il peut également envoyer des emails de phishing à tous les contacts de l’utilisateur, accéder à des renseignements sensibles dans les emails, utiliser les renseignements dans les emails pour en apprendre davantage sur la personne et utiliser informations dans de futures attaques comme des campagnes de spear phishing.
La méthode d’attaque de ransomcloud est étonnamment simple à mettre en œuvre et pourrait être adoptée par les cybercriminels comme un nouveau moyen d’extorquer de l’argent et d’avoir accès à des informations sensibles.
Les attaques de phishing visant Office 365 sont courantes et très convaincantes. Les cybercriminels contournent facilement les contrôles de filtrage de spams d’Office 365 pour s’assurer que les messages atteignent les boîtes de réception de leurs victimes.
De plus, les formulaires de phishing sont hébergés sur des pages Web sécurisées par des certificats Microsoft SLL valides pour convaincre les utilisateurs que les sites Web sont authentiques.
Les attaques de phishing visant Office 365 peuvent être difficiles à identifier
Lorsqu’un email de phishing parvient à contourner les défenses du périmètre de sécurité et arrive dans une boîte de réception, il y a plusieurs signes révélateurs qu’il n’est pas authentique.
Il y a souvent des fautes d’orthographe, une grammaire incorrecte, et les messages sont envoyés par des expéditeurs ou proviennent des noms de domaine douteux. Pour obtenir des taux de réponse élevés, les cybercriminels passent désormais beaucoup plus de temps à rédiger soigneusement leurs emails de phishing. Souvent, ces messages sont pratiquement impossibles à distinguer des communications authentiques de la marque qu’ils usurpent.
En effet, il s’agit de copies conformes d’emails authentiques qui comportent l’image de marque, les informations, les coordonnées de l’expéditeur et les logos de l’entreprise qui est victime de l’usurpation. Le sujet est parfaitement crédible, le contenu est bien écrit et les actions que l’utilisateur est invité à entreprendre sont parfaitement plausibles.
Des hyperliens sont contenus dans les emails. Ils dirigent les utilisateurs vers un site Web où ils doivent entrer leurs données d’accès. À ce stade de l’attaque de phishing, il y a habituellement d’autres signes pouvant indiquer que tout n’est pas aussi normal qu’il n’y paraît.
Un élément qui vous permet de savoir qu’un site Web n’est pas être authentique est que son adresse commence par HTTP plutôt que par HTTPS, ou bien que son certificat SSL n’appartient pas à l’entreprise dont le site Web est en train d’être piraté.
Mais ces signes révélateurs ne sont pas toujours présents, comme l’ont montré les récentes attaques de phishing visant Office 365.
En réalité, les formulaires de phishing peuvent être hébergés sur des pages Web comportant des certificats SSL Microsoft valides ou des certificats SSL émis à d’autres fournisseurs de services dans le cloud, tels que CloudFlare, DocuSign, ou Google.
Arnaque de phishing sur le stockage Blob de Microsoft Azure
Une escroquerie récente par phishing utilise le stockage Blob de Microsoft Azure pour obtenir un certificat SSL valide pour le formulaire de phishing. Il peut être utilisé pour stocker une variété de données non structurées. Bien qu’il soit possible d’utiliser HTTP et HTTPS, la campagne de phishing utilise ce dernier, qui affichera un certificat SSL certifié par Microsoft.
Dans cette campagne, les utilisateurs finaux reçoivent un email avec un bouton sur lequel ils doivent cliquer pour voir le contenu d’un document hébergé dans le cloud. Dans ce cas, le document semble provenir d’un cabinet d’avocats de Denver.
En cliquant sur le bouton, l’utilisateur est dirigé vers une page HTML hébergée sur le blog Microsoft Azure qui nécessite l’entrée d’identifiants Office 365 pour visualiser le document. Étant donné que le document est hébergé sur le blog Microsoft Azure, c’est-à-dire un service de Microsoft, il possède un certificat SSL valide qui a été émis à Microsoft, ce qui ajoute de la légitimité à l’arnaque.
La saisie des identifiants de connexion dans le formulaire les enverra aux attaquants. L’utilisateur sera alors dirigé vers une autre page Web, probablement sans savoir qu’il a été victime d’une attaque de phishing.
La passerelle IPFS CloudFlare peut être utilisée abusivement
Une campagne similaire a été détectée et abuse de la passerelle IPFS CloudFlare.
Les utilisateurs peuvent accéder au contenu du système de fichiers distribué IPFS via un navigateur Web. Lorsqu’ils se connectent à cette passerelle via un navigateur Web, la page HTML est sécurisée par un certificat SSL CloudFlare. Dans ce cas, la connexion nécessite la saisie d’informations telles que le nom d’utilisateur, le mot de passe, l’adresse email de récupération et le numéro de téléphone — qui seront transmis à l’attaquant.
Les utilisateurs, quant à eux, seront dirigés vers un fichier PDF sans savoir que leurs identifiants ont été volés.
Les protections anti-phishing d’Office 365 sont insuffisantes
Les utilisateurs d’Office 365 sont la cible des cybercriminels. Ces derniers sont bien conscients que les contrôles de phishing d’Office 365 peuvent être facilement contournés. Même avec l’option « Advanced Threat Protection for Office 365 » de Microsoft, les emails de phishing peuvent toujours être envoyés aux utilisateurs finaux.
Une étude réalisée en 2017 par SE Labs a montré qu’en dépit de cette option, les mesures anti-phishing d’Office 365 n’étaient classées pas fiables en matière de protection de données. Si les utilisateurs utilisent uniquement l’option « Exchange Online Protection » de base de Microsoft, la protection est encore pire.
Que vous soyez une PME ou une grande entreprise, vous êtes susceptible de recevoir de gros volumes de spams et d’emails de phishing. De nombreux messages malveillants seront livrés dans les boîtes de réception des utilisateurs finaux.
Étant donné que les emails peuvent être pratiquement impossibles à identifier comme étant malveillants pour certains d’entre eux, il est probable que tous vos employés, sauf les plus expérimentés, bien formés et soucieux de la sécurité, seront trompés.
Vous devriez donc adopter une solution avancée de filtrage des spams d’une tierce partie. Elle doit être dotée de systèmes de contrôle et de filtrage de spams d’Office 365 afin d’offrir une protection plus fiable.
Comment rendre Office 365 plus sûr ?
Office 365 bloque les spams et les emails de phishing (Osterman Research a démontré qu’il bloque 100% des malwares connus). Pourtant, il a été prouvé qu’il n’est pas efficace contre les menaces de phishing avancées comme le spear phishing.
Office 365 n’a pas le même niveau de technologie prédictive que les passerelles de sécurité de messagerie dédiées sur site et dans le cloud. Celles-ci sont bien meilleures pour détecter les attaques zero-day, les nouveaux malwares et les campagnes avancées de spear phishing.
Afin d’améliorer considérablement la protection de votre système informatique, vous avez besoin d’une solution tierce de filtrage des spams pour Office 365n, telle que SpamTitan.
SpamTitan se concentre sur la défense en profondeur et offre une protection supérieure contre les attaques de phishing avancées, les nouveaux malwares et les attaques sophistiquées par email. Ce qui garantit que les messages malveillants sont bloqués ou mis en quarantaine plutôt que d’être livrés dans les boîtes de réception des utilisateurs finaux.
Certaines des protections supplémentaires fournies par SpamTitan contre les attaques de phishing visant Office 365 sont détaillées dans l’image ci-dessous :
Pour en savoir plus sur la sécurisation d’Office 365 et sur les avantages de SpamTitan pour votre entreprise, contactez TitanHQ.
Nos conseillers commerciaux hautement expérimentés seront en mesure de vous conseiller sur la gamme complète des avantages de SpamTitan et la meilleure option pour son déploiement. Ils peuvent vous offrir un essai gratuit pour vous permettre d’évaluer personnellement la solution avant de choisir notre solution.
TitanHQ a annoncé la conclusion d’un nouveau partenariat avec OneStopIT, l’un des principaux fournisseurs de services gérés (MSP) du Royaume-Uni.
Depuis plus de 16 ans, OneStopIT aide les petites et moyennes entreprises (PME) à mettre en œuvre des solutions technologiques fiables. Ce MSP, basé à Edimbourg, se concentre sur la fourniture de solutions informatiques orientées processus aux organisations en croissance à un prix abordable.
Grâce à son partenariat avec les entreprises britanniques, il est évident que OneStopIT devient la principale cible des cybercriminels pour lancer des attaques de phishing. À noter qu’actuellement, les attaques phishing contre les entreprises britanniques se produisent à un rythme record et elles coûtent cher aux entreprises.
Les entreprises britanniques ont besoin de solutions de cybersécurité avancées, mais à un prix abordable. Pour améliorer la protection contre les attaques de phishing et de malwares, OneStopIT s’est tourné vers TitanHQ.
TitanHQ a développé de puissantes solutions basées sur le cloud pour les PME et PMI. Elles intègrent des fonctions de sécurité de niveau entreprise, mais à un prix abordable, même pour les plus petites entreprises. Ces solutions ont été développées pour être livrées par les MSP et peuvent être facilement intégrées dans les systèmes d’auto approvisionnement, de facturation et de gestion.
Dans le cadre de ce nouveau partenariat, OneStopIT offrira à ses clients une protection avancée contre le phishing et la sécurité de la messagerie électronique grâce à SpamTItan. SpamTItan est une solution de filtrage web basé sur WebTitan et sur un service d’archivage de la messagerie électronique basé sur ArcTitan.
Ces trois solutions ont été intégrées de façon transparente dans la couche de sécurité de OneStopIT et sont maintenant utilisées pour mieux protéger ses clients contre les cybermenaces avancées et sophistiquées d’aujourd’hui.
Ally Hollins-Kirk, le PDG de OneStopIT a déclaré : « La prolifération des menaces de phishing contre Office 365 est un véritable problème pour les PME du Royaume-Uni. Nous travaillons en partenariat avec un fournisseur clé dans ce domaine pour protéger nos clients et pour leur offrir un service OneStopIT de qualité supérieure auquel ils se sont habitués ».
Le Règlement Général sur la Protection des Données (RGPD) est une nouvelle loi sur la confidentialité et la sécurité des données en Europe. Elle est entrée en vigueur le 25 mai 2018.
Voici quatre questions auxquelles nous allons tenter d’apporter quelques réponses et éclaircissements sur le sujet :
En quoi consiste le RGPD ?
Cette réglementation concerne-t-elle les entreprises américaines ?
Si c’est le cas, comment s’applique-t-il ?
Qu’est ce que les entreprises américaines doivent faire pour s’y conformer ?
Tout de suite, nous allons répondre de façon simple à l’une des questions susmentionnées : non seulement le RGPD s’applique aux entreprises américaines, mais si celles-ci font des affaires dans l’Union européenne (UE), cela pourrait leur coûter cher au cas où elles ne s’y conformeraient pas.
Qu’elles opèrent ou qu’elles servent des clients dans l’UE, ces entreprises doivent ainsi comprendre ce qu’elles doivent faire pour se préparer à cette nouvelle réalité.
Qu’est ce que le RGPD ?
Pour commencer, rappelons que le Parlement européen a adopté le RGPD en avril 2016. Il remplace une directive obsolète sur la protection des données qui date de 1995, car celle-ci ne réglementait généralement pas les entreprises basées en dehors de l’UE.
Le RGPD comporte de nombreuses dispositions, obligeant les entreprises à protéger les données personnelles ainsi que la vie privée des citoyens de l’UE pour toute transaction effectuée dans les États membres de l’UE.
Toutes les entreprises du monde entier qui ont des employés – ou qui font des affaires dans l’un des 28 États membres (Allemagne, Autriche, Belgique, Bulgarie, Croatie, Chypre, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, République tchèque, Roumanie, Royaume-Uni, Slovaquie, Suède et République Tchèque) – doivent donc se conformer à cette réglementation.
Et même si votre entreprise n’est pas basée dans l’UE et que vous avez des employés, des clients ou des sous-traitants basés dans un pays de l’UE ou citoyens de l’UE, elle doit aussi respecter les normes en matière de confidentialité des données, sous peine de sanctions sévères.
La pénalité pour non-conformité au RGPD pour les entreprises est de 20 000 000 euros (23 138 200 dollars) ou 4 % du chiffre d’affaires annuel global de l’entreprise pour l’exercice précédent (le plus élevé des deux montants étant retenu). S’il est avéré qu’une entreprise ne s’est pas conformée au RGPD, elle sera également soumise à des vérifications régulières et périodiques de la protection des données pour s’assurer que ses politiques et procédures sont mises à jour et que l’entreprise continue à se conformer au RGPD.
Qu’en est-il de la protection de la vie privée aux Etats-Unis ?
Certains d’entre nous se posent la question suivante : est-ce qu’il existe un équivalent américain du RGPD qui établit, au niveau local, la loi du pays concernant les cookies, le suivi des sites web et le respect de la vie privée des utilisateurs finaux ?
La réponse est non.
Les Etats-Unis n’ont rien de comparable au RGPD. Lorsqu’une entreprise collecte et traite les données personnelles des citoyens européens, c’est le RGPD qui entre en vigueur.
L’absence d’une réglementation fédérale portant sur la confidentialité des données ont poussé de nombreux États américains à légiférer localement afin de garantir aux consommateurs le droit de refuser que leurs données soient divulguées ou vendues à des tiers.
Prenons l’exemple de la loi californienne sur la protection de la vie privée des consommateurs, communément connue sous le nom de CCPA ou « California Consumer Privacy Act ». Cette norme est entrée en vigueur le 1er janvier 2020 et garantit aux citoyens de la Californie le droit d’accéder à leurs données ; le droit de refuser la vente de ces informations et le droit de demander leur suppression.
Le Nevada a également adopté sa propre loi sur la protection de la vie privée qui a pris effet le 1er octobre 2019. Même si cette loi est loin d’être aussi ambitieuse que la CCPA, elle donne néanmoins aux résidents du Nevada le droit de refuser la vente de leurs données à des tiers.
En matière de protection de la vie privée, il existe une certaine différence entre l’approche de l’UE et celle des Etats Unis. En général, les membres de l’UE perçoivent la vie privée comme un droit fondamental de l’homme où chaque individu est propriétaire de ses données. Par contre, les États-Unis ne la considèrent pas en tant que tel, et les entreprises considèrent qu’elles sont propriétaires des données personnelles qu’elles collectent.
C’est probablement pour cette raison que les États-Unis ont choisi de ne mettre en place aucune réglementation globale en matière de protection de la vie privée. Et lorsque le besoin s’en fait sentir, ils préfèrent plutôt créer des lois sur la protection de la vie privée en utilisant une approche sectorielle (santé, marketing, finances, etc.).
Mais, malgré ces approches fondamentalement différentes, les États-Unis tendent actuellement à se conformer au RGPD en réponse aux mesures imposées par l’UE.
Les entreprise américaines sont de plus en plus enclines à se conformer au RGPD
Une récente enquête menée par PricewaterhouseCoopers auprès de grandes multinationales américaines a montré que des efforts sont déjà en cours pour assurer le respect de cette réglementation européenne. Plus de la moitié des entreprises interrogées ont déclaré que la protection des données est désormais leur principale priorité, et 92 % d’entre elles ont déclaré que le respect de cette obligation est une priorité absolue cette année.
Le coût de la conformité est toutefois considérable. 77 % des entreprises sondées ont indiqué qu’elles prévoyaient dépenser plus d’un million de dollars pour se conformer à cette réglementation. L’un de leurs principaux postes de dépenses étant l’amélioration de leurs mesures de sécurité de l’information.
De nombreuses entreprises commencent à se demander comment le RGPD pourrait s’appliquer aux entreprises américaines. Une étude menée par NTT Security a révélé que trois quarts des entreprises américaines ignorent cette règlementation, car elles ne croient pas être concernées. L’ignorance pourrait s’avérer toutefois très coûteuse et, de surcroît, le temps presse.
Comment le RGPD s’applique-t-il aux sociétés américaines ?
L’objectif principal du RGPD est de donner aux citoyens de l’UE un plus grand contrôle sur la manière avec laquelle leurs données personnelles sont collectées, protégées et utilisées. Si la législation s’applique aux entreprises de l’UE, elle s’applique également à toute entreprise qui choisit de faire des affaires dans le territoire européen. Cela inclut toute entreprise en ligne qui possède un site web accessible aux citoyens de l’UE, au cas où ce site collecterait des données sur les utilisateurs.
Comme la définition des renseignements personnels comprend les identificateurs en ligne comme les cookies, le RGPD a donc des répercussions sur un grand nombre d’entreprises américaines.
Ce texte s’applique à toutes les entreprises qui font des affaires avec des personnes basées dans les États membres de l’UE, à l’exception des forces de l’ordre, ou lorsque des données sont collectées pour des activités de sécurité nationale.
Les sites e-commerce sont un excellent exemple d’une catégorie d’entreprises pouvant être situées en dehors de l’UE et qui peuvent être visées par le RGPD. Si une entreprise américaine, présente sur un site web, vend des produits à des citoyens de l’UE et expédie des articles en Europe depuis les États-Unis, elle doit respecter les normes stipulées dans le RGPD pour les données personnelles collectées dans le cadre de ce processus. Dans le cas contraire, elle risque une action coercitive avec des amendes potentielles à son encontre.
Sachez que le RGPD s’applique même si aucune transaction financière n’a lieu. C’est par exemple le cas lorsque l’entreprise américaine vend ou commercialise des produits via Internet à des citoyens de l’UE ; lorsque son site e-commerce possède un suffixe de domaine pour un pays de l’UE ou lorsqu’elle accepte la monnaie d’un pays de l’UE.
Pour continuer à exercer des activités commerciales dans l’UE, la plupart des entreprises devront donc mettre en œuvre des mesures supplémentaires de protection de la vie privée et adopter des stratégies de protection des données de bout en bout.
Que signifie exactement le terme « données personnelles » ?
Les lois américaines sur la notification des violations de données définissent ce terme comme le nom d’une personne accompagné d’un autre type d’informations d’identification telles qu’un numéro de sécurité sociale ou des informations sur un compte financier.
Pour l’UE, le sens d’une donnée personnelle va beaucoup plus loin. Selon la Commission nationale de l’informatique et des libertés (CNIL), elle peut être définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Les données personnelles peuvent ainsi inclure un large éventail d’informations (noms, adresses, numéros de téléphone, e-mails, informations bancaires, numéros de carte de crédit, informations médicales, messages sur les plateformes de médias sociaux, etc.
Même si des contrôles ont été mis en place pour assurer la sécurité des données personnelles que vous collectez, il peut s’avérer nécessaire de réviser vos systèmes afin de vous assurer que des protections suffisantes sont en place pour se conformer au RGPD.
Obligations des entreprises selon les termes du RGPD
Les entreprises doivent savoir où les données sont stockées et les employés doivent être formés pour s’assurer qu’ils sont conscients de leurs responsabilités quant à l’utilisation de ces données.
Les organisations devront fournir aux clients ainsi qu’aux visiteurs de site Web des renseignements détaillés sur la façon de collecter et d’utiliser les données. Le consentement doit être obtenu de l’utilisateur (ou bien du parent ou du gardien d’un mineur) avant la collecte des données.
Les entreprises doivent avoir une raison légitime et légale et se limiter au minimum d’informations nécessaires lorsqu’elles recueillent les données. Celles-ci doivent également être effacées lorsque l’objectif a été atteint.
Si leurs activités principales sont la collecte, le stockage ou le traitement des données, les organisations doivent nommer un délégué à la protection des données qui connaît bien le RGPD et qui en surveillera la conformité. Cette personne doit également avoir une connaissance approfondie de l’infrastructure organisationnelle et technique de l’entreprise. Par ailleurs, elles doivent mettre en œuvre des politiques, procédures et technologies appropriées pour garantir que les données des citoyens de l’UE puissent être effacées définitivement. Le droit à l’oubli (appelé « droit à l’effacement ») fait partie du droit à la liberté d’expression.
Consentement, droit à l’oubli et droit à l’effacement
La législation que le RGPD a remplacée n’exigeait pas l’effacement des données que lorsqu’elles causaient des dommages importants. Toutefois, à partir de l’année prochaine, un citoyen de l’UE peut demander que toutes les données collectées à son sujet soient effacées définitivement si les informations ne sont plus nécessaires aux fins pour lesquelles elles ont été initialement collectées.
Les données doivent également être effacées si le consentement concernant leur utilisation est retiré, ou encore si le traitement des données est considéré comme illicite et contreviennent au RGPD.
De nombreuses entreprises américaines ont déjà mis en place des technologies qui respecteront les exigences du RGPD, mais l’exigence relative au droit d’effacement pourrait poser problème.
Symantec a récemment mené une enquête qui a révélé que 9 entreprises sur 10 craignaient de ne pas être en mesure de se conformer à l’exigence du droit à effacement comme stipulé par le RGPD. Seulement 4 entreprises sur 10 disposent d’un système en place qui pourrait permettre de supprimer toutes les données collectées.
A ceux-ci s’ajoutent d’autres droits des personnes concernées comme les droits à la portabilité et d’opposition au traitement des données ; le droit d’information et de demande de copie des informations personnelles détenues par votre entreprise, etc.
Quelques conseils pour la mise en conformité avec le RGPD
Le respect du RGPD peut sembler difficile, mais en procédant étape par étape, votre organisation pourrait bientôt être sur la voie de la conformité.
Dans un premier temps, rappelez-vous que l’objectif n’est pas d’atteindre la conformité totale. Le simple fait de montrer un effort – comme l’élaboration d’un plan – pourrait déjà suffire à tenir les organes régulateurs à distance.
Ensuite, vous aller effectuer une évaluation des risques ; déterminer les éléments les plus risqués concernant le traitement des données personnelles que vous disposez et commencer à y travailler.
Surtout, ne paniquez pas !
Le RGPD est complexe et sa portée est grande. Il peut être difficile à gérer pour les entreprises, notamment les PME. L’astuce est de décomposer le processus en plusieurs éléments que vous pourrez gérer plus facilement, en accomplissant une petite tâche à la fois.
En fait, le processus de mise en conformité devrait être considéré comme une progression, plutôt qu’une liste de tâches à faire que vous devez rayer d’un seul coup.
Evaluez les risques
L’évaluation des risques est un bon point de départ. Cela vous permet d’identifier les domaines les plus vulnérables pour votre entreprise, c’est-à-dire ceux dans lesquels vous risquez d’enfreindre les règles du RGPD.
Ce faisant, vous allez classer par ordre de priorité les éléments à traiter en premier, en commençant par ceux qui sont les plus risqués. Par exemple, si votre sécurité est insuffisante, vous devriez renforcer vos défenses afin d’éviter les violations de données.
Lors de cette étape, il est plus judicieux de travailler avec un consultant en conformité avec le RGPD.
Comprenez les données et la raison pour laquelle vous les collectez
C’est aussi un élément important du RGPD. En fait, vous devez avoir une image complète des données collectées par votre organisation et les raisons pour lesquelles vous le faites. Assurez-vous que les consommateurs peuvent recevoir une copie de leurs données en cas de besoin, et que vous êtes en mesure de les supprimer ou de les modifier si leurs propriétaires le demandent. Par ailleurs, vous devez savoir comment les données sont stockées ; pourquoi elles sont utilisées et où elles sont partagées.
Établissez un programme de gouvernance formel
A ce stade, vous devriez avoir mis au point un processus interne de mise en conformité avec le RGPD. Par la suite, vous allez établir un programme de gouvernance formel qui vous aidera à démontrer vos efforts aux autorités de réglementation. La nomination d’un responsable de la protection des données pourrait être nécessaire pour superviser la collecte et le traitement des données.
Etant donné que la conformité au RGPD est un processus continu et que chaque texte de loi adopté ou proposé peut comporter d’autres exigences spécifiques, votre entreprise est donc censée faire beaucoup de choses. Mais n’oubliez pas que vous pouvez commencer à travailler à la mise en conformité même si vous ne connaissez pas encore tous les détails.
Ainsi, vous pouvez réduire votre risque d’enfreindre les textes stipulés par le RGPD. Dans le pire des cas, vous pourrez démontrer aux organes régulateurs que vous avez fait un effort de bonne foi pour protéger les données que vous avez collectées.
Le mot de la fin
Pour les entreprises américaines, la protection de la confidentialité des données personnelles des citoyens européens relève du bon sens, mais elle peut les aider à construire une marque de confiance.
En plus de la préparation au RGPD et la mise en œuvre des mesures d’application, votre entreprise devrait surveiller de près le Comité européen de la protection des données (CEPD), une institution qui remplace l’ancien groupe de l’article 29 et dont la mission principale est de veiller à l’application du RGPD dans tous les pays membres de l’UE.
Le CEPD pourrait publier de nouvelles directives ; des clarifications réglementaires supplémentaires et des documents d’orientations générales pour clarifier les dispositions européennes en matière de protection des données. Grâce à ces ressources, vous pourrez avoir une interprétation plus cohérente de vos droits et obligations.
Bien entendu, le RGPD n’est qu’une sorte de catalyseur qui a donné le coup d’envoi à de nombreuses lois mondiales sur la protection des données. Votre entreprise devrait donc suivre ces évolutions si elle veut prendre de l’avance, en investissant dans les flux de données dont vous disposez déjà.
Enfin, que votre organisation soit basée aux Etats-Unis, en Europe ou partout dans le monde, n’évitez pas la mise en conformité au RGPD et ne la remettez pas à demain. Commencez tout simplement !
Le ransomware Locky a fait l’objet d’une distribution effrénée ces derniers temps et il cherche de nouvelles façons d’atteindre des taux d’infection encore plus élevés. Ce malware se concentre sur le changement de tactique ; sur l’expérimentation de nouvelles extensions et sur le développement de nouveaux appâts pour inciter les utilisateurs qui ne se doutent de rien à cliquer sur des liens malveillants. Dans leur dernière vague de spam, les cyberattaquants ont utilisé Dropbox pour distribuer cette célèbre souche de ransomwares.
Qu’est-ce que Dropbox ?
Dropbox est un service de partage et de stockage de fichiers basé dans le cloud. Comme il est très populaire, les cybercriminels profitent de sa notoriété pour mener différentes sortes d’attaques via le web.
Cette plate-forme de partage de fichiers est considérée comme une incroyable réussite technologique. Il n’est donc pas surprenant qu’actuellement, elle compte plus de 500 millions d’utilisateurs enregistrés et que, chaque jour, plus de 1,2 milliard de fichiers soient téléchargés sur la plateforme, aussi bien par des particuliers que par les professionnels dans le monde entier.
Tout cela fait de Dropbox un outil très familier pour les internautes. Depuis sa création en 2007, les gens l’utilisent quotidiennement pour améliorer leurs communications et pour stocker différents documents et fichiers. Cela a créé un sentiment de confiance entre la marque et ses utilisateurs. Ces derniers confient à Dropbox certaines de leurs données les plus personnelles et le considèrent comme un canal de communication efficace pour le partage d’informations sensibles avec d’autres parties.
En dépit de la présence prolifique de Dropbox dans notre vie personnelle et professionnelle, il se trouve actuellement dans la ligne de mire des pirates informatiques. Si on ajoute à cela la confiance que nous accordons à la plate-forme, le fait qu’elle peut communiquer avec nous directement via nos boîtes aux lettres électroniques, et le fait qu’il est désormais possible de communiquer plus facilement avec nos contacts via ce service, on obtient la combinaison parfaite pour que les pirates puisse mener des attaques de phishing et de ransomware réussies.
Comment un ransomware infecte-t-il votre ordinateur via Dropbox ?
Les attaques de phishing
Il existe deux principaux types d’attaques de phishing par Dropbox. La première consiste à envoyer un lien qui demande aux utilisateurs de vérifier leur adresse électronique. En cliquant sur le lien, ils sont dirigés vers un site Web Dropbox usurpé qui ressemble de près au site Web officiel. Ils sont ensuite invités à entrer leurs identifiants de connexion dans le cadre du processus de confirmation.
Une autre arnaque de phishing a également été signalée par Symantec. Lors de cette attaque, un utilisateur a reçu un e-mail qui ressemble beaucoup aux messages envoyés par le service d’assistance de Dropbox. L’e-mail prévient la victime qu’un fichier trop lourd pour être envoyé par e-mail a été envoyé via Dropbox. Il invite donc ce dernier à cliquer sur un lien pour y accéder. Une fois qu’il clique sur le lien, il est dirigé vers une fausse page Dropbox. Ironiquement, la page frauduleuse est hébergée au sein même de Dropbox et demande à l’utilisateur de se connecter. Lorsqu’il saisit ses informations d’identification, celles-ci sont ensuite volées par le cybercriminel.
Dans d’autres attaques, le cybercriminel propose aux utilisateurs de Dropbox de s’y connecter en utilisant des sites sociaux tels que Google et Outlook afin de pouvoir récolter d’autres informations d’identification. Une fois en possession de ces informations confidentielles, il dispose de l’accès au compte Dropbox de l’utilisateur qui, quant à lui, sera en même temps redirigé vers la véritable plate-forme.
Ces types d’arnaques reposent généralement sur quatre éléments, à savoir la familiarité des utilisateurs avec la plate-forme, la confiance qu’ils accordent au service Dropbox, leur curiosité à vouloir découvrir le fichier mystère envoyé par les pirates et, souvent, le sentiment d’urgence intégré à l’e-mail. Bref, les pirates tentent d’utiliser votre propre psychologie contre vous pour vous inciter à vous comporter d’une certaine manière.
Les attaques de malwares
Les attaques de phishing par Dropbox sont également utilisées pour diffuser des malwares tels que les chevaux de Troie bancaires et les ransomwares. Un lien est envoyé aux utilisateurs concernant un fichier partagé. Lorsque ces derniers cliquent sur le lien fourni, ils téléchargent un malware, au lieu d’accéder au document.
Cette tactique utilise à nouveau la confiance des internautes comme levier pour mener une attaque de phishing. Elle consiste à utiliser une autre entreprise de confiance dans le but de susciter un comportement spécifique de la victime.
Un exemple de cette arnaque est la récente attaque de phishing qui utilisait une fausse version du site web du Better Business Bureau. La plate-forme malveillante a envoyé des e-mails à des personnes qui semblaient avoir été envoyés par le FBI. Le message demandait à l’utilisateur de cliquer sur un lien qui le redirigeait vers un faux site Dropbox. Sur le site, un fichier contenant un malware ou un ransomware était fourni. Si l’utilisateur télécharge le fichier, le malware pouvait donc s’installer sur son ordinateur.
Les cybercriminels peuvent utiliser différentes variantes d’attaques de malwares. Pour augmenter leur chance de réussir, ils peuvent ajouter un certain degré d’urgence dans un faux courriel ; associer cette urgence à une peur (perte financière, compromission d’un compte, etc.,) ; ou ajouter une marque connue et de confiance.
Rappelons qu’en septembre 2016, un hôpital a été infecté par Locky qui s’est propagé via de fausses factures Microsoft Word. Lorsqu’une personne peu méfiante a tenté de télécharger la facture, elle a été invitée à activer des macros. Une fois activées, les macros commençaient à télécharger et à exécuter un chiffrement qui verrouillait le système informatique. Les conséquences d’une telle attaque sont énormes pour les hôpitaux, car elle peut affecter des milliers de dossiers privés.
Locky se propage via une campagne massive de spams
Au cours des derniers jours, il y a eu une campagne massive utilisant ces deux méthodes d’attaque impliquant des millions de spams. La semaine dernière, plus de 23 millions de messages ont été envoyés en une seule journée.
La plupart des emails distribuaient des ransomwares Locky, et un plus petit pourcentage servait à diffuser des ransomwares Shade. Il n’y a pas un outil de déchiffrement gratuit disponible pour déverrouiller les fichiers chiffrés par les ransomware Locky et Shade. Si les fichiers ne peuvent pas être récupérés à partir des sauvegardes, les victimes devront creuser profondément.
En tant qu’arme de choix pour la cybercriminalité, les ransomwares ne cessent de prendre de l’ampleur. Désormais, ils peuvent être lancés même par des personnes qui n’ont que peu d’expérience en informatique. De plus, les cybercriminels amateurs peuvent embaucher des pirates sur le Dark Web et lancer des logiciels de phishing auto-exécutoires, capables de répliquer d’eux-mêmes.
Locky peut brouiller tous vos fichiers
Une fois qu’il a infecté votre machine, le ransomware peut bloquer tous vos fichiers, y compris les images, les vidéos, les codes sources et les fichiers Office. Il peut même brouiller votre fichier wallet.dat, c’est-à-dire votre portefeuille Bitcoin, si vous en avez un. En d’autres termes, si vous avez plus de Bitcoins dans votre portefeuille que le prix de la rançon, il est fort probable que vous allez payer.
Locky peut aussi supprimer les fichiers VSS (Volume Snapshot Service), connus sous le nom de copies d’ombre. Les fichiers VSS sont un moyen de faire des snapshots de sauvegarde en direct sur Windows sans avoir à arrêter de travailler, car vous n’avez pas besoin de vous déconnecter ni de fermer vos applications. Il s’agit donc d’une alternative rapide et populaire et d’une procédure de sauvegarde très prisée.
Enfin, sachez que Locky peut chiffrer les fichiers dans n’importe quel répertoire sur n’importe quel disque monté sur votre appareil, y compris les disques amovibles, les serveurs, etc. Si vous vous connectez en tant qu’administrateur réseau, vous pourriez être victime d’une demande de rançon et l’attaque pourrait causer des dommages très importants.
Une fois que Locky s’apprête à vous demander la rançon, il s’assure que vous voyez le message en changeant le fond d’écran de votre ordinateur. Si vous cliquez sur le lien intégré au message, alors, vous recevez les instructions de paiement via le Dark Web. Malheureusement, si vous ne payez pas, vous ne pourrez pas récupérer vos données au cas où vous n’auriez pas réalisé une sauvegarde récente.
Les coûts peuvent être énormes
Une récente étude publiée par Exabeam met en avant la tendance récente dans le paysage des ransomwares. La société a observé qu’au cours de la campagne de recherche qu’elle a menée, le prix des ransomwares a considérablement augmenté.
Il y a quelques mois, au moment de la rédaction du rapport, la rançon moyenne pour chaque machine infectée était évaluée à 0,5 jusqu’à 1,25 Bitcoins, soit l’équivalent de 3693 à 9232 euros. Cependant, étant donné que les ransomwares ont connu un grand succès, leurs prix ont fortement grimpé. Par exemple, la rançon exigée par Cerber, un ransomware populaire, a grimpé d’environ 1,25 à 2 Bitcoins, soit environ 9232 à 14771 euros. Pendant la même période, une attaque réussie via Locky était évaluée à 0,5 à 5 Bitcoins, soit environ 3692 plus de 36928 euros.
En raison de l’augmentation de la valeur du Bitcoin ces derniers temps, le coût de la récupération est considérable. Les acteurs malveillants à l’origine de ces attaques exigent 0,5 Bitcoin par dispositif infecté (environ 3693 euros). Pour une entreprise où plusieurs appareils ont été infectés, la récupération des données pourrait donc coûter des dizaines, voire des centaines de milliers d’euros.
Selon F-Secure, la majorité des spams malveillants détectés récemment (90 %) sont utilisés pour distribuer Locky. D’autres chercheurs en sécurité ont publié des rapports similaires, faisant état d’une recrudescence des infections Locky et des campagnes de spam par email.
Comment savoir si un e-mail provient réellement de Dropbox ?
Les e-mails envoyés officiellement par Dropbox n’apparaîtront que sur ou à partir de l’un de noms de domaine Dropbox comme dropbox.com ou dropboxmail.com. Mais pour être certain, vous pouvez consulter les en-têtes complets du message pour savoir s’il provient ou non d’une adresse falsifiée.
Gmail
Avant d’ouvrir l’e-mail, cliquez sur « … » (Plus) dans le coin supérieur droit.
Cliquez sur « Afficher l’original ».
Vérifiez l’adresse e-mail sous De : …
Yahoo Mail
Avant d’ouvrir l’e-mail, cliquez sur (Plus).
Cliquez sur « Afficher le message brut ».
Vérifiez l’adresse e-mail sous De :…..
Microsoft Outlook
Double-cliquez sur l’email afin qu’il s’ouvre dans une nouvelle fenêtre.
Sélectionnez l’onglet « Fichier » et cliquez sur « Propriétés ».
Web uniquement : cliquez sur « Détails du message » (une enveloppe sur laquelle se trouve un petit document)
Vérifiez l’adresse e-mail sous De :….
Apple Mail
Faites un clic droit avec votre souris sur l’e-mail et sélectionnez « Afficher la source dans le menu contextuel ».
Vérifiez l’adresse e-mail sous De :….
Ces quelques astuces vous permettront de reconnaitre si le message provient réellement de dropbox.com, de dropboxmail.com ou non.
N’oubliez pas de signaler le mail suspect à Dropbox
Si vous avez reçu un e-mail suspect, il est recommandé d’envoyer le message complet à abuse@dropbox.com. De même si vous recevez un lien suspect, envoyez-le à cette adresse en incluant une description de la manière dont vous avez reçu l’URL complète du lien.
Vous pouvez également contacter l’équipe Dropbox pour d’autres informations à abuse@dropbox.com. Au cas où une éventuelle violation de la politique d’utilisation serait constatée (telle qu’une attaque de phishing, de spamming ou de malwares), l’équipe Dropbox prendra immédiatement les mesures nécessaires.
Que faire si vos fichiers ont été corrompus par un ransomware ?
Si votre compte Dropbox a été infecté par un ransomware, vous pouvez adopter quelques mesures pour vous assurer de sa sécurité. Et si vous n’utilisez pas encore ce service, découvrez comment Dropbox peut faciliter la récupération de vos fichiers.
1. Déconnectez-vous à distance de vos appareils
C’est la première chose que vous devez faire si vous ne savez pas quel appareil est infecté par un malware tel que Locky.
2. Restaurez vos fichiers ou dossiers
Si vous voulez restaurer un fichier individuel, vous devez accéder à la page de l’historique des versions dudit fichier, puis sélectionner une version du fichier qui a été sauvegardée avant l’attaque de ransomware. Ce faisant, vous n’avez plus qu’à cliquer sur restaurer.
Il est également possible de restaurer un grand nombre de fichiers sur Dropbox. Le moyen le plus simple étant d’utiliser Dropbox Rewind. Cette fonctionnalité vous permet de rétablir l’intégralité de votre compte ou d’un dossier. Pour ce faire, vous devez remonter le temps jusqu’au moment qui a précédé l’attaque de ransomware. A noter que option est réservée aux utilisateurs de Dropbox Family, Dropbox Plus, Dropbox Professional et Dropbox Business.
3. Connectez-vous à votre appareil
Avant de faire cela, il est recommandé de vérifier que votre appareil n’est pas infecté par un malware. Ensuite, vous devez supprimer le dossier Dropbox contenant les fichiers chiffrés. Lorsque vous vous reconnectez à votre appareil, assurez-vous de ne télécharger que les fichiers récupérés et non chiffrés auprès de Dropbox.
Comment éviter les attaques de ransomwares ?
Pour prévenir les attaques de Locky, les entreprises doivent installer une solution avancée de filtrage de spams afin d’empêcher les emails malveillants d’être envoyés dans les boîtes de réception des utilisateurs finaux. Il est également important que tous les utilisateurs reçoivent une formation de sensibilisation à la sécurité pour les aider à identifier les emails malveillants.
Un filtre web peut éventuellement être très efficace pour bloquer les tentatives de visite de sites web malveillants où des malwares pourraient être téléchargés. Par ailleurs, le fait d’actualiser les solutions antivirus et antimalware permet de détecter et de mettre en quarantaine les fichiers malveillants avant leur ouverture.
Des sauvegardes de toutes les données et de tous les systèmes devraient aussi être effectuées. Celles-ci devraient être stockées sur un dispositif isolé. Les variantes de ransomware telles que Locky peuvent supprimer les copies Windows Shadow Volume et, si un périphérique de sauvegarde reste connecté, il est probable que les fichiers de sauvegarde risquent également d’être chiffrés par les pirates informatiques.
Les meilleures pratiques pour la sauvegarde des données impliquent la création de trois fichiers de sauvegarde sur deux supports différents, avec une copie stockée hors site et hors ligne. Les sauvegardes doivent également être testées pour s’assurer que les fichiers peuvent être restaurés en cas de sinistre.
L’augmentation des attaques de ransomwares a incité le National Institute of Standards and Technology (NIST) à élaborer de nouvelles directives (NIST SPECIAL PUBLICATION 1800-11) sur la récupération des données suite à des attaques de ransomwares et d’autres sinistres. Les lignes directrices de ces directives peuvent être téléchargées ici.
Conclusion
Il faut reconnaître que les cybercriminels sont de plus en plus ingénieux et ils ne cessent de trouver différents moyens de vous envoyer vers des faux sites web, mais qui sont plus vrais que nature. Ils utilisent la renommée de grands groupes pour tenter de vous duper, d’infecter vos appareils ou votre réseau par des malwares, ou encore de dérober vos données sensibles.
Dans ce dossier, nous avons parlé d’une infection par Locky, une menace que vous devez craindre si vous êtes un utilisateur de la plate-forme Dropbox. La raison est simple : Dropbox est actuellement l’un des moyens préférés des internautes pour sauvegarder des fichiers ; sa flexibilité ainsi que ses capacités de synchronisation font de lui une solution attrayante, mais il est aussi la cible de prédilection des pirates informatiques.
Faites des efforts supplémentaires pour protéger vos fichiers et données sensibles. Formez vos collaborateurs pour qu’ils puissent identifier les menaces de malwares et prendre les mesures adaptées en cas d’attaques cybercriminelles. Enfin, mettez en place un filtre Internet et une couche de protection supplémentaire pour éviter les attaques de phishing lancées via le web et le courrier électronique.
