La plupart des détaillants luttent contre la baisse du trafic dans les magasins et la réticence des consommateurs à dépenser. En plus de ces préoccupations, le détaillant « Target » doit également faire face aux conséquences négatives de la récente violation de données à son encontre.
Depuis la violation de la sécurité commise envers Target, un premier sondage de suivi trimestriel a été mené auprès de ses consommateurs par Cowen & Co. Cette enquête a révélé des « diminutions significatives » de la satisfaction de la clientèle d’une année à l’autre, tant au niveau de l’expérience d’achat que pour le service à la clientèle.
L’image de marque et la réputation d’une entreprise sont « inextricablement liées ». Celles de votre entreprise pourraient-elles résister à une fuite de données?
Il y a beaucoup à perdre si votre entreprise subit une fuite de données. Une étude menée récemment par le Ponemon Institute auprès de 850 cadres supérieurs a révélé que 44% des entreprises peuvent avoir besoin de 10 mois à 2 ans pour rétablir leur réputation suite à une violation des données des clients.
Un tel incident a des effets à long terme sur la valeur d’une marque et il est donc important de savoir quel type de perte de données a le plus grand impact sur la réputation : les données des clients, les données financières ou les données des employés.
Selon l’étude, les organismes victimes de ce genre d’attaque ont perdu entre 184 et 330 millions de dollars en valeur de leurs marques. Au mieux, elles ont perdu 12 % de la valeur de leur marque avant l’atteinte.
Les plus grands scandales en matière de fuites de données
Les fuites et violations de données touchent non seulement les PME, mais aussi les plus grandes entreprises comme Yahoo, Facebook, et Marriott Hotels. L’intrusion dans ces grandes marques rappelle qu’après des années d’attaques qui font la une des journaux, même les réseaux informatiques les plus sophistiqués sont toujours vulnérables.
Prenons l’exemple de Yahoo. La marque a connu la plus grande violation de données de l’histoire en 2013. Cependant, il a fallu encore trois ans après la fuite des informations pour que la marque découvre la mésaventure. C’est le directeur du renseignement de la société de cybersécurité InfoArmor, Andrew Komarov, qui a découvert cette violation de données au moment où il aidait encore l’entreprise à faire face à une autre attaque en 2016. Lorsqu’Andrew Komarov essayait de démonter les données volées, il a décelé quelques indices concernant la brèche de 2013. Il a remarqué qu’en août 2015, un cybercriminel proposait environ 300 000 dollars pour une liste de plus d’un milliard de comptes Yahoo. La marque a vu ses revenus s’effondrer lorsqu’elle a rendu publique la violation de données. Pour faire face à cet incident, Yahoo a recommandé à ses utilisateurs de réinitialiser leur mot de passe et de renouveler les questions de sécurité. Suite à cela, la valeur de Yahoo a baissé de 350 millions de dollars, tandis que le cours de son action a chuté de 3 %. Sans oublier les litiges réglementaires et civils auxquels la marque s’est heurtée pour ne pas avoir divulgué la brèche en temps voulu.
Le géant Facebook a également connu le même sort en 2019. Les numéros de téléphone de 20 % des utilisateurs de cette plateforme de réseautage social – soit environ 419 millions d’abonnés – ont été divulgués, même si Facebook lui-même n’a pas été piraté. Les bases de données contenaient des informations sur les utilisateurs de la marque lorsqu’elle permettait encore aux développeurs d’accéder à leurs numéros de téléphone. Les informations sensibles comprenaient des enregistrements sur plusieurs millions d’utilisateurs de Facebook dans de nombreux sites géographiques, dont 18 millions au Royaume-Uni, plus de 50 millions au Vietnam et 133 millions aux États-Unis. Selon la marque, la cause de cette fuite de données est que les informations en question n’étaient pas protégées par un mot de passe ou un quelconque chiffrement. Toute personne effectuant une recherche sur le web pouvait donc les trouver et y accéder.
En 2018, le système de réservation de Marriott Hotels a été ciblé par des cybercriminels. Marriott International a révélé que des pirates informatiques avaient violé son système de réservation dénommé Starwood dans le but de voler ensuite les données personnelles d’environ 500 millions d’hôtes. Les noms, dates de naissance, adresses, adresses électroniques, numéros de téléphone, et d’autres informations chiffrées de cartes de crédit des clients de l’hôtel ont été volés, de même que l’historique des voyages ainsi que les numéros de passeport de certains clients. A l’issue d’une enquête, la marque a découvert que le réseau Starwood avait été compromis en 2014, au moment où elle était encore une entité distincte avant sa fusion avec Marriott.
Les concurrents ne manquent pas pour attirer vos clients insatisfaits à la suite d’une atteinte à la sécurité
Larry Ponemon, président et fondateur de Ponemon Institute, a déclaré : « La perte ou le vol de données sensibles des clients, comme l’indique notre étude, peut avoir un impact sérieux sur la valeur économique de la réputation d’une entreprise. Nous pensons que cette étude souligne l’importance de prendre des mesures pour réduire la probabilité d’une fuite de données. »
Les rapports qui ont fait état d’atteintes à la protection des données et qui ont touché certaines des plus grandes entreprises d’aujourd’hui continuent de faire les gros titres des actualités dans le monde entier. Toutes les organisations sont vulnérables face à cette menace, mais bon nombre d’entre elles ne sont ni préparées ni équipées pour gérer les conséquences.
Si une entreprise est victime d’une fuite de données, il peut être très difficile de réparer et de corriger des erreurs antérieures pour regagner la confiance de ses clients. Lorsque l’équilibre de la confiance est compromis, reste à voir si cette confiance pourra un jour être pleinement rétablie.
Dans les secteurs concurrentiels et dans l’environnement commercial actuel, caractérisé par un rythme rapide et impitoyable, les concurrents prêts à attirer des clients insatisfaits à la suite d’une atteinte à la sécurité ne manquent pas.
La relation entre la réputation et les résultats financiers est étroitement liée, comme l’a démontré la violation de données très médiatisée contre Sony. Celle-ci a permis aux criminels d’accéder à 20 millions de comptes, dont des adresses électroniques, des numéros de téléphone, des mots de passe et, dans certains cas, des numéros de carte de crédit.
Une grande partie de ces informations était en vente dans plusieurs forums sur la cybercriminalité. Suite à cette infraction, Sony a dû payer plusieurs amendes substantielles, causant de graves dommages à la marque.
Tout ce qui peut ternir une marque affectera en fin de compte les résultats financiers d’une entreprise, car une réputation ternie peut directement entraîner une réduction de la clientèle, des litiges coûteux et une réduction du chiffre d’affaires.
Tout ce qui peut ternir une marque affectera les résultats financiers d’une entreprise
Selon Ronan Kavanagh, PDG de TitanHQ, « Si vous êtes responsable d’un grand nombre de paiements par carte et de détails de connexion, la sécurité des données personnelles doit être votre priorité. Les chefs d’entreprise doivent prendre des mesures de précaution pour se protéger, protéger leurs clients, leurs employés et leur propriété intellectuelle contre les atteintes à la protection des données ».
De nombreuses entreprises ont eu des failles de sécurité et des faiblesses dans leurs systèmes, mais elles ont réussi à minimiser la gravité de l’incident grâce à une défense solide et en mettant en œuvre — et en priorité — des processus de sécurité proactifs.
La façon dont une entreprise est perçue par les consommateurs peut finalement mener à son succès ou à son échec. Une fuite de données peut rapidement mettre en cause la qualité et l’intégrité d’une entreprise, de ses produits et des services qu’elle propose, et ce, quelle que soit la durée de son activité. Il est donc temps que les entreprises adoptent une approche proactive en se demandant comment elles peuvent se protéger contre la divulgation des données sensibles.
Les causes les plus fréquentes des fuites et des violations de données
Il ne se passe pas un jour sans qu’un gros titre ne vienne annoncer qu’une entreprise a été victime d’une fuite ou d’une violation de données, mettant ainsi ses clients et partenaires en danger. Pour éviter cela, vous devez comprendre les causes les plus courantes des fuites et violations de données et comment vous pouvez faire pour atténuer les risques qu’elles représentent.
Utilisation d’identifiants et de mots de passe faibles
Les attaques des pirates informatiques sont sans aucun doute la cause la plus fréquente d’une violation de données, et pour ce faire, ils exploitent une vulnérabilité qui est souvent un mot de passe faible ou perdu. La solution la plus simple pour éviter cela est d’utiliser des mots de passe complexes et de ne jamais les partager avec d’autres personnes. Il est également recommandé d’utiliser l’authentification multifacteurs.
Portes dérobées, vulnérabilités des applications
Si vous êtes un cambrioleur, pourquoi prendre la peine d’enfoncer la porte quand elle est déjà ouverte ? De même, les cybercriminels adorent exploiter les applications logicielles qui sont mal écrites ou les systèmes de réseau mal conçus. Ces applications créent des brèches via lesquelles ils peuvent se faufiler et accéder directement à vos données sensibles. Comme solution, vous pouvez essayer de maintenir toutes vos solutions logicielles et matérielles corrigées et à jour.
Malwares
L’utilisation de malwares directs et indirects ne cesse d’augmenter. Par définition, un malware est un logiciel malveillant qui ouvre l’accès à un cybercriminel pour lui permettre d’exploiter un système et d’autres appareils connectés à votre réseau. Pour éviter la fuite de données à cause d’une attaque de malware, méfiez-vous de l’accès à des sites web qui ne sont pas ce qu’ils semblent être et n’ouvrez pas les e-mails dont vous ne connaissez pas l’origine. Ces deux méthodes sont parmi les plus populaires que les pirates utilisent pour diffuser des malwares.
Ingénierie sociale
Pour un pirate informatique, rien ne sert de se créer son propre point d’accès à exploiter s’il peut persuader d’autres personnes ayant un droit plus légitime sur les données qu’il recherche de le créer pour lui. En fait, l’ingénierie sociale se sert des comportements des utilisateurs (anxiété, confiance, fierté, respect, reconnaissance, serviabilité, etc.) dans le but de s’emparer de leurs données sensibles ou de leurs accès informatiques. Par exemple, si on vous demande de léguer une somme de 1 million d’euros à une personne que vous n’avez jamais rencontrée pour qu’elle puisse vous donner son héritage qui vaut 10 millions d’euros en retour, le feriez-vous ? Seriez-vous prêts à lui fournir vos informations personnelles pour qu’elle puisse vous envoyer l’argent qu’il vous a promis ?
Trop de permissions
Les autorisations d’accès trop complexes sont une aubaine pour les pirates. En fait, les entreprises qui ne contrôlent pas étroitement qui a accès à quoi au sein de leur réseau informatique sont susceptibles de fournir les mauvaises autorisations aux mauvaises personnes ou de laisser des autorisations obsolètes à la disposition d’un pirate informatique qui n’hésitera pas à les exploiter. Pour éviter une telle situation, utilisez un système d’autorisation d’accès simple, mais sécurisé.
Attaques physiques et sinistres
Les fuites de données peuvent également être le résultant d’un bâtiment mal sécurisé. Les pirates ne se contentent pas de rester assis dans leurs chambres dans des pays lointains. Certains d’entre peuvent se présenter comme une personne de confiance qui disposent d’une autorité plausible qui leur donnent le pouvoir de s’introduire dans votre bâtiment et dans vos systèmes informatiques. Pour éviter les fuites de données, vous devez donc être toujours vigilant, en faisant attention à tout ce qui semble suspect et de le signaler.
Menaces de l’initié
Il n’est pas rare qu’un employé malhonnête, un partenaire mécontent ou simplement un utilisateur de votre réseau qui n’est pas assez intelligent ait déjà reçu l’autorisation d’accéder à vos données sensibles. Rien ne l’empêche donc de copier, de modifier, voire de voler ces informations. Comme solution, vous devez savoir à qui vous avez affaire et agir rapidement dès qu’il y a un soupçon de problème. Couvrez le tout par des processus et des procédures sécurisées, soutenus par une formation.
Bon à savoir : comme vous pouvez le constater, il existe trois catégories de fuites de données. D’une part, elles peuvent être interceptées lors de leur déplacement (données en transit) par le biais des e-mails, des discussions en ligne, du trafic Internet, etc. D’autre part, les données peuvent être capturées lorsqu’elles sont au repos, dans les disques durs d’un ordinateur portable, dans votre serveur interne, etc. Enfin, les fuites de données peuvent se produire lorsque les informations sont en cours d’utilisation, par exemple à partir des captures d’écran, des imprimantes, des blocs-notes, des clés USB et d’autres supports de stockage amovibles.
En tant qu’entreprise, il importe de décomposer chaque catégorie et de créer une liste des endroits où vous stockez vos données avant de les attribuer à l’une des trois catégories. Vous pouvez ensuite classer les données dans chaque emplacement (par exemple, en fonction du niveau de sensibilité et des risques de fuites). Une fois que vous aurez compris quelles sont les informations dont vous disposez, ainsi que les risques auxquels vous êtes confronté, vous pourrez commencer à réfléchir aux contrôles et à la sécurisation de vos données afin de réduire les risques de fuites ou de violations.
Comment assurer la sécurité de vos données sensibles ?
La chose la plus importante que vous devez faire est de vous focaliser sur la prévention des fuites de données ou DLP (Data Leak Prevention). La DLP est une stratégie visant à s’assurer que vos informations sensibles ne quittent pas votre réseau d’entreprise. Il peut s’agir d’une solution ou d’un processus destiné à identifier et à suivre le parcours de vos données sensibles, ou à appliquer des politiques visant à empêcher toute divulgation non autorisée ou accidentelle.
De nombreuses entreprises décident d’entreprendre un projet DLP pour protéger leur propriété intellectuelle ou les données de leurs clients. Mais la complexité de la tâche et les ressources nécessaires pour la mener à bien et la maintenir font que le projet n’aboutit souvent jamais. Voici donc quelques mesures que vous pouvez mettre en œuvre dans le cadre d’un projet DLP.
Chiffrement
Vous devez chiffrer toutes les informations sensibles qui quittent votre réseau. Pour ce faire, vous pouvez mettre en place des systèmes logiciels, plutôt que de vous fier uniquement à vos employés. Il suffit d’une clé USB, d’un téléphone ou d’un ordinateur portable perdu et non sécurisé pour porter un coup dur à votre entreprise.
Protection des points finaux
Les terminaux de données sont constitués par les différents appareils utilisés par vos employés, tels que les ordinateurs portables, les ordinateurs de bureau ou les téléphones mobiles. C’est sur ces appareils que résident ou transitent vos données sensibles et la propriété intellectuelle de votre entreprise. Vous devez donc mettre en place des solutions pour protéger vos points finaux afin que vos administrateurs système puissent contrôler les appareils utilisés sur votre réseau. De cette manière, ils sauront quand (et par qui) ces appareils ont été utilisés, et quelles informations ont été consultées ou téléchargées. En même temps, votre entreprise doit mettre en place des politiques de sécurité qui régit l’utilisation de ces appareils.
Contrôle du contenu des e-mails
Si vous et vos employés envoient souvent des informations et des documents confidentiels par mail le risque de fuite de données peut donc être élevé. L’utilisation du filtrage du contenu des e-mails vous permet de rechercher les menaces potentielles. L’expéditeur, l’objet et le corps du message ; les images ainsi que les pièces jointes doivent tous être analysés pour détecter et signaler les risques de fuites potentielles. Le filtrage de contenu peut également alerter les administrateurs des menaces internes, par exemple lorsqu’un utilisateur tente d’envoyer des données confidentielles en dehors de l’entreprise.
Pare-feu intelligents
Outre le courrier électronique, la messagerie instantanée et l’utilisation d’autres services web présentent aussi un risque pour vos données. Il est dans votre intérêt (et de celui de vos employés) d’utiliser un pare-feu pour protéger les ordinateurs individuels et votre réseau informatiques contre les menaces de sécurité. Les pare-feu peuvent également prendre des mesures automatiques contre les fuites de données potentielles, les comportements malveillants et les accès non autorisés à votre réseau. Pour ce faire, soit ils informent l’administrateur soit ils bloquent l’action malveillante.
Contrôle des appareils
De nos jours, de plus en plus d’entreprises établissent et appliquent une politique de BYOD. C’est une politique qui permet aux employés d’apporter et de travailler en liberté avec leurs appareils personnels comme les ordinateurs portables, les Smartphones, les tablettes et les clés USB sur le réseau de l’entreprise. Cette politique peut aider à améliorer la productivité de vos employés. Par contre, si vous ne définissez pas précisément les règles qui déterminent comment les employés peuvent utiliser leurs propres appareils, des données sensibles peuvent être copiées, stockées et transmises sur le lieu de travail. Cela ne ferait qu’augmenter le risque de fuite de données.
Evaluation des autorisations de sécurité
De nombreuses entreprises donnent à leurs employés beaucoup plus d’accès que nécessaires. L’adoption d’une approche « confiance zéro » ou « zero trust » pour les autorisations d’accès permet de remédier à ce problème. Cela signifie qu’un employé n’aura accès qu’à ce dont il a vraiment besoin au quotidien. Cette approche permet de limiter l’ampleur des fuites de données et empêche vos employés d’accéder à certaines informations sensibles. Examinez vos autorisations de sécurité actuelles pour voir qui a accès à quoi. Ceci vous permettra de créer ensuite des politiques d’accès qui limitent les privilèges réseau des employés à ce dont ils ont réellement besoin pour leur travail et de recevoir des alertes au cas où un employé agirait de manière inhabituelle, par exemple, s’il commence à accéder à un grand nombre de documents ou s’il tente d’accéder à des documents à accès restreint.
La politique du moindre privilège
Il s’agit également d’une mesure importante que vous devez appliquer. En fait, il est difficile pour un employé de divulguer accidentellement des données auxquelles il n’a pas accès. C’est pour cette raison que vous devriez adopter une politique de moindre privilège qui limite l’accès aux données de chaque utilisateur au strict minimum, c’est-à-dire aux informations dont il a besoin pour exercer sa fonction. Une telle politique permet aussi de minimiser le risque de fuites de données intentionnelles.
Sauvegardes sécurisées
La sauvegarde des données sensibles est un élément fondamental pour votre entreprise. Mais les sauvegardes peuvent aussi être vulnérables et constituent souvent une mine d’or pour les pirates informatiques si elles ne sont pas sécurisées. Comme pour les fichiers originaux, vous devez chiffrer vos sauvegardes, stocker les informations dans divers supports et à différents endroits (sur site, dans le cloud, etc.) pour permettre la reprise après une éventuelle attaque cybercriminelle ou un sinistre.
Systèmes IDS/IPS
Les systèmes IDS/IPS vous permettent d’effectuer des tests de pénétration. Pour éviter une fuite de données, vous devez être en mesure d’identifier rapidement une tentative de vol de données et de la contenir. Plus vous prenez du temps pour identifier une tentative d’intrusion, plus les pirates informatiques auront le temps de percer vos défenses et de voler vos informations sensibles. En fait, les systèmes de détection d’intrusion ou « Intrusion Detection Systems » et les systèmes de prévention d’intrusion ou « Intrusion Prevention System » peuvent contribuer à la détection précoce des attaques. En utilisant ces systèmes, vous pourrez tester vos mesures de sécurité, déceler les éventuelles faiblesses ainsi que les différents types de tentatives d’intrusion.
Formation des utilisateurs
Les entreprises supposent souvent que leurs employés savent quelles données sont confidentielles et lesquelles ne peuvent pas être divulgués. Pourtant, les fuites de données ne sont pas toujours malveillantes. Il est possible qu’un employé ne se rende pas compte que son comportement met l’entreprise en danger. Voici pourquoi vous devez sensibiliser vos collaborateurs sur les dangers des fuites de données et organiser régulièrement des séances de formation afin de vous assurer que chacun est conscient des risques et pour que vos employés sachent la politique de votre entreprise en matière de cybersécurité.
Conclusion
Les fuites de données peuvent à la fois être embarrassantes et activement dangereuses pour votre entreprise et vos clients. La prévention des fuites de données – qu’elle résulte d’un accident ou d’une attaque intentionnelle – doit être votre priorité absolue, dans un monde où les informations peuvent se déplacer dans le monde en quelques secondes.
Combien de ces pratiques votre entreprise a-t-elle déjà adopté ? Si vous avez besoin d’aide pour mettre en œuvre des solutions de sécurité pour éviter les fuites de données et pour contrer les autres menaces cybercriminelles, contactez l’équipe de TitanHQ dès aujourd’hui. Nous disposons d’une équipe professionnelle qui se fera un plaisir d’aider votre entreprise à protéger vos données afin que vous et vos collaborateurs puissiez vous concentrer sur la croissance de votre entreprise, plutôt que de vous inquiéter de la sécurité de vos données et de votre architecture réseau.
Le gouvernement russe a été accusé par la société de sécurité allemande G Data d’avoir créé et de distribuer un malware appelé Uroboros.
Selon G Data Security, la société allemande de sécurité informatique et de détection antivirus, le gouvernement russe est derrière ce malware nouvellement découvert.
Le virus informatique russe Uroboros (Snake) n’a été détecté par aucun logiciel antivirus pendant 8 ans, et est probablement encore indétectable sur de nombreux systèmes infectés.
Qu’est-ce qu’un virus informatique ?
Tout comme un virus de la grippe, un virus informatique est conçu pour se propager d’hôte en hôte. Il a également la capacité de se répliquer. En réalité, un virus ne peut pas se reproduire sans une cellule hôte. De la même manière, les virus informatiques ne peuvent pas se reproduire et se propager sans une programmation comme un document ou un fichier.
Si vous avez peur de perdre vos informations sensibles, les données ou les objets précieux qui se trouvent sur votre ordinateur, vous pouvez utiliser un antivirus fiable comme ClamAV ou Bitdefender sur tous vos appareils (PC, Smartphones, tablettes, etc.)
En termes plus techniques, un virus informatique est une sorte de programme ou de code ou de programme malveillant écrit dans le but de modifier le fonctionnement d’un ordinateur. Il est généralement conçu pour se propager d’un appareil à un autre. Il fonctionne en s’attachant ou en s’insérant à un programme ou à un document légitime. Le document prend en charge les macros afin d’exécuter son code. Lors de ce processus, le virus peut provoquer des effets dommageables ou inattendus, comme l’altération du logiciel de votre système en détruisant ou en corrompant des données.
Comment un virus informatique attaque-t-il ?
Une fois qu’un virus réussit à s’attacher à un fichier, un document ou un programme, il reste en sommeil jusqu’à ce que les circonstances amènent le périphérique ou l’ordinateur à exécuter son code.
En général, vous devez exécuter le programme infecté pour que le virus infecte votre ordinateur, ce qui entraîne l’exécution du code malveillant. Cela signifie qu’un virus peut rester en sommeil sur votre appareil, sans montrer de signes majeurs. Par contre, une fois qu’il aura infecté votre ordinateur, il peut infecter d’autres appareils sur le même réseau, voler des données ou des mots de passe, enregistrer les frappes au clavier, corrompre vos fichiers ou envoyer des spams à vos contacts e-mail ou prendre le contrôle total de votre machine. Certains virus peuvent même avoir des effets profonds, notamment ceux qui sont conçus dans un but financier.
Comment les virus informatiques se propagent-ils ?
Dans le monde connecté d’aujourd’hui, vous pouvez contracter un virus informatique de différentes manières dont certaines sont plus évidentes que d’autres.
Parmi les moyens souvent utilisés par les pirates, on compte les pièces jointes des e-mails et des SMS, les liens frauduleux sur les médias sociaux et le téléchargement de fichiers sur Internet.
À noter qu’un virus informatique peut se dissimuler sous différentes formes (images amusantes, fichiers audio et vidéo, cartes de vœux, etc.
C’est quoi exactement Uroboros (Snake) ?
Uroburos est un virus informatique qui vérifie la présence d’Agent.BTZ, il reste inactif une fois qu’il est installé sur un appareil. Agent.BTZ est un malware extrêmement nuisible lié à une attaque majeure contre le Pentagone en 2008.
L’exemple le plus célèbre de malware d’origine gouvernementale est le ver Stuxnet. Il visait un logiciel de contrôle spécifique des installations nucléaires. L’Israël et Les États-Unis ont été impliqués dans la création et la distribution de ce ver.
Uroburos, quant à lui, est un rootkit composé de deux fichiers : un pilote et un système de fichiers virtuel chiffré, pouvant prendre le contrôle de l’ordinateur qu’il a infecté, exécuter des commandes arbitraires et masquer les activités du système. Ce type de malware est très dangereux, car sa structure est à la fois modulaire et flexible. Ceci signifie que de nouvelles fonctions malveillantes peuvent facilement être ajoutées.
La partie pilote d’Uroburos est très complexe. Il est conçu pour être très discret et difficile à identifier. Dans l’échantillon d’Uroburos détecté par G Data, le malware est destiné à voler des fichiers et à surveiller le trafic d’un réseau informatique.
Le nom du malware est une variante de l’orthographe « Ouroboros ». Il s’agit du symbole grec ancien d’un dragon ou d’un serpent qui mange sa propre queue.
Selon GData, Uroburos est l’un des rootkits les plus avancés qu’il a analysé qui est apparu en 2011, l’année la plus ancienne où son pilote a été conçu. Il fonctionne sur les ordinateurs Windows x64 et x86 et peut commander un ordinateur infecté disposant d’une connexion Internet. Ensuite, il infecte d’autres ordinateurs en réseau, même ceux qui n’ont pas de connexion directe à Internet.
Uroburos recueille toutes les données qu’il a collectées, puis les renvoie aux auteurs du malware via la même méthode afin de passer d’une machine à l’autre jusqu’à ce qu’il en trouve une avec une connexion Internet.
Ce comportement d’Uroburos est typique de la propagation dans les réseaux des autorités publiques ou des grandes entreprises. Les pirates informatiques s’attendent à ce que leur cible dispose d’ordinateurs coupés d’Internet et utilisent cette technique comme une sorte de solution de contournement afin d’atteindre leur objectif.
Le gouvernement russe est-il derrière le virus Uroboros ?
Bien qu’il ne soit pas prouvé que le gouvernement russe est à l’origine du virus Uroboros, les chercheurs en sécurité de Gdata et de la société britannique BAE pensent qu’il est très probablement d’origine russe. Ils spéculent également que les efforts compliqués pour programmer un virus aussi sophistiqué auraient nécessité un parrainage de l’État.
Contrairement au virus APT1, qui était clairement lié à l’armée chinoise, il n’y a aucune preuve spécifique que le gouvernement ou l’armée russe est derrière Snake.
L’International Business Times a déclaré : « Les experts n’ont pas identifié de victimes spécifiques des attaques d’Uroboros, mais sa nature sophistiquée suggère qu’il a été conçu pour attaquer des cibles de grande valeur comme les réseaux gouvernementaux et les systèmes télécoms. Sa nature incroyablement complexe suggère aux experts qu’il a été développé non pas par des cybercriminels, mais par une agence d’État. »
L’article rapporte que l’Ukraine a été attaquée 14 fois cette année. Par ailleurs, les chercheurs n’ont pas révélé qui d’autre a été pris pour cible. Cependant, les Américains affirment que le ministère de la Défense a été attaqué en 2010 et que le malware est l’œuvre d’une agence de renseignement étrangère.
La société allemande GData et la BAE ont analysé le malware. Selon GData, le niveau de sophistication est le même que celui de Stuxnet, un ver informatique que les Américains et les Israéliens ont utilisé pour forcer les centrifugeuses nucléaires iraniennes à devenir incontrôlables et à se détruire. Il s’agit d’un acte audacieux qui dépasse l’imagination des auteurs de science-fiction d’espionnage les plus créatifs.
Le site Web de Hacker News rapporte que Snake est un nom générique pour une série d’outils, notamment le rootkit Uroburos. Le nom « rootkit » signifie qu’il est conçu pour se cacher à l’intérieur des processus au niveau du noyau et donc pour ne pas se révéler aux logiciels antivirus. Hacker News indique que Snake a opéré depuis 8 ans sans être détecté.
Analyse du virus informatique russe Snake par le BAE
La BAE a rédigé une description détaillée de Snake. Son livre blanc cite une interview du secrétaire américain à la Défense (en 2010), William J. Lynn, qui décrit une attaque sophistiquée de malwares sur des ordinateurs classifiés du ministère de la Défense.
Le secrétaire d’État a déclaré que le malware était l’œuvre d’un service de renseignement étranger, mais il n’a pas révélé la source de cette information. La BAE, cependant, a déclaré qu’elle connaît certains détails.
Selon elle, « l’opération qui est à l’origine des attentats s’est poursuivie avec peu de modifications des outils et des techniques, en dépit de l’attention qui a lui a été accordée il y a quelques années. »
En d’autres termes, Snake est une opération en cours qui ne montre aucun signe de ralentissement. Elle peut donc, ou pourrait encore, attaquer l’armée américaine et d’autres organisations.
Les faiblesses exploitées par les pirates existent toujours, de sorte que les malwares continueront à fonctionner dans un avenir prévisible. Le virus cible le système d’exploitation Windows et certains logiciels tiers qui y sont installés.
Comment le virus Uroboros peut-il infecter votre ordinateur ?
Les malwares, y compris les ransomwares comme Snake, peuvent être distribués de différentes manières. L’une d’entre elles consiste à envoyer des e-mails comportant des fichiers malveillants en pièce jointe.
Si les messages sont ouverts, les fichiers attachés vont installer le ransomware. D’une manière générale, les pirates informatiques envoient des documents Microsoft Office ou des fichiers PDF. Ils archivent ces fichiers sous le format RAR ou ZIP ou sous forme de fichiers exécutables comme .exe.
Les pirates peuvent aussi infecter un système d’exploitation en utilisant des chevaux de Troie qui sont souvent conçus pour provoquer des infections en chaîne. Une fois que le malware est installé sur une machine, il télécharge et installe d’autres malwares.
Comme autre alternative, les pirates peuvent avoir recours à de sources de téléchargement de logiciels peu fiables, comme :
Les sites Web non officiels,
Les sites d’hébergement de fichiers gratuits ou de téléchargement de logiciels gratuits,
Les faux logiciels de mise à jour,
Les réseaux Peer-to-Peer,
Les outils de chiffrement,
Pourquoi le virus Uroboros a-t-il échappé à la détection pendant 8 ans ?
Snake opère en détournant un processus en cours d’exécution. Cela signifie qu’il fonctionne à l’intérieur de la mémoire de quelque chose qui fonctionne normalement sous Windows comme svchost, iexplorer.exe, chrome.exe, ou firefox.exe.
Cette approche contourne les logiciels antivirus, car le processus en cours d’exécution n’est pas répertorié comme un malware puisqu’il fait partie du système d’exploitation ou d’un programme légitime.
Snake communique avec ses ordinateurs de commande et de contrôle au niveau du noyau (kernel) et de la couche utilisateur (par exemple le navigateur web). Il attend que l’utilisateur ouvre un navigateur, puis fait sa propre requête GET pour obtenir des instructions.
Comme le souligne la BAE, un site Web normal, tel qu’un lecteur de flux d’actualités, fait des requêtes GET à des dizaines ou des centaines de domaines et de sites. Filtrer tout ce qui est malveillant est donc plus compliqué, car cela ressemble à un trafic ordinaire. Comme le virus utilise le protocole HTTP, il est capable de contourner les pare-feu.
Pour éviter d’être détecté, Snake s’endort parfois pendant des jours ou des mois suite aux instructions qu’il reçoit du serveur web de commande et de contrôle. Par exemple, il peut envoyer une requête HTTP GET /file.jpg et recevoir en retour la réponse « 1 » lui ordonnant de dormir.
La BAE a capturé le trafic réseau, ce qui montre que le code .dll a également été converti en code source en langage C. Cela a permis d’expliquer en détail le fonctionnement du virus.
La façon dont les processus sont attaqués et pris en charge consiste à tirer parti des fuites de mémoire et des faiblesses de la sécurité. Ceci permet aux pirates d’injecter des programmes malveillants – des fichiers .dlls dans le cas de Windows — dans le processus en cours.
Snake n’est pas le seul malware à utiliser cette approche.
Prenons un exemple simple. Si un programme déclare une telle variable :
int x ;
mais n’attribue aucune valeur à cette variable, l’ordinateur va réserver de la mémoire pour x valeurs du type int. Ensuite, un virus peut utiliser cette adresse allouée pour diriger le programme vers le chargement et l’exécution d’un fichier .dll qui est le logiciel du pirate. Le malware peut alors prendre le contrôle de la machine.
Les pirates informatiques peuvent souvent accéder à cette variable x et à beaucoup d’autres grâce à l’appel de fonction dans un programme en cours d’exécution. Ainsi, ils peuvent contourner les mesures de sécurité et laisser Windows ou tout autre logiciel faciliter sa propre exploitation.
On ne sait pas encore par quel moyen Snake infecte les machines. La BAE spécule qu’il pourrait provenir d’une clé USB infectée ou d’un phishing par e-mail. Le virus fonctionne au niveau de noyau du système d’exploitation et de la couche utilisateur. Au niveau du noyau, il pirate les processus réseau pour intercepter le trafic entrant et sortant. De cette façon, il peut à la fois envoyer des données et des journaux (logs), attendre et détecter les commandes entrantes.
Une vulnérabilité qui a aidé Snake à fonctionner est un problème de sécurité avec Oracle Virtualbox. À cause de cela, le malware peut accéder à la mémoire du noyau et y mettre à jour une variable pour indiquer que le serveur Windows a été démarré en mode WinPE. Cela signifie qu’il a été démarré de telle manière que le système d’exploitation chargera des fichiers .dlls non signés (une mesure de sécurité qui a été introduite dans les versions 64 bits de Windows).
En effet, les logiciels non signés n’ont pas de certificat valide, comme celui émis par Verizon qui en vérifie l’origine et l’intégrité. Un hacker aura des difficultés à en obtenir un, car les militaires d’un pays ne peuvent pas simplement appeler Verisign, une société leader dans l’industrie des certificats SSL, pour demander cela sans éveiller les soupçons.
Le virus est intimidant par sa complexité et sa sophistication. Il déploie différentes versions de lui-même en fonction de la version du système d’exploitation en cours d’exécution. Il monte des disques virtuels sur la machine et utilise ceux-ci pour stocker les données qu’il envoie ensuite au centre de commande et de contrôle pour permettre aux pirates de les dérober.
Instructions de suppression du virus Uroboros
Détecté par l’équipe MalwareHunter, Snake Ransomware a été conçu pour avoir la capacité de contourner toutes les formes de solutions antimalware que tous les autres malwares précédents auraient pu faire jusqu’à présent.
Selon le chercheur en sécurité Vitali Kremez de l’équipe de MalwareHunter, Uroboros cible d’abord un système pour ensuite supprimer tous les processus liés aux machines virtuelles, aux systèmes SCADA, aux systèmes de contrôle industriel, aux logiciels de gestion de réseau, aux outils de gestion à distance, etc.
Ensuite, il commence à chiffrer des fichiers et dépose une demande de rançon. Grâce à ce malware, les pirates informatiques ont même été capables de contourner les plus récentes fonctions de sécurité intégrées à Windows.
La seule façon de résoudre le problème est de déchiffrer les fichiers avec une clé de déchiffrement qui peut être achetée auprès des pirates ayant conçu le malware. Pour ce faire, les victimes sont obligées de les contacter en leur envoyant un e-mail à l’adresse bapcocrypt@ctemplar.com.
En effet, les pirates offrent une clé de déchiffrement gratuite pour prouver qu’ils disposent d’un outil de déchiffrement fonctionnel. De cette manière, les victimes croient qu’ils peuvent vraiment restaurer leurs fichiers. Pourtant, il n’est pas recommandé de les payer, car il est très probable que les cybercriminels n’enverront pas la clé de déchiffrement même après un paiement.
Une autre façon de récupérer les fichiers infectés sans avoir à payer la rançon est de les restaurer à partir d’un fichier de sauvegarde.
À noter que si vous tentez de supprimer Snake de votre système d’exploitation, les fichiers resteront chiffrés. Cette action ne fait qu’empêcher ces fichiers de provoquer d’autres dégâts.
Une autre méthode de résoudre l’infection par Uroboros
Certaines infections de type de virus sont créées dans le but de crypter des fichiers dans des périphériques de stockage externes, les infecter et même se propager dans tout votre réseau local. Voici pourquoi il est très important d’isoler l’appareil infecté dès que possible.
Déconnexion d’Internet
Le moyen le plus facile de déconnecter un ordinateur d’Internet est de débrancher le câble Ethernet de la carte mère, mais certains appareils sont connectés via un réseau sans fil. Pour certains utilisateurs, notamment ceux qui ne connaissent pas très bien les nouvelles technologies, déconnecter les câbles peut sembler difficile. Ainsi, vous pouvez également déconnecter le système manuellement via le Panneau de configuration de l’ordinateur :
Pour ce faire, clique sur « Panneau de configuration » puis sur la barre de recherche dans le coin supérieur droit de votre écran. Cliquez sur « Centre de réseau et de partage » et sélectionnez le résultat de la recherche « Déconnexion de l’ordinateur d’Internet ».
Cliquez ensuite sur l’option « Modifier les paramètres de l’adaptateur » qui se trouve dans le coin supérieur gauche de la fenêtre puis sur « Déconnexion de l’ordinateur d’Internet ».
Pour finir, cliquez avec le bouton droit de votre souris sur chaque point de connexion et sélectionnez « Désactiver ». Ceci étant fait, le système ne sera plus connecté à Internet.
Vous pouvez réactiver les points de connexion en cliquant à nouveau avec le bouton droit de votre souris puis sur « Activer ».
Débranchez de tous les périphériques de stockage
Comme susmentionné, Uroboros peut chiffrer les données et infiltrer tous les périphériques de stockage connectés à votre ordinateur. Pour cette raison, vous devez déconnecter tous les périphériques de stockage externes, comme les lecteurs flash, les disques durs portables, etc. Vous devez le faire immédiatement, mais il est recommandé d’éjecter chaque périphérique avant de tout déconnecter afin d’éviter toute corruption des données : cliquez sur « Poste de travail » et cliquez avec le bouton droit de votre souris sur chaque périphérique connecté. Ensuite sélectionnez « Éjecter ». Ceci vous permet d’éjecter les périphériques de stockage externes connectés à votre ordinateur.
Déconnectez vos comptes de stockage dans le cloud
Certains malwares sont capables de détourner les applications qui gèrent les données stockées dans le Cloud. Ainsi, elles peuvent être corrompues ou chiffrées.
Il est donc recommandé de déconnecter tous vos comptes de stockage dans le cloud dans les navigateurs et autres logiciels connexes. Envisagez également de désinstaller temporairement votre logiciel de gestion du cloud jusqu’à ce que l’infection par Uroboros soit complètement éliminée.
Que pouvez-vous faire pour éviter le virus Snake et les attaques similaires ?
La meilleure sécurité est peut-être de supposer que les pirates seront toujours en mesure de contourner la sécurité et ont déjà compromis vos machines. Cela suggère que vous devriez réinstaller régulièrement vos systèmes d’exploitation et les logiciels sur toutes vos machines. Bien sûr, ce serait difficile à faire sur des serveurs de production critiques.
Parmi les autres mesures possibles à prendre pour renforcer la sécurité, on compte :
Maintenez vos logiciels à jour en utilisant uniquement les fonctions ou les outils fournis par le développeur officiel. L’installation et l’utilisation d’un antivirus légitime sont également primordiales. Si votre ordinateur est déjà infecté par Ouroboros, il est recommandé d’exécuter une analyse avec un logiciel fiable comme SpamTitan pour éliminer automatiquement ce malware.
Il est aussi important de former vos employés sur le phishing. Vos employés doivent faire très attention lorsqu’ils naviguent sur Internet et téléchargent ou mettent à jour des logiciels. Il faut également réfléchir à deux fois avant d’ouvrir les pièces jointes d’un e-mail non sollicité. Les fichiers qui ne semblent pas pertinents provenant d’un expéditeur suspect ne doivent jamais être ouverts.
L’interdiction du branchement des périphériques USB comme les lecteurs et les Smartphones,
Le retrait des anciennes versions de Windows comme Windows 7 qui ont des problèmes de sécurité connus,
Le bannissement de l’utilisation de Windows, en passant aux appareils sans disque, mais en réseau uniquement, à l’instar de Chromebooks,
L’inspection au niveau des paquets pour lire le trafic HTTP entrant et sortant afin de détecter les signes de malware qui communiquent avec les serveurs de commande et de contrôle.
Notez ici que nous ne mentionnons pas le chiffrement de données. Le plus gros problème lorsque vous essayez d’utiliser cette solution est que vous pouvez chiffrer les données au repos, c’est-à-dire les données qui ne sont pas déplacées d’un endroit à l’autre sur un réseau — ainsi que les données en transit, mais pas celles qui sont en mémoire.
Microsoft a rendu la lecture des données en mémoire plus difficile en utilisant des schémas comme ASLR (Address Space Layout Resolution), permettant ainsi d’assigner des données en mémoire dans des adresses sélectionnées au hasard plutôt que dans un bloc contigu.
Ceci rend plus difficile pour un pirate de prédire l’emplacement des données. Pourtant, le chiffrement pourra protéger des données sur disque seulement au cas où un fichier entier serait volé et non les enregistrements individuels qui sont effacés de la mémoire au fur et à mesure de leur traitement.
Attendez-vous à voir de multiples variantes du virus Snake au cours des prochaines années.
Jusqu’à présent, il semble que les gouvernements aient été les principales cibles de Snake. Cependant, maintenant qu’il a été détecté et que ses mécanismes de fonctionnement ont été rendus publics, il est probable qu’il sera bientôt utilisé par des cybercriminels pour attaquer votre organisation, s’ils ne l’ont pas déjà fait.
Attendez-vous à voir de multiples variantes de Snake au cours des prochaines années, ainsi que des outils permettant aux pirates informatiques de les déployer pour lancer une charge utile ou pour voler des informations spécifiques.
La menace que représente Snake souligne la nécessité d’une approche multidimensionnelle de la sécurité des réseaux. Elle met également en exergue la sophistication croissante des attaques et de leur furtivité, empêchant ainsi leur détection pendant plusieurs années. Il s’agit d’une course aux armements entre les gouvernements, les cybercriminels et les professionnels de l’industrie de la sécurité des réseaux.
Selon David Grout, chercheur français en sécurité qui travaille pour le fournisseur de solutions en cybersécurité FireEye, l’apparition des nouveaux ransomwares comme Snake nous fait entrer dans une nouvelle ère dans laquelle les attaques contre les infrastructures industrielles vont devenir monnaie courante puisqu’elles sont lucratives.
Les industriels qui sont victimes des attaques de ransomwares ont tendance à payer plus rapidement que les professionnels des autres secteurs comme les collectivités territoriales, les institutions financières, etc., car ils veulent reprendre immédiatement la production.
Les responsables de la sécurité numérique des groupes industriels devraient donc tenir compte des nouvelles menaces de ransomwares, notamment les éventuelles variantes d’Uroboros.
Ce qu’il faut retenir
Pour l’instant, on pense que le virus Uroboros est utilisé pour cibler des gouvernements étrangers. Malheureusement, une fois que certains détails sont publiés, on sait qu’il peut être utilisé pour créer des variantes. Les pirates informatiques non étatiques n’ont peut-être pas pu créer le virus. Par contre, les techniques utilisées pour exploiter les ordinateurs et les réseaux peuvent être copiées par d’autres cybercriminels.
Dans les prochaines années, on pourrait découvrir un certain nombre de versions différentes de ce virus, qui pourraient être utilisées pour différentes raisons. Des données spécifiques peuvent être volées, ou des systèmes sabotés.
Cette découverte montre jusqu’où certains individus et groupes aux intentions malveillantes sont prêts à aller pour voler vos données, et pourquoi il est essentiel de mettre en œuvre des systèmes de sécurité à plusieurs niveaux si vous voulez les protéger. Utilisez toujours des contrôles pour empêcher l’envoi d’e-mails de phishing et la réponse aux messages malveillants.
Êtes-vous donc condamné à rester dans la ligne de mire et à espérer que votre réseau ne sera pas la prochaine victime de la cyberguerre ? Non, vous n’êtes pas aussi impuissant que vous ne le pensez. La sécurité du réseau dans votre organisation exige une vigilance constante.
Assurez-vous que votre réseau dispose de la dernière version patchée des systèmes d’exploitation, des logiciels et des solutions de filtrage du trafic entrant et sortant. Vos utilisateurs finaux doivent également être conscients des risques et être attentifs aux éventuelles menaces.
Ce sont des précautions que vous pouvez (et devriez) prendre et qui réduiront considérablement les risques de cybercriminalités.
À propos de SpamTitan
Tout à l’heure, nous avons parlé de SpamTitan. En réalité, il s’agit d’une solution de sécurité de la messagerie électronique qui permet d’identifier et de prévenir les spams, les virus lancés via les e-mails, les attaques de malwares, les liens malveillants et les attaques de phishing.
SpamTitan vous protège également contre l’usurpation d’identité et d’autres menaces malveillantes par e-mail. TitanHQ, le fournisseur de la solution, offre une sécurité avancée de la messagerie pour votre entreprise sans la rendre compliquée. Parmi ses fonctionnalités, SpamTitan propose par exemple l’analyse des messages entrants et sortants avec intelligence artificielle en temps réel.
SpamTitan est conçu pour les PME, mais aussi les organisations qui utilisent Office 365, les fournisseurs de services gérés et les professionnels de l’éducation.
En fait, la sécurisation de la messagerie électronique, la sécurité du Web et la conformité ne doivent pas toujours coûter cher pour ceux qui cherchent à économiser sur leurs dépenses de sécurité informatique et ceux qui veulent en même temps améliorer la productivité de leurs employés.
La fonction « sandboxing » de SpamTitan protège votre réseau contre les brèches et les attaques sophistiquées lancées via les e-mails, ce qui fournit un environnement puissant, permettant d’effectuer une analyse approfondie des programmes et fichiers inconnus ou suspects.
SpamTitan Cloud est une couche de sécurité de messagerie supplémentaire essentielle pour protéger votre système Office 365 contre les malwares et les attaques de type « zero day ».
Depuis 1999, TitanHQ a développé des systèmes de renseignement sur les nouvelles menaces cybercriminelles. Cela réduit considérablement le risque d’une attaque par e-mail réussie contre votre entreprise.
Si vous voulez découvrir les capacités de notre solution et comment elle protège votre entreprise contre les menaces cybercriminelles, profitez des maintenant d’un essai gratuit pendant 14 jours.
Que faites-vous d’autre pour protéger votre réseau ? Veuillez nous faire part de vos suggestions ci-dessous. Nous aimerions connaître votre opinion.
Questions fréquentes sur Snake/Uroboros
Quel langage de programmation Snake utilise-t-il ?
Ce malware est écrit dans un langage de programmation open source appelé Golang ou « Go-language ». Ce langage permet de créer facilement des logiciels fiables et efficaces.
Comme Snake s’infiltre dans les systèmes via Windows ?
Il s’infiltre un système d’exploitation Windows une fois qu’il a vérifié que le terminal n’était pas déjà infecté. Ceci étant fait, il corrompt le système WMI ou « Windows management instrumentation » et le système de gestion du logiciel Microsoft. Ensuite, il neutralise Shadow Volume Copies. Cette application est incluse dans Windows pour permettre d’effectuer des sauvegardes automatiques des fichiers, même lorsque vous êtes en train de les utiliser. C’est à ce moment-là que le malware peut commencer à chiffrer des données sensibles.
Peut-on utiliser un ordinateur infecté par le malware Snake ?
Comme la plupart des ransomwares, Snake ne cherche pas à corrompre les programmes et fichiers de votre système d’exploitation, votre machine pourra encore démarrer, se connecter et vous laisser ouvrir les applications que vous souhaitez. Bref, vous aurez l’impression que votre système fonctionne. Par contre, vos fichiers de données importants (documents, photos, vidéos, feuilles de calcul, musique, business plan, déclarations de revenus, comptes clients, etc.) seront chiffrés avec une clé de chiffrement que les pirates choisissent au hasard.
Snake est-t-il une menace persistante ?
Oui, les attaques de Snake peuvent prendre des semaines, voire des mois. Le processus d’exfiltration des données que les pirates utilisent avant de lancer le malware est souvent long pour qu’ils puissent récolter des téraoctets de données. La durée de l’attaque dépend en effet de la cible.
Que pouvez-vous faire pour vous préparer à une attaque de Snake ?
N’oubliez pas que plus votre entreprise est grande, plus il sera difficile d’identifier les dispositifs vulnérables et de les protéger. Les responsables informatiques peuvent donc faire pencher la balance en leur faveur en essayant de connaître leur infrastructure et les nouvelles méthodes utilisées par les pirates pour savoir les actifs à protéger et pour hiérarchiser leurs efforts.
Quelle est la meilleure stratégie pour les entreprises afin de se protéger contre les ransomwares, le phishing et les attaques par spoofing ? Il existe de nombreuses stratégies de protection contre ces menaces, mais la sensibilisation et l’éducation des utilisateurs sont de loin les plus efficaces. Pour que les malwares et les ransomwares infectent avec succès vos équipements informatiques, il faut une certaine forme d’interaction de la part de leurs utilisateurs.
Vos utilisateurs sont des pare-feu humains, la dernière défense de votre organisation.
Les entreprises peuvent toujours être des victimes des cyberattaques, malgré des architectures de sécurité multicouches élaborées. C’est particulièrement vrai en matière de messagerie électronique.
La sécurité de la messagerie électronique est désormais essentielle pour toutes les organisations, car c’est la méthode la plus populaire pour les pirates de déployer un code malveillant. Selon les chercheurs d’IBM X-Force, plus de la moitié des messages électroniques sont du spam.
Si on considère qu’il y a environ 300 milliards d’e-mails envoyés chaque jour, on peut commencer à comprendre la tâche accablante que les entreprises doivent mener pour assurer la sécurité de leur messagerie électronique.
Compte tenu de la grande quantité de spams qui sont envoyés aux utilisateurs, une solution de sécurité de messagerie qui ne peut pas prétendre un taux fiable de capture de spam (au moins 99 %) ne devrait plus être une option.
Comme le courrier électronique continue d’être le principal moyen de communication pour les entreprises, vous avez également besoin d’une solution de sécurité disposant d’un taux de faux positifs égal ou proche de zéro.
La majorité des spams sont inoffensifs, mais ils peuvent nuire à la productivité des utilisateurs, étant donné que ces derniers vont perdre du temps en triant les e-mails non sollicités ou en cliquant sur des liens publicitaires.
Seul un faible pourcentage de spams contient du code malveillant. Selon Symantec, un utilisateur de messagerie sur neuf a rencontré des malwares au cours du premier semestre 2017.
Cependant, force est de constater que les utilisateurs sont deux fois plus susceptibles de rencontrer des malwares via la messagerie électronique que par tout autre moyen de diffusion.
Cela est dû en partie à l’innovation des créateurs de malwares. Selon Kaspersky Lab, son laboratoire a traité un nombre stupéfiant, plus précisément 360 000 nouveaux fichiers malveillants chaque jour en 2017, soit une hausse de 11,5 % par rapport à l’année précédente. C’est pourquoi il est si important de choisir une solution de sécurité de messagerie avec une protection antivirus intégrée.
Le fait de bloquer le spam n’est plus suffisant. Votre solution de sécurité informatique doit également bloquer les virus, les malwares et les liens qui redirigent les utilisateurs vers des sites Web malveillants.
L’autre raison pour laquelle les utilisateurs continuent d’être exposés aux malwares est la sophistication croissante des attaques de phishing. Selon un article paru dans TechRepublic, 90 % des e-mails de phishing capturés entre le mois de mars et novembre 2016 contiennent des composants de spear phishing conçus pour usurper l’identité d’une personne.
Ces types d’attaques visent à imiter un e-mail envoyé en interne, par un cadre intermédiaire, un cadre supérieur ou une source de confiance. Le but est d’amener un utilisateur à révéler des informations financières ou à fournir des données confidentielles.
Les attaques d’usurpation d’identité ont augmenté de 50 % d’un trimestre à l’autre en 2017. Il s’agit actuellement de la forme de cyberattaque par e-mail qui connaît la croissance la plus rapide.
Les attaques d’usurpation d’identité sont très efficaces pour trois raisons :
Bien souvent, ces types d’attaques sont très ciblés. Les pirates informatiques peuvent prendre des semaines ou des mois à étudier les protocoles de messagerie ; la culture de la messagerie électronique et les styles d’écriture avant de mettre en œuvre une attaque.
Les attaques d’usurpation d’identité sont la menace la plus difficile à combattre pour un filtre de messagerie.
Les utilisateurs sont les plus vulnérables à ces attaques. Les recherches ont montré que même les utilisateurs les plus avertis en matière de sécurité peuvent se faire avoir par des escroqueries d’usurpation d’identité.
Le phishing
Le phishing est une méthode consistant à tenter de recueillir des informations personnelles à l’aide d’e-mails et de sites web malveillants. C’est une forme d’attaque sophistiquée.
Un hameçon est lancé sur la messagerie d’un ordinateur portable avec des leurres au milieu de données abstraites. En réalité, le phishing est une cyberattaque qui utilise des e-mails déguisés comme arme. L’objectif étant de faire croire au destinataire que le message est quelque chose qu’il veut ou dont il a besoin — telle qu’une demande de sa banque ou une note de quelqu’un de son entreprise — et de télécharger une pièce jointe ou de cliquer sur un lien.
Ce qui distingue vraiment le phishing, c’est la forme que prend le message : les escrocs se font passer pour une entité de confiance, souvent une personne réelle ou plausible, ou une entreprise avec laquelle la victime pourrait faire affaire. Il s’agit de l’un des plus anciens types de cyberattaques, qui remonte aux années 1990, et il reste l’un des plus répandus et des plus pernicieux. Mais les messages et les techniques de phishing deviennent de plus en plus sophistiqués.
Le terme est apparu au milieu des années 90 à cause des pirates informatiques qui voulaient inciter les utilisateurs d’AOL à donner leurs informations de connexion. Le « ph » s’inscrit dans une tradition d’orthographe fantaisiste des pirates et a probablement été influencé par le terme « phreaking » — une abréviation de « phone phreaking », la première forme de piratage qui consistait à jouer des sons dans des combinés téléphoniques pour obtenir des appels gratuits.
Près d’un tiers de toutes les brèches qui se sont survenues de nos jours ont impliqué le phishing, selon le rapport Verizon Data Breach Investigations Report. Pour les attaques de cyberespionnage, ce chiffre grimpe à 78 %. La pire nouvelle concernant le phishing est que ses auteurs deviennent beaucoup, beaucoup plus performants grâce à des outils et des modèles bien produits et prêts à l’emploi.
Certaines escroqueries par phishing ont suffisamment bien réussi pour faire des vagues
L’une des attaques de phishing les plus marquantes de l’histoire est peut-être celle qui s’est produite en 2016, lorsque des escrocs ont réussi à amener le président de la campagne d’Hillary Clinton (John Podesta) à offrir son mot de passe Gmail.
L’attaque — au cours de laquelle les photos intimes d’un certain nombre de célébrités ont été rendues publiques — était initialement considérée comme le résultat de l’insécurité des serveurs iCloud d’Apple. Cependant, c’était le produit d’un certain nombre de tentatives de phishing réussies.
En 2016, des employés de l’université du Kansas ont répondu à un e-mail de phishing et ont transmis l’accès aux informations concernant leur chèque de paie, ce qui leur a fait perdre leur salaire.
Le whaling
Le « whale phishing », ou whaling, est une forme de phishing visant les gens les plus importants comme les PDG ou d’autres cibles de grande valeur. Beaucoup de ces escroqueries visent les membres du conseil d’administration d’une entreprise, qui sont considérés comme particulièrement vulnérables. Ils jouissent d’une grande autorité au sein d’une entreprise, mais comme ils ne sont pas employés à plein temps, ils utilisent souvent des adresses électroniques personnelles pour la correspondance professionnelle, qui ne bénéficie pas des protections offertes par la messagerie d’entreprise.
Rassembler suffisamment d’informations pour piéger une cible de grande valeur peut prendre du temps, mais le résultat peut être étonnamment élevé. En 2008, des cybercriminels ont ciblé des PDG d’entreprise en leur envoyant des e-mails qui prétendaient contenir des citations à comparaître du FBI. En fait, ils ont téléchargé des enregistreurs de frappe sur les ordinateurs des dirigeants. Le taux de réussite des pirates informatiques a été de 10 % et ils ont fait près de 2 000 victimes.
Il existe de nombreuses formes de phishing, comme le clone phishing, le vishing et le snowshoeing. Pourquoi le phishing augmente-t-il actuellement ?
Les escrocs comptent sur la tromperie et la création d’un sentiment d’urgence pour réussir leurs campagnes de phishing. Les crises telles que la pandémie de coronavirus leur donnent une grande opportunité d’attirer les victimes en les faisant mordre à l’hameçon.
Pendant une crise, les gens sont sur les nerfs. Ils veulent des informations et cherchent des directives auprès du gouvernement, de leurs employeurs et d’autres autorités compétentes. Un e-mail qui semble provenir de l’une d’une entité légitime et qui promet de nouvelles informations ou demande aux destinataires d’effectuer une tâche rapidement sera probablement moins consulté qu’avant la crise. Un clic impulsif plus tard, et l’appareil de la victime est infecté ou son compte est compromis.
Qu’est-ce qui rend un pare-feu humain efficace contre ces attaques ?
Si un de vos utilisateurs sur neuf pouvait être exposé à des e-mails malveillants, malgré la présence d’un filtre web, il est impératif de créer un programme de surveillance des e-mails dans votre organisation.
Bien entendu, la vigilance en matière de sécurité ne remplacera jamais un système de filtrage en raison du nombre colossal d’attaques par e-mail. Mais un personnel soucieux de la sécurité pourrait constituer la dernière ligne de défense pour protéger votre entreprise.
L’une des premières mesures à prendre est donc de créer de nouvelles politiques qui limitent les possibilités d’escroquerie.
Créez une politique qui interdit le partage de documents sensibles dans les e-mails. Cela élimine la possibilité qu’une personne réponde à une demande de documents financiers ou de renseignements exclusifs par e-mail.
Créez une politique qui exige l’authentification multifactorielle pour les transactions financières. Toute demande par e-mail devrait être suivie d’un appel vers un numéro non divulgué pour confirmer un mot de passe ou une phrase secrète.
Désactivez tous les liens à l’intérieur des corps des e-mails pour forcer les utilisateurs à naviguer manuellement vers n’importe quel site interne.
Chaque organisation doit fournir un niveau minimum de formation à ses utilisateurs pour les aider à identifier les attaques de phishing. Voici certains des signes que chacun d’entre eux doit être en mesure de faire :
Rechercher différents formats et mises en page d’e-mails qui sont la norme.
Exiger de tous les utilisateurs utilisent une signature d’e-mail et vérifier les signatures appropriées.
Rechercher différents styles d’écriture et de grammaire qui ne correspondent pas à la norme.
Vérifier que les noms d’affichage de tous les e-mails apparaissent normalement.
Créer un nouvel e-mail plutôt que de simplement répondre à un e-mail demandant des informations sensibles ou des transactions financières.
Lorsqu’il répond à un e-mail, il vérifie que l’adresse de réponse est conforme à celle attendue et qu’elle n’a pas été modifiée.
Pourquoi la formation de sensibilisation au phishing est-elle importante ?
Combinez la formation à la sensibilisation au phishing et la formation à la sensibilisation à la sécurité pour aider à réduire votre plus grande surface d’attaque : vos employés.
La simulation d’attaques de phishing est aussi importante
La simulation d’attaques de phishing sur vos employés vous permet d’évaluer la maturité de votre organisation en matière de sensibilisation à la sécurité et de développer des initiatives efficaces de formation à la sensibilisation au phishing. Mettez vos employés à l’épreuve et voyez où ils en sont en termes de compétences et de connaissances en matière de sensibilisation à la sécurité.
Les attaques de phishing continueront de faire la une des journaux et de cibler vos employés. Les simulations de phishing peuvent contribuer à renforcer la résilience de votre personnel en matière de sécurité.
Comme les attaquants ne ciblent pas forcément vos employés régulièrement, les simulations de phishing contrôlées leur permettent de rester en alerte. Cela améliore également et en permanence leurs compétences en matière de détection.
Un exemple de simulation
Un matin ordinaire, Luc reçoit environ quarante e-mails sur son compte professionnel. Il les parcourt, supprime les indésirables, ouvre les documents partagés, en envoie certains, lit ceux qui sont urgents, scrute les bulletins d’information et vérifie son agenda de la journée. Cette tâche est normale.
Ces jours-ci, cependant, Luc fait face à sa boîte de réception avec une détermination sinistre. Il y a deux semaines, elle a été attaquée par une équipe d’escrocs dont le but était d’hameçonner l’entreprise de Luc. Il a reçu un e-mail contenant un lien vers un autre site qui semblait être presque identique au nom de l’entreprise. Le fait est que le nom de domaine se terminait par « .org » alors que l’URL réelle du site aurait dû être « .com ». Luc n’a pas remarqué la subtile différence. Après avoir cliqué sur le lien, il a été dirigé vers une page qui ressemblait au site web légitime, qui lui demandait d’entrer son nom d’utilisateur et son mot de passe pour l’échange d’un document téléchargeable. Il s’est exécuté.
En l’espace de trois jours, sa boîte de réception a été inondée d’e-mails méconnaissables. Son compte a été frappé par des messages inattendus et est devenu plein de spams avec des lignes d’objet comme « Delivery Failure », et des messages d’expéditeurs inconnus lui demandant d’arrêter de leur envoyer des messages indésirables.
Après avoir informé la direction de ces activités suspectes, l’équipe informatique a constaté d’un seul coup d’œil que son compte de messagerie avait été piraté et que les escrocs l’utilisaient pour envoyer des messages de phishing à d’autres cibles.
Cet événement a instillé la paranoïa en lui, chaque e-mail d’un destinataire inconnu aurait pu être faux.
Ce scénario vous semble-t-il familier ?
Si oui, vous vous demandez sans doute de quelle manière éviter que cela ne se reproduise. Pour que cela n’arrive pas à l’un de vos employés, il faut effectuer des simulations de phishing.
La simulation de phishing est un moyen efficace de tester les compétences de vos employés et de mesurer leurs progrès. Un test fournit des données sur les employés qui ont été appâtés par l’e-mail de phishing en cliquant sur les liens correspondants. En ayant la possibilité de faire l’expérience d’une attaque de phishing, vos collaborateurs pourront apprendre à identifier les e-mails suspects et, par conséquent, à appliquer les meilleures pratiques de sensibilisation à la sécurité.
Comment réaliser une simulation efficace ?
1. Obtenez l’adhésion de la direction
La première étape de toute bonne simulation de phishing est d’obtenir l’approbation de la direction. Prévenez le moins d’employés possible et donnez-leur des instructions sur la manière de traiter les appels des utilisateurs qui signalent le message de phishing. N’oubliez pas que la réaction d’un employé lorsqu’il détecte un message de phishing, simulé ou réel, doit toujours être la même. Pendant les simulations, vous pouvez ne pas avertir les employés qu’il s’agit d’un test et leur indiquer simplement que le service informatique s’en occupe.
2. Planifiez votre simulation
La seconde phase est la planification. Créez un plan pour ne pas envoyer des tests trop fréquemment, car vos employés finiront par s’y attendre. Ne les envoyez pas trop rarement, car vous devez recueillir des statistiques. Établissez des rapports et garder les utilisateurs en alerte à tout moment.
Il n’est pas nécessaire d’envoyer des e-mails de phishing à toute l’entreprise en même temps, car cela pourrait éveiller les soupçons. Envoyez-les plutôt à des services spécifiques comme le service de facturation. Imprégnez votre e-mail d’un ton urgent pour que vos employés agissent en toute hâte. Il s’agit d’une technique qui est souvent utilisée par les escrocs pour les inciter à cliquer sur des liens ou à télécharger des pièces jointes.
Commencez à penser comme un pirate informatique. Qu’est-ce qui va inciter vos employés à cliquer sur un lien malveillant ? Les lignes d’objet qui incluent les termes du genre « facture impayée », « offre exclusive » ou « gratuit » attirent souvent l’attention des employés, ce qui augmente les chances d’être la proie de l’attaque.
3. Équilibrez la formation et les rapports
Lors de votre campagne de simulation de phishing, suivez les taux d’ouverture des e-mails, de téléchargement des pièces jointes, de clics et de divulgation des informations. Établissez des rapports sur le nombre d’employés qui s’est laissé prendre au piège, ainsi que sur le nombre d’employés qui ont signalé l’incident à la direction. Une tendance à la baisse des taux de clics et à l’augmentation des taux de signalement indique que votre campagne de simulation et votre programme de formation à la cybersécurité sont efficaces.
Selon plusieurs entreprises de formation antiphishing, la formation de sensibilisation à la sécurité et les simulations d’e-mails de phishing peuvent réduire jusqu’à 95 % la susceptibilité aux cyberattaques par e-mails. D’autre part, un filtre antispam tel que SpamTitan peut garantir que les employés ne sont pas exposés à une telle menace.
À propos de SpamTitan
SpamTitan est une solution de filtrage des spams destiné aux entreprises, aux fournisseurs de services gérés (MSP) et aux établissements scolaires pour les aider à bloquer les spams, les virus, les malwares, les ransomwares, les tentatives de phishing et autres menaces lancées via la messagerie électronique. La solution peut être déployée sur site ou hébergée dans le cloud. Les principales fonctionnalités comprennent un bloqueur de spam, une liste blanche et une liste noire, une protection antivirus, une protection des e-mails, etc.
La solution permet également d’archiver les e-mails, tandis que sa fonction d’administration générale permet au personnel informatique des écoles et des campus de gérer les clients de messagerie et de protéger les comptes de messagerie contre les attaques cybercriminelles. En outre, SpamTitan permet à vos employés de connecter des dispositifs personnels et offre un moteur de rapports personnalisés qui leur permet de générer des rapports sur les types de menaces et la sécurité.
SpamTitan peut bloquer plus de 99,9 % des spams, ce qui garantit la mise en quarantaine des e-mails de ransomwares et d’autres e-mails malveillants pour qu’ils ne puissent causer aucun dommage. Formez vos utilisateurs à être sceptiques à l’égard de tout e-mail contenant des liens ou des demandes de renseignements qui pourraient être utiles à d’autres personnes. Un bon niveau de scepticisme peut mettre votre entreprise à l’abri d’une attaque dévastatrice.
Pour en savoir plus sur SpamTitan ; sur la façon dont vous pouvez sécuriser votre organisation ; et comment mettre en place un système de défense impressionnante contre les menaces par messagerie électronique et via internet, contactez l’équipe de TitanHQ dès aujourd’hui.
Les logiciels obsolètes sont probablement la faille de sécurité la plus répandue dans le monde. Les cybercriminels ne sont pas différents des utilisateurs des entreprises en termes d’évolutivité et d’efficacité.
Les entreprises continuent de migrer leurs services et applications vers le cloud afin de servir leurs utilisateurs dispersés dans le monde entier, avec un degré d’évolutivité et d’efficacité qui ne peut être atteint que par le cloud computing.
De même, les pirates cherchent constamment de nouvelles façons d’optimiser leurs attaques. En ciblant l’entreprise d’un fournisseur de cloud computing très populaire, par exemple, un attaquant pourrait obtenir l’accès à tout ou partie de données de ses clients.
Lorsqu’un groupe de pirates informatiques bien connu a compromis un fournisseur de services de soins de santé dans le cloud, les dossiers des patients de certains de leurs plus gros clients ont été volés grâce à des connexions VPN qui n’offraient aucun niveau de sécurité fiable.
Et si vous pouviez simplement infiltrer un seul réseau et laisser un nombre incalculable d’autres entreprises télécharger facilement votre virus malveillant, et ce, sans aucun soupçon ? Cela peut sembler invraisemblable, mais détrompez-vous.
Plus tôt cette année, le très populaire logiciel de nettoyage de système, CCleaner, a été infecté par une attaque malveillante de la chaîne d’approvisionnement. Pendant six mois, les pirates informatiques ont pu infiltrer le réseau et finalement accéder à des serveurs clés.
Les attaquants ont d’abord obtenu l’accès au site via un poste de travail d’un développeur qu’ils ont ensuite utilisé pour compromettre l’application TeamViewer installée sur son ordinateur. De là, ils ont installé des keyloggers (enregistreurs de frappe) dans tout le réseau qui leur ont permis de voler les informations d’identification et d’obtenir des privilèges administratifs pour les serveurs clés utilisant le protocole RDP (Remote Desktop Protocol).
Ils ont ensuite remplacé la version authentique du logiciel par une version malveillante qui a finalement été téléchargée par 2,3 millions d’utilisateurs.
Ce n’est qu’un mois après l’installation du malware que les chercheurs de Cisco Talos ont détecté la version malveillante du logiciel et en ont informé la société mère, Avast. Le malware a été conçu pour fonctionner en deux étapes.
La première consistait à recueillir des informations sur les ordinateurs ayant téléchargé le code, comme le nom de l’ordinateur, la version du système d’exploitation, l’adresse MAC et les processus actifs.
Heureusement, le malware a été découvert avant que la deuxième étape n’ait pu être mise en œuvre, bien que son intention n’ait pas été claire. Considérant qu’il y a eu plus de deux milliards de téléchargements de CCleaner depuis sa création, les conséquences possibles auraient pu être terribles.
Attaque de malwares de la chaîne d’approvisionnement
Ce n’est pas la première fois que les pirates informatiques tirent parti d’une attaque malveillante de la chaîne d’approvisionnement.
Il y a deux mois, des chercheurs en sécurité informatique de plusieurs organisations ont publié une analyse complète de la façon dont les pirates ont infiltré la société ukrainienne de logiciels de comptabilité Medoc.
Cette attaque a permis d’injecter un code malveillant dans les futures mises à jour logicielles de la société et qui étaient en attente de distribution. Les clients du Médoc, qui représentent environ 80 % des entreprises ukrainiennes, ont ensuite téléchargé ces mises à jour.
Quelques mois plus tard, le code téléchargé a été utilisé pour lancer l’attaque NotPetya, laquelle a perturbé les entreprises de services publics et les entreprises publiques ukrainiennes, avant de se propager dans le monde.
L’année dernière, Kaspersky Labs a publié sur Wired Magazine deux autres exemples dans lesquels des malwares ont été largement diffusés par le biais de mises à jour logicielles, incluant une société de logiciels financiers ainsi qu’un fabricant de logiciels pour ATM.
Dès 2012, une souche de malwares de cyberespionnage appelée Flame a exploité une faille de l’autorité de certification des services terminaux de l’entreprise.
Armées de faux certificats, les machines infectées dans un réseau ciblé pourraient tromper les PC Windows et les amener à accepter un fichier malveillant comme une mise à jour de Microsoft.
Manipulation de systèmes pour la livraison de malwares
L’ironie de ce type de piratage est troublante, car de nombreuses attaques peuvent actuellement profiter des ordinateurs, serveurs et périphériques réseau qui ne sont pas correctement mis à jour.
Les professionnels de la cybersécurité continuent de souligner l’importance de maintenir tous les dispositifs à jour comme l’un des principaux moyens de renforcer la sécurité. Par conséquent, de nombreux utilisateurs et administrateurs configurent leurs appareils pour une mise à jour automatique.
Si le public commençait à perdre confiance vis-à-vis des mises à jour logicielles, de plus en plus de machines pourraient rester vulnérables. En fin de compte, c’est peut-être le véritable objectif de la communauté des hackers.
Plus tôt cet été, l’American Civil Liberties Union (ACLU) a publié un rapport intitulé « How Malicious Software Updates Endanger Everyone ? ». Le rapport résume la façon dont les agents gouvernementaux peuvent tenter de forcer les développeurs de logiciels à créer ou à installer du code malveillant dans les mises à jour de logiciels pour des applications légitimes.
Selon cette organisation, il est probable que les acteurs gouvernementaux tentent de forcer les fabricants de logiciels à mettre à jour leurs logiciels, en considérant les malwares conçus pour obtenir des données à partir d’appareils ciblés, car de plus en plus d’entreprises sécurisent les données de leurs utilisateurs par chiffrement.
Par exemple, Apple a récemment comblé une lacune technique que les organismes d’application de la loi utilisaient couramment pour extraire les données de l’iPhone. Après avoir refusé d’aider le FBI à ouvrir un iPhone verrouillé pour faciliter l’enquête sur un tueur en série, le FBI a trouvé une alternative en accédant à l’appareil par son port de chargement et de données. Apple a comblé cette lacune en exigeant le mot de passe de l’utilisateur pour accéder au port et pour transférer les données.
La question est de savoir si le gouvernement, disposant des droits d’accès aux appareils personnels, est à nouveau sous les feux de la rampe. À mesure que les entreprises supprimeront d’autres échappatoires technologiques, les forces de l’ordre seront de plus en plus soumises à des pressions pour trouver d’autres vulnérabilités à exploiter.
Il existe un risque réel que la confiance du public à l’égard des mises à jour logicielles soit perdue et que les systèmes soient mis à jour moins fréquemment en raison de l’exploitation par des pirates.
Enfin, la méthode la plus simple pour éviter le téléchargement de malwares lors de la mise à jour de vos programmes est d’éviter les options de mises à jour automatiques. Au lieu de cela, vous devriez les activer pour qu’elles puissent vous avertir lorsqu’une mise à jour est disponible.
Et lorsque vous devez le faire, il est recommandé de télécharger uniquement la mise à jour proposée par le développeur du logiciel.
L’ingénierie sociale est l’art de manipuler quelqu’un pour obtenir quelque chose. C’est peut-être une bonne pratique… mais pas toujours !
Dans cet article, nous nous concentrerons sur l’ingénierie sociale dans le contexte de la sécurité de l’information. De nos jours, la plupart des atteintes graves à la protection des données comportent une composante d’ingénierie sociale.
Types d’attaques d’ingénierie sociale
1. E-mail provenant d’un ami/collègue/membre de la famille
Ces attaques abusent de la confiance entre deux individus. Une personne prétend être quelqu’un qu’il n’est pas réellement.
Variante « Bloqué à l’étranger »
Il n’est pas rare de recevoir un e-mail qui prétend provenir d’une personne que vous connaissez et en qui vous avez confiance. Parfois, il s’avère que l’e-mail a été envoyé par une personne ayant des intentions criminelles.
L’e-mail pourrait vous informer que Marie est bloquée à Barcelone, car elles s’est fait voler son sac à main. Elle est à l’ambassade et a juste besoin d’argent pour avoir un billet d’avion pour rentrer chez elle. Si vous recevez un tel e-mail, essayez de contacter Marie via un autre moyen de communication comme Skype, Whatsapp, le téléphone, etc.
Cela vous permettra de confirmer si l’e-mail a bien été envoyé par la bonne personne. Ainsi, vous pouvez vous assurer que vous ne divulguez pas d’informations confidentielles ou bien que vous n’envoyez pas d’argent à des cybercriminels. Si le contact par e-mail est la seule option, signalez-le à votre service de la sécurité informatique. Ils sauront comment s’y prendre.
Variante « Lien amusant/intéressant »
Nous connaissons tous celui-là !
Le cybercriminel peut faire preuve de la plus étonnante de la gentillesse naturelle que vous pourriez rencontrer et vous invite à cliquer un lien qui vous redirige vers une vidéo. En faisant cela, vous pourriez perdre le contrôle de votre ordinateur.
S’il s’agit d’un ordinateur connecté à un réseau de travail, cela va créer des problèmes, car il peut maintenant servir d’une porte ouverte via laquelle les pirates pourront attaquer le reste du réseau interne de votre entreprise.
2. Tentatives de phishing
Ces attaques sur les réseaux sociaux abusent de la confiance que nous avons envers les institutions officielles qui sont dignes de confiance.
Variante « Échec de livraison de colis DHL/Fedex »
Vous pourriez recevoir un e-mail vous informant que DHL n’a pas été en mesure de livrer un colis à votre domicile. Pour régler le problème, vous pouvez simplement cliquer sur le lien suivant et … c’est là que vous devez dire : STOP !
Le mieux serait de vous demander si vous attendiez vraiment un paquet. Si ce n’est pas le cas, oubliez le message !
Si la livraison est suffisamment importante, l’expéditeur vous contactera directement, et non via DHL.
Variante « Vous êtes reconnu par un organisme de bienfaisance ou de collecte de fonds »
Si c’est important pour vous, ignorez toutes les informations contenues dans l’email, allez sur Google pour découvrir les détails concernant cette œuvre de charité.
Appelez directement les responsables pour pouvoir vérifier l’exactitude des informations.
Variante « Résolution instantanée d’un problème urgent »
Dans ce cas, essayez de joindre directement l’entreprise par téléphone ou en vous rendant à son bureau local.
Encore une fois, si c’est assez important, l’entreprise aura de nombreuses façons de communiquer avec vous.
Variante « Vous avez gagné à la loterie ! »
Si vous gagnez à la loterie, n’auriez-vous pas dû tout d’abord jouer ou acheter un billet pour pouvoir participer au jeu ?
Si ce n’est pas le cas, le mieux serait d’ignorer l’e-mail, sinon vous risquez d’appeler un numéro de téléphone contrôlé par les arnaqueurs.
Variante « Votre aide est nécessaire pour secourir des gens après une catastrophe naturelle »
Dans les heures qui suivent une catastrophe naturelle, les arnaqueurs commencent à cibler des individus partout dans le monde. Ils envoient de faux e-mails pour obtenir de l’aide, des ressources, etc.
Vous pouvez vous protéger contre ces pirates et arnaqueurs, à condition que vous disposiez d’un filtre de spams fiable.
Voici quelques mesures préventives de base que vous pouvez prendre lorsque vous recevez un message
En cas de doute, ignorez-le !
Respirez profondément et réfléchissez avant d’agir.
Faites des recherches et utilisez d’autres moyens de communication.
Rapportez les messages à votre service informatique et supprimez toutes les demandes d’informations privées, d’entreprise ou financières.
Signalez puis ignorez les demandes d’aide. Si c’est légitime, vous en entendrez parler d’une manière officielle.
Demandez-vous toujours : faut-il cliquer sur ce lien ?
Utilisez des noms d’utilisateur et des mots de passe différents pour différents services.
Utilisez l’authentification à deux facteurs, c’est-à-dire deux modes d’identification à partir de catégories de données distinctes.
Utilisez les cartes de crédit avec prudence.
Ces mesures n’empêcheront pas votre compte d’être compromis si un fournisseur de services tombe dans le piège d’un piratage d’ingénierie sociale et remet votre compte à l’attaquant. Cependant, elles peuvent au moins minimiser les éventuels dommages liés à une tentative d’attaques malveillantes et vous donner plus de tranquillité pour vous protéger des cybercriminalités via les réseaux sociaux.
