L’antispam désigne l’utilisation de tout logiciel, matériel ou processus qui permet d’empêcher les spams d’arriver dans les boites de réception de vos employés. Pour ce faire, le logiciel antispam utilise un ensemble de protocoles dédié à déterminer les messages non sollicités.
Quel que soit le serveur de messagerie ou le filtre antispam que vous utilisez, il y a quelques mesures rapides et simples que vous pouvez prendre pour réduire les spams et les attaques de malwares sur votre réseau.
Les avantages d’utiliser un logiciel antispam
D’abord, il faut savoir que le spamming consiste à utiliser un système de messagerie électronique pour envoyer des messages non sollicités – notamment des messages publicitaires ou malveillants – à un groupe de destinataires. Cela signifie que les destinataires n’ont pas donné leur accord pour l’envoi de ces messages. Il est donc important d’utiliser un logiciel antispam. Examinons certains de ses avantages et de ses caractéristiques.
Blocage des spams
Certaines solutions antispam permettent de bloquer des adresses électroniques spécifiques. Mais d’autres peuvent également rechercher des lignes d’objet et du texte dans les e-mails. Vous pouvez les personnaliser afin qu’elles puissent bloquer les e-mails entrants en fonction des expéditeurs.
Mise en quarantaine des spams
Les filtres antispam mettent automatiquement en quarantaine les e-mails indésirables afin de garantir que votre boîte de réception est exempte de spams. Lorsqu’un e-mail est mis en quarantaine, il est généralement conservé pendant une certaine période, par exemple 30 jours, et ensuite supprimé automatiquement. Pendant cette période, vous pouvez vérifier et récupérer les messages légitimes qui sont mis en quarantaine.
Mises à jour automatiques des filtres
La plupart des logiciels antivirus disposent d’une fonction de mise à jour automatique des filtres afin de détecter rapidement les nouveaux types de menaces de malwares. Les mises à jour automatiques aident non seulement votre logiciel antispam à rester à jour, mais aussi à protéger votre système contre les nouveaux types de malwares.
Surveillance de comptes multiples
Grâce à cette fonction, vous pouvez surveiller et filtrer les spams qui proviennent de plusieurs comptes. Vous pouvez filtrer votre messagerie électronique personnelle ou professionnelle.
Une liste blanche personnelle
Certains logiciels antispam vous permettent de maintenir une liste des personnes dont vous souhaitez accepter les messages. Ces e-mails ne seront jamais confondus avec des spams, contrairement à la liste noire des spammeurs. Il est également possible de mettre à jour cette liste à l’avenir.
Signaler un spam
Certains programmes antispam vous permettent de signaler les spams à votre entreprise. Cela permet aux équipes informatiques de développer de nouveaux types de filtres basés sur l’analyse des spams signalés.
Voici plus de détails concernant la protection contre les spams. Utilisez la liste ci-dessous pour mieux protéger vos employés.
1. Utilisez un RBL, ou Realtime BlackHole
Votre première ligne de défense, que vous ayez ou non un filtre antispam, est d’utiliser une liste noire RBL (Realtime Blackhole), pour rejeter tout e-mail provenant des serveurs de spam connus.
Il réduira à lui seul le spam de 70 à 90 %, selon votre secteur d’activité.
Le RBL a été mis en œuvre pour la première fois par l’organisation Mail Abuse Prevention System (MAPS) qui a été acquis par Trend Micro en 2005. Trend Micro adhère à des directives et des politiques strictes dans ses efforts continus pour désigner et supprimer les adresses IP de spams de ses listes de données blackhole.
Cela réduira également la charge sur votre serveur de messagerie ou votre filtre antispam, ainsi que sur votre réseau, car l’e-mail est rejeté avant d’être téléchargé, ce qui pourrait vous faire économiser beaucoup de bande passante. Il est recommandé d’utiliser zen.spamhaus.org, car c’est le site le plus à jour, avec le meilleur blocage de spams et les taux de faux positifs les plus bas.
Mieux encore, il vous suffit de quelques minutes pour configurer votre serveur de messagerie ou votre filtre antispam pour utiliser un RBL.
Le RBL empêche les abus en bloquant les spams. Cependant, le processus de mise sur liste noire doit être géré avec soin. Il ne peut pas interdire les connexions source appropriées ou authentiques ou la mise en réseau open source. Si un fournisseur d’accès internet s’abonne au système RBL, il peut déterminer quelles adresses IP doivent être bloquées et ajoutées à la liste noire. Si une adresse IP correspond à une adresse IP répertoriée sur cette liste, la connexion devrait automatiquement être bloquée.
2. Configurez votre serveur pour qu’il requière des protocoles de négociation SMTP corrects
Si vous vous assurez que seule la messagerie électronique utilisant le SMTP correct est acceptée, vous bloquerez la plupart des spambots.
Assurez-vous que vous avez besoin de HELO (EHLO) avec un nom de domaine pleinement qualifié (FQDN) et, de préférence, un nom d’hôte pouvant être résolu.
Comme avec l’utilisation d’un RBL, la vérification est faite avant d’accepter l’e-mail, ce qui réduira la charge sur votre filtre antispam, votre serveur e-mail et votre réseau. Cela ne prendra que quelques minutes pour configurer votre serveur de messagerie ou votre filtre antispam.
Un conseil : Certaines organisations peuvent occasionnellement avoir besoin d’une liste blanche de fournisseurs ou de clients dont les serveurs de messagerie sont mal configurés pour permettre l’acceptation de leurs e-mails.
Cela permettra de réduire de manière significative le spam pour les organisations individuelles, mais cette solution n’est peut-être pas appropriée pour les fournisseurs de services gérés (MSPs).
3. Utilisez la vérification du destinataire pour rejeter les e-mails à des adresses inexistantes
Les spammeurs envoient souvent des e-mails à un éventail d’adresses de e-mail possibles telles que « admin@ », « info@ ». Ils peuvent aussi utiliser un dictionnaire de noms pour recevoir des e-mails dans les boîtes de réception individuelles.
Pour rejeter les e-mails qui ne sont pas adressés à des adresses électroniques authentiques, téléchargez vos adresses électroniques valides sous forme de fichier CSV sur votre serveur de messagerie ou votre filtre antispam, ou utilisez l’intégration de Microsoft Active Directory, si possible.
Encore une fois, comme avec l’utilisation d’un RBL et d’un protocole de négociation SMTP, la vérification du destinataire empêche le téléchargement d’e-mails indésirables, ce qui vous permet d’économiser de la bande passante et de réduire la charge sur votre serveur e-mail et votre réseau.
Cela peut prendre un peu plus de temps à mettre en œuvre si vous avez besoin d’obtenir une liste valide d’adresses e-mail, car vous devez les convertir au format CSV et les télécharger sur votre serveur de messagerie ou votre filtre antispam.
Cependant, l’effort en vaut la peine en raison de la quantité de spams que vous pourriez bloquer grâce à cette solution.
Notez que ces trois solutions se complètent et peuvent être implémentées sur la plupart des serveurs de messagerie — même sans filtre antispam. Si vous ne les utilisez pas, vous risquez de gaspiller votre bande passante ; d’exposer votre réseau à des risques inutiles.
Par ailleurs, vous pourriez perdre beaucoup de temps et d’efforts à gérer les effets du spam, comme l’infection par le virus CryptoLocker.
Prévoyez une demi-heure cette semaine pour mettre en œuvre ces trois mesures, et vous économiserez probablement des semaines de travail au cours de l’année prochaine.
Les autres étapes ne sont pertinentes que si vous disposez d’un filtre antispam (commercial ou open source, sur site ou dans le cloud).
Le filtrage heuristique des e-mails peut protéger votre messagerie des spams
L’analyse heuristique est une technique permettant de détecter et de protéger votre boîte de messagerie contre les spams. Il s’agit d’un filtre basé sur l’analyse des contenus d’un e-mail et non sur la comparaison avec des bases de données en utilisant des listes noires.
L’objectif est d’examiner un e-mail grâce à un très grand nombre de paramètres, allant de quelques centaines à plusieurs milliers, comme la proportion de code HTML, la présence de signes monétaires, le nombre ou la qualité d’images ou l’absence du sujet de l’e-mail.
L’analyse par expressions régulières
Le filtrage heuristique est basé sur le principe des expressions régulières. Une expression régulière, également appelée expression rationnelle, est une chaîne de caractères qui permet d’interpréter ou de réaliser des actions sur une autre chaîne de caractère. De cette façon, il est possible d’effectuer une recherche, de traiter des éléments ou de les remplacer.
L’analyse heuristique permet la recherche de virus
L’analyse heuristique une des méthodes les plus utilisées pour la recherche de nouveaux virus informatiques, permettant une détection de plus de 90 % des virus inconnus. Elle permet d’évaluer la structure d’une application en vue de détecter si elle présente des caractéristiques ressemblant à celles d’un virus.
4. Bloquez les types d’attachement dangereux
Très peu d’entreprises ont besoin de recevoir des fichiers .exe par e-mail.
Bloquez-les et, dans les rares cas où ils sont nécessaires, créez une autre méthode de prestation qui assure la sécurité avec un minimum de bureaucratie.
Assurez-vous que vous bloquez par type MIME (Multipurpose Internet Mail Extensions), et non par extension de fichier, car très peu de spammeurs utiliseront l’extension de fichier .exe.
Ils déguiseront plutôt le fichier utile en PDF, en image, en feuille de calcul ou en document.
En fait, les pièces jointes malveillantes constituent une menace de plus en plus dangereuse pour la sécurité de toute entreprise. Déguisées en documents, messages vocaux, en fax ou en PDF, elles sont conçues pour lancer une attaque sur l’ordinateur de la victime une fois qu’elles sont ouvertes. Les pièces jointes malveillantes peuvent également être conçues pour installer des virus sur un ordinateur ; pour lancer des attaques de ransomware ou des menaces persistantes avancées contre votre organisation.
Les attaques de malware
Une attaque de malware est une forme de cyberattaque courante dans laquelle un logiciel malveillant exécute des actions non autorisées sur le système de la victime. Le virus englobe différents types d’attaques spécifiques comme les spywares, les systèmes de commande et de contrôle, etc.
Des pirates informatiques particuliers, des entreprises, des organisations criminelles, voire des acteurs étatiques bien connus ont été accusés utilisent des virus pour de nombreuses raisons. Comme d’autres types de cyberattaques, certaines attaques de malware font l’objet d’une couverture médiatique importante, car leurs impacts sont souvent considérables.
Les attaques de ransomware
Les ransomwares sont des logiciels d’extorsion destinés à verrouiller votre ordinateur et vos fichiers et demander une rançon en échange de la clé de déverrouillage. Selon le type de ransomware, c’est l’ensemble de votre système d’exploitation ou certains fichiers individuels qui peuvent être chiffrés.
Parmi les plus grandes attaques de ransomware, on peut citer celle qui s’est produite en juillet 2020. Lors de cette attaque, la société américaine de services de voyage CWT Global a réalisé le record mondial du plus gros paiement de rançon jamais effectué. En réalité, l’organisation a remis environ 3,5 millions d’euros en bitcoins aux escrocs derrière le ransomware Ragnar Locker. Lors de cette attaque, 30 000 ordinateurs auraient été mis hors service et deux téraoctets de données auraient été compromis.
Les menaces persistantes avancées
Comme le suggère le mot « avancé », une attaque persistante avancée, ou APT, utilise des techniques de piratage sophistiquées — mais aussi continues et clandestines — pour accéder à un système et y rester pendant une période prolongée. L’objectif des APT est souvent le vol de données, et les conséquences peuvent être potentiellement destructrices.
L’une des APT les plus connues est celle qui a ciblé Stuxnet. Il s’agit d’un ver qui a été utilisé pour attaquer le programme nucléaire iranien et qui se transmet par un dispositif USB infecté. Il a endommagé les centrifugeuses qui servent à enrichir l’uranium. Pour ce faire, Stuxnet a ciblé les systèmes industriels de contrôle et d’acquisition de données (SCADA), perturbant ainsi l’activité des machines du programme nucléaire à l’insu de leurs opérateurs.
La protection contre les pièces jointes malveillantes aux e-mails nécessite un système avancé, c’est-à-dire un système qui va au-delà des mesures de sécurité standard. Il doit être conçu pour protéger votre système de messagerie et offrir une défense très efficace contre les attaques lancées via les e-mails.
Pour se protéger contre les pièces jointes malveillantes, votre outil doit être capable d’analyser tous les e-mails et chaque clic sur n’importe quel e-mail sur tous les appareils utilisés par vos employés afin d’identifier les pièces jointes potentiellement dangereuses. Dès qu’une pièce jointe est jugée suspecte, il peut faire deux choses, à savoir de la mettre en bac à sable ou de le renvoyer le contenu à son destinataire, sans pièces jointes.
Il est également de convertir instantanément les pièces jointes malveillantes en un format sécurisé pour neutraliser tout code malveillant avant de le renvoyer à son destinataire. Les administrateurs peuvent combiner le système de sandboxing avec la prévisualisation instantanée pour plus de sécurité.
5. Recherchez les virus
Si vous n’avez pas de filtre antispam, vous devez disposer d’une bonne protection antivirus pour tous les points finaux. Si vous avez un filtre antispam, assurez-vous que vous utilisez un antivirus et que le moteur antivirus et les signatures sont à jour.
La plupart des filtres antispam vous permettent d’automatiser et de régler la fréquence de mise à jour.
Mon opinion personnelle est que, si votre filtre antispam contient un antivirus, vous pouvez utiliser un antivirus différent pour la protection des terminaux afin de bénéficier de la redondance.
Même si l’avantage d’avoir différents moteurs est minime, c’est quand même mieux que d’avoir tous vos œufs dans le même panier.
Le marché des filtres antispam et de l’antivirus est suffisamment diversifié et concurrentiel pour que vous n’ayez pas à payer un supplément pour faire appel à deux fournisseurs.
Quelques exemples des meilleurs antivirus que vous pouvez utiliser
Il existe actuellement des millions de virus actifs et de logiciels malveillants. Chaque année, ils coûtent des milliards de dollars à l’économie mondiale. Il n’est donc pas surprenant qu’il existe de nombreux antivirus sur le marché. Leurs prix sont différents, et cela dépend de plateforme pour laquelle ils sont conçus, de fonctionnalités et des caractéristiques supplémentaires qu’ils disposent.
Voici quelques-uns des meilleurs antivirus disponibles actuellement :
Bitdefender
Bitdefender est un antivirus complet qui offre une protection optimale contre les virus et d’autres types de malwares. Il est compatible avec les principaux systèmes d’exploitation et est convivial. Bitdefender comprend également un VPN gratuit dont la limite quotidienne est de 200 Mo. Il propose un contrôle parental, un gestionnaire de mots de passe, une protection de la webcam et un outil spécialement conçu pour lutter contre les ransomwares. Cet antivirus est proposé à un prix très compétitif et permet de protéger vos dispositifs 24 heures sur 24 et 7 jours sur 7.
Norton
Norton est un produit de Symantec. Il existe depuis près de trois décennies et est sans aucun doute l’un des antivirus les plus reconnaissables en termes de cybersécurité. La suite logicielle de sécurité de Norton Security Premium est compatible avec les principaux systèmes d’exploitation et avec les maisons intelligentes. Elle est dotée de plusieurs fonctionnalités, bien qu’elle ne comprenne pas de service VPN gratuit. Par contre, Norton offre un contrôle parental ainsi qu’un grand espace de stockage en ligne (25 Go). Cet antivirus est idéal pour les propriétaires de plusieurs dispositifs, car une licence peut protéger jusqu’à 10 appareils.
Panda
Panda est un autre excellent antivirus qui offre une protection fiable contre toutes les cyberattaques connues. Ce logiciel est connu pour ses performances rapides, mais il est uniquement compatible avec les systèmes d’exploitation macOS, Windows et Android. Bien que Panda ne prenne pas en charge iOS, le logiciel est livré avec un service VPN dont la limite quotidienne est de 150 Mo. Il dispose également d’un gestionnaire de mots de passe, d’un contrôle parental et d’un programme antivirus USB autonome. Panda comprend un scanner complet de malwares pour Android et protéger jusqu’à cinq appareils.
McAfee LiveSafe
McAfee LiveSafe est unique, car il propose une seule licence qui est valable pour un nombre illimité d’appareils. Cet antivirus est compatible avec les principaux systèmes d’exploitation et offre une protection supérieure contre les malwares pour les machines qui fonctionnent sous Android et Windows, sans affecter leurs performances. Le fait est que ce logiciel ne propose pas une fonction de contrôle parental aussi avancée que celle de la concurrence, mais il inclut un gestionnaire de mots de passe True Key fiable. L’autre aspect de McAfee LiveSafe est qu’il dispose d’une fonction de reconnaissance faciale qui garantit la sécurité de vos données de connexion.
ClamAV
ClamAV est un antivirus open source pouvant être téléchargé sur son site web. Il peut être utilisé de façon fiable afin de détecter différents types de fichiers malveillants. En particulier, il peut détecter certains e-mails de phishing grâce à des techniques avancées.
Bien sûr, le choix d’un antivirus peut varier en fonction des situations, alors n’hésitez pas à les partager dans les commentaires !
6. Assurez-vous que toutes les URLs dans le corps de l’email sont sûres
Utilisez URIBL et SURBL pour vérifier que les URLs dans le corps de l’email ne sont pas des malwares ou des sites de phishing connus.
La plupart des filtres de messagerie analysent seulement le corps des courriers électroniques dans le but de détecter la présence d’éventuelles URL de phishing connues. Mais les cybercriminels ne cessent de trouver de nouvelles tactiques pour les contourner. Ils dissimulent souvent l’URL malveillante dans les pièces jointes.
Lorsqu’un e-mail arrive dans la boîte de réception d’un employé, il l’avertit qu’il a reçu par exemple une facture ou un document important, nécessitant une relecture ou son accord. L’URL de phishing se trouve souvent dans le corps du texte du document joint qui est généralement rédigé sous un format Word ou PDF. Bien que le sandboxing permette de scanner ce type de pièce jointe, la plupart des technologies de sandboxing n’inspectent que les documents qui contiennent des malware et non des URL de phishing.
Lorsqu’un utilisateur clique sur la pièce jointe pour la télécharger ou l’afficher, il est automatiquement redirigé vers une page malveillante qui permet aux pirates de télécharger des malwares ou des ransomwares sur son ordinateur.
Les fichiers ZIP peuvent également contenir des virus et des URLS cachées. C’est une stratégie les de plus en plus utilisées par les cybercriminels, car elle est très efficace pour contaminer les ordinateurs et parce qu’elle est difficile à contrer pour les administrateurs réseau.
Les pirates qui utilisent le malware Emotet sont particulièrement friands de cette tactique. À titre d’exemple, à la fin de l’année 2020, des groupes de pirates ont envoyé des vagues massives de malspam dans lesquelles ce malware se cachait derrière des fichiers ZIP protégés par des mots de passe.
7. Utilisez une bibliothèque de modèles de spams régulièrement mise à jour
La plupart des moteurs de spams ont une fonction intégrée et elle n’est généralement pas configurable. C’est grâce à cela qu’une quantité importante de spams peut être capturée, sur la base d’une vaste base de données de spams récents et d’un historique fourni par la communauté de la lutte contre le spam.
Cependant, il existe certains mots à éviter pour que vous ne tombiez pas dans les spams. Le mot « facture » est par exemple celui le plus préféré des cybercriminels. Si vous le voyez dans l’objet d’un email, vous devriez vérifier avant tout l’authenticité de l’expéditeur.
Il existe également d’autres mots comme « PayPal », « Mastercard » ou « Visa », via lesquels des expéditeurs malveillants peuvent essayer de se faire passer pour des organismes bancaires légitimes. Sans oublier les e-mails qui proposent des cadeaux ; ceux qui semblent urgents, ou encore ceux qui sont liés aux jeux d’argent.
SpamAssassin est une excellente ressource de signatures de spam précises et à jour.
SpamTitan est également un bon exemple.
SpamTitan est un outil qui permet de protéger les systèmes de messageries électroniques professionnelles contre les cybermenaces, comme les virus, les spams, le phishing et les malwares.
Filtre et contrôle des e-mails
À destination des entreprises, écoles et des fournisseurs de services gérés, SpamTitan peut rapidement être configuré. Il protège votre organisation contre toutes les attaques informatiques internes et externes.
Dès qu’un mail est envoyé à la messagerie protégée par SpamTitan, le logiciel intercepte le message afin de détecter s’il est malveillant ou non.
SpamTitan scanne d’abord le message pour vérifier qu’il ne contient aucun virus ou de pièces jointes corrompues. Ensuite, il va vérifier qu’il ne s’agit pas d’un spam et si l’expéditeur est inscrit dans une liste noire ou blanche. Enfin, le logiciel délivre le message au destinataire – si le message est considéré comme légitime — ou le redirige vers une zone de quarantaine où il sera soumis à une analyse plus approfondie par les administrateurs système.
8. Utilisez le filtrage bayésien
La plupart des moteurs de spam utilisent un moteur Bayes, tout particulièrement conçu pour reconnaître le spam.
Bayes était un statisticien dont les méthodes sont largement utilisées pour la classification (dans ce cas : « spam » vs. « ham»).
Le filtrage bayésien est une technique souvent utilisée pour détecter et se protéger votre boîte de messagerie contre les spams. Elle est issue du théorème de Bayes et consiste à comparer les mots d’un e-mail. Chaque mot est associé à une probabilité correspondant au nombre de fois où ce mot apparaît dans un spam. Si cette probabilité dépasse un certain seuil, le message sera donc considéré comme un spam.
Les e-mails entrants sont évalués en fonction de la bibliothèque de modèles de spams, des mauvaises pièces jointes, des mauvais liens et des commentaires de l’utilisateur final (via un clic sur le bouton « Spam » ou « Junk » dans le client de messagerie de l’utilisateur).
Le moteur Bayes apprend alors à reconnaître les nouveaux spams et à oublier les anciens modèles de spams susceptibles de bloquer les e-mails légitimes.
Le système utilise l’apprentissage automatique pour calculer la probabilité de chaque mot, et ce, grâce aux expériences passées. Il classe chaque e-mail dans le dossier des spams et analyse des mots. Plus un mot apparaît fréquemment dans les spams, plus sa probabilité d’être considéré en tant que chaîne suspecte augmente.
Par exemple, le mot « viagra » a une probabilité de 100 %, tandis que le mot sécurité n’a qu’une probabilité de 20 %.
Au final, si la probabilité dépasse un certain seuil, le message sera considéré comme étant un spam. Si certains mots apparaissent souvent dans d’autres e-mails, le système bayésien les considérera comme des spams à l’avenir.
9. Définissez le score de spam approprié pour votre organisation
La plupart des filtres antispam donnent à un e-mail entrant un score basé sur le contenu et les pièces jointes.
C’est à vous, l’administrateur système, de décider du bon seuil de score de spam pour votre organisation. C’est quelque chose qui demande un peu d’essais et d’erreurs pour être opérationnel, mais en général, vous pouvez le réaliser pendant la première ou les deux premières semaines après son déploiement.
Un score de 1 à 30 % peut par exemple être considéré comme faible.
Un score de 31 à 60 % peut être considéré comme un score de spam moyen.
Un score de 61 à 100 % devrait être considéré comme un score élevé.
Le mieux serait de ne recevoir aucun spam. Cependant, si votre site ou votre boîte de messagerie présente un score de spam élevé, cela ne signifie pas qu’il s’agit nécessairement que vous soyez une cible d’un acte d’escroquerie. Pourtant, vous devriez faire une enquête plus approfondie sur la pertinence et la qualité de votre site ou de votre système de messagerie électronique.
Pour ce faire, le mieux serait de faire appel à un fournisseur de services gérés. Attention toutefois, car votre prestataire doit vous accorder une période d’essai pour confirmer que vous pouvez obtenir ce droit pour votre organisation et pour vous aider à configurer leur filtre antispam.
Ainsi, vous pourrez obtenir le taux de blocage optimal et le taux minimal possible de faux positifs avec leur produit. Profitez de votre période d’essai gratuite pour vous assurer que tout fonctionne.
10. Activez le feedback spam de l’utilisateur final
Les feedback spam de l’utilisateur final contiennent une liste de tous les e-mails mis en quarantaine que l’utilisateur final a reçus pendant une période que vous pouvez configurer. En fait, lorsque vous utilisez un service de messagerie électronique particulier, vous pouvez spécifier une valeur allant de 1 et 15 jours. Il est également possible de configurer la langue dans laquelle le message de notification est rédigé.
Offrez à vos utilisateurs finaux un moyen d’améliorer votre moteur Bayes en marquant manuellement tout spam qui passe à travers votre filtre comme « Spam » ou « Junk » pour corriger les faux positifs.
11. Formez vos utilisateurs finaux à la prévention des infections
Une bonne politique d’utilisation de la messagerie électronique — qui enseigne et met en garde contre les risques et les conséquences du spam, des malwares, des virus et du phishing — offre à vos utilisateurs finaux les connaissances dont ils ont besoin pour maîtriser les dernières tentatives d’escroquerie.
À elle seule, la politique d’utilisation pourrait sauver votre organisation d’une éventuelle ruine financière. On pourrait facilement plaider pour que cela soit le n° 1 de la liste des priorités, notamment parce que de nombreux utilisateurs finaux n’accordent qu’une petite attention à ce sujet.
Il existe beaucoup d’opinions négatives à l’égard des « utilisateurs » et de la façon dont ils sont contraints de se protéger d’eux-mêmes.
Au lieu de les abandonner en tant que cause perdue, vous devriez leur donner l’armure et des munitions dont ils ont besoin pour se joindre à vous afin de protéger les données. Utilisez le grand méchant CryptoLocker comme tactique d’intimidation des pirates si nécessaire.
Toutefois, assurez-vous que tout le monde connaît les risques potentiels en cliquant sur un lien dans un email. Par ailleurs, ils doivent se méfier de tout email provenant de la banque (ou de toute autre organisation essentielle à votre activité) qui demande certains détails qu’ils devraient déjà avoir, tels que les noms d’utilisateur, les mots de passe, les numéros de compte, les numéros de sécurité sociale, etc.
Même si vous fournissez ces différents outils et qu’ils ne sont pas utilisés, vous avez au moins une jambe sur laquelle vous pouvez vous tenir en cas de besoin.
Le fait de dire : « Je vous l’avais dit » ne servira plus à grand-chose une fois que votre entreprise est en faillite.
Pourtant, votre carrière, au moins, ne se terminera pas dans l’entreprise si vous avez fait tout ce que vous pouvez pour protéger le réseau et empêcher les intrus d’entrer.
Bonne chance dans votre lutte continue pour mettre fin à la cybercriminalité !
Si vous avez des questions sur l’un de ces conseils, n’hésitez pas à nous contacter, nous serons ravis de vous répondre. Envoyez-nous un e-mail à info@titanhq.fr.
La sécurité des applications web est devenue un enjeu majeur non seulement pour les entreprises, mais aussi pour les particuliers. Beaucoup de services fonctionnent actuellement grâce aux technologies web et il est essentiel de comprendre les risques qui y sont liés.
Dans ce dossier, nous passerons en revue quelques principes simples que vous pouvez utiliser pour assurer la sécurité des applications web. Vous apprendrez quelques bonnes pratiques de sécurité en matière de développement des applications web afin de garantir la confidentialité, la disponibilité et l’intégrité de vos données.
Plus précisément, nous allons parler de l’OWASP qui a publié les 10 risques les plus critiques pour la sécurité des applications. C’est parti !
Introduction
Imaginez un instant la quantité de données personnelles que les applications web traitent aujourd’hui.
Les utilisateurs interagissent en permanence avec les applications logicielles relatives aux transactions dans le domaine de la santé, de la banque et du commerce de détail.
Presque toutes les grandes entreprises et organisations qui traitent des données de grande valeur disposent aujourd’hui d’une application web. De plus, l’infrastructure qui supporte les nouveaux sites web basés sur les applications d’aujourd’hui est devenue très complexe.
De nos jours, ces sites sont généralement structurés en trois niveaux :
Le niveau client est le premier niveau
Un moteur utilisant une technologie de contenu web dynamique est le niveau intermédiaire
Une base de données est le troisième niveau.
Cette architecture de type multiniveaux signifie qu’en plus du modèle de trafic Nord-Sud, qui va de l’utilisateur et vers le niveau du client (le serveur HTML frontal), le site crée également un grand volume de trafic Est-Ouest entre les multiples serveurs résidant dans des niveaux séparés.
Cette autoroute supplémentaire et la complexité accrue de sa conception rendent la cybersécurité beaucoup plus difficile.
Ajoutez à cela le rythme rapide des processus de développement des logiciels et l’intégration des opérations de développement et vous allez rapidement reconnaître les défis en matière de sécurisation des applications web d’aujourd’hui.
L’OWASP, une référence en matière de développement d’applications web
L’Open web Application Security Project (OWASP) est une communauté ouverte dont la mission est de permettre aux entreprises de développer, acheter et maintenir des applications et des interfaces de programmation applicative (API) plus fiables.
L’insécurité des logiciels entrave non seulement la confiance des utilisateurs, mais aussi la sécurité de notre pays lorsqu’il concerne le secteur industriel, celui de l’énergie et de la défense. En 2003, l’OWASP a publié les principaux risques de sécurité des applications les plus répandues à l’époque.
L’objectif était d’identifier les principales tactiques utilisées par les pirates pour infiltrer et compromettre les données dans les applications web.
Les projets de l’OWASP
L’OWASP recense un nombre important de projets disponibles en accès libre. Le champ d’application de ces projets est très varié, mais il est toujours en lien avec la sécurité web.
Parmi ces champs d’application, on y retrouve des listes et des guides tels que ceux que nous allons vous présenter, mais aussi des logiciels qui permettent de rechercher des vulnérabilités sur une application web (OWASP O-Saft, OWASP SQLiX, OWASP JHijack, OWASP webScarab, et bien d’autres).
Voici 4 projets populaires que vous devez savoir à propos de l’OWASP :
OWASP web security testing guide
Le projet web Security Testing Guide (WSTG) est un guide complet qui permet aux développeurs de tester la sécurité de leurs applications. C’est une sorte de superchecklist que les développeurs peuvent utiliser pour effectuer des tests de sécurité web.
Ce guide est une référence en matière de tests de sécurité, car il est très complet et est fourni avec un ensemble de bonnes pratiques qui ont été déjà utilisées par de nombreuses organisations dans le monde entier. Il est constamment mis à jour par des bénévoles de l’OWASP et d’autres professionnels de la cybersécurité.
OWASP mobile Top 10
L’OWASP ne se concentre pas seulement sur la sécurité des applications. L’organisation travaille plus largement sur la sécurité des technologies web en général. Mais suite au succès de l’OWASP Top 10, elle a mis en place une liste dédiée particulièrement à la sécurisation des applications mobiles, à savoir l’OWASP Mobile Top 10.
Ce Top 10 présente les dix risques de sécurité les plus critiques pour les applications mobiles. Il a pour but de sensibiliser les développeurs ainsi que les organisations à la sécurité des applications mobiles. C’est l’une des plus importantes références à prendre en compte, car la part de l’utilisation des services avec des Smartphones ne cesse d’augmenter.
OWASP mobile security testing guide
En plus des offres précédentes, l’OWASP propose une norme de sécurité dédiée aux applications mobiles, accompagnée d’un guide de tests complet. Ce guide couvre les processus, les outils ainsi que les techniques que vous pouvez utiliser lors des tests de sécurité de vos applications mobiles.
Ce document fournit également un ensemble de cas de tests, permettant aux testeurs de fournir des résultats complets et cohérents.
Bref, il s’agit d’un référentiel très prisé par les développeurs pour la sécurité des applications web et mobile.
OWASP Top 10
Le Top 10 de l’OWASP est le projet le plus connu de l’organisation. En réalité, il s’agit d’une liste des 10 risques de sécurité les plus cruciales pour les applications web.
Le but de ce projet est de sensibiliser les développeurs à la sécurité web. D’ailleurs, ce Top 10 est reconnu mondialement par les développeurs en guise de base de référence pour sécuriser le code de leurs applications.
C’est le sujet que nous allons aborder un peu plus en profondeur dans ce dossier.
L’OWASP a publié ses Tops 10 des risques en matière de sécurité des applications en 2017
L’OWASP a publié sa liste très attendue pour 2017. Celle-ci est basée sur 11 jeux de données d’entreprises spécialisées dans la sécurité des applications.
Elle couvre les vulnérabilités rassemblées auprès de centaines d’organisations et de plus de 50 000 applications et API dans le monde.
Injection
Authentification interrompue et gestion des sessions
Scripts XSS (Cross-Site Scripting)
Contrôle d’accès cassé
Mauvaise configuration de la sécurité
Exposition aux données sensibles
Protection insuffisante contre les attaques
Contrefaçon de demande intersite (CSRF)
Utilisation de composants présentant des vulnérabilités connues
Sous APIs protégées
Injection de code
L’injection de code est un type de stratégie que les pirates peuvent utiliser pour prendre vos propres codes à partir d’un site web. Pour ce faire, ils manipulent les paquets de vos flux de données existant grâce à de nombreux outils.
Ils peuvent ensuite utiliser de nombreux types de code pour ensuite les injecter dans votre flux de données, en utilisant des vulnérabilités pour lancer un kit d’exploitation. C’est notamment le cas lorsque l’un de vos développeurs a fait un mauvais travail de codage d’un programme informatique.
Normalement, ces derniers devraient s’assurer que leurs collaborateurs utilisent les applications de façon efficace et réparer les vulnérabilités afin que les cybercriminels ne puissent pas en profiter.
L’une des choses que les pirates ont l’habitude de faire est d’injecter votre propre code SQL dans certains de vos flux de données. Ils modifient les demandes SQL qui sont faites à une base de données à travers un front end web. Bien entendu, ils n’ont pas l’accès direct à votre base de données, mais lorsqu’ils font une requête sur votre serveur web, le serveur va réaliser une requête à votre base de données SQL.
De cette manière, ils peuvent donner à votre serveur web de mauvaises informations, ce qui donne par la suite de mauvaises informations au serveur SQL. En fin de compte, ils peuvent obtenir des informations sensibles depuis votre base de données.
Étant donné qu’il existe tellement de types de données différents, les responsables informatiques doivent empêcher les pirates d’injecter de données HTML, SQL, XML et LDAP. La meilleure façon d’y parvenir est de mettre vos informations dans un flux de données pour que les pirates ne puissent pas contourner la sécurité.
L’attaque par injection SQL est très répandue, mais il y a d’autres types d’injection tels que l’injection XML et l’injection LDAP qui permettent aux pirates d’accéder facilement aux identifiants de connexion de vos employés.
Authentification interrompue et gestion des sessions
Saviez-vous que plus de 113 millions de sites web présentent actuellement une faille de sécurité ? Cela représente environ 6 % de tous les sites internet dans le monde. En fait, chaque vulnérabilité est considérée comme une faiblesse du code d’un site web que les cybercriminels peuvent exploiter pour obtenir un accès non autorisé à votre réseau ou aux périphériques qui y sont connectés.
En 2018, l’un des types de vulnérabilités les plus courants signalés par l’OWASP concernait l’authentification interrompue et la gestion des sessions. En termes simples, la gestion des sessions et de l’authentification interrompue permet à un cybercriminel de voler les données de connexion d’un de vos employés ou de falsifier leurs données d’identification comme les cookies pour accéder à votre site web, sans votre autorisation.
Le Top 10 de l’OWASP est une liste des 10 failles de sécurité les plus dangereuses des applications web de nos jours, y compris l’authentification et la gestion de session interrompues. Selon owasp.org, son but est de favoriser la visibilité et l’évolution de la sécurité des solutions logicielles dans le monde.
Qu’est-ce que l’authentification interrompue et la gestion de session ?
De nombreux sites web exigent que les utilisateurs se connectent pour accéder à leurs comptes, pour faire un achat, etc. Le plus souvent, cela se fait à l’aide d’un nom d’utilisateur et d’un mot de passe.
Avec cette information, un site va rediriger le visiteur vers son compte. Si les informations d’identifications ne sont pas correctement sécurisées, les pirates peuvent utiliser un faux schéma d’authentification et de gestion de session pour se faire passer pour un utilisateur valide.
Comment les pirates peuvent-ils exploiter l’authentification et la gestion de session interrompue ?
Lorsqu’un employé se connecte à votre site web, le site utilise un algorithme qui lui permet de générer un identifiant de session unique. L’appareil de votre employé va utiliser cette information d’identification pour lui permettre d’accéder à son compte.
Toutes ces informations doivent être envoyées et retournées depuis l’appareil utilisé jusqu’au serveur. Si ces informations ne sont pas chiffrées et au moment où elles sont envoyées au serveur web de votre entreprise, les pirates peuvent les intercepter.
Ces derniers peuvent ensuite usurper les identifiants de connexion de l’utilisateur pour pouvoir les utiliser à des fins malveillantes.
Quels sont les risques ?
Une telle attaque ne doit pas être prise à la légère, car elle affecte directement la vie privée et la protection des données des utilisateurs finaux, mais aussi ceux des administrateurs des entreprises si les cybercriminels parviennent à accéder à des comptes non autorisés.
Si vous voulez comprendre comment fonctionne le vol de session et comment vous en protéger, vous devriez faire un rappel sur le fonctionnement d’une session avant de concevoir votre application web. Vous devriez également mettre en place un système d’authentification à deux facteurs que les utilisateurs devront utiliser pour se connecter à leur compte Windows, par exemple.
Scripts XSS (Cross-Site Scripting)
Le Cross-site Scripting ou XSS est une attaque par injection de code du côté de l’utilisateur. L’attaquant vise à exécuter des scripts malveillants dans le navigateur web de vos employés en incluant du code malveillant dans une application web ou une page web légitime.
L’attaque réelle se produit lorsque la victime consulte la page ou l’application web qui exécute le code malveillant. En conséquence, la page ou l’application web devient un vecteur de scripts malveillants.
Les moyens d’attaque utilisés pour le Cross-site Scripting sont souvent les forums, les messages électroniques et les pages web qui permettent de faire des commentaires.
Par exemple, un pirate peut poster un script malveillant sur un forum de discussion. Lorsqu’un autre utilisateur clique sur le lien fourni, cela déclenche un appel asynchrone HTTP TRACE, collectant les informations du cookie de l’utilisateur sur le serveur. Ensuite, ces informations sont envoyées à un autre serveur malveillant qui collecte à nouveau les informations du cookie pour permettre au pirate de lancer une attaque de détournement de session
Le Cross-site Scripting peut aussi être utilisé pour défigurer un site web au lieu de cibler l’utilisateur. Dans ce cas, le pirate peut utiliser des scripts injectés afin de modifier le contenu du site web ou même rediriger le navigateur vers une autre page web, par exemple, vers une page contenant un code malveillant.
Comment vous protéger ?
Les principales défenses contre les scripts XSS sont précisées dans la fiche de prévention des XSS de l’OWASP. Cependant, le plus important est de désactiver le support HTTP TRACE sur tous vos serveurs web. Vous devriez également supprimer la prise en charge de HTTP TRACE sur tous vos serveurs web si vous ne voulez pas qu’un pirate vole vos données de cookies via Javascript, même lorsque l’objet document.cookie est désactivé.
Contrôle d’accès cassé
Le contrôle d’accès est la façon dont une application web permet à certains de vos employés d’accéder à des contenus et à des fonctions spécifiques. Ces contrôles sont effectués grâce à un système d’authentification et régissent ce que les employés « autorisés » peuvent faire.
La mise en place d’un contrôle d’accès semble être simple, mais ce n’est pas vraiment le cas. Le modèle de contrôle d’accès d’une application web est étroitement lié au contenu et aux fonctions que le site fournit.
De plus, vos employés peuvent appartenir à un certain nombre de groupes ayant des privilèges différents.
Les développeurs sous-estiment souvent la difficulté de mettre en place un mécanisme de contrôle d’accès fiable. Le fait est que de nombreux mécanismes de sécurité web ne sont pas souvent conçus délibérément.
Ils ont simplement évolué en même temps que le site web de leur entreprise. Dans ces cas, des règles de contrôle d’accès sont insérées à divers endroits. Au fur et à mesure que le site est déployé, la collection de règles devient si lourde, de sorte qu’il devient presque impossible de les comprendre.
Cela peut entraîner des failles de sécurité que les pirates peuvent exploiter. Une fois que ces derniers découvrent la vulnérabilité, les conséquences d’un système de contrôle d’accès défectueux peuvent être dévastatrices. Par exemple, un cybercriminel peut prendre en charge l’administration de votre site Internet.
Mauvaise configuration de la sécurité
Le fait de ne pas configurer correctement vos serveurs, vos ordinateurs et vos périphériques réseau peut entraîner de nombreux problèmes de sécurité. Les réseaux peuvent être reconfigurés par les pirates pour qu’ils puissent accueillir de nouvelles tâches ou de nouveaux utilisateurs.
Chaque périphérique connecté à votre réseau doit donc être configuré correctement. Si vous êtes le gestionnaire de réseau de votre entreprise, vous devez également savoir comment tous les dispositifs connectés au réseau sont configurés et sécurisés.
L’un des exemples concrets est celui de Target qui n’avait pas pris conscience qu’un système tiers d’un fournisseur de chauffage, ventilation et climatisation (CVC) était directement connecté à son réseau central. L’entreprise a subi l’une des plus grandes brèches de données de l’histoire.
Si la société avait réalisé que le fournisseur tiers était connecté à son réseau, elle aurait pu empêcher la violation des données en revenant au paramètre de configuration avant que le fournisseur de CVC ne s’y connecte.
Comme autre solution, la société pouvait mettre le système du fournisseur sur un VLAN séparé.
Exposition des données sensibles
Les logiciels de nos jours deviennent de plus en plus complexes et connectés. Ce qui rend difficile le fait d’assurer la sécurité des applications. Le rythme rapide des processus de développement de logiciels modernes rend les risques les plus courants essentiels à découvrir et à résoudre de façon précise et rapide.
Les entreprises ne devraient plus tolérer des problèmes de sécurité relativement simples tels que ceux présentés dans le Top 10 de l’OWASP.
Après la publication de ce Top 10, de nombreux commentaires ont été reçus par l’OWASP. Bien que son but initial fût simplement de sensibiliser les développeurs et les gestionnaires réseau concernant les risques en matière de cybercriminalité, il est actuellement devenu le standard de la sécurité des applications.
Protection insuffisante contre les attaques
Le terme « protection insuffisante contre les attaques » est souvent difficile à expliquer parce que cela englobe plusieurs concepts. En réalité, les entreprises doivent se focaliser sur toutes les applications web et les solutions de protection web, même les plus élémentaires.
Pour ce faire, vous devrez d’abord considérer toute source pouvant accéder ou envoyer des requêtes à vos applications web, que ce soit via un réseau local ou via l’Internet.
L’essentiel est de savoir le niveau de préparation nécessaire pour détecter et répondre adéquatement aux anomalies et aux attaques automatisées ou manuelles. Vous devez également vous assurer que vous disposez de la technologie nécessaire pour sécuriser votre réseau et vos applications.
Si vous parvenez à détecter et à bloquer les attaques entrantes avant qu’elles ne se manifestent, vous allez améliorer grandement le niveau de sécurité web. Ce qui rend cette solution difficile à réaliser, c’est parce que la plupart des applications ne disposent pas d’un niveau de protection dès le départ.
Les failles concernant vos applications et votre réseau peuvent provenir d’utilisateurs connus ou de sources anonymes. Pour éviter cela, vous devez donc être capable de reconnaître les failles en utilisant des outils d’évaluation des vulnérabilités comme Burp Suite ou le ZAP de l’OWASP.
N’oubliez pas également que les pirates compétents peuvent utiliser des tactiques de furtivité pour sonder discrètement vos applications à la recherche de vulnérabilités qu’ils pourraient exploiter ultérieurement.
L’OWASP suggère par exemple l’utilisation des technologies telles que les WAF et le RASP pour vous permettre de détecter ou même de prévenir les attaques entrantes.
Contrefaçon de demande intersite (CSRF)
Une contrefaçon de requête intersite est une attaque consistant à forcer l’un de vos employés à envoyer une requête HTTP vers une destination cible à son insu afin qu’il effectue une action en tant que victime.
La cause sous-jacente est la fonctionnalité de l’application qui utilise des actions URL/formulaires prévisibles de manière répétable. Le but de l’attaque est d’exploiter la confiance d’un utilisateur envers un site web.
Ce genre d’attaque est efficace dans un certain nombre de situations, notamment lorsque la victime a une session active sur le site cible, lorsqu’elle est authentifiée via une authentification HTTP sur le site cible ou lorsqu’elle se connecte au même réseau local que le site cible.
CSRF a été principalement utilisé pour effectuer une action contre un site cible en utilisant les privilèges de la victime. Pourtant, des techniques récentes ont été découvertes, consistant à divulguer des informations lorsque le site cible est vulnérable au XSS.
En effet, le site cible peut être utilisé comme plate-forme pour la CSRF, ce qui permet aux attaquants de mener des actions qui vont au-delà des limites de la politique d’utilisation acceptable de votre entreprise.
Si un attaquant souhaite forger une requête HTTP, il commence généralement par profiler le site cible, soit en examinant la source HTML, soit en inspectant le trafic HTTP. Cela lui permet de déterminer le format d’une requête légitime, car la requête falsifiée est censée imiter aussi fidèlement que possible une requête légitime.
Par exemple, il se peut que votre site web permette à vos employés de configurer leur compte de messagerie électronique sur le web pour transférer tous leurs e-mails entrants à une autre adresse.
Pourtant, un pirate peut déduire de la visualisation de cette source HTML ou utiliser le formulaire d’une requête falsifiée, dans un format similaire à celui installé sur votre site web.
Si l’attaquant peut forger une telle requête d’un autre utilisateur, il peut commencer à recevoir tous les e-mails de ses victimes.
Utilisation de composants présentant des vulnérabilités connues
Les vulnérabilités de sécurité connues sont celles qui ont été identifiées soit par le développeur/le fournisseur de services gérés, soit par l’utilisateur/le développeur, soit par un pirate informatique.
Pour exploiter les vulnérabilités de sécurité connues, ce dernier peut identifier un composant faible dans votre système d’information (SI). Il pourra donc analyser votre SI à l’aide d’outils automatisés.
C’est la méthode la plus courante, car ces outils de piratage sont disponibles en ligne. Il peut aussi analyser les composants manuellement, ce qui est une option moins courante puisqu’elle nécessite des compétences plus avancées.
Presque toutes les applications ont au moins quelques vulnérabilités, dues à des faiblesses dans les composants ou les bibliothèques dont dépend l’application. Parfois, les vulnérabilités sont délibérées. Les vendeurs sont connus pour laisser des vulnérabilités appelées « backdoor » dans leurs systèmes afin de pouvoir accéder au système à distance une fois qu’il est déployé. Cependant, la plupart des vulnérabilités sont involontaires. Elles sont dues à des failles de sécurité inhérentes à la conception du produit.
La plupart des fournisseurs de services gérés s’attaquent aux vulnérabilités au fur et à mesure qu’ils les identifient et les corrigent en publiant des mises à jour et des correctifs du produit ou en proposant une nouvelle version du produit.
Il est important de garder les composants et les bibliothèques à jour avec les derniers correctifs et de mettre à niveau vos applications dès qu’une nouvelle version est disponible.
Cela réduit considérablement le nombre de vulnérabilités connues qui pourraient mettre en danger vos applications.
Mais dans la plupart des cas, les développeurs ne connaissent pas tous les composants de leurs applications, ce qui rend impossible de remédier à toutes les vulnérabilités.
Comment les pirates exploitent-ils les vulnérabilités de sécurité connues ?
Malheureusement, les pirates informatiques ont accès aux mêmes bases de données publiques et aux mêmes listes de diffusion que les clients légitimes.
De plus, ils peuvent assembler et partager des listes de vulnérabilités connues en ligne, puis utiliser ces listes afin de développer des outils de piratage qui s’introduisent dans les composants et les applications même si l’attaquant n’a pas de connaissances ou de savoir-faire personnels sur ce composant particulier.
Ainsi, les développeurs légitimes doivent devenir encore plus vigilants et avertis pour protéger leurs applications que les pirates ne le sont pour les attaquer.
Sous APIs protégées
Les applications modernes utilisent des API provenant de nombreuses sources directement en guise de sous-composants de bibliothèques tierces liées lors de la construction d’une application.
Toutes ces API peuvent présenter des vulnérabilités non protégées et, plus inquiétant encore, ne peuvent être détectées par les outils d’analyse de sécurité standard utilisés pour mettre en évidence les risques.
Toutes les API utilisées pour créer une application doivent être testées pour détecter les vulnérabilités, comme tous les autres composants utilisés pour fournir des applications web.
Les tests doivent englober tous les types de vulnérabilités courantes tels que les attaques par injection, l’usurpation des identifiants de connexion, les problèmes de contrôle d’accès, les problèmes de chiffrement et la mauvaise configuration des paramètres réseau.
Cette liste n’est pas exhaustive et d’autres types de vulnérabilités pourraient exister dans les API.
Comme nous l’avons également mentionné dans le paragraphe « Protection insuffisante contre les attaques » ce nouvel ajout à la liste des 10 risques de sécurité de l’OWASP a l’air d’une liste fourre-tout.
Les vulnérabilités sont bien connues, mais l’objectif de ces nouvelles catégories de vulnérabilités semble être d’amener les développeurs et les administrateurs système à se concentrer sur les solutions de sécurité web en interne, notamment celles concernant les applications et des plateformes web.
Plutôt que de vous fier uniquement aux outils de sécurité existants, à l’instar des pare-feux, des applications réseau et d’une solution de protection web, vous devrez également appliquer ces quelques conseils pour protéger vos employés et les données de votre entreprise.
Étant donné la nature des API et le fait qu’elles sont souvent attaquées via des codes malveillants, il n’y a pratiquement pas d’interfaces utilisateur conviviales qui peuvent être utilisées pour vérifier les vulnérabilités. C’est ce qui rend leur utilisation risquée.
Que faut-il retenir ?
En 2010, les trois principaux risques étaient identiques à ceux publiés cette année. Si on compare les rapports de 2010 à celui de 2017, sept des placements de risque sont identiques. La principale raison de la différence entre les deux est que l’OWASP a consacré une plus grande attention à l’API cette année.
Bon nombre des risques qui ont été décrits relèvent de la responsabilité des développeurs.
Les attaques par injections en sont un bon exemple, car elles continuent de représenter le risque le plus important. Elles se produisent lorsque des données SQL, OS et LDAP non fiables sont envoyées dans le cadre d’une commande ou d’une requête.
Les données hostiles injectées par l’attaquant peuvent entraîner l’exécution de commandes involontaires ou l’accès à des données sans autorisation appropriée. Ce type d’attaque est généralement le résultat de l’absence de validation de la saisie (n’autorisant que certains caractères ou commandes dans une zone de texte ou un autre point de saisie).
Tous les Tops 10 de l’OWASP ne sont cependant pas le résultat de techniques de programmation inappropriées.
De nombreux aspects d’une mauvaise configuration de sécurité relèvent également de la compétence de l’administrateur réseau. Les administrateurs doivent s’assurer que tous les serveurs web, d’applications et de bases de données sont toujours patchés et mis à jour.
Les paramètres de configuration doivent être analysés pour s’assurer que ces serveurs sont renforcés. Ils peuvent par exemple s’assurer que la navigation dans les répertoires est désactivée sur le serveur web.
Une autre catégorie qui affecte les administrateurs aujourd’hui est l’exposition aux données sensibles. Les organisations qui sont soumises aux obligations de conformité de la HIPAA et de la Cour pénale internationale (CPI) devraient chiffrer les données personnelles et de grande valeur. En effet, le chiffrement est le meilleur moyen de protéger l’acquisition non autorisée de données par des pirates et d’autres tiers.
Si votre organisation utilise une quelconque application web, vous devez mettre en œuvre des tests de vulnérabilité réguliers afin de vous assurer que ces risques hautement exploités ne constituent pas une menace pour votre organisation.
Conclusion
Il est difficile d’assurer à 100 % la sécurité web des entreprises. Toutefois, grâce à des services comme ceux proposés par l’OWASP, ainsi que l’adoption d’une bonne stratégie interne, vous pouvez optimiser la sécurisation de vos outils web.
Les projets de l’OWASP proposent plusieurs mesures préventives et des contre-mesures efficaces que vous devriez utiliser. Cependant, pour que ces mesures soient efficaces, il est recommandé de les considérer dès le commencement de votre projet, comme la création d’une application web. Plus vous mettez en avant la sécurité en amont de votre projet, plus il sera plus facile à réaliser et à gérer.
Pendant le développement de vos applications, les développeurs doivent miser sur leur sécurité. Ils doivent aussi veiller à ce que l’équipe technique qui met en œuvre le projet soit au courant des mesures de sécurité à appliquer.
Enfin, des audits de sécurité réguliers devraient être réalisés dans le cas d’un projet sensible afin de limiter tout risque d’attaques, dont les préjudices peuvent être sévères. Lors de cette étape, les équipes techniques peuvent se référer aux nombreux projets de l’OWASP.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que votre réseau et vos appareils sont protégés ? Adressez-vous à l’un de nos spécialistes de la sécurité ou écrivez-nous à info@titanhq.fr pour toute question.
FAQs
La sécurité des applications est-elle vraiment importante ?
À l’ère du numérique, toutes les organisations doivent s’attaquer aux risques de sécurité de leurs applications. Sans cela, elles risquent de perdre leurs données sensibles. D’autres informations et propriétés intellectuelles pourraient également être compromises. Et sachez que les dommages causés par les brèches sont souvent extrêmes et permanents. De plus, les applications d’entreprises sont désormais l’une des plus grandes cibles de violations de données.
Comment savoir si la sécurité de mes applications est en danger ?
Il existe plusieurs signes montrant que la sécurité de vos applications est défaillante. Il peut s’agir d’un ralentissement ou d’un dysfonctionnement d’une application ; de messages de journal inattendus, de modification de fichiers ou d’apparition de nouveaux utilisateurs. Vous devez également vous méfier lorsque vous recevez des avertissements du navigateur ; des plaintes des clients via ou des médias sociaux ou les e-mails du service d’assistance concernant le dysfonctionnement de vos applications. En cas de violation de la sécurité de vos applications, votre équipe de sécurité informatique doit disposer d’un plan de réponse aux éventuels incidents.
Mon réseau est déjà bien sécurisé, alors pourquoi devrais-je me soucier de la sécurité de mes applications ?
On pense souvent qu’un pare-feu réseau peut protéger les sites web et les applications web se trouvant derrière lui. Cependant, sachez que la sécurité du réseau utilise des défenses périmétriques comme les pare-feu pour empêcher les pirates d’accéder à votre réseau et d’accorder l’accès aux utilisateurs légitimes. Le fait est que ces défenses périmétriques du réseau ne suffisent pas à protéger les applications web contre les attaques malveillantes.
Quelle est la meilleure façon de procéder pour améliorer la sécurité des applications web ?
Pensez à faire des tests de sécurité de vos applications. C’est un élément essentiel de la gestion de toute application. Suivez les meilleures pratiques en matière de sécurité des applications pour améliorer vos perspectives. Demandez l’aide d’un expert qui est en mesure de créer un plan de sécurité pour vos applications.
Est-ce vraiment nécessaire de s’associer à un expert en sécurité pour protéger mes applications ?
Même les plus grandes entreprises disposant d’une équipe informatique interne étendue font appel à une aide extérieure lorsqu’il s’agit de cybersécurité. Les menaces qui pèsent sur les applications sont devenues si vastes et si diverses, qu’il est presque impossible pour les équipes internes de posséder toutes les connaissances nécessaires pour protéger leurs employeurs contre toutes les menaces, à tout moment. Un partenariat avec des experts en sécurité permettra donc d’approfondir l’approche de la sécurité des applications web de votre entreprise. C’est l’occasion d’éviter les omissions flagrantes et d’identifier les opportunités manquées.
Imaginez une entreprise SaaS mondialement reconnue qui invite des étrangers à pirater ses sites Web ou ses logiciels.
Cela peut paraître fou, mais c’est exactement ce que font aujourd’hui certains géants de l’industrie tels que Microsoft, Facebook et Walmart. Leur but est de trouver les failles de sécurité critiques et celles qui sont susceptibles d’être exploitées par des cybercriminels.
Ces étrangers sont appelés chasseurs de primes Bug Bounty. Des pirates en chapeau blanc qui utilisent leurs compétences en matière piratage et en informatique, de manière à ce qu’elles profitent aux organisations.
Des entreprises telles que Google versent régulièrement des primes pour la découverte de vulnérabilités. Dans la plupart des cas, ces primes prennent la forme de récompenses monétaires dont le montant se situe généralement entre 200$ et 5 000$.
Parfois, les récompenses peuvent se présenter sous la forme de titres honoraires du genre « Hall of fame » ou être des choses fournies gratuitement.
Les primes peuvent être forfaitaires ou varier en fonction de la gravité de la vulnérabilité découverte. Et parfois, elles peuvent devenir assez substantielles. En 2012, Microsoft a par exemple décerné à un étudiant en doctorat de l’Université Columbia une récompense de 200 000$, tandis qu’United Airlines a accordé un million de milles de crédit de vol à chacun des deux traqueurs de bugs qu’il a engagé.
Netscape a mis en œuvre cette pratique pour la première fois il y a 21 ans, en 1995, pour le lancement des versions bêta de Netscape Navigator 2.0 via lesquelles les traqueurs de bugs recevaient de l’argent comptant et des crédits officiels pour la découverte d’erreurs.
Dans les années qui ont suivi, d’autres marques comme Mozilla ont mis en œuvre leurs propres programmes, mais cette pratique n’a pas fonctionné tant que Google n’a pas adapté l’approche de son navigateur Chrome en 2010. Depuis, Google a élargi son programme et a accordé neuf millions de dollars pour payer des chasseurs de primes Bug Bounty.
Un exemple typique d’une faille détectée par les traqueurs de bugs a été illustré dans une découverte récente d’une vulnérabilité critique trouvée dans Facebook.
Lorsqu’un compte Facebook est réinitialisé, un code PIN à 6 chiffres est envoyé au téléphone du titulaire du compte. Celui-ci doit le saisir pour déverrouiller son compte. Facebook n’autorise qu’un certain nombre de tentatives pour entrer le bon code PIN, sinon il verrouille le compte.
Un chercheur en sécurité nommé Anand Prakash a constaté que cette fonctionnalité était absente sur son site bêta. En effet, Facebook héberge une version bêta de son site (beta.facebook.com) dans laquelle de nouvelles fonctionnalités sont introduites à titre d’essai.
Anand a découvert qu’il pouvait deviner à l’infini le code PIN, ce qui lui permettait d’accéder à n’importe quel compte. Après avoir établi ses conclusions, Facebook lui a accordé 15 000$.
Pourquoi les programmes Bug Bounty sont-ils si populaires ?
La prémisse derrière les programmes Bug Bounty est simple.
Chaque application web peut présenter de bugs, quel que soit leurs types, ce qui pourrait l’exposer aux attaques cybercriminelles. Mieux vaut donc les faire découvrir par un pirate éthique plutôt que par une personne aux intentions malveillantes.
Bien que les grandes entreprises puissent tenter de réaliser ce processus en interne, elles peuvent aussi intégrer les efforts d’autres professionnels qu’elles ne pourraient jamais en embaucher par le biais d’invitations à la prime au Bug Bounty.
Ainsi, ces entreprises peuvent bénéficier de la grande expérience et compétence des chasseurs de primes. De plus, les traqueurs de bugs sont bien plus en phase avec les dernières techniques et outils de piratage. Plus il y a d’yeux qui scannent un site internet, meilleurs sont donc les résultats.
Il y a aussi un autre gros avantage financier pour les entreprises qui émettent des primes dans le cadre d’un programme Bug Bounty. Payer quelques milliers de dollars pour la découverte d’une vulnérabilité critique peut être beaucoup moins coûteux que de supporter les nombreux coûts associés aux conséquences d’une atteinte à la protection de données.
Cependant, il ne s’agit pas seulement d’éviter les dégâts liés à la divulgation des informations sensibles. Les coûts des éventuels litiges suite à une brèche rendent également les programmes de primes Bug Bounty si populaires.
La méthode traditionnelle d’analyse de vulnérabilité consiste à faire faire un test d’intrusion par une entreprise de cybersécurité tierce. Ces tests sont effectués en vertu d’un contrat officiel, habituellement sur la base d’un tarif horaire.
Le problème est que, si un test confirme un certificat de bonne santé – ce qui est certainement une bonne nouvelle — ou, au pire, ne trouve qu’une ou deux vulnérabilités, le client est toujours facturé de la même façon.
En d’autres termes, le montant du règlement ne dépend pas du fait qu’il s’agisse d’un défaut mineur ou d’une série de vulnérabilités critiques. Par contre, en utilisant les primes Bug Bounty, la compagnie ne paie que pour les défauts, et c’est tout.
En 2016, le ministère américain de la Défense a annoncé un programme de primes Bug Bounty pour une période de trente jours. Les participants au programme ont dû passer un test de base rigoureux et signer un certain nombre de documents juridiques concernant le protocole à suivre.
En fin de compte, 250 chercheurs ont participé à l’étude et ont découvert 138 failles dans la cyberinfrastructure du ministère de la Défense. Le montant total des prestations s’élevait à plus de 150 000$. En considérant qu’un test d’intrusion formel de cette ampleur aurait coûté plus d’un million de dollars, la Défense en a certainement eu pour son argent.
Gestionnaires de programme Bug Bounty
L’implémentation d’un programme de primes Bug Bounty n’est pas à la portée de tout le monde.
Seules les plus grandes entreprises disposent des ressources internes à consacrer pour lancer ce type d’activité et pour pouvoir la gérer efficacement.
De plus, il y a toujours un risque à travailler avec des étrangers dans le monde entier, lesquels peuvent participer à un tel programme pour des raisons malveillantes.
Par ailleurs, il faut beaucoup d’expérience pour analyser le rapport signal/bruit (une notion importante permettant d’évaluer la qualité d’un produit), car les entreprises peuvent être submergées par les soumissions de pirates amateurs à la recherche d’un paiement rapide.
Pour cette raison, de nombreuses organisations embauchent des entreprises tierces spécialisées dans l’exécution d’un programme Bug Bounty. Celles-ci savent comment vérifier la fiabilité des participants et peuvent analyser le rapport signal/bruit pour obtenir des résultats aussi efficacement que possible. À noter que certaines de ces entreprises génèrent des millions de dollars en guise de primes qu’elles distribuent ensuite avec les entreprises tierces spécialisées.
Un nombre croissant d’entreprises encouragent les chercheurs à disséquer leurs logiciels pour trouver des fissures dans les armures. Beaucoup plus de vulnérabilités peuvent ainsi être découvertes et corrigées, et les utilisateurs sont plus en sécurité.
Vous voulez vous être au courant de toutes les dernières menaces à la cybersécurité ? Inscrivez-vous aux newsletters de TitanHQ.
Dans les semaines à venir, on peut s’attendre à des escroqueries par phishing pour la Coupe du monde 2018. Il y a déjà eu un pic d’e-mails de phishing liés à cet évènement et de nombreux domaines malveillants ayant pour thème la Coupe du monde ont été enregistrés.
Des escroqueries par phishing pour la Coupe du monde 2018 ont été détectées
La Coupe du monde ne sera lancée que dans deux semaines, mais l’intérêt pour ce spectacle de football atteint déjà son paroxysme.
La Coupe du monde est regardée par des milliards de personnes à travers le monde, et on s’attend à ce qu’environ 5 millions de fans de football se rendent en Russie pour voir les matches en direct entre le 14 juin et le 15 juillet. Avec un tel engouement pour cet événement sportif, il n’est pas surprenant que les cybercriminels soient prêts à en tirer profit.
Kaspersky Lab a déjà détecté plusieurs escroqueries par phishing pour la Coupe du monde 2018. Plusieurs d’entre elles utilisent des e-mails offrant aux amateurs de football la possibilité d’acheter des billets pour les jeux, mais qui les dirigent vers des sites Web malveillants.
Faux billets et faux tournois
Les billets pour les grands matches étant rares et la demande dépassant l’offre, de nombreux fans sont donc prêts à tout faire pour se procurer ces billets.
La FIFA a pris des mesures pour rendre plus difficile le fonctionnement des billetteries. Par exemple, elle n’autorise que l’achat d’un seul billet pour un match, et ce, par chaque fan de football. Le nom de ce dernier est également inscrit sur le billet.
Cependant, il est toujours possible pour les particuliers d’acheter des billets pour les invités et les rabatteurs en profitent. Dans ce cas, le prix des billets pour les invités pourrait être exorbitant, allant jusqu’à dix fois leur valeur nominale, et il augmentera probablement au fur et à mesure que l’événement approche.
Ce prix élevé signifie qu’il ne faut manquer aucune occasion de se procurer un billet moins cher. Cependant, il y a beaucoup d’arnaqueurs qui ont des sites Web enregistrés et se font passer pour des revendeurs et des tiers qui ont des tickets à vendre.
L’achat d’un billet sur un site quelconque, autre que le site officiel de la FIFA, représente un risque énorme. La seule garantie est que son prix sera sensiblement plus faible, mais il n’y a aucune garantie qu’il vous sera envoyé après le paiement.
Si un billet est acheté auprès d’un vendeur non officiel, il peut s’avérer être un faux. Pire encore, le paiement par carte de crédit ou de débit peut entraîner la liquidation du compte bancaire de l’acheteur.
Kaspersky Lab a détecté un grand nombre de domaines malveillants configurés et chargés de pages de phishing pour profiter de la ruée vers l’achat de billets avant les matches. Pour ajouter de la crédibilité, les pirates ont acheté des domaines comprenant les mots worldcup2018 et d’autres variantes portant sur ce thème.
De même, des certifications SSL bon marché ont été achetées. Par conséquent, le fait que l’adresse d’un site Web commence par HTTPS ne garantit pas sa légitimité. Les billets doivent être achetés uniquement sur le site officiel de la FIFA.
Escroqueries de compétition
Pourquoi payer un prix élevé pour un billet alors qu’il y a une chance d’en obtenir un gratuitement ?
De nombreux e-mails de phishing sur le thème de la Coupe du monde 2018 ont été détectés. Ils sont envoyés par millions et offrent aux fans de football la possibilité de gagner un billet gratuit pour un match.
Pour tenter sa chance, le destinataire de l’email doit enregistrer ses coordonnées. Mais ces données peuvent ensuite être utilisées pour d’autres campagnes de phishing et de spamming.
La deuxième étape de l’escroquerie se fait au cours de laquelle la personne soi-disant « chanceuse » est informée qu’elle a obtenu un billet.
Pour le récupérer, il lui suffit d’ouvrir une pièce jointe à un e-mail, mais cette action entraine l’installation d’un malware.
Notifications de la FIFA et prix offerts par les partenaires de la FIFA lors de la Coupe du Monde 2018
Méfiez-vous de toute communication de la FIFA ou d’une entreprise prétendant être l’un de ses partenaires officiels pour la Coupe du Monde.
Kaspersky Lab a détecté plusieurs e-mails qui semblent avoir été envoyés, à première vue, par la FIFA ou ses partenaires pour la Coupe du Monde 2018. Ces e-mails demandent habituellement au destinataire de mettre à jour son compte pour des raisons de sécurité.
Visa est une marque en particulier qui est usurpée dans les e-mails de phishing lors de la Coupe du monde 2018, et ce, pour des raisons évidentes.
Les fausses alertes de sécurité de Visa exigent que les informations d’identification de carte de crédit soient entrées sur des sites Web falsifiés. Si vous recevez une alerte de sécurité, le mieux serait donc de visiter le site Web officiel en tapant le domaine officiel dans le navigateur.
Et surtout, ne cliquez pas sur les liens contenus dans vos e-mails.
Escroqueries sur l’hébergement bon marché
Les billets d’avion pour les villes où se déroulent les matches de la Coupe du Monde sont difficiles à trouver, et avec plus de 5 millions de fans attendus en Russie lors de cet évènement, l’hébergement sera rare.
Les escrocs profitent de la rareté des vols et de l’hébergement, ainsi que le coût élevé des factures pour proposer des offres bon marché, généralement par le biais des spams.
De nombreux sites Web malveillants ont été créés pour imiter les agences de voyages et les fournisseurs d’hébergements officiels afin de tromper les imprudents et les inciter à divulguer les informations concernant leurs cartes de crédit.
Les commerçants sont également victimes d’usurpation d’identité. En effet, les pirates profitent d’eux pour vendre des répliques de chemises et divers autres vêtements de la Coupe du monde à prix réduit, via des e-mails.
Ces escroqueries par phishing de la Coupe du monde 2018 peuvent généralement être identifiées à partir du nom de domaine d’un site web, qui doit être vérifié avec soin. Les sites Web malveillants sont souvent des clones et ne se distinguent pas des sites Web officiels.
Nouvelles concernant les équipes, les matchs et les médailles de la Coupe du monde
Au début de la Coupe du Monde, il y aura probablement des vagues de spams envoyés avec des nouvelles sur les matchs, des informations sur les équipes, des cotes dans les paris et certains ragots sur les équipes et les joueurs.
Chaque grand événement sportif voit une variété de leurres envoyés via des spams pour inciter les utilisateurs à cliquer sur des liens et visiter des sites Web malveillants.
Les liens hypertextes dirigent souvent les utilisateurs vers des pages Web contenant de fausses pages de connexion (Facebook, Google, etc.), où les informations d’identification doivent être entrées avant que le contenu ne soit affiché.
Comment éviter d’être victime d’une escroquerie par phishing lors de la Coupe du monde 2018 ?
Ce ne sont que quelques-unes des escroqueries par phishing qui peuvent se produire lors de la Coupe du monde 2018.
Celles-ci ont déjà été détectées, mais on pourrait toujours s’attendre à bien d’autres choses avant que le gagnant de la Coupe du monde ne lève le trophée le 15 juillet prochain.
Les meilleures pratiques de sécurité standard aideront les amateurs de football à éviter les escroqueries par phishing pour la Coupe du monde 2018. Si vous en êtes un, assurez-vous de :
Ne pas acheter vos billets ailleurs que sur le site officiel de la FIFA.
Ne réserver les billets d’avion et l’hébergement qu’auprès de fournisseurs de confiance. Examinez-les sur internet avant d’effectuer un achat.
Ne jamais acheter de produits ou services annoncés dans des e-mails non sollicités.
Ne jamais ouvrir de pièces jointes dans les e-mails portant sur le thème de la Coupe du monde et provenant d’expéditeurs inconnus.
Ne pas cliquer sur les liens hypertextes dans les e-mails provenant d’expéditeurs inconnus.
Ne jamais cliquer sur un lien hypertexte tant que vous n’avez pas vérifié le vrai domaine. Évitez également de cliquer sur des URL raccourcies.
S’assurer que tous les logiciels, y compris les navigateurs et les plug-ins, soient mis à jour.
Avoir un logiciel antivirus à jour.
Mettre en œuvre une solution tierce de filtrage des spams pour empêcher la livraison de spams et de messages malveillants. Cette solution est particulièrement importante pour les entreprises afin d’empêcher les employés d’être dupés et d’installer des malwares sur leurs ordinateurs professionnels.
Rester vigilant. Si une offre semble trop bonne pour être vraie, il est fort probable qu’elle le soit réellement.
L’attaque de ransomware SamSam contre la ville d’Atlanta — qui a détruit plusieurs services municipaux essentiels pendant près d’une semaine en mars dernier — a montré à quel point les municipalités locales sont vulnérables aux attaques cybercriminelles.
Bien que la ville ait refusé de payer la rançon correspondante, l’attaque s’est révélée coûteuse au-delà de toutes les estimations initiales. Selon un document de sept pages examiné par deux médias locaux, le montant demandé par les pirates est d’environ 17 millions de dollars. Cette estimation comprend 11 millions de dollars associés au processus de nettoyage de virus dans les équipements ainsi qu’à l’achat de nouveaux matériels.
Les 6 millions de dollars restants sont alloués à de tiers entrepreneurs pour les services de sécurité et les mises à niveau logicielles nécessaires pour réparer les vulnérabilités et prévenir tout dommage futur.
Cet incident est le résultat d’un seul clic sur un lien contenu dans un e-mail, réalisé par un employé.
Environ 90% des cyberattaques commencent par un message électronique.
Avec la numérisation rapide des services des villes et l’intégration de technologies de ville intelligente utilisant des dispositifs IoT de mise en réseau, la tendance croissante des pirates à cibler les municipalités et les administrations locales semble certaine. Voici une courte liste des nombreuses attaques dont nous avons été témoins cet été.
Les attaques par ransomware ciblent aussi la Géorgie
Cinq mois après l’attaque d’Atlanta, le comté de Coweta qui se trouve au sud du comté d’Atlanta, a perdu l’usage de la plupart de ses serveurs, dont certains étaient hors service pendant près de deux semaines. Les auteurs de l’attaque exigeaient 50 Bitcoins, ce qui équivaut à environ 340 000 $.
Heureusement, pour le comté, tous les systèmes avaient été sauvegardés la veille de l’attaque du 19 août, ce qui explique en grande partie pourquoi le comté n’a jamais envisagé de payer la rançon. Le personnel informatique a été en mesure de rétablir le service à l’aéroport local, les services de sécurité publique et l’inscription des électeurs dans les 48 heures. Par la suite, ils ont rétabli les services du bureau gouvernemental, de tous les services judiciaires et d’autres services au cours des dix jours après l’attaque.
L’attaque contre le comté de Coweta montre comment les sauvegardes récurrentes constituent un moyen efficace de récupérer d’une cyberattaque telle que les ransomwares. L’attentat aurait dû coûter 17 millions de dollars aux contribuables, ce qui en fait l’un des attentats les plus coûteux pour les administrations locales en 2018.
Deux victimes dans les villes de l’Alaska
Situé juste à l’extérieur d’Anchorage, en Alaska, l’arrondissement de Matanuska-Susitna se remet encore d’une attaque qui a eu lieu le 24 juillet. L’arrondissement compte plus de 100 000 habitants et les employés municipaux ont dû avoir recours aux machines à écrire, à l’estampillage et à la documentation manuscrite.
Bien que la protection des logiciels locaux ait détecté des parties du malware qui ont infiltré le réseau le 17 juillet, ils n’ont pas détecté d’autres composants dormants qui ont déclenché l’infestation une semaine plus tard (c’est un excellent exemple qui démontre pourquoi vous ne devriez pas compter sur une seule couche de cybersécurité).
L’infection par les ransomwares a paralysé les réseaux gouvernementaux de l’arrondissement et a entraîné la fermeture d’une grande partie des systèmes informatiques infectés. Les experts en cybersécurité ont signalé que l’attaque était très avancée et elle a permis de chiffrer certaines sauvegardes du comté.
En conséquence, le système de messagerie était irrécupérable selon le responsable informatique. D’autres systèmes sont en cours de restauration avec des données datant d’un an, obligeant les employés à reconstruire manuellement les ordinateurs affectés.
C’était une attaque très insidieuse et très bien organisée. Le « virus » a été identifié comme étant le ransomware BitPaymer. Cette souche de ransomware a été vue pour la première fois en juillet 2017, lorsqu’elle a frappé une série d’hôpitaux écossais.
Après avoir accédé à un système d’information hospitalier, les attaquants se déplacent latéralement sur le réseau pour installer BitPaymer manuellement sur chaque système compromis. Il a été rapporté que le ransomware a ensuite chiffré les fichiers avec une combinaison d’algorithmes de chiffrement RC4 et RSA-1024. Les chercheurs disent qu’il n’y a actuellement aucun moyen de déchiffrer les fichiers verrouillés par le ransomware BitPaymer.
Quelques jours seulement après cette attaque, la ville de Valdez, en Alaska, a perdu l’usage de l’ensemble de son réseau en raison d’une attaque séparée contre ses installations. Selon le directeur municipal, l’attaque a commencé par quelques problèmes sur le site Web du service de police.
Lorsque le système antivirus installé n’a pas réussi à combattre la menace, tous les systèmes ont été arrêtés pour empêcher le cryptovirus de se propager aux services essentiels.
Le FBI a été alerté et la ville a réussi à se remettre de l’attaque en une semaine.
Perturbation dans les écoles de deux districts scolaires
En mars 2016, le Cloquet School District du Minnesota a été forcé d’annuler les cours pendant une journée afin de donner suffisamment de temps à son personnel informatique pour se remettre d’une attaque de rançon. Le même scénario s’est répété au sein du district scolaire le 13 août.
Tous les serveurs de l’école ont été chiffrés une fois de plus lors de cette attaque, mais les précieuses connaissances acquises lors de l’attaque précédente ont permis au district de s’en remettre beaucoup plus rapidement, sans trop d’interruption.
Pendant ce temps, un lycée public néo-zélandais a été victime d’une autre attaque liée à des clics sur des liens intégrés à des e-mails.
En réalité, les élèves de l’école secondaire Hawera ont perdu l’accès à une grande partie des travaux qu’ils ont récemment terminé. L’attaque a eu lieu le 2 août et les cybercriminels qui l’ont perpétrée ont demandé 5 000 $ pour déchiffrer les fichiers.
Heureusement, l’école était en train de migrer son système de stockage de données vers le cloud, ce qui a permis de préserver une grande partie de ses données vitales. Les cours se sont déroulés comme prévu, mais les enseignants ont dû relever le défi d’enseigner sans l’aide de la technologie pendant plusieurs jours.
Les autorités sanitaires perdent les dossiers de 1,5 millions de patients à cause de pirates informatiques
La ville de Hong Kong a avancé que son Département de la Santé était la cible d’une attaque de ransomware survenue le 3 août 2018.
L’attaque était le résultat d’une brèche de connées survenue deux semaines plus tôt. Trois des serveurs de l’organisation ont été touchés, rendant toutes ses données inaccessibles, sans aucune communication de la part des attaquants. Contrairement à l’attaque à grande échelle qui a eu lieu contre le ministère de la Santé de Singapour — qui a eu lieu deux semaines auparavant et entraîné la perte de plus de 1,5 million de dossiers médicaux —, aucune donnée n’a été compromise et le ministère a réussi à rétablir les dossiers perdus.
Hong Kong a également connu plusieurs cas majeurs de piratage informatique cette année. En avril, les données personnelles de 380 000 clients du Hong Kong Broadband Network — y compris les détails de plus de 40 000 cartes de crédit — ont été consultées sans autorisation.
En janvier, des ordinateurs de deux agences de voyages locales — Goldjoy Holidays et Big Line Holiday — ont été piratés et les renseignements personnels de leurs clients ont été confisqués par les pirates qui voulaient les échanger contre une rançon.
Les pirates utilisent actuellement des tactiques de plus en plus sophistiquées et des techniques d’autopropagation. Ainsi, il est plus important que jamais de bloquer les infections avant qu’elles n’atteignent votre réseau et se propagent.
Après une attaque par ransomware, une analyse complète du système doit être effectuée pour s’assurer qu’aucune porte dérobée (qui donne un accès secret au logiciel) n’a été installée et que toutes les traces de malwares sont supprimées.
Des protections supplémentaires doivent ensuite être mises en place pour s’assurer que de futures attaques ne se produiront plus.
Le coût réel d’une attaque par ransomware est considérable. Il est essentiel que les entreprises de toutes tailles disposent de protections appropriées pour prévenir ce genre de cybercriminalité et limiter sa gravité au cas où elle se produirait.
SamSam ne partira pas de si tôt.
Il suffit d’un simple clic pour que vous soyez confronté à des décisions similaires et contraint de payer des factures importantes. Empêchez les e-mails malveillants d’atteindre les boîtes de réception des utilisateurs de votre réseau informatique.
SpamTitan, par exemple, peut vérifier chaque URL d’un e-mail en se référant à des listes noires connues, avec une couverture Web active à 100 %. Cette solution vous permet d’empêcher vos utilisateurs de cliquer sur des liens dans les e-mails et qui pointent vers des sites malveillants.
Pour en savoir plus sur les principales fonctionnalités en termes de protection web de SpamTitan et sur les différentes solutions que vous pouvez mettre en place pour éviter de vous exposer aux attaques par ransomware, contactez l’équipe TitanHQ dès aujourd’hui.
