Les organisations de soins de santé traversent une période difficile en matière de cybersécurité.
En effet, le fait de ne pas prévenir les attaques par phishing ne justifie pas nécessairement le paiement d’une amende de conformité HIPAA. Mais le fait de ne pas mettre en œuvre des mesures de protection suffisantes pour prévenir de telles attaques pourrait causer des problèmes aux entités couvertes par cette loi sur l’accès à l’information et la protection de la vie privée.
Les pirates informatiques et les cybercriminels continuent de cibler l’industrie des soins de santé. Selon le rapport « Internet Security Threat Report 2017 » de Symantec sur les menaces de sécurité Internet, le nombre de brèches a augmenté de 22% en 2016. Avec une telle augmentation, l’industrie des soins de santé a donc enregistré le deuxième plus grand nombre d’incidents de sécurité dans le secteur des services l’an dernier.
D’autre part, les organismes de soins de santé doivent se conformer à une longue liste de règlements imposés par la loi HIPAA et faire face aux conséquences des amendes élevées pour non-conformité.
Au cours des trente derniers jours, deux règlements importants concernant les atteintes à la vie privée résultant de « petits » incidents illustrent à quel point les tâches nécessaires pour protéger les cyberenvironnements des organisations de soins de santé sont vastes. Pour ceux qui ont la responsabilité de soutenir les infrastructures informatiques dans le domaine de la santé, tout cela représente une nuit blanche.
2,5 millions de dollars d’amendes en vertu de la LPVPH
Le mois dernier, le Département de la Santé et des Services sociaux des États-Unis et l’« Office for Civil Rights » (OCR) ont annoncé le règlement d’une amende de 2,5 millions de dollars par la société CardioNet, basée en Pennsylvanie, en vertu de la loi HIPAA. La raison est la divulgation non autorisée de renseignements médicaux électroniques protégés et non sécurisés le mois dernier. Cela fait suite à une enquête de cinq ans concernant le vol de l’ordinateur portable d’un employé dans un véhicule contenant 1391 dossiers de patients.
En bref, CardioNet ne disposait pas d’un système d’analyse des risques ni de processus de gestion des risques suffisants au moment du vol. En plus du règlement financier, CardioNet doit également mettre en œuvre un plan de mesures correctives. Il s’agit de la première amende de ce genre et qui implique un fournisseur de services de santé sans fil. À noter que CardioNet est l’un des principaux fournisseurs de services mobiles de télémétrie cardiaque ambulatoire.
Ce cas est un exemple des défis de sécurité auxquels sont confrontées les organisations de soins de santé dans le monde mobile d’aujourd’hui.
Dans un autre règlement annoncé le mois dernier, le Metro Community Provider Network (MCPN) du Colorado est contraint de verser 400 000 dollars et de mettre en œuvre un plan de mesures correctives. L’enquête menée par l’OCR a révélé que le MCPN n’a pas effectué une analyse des risques en temps opportun, ni effectué une évaluation complète des risques et des vulnérabilités de son environnement ePHI (Environmental Public Health Indicators).
Cette affaire concerne également un incident qui remontait à 2012, année à laquelle le MCPN avait déposé un rapport d’atteinte à la sécurité des renseignements personnels. En effet, 3 200 dossiers de RPS (prévention des risques psychosociaux) ont été compromis et volés par un pirate informatique. La brèche a été commise parce que le pirate avait accédé aux comptes de courriel des employés à la suite d’une attaque de phishing.
Pour ce cas précis, un employé avait cliqué sur un lien qui a ensuite impliqué le déploiement de logiciels malwares sur son ordinateur, ce qui a permis au pirate de lancer l’attaque à distance. Ce clic a coûté 400 000 dollars à MCPN.
Le phishing et les keyloggers sont les véhicules de distribution les plus populaires
Aussi élevées qu’elles puissent paraître, ces amendes ne sont pas les plus importantes. Au début de février, Memorial Healthcare System (MHS) a dû débourser 5,5 millions de dollars pour régler des infractions plus importantes, car les dossiers ePHI ont été consultés par quelqu’un qui utilisait les identifiants de connexion d’un ancien employé. Cette action n’a pas été détectée pendant au moins un an.
Malheureusement, l’acquisition et l’utilisation de comptes d’employés dans le secteur de la santé sont maintenant courantes dans l’ensemble de l’industrie, comme l’indiquait récemment un article paru dans HealthcareITNews le 10 mars 2017.
L’article résume les résultats d’une étude récente selon laquelle 68% des organisations de soins de santé avaient des identifiants de courrier électronique compromis. Parmi ces comptes compromis, 76% étaient à vendre sur le dark web, et les deux moyens les plus populaires utilisés pour accéder à ces comptes étaient le phishing et les keyloggers.
Ces trois violations étaient toutes le résultat d’incidents simples et évitables, soit d’un compte de connexion compromis, soit d’un ordinateur portable volé ou encore d’un simple clic sur un e-mail de phishing.
Selon un rapport Verizon, 43 % de toutes les atteintes à la protection des données ont eu recours au phishing.
Le même rapport a montré que 32% des incidents de sécurité signalés étaient le résultat de vols de biens. Le fait est que la plupart des infractions impliquent les tentatives les plus simples, en particulier le phishing.
Cette année, la plus grande brèche s’est produite à l’École de médecine de l’Université de Washington, où plus de 80 000 dossiers de patients ont été compromis, tout cela parce qu’un employé a répondu à un e-mail de phishing, conçu pour ressembler à une demande de traitement légitime.
Ce degré de personnalisation fait partie d’une tendance croissante dans les attaques contre les soins de santé, y compris celles de ransomware dans lesquelles les souches de Ransomware as a Service (RaaS), Philadelphia, sont maintenant personnalisées spécifiquement pour l’industrie de la santé.
Tout cela montre clairement que ce n’est pas la pénétration complexe des périmètres de sécurité réseau, par des pirates informatiques insaisissables et très talentueux, qui doit préoccuper les équipes informatiques du secteur de la santé. Il s’agit plutôt se focaliser sur les éléments de base, à savoir s’assurer que tous les comptes de messagerie soient protégés par le dernier filtrage antispam, que des politiques strictes en matière de mots de passe soient appliquées, ou encore que des inventaires de localisation des données soient effectués régulièrement pour s’assurer que tous les silos de données puissent être entièrement protégés.
L’application de ces mesures de sécurité peut non seulement protéger les dossiers des patients, mais aussi permettre à votre entreprise d’économiser des millions de dollars, plutôt que d’être contraint de régler les potentiels dommages en raison d’une faille au niveau de la sécurité informatique.
Vous êtes un professionnel de l’informatique qui travaille dans le secteur de la santé et vous souhaitez assurer la protection de vos données et de vos appareils sensibles ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
Lisez notre tout nouveau rapport, tout juste publié en 2019, sur la façon de surmonter les faiblesses de la sécurité des mails offerte par Office 365.
Des recherches récentes menées par Osterman ont montré que Microsoft Exchange Online Protection (EOP) peut détecter 100 % des virus connus avec des mises à jour toutes les 15 minutes. Cependant, la recherche a révélé qu’il était moins efficace contre les logiciels malveillants inconnus ou les nouveaux livrés par e-mail. Les administrateurs système implémentant Microsoft Office 365 doivent ainsi s’assurer qu’il est sécurisé, en ajoutant une solution de messagerie de filtrage de spams comme SpamTitan.
Cela leur permet de se protéger contre les menaces persistantes avancées, ou APT pour « Advanced Persistent Threats ». Pour vous protéger contre les APT, vous avez besoin d’une protection avancée.
Avec l’augmentation des attaques de ransomwares et de phishing, Office 365 est devenu une cible de choix pour les cybercriminels, ce qui oblige les professionnels de l’informatique à prendre des mesures proactives en matière de sécurité de la messagerie Office 365 et à protéger leur environnement contre le piratage.
Une étude exhaustive réalisée en 2016 par Skyhigh Networks a révélé que 71,4 % des utilisateurs d’Office 365 ont au moins un compte compromis chaque mois. La recherche était basée sur une enquête menée auprès de 600 entreprises et 27 millions d’utilisateurs.
Office 365 est le service cloud d’entreprise le plus utilisé au monde, avec plus de 70 millions d’utilisateurs actifs.
78 % des décideurs informatiques utilisent ou prévoient d’utiliser Office 365 en 2017, alors que 70 % des entreprises du Fortune 500 ont déjà acheté Office 365 pour leurs utilisateurs. Ils n’utilisent pas tous les services de courrier électronique d’Office 365. Certains utilisent tout simplement une suite d’applications ou OneDrive. Selon Gartner, moins de 10 % des entreprises utilisent les services de messagerie Office 365. Pourtant, elles détiennent une part de marché de 80 % des grandes entreprises publiques, lesquelles ont recours à des services de messagerie dans le cloud.
En fin de compte, on comprend très bien pourquoi un plus grand nombre d’entreprises vont migrer leurs services de messagerie vers Office 365 dans les années à venir.
Pourquoi les fournisseurs de services proposent-ils d’ajouter du filtrage antispam à Office 365 ?
Ceci peut être décourageant pour les fournisseurs de services et ESN qui, depuis de nombreuses années, utilisent les services mailbox comme source de revenus. De plus, la vente d’abonnements à Office 365 n’est pas une grande consolation pour eux, car les marges sont très faibles.
À première vue, il semble qu’Office 365 représente un véritable défi pour les ESN qui veulent garder leurs clients. Cependant, de la même manière que les ESN ont gagné de l’argent en offrant des services de support et des solutions pour le système d’exploitation Microsoft, ils peuvent bénéficier de nombreuses opportunités, en fournissant un service à plus grande valeur ajoutée à leurs clients ainsi qu’à leurs services de messagerie Office 365.
Les mails Office 365 sont des cibles importante pour les pirates informatiques
Le fait d’être le « grand Kahuna » dans l’espace de messagerie cloud pose un gros problème. En effet, vous devenez la principale cible des pirates informatiques et des experts en phishing.
Ironiquement, Microsoft se retrouve victime de son propre succès, de la même manière qu’il l’a été pour ses systèmes d’exploitation ou « Operating System » (OS) au fil des ans. Lorsque de nombreuses personnes utilisent le même OS, les pirates peuvent simplement se concentrer sur celui-ci pour ne pas perdre de temps avec les autres. De même, si plusieurs millions d’utilisateurs ont recours au même service de messagerie dans le cloud et utilisent le même ensemble d’outils de sécurité, les pirates peuvent simplement consacrer leurs ressources et leur temps pour découvrir les faiblesses de ces outils afin de les exploiter.
Tout comme les utilisateurs sont satisfaits de ce qu’ils aient obtenu pour le prix qu’ils ont mis pour migrer leurs services de messagerie vers Office 365, les hackers le sont aussi en disposant autant d’utilisateurs d’entreprise concentrés sur une seule plate-forme.
Vous n’y avez peut-être jamais pensé, mais les créateurs de phishing et les pirates utilisent également Office 365. Ils ont la possibilité de payer les frais d’abonnement ou de s’introduire dans le compte d’un autre utilisateur avec une attaque par « credential stuffing ». Cette pratique consiste à voler les identifiants d’un compte dans le but de les utiliser à des fins malveillantes, c’est pourquoi il est si important d’avoir des mots de passe complexes et sûrs. Les pirates utilisent ensuite ces comptes pour tester et étudier le fonctionnement de la sécurité Microsoft.
De nombreux clients d’Office 365 supposent qu’ils bénéficient de la protection complète contre les piratages, mais ce n’est pas le cas. Tous les comptes bénéficient de l’offre de sécurité de messagerie par défaut. Microsoft, cependant, offre un package de sécurité supplémentaire appelé Advanced Threat Protection (ATP). Ce forfait comprend la sécurisation des messages via une sandbox (bac à sable), la vérification de la réputation des liens, la création de rapports, le traçage d’URL et la protection contre le phishing.
Pour bénéficier de toutes ces fonctionnalités, vous devez disposer d’une sous licence d’entreprise. Les clients peuvent également ajouter ces services à la carte, mais chaque service supplémentaire exige des frais supplémentaires. De plus, n’oubliez pas que les pirates informatiques ont, eux aussi, accès aux Sandbox.
Compensation des failles de sécurité de la messagerie avec une solution complémentaire
Vous voulez mettre fin aux attaques de ransomwares lancés par des e-mails, aux attaques BEC (« Business Email Compromise ») et aux autres menaces malveillantes ? Si vous devez payer plus cher pour obtenir la couverture de sécurité globale dont votre entreprise a besoin, pourquoi ne pas dépenser cet argent dans une solution complète construite à partir de zéro par un fournisseur spécialisé dans la sécurité de la messagerie ?
Ces derniers temps, force est de constater que Microsoft a fait de grands progrès en matière de cybersécurité. Pourtant, les gros titres continuent aujourd’hui à rapporter d’innombrables techniques utilisées par les pirates informatiques pour saper les systèmes d’exploitation et les applications. Alors, pourquoi ne pas confier la sécurité de votre messagerie à un spécialiste ?
C’est la raison pour laquelle tant d’entreprises se tournent actuellement vers des solutions tierces pour améliorer la sécurité de leurs comptes de messagerie Office 365 hébergés. Selon un récent rapport de Gartner, 40 % des déploiements d’Office 365 s’appuieront sur des outils tiers d’ici 2018, ceci, afin de combler les lacunes et pour répondre aux exigences de sécurité et de conformité attendues. Gartner s’attend à ce que ce taux passe à 50 % d’ici 2020.
Le coût de la prévention est bien inférieur au coût de la récupération
Comme l’a montré la récente attaque du ransomware Petya, laquelle a affecté des entreprises de toutes tailles pendant des jours ou des semaines, le coût de la prévention est bien inférieur au coût de la réparation des dommages.
Bien entendu, de nombreuses entreprises de sécurité de la messagerie disposent actuellement des solutions de passerelle de messagerie spécialement conçues pour compléter et s’intégrer à Office 365. Mais sachez que toutes les entreprises risquent d’être piratées, en particulier les PME qui ne disposent que d’une sécurité minimale.
Selon la fondation U.S. National Cyber Security Alliance, 60% des PME font faillite six mois après une cyberattaque !
Pour les fournisseurs de services gérés, l’offre d’une solution supplémentaire de sécurité des e-mails est un autre moyen de s’assurer que leurs clients restent à l’abri des logiciels malveillants. Le fait est qu’Office 365 est actuellement une solution de messagerie très rentable pour de nombreuses organisations. Combinée à une solution de sécurité supplémentaire, elle peut devenir le package complet dont vous avez besoin.
De nombreuses entreprises estiment qu’il est nécessaire de compléter la sécurité par défaut de leur messagerie Office 365 par des solutions complémentaires, telles qu’un filtre antispam dédié. C’est pourquoi elles se tournent vers des solutions tierces pour améliorer la sécurité de leurs comptes de messagerie Office 365 hébergés. Plutôt que d’opter pour l’ATP, elles préfèrent faire des dépenses supplémentaires pour l’achat d’une solution complète construite à partir de zéro par un fournisseur spécialisé dans la sécurité des e-mails.
Atténuer le risque d’un incident de sécurité
La principale leçon à retenir est qu’il peut être très difficile pour les organisations de se protéger entièrement contre les attaques sophistiquées de piratage et de phishing. Les organisations sont toujours contraintes de réduire leurs coûts, mais cela ne doit pas être au détriment de la sécurité des e-mails, car le risque est trop grand.
Comme susmentionnés, 60% des PME qui subissent une cyberattaque font faillite dans les six mois qui suivent. Les entreprises doivent donc atténuer le risque d’un incident de sécurité de manière significative en se dotant d’une infrastructure de messagerie robuste et sécurisée. Il faut un complément à Office 365, c’est-à-dire une solution complète de filtrage du spam construite à partir de zéro par un fournisseur spécialisé dans la sécurité des e-mails.
Parlez dès aujourd’hui à l’un de nos experts en sécurité pour savoir comment sécuriser votre logiciel Microsoft Office 365 et prévenir les attaques coûteuses et préjudiciables via la messagerie, y compris les attaques de spear phishing, les attaques de ransomwares et les compromissions des e-mails professionnels.
Vous avez peut-être déjà entendu parler de la dernière arnaque par phishing sur Facebook qui a été lancée depuis quelques semaines.
Même si cette forme d’escroquerie semble sophistiquée et maligne, elle n’est pas vraiment effrayante. Les pirates l’utilisent pour voler non seulement vos identifiants Facebook, mais aussi les détails de votre connexion par courriel ainsi que les informations concernant votre carte de crédit.
Qu’est-ce que le phishing ?
Le phishing est une forme de fraude sur Internet. Il vise à voler des informations précieuses concernant les cartes de crédit, les coordonnées bancaires, les identificateurs de session et les mots de passe. Il utilise des spams, des sites Web malveillants, des courriels et des messages instantanés pour amener les gens à divulguer des informations sensibles.
La dernière arnaque de phishing par chat sur Facebook, rapportée dans le blog officiel de Kaspersky, concerne la fonction de chat sur Facebook. Une fois que votre compte est compromis avec succès, l’arnaqueur change le nom de ce compte pour celui de « Facebook security ».
Un message de chat est alors envoyé à votre liste des contacts, avertissant que leurs comptes seront fermés à moins qu’ils ne confirment à nouveau les détails de leurs comptes.
Devinez ce qui se passe ensuite ?
Comme il s’agit d’un message de sécurité Facebook, cela ne devrait créer aucun soupçon pour les utilisateurs. Pourtant, le message instantané contient un lien qui redirige les titulaires des comptes vers un site qui ressemble à Facebook.
Les victimes, sans méfiance, sont alors invitées à fournir les détails de leur compte, y compris les détails de leur connexion à Facebook. C’est aussi simple que cela, l’escroc a maintenant accès aux détails du compte de tous vos contacts Facebook, ce qui lui permet de passer à la prochaine partie de l’arnaque.
Cette attaque particulière demande également des mots de passe pour les courriels, ce qui laisse le fraudeur en position de force pour compromettre facilement plusieurs autres comptes… Comme si cela ne suffisait pas ! Kaspersky rapporte que cette attaque de phishing va encore plus loin, en demandant à vos contacts un paiement, ce qui donne à l’escroc l’accès aux détails de leurs cartes de crédit, y compris le code CSC/CVV.
Parfois, il est préférable de prendre un peu de recul, de respirer profondément et vous demander pourquoi un réseau social, qui d’ailleurs est gratuit, vous demanderait-il les détails de votre carte de crédit pour confirmer votre compte. Gardez à l’esprit qu’on ne devrait pas vous demander un numéro de CVV, sauf lorsque vous commandez quelque chose en ligne.
Par précaution, il est normal que vous soyez plus enclin à répondre aux messages de sécurité qui vous sont envoyés. Mais seriez-vous assez dupé pour vous faire avoir par ce type d’arnaque sur Facebook ?
Il s’agit certainement d’une escroquerie qui semble complexe, mais elle est facile à éviter puisqu’elle repose sur la croyance de la victime au faux message de sécurité Facebook.
Facebook, ou toute autre organisation digne de confiance, ne vous demandera pas les détails de votre carte de crédit comme moyen de prouver votre identité. On peut dire que l’approche est intelligente, mais comme ces attaques sont de nature malveillante, le mot le plus approprié est peut-être celui de « supercherie évoluée ».
Un petit conseil : Même si vous ne fournissez pas les informations concernant votre carte de crédit, votre compte Facebook ne sera pas fermé !
Les attaques de phishing tirent parti des vulnérabilités sur les réseaux sociaux
Il existe actuellement un grand nombre d’attaques cybercriminels. Bien entendu, Internet offre des avantages et des possibilités à tous, y compris les criminels. Et n’oubliez pas que les attaques de phishing tirent parti des vulnérabilités sur les réseaux sociaux.
Le fait que certaines entreprises ne prennent pas les mesures nécessaires pour se protéger contre les attaque sophistiquées est inquiétant. En effet, elles risquent de perdre d’importantes sommes d’argent en raison de la fraude, des dommages au réseau et de leur réparation.
Comme le dirait Sherlock Holmes : c’est élémentaire !
A cause une attaque de phishing et de malware réussie, tout votre système peut être en danger. Un réseau d’entreprise peut par exemple souffrir d’une infection par un malware lorsqu’un employé clique sur un lien bidon dans un message Facebook ou un autre site de réseautage social.
L’impact d’une attaque de malware réussie peut avoir des conséquences graves et à long terme telles que l’accès non autorisé à votre réseau, l’exposition des systèmes d’information de votre entreprise aux cyberattaques et l’exploitation des informations commerciales hautement confidentielles par des cybercriminels.
Un réseau non sécurisé est un maillon faible brisé qui permet aux attaquants de tirer profit de vos ressources internes. Ainsi, il est crucial de recommander à vos employés d’ignorer les messages suspicieux qui arrivent dans leur boîte de réception ou dans leur fil d’actualité.
En plus de faire preuve de bon sens sur l’utilisation d’Internet, assurez-vous que votre entreprise utilise également de puissants logiciels de filtrage Web et de sécurité des courriels. Cela pourrait mettre votre entreprise à l’abri des éventuelles attaques si un employé venait à se faire avoir par une arnaque par phishing.
La protection de votre réseau informatique contre les attaques cybercriminels exige une combinaison de technologies, de bonnes pratiques et de vigilance. En ce qui concerne l’aspect technologique, de nombreux professionnels de la sécurité informatique accordent peu d’attention à la sécurisation de la couche DNS, et c’est une grosse erreur.
L’implémentation de la sécurité DNS est maintenant tout aussi importante que la protection de votre réseau avec un pare-feu standard. Les pirates informatiques profitent de l’absence de la sécurité DNS pour infiltrer les réseaux informatiques, installer des malwares et exfiltrer les données.
La majorité des variantes de malwares actuellement disponibles utilisent les failles de sécurité du système DNS pour communiquer avec les serveurs de commande et de contrôle et voler des données. Les entreprises qui n’ont pas encore adopté un système de filtrage DNS pourraient déjà avoir vu leurs réseaux compromis à leur insu.
Sécuriser la couche DNS est essentiel
Le DNS, ou système de noms de domaine, peut être considéré comme un carnet d’adresses Internet. Il traduit les noms de domaine comme google.com en chiffres appelés « Internet Protocol » ou adresse IP.
Le DNS est un élément fondamental de l’infrastructure Internet, mais il ne peut pas réellement empêcher les utilisateurs d’être dirigés vers des sites Web malveillants et il est loin d’être sûr. Sécuriser la couche DNS est essentiel, car, sans ce niveau de protection supplémentaire, les entreprises se laissent facilement attaquer par des cybercriminels.
Les individus peuvent être renvoyés vers des sites Web malveillants où ils divulguent volontairement des données sensibles, sans savoir que tout ce qu’ils font est surveillé et enregistré. C’est ce qui rend de nombreuses attaques de spear phishing si efficaces. Les victimes n’ont aucune idée à propos de la manière dont elles compromettent leurs propres réseaux.
L’implémentation d’un filtre Web basé sur le DNS permettra de détecter et d’empêcher les connexions malveillantes et d’alerter les administrateurs système de la présence de malwares et de botnets.
L’utilisation d’un filtre Web DNS basé sur le Cloud, et fourni via une console d’administration, vous permet de configurer et de gérer rapidement différentes politiques d’utilisation par réseau, par groupe, par utilisateur, par périphérique ou par adresse IP. Ceci vous permet de mieux contrôler l’utilisation d’Internet dans votre entreprise.
Blocage des communications malveillantes
Les attaques de phishing sont devenues le fléau des entreprises dans le monde entier. Les attaques de phishing sont utilisées pour diffuser des malwares qui contournent tous les contrôles de sécurité mis en œuvre par une organisation.
Quelle que soit la façon dont une personne parvient à installer un malware, par exemple par le biais de spams ou via le téléchargement à la dérobée (« drive-by-download »), celui-ci doit être détecté rapidement. En effet, une fois installés, les malwares peuvent se déplacer latéralement à une vitesse surprenante, et cette situation risque de passer inaperçue de l’utilisateur.
Sécuriser la couche DNS pour prévenir les cyberattaques
Si vous n’avez pas encore ajouté un système de filtrage DNS à vos défenses de sécurité, rassurez-vous, car vous n’êtes pas le seul.
Malheureusement, de nombreuses entreprises, voire des organisations gouvernementales, accordent peu d’attention à la sécurisation de la couche DNS et ont déjà été attaquées ou ont déjà vu leurs systèmes compromis.
Les cybercriminels ont déjà exploité des entreprises qui ne parviennent pas à sécuriser les DNS
Les cybercriminels ont déjà exploité les vulnérabilités concernant la sécurité de la couche DNS. Ils ont utilisé cette faille pour mener des attaques de phishing et pour accéder aux données appartenant aux entreprises.
Ne pas sécuriser la couche DNS rend la tâche beaucoup trop facile pour les pirates informatiques. Alors, si vous voulez vraiment empêcher les cybercriminels de voler vos données et de saboter vos systèmes, il est temps d’ajouter le filtrage DNS à votre arsenal de sécurité réseau.
La bonne nouvelle est que la sécurisation de la couche DNS est un processus simple qui ne nécessite aucun matériel informatique ni l’installation d’un logiciel supplémentaire. Certains fournisseurs offrent maintenant des solutions de filtrage DNS dans le cloud qui peuvent être mises en place en quelques minutes.
Il est peut-être temps que vous commenciez à sécuriser la couche DNS et à faire en sorte que votre réseau soit beaucoup plus difficile à compromettre pour les cybercriminels.
Vous souhaitez bénéficier d’un haut niveau de protection contre les malwares et les attaques de phishing ? Alors, consultez WebTitan Cloud, le filtre Web DNS qui vous permet de surveiller, contrôler et protéger vos utilisateurs et votre réseau d’entreprise. Cette solution ne requiert pas l’installation d’un logiciel de votre part ni de la part des utilisateurs finaux. De plus, sa mise en place est extraordinairement simple et rapide.
Aujourd’hui, nous partageons avec Steve Havert, un professionnel expérimenté de l’informatique, d’autres informations précieuses sur la sécurité de la messagerie. Dans cet article, Steve s’intéresse à l’usurpation d’adresse électronique, l’outil souvent utilisé par les spammeurs pour diffuser des campagnes de phishing.
Depuis longtemps, l’usurpation d’adresse électronique (email spoofing) a été utilisée comme un moyen efficace pour les spammeurs d’atteindre leurs cibles. Bien qu’il existe des méthodes pour identifier une adresse d’email usurpée, aucune d’entre elles n’est parfaite. Les emails falsifiés risquent d’être considérés comme des spams.
Un email falsifié est simplement un email dont l’adresse de l’expéditeur a été falsifiée. Lorsqu’un destinataire reçoit le message, il croit qu’il vient d’une source connue et il est plus susceptible de l’ouvrir et de cliquer sur un lien dans le message ou d’ouvrir une pièce jointe.
Grâce à cette technique, les cybercriminels peuvent atteindre un certain nombre d’objectifs, notamment le phishing, l’installation de malwares, l’accès à des données confidentielles, etc. La dernière attaque la plus importante est « Locky ». Elle se propage le plus souvent par le biais des spams, dont la plupart sont déguisés en factures et utilisent souvent une adresse électronique usurpée.
La première fois que j’ai trouvé une adresse d’email usurpée, je dirigeais ma propre entreprise de conseil en IT qui offrait des services d’externalisation des IT aux petites entreprises. À l’époque, les plus grandes menaces provenant de l’ouverture d’emails malveillants étaient l’infection par des virus informatiques.
Mon client avait ouvert une pièce jointe à un email qu’il avait reçu d’un associé (du moins, c’est ce qu’il pensait) et avait libéré un virus. Le virus n’avait pas causé beaucoup de dommages, mais il avait transformé son ordinateur en spambot.
Qu’est-ce que le spoofing ?
La plupart des e-mails frauduleux peuvent facilement être détectés et il suffit de les supprimer pour y remédier. Cependant, certaines variétés d’e-mails de spams peuvent représenter des risques pour la sécurité et causer de graves problèmes. Par exemple, un e-mail malveillant peut prétendre provenir d’un site d’achat très connu et demander à son destinataire de fournir des données sensibles, comme son numéro de carte de crédit ou son mot de passe.
Mon client a soupçonné un problème lorsqu’il a commencé à recevoir une grande quantité de rapports non livrables (« Non-Deliverable Reports ») dans un court laps de temps. Son carnet d’adresses électroniques contenait un certain nombre d’adresses électroniques invalides et les spams générés par son ordinateur étaient renvoyés par les serveurs des adresses invalides. Il était surpris que son associé ait envoyé un email infecté.
Il a communiqué avec l’associé pour l’avertir que l’ordinateur de son associé était infecté. Pourtant, lorsque ce dernier a analysé plusieurs virus, il n’a rien trouvé.
Au moment où mon client m’avait appelé, il était déconcerté. Dès que j’ai regardé l’en-tête de l’email offensant, j’ai réalisé ce qui s’était passé. Je lui ai expliqué le concept de l’usurpation d’adresse électronique. Il ne croyait pas que quelqu’un ait pu falsifier l’adresse électronique de l’expéditeur.
Comment l’usurpation d’identité par email a évolué et est devenue plus risquée ?
Je pense parfois à ces moments comme au bon vieux temps. Les types d’attaques que mes clients ont subies avaient tendance à causer des dommages minimes.
La plupart du temps, ils commençaient à recevoir des popups ennuyeux ou leur ordinateur commençait à ralentir quand un moteur de spambot commençait à envoyer des emails à tout le monde dans leur carnet d’adresses, ou encore lorsqu’un programme en arrière-plan téléchargeait l’historique de navigation vers un serveur situé quelque part.
Les raisons de l’usurpation d’identité par e-mail ont évolué. Outre le phishing, les pirates d’aujourd’hui utilisent l’usurpation d’adresse électronique pour les principales raisons suivantes :
Cacher leur véritable identité lorsqu’ils envoient des spams à leurs cibles ;
Contourner les filtres antispam ainsi que les listes de blocage. Pour minimiser cette menace, les utilisateurs peuvent bloquer les adresses de protocole Internet (IP) et les fournisseurs d’accès Internet (FAI) ;
Se faire passer pour une personne fiable, comme un collègue ou un collaborateur, pour soutirer des informations confidentielles ;
Se faire passer pour une organisation de confiance, telle qu’une société financière pour obtenir+ l’accès aux données de cartes de crédit ;
Commettre un vol d’identité. Pour ce faire, les escrocs peuvent se passer pour une victime ciblée et demander des informations personnelles identifiables ;
Nuire à la réputation d’une personne ou d’une organisation ;
Diffuser des malwares cachés dans des pièces jointes ;
Mener une attaque de type « man-in-the-middle » (MitM) pour pouvoir s’introduire entre la communication entre deux personnes ou deux dispositifs pour s’emparer des données sensibles de leurs victimes ;
Obtenir l’accès à des informations critiques collectées par des fournisseurs tiers.
Quelle est la différence entre le phishing, l’usurpation d’identité et l’usurpation de domaine ?
Les pirates informatiques utilisent l’usurpation d’identité pour mener une attaque de phishing. Le phishing, quant à lui, est une méthode qui leur permet d’obtenir des données en falsifiant une adresse électronique et en envoyant des e-mails qui semblent provenir d’une source de confiance. L’objectif étant d’inciter les victimes à cliquer sur un lien ou à télécharger une pièce jointe malveillante conçue pour installer un malware sur leur système.
Le spoofing est aussi lié à l’usurpation d’identité de domaine. Le principe consiste à utiliser une adresse électronique similaire à une autre adresse e-mail. Lors d’une usurpation de domaine, un e-mail peut provenir d’une adresse telle que customerservice@apple.com. Pour duper les utilisateurs finaux, les pirates peuvent utiliser l’adresse du faux expéditeur qui l’air authentique, comme customerservice@apple.co.
Une catastrophe coûteuse
Parfois, il y avait un désastre coûteux, par exemple lorsque l’ordinateur d’un client était infecté par le virus ILOVEYOU (attaché à un email usurpé). Ce virus écrasait plusieurs centaines de fichiers avant que le client ne se rende compte qu’il y avait un problème.
L’une des choses les plus étranges s’est passé le 5 mai 2000. La plupart des téléphones de professionnels de la sécurité se sont mis à sonner. Ces appels provenaient de personnes qui voulaient désespérément de l’aide. Elles signalaient un virus qui faisait rage dans leurs systèmes qui détruisaient et corrompaient leurs données au passage. La plus grande question pour tout le monde à ce moment était de savoir comment une telle chose pourrait arriver à quelqu’un.
En fait, la réponse a été la même pour tous. L’un de leurs employés avait reçu un e-mail dont l’objet était « ILOVEYOU ». Le message était « veuillez vérifier la LOVELETTER ci-jointe venant de moi ». Lors de cette arnaque, la pièce jointe semblait être un fichier texte. Cependant, il s’agissait d’un programme exécutable qui se faisait passer pour un fichier texte. Très rapidement, le virus a pris le contrôle. Il téléchargeait des copies de lui-même aux contacts du carnet d’adresses électroniques de la victime. Les destinataires pensaient qu’il s’agissait d’une blague ou d’une déclaration d’amour sérieuse et ont ouvert la pièce jointe. À chaque clic, le virus continuait à se propager.
ILOVEYOU aurait infecté des dizaines de millions d’ordinateurs dans le monde et causé des milliards d’euros de dommages. Une fois qu’une machine était infectée, il analysait le carnet d’adresses de Windows et envoyait ensuite des copies de lui-même à chaque contact de la liste. Il utilisait à son avantage le manque de sécurité de la messagerie électronique et a pu se faire passer pour une pièce jointe légitime envoyée par une connaissance connue. C’est grâce à cette simple tactique d’ingénierie sociale que le virus a réussi à se propager rapidement et efficacement dans le monde entier.
Si ce dernier avait sauvegardé son ordinateur sur une base régulière comme je lui avais recommandé, il n’y aurait pas eu de désastre. Mais comme le dit le proverbe : « On peut emmener le cheval à l’abreuvoir, mais on ne peut pas le forcer à boire. »
Aucune entreprise n’est à l’abri de la perte de données
Les risques liés aux emails usurpés et malveillants sont de plus en plus nombreux aujourd’hui et les individus concernés peuvent perdre leur sécurité financière en raison du vol d’identité.
Les bases de données des organisations peuvent contenir des numéros de sécurité sociale, des informations de leur carte de crédit, des dossiers médicaux, des numéros de comptes bancaires, etc.
Lorsque ces informations sont exploitées par des cybercriminels, cela peut entrainer des milliards de dollars de dommages et intérêts, non seulement pour l’organisation, mais aussi pour les personnes concernées.
Les petites entreprises victimes des emails malveillants peuvent ainsi subir d’importants dommages financiers.
J’ai eu un client qui a perdu plusieurs centaines de fichiers à cause d’un virus qui s’est manifesté sous la forme d’une pièce jointe usurpée à un email. Il s’agissait de fichiers actualisés qui étaient essentiels à un projet sur lequel l’entreprise travaillait, mais qui n’avaient pas encore été sauvegardés. Il n’avait pas d’autre choix que de recréer les documents à partir de zéro ou à partir des versions plus anciennes, ce qui lui coûtait plusieurs milliers de dollars en heures supplémentaires.
Cela dit, aucune entreprise n’est donc à l’abri de la perte de données, et sachez que les petites entreprises sont souvent celles qui souffrent le plus.
Comment se protéger contre le spoofing ?
Malgré le fait qu’il soit relativement facile de se protéger contre les emails frauduleux, c’est toujours une technique courante utilisée par les spammeurs et les cybercriminels. Et sachez qu’il faut un certain effort, et donc de l’argent, pour lutter contre l’usurpation d’identité par email. C’est probablement la raison pour laquelle de nombreuses petites entreprises ne prennent pas les précautions nécessaires.
Sur ce point, voici dix conseils que je donne souvent à mes clients :
1. Déployer une passerelle de sécurité du courrier électronique
Les passerelles de sécurité du courrier électronique protègent les entreprises en bloquant les e-mails entrants et sortants qui présentent des éléments suspects ou ne respectent pas les politiques de sécurité mises en place par l’entreprise. Certaines passerelles offrent des fonctions supplémentaires, mais toutes peuvent détecter la plupart des malwares, des spams et des attaques de phishing.
2. Utiliser un logiciel antimalware
Les logiciels peuvent identifier et bloquer les sites web suspects ; détecter les attaques par usurpation d’identité et arrêter les e-mails frauduleux avant qu’ils n’atteignent les boîtes de réception des utilisateurs finaux.
3. Utiliser le chiffrement pour protéger les e-mails
Un certificat de signature d’e-mail chiffre les e-mails, permettant uniquement au destinataire prévu d’accéder au contenu. Dans le cas d’un chiffrement asymétrique, une clé publique chiffre l’e-mail tandis qu’une clé privée appartenant au destinataire déchiffre le message. Une signature numérique supplémentaire peut garantir au destinataire que l’expéditeur est une source valide. Dans les environnements qui ne disposent pas d’un système de chiffrement général, les utilisateurs peuvent apprendre à chiffrer les pièces jointes des messages électroniques.
4. Utiliser des protocoles de sécurité du courrier électronique
Les protocoles de sécurité de la messagerie électronique basés sur l’infrastructure peuvent réduire les menaces et le spam en utilisant l’authentification du domaine. En plus des protocoles SMTP et SPF, les entreprises peuvent utiliser DomainKeys Identified Mail (DKIM) pour fournir une autre couche de sécurité avec une signature numérique. Le protocole Domain-based Message Authentication, Reporting and Conformance (DMARC) peut également être mis en œuvre pour définir les mesures à prendre lorsque les messages ne répondent pas aux critères DKIM et SPF.
5. Utiliser la recherche d’adresse IP inversée pour authentifier les expéditeurs
Une recherche d’adresse IP inversée confirme que l’expéditeur apparent est le vrai et vérifie la source de l’e-mail en identifiant le nom de domaine associé à l’adresse IP. Les propriétaires de sites web peuvent également envisager de publier un enregistrement du système de nom de domaine (DNS) qui indique qui peut envoyer des messages électroniques au nom de leur domaine. Les e-mails sont alors inspectés avant que leurs contenus ne soient téléchargés et peuvent être rejetés avant de causer un quelconque dommage.
7. Faites attention aux éventuelles adresses électroniques usurpées
Les adresses électroniques avec lesquelles les utilisateurs communiquent sont souvent prévisibles et familières. Les personnes peuvent apprendre à se méfier des adresses électroniques inconnues ou étranges et à vérifier l’origine d’un e-mail avant d’y répondre. Les escrocs utilisent souvent les mêmes tactiques plusieurs fois. Les utilisateurs doivent donc rester vigilants.
8. Évitez d’ouvrir les pièces jointes étranges ou de cliquer sur des liens inconnus
Les utilisateurs doivent se tenir à l’écart des pièces jointes et des liens suspects. La meilleure pratique consiste à examiner chaque élément d’un e-mail, en recherchant les signes révélateurs (fautes d’orthographe, extensions de fichiers inconnues, etc.,) avant d’ouvrir un lien ou une pièce jointe.
9. Surveiller les e-mails
Désignez quelqu’un — si ce n’est pas un employé, engagez un partenaire externe IT — pour surveiller et administrer le système d’email, y compris le filtre antispam. Ce n’est pas une tâche triviale, car la fonctionnalité de messagerie électronique change, les nouvelles menaces évoluent constamment et les adresses électroniques évoluent fréquemment en raison des changements de personnel.
Les adresses électroniques avec lesquelles les utilisateurs communiquent sont souvent prévisibles et familières. Les personnes peuvent apprendre à se méfier des adresses électroniques inconnues ou étranges et à vérifier l’origine d’un e-mail avant d’y répondre. Les pirates utilisent souvent les mêmes tactiques plusieurs fois, les utilisateurs finaux doivent donc rester vigilants.
10. Former les employés à la cyberconscience
En plus des mesures antispoofing logicielles, les entreprises doivent encourager la prudence des employés, en leur enseignant la cybersécurité et la manière de reconnaître les éléments suspects et de se protéger. De simples formations peuvent fournir aux employés des exemples d’usurpation d’adresse électronique et leur donner la capacité de reconnaître et de gérer les tactiques d’usurpation, ainsi que les procédures à suivre lorsqu’une tentative d’usurpation est découverte. La formation doit être continue afin que le matériel et les méthodes puissent être mis à jour à mesure que de nouvelles menaces apparaissent.
Que pouvez-vous dire pour conclure ?
Sensibilisez vos employés à l’usurpation d’adresse électronique et aux autres techniques utilisées par les spammeurs et les cybercriminels. Formez-les sur ce qu’il faut rechercher lors de l’analyse de leur boîte de réception afin qu’ils puissent rapidement identifier les emails malveillants potentiels. Donnez-leur une ressource qui peut les aider à décider lorsqu’ils ne sont pas sûrs qu’un email soit malveillant.
Le courrier électronique est un outil de communication professionnelle indispensable et extrêmement utile. Malheureusement, comme il est tellement utilisé, il constitue une cible facile pour les cybercriminels.
Pour un utilisateur lambda de courrier électronique, il est difficile de repérer un email malveillant parmi les centaines ou les milliers d’emails qui arrivent dans sa boîte de réception. C’est pourquoi il est devenu si important pour les organisations d’allouer les ressources et les fonds nécessaires pour protéger leur personnel et leur organisation contre toutes les menaces provenant d’un message qui semble provenir d’une source connue.
