Votre entreprise a commandé de nouveaux meubles de bureau et vous recevez une facture du fournisseur. Vous virez le montant sur son numéro de compte, lequel est mentionné sur la facture, mais quelques semaines plus tard, vous recevez un avertissement dans votre boîte de réception que le fournisseur n’a reçu aucun paiement de votre part. Si c’est le cas, c’est que votre entreprise est peut-être victime d’une facture falsifiée. Des pirates informatiques ont probablement intercepté la facture et en ont modifié le numéro de compte. En fait, en payant la facture, vous payez les escrocs.
En fait, on parle de « CEO Fraud » lorsque des cybercriminels usurpent les comptes e-mail d’une entreprise et l’identité de ses dirigeants pour tenter d’ordonner à un employé de la comptabilité ou des finances d’autoriser des virements électroniques ou d’envoyer des informations fiscales confidentielles.
On parle donc d’une attaque sophistiquée, appelée « Executive Whaling » qui cible les cadres supérieurs. Elle est surtout basée sur la recherche approfondie d’informations concernant ces dirigeants d’entreprises, réalisée par des gens malintentionnés.
Selon le FBI, ces escroqueries à la compromission d’e-mails d’affaires ont impliqué une perte de plus de 5 milliards de dollars entre octobre 2013 et décembre 2016, avec plus de 24 000 victimes dans le monde entier.
Vous ne voulez pas prendre le risque de payer une facture sans en vérifier la validité, non ?
Les fausses factures par email
Le terme « spam » est trop générique pour qu’un employé puisse comprendre correctement la menace qu’il représente. Bien qu’il définisse des emails indésirables, c’est-à-dire les messages que vous ne souhaitez pas recevoir. Il en existe de nombreux types de spams que vous devrez correctement différencier, comme les emails d’usurpation d’identité, les messages du type BEC (fraude au directeur), les email contenant des pièces jointes malveillantes, les emails avec des liens (URL) malveillants, les e-mails de phishing, de spear phishing, de whaling, etc.
L’une des attaques par email les plus efficaces est celle des fausses factures, où le pirate informatique envoie un message contenant une facture liée à son compte bancaire en pièce jointe. Dans la majorité des cas, les cybercriminels réussissent à acquérir un accès aux comptes email de leurs victimes ; ils attendent qu’il y ait une conversation au sujet d’un transfert financier pour pouvoir envoyer son compte IBAN personnel. Ils utilisent souvent le prétexte d’un problème avec le compte bancaire habituel de vos employés.
Ces attaques sont tout aussi efficaces contre les particuliers que pour les PME qui n’ont que peu de processus internes pour valider les transactions. Mais elles ciblent également les grands groupes qui ont de grandes équipes et de nombreux décideurs qui ne disposent pas d’une vision globale de l’activité financière de l’entreprise.
A quoi ressemble une attaque de phishing. En voici quelques exemples !
Vous recevez un e-mail dans lequel on vous demande de cliquer sur un lien qui semble d’une grande importance.
En effet, ce genre d’e-mail est envoyé à des milliers de comptes quotidiennement. En cliquant sur le lien, vous risquez de télécharger un logiciel malveillant qui pourra enregistrer les informations que vous saisissez sur votre PC, y compris les noms d’utilisateur et les mots de passe que vous utilisez sur les sites web et sur vos applications d’entreprise.
Vous pouvez aussi recevoir un e-mail qui semble être un communiqué officiel de votre banque. Il peut inclure votre nom personnel ou professionnel et vous demande de cliquer sur un lien pour accomplir une tâche urgente.
Ce lien fait apparaître un faux site web qui ressemble beaucoup à celui de la banque. Lorsque vous entrez votre nom d’utilisateur et votre mot de passe, ces informations sont sauvegardées par des cybercriminels. Ces derniers pourront ensuite les utiliser pour transférer de l’argent qui se trouve dans votre compte bancaire.
Autre exemple : vous pouvez recevoir un e-mail de votre patron vous demandant d’effectuer un virement télégraphique à une entreprise de bonne réputation. Est-ce que vous devriez vous méfier de cet e-mail de votre patron ?
La réponse est « Oui ». Réfléchissez toujours à deux fois avant de payer une quelconque facture ou de transférer des fonds.
Comment les escrocs procèdent-ils ?
Les cybercriminels utilisent les escroqueries par e-mail pour infiltrer des entreprises avec des malwares et les attaquer de l’intérieur. Tout ce dont les pirates informatiques ont besoin pour s’introduire dans votre entreprise est un message électronique intelligemment formulé. S’ils peuvent tromper un employé de votre entreprise et que celui-ci clique sur un lien malveillant, ils peuvent accéder à vos données sensibles.
Les pirates envoient des factures par e-mail pour amener les destinataires – qui sont généralement des entreprises – à partager des informations personnelles qui sont ensuite utilisées pour l’usurpation d’identité ou la fraude. Ils se font passer pour une enseigne (entreprise, fournisseur, etc.,) de bonne réputation en envoyant une facture pour des produits ou des services que vous n’avez jamais commandés.
Le phishing est l’une des techniques les plus utilisées par les pirates pour récupérer des données ou informations (souvent bancaires). Ils utilisent pour cela l’identité d’une enseigne de confiance comme les mutuelles, les banques, ou les sites e-commerce pour envoyer des e-mails en leur nom. Les pirates réclament généralement l’envoi de données ou le paiement d’une somme via un lien hypertexte intégré au message électronique ou via un formulaire en ligne. Ils peuvent ainsi récupérer les coordonnées bancaires, ou les identifiants de connexion et mots de passe de vos employés, pour les voler ensuite en se servant de leur compte en banque.
Le plus grand risque lié aux e-mails de phishing se trouve généralement dans les pièces jointes. Une fois que vous téléchargez une pièce jointe envoyée dans un message frauduleux, vous installez en fait un malware. Les escrocs peuvent ainsi détourner les ordinateurs de vos employés et les empêcher d’accéder aux fichiers essentiels.
Pourquoi les pirates préferent-ils utiliser les fausses factures et les e-mails non sollicités ?
Certaines des attaques en ligne sont simplement envoyées sous forme de spam à de nombreux employés ou entreprises. D’autres menaces peuvent cibler directement votre entreprise lorsque l’enregistrement en tant qu’entreprise devient public.
Les entreprises qui envoient de fausses factures les fouillent ce type de données pour identifier de nouveaux objectifs. Ce type de courrier est souvent personnalisé et peut inclure les coordonnées de votre entreprise, ce qui rend souvent difficile de reconnaître si le message est légitime ou non.
Les e-mails reçus peuvent également indiquer des informations bancaires ressemblant à celles des coordonnées bancaires légitimes utilisées par l’entreprise. Sans double contrôle, vous pouvez donc finir par transférer de l’argent sur un compte bancaire frauduleux.
Récentes arnaques sur les fausses factures
Pas plus tard que l’année dernière, l’entreprise française Etna Industrie, qui emploie 50 personnes, a été victime d’une attaque de type « CEO Fraud ».
Lors d’une interview sur BBC, Carole Gratzmullter, PDG de l’entreprise Etna Industrie, a déclaré : « Mon comptable a été appelé vendredi matin et l’appelant a dit : vous allez recevoir un e-mail de la PDG qui contient des instructions pour effectuer une transaction très confidentielle et que vous devrez exécuter ».
Le comptable a ensuite reçu un e-mail d’une adresse avec le nom de Mme Carole Gratzmullter, mentionnant qu’Etna Industrie était en train d’acheter une entreprise à Chypre. Le comptable devait donc recevoir un appel téléphonique d’un consultant qui travaille avec un avocat.
Ce dernier lui donnerait les instructions quant à l’endroit où l’argent devrait être transféré. Mme Gratzmuller a souligné que tout ceci s’était passé entre 9 et 10 heures et, pendant cette période, le comptable a probablement reçu une dizaine d’e-mails et trois ou quatre appels téléphoniques différents.
Les fraudeurs ont donc forcé le comptable à agir rapidement – c’est l’une des caractéristiques courantes d’une attaque par phishing – de sorte qu’il ne puisse pas avoir le temps de réfléchir et de penser qu’il s’agit d’une situation inhabituelle.
Avant midi, le comptable avait donc autorisé des virements bancaires d’un montant total de 542 000 $ sur des comptes bancaires étrangers. Heureusement pour Etna Industrie, trois de ces virements ont été bloqués par les banques, mais une transaction d’un montant d’environ 115 000 $ a tout de même pu être réalisée.
5 milliards de dollars perdus à cause du phishing et des BEC (Business Email Compromise)
Dans un article publié plus tôt cette année, nous avons mis l’accent sur l’affaire Scoular, qui a été aussi victime d’une attaque de phishing hautement ciblée. À cause de cette attaque cybercriminelle, Scoular a perdu 17,2 millions de dollars au mois de juin 2014.
Les détails de l’affaire mettent en lumière certains des signes avant-coureurs d’une éventuelle attaque de phishing.
D’une part, Scoular a des intérêts commerciaux internationaux et réalise fréquemment des virements à l’étranger. Il ne semblait donc pas inhabituel que le comptable de Scoular reçoive un email pour faire un virement de 780 000 $ sur le compte d’une banque chinoise. À ce moment, le contrôleur n’avait pas reçu d’alerte et a donc transféré l’argent, alors que celui-ci aurait dû être viré sur le compte d’une vraie banque, la Shanghai Pudong Development Bank.
Le lendemain, il a reçu un deuxième e-mail qui lui demandait de virer 7 millions de dollars et de communiquer avec son cabinet de vérification pour obtenir des détails sur l’envoi de l’argent. Il a ensuite reçu ces détails (non sollicités) par e-mail pour donner l’impression qu’ils provenaient réellement des vrais vérificateurs de la SEC (Securities and Exchange Commission).
L’un des e-mails disait : « J’aurai besoin que vous vous occupiez de ceci : au cours des derniers mois, nous avons travaillé en coordination et sous la supervision de la SEC en vue de l’acquisition d’une société chinoise … C’est très sensible, donc ne communiquez avec moi que par cet email, afin que nous n’enfreignions pas les règles de la SEC. »
Trois jours plus tard, le contrôleur a encore reçu un troisième et dernier e-mail, lui demandant de virer 9,4 millions de dollars supplémentaires. Au cours de l’enquête sur l’affaire, le contrôleur a dit au FBI qu’il « ne se méfiait pas des trois demandes de virements » parce qu’il y avait un élément de vérité dans tout cela ». Suite à cet incident, le contrôleur a été remercié par Scoular.
Que s’est-il passé exactement ?
De nos jours, les professionnels du phishing s’attaquent à la nature humaine. Ils recueillent des renseignements sur votre entreprise via de nombreuses sources.
Ils consultent par exemple les sources publiques comme Google pour trouver votre nom d’entreprise et d’autres informations qui y sont disponibles
Ils recherchent les personnes qui travaillent ou ont travaillé tant pour votre entreprise que pour vos fournisseurs ou clients
Ils peuvent également accéder par effraction dans votre réseau informatique pour recueillir des renseignements confidentiels.
Pour le cas de Scoular, les cybercriminels connaissaient parfaitement le nom du contrôleur et des vérificateurs du SEC. Il savait également que l’entreprise cherchait de nouvelles opportunités commerciales en Chine.
Lorsqu’ils ont opéré, ils ont commencé modestement, puis augmenté leurs demandes à chaque fois qu’ils réussissent. Leur première demande dans l’affaire Scoular s’élevait à 780 000 $, alors que pour la dernière demande, la somme s’élevait à 9,7 millions de dollars.
Même les plateformes de renom comme Google et Facebook ont également été victimes de fausses factures. Le pirate, sous le nom d’Evaldas Rimasauskas, a facturé aux deux géants de l’internet plus de 100 millions de dollars. Pour ce faire, il prétendait être leur fournisseur de matériel Quanta Computer basé à Taiwan. Evaldas a fait croire à Google et Facebook qu’une compagnie porte le même nom en Europe, et créée une fausse succursale de la compagnie taiwanaise. Bien que ces deux entreprises disposent de nombreux outils qui permettent d’empêcher ce genre d’attaque, le pirate d’Evaldas avait suffisamment de connaissances sur leurs processus de commande et de paiements pour émettre des fausses factures et pour soustraire de l’argent pendant deux ans.
Éviter le piège de la fraude à la facture
Il existe également un autre type de fraude à la facture en dehors du phishing. Aujourd’hui, nous envoyons de plus en plus de factures sous la forme électronique. Cette situation entraine une augmentation du risque de fraude. L’une des techniques les plus courantes : le pirate envoie une fausse facture qui porte pourtant son propre numéro de compte.
Dans ce type de cas, un collaborateur du département financier d’une société est invité à verser de l’argent sur le compte du fraudeur de manière insidieuse. Généralement, le hors-la-loi utilise de fausses factures.
Prenons l’exemple d’une entreprise de construction : le comptable de la société reçoit un mail venant de l’entreprise Iwi, qui est un fournisseur habituel. Dans le message électronique, le fournisseur demande au comptable de payer la facture en pièce jointe, mais sur un autre numéro de compte, car la société Iwi a changé de banque.
Tout parait en ordre sur la facture et le comptable ne s’inquiète pas. Il vire donc les fonds sur le nouveau numéro de compte indiqué.
En réalité, le fraudeur a juste falsifié la facture et a changé le numéro de compte habituel par son propre compte en banque. L’argent disparait et l’entreprise de construction s’aperçoit du vol plus tard.
Comment reconnaitre une fraude à la facture ?
Généralement, on peut très vite reconnaitre les cas de fraude à la facture en faisant preuve de vigilance.
En effet, chaque requête de paiement dont le numéro de compte indiqué est différent de celui qui est enregistré dans votre base de données doit être considérée comme une demande suspecte. Il faut donc mener des vérifications avant de donner une suite à la requête. Cela vaut aussi bien pour les PME que pour les entreprises de grande taille et quel que soit le montant.
Pour soutirer de l’argent, certains pirates informatiques n’hésitent pas à utiliser votre manque de connaissance. Ils se font passer pour un service public fiscal ou administratif. Ils utilisent également des logos qui se rapprochent étrangement de ceux utilisés par les administrations françaises ou un logo qui fait penser qu’il s’agit du registre du commerce ou du service des immatriculations. En fait, vous retrouverez rarement un numéro de téléphone, le SIREN, ou encore le numéro d’identification complète du soi-disant fournisseur. La présentation de l’e-mail peut pousser l’employé à régler rapidement la fausse facture sous peine de poursuite.
Pour réduire considérablement le risque de ce type de fraude, il existe quelques précautions élémentaires qui peuvent être suivies facilement. Le meilleur moyen pour se défendre contre ce type d’arnaques et de suivre rigoureusement une procédure bien définie pour le traitement et le paiement des factures. Bien entendu, il ne faut pas oublier la vigilance.
L’entreprise et le collaborateur doivent prendre quelques mesures pour éviter ce genre de situations.
Mesures à prendre par l’entreprise
L’entreprise doit veiller à sensibiliser ses équipes de ces types de fraudes et leur apprendre à les reconnaitre facilement. Elle doit demander à ses collaborateurs de toujours faire preuve de prudence face à des requêtes de paiement et de procéder à une vérification systématique pour s’assurer qu’elles ne comportent aucune irrégularité.
Veillez à établir des procédures internes pour le paiement des factures. Ainsi, vous pouvez convenir avec votre service financier par exemple que si une requête de paiement est envoyée par mail, elle doit impérativement faire l’objet d’un contrôle afin de vérifier qu’elle est authentique. Ou alors, si les montants sont importants, elles doivent faire l’objet d’une autorisation supplémentaire.
Vérifiez également l’information sur votre site internet. Il est vrai que la transparence a son charme, mais donner trop d’informations peut s’avérer dangereux.
Tout le monde ne doit pas savoir qui sont vos fournisseurs par exemple. Par ailleurs, apprenez à vos collaborateurs à ne pas donner des informations sensibles sur votre entreprise sur les réseaux sociaux.
Précautions à prendre en tant que collaborateur
Lorsque vous recevez une demande de paiement, ne vous fiez pas seulement à l’adresse mail qui s’affiche, car il est très facile aujourd’hui de faire une contrefaçon. Aujourd’hui, les fraudeurs arrivent à imiter à la perfection la présentation et le logo du fournisseur dans leurs messages électroniques.
Lorsque vous avez un doute, demandez automatiquement l’avis d’un collègue compétent. Pensez à élaborer une procédure qui exige la confirmation du compte et du bénéficiaire pour toutes les factures dont le montant dépasse un seuil bien défini.
Lorsque vous recevez une requête de paiement et que vous constatez un changement des données, demandez d’abord une confirmation à la société concernée. Alors, ne faites pas l’erreur d’utiliser les informations qui figurent sur la lettre, le mail ou le fax que vous recevez. Obtenez les données d’une personne compétente dans les entreprises vers lesquelles vous réalisez généralement des paiements.
Veillez à ne pas partager les données concernant votre employeur, les supérieurs hiérarchiques de la société, les procédures de confiance ou les règles de sécurité mises en place. En outre, soyez très vigilant sur les médias sociaux.
Ne répondez pas à l’e-mail, ne cliquez sur aucun lien qui y est intégré, même celui qui est censé permettre de vous désabonner. Dans tous les cas, n’ouvrez pas de pièce jointe et ne remplissez jamais aucun formulaire si vous n’êtes pas certain de la source d’où elle provient.
Faites également preuve de bon sens. Aucun organisme ou fournisseur ne vous demandera par e-mail de lui fournir des informations personnelles ou sensibles.
En cas de doute, il est recommandé de contacter l’organisme censé vous avoir envoyé l’e-mail par téléphone. Vous pouvez aussi consulter la page d’accueil de son site Internet, sans utiliser le lien proposé dans l’e-mail. Et surtout, n’oubliez pas de signaler l’e-mail à votre administrateur système.
De temps en temps, vous devriez supprimer les messages indésirables et vider la corbeille de votre compte de messagerie électronique.
Pour plus de protection, certains éditeurs d’antivirus proposent des logiciels qui comprennent diverses fonctions protectrices, notamment contre le phishing et les malwares.
Comment éviter une attaque de phishing ?
Selon Krebs Security, une employée d’une autre entreprise, qui a souhaité rester anonyme, a reçu un e-mail qui lui demandait de réaliser un virement bancaire de 315 000 $.
Elle pensait que le montant était plus élevé que d’habitude, et l’email semblait plus formel que ce à quoi elle s’attendait de la part de son directeur financier. Elle a fait une petite vérification et a constaté que le message avait été envoyé à partir d’un nom de domaine qui ne ressemble pas à celui de son employeur.
Le compte utilisé pour envoyer l’email n’était pas non plus celui du directeur financier. Elle a donc décidé de ne pas virer l’argent, et a pu conserver son poste après cet incident.
Alors, comment se protéger contre le phishing ?
Faites confiance à vos premières impressions sur l’email, tout en considérant les points suivants :
Le ton, la grammaire et le langage sont-ils appropriés pour l’expéditeur ?
Est-ce que l’email a l’air d’avoir été traduit d’une langue étrangère ?
Demande-t-il une action « urgente » ou « immédiate », notamment en matière de transactions financières ?
Est-ce que cela semble trop beau pour être vrai ? Parce qu’un e-mail de phishing l’est souvent.
Détaille-t-il une demande « confidentielle » ou « privée » ?
A-t-il été envoyé à partir d’une adresse électronique que l’expéditeur n’utilise habituellement pas ? Sachez toutefois que l’adresse e-mail de l’un de vos collaborateurs peut être falsifiée. Ne présumez donc pas que si elle provient d’une adresse connue, elle est légitime.
L’e-mail concerne-t-il des entreprises ou des particuliers étrangers ?
L’e-mail demande-t-il des renseignements commerciaux ou personnels confidentiels comme des numéros de sécurité sociale, des coordonnées bancaires ou des noms d’utilisateur et des mots de passe ?
En cas de doute, vous pouvez prendre les mesures suivantes :
Ne cliquez sur aucun lien qui se trouve dans l’e-mail.
Passez votre souris sur n’importe quel lien dans l’e-mail. Si vous savez quels devraient être les liens réels, par exemple pour un client ou un fournisseur qui vous envoient fréquemment des liens, alors comparez-les avec le lien que vous venez de recevoir.
Cherchez sur Google les entreprises, les particuliers, les adresses et les numéros de téléphone figurant dans le message.
Si vous recevez un message électronique d’une entité connue, n’utilisez pas le bouton « répondre » pour donner suite à cet e-mail si vous le trouvez suspect. Créez plutôt un nouveau message et utilisez l’adresse déjà enregistrée dans votre carnet d’adresses.
Parlez à d’autres personnes de votre entreprise de l’e-mail de phishing que vous avez reçu.
Voici maintenant quelques astuces plus simples pour vérifier si un e-mail représente un risque de phishing. Le premier conseil est d’utiliser un autre moyen de communication comme le téléphone ou le courrier physique pour vérifier la véracité des informations.
Par ailleurs, n’utilisez jamais l’adresse ou les numéros de téléphone indiqués dans l’e-mail suspect. Recherchez également le site Web réel de l’entreprise qui l’envoie ainsi que leur vrai numéro de téléphone sur Google, dans les pages blanches ou les pages jaunes en ligne.
Que devez-vous faire si vous avez payé une fausse facture ?
Au cas où vous auriez reçu une sommation ou un rappel de paiement, prenez d’abord contact avec votre fournisseur. ou votre client peut-être qu’il s’agit simplement d’une erreur de sa part.
Si ce n’est pas le cas, vous devriez contacter immédiatement votre banque. Il peut s’agir de votre organisation ou celle où vous avez transféré des fonds, pour leur signaler la fraude. Votre banque demandera à la banque du numéro de compte des pirates informatiques de rembourser le montant en question. Cette banque essaiera aussi de bloquer le virement ou le compte sera bloqué de façon à ce que les cybercriminels ne puissent plus y retirer d’argent.
Signalez également l’incident sur votre factcture (facture falsifiée). :Vous recevrez, des conseils, la procédure, et des informations sur les démarches à mettre en place et les personnes pouvant vous aider.
Comment se protéger des attaques de phishing ?
Les attaques de phishing ne font pas qu’augmenter en nombre, elles évoluent aussi. Et sachez que le courrier électronique est le principal moyen de diffusion de la plupart de logiciels malveillants, même ceux qui ne sont pas des ransomwares.
Vous aurez donc intérêt à utiliser une protection avancée contre le spam et contre ces logiciels malveillants. Une solution comme SpamTitan peut par exemple bloquer les e-mails de phishing avant qu’ils n’atteignent votre réseau.
En outre, le FBI recommande aux entreprises :
D’adopter l’authentification à deux étapes ou à deux facteurs pour l’accès à leur courrier électronique.
D’être prudent lorsque vous affichez des informations concernant les activités de vos employés sur votre site web ou sur les réseaux sociaux. Les cybercriminels peuvent passer ces sites au peigne fin pour obtenir des renseignements afin de rendre leurs e-mails encore plus réels.
De mettre en place un processus nécessitant plusieurs approbations lors des virements télégraphiques à l’étranger.
La capacité des employés à reconnaître les tentatives de phishing est d’une importance vitale. Cependant, grâce à la sophistication croissante des attaques ciblées, la sensibilisation et la formation ne suffisent pas à elles seules. Les entreprises doivent également investir dans des technologies de sécurité antispam et antiphishing, dédiées à protéger davantage leurs employés des menaces sur internet.
Même si votre service de messagerie électronique dispose de filtres qui envoient les e-mails suspects dans le dossier spam, ils ne fonctionnent pas toujours. De plus, les cybercriminels sont devenus plus habiles et savent comment tromper les filtres de spam. C’est pourquoi les courriels frauduleux peuvent se retrouver dans votre boîte de réception prioritaire. Il faut mettre en place une solution tièrce de filtrage du spam comme SpamTitan.
Utilisez SpamTitan pour éviter d’être victime d’une arnaque à la fausse facture
Essayez SpamTitan pour bloquer ces e-mails des spams et des attaques de phishing afin qu’ils n’atteignent jamais les boîtes de réception de vos collaborateurs. Inscrivez-vous pour un essai gratuit de SpamTitan dès aujourd’hui.
Conclusion
La technologie et les paiements ne vont pas continuer à évoluer, mais certaines entreprises sont restées stagnantes. Elles privilégient les anciens processus manuels aux solutions de cloud computing plus sûres et plus efficaces. Les cybercriminels et les arnaqueurs ont pris conscience de la situation. Alors que les grandes et les petites entreprises ont fermé les yeux sur les progrès réalisés dans les méthodes de paiement B2B, l’infrastructure informatique, les solutions d’automatisation des paiements, l’automatisation des factures et le renforcement de la sécurité, les pirates informatiques ont consacré toute leur énergie à tirer parti de l’apathie apparente du monde de la finance d’entreprise.
Si les entreprises et les professionnels de la finance ne trouvent pas rapidement un moyen d’atténuer le risque de fraude par courrier électronique et par facture, nous pourrions assister à des pertes à douze chiffres dans un avenir pas très lointain. C’est pourquoi TitanHQ a créé un guide complet pour vous aider à réduire le risque de fraude sur les factures et les e-mails en 2021 et au-delà. Il est plus que temps que les entreprises prennent au sérieux la prévention des dommages graves causés par les fraudes sur les factures et les e-mails.
Chez TitanHQ, nous nous sommes engagés à sensibiliser à la fraude et à veiller à ce que le plus grand nombre possible d’entreprises soient protégées. C’est l’une des raisons pour lesquelles nous sommes si passionnés par l’automatisation. Nous ne sommes pas seuls non plus. L’amélioration de la sécurité et de l’efficacité opérationnelle sont deux de ses objectifs. Nous savons que les progrès technologiques entraînent également un risque d’exposition plus élevé pour les entreprises qui adoptent lentement la technologie. C’est le cas depuis des années. C’est pourquoi nous sommes là pour vous aider.
FAQs
Qui lutte contre la fraude à la facture ?
Dès qu’une notification apparait, la police va mener une enquête et tenter d’arrêter les escrocs. Les escrocs utilisent souvent des mules, c’est-à-dire des individus, souvent jeunes, qui mettent leurs comptes en banque à disposition dans le but de récupérer les virements. Ainsi, ils grignotent quelques parts du gâteau. Lorsque la police est en mesure d’identifier les escrocs ou les mules, le dossier est alors remis entre les mains de la justice. Cette procédure, entre autres, a déjà abouti à plusieurs arrestations.
Dois-je encore payer le fournisseur/vendeur si je suis victime d’une attaque à la fausse facture ?
Tout comme le fournisseur/vendeur, vous avez agi de bonne foi. Mais, même si vous avez été victime d’une arnaque, d’un point de vue légal, vous êtes encore tenu de payer votre créancier, c’est-à-dire le vendeur ou votre fournisseur. Cela signifie que votre dette continue d’exister même si vous avez payé la facture falsifiée aux escrocs. Bien entendu, le vendeur est libre de faire un geste de bonne foi. Si vous refusez de le payer, il incombera alors à un juge de statuer.
Puis-je récupérer mon argent ?
Si vous avez payé une facture falsifiée, le mieux serait de contacter votre banque le plus tôt que possible. Celle-ci demandera ensuite à la banque du numéro de compte des pirates de rembourser votre argent. Cette banque va également bloquer le virement et le compte sera bloqué de façon à ce que les pirates ne puissent plus y retirer d’argent. Par contre, si l’arnaque est découverte trop tard et si les escrocs ont déjà retiré l’argent, ou viré le montant en question vers un compte étranger, alors vous ne pourrez plus récupérer votre argent.
Lors des virements, les banques ne sont-elles pas tenues de vérifier l’adéquation entre les numéros de compte ?
Non, les banques n’y sont pas obligées. Les réglementations en vigueur stipulent qu’un ordre de paiement est considéré comme dûment exécuté du moment qu’il est exécuté conformément à un identifiant unique, c’est-à-dire un numéro de compte en banque. Les banques ne sont donc pas obligées de vérifier si ce numéro de compte correspond exactement au nom du bénéficiaire du paiement.
Est-il possible d’assurer mon entreprise contre la fraude à la facture ?
Cela existe, mais le nombre d’assureurs proposant des assurances qui couvre les attaques cybercriminelles auxquelles les entreprises peuvent être confrontées est très limité. Dans certains cas, vous pouvez aussi faire appel à l’assistance juridique de votre assurance. Pour en savoir plus à ce sujet, consultez les assureurs.
Les administrateurs de messagerie sont conscients des dangers du phishing, mais ce n’est que lorsqu’une organisation est spécifiquement ciblée que les choses deviennent sérieuses.
Les attaques de phishing qui se déroulent de manière aléatoire sont généralement détectées par des filtres de messagerie, mais celles de spear phishing sont beaucoup plus sophistiquées et utilisent les données de base des employés pour contourner les filtres web et fournir un meilleur retour sur investissement aux pirates informatiques.
Un attaquant peut passer des jours (voire des semaines) à recueillir des données sur vos employés et utiliser ces informations pour pouvoir leur envoyer directement des emails.
En adoptant une bonne technique, un cybercriminel peut repartir avec plusieurs gigaoctets de données intellectuelles, d’informations sensibles sur vos clients et employés et d’importants documents qui peuvent valoir de l’argent pour vos concurrents.
Avec plus de 155 millions d’utilisateurs …
L’administration du service de messagerie électronique est une tâche ardue. Face aux problèmes de routage, aux quotas d’espaces de stockage, aux problèmes récurrents tels que les moments où les utilisateurs arrivent à envoyer, mais ils ne peuvent pas recevoir des messages… les administrateurs ont souvent des difficultés à gérer le courrier électronique d’une entreprise.
Il n’est donc pas étonnant que de nombreuses solutions proposent des services d’hébergement de messagerie électronique, tels qu’Office 365. Ce dernier est devenu très populaire, notamment grâce à la possibilité d’utiliser les solutions de stockage et de gestion des emails dans le cloud. Office 365 peut même intégrer des fonctions de sécurité de base dédiées à mieux protéger les utilisateurs des attaques cybercriminelles récentes.
Office 365 vise également à simplifier l’expérience de ses utilisateurs. Ces derniers peuvent par exemple accéder directement à une page Web via Office 365, saisir leurs informations d’identification et se connecter à leur compte email depuis l’endroit de leur choix. Ajoutez à cela la réduction des coûts de fonctionnement de votre entreprise grâce à la possibilité d’utiliser le service de messagerie dans le cloud.
Tout ceci explique la montée en flèche de l’utilisation d’Office 365.
On estime que plus de 155 millions d’utilisateurs professionnels utilisent actuellement ce service. Mais le très populaire Microsoft Office 365 est aussi victime de son succès. Il est devenu un service très privilégié par les pirates informatiques, à travers des attaques de phishing sophistiquées. Étant une plateforme multisystème, il combine des applications de messagerie, des systèmes stockage de fichiers, de collaboration et de productivité telle que SharePoint et OneDrive. Ensemble, ces solutions représentent une véritable mine d’informations sensibles que les pirates s’efforcent d’exploiter.
Selon une étude menée par le Ponemon Institute, 52 % des données confidentielles ou sensibles de l’organisation des répondants sont stockées dans SharePoint. Il peut s’agir d’une information financière ou de données critiques, dont le vol ou l’exploitation pourrait causer des dommages irréparables. Pourtant, sachez qu’avec un seul ensemble de justificatifs d’identité Office 365 légitimes, un pirate informatique peut mener des attaques de phishing à partir de l’intérieur de l’entreprise, se faire passer pour l’un de vos employés et faire une demande de remboursement financier par virement bancaire, obtenir des titres de compétences pour ensuite les répartir dans d’autres organisations, etc.
… Office 365 est un trésor pour le phishing
Récemment, les attaquants se sont directement concentrés sur les utilisateurs d’Office 365. Office 365 propose la messagerie d’entreprise à l’aide de serveurs Microsoft Exchange, mais les administrateurs ont l’habitude d’utiliser des informations d’identification pour plusieurs facettes d’Office 365, notamment One Drive, Skype, SharePoint et Office Store.
En interne, cela ne pose pas de problème, mais au cas où un attaquant parviendrait à accéder aux informations d’identification d’un utilisateur par le biais d’une campagne de spear phishing, il aurait donc accès à plusieurs autres ressources.
Lors d’une attaque de phishing en 2017, les utilisateurs d’Office 365 ont été ciblés principalement pour leurs identifiants de messagerie. Les attaquants savent que seul un petit pourcentage d’utilisateurs tomberont dans le piège d’un email non sollicité et provenant d’un étranger. Par contre, ils savent aussi que les utilisateurs font souvent confiance aux personnes figurant sur leur liste de contacts.
La campagne de phishing s’est concentrée sur le vol d’identifiants d’email et l’envoi d’un email avec un document HTML malveillant en pièce jointe. Plus précisément, l’attaquant a envoyé la pièce jointe malveillante à des personnes figurant sur la liste de contacts de la victime. L’email provenait donc d’un utilisateur que des douzaines d’autres utilisateurs connaissent. De cette manière, l’attaquant a pu augmenter sa chance de soutirer des informations d’identification de l’utilisateur.
Ce type d’attaque sophistiquée n’est pas nouveau, mais en se focalisant davantage sur les utilisateurs d’Office 365, l’attaquant a une meilleure chance d’accéder aux données sensibles.
Pour aller plus loin, le pirate informatique a utilisé les identifiants Skype de la victime pour se connecter à un profil et envoyer un fichier malveillant aux cibles dans sa liste de contacts. Cette méthode de spear phishing, qui cible les utilisateurs d’Office 365, ont permis aux cybercriminels de faire passer l’attaque de quelques dizaines à des centaines de personnes.
Il suffit de quelques bonnes cibles pour qu’un attaquant puisse télécharger n’importe quel nombre de documents de propriété intellectuelle, secrets d’entreprise, données financières sur les employés et les clients et de nombreux autres fichiers qui pourraient porter gravement atteintes à l’intégrité de l’organisation.
Utiliser les emails comme vecteurs d’attaque
La sécurité des emails est indéniablement une question stratégique dans la politique de sécurité de toute organisation.
Si vous voulez protéger efficacement votre service de messagerie électronique, vous devez vous focaliser sur deux aspects.
La technologie
La plupart des systèmes de sécurisation des emails que les entreprises utilisent actuellement ne sont rien d’autre que de simples filtres antispam. Ceux-ci fonctionnent selon un système de signature et peuvent stopper de nombreuses attaques de masse par email connu.
Pourtant, ils ne parviennent pas à détecter les menaces du type Zero Day, ainsi que les emails de spear phishing ciblées.
Les employés
Pire encore, les cybercriminels de nos jours peuvent utiliser les emails pour cibler le maillon fable dans votre chaîne de cybersécurité, c’est-à-dire vos employés. Vos collaborateurs peuvent cliquer sur un lien, ou répondre à un email de phishing ou de spear phishing lorsqu’ils en reçoivent un dans leur boîte de réception.
Malgré les efforts que vous pourrez faire pour informer vos employés, sachez que 20 à 30 % d’entre eux sont susceptibles d’ouvrir des messages de phishing de masse lorsque ceux-ci passent à travers les filtres antispam, et 12 à 20 % peuvent cliquer sur les liens présents dans ces messages frauduleux. Ces taux, déjà importants, peuvent impliquer de nombreux dommages à votre organisation.
Un exemple d’attaque du type « Man-in-The-Middle » contre les utilisateurs d’Office 365
Comme nous l’avons mentionné ci-dessus, la plate-forme d’Office 365 a connu une croissance énorme.
Beaucoup d’entreprises préfèrent migrer leurs comptes vers Microsoft Business ou Enterprise. Les escrocs sont conscients de ce fait et profitent de la situation pour développer de nouvelles attaques d’ingénierie sociale efficaces, ciblant les utilisateurs d’Office 365.
Au cours du dernier trimestre 2017, Microsoft a par exemple affirmé avoir bloqué une quantité anormale d’escroqueries de phishing du type BEC (Business Email Compromise). Il s’agit d’une version des attaques du type « man-in-the-middle – MiTM » dont le but est d’exploiter la confiance d’un employé vis-à-vis des cadres au sein de son entreprise.
Les groupes d’escroquerie d’Afrique de l’Ouest (probablement du Nigeria) ont également cherché des techniques d’ingénierie sociale similaires, mais plus avancées, lesquelles ont finalement abouti à la fraude financière et au vol de titres de compétences.
Nous avons documenté les données de ces attaques MiTM. Ci-dessous, vous trouverez les différentes étapes par lesquelles les pirates sont passés pour cibler les utilisateurs d’Office 365, en récoltant les justificatifs d’identité de leurs victimes.
Etape 1 : Envoi de messages de phishing
Bien que les techniques de phishing changent constamment, nous avons étudié les résultats et identifié que les différentes campagnes présentent des caractéristiques similaires.
Grâce à notre système de journalisation, nous avons constaté une augmentation anormale des messages qui provenaient des adresses IP Office 365 qui ont été mises en quarantaine pour les clients utilisant notre système de filtrage.
Pourtant, force est de constater que ces messages malveillants ont été envoyés par des utilisateurs Office 365 compromis. Les liens contenus dans les messages redirigeaient les utilisateurs vers des sites de récupération de justificatifs d’identité concernant Office 365 et DocuSign.
Etape 2 : Redirection vers un portail web malveillant pour acquérir les justificatifs d’identité des utilisateurs
Les utilisateurs doivent être attentifs et sensibilisés quant aux techniques suspectes pour ne pas se faire duper par des campagnes de phishing qui volent des justificatifs d’identité.
En effet, les e-mails qu’ils ont reçus comprenaient des urls trompeuses ou incorrectes, des erreurs grammaticales, des erreurs typographiques ou encore des erreurs de formatage. De nombreux sites malveillants incluaient également plusieurs services qui n’ont aucun rapport les uns avec les autres.
Ces services, qui semblaient légitimes, ne partageaient pas les adresses e-mail ainsi que les informations d’identification des utilisateurs. Ils ne redirigeaient pas les utilisateurs vers un site d’identification universel. Ce sont quelques signes d’avertissement que les victimes des attaques de phishing ont dû reconnaître.
Etape 3 : Envoi de messages de phishing pour établir la persistance
Lors des travaux d’assainissement des boites électroniques des utilisateurs, nous avons remarqué que ces derniers avaient initialement déclaré ne pas avoir reçu de messages sur leur compte de messagerie.
Pourtant, les attaquants avaient envahi leurs boîtes de réception à leur insu. Des règles de messagerie ont dû être créées pour supprimer ces messages persistants afin de protéger les utilisateurs contre les activités suspectes.
Des règles ont également été établies dans le but de filtrer les messages ; de supprimer ceux qui sont malveillants et de transférer les messages sains vers les comptes des utilisateurs.
Etape 4 : Campagne de phishing contre les contacts des utilisateurs ciblés
Une fois que les attaquants parviennent à accéder au compte de messagerie de leurs victimes, ils passent par leurs contacts et leurs carnets d’adresses pour pouvoir compromettre d’autres comptes.
Dans la plupart des cas, les pirates essaient de répondre aux conversations précédentes que les victimes ont eues avec leurs contacts. En fin de compte, les pirates voulaient tout simplement manipuler le service des finances et de facturation, en amenant les contacts des victimes à effectuer des transactions financières frauduleuses.
Tous les contacts susceptibles de payer des factures frauduleuses et de répondre à des demandes de virement bancaire étaient ciblés par les attaques de phishing via la messagerie électronique d’Office 365.
Quant aux contacts non ciblés, ils ont reçu d’autres messages de phishing qui les redirigeaient vers des portails de vol de justificatifs d’identité. Et le processus pouvait donc se poursuivre à nouveau à partir de la première étape.
Pourquoi les utilisateurs mordent-ils à l’hameçon ?
Si les attaques de phishing ou de spear phishing ont beaucoup de succès, c’est parce que les attaquants ne cessent d’améliorer leur stratégie. Leurs messages sont de plus en plus convaincants et les moyens de diffusion qu’ils utilisent sont plus que jamais sophistiqués et innovants.
Pour le cas d’Office 365, les attaquants ont souvent tendance à imiter les protocoles et l’apparence des messages et des interfaces Office 365 dans le but de duper les utilisateurs. Ces derniers sont donc plus enclins à divulguer leurs identifiants de connexion et d’autres informations sensibles.
Dans certains cas, les attaquants profitent du stockage BLOB (Microsoft Azure Binary Large OBject) afin de créer des pages d’accueil avec des certificats signés par Microsoft et un domaine windows.net. Ils construisent des pages de vol d’informations sur la même plate-forme que celle utilisée par le destinataire de l’email pour mieux le tromper.
Dès qu’ils ont accès aux informations d’identification Microsoft légitimes de l’utilisateur, les pirates peuvent mener des attaques à plusieurs niveaux via Office 365. Grâce au phishing et au spear phishing, ils peuvent usurper l’identité des utilisateurs et les inciter à effectuer des virements électroniques, à acheter des cartes-cadeaux, à partager des données confidentielles sur les employés, et bien plus encore.
Les pirates informatiques envoient désormais beaucoup moins d’emails de phishing. Mais au lieu de cela, ils sont plus dynamiques que jamais et utilisent des attaques plus ciblées. Voici quelques-unes des techniques qu’ils utilisent souvent.
L’attaque par message vocal
Lorsque les pirates utilisent cette technique, il vous envoie un email. Outlook Office 365 va donc vous indiquer que vous avez reçu un message, dont l’objet se présente comme suit : « E-mail entrant : Vous avez reçu un message vocal du numéro…, durée : 250 secondes. ».
L’email est personnalisé avec vos noms et prénoms dans le corps du message et dans le champ expéditeur, vous trouverez « microsoft.com ». En plus du fait que le numéro de téléphone semble réel, l’email contient un lien de phishing sur lequel vous pouvez êtes prié de cliquer pour écouter le message vocal.
C’est pourtant un piège !
En cliquant sur ce lien, vous serez envoyé vers un écran de connexion Microsoft qui semble parfaitement réel, mais vous allez atterrir sur un site de phishing conçu pour voler vos identifiants de connexion Office 365.
L’attaque « Action requise »
L’autre forme de phishing avec Office 365 est un message qui arrive dans votre boîte de réception. La ligne d’objet contient la mention « Action requise : Votre… est périmée. Vous devez revalider votre compte. »
Comme les exemples précédents, le message peut aussi comprendre un lien qui est hébergé sur un site web légitime. Il s’agit d’une arnaque qui vous incite à divulguer vos informations d’identification Office 365.
Souvent, cette menace est utilisée en tant que première étape d’une attaque à plusieurs niveaux. Elle va donc permettre à l’attaquant d’avoir tout ce dont il a besoin pour commencer une série d’attaques de plus grande envergure au sein de votre organisation.
L’attaque de fichier partagé
Pour ce genre attaque, vous allez recevoir une notification de partage de fichier dans votre boite email. Le message peut sembler provenir d’un collaborateur connu.
Si le collaborateur existe réellement au sein de votre organisation, vous pourriez donc avoir pensé que l’email est légitime et être redirigé vers une véritable page de connexion OneDrive. Seulement, il permet au cybercriminel de récupérer vos identifiants de compte sur cette plateforme, sans que vous doutiez de ce qui se passe réellement.
Les campagnes de phishing sur Office 365 de 2017
Les leurres les plus utilisés lors d’une attaque de phishing en 2017 étaient les notifications frauduleuses de faible espace de disque et les demandes d’examen d’un document sur DocuSign. Les emails contenaient des lignes d’objet comprenant des mots clés du genre « FYI », « Facture approuvée » ou « Fw : Paiements. » et invitaient les utilisateurs à fournir leurs identifiants Office 365.
Une fois que l’utilisateur saisit ses identifiants Office 365, l’attaquant les utilise pour envoyer des emails de phishing à d’autres cibles potentiels qui figurant dans sa liste de contacts.
Rappelons que fin 2017, Microsoft a décidé de renforcer la sécurité d’Outlook Office 365. Les utilisateurs peuvent désormais bénéficier d’une meilleure protection contre les malwares et les attaques de phishing, car le service de messagerie offre déjà un système de filtrage robuste des virus et des spams.
De plus, Outlook Office 365 a été enrichi de nouvelles composantes de sécurité tels que l’analyse des pièces jointes ou encore la de vérification des liens glissés dans les e-mails. Ainsi, lorsqu’un utilisateur clique sur un lien malveillant, il en sera alerté en temps réel.
Les attaques zero-day représentent le plus grand risque
De nombreuses applications de filtrage et de sécurité de messagerie peuvent bloquer les malwares connus qui sont utilisés dans les attaques de phishing. Malheureusement, il est beaucoup plus difficile de détecter les attaques zero-day.
Les attaques zero-day sont des campagnes de malware qui n’ont pas encore été démasquées par les filtres anti-spam classiques. La raison est que les logiciels antivirus dépendent beaucoup des fichiers de signatures d’attaques connues pour pouvoir les bloquer. Pourtant, les attaques zero-day n’en ont pas.
Avec les emails, il est encore plus difficile d’éviter les faux positifs tout en protégeant le système interne contre les attaques de phishing. Les faux positifs créent des ennuis pour l’utilisateur et peuvent affecter sa productivité. Le filtrage des emails est dans ce cas le moyen le plus efficace d’empêcher que les e-mails malveillants atteignent la boîte de réception de leurs destinataires.
Pour améliorer la protection des emails contre les menaces en ligne, l’administrateur Exchange a besoin d’une solution de messagerie sécurisée utilisant des algorithmes avancés et qui permettent de prédire les attaques zero-day. Cette solution doit associer vérification des pièces jointes, analyse du contenu, anti-typosquattage, protection des liens et chiffrement.
La combinaison de ces couches de protection fournit une solution complète anti-phishing et anti-malware. Comme Microsoft Exchange s’intègre à un environnement réseau Windows, la solution doit également fonctionner avec Active Directory et LDAP.
En 2020, quelles seront les principales menaces de phishing ?
Dans ce paragraphe, nous allons faire un tour d’horizon autour des quatre principales menaces lancées via les emails en 2020.
Les attaques BEC
D’abord, il y a les attaques de type BEC. Selon des informations obtenues auprès du FBI, celles-ci restent la principale menace pour les entreprises. En fait, le nombre d’attaques de type BEC a augmenté de 100 % entre le mois de mai 2018 et celui d’octobre 2019. Et sachez qu’en 2018, ces attaques ont coûté environ 1,2 milliard d’euros. Depuis 2016, elles ont déjà coûté environ 26 milliards d’euros.
La plupart des emails de phishing commencent par du « pretexting ». Les pirates utilisent par exemple un terme simple, du type « Bonjour, êtes-vous disponible ? ». De cette manière, le contenu semble légitime et l’email parvient souvent à contourner les filtres basés sur l’analyse de texte. Pire encore, certains fournisseurs de services gérés peuvent ajouter l’email en liste blanche une fois que le destinataire y répond. Ainsi, le pirate informatique peut devenir un expéditeur de confiance et continuer à échanger facilement avec sa victime.
Par ailleurs, les attaques de type BEC seront de plus en plus sophistiquées avec l’apprentissage machine, surtout grâce à des algorithmes de synthèse vocale qui peuvent imiter des voix. Les pirates informatiques continueront à exploiter cette technologie pour générer des spams téléphoniques, des appels automatiques, voire des messages personnalisés qui imitent par exemple la voix d’un PDG ou d’un cadre.
La sextorsion
La sextorsion a toujours existé, mais vous devez savoir qu’en 2020, cette forme d’attaque sera de plus en plus sophistiquée. Elle va revenir en force et son taux de réussite va se renforcer grâce aux nouvelles techniques que les pirates utilisent.
L’un des exemples que les pirates préfèrent actuellement utiliser est l’envoi d’emails dont le texte est une image. Afin de contourner les filtres web des entreprises, ils insèrent une capture d’écran d’un email dans le corps du message électronique qu’ils envoient à leurs victimes. Cette capture est hébergée sur un site internet et il n’inclut pas de contenu qui peut être analysé par les filtres. Cette technique sera utilisée par les pirates pour lancer des emails de sextorsion, et son taux de réussite va augmenter, car de nombreux filtres ne sont pas encore capables de détecter et d’interpréter des images.
Il existe une autre technique qui pourrait également gagner en popularité. En fait, les pirates peuvent diffuser des contenus malveillants cachés dans des fichiers Microsoft Office ou PDF. Pour ce faire, ils exploitent les fonctionnalités d’aperçu des pièces jointes des serveurs de messagerie comme Apple Mail. Une campagne de sextorsion récente a révélée qu’un e-mail avait une pièce jointe au format PDF. Grâce à la fonctionnalité d’aperçu des pièces jointes, celle-ci était visible directement par l’utilisateur. Quoi qu’il en soit, de nombreux filtres de messagerie ne sont pas encore en mesure de détecter et bloquer les contenus malveillants inclus dans les e-mails.
Les liens de phishing
En 2019, les campagnes de phishing qui incluent de fausses notifications de partage de fichiers sur SharePoint et OneDrive se sont multipliées. Les pirates utilisaient des URL SharePoint et OneDrive pour rediriger leurs victimes vers des pages de phishing. Dans certaines attaques plus sophistiquées, ils utilisaient des URL SharePoint et OneDrive authentiques. Ensuite, ils cachent des liens de phishing dans des fichiers légitimes pour qu’ils ne soient pas détectés par les technologies d’analyse des URL.
En 2020, cette technique pourrait toucher d’autres services d’hébergement, comme Google, DropBox, Evernote et WeTransfer.
Concrètement, lors d’une telle attaque, les pirates vous envoient un email qui vous informe qu’un de vos collaborateurs a partagé un document DropBox avec vous. Le message inclut un lien vers DropBox. Pourtant, le lien pourrait pointer vers une page de phishing ou lancer automatiquement le téléchargement d’un malware une fois que vous cliquez dessus.
Les fuites de données
Au cours des neuf premiers mois de l’année dernière, plus de 5 180 violations de données ont été signalées, selon les chiffres fournis par Risk Based Security, soit une augmentation de 33 % par rapport aux chiffres constatés en 2018. Au total, 7,9 milliards de comptes de messagerie ont été exposés à des risques de fuites de données. Des noms d’utilisateurs et des mots de passe ont été volés lors des campagnes de phishing. Ces informations se vendent actuellement sur le marché noir.
Grâce à ces informations, les pirates informatiques peuvent créer un profil virtuel de leurs victimes, étant donné qu’ils peuvent désormais connaitre vos loisirs, vos habitudes d’achat, votre orientation politique, etc. Ainsi, ils peuvent créer des emails personnalisés, ce qui augmente le taux de réussite de leurs campagnes de phishing. En effet, les fuites de données en 2019 se ressentiront certainement en 2020.
Méfiez-vous également des fausses alertes VPN qui escroquent les login Office 365
Les pirates peuvent tenter de voler les mots de passe de Microsoft Office 365 avec de faux e-mails de phishing d’alertes VPN. Selon un rapport de la société de cybersécurité Abnormal Security, ils utilisent de fausses alertes de mise à jour VPN dans le but de cibler les travailleurs à distance et de voler leurs identifiants Microsoft Office 365.
Dans cette escroquerie, les cybercriminels envoient des e-mails de phishing informant les utilisateurs d’une prétendue mise à jour VPN. Lorsque la victime clique sur un lien dans l’e-mail, il atterrit sur un faux site web qui lui vole son mot de passe et son nom d’utilisateur.
L’adresse électronique de l’expéditeur est usurpée pour se faire passer pour le domaine des organisations respectives des cibles. Jusqu’à 15 000 boîtes aux lettres électroniques d’entreprises ont reçu cet e-mail de phishing et de nombreuses versions de cette attaque ont été observées.
Selon ledit rapport, les e-mails se sont fait passer pour des messages de notification du support informatique de l’entreprise des destinataires. En masquant l’URL réelle, l’utilisateur peut ignorer que le site auquel il accède n’est pas la page légitime de Microsoft Office.
Les e-mails de phishing sont conçus à l’aide d’une messagerie visant à tromper les victimes en leur faisant croire qu’ils ont été envoyés par le service informatique de leur entreprise. Comme beaucoup d’emails de phishing, les victimes sont encouragées à agir immédiatement.
Les e-mails de phishing contiennent un lien qui prétend être une alerte de nouvelle configuration VPN accès à domicile. L’objectif de l’e-mail de phishing est de voler les informations d’identification de Microsoft Office 365. Si le destinataire clique sur le lien, il est dirigé vers une fausse page de connexion Microsoft où il est invité à saisir son nom d’utilisateur et son mot de passe. Comme beaucoup d’e-mails de phishing et de sites web usurpés, la page de renvoi utilisée lors d’une telle attaque ressemble beaucoup à la véritable page de connexion de Microsoft. Elle comprend les couleurs et le logo de Microsoft.
Pour rendre plus difficile la détection du site malveillant, il est hébergé sur une plate-forme Microsoft.net. Il dispose d’un certificat de sécurité valide permettant à l’arnaque d’échapper aux outils de détection des malwares. L’URL du site est masquée, de sorte que toute personne qui survole le lien ne se rend pas compte qu’il ne s’agit pas de la page de connexion légitime de Microsoft Office.
Prévention des attaques de phishing via Office 365
Les services de messagerie dans le cloud comme Office 365 seront encore très utilisés pendant des années, étant donné les nombreux avantages qu’ils présentent. Mais le fait est que, dans le contexte actuel, les cybercriminels feront aussi tout leur possible pour accroître l’efficacité de leurs attaques.
Le phishing d’Office 365 échappe à bon nombre des solutions de sécurité informatique standard. De plus, les logiciels antimalware et les filtres antispam basés sur la réputation ne peuvent pas les repérer tous.
Pour renforcer votre sécurité informatique, vous pouvez donc :
Mettre en place des niveaux d’exigences rigoureuses en termes de sécurité des mots de passe.
Activer l’authentification multifactorielle ainsi que les alertes e-mails en cas d’activité suspecte.
Séparer les comptes utilisateurs des comptes professionnels.
Établir une politique de verrouillage des sessions après un certain nombre d’échecs de tentatives de connexion
Désactiver les protocoles et outils de messagerie inutiles et qui peuvent être utilisés par les pirates pour masquer leurs actions malveillantes.
Établir des politiques d’archivage des e-mails.
Faire appel à une solution de sécurité comme SpamTitan.
N’oubliez pas de mettre en place des systèmes de vérifications verbales lorsqu’on demande à vos employés de faire des virements bancaires, et de déployer une technologie antiphishing avancée.
Enfin, n’oubliez pas de réaliser régulièrement des exercices de simulation de phishing pour former vos employés à reconnaître les e-mails malveillants et à adopter les mesures adéquates en cas de besoin.
Protection contre le phishing avec EOP
EOP – une fonctionnalité de Microsoft qui n’utilise pas Microsoft Defender pour Office 365 – contient des fonctionnalités permettant d’aider à protéger votre organisation contre les menaces de phishing.
Le spoofing
Comme l’expéditeur usurpe l’adresse e-mail de vos employés, il se fait passer pour un utilisateur de l’un des domaines de votre organisation ou pour un utilisateur d’un domaine externe qui envoie des messages à votre organisation. Les pirates qui usurpent l’adresse d’un expéditeur pour envoyer du spam ou du phishing doivent être bloqués.
Avec Microsoft 365, les messages électroniques entrants sont automatiquement protégés contre l’usurpation. EOP utilise les renseignements sur l’usurpation d’identité dans le cadre de la défense globale de votre entreprise contre le phishing.
Les politiques anti-phishing
Vous pouvez activer ou désactiver la fonction d’identification d’un expéditeur non authentifié dans Outlook. Il est également possible de spécifier l’action pour les expéditeurs usurpés bloqués.
Lorsque vous annulez le verdict de l’analyse des renseignements sur l’usurpation d’identité, l’expéditeur malveillant devient une entrée manuelle d’autorisation ou de blocage qui apparaît uniquement dans l’onglet « Usurpation d’identité » de la liste des locataires bloqués ou autorisés. Vous pouvez également créer manuellement des entrées de blocage ou d’autorisation pour les expéditeurs avant qu’ils ne soient détectés par le système anti-spoofing.
L’authentification implicite des e-mails
En plus des solutions susmentionnées, sachez qu’EOP améliore les contrôles d’authentification standard des e-mails entrants via différents protocoles (SPF, DKIM et DMARC) avec la réputation et l’historique de l’expéditeur, l’historique du destinataire, l’analyse comportementale et d’autres techniques qui aident à identifier les faux expéditeurs.
Protection supplémentaire contre le phishing avec Microsoft Defender
Microsoft Defender contient des fonctionnalités anti-phishing supplémentaires et plus avancées. Pour ce faire, vous pouvez configurer les paramètres de protection contre l’usurpation d’identité pour des expéditeurs de messages et des domaines expéditeurs spécifiques, les paramètres d’intelligence des boîtes aux lettres, etc.
L’apprentissage automatique et l’heuristique permettent d’identifier et d’analyser les messages qui participent à des attaques de phishing coordonnées contre l’ensemble du service et votre organisation.
Les administrateurs peuvent aussi créer de faux messages de phishing et les envoyer à vos employés en tant qu’outil de formation.
Utiliser Microsoft Outlook pour stopper les e-mails de phishing
Microsoft Outlook dispose de quelques outils intégrés pouvant aider à bloquer les e-mails de phishing. À partir de votre compte administrateur, il suffit de cliquer sur « Fichier », puis sur « Règles et alertes ». Ensuite, vous pouvez configurer vos propres règles et alertes qui vous donnent un certain degré de contrôle sur vos e-mails.
Cette fonction est importante, car elle vous permet, par exemple, de déplacer tous les e-mails dont l’objet contient un certain mot vers un dossier spécifique. Ainsi, si vous recevez constamment des messages de phishing dont l’objet est du type « Vous avez gagné un iPhone ! », n’hésitez pas à les déplacer automatiquement dans le dossier de spams.
De même, il est possible de configurer des alertes dans ces cas-là si vous voulez vous tenir au courant de tout e-mail de masse ou d’attaques potentielles.
Alors que de nombreuses personnes considèrent le dossier « Courrier indésirable » comme le dernier arrêt pour tout mauvais e-mail. Il s’agit d’un outil extrêmement puissant, à condition qu’il soit utilisé correctement. Grâce au dossier « Courrier indésirable », vous pouvez définir des règles comme les expéditeurs bloqués ou les expéditeurs sûrs. Vous pouvez aussi prendre un certain contrôle sur ce qui est livré dans votre boîte de réception – et celle de vos employés.
Il existe de nombreux autres conseils et outils qui vous permettront d’utiliser Microsoft Office 365 afin d’empêcher l’envoi d’e-mails de phishing, tels que les règles qui étiquettent les e-mails externes et autres.
Les filtres de base ne suffisent pas
Les attaques de phishing continuent d’augmenter et adoptent de nouvelles tactiques ; et les spams augmentent en conséquence.
Au deuxième trimestre de 2018, la quantité moyenne de spam dans le trafic de courrier électronique dans le monde a atteint 51 % au mois de mai, alors que la moyenne était de 50 %.
Pour identifier les problèmes dans les emails, les anciens filtres de messagerie vérifiaient la présence de mots spécifiques dans le titre ; d’un expéditeur spécifique ou de phrases trouvées dans le contenu. De nos jours, cette méthode n’est plus suffisante. Les pirates informatiques disposent actuellement d’un arsenal de techniques qui leur permettent de contourner cette méthode.
D’une part, les entreprises qui utilisent Office 365 se doivent de fournir à leurs employés une formation de sensibilisation à la sécurité informatique. Elles doivent également mettre en œuvre des filtres de courrier électronique plus efficaces, capable d’analyser le contenu. Par ailleurs, les entreprises doivent mettre en œuvre des couches de filtrage fiables pour déterminer si un email ou un lien dans un email pourrait être malveillant.
Avec le filtre de messagerie SpamTitan, vous offrez une passerelle de messagerie dédiée qui protège entièrement votre serveur Exchange et chaque destinataire au sein de votre entreprise. SpamTitan fournit une protection contre le phishing. Il empêche le whaling et le spear phishing grâce à l’analyse de tous les emails entrants en temps réel.
SpamTitan recherche des indicateurs clés dans l’en-tête de l’email, dans son contenu et dans les informations de domaine. SpamTitan effectue également une analyse de réputation de tous les liens (y compris les URL raccourcis) qui peuvent se trouver dans les emails. Ainsi, il peut bloquer les e-mails malveillants avant leur envoi à l’utilisateur final.
Voici comment SpamTitan vous protège contre les tentatives de phishing :
Analyse de la réputation d’URL lors de l’analyse de plusieurs réputations.
Détection et blocage des courriers électroniques malveillants de spear phishing avec d’autres malwares existants ou nouveaux.
Utilisation de règles heuristiques permettant de détecter les attaques de phishing basées sur les en-têtes de message. Celles-ci sont mises à jour fréquemment pour faire face aux nouvelles menaces.
Synchronisation facile avec Active Directory et LDAP.
Les niveaux de confiance du spam peuvent être appliqués par utilisateur, par groupe d’utilisateurs et par domaine.
Utilisation d’une liste blanche ou liste noire d’expéditeurs/adresses IP.
Solution infiniment évolutive et universellement compatible.
La combinaison de ces fonctionnalités permet à SpamTitan de garantir une excellente protection aux utilisateurs d’Office365. Il protège également les entreprises contre les attaques par spear phishing, le piratage par email professionnel (BEC) et la cyberfraude.
Enfin, les administrateurs système qui implémentent Office 365 doivent s’assurer qu’il est sécurisé. Pour se protéger contre les menaces persistantes avancées, ils ont intérêt à ajouter une solution hautement sécurisée de filtrage du spam comme SpamTitan.
Conclusion
Le logiciel Microsoft Office 365 offre quelques fonctionnalités puissantes pour arrêter les e-mails de phishing. Cependant, elles ne sont pas suffisantes pour stopper les attaques cybercriminelles que votre organisation reçoit souvent. Une combinaison des solutions Microsoft O365 et d’un outil antiphishing spécialement conçu est la meilleure façon de vous protéger, ainsi que vos employés.
Selon The Phish Report 2018, 76 % des entreprises ont déjà connu des attaques de phishing en 2017. Pourtant, 97 % d’entre elles disposent déjà d’un filtre à spam/e-mail. Si vous pensez donc que votre organisation est à l’abri des attaques lancées via les e-mails, car vous avez activé les systèmes de sécurité de la messagerie d’Office 365, alors vous avez tort.
Le mieux serait également d’ajouter d’autres solutions permettant de bloquer efficacement les nouvelles menaces de phishing et les attaques du type Zero Day. Pour ce faire, vous pouvez adopter notre solution SpamTitan.
Découvrez SpamTitan dès aujourd’hui et inscrivez-vous pour obtenir un essai gratuit.
Dans le monde des affaires d’aujourd’hui, le numérique gagne du terrain et les médias sociaux ont apporté d’énormes avantages aux entreprises.
Les organisations utilisent les réseaux sociaux en guise d’outils de marketing et de branding, mais elles sont également confrontées à de nombreux risques, comme l’utilisation abusive des employés à des fins personnelles ; les critiques de la part des autres, la perte d’informations ou de notoriété, etc.
En conséquence, les entreprises ont commencé à s’inquiéter des réseaux sociaux, notamment à Messenger, le système de messagerie instantanée de Facebook, et à imposer des restrictions concernant leur utilisation sur le lieu de travail.
L’utilisation des réseaux sociaux sur le lieu de travail est une pratique pouvant être considérée comme contre-productive, mais elle peut aussi constituer un avantage si l’employeur parvient à bien la gérer.
Faisons ensemble la mise au point sur ce sujet.
Les enjeux de l’utilisation des réseaux sociaux pendant les heures de travail
Aujourd’hui, la plupart des entreprises misent sur la mobilité et le confort de travail de leurs employés. Dans ce sens, elles ne se contentent plus de leur fournir des ordinateurs de bureau, mais aussi des Smartphones et des tablettes dans le cadre d’une utilisation professionnelle.
L’enjeu est que tout employeur a le droit et l’obligation de contrôler l’utilisation de chaque équipement professionnel qu’il met à la disposition de ses employés. Lorsqu’il fournit un accès Internet à des fins professionnelles, il s’expose à des risques de sécurité ainsi qu’à des risques de perte de productivité et de données.
Si aucune politique d’utilisation stricte n’est mise en place, les employés peuvent utiliser les appareils de l’entreprise à des fins personnelles et accèdent souvent aux réseaux sociaux.
Selon une étude menée par TeamLease, si une organisation n’adopte aucune politique de blocage de l’accès aux réseaux sociaux pendant les heures de travail, environ 32 % du temps total dépensé par les employés est consacré à l’utilisation des réseaux sociaux, ce qui implique une perte énorme de ressources et de productivité. Plus précisément, près de 13 % de la productivité totale des employés pourrait être perdue à cause de cela. Selon ladite étude, cela pourrait également entraîner une augmentation de la perte de données ou d’informations confidentielles, une diffamation, une désinformation, etc.
Dans notre récent guide, nous avons parlé de la façon de gérer l’utilisation d’Internet dans le lieu du travail, étant donné que cela pourrait impliquer la perte de productivité des collaborateurs. Pour empêcher l’utilisation non professionnelle du web, sans bloquer Internet, les organisations disposent de plusieurs options :
Elles peuvent bloquer des domaines ou des adresses IP spécifiques sur le réseau ou au niveau de chaque navigateur. Cependant, il faut savoir qu’une politique de blocage d’Internet trop stricte peut avoir un effet démoralisant et rendre l’entreprise moins attrayante aux yeux des employés.
Les entreprises peuvent également se protéger contre la responsabilité potentielle de leurs employés qui naviguent sur des sites illégaux, malveillants et inappropriés. Elles doivent lutter contre les attaques de malwares qui arrivent par des sites illégaux, malveillants et inappropriés.
Sinon, les organisations disposent d’une autre alternative : mettre en place un filtre de contenu. Cette dernière option présente plusieurs avantages.
Pourquoi doit-on s’inquiéter de l’utilisation de Facebook en particulier ?
Il n’y a aucun doute là-dessus, Facebook est devenu le canal de communication le plus utilisé par les internautes et son utilisation est en constante évolution.
Selon les chiffres fournis par la plate-forme le 24 juillet 2019, Facebook comptait plus de 2,40 milliards d’utilisateurs actifs mensuels au mois de juin, contre 2,38 milliards au premier trimestre de 2019. Cela dit, il faut savoir qu’environ 1,6 milliard de personnes se connectent chaque jour à Facebook et elles sont considérées comme des utilisateurs actifs quotidiens.
Un sondage mené par des chercheurs de l’Université de Göteborg (Suède) a également mis en évidence l’augmentation de l’utilisation de cette plateforme dans le lieu de travail. En fait, la première chose que 70 % des gens font lorsqu’ils allument leurs ordinateurs est de se connecter à Facebook.
Qu’à cela ne tienne, ce réseau social est donc tout simplement trop grand pour être ignoré.
En ce qui concerne la répartition de l’utilisation des plates-formes sociales, les chiffres évoqués par Igloo sont surprenants : il y a beaucoup plus d’employés connectés sur Facebook que sur LinkedIn. Pourtant, LinkedIn est actuellement considérée comme la plateforme la mieux appropriée pour les relations axées sur le travail. 91 % des personnes interrogées lors du sondage ont affirmé qu’ils préfèrent utiliser Facebook pour communiquer avec leurs collègues, contre 41 % en utilisant LinkedIn.
Quoi qu’il en soit, l’utilisation des réseaux sociaux, à l’instar de Facebook, peut impliquer une perte de productivité des collaborateurs. Certains d’entre eux peuvent passer des heures par jour à consulter et à mettre à jour leurs pages sociales. Et pourtant, c’est du temps passé à ne pas travailler.
Le fait de bloquer ce site peut donc être une solution simple pour éviter que les employés s’y connectent pendant les heures de travail. Mais cette mesure se révèle trop extrême.
Préférez-vous laisser vos employés à passer leur temps et se connecter à Facebook à bon escient ? Ou bien, avez-vous pensé à bloquer ce site dans le lieu de travail ?
Dans tous les cas, votre décision ne doit pas être prise à la légère. Voici donc nos conseils !
Bloquer l’accès sur Messenger, et non à Facebook
L’interdiction des médias sociaux au travail peut augmenter la productivité des employés. Certains employeurs pensent que le temps passé sur les réseaux sociaux est du temps perdu. Selon eux, il est donc logique d’interdire l’accès à ces plateformes sociales.
Le fait est que, lorsque les gens vont au travail, ils ne peuvent pas supporter un niveau de concentration élevé s’ils restent assis et travaillent pendant huit heures d’affilée. Pour maintenir leur productivité, ils ont besoin de petites pauses à certains moments de la journée pour se ressourcer. Et dans la plupart des cas, Facebook, les e-mails personnels et les discussions instantanées sont les moyens qu’ils préfèrent utiliser.
Si les employés passent deux heures par jour sur les médias sociaux, cela peut poser problème. Mais la plupart d’entre eux ne font pas cela. Un détournement d’une quinzaine de minutes sur Facebook leur suffit pour se rafraîchir, et cela ne devrait pas résulter en une baisse de leur productivité.
Les employés responsables savent très bien qu’ils ont un travail à faire. Tant qu’ils font leur travail avec la qualité et dans les délais qu’on attend d’eux, les employeurs ne devraient pas s’inquiéter des dizaines de minutes qu’ils passent sur Facebook.
Par ailleurs, si vous commencez à bloquer Facebook, certains employés pourraient penser que vous ne leur faites pas confiance. Ils pourraient même décider de trouver d’autres employeurs qui leur permettront d’utiliser la plate-forme. Vous risquez donc de perdre de bons employés.
L’essentiel est donc de trouver le bon équilibre et de garder à l’esprit que le fait d’interdire l’accès à Facebook, c’est comme interdire les employés de parler de football pendant leurs pauses.
Concrètement, pourquoi devriez-vous désactiver la messagerie Facebook au travail ?
En ce qui concerne la gestion de l’utilisation de Facebook au travail. Il y a de nombreuses raisons pour lesquelles une organisation voudrait empêcher ses employés de le faire :
En termes de sécurité, la discussion instantanée via Facebook est particulièrement préoccupante. Beaucoup d’organisations pensent que cela représente un risque de sécurité, notamment le risque d’infections par des malwares.
La fonction de messagerie instantanée permet également aux employés de partager trop facilement les données sensibles de l’entreprise.
L’évolution inévitable vers le numérique s’avère être une bénédiction pour ceux qui souhaitent se communiquer rapidement et facilement entre eux. Pourtant, la mise en place d’une solution de messagerie instantanée et dédiée uniquement au travail n’est pas encore au point.
Au lieu d’effectuer leurs tâches quotidiennes, les employés risquent d’être distraits et de répondre de manière compulsive aux messages qu’ils reçoivent sur Messenger, ou bien de prendre part à des discussions instantanées avec leurs amis. Sans oublier que cela peut nuire aux relations entre collaborateurs et employés au sein de l’entreprise. Les collègues de travail peuvent par exemple s’envoyer des messages négatifs ou se harceler, ce qui va surement entraver leur collaboration et le travail d’équipe. De surcroît, ils peuvent envoyer des informations confidentielles qui ne sont peut-être pas encore prêtes à être divulguées.
Tout ceci rend l’utilisation de Facebook Messenger difficile à contrôler. Mais comme susmentionné, le fait de bannir ce site de réseautage social aura incontestablement un impact au niveau du moral des employés et sur leur productivité.
Heureusement, il existe une autre option : bloquer la messagerie Facebook (Messenger) sans bannir complètement l’utilisation de ce réseau social dans le lieu du travail. En quoi cela pourrait-il être avantageux pour votre organisation ?
Apprenez à bloquer Messenger sans bloquer Facebook
Avec WebTitan Cloud, il est facile de bloquer le chat via Facebook au travail sans bloquer complètement l’accès à Facebook. Le processus prend quelques secondes et est détaillé dans la présentation vidéo ci-dessous.
Pour bloquer le chat Facebook au travail, ouvrez votre panneau d’administration WebTitan Cloud et naviguez jusqu’à « Filtrage des mots-clés URL ».
Vous devez ajouter deux mots-clés sur la liste noire.
Entrez le premier mot-clé : ajax/updatestatus.php
Mettez les options de filtre sur « Rechercher un mot-clé dans une URL ».
Le deuxième mot-clé qui doit être bloqué est: ajax/mercury/send_messages.php
Comme précédemment, définissez les options de filtrage sur ‘ »Rechercher un mot-clé dans une URL ». Ces deux fichiers sont utilisés par le chat Facebook et si les fichiers sont bloqués, le chat Facebook ne fonctionnera pas, bien que le site Facebook soit toujours accessible.
Pour que les mots-clés URL fonctionnent correctement, il est nécessaire que le certificat SSL soit poussé vers les navigateurs.
Pour plus d’informations sur la façon de le faire via GPO ou manuellement, consultez la section d’aide du site WebTitan.
Visitez cette page pour obtenir des instructions détaillées sur la façon de télécharger et de distribuer le certificat SSL aux navigateurs.
WebTitan, une solution de filtrage web basée dans le Cloud
Comme nous l’avons abordé au début de ce dossier, l’une des solutions efficaces pour bloquer la messagerie instantanée sur Facebook, sans bannir cette plateforme sociale, est de mettre en place un filtre de contenu.
Bien entendu, Facebook ne cesse d’améliorer son produit. Récemment, il a développé un filtre qui permet de détecter certains mots ou expressions (désinformation, haine sur le web, etc.) afin de les empêcher d’être diffusés via les messages. Mais cette option n’est pas encore très fiable pour bloquer tous les messages inappropriés. Par contre, avec le filtre de contenu WebTitan, vous pouvez y arriver facilement.
WebTitan est une solution de filtrage web DNS, développée, gérée et hébergée par TitanHQ, laquelle travaille avec des fournisseurs de services gérés dans le monde depuis 1999. L’entreprise a décidé de développer WebTitan dans le but de répondre aux besoins en matière de sécurité des PME.
Cet outil permet aux employeurs de surveiller, contrôler et protéger les employés, en bloquant la fonction de messagerie de Facebook… mais pas seulement ! Ils peuvent également utiliser WebTitan pour créer des politiques permettant de protéger leurs entreprises contre les malwares, les attaques de phishing et les virus ; ou encore de bloquer l’accès à des contenus inappropriés comme la pornographie.
Bref, en utilisant cette solution de filtrage Web DNS basée dans le cloud, les organisations peuvent profiter d’une solution fiable qui ne nécessite que peu d’entretien et qui peut être déployée en cinq minutes, sans avoir besoin de télécharger un logiciel.
Conclusion
Faut-il bloquer ou ne pas bloquer Facebook sur le lieu de travail ? C’est la question à laquelle de nombreux employeurs se posent.
L’utilisation généralisée de Facebook Messenger a augmenté la crainte de certains employeurs pour de nombreuses raisons (baisse de productivité, sécurisation des données, etc.). Il est donc logique que de plus en plus d’entreprises choisissent de bloquer tout simplement ce site de réseautage social. Mais comme nous venons de le voir, il existe une option encore plus intéressante, à savoir d’empêcher l’accès à Facebook Messenger sans bloquer le site Facebook.
Vous êtes un professionnel de l’informatique ? Vous souhaitez bloquer les discussions sur Facebook et vous assurer que les données de votre entreprise et de votre personnel sont protégées ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.
Questions fréquentes sur le blocage de Facebook Messenger
Pourquoi ne pas bloquer tout simplement Facebook pour éviter l’utilisation de Messenger ?
Oui, c’est possible, mais sachez qu’aujourd’hui, vos employés n’ont plus besoin d’être sur Facebook pour pouvoir utiliser Facebook Messenger. Il leur suffit de télécharger l’application sur Play Store, de cliquer sur l’option « Je ne suis pas sur Facebook », de rentrer leurs noms et numéros de téléphone pour utiliser ce service.
Est-ce possible pour vos employés d’utiliser leurs PC de bureau pour accéder au service de messagerie instantanée de Facebook ?
C’est possible, mais pour ce faire, ils doivent se connecter via le réseau social. Tout ce qu’ils ont à faire, c’est de se rendre sur le site et de se connecter. Ensuite, ils retrouveront une interface similaire à celle de l’application, mais celle-ci est déclinée dans une version bureau.
Facebook n’a-t-il pas déjà effectué des mises à jour de sa plateforme ?
Lors de ses dernières mises à jour, Facebook a déclaré que la vie privée des utilisateurs est la chose la plus importante. Ainsi, la marque a conçu App Lock, une nouvelle fonctionnalité qui fournit plus de sécurité lorsque vous échangez des messages privés. Malheureusement, App Lock a été exploitée par les pirates en guise de porte d’entrée supplémentaire. C’est pour cette raison qu’en 2017, la marque elle-même a décidé d’avertir ses abonnés des éventuels risques lorsque les messages ne sont pas chiffrés.
Est-ce vrai qu’un simple numéro de téléphone permet d’accéder à Messenger ?
Il fut un temps où une telle action était possible, mais ce temps est désormais révolu. Le 26 décembre 2019, le site Venture Beat a publié l’existence d’une mise à jour discrète du service de Facebook Messenger. Il faut donc avoir un profil sur la plate-forme pour accéder à Messenger.
Cette mesure est-elle suffisante pour renforcer la sécurité des communications sur Messenger ?
En réalité, ce ne sera pas suffisant pour garantir la sécurité de vos communications. Pour renforcer davantage le respect de la vie privée des utilisateurs, Facebook récemment annoncé que son application Messenger peut actuellement traquer discrètement les actes cybercriminels, en utilisant le système de communication des téléphones portables en arrière-plan.
Aujourd’hui, nous partageons avec Steve Havert, un pro de l’informatique expérimenté, d’autres informations précieuses sur la sécurité de la messagerie. Dans cet article, Steve s’intéresse à l’usurpation d’adresse électronique, ou email spoofing, un outil souvent utilisé par les spammeurs pour diffuser des campagnes de phishing.
L’usurpation d’adresse électronique, ou email spoofing, est utilisée depuis longtemps comme un moyen efficace pour les spammeurs d’atteindre leurs cibles. Bien qu’il existe des méthodes pour identifier une adresse d’e-mail usurpée, aucune d’entre elles n’est parfaite et elles risquent d’être considérées comme des spams.
Un e-mail falsifié est simplement un e-mail dont l’adresse de l’expéditeur a été falsifiée. Lorsqu’un destinataire reçoit le message, il croit qu’il vient d’une source connue et qu’il est plus susceptible de l’ouvrir, de cliquer sur un lien dans le message ou d’ouvrir une pièce jointe.
Grâce à cette technique, les cybercriminels peuvent atteindre un certain nombre d’objectifs, notamment le phishing, l’installation de malwares, l’accès à des données confidentielles, etc.
Le dernier en date des gros titres, « Locky », se propage le plus souvent par le biais de e-mails non sollicités, dont la plupart sont déguisés en factures et utilisent souvent une adresse électronique usurpée.
La première fois que j’ai trouvé une adresse e-mail usurpée, je dirigeais ma propre entreprise de conseil IT qui offrait des services d’externalisation IT aux petites entreprises. À l’époque, les plus grandes menaces provenant de l’ouverture d’e-mails malveillants étaient les virus informatiques. Dans ce cas, mon client avait ouvert une pièce jointe à un e-mail qu’il avait reçu d’un associé d’affaires (du moins le pensait-il) et avait libéré un virus qui n’avait pas causé beaucoup de dommages, mais qui avait transformé son ordinateur en spambot.
À propos de Steve Havert
Steve Havert est un professionnel indépendant de l’IT basé à Seattle, WA. Il a passé ses trente-six années de carrière en TI à travailler dans tous les domaines des TI pour de grandes entreprises ainsi que dans sa propre entreprise de conseil IT à Orange County, en Californie.
Il s’épanouit dans les défis organisationnels et techniques et a travaillé avec de nombreuses organisations, aidant chacune d’entre elles à améliorer l’aspect de leur infrastructure, leur stratégie informatique, leurs opérations quotidiennes ou encore de leurs systèmes de cybersécurité. Il aide également les entreprises à résoudre les défis opérationnels et commerciaux grâce à l’application de solutions technologiques répondant à leurs objectifs budgétaires.
Il continue à travailler comme consultant indépendant tout en poursuivant une seconde carrière dans la photographie.
L’adresse e-mail de l’expéditeur est falsifiée
Il a soupçonné un problème lorsqu’il a commencé à recevoir une grande quantité de rapports non livrables (FDN) dans un court laps de temps.
Son carnet d’adresses électroniques contenait un certain nombre d’adresses électroniques invalides et les spams générés par son ordinateur étaient renvoyés par les serveurs des adresses invalides. Il était surpris que son associé envoie un e-mail infecté. Il a communiqué avec l’associé pour l’avertir que son ordinateur (celui de l’associé) était infecté.
L’associé a analysé plusieurs virus et n’a rien trouvé. Le temps que mon client m’appelle, il était déconcerté. Dès que j’ai regardé l’en-tête de l’e-mail en question, j’ai réalisé ce qui s’était passé. J’ai expliqué le concept d’usurpation d’adresse électronique à mon client. Il était incrédule que quelqu’un ait pu falsifier une adresse électronique d’expéditeur.
Comment le spoofing par email a évolué et est devenue plus risqué ?
Je me souviens parfois de cette époque comme du bon vieux temps. Les types d’attaques que mes clients ont subies avaient tendance à causer des dommages minimes.
La plupart du temps, ils commençaient à recevoir des pop-ups ennuyeux ou leur ordinateur commençait à ralentir quand un moteur de spambot commençait à envoyer des emails à tout le monde dans leur carnet d’adresses ou un programme en arrière-plan téléchargeait l’historique de navigation vers un serveur quelque part.
Une catastrophe coûteuse
Parfois, il y avait un désastre coûteux – comme lorsque l’ordinateur d’un client était infecté par le virus ILOVEYOU (attaché à un e-mail usurpé) qui écrasait plusieurs centaines de fichiers avant qu’il ne se rende compte qu’il y avait un problème.
S’il avait sauvegardé son ordinateur sur une base régulière (comme je lui avais demandé), il n’y aurait pas eu de désastre. (Comme le dit le proverbe : « On peut mener un cheval à l’eau, mais on ne peut pas le faire boire. »)
Les différents types de spoofing
Le spoofing ne se limite pas à l’envoi des e-mails malveillants dans le but de voler des informations personnelles ou d’infecter l’ordinateur des victimes avec un malware.
Il peut se présenter sous d’autres formes, dont les différences dépendent généralement de la méthode de communication utilisée.
Usurpation de l’identité de l’appelant
Dans ce cas, les escrocs utilisent le téléphone pour appeler leurs cibles en usurpant l’identité d’autres contacts qui semblent légitimes pour leurs victimes.
Selon la Commission fédérale des communications (FCC), une agence indépendante du gouvernement des États-Unis, l’usurpation d’identité de l’appelant se produit lorsqu’un escroc tente de falsifier de manière délibérée les informations transmises à son interlocuteur pour dissimuler son identité.
Les victimes peuvent ainsi être amenées à répondre aux appels téléphoniques et à fournir des informations personnelles aux escrocs, étant donné que leur identité semble provenir d’une source fiable, telle qu’une agence gouvernementale.
Spoofing du DNS
L’usurpation du DNS est une autre forme d’attaque utilisant le spoofing.
Selon Kaspersky, elle profite des vulnérabilités du système dans votre serveur de nom de domaine dans le but de détourner le trafic des serveurs légitimes puis de le diriger vers des serveurs malveillants.
En général, le code malveillant qui est utilisé dans cette forme de spoofing peut être caché dans des éléments comme des liens intégrés à des spams ou dans des bannières publicitaires dans des sites web.
Une fois que la victime clique sur le lien infecté par le code, son ordinateur la dirige vers de faux sites web qui ont été conçus pour paraître fiables et pour l’inciter à donner des informations sensibles.
Ces sites Web peuvent être utilisés pour nuire aux ordinateurs vulnérables des victimes ou pour télécharger des spywares, des virus et des enregistreurs de frappe.
Spoofing des adresses IP
L’usurpation des adresses IP (Internet protocol) est très particulier, car au lieu de se fier à des gens humains aux intentions malveillantes, elle vise principalement à tromper les systèmes informatiques afin qu’ils acceptent des données en fournissant une fausse adresse IP source.
Les cybercriminels peuvent dans ce cas se faire passer pour une source fiable ou dissimuler leur propre identité.
Si ce type de spoofing réussit, il peut donner lieu à des cyberattaques encore plus graves comme les attaques contre les réseaux distribués (DDoS).
Quelle est la différence entre le spoofing et le phishing ?
Beaucoup de gens confondent le spoofing et le phishing et pensent que c’est la même chose.
En fait, le spoofing est une méthode de livraison, tandis que le phishing est une méthode de récupération.
Personne ne souhaite télécharger délibérément un malware sur son réseau. Cependant, un de vos employés pourrait être amené à faire cela grâce à la ruse que les pirates utilisent, par exemple lorsqu’ils envoient un e-mail contenant un malware et qui semble provenir d’une source fiable.
Pour ce faire, ils peuvent concevoir des contrefaçons parfaites des e-mails d’entreprise pour tromper vos employés et les amener à prendre des décisions malavisées.
Le message peut les avertir d’une attaque imminente, les obliger à suivre certaines instructions de la part de son expéditeur. D’une manière générale, le principe consiste à solliciter le destinataire de l’e-mail à cliquer sur un lien qui y est fourni.
En faisant cela, la victime va exécuter un fichier ou un programme malveillant pouvant endommager vos réseaux informatiques. C’est la méthode de livraison utilisée notamment lors d’une attaque de phishing.
Plus la forme de communication utilisée par le pirate est crédible, plus ses victimes risquent d’être la proie de ses tentatives.
Quant au spoofing, le but est simplement de voler l’identité d’une personne légitime pour mettre en œuvre des actions malveillantes (c’est la méthode de récupération). En d’autres termes, un utilisateur doit télécharger un malware dans l’ordinateur d’un autre utilisateur pour que l’attaque réussisse.
Il faut toutefois noter que le spoofing peut être en partie du phishing. Par contre, le phishing ne fait pas partie du spoofing. La principale différence entre ces deux types d’attaques est que le phishing peut impliquer une sorte de spoofing, que le pirate utilise une adresse électronique, un numéro de téléphone ou un domaine de site web, afin de rendre sa tactique plus valable.
Cependant, d’autres formes de cyberattaques peuvent impliquer le spoofing lorsque les cybercriminels tentent de cacher la véritable source de l’attaque. C’est par exemple le cas lors d’une attaque DDoS que nous venons d’évoquer.
Aucune entreprise n’est à l’abri de la perte de données
Les risques liés aux e-mails usurpés et malveillants sont beaucoup plus grands aujourd’hui. Les individus peuvent perdre leur sécurité financière en raison du vol d’identité.
Les bases de données des organisations peuvent être exploitées pour les numéros de sécurité sociale, les renseignements sur les cartes de crédit, les dossiers médicaux, les numéros de comptes bancaires, etc., ce qui entraîne des milliards de dollars de dommages, non seulement pour l’organisation, mais aussi pour les personnes dont les renseignements ont été volées.
Les petites entreprises sont souvent victimes d’importants dommages financiers causés par les e-mails malveillants. Nous n’en entendons généralement pas parler autant que des grandes cibles, Sonys et Homebases de ce monde.
J’ai eu un client qui a perdu plusieurs centaines de fichiers à cause d’un virus qui s’est manifesté sous la forme d’une pièce jointe à un e-mail usurpé. Il s’agissait de fichiers actuels qui étaient essentiels à un projet sur lequel l’entreprise travaillait mais qui n’avaient pas encore été sauvegardés.
Ils n’avaient pas d’autre choix que de recréer les documents à partir de zéro ou de versions plus anciennes, ce qui leur coûtait des milliers de dollars en heures supplémentaires. Aucune entreprise n’est à l’abri de la perte de données et les petites entreprises souffrent souvent le plus.
Comment se protéger contre le spoofing et les tentatives de phishing ?
Malgré le fait qu’il soit relativement facile de se protéger contre les e-mails frauduleux, c’est toujours une technique courante utilisée par les spammers et les cybercriminels.
Il faut un certain effort, et donc de l’argent, pour se protéger de l’email spoofing. Je soupçonne que c’est la raison pour laquelle de nombreuses petites entreprises ne prennent pas les précautions nécessaires.
Ma recommandation à mes clients est assez simple :
Prenez un abonnement à un service de filtre anti-spam très efficace et réévaluez son efficacité chaque année.
Désignez quelqu’un (si ce n’est pas un employé, engagez une ESN ou un partenaire externe) pour surveiller et administrer le système d’e-mail, y compris le service de filtrage du spam. Ce n’est pas une tâche triviale, car la fonctionnalité de messagerie électronique change, les nouvelles menaces évoluent constamment et les adresses électroniques évoluent fréquemment en raison des changements de personnel.
Sensibiliser les employés à l’usurpation d’adresse électronique et aux autres techniques utilisées par les spammers et les cybercriminels. Formez-les sur ce qu’il faut rechercher lors de l’analyse de leur boîte de réception afin qu’ils puissent rapidement identifier les e-mails malveillants potentiels. Fournissez-leur une ressource qui peut les aider à décider s’ils ne sont pas sûrs qu’un e-mail est bidon.
L’e-mail est un outil de communication d’affaires nécessaire et extrêmement utile. Malheureusement, parce qu’il est tellement utilisé qu’il constitue une cible facile pour les cybercriminels. Pour un utilisateur moyen de courrier électronique, il est difficile, au mieux, de repérer un e-mail malveillant parmi les centaines ou les milliers d’e-mails qui se déversent dans sa boîte de réception.
C’est pourquoi il est si important pour les organisations d’allouer les ressources et les fonds nécessaires pour protéger leur personnel et leur organisation contre toutes les menaces qui peuvent arriver comme un message innocent d’un ami.
Les conseils de TitanHQ pour se protéger du spoofing
Étant donné l’ingéniosité des escrocs, la grande question est de savoir ce qui ne peut pas être usurpé.
Bien entendu, il existe de nombreux types de spoofing que les cybercriminels peuvent utiliser pour vous convaincre de se faire passer pour de gens qu’ils ne sont pas.
Pour lutter contre ce phénomène, l’information est essentielle. Le simple fait de savoir que les en-têtes des e-mails peuvent être usurpés devrait vous permettre d’être prudent lorsque vous lisez un courrier électronique.
Si une personne de votre connaissance vous envoie un message, même si celui-ci ne vous paraît pas étrange, ne vous contentez pas de l’ouvrir.
Un simple geste, comme le fait d’appeler le destinataire constitue un excellent moyen de contourner l’incertitude dont profite le phishing.
En effet, vos employés constituent le maillon faible de votre sécurité. Ils sont vulnérables, du moins jusqu’à ce qu’ils soient en mesure de reconnaître et de signaler les tentatives de phishing.
Le phishing et les attaques utilisant l’ingénierie sociale sont de nos jours les premiers vecteurs d’attaques cybercriminelles.
Des recherches ont révélé que plus de 90 000 campagnes de phishing sont lancées chaque mois et qu’ils figurent parmi les menaces le plus répandues et les principales préoccupations des professionnels de la sécurité informatique.
Pour protéger votre entreprise, il est donc important de sensibiliser vos employés au phishing.
En d’autres termes, vous devriez les apprendre à repérer et à signaler les tentatives de spoofing.
Commencez par la formation de vos employés
La formation de sensibilisation au spoofing commence par l’éducation de vos employés sur les raisons pour lesquelles il est nuisible pour votre organisation. Vous devriez également leur donner les moyens de détecter et de signaler les tentatives de spoofing.
Selon la culture de votre organisation, vous pouvez organiser une formation initiale via un document écrit, une vidéo en ligne ou des réunions d’entreprise ou combiner ces différents éléments.
Créez des campagnes de phishing simulées
Les simulations de spoofing renforcent la formation de vos employés. Elles vous aident également à comprendre vos propres risques et à améliorer votre stratégie en cas d’attaque de phishing.
Ces campagnes ne peuvent prendre de nombreuses formes, comme la simulation de phishing de masse, le lancement d’une attaque de spear phishing et de whaling.
Renforcez la formation de sensibilisation au spoofing
Il ne suffit pas d’organiser une formation ponctuelle pour que vos employés puissent être à l’affût des dernières tendances en matière de spoofing.
Comme les cybercriminels changent constamment de tactique, il faut donc que vos employés soient informés des récentes attaques, et ce, grâce à des formations régulières sur la cybersécurité.
Cela garantira la mise en place d’une culture de la cybersécurité fiable à tous les niveaux de l’entreprise.
SpamTitan Cloud, la solution pour réduire au minimum le risque de spoofing
Depuis 1999, SpamTitan a mis en place un service de renseignements sur les menaces de spooffing afin de réduire considérablement le risque d’une attaque réussie contre votre entreprise.
Avec SpamTitan, vous réduisez considérablement le risque que de nouvelles variantes d’e-mails malveillants contournent le système de sécurité de votre réseau.
Il n’est pas difficile de bloquer ces attaques de spoofing par la messagerie électronique, mais de nombreuses entreprises demeurent vulnérables à ce type d’attaque.
La formation des employés à la sécurité est indispensable, mais force est de constater qu’il pourrait toujours y avoir certains d’entre eux qui n’appliquent pas les mesures nécessaires pour mieux protéger votre organisation.
Il est également peu probable qu’ils reconnaissent tous les menaces pour ce qu’elles sont. Il leur est donc souvent d’identifier toutes les tentatives de spoofing, malgré les formations et simulations dont ils ont bénéficié.
Ce qu’il vous faut, c’est donc une solution avancée de filtrage du spam qui est en mesure de détecter les attaques de spoofing et de bloquer les e-mails malveillants à la source.
De cette manière, vous pourrez empêcher que les messages n’arrivent pas dans les boîtes de réception de vos employés.
SpamTitan Cloud, une solution basée dans le cloud, permet par exemple de bloquer plus de 99,9 % des spams et d’éventuelles attaques de spoofing pour protéger votre entreprise.
Ce ne sont pas seulement les adresses e-mails qui peuvent être usurpés
L’usurpation d’identité via la messagerie électronique est le plus souvent utilisée dans le cadre du phishing, du spear phishing et de whaling.
Mais il existe de nombreux autres types d’attaques cybercriminelles.
Usurpation d’identité par téléphone et SMS – le Smishing
En quoi cela consiste exactement ?
Grâce à la technologie moderne, les cybercriminels sont actuellement capables de masquer leur numéro de téléphone en utilisant des numéros inconnus, des numéros existants ou non attribués.
L’usurpation d’identité par téléphone et par SMS est particulièrement dangereuse lorsqu’elle est associée à l’ingénierie sociale.
Imaginez que votre téléphone identifie l’appelant en indiquant qu’il s’agit de la police locale. Une fois que vous décrochez, on vous informe que vous êtes menacé d’une peine de prison.
Si vous n’êtes pas familier avec ce type d’arnaque, cela pourrait vous désorienter. De la même manière, les SMS peuvent également être usurpés, alors soyez à l’affût de messages suspects qui sont censés provenir d’amis légitimes, de membres de votre famille ou de vos proches.
Cette forme d’attaque est souvent utilisée dans les escroqueries visant le personnel du support technique, les escroqueries au fisc et d’autres escroqueries par phishing vocal ou via le SMS.
Pour lutter contre ce phénomène, il convient encore de bien former vos employés. Bien entendu, cela ne signifie pas que vous ne serez plus jamais escroqué via le téléphone ou les SMS, mais la prise de conscience est essentielle pour favoriser la prudence de vos employés et donc de sécuriser votre organisation.
Retenez que la plupart des entreprises et des personnes respectables ne vous appelleront pas à l’improviste pour vous faire des offres gratuites. Elles ne vous offriront pas un soutien à l’improviste ou vous menaceront.
Usurpation de site web
Dans ce cas, les pirates informatiques tentent d’usurper votre site web en faisant référence à plusieurs scénarios dans lesquels ils attirent involontairement vos employés vers une page qu’ils ont créée.
Pour ce faire, ils développent une page qui ressemble à une page web de votre entreprise ou un site auquel vous aviez l’intention d’accéder.
Ils peuvent vous rediriger vers la page malveillante en réorientant vos requêtes sur le web ou en envoyant des e-mails frauduleux via un service de messagerie électronique qui est dupliqué de celui de votre entreprise.
Ce genre d’attaque est souvent utilisé dans le cadre d’un typosquattage — est une forme de piratage fondé principalement sur les fautes de frappe et d’orthographe commises par vos employés au moment de saisir une adresse web dans un navigateur – ou d’un pharming — est une technique consistant à exploiter des vulnérabilités des services DNS et à la configuration de faux sites web.
Conclusion
La cybersécurité prend de plus en plus d’importance au sein des entreprises, notamment pour celles qui utilisent les technologies les plus avancées.
Si vous voulez obtenir les derniers conseils concernant la manière de protéger votre entreprise contre le spoofing, appelez l’équipe de TitanHQ dès aujourd’hui.
Notre équipe spécialisée dans ce domaine se fera un plaisir de vous parler de notre produit SpamTitan et vous aidera à trouver la configuration la mieux adaptée à votre entreprise. Nous pouvons également vous faire une démonstration complète et vous proposer un essai gratuit de notre produit.
Questions fréquentes sur le spoofing
Le spoofing peut-il être facile à repérer ?
Parfois, il est facile de savoir que vous êtes victime d’une attaque de spoofing, mais pas toujours. En fait, les pirates mènent des attaques d’usurpation d’identité de plus en plus sophistiquées, ce qui exige plus de vigilance de votre part.
Que signifie le terme « facial spoofing » ?
C’est l’une des plus récentes formes d’usurpation que les pirates utilisent. La technologie de l’identification faciale est encore assez limitée. Nous l’utilisons pour déverrouiller certains appareils mobiles et ordinateurs portables, et cela s’arrête généralement là. Bientôt, il sera possible d’effectuer des paiements et de signer des documents avec votre visage. Imaginez donc les conséquences lorsque vous pouvez ouvrir une ligne de crédit seulement avec votre visage. Des chercheurs ont démontré qu’il est possible de créer des modèles faciaux en 3D à partir des photos que vous publiez sur les médias sociaux. Si les pirates parviennent à faire cela, ils peuvent pirater un de vos appareils verrouillés par identification faciale. Pour éviter cela, il est important d’utiliser l’authentification multifacteurs.
Quelle est la relation entre le phishing et le spoofing ?
Si le spoofing et le phishing sont deux types de cyberattaques différents, le phishing s’appuie souvent sur le spoofing pour réussir.
Quel que soit le type de spoofing utilisé, les principes de base restent les mêmes : le pirate trompe ses victimes en prétendant être quelqu’un qu’il n’est pas. S’il parvient à obtenir la confiance de la victime, le danger devient donc évident.
Un antivirus peut-il vous protéger des attaques de spoofing ?
C’est possible, à condition que le logiciel utilisé soit éprouvé. Il doit comprendre plusieurs couches de protection avancées qui peuvent fonctionner de concert afin de détecter les menaces en temps réel.
Tous les filtres web ne peuvent pas bloquer les sites web HTTPS.
Par exemple, certains peuvent bloquer http://facebook.com mais pas https://facebook.com. Cela permet aux utilisateurs de contourner facilement le filtre, ce qui se traduit par une perte de temps et des risques accrus pour les entreprises.
Des sites populaires – dont Facebook, YouTube et LinkedIn – ont récemment adopté la norme HTTPS. C’est une bonne nouvelle pour la sécurité, mais une mauvaise nouvelle pour les entreprises qui utilisent un filtrage web qui ne peut pas bloquer les sites https ou qui nécessitent l’achat d’un composant supplémentaire pour ce faire.
Pourquoi utiliser un filtre web HTTPS ?
Chaque organisation doit pouvoir autoriser ou bloquer les sites HTTPS.
Voici quelques raisons.
#1. Augmenter la productivité
Dans le passé, HTTPS était utilisé pour les transactions en ligne, les opérations bancaires et autres sessions sensibles.
De nos jours, même les sites web qui ne traitent pas de données sensibles adoptent HTTPS. Les sites de réseautage social comme Facebook, Twitter, YouTube sont souvent bloqués par les entreprises pour certains employés, mais ces sites utilisent maintenant HTTPS par défaut.
Pour une petite entreprise, avoir un filtre web en place qui peut bloquer HTTPS est le seul moyen pratique d’éviter de perdre du temps sur ces sites.
#2. Bloquer les sites web dangereux
Il existe des millions de sites web à risque sur Internet qui ont des antécédents de transmission de logiciels malveillants ou de fraude en ligne.
Des techniques telles que l’usurpation d’identité, les téléchargements au volant, le piratage de session et d’autres tactiques peuvent infecter un PC d’utilisateur avec des logiciels malveillants. Ces techniques fonctionnent sur les sites HTTP et HTTPS.
Un filtre HTTPS aide à protéger les entreprises contre ces dangers.
#3. Bloquer le contenu offensant d’un site web
Les sites web contenant du contenu inapproprié sont courants sur le web. Ces sites peuvent également utiliser HTTPS.
La seule façon pour une organisation de se protéger est d’utiliser un filtre web qui peut gérer à la fois les sites HTTP et HTTPS.
#4. Conformité
De nombreuses industries sont tenues d’améliorer la sécurité de leurs réseaux.
Certaines normes, comme la Children’s Internet Protection Act (CIPA), exigent que les organisations filtrent le contenu web. Toute industrie qui a besoin d’un filtrage HTTP est presque certaine d’avoir aussi besoin d’un filtrage HTTPS, pour les raisons décrites ci-dessus.
TLS est-il en fin de vie ?
TLS est un élément essentiel de l’infrastructure informatique. Par exemple, HTTP est sécurisé avec TLS, et, voilà, nous avons HTTPS.
Ainsi, les sites web utilisent TLS pour sécuriser les communications entre leurs serveurs et navigateurs web. TLS est également largement utilisé pour sécuriser les protocoles suivants :
Simple Mail Transfer Protocol (SMTP) peut utiliser TLS pour accéder aux certificats afin de vérifier l’identité des terminaux. Les fournisseurs ont créé des VPN basés sur TLS, tels que OpenVPN et OpenConnect. De tels VPNs ont des avantages pour le pare-feu et la traversée NAT par rapport aux VPNs IPsec traditionnels.
TLS est une méthode standard pour protéger la signalisation de l’application SIP (Session Initiation Protocol). TLS/SSL n’est pas la valeur par défaut sur de nombreux sites web ou parties de sites web.
Une étude réalisée en 2014 sur un million de sites web a montré qu’environ 450 000 seulement prenaient en charge TLS, par opposition à l’ancien SSL https://jve.linuxwall.info/blog/index.php?post/TLS_Survey .
En fait, les sites web de TLS/SSL sont le plus souvent complètement différents de leurs homologues non sécurisés ; il ne s’agit pas simplement de remplacer http:// par https://. Par exemple, la version sécurisée par TLS de http://en.wikipedia.org/wiki/ est https://secure.wikimedia.org/wikipedia/en/wiki.
C’est pourquoi l’Electronic Frontier Foundation propose l’extension HTTPS Everywhere pour les navigateurs. Le module complémentaire active les fonctions de sécurité TLS si elles sont présentes sur les sites web, mais il ne peut pas les créer si elles n’existent pas déjà.
Vulnérabilités de TLS
Le Trustwortworthy Internet Movement, qui analyse les vulnérabilités SSL sur les 20 000 sites web les plus populaires au monde, a signalé en janvier 2016 que 64 % des sites sondés présentaient une sécurité insuffisante.
Nous savons que SSL n’est pas sûr.
À partir de 2014, la version 3.0 de SSL a été considérée comme non sécurisée car elle est vulnérable à l’attaque POODLE qui affecte tous les chiffrement par blocs SSL. L’implémentation de SSL 3.0 de RC4, le seul chiffrement non bloqué pris en charge, est également possiblement cassée. Cela nous laisse avec TLS.
Ce protocole a été révisé à plusieurs reprises pour tenir compte des vulnérabilités en matière de sécurité. Comme pour tout logiciel non corrigé, l’utilisation d’anciennes versions peut conduire à exploiter des vulnérabilités qui ont déjà été corrigées.
TLS peut être transmis en utilisant le protocole TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). TCP possède des fonctionnalités plus sécurisées que UDP. Dans les deux cas, les transmissions TLS peuvent être compromises par des vulnérabilités TCP ou UDP. Idem pour la cryptographie à clé publique, les chiffres et l’échange de clés.
TLS a été intégré dans de nombreux progiciels utilisant des bibliothèques open source. Un article présenté à la conférence 2012 de l’ACM sur la sécurité informatique et des communications a montré que peu d’applications utilisaient correctement certaines de ces bibliothèques SSL, ce qui entraîne des vulnérabilités. Le bug Heartbleed affecte la bibliothèque populaire OpenSSL, permettant aux attaquants de voler les clés privées des serveurs.
Le point le plus faible d’une connexion SSL/TLS est l’échange de clés. Si l’algorithme d’échange de clés est déjà connu de l’attaquant et que la clé publique du serveur a été compromise, en théorie, ce système est ouvert aux attaques man in the middle.
L’attaquant serait alors en mesure de surveiller le client subrepticement. HTTPS réserve un seul port, le port TCP 443, pour l’échange de clés. Ainsi, les attaques par déni de service distribué (DDoS) doivent inonder un seul port afin de paralyser le réseau d’une organisation.
Le Trustworthy Internet Movement a signalé que 91 % des sites web étaient vulnérables à l’attaque BEAST, dans laquelle un attaquant peut théoriquement utiliser les caractéristiques des données cryptées pour deviner leur contenu.
Certains sites web prennent en charge les SSL/TLS plus anciens pour une compatibilité ascendante. En juin 2016, le Trustworthy Internet Movement estime que 26 % des sites web offrent une telle « solution de rechange au protocole ». Mais cela peut être une opportunité pour des attaques de downgrade de protocole telles que DROWN, qui affecte OpenSSL. Tous les détails de DROWN ont été annoncés en mars 2016, ainsi qu’un patch pour l’exploit. À l’époque, plus de 81 000 des 1 million de sites les plus populaires font partie des sites protégés par le TLS qui sont vulnérables à l’attaque DROWN.
Alors, TLS/SSL est-il sécurisé ?
Si votre organisation utilise exclusivement la mise en œuvre TLS la plus récente et tire parti de toutes les fonctions de sécurité TLS, vous avez une longueur d’avance. Afin de protéger votre entreprise contre les exploits malveillants dissimulés sous le secret du SSL, vous avez besoin d’un filtre web ou d’une passerelle web capable d’intercepter et de décrypter le trafic SSL. L’idée derrière cela est relativement simple en théorie.
Le filtre web crée une connexion sécurisée entre le navigateur client et le filtre, puis décrypte le trafic SSL sortant en texte clair sur lequel le trafic est analysé. Une fois examiné, le trafic est à nouveau chiffré et une autre connexion sécurisée est créée entre le filtre web et le serveur web.
Cela signifie que le filtre web agit effectivement comme un serveur proxy SSL et peut donc à la fois intercepter la connexion SSL et inspecter le contenu.
Google Chrome pour étiqueter tous les sites HTTP comme non sécurisés
Google a annoncé que son navigateur web Chrome prendra bientôt une position plus agressive sur le chiffrement web, marquant tout site comme non sécurisé s’il n’utilise pas HTTPS.
Le déploiement commencera en janvier par l’application de la règle à tout site qui demande un mot de passe ou des renseignements sur une carte de crédit. A terme, Chrome étiquettera tous les sites HTTP comme non sécurisés.
Le Filtrage web HTTPS comme norme
Les solutions de filtrage webTitan analysent le trafic crypté d’une manière gérable et abordable. La possibilité d’analyser le trafic https, par exemple le courrier web et la plupart des réseaux sociaux, est une épine dans le pied de nombreuses entreprises qui utilisent un filtre web qui ne peut pas bloquer les https ou qui nécessitent l’achat d’un composant supplémentaire pour ce faire. Le coût et les inconvénients peuvent être considérables.
WebTitan peut vous fournir une couche supplémentaire de contrôle granulaire pour le filtrage HTTP & HTTPS avec intégration AD. L’inspection SSL permet à webTitan de traiter le trafic HTTPS crypté. En termes simples, HTTPS est un protocole SSL superposé sur HTTP. Il y parvient en effectuant un décryptage et un re-cryptage du trafic HTTPS, en inspectant le contenu du trafic HTTPS non crypté.
Avec WebTitan, le filtrage HTTPS est inclus en standard. En fait, le service standard comprend toutes les fonctions de sécurité que nous offrons et un support technique gratuit. Donnez à votre organisation une sécurité sans compromis avec WebTitan.
