Office 365 dans le cloud présente de grands avantages. Microsoft gère les mises à jour logicielles, ce qui facilite les services de support informatique. Il vous permet aussi de collaborer en temps réel en utilisant des ordinateurs portables ou d’autres appareils mobiles connectés.
Selon le rapport annuel Adalloms sur les risques d’utilisation du cloud : Box, Office 365, Salesforce et Google Apps constituent actuellement les applications les plus utilisées dans le cloud.
L’utilisation du cloud ne cessera de croitre. À titre d’exemple, sachez que les licences pour le prochain logiciel Windows 10 seront octroyées par utilisateur et non par périphérique. Cela encouragera l’utilisation du VDI (Virtual Desktop Infrastructure), grâce auquel votre ordinateur ne résidera plus dans votre bureau, mais dans le cloud.
Mais avouons-le, le transfert d’applications et de données vers le cloud les expose à une plus grande variété de malwares. Voici pourquoi de nombreux clients choisissent actuellement d’implémenter SpamTitan, une solution qui s’adapte parfaitement à Office 365 et qui permet d’améliorer la sécurité informatique, en bloquant efficacement les spams et les malwares.
SpamTitan augmentera la fiabilité de votre système de filtrage antispam pour Office 365. Il est meilleur que les solutions d’Exchange Online Protection (EOP) et d’Advanced Threat Protection (ATP), des solutions de sécurité qui sont aussi disponibles pour les utilisateurs d’Office 365.
Sécurité du courrier électronique pour Office 365
Face à l’augmentation du nombre d’attaques de ransomware et de phishing, Office 365 est devenu une cible de choix pour les professionnels de l’informatique, ce qui les oblige à prendre des mesures proactives en matière de sécurité de la messagerie Office 365 et à protéger leur environnement contre le piratage.
Une étude réalisée en 2016 par Skyhigh Networks a révélé que 71,4 % des utilisateurs d’Office 365 ont au moins un compte compromis chaque mois. L’enquête était réalisée auprès de 600 entreprises et 27 millions d’utilisateurs.
Office 365 est un exemple du succès de l’utilisation du cloud. En effet, il est actuellement l2e service cloud d’entreprise le plus utilisé au monde, avec plus de 70 millions d’utilisateurs actifs.
L’authentification multifacteur
Pour renforcer la sécurité informatique de votre organisation, l’une des solutions les plus faciles à mettre en œuvre – et qui s’avère très efficace – est d’utiliser l’authentification multifacteur.
En réalité, cette solution consiste à faire une vérification en deux étapes. Elle peut être utilisée pour plusieurs comptes, comme avec un compte Microsoft Office 365 ou Google.
Lorsqu’un utilisateur se connecte au réseau d’entreprise, l’authentification multifacteur lui permet de taper un code à partir de son téléphone portable pour accéder à Microsoft 365. De ce fait, les pirates ne pourront prendre le relais que s’ils ont également pris le contrôle du téléphone.
Le chiffrement de messages Office
La solution Microsoft 365 inclut aussi le chiffrement de messages. Grâce à cela, vos employés peuvent recevoir ou envoyer des messages électroniques chiffrés à d’autres collaborateurs ou à d’autres utilisateurs en dehors de votre organisation en toute sécurité
Chiffrer un message électronique avec Outlook consiste à le convertir à partir d’un texte brut lisible en un texte brouillé, difficile à déchiffrer. Seul le destinataire disposant d’une clé privée pourra le faire pour la lecture.
Au cas où le destinataire utiliserait un compte de messagerie Office 365, il va recevoir un message d’alerte et seuls les messages autorisés s’afficheront dans son volet de lecture. Une fois la clé saisie, il pourra donc afficher le message comme n’importe quel autre.
Bien entendu, le destinataire peut aussi utiliser un autre service ou compte de messagerie comme Gmail ou Yahoo. Dans ce cas, il verra un lien qui lui permettra de se connecter pour lire l’e-mail, ou bien demander un code secret à usage unique afin d’afficher le message dans un navigateur web.
Les limites de l’utilisation d’Office 365
Selon Gartner, moins de 10 % des entreprises seulement utilisent les services de messagerie Office 365. Pourtant, elles détiennent 880 du marché des grandes entreprises publiques qui utilisent des services de messagerie dans le cloud.
Office 365 est offert dans plusieurs versions, mais seules les versions Enterprise offrent une sécurité renforcée. Office 365, dispose également d’une passerelle de messagerie qui améliore la sécurité, mais SpamTitan est encore plus efficace pour bloquer les spams.
Ce dernier peut bloquer plus de 999,9 des spams, avec un taux de faux positifs inférieur à 0,03 %. En plus, SpamTitan fournit deux moteurs antivirus, à savoir Kaspersky Lab et Clam AV, qui vous permettent de mieux vous protéger contre les malwares.
Il y a un gros problème avec le fait d’être le gros joueur dans l’espace de messagerie dans le cloud : vous devenez la cible numéro un des pirates informatiques et des cybercriminels. L’ironie du sort est que Microsoft se retrouve actuellement victime de son propre succès, de la même manière qu’il l’a été pour ses systèmes d’exploitation.
Le fait est que, lorsque la plupart des gens utilisent le même système d’exploitation, les pirates préfèrent se concentrer sur ce système, plutôt que de perdre du temps avec les autres.
Filtrage des emails dédié avec SpamTitan
Comme vous le savez, les types d’attaques en ligne évoluent constamment et de nouvelles menaces apparaissent chaque jour.
SpamTitan offre une protection contre celles qui sont les plus courantes. Pour TitanHQ, qui n’est autre que l’éditeur de SpamTitan, le filtrage des emails n’est pas seulement une option de plus sur une longue liste de services : c’est son offre de base.
Les développeurs de SpamTitan se concentrent sur la fourniture d’une solution de filtrage d’e-mail riche en fonctionnalités et granulaire. Les administrateurs peuvent configurer les paramètres pour l’ensemble de l’entreprise, mais ils ont également la possibilité d’affiner les filtres.
Chaque entreprise est différente. C’est une évidence. Les e-mails qu’une entreprise considère comme légitimes peuvent donc être classés comme des spams pour l’autre.
Les fonctionnalités avancées de SpamTitan telles que le filtre Advanced Content Control permettent aux ingénieurs de TitanHQ d’appliquer une règle spécifique à votre flux d’emails. Vous ne voyez donc que les emails que vous avez besoin de voir. Ce niveau de personnalisation n’est pas disponible sur le filtrage standard d’Office 365.
Prévention des pertes de données pour le courrier électronique et les fichiers (data loss prevention)
Seule la version la plus chère d’Office 365, Enterprise E3, offre la prévention des pertes de données pour les emails et les fichiers.
Mais la continuité des affaires est aussi devenue l’une des principales préoccupations des entreprises de toutes tailles. Et l’infrastructure SpamTitan Private Cloud vous permet de le faire, en assurant la sauvegarde de votre serveur de messagerie.
SpamTitan maintient un cluster privé à 2 nœuds pour traiter le courrier électronique : si un nœud tombe en panne, l’autre nœud prend la relève pour permettre de continuer le traitement du courrier. De plus, chaque nœud se trouve dans un centre de données différent, ce qui offre une sauvegarde optimale.
Par ailleurs, SpamTitan Private Cloud utilise Simple Authentication and Security Layer (SASL), nécessitant une identification lors de la connexion au réseau, et ce, avant tout échange de données.
Même si vous choisissez de maintenir votre propre serveur de messagerie, SpamTitan vous offre donc deux fonctions garantissant la continuité de votre activité :
Si votre serveur de messagerie privé n’est pas disponible, SpamTitan conserve tous les messages dans une file d’attente différée pendant 5 jours, par défaut. Mais cette valeur peut être augmentée depuis l’interface web. Dès que votre serveur de messagerie reprend ses activités, le courrier est redirigé vers tous les destinataires.
SpamTitan peut aussi stocker des copies d’e-mails « propres » pendant une période définie et permet aux utilisateurs finaux de consulter leurs e-mails via un portail personnel. C’est pratique, notamment si votre serveur de messagerie n’est pas disponible. Ainsi, les utilisateurs finaux ne manqueront aucun e-mail important.
Arnaques de phishing sur Office 365 et Gmail
Vous avez surement déjà entendu parler de la récente escroquerie par phishing de Google Docs qui a affecté plus d’un million d’utilisateurs de Gmail. Cela s’est produit peu de temps après qu’un pirate lituanien a réussi à mener une arnaque de phishing pour voler des millions de dollars à des utilisateurs de ce service de messagerie.
Cette fois, les cybercriminels ont visé les utilisateurs de Google Docs ainsi que la suite bureautique liée à Gmail. L’arnaque s’était répandue très rapidement, causant des dégâts non négligeables.
Les utilisateurs de Gmail ont reçu des emails qui semblaient provenir des contacts de confiance. C’est pour cette raison que la plupart d’entre eux étaient facilement dupés par le message.
L’attaque a touché près d’un milliard d’utilisateurs de Gmail, mais les pirates ne sont pas parvenus à profiter pleinement de la faille que pendant environ une heure. Selon un porte-parole de Google, environ 1 million d’utilisateurs ont été victimes de cette cybercriminalité.
Pour éviter un tel incident, il est essentiel de redoubler de prudence avant d’ouvrir des messages ou de cliquer sur des liens qui arrivent dans votre boite de réception. Le mieux serait de contacter directement – par exemple par téléphone – l’expéditeur.
Pourtant, malgré les séances de sensibilisation des utilisateurs, il a toujours un risque que certains d’entre eux, notamment ceux qui sont peu méfiants, de tomber dans le piège des cybercriminels.
Désormais, la question n’est plus de savoir s’il y aura une autre attaque cybercriminelle d’une telle ampleur, mais de savoir quand va-t-elle se produire.
Il est donc essentiel que vous fassiez tout votre possible pour empêcher des messages malveillants d’atteindre les boîtes de réception de vos employés. Et sachez que SpamTitan a eu 100 % de succès dans la protection de ses utilisateurs contre ce genre de menace.
Comment SpamTitan filtre-t-il les spams et les virus ?
SpamTitan est une solution antispam performante. Elle peut filtrer et mettre en quarantaine les e-mails douteux et les virus. Cet outil peut également rejeter d’office les messages dont l’expéditeur figure sur une liste noire.
Lorsqu’un expéditeur vous envoie un e-mail, qu’il soit sain ou indésirable, SpamTitan va le soumettre à un serveur privé basé dans le Cloud. Puis, l’outil va analyser le message pour sa pertinence. S’il contient une menace connue, le message sera directement retenu sur le serveur de filtrage.
En ce qui concerne l’e-mail sain, il est acheminé sur le réseau par le biais de pare-feux vers des serveurs de messagerie (Mail Server). Enfin, le message sera transmis dans la boîte de réception de son destinataire.
Tous les jours, l’outil SpamTitan génère un rapport qui est envoyé à l’utilisateur, intégrant la liste des mails bloqués. Si besoin, il pourra libérer temporairement un message ou le supprimer s’il est considéré comme malveillant.
Protection avancée contre les attaques du type zero day
Une attaque de type « zero day » peut se produire lorsque l’un de vos employés clique sur une pièce jointe d’e-mail infectée par un malware.
Une fois qu’il a ouvert la pièce jointe, le malware peut exploiter toutes les failles de sécurité qui existent dans son PC ou votre réseau. La seule solution pour éviter une telle attaque est d’anticiper de nouvelles menaces en utilisant la technique de prédiction.
Malheureusement, les fonctionnalités de sécurité de la messagerie électronique d’Office 365 ne correspondent pas à celles de nombreuses applications dédiées sur site et dans le cloud.
La solution idéale pour sécuriser la messagerie électronique est donc une solution qui est capable d’anticiper les nouvelles attaques en utilisant la technologie prédictive.
Les techniques prédictives comprennent l’analyse bayésienne, l’heuristique et l’apprentissage automatique pour bloquer de nouvelles variétés d’e-mails de spear phishing, de whaling et d’autres attaques de type « zero day » avant qu’elles n’atteignent votre boîte aux lettres.
À cela s’ajoutent d’autres fonctionnalités optionnelles comme la protection avancée contre le typosquattage, le chiffrement des e-mails et la protection contre les liens malveillants.
SpamTitan se concentre sur une approche de défense en profondeur, protégeant votre entreprise contre les menaces de malwares, les tentatives de spear phishing et les attaques de type « zero day ».
Prévention des fuites de données
Alors que SpamTitan inclut un système de blocage des spams amélioré ainsi qu’une protection contre les malwares, il protège également votre entreprise contre les virus et les e-mails de phishing.
Mais en plus, il ajoute une couche supplémentaire de protection contre la perte de données, tout en facilitant la gestion de la mise en œuvre d’Office 365 et des règles puissantes qui protègent les fuites de données.
Ainsi, vous ne risquez pas de perdre vos données internes, par exemple, grâce à l’étiquetage des mots clés, des numéros de sécurité sociale, etc.
SpamTitan complète les fonctionnalités d’Office 365
Si votre entreprise a opté pour Office 365 comme solution des e-mails, votre système de messagerie électronique est hébergé dans un centre de données Microsoft et très probablement filtré par le biais de la protection en ligne de l’EOP.
Comme nous venons de l’évoquer, cette solution n’est plus suffisante. Résumons maintenant les principaux avantages de l’utilisation de SpamTitan associée à Office 365 :
Un niveau de protection plus élevé
Un taux de capture de spam plus élevé
Un plus grand niveau de personnalisation/granularité
Un meilleur contrôle du courrier sortant
La continuité des activités.
Malgré les efforts de Microsoft, vous n’êtes pas satisfait du volume de spams détectés par le filtre antispam d’Office 365 ? Alors, pourquoi ne pas profiter d’un essai gratuit de SpamTitan ? Cet essai gratuit vous donne accès à toutes les fonctionnalités de SpamTitan afin que vous puissiez surveiller de façon réaliste ses capacités à détecter et filtrer les spams.
Contactez-nous dès aujourd’hui pour en savoir plus au sujet de TitanHQ, pour connaître vos besoins spécifiques et pour renforcer la sécurité de votre environnement Office 365. Si vous souhaitez obtenir notre guide de configuration de SpamTitan Office365, veuillez également nous contacter et nous vous l’enverrons.
A propos de TitanHQ
TitanHQ a été créé par une équipe d’experts de l’industrie qui dispose de nombreuses années d’expertise dans le développement et le déploiement de produits de sécurité Internet avancés.
Tous nos produits peuvent être utilisés comme éléments clés d’une stratégie de conformité à l’HIPAA (Health Insurance Portability and Accountability Act), une loi qui régit la sécurité des environnements virtuels et le cloud.
** MISE À JOUR 25/09/2018 :
Lisez notre tout nouveau rapport 2018 qui évoque la façon de surmonter les faiblesses de la sécurité du courrier électronique dans O365.
Des recherches récentes menées par Osterman ont montré que le service de filtrage EOP de Microsoft peut détecter 1100 de tous les virus connus avec des mises à jour toutes les 15 minutes. Cependant, la recherche a révélé qu’il était moins efficace contre les malwares inconnus ou nouveaux envoyés par mail. Les administrateurs système qui implémentent Office 365 doivent donc s’assurer qu’il est sécurisé en ajoutant une solution de messagerie sécurisée et de filtrage du spam comme SpamTitan pour se protéger contre les menaces persistantes avancées.
Dans cet article, nous expliquons deux des stratégies les plus importantes à adopter pour se protéger les attaques de phishing et de ransomwares.
S’assurer que les messages malveillants n’atteignent pas les boîtes de réception
L’an dernier, Netwrix a publié un rapport basé sur un sondage qui a montré que 100% des travailleurs IT du gouvernement croyaient que les employés représentaient la plus grande menace à la sécurité informatique. Bien que ces chiffres soient les plus élevés de la plupart des sondages de ce genre, le thème commun à toutes ces recherches est que les employés sont la cause la plus probable d’une atteinte à la protection des données.
L’un des plus importantes menaces est l’attaque par courrier électronique. Une étude menée par l’Université Friedrich Alexander en Allemagne suggère que la moitié des employés n’hésitent pas à cliquer sur les liens dans les e-mails provenant d’expéditeurs inconnus.
Pourtant, ces liens peuvent les rediriger vers des sites web de phishing ou des sites web infectés de malwares. Avec des taux de clics aussi élevés, il n’est pas surprenant que tant de travailleurs de l’IT croient que les employés sont le maillon le plus faible de leurs défenses en matière de sécurité informatique.
Comme il est difficile d’empêcher les employés de prendre de tels risques, les entreprises doivent donc faire tout ce qui est en leur pouvoir pour s’assurer que les e-mails malveillants n’arrivent pas dans leurs boîtes de réception. C’est ainsi que les travailleurs de l’IT pourront être certains que les employés ne cliqueront pas sur des liens ou n’ouvriront pas les pièces dangereuses jointes aux e-mails.
Comment fonctionne SpamTitan ?
TitanHQ est un fournisseur leader de solutions de filtrage de spam pour les entreprises. SpamTitan s’assure que la grande majorité des spams et des e-mails malveillants sont identifiés et mis en quarantaine et ne sont pas envoyés dans les boîtes de réception.
SpamTitan a été testé indépendamment et a démontré qu’il bloque 99,97% des spams, ce qui assure une meilleure protection des utilisateurs finaux.
Mais que peuvent faire les entreprises pour protéger leurs employés contre les 0,03 % d’e-mails restants et qui réussissent souvent à arriver dans les boîtes de réception ?
Il n’y a aucune solution miracle pour se protéger du phishing et des ransomwares dans 100 % des cas
Aucune entreprise ne peut survivre sans courrier électronique et, malheureusement, aucune solution de filtrage ne peut bloquer en permanence tous les spams.
Les entreprises ne peuvent donc pas compter tout simplement sur le filtre anti-spam pour contrer les attaques de phishing et de ransomwares. Bien entendu, il s’agit d’un outil qui offre un haut niveau de sécurité, mais il faut le combiner avec d’autres couches de protection.
Les solutions antivirus et anti-malwares sont essentielles pour détecter les malwares, mais ces contrôles de sécurité basés sur les signatures s’avèrent de moins en moins efficaces au fil des ans. Par exemple, les solutions ne sont pas particulièrement efficaces pour détecter les malwares sans fichiers.
La plupart des entreprises réduisent davantage les risques en mettant en place des systèmes de protection pouvant détecter les anomalies et les comportements anormaux sur les nœuds d’extrémité (PC, mobile, autres). Ces anomalies et comportements peuvent en effet impliquer une intrusion, une attaque de malware ou de ransomware.
Cependant, les logiciels antivirus et les systèmes de détection des nœuds d’extrémité ne peuvent pas détecter les attaques de phishing et de ransomware que lorsque celles-ci se produisent. Pour les bloquer, l’une des solutions les plus efficaces est donc d’installer un pare-feu humain.
Les services informatiques peuvent blâmer les employés d’être le maillon le plus faible en matière de sécurité, mais si les employés ne sont pas formés et ne savent pas reconnaître les e-mails malveillants, ils resteront la plus grande menace pour la sécurité informatique.
Le pare-feu humain : la meilleure défense contre le phishing, les malwares et les ransomwares caché dans des e-mails
Un pare-feu est la première ligne de défense, tandis que le logiciel anti-spam permet de mieux protéger les boîtes de réception contre les messages malveillants. Quant à vos employés, ils doivent faire office d’arrière-garde. Pour vous assurer d’avoir une défense solide contre les menaces informatiques, vous devez donc leur offrir une formation de sensibilisation à la sécurité.
Beaucoup d’employés ne savent pas qu’ils prennent souvent de gros risques et pourraient compromettre le réseau informatique. Il incombe donc aux entreprises de les sensibiliser à propos de l’existence de ces risques.
La plupart des attaques de malwares et de ransomwares impliquent au moins une certaine interaction de l’utilisateur, comme le clic sur un lien, l’ouverture d’un document malveillant, ou l’activation d’une macro.
Les employés doivent être informés de la manière dont les malwares peuvent s’installer et dont les pirates informatiques peuvent accéder aux comptes de messagerie et aux réseaux. Une fois qu’ils sont conscients de l’importance de la sécurité, ils constitueront une véritable dernière ligne de défense contre les menaces en ligne.
La formation de sensibilisation à la sécurité devrait être continue
Autrefois, il était possible d’offrir une formation annuelle portant sur la sécurité informatique pour permettre aux employés d’être en mesure de reconnaître les e-mails malveillants.
Malheureusement, ce n’est plus le cas aujourd’hui. Les cyberattaques par email sont maintenant beaucoup plus sophistiquées et les cybercriminels investissent beaucoup plus de temps dans l’élaboration de campagnes de mailing très convaincantes. Leurs tactiques changent constamment et le programme de formation doit en tenir compte.
Pour mettre au point un pare-feu humain solide, la formation doit être continue.
Une séance de formation annuelle en salle doit être accompagnée de séances de formation régulières sur les Thérapies Cognitivo-Comportementales (TCC), offertes en petites séances. Par ailleurs, l’importance de la cybersécurité devrait toujours être rappelée aux employés, et ce, grâce à des bulletins mensuels par courriel et des alertes ponctuelles sur les nouvelles menaces.
Des recherches menées par plusieurs entreprises de formation de sensibilisation à la sécurité informatique soulignent l’importance et l’efficacité d’une telle formation. PhishMe, Wombat Security Technologies et Knowbe4 suggèrent également qu’avec une formation régulière, il est possible de réduire jusqu’à 95% la vulnérabilité aux attaques par e-mail.
Testez l’efficacité de la formation de sensibilisation à la sécurité à l’aide de simulations de phishing
Vous pouvez sauvegarder toutes vos données pour vous assurer de pouvoir les restaurer en cas de sinistre. Poudrant, si vos solutions sauvegardes ne sont jamais testées, vous ne pourrez jamais être sûr que la restauration sera possible au moment où vous en aurez le plus besoin.
De même, si vous donnez une formation de sensibilisation à la sécurité à vos employés, cela ne garantit pas nécessairement que vous avec créé un pare-feu humain solide. Votre pare-feu doit aussi être testé.
En envoyant des simulations de phishing à vos employés, vous pouvez savoir à quel point votre formation a été efficace. Grâce à cela, vous pourrez également identifier les maillons faibles, c’est-à-dire les employés qui n’ont pas compris le concept du phishing et de la sécurisation des e-mails. Ces personnes doivent donc recevoir une formation supplémentaire.
Enfin, sachez que les exercices de simulation de phishing peuvent vous aider à renforcer le programme de formation. Lorsqu’un test échoue, il peut être transformé en une occasion d’apprentissage, ce qui permettra d’améliorer la rétention de connaissances.
En résumé, vous devez donc mettre en œuvre des solutions technologiques pour bloquer les attaques de phishing et de ransomwares, former vos employés puis les tester avec toutes sortes d’attaques par email. Lorsqu’un véritable email de phishing ou de ransomware arrive dans leurs boîtes de réception, ils seront donc préparés et s’en occuperont de façon appropriée. Autrement, votre entreprise sera probablement victime d’une attaque par mail dont les conséquences seront potentiellement désastreuses et coûteuses.
Souvenez-vous, il y a un peu moins d’une décennie, de l’époque où Windows était connu pour ses attaques de malwares et où les ordinateurs Mac ne l’étaient pas ? Cette époque est révolue. Aujourd’hui, les malwares sont partout, et cette tendance est inquiétante.
En fait, Kaspersky Lab a récemment découvert dans quelle mesure un cheval de Troie d’accès à distance (RAT) est utilisé par les cybercriminels, mettant en évidence le risque de sécurité lié à Java Runtime Environment (JRE).
En 2013, les développeurs de malwares ont rebaptisé ledit malware Adwind RAT. Depuis lors, plusieurs variantes ont été nommées, notamment AlienSpy, jRat, JSocket, Sockrat et Unrecom.
Les pays dans lesquels les attaques d’Adwind ont été les plus fréquentes sont l’Algérie, l’Arabie Saoudite, l’Espagne, l’Inde, les Émirats arabes unis, les États-Unis, la Turquie et la Russie.
Les pirates mettent régulièrement à jour le malware afin d’échapper aux solutions de sécurité et continuent d’ajouter des couches d’obscurcissement.
A propos de Java Runtime Environment
L’environnement d’exécution Java est une couche logicielle qui s’exécute au-dessus du système d’exploitation d’un ordinateur et fournit les bibliothèques de classes et autres ressources dont un programme Java spécifique a besoin pour s’exécuter.
JRE est l’un des trois composants interdépendants qui permettent de développer et d’exécuter des programmes Java. Les deux autres composants sont :
Le kit de développement Java (JDK)
La machine virtuelle Java, (JVM)
JDK est un ensemble d’outils permettant de concevoir des applications Java. Les développeurs choisissent les JDK suivant la version de Java et de l’édition ou du package – Java EE (Java Enterprise Edition), Java SE (Java Special Edition) ou Java ME (Java Mobile Edition). Chaque JDK intègre un JRE compatible, car l’exécution d’un programme Java fait partie du processus de développement d’un programme écrit sous le langage JavaScript.
La machine JVM, quant à elle, exécute directement les applications Java. Chaque JRE comprend un JRE par défaut, les développeurs peuvent en choisir un autre selon leurs besoins spécifiques en ressources de leurs applications.
Le JRE combine le code Java créé à l’aide du JDK avec les bibliothèques qui sont nécessaires à son exécution sur une JVM. Ensuite, il crée une instance de la JVM qui exécute le programme résultant.
Les JVM sont disponibles pour de nombreux systèmes d’exploitation, et les programmes créés avec le JRE fonctionneront sur tous ces systèmes. De cette façon, l’environnement d’exécution Java est ce qui permet à un programme Java de s’exécuter dans n’importe quel système d’exploitation sans modification.
Comment fonctionne JRE ?
JRE et JDK interagissent l’un avec l’autre pour créer un environnement d’exécution durable qui permet l’exécution transparente d’applications basées sur Java dans pratiquement tous les systèmes d’exploitation. Voici les éléments qui constituent l’architecture d’exécution du JRE :
Class Loader
Le Class Loader de Java est un chargeur de classes. Il charge dynamiquement toutes les classes requises pour l’exécution d’un programme Java. Les classes Java ne sont pas chargées en mémoire que lorsqu’elles sont nécessaires et c’est le JRE qui utilise des ClassLoaders afin d’automatiser ce processus à la demande.
Le Class Loader en Java fonctionne selon trois principes :
La délégation
Le principe de délégation consiste à transmettre la demande de chargement de classe au chargeur de classe parent et de ne pas charger la classe que si le parent ne parvient pas à la trouver ou la charger.
La visibilité
Ce principe permet au chargeur de classe enfant de voir toutes les classes chargées par le Class Loader parent. A noter que le chargeur de classe parent ne peut pas voir les classes ayant été chargées par la classe enfant.
L’unicité
Le principe de l’unicité permet de charger une classe exactement une fois. Cette opération est réalisée par le biais d’une délégation et garantit que le Class Loader enfant ne recharge pas la classe ayant déjà été chargée par la classe parent.
Vérificateur de bytecode
Le vérificateur de bytecode garantit le format et l’exactitude du code Java avant qu’il ne soit transmis à l’interpréteur. Dans le cas où le code viole les droits d’accès ou l’intégrité du système, la classe sera considérée comme corrompue et ne sera donc pas chargée.
Le vérificateur de bytecode agit tel qu’un gardien. En réalité, il s’assure que le code transmis à l’interpréteur Java est en état d’être exécuté et est en mesure de s’exécuter sans aucun risque de casser l’interpréteur Java. Le code importé n’est pas autorisé à s’exécuter – quelque soit le moyen utilisé – tant qu’il n’a pas passé les tests du vérificateur. Une fois que la vérification terminée, un certain nombre de propriétés importantes peuvent être identifiées :
L’existence ou l’absence de sous-débordement ou de débordement de la pile des opérandes.
Les types des paramètres de toutes les instructions du bytecode peuvent être connus, ce qui permet de s’assurer qu’ils sont toujours corrects.
Le système peut reconnaître si les accès aux champs privés, publics ou protégés des objets sont légaux ou non.
Bien que toutes ces vérifications semblent détaillées, dès que le vérificateur de bytecode a fait son travail, l’interprète Java peut continuer et le code pourra s’exécuter en toute sécurité. La connaissance de ces propriétés rend l’interpréteur Java beaucoup plus rapide, car il de vérification du débordement de la pile ni vérification du type d’opérande. Par conséquent, l’interpréteur peut fonctionner à pleine vitesse sans compromettre la fiabilité du système.
Interprète
Après le chargement réussi du bytecode, l’interpréteur Java va créer une instance de la JVM. Celle-ci permet ensuite l’exécution native de Java sur la machine sous-jacente.
Le cheval de Troie d’accès à distance Adwind (RAT)
Kaspersky Lab a découvert que le cheval de Troie d’accès à distance Adwind (RAT), identifié en 2012, est largement utilisé par les cybercriminels pour attaquer les entreprises. Le RAT est fréquemment modifié pour éviter d’être détecté avec de nombreuses variantes actuellement utilisées dans la nature. Le RAT a de nombreux noms en plus d’Adwind, avec Alien Spy, JSocket, jRat, et Sockrat juste quelques-uns des noms des variantes des malwares Adwind.
Le RAT basé sur Java est maintenant loué à des gangs criminels pour leur permettre de mener leurs attaques opportunistes contre des entreprises et des individus, parfois pour des montants très faibles, de l’ordre de 20 euros.
Kaspersky Lab estime que le nombre de criminels qui utilisent actuellement ces malwares est passé à environ 1 800. On estime que le malware rapporte environ 170 000 euros par an aux auteurs. À ce jour, on estime que le RAT a été utilisé pour attaquer jusqu’à 440 000 utilisateurs.
La fréquence des attaques augmente également. Au cours des 6 derniers mois, environ 68 000 nouvelles infections ont été découvertes.
Le cheval de Troie d’accès à distance multiplateforme est écrit en Java. Il est entièrement fonctionnel sur Windows, et partiellement fonctionnel sur OS X. Il y a plusieurs choses à savoir sur cette menace spécifique et sur la façon dont les utilisateurs de macOS/OS X peuvent s’en protéger.
400 000 systèmes ont été infectés au cours des trois années
Le cheval de Troie d’accès à distance multiplateforme a été vendu ouvertement comme service à tous les types de pirates informatiques, des cybercriminels opportunistes et aux groupes de cyberespionnage. Il a été utilisé pour attaquer plus de 400 000 systèmes au cours de trois années.
Le RAT, qui, selon la variante, est connu sous les noms d’Adwind, Unrecom, AlienSpy, Frutas, Sockrat, jRat ou encore JSocket, témoigne du succès que peut rencontrer le modèle de malwares en tant que service pour les créateurs de malwares.
Adwind est écrit en Java et peut donc fonctionner sur tout système d’exploitation doté d’un moteur d’exécution Java, comme Windows, Mac OS X, Android et Linux. Il a été développé en continu depuis au moins 2012 et est vendu au grand jour via un site web public.
Comme la plupart des chevaux de Troie, Adwind peut être utilisé pour contrôler à distance les ordinateurs infectés dans le but de voler des fichiers, des frappes au clavier et des mots de passe enregistrés. Ceci permet au malware d’enregistrer des fichiers audio et vidéo via la webcam et le microphone de l’ordinateur ciblé, entre autres.
Comme il possède une architecture modulaire, les utilisateurs peuvent aussi installer des plug-ins qui étendent ses fonctionnalités.
L’auteur d’Adwind — que les chercheurs de Kaspersky Lab pensent être un hispanophone — vendait l’accès au malware sur la base d’un modèle d’abonnement, avec des prix allant d’environ 20 euros pour 15 jours à environ 250 euros par an.
Les acheteurs obtiennent un support technique et d’autres services qui leur permettent d’échapper à la détection de l’antivirus, des comptes de réseaux virtuels et des analyses gratuites avec plusieurs moteurs antivirus afin de s’assurer que leur échantillon n’est pas détecté lorsqu’il est déployé.
Selon Kaspersky Lab, depuis 2013, les cybercriminels ont tenté d’infecter plus de 440 000 systèmes avec différentes versions d’Adwind. Ils ont utilisé le malware dans environ 200 campagnes de spear-phishing qui ont touché environ 68 000 utilisateurs.
La dernière incarnation d’Adwind a été lancée en juin 2015 sous le nom de JSocket. Ce malware est toujours en vente.
En 2015, la Russie a été le pays le plus attaqué par ce type de malware, avec la Turquie et les Émirats arabes unis, ainsi que les États-Unis, l’Allemagne et la Turquie, selon les chercheurs de Kaspersky dans un blog.
Ils ont estimé qu’à la fin de 2015, il y avait environ 1 800 utilisateurs d’Adwind et de JSocket, ce qui place le revenu annuel des pirates à plus de 160 000euros.
Le grand nombre d’utilisateurs rend difficile la construction d’un profil des attaquants. Le malware pourrait être utilisé par n’importe qui, des escrocs de bas niveau aux cyberespions, en passant par les particuliers qui cherchent à surveiller leur partenaire ou leur conjoint.
Java continue d’être la principale cible des pirates
Des chercheurs travaillant avec le « Citizen Lab de la Munk School of Global Affairs » de l’Université de Toronto ont documenté les activités d’un groupe de pirates qui ciblaient des journalistes, des politiciens et des personnalités publiques de plusieurs pays d’Amérique du Sud. Une version antérieure d’Adwind — appelée AlienSpy — a été répertoriée comme l’un des malwares utilisés par le groupe.
Kaspersky Lab a aussi lancé une enquête approfondie sur Adwind après qu’une institution financière de Singapour a été ciblée par le biais d’e-mails frauduleux censés provenir d’une grande banque malaisienne. Cela faisait partie d’une attaque ciblée qui a été lancée par un pirate d’origine nigériane, se concentrant sur les institutions financières.
Malgré plusieurs tentatives de démanteler et d’empêcher les développeurs d’Adwind de distribuer le malware, le malware a survécu pendant des années et a connu des changements de marque et une expansion opérationnelle.
Adwind étant écrit en Java, il est distribué sous forme de fichier JAR (Java Archive). Il nécessite également le système Java Runtime Environment (JRE) pour fonctionner. Une méthode possible pour empêcher son installation est de changer l’application par défaut pour la gestion des fichiers JAR en quelque chose comme Notepad. Cela empêchera l’exécution du code et se traduira simplement par une fenêtre de bloc-notes contenant du texte charabia.
Bien sûr, si JRE n’est pas nécessaire aux autres applications installées sur un ordinateur ou aux sites Web visités par ses utilisateurs, il doit être supprimé. Malheureusement, ce n’est pas possible dans la plupart des environnements professionnels, car Java reste un langage de programmation majeur pour les applications professionnelles et reste l’une des cibles préférées des cybercriminels.
Plus d’un million d’e-mails de spam mensuels diffusent de nouvelles variantes d’Adwind
En 2017 Symantec a mis en garde les utilisateurs contre l’augmentation du nombre de spams qui diffusent de nouvelles variantes d’Adwind. Celles-ci peuvent surveiller l’activité des utilisateurs, enregistrer leurs frappes au clavier, effectuer des captures d’écran, télécharger des fichiers malveillants et enregistrer des fichiers audio et vidéo.
En fait, la marque a commencé à constater une augmentation du nombre de messages électroniques qui intègrent des fichiers JAR malveillants et qui diffusent Adwind au mois d’août 2017. Mais le phénomène s’est drastiquement accéléré. En octobre, le nombre de messages malveillants a atteint 1,55 million.
En d’autres termes, les cybercriminels ont lancé cette campagne à fort volume dans le but de profiter de la saison des achats des fêtes. Selon encore Symantec, le timing aurait pu donner aux pirates plus de temps pour utiliser les informations d’identification volées, étant donné que les victimes sont plus susceptibles de baisser leur garde pendant la saison des fêtes, car elles sont plus détendues et engagées dans d’autres activités festives.
Java est l’un des plus anciens langages de programmation informatique. Depuis sa création, la programmation s’est développée de manière spectaculaire. Actuellement, il continue d’être largement utilisé par les développeurs des logiciels personnalisés.
Cependant, contrairement à la croyance selon laquelle ce langage de codage est surtout utilisé dans le domaine de l’informatique, sachez qu’il trouve aussi son utilité dans le domaine commercial. De nombreuses caractéristiques de ce langage de programmation le rendent également adapté à l’usage professionnel. De plus, grâce à sa portabilité, son évolutivité, sa sécurité, son efficacité et sa compatibilité avec Android, Java est devenu incontournable dans le domaine des affaires.
Avez-vous géré efficacement les risques de sécurité liés à l’environnement d’exécution Java ?
La première chose que les utilisateurs de Mac doivent savoir est que le risque d’infection est élevé, et ce, pour de nombreuses raisons. Tous les utilisateurs d’ordinateurs doivent également savoir que, comme Adwind est écrit en Java, il est capable d’infecter tous les principaux systèmes d’exploitation où Java est pris en charge, notamment pour Windows, Mac, Android et Linux.
La dernière variante est connue sous le nom de JSocket. On pense que le malware est apparu pour la première fois à l’été 2015 et qu’il est encore largement utilisé.
Le RAT est le plus souvent répandu par des campagnes de phishing avec des utilisateurs dupés dans l’exécution du fichier Java, l’installation du cheval de Troie.
Bien que le RAT soit principalement distribué par le biais de campagnes de spams à grande échelle, certaines preuves ont été découvertes pour suggérer qu’il est utilisé dans le cadre d’attaques ciblées contre des individus et des organisations.
Il s’agit d’un malware multiplateforme qui peut être utilisé sur les systèmes Windows, Linux, Android et Mac OS. Il sert de backdoor permettant aux cybercriminels d’accéder au système sur lequel il est installé, ce qui leur permet de prendre le contrôle des dispositifs, de recueillir des données, d’enregistrer les frappes et d’exfiltrer les données.
Il est également capable de se déplacer latéralement. Il est entièrement écrit en Java et peut être utilisé pour attaquer tout système qui supporte l’environnement d’exécution Java.
Le risque de sécurité lié à Java Runtime Environment est considérable. Kaspersky Lab recommande à toutes les organisations de revoir leur utilisation de JRE et de la désactiver dans la mesure du possible.
Malheureusement, de nombreuses entreprises utilisent des applications basées sur Java, et la désactivation ou la désinstallation de JRE est susceptible de causer des problèmes. Cependant, il est essentiel de gérer le risque de sécurité à partir de Java Runtime Environment pour prévenir les infections dues à Adwind et ses variantes.
S’il n’est pas nécessaire d’installer JRE sur les ordinateurs, il faut le supprimer. Il s’agit d’un risque inutile qui pourrait entraîner la compromission d’un réseau d’affaires.
S’il n’est pas possible de désactiver JRE, il est possible de protéger les ordinateurs contre Adwind/JSocket. Comme ce logiciel malveillant est généralement envoyé sous la forme d’un fichier d’archives Java, il est possible d’empêcher l’exécution du code en modifiant le programme utilisé pour ouvrir les fichiers JAR.
Le fonctionnement du malware
Sur Softpedia.com, les chercheurs en sécurité de Catalin Cimpanu ont découvert une version de la RAT Adwind. Le malware a été distribué dans le cadre d’une campagne de distribution. En fait, il a déposé une charge utile spécifique à des ordinateurs Mac. Adwind RAT semble se propager dans le cadre d’une campagne de spam, ciblant des entreprises danoises.
Le programme malveillant fonctionne en envoyant des informations système et en acceptant les commandes d’un attaquant distant. Ces commandes peuvent ensuite être utilisées — entre autres — pour afficher des messages sur le système, mettre à jour le malware, ouvrir des URL, télécharger et exécuter des fichiers et télécharger ou charger des plug-ins.
Une quantité importante de fonctionnalités supplémentaires peut être fournie par les plug-ins téléchargeables, y compris des éléments comme des options de contrôle à distance et l’exécution de commandes shell.
Indépendamment de sa portée initiale, tous les spams ont été rédigés en anglais, de sorte qu’une extension à d’autres pays ne nécessite pas plus que la pression d’un bouton quelque part dans le panneau de contrôle des pirates.
Pourquoi Adwind est-il une menace pour les utilisateurs d’appareils Mac ?
Il est important de savoir que pour installer le malware Adwind, il faut que Java soit installé. Par défaut, OS X et macOS ne sont pas livrés avec Java. Par conséquent, pour exécuter le fichier, les utilisateurs de Mac doivent télécharger le JRE sur Oracle.com.
En outre, au fil des ans, Apple a ajouté un certain nombre de fonctions de sécurité à sa plate-forme Mac. Les systèmes macOS et OS X d’Apple offrent des fonctions de sécurité intégrées pour protéger les utilisateurs contre les fichiers de développeurs non identifiés. La plupart des utilisateurs de Mac sont protégés en limitant les téléchargements d’applications à l’aide de paramètres Gatekeeper sécurisés.
Dans Préférences Système, cliquez sur « Sécurité et confidentialité » puis « Général ». Gatekeeper doit être réglé sur « Autoriser les applications téléchargées depuis le Mac App Store » et les développeurs identifiés. Pour restreindre l’accès au Mac App Store uniquement, réglez-le sur « Mac App Store ».
Où s’installe le logiciel malveillant Adwind, et comment ?
Quelles que soient les préférences des paramètres de Gatekeeper, n’importe quel utilisateur, que ce soit par négligence ou intentionnellement, peut passer outre sa protection.
Si un utilisateur tente d’exécuter un fichier provenant d’un développeur non identifié qui est non signé par un certificat numérique Apple valide, Gatekeeper l’avertit. Par contre, il n’empêche pas complètement l’installation si l’utilisateur ignore l’avertissement.
Par exemple, en tentant d’exécuter le fichier RAT d’Adwind en double-cliquant dessus, les utilisateurs Mac verront apparaître une alerte Gatekeeper « Adwind Unidentified Developer ».
Pour passer outre Gatekeeper, les utilisateurs peuvent faire un « Control-Click » ou un « Right-Click » sur le fichier « Contournement de Gatekeeper Adwind ».
Et ce n’est pas le seul moyen de contourner la protection de Gatekeeper. L’attribut de quarantaine de Gatekeeper n’est pas appliqué si un utilisateur dépose un fichier localement d’un Mac à un autre. Par exemple, si vous téléchargez l’échantillon du RAT d’Adwind sur votre appareil Mac, décompressez l’archive protégée par mot de passe puis déposez le fichier sur un Mac distant dans votre réseau local.
Exécution du compte-gouttes
Si vous utilisez un système OS X ou macOS, lors de l’exécution du dropper Adwind, notamment lorsque le fichier malveillant est exécuté, il peut déposer son infection sur votre appareil. Un agent de lancement est créé, qui est ensuite utilisé pour lancer un chargeur destiné à télécharger des fichiers malveillants sur Internet ou à se connecter à des serveurs malveillants.
Comme susmentionné, pour exécuter ce fichier, l’utilisateur doit installer un « Java Developer Kit » depuis Oracle.com.
Selon les constats des chercheurs en sécurité d’Intego, si le kit est exécuté, Adwind RAT tente toujours d’ouvrir une connexion vers une URL spécifique.
Lors de l’exécution du fichier sur OS X, l’agent de lancement n’est pas créé, même lorsqu’il a été exécuté avec sudo. Cependant, les chercheurs d’Intego ont constaté qu’il pourrait être créé sous OS X Mavericks.
Le fichier malveillant écrit ensuite un certain nombre de fichiers sur l’ordinateur cible et se copie lui-même sur le disque.
Comment supprimer Adwind des ordinateurs Mac ?
Si vous votre ordinateur a été infecté par AdWind, alors vous devez immédiatement prendre des mesures pour supprimer non seulement le cheval de Troie mais aussi tous les scripts associés. Cela empêche le malware de causer de graves dommages, entraîner la perte de fichiers sensibles et de l’argent. Adwind peut également voler vos identifiants de connexion et causer une grave corruption de votre système.
Il est possible de supprimer manuellement Adwind RAT, mais c’est une tâche délicate et qui prend un certain temps. En fait, vous devez fouiller dans les fichiers enfouis profondément dans votre système Mac afin de trouver les dossiers et les applications qui ne semblent pas à leur place, puis les supprimer. Pour finir l’opération, vous devez redémarrer votre ordinateur. Cette solution pourrait vous aider, mais vous ne pouvez pas être certain qu’Adwind a disparu.
En cas d’infection, vous pouvez supprimer manuellement l’application Java, nommée « « BgHSYtccjkN.ELbrtQ » dans le dossier « Home ». Vous pouvez aussi supprimer manuellement le fichier de lancement malveillant « org.yrGfjOQJztZ.plist » du dossier « LaunchAgents ».
Pour supprimer l’application Java, choisissez le menu « Go », puis « Go to Folder ». Entrez ensuite le code suivant« /.UQnxIJkKPii/UQnxIJkKPii », puis cliquez sur « Go ».
Déplacez « BgHSYtccjkN.ELbrtQ » vers la corbeille. Les fichiers sont souvent déposés dans le dossier d’accueil. Il faut un chemin, comme « /Users/intego/.UQnxIJkKPii/UQnxIJkKPii/BgHSYtccjkN.ELbrtQ ».
Une autre solution consiste à utiliser un antivirus. Toutes les solutions antivirus ne sont pas équipées pour supprimer le cheval de Troie Adwind. Pour certains d’entre eux, il faut d’abord effectuer une mise à niveau si vous voulez vous assurer que la suppression est complète.
Conseils pour éviter d’être infecté par Adwind
Ce type de malware peut échapper à la détection en premier lieu. Il est donc essentiel de prendre toutes les mesures de sécurité nécessaires pour garder vos données en sécurité.
Maintenez votre système d’exploitation — y compris tous vos applications et logiciels — à jour, car c’est le premier endroit où les pirates peuvent exploiter les vulnérabilités.
Une fois encore, n’ouvrez pas les e-mails et ne cliquez pas sur les fichiers ou pièces jointes qui vous semblent suspects.
Une façon de vous protéger contre Adwind est de prêter attention aux messages contenant des pièces jointes .XLT et .CSV. Méfiez-vous également des pièces jointes qui portent des extensions comme .XCL, .HTM et .DB., surtout si vous ne reconnaissez pas l’expéditeur de l’e-mail. Tous ces formats de fichiers sont ouverts par défaut par Excel ou Numbers sur un appareil macOS, ce qui permet potentiellement au cheval de Troie Adwind d’accéder à votre appareil Mac.
Sécurisez toutes vos données importantes. Pour ce faire, il importe de créer des sauvegardes sur des disques durs externes, des CD, des DVD ou en vous fiant à une sauvegarde en ligne en utilisant Google Drive, Dropbox, entre autres. De cette façon, même si un logiciel malveillant vous attaque, vous éviterez une perte de données importante et vous pourrez facilement récupérer vos données.
Assurez-vous d’avoir un programme antivirus fiable installé sur votre ordinateur pour protéger vos précieuses données contre les nombreuses menaces en ligne. Il serait également plus sûr d’ajouter plusieurs couches de protection et d’utiliser une solution logicielle de cybersécurité proactive.
Comme la prévention est le meilleur remède, apprenez le plus possible sur la manière de détecter facilement les e-mails indésirables.
Utilisez un filtre antispam fiable comme SpamTitan
SpamTitan Cloud est notre filtre antispam basé dans le cloud, conçu pour les entreprises. SpamTitan Cloud est un service antispam, de blocage des malwares et de filtrage des e-mails solide comme le roc et plusieurs fois récompensé, conçu pour les entreprises.
SpamTitan a remporté un nombre incroyable de 36 prix consécutifs VB Bulletin Anti-Spam.
Comme son nom l’indique, il s’agit d’un service de filtrage d’e-mails basé dans le cloud, abordable et très facile à mettre en place. Il suffit de le configurer et de l’oublier.
SpamTitan Cloud ne nécessite qu’une assistance informatique minimale. La solution est construite sur la même technologie que SpamTitan Gateway et dispose d’un ensemble de fonctionnalités complet qui convient aux entreprises de toute taille. Elle est également idéale pour les fournisseurs de services gérés qui souhaitent offrir des services antispam à leurs clients.
La fonction de sandboxing de SpamTitan protège les entreprises contre les brèches et les attaques sophistiquées lancées via la messagerie électronique, en fournissant un environnement puissant qui permet d’exécuter une analyse approfondie et sophistiquée des programmes et fichiers inconnus ou suspects.
SpamTitan Cloud est également une couche de sécurité supplémentaire essentielle pour protéger votre réseau ou ordinateur contre les malwares et les attaques de type « zero day ».
Conclusion
Adwind est toujours aussi puissant et peut créer de graves dommages à votre appareil Mac. L’augmentation de l’activité des chevaux de Troie d’accès à distance comme Adwind signifie qu’il faut stopper les attaques au stade initial. Si vous votre ordinateur a été infecté par AdWind, prenez des mesures pour pouvoir le supprimer immédiatement.
Ayez une visibilité sur l’ensemble de votre réseau pour que vous puissiez détecter toute menace qui aurait échappée à votre première couche de sécurité. Mettez en œuvre des politiques de contrôle du pare-feu et du trafic réseau. Cela vous aidera à surveiller et à bloquer les ports et les connexions indésirables, ce qui contribuera à déjouer les pirates informatiques.
Enfin, outre l’utilisation de logiciels antivirus, pensez à déployer une couche de sécurité supplémentaire pour mieux protéger votre réseau contre les spams et les attaques de malwares.
Avez-vous géré les risques de sécurité liés à l’environnement d’exécution Java ? JRE est-il inutilement installé sur les ordinateurs utilisés pour accéder à votre réseau ?
Lorsque vous songez au montant à investir dans les moyens de défense en matière de cybersécurité, n’oubliez pas de tenir compte du coût d’une atteinte à la protection des données pour les supermarchés.
De mauvaises pratiques de sécurité et l’absence de moyens de défense appropriés en matière de cybersécurité peuvent coûter cher à une entreprise.
Une fuite de données de l’ampleur de celle subie par Home Depot en 2014 coûtera des centaines de millions de dollars à résoudre. La fuite de données du dépôt d’origine a été massive. Il s’agit de la plus importante atteinte à la protection des données au détail concernant un système de point de vente qui a été signalée à ce jour.
Des logiciels malveillants avaient été installés qui permettaient aux criminels de voler plus de 50 millions de numéros de cartes de crédit aux clients des dépôts à domicile et environ 53 millions d’adresses électroniques.
L’attaque a été rendue possible grâce à l’utilisation de justificatifs d’identité volés à l’un des vendeurs du détaillant. Ces lettres de créance ont été utilisées pour prendre pied dans le réseau. Ces privilèges ont par la suite été augmentés, le réseau Home Depot a été exploré et, lorsque l’accès au système de PDV a été obtenu, des logiciels malveillants ont été installés pour saisir les détails des cartes de crédit. L’infection malveillante n’a pas été détectée pendant cinq mois entre avril et septembre 2014.
L’an dernier, Home Depot a accepté de verser 19,5 millions de dollars aux clients qui avaient été touchés par la fuite de données. Le paiement comprenait les coûts de la prestation de services de surveillance du crédit aux victimes d’atteintes à la sécurité du crédit.
Home Depot a également versé au moins 134,5 millions de dollars à des sociétés émettrices de cartes de crédit et à des banques, et cette semaine, un autre règlement de 25 millions de dollars a été convenu pour couvrir les dommages subis par les banques en raison de la violation.
Le dernier montant du règlement permettra aux banques et aux sociétés émettrices de cartes de crédit de présenter des demandes d’indemnisation de 2$ par carte de crédit compromise sans avoir à présenter de preuve des pertes subies.
Si les banques peuvent afficher des pertes, elles recevront jusqu’à 60% des pertes non compensées.
Le coût total de la fuite des données s’élève à environ 179 millions de dollars, bien que ce chiffre ne comprenne pas tous les frais juridiques que Home Depot sera obligé de payer, ni les règlements non divulgués.
Le coût final de l’atteinte à la protection des données au détail sera considérablement plus élevé. Il se rapproche déjà de la barre des 200 millions de dollars.
Ensuite, il y a la perte d’affaires découlant de l’atteinte à la sécurité des renseignements personnels. À la suite d’une atteinte à la protection des données, les clients vont souvent faire affaire ailleurs.
De nombreux consommateurs touchés par la violation ont choisi d’acheter ailleurs. Après tout, il n’y a pas qu’une seule chaîne de magasins de bricolage aux États-Unis.
Un certain nombre d’études ont été menées sur les retombées d’une atteinte à la protection des données. Selon une étude de HyTrust, les entreprises pourraient perdre 51 % de leurs clients à la suite d’une fuite de données sensibles !
Pour Home Depot, le coût d’une atteinte à la protection des données au détail a été beaucoup plus élevé que le coût de la mise en œuvre de technologies pour surveiller les pratiques de cybersécurité de son fournisseur, détecter les logiciels malveillants et mettre en œuvre les meilleures pratiques de sécurité.
Un nouveau Fallout Exploit kit a été détecté qui est utilisé pour propager des chevaux de Troie et des logiciels de rançon le ransomware GandCrab. Le Fallout exploit kit est resté inconnu jusqu’en août 2018, date à laquelle il a été identifié par le chercheur en sécurité Nao_sec.
Zoom sur le nouveau Fallout exploit kit
Nao_sec a observé que le Fallout Exploit kit était utilisé pour fournir SmokeLoader – une variante de malware dont le but est de télécharger d’autres types de malware.
Nao_sec a déterminé qu’une fois SmokeLoader installé, il a téléchargé deux autres variantes de logiciels malveillants – une variante de logiciel malveillant inconnue auparavant et CoalaBot – un bot DDos HTTP basé sur le code August Stealer.
Depuis la découverte du Fallout exploit kit en août, les chercheurs de FireEye ont observé le téléchargement du logiciel de rançon GandCrab sur des appareils Windows vulnérables.
Alors que les utilisateurs de Windows sont ciblés par le groupe de menace derrière Fallout, les utilisateurs de MacOS ne sont pas ignorés. Si un utilisateur de MacOS rencontre Fallout, il est redirigé vers des pages web qui tentent de tromper les visiteurs en téléchargeant une fausse mise à jour Adobe Flash Player ou un faux logiciel antivirus.
Dans le premier cas, l’utilisateur est informé que sa version d’Adobe Flash Player est obsolète et doit être mise à jour. Dans ce dernier cas, l’utilisateur est informé que son Mac peut contenir des virus, et il est invité à installer un faux programme antivirus qui, selon le site web, supprimera tous les virus de son appareil.
Le Fallout Exploit kit est installé sur des pages Web qui ont été compromises par l’attaquant – des sites avec des mots de passe faibles qui ont été forcés à la brute et ceux qui ont des installations CMS obsolètes ou d’autres vulnérabilités qui ont été exploitées pour avoir accès.
Les deux vulnérabilités exploitées par le Fallout Exploit kit sont la vulnérabilité de Windows VBScript Engine – CVE-2018-8174 – et la vulnérabilité d’Adobe Flash Player – CVE-2018-4878, toutes deux identifiées et corrigées en 2018.
Le Fallout exploit kit tentera d’exploiter d’abord la vulnérabilité VBScript, et si cela échoue, une tentative sera faite pour exploiter la vulnérabilité Flash. L’exploitation réussie de l’une ou l’autre de ces vulnérabilités entraînera le téléchargement silencieux de GandCrab Ransomware.
La première étape du processus d’infection, si l’un ou l’autre des deux exploits réussit, est le téléchargement d’un cheval de Troie qui vérifie si certains processus fonctionnent, à savoir :
filemon.exe
netmon.exe
procmon.exe
regmon.exe
sandboxiedcomlaunch.exe
vboxservice.exe
vboxtray.exe
vmtoolsd.exe
vmwareservice.exe
vmwareuser.exe
wireshark.exe.
Si l’un de ces processus est en cours d’exécution, aucune autre mesure ne sera prise.
Si ces processus ne s’exécutent pas, une DLL sera téléchargée qui installera le ransomware GandCrab. Une fois les fichiers chiffrés, une note de rançon est déposée sur le bureau. Un paiement de 499$ par appareil est exigé pour déverrouiller les fichiers chiffrés.
Les kits d’exploitation ne fonctionneront que si le logiciel n’est pas à jour. Les pratiques de patch ont tendance à être meilleures aux États-Unis et en Europe, de sorte que les attaquants ont tendance à utiliser d’autres méthodes pour installer leurs logiciels malveillants dans ces régions. L’activité des kits d’exploitation est principalement concentrée dans la région Asie-Pacifique où les logiciels sont plus susceptibles d’être obsolètes.
La meilleure protection contre le Fallout Exploit kit est de s’assurer que les systèmes d’exploitation, les navigateurs, les extensions de navigateur et les plug-ins sont entièrement patchés et que tous les ordinateurs utilisent les dernières versions des logiciels.
Les entreprises qui utilisent des filtres web, comme WebTitan, seront mieux protégées car les utilisateurs finaux ne pourront pas visiter ou être redirigés vers des pages web connues pour héberger des kits d’exploitation.
Pour s’assurer que les fichiers peuvent être récupérés sans payer de rançon, il est essentiel que des sauvegardes régulières soient effectuées. Une bonne stratégie consiste à créer au moins trois copies de sauvegarde, stockées sur deux supports différents, dont une stockée en toute sécurité hors site sur un appareil qui n’est pas connecté au réseau ou accessible sur Internet.
