Spam Filter Reviews, un site web fournissant des commentaires sur les solutions de filtrage du spam, a attribué à la solution de filtrage de spam SpamTitan de TitanHQ une note de 4,9 étoiles. Chaque solution examinée a été évaluée selon 18 critères différents, et SpamTitan a obtenu une note élevée pour 16 de ces critères. SpamTitan a enregistré des notes de 4.9/5 pour les fonctionnalités et l’émulation en temps réel.
Ce qui a particulièrement impressionné les évaluateurs, c’est la capacité de SpamTitan d’ajuster facilement le scoring sur tous les courriels entrants. Cette fonction permet d’ajuster le niveau de filtrage en fonction des besoins du client afin de rendre le filtrage du spam plus agressif ou plus souple.
Un autre avantage majeur a été la facilité avec laquelle les messages mis en quarantaine peuvent être vérifiés. Spam Filter Reviews a expliqué comment les messages mis en quarantaine pouvaient être visualisés facilement depuis la console d’administration.
SpamTitan permet aux utilisateurs de voir le message HTML complet, ainsi que l’en-tête du protocole SMTP complet. Comme le souligne Spam Filter Reviews, la possibilité d’afficher le corps complet d’un message capturé est un gain de temps précieux qui n’est pas une fonctionnalité présente dans de nombreuses solutions de filtrage du spam.
En résumé, les évaluateurs du Filtre anti-spam ont déclaré :
« Dans l’ensemble, SpamTitan est une plate-forme très stable et propre avec de nombreuses fonctionnalités supplémentaires qui rendent la vie de l’administrateur beaucoup plus facile à gérer les attentes des utilisateurs », expliquant également : « Nous pensons que le système SpamTitan est extrêmement sous-estimé car il est propre, précis et fonctionnel, les fonctionnalités complètes dépassent et dépassent certainement certains des produits les plus connus sur le marché actuellement ».
Contrairement à la plupart des attaques de ransomware, qui se produisent via des emails de phishing ou des kits d’exploitation, les attaques de ransomware SMBv1 se produisent à distance et ne requièrent aucune interaction de l’utilisateur.
Ces attaques exploitent une vulnérabilité du protocole Windows Server Message Block Protocol (SMB). Il s’agit d’un protocole de communication généralement utilisé pour partager les imprimantes et autres périphériques réseau. SMB fonctionne dans la couche application et est généralement utilisé sur les ports TCP/IP 445 et 139.
Généralités
Depuis sa création, l’une des principales caractéristiques des systèmes d’exploitation Windows est le transfert de fichiers. De nouvelles mises à jour ont été publiées, ce qui a permis à la marque de définir de nouvelles options pour exécuter le protocole SMB au sein des réseaux d’entreprise.
SMB est l’un des protocoles les plus prisés et les plus pratiques pour effectuer des transferts de fichiers en raison de ses nombreuses fonctionnalités. Avec le développement des nouvelles technologies, ce protocole a été mainte fois mis à jour, car les développeurs de Microsoft ont découvert des failles de sécurité qui risquaient de mettre en danger l’intégrité du réseau et des informations sensibles qui y sont hébergées.
Le protocole SMB a été lancé depuis plus d’une vingtaine d’années, à commencer par la première version (SMB v1), mais la marque dispose actuellement de la version SMB v3 qui offre une sécurité plus élevée.
Il convient de préciser qu’à l’heure actuelle, il existe des versions antérieures de Windows, ainsi que d’autres applications fonctionnant sous Android et Linux et qui ne sont pas compatibles avec SMB v2 et SMB v3. Dans ce cas, il faudra activer temporairement le protocole SMB1 pour transférer des fichiers (plus tard, nous allons vous expliquer comment l’activer de façon simple).
Qu’est-ce que le SMBv1 ?
SMBv1, ou simplement SMB1, est la première version du protocole de réseau de partage de fichiers qui est utilisé quotidiennement par presque toutes les entreprises.
Vous rappelez-vous de l’époque où vous deviez utiliser des ordinateurs avec le système d’exploitation Windows et où vous aviez deviez utiliser un lecteur « X » ou un lecteur « Z » pour stocker vos fichiers sur le réseau ?
Si c’est le cas, vous devriez donc savoir qu’à chaque fois que vous vouliez déplacer des fichiers entre un « lecteur réseau » et votre ordinateur local, vous deviez utiliser le SMB.
Au fil des ans, Windows a développé plusieurs versions du protocole SMB. La plus répandue étant SMB2 et SMB3.
À noter que la version SMB1 a été développée depuis une trentaine d’années. Beaucoup d’entreprises de nos jours n’existaient même pas à l’époque.
C’est pour cette raison que le protocole SMB1 est considéré comme un logiciel des années 80, où le monde était sans cybercriminels et où le volume des données n’était pas encore important. En outre, l’utilisation des ordinateurs n’était pas encore universelle.
En mars 2017, Microsoft a publié un correctif pour les vulnérabilités du protocole SMBv1, mais de nombreuses entreprises et de nombreux utilisateurs particuliers ne l’ont pas encore appliqué.
Pourtant, si vos systèmes ne sont pas tenus à jour, les pirates peuvent exploiter certaines vulnérabilités pour diffuser des malwares et des ransomwares.
Peut-on accéder aux fichiers sur les périphériques réseau en utilisant SMB v1 sous Windows 10 ?
SMB est un protocole de partage de fichiers en réseau inclus dans Windows 10. Il permet de lire et d’écrire des fichiers, ou encore d’effectuer d’autres demandes de service sur des appareils connectés à un réseau. D’une manière générale, vous pouvez utiliser SMB pour vous connecter à des appareils qui ne fonctionnent pas sous Windows, comme un routeur disposant des capacités de partage de fichiers, un « Network-Attached Storage » ou d’autres appareils fonctionnant sous Linux.
Bien que SMB soit désormais disponible en trois versions majeures, il est possible que certains de vos appareils fonctionnent encore avec la version originale, c’est-à-dire SMB v1, qui est ancienne et peu sûre.
Windows 10 n’installe plus ce protocole par défaut depuis 2018. Lorsque vous voulez accéder à vos fichiers en utilisant ce protocole, vous obtiendrez donc un message d’erreur du type « Erreur non spécifiée 0x80004005 », « Le nom de réseau spécifié n’est plus disponible », ou bien « Vous ne pouvez pas vous connecter au partage de fichiers, car il n’est pas sécurisé ».
Si vous ne pouvez plus accéder à certains fichiers, cela signifie que votre appareil utilise encore le protocole SMB v1, qui n’est plus pris en charge par Windows 10. Toutefois, vous pouvez toujours y accéder temporairement et désactiver le protocole pour protéger votre ordinateur.
Pour ce faire, vous pouvez récupérer vos fichiers en suivant les étapes suivantes :
Ouvrir le panneau de contrôle.
Cliquez sur « Programmes ».
Cliquez sur « Activer ou désactiver les fonctionnalités de Windows ».
Activez « SMB 1.0/CIFS File Sharing Support ».
Cochez « SMB 1.0/CIFS Client ».
Cliquez « OK ».
Cliquez « Redémarrer maintenant ».
Ceci étant fait, vous pourrez à nouveau voir vos fichiers et vous connecter à des périphériques réseau qui fonctionnent encore sous l’ancien protocole SMB v1 sur votre réseau local à partir d’un ordinateur utilisant Windows 10.
Bien entendu, ces étapes ne doivent être utilisées qu’en guise de solution temporaire afin de vous permettre de retrouver l’accès à vos fichiers stockés sur un réseau.
Une faille critique dans le protocole SMBv1 avait été identifiée
Une faille critique dans le SMBv1 avait été identifiée et corrigée par Microsoft lors d’une mise à jour de sécurité en date du 14 mars 2017 (MS17-010).
À l’époque, Microsoft avait prévenu que l’exploitation de cette faille pouvait permettre l’exécution de code à distance sur un système vulnérable.
Un programme appelé EternalBlue aurait été utilisé pendant quatre ans par le groupe informatique de cyberespionnage de haut niveau, Equation Group, lié à la National Security Agency (NSA) avant que la vulnérabilité ne soit éliminée.
Des hackers ont utilisé Eternalblue à des fins malveillantes
Ce programme et plusieurs autres ont été dérobés par un groupe de pirates appelé Shadow Brokers. Ces développeurs de malwares l’ont ensuite utilisé pour attaquer à distance les systèmes vulnérables, notamment les systèmes d’exploitation plus anciens comme Windows 7 et Windows Server 2012. Mais sachez que d’autres systèmes sont également vulnérables, à l’exemple de Windows Server 2016.
La mise à jour de sécurité MS17-010 permet désormais de corriger ces failles. Dans la foulée, même si le système d’exploitation n’est plus très utilisé de nos jours, Microsoft a publié un correctif pour mieux le sécuriser.
Les attaques de ransomware de SMB v1 les plus connus se sont produites en mai et impliquaient WannaCry, un malware qui a exploité la vulnérabilité SMB v1 et a utilisé le port TCP 445 pour se propager. Ces attaques de ransomware SMB v1 ont été menées dans le monde entier, bien qu’heureusement un commutateur de mise à mort ou « kill switch » ait été trouvé. Le kill switch avait permis de désactiver le ransomware et d’empêcher le chiffrement des fichiers.
Attaque WannaCry
En mai 2017, WannaCry a utilisé le kit d’exploitation afin de cibler les systèmes Windows, en chiffrant les données et en exigeant le paiement d’une rançon en Bitcoin.
Le ransomware se propageait comme un ver informatique, latéralement sur les ordinateurs et en exploitant la vulnérabilité SMB de Windows.
Le kit d’exploitation a permis aux pirates d’infecter environ 200 000 ordinateurs répartis dans 150 pays.
Selon des recherches récentes, environ 1,7 millions de dispositifs connectés à Internet demeurent encore vulnérables à l’exploitation de SMB v1.
Bien entendu, Microsoft a déjà publié un correctif pour remédier à cette vulnérabilité. Mais il y a également un autre risque : même lorsque des correctifs ont été appliqués, certains dispositifs de sécurité peuvent être oubliés.
Malgré le succès contre WannaCry, les attaques SMB v1 ne cessent de continuer. NotPetya, qui est un wiper destructeur, plutôt qu’un ransomware, a par exemple utilisé le programme EternalBlue. Les développeurs de malwares l’ont bel et bien intégré dans leur arsenal pour attaquer les systèmes vulnérables.
Attaque Petya
Petya est un ransomware qui a utilisé l’exploit EternalBlue pour faire des ravages. Il a été lancé au début de 2016, avant WannaCry. Au départ, le ransomware n’était pas encore très connu et ses dégâts étaient encore moindres.
Petya s’est répandue via une pièce jointe malveillante à un email que les pirates envoyaient à leurs victimes. Il peut donc être considéré comme un ransomware classique, dont le but est d’infecter votre ordinateur et vos fichiers dans le but de les chiffrer, et vous devez payer une rançon pour obtenir la clé de déchiffrement.
En fait, il ne faut jamais payer la rançon !
Au lieu de chiffrer les fichiers un par un (comme le font la plupart des malwares), Petya empêche l’utilisateur d’accéder à l’intégralité de son disque dur. Pour ce faire, il chiffre la table de fichiers maîtres (MFT) pour que le système de fichiers devienne illisible et pour que le système d’exploitation ne démarre plus.
D’autres versions de Petya peuvent également chiffrer à la fois les fichiers et la table de fichiers principale (MFT). Dans tous les cas, le résultat reste le même. Une fois qu’un appareil est infecté par Petya, l’utilisateur ne pourra plus accéder à ses fichiers jusqu’à ce qu’il paye la rançon.
Bien que la plupart des entreprises aient maintenant appliqué le correctif MS17-010, certaines d’entre elles utilisent encore des systèmes d’exploitation obsolètes. Ceux-ci restent donc vulnérables aux attaques de ransomware de SMB v1.
D’autres développeurs de malwares peuvent par exemple utiliser un kit d’exploitation pour livrer des chevaux de Troie bancaires.
Quelles solutions adopter contre les attaques de ransomware ?
Les attaques cybercriminelles via WannaCry et Petya se sont propagées en utilisant des failles dans l’ancien protocole SMB v1. Pourtant, Microsoft active toujours par défaut cette fonctionnalité pour certaines versions de Windows.
Si vous ne voulez pas être la prochaine victime d’un kit d’exploitation diffusé par des pirates, vous devriez donc vous assurer que le protocole SMB v1 est désactivé sur votre dispositif, que vous utilisiez Windows 7, 8 ou 10.
Dans ce qui suit, nous allons vous montrer comment désactiver SMB v1 sur ces trois systèmes d’exploitation.
Désactiver SMB v1 sous Windows 8 ou 10
Si vous utilisez Windows 8 ou 10, Microsoft désactivera automatiquement SMB v1 à partir de la mise à jour « Fall Creators ».
Pour ce faire, voici les étapes à suivre :
Cliquez sur « Démarrer » puis sur « Panneau de configuration »,
Cliquez sur « Programmes »,
Activez ou désactivez les fonctionnalités de Windows.
Pour faire simple, vous pouvez aussi ouvrir le menu Démarrer, cliquer sur « Fonctionnalités » dans la boîte de recherche, et cliquer sur le raccourci « Activer ou désactiver les fonctionnalités de Windows ».
Ensuite, faites défiler la liste et trouvez l’option « SMB 1.0/CIFS File Sharing Support ».
Pour finir, vous devez décocher la case correspondant à cette option pour désactiver SMB v1, puis valider en cliquant sur « OK ».
Vous serez invité à redémarrer votre PC après avoir effectué ce changement.
Désactiver SMB v1 sous Windows 7
Dans ce cas, vous allez devoir modifier le registre.
D’abord, vous devez savoir que l’éditeur de registre est un outil puissant qui vous permet de faire des modifications sous Windows. Par contre, si vous l’utilisez de manière abusive, cela peut rendre votre système inopérant ou instable.
En effet, modifier le registre, c’est comme pirater votre ordinateur. Prenez donc soin de faire une sauvegarde avant d’y apporter des modifications.
Voyons maintenant comment pouvez-vous désactiver SMB v1 sous Windows 7.
Pour commencer, vous allez ouvrir l’éditeur de registre en cliquant sur « Démarrer » et en tapant sur la case de recherche « regedit ».
Ensuite, vous appuyez sur la touche « Entrée » pour ouvrir l’éditeur de registre afin de lui donner la permission d’apporter des modifications à votre ordinateur.
Dans l’éditeur de registre, pointez votre curseur sur la barre latérale gauche jusqu’à ce que vous arriviez à la touche suivante :
Cliquez sur « Paramètres » pour créer une nouvelle valeur dans la sous-clé. Choisissez ensuite l’option « Nouveau », puis entrez le code « Valeur DWORD (32 bits). »
Nommez la nouvelle valeur SMB1.
Ceci étant fait, le DWORD sera créé avec une valeur « 0 ». Cela signifie que vous avez désactivé SMB v1.
De cette manière, vous n’avez plus besoin de modifier la valeur une fois que vous l’avez créée.
Autre solution : appliquer les mises à jour
Pour éviter les attaques de ransomwares SMB v1, les entreprises devraient s’assurer que leurs systèmes sont mis à jour. Elles devraient également effectuer un scan pour que tous les périphériques réseau soient à jour. Ces mesures peuvent empêcher l’installation de ransomwares ou de malwares.
Il existe plusieurs outils disponibles dans le commerce qui peuvent être utilisés pour rechercher les périphériques réseau non corrigés, y compris l’outil gratuit d’ESET que vous trouverez ici. Il est également recommandé de bloquer le trafic associé à EternalBlue via votre système IDS ou votre pare-feu.
Pour une raison ou une autre, si vous utilisez encore Windows XP, vous pouvez au moins empêcher l’exploitation de la faille SMB avec ce patch. Pour tous les autres systèmes, le patch MS17-010 se trouve ici.
Comment mettre à jour votre système avec MS17-010 ?
Pour éviter l’exploitation du protocole SMB v1, il est recommandé d’installer la mise à jour de sécurité MS17-010 qui a été publié par Microsoft. Ainsi, vous pourrez mieux protéger votre ordinateur contre différents types d’attaques comme celle du ransomware WannaCry.
Pour Installer la mise à jour de sécurité MS17-010, vous devez suivre les étapes ci-après en fonction du système d’exploitation Microsoft que vous utilisez.
Windows 7
D’abord, vous devez déconnecter votre ordinateur du réseau, en désactivant le Wi-Fi ou en débranchant le câble réseau.
Ensuite, redémarrez votre ordinateur. Si un kit d’exploitation a déjà infecté l’appareil et si vous ne le déconnectez pas du réseau, cela peut empêcher son redémarrage.
Après cette étape, vous pouvez exécuter le programme d’installation de MS17-010 avant de redémarrer une nouvelle fois votre ordinateur.
Une fois le processus d’installation terminée, vous pouvez reconnecter votre ordinateur au réseau.
Bon à savoir : il est possible que la procédure de dépannage ci-dessus ne fonctionne pas. Dans ce cas, il existe une alternative :
Redémarrez votre ordinateur.
Accédez aux mises à jour Windows en allant cliquant sur :
Démarrer
Panneau de configuration
Système et sécurité
Windows Update
Rechercher les mises à jour
Installer toutes les mises à jour disponibles.
Windows 8
Comme pour Windows 7, avant d’installer la mise à jour sur Windows 7, il faut télécharger MS17-010 et l’enregistrer sur votre bureau.
Ensuite, vous devez :
Déconnecter votre ordinateur du réseau (débranchez le Wi-Fi ou le réseau filaire).
Redémarrer votre ordinateur.
Si un kit d’exploitation a déjà infecté votre ordinateur et si vous ne déconnectez pas l’appareil du réseau, cela peut empêcher son redémarrage.
Une fois que votre ordinateur a redémarré :
Exécutez la mise à jour MS17-010.
Redémarrez une nouvelle fois l’ordinateur.
Reconnectez l’appareil au réseau.
Bon à savoir : il est possible que la procédure de dépannage ci-dessus ne fonctionne pas.
Dans ce cas, sachez qu’il existe une solution alternative :
Redémarrez votre ordinateur
Accédez aux mises à jour Windows en cliquant sur :
Démarrer
Panneau de configuration
Système et sécurité
Windows Update
Rechercher les mises à jour
Installer toutes les mises à jour disponibles.
Windows 10
Pour installer MS17-010 sur Windows 10, il suffit de :
Redémarrer votre ordinateur,
Cliquer sur « Démarrer »,
Sélectionner « Paramètres »,
Cliquer sur « Mise à jour et sécurité »,
Allez à « Windows Update »,
Rechercher les mises à jour
Installer toutes les mises à jour disponibles.
En cas de problèmes de mise à jour, vous avez encore une option, à savoir d’utiliser l’Assistant de mise à jour Windows 10.
Les antivirus sont-ils efficaces contre l’exploitation de la faille SMB v1 ?
Tous les fournisseurs de solutions antivirus prétendent être en mesure de protéger les utilisateurs contre EternalBlue et WannaCry. Mais en réalité, ils ne développent que des antivirus pouvant contrer seulement la charge utile. Autrement dit, les utilisateurs ne sont pas entièrement protégés contre les codes malveillants qui fonctionnent en mode kernel,
C’est pour cette raison que TitanHQ a développé des solutions utilisant les technologies de dernière génération et d’introspection de la mémoire pour protéger les fournisseurs de services gérés et leurs entreprises contre les ransomwares le plus agressifs comme WannaCry.
TitanHQ fait appel aux solutions Bitdefender GravityZone et Bitdefender Hypervisor pour vous protéger des vagues d’attaques, en détectant et interceptant à la fois le mécanisme d’entrée des éventuelles variantes du ransomware WannaCry.
Le principal moteur anti-virus de SpamTitan – une couche de sécurité efficace de TitanHQ – est fourni par Bitdefender. Cette marque développe l’un des moteurs antivirus les plus primés pour la protection exceptionnelle qu’elle fournit contre les ransomwares, les malwares et les virus.
Cette couche de sécurité est combinée avec un moteur antivirus secondaire : ClamAV. Il s’agit d’une couche de sécurité supplémentaire et efficace contre les malwares, les virus, les chevaux de Troie, les malware et les ransomwares diffusés via la messagerie électronique.
Des vulnérabilités ont déjà existé. Elles existent encore et continueront d’exister. Par ailleurs, les failles de sécurité seront encore exploitées par les pirates informatiques avant la publication des mises à jour. Pendant cette période, vous n’aurez donc aucun moyen de vous protéger contre les nouveaux kits d’exploitations.
Seuls des antivirus fiables pourront vous protéger contre le téléchargement de malwares et réagir à l’apparition de nouveaux fichiers dans votre système d’exploitation.
L’essentiel est donc de garder votre antivirus activé.
À propos de TitanHQ
TitanHQ est un fournisseur de services de sécurité web basée dans le cloud. Selon la marque, le troisième trimestre 2019 a été la période pendant laquelle elle a connu une croissance phénoménale, et ce, depuis 25 ans. Cette croissance est le fruit de l’augmentation de la demande de ses solutions de sécurité : SpamTitan et WebTitan.
Plus de 2 200 fournisseurs de services gérés travaillent actuellement avec TitanHQ et utilisent sa plate-forme. La société irlandaise fournit également des solutions de sécurité réseau, incluant la sécurité des emails et le filtrage DNS, ainsi qu’un système d’archivage des emails, ArcTitan.
La marque s’engage à fournir des produits efficaces et des ressources techniques supplémentaires, des systèmes de tarification flexibles et des marges concurrentielles qui répondent aux besoins des fournisseurs de services gérés. Ses clients peuvent bénéficier d’un important support de vente et de marketing, avec l’accompagnement des ingénieurs, des gestionnaires de comptes et des équipes de soutien dédiés.
Vous voulez savoir comment vous protéger des attaques contre SMB v1 et contre les menaces de malwares et de ransomwares ? Contactez-nous dès aujourd’hui.
Les honeypots présentent de nombreux avantages, en particulier le fait qu’ils peuvent améliorer considérablement votre sécurité informatique. Toutes les organisations devraient envisager d’en mettre en place un et d’évaluer ses avantages et inconvénients.
Cet article tente de détailler les avantages et inconvénients des honeypots afin que vous puissiez décider si un honeypot est approprié ou non à votre organisation.
Qu’est-ce qu’un honeypot et pourquoi l’utilise-t-on ?
Un honeypot est une couche de sécurité supplémentaire qui peut être utilisée avec un pare-feu et d’autres solutions de sécurité informatique. Il vous permet de mieux protéger votre réseau contre les pirates.
Les honeypots se présentent comme un maillon faible de votre système informatique dans le but de détourner l’attention des cybercriminels. Plutôt que de concentrer leurs efforts sur l’attaque d’un autre système qui pourrait causer des dommages importants, les pirates vont donc être attirés par les honeypots.
Les pirates pourront s’attaquer à ce semblant de point d’entrée facile dans un réseau, sans qu’ils puissent causer des dégâts. Mais cela permet aussi aux équipes informatiques de recueillir des informations précieuses sur eux lorsqu’ils tentent d’accéder à votre réseau.
Contrairement à un pare-feu, conçu uniquement pour empêcher les attaquants externes d’entrer, un honeypot peut également identifier les menaces et attaques internes. Et sachez que de nombreuses entreprises ne sont pas conscientes de l’existence de ces attaques de l’intérieur.
Bref, un honeypot offre une visibilité accrue et permet aux équipes de sécurité informatique pour qu’ils puissent se défendre contre les attaques que le pare-feu ne parvient pas à bloquer.
Mais les honeypots offrent également de nombreux autres avantages. C’est pour cette raison que de nombreuses organisations les utilisent actuellement en guise de protection supplémentaire contre les attaques internes et externes.
Les honeypots présentent de nombreux avantages !
Un honeypot est un système conçu dans le but unique d’être attaqué. Il s’agit d’un système qui peut être exploité, piraté, infecté par des malwares et abusé par un tiers malintentionné. Vous allez peut-être vous demander pourquoi vous devriez en adopter un. Alors, voici quelques explications.
Vous vous demandez pourquoi vous devriez consacrer votre temps, vos efforts et votre argent à mettre en place un système qui attirera les pirates informatiques ? Pourquoi devriez-vous délibérément créer un système avec des défenses affaiblies et qui seront sans aucun doute exploitées par des pirates informatiques ? Pour quelles raisons devriez-vous attirer leur intérêt ?
Il y a trois bonnes raisons à cela.
Premièrement, un honeypot fait perdre le temps d’un hacker. De cette manière, il aura moins de temps pour attaquer un système sécurisé, car s’il réussit, les conséquences seront importantes pour votre organisation.
Deuxièmement, en créant un honeypot, vous pourrez voir qui sont les pirates qui tentent de vous attaquer et quelles sont les méthodes qu’ils utilisent. Grâce à cela, vous aurez une bonne idée des types d’attaques utilisées, et donc des défenses que vous devrez installer pour protéger votre parc informatique et vos données.
Troisièmement, une attaque sur un honeypot est susceptible de frustrer suffisamment un cybercriminel et de l’empêcher de pirater vos systèmes informatiques.
Les chercheurs en matière de sécurité informatique sont bien conscients des avantages des honeypots. Ils ont joué un rôle essentiel dans l’étude du comportement des pirates. Ils peuvent également être utilisés pour déterminer comment les systèmes peuvent-ils être attaqués et comment les protéger efficacement.
La question n’est donc pas de savoir si vous devez installer un honeypot ou non, mais plutôt de savoir pourquoi vous ne l’avez pas encore fait.
Il existe différents types de honeypots qui peuvent être mis en œuvre. Vous pouvez par exemple configurer un système factice avec une topologie réseau complète si vous le souhaitez. Vous pouvez également opter pour de nombreux hôtes différents, et inclure une large gamme de services, voire différents systèmes d’exploitation.
Bref, vous pouvez tout mettre en œuvre pour permettre à votre honeypot de paraître comme une faille authentique et inciter ainsi les pirates à l’attaquer.
Dans cet article, nous allons nous focaliser sur deux des honeypots les plus populaires : Honeyd et Kippo.
Le honeypot Honeyd
Honeyd est un petit démon qui peut être utilisé pour créer un réseau contenant de nombreux hôtes virtuels.
Chacun de ces hôtes peut être configuré différemment. Vous pouvez alors exécuter une gamme de services arbitraires sur chacun d’eux et les configurer pour qu’ils semblent utiliser des systèmes d’exploitation différents.
Pour la simulation réseau, vous pouvez créer des dizaines de milliers d’hôtes différents sur votre réseau local en utilisant Honeyd si vous le souhaitez. Enfin, ce honeypot peut servir pour cacher votre système réel, identifier les menaces, évaluer les risques et améliorer votre sécurité.
Avantages de Honeyd
Simuler plusieurs hôtes virtuels simultanément
Identifier les cyberattaques et attribuer aux pirates une empreinte digitale passive
Simuler de nombreuses piles TCP/IP
Simuler des topologies de réseau
Configurer de vrais serveurs FTP et HTTP, et même des applications UNIX sous des adresses IP virtuelles.
Le point sur Honeyd
Nous avons invité l’administrateur système Arona Ndiaye pour nous faire part de ses commentaires sur le honeypot Honeyd pour connaître les avis d’un administrateur Linux.
Elle utilise principalement les systèmes d’exploitation Linux et *nix, et a essayé Honeyd pour se faire une idée de son fonctionnement, ses possibilités et ses perspectives. Arona Ndiaye a installé le honeypot sur Kali Linux, un processus simple nécessitant une seule ligne à ajouter au fichier sources .list, exécutant apt-get update & apt-get install Honeyd.
Quelques ajustements ont été nécessaires pour s’assurer que le pare-feu eût les permissions correctes ; ainsi que quelques modifications de texte simples dans un fichier de configuration. C’était tout ce qu’il fallait.
Lorsqu’Arona Ndiaye a essayé d’attaquer le système, elle a été particulièrement impressionnée par les informations qui pouvaient être recueillies sur les attaques et les scans. Les méthodes d’attaque ont été enregistrées dans les moindres détails, y compris la manière utilisée pour tromper le NMAP.
Son verdict ? « Très impressionnant ».
Le honeypot Kippo
Nous avons aussi mis Kippo à l’épreuve. Cet autre honeypot populaire sert à créer un serveur SSH factice qui permet aux attaquants de mener des attaques par force brute. Le honeypot peut être configuré avec un mot de passe root particulièrement facile à deviner, telle qu’une simple chaîne de chiffres du genre 123456.
Il est également possible de configurer Kippo avec un système de fichiers complet ou, mieux encore, cloner un vrai système pour plus de réalisme. L’objectif est de convaincre le pirate qu’il attaque un système réel. Une fois que le pirate réussit à se connecter, toutes ces actions seront enregistrées, ce qui permet de voir exactement ce qui se passe quand le système est attaqué.
Ce qui rend d’autant plus intéressant l’honeypot Kippo, c’est le niveau de détail du faux système. En réalité, vous pouvez faire perdre un temps considérable à un pirate informatique et obtenir une idée précise de ce qu’il essaie de réaliser, des fichiers qu’il télécharge, des malwares et des exploits kits qu’il installe ou encore de l’endroit où il les met. Vous pouvez ensuite utiliser une machine virtuelle pour analyser l’attaque en détail quand vous le souhaitez.
Mettre en place des combo-honeypots pour créer un réseau très élaboré
Kippo et Honeyd sont des honeypots open source. Il est donc possible de les adapter à vos propres besoins et exigences, voire les combiner pour créer des réseaux extrêmement élaborés, en spécifiant des contenus de fichiers spécifiques et en créant de faux systèmes qui semblent parfaitement réels. C’est à vous de décider du temps que vous y consacrerez et du niveau de détail que vous souhaitez y ajouter.
Si vous voulez savoir exactement comment les systèmes sont attaqués pour mieux préparer votre système réel, Kippo et Honeyd sont tous deux de très bons outils que vous pouvez utiliser.
L’ajout d’un honeypot peut vous aider à améliorer votre sécurité informatique, mais ce n’est pas suffisant. Malheureusement, pour bénéficier des avantages des honeypots, vous devrez investir plus de temps dans la mise en place d’un réseau réaliste et dans sa mise à jour.
Pour qu’il soit efficace, vous devez donc le considérer et le traiter comme les autres machines ou systèmes que vous utilisez. Il convient également de vous assurer qu’il est isolé. Autrement dit, le faux système qui est facile à attaquer ne devrait pas donner à un hacker un point d’entrée facile dans votre système réel.
Résumé : principaux avantages des honeypots
Ce qu’il faut retenir des avantages des honeypots, c’est qu’ils vous permettent :
D’observer les pirates en action et connaître leur comportement
De recueillir des renseignements sur les vecteurs d’attaque, les malwares et les exploits kits. Vous pouvez ensuite utiliser ces informations pour former votre personnel informatique
De créer des profils de pirates qui essaient d’accéder à vos systèmes
D’améliorer votre sécurité informatique
De gaspiller le temps et les ressources des cybercriminels
De démontrer que votre organisation est susceptible d’être attaquée et que les données sont précieuses lorsque vous essayez d’obtenir des augmentations budgétaires pour la sécurité informatique.
Inconvénients des honeypots
Nous avons parlé des avantages des honeypots, mais y a-t-il d’autres inconvénients que le besoin de temps pour leur mise en place ?
Aucun système n’est parfait et les honeypots présentent des inconvénients notables. L’un des principaux problèmes est que le système est conçu pour être attaqué. Lorsque les attaques auront vraiment lieu et que le honeypot sera accessible aux pirates, ceux-ci pourront donc s’en servir comme rampe de lancement pour d’autres attaques. Ces attaques pourraient être menées au sein de votre organisation ou dans une autre entreprise, auquel cas votre responsabilité juridique pourrait être engagée.
Au cas où votre honeypot serait utilisé dans une attaque contre une autre entreprise, vous pourriez être poursuivi en justice. Le niveau de risque que cela puisse introduire dépendra bien entendu du honeypot, car plus il est complexe, plus le risque est élevé.
Ensuite, il ne faut pas oublier les ressources dont vous aurez besoin pour mettre en place le système. Si vous voulez créer un système réaliste qui trompera les pirates, il doit ressembler et se comporter exactement comme le système réel qu’il doit imiter.
Désormais, vous pouvez trouver des options gratuites qui vous permettront d’installer un honeypot à moindre coût, mais cela va toujours nécessiter d’autres ressources, notamment celles liées à son entretien et sa surveillance. Et sachez que le coût de ces ressources peut être non négligeable pour certaines entreprises.
Cela dit, il existe un autre moyen de réduire au minimum les couts liés à l’exploitation et l’entretien des honeypots. Dans de nombreux cas, ils peuvent être installés et laissés en tant que tel sur du vieux matériel existant isolé. Il n’y a donc pas besoin de les surveiller, car des alertes automatiques seront générées lorsqu’une attaque est en cours. Ainsi, toute donnée générée sera considérée comme une attaque réelle.
Gardez toujours à l’esprit que les honeypots peuvent ajouter de la complexité à votre réseau. Plus votre réseau est complexe, plus il sera difficile de le sécuriser. En outre, le honeypot pourrait introduire des vulnérabilités qui pourraient être exploitées par les pirates cherchant à accéder à vos vrais systèmes et données.
Pour finir, il convient de noter que le honeypot ne peut vous fournir des renseignements sur une attaque en cours que s’il est directement concerné. Si l’attaque implique d’autres systèmes et qu’il n’est pas concerné, par exemple s’il a été identifié comme tel et évité par les pirates informatiques, il est donc nécessaire de compter sur d’autres mécanismes pour identifier et contrer l’attaque.
La question de savoir si les avantages des honeypots l’emportent sur les inconvénients dépendra de la nature de votre entreprise, de la probabilité que des tentatives d’attaque de votre réseau se produisent et des ressources dont vous disposez pour la sécurité informatique.
Dans certains cas, il est plus judicieux de dépenser votre argent dans d’autres solutions de sécurité. Dans la foulée, votre équipe informatique pourra économiser le temps qu’elle aurait dû allouer à la surveillance des autres systèmes, à la résolution des vulnérabilités et à la mise à jour de vos logiciels.
Cette semaine, la plate-forme d’examen de logiciels d’entreprise G2 Crowd a lancé sa Winter Secure Email Gateway Grid℠, qui classe et compare plus de 97 solutions de filtrage de courrier électronique de pointe.
TitanHQ est ravi d’annoncer que la plateforme mondiale d’évaluation de logiciels par les utilisateurs, G2 Crowd, a nommé SpamTitan « High Performer » dans la catégorie Winter Secure Email Gateway.
Selon G2 Crowd, « les High Performers sont ceux qui fournissent des produits très bien notés par leurs utilisateurs ». Grâce aux commentaires toujours positifs et aux scores de satisfaction que ces derniers ont attribués à SpamTitan, le produit a remporté le prix High Performer. Ceci confirme une fois de plus qu’il s’agit de l’une des solutions de sécurité de messagerie professionnelle les mieux reconnues sur le marché.
SpamTitan a été classé en tant que High Performer grâce aux commentaires des utilisateurs et à leurs scores élevés de satisfaction. Parmi les 44 évaluations indépendantes de la plateforme, publiées sur G2 Crowd jusqu’en 2018, 93% des utilisateurs lui ont attribué une note de 5 étoiles sur 5 et une excellente note de 4 étoiles pour les 7% restants.
Visitez la page de SpamTitan sur G2Crowd.com pour voir tous nos commentaires et soumettre un des vôtres !
Vous souhaitez en savoir plus sur SpamTitan ? Contactez-nous !
Planifiez une démonstration dès aujourd’hui, ou appelez-nous au +1 813 304 2544 pour discuter avec l’un de nos experts.
À propos de G2 Crowd
G2 Crowd fournit des évaluations en temps réel et impartiales des utilisateurs pour aider les acheteurs à évaluer objectivement ce qui est le mieux pour leur entreprise.
Leur mission est de fournir aux professionnels du monde des affaires les renseignements dont ils ont besoin pour prendre confiance dans leurs décisions d’achat et réussir davantage dans leur travail.
La société de cybersécurité cloud Z Services a élargi son partenariat avec TitanHQ pour fournir des services supplémentaires à sa clientèle.
Z Services va désormais combiner les solutions d’archivage et de filtrage web de TitanHQ dans son offre de services « MERALE » dédiée aux PME.
Le service MERALE est spécialement conçu pour répondre aux besoins croissants des PME, notamment d’assurer une protection efficace contre les menaces sur Internet, d’améliorer leur productivité et de se conformer au modèle de protection en tant que service (As-a-Service).
Cette extension de service fait suite au premier lancement réussi de l’antispam en mode SaaS de Z Services, optimisé par la technologie de filtrage des spams de TitanHQ.
MERALE SaaS inclut l’archivage dans le cloud des courriers électroniques, des rapports, des documents en ligne liés à la productivité de l’entreprise. La solution inclut également la cybersécurité en tant que service. Sans oublier la conformité et la protection de MERALE qui sont offertes dans toute la région MENA en tant que service uniquement par les fournisseurs d’accès Internet (FAI).
Nidal Taha, Président de Z Services pour le Moyen-Orient et l’Afrique du Nord, a déclaré :
« Le segment des PME est souvent mal desservi lorsqu’elles recherchent des modèles technologiques répondant à leurs besoins.
Comme la cybersécurité est de plus en plus l’une des préoccupations commerciales majeures dans toute la région, il devient donc nécessaire de faire de la sécurité une question opérationnelle plutôt qu’une dépense d’équipement. D’où la nécessité d’un changement de paradigme en ce qui concerne la fourniture de solutions de sécurité plus efficaces.
Il faut aller du modèle d’investissement et de fourniture traditionnel vers un modèle SaaS plus agile, en passant par le principal fournisseur de connectivité : les FAI.
Nous croyons que MERALE changera la donne sur la manière dont les petites et moyennes entreprises de la région assureront leur protection.
Et comme il s’agit d’une offre de service par abonnement, cette solution élimine le besoin de lourds investissements et d’engagements sur le long terme. »
Les équipes TitanHQ et Z Services
Ronan Kavanagh, PDG de TitanHQ, a ajouté :
« Nous sommes ravis de poursuivre notre partenariat fructueux avec Z Services et de partager leur vision pour servir le segment des PME avec des solutions de sécurité SaaS de pointe. Grace à ce partenariat, Z Services renforce sa position de leader en tant que fournisseur innovant de solutions de cybersécurité dans le Cloud au Moyen-Orient et en Afrique du Nord. »
