Suite à une hausse notable depuis 2020, les attaques de logiciels malveillants ont explosé en 2021 pour atteindre un nombre stupéfiant. Il y a en effet eu davantage de campagnes de piratage au cours des six premiers mois de 2021 que dans toute l’année 2020, d’après une étude.
Les opérations de « Ransomware-as-a-service » (abrégé RaaS : c’est un service commercial fournissant à toute personne, prête à y mettre le prix, un service complet d’outils de piratage, permettant même aux débutants de s’y essayer) actives tout au long de 2020 ont augmenté le nombre de leurs attaques, et bien que certains Raas aient été fermés, on ne constate aucune diminution du nombre des cyber-attaques. Il y a même une nouvelle cyber-menace contre laquelle il va falloir se protéger : le FBI a lancé une alerte à propos d’un nouveau groupe de cyber-pirates opérant par logiciel malveillant particulièrement actif aux États-Unis. Le groupe, connu sous le nom de « OnePercent », a utilisé son système pirate pour attaquer les entreprises américaines depuis au moins novembre 2020, d’après une récente alerte éclair du FBI. Ce groupe est connu pour son utilisation frauduleuse de l’outil de tests d’intrusion légal Cobalt Strike dans ses attaques et l’exfiltration des données confidentielles de ses victimes avant d’utiliser son logiciel malveillant OnePercent pour crypter les fichiers ainsi obtenus. Une demande de rançon leur est alors envoyée contre la clef permettant de décrypter leurs fichiers volés et d’empêcher leur publication sur les sites de divulgation de données du groupe sur Tor ainsi que sur les sites internet standards accessibles à tout public.
Comme de nombreux pirates informatiques, ce groupe attaque d’abord ses victimes via le hameçonnage par email : les mails hameçons envoyés aux entreprises ciblées contiennent une pièce jointe malicieuse au format .zip avec un document Word ou Excel corrompu contenant un Cheval de Troie, qui à l’ouverture installe Cobalt Strike sur les points d’accès du réseau informatique (les « endpoints ») permettant au pirate de s’y infiltrer littéralement et de voler tout le contenu qu’il souhaite prendre à sa victime. Le groupe s’est aussi fait connaître pour son utilisation de PowerShell, Mimikatz, SharpKatz, BetterSafetyKatz, SharpSploit et Rclone pour l’exfiltration des données.
Les pirates sont réputés prendre tout leur temps pour explorer le réseau qu’ils infiltrent, ce qui leur permet d’identifier et de voler des données d’une importance cruciale. Dans les attaques rapportées au FBI, le groupe a passé jusqu’à un mois entre la compromission initiale par fichier jusqu’au déploiement du logiciel espion OnePercent. Durant cette période, un nombre considérable de données a été exfiltré. Le logiciel malveillant crypte ensuite ces fichiers avec une extension de 8 caractères choisis au hasard.
Il n’y a aujourd’hui aucune limite légale à la demande de rançon des pirates informatiques. Les victimes doivent prendre contact avec eux pour obtenir une « assistance technique » leur permettant le recouvrement de leurs fichiers et la découverte du montant qu’il leur faudra débourser pour le décryptage ainsi que la garantie que leurs données ne seront pas conservées de manière frauduleuse. Si la rançon est payée, les pirates affirment qu’ils donneront la clef de décryptage sous 48 heures. Le groupe de malfaiteurs est aussi connu pour contacter ses victimes par téléphone en utilisant une ligne factice afin de faire pression sur elles par la menace de rendre publiques leurs précieuses données volées si elles refusent de payer ; il a aussi menacé de les vendre au groupe cybercriminel Sodinokibi qui les mettra alors sur sa liste de vente aux enchères.
Puisque ce groupe de cybercriminels se sert des emails comme technique d’attaque principale, la meilleure protection consiste à empêcher ces mails d’atteindre les boîtes de réception. Cela suppose une solution de filtrage de courrier avancée comme SpamTitan. Il est également recommandé de configurer ses mails de manière à ce qu’ils émettent une alerte lorsque leur expéditeur est une personne n’appartenant pas à l’entreprise.
Il est aussi très important de suivre les meilleures recommandations pratiques de cyber-sécurité quant à la segmentation du réseau, qui permet de limiter la possibilité de transfert latéral, de vérifier les comptes utilisateurs bénéficiant des privilèges d’administrateurs et de limiter leur domaine de compétence autant que possible, ainsi que de configurer les contrôles d’accès des utilisateurs de comptes invités. Les données d’importance cruciale doivent être sauvegardées hors ligne sur disque dur externe ou autre dispositif de stockage déconnecté du réseau. Les sauvegardes doivent subir des tests de vérification permettant de s’assurer que la récupération des données est possible en cas de besoin.
Même si les pirates du logiciel malveillant OnePercent ne sont pour l’instant connus que pour leur utilisation des emails hameçons comme vecteur d’attaque, il est tout à fait possible qu’ils adoptent d’autres stratégies dans l’avenir. Il est donc fortement recommandé de s’assurer que l’accès à distance et les ports RDP sont déconnectés si l’on ne s’en sert pas et de contrôler les connexions à ces éléments. Mieux vaut aussi mettre les ordinateurs et les logiciels à jour, installer les correctifs au plus tôt et vérifier que les mots de passe sont robustes, de préférence avec une authentification multifactorielle.
Il se passe de nombreuses choses dans le Dark Web aujourd’hui, entre la propagation des logiciels malveillants par les cybercriminels, le piratage de données informatiques et le vol de coordonnées bancaires.
Le Dark Web est un réseau crypté connectant les serveurs Tor et leurs utilisateurs, totalement séparé du réseau internet mondial connu comme le « World Wide Web ». Le nom de « Tor » est l’acronyme de « The Onion Router » (le « routage en oignon ») ; il permet à ses utilisateurs de naviguer sur internet, de chatter, d’envoyer des messages instantanés de manière anonyme. Il n’est pas intrinsèquement néfaste. Voici comment les développeurs de Tor considèrent leur création, sur la page https://www.torproject.org/ : « Tor est un logiciel gratuit et un réseau ouvert qui vous aide à vous protéger de l’analyse du trafic, une forme de surveillance réseau qui menace la liberté et la vie privée des internautes, les activités commerciales confidentielles, les relations et la sécurité nationale. »
On a enregistré une hausse de 24% des sites « onions » sur le Dark Web entre 2014 et 2015, d’après une recherche Flashpoint. L’utilisation de Tor a encore augmenté l’année dernière depuis la divulgation au public du programme de surveillance de la NSA.
Un peu d’histoire
C’est globalement une image négative que renvoie le Dark Web : en mars, une étude du CIGI a révélé que sept personnes sur dix voudraient que le Dark Web n’existe plus. La plupart des gens ont entendu parler de ce phénomène pour la première fois en 2013 quand le FBI a démantelé la « Route de la Soie » (ou « Silk Road »), le plus grand marché noir alors en ligne trafiquant des armes et de la drogue. Mais le Dark Web n’était pas à l’origine le quartier général des criminels : Tor a en effet été développé dans les années 1990 par des ingénieurs en informatique en partenariat avec des agences gouvernementales. En 2006, le Projet Tor fut créé en tant qu’organisation à but non lucratif afin de servir tout public.
On peut avoir de nombreuses raisons de souhaiter rester anonyme sur internet en utilisant Tor :
Dans quelques pays qui bloquent certains sites web, Tor offre un moyen d’y accéder. Par exemple, en septembre 2015, en Chine, plus de 3000 sites internet étaient inaccessibles. Cela incluait la plupart des offres Google, Facebook, YouTube, Twitter et Instagram. L’anonymat est essentiel quand il s’agit de communiquer des informations confidentielles ou de dénoncer certaines choses. Aujourd’hui, de nouvelles plateformes comme The Guardian, The Intercept et The New Yorker possèdent tous des sites localisés dans le Dark Web où circulent des éléments ayant fuité. Bien sûr, WikiLeaks en fait autant. Tor et le Dark Web ont été utilisés pour la mobilisation du printemps arabe. Certaines personnes utilisent Tor pour garder leurs sites internet à l’abri de la traçabilité publicitaire.
Comment fonctionne Tor ?
Tor n’est pas le seul système capable d’accéder au Dark Web ; c’est seulement le plus populaire. Les autres intègrent Freenet ou le Invisible Internet Project (I2P). Voici comment Tor fonctionne : il achemine le trafic du réseau de l’utilisateur et le remanie à travers une série de relais jusqu’à lui faire atteindre sa destination. Chaque nœud (ou routage « onion ») connaît l’élément qui le précède et qui le suit dans le cheminement, mais aucun autre dans le circuit. Le trafic parcourant le circuit est envoyé par paquets de taille identique, décodés par une clef symétrique à chaque nœud (comme les différentes couches d’un oignon) et relayés au rang inférieur. The procédé entraîne l’anonymat de la location de l’utilisateur et complexifie le suivi de son activité.
Le cryptage Tor est généré par les serveurs Tor, pas votre ordinateur. Le trafic entre deux nœuds Tor n’est pas traçable, mais celui passant par une porte Tor pour entrer ou sortir de l’internet « normal » l’est, lui, à moins que le cryptage SSL ne soit activé. Tor n’est pas un système de chiffrement de bout en bout ; si la communication n’est pas cryptée en utilisant un logiciel spécifique avant de rejoindre le réseau Tor, il sera lisible par tout le monde au moment de la connexion. Comme on suspecte la NSA d’administrer une grande partie des portails Tor accessibles par le public, il y a fort à parier que tout type de trafic non crypté est également surveillé par la NSA.
De nombreux utilisateurs accèdent à Tor via un VPN. Voici pourquoi :
Un VPN vous permet de falsifier votre position géographique.
Comme nous l’avons déjà mentionné, n’importe qui utilisant Tor peut lire une communication non cryptée passant par ce portail.
Un VPN protège la vie privée.
Certains fournisseurs d’accès internet bloquent Tor ; ils ne détectent toutefois pas l’accès à Tor par le biais d’un VPN.
La porte d’accès à Tor relèvera l’adresse IP du serveur VPN, pas la véritable adresse IP de l’utilisateur.
Mais les portes de sorties Tor sont souvent bloquées. De plus, un VPN ne fournit aucune protection contre un éventuel programme malveillant à la sortie de Tor. Plutôt que d’utiliser un VPN, quelques utilisateurs Tor utilisent un pont de sortie comme Obfsproxy ; cela peut s’avérer efficace pour bloquer l’utilisation de Tor si l’inspection profonde de paquets n’est pas configurée pour le détecter.
À quoi ressemble le Dark Web ?
La première chose à remarquer à propos de Tor est la lenteur de son navigateur ; il est encore plus lent s’il est couplé à l’utilisation d’un VPN. L’URL semble bizarre : voyez par exemple l’adresse http://wlupld3ptjvsgwqw.onion (le site du Dark Web pour Wikileaks). Des protocoles différents des standards HTTP et HTTPS sont légion, avec pour les plus courants IRC, IRCS, Gopher, XMPP, et FTP. Une longue enquête menée par TrendMicro a révélé que 41% des URLs sont russes, contre 40% d’URLs anglaises.
Trouver ce que vous recherchez s’apparente à un défi car de nombreux sites apparaissent et disparaissent en l’espace de quelques jours. Ce n’est pas dû à un manque de moteurs de recherche : le plus commun, Grams, ressemble à Google. Comme il y a de nombreux liens vers des pages web frauduleuses, quelques utilisateurs comptent sur les liens en .onion de Tor pour s’y retrouver. Une alternative consiste en un moteur de recherche qui relaie le service puis le lien onion de Tor et le rend transformé et compatible avec un navigateur standard WWW.
Le Dark Web a des sites similaires disponibles sur l’internet « normal » : Deep Web Radio est une station radio musicale mondiale. Il y a des services d’hébergement dédiés, des services mails et des chats anonymes ; il y a même des clones de Twitter. Bien sûr, il y a des blogs et des forums. En janvier 2016, ProPublica a lancé le premier grand site d’informations sur le Dark Web.
Des lanceurs d’alerte, des défenseurs des droits de l’Homme, des journalistes, des militaires et les forces de l’ordre sont tous présents sur le Dark Web. De même, des victimes de violences domestiques l’utilisent pour communiquer en dehors de la surveillance de leurs agresseurs.
La description du Dark Web ne serait pas complète sans la mention des sites en .BIT impliquant le Bitcoin, les marchés d’informations et d’objets volés, ainsi que tout le nécessaire des pirates informatiques. Daniel Moore et Thomas Rid rapportent dans leur livre, intitulé Cryptopolitik and the Darknet, que 57% des activités du Dark Web sont illégales. On peut légitimement affirmer que le Deep Web est un immense outil de partage d’informations qui facilitent l’activité criminelle. Les crypto-monnaies comme le Bitcoin et les réseaux d’anonymat comme Tor font de l’entrée sur le marché des logiciels malveillants un jeu d’enfant très lucratif rapidement.
La menace du hameçonnage grandit en même temps que le Dark Web
Plus de 90% des cyber-attaques de données commencent par un hameçonnage. La menace que constitue le hameçonnage grandit en même temps que le Dark Web. Le hameçonnage attaque sous différentes formes : l’envoi de logiciels espions, de rançongiciels et autres virus capables de voler de précieuses données qui sont ensuite facilement revendues sur le Dark Web. Le hameçonnage est la plus efficace, la plus répandue et la plus dangereuse des cyber-attaques !
Le DNS a un important rôle à jouer parce qu’il trace l’activité en réseau de toutes les organisations et que 90% des logiciels malveillants l’utilisent pour causer des dommages.
Le DNS fournit à l’organisation une chance d’intercepter le logiciel malveillant avant que celui-ci ne s’insinue dans ses commandes et ne contrôle son infrastructure. La visibilité DNS permet de remarquer les autres éléments indiquant le piratage comme les pics dans le trafic IP et le détournement du DNS.
La capacité à suivre et gérer l’activité DNS est très importante, car elle permet aux organisations de détecter les campagnes de hameçonnage et l’exfiltration de données qui en résulte. Il leur devient aussi possible de réduire le temps que les pirates peuvent passer dans le réseau et de repérer les domaines susceptibles de faire l’objet d’une activité criminelle et de vol de données.
En renforçant votre protection DNS, vous pouvez bannir les sites de hameçonnage une fois pour toutes : cela signifie que même si un employé clique sur un lien hameçon dans un mail, le lien ne fonctionnera pas.
Le filtrage DNS de WebTitan bloque l’accès aux logiciels malveillants, rançongiciels, hameçonnage, virus, sites frauduleux, logiciels espions, etc. Il élimine le mal à la source.
Découvrez comment le filtrage DNS de WebTitan protège votre DNS en temps réel du piratage et de tous les maux qu’il engendre.
Comment protéger les utilisateurs de la fuite des données et des attaques mails avancées
Sans les bons outils de cyber-sécurite, les organisations sont vulnérables aux escroqueries par hameçonnage, qui peuvent leur coûter des millions en recouvrement de désastre et en rançons si elles cèdent au chantage. La seule façon d’éviter cela est d’avoir une solide sécurité email utilisant DMARC et le filtrage de contenu.
SpamTitan inspecte chaque URL listée dans un mail pour détecter si elles sont sur liste noire, avec une couverture de 100% du web, protégeant ainsi vos utilisateurs des liens vers des sites frauduleux. Le sandboxing de SpamTitan contient une protection contre la fuite des données et les attaques mail expertes ; il offre un puissant environnement permettant d’effectuer une analyse en profondeur des programmes et des fichiers douteux.
Les attaques par hameçonnage sont très complexes et de plus en plus nombreuses. L’une des protections les plus efficaces consiste en une solution de sécurité email moderne et robuste comme SpamTitan, qui utilise un arsenal anti-hameçonnage comme le scan antivirus, l’analyse heuristique, l’authentification DMARC et le sandboxing. Peu de fournisseurs proposent une telle gamme en un seul outil.
SpamTitan est une protection email multi-récompensée, anti-hameçonnage et dotée d’un filtrage email. Commencez dès aujourd’hui votre essai gratuit de SpamTitan pour découvrir comment nous vous protègerons des cyber-attaques.
Restez avec nous…
Dans un prochain article, nous aborderons la question des ramifications techniques du Dark Web et les mesures qui bloqueront (ou non) l’accès à Tor depuis votre réseau.
Les attaques DNS sont critiques pour les organisations de toutes tailles et de tous secteurs. Nous vivons à une époque où le fait de naviguer accidentellement vers un mauvais site web peut avoir des conséquences désastreuses.
Un utilisateur qui tape incorrectement un nom de domaine ou qui clique au hasard sur un lien intégré dans un e-mail peut lancer une attaque dévastatrice de ransomware, mettant hors service un seul ordinateur, un réseau entier et même envahir les chaînes d’approvisionnement.
Le filtrage web ne consiste pas seulement à arrêter les utilisateurs déterminés à se rendre sur des sites inappropriés. Il s’agit d’empêcher un accident ou une action involontaire qui pourrait compromettre l’ensemble de l’entreprise.
Aujourd’hui, la protection de la cybersécurité passe par une approche multicouche de la stratégie de sécurité. En fait, la protection des utilisateurs contre les contenus de sites malveillants, les malwares et les attaques de phishing passe par la couche DNS. Il est donc essentiel de la sécuriser.
La couche qui rend la navigation sur Internet possible est la même que celle que les pirates utilisent pour mettre en œuvre leurs attaques. Ignorer la couche DNS fait peser toute la charge sur les mécanismes de sécurité des points de terminaison qui peuvent rapidement être dépassés.
Les principales attaques DNS contre lesquelles vous devez protéger votre entreprise
Phishing
Le courrier électronique reste le principal mécanisme de diffusion des malwares, des ransomwares et des cyberescroqueries. Mais la plupart des attaques de phishing utilisent les deux composants les plus utilisés de votre environnement utilisateur, à savoir le courrier électronique et Internet.
Les cybercriminels continuent d’utiliser les attaques de phishing parce qu’elles sont faciles à mettre en œuvre et peuvent manipuler les utilisateurs avec succès. Il leur suffit de disposer d’une base de données d’adresses électroniques pour lancer leurs grands filets et prendre au piège des utilisateurs peu méfiants.
À l’instar de la pêche à l’achigan ou à la truite, le phishing dépend du bon appât qui incitera les utilisateurs à cliquer sur un lien intégré qui pointe vers un site Web et télécharge la charge utile malveillante sur le bureau de l’utilisateur.
Les attaques BEC sont une forme de phishing à fort enjeu, également connue sous le nom de spear phishing. Les attaques BEC impliquent spécifiquement des utilisateurs à hauts privilèges identifiés au sein d’une organisation. L’objectif de ces attaques est de gagner beaucoup d’argent.
Les attaquants passent souvent des mois à scruter et à surveiller le trafic de courrier électronique d’un système compromis afin de connaître sa culture et ses protocoles de communication.
Bien que les attaques de BEC n’impliquent pas toujours l’internet, un système de sécurité web peut être l’outil permettant d’éviter une perte qui peut facilement atteindre des dizaines de millions de dollars.
Malware
La lutte contre les malwares ne se limite plus aux points d’accès. Vous ne pouvez plus placer toute votre confiance dans les solutions d’extrémité, car des attaquants expérimentés ont développé des méthodologies pour contourner ces outils de sécurité à petite échelle.
Vous devez arrêter les malwares à la source. Les utilisateurs ne peuvent pas télécharger accidentellement des malwares s’ils ne sont jamais autorisés à se connecter à un site de téléchargement.
Même dans le cas où un site n’a pas été correctement identifié, une solution moderne de filtrage web devrait pouvoir analyser les paquets qui traversent le réseau et les débarrasser du code malveillant avant qu’ils ne puissent s’infiltrer sur les ordinateurs des utilisateurs finaux.
Ransomware
Bien que les ransomwares soient un type de malwares, ils méritent désormais leur propre catégorie. Nombreux sont ceux qui les considèrent aujourd’hui comme la première menace de cybersécurité.
Les attaques de phishing et du type BEC ont généralement pour but de réaliser une arnaque rapide. Ce n’est pas le cas des ransomwares, car ils peuvent entraîner l’arrêt des opérations essentielles à la mission d’innombrables organisations, grandes ou petites.
En sécurisant la couche DNS, vous faites plus que protéger votre entreprise contre les cyberattaques. Vous protégez également votre organisation contre une perturbation potentiellement dévastatrice des opérations de base.
Attaques par déni de service
Les attaques par déni de service (DoS) constituent un type d’attaque différent. Comme les ransomwares, elles ont pour but de perturber le fonctionnement du réseau d’une entreprise dans l’espoir de lui extorquer de l’argent.
Ces attaques impliquent une armée de robots qui travaillent en coordination les uns avec les autres. Chaque robot envoie du trafic divers dans le but de consommer toute la bande passante disponible.
Ces attaques visent souvent les détaillants en ligne ou d’autres entreprises qui dépendent fortement de l’infrastructure de leur site Web. Bien qu’elles ne soient pas aussi répandues, les attaquants peuvent également mener des attaques DoS au sein du réseau interne d’une entreprise.
Ces attaques impliquent généralement un type de malware qui utilise ensuite les nœuds disponibles pour envoyer des paquets malveillants.
Typosquattage
Les attaques de typosquattage sont des exemples parfaits pour attirer les visites accidentelles d’un utilisateur peu méfiant. Les cybercriminels achètent des noms de domaine dont l’orthographe est similaire à celle de sites web bien connus.
Lorsqu’un utilisateur se trompe accidentellement de nom de domaine dans son navigateur web, il est alors redirigé vers un faux site de connexion qui capture ses identifiants de connexion.
Les pirates utilisent ensuite les informations d’identification compromises pour accéder au site Web lui-même et mener leurs actions malveillantes, comme le retrait de fonds ou la réalisation d’achats non autorisés.
Solution contre ces différents types d’attaques DNS
De la même manière que les utilisateurs dépendent aujourd’hui des services d’identification de l’appelant pour trier les appels de télémarketing et les appels automatisés, les solutions de filtrage DNS sont le moyen privilégié d’éliminer les attaques basées sur le Web.
Vos utilisateurs et vos opérations critiques dépendent d’une expérience Internet sûre. Par conséquent, une solution de filtrage DNS avancée telle que WebTitan est aujourd’hui un outil indispensable.
Une approche de sécurité à plusieurs niveaux est essentielle pour toutes les organisations afin de protéger les clients, les employés et les données de l’entreprise contre les attaques DNS. Une combinaison de SpamTitan et de WebTitan peut rendre votre organisation à l’abri des attaques DNS avancées.
L’informatique dans le cloud et le travail à distance ont donné lieu à des cyberattaques en ligne apparemment sans fin. Mais selon un rapport de Thycotic, près des trois quarts des pirates informatiques « black hat » ont déclaré que les pare-feu et les antivirus traditionnels ne pouvaient pas les arrêter.
Alors que les mesures de sécurité traditionnelles s’adaptent pour déjouer les cyberattaques, les tactiques de piratage éprouvées, telles que le phishing et le téléchargement de malwares, échappent à toute détection.
Une méthode alternative pour stopper à la source les cyberattaques véhiculées par le web est le filtrage DNS. Il peut être profondément intégré à Microsoft Azure Active Directory (AD) pour offrir un filtrage DNS Azure basé sur l’accès au niveau de l’utilisateur.
Dans ce dossier spécial, nous allons vous expliquer ce qu’est le filtrage DNS Azure AD : comment fonctionne-t-il et quels avantages procure-t-il à votre entreprise par rapport aux mesures de sécurité traditionnelles ?
Qu’est-ce qu’un DNS, et quel rôle joue Microsoft Azure dans ce concept ?
Un DNS (Domain Name System) est en quelque sorte la base de l’Internet. Il permet de faire correspondre un nom de domaine lisible par l’homme à une adresse IP lisible par les machines (IP signifie Internet Protocol).
Lorsqu’un utilisateur tape une adresse web dans un navigateur, un « résolveur DNS » fait correspondre ce domaine à une adresse IP en utilisant les serveurs DNS. En d’autres termes, le système DNS résout l’adresse et la mappe à l’adresse IP. Cette adresse IP est ensuite utilisée pour établir la connexion entre l’appareil et l’adresse IP avant de charger le contenu.
Les objets, comme l’appareil mobile d’un travailleur distant, ont également une adresse IP. Les milliards d’objets, de personnes et de sites web dépendent tous d’un DNS en état de marche pour fournir du contenu et des données.
Un DNS est hautement distribué et ne dépend pas d’un seul serveur. Les domaines dans Azure sont hébergés sur un réseau mondial de serveurs de noms DNS qui sont gérés par l’infrastructure dans le cloud d’Azure. L’ensemble du système est configuré pour optimiser la vitesse et la haute disponibilité pour un domaine donné.
Les administrateurs d’Azure utilisent Azure DNS pour des services tels que l’hébergement de sites web, d’applications, d’API et de services dans le cloud, ainsi que la gestion des zones DNS.
Qu’est-ce que le filtrage DNS Azure AD ?
Le filtrage DNS est une méthode utilisée pour empêcher les utilisateurs d’accéder à certains sites web ou adresses IP. Ceci est important, car des tactiques telles que le phishing et l’infection par des malwares via des sites web malveillants sont des méthodes de cyberattaque les plus couramment utilisées par les cybercriminels.
Le filtrage DNS fonctionne en parallèle avec le système DNS. Lorsqu’un résolveur DNS est configuré pour bloquer une certaine adresse IP, en l’ajoutant à une « liste de blocage », l’utilisateur est empêché de naviguer vers cette adresse IP.
Généralement, la liste de blocage contient des sites web malveillants. De la même manière, un filtre DNS peut également autoriser la visite de certains sites web, en les plaçant sur une « liste blanche » de sites considérés comme sûrs.
Le filtrage DNS peut également être appliqué sur la base d’un appareil, par exemple en appliquant des politiques de filtrage aux utilisateurs de Chromebook du secteur de l’éducation.
De plus, le filtrage DNS Azure peut être appliqué aux services hébergés spécifiques d’Azure pour créer des zones sûres auxquelles les utilisateurs peuvent accéder.
Filtrage DNS basé sur Azure Active Directory (AD)
Azure AD est un annuaire qui peut être utilisé pour appliquer un contrôle d’accès basé sur les rôles. Le filtrage DNS d’Azure utilise des politiques qui couvrent l’ensemble d’une organisation, appliquant et surveillant le filtrage à l’aide de ces politiques appliquées à l’appartenance à un groupe AD.
WebTitan, par exemple, est profondément intégré à Azure AD, utilisant une application d’entreprise Azure AD pour analyser toute ouverture de session Azure afin de trouver de nouveaux utilisateurs. Ces utilisateurs sont ensuite associés à l’adresse IP de toute machine virtuelle utilisée pour se connecter et les politiques de sécurité et d’accès sont appliquées en conséquence.
Avantages de l’utilisation du filtrage DNS d’Azure
Une solution de filtrage DNS pilotée par l’Intelligence artificielle, telle que WebTitan, utilise des techniques avancées comme l’apprentissage automatique pour s’assurer que même les menaces du type « zero day » sont protégées.
Lorsqu’elle est intégrée à Azure AD, les politiques de sécurité nécessaires pour gérer et contrôler l’accès des employés à votre réseau peuvent être automatiquement appliquées et gérées à distance.
Une solution de filtrage DNS, en particulier celle qui peut s’adapter de manière sélective aux menaces du type « zero day », offre des avantages majeurs pour protéger votre organisation contre les cyberattaques véhiculées par le Web.
Bloquer dynamiquement l’accès à des sites Web inappropriés ou malveillants
Les sites web infectés par des malwares servent d’appât pour attirer les utilisateurs et infecter tout appareil se connectant à l’adresse IP du domaine malveillant. D’autres sites peuvent aussi contenir du matériel inapproprié.
Les utilisateurs sont encouragés à ouvrir de tels sites en utilisant des techniques d’ingénierie sociale. Si un utilisateur navigue sur un site malveillant, le code malveillant profite des vulnérabilités des navigateurs mal corrigés ou mal configurés pour infecter son appareil avec des malwares.
Il peut être difficile pour les solutions antivirus ou antispam traditionnelles d’empêcher l’impact de la visite de ces sites, car de nouvelles variantes apparaissent. Celles-ci sont conçues pour échapper à la détection par les mesures de sécurité traditionnelles.
L’une des dernières tactiques utilisées par les pirates consiste à utiliser les applications Azure comme vecteur d’infection par des malwares et de vol d’identifiants de connexion. Les pirates utilisent des applications Azure réalistes, mais malveillantes, pour encourager les utilisateurs à se rendre sur un site Web contrôlé par l’attaquant afin d’exécuter l’attaque complète.
L’utilisation d’un filtre DNS permet de stopper ce type d’attaque en coupant la route vers le site web malveillant. En utilisant un filtre DNS basé sur l’adhésion à Azure AD, votre administrateur système peut rapidement et dynamiquement mapper un utilisateur ou un rôle de l’Active Directory pour bloquer l’accès aux sites web mmalveillantsdéjà établis et couveaux.
Bloquer les sites de phishing
En 2020, 75 % des organisations dans les quatre coins du globe ont subi une attaque de phishing. Ces attaques commencent souvent par l’incitation d’un utilisateur à se rendre sur un site de phishing. Une fois que l’utilisateur entre sur le site malveillant, ses identifiants de connexion, ses données et/ou son accès aux ressources de l’entreprise sont en danger.
La technologie intelligente pilotée par l’Intelligence artificielle permet d’atténuer les menaces, même celles qui ne sont pas encore connues.
Empêcher l’infection par les ransomwares et le vol de données
Les ransomwares sont des malwares très populaires. Auparavant, le principal objectif d’une attaque de ransomware était de chiffrer des données et d’extorquer de l’argent aux victimes – sous la forme d’une rançon – en échange de la clé de déchiffrement.
Désormais, selon IBM X-Force, 59 % des incidents liés aux ransomwares incluent également l’exfiltration de données, les données volées étant ensuite utilisées pour faire pression sur les organisations afin qu’elles paient. Cependant, même si la rançon est payée, rien ne garantit que les données volées ne seront pas vendues et utilisées à des fins de fraude.
Les ransomwares infectent souvent une entreprise par le biais d’e-mails de phishing et de sites web infectés. Le Verizon Data Breach Investigation Report (DBIR) indique que dans 85 % des cas de violation de données, un être humain est impliqué, généralement en naviguant sur un site web infecté ou en cliquant sur un lien dans un e-mail de phishing.
Le filtrage DNS d’Azure empêche les membres d’Azure AD de faire partie des 85 % d’utilisateurs qui aident les infections par des ransomwares à se propager.
Protéger les appareils
Avec le télétravail et le travail à domicile, les entreprises peuvent autoriser leurs employés à utiliser leurs appareils personnels pour réaliser des tâches professionnelles. Cependant, les appareils personnels sont beaucoup plus difficiles à protéger, car les politiques sont plus difficiles à appliquer et à gérer à distance.
Grâce à un filtrage DNS d’Azure AD, qui utilise des agents basés sur les appareils et gérés à distance, même les appareils personnels peuvent être protégés contre les infections par des malwares.
Simple à configurer et à utiliser
Enfin, tout filtre DNS doit être facile à mettre en place et doit pouvoir être configuré à distance pour une main-d’œuvre basée dans le cloud ou à distance.
Les environnements cloud changent constamment. De nouvelles applications et de nouveaux points d’extrémité sont ajoutés constamment, ce qui nécessite des politiques appropriées pour différents environnements.
Les filtres DNS doivent être faciles à mettre en place, à configurer et à modifier. Les filtres de contenu basés sur l’API permettent une configuration et une surveillance à distance. La mise en correspondance d’Azure AD avec l’accès au site web offre un moyen simple de créer des politiques de sécurité par utilisateur et par rôle.
En appliquant le contrôle puissant du filtrage DNS intégré d’Azure AD à l’accès au web, votre entreprise peut améliorer sa posture de sécurité et réduire les risques liés au web.
Un filtre DNS offre à votre organisation un moyen d’améliorer la sécurité de la navigation web de votre personnel, en prévenant le vol de données et d’identifiants, les attaques de ransomwares et d’autres cyberattaques, ainsi que l’utilisation inappropriée du web.
En 1998, l’ICANN a publié les premiers noms de domaine et adresses IP.
Il n’y avait pas beaucoup de domaines de premier niveau (TLD) à choisir.
Chaque pays avait son propre suffixe de domaine, mais le choix était limité à :
.com
.org
.net
.edu
.mil
.gov
Au fil des ans, quelques options supplémentaires ont été introduites telles que :
.me
.mobi
.tv
.biz
Mais le suffixe qui a suscité le plus de controverse est .xxx — un TLD destiné aux sites Web contenant des images à caractère sexuel.
Le TLD .xxx a été considéré comme une méthode d’introduction d’un Quartier chaud (Red Light District) sur Internet, en le nettoyant à partir d’une attaque délibérée qui pourrait être contrôlée et facilement bloquée.
Certains fournisseurs de pornographie auraient accueilli favorablement cette mesure, tandis que d’autres s’y seraient opposés.
Il y a eu des protestations, mais le nouveau TLD a été publié en décembre 2011, et ICM Registry — une entreprise à but lucratif de Fort Lauderdale — s’est vu confier la responsabilité d’attribuer les TLDs.
D’ailleurs, le contrat pour ce projet était très lucratif.
ICM Registry aurait pu réaliser environ 200 millions de dollars par an grâce à cette opération.
Parfois, une bonne idée sur papier ne fonctionne pas toujours aussi bien dans la pratique.
Par exemple, certaines entreprises ont consacré beaucoup de temps à la création d’une marque de commerce.
Ils exploitaient leur domaine sur le domaine.com ; avaient acheté les versions .net, .mobi, .org et tous les autres TLDs pour protéger leur marque.
Ils n’ont pas aimé l’idée d’avoir à refaire cela avec la version XXX, et ils ne seraient pas non plus disposés à déplacer leur site principal vers le TLD .xxx.
Seules quelques marques étaient en faveur du nouveau TLD XXX
Les pornographes n’étaient pas les seuls à s’opposer à l’introduction du TLD .xxx.
L’administration Bush était opposée à cette solution.
En fait, on a demandé à l’ICANN de retirer son soutien à la proposition. Les critiques à l’égard de la proposition se sont multipliées et l’ICANN a subi une pression considérable.
Le ministère américain du commerce, qui a autorité sur l’ICANN, a reçu plus de 6 000 plaintes concernant l’introduction du TLD .xxx.
Même les politiciens qui avaient soutenu l’idée en l’an 2000 ont changé d’avis une décennie plus tard.
Naturellement, les groupes conservateurs ont également fait pression pour bloquer ladite proposition, en affirmant que n’était pas suffisant. Le TLD a été publié — avec un retard d’un mois — et un grand nombre de nouveaux sites pornographiques ont été lancés par la suite.
Comme on pouvait s’y attendre, il n’y a pas eu de réduction du nombre de sites pornographiques .com sur Internet. Le nouveau domaine a vu encore plus de créations.
L’ICANN a par la suite été poursuivie en justice pour le fait qu’elle avait créé un monopole et que l’introduction du TLD obligeait les entreprises à dépenser encore plus d’argent pour l’enregistrement de noms de domaine afin de les protéger contre le piratage.
Après quelques années, la poursuite a été abandonnée.
Contrôles mis en place pour protéger les marques de commerce
L’ICM Registry a créé le nouveau TLD, apparemment dans le but de nettoyer l’Internet.
Le .xxx TLD a été considéré comme un moyen de faciliter la recherche de pornographie.
Le fait de taper « porn » dans un moteur de recherche, par exemple, et comme un moyen de promouvoir une attitude responsable à son égard.
En théorie, du moins, cela aboutirait à un espace dédié où les sites Web pornographiques pourraient être hébergés.
Cependant, le défenseur de la protection des marques et des brevets Inventa a souligné que l’opposition au nouveau TLD .xxx était pratiquement universelle. Personne ne le voulait en dehors de l’ICANN (et de ICM Registry).
Quant aux craintes que les propriétaires de domaines et les entrepreneurs pourraient avoir avec cette situation, des contrôles ont été mis en place pour empêcher cela.
Les critères d’éligibilité devaient être remplis.
Une entreprise propriétaire de la version .com d’un site Web avec une marque déposée pourrait acheter le TLD .xxx correspondant pour l’utiliser comme domaine réservé aux adultes ou pour empêcher d’autres personnes de l’utiliser.
Amazon .xxx, par exemple, ne peut être acheté que par Amazon.com, car l’ICM Registry leur a réservé ce privilège.
Au contraire, si le nom de domaine n’a pas encore été attribué à une marque, il peut être acheté par n’importe qui.
Est-ce que ça valait la peine de faire tout cet effort ?
L’ICM Registry serait enclin à être d’accord, mais pour ce qui est de faire d’Internet un endroit plus sûr pour les enfants, de nettoyer certains sites pornographiques et d’avoir un Red Light District sur internet, cela n’a manifestement pas fonctionné.
Les plus grands noms de la pornographie sur Internet continuent d’utiliser leurs sites Web dotcom et n’ont pas fait le passage aux domaines XXX.
Les personnes intéressées à visionner de la pornographie n’ont pas besoin d’un TLD .xxx pour pouvoir le trouver, et ne se soucient pas du nom du site Web et encore moins du TLD du moment qu’il leur donne ce qu’ils cherchent.
Il n’est pas plus facile de bloquer les sites Web pornographiques qu’avant leur publication.
Le simple fait de bloquer l’accès aux sites Web avec un suffixe XXX ne fera aucune différence perceptible quant à la quantité de contenus pornographiques qui peuvent être visualisés en ligne.
Et ce, jusqu’à ce que des lois soient adoptées pour forcer les sites pornographiques à utiliser le domaine XXX — ce qui serait incroyablement difficile à mettre en œuvre.
La seule façon de bloquer efficacement l’accès à la pornographie est d’utiliser un filtre Web tel que SpamTitan Techno.
Tout comme les escrocs d’autrefois qui utilisaient l’arnaque pour tromper des passants innocents et leur faire remettre de l’argent qu’ils ont durement gagné, les fraudeurs modernes utilisent également la confiance inhérente pour nous tromper.
La dernière escroquerie de phishing démontre très bien la psychologie de la cybercriminalité, mais avec quelques astuces.
Dans cette récente attaque de phishing, qui aurait débuté le 21 septembre 2020, les escrocs ont réutilisé leur marque favorite : Office 365. L’escroquerie tire parti de la confiance des utilisateurs dans le test CAPTCHA.
Comment fonctionne l’attaque de phishing contre Office 365
Le phishing est un outil important pour les cybercriminels. Cette technique est à l’origine de 90 % des violations de données.
Un employé sur trois clique sur un lien dans un e-mail de phishing, tandis qu’un employé sur huit consulte un site d’usurpation d’identité.
Cependant, il suffit qu’un pirate parvienne à obtenir un identifiant de connexion pour lancer une cyberattaque contre votre réseau d’entreprise.
En général, le phishing repose sur la manipulation du comportement humain. L’une des façons dont les êtres humains interagissent avec les ordinateurs consiste à utiliser un comportement inhérent connu sous le nom de « biais cognitif ».
Nous utilisons tous des préjugés dans nos décisions quotidiennes. Cela nous aide à faire des choix rapides. Ce comportement est également utilisé par des entreprises.
Par exemple, » l’’effet d’ancrage » (une forme de biais) est utilisé pour encourager les choix de vente. Les clients sont « ancrés » par un seul aspect d’un produit à l’exclusion des autres, et les vendeurs en tirent grand profit.
Le système CAPTCHA est utilisé sur de nombreux sites web pour vérifier que c’est bien un être humain (plutôt qu’un robot automatisé) qui saisit les informations dans des formulaires.
Ce système existe depuis de nombreuses années et nous sommes tous habitués à ce qu’il apparaisse, nous demandant de sélectionner les cellules d’une image qui montre une bouche d’incendie, une voiture, un vélo, etc.
Le biais cognitif s’installe lorsque nous interagissons de façon répétée avec les CAPTCHAS.
La dernière escroquerie de phishing « CAPTCHA » qui vise Office 365 utilise notre biais cognitif et notre confiance dans ce système comme contrôle de sécurité, ainsi que quelques autres astuces.
Voici pourquoi la dernière arnaque de phishing contre Office 365 fonctionne très bien
Une triple arnaque de phishing utilisant Office 365
Cette dernière arnaque de phishing d’Office 365 comporte plusieurs éléments qui, ensemble, en font une cyberattaque très difficile à détecter et à prévenir. Cette arnaque de phishing d’Office 365 comporte trois éléments essentiels, à savoir :
Déjouer les détecteurs
Ce qui est particulièrement astucieux dans cette attaque, c’est qu’elle utilise le système de sécurité pour réussir. Le site d’usurpation présente trois niveaux de système CAPTCHA.
Le premier est une simple case à cocher « Je suis un humain ». Le CAPTCHA suivant demande de choisir n’importe quelle case qui contient un objet spécifique, par exemple un vélo.
Les outils de recherche de malwares sont bloqués lors de la première vérification CAPTCHA et ne parviennent jamais au site qui contrôle le malware.
En fait, le site n’est accessible qu’une fois que l’utilisateur a passé avec succès le CAPTCHA numéro 3. En d’autres termes, seuls les utilisateurs humains peuvent accéder au site frauduleux.
Détection des adresses IP
L’arnaque de phishing est conçue de manière à ce que seules des plages de propriété intellectuelle spécifiques et choisies puissent accéder au site d’usurpation.
Si une tentative de détection automatique (ou manuelle) se situe en dehors de la plage d’adresses IP d’intérêt (c’est-à-dire les adresses IP de l’entreprise, victime), la tentative de détection sera redirigée vers le véritable site d’Office 365.
Cette procédure est également étendue à la vérification de la géolocalisation de la victime. C’est un moyen très efficace de prévenir la détection.
Piéger l’utilisateur
Le biais cognitif est parfait pour que le cybercriminel puisse en tirer profit, et il l’utilise intelligemment dans cette forme d’escroquerie.
Le site d’usurpation semble réel, et il utilise le système CAPTCHA.
Si un utilisateur reçoit des alertes de sécurité, telle que CAPTCHA, associées à un site d’apparence réaliste, il est plus probable qu’il ait un biais intégré qui lui permettra de se sentir suffisamment à l’aise pour entrer ses identifiants de connexion.
Selon un nouveau rapport de Microsoft, les acteurs de la menace ont rapidement gagné en sophistication au cours de l’année dernière, utilisant des techniques qui les rendent plus difficiles à repérer et qui menacent même les utilisateurs les plus avertis.
Cette arnaque de phishing en est la preuve. Les cybercriminels à l’origine de l’escroquerie utilisent des couches de protection et de la ruse pour réaliser leur objectif de vol d’identifiants de connexion ou d’installer des malwares.
Un rapport de Check Point pour le troisième trimestre 2020 a montré que Microsoft était la marque la plus utilisée par les cybercriminels pour duper les utilisateurs.
Mais il y a aussi DHL, PayPal et Apple. Cette escroquerie est peut-être axée sur Office 365, mais les cybercriminels changent de tactique, et le mois prochain, il pourrait s’agir d’un autre portail de collaboration en ligne très populaire.
Les entreprises ne doivent plus compter sur le fait que les utilisateurs soient conscients de la sécurité lorsqu’ils utilisent l’Internet.
Les cybercriminels utilisent notre propre comportement inhérent contre nous et font appel à de multiples techniques pour échapper à la détection par des solutions conventionnelles comme les pare-feu.
Elles doivent s’attendre à ce que d’autres types d’escroquerie de phishing de plus en plus astucieuse apparaisse.
Des solutions intelligentes telles que le filtrage de contenu web permettent d’empêcher vos employés à accéder à des sites web dangereux, réduisant ainsi la probabilité de violations des données de votre entreprise et d’autres cyberattaques.
Filtrage de contenu avec WebTitan Cloud
WebTitan Cloud est une solution de filtrage de contenu web basée sur le DNS qui offre une protection complète contre les virus, les malwares, les ransomwares, les attaques de phishing et un filtrage complet du contenu.
WebTitan Cloud est une solution qui ne requiert aucune maintenance et qui peut être configurée en cinq minutes pour empêcher vos utilisateurs d’accéder à des contenus inappropriés en ligne.
Notre moteur intelligent de catégorisation de contenu en temps réel, piloté par l’Intelligence artificielle, combine un antivirus de pointe et une architecture basée dans le cloud.
Cela fait de WebTitan Cloud une solution idéale pour les organisations qui ont besoin d’une protection maximale et d’une maintenance minimale.
Contactez notre équipe dès aujourd’hui et découvrez comment nos puissants outils de filtrage de contenu web peuvent aider votre entreprise.
