Les attaques de phishing au PDG coûtent des millions aux entreprises !

Les attaques de phishing au PDG coûtent des millions aux entreprises !

Rappelez-vous le bon vieux temps où les principaux e-mails de phishing provenaient du Nigeria, essayant sans cesse d’attirer les deux pour cent restants de la population adulte qui n’étaient pas encore familiers avec les fraudes par virement bancaire !

En tant qu’administrateurs informatiques, nous nous rencontrions après le travail et nous nous amusions des fautes d’orthographe flagrantes et des erreurs grammaticales rampantes dans les e-mails. Nous nous moquions aussi tranquillement de la naïveté de leurs victimes qui pouvaient éventuellement tomber dans le piège de ces stratagèmes d’amateurs.

Cette arnaque de fausse facture a rapporté 3 millions de dollars

Avançons rapidement jusqu’au 30 avril 2015, date à laquelle la société Mattel s’est fait escroquer 3 millions de dollars via une attaque de phishing. L’arnaque a été brillamment conçue et parfaitement exécutée.

Le mois d’avril dernier a été une période tumultueuse pour le fabricant de poupées Barbie de renommée mondiale en raison de la combinaison des mauvaises ventes internationales et du licenciement du PDG. Au milieu de cette tourmente, un cadre financier a reçu un message utilisant l’adresse e-mail du nouveau PDG et demandant un transfert de fonds de routine à un nouveau fournisseur en Chine. Souhaitant faire plaisir au nouveau patron, le cadre financier a effectué le transfert à la Banque de Wenzhou, en Chine. Plus tard dans la journée, alors qu’il parlait au PDG, il s’est rendu compte qu’ils s’étaient fait arnaquer. Malheureusement, il était trop tard. L’argent qu’il a envoyé était déjà perdu.

Comment les dirigeants d’une grande entreprise internationale ont-ils pu se faire arnaquer si facilement ? L’attaque contre Mattel n’est qu’un incident parmi d’autres dans ce qui constitue une menace croissante pour les entreprises américaines, à tel point que le FBI a publié une déclaration écrite décrivant ce qu’il appelle le « Business Email Scam » ou « BEC ».

Selon la déclaration du FBI : « Les forces de l’ordre du monde entier ont reçu des plaintes de victimes dans tous les États américains et dans au moins 79 pays. D’octobre 2013 à février 2016, les services de détection et de répression ont reçu des déclarations de 17 642 victimes. Cela représente plus de 2,3 milliards de dollars de pertes.

215 millions de dollars perdus rien que pour les escroqueries de phishing de PDG

De ces 2,3 milliards de dollars, 215 millions de dollars ont été attribués aux seules escroqueries de phishing de PDG. La raison en est simple : les attaquants par phishing d’aujourd’hui font bien leurs devoirs. Ils apprennent la culture et le leadership de l’organisation qu’ils ciblent. Ils connaissent les modèles d’e-mails, les processus de travail et les horaires de tous les cadres de haut niveau. Ensuite, les attaquants capturent ou usurpent les adresses e-mail du PDG ou du président de la société pour mettre en œuvre leur arnaque.

L’usurpation d’adresse électronique est une tactique couramment utilisée dans les attaques de phishing. Comme celle qui visait Mattel, la majorité des attaques de phishing de PDG se produisent souvent lorsque le PDG voyage ou, pire encore, lorsqu’il est en vacances. En effet, cela rend plus difficile la vérification des demandes par e-mail.

Les attaquants de phishing d’aujourd’hui font bien leurs devoirs

L’attaque lancée l’année dernière contre Bonnier Publications en Floride — qui impliquait à nouveau une banque chinoise — est un autre exemple de la manière dont les escroqueries contre les entreprises sont préparées. L’arnaque impliquait deux demandes de virement bancaire distinctes représentant 1,5 million de dollars chacune.

Ce qui a rendu cette arnaque si efficace, c’est qu’elle a été lancée dès le premier jour de travail du nouveau PDG. Heureusement, l’arnaque a été découverte avant le deuxième transfert.

Fraude à la française par le PDG

L’incident le plus célèbre de la BEC en 2016 est l’incident est la fraude à la française par le PDG. Dans cette affaire, le chef comptable d’Etna Industrie avait été informé dans une série d’appels téléphoniques et d’e-mails — qui lui étaient adressés via le compte usurpé du PDG — lui ordonnant d’émettre une série de virements bancaires d’un montant total d’un demi-million de dollars afin de financer un rachat d’entreprise. Cela se passait rapidement et sous grande contrainte. Bien que de nombreux virements électroniques — dont le montant total s’élevait à près d’un demi-million de dollars- aient été envoyés, la banque émettrice a effectivement réussi à en retenir trois.

Le montant d’argent obtenu lors de ces attaques BEC est époustouflant, et c’est la raison pour laquelle ils ont attiré beaucoup d’attention. Mais au-delà des gros titres, il est clair que le phishing n’est plus un sujet de plaisanterie après le travail. Les entreprises doivent être sur leurs gardes et s’assurer qu’elles disposent d’un système de sécurité de la messagerie électronique pouvant détecter et bloquer les e-mails frauduleux avant qu’ils n’atteignent les employés.

Si vous travaillez dans le domaine de la paie, des ressources humaines ou dans des domaines connexes, méfiez-vous des dangers potentiels. Si vous recevez un e-mail vous demandant de payer des factures, prenez le temps de vérifier que l’e-mail en question est légitime avant de vous y conformer.

Attaques de phishing attendues à la suite d’une fuite de données massives chez MyFitnessPal

Attaques de phishing attendues à la suite d’une fuite de données massives chez MyFitnessPal

Under Armour a été victime d’une brèche de données massive de MyFitnessPal qui a permis à un pirate informatique d’accéder aux renseignements personnels de 150 millions d’utilisateurs et de les voler.

Les données concernaient les utilisateurs de l’application mobile MyFitnessPal et de la version Web de la plate-forme de suivi de la condition physique et de la santé. Les types de données volées comprenaient les noms d’utilisateur, les mots de passe et les adresses électroniques chiffrées.

Les données des cartes de paiement ont été conservées par Under Armour, car les informations étaient traitées et stockées séparément et n’ont pas été affectées. Aussi, l’attaquant n’a pas obtenu d’autres renseignements de nature très délicate (qui sont habituellement utilisés pour le vol d’identité et la fraude) comme les numéros de sécurité sociale.

L’fuite de données de MyFitnessPal est remarquable par le volume de données obtenues, ce qui fait d’elle la plus importante fuite de données ayant été détectée cette année. Bien entendu, le vol de données chiffrées ne poserait normalement pas un risque immédiat pour les utilisateurs. C’est certainement le cas pour les mots de passe qui ont été chiffrés en utilisant bcrypt, un algorithme de chiffrement particulièrement puissant.

Cependant, les noms d’utilisateur et les mots de passe n’ont été chiffrés qu’avec la fonction de chiffrement SHA-1, qui n’offre pas le même niveau de protection. Il est donc possible de décoder les données de chiffrement SHA-1, ce qui signifie que l’attaquant pourrait potentiellement accéder aux informations des utilisateurs.

L’attaquant avait déjà accès aux données des utilisateurs depuis un certain temps. En réalité, Under Armour a pris connaissance de la fuite de données le 25 mars 2018, alors que l’attaque a eu lieu plus d’un mois avant d’être détectée, soit environ six semaines avant l’annonce de l’atteinte.

Compte tenu de la méthode qui a été utilisée pour protéger les noms d’utilisateur et les mots de passe, les données peuvent donc être considérées comme accessibles. Ainsi, il est fort probable que la personne responsable de l’attaque tentera de les monétiser. Si l’attaquant ne peut pas personnellement déchiffrer ces données, il est certain qu’il va les confier à d’autres pirates qui sont capables de le faire.

Bien qu’il soit possible que les mots de passe chiffrés en bcrypt puissent être décodés, il est peu probable que quelqu’un tente de les déchiffrer.

Pourquoi ? Parce que cela nécessiterait beaucoup de temps et d’efforts. De plus, Under Armour a déjà prévenu les utilisateurs concernés et les a encouragés à changer leur mot de passe par mesure de précaution, et ce, afin de s’assurer que leurs comptes ne puissent pas être accessibles aux pirates.

Bien que les comptes MyFitnessPal puissent rester sécurisés, cela ne signifie pas que les utilisateurs de MyFitnessPal ne seront pas affectés par une attaque cybercriminelle. Les pirates, ou les détenteurs actuels des données utiliseront sans aucun doute les 150 millions d’adresses e-mail et noms d’utilisateur pour des campagnes de phishing.

Under Armour a commencé à aviser les utilisateurs touchés quatre jours après l’fuite de données de MyFitnessPal. Tout utilisateur concerné doit se connecter et changer son mot de passe par mesure de précaution afin d’empêcher l’accès à son compte. Les utilisateurs doivent également être conscients des risques liés au phishing.

On peut s’attendre à des campagnes de phishing liées à l’fuite de données comme celles de MyFitnessPal. De plus, les pirates vont probablement élaborer divers types d’e-mails de phishing pour essayer d’atteindre leurs cibles. Un incident d’une telle ampleur présente également un risque pour les entreprises. Si un employé devait répondre à une campagne de phishing, il est possible qu’il télécharge des malwares sur son équipement de travail et compromette le réseau de l’entreprise.

Les attaques de ce genre sont de plus en plus fréquentes. Compte tenu de la grande quantité d’adresses e-mail utilisées actuellement pour les campagnes de phishing, des solutions avancées de filtrage du spam sont devenues une nécessité pour les entreprises.

Si vous n’avez pas encore mis en place de filtre antispam, ou bien si vous n’êtes pas satisfait de votre fournisseur actuel, du taux de détection ou du taux de détection de faux positifs, contactez TitanHQ pour en savoir plus sur SpamTitan, le leader des logiciels antispam pour les entreprises.

AdvisorsBot : une nouvelle menace malveillante polyvalente distribuée par des spams

AdvisorsBot : une nouvelle menace malveillante polyvalente distribuée par des spams

Les hôtels, restaurants et entreprises de télécommunications sont la cible d’une nouvelle campagne de spam qui distribue une nouvelle forme de malware appelée AdvisorsBot. AdvisorsBot est un téléchargeur de malwares qui, comme de nombreuses autres variantes, est distribué par des emails contenant des pièces jointes Microsoft Word avec des macros malveillantes.

L’ouverture d’une pièce jointe infectée et l’activation des macros figurant dans le document entraîneront l’installation d’Advisorsbot. Le rôle principal de ce malware est de relever les empreintes digitales sur un appareil infecté. Les informations recueillies sur le dispositif infecté sont ensuite communiquées aux serveurs de commande et de contrôle des acteurs de la menace et des instructions supplémentaires sont fournies au malware en fonction des informations collectées sur le système. Le malware enregistre les informations système, les détails des programmes installés sur l’appareil, les détails du compte Office et d’autres informations. Il est également capable de faire des captures d’écran sur un appareil infecté.

AdvisorsBot est ainsi nommé parce que les premiers échantillons de malwares identifiés en mai 2018 ont contacté les serveurs de commande et de contrôle qui contenaient le mot advisors.

La campagne de spam est principalement menée sur des cibles aux États-Unis, mais d’autres infections ont également été détectées dans le monde entier. Selon les chercheurs en sécurité de Proofpoint qui ont découvert cette nouvelle menace, plusieurs milliers d’appareils ont été infectés par le malware depuis le mois de mai. Les pirates qui seraient à l’origine de ces attaques sont un groupe d’attaquants APT (Advanced Persistent Threat), connu sous le nom de TA555.

Différents leurres par email ont été utilisés dans cette campagne de malware pour inciter les destinataires à ouvrir la pièce jointe infectée et à activer les macros. Les emails envoyés aux hôtels semblaient provenir de personnes ayant été facturées deux fois pour leur séjour. La campagne sur les restaurants a utilisé des emails qui affirmaient que l’expéditeur a souffert d’une intoxication alimentaire après avoir mangé dans un établissement particulier, tandis que les attaques contre les entreprises de télécommunications avaient recours à des pièces jointes d’emails qui semblaient être des curriculum vitae de candidats postulant à une offre d’emploi.

AdvisorsBot est écrit en langage « C », mais une deuxième forme du malware a également été détectée. Cette variante est écrite en .NET et PowerShell. Cette deuxième variante a été nommée PoshAdvisor et elle est exécutée via une macro malveillante. Cette macro va, à son tour, exécuter une commande PowerShell qui télécharge un script PowerShell, lequel exécute le shellcode, ce qui exécute le malware dans la mémoire sans l’écrire sur le disque de l’appareil infecté.

Ces menaces de malware sont encore en cours de développement. Elles sont typiques de nombreuses menaces de malwares récentes qui disposent d’un large éventail des capacités et de la polyvalence nécessaires pour de nombreux types d’attaques différents comme le vol d’informations, la distribution de ransomwares et l’extraction de cryptomonnaie. Les actions malveillantes sont déterminées en fonction du système sur lequel le malware a été installé. Si ce système est parfaitement adapté à l’extraction de cryptomonnaie, le code correspondant sera installé. Si l’entreprise présente un intérêt particulier, elle fera l’objet d’un compromis plus large.

La meilleure forme de défense contre cette campagne est l’utilisation d’une solution avancée de filtrage de spam pour empêcher la distribution des emails malveillants, ainsi qu’une formation de sensibilisation des employés à la sécurité afin qu’ils puissent réagir au cas où une telle menace arriverait dans leur boîte de réception.

Attaques de phishing dans les écoles : votre école en fait-elle assez pour les empêcher ?

Attaques de phishing dans les écoles : votre école en fait-elle assez pour les empêcher ?

Aux États-Unis, les attaques de phishing contre les écoles et les établissements d’enseignement supérieur se sont multipliées ces derniers mois, soulignant ainsi la nécessité d’améliorer les programmes de formation du personnel et des moyens de défense contre la cybersécurité.

Le phishing consiste à envoyer des emails dans le but d’amener les destinataires à révéler des renseignements de nature délicate, comme des ouvertures de session à des comptes de messagerie électronique, des comptes bancaires ou d’autres systèmes informatiques. Généralement, un lien est inclus dans l’email qui dirigera l’utilisateur vers un site Web où l’information doit être entrée. Les sites, ainsi que les emails, contiennent des informations qui donnent l’impression que la demande est authentique.

Le phishing n’est pas nouveau. Il existe depuis les années 1980, mais la manière avec laquelle les informations sensibles sont stockées électroniquement et l’augmentation du nombre de transactions effectuées en ligne ont rendu les attaques beaucoup plus rentables pour les cybercriminels. En effet, les attaques ont augmenté et la qualité des emails de phishing s’est améliorée de façon incommensurable. De plus, les emails de phishing sont de plus en plus difficiles à identifier, en particulier par les membres du personnel non formés.

Aucune organisation n’est à l’abri des attaques. Si auparavant, les cybercriminels concentraient leurs efforts sur les institutions financières et les organismes de santé, aujourd’hui, le secteur de l’éducation est largement ciblé. Les attaques de phishing contre les écoles sont beaucoup plus fréquentes, et elles sont trop souvent couronnées de succès.

L’ampleur du problème est telle que l’IRS (Internal Revenue Service, le fisc américain) a récemment lancé un avertissement à la suite d’une augmentation massive des attaques de phishing contre les écoles. Des campagnes étaient menées par des attaquants à la recherche de données du formulaire W-2 sur les employés des établissements scolaires. Ces renseignements ont ensuite été utilisés pour produire des déclarations de revenus frauduleuses au nom de leurs employés.

Les récentes attaques de phishing contre des écoles, collèges et universités

Le Westminster College est l’un des récents établissements d’enseignement à avoir signalé qu’un employé s’est fait prendre au piège avec le phishing par formulaire W-2, bien qu’il y ait eu des dizaines d’écoles, de collèges et d’universités qui ont été attaqués cette année.

Les emails de phishing n’ont pas seulement pour but d’obtenir des renseignements fiscaux. Récemment, une attaque contre des écoles publiques de Denver a donné à un cybercriminel les informations dont il avait besoin pour effectuer un virement bancaire frauduleux. Plus de 40 000 $ destinés à payer les salaires du personnel ont été transférés sur son compte.

Cette semaine, nous avons appris via les forums sur le darknet qu’un pirate informatique avait eu accès aux comptes de messagerie d’une école, aux cahiers de notes des enseignants et aux renseignements personnels de milliers d’élèves. Cette personne cherchait des conseils sur ce qu’il fallait faire avec les données et les accès qu’il a obtenus afin de gagner de l’argent.

L’École de médecine de l’Université de Washington a été la cible d’une attaque de phishing, laquelle a permis aux agresseurs d’avoir accès aux renseignements médicaux des patients. Plus de 80 000 patients se sont fait voler leurs renseignements médicaux à la suite de cette attaque.

La semaine dernière, des informations ont également fait état d’une tentative d’attaque de phishing contre des écoles du Minnesota, avec 335 districts scolaires publics et environ 170 écoles potentiellement attaquées. Cette fois, l’attaque de phishing a été identifiée avant que l’information n’ait été divulguée. Elle concernait un courriel qui semblait avoir été envoyé par le Commissaire à l’Éducation. En réalité, les attaquants essayaient d’avoir accès à des informations financières.

Comment améliorer les défenses contre les attaques de phishing ?

Heureusement, il existe un certain nombre de contrôles technologiques qui peuvent être mis en œuvre, et à moindre coût, pour réduire le risque de succès des attaques par phishing dans les écoles.

Une solution avancée de filtrage du spam dotée d’un puissant composant antiphishing est maintenant essentielle. Un filtre antispam recherche les signatures de spam et de phishing courantes. Il s’assure également que les messages suspects soient mis en quarantaine et qu’ils ne soient pas envoyés aux utilisateurs finaux.

Bien entendu, même avec un filtre antispam, des emails de phishing peuvent parfois être envoyés. Pour empêcher les employés de visiter des sites Web de phishing et de révéler leurs informations, une solution de filtrage Web peut être utilisée.

Les filtres Web peuvent être configurés pour empêcher les utilisateurs finaux de visiter des sites Web connus et qui peuvent être utilisés pour le phishing. De plus, ces filtres permettent d’empêcher les utilisateurs d’accéder à des sites Web connus pour contenir des malwares, pour héberger des contenus illégaux ou indésirables tels que la pornographie.

Ces solutions devraient s’accompagner d’une formation pour tous les membres du personnel sur les risques liés au phishing et sur les identificateurs communs qui peuvent aider le personnel à repérer un email de phishing.

Par ailleurs, les écoles devraient mettre en œuvre des politiques pour signaler les menaces au niveau des services informatiques de l’organisation. Un signalement rapide peut limiter les préjudices causés par les attaques de phishing et empêcher les autres membres du personnel d’y répondre.

En outre, les services informatiques devraient mettre en place des politiques pour s’assurer que les attaques déjouées soient signalées aux forces de l’ordre.

Enfin, le signalement doit être envoyé aux autres districts scolaires à la suite d’une attaque pour leur permettre de prendre des mesures afin de se protéger contre des attaques similaires.

Toute école ou institution d’enseignement supérieur qui ne met pas en place les moyens de défense appropriés courra un risque élevé qu’une attaque de phishing soit un succès.

Non seulement les attaques de phishing exposent les employés à un risque de fraude, mais elles peuvent s’avérer trop coûteuses à atténuer pour les écoles. Avec des budgets déjà serrés, la plupart d’entre elles n’ont tout simplement pas les moyens de le faire.

Si vous souhaitez obtenir de plus amples informations sur la gamme de protections en matière de cybersécurité pouvant être mises en place pour prévenir les attaques de phishing dans les écoles et autres établissements scolaires, appelez dès aujourd’hui TitanHQ.

Nouvelles statistiques de Google sur les menaces à la sécurité des emails d’entreprise

Nouvelles statistiques de Google sur les menaces à la sécurité des emails d’entreprise

Google a publié ses dernières statistiques sur les principales menaces à la sécurité des emails d’entreprise.

Le rapport du géant des moteurs de recherche se penche également sur les dernières attaques par email sur les utilisateurs de comptes Gmail d’entreprise. Le rapport fait suite à une présentation faite lors de la conférence de la RSA, laquelle avait fourni plus de détails sur les plus grandes menaces à la sécurité des emails d’entreprise et qui doivent maintenant être bloquées.

Selon les données de Google, le spam reste un problème majeur pour les entreprises. Bien que le blocage d’emails non sollicités constitue une nuisance, car il entraîne de nombreuses heures de perte de productivité pour les entreprises, les utilisateurs font actuellement face à une menace beaucoup plus importante par les spams. Les emails malveillants constituent désormais une menace majeure.

Les cybercriminels ciblent beaucoup plus d’utilisateurs professionnels que les titulaires de comptes de messagerie personnels. La raison en est claire : les pirates ont plus d’intérêt à infecter les ordinateurs d’entreprise par des malwares, plutôt que de faire cela sur les ordinateurs personnels. Les entreprises sont beaucoup plus susceptibles de payer des rançons si les données sont chiffrées par un ransomware. Les données stockées par les entreprises ont beaucoup plus de valeur sur le darknet, et le pillage des comptes bancaires des entreprises rapporte beaucoup plus.

Il n’est donc pas surprenant d’apprendre que les statistiques de Google montrent que les entreprises sont 6,2 fois plus susceptibles de recevoir des emails de phishing et 4,3 fois plus susceptibles d’être ciblées par des emails infectés. En revanche, le spam est plus universel, les comptes de messagerie professionnels étant 0,4 fois plus susceptibles d’être spammés que les comptes personnels.

Principales menaces pour la sécurité de la messagerie d’entreprise par secteur d’activité

Les menaces à la sécurité des emails d’entreprise ne sont pas uniformément réparties.

Les cybercriminels mènent des attaques très ciblées contre des secteurs spécifiques de l’industrie. Les données de Google montrent que les organisations à but non lucratif sont le plus souvent ciblées par des malwares, recevant 2,3 fois plus de emails infectés que les comptes professionnels.

Le secteur de l’éducation est également largement ciblé. Les écoles, les collèges et les universités sont 2,1 fois plus susceptibles de recevoir des emails infectés par des malwares, suivis des industries gouvernementales, lesquelles sont 1,3 fois plus susceptibles d’être ciblées que les entreprises.

Cependant, lorsqu’il s’agit de spam et d’attaques de phishing, c’est le secteur des affaires qui est le plus souvent ciblé. À l’heure actuelle, le spam est le plus gros problème pour les entreprises des secteurs de l’informatique (TI), du logement et du divertissement ;  tandis que les attaques de phishing sont beaucoup plus souvent menées contre les entreprises de l’IT, les organismes artistiques et ceux du secteur financier.

Les spams malveillants représentent un risque majeur pour les entreprises

Comme nous l’avons vu à maintes reprises au cours des deux dernières années, l’email est un vecteur d’attaque majeur pour les entreprises.

Les cybercriminels utilisent les spams pour infecter les utilisateurs finaux avec des malwares qui volent des informations, des ransomwares qui chiffrent les fichiers et des attaques de phishing qui usurpent les identités. Les attaques par email sont encore très rentables. Elles ne nécessitent que peu d’efforts et permettent aux criminels de contourner les contrôles de sécurité en ciblant les utilisateurs finaux.

Compte tenu de l’augmentation massive des variantes de malwares et de ransomwares au cours des deux dernières années, le blocage du spam et des messages malveillants est aujourd’hui plus important que jamais. De plus, le coût de l’atténuation des atteintes à la protection des données augmente d’année en année (selon le Ponemon Institute). Les infections par des malwares et des ransomwares peuvent être extrêmement coûteuses à résoudre, tandis que les attaques de phishing réussies peuvent rapporter aux cybercriminels d’énormes sommes grâce à la vente de données d’entreprise volées et à la réalisation de transferts bancaires frauduleux. Ces coûts doivent être absorbés par les entreprises.

Protection de votre organisation contre les menaces transmises par des emails

Heureusement, il est possible d’atténuer les menaces à la sécurité de la messagerie d’entreprise en utilisant une solution avancée de filtrage de spam telle que SpamTitan. SpamTitan bloque 99,97 % des spams et affiche un faible taux de faux positifs (seulement 0,03 %).

Un puissant composant anti-phishing empêche également les emails de phishing d’être envoyés aux utilisateurs finaux ; tandis que deux moteurs antivirus (Bitdefender/ClamAV) sont utilisés pour analyser tous les messages entrants (et sortants) à la recherche de liens malveillants et de pièces jointes.

Si vous souhaitez améliorer vos défenses contre les dernières menaces de sécurité de messagerie d’entreprise, contactez l’équipe TitanHQ dès aujourd’hui. Étant donné que SpamTitan est disponible pour une période d’essai gratuite de 30 jours, vous pouvez constater par vous-même l’efficacité de notre produit pour protéger votre entreprise contre les menaces transmises par emails avant de l’acheter.

Comment combler l’écart de sécurité des emails dans Microsoft Office 365 ?

Les fournisseurs de services d’infogérance (MSP) doivent toujours prendre des précautions pour protéger les utilisateurs contre les attaques cybercriminelles. Plus de 135 millions d’abonnés utilisent actuellement Office 365. Il est donc presque impossible pour tout MSP d’ignorer ce fait, c’est-à-dire de ne pas y porter une attention particulière, d’autant que ce service a ses propres problèmes de sécurité.

La suite Office de Microsoft offre aux utilisateurs l’accès à leurs emails, à leur stockage One Drive, à Skype et à SharePoint via un seul abonnement. Chacune de ces ressources a ses propres lacunes en matière de sécurité.

Voici donc quelques questions courantes que les MSP devraient toujours prendre en compte pour protéger les données des utilisateurs.

Mesures de sécurité offertes par les fournisseurs de cloud

Certains clients utiliseront Office 365 avec des applications cloud tierces. Bien que cela puisse être efficace pour les utilisateurs et améliorer la productivité de leur entreprise, l’ajout de toute application tierce à leurs plates-formes internes comporte un certain niveau de risque pour la sécurité. En effet, les attaquants peuvent utiliser les emails de phishing pour accéder à une plate-forme en utilisant parfois des fournisseurs tiers comme vecteur.

One Drive est inclus avec Office 365. Une attaque de phishing réussie pourrait donc compromettre un périphérique de stockage dans le cloud. Et comme le stockage dans le cloud est accessible au public, un attaquant peut violer les données stockées sans jamais attaquer le réseau interne. Ainsi, les fournisseurs de services mobiles doivent aussi prendre des précautions pour protéger le réseau interne contre les attaques de phishing.

Ransomware et cryptomining

Le ransomware NotPetya était devenu une menace pour la sécurité informatique mondiale lorsque la menace s’est étendue à différents réseaux et à des données chiffrées. En effet, le ransomware est l’une des applications malveillantes les plus dangereuses, car l’attaque analyse le matériel local de l’utilisateur (et dans certains cas le réseau) pour rechercher des données sensibles.

Lorsqu’il trouve les fichiers, il les chiffre avec une clé asymétrique qui ne peut pas être déchiffrée sans payer une rançon. Le montant de la rançon peut être minime, mais il peut aussi aller jusqu’à plusieurs milliers de dollars. Plus l’utilisateur met du temps à le payer, plus la somme augmente.

En 2018, les attaques de malwares par cryptomining (également appellées cryptojacking ou minage de cryptomonnaies) sont devenues fréquentes. Elles consistent en un vol des ressources des utilisateurs, lesquelles seront utilisées pour miner la cryptomonnaie de l’attaquant.

Ces attaques se présentent généralement sous la forme de code JavaScript côté client et injecté sur des sites à forte publicité. Les utilisateurs remarquent que leur ordinateur devient lent, mais ils reconnaissent rarement que les problèmes de performance sont basés sur une attaque par cryptojacking. À noter que 90% des attaques d’exécution de code à distance étaient des attaques par cryptojacking.

De tous les malwares livrés à un utilisateur distant, y compris les employés de l’entreprise, 92 % de la livraison se fait par messagerie électronique.

Les attaques de phishing sont courantes, car l’attaquant peut cibler un groupe de personnes avec des liens malveillants ou des pièces jointes pouvant porter une charge utile importante.

Vulnérabilités SAML

Microsoft utilise le langage SAML (Security Assertion Markup Language) pour transférer les informations d’authentification. Une faille a été trouvée, ayant permis à un attaquant d’exploiter un échec dans la procédure d’authentification qui n’authentifie pas un élément nommé NameID.

Les chercheurs ont suggéré que cette vulnérabilité de sécurité aurait pu être présente depuis que Microsoft a publié pour la première fois Office 365 pour le grand public.

Les MSP doivent toujours être à jour sur les derniers risques en matière de sécurité, lesquels peuvent affecter n’importe quel utilisateur d’Office 365 et entraîner une perte de données sur One Drive, via les emails depuis Exchange ou via Skype. Dans certains scénarios, les attaquants peuvent obtenir un accès administratif à la plate-forme Office 365.

Logiciels obsolètes lors d’une migration vers Office 365

Les anciens logiciels Office s’exécutent depuis l’ordinateur d’un utilisateur, contrairement à Office 365 qui fonctionne dans le cloud. Le nombre de vulnérabilités est le principal problème de sécurité d’un MSP chargé de la migration d’un logiciel ancien vers une nouvelle plateforme cloud. En effet, les applications tierces peuvent représenter un risque pour une entreprise qui n’a pas mis à jour son logiciel.

Ce sont les petites entreprises qui ignorent le plus souvent les mises à jour logicielles. Ceci les rend donc vulnérables aux attaques lorsque le MSP réalise la migration de leurs anciens logiciels vers la nouvelle plate-forme Office 365. Tous les logiciels doivent être mis à jour avant une telle opération. La simple mise à jour d’un logiciel réduit considérablement le nombre de menaces de sécurité relatives aux versions obsolètes et non corrigées.

L’email de phishing est commun à la plupart des vulnérabilités

Le problème de sécurité le plus problématique pour tout MSP travaillant avec des clients Office 365 est l’attaque par emails de phishing. Si l’organisation ne dispose pas encore d’une solution pour filtrer les emails malveillants, il faut une solution plus fiable. Les filtres de messagerie et la détection de malwares peuvent prendre en charge la plupart des pièces jointes de malwares, les emails de phishing, les cyberarnaques et tout autre problème de sécurité lié au serveur Exchange.

Les fournisseurs de services mobiles doivent prendre des précautions avancées pour protéger les utilisateurs contre les menaces à la sécurité web. Ils doivent faire appel à un fournisseur tiers fiable tel que TitanHQ, une enseigne spécialisée dans la sécurité de la messagerie et du web depuis 25 ans.

TitanHQ travaille avec plus de 2000 MSP dans le monde entier, dont beaucoup utilisent Office 365. SpamTitan est une couche de sécurité de messagerie supplémentaire vitale qui offre une protection avancée aux utilisateurs et aux entreprises contre le phishing, les ransomwares, les malwares et la fraude informatique.