De nouvelles tactiques de phishing ciblant Microsoft Office 365 identifiées

De nouvelles tactiques de phishing ciblant Microsoft Office 365 identifiées

Microsoft Office 365 est aujourd’hui le service cloud le plus prisé par les entreprises. Un employé d’entreprise sur cinq l’utilise actuellement et, selon Gartner, 56% des entreprises qui ont recours aux services cloud utilisent Office 365.

Toute plateforme qui attire un très grand nombre d’utilisateurs est une cible majeure pour les cybercriminels. Les pirates informatiques mettent au point des méthodes novatrices pour attaquer les entreprises et contourner les protections d’Office 365 afin que leurs emails de phishing soient livrés dans les boîtes de réception des employés.

Plusieurs campagnes de phishing connues sont testées sur des comptes Office 365 authentiques pour s’assurer que les attaques soient bloquées avant qu’elles ne soient réellement menées sur les utilisateurs professionnels. Mais la protection Exchange Online Protection (EOP) de Microsoft n’est pas suffisante pour bloquer ces menaces. Les utilisateurs doivent payer plus pour bénéficier d’une protection avancée afin de bloquer les escroqueries de phishing sophistiquées dont le nombre ne cesse d’augmenter.

Quatre campagnes ont été récemment identifiées. Elles utilisent de nouvelles tactiques pour échapper à la détection d’Office 365 et tromper les utilisateurs finaux afin qu’ils divulguent leurs identifiants de connexion.

Des pages d’erreur 404 personnalisées ont été utilisées pour héberger des formulaires de phishing

Les chercheurs de Microsoft ont identifié une nouvelle tactique utilisée dans une campagne de phishing ciblant Office 365. Elle utilise des pages d’erreur 404 pour héberger des formulaires de phishing.

D’une manière générale, la page d’erreur 404 s’affiche lorsqu’un utilisateur tente de visiter un site web qui n’existe pas. En personnalisant la page 404 et en l’utilisant pour héberger un formulaire de phishing, les pirates disposent d’un nombre pratiquement illimité d’URL pour lancer des attaques. N’importe quelle URL afficherait la page 404 ainsi que le formulaire de phishing, et de nombreuses solutions de sécurité de messagerie ne peuvent pas détecter le lien comme étant malveillant.

Des notifications de messagerie vocale ont été utilisées comme leurre dans des campagnes de phishing avec Office 365

Récemment, les chercheurs d’Avanan ont également identifié une campagne de phishing qui utilise les notifications par messagerie vocale comme leurre dans le but d’obtenir des identifiants de connexion Office 365. Les emails incluent les logos de Microsoft Office 365 et la notification de l’heure d’un appel, du numéro de l’appelant et de la longueur du message vocal.

Le texte et les logos sont combinés en trois images dans l’email et un fichier HTML est joint en pièce jointe. L’email prétend qu’il s’agit du contenu du message vocal. Si elle est ouverte, la pièce jointe HTML utilise le meta refresh pour rediriger la victime depuis la page HTML stockée localement vers une page hébergée sur Internet où il est présenté avec une boîte de connexion à Office 365. Les informations d’identification sont nécessaires pour écouter le message via le système de gestion de la messagerie vocale falsifiée.

Des justificatifs d’identité des comptes administrateur de Microsoft Office 365 ont été ciblés

Les justificatifs d’identité de Microsoft Office 365 sont d’une importance capitale, mais les plus précieux sont ceux des administrateurs. Un employé peut disposer d’un compte de messagerie électronique contenant des données sensibles. Ses informations d’identification peuvent permettre l’accès à un nombre limité de ressources dans le cloud. En effet, un ensemble d’informations d’identification d’administrateur donnerait à un attaquant la possibilité de créer de nouveaux comptes, d’accéder aux comptes d’autres utilisateurs, d’envoyer des messages à partir de leurs comptes de messagerie et d’accéder à un éventail beaucoup plus large de ressources.

Les administrateurs d’Office 365 ont été ciblés dans le cadre d’une campagne de phishing utilisant des alertes pour les amener à divulguer leurs informations d’identification. Deux des leurres les plus courants font référence à un problème critique avec le service de messagerie électronique et à la découverte d’un incident d’accès non autorisé à une ressource.

Les attaques utilisent les informations d’identification en temps réel

Une autre campagne de phishing a été détectée dans laquelle les pirates utilisent les données saisies dans de faux formulaires de connexion Office 365 pour leur permettre d’accéder au véritable compte Office 365 en temps réel. Bien entendu, avec le faux formulaire, l’utilisateur va échouer lorsqu’il essaie de se connecter à son compte légitime. Il reçoit donc un avertissement qui lui demande de saisir à nouveau ses identifiants. Lorsque les informations d’identification correctes ont été confirmées, l’utilisateur est redirigé vers sa véritable boîte de réception Office 365, très probablement sans savoir que ses informations d’identification ont été volées.

Ces quatre nouvelles tactiques ont été utilisées par les cybercriminels pour accéder aux identifiants Office 365 des utilisateurs professionnels. En l’absence de moyens de protection avancés contre le phishing, bon nombre d’emails malveillants seront envoyés dans les boîtes de réception des utilisateurs finaux.

La formation de sensibilisation à la sécurité des employés contribuera grandement à renforcer votre dernière ligne de défense. Pourtant, si la majorité des menaces par email ne sont pas bloquées, il y aura toujours des risques d’atteintes à la protection des données. Cela signifie que les entreprises devront payer plus pour obtenir la fonction avancée d’Office 365. Pourtant, elles ont une autre alternative, à savoir utiliser une solution anti-spam et anti-phishing tierce.

Lorsque SpamTitan est superposé à Office 365, les entreprises seront protégées contre toute la gamme des menaces basées sur la messagerie électronique. Les techniques avancées de phishing comme celles décrites ci-dessus pourront donc être détectées et neutralisées.

La solution de filtrage DNS de TitanHQ, WebTitan, ajoute une autre couche de sécurité pour protéger votre entreprise et vos employés contre les attaques de phishing. WebTitan bloque toutes les pages web malveillantes connues et recherche les contenus malveillants sur les nouveaux sites web. Ainsi, les menaces pourront être détectées et les pages web malveillantes seront bloquées avant qu’un contenu puisse être téléchargé.

Pour plus d’informations sur la sécurisation des comptes Office 365 et sur l’amélioration de vos défenses anti-phishing, contactez l’équipe TitanHQ dès aujourd’hui.

Une campagne de phishing contre Office 365 utilise de fausses pages de connexion

Une campagne de phishing contre Office 365 utilise de fausses pages de connexion

Une campagne de phishing innovante a été découverte. Elle utilise de fausses pages de connexion de Microsoft Office 365 pour inciter ses victimes à croire qu’elles se connectent à leur véritable compte Office 365.

Les emails de phishing informent l’utilisateur qu’une erreur de synchronisation des messages a bloqué la livraison des emails à son compte de messagerie. Un lien est fourni avec le texte d’ancrage « Lire le message » qui le dirige vers une fausse page de connexion Office 365 où il peut consulter les messages et décider quoi faire avec.

Si l’utilisateur clique sur le lien, son adresse email sera vérifiée et validée, et il sera dirigé vers la page de phishing. Ce qui rend cette campagne unique, c’est que le contrôle permet aux attaquants d’extraire du contenu de la page de connexion de l’utilisateur d’Office 365 via des requêtes HTTP GET. La page de phishing est personnalisée avec l’arrière-plan et le logo de l’entreprise, et ce, de manière dynamique. Si l’entreprise n’a pas de page de connexion personnalisée, c’est le fond d’écran d’Office 365 standard qui s’affiche.

Les pages de connexion sont des clones des pages authentiques d’Office 365. Il est donc peu probable qu’elles soient reconnues comme fausses par les utilisateurs. Les pages de phishing sont également hébergées sur une infrastructure de stockage légitime dans le cloud. Parmi les noms de domaines utilisés, on compte blob.core.windows.net et azurewebsites.net qui ont des certificats SSL Microsoft valides. Ainsi, les pirates peuvent mener une campagne très convaincante et susceptible de tromper de nombreux employés afin qu’ils divulguent leurs identifiants de connexion.

Les utilisateurs de Microsoft Office 365 sont la cible privilégiée des cybercriminels

Microsoft Office 365 est le service cloud le plus prisé par les entreprises. Il compte actuellement plus de 155 millions d’utilisateurs actifs. Un employé américain sur cinq utilise au moins un service Office 365 et la moitié des entreprises qui ont recours aux services cloud utilisent cette solution de Microsoft.

Avec des chiffres aussi élevés, il n’est pas surprenant que les utilisateurs d’Office 365 soient la cible privilégiée des pirates informatiques.

Ce qui est très préoccupant, c’est le nombre d’emails malveillants qui parviennent à contourner les moyens de défense standard contre le phishing d’Office 365. Une étude réalisée par Avanan cette année a montré que 25 % des emails de phishing contournent les défenses d’Office 365 et arrivent dans les boîtes de réception des employés.

Lorsqu’un pirate informatique réussit à accéder à un compte de messagerie, il peut utiliser ce compte pour mener des attaques de phishing contre d’autres employés de l’entreprise. Pour ce faire, ils tentent de compromettre autant de comptes que possible et, idéalement, un compte administrateur. Les comptes compromis peuvent également être utilisés pour les attaques BEC, une arnaque sophistiquée ciblant les entreprises qui sont en relation d’affaires avec des fournisseurs étrangers ou avec des entreprises effectuant des paiements par virement bancaire.

A noter que les identifiants de connexion peuvent être utilisés pour accéder à d’autres ressources Office 365 et les comptes de messagerie peuvent être utilisés pour voler des données sensibles.

Comment protéger votre entreprise des attaques de phishing contre Office 365 ?

Il y a trois mesures clés que vous pouvez prendre pour améliorer vos défenses contre le phishing d’Office 365. L’étape la plus importante est d’améliorer votre système de sécurité avec une solution anti-spam et anti-phishing tierce.

SpamTitan peut être implémenté en quelques minutes et fournit une protection supérieure contre les attaques de phishing contre Office 365. La solution a été testée indépendamment et s’est révélée capable de bloquer plus de 99,9 % des spams et 100 % des malwares connus. Elle comporte également une fonction bac à sable, où les pièces jointes suspectes peuvent être analysées dans un environnement sécurisé. Par ailleurs, SpamTitan intègre une solution d’authentification DMARC qui assure une protection contre les attaques par usurpation d’identité et qui contournent généralement les filtres de sécurité d’Office 365.

Néanmoins, aucune solution de sécurité web n’offre une protection totale contre les attaques de phishing. Il est donc important de vous assurer que vos employés reçoivent une formation de sensibilisation à la sécurité. Ils devraient être formés quant aux risques d’attaques par emails et à la façon d’identifier les emails de phishing.

Grâce à une formation efficace, vous pouvez faire de vos employés la dernière ligne de défense solide contre de telles menaces.

N’oubliez pas que même les employés les plus soucieux de la sécurité pourraient se laisser duper par un email de phishing sophistiqué et divulguer leurs identifiants de connexion à Office 365. Il est donc important de mettre en œuvre l’authentification à deux facteurs.

L’authentification à deux facteurs nécessite une deuxième méthode d’authentification des utilisateurs – en plus du mot de passe – lorsqu’ils tentent de se connecter à leurs comptes Office 365 à partir d’un emplacement inconnu ou d’un nouvel appareil. Dans le cas où les informations d’identification seraient compromises, l’accès au compte peut être bloqué par l’authentification à deux facteurs. Cependant, les entreprises ne devraient pas se fier uniquement à cette mesure pour protéger leurs comptes Office 365, car elle n’est pas infaillible.

Si vous souhaitez en savoir plus sur l’amélioration de la sécurité d’Office 365, appelez l’équipe TitanHQ dès aujourd’hui et réservez une démonstration du produit. SpamTitan est également disponible en version d’essai gratuite pour que vous puissiez l’évaluer avant de prendre une décision d’achat.

Pourquoi Office 365 ne suffit pas pour l’archivage des emails

Pourquoi Office 365 ne suffit pas pour l’archivage des emails

Dans ce dossier, nous expliquerons pourquoi les entreprises qui utilisent Office 365 devraient mettre en œuvre un service d’archivage des e-mails tiers plutôt que d’utiliser la fonction d’archivage d’Office 365 pour assurer la conformité.

De nombreuses entreprises ont abandonné leurs systèmes de messagerie Exchange sur site et ont choisi la solution d’archivage des e-mails dans le cloud. Les avantages d’une telle mesure sont nombreux. Le passage au cloud signifie qu’il n’est plus nécessaire d’acheter et de maintenir du matériel sur site. Les entreprises peuvent donc libérer l’espace dédié aux disques physiques. De plus, il n’y a pas de limite quant au nombre de compte de messagerie pouvant être configuré.

Les entreprises stockent d’énormes quantités d’informations critiques dans leurs boîtes de messagerie, telles que les contacts, les bons de commande, les documents juridiques et la propriété intellectuelle. Il est important que ces informations soient toujours disponibles et ne puissent pas être supprimées accidentellement. Une étude d’IDC suggère que 60 % des informations sensibles pour l’entreprise sont effectivement stockées dans leur système de messagerie électronique.

La plupart du temps, cette information n’est pas nécessaire, il est donc logique d’archiver les e-mails. Mais lorsque l’information contenue dans les archives doit pouvoir être trouvée et récupérée via une simple recherche.

Si les e-mails doivent être récupérés pour des raisons légales, les entreprises doivent démontrer que les messages archivés, c’est-à-dire les conversations passées avec un client, doivent être exactement la même que ceux qui ont été reçus ou envoyés par un client. L’entreprise doit donc prouver que les e-mails n’ont pas été modifiés.

Les utilisateurs d’Office 365 peuvent prouver l’authenticité d’un e-mail en le conservant dans Office 365. Les messages placés en mise attente légale sont conservés dans leur forme originale, c’est-à-dire qu’ils ne sont pas modifiés. Il incombe à l’administrateur d’Office 365 d’activer  cette fonctionnalité via le panneau d’administration. De cette manière, les messages édités et supprimés peuvent toujours être récupérés avec le message original par l’intermédiaire du Compliance Center.

Pour garantir la conformité, la mise en attente légale ne doit jamais être désactivée. Sans cela, les messages risquent d’être perdus à jamais dans le système de messagerie électronique.

Il y a deux options de mise en attente légale : la mise en attente pour litige et la retenue sur place. Dans le premier cas, tous les messages seront conservés, même s’ils sont supprimés des boîtes de réception.

Avec la mise en attente sur place, l’administrateur peut définir des critères pour une requête de recherche et seuls les messages qui répondent à cette requête de recherche seront préservés. Avec la mise en attente sur place, si un utilisateur supprime un e-mail qui n’est pas couvert par la requête de recherche, il sera purgé dans les 14 jours qui suivent et ne pourra plus être récupéré, même par l’équipe informatique. Avec cette option, les entreprises ne pourront pas prouver qu’un message n’a pas été envoyé.  Si un message n’est pas dans l’archive, cela pourrait simplement signifier qu’il n’a pas été récupéré par la requête de recherche.

La mise en attente légale est donc la meilleure option, mais tant que la mise en attente légale est configurée, la boîte aux lettres ne peut pas être supprimée, même si cette personne quitte l’entreprise. Si un compte utilisateur est supprimé et que cet utilisateur dispose d’un compte de messagerie, il pourra être supprimé, peu importe que le compte soit toujours en attente légale ou non.

La plupart des solutions d’archivage des e-mails de tiers utilisent une méthode d’archivage appelée journalisation. La journalisation prend une copie de tous les e-mails entrants et sortants sur le serveur de messagerie, ou de tous les messages des utilisateurs sélectionnés en temps réel. En plus du message, toutes les métadonnées et les pièces jointes qui y sont associées sont incluses dans le message du journal. Cette méthode d’archivage est utilisée par Microsoft Office 365, mais elle a des limites :

  • Les recherches sont limitées à moins de 10 000 comptes de messagerie par recherche.
  • Les résultats de recherche sont limités à 200 résultats avec Compliance Center. Pour obtenir plus de résultats en une seule recherche, un fichier .pst doit être utilisé. Puisque les fichiers .pst peuvent être édités. Cette méthode ne garantit donc pas l’authenticité du message, car des modifications peuvent encore être effectuées.
  • Un maximum de 2 recherches eDiscovery peuvent être effectuées à la fois au sein d’une même entreprise.
  • Si le service de messagerie tombe en panne, les e-mails qui sont mis en attente pour litige et/ou ceux mise en attente sur place ne sont pas accessibles.
  • Si la fonction Litigation Hold est désactivée, il n’est pas possible de prouver que les e-mails sont des originaux.
  • Sans une mise en attente pour litige, il n’est pas possible de prouver qu’un e-mail n’a pas été envoyé.
  • Les recherches sont limitées à la barre de recherche Outlook.
  • Les recherches peuvent être difficiles pour les utilisateurs non avisés.
  • Les recherches sont lentes, surtout si vous cherchez dans plusieurs dossiers. Par exemple, une recherche de 50 000 comptes de messagerie prendra environ 20 minutes.
  • Si des personnes quittent l’entreprise, les e-mails ne seront plus conservés, sauf si la boîte de messagerie est entretenue, ce qui a des répercussions financières.

Cette dernière question peut s’avérer coûteuse pour les organisations. Afin de maintenir la boîte de messagerie d’un utilisateur qui quitte l’entreprise, la licence pour cet utilisateur doit être maintenue. Si cet utilisateur doit être remplacé, une autre licence sera nécessaire pour son remplaçant.

Cela signifie que, pour une organisation de 50 employés, qui travaille pour le compte de l’entreprise pendant environ deux ans, l’entreprise doit payer 200 licences par an, alors qu’à un moment donné, seules 50 licences devraient être requises. Cela représente un coût supplémentaire important et inutile.

TitanHQ a développé sa solution d’archivage d’e-mails, ArcTitan, pour fonctionner en toute transparence avec Office 365. La solution résout les problèmes de conformité et de performance mentionnés ci-dessus. Elle complète également le Compliance Center de Microsoft avec des outils de recherche et de récupération beaucoup plus puissants. Les messages peuvent être trouvés et récupérés beaucoup plus rapidement et efficacement, et les entreprises pourront faire des économies considérables, car elles ne paient que les licences dont elles ont besoin, quel que soit le nombre d’employés qui quittent l’entreprise et sont remplacés.

Si vous êtes à la recherche d’une solution d’archivage des e-mails plus puissante pour Office 365, et qui peut rapidement et facilement être mise en œuvre en une seule étape, appelez l’équipe TitanHQ dès aujourd’hui. ArcTitan vous permettra d’économiser de l’argent et de garantir la conformité de vos systèmes d’archivage des e-mails.

Nouvelles attaques de phishing sur Outlook 365

Nouvelles attaques de phishing sur Outlook 365

Tout administrateur de messagerie est conscient des dangers du phishing, mais ce n’est que lorsqu’une organisation est spécifiquement ciblée que les choses deviennent sérieuse.

Les attaques de phishing sont généralement détectées par des filtres de messagerie, mais celles de spear phishing sont beaucoup plus sophistiquées. Celles-ci utilisent les données de base des employés pour éviter les filtres web et permettent aux pirates informatiques de bénéficier d’un meilleur retour sur investissement.

Un attaquant peut passer des jours (voire des semaines) à recueillir des données sur vos clients et employés et utiliser ces informations pour leur envoyer directement des e-mails. Avec une bonne technique d’attaque, il peut collecter des giga-octets de données sensibles ou voler des documents importants qui valent beaucoup d’argent pour vos concurrents.

Outlook 365 est un trésor pour le phishing

Récemment, les cybercriminels se sont concentrés directement sur les utilisateurs d’Outlook sur Office 365. Cette solution fournit un service de messagerie d’entreprise en utilisant les serveurs Microsoft Exchange. Pourtant, les administrateurs ont l’habitude d’utiliser les informations d’identification sur plusieurs facettes d’Office 365, notamment One Drive, Skype, SharePoint et Office Store.

En interne, cela ne pose pas de problème, mais si un attaquant parvient à accéder aux informations d’identification d’un utilisateur par le biais d’une campagne de spear phishing, il pourra donc accéder à plusieurs autres ressources.

Lors d’une attaque de phishing en 2017, les utilisateurs d’Office 365 ont été ciblés principalement pour leurs identifiants de messagerie. Les attaquants savaient que seul un petit pourcentage d’utilisateurs tombera dans le piège d’un e-mail non sollicité envoyé par une personne qu’ils ne connaissent pas. Par contre, ils font souvent confiance aux expéditeurs de messages qui figurent sur leur liste de contacts.

La récente campagne s’est alors concentrée sur le vol d’identifiants et sur l’envoi de messages contenant un document HTML malveillant en pièce jointe. L’agresseur a envoyé la pièce jointe malveillante à des personnes figurant sur la liste de contacts de la victime. L’e-mail semblait donc provenir d’un utilisateur connu par des douzaines d’autres utilisateurs. De cette manière, l’attaquant avait une meilleure chance de voler les informations d’identification de l’utilisateur.

Ce type d’attaque sophistiquée n’est pas nouveau, mais en se concentrant sur les utilisateurs d’Office 365, le cybercriminel avait une meilleure chance d’accéder à des données sensibles.

Pour aller plus loin, l’attaquant a utilisé les identifiants Skype de sa victime pour se connecter à un profil et envoyer un fichier malveillant à ses contacts. En utilisant cette méthode de spear phishing, il a fait passer l’attaque de quelques dizaines à des centaines d’utilisateurs. Il lui a suffi de choisir quelques bonnes cibles pour lui permettre de télécharger une grande quantité de données et documents sensibles, des secrets d’entreprise, de données financières sur les employés et les clients, et de nombreux autres fichiers qui pourraient constituer un risque énorme pour l’intégrité de l’organisation.

Campagne de phishing contre les utilisateurs d’Outlook 365

Les leurres utilisés lors de l’attaque de phishing généralisée de 2017 comprenaient des notifications frauduleuses de faible espace disque et des demandes d’examen d’un document sur DocuSign. Dans ces deux attaques, l’utilisateur était invité à fournir ses identifiants Office 365.

Les e-mails contenaient des lignes d’objet comprenant des mots-clés du genre « FYI », « Facture approuvée » ou « Fw : Paiements. » et invitaient les utilisateurs à fournir leurs identifiants Office 365. L’attaquant les a utilisés pour envoyer plus d’e-mails de phishing aux contacts d’affaires qui figuraient dans la liste de contacts du compte de l’utilisateur.

Les attaques Zero-Day représentent le plus grand risque

De nombreuses applications de filtrage et de sécurité de messagerie peuvent bloquer les malwares connus et qui sont couramment utilisés dans les attaques de phishing. Mais il est beaucoup plus difficile de détecter les attaques zero-day.

Cette forme d’attaque utilise des campagnes et des malwares qui n’ont pas encore été détectés auparavant. En effet, les logiciels antivirus dépendent beaucoup des fichiers de signatures d’attaques connues. Le fait est que les attaques zero-day n’utilisent pas de signature connue.

Avec les e-mails, il est encore plus difficile d’éviter les faux positifs tout en protégeant le système interne contre les attaques de phishing. Les faux positifs créent des ennuis pour l’utilisateur et peuvent affecter sa productivité. Le filtrage des e-mails est dans ce cas le moyen le plus efficace d’empêcher que les courriels malveillants atteignent la boîte de réception de leurs destinataires.

Pour améliorer la protection des e-mails contre les menaces en ligne, l’administrateur Exchange a besoin d’une solution de messagerie sécurisée utilisant des algorithmes avancés et qui permettent de prédire les attaques zero-day. Cette solution doit associer vérification des pièces jointes, analyse du contenu, anti- typosquattage, protection des liens et chiffrement.

La combinaison de ces couches de protection fournit une solution complète anti-phishing et anti-malware. Comme Microsoft Exchange s’intègre à un environnement réseau Windows, la solution doit également fonctionner avec Active Directory et LDAP.

Les filtres de base ne suffisent plus pour contrer les menaces sur le web

Les attaques de phishing continuent d’augmenter et adoptent de nouvelles tactiques ; et les spams augmentent en conséquence.

Au deuxième trimestre de 2018, la quantité moyenne de spams dans le trafic de messagerie électronique dans le monde a atteint 51 % au mois de mai, alors que la moyenne était de 50 %.

Pour identifier les problèmes dans les e-mails, les anciens filtres de messagerie vérifiaient la présence de mots spécifiques dans le titre ; d’un expéditeur spécifique ou de phrases trouvées dans le contenu. De nos jours, cette méthode n’est plus suffisante. Les pirates informatiques disposent actuellement d’un arsenal de techniques qui leur permettent de contourner cette méthode.

D’une part, les entreprises qui utilisent Office 365 se doivent de fournir à leurs employés une formation de sensibilisation à la sécurité informatique. Elles doivent également mettre en œuvre des filtres de courrier électronique plus efficaces, capable d’analyser le contenu. Par ailleurs, les entreprises doivent mettre en œuvre des couches de filtrage fiables pour déterminer si un email ou un lien dans un email pourrait être malveillant.

Avec le filtre de messagerie SpamTitan, vous offrez une passerelle de messagerie dédiée qui protège entièrement votre serveur Exchange et chaque destinataire au sein de votre entreprise. SpamTitan fournit une protection contre le phishing. Il empêche le whaling et le spear phishing grâce à l’analyse de tous les e-mails entrants en temps réel.

SpamTitan recherche des indicateurs clés dans l’en-tête de l’email, dans son contenu et dans les informations de domaine. SpamTitan effectue également une analyse de réputation de tous les liens (y compris les URL raccourcis) qui peuvent se trouver dans les e-mails. Ainsi, il peut bloquer les courriels malveillants avant leur envoi à l’utilisateur final.

Voici comment SpamTitan vous protège contre les tentatives de phishing :

  • Analyse de la réputation d’URL lors de l’analyse de plusieurs réputations.
  • Détection et blocage des courriers électroniques malveillants de spear phishing avec d’autres malwares existants ou nouveaux.
  • Utilisation de règles heuristiques permettant de détecter les attaques de phishing basées sur les en-têtes de message. Celles-ci sont mises à jour fréquemment pour faire face aux nouvelles menaces.
  • Synchronisation facile avec Active Directory et LDAP.
  • Les niveaux de confiance du spam peuvent être appliqués par utilisateur, par groupe d’utilisateurs et par domaine.
  • Utilisation d’une liste blanche ou liste noire d’expéditeurs/adresses IP.
  • Solution infiniment évolutive et universellement compatible.

La combinaison de ces fonctionnalités permet à SpamTitan d’offrir une excellente protection aux utilisateurs d’Office365. Il protège également les entreprises contre les attaques par spear phishing, le piratage par email professionnel (BEC) et la cyberfraude.

Enfin, les administrateurs système qui implémentent Office 365 doivent s’assurer qu’il est sécurisé. Pour se protéger contre les menaces persistantes avancées, ils ont intérêt à ajouter une solution hautement sécurisée de filtrage du spam comme SpamTitan.

Pour vous protéger contre les menaces avancées, vous avez besoin d’une protection avancée.

Découvrez SpamTitan dès aujourd’hui et inscrivez-vous pour obtenir un essai gratuit.

Votre compte Skype est-il vulnérable au piratage ?

Votre compte Skype est-il vulnérable au piratage ?

Le service populaire de voIP avec Skype a, une fois de plus, fait la une des journaux ces derniers temps. Cela fait suite à une série de nouvelles allégations selon lesquelles sa politique de récupération de compte peu fiable présente offrait aux pirates informatiques de nombreuses opportunités d’accéder illégalement à de nombreux comptes Skype. À noter que Skype compte actuellement environ 700 millions d’utilisateurs dans le monde, et ce nombre ne cesse d’augmenter.

Skype est sorti en 2003. Il a été conçu par des développeurs estoniens. Le service permet aux utilisateurs de communiquer avec leurs amis, leur famille et leurs collègues en utilisant un microphone, une webcam et la messagerie instantanée. Bien qu’il soit considéré comme un outil de communication vital pour de nombreux utilisateurs, Skype a fait l’objet de plusieurs critiques au fil des ans, car ses fonctions de sécurité et de récupération de comptes ont subi quelques revers.

Les plus récentes rumeurs sur la sécurité du réseau arrivent en réponse à ce qui est perçu comme des mesures de sécurité médiocres mises en place par Skype pour protéger les comptes de ses utilisateurs contre les cybercriminels. Ces derniers ont tenté d’accéder à des comptes ciblés via un processus de récupération de compte plutôt peu sécurisé. Selon l’utilisateur Skype et chercheur en sécurité @TibitXimer, son compte a été compromis jusqu’à six fois. Il a également prévenu que le compte de quiconque pourrait subir le même sort.

@TibitXimer a annoncé qu’un compte Skype peut être piraté facilement si l’attaquant parvient à :

  • Entrer en contact avec le support Skype ;
  • Fournir le prénom et/ou le nom de l’utilisateur ;
  • Proposer 3 à 5 contacts sur le compte Skype ciblé ;
  • Entrer une adresse e-mail qui a été associée à ce compte.

Afin d’argumenter ses propos contre ceux de Skype sur leurs mesures de sécurité, il s’est assuré de faire des captures d’écran lorsqu’il était en conversation avec un agent de support Skype. Ces captures ont fourni la preuve que les agents ont seulement demandé les informations ci-dessus avant de vérifier le compte @TibitXimer.

Un problème similaire de détournement de compte a été découvert il y a cinq mois lorsqu’on a appris sur un site Web russe que tout attaquant pouvait s’inscrire pour un nouveau compte avec un e-mail déjà utilisé. Grâce à cela, le pirate a pu continuer à configurer le compte pour recevoir les détails de la notification de sa victime. Bien que Skype ait réussi à rectifier le problème peu de temps après, ce genre de failles de sécurité béantes ne devrait pas exister pour que des cybercriminels puissent en profiter.

Il est temps pour Skype de mettre de l’ordre dans sa politique de récupération

Combien d’attaques faudra-t-il pour que Skype reconnaisse l’urgence d’adopter des mesures de sécurité proactives ?

Il est certainement temps pour cette marque internationale de le faire comme tant d’autres géants des communications et des médias sociaux l’ont déjà fait. En effet, Skype pourrait mettre en place les mesures suivantes :

Questions de sécurité

Comme beaucoup de sites le font, les questions de sécurité peuvent être utilisées dans les scénarios de récupération de compte où la personne qui tente de se connecter au compte devra fournir une réponse à une question initialement établie par le créateur du compte, comme un fait ou une personne mémorable.

Authentifications à deux facteurs

La vérification en deux étapes offre une sécurité et une tranquillité d’esprit aux utilisateurs, car elle ajoute une couche de sécurité supplémentaire.

Il s’agit d’une approche d’authentification qui nécessite la présentation de deux ou plusieurs facteurs d’authentification, y compris un facteur de connaissance (quelque chose que l’utilisateur connaît — question de sécurité) et un facteur de possession (quelque chose dont l’utilisateur est le propriétaire — téléphone portable).

Certaines entreprises, comme Google, exigent par exemple que les utilisateurs entrent un code envoyé à leur téléphone par SMS pour confirmer l’accès à leur compte.

D’autres mesures de sécurité suggérées pour Skype consistent à mettre en place un support plus complet capable d’examiner les failles de sécurité avec plus d’urgence, la mise à disposition d’un support 24 h/24 et 7 j/7, outre la création d’une véritable politique de sécurité permettant aux utilisateurs de vérifier la propriété de leurs comptes.

SpamTitan recommande à tous les utilisateurs Skype de changer l’adresse e-mail de leur compte Skype avec un e-mail unique, c’est-à-dire, un compte qui n’est pas associé à d’autres comptes. Ils devraient également rester toujours très vigilants.

Microsoft lance une fonction anti-ransomware — Est-ce trop peu ou trop tard ?

Microsoft lance une fonction anti-ransomware — Est-ce trop peu ou trop tard ?

Les attaques de ransomware se sont accentuées et deviennent la menace de sécurité réseau la plus reconnue dans le monde, et les fournisseurs de technologie ne cessent de publier un arsenal d’outils pour vous aider à les combattre. Un peu plus tôt cette année, Microsoft a pris l’initiative sans précédent de lancer la mise à jour (MS17-010) pour le système d’exploitation Windows XP. Bien que XP ne soit plus pris en charge, cette mise à jour a été publiée afin de remédier à une vulnérabilité qui pourrait permettre l’exécution de code à distance si un attaquant envoie des messages spécialement conçus à un serveur Microsoft Server Message Block 1.0 (SMBv1). Cette vulnérabilité connue est devenue plus tard le moyen utilisé par les pirates informatiques pour lancer les épidémies de WannaCry et Petya qui ont infecté des milliers d’appareils au cours des deux derniers mois.

Pas plus tard que la semaine dernière, Microsoft a annoncé la sortie d’une nouvelle fonctionnalité anti-ransomware pour son récent système d’exploitation Windows 10 Insider Preview Build (16232). La marque prévoit actuellement d’introduire cet outil, ainsi que d’autres fonctions de sécurité dans la prochaine mise à jour de Windows 10 Creator Update, dont la sortie est prévue à l’automne de cette année. Cet outil de lutte contre les malwares, appelé « Controlled Folder Access », est conçu pour empêcher les applications non autorisées de créer de nouveaux fichiers ou de modifier des fichiers existants qui sont stockés dans des dossiers jugés comme importants et « protégés ». Pour ce faire, la marque crée une liste blanche d’applications. Si l’application n’est pas dans la liste, Windows Defender bloque son exécution.

Cette fonctionnalité est similaire à celle d’AppLocker de Microsoft, laquelle est disponible depuis un certain nombre d’années pour certaines versions du système d’exploitation Windows, comme les éditions Enterprise et Education. Les listes blanches d’AppLocker peuvent être déployées par le biais d’une stratégie de groupe sur les périphériques dont les systèmes d’exploitation sont pris en charge. Ceux qui sont abonnés à Microsoft Intune peuvent importer des stratégies AppLocker dans l’interface de gestion Intune via un fichier XML. Avec l’accès contrôlé aux dossiers, la liste blanche des applications sera disponible pour tous les ordinateurs Windows 10 via le Centre de sécurité Windows Defender.

Pour accéder actuellement à cette fonction :

  • Allez dans le menu Démarrer et ouvrez le Centre de sécurité de Windows Defender,
  • Allez à la section Paramètres de protection contre les virus et les menaces,
  • Régler l’interrupteur sur On.

Ici, l’utilisateur peut également ajouter d’autres dossiers en plus des dossiers qui sont sélectionnés par défaut. Les dossiers par défaut sont ceux qui sont généralement ciblés par les ransomwares. L’an dernier, nous avons écrit un blog sur la façon dont il est possible de protéger ces dossiers contre la création de fichiers non autorisés en créant des politiques de restriction logicielle soit localement, soit par le biais d’une politique de groupe ou via un logiciel de gestion de système édité par Microsoft (SCCM).

Arrêter les ransomwares bien avant qu’ils arrivent au niveau du nœud final

Il existe un nombre croissant d’outils disponibles pour combattre les ransomwares au niveau du nœud final. Mais, en réalité, il est vital de les arrêter avant qu’ils n’atteignent le périphérique. Aussi répandus que soient aujourd’hui les ransomwares, il existe des mesures concrètes que vous pouvez prendre pour prévenir efficacement une attaque.

  1. La protection des e-mails est primordiale, car la messagerie électronique continue d’être le principal mécanisme de lancement de ransomwares. Les distributeurs de ransomwares utilisent des liens et des pièces jointes intégrés pour inciter les utilisateurs peu méfiants à cliquer dessus et à lancer des déploiements de malwares. Les solutions de sécurité pour systèmes de messagerie d’aujourd’hui doivent faire plus, plutôt que de bloquer simplement les spams. Une solution de sécurité de messagerie doit également bloquer et éradiquer les virus, les malwares, les pièces jointes infectées et les liens vers des sites web malveillants. Outre le fait d’empêcher les attaques de ransomwares, une solution de sécurité de messagerie protégera vos utilisateurs contre les attaques de phishing et les attaques BEC (Business E-mail Compromise).
  2. Filtrage web — Les utilisateurs peuvent télécharger par inadvertance un ransomware en visitant un site de lancement de malwares ou en naviguant simplement sur un site web piégé par des cybercriminels. De nombreux sites sont infectés par des fichiers d’installation de ransomwares qui y ont été déposés par des pirates. Une solution de filtrage web moderne protège les sessions Internet de vos utilisateurs de deux façons. Elle bloque d’abord l’accès aux sites malveillants ou infectés par des malwares connus. Ensuite, elle filtre tout le trafic web par le biais d’un antivirus passerelle.
  3. Correctifs et mises à jour — Il est impératif de maintenir vos systèmes d’exploitation, vos applications et vos navigateurs web patchés et à jour. Si les entreprises avaient simplement installé la mise à jour (MS17-010) sur ses périphériques Windows non pris en charge, elles auraient pu échapper aux dommages causés par WannaCry à de nombreux réseaux dotés de périphériques Windows. Il y a une raison pour laquelle les fournisseurs publient régulièrement des correctifs et des mises à jour pour leurs clients. De nouvelles menaces du type « zero-day » sont continuellement découvertes, forçant les développeurs à publier des correctifs pour les combattre le plus rapidement possible. Le patch et la mise à jour sont probablement les tâches de routine les plus importantes pour toute équipe informatique.
  4. Règle de sauvegarde 3-2-1 — La sauvegarde de vos données est une fonction critique dans la protection de vos données. Il est important de suivre les meilleures pratiques lors de l’exécution de sauvegardes régulières de vos données afin de vous assurer que vos sauvegardes peuvent être restaurées correctement si ce jour fatidique se réalise. La règle 3-2-1 se transcrit de la manière suivante :
  • Conservez 3 copies de vos données
  • Utilisez 2 types de médias pour les stocker
  • Gardez toujours 1 copie hors site

En suivant ce modèle éprouvé, vous pourrez restaurer rapidement les données corrompues ou perdues en cas de défaillance des disques durs, de reprise après sinistre et, bien entendu, d’attaque de malware.

Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.