Réduire à zéro les attaques zero-day

Réduire à zéro les attaques zero-day

Une attaque zero-day est une attaque qui cible des vulnérabilités logicielles connues du public, mais qui ne sont pas encore corrigées.

C’est ce qu’on appelle la « fenêtre de vulnérabilité ». Les pirates informatiques se concentrent sur la recherche de vulnérabilités dans des logiciels largement utilisés tels que Windows, les navigateurs et les logiciels de sécurité. Les attaques zero-day ont touché les produits Adobe (Flash, Reader), Internet Explorer, Java, Mozilla Firefox, Windows, Microsoft Office, et bien d’autres.

Une fois qu’une vulnérabilité est découverte, la communauté de pirates est alertée par le biais des réseaux sociaux, de chats et d’e-mails. Les pirates s’activent ensuite à développer des kits d’exploitation pour tirer parti de la vulnérabilité. Des codes ou des kits d’exploitation sont alors mis en vente sur Internet.

Des efforts sont actuellement en cours pour réglementer la vente des kits d’exploitation zero-day. La politicienne néerlandaise Marietje Schaake a fait campagne pour des lois visant à limiter le commerce de ce qu’elle appelle des « armes numériques ».

Bien entendu, les éditeurs de logiciels testent leurs produits avant de les expédier. Mais le progiciel d’aujourd’hui est vaste et compliqué. Certains éditeurs proposent une version bêta d’un paquet logiciel à un certain nombre de clients afin de résoudre les problèmes avant le début de la production. D’autres emploient des sociétés de test ou des pirates white hat pour « battre le logiciel à mort ».

Minimiser l’impact des attaques zero-day

Une fois le logiciel expédié, certains fournisseurs tentent de minimiser l’impact des attaques zero-day en essayant de trouver les bugs avant les pirates. Les fournisseurs recherchent des sites de pirates informatiques, des blogs et des sites sociaux populaires à la recherche de personnes qui reportent des bugs.

Ce programme, plus connu sous le nom de « Bug bounty », consiste à récompenser les pirates qui reportent des bugs documentés. Les primes varient normalement entre 100 $ et 500 $.

Les pirates attirés par ces offres sont prêts à s’abonner à des sites Web tels que bugcrowd.com et hackerone.com pour trouver des programmes de Bug bounties. La plupart des principaux fournisseurs de logiciels (à l’exception d’Apple) ont de tels programmes, notamment Facebook Whitehat Program, Google Vulnerability Reward Program, Microsoft Online Services Bug Bounty Program et Mozilla Bug Bounty.

Ces programmes sont une volte-face des attitudes typiques des fournisseurs à l’égard des vulnérabilités il y a quelques années à peine. Les universitaires – et encore moins les pirates informatiques qui ont envoyé des informations sur les vulnérabilités à un fournisseur – pourraient être menacés de poursuites judiciaires s’ils divulguaient ces vulnérabilités.

La controverse sur la divulgation

La divulgation des vulnérabilités est vivement contestée. Certains pensent qu’elle peut conduire à d’autres attaques. D’autres pensent toutefois que, sans au moins la menace de divulgation, un fournisseur de logiciels n’a aucune raison de créer un correctif.

Gardez à l’esprit que les vulnérabilités affectent les utilisateurs beaucoup plus qu’elles n’affectent les fournisseurs. Les utilisateurs ont déjà payé pour leur logiciel, mais les fournisseurs ne réagissent que si la communauté des utilisateurs demande des correctifs. Cela signifie que les fournisseurs ont tendance à ne créer des correctifs que pour les logiciels ayant une large base installée.

Il existe deux approches principales en matière de divulgation :

La « divulgation complète » révèle tous les détails de la vulnérabilité, ce qui fait pression sur le fournisseur pour qu’il trouve rapidement une solution.

Aux États-Unis, la « divulgation responsable » se produit lorsque le fournisseur est avisé de manière confidentielle deux semaines avant que le CERT (Computer Emergency Readiness Team) soit avisé. Le fournisseur de logiciel dispose donc d’un délai de grâce de 45 jours pour publier un avis de sécurité. Théoriquement, cela lui donne le temps de coder et de publier un correctif.

Une fois qu’une vulnérabilité est exposée, elle est répertoriée dans un système accessible au public appelé Common Vulnerabilities and Exposures (Vulnérabilités et expositions communes) à l’adresse https://cve.mitre.org/. Sur ce site, chaque vulnérabilité est classée en utilisant le Common Vulnerability Scoring System.

Une fois répertoriée, la vulnérabilité devient connue du grand public

Une vulnérabilité peut également être trouvée par le fournisseur du logiciel lui-même. Dans ce cas, il a tendance à le garder secret jusqu’à ce qu’un correctif soit prêt à être distribué. Dans certains cas, cependant, il est annoncé publiquement si les utilisateurs peuvent prendre des mesures pour éviter le problème. Par exemple, si le bug dans un logiciel de comptabilité survient seulement pendant le traitement de fin de trimestre, cette activité peut être reportée jusqu’à ce qu’un correctif soit publié.

Si la vulnérabilité est connue du public, mais que le fournisseur n’a pas de correctif, les pirates informatiques peuvent lancer des attaques zero-day. Qu’est-ce qui protège donc l’utilisateur jusqu’à ce que le patch soit disponible ?

Il n’existe pas de solution unique pour protéger un réseau contre toutes les attaques du type « zero-day », car il y a trop de variantes de vulnérabilités qui nécessitent des solutions différentes. Cependant, même si votre système est une cible, il existe des solutions pouvant repousser de nombreuses attaques. On compte par exemple l’antispam, l’antivirus, l’utilisation de réseaux locaux virtuels (LAN) pour protéger les données transmises, l’utilisation d’un système WiFi sécurisé pour se protéger contre les attaques de malwares et les logiciels de filtrage de contenu web.

Quand le correctif est prêt

Après la publication d’un correctif, vous seriez surpris du nombre d’utilisateurs qui ne l’appliquent pas à temps.

Pourtant, il est essentiel pour la sécurité du réseau de garder le logiciel à jour, y compris les navigateurs, les systèmes d’exploitation, les plug-ins de navigateur et les applications telles que Microsoft Office. En effet, les auteurs de malwares peuvent exploiter rapidement les vulnérabilités des anciennes versions de logiciels populaires.

La plupart des attaques se produisent parce que les utilisateurs ne patchent pas leurs logiciels et leur matériel pour détecter les vulnérabilités connues. Selon FireEye, il y a eu 21 kits d’exploitation zero-day sur une période de plus de 2 ans, impliquant Internet Explorer, Microsoft Office, Adobe Flash, Java, et autres. Ils ont sans aucun doute été utilisés pour des attaques. Mais ce nombre est faible par rapport au nombre total de kits d’exploitation qui ont été corrigés par les éditeurs de logiciels.

Microsoft publie ses mises à jour de sécurité appelées « Patch Tuesday » le deuxième mardi de chaque mois. Les pirates informatiques connaissent ce cycle de correctifs et ciblent les logiciels Microsoft immédiatement après la livraison des mises à jour. Ainsi, ils peuvent inverser le code de mise à jour pour créer des kits d’exploitation. À noter que les mises à jour de sécurité importantes n’ont pas lieu avant le « Patch Tuesday ». C’est pourquoi les utilisateurs reçoivent un petit nombre de correctifs tout au long du mois.

Les entreprises de toutes tailles sont menacées par des malwares. Ne laissez pas la sécurité de vos informations critiques au hasard. Les données de votre entreprise sont trop précieuses pour ne pas être laissées sans protection et nécessitent une approche globale de la sécurité par couches pour les mettre à l’abri des dangers.

Inscrivez-vous au blog de TitanHQ et restez au courant des dernières nouvelles en matière de sécurité sur le web et par e-mail.

5 mesures de sécurité réseau pour protéger les périphériques clients qui en valent la peine

5 mesures de sécurité réseau pour protéger les périphériques clients qui en valent la peine

Si vous êtes comme la plupart des professionnels de l’informatique aujourd’hui, vous avez un million de choses à faire et un court laps de temps pour les accomplir.

Pour alléger notre charge sans fin, nous les réalisons souvent par commodité plutôt que selon une bonne politique. Malheureusement, les mesures que nous prenons par commodité aujourd’hui peuvent finir par créer plus de travail pour nous à l’avenir. Cela crée un cercle vicieux dont il est difficile de sortir.

Ci-dessous, j’ai décrit cinq mesures qui peuvent prendre un peu de temps au début, mais qui peuvent offrir un gain substantiel, en réduisant le recours au support technique et les attaques de malwares.

Imposer le groupe d’administrateurs locaux

Regardons les choses en face.

Faire de nos utilisateurs des administrateurs de leurs appareils est facile. Ainsi, nous n’avons pas à nous soucier des applications qui peuvent nécessiter des droits d’administrateur pour fonctionner correctement. Cependant, cela va à l’encontre de tous les aspects de l’application de la pratique du moindre privilège.

Donner aux utilisateurs les droits d’administration locaux sur leurs périphériques, c’est comme confier les clés d’une Lamborghini à un jeune de 16 ans, sans aucune limitation. À un moment donné, cela va mal finir.

Le concept du moindre privilège est simplement que les utilisateurs ne devraient avoir que les privilèges et les droits dont ils ont besoin pour faire leur travail, et rien de plus.

Disposant des droits d’administrateur, les utilisateurs ont un accès injustifié aux paramètres de configuration du logiciel dans lesquels ils ne devraient pas s’immiscer. Ils ont également des privilèges élevés qui peuvent favoriser l’installation de malwares.

Heureusement, vous pouvez facilement contrôler l’appartenance du groupe des administrateurs locaux de toutes vos machines par le biais des préférences de stratégie de groupe. Une fois activés et déployés sur l’ensemble du domaine, les comptes non autorisés seront supprimés et empêchés de s’inscrire à l’avenir.

Désactiver tout service inutilisé ou inutile

Un aspect clé du renforcement de la sécurité réseau est de désactiver tous les services sur vos dispositifs. Cette tâche peut être faite simplement, et encore une fois, par le biais des préférences de stratégie de groupe. Vous devrez créer cette politique sur une machine de gestion dotée du système d’exploitation le plus récent afin de vous assurer que tous les services sont pris en charge.

Il se peut également que vous deviez élaborer plusieurs politiques pour tenir compte des différentes configurations matérielles.

Par exemple, de nombreuses entreprises préfèrent désactiver le service Bluetooth sur les ordinateurs portables des utilisateurs pour des raisons de sécurité. Dans ce cas, la politique devrait être créée sur un appareil qui utilise ce service.

Maintenez la mise à jour des correctifs grâce à des tests appropriés

Nous sommes tous conscients de l’importance de maintenir nos machines à jour avec les derniers correctifs et mises à jour. Nous connaissons également le chaos qu’une mise à jour non testée peut occasionner sur l’expérience utilisateur.

C’est pour cette raison que de nombreuses organisations accordent un délai de 30 à 60 jours à compter de la publication des mises à jour avant de les appliquer. Evidemment, le problème est que des vulnérabilités bien connues demeurent exposées aux attaques cybercriminelles pendant cette période. Sachez que plus de 200 000 nouvelles menaces de malwares sont créées chaque jour.

Disposer d’un environnement de test virtuel, qui vous permet de valider correctement les mises à jour et les correctifs dès leur sortie, peut vous aider à identifier les conflits potentiels qui pourraient survenir dans votre environnement utilisateur.

En même temps, votre entreprise pourra déployer les mises à jour et les correctifs à l’échelle du réseau au moment opportun.

Mettre en place des pare-feux sur les périphériques locaux

Pendant des années, la plupart des organisations ont pu compter sur une stratégie de périmètre de réseau, comme un roi qui dépendait des murs de son château et des douves pour le protéger. En raison de l’évolution des stratégies militaires, appuyées par des technologies de pointe, la seule dépendance à l’égard d’une stratégie de périmètre s’est avérée fatale pour de nombreux royaumes, comme c’est le cas aujourd’hui pour de nombreux réseaux.

Dans le monde mobile d’aujourd’hui, il ne suffit pas de se fier uniquement à la protection périmétrique. Chaque périphérique qui n’est pas couvert par la sécurité du réseau doit être protégé par un pare-feu local. Encore une fois, avant toute mise en œuvre d’une solution à grande échelle, il faut procéder à des tests approfondis de toutes les applications utilisées par vos utilisateurs, qu’il s’agisse d’une application de bureau ou dans le cloud. Mais toutes ces mesures peuvent aussi nécessiter beaucoup de temps.

Réévaluez vos filtres antispam et web

Le phishing par email est la plus grande menace d’ingénierie sociale pour votre entreprise.

Certains des blogs que nous avons publiés récemment ont décrit les récentes éclosions de demandes de rançon qui ont fait des ravages dans des organisations critiques comme les hôpitaux. Ces attaques forcent les organisations à tout fermer lorsque quelqu’un a cliqué sur un lien malveillant contenu dans un email.

Nous avons également décrit certaines des escroqueries de phishing des PDG, ou Business Email Compromise. Elles ont coûté des millions de dollars à certaines des plus grandes entreprises du monde.

Le spamming n’a pratiquement aucun coût, et c’est pour cette raison que cette pratique est si répandue. Les méthodologies utilisées pour lancer des attaques sont beaucoup plus avancées qu’elles ne l’étaient il y a cinq ans.

Un seul email de phishing peut faire tomber tout votre réseau, c’est pourquoi il vaut la peine d’évaluer chaque année votre service de filtrage de spams et de comparer les caractéristiques offertes par votre solution actuelle avec d’autres options.

Une solution qui semblait tout à fait appropriée il y a cinq ans est peut-être dépassée aujourd’hui.

Le plus souvent, la flexibilité et la possibilité d’optimisation des ressources sont les principaux facteurs décisifs pour le choix d’une solution de sécurisation du réseau. Pour ces raisons, et d’autres encore, nous voyons beaucoup d’entreprises se tourner vers le filtre web avancé WebTitan. Une version d’essai gratuite de 30 jours est disponible à l’adresse https://www.titanhq.fr/webtitan.

Comment le DNS peut-il aider et nuire à la sécurité de votre réseau ?

Comment le DNS peut-il aider et nuire à la sécurité de votre réseau ?

Le système de noms de domaine (DNS) a été mis en place pour faciliter l’utilisation d’Internet. Il traduit les noms de domaine en adresses IP, lesquelles sont utilisées par les périphériques réseau. Le DNS vous permet d’utiliser http://www.google.com au lieu de http://74.125.224.72/ pour lancer une recherche.

Bref, c’est le principal service d’annuaire d’Internet.

Cependant, le DNS est une arme à double tranchant, en grande partie à cause de la nature peu sûre de l’infrastructure DNS. Celle-ci peut être exploitée par des cybercriminels.

Qu’est-ce que le DNS ?

En quelques mots, le DNS est un système distribué ancré par les serveurs de noms racine. En-dessous de celui-ci se trouve des zones DNS pouvant être constituées d’un ou plusieurs domaines (google.com, par exemple, est un domaine), c’est-à-dire un ensemble de serveurs de noms faisant autorité est attribué à chaque zone DNS.

Un serveur de noms faisant autorité (Authoritative Name Server) peut être soit un serveur maître, soit un serveur esclave. Un serveur maître stocke les copies originales des enregistrements de zone tandis qu’un serveur esclave conserve les copies des enregistrements maîtres.

DNS pour IPv4

Pour IPv4, le DNS est le plus souvent étroitement intégré au protocole DHCP (Dynamic Host Configuration Protocol). DHCP fournit des adresses IP, des serveurs de noms DNS et d’autres informations aux périphériques d’un réseau privé ou public.

Ainsi, pour sécuriser le DNS, il faut également protéger le DHCP, et ce, grâce à l’utilisation de techniques telles que l’espionnage DHCP et la limitation du relais DHCP.

DNS pour IPv6

Selon la configuration du réseau IPv6, le protocole DHCP peut fournir ou non des informations DNS.

Par exemple, l’auto-configuration des adresses sans état (SLAAC) ne nécessite pas de serveur DHCPv6, car le message Router Advertisement (RA) fournit le nom du ou des serveurs DNS.

Attaques DNS

En tant qu’annuaire d’Internet, les serveurs DNS doivent être accessibles à tous.

Un white hat recherche un résolveur DNS ouvert et lance une attaque par Déni De Service Distribué (DDoS), soit contre le résolveur lui-même, soit contre d’autres systèmes. La cible reçoit une réponse DNS de partout sur Internet. Les réponses DNS peuvent ensuite être usurpées, ou créées avec de fausses informations, pour rediriger les utilisateurs de sites légitimes vers des sites web malveillants.

Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS implique la surcharge intentionnelle d’un dispositif, dans le but de rendre ce dispositif ou un service qu’il fournit inaccessible aux utilisateurs.

Un DDoS provient généralement d’un grand nombre de bots ou de PC zombies qui sont sous le contrôle d’une machine centrale appelée botnet. Ces attaques sont très privilégiées par les cybercriminels et ont déjà touché des entreprises privées, des gouvernements, des banques et des ordinateurs des utilisateurs finaux.

Attaque Spamhaus en 2013

L’énormité d’une attaque DDoS est époustouflante. Prenons pour exemple celle qui a été menée en mars 2013 contre Spamhaus, une organisation internationale non gouvernementale basée à Genève et à Londres.

L’attaque a commencé avec une requête DNS avec une adresse IP bidon, mais elle a rapidement pris de l’ampleur pour deux raisons.

Premièrement, la taille du paquet de réponses envoyé par le résolveur DNS est souvent plusieurs fois supérieure à celle du paquet de requêtes. Deuxièmement, le nombre de réponses DNS générées augmente exponentiellement à mesure que le nombre de serveurs participant augmente.

Selon Spamhaus, plus de 30 000 résolveurs DNS ont initialement participé à l’augmentation du flux de réponses DNS.

Si une grande quantité de trafic est reçue d’une adresse IP, la sécurité peut être configurée pour limiter les paquets provenant de cette adresse.

Mais pour l’incident de Spamhaus, les attaquants ont utilisé un grand nombre d’adresses IP différentes. Par conséquent, le nombre de réponses DNS de chaque adresse IP individuelle n’a pas déclenché le mécanisme de limitation de paquets.

Identification du trafic DNS malveillant

Le DNS peut utiliser les protocoles TCP ou UDP. Le trafic sur le port TCP 53 représente souvent des transferts de zone pour garder les serveurs esclaves en synchronisation avec le fichier de zone maître. Toutefois, des intrus peuvent utiliser ce mécanisme pour télécharger le contenu du fichier de zone d’un serveur de noms. Pour éviter cela, les administrateurs doivent bloquer les demandes de transfert de zone à partir de tout périphérique autre que le serveur de noms esclave autorisé.

Comme tout autre port, le port 53 peut être utilisé en guise de tunnel de trafic non autorisé. Méfiez-vous donc si Wireshark signale des paquets « malformés » ou demandant des « opérations inconnues ».

Prévenir ou empêcher une attaque DNS

Le DNS peut être configuré pour atténuer les problèmes de sécurité DNS courants. Selon le projet Open Resolver, « les résolveurs ouverts représentent une menace importante pour l’infrastructure réseau globale ».

Empêchez votre serveur DNS d’être un résolveur ouvert, répondant aux requêtes DNS de n’importe quelle adresse sur Internet. Limitez les serveurs récursifs internes aux sous-réseaux IP utilisés par votre entreprise.

Gardez cependant à l’esprit que de nombreux (sinon la plupart des) résolveurs DNS sur Internet sont ouverts, soit parce qu’ils n’ont pas été sécurisés, soit parce qu’ils sont destinés à être ouverts au public, comme le service Comodo.

Pour tester votre adresse IP pour détecter les résolveurs ouverts, consultez http://www.thinkbroadband.com/tools/dnscheck.html

Bien qu’il n’existe aucun moyen sûr d’empêcher une attaque DNS, les mesures suivantes peuvent minimiser les risques :

  • Le blocage DNS utilisé pour la sécurité contre le phishing et le spam peut aider à prévenir les attaques DNS. Ce mécanisme empêche les entités de localiser des domaines ou des sites Web spécifiques et malveillants sur Internet.
  • Configurez vos serveurs DNS faisant autorité pour utiliser la limitation du taux de réponse DNS.
  • Le trafic DNS doit être limité en fonction du type de paquet DNS. Par exemple, une réponse de transfert de zone aurait un seuil plus élevé qu’une réponse pour le nom du serveur DNS.
  • Travaillez avec votre fournisseur d’accès Internet pour bloquer ou limiter le trafic que vous ne voulez pas sur votre réseau, si possible.
  • Surveillez votre réseau, en particulier les adresses IP des clients qui utilisent le plus de bande passante.
  • La fermeture des résolveurs ouverts et l’utilisation du blocage DNS ne peuvent pas protéger contre l’usurpation d’identité des paquets. Ainsi, Google déclare que votre site doit être équipé pour faire face à une charge accrue occasionnée par une attaque. Il vous faudra un filtre pour les cycles de bande passante et de processeur ainsi qu’une capacité générale d’équilibrer la charge.

Sécurité du réseau : les employés se soucient-ils vraiment du BYOD sur leur lieu de travail ?

De nombreux responsables informatiques sont réticents à fournir aux employés l’accès au serveur de l’entreprise à l’aide d’un appareil personnel comme un iPad ou un smartphone, que ce soit pour accéder au réseau de l’entreprise depuis leur domicile ou pour d’autres raisons d’accès étendu ou de facilité d’utilisation.

Ces derniers sont désormais très familiers avec l’utilisation des applications sociales qu’ils veulent utiliser ces dispositifs même au bureau.

La question est de savoir qui est vraiment à l’origine de l’engouement envers la consumérisation des technologies de l’information, également appelée « Bring Your Own Device » ou BYOD ?

Ce sont les employés et non les fournisseurs de technologie qui favorisent le concept du BYOD

Bien entendu, les fournisseurs en profitent énormément, car de ce fait, leurs appareils rejoignent rapidement l’entreprise.

Mais ce sont les employés et non les fournisseurs de technologie comme Apple qui poussent à utiliser les appareils personnels dans les lieux de travail.

Au cœur de cette tendance se trouve l’idée simple que les employés savent quels outils ils veulent utiliser pour rendre leur journée de travail plus facile et, espérons-le, plus agréable.

Les problèmes de sécurité du réseau liés à cette pratique sont nombreux :

  • Pour permettre aux appareils personnels d’accéder au réseau de l’entreprise, le service informatique doit passer un temps précieux pour assurer la sécurité du réseau et gérer les appareils appartenant aux employés comme les iPhone, les iPad, les Smartphones Android, les tablettes Android, etc., en plus de ceux fournis aux employés.
    Cette activité consomme de plus en plus de temps, alors que les services informatiques sont déjà soumis à des contraintes budgétaires et de ressources.
  • D’un point de vue stratégique, les appareils appartenant aux employés et ayant accès au réseau de l’entreprise constituent actuellement des récepteurs et des dispositifs de stockage d’informations sensibles et confidentielles de l’entreprise. Ceci crée une variété de problèmes de conformité et de sécurité. Outre les possibilités d’introduction de malwares sur le réseau, il existe également le risque que les employés partagent des données sensibles de manière non autorisée.
    Par exemple, si un smartphone est perdu, des données sensibles peuvent tomber entre de mauvaises mains si celles-ci ne peuvent pas être effacées à distance.
  • Que se passe-t-il lorsque l’employé quitte votre entreprise ?
    Il est crucial que les services informatiques s’assurent que toutes les données confidentielles concernant votre établissement soient retournées et que l’appareil lui-même ne contienne aucune information stockée en dehors du contrôle de votre entreprise.

Les données sont souvent la principale préoccupation, empêchant les entreprises d’autoriser les dispositifs personnels dans les lieux de travail.

Pourtant, l’ajout de l’utilisation d’applications basées dans le cloud à l’équation peut accroître la sécurité des données, surtout pour les petites entreprises où les ressources techniques sont limitées.

Dans ce cas, le stockage hors site supprime les données sensibles qui peuvent être exposées à des risques lorsqu’elles sont stockées sur site.

Il est donc nécessaire de se poser la question clé suivante : si vos employés demandent à utiliser leurs propres outils pour être plus productifs au bureau ou pour rattraper leur retard après les heures de travail, est-ce une perspective aussi effrayante ?

Filtre DNS ou pare-feu dans un environnement WiFi invité ?

Selon un récent sondage réalisé auprès de la communauté Spiceworks, 48% des professionnels de l’informatique ont choisi un pare-feu et le système de gestion unifiée des menaces du périmètre réseau (UTM) comme solution de filtrage web pour leurs réseaux WiFi invité.

11% dépendent de leur contrôleur de gestion sans fil ou de leur logiciel de filtrage. Ainsi, seulement 41% des entreprises utilisent un dispositif ou un service de sécurité dédié spécialisé dans le filtrage web pour le WiFi. Ces chiffres semblent surprenants à notre époque où les entreprises migrent un si grand nombre de leurs services vers le cloud.

À cela s’ajoute le fait que seulement 38% des entreprises mondiales déclarent être prêtes à gérer une cyberattaque sophistiquée. On se demande pourquoi le filtrage web semble être sous-estimé !

Vous ne dépendez pas de votre pare-feu pour la sécurité de la messagerie électronique

Il y a dix ans, il était courant pour les entreprises de dépendre de leur pare-feu ou de leur UTM pour filtrer les spams.

Ces « boîtes à tout faire » offraient presque tous les types de services de sécurité disponibles. Aujourd’hui, ce n’est plus le cas, car les entreprises investissent maintenant dans des passerelles de sécurité dédiées ou acheminent leurs emails via une passerelle dans le cloud.

La raison en est simple : la sécurité des emails est beaucoup trop critique pour ne pas acquérir la meilleure solution de sécurité disponible. Le phishing est la principale méthode de distribution de ransomwares et d’autres types de malwares. Une seule attaque BEC (Business Email Compromise) peut également affecter des millions de personnes dans une entreprise, et ce dans un court laps de temps.

Comme les pirates informatiques développent constamment de nouvelles méthodes d’attaque pour cibler les systèmes de messagerie, il est important de s’associer avec un fournisseur de sécurité de messagerie disposant des ressources dédiées pour rester en avance sur ces méthodes d’attaque malveillantes.

La sécurité des emails est très importante pour les entreprises aujourd’hui et c’est pour cette raison que de nombreux clients d’Office 365 choisissent d’utiliser une solution de sécurité des emails d’un tiers, en plus de l’offre de sécurité par défaut d’Office 365.

Sécurisation de votre réseau WiFi invité

Plusieurs répondants à l’enquête ont déclaré qu’ils utilisaient des méthodes de filtrage identiques pour leur réseau local d’entreprise et leurs réseaux WiFi invité. La majorité, cependant, n’a pas donné de détails. Il est donc possible que certaines organisations n’accordent pas la même importance au réseau invité qu’à leur réseau local principal.

Le fait est que la sécurité doit être abordée de la même manière que le reste de votre réseau. Si aucun contrôle approprié n’est mis en place, une connexion WiFi peut devenir une porte dérobée dans le réseau de l’entreprise, affaiblissant ainsi les autres mesures de sécurité du réseau déjà en place. De plus, l’entreprise pourrait potentiellement être tenue responsable du contenu inapproprié ou malveillant consulté par les utilisateurs lors d’une connexion WiFi invité.

Le filtrage DNS basé dans le cloud prend tout son sens dans un monde hybride

Les logiciels de filtrage web traditionnels ne sont plus un moyen viable de bloquer les sites malveillants sur un réseau d’entreprise.

Internet est énorme avec des milliards de pages. Si vous utiliser un logiciel de filtrage web traditionnel, vous devez catégoriser les sites et vous ne pourrez les bloquer qu’une fois que l’utilisateur a effectué une recherche.

Il existe un meilleur moyen pour renforcer votre sécurité réseau : le filtrage DNS. Pourtant, de nombreux administrateurs pensent qu’il est compliqué et trop difficile à mettre en œuvre. Si vous n’utilisez pas le filtrage DNS, votre réseau risque davantage d’être exposé à des sites malveillants.

Depuis plusieurs années, les entreprises du monde entier connaissent un changement révolutionnaire. L’entreprise n’est plus seulement un centre de données. Le centre de données d’aujourd’hui évolue vers une écosphère de conglomérat de ressources dans le cloud et de services numériques sur site, publics, privés et hybrides.

Gartner qualifie cette transformation d’informatique hybride et, selon la firme, celle-ci transforme les architectures informatiques et le rôle de l’informatique lui-même. Selon une autre étude menée par la Harvard Review, 63% des organisations adoptent actuellement une approche informatique hybride.

L’ère de l’informatique hybride

L’informatique hybride n’est pas une « technologie unique », mais une approche ou une stratégie qui permet de trouver la meilleure solution pour le problème ou le besoin en question. Dans cette approche « IT as a Service », le gestionnaire de réseau devient un courtier informatique, recherchant les meilleures solutions possible, qu’elles résident sur site ou dans le cloud.

L’équipement traditionnel d’un centre de données nécessite un investissement à long terme en capital et en personnel. Les migrations coûteuses prennent des mois, voire plus, à planifier et à mettre en œuvre, ce qui peut rendre l’équipement désuet. Avec une solution de filtrage DNS dans le cloud, vous n’aurez plus besoin d’investissements importants pour la migration, les mises à niveau, les mises à jour et les correctifs de vos solutions de sécurité.

Problèmes liés au fait de dépendre de votre pare-feu pour sécuriser tous vos trafics web

L’un des problèmes que pose le fait de s’appuyer sur votre pare-feu pour sécuriser toutes les facettes de votre trafic Web entrant et sortant est qu’il fait tout. Le traitement de toutes ces tâches peut toutefois entraîner des niveaux de latence et de performance indésirables. Parce que votre pare-feu est une application en ligne, il constitue un goulot d’étranglement pour votre entreprise. Cela peut s’avérer coûteux, exiger beaucoup de main-d’œuvre et ne pas convenir à certaines situations.

Que se passe-t-il lorsque votre organisation s’agrandit ou que votre école adopte un programme individualisé pour ordinateurs portables ?

Cela peut se traduire par l’intégration de mécanismes d’équilibrage de charge et d’appareils redondants. Il se peut que vous deviez migrer vers un pare-feu plus robuste. Toutes ces options exigent des capitaux et des heures de travail précieux à déployer.

Agilité et flexibilité du filtrage DNS dans le cloud

Pour la même raison qui a amené les entreprises à reconnaître l’importance d’un fournisseur de sécurité de messagerie dédié, il est également très utile de faire appel à un spécialiste de la sécurité web.

Aujourd’hui, il y a plus d’un milliard de sites web sur Internet. Les cybercriminels lancent continuellement de nouveaux sites de phishing temporaires, des domaines de typosquattage et des sites de déploiement de malwares. Selon HelpNetSecurity, 46 000 nouveaux sites web de phishing sont créés chaque jour. Parmi tant d’autres, les attaques par « Drive-by Download » continuent d’évoluer et de se multiplier, tout comme la menace de ransomwares.

L’immense engagement de protéger votre entreprise par le filtrage web est trop important pour dépendre d’un fournisseur qui ne fait pas de cela son objectif principal. Tout comme la sécurité des emails, la sécurité du filtrage web est primordiale pour la protection de vos utilisateurs, vos appareils et vos données. Si vous vous méfiez de plus en plus des applications de pare-feu matérielles rigides, optez pour l’agilité et la flexibilité d’une solution de filtrage DNS dans le cloud.

Le filtrage DNS augmente la sécurité et la vitesse de votre connexion WiFi

Avec les anciennes techniques de filtrage web, l’utilisateur effectuait une recherche DNS et, avant de télécharger le site web, le système effectuait une recherche dans une base de données distincte de sites. Ce processus est lent en raison du nombre écrasant de sites et de domaines sur le web.

Le filtrage DNS effectue la requête de vérification pendant l’étape de recherche DNS. Autrement dit, une recherche DNS est effectuée avant le téléchargement du contenu du site. C’est beaucoup plus rapide et efficace que le filtrage web avec des fonctionnalités traditionnelles.

Le processus effectue également une recherche sur les adresses IP valides, considérées comme sûres par la base de données de filtrage DNS. Les attaquants ne peuvent ni masquer ni éviter la détection, car chaque recherche de navigateur nécessite une recherche DNS pour une entrée de domaine valide.

Vous devriez filtrer les sites non seulement pour bloquer les contenus malveillants, mais aussi pour augmenter la productivité de votre entreprise. En effet, les employés peuvent passer des heures sur les médias sociaux, ce qui fait baisser leurs niveaux de productivité. Heureusement, le filtrage DNS permet aux administrateurs informatiques de réaliser des configurations granulaires pour catégoriser les utilisateurs. Ils peuvent donner accès à des sites catégorisés spécifiques (comme les médias sociaux) pour ceux qui en ont besoin et bloquer l’accès des autres employés.

Les sites web utilisent souvent SSL, mais il est maintenant courant pour les attaquants de configurer des sites web avec de faux certificats SSL pour inciter les utilisateurs à leur faire confiance. À noter que le système de filtrage DNS inclut la protection contre les sites chiffrés avec de faux certificats SSL.

Si vous n’êtes pas encore passé au filtrage DNS, c’est peut-être parce que — selon un mythe courant — c’est trop difficile et cela ne vaut pas la peine. Pourtant, un seul changement de configuration vous permet de vous protéger sans avoir besoin de réaliser des travaux administratifs supplémentaires. Le filtrage DNS est beaucoup plus facile à utiliser que les logiciels de filtrage web traditionnels. Il est donc temps de passer à l’étape suivante et de rendre votre filtrage web plus sûr, plus efficace et plus rapide.

TitanHQ établit les normes de sécurité web dans le cloud, en offrant une gamme de services qui garantissent la sécurité de votre messagerie professionnelle, votre infrastructure informatique et la conformité et l’intégrité des données.

Avec l’apparition quasi quotidienne de nouvelles variantes de menaces, les entreprises ont réalisé qu’elles n’avaient ni les compétences informatiques ni le budget nécessaire pour investir en permanence du temps et de l’argent dans la lutte contre ces menaces.

Cependant, vous pouvez vous fier à des fournisseurs de services de sécurité dédiés dans le cloud — tels que WebTitan Cloud — pour le filtrage web. Ainsi, vous bénéficierez du savoir-faire d’un personnel expérimenté et d’une puissance de traitement considérable pour lutter contre les menaces émergentes. Cette solution peut être mise en œuvre de manière transparente et protéger votre réseau WiFi en temps réel.

WPA3 et la sécurité de votre réseau WiFi en 2019

Le WiFi reste une vulnérabilité majeure pour les organisations et les utilisateurs individuels dans notre monde mobile connecté numériquement. Le WiFi non sécurisé présente des faiblesses que les cybercriminels peuvent facilement exploiter, qu’il s’agisse d’un pirate informatique qui attaque le réseau d’une entreprise à partir du parking ou d’un criminel qui capture le trafic sans fil dans un café.

Malgré ces vulnérabilités, il semble étrange que le mécanisme principal du WiFi soit basé sur le protocole de sécurité WPA2, introduit pour la première fois en 2004. De nombreux routeurs certifiés WPA2 restent rétrocompatibles avec le protocole de sécurité WEP, introduit en 1999, qui est facile à pirater avec les outils actuels. Bien que des améliorations aient été apportées à la sécurité WiFi depuis sa création, il est déconcertant de constater qu’il existe tant de faiblesses évidentes que les pirates peuvent exploiter pour attaquer les périphériques connectés.

La bonne nouvelle est que WiFi Alliance, un consortium qui possède la marque WiFi, a lancé le protocole WPA3 plus tôt cette année. À certains égards, le WPA3 représente une amélioration considérable par rapport à son prédécesseur, car il renforce certains des passifs inhérents au protocole WPA2. Mails, comme tous les protocoles de sécurité, il ne traite pas toutes les vulnérabilités et c’est pourquoi les PME doivent continuer à utiliser une approche de sécurité multicouche. Nous avons énuméré les vulnérabilités du réseau WiFi dans son état actuel. Nous allons également expliquer la façon dont WPA3 les traite avec succès ou non.

Vulnérabilité n° 1 — WiFi ouvert non chiffré

De nombreux commerces de détail comme les cafés, les restaurants et les halls d’entrée des hôtels continuent d’utiliser le WiFi ouvert 802.11. Malgré la faiblesse évidente de permettre aux utilisateurs d’envoyer du trafic en texte brut vers le point d’accès local, les petites entreprises continuent cette pratique à cause d’un simple fait : la facilité.

Un point d’accès WiFi (SSID) ouvert n’exige pas que les utilisateurs saisissent une clé pré-partagée lorsqu’ils essaient de se connecter, ce qui signifie que les propriétaires de magasins n’ont pas à se soucier des tracas liés à la distribution de la clé à leurs clients.

Avec WPA3, il n’y a plus de réseaux ouverts.

WPA3 introduit le chiffrement sans fil opportuniste (OWE), qui est peut-être la meilleure fonctionnalité de cette nouvelle norme. OWE permet aux réseaux qui n’offrent pas de mots de passe et de clés de fournir un chiffrement qui ne nécessite aucune configuration ou interférence de la part des utilisateurs.

Il peut faire cela par le biais d’un processus appelé « Individualized Data Protection (IDP) », ou littéralement Protection individualisée des données. Avec l’IDP, chaque appareil reçoit sa propre clé du point d’accès réseau (PA) même s’il ne s’est jamais connecté. Ainsi, les pirates ne peuvent pas renifler la clé et le trafic. IDP est également utile pour les réseaux protégés par mot de passe, car même si on connaît le mot de passe, cela ne donne pas accès à la communication chiffrée des autres périphériques.

Vulnérabilité n° 2 — Complexité et fissuration des mots de passe

Bien que le WPA2 soit beaucoup plus sûr que le WEP, il reste vulnérable à la fissuration des mots de passe. C’est ce qu’a démontré l’attaque WPA2 KRACK qui a été découverte l’année dernière et qui a nécessité des mises à jour de l’appareil pour l’éliminer.

WPA2 n’est sécurisé que si un utilisateur est capable de créer un mot de passe sécurisé, car la négociation à 4 voies utilisée par WPA2 est susceptible d’être attaquée hors-ligne à partir de dictionnaires de mots de passe courts. Comme tout le monde n’est pas formé à l’art pour créer un mot de passe sécurisé, la protection offerte par WPA2 n’est pas aussi bonne que la capacité de l’utilisateur à créer un mot de passe infaillible.

Le WPA3 offre une protection robuste des mots de passe courts et longs grâce à l’authentification simultanée d’égal à égal (SAE) qui remplace le protocole d’échange PSK (Pre-Shared Key) utilisé par WPAS2. SAE, également connue sous le nom de Dragonfly Key Exchange, est plus sûre dans la gestion de l’échange de clés initial et résiste aux attaques de déchiffrement hors ligne.

Autres vulnérabilités

Bien qu’OWE et SAE soient les deux améliorations les plus spectaculaires de la nouvelle norme sans fil, d’autres garanties ont également été ajoutées.

La fonction WiFi Protected Setup (WPS) qui permettait de relier facilement de nouveaux appareils — comme un prolongateur WiFi — à un réseau sans fil avait ses limites de sécurité. Ces problèmes ont été résolus grâce au nouveau protocole DPP (WiFi Device Provisioning Protocol) amélioré.

De plus, la nature de WPA2-Enterprise — qui permettait une multitude de paramètres de connexion tels que TLS, SHA, EAP, etc. — a créé des failles de sécurité. Avec le WPA3, les circonstances dans lesquelles les clients négocient la sécurité d’une connexion EAP-TLS ont été éliminées.

Ce que le WPA3 ne traite pas pour la sécurité WiFi

Bien qu’OWE fournisse un chiffrement pour les SSID qui n’incluent pas de phrase de chiffrement, il n’a pas d’élément d’authentification. Cela rend le WPA3 tout aussi acceptable que son prédécesseur pour les attaques Man-in-the-Middle et Evil Twin. En d’autres termes, tant qu’un utilisateur connecte un périphérique au point d’accès approprié, son flux de données est entièrement protégé.

WPA3 assure uniquement la protection entre le périphérique client et le PA. Cela signifie que votre appareil WPA3 reste encore sensible aux codes malveillants provenant de sites de déploiement de malwares connus et de sites Web du genre drive-by. Bien que le WPA3 ait apporté quelques améliorations internes précises, votre WiFi a donc besoin d’être toujours protégé par une solution de filtrage web DNS sécurisé.

Des contrôles visant à empêcher les acteurs malveillants d’entreprendre plusieurs tentatives de connexion via des mots de passe couramment utilisés sont attendus, ainsi qu’une configuration plus simplifiée pour les dispositifs de l’internet des objets (IoT) qui n’ont pas d’affichage. Par ailleurs, le nouveau protocole WPA3 utilisera la sécurité 192 bits ou l’algorithme commercial de sécurité nationale pour améliorer la sécurité des réseaux gouvernementaux, de défense et industriels.

Joe Hoffman, Directeur de la recherche sur les technologies de connectivité sans fil chez SAR Insight & Consulting, a déclaré :

« Les technologies pour sécuriser les réseaux sans fil peuvent durer des décennies. Il est donc important qu’elles soient continuellement mises à jour pour répondre aux besoins de l’industrie du WiFi. Le WiFi évolue pour maintenir son haut niveau de sécurité au fur et à mesure que les demandes de l’industrie augmentent. »

Un système de filtrage DNS dans le cloud peut fournir la protection dont vos clients et utilisateurs ont besoin une fois qu’ils sont connectés en toute sécurité à votre infrastructure WiFi. La principale limitation du WPA3 réside dans le fait que peu de clients, voire aucun, le prennent en charge actuellement. Cette nouvelle norme ne sera utilisée qu’en 2019.

Vous voulez prendre le contrôle de votre réseau WiFi ? Vous êtes un fournisseur de services (MSP) à la recherche d’une solution multilocataires facile à utiliser pour vous permettre de fournir un service de filtrage Web à vos clients ? WebTitan Cloud for WiFi est un moyen rapide, facile à utiliser et peu coûteux de fournir un WiFi invité sécurisé aux utilisateurs professionnels.

Contactez TitanHQ dès aujourd’hui pour plus d’informations sur nos produits ; nos prix ; et pour vous inscrire à une démonstration en direct.