Échappant aux mesures de sécurité traditionnelles, les menaces 2019 mettent les systèmes de défense à rude épreuve.
Un rapport publié met en évidence une recrudescence des attaques sans fichiers (fileless) visant à masquer des activités malveillantes. En comparaison avec le premier semestre 2018, les détections de cette menace spécifique ont augmenté de 265 %. Des analyses courant sur le premier semestre 2019.
Jusqu’à présent, les constatations réalisées en 2019 confirment bon nombre des prévisions faites par Trend Micro en fin d’année dernière. Les attaquants redoublent notamment d’efforts pour cibler les entreprises et les environnements offrant le plus grand retour sur investissement.
« Sophistication et discrétion sont aujourd’hui les maîtres mots en matière de cybersécurité, à mesure que les technologies au sein des entreprises et que les attaques des cybercriminels deviennent plus connectées et intelligentes », souligne Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Nous avons pu constater que les hackers ont des objectifs précis, avec des attaques ciblées et ingénieuses qui exploitent de manière furtive le facteur humain, les processus et la technologie. Cependant du côté des entreprises, avec la transformation numérique et les migrations vers le Cloud, la surface d’attaque s’est considérablement élargie. Pour faire face à cette évolution, les organisations ont besoin d’un partenaire technologique capable de combiner l’expertise humaine à des technologies de sécurité avancées afin de mieux détecter, corréler, traiter et contrecarrer les menaces. »
Parallèlement à la prolifération des attaques sans fichiers, les cybercriminels déploient de plus en plus de menaces non détectables via les filtres de sécurité classiques, car elles peuvent être exécutées en mémoire d’un système, résider dans la base de registre ou usurper des outils légitimes. Les kits d’exploits reviennent également en force, avec une augmentation de 136 % en comparaison de la même période en 2018.
Attaque Fileless
Les malwares destinés au minage de cryptomonnaies demeurent la menace la plus détectée au premier semestre 2019 et touchent de plus en plus les serveurs et les environnements Cloud. Autre prévision corroborée : le nombre de routeurs impliqués dans de potentielles attaques entrantes a bondi de 64 % comparé au premier semestre 2018, avec davantage de variantes de Mirai recherchant des appareils vulnérables.
En outre, le nombre de stratagèmes d’extorsion numérique connaît une hausse de 319 % par rapport au second semestre 2018, ce qui concorde avec les projections précédentes. Les attaques de type BEC (Business Email Compromise) constituent toujours une menace substantielle, avec une augmentation de 52 % des cas détectés comparativement aux six derniers mois. Les fichiers, e-mails et URL liés aux ransomwares continuent également de se multiplier (+77 % au cours de la même période).
Au total, 26,8 milliards de menaces au cours du premier semestre 2019 ont été bloquées, soit 6 milliards de plus qu’à la même période l’année dernière. À noter que, dans 91 % des cas, l’e-mail a été le vecteur d’infection des réseaux d’entreprises. (Rapport)
Après vous avoir proposé de découvrir les méthodes de double authentification offertes sur le web, Google ou encore la Yubico, voici la présentation de la Solo Tap Hacker de chez Solokeys !
Les tests que nous vous proposons sur les matériels de cybersécurité vous plaisent. Vos messages nous font plaisir et nous incitent à vous en proposer d’autres. Après vous avoir fait découvrir la double authentification de Google, Facebook, Linkedin, de l’administration d’un site web sous WordPress. Après la découverte des clés 2FA/FIDO de chez Yubico ou encore la Titan Security Key de chez Google. Voici le test de la Solokeys.
Solokeys, kesako
La solution de cybersécurité Solokeys à le goût de la clé de chez Google ; la couleur de la clé de chez Yubiko mais sa force se cache ailleurs. Cette double authentification physique tire sa force de sa communauté. C’est la première Fido Security Key open source. Bilan, les « codeurs » qui veulent mettre leur nez dans l’objet et sa programmation sont attendus les bras ouverts. Plusieurs versions sont proposées. J’ai testé la SOLO (USB) et la SOLO TAP (USB et le sans contact). Il est possible de recevoir la clé en mode « développeur ». Compter 20€ pour la SOLO ; 35€ pour la TAP. La version « je mets mes doigts dedans » coûte 20euros.
Test de la Solokeys
Le packaging arrive par la poste dans une enveloppe à bulle. J’avoue que pour avoir eu des colis de ce type arriver dans le même type d’enveloppe me laisse des sueurs froides sur le front. Je me souviens encore de cette enveloppe à bulle… et les traces de roues de ce qui semblait être une moto. L’objet à l’intérieur était littéralement DÉFONCÉ !
En ce qui concerne la SoloKeys, pas de problème. Le colis est arrivé en 20 jours après le paiement.
Les clés sont dans une seconde enveloppe métallisée, celle qui protègent les appareils électroniques de l’électricité statique. Selon la clé, vous recevrez dans votre colis la clé nue et deux protections en caoutchouc. A noter que j’ai cassé une des clés commandées rien qu’en tentant de mettre la protection noire. La clé à fait… crick, crack. Je mettrais cela sur mon petit côté « gros doigts de bourrin ». Une fois la seconde clé protégée par sa ganse rouge, son utilisation est fort simple. D’ailleurs, la page proposant sa mise en route est l’une des plus claire rencontrée. Pour authentifier la clé, il suffit de se rendre dans les espaces de Validation en deux étapes et activer la clé. Google c’est par ici ; Facebook c’est par là.
La SoloKeys est très simple d’utilisation… et modifiable. Son code est open source.
Résistance et confiance ?
La force de la Solo keys réside dans son code source ouvert. Son matériel (fabrication) l’est tout autant. Autre détail loin d’être négligeable, surtout pour ceux qui craignent les Américains, les Russes, la Corée du Nord et les extraterrestres, le processeur et le circuit imprimé sont fabriqués et programmés en Europe. Côté résistance physique. Comme déjà indiqué, j’ai « cassé » une clé en voulant la placer dans son étui en latex. J’en ai cassé une autre en voulant l’accrocher à un porte clé. Côté étanchéité. Un passage en machine à laver n’a pas altérée le fonctionnement de la clé.
En conclusion. La Solokeys Une excellente alternative pour ceux qui ne souhaitent pas passer par les géants du secteur. La double authentification étant un outil indispensable dans votre panoplie cybersécurité.
Les experts en sécurité de G DATA ont compté plus de 10 000 nouvelles applications malveillantes chaque jour au cours du premier semestre 2019. Près de 2 millions de nouvelles applications malveillantes au cours des six premiers mois de 2019. En moyenne cela représente une application infectée pour Android qui apparaît toutes les huit secondes.
Le nombre de nouvelles applications malveillantes pour les appareils Android a légèrement diminué au premier semestre 2019. Alors que les experts de G DATA avaient comptabilisé plus de 2 millions d’applications infectées entre janvier et juin 2018, ils en ont trouvé 1,85 million cette année. « Le risque pour les smartphones et autres appareils mobiles reste très élevé « , déclare Alexander Burris, chercheur mobile en chef chez G DATA. « Parce que les smartphones sont devenus des compagnons indispensables, ils sont une cible attrayante pour les cybercriminels. Les logiciels publicitaires ou de rançon, qui nuisent directement à l’utilisateur, sont particulièrement lucratifs. » Fin juin, le nombre total d’applications malveillantes connues s’élevait à près de 94,2 millions.
Trop de versions d’Android
Le potentiel de menace toujours élevé d’Android est favorisé par la forte fragmentation du système d’exploitation. Actuellement, seulement 10 % du parc Android dispose de la dernière version 9. Quant à Android 8 – Oreo – il est seulement utilisé sur 28 % des appareils en circulation. Cela signifie que près de 60 % des appareils utilisent encore des versions datant d’avant août 2017, autrement dit qui sont totalement obsolètes.
Le label Android One de Google tend à corriger ce problème. En optant pour un smartphone portant ce label, l’acheteur est assuré que son appareil recevra les mises à jour du système pendant 2 ans.
L’annonce de la conversion d’une grande partie de l’infrastructure de mise à jour vers la nouvelle version Android Q et de la mise à jour des composants du système indépendamment des surcouches des fabricants permet également d’espérer que le problème des mises à jour sera résolu à terme.
Appareils obsolètes et imports bon marché
Les systèmes d’exploitation et les smartphones obsolètes qui n’ont pas les correctifs les plus récents permettent aux pirates d’installer facilement des logiciels malveillants sur l’appareil. Les raisons de cette situation sont doubles : soit il n’y a pas de mises à jour pour l’appareil, soit les clients ne les installent pas. Mais il peut également arriver que des appareils bon marché importés d’Asie soient vendus avec des logiciels malveillants préinstallés. Ces logiciels malveillants, principalement des spywares, permettent au constructeur malhonnête de récolter des informations sur l’utilisateur et de monétiser ce client par l’affichage de publicités ou l’installation d’applications à son insu. Bref, un logiciel de supervision destiné aux DSI peut faire parti de l’arsenal pour surveiller les installations « bancales ».
Haro sur le Google Play
Depuis quelques mois, le Play store ne fait plus recette auprès des gros éditeurs. Epic Games avait lancé les hostilités l’ année dernière en choisissant de ne pas sortir son application Android sur la plateforme d’applications de Google. D’autres, tels que Tinder ou Netflix ont fait le choix de détourner le paiement vers leur propre boutique. La commission de 30 % demandée par Google ne passe plus… Si une telle tendance se confirmait, l’émergence de plateformes parallèles pourrait devenir une opportunité pour les cybercriminels.
Des pertes en millions
SimBad, Operation Sheep et Agent Smith sont trois exemples qui illustrent le succès des cybercriminels. 150 millions d’utilisateurs auraient une application Android avec le malware SimBad installé. La deuxième campagne de malware réussie est connue sous le nom d’Operation Sheep. Les applications infectées ont été téléchargées plus de 111 millions de fois. Toutes les applications se trouvent principalement dans les boutiques d’applications tierces. L’agent Smith est le nom de la troisième grande campagne. Elle a infecté 25 millions de smartphones en Asie. Une fois installé, l’agent remplace les applications par des clones infectés afin qu’ils affichent de la publicité. Bref, La transformation numérique des organisations doit prendre en compte ce genre de malveillance.
Je vous parlais, début août, de l’arrivée en France et au Canada de la Titan Security Key de chez Google. Voici le test complet de cette clé dédiée à la double authentification de vos comptes web.
Disponible aux USA depuis 2018, la Titan Security Key vient d’arriver sur les marchés Français et Canadien au 1er août 2019. Data Security Breach et ZATAZ vous proposent le test de cette clé de sécurité dédiée à la double authentification de vos comptes : mail, site web, …
Le package est efficace, solide et comme à chaque fois chez Google, qualitatif. On y apprend que le contenu est large avec deux clés, deux adaptateurs (usb, usb-c) et une rallonge usb. On découvre que le matériel est conçu par Google… assemblé en Chine. Les plus paranoïaques vont donc quitter ce test après ce point. Google + Chine vont leur donner des sueurs froides. Mais revenons plus sérieux. Une fois l’autocollant de sécurité décollé.
Il laisse le mot VOID sur la boîte afin de prouver sa non-ouverture. Le contenu apparaît sur deux étages. Deux notices, assurance et mode d’emploi. Ce dernier est simple, sans fioriture, efficace.
Titan Security Key : comment ça marche ?
Direction les sites que vous souhaitez protéger. Ils sont très nombreux aujourd’hui : Google, Facebook, Linkedin, … Nous allons orchestrer ce test pour protéger un compte Google, et donc Youtube, gMail, … Commençons par nous connecter au compte Google que nous souhaitons protéger. Mail et mot de passe suffisent. Direction l’espace sécurité, double authentification. Il suffit d’entrer la Titan Security Key pour coupler cette dernière à l’accès à protéger. Rien de plus simple. Une fois effectué, déconnexion automatique de votre compte sur tous vos appareils. Pour vous reconnecter, il suffira d’utiliser votre mot de passe et votre clé de sécurité.
Vous perdez vos clés ? Il est possible de reprendre la main en faisant une demande à Google, mais cette dernière, comme pour le cas des outils tels que Authy, prendre plusieurs jours (3 pour Authy). Il est possible de répliquer les fonctionnalités de protection dans un compte G Suite.
Sur smartphone, via le NFC et le Bluethooth
Vous possédez une tablette, un smartphone Android/iOS la Titan Security Key vous permet d’utiliser votre compte et la double authentification. Pour cela, trois méthodes: la clé et l’adaptateur ; le NFC de la clé ; le bluethooth.
Dans le premier cas, il suffit de rentrer la prise de la rallonge dans le smartphone. Deux embouts sont proposés : mini USB et USB-C.
Dans le second cas, branchez le NFC de votre téléphone et approchez la Titan Security Key.
Dernière possibilité, le bluetooth est allumé. Cliquez sur le bouton 5 secondes.
Pro et perso
Le matériel est robuste, résiste à l’eau, mais pas plus de 45 secondes immergées dans les toilettes (une erreur est site vite arrivée) pour la clé Bluetooth. La seconde clé fonctionne encore après 45 secondes dans un évier rempli d’eau chaude et produits vaisselles. La Titan Security Key, tout comme sa concurrente Yubico, seront des alliés loin d’être négligeable. Si un pirate vous vole vos identifiants de connexion, avec ce type de sécurité, même armé de vos sésames, le malveillant ne pourra accéder à vos données.
Je vous invite d’ailleurs à utiliser le Service Veille ZATAZ qui permet de détecter, dans les espaces pirates, les données qui ont pu vous être volés ces derniers heures, jours, semaines mois, années. Point fort de la Titan Security Key, la possibilité d’inscrire cette dernière au programme Advanced Protection « Le Programme Protection Avancée protège les comptes Google personnels des individus susceptibles de faire l’objet d’attaques ciblées : les journalistes, les activistes, les chefs d’entreprise et les équipes de campagnes électorales. » indique Google.
Sécurité renforcée et limitation des applications utilisables
A noter qu’une fois les clés activées, les autres facteurs d’authentification, tels que les codes envoyés par SMS ou l’application Google Authenticator, ne fonctionneront plus.
A gauche, la clé Yubico.
Les applications n’appartenant pas à Google sont limitées. Cela veut dire que les applications Mail, Contacts et Calendrier d’Apple, ainsi que le logiciel Thunderbird de Mozilla, continueront de fonctionner avec les comptes bénéficiant de la Protection avancée. De nombreuses autres applications n’appartenant pas à Google n’auront pas accès aux données de votre compte. Les mots de passe d’application sont HS. Vous ne pourrez plus générer de mots de passe via les mots de passe d’application.
Gros gors point noir. Vous avez une télévision connectée Android ? La clé ne fonctionne pas. Google Chrome est imposé. Bilan, vous ne pouvez plus profiter des « services » proposés comme Google Play, …
A noter aussi que les Google Home, les enceintes connectées ne fonctionne plus depuis l’installation de la clé !
Pour conclure, la Titan Security Key est vendue 55€. A voir dans le temps, comme par exemple, pour l’aspect électrique de la clé Bluethooth. Si cette dernière se recharge via la prise USB de votre ordinateur, aucune indication sur sa véritable durée de vie.
Au Moyen-Âge, l’attaque d’un château-fort avantageait la défense. Du haut des remparts, on pouvait observer les assaillants de loin. Ils ignoraient la structure des fortifications. Quant à elle, l’architecture bien connue du château-fort par les défenseurs brisait de nombreuses stratégies d’attaque. Mais depuis que les citadelles sont devenues numériques, les batailles cyber sécuritaires, à l’inverse avantagent nettement les attaquants et désarment les défenses. Bien souvent, les défenseurs ignorent leurs failles.
Les fortifications, les citadelles d’Internet sont devenues floues depuis l’arrivée des nouveaux systèmes d’information. Les menaces sont moins visibles. Surtout, il est possible pour un attaquant de frapper par un point A, puis par un point B le lendemain, en n’éveillant jamais les soupçons. Dans un contexte où l’on manque énormément de visibilité, comment contrer ces menaces ? 5 piliers indispensables à mettre en place.
1 – La sécurité périmétrique
Dans un monde informatique sans périmètre où les frontières sont devenues plus floues, la sécurité périmétrique reste toujours le premier rempart à mettre en place. C’est un prérequis essentiel dont on ne peut faire l’économie. Elle consiste à protéger la frontière externe de l’entreprise des menaces extérieures pour éviter ou limiter les infections (malwares, cheval de Troie, etc.). Les réflexes de base à adopter sont de bien paramétrer ses firewalls et d’être très sélectif et granulaire dans les autorisations de flux.
2 – La sécurité Endpoint
Elle permet de combattre directement l’infection une fois détectée grâce à des antivirus ciblés. Auparavant, la capacité de détecter des virus était une activité relativement facile, il suffisait de comparer ces virus à des bases de signatures prédéfinies. Aujourd’hui, de nouveaux malwares ont pris le relai et sont capable de « muter » afin d’éviter d’être détecté. On voit aussi des États Nations développer des virus « intraçables » car utilisant des failles encore inconnues. Face à ces menaces invisibles, les entreprises doivent se doter de solution de type Endpoint Detection and Response – EDR. Comparer des signatures n’est plus suffisant. Depuis, beaucoup de mécanismes ont été inventé, dont l’analyse comportementale, du machine learning en pre-execution, du sandboxing, qui se révèlent plus efficaces dans la détection des nouvelles menaces.
3 – La détection de menaces sur le réseau
Si la sécurité Endpoint et périmétriques sont indispensables et gèrent autant les frontières externes et internes du système d’information ; on sait bien, qu’elles sont insuffisantes sans une approche d’analyse côté réseau. La sécurité sur le réseau, consiste à détecter des comportements non conventionnels et retrouver les traces d’un attaquant sur le réseau de l’entreprise (logs, données, IA, etc.).
Elle se fait surtout à l’aide d’outils à base d’intelligence artificielle et de machine learning qui sont capables d’écrémer et de ressortir des informations suspectes dans un lot gigantesque de données grâce à l’automatisation. La prise de décision finale reste à l’appréciation d’un humain, mais qui aura gagné énormément de temps sur sa prise de décision et la collecte d’informations.
4 – L’Active Directory
L’Active Directory ou l’annuaire d’entreprise comme partie intégrante d’une attaque, est largement sous-estimé. Et par conséquent, il est sous protégé alors que les cyberattaques suivent généralement le même schéma. Après avoir franchi les défenses périmétriques, les hackers ciblent le coeur de l’entreprise. L’Active Directory leur permet d’avoir accès aux comptes de l’ensemble de l’entreprise, administrateurs et grands patrons compris. Le but ? S’emparer des comptes à hauts-privilèges pour pouvoir, par exemple, diffuser un ransomware à l’ensemble de l’entreprise.
5 – La sensibilisation des utilisateurs
On dit souvent que les failles sécuritaires modernes se situent toujours entre l’écran et le clavier. C’est vrai. Les scénarios se suivent et se ressemblent. Monsieur tout le monde prend possession de son ordinateur, ouvre ses mails, clique sur une pièce jointe et contamine son entreprise. En effet, l’être humain demeure le premier facteur d’infection. En conséquence, chaque entreprise doit réduire les risques liés aux mauvais comportements des utilisateurs. La solution est simple : former les mauvais élèves « clique à tout » grâce à des mises en situations, questionnaires ou vidéos interactives.
La réalité est simple : il est difficile d’être proactif en défense et de devancer les attaques. La cybersécurité a souvent un temps de retard par rapport aux nouvelles menaces. C’est presque toujours face à de nouvelles attaques que la défense réagit et adapte ses systèmes de défense. D’où la nécessité dans ce contexte, d’assurer a minima ces arrières avec ces piliers, de sensibiliser et de réaliser un important travail de veille technologique pour limiter les pots cassés. (par David Clarys, NewTech Manager Europe du Sud chez Exclusive Networks)
Les entreprises de toutes tailles doivent relever un certain nombre de défis pour assurer la sécurité de leurs réseaux. Pourtant, les vulnérabilités liées aux MFP et imprimantes connectées d’aujourd’hui sont souvent sous-estimées. Voici comment protéger votre réseau en 5 points.
Désormais, les pirates se servent des systèmes multifonction (MFP) et imprimantes des organisations pour dérober des informations confidentielles stockées sur des disques durs et d’autres périphériques connectés aux réseaux professionnels. Ces cybercriminels provoquent d’importants dégâts et perturbent les activités des entreprises. Selon un rapport d’IDC, 25 % des failles de cybersécurité à corriger impliqueraient des imprimantes. L’impact sur la productivité et la rentabilité des entreprises est donc énorme, alors même que risque lié aux MFP et imprimantes non sécurisés est souvent méconnu et ignoré.
1 : l’identification des utilisateurs et la gestion des autorisations
L’une des solutions les plus importantes pour sécuriser les réseaux consiste à n’autoriser que les utilisateurs connus à accéder aux périphériques tels que les imprimantes. Cet objectif peut être atteint grâce à une administration et à une gestion des autorisations cohérentes.
Identification des utilisateurs : il s’agit du processus grâce auquel les administrateurs ne donnent de droits d’accès aux MFP et imprimantes qu’aux utilisateurs enregistrés. Ces derniers peuvent être identifiés en interne en s’appuyant sur la liste d’utilisateurs locaux, ou via le réseau grâce à un serveur d’authentification. Les administrateurs doivent également décider qui appartient à quel groupe en créant un nom d’utilisateur et un mot de passe, et en mettant en place une stratégie de gestion de mots de passe sur mesure/unique.
Autorisation des utilisateurs : ce processus a pour but d’autoriser l’accès aux ressources des réseaux des organisations, et d’en contrôler l’utilisation. En fonction des identifiants de chaque utilisateur, il est possible de limiter l’accès à certains individus, le restreindre à certaines fonctions, ou le bloquer entièrement. L’administrateur peut également configurer l’accès aux périphériques à l’aide de cartes d’accès contenant des informations d’identification uniques pour chaque individu.
2 : sécuriser le réseau
L’ensemble des périphériques connectés au réseau sont aussi sécurisés que le point le plus vulnérable de ce réseau. Il est donc très important de contrôler l’utilisation des ports et protocoles. Grâce à une configuration intelligente, les administrateurs peuvent bloquer les activités indésirables et les attaques potentielles sur l’infrastructure. Parmi les techniques permettant de sécuriser les communications entre les périphériques du réseau :
Utiliser des fonctions de filtrage pour limiter l’accès à des adresses IP et MAC (Media Access Control) spécifiques. Le réseau et les canaux de communication sont ainsi protégés en limitant l’accès aux adresses ou plages d’adresses spécifiées.
Désactiver les ports non utilisés (afin que seuls ceux qui sont nécessaires fonctionnent) pour bénéficier d’une couche de sécurité supplémentaire et de davantage de contrôle sur le réseau en bloquant les accès non autorisés vers l’ensemble des actifs connectés.
S’assurer que les protocoles IPSec (le protocole Internet pour un échange de données sécurisé et chiffré de données), TLS (le protocole de sécurité de la couche de transport, qui chiffre la transmission de données) et HTTPS (le protocole de transfert hypertexte sécurisé, qui sécurisé les communications sur le réseau) sont configurés pour offrir le niveau de protection le plus élevé.
3 : protéger les données
Il y a deux façons de s’assurer que les données stockées sur les disques durs des MFP et imprimantes soient en permanence sécurisées :
Le chiffrement des données est la procédure ou fonctionnalité cryptant les documents à l’aide d’un algorithme complexe à 256 bits.
L’écrasement des données, qui permet d’effacer le disque dur d’un appareil. Cette stratégie garantit l’effacement définitif de l’ensemble des données déjà stockées sur le disque et des documents numérisés après avoir qu’elles aient été écrasées jusqu’à 10 fois.
4 : imprimer des informations confidentielles de façon sécurisée
Les documents confidentiels doivent être imprimés en suivant une procédure sécurisée évitant les accès et copies non autorisées. Ainsi, lorsqu’une tâche d’impression est soumise, elle est conservée sur le disque dur de l’appareil jusqu’à ce que l’utilisateur saisisse un code PIN, ou présente un jeton ou une carte d’authentification configurés au préalable. Une fois le document imprimé, l’ensemble des données sont automatiquement effacées du disque dur.
5 : assurer une supervision et un contrôle à distance
Mis en place correctement, les outils de sécurité des réseaux offrent aux administrateurs informatiques un contrôle total sur l’ensemble des appareils connectés au réseau, et ce directement depuis leurs postes de travail. Ils peuvent ainsi contrôler un parc entier de MFP et d’imprimantes, et découvrir et gérer à distance la plupart des menaces de sécurité potentielles. Le clonage des appareils permet également de rationaliser le travail des administrateurs, et offre encore plus de sérénité, tout changement au niveau des paramètres d’un équipement pouvant ainsi être reproduit sur l’ensemble du parc. (Par Tomasz Stefanski – Solutions and Applications Specialist chez Sharp Europe).
La société Proofpoint, spécialiste de la mise en conformité et cybersécurité, a publié son rapport 2019 sur la fraude au nom de domaine. L’étude dévoile les dernières tendances, les stratégies et les activités des cybercriminels. Une analyse approfondie des données collectées sur une période de douze mois dans la base de données de domaines actifs de l’entreprise. Elle contient plus de 350 millions de domaines et représente pratiquement tous les domaines sur le Web.
Chasse aux domaines frauduleux ! À l’instar de nombreuses autres méthodes d’attaque très populaires aujourd’hui, la fraude au nom de domaine cible des individus plutôt que des infrastructures en faisant appel à l’ingénierie sociale, terme connu aussi sous Social Engineering, pour amener les utilisateurs à croire que les domaines auxquels ils accèdent sont légitimes. Du fait du peu d’obstacles à l’enregistrement des noms de domaine et de la facilité d’exécution, il est essentiel que les sociétés restent vigilantes face aux domaines suspects et illégaux susceptibles de présenter un risque pour leur marque et leurs clients.
Hausse de 11%
Entre le 1er trimestre et le 4ème trimestre 2018, le nombre d’enregistrements de noms de domaines frauduleux a connu une hausse de 11%. Presque tous les domaines frauduleux détectés restent actifs et prêts à l’attaque, plus de 90% d’entre eux étant associés à un serveur actif.
Parmi ces domaines frauduleux, plus de 15% ont des enregistrements Mail Exchanger (MX), ce qui signifie qu’ils envoient et/ou reçoivent des e-mails. Un sur quatre dispose également de certificats de sécurité, c’est bien plus que ce que l’on peut observer dans le paysage global des domaines. Or, de nombreux internautes les assimilent de ce fait à tort comme des domaines légitimes et sûrs.
Les domaines frauduleux utilisent souvent les mêmes domaines de premier niveau (TLD), offices d’enregistrement et serveurs Web que les domaines légitimes afin d’imiter les marques et abuser les utilisateurs. Ces facteurs, ainsi que la forte proportion de serveurs Web actifs, qui sont nombreux à posséder des certificats SSL valides, renforcent la perception de légitimité des domaines frauduleux, augmentant ainsi le potentiel de nombreuses attaques, notamment les fraudes par virement électronique, le phishing, les ventes de produits de contrefaçon et autres escroqueries.
Quand le HTTPS sert aux pirates
Plus de 85% des grandes marques de vente au détail ont identifié des domaines vendant des versions contrefaites de leurs produits. Les marques de vente au détail en décomptent en moyenne plus de 200. D’ailleurs, les domaines vendant des produits de contrefaçon possèdent plus de certificats de sécurité que d’autres types de domaines frauduleux, ce qui les rend légitimes aux yeux des clients.
96% des sociétés ont trouvé des correspondances exactes de leur domaine avec un TLD différent (par exemple, « .net » au lieu de « .com ») et 76% ont identifié des domaines « similaires » se faisant passer pour leur marque. La plupart des secteurs et des zones géographiques sont touchés.
Les domaines frauduleux utilisent l’e-mail pour mieux cibler les attaques. Pour 94% des sociétés observées, Proofpoint a identifié au moins un domaine frauduleux se faisant passer pour leur marque et envoyant des e-mails. De nombreux domaines frauduleux ont envoyé de faibles volumes d’e-mails, un comportement typiquement associé à des attaques hautement ciblées et basées sur l’ingénierie sociale. Les cybercriminels se faisant passer pour des marques de vente au détail facilement reconnaissables (en particulier celles ayant des chaînes d’approvisionnement complexes) ont envoyé des volumes d’e-mail beaucoup plus importants, ce qui laisse suggérer des attaques plus généralisées contre les clients et les partenaires.
Des facteurs comme l’introduction de nouveaux TLD créent des opportunités pour les cybercriminels. En 2018, l’introduction de nouveaux TLD, tels que .app et .icu,, a créé de nouvelles opportunités pour l’enregistrement de domaines frauduleux. Proofpoint a constaté que les cybercriminels exploitaient ces nouveaux TLD pour enregistrer des noms ressemblant à des domaines « .com » qui appartiennent déjà à de grandes marques.
Des chercheurs ont mené une enquêtes sur l’état de la sécurité des applications des plus grandes banques du monde. Un des outils posséde une faille connue depuis 2011.
Les nouvelles recherches de la société ImmuniWeb va faire grincer des dents dans le petit monde bancaire. Ils ont étudié la sécurité, la confidentialité et la conformité des applications des plus grandes institutions financières mondiales figurant dans la liste S&P Global 2019. Le résultat a de quoi étonner. En ce qui concerne la conformité, 85 applications Web de banque en ligne ont échoué au test de conformité GDPR ; 49 banque en ligne ont échoué au test de conformité PCI DSS ; 25 app ne sont pas protégées par un WAF.
Vulnérabilités de sécurité
Dans cette étude, on découvre que sept applications Web de banque en ligne contiennent des vulnérabilités connues et exploitables.
La plus ancienne vulnérabilité est connue depuis 2011. 92% des applications bancaires mobiles contiennent au moins une vulnérabilité à risque moyen.
100% des banques ont des problèmes de sécurité ou des problèmes liés aux sous-domaines oubliés.
Pour finir, concernant la sécurité du site web, seuls 3 portails sur 100 affichaient la note la plus élevée «A+» pour le « chiffrement SSL et la sécurité des sites Web». Dans ce top 3, on trouve un Suisse (credit-suisse.com), un Danois (danskebank.com) et un Suédois (handelsbanken.se).
Pendant ce temps, dans le commerce 2.0
De son côté, le laboratoire Pradeo a étudié 38 applications mobiles d’e-commerce les plus téléchargées au monde. Le rapport montre qu’elles envoient les données personnelles des utilisateurs via de nombreuses connexions non sécurisées (pourcentages précis dans l’article) et présentent en moyenne 13 vulnérabilités de code, dont certaines ayant un haut niveau de sévérité.
Le mot de passe est probablement la mesure de sécurité la plus courante et la plus utilisée, mais c’est également la plus vulnérable. En effet, l’’utilisation d’identifiants internes compromis par un attaquant externe représente, selon Verizon et son Data Breach Investigations Report 2018, la menace la plus courante dans les violations de données. C’est pourquoi de plus en plus d’entreprises mettent en place l’authentification multifacteur (MFA) en complément des mots de passe pour le contrôle des accès.
L’authentification multifacteur, connu sous le 3 lettres MFA, est un système de sécurité qui fait appel à plusieurs méthodes d’authentification pour vérifier l’identité de l’utilisateur qui souhaite se connecter. Il a pour objectif de mettre en place plusieurs couches de protection, afin de rendre plus difficile l’accès d’une personne non autorisée à un réseau. Ainsi, même si le pirate parvient à déchiffrer l’un des facteurs, il lui reste encore au moins un obstacle à franchir avant de pouvoir atteindre sa cible.
Comme l’explique Helpnet Security (IS Decision), dans les colonnes de ZATAZ, l’authentification multifacteur présente de nombreux avantages. D’abord la sécurité renforcée de votre réseau. Un Pirate doit disposer de l’ensemble des facteurs requis par le système lors de la connexion, sans quoi il ne pourra pas accéder au compte.
Mise en conformité
Ensuite, la mise en conformité: Un grand nombre de normes contraignent certaines entreprises à implémenter l’authentification multifacteur pour la protection d’informations sensibles (données financières ou à caractère personnel). Même si parfois la norme ne mentionne pas clairement la méthode MFA, elle insiste parfois sur le besoin d’un processus d’authentification renforcée. En d’autres termes, l’authentification multifacteur.
Enfin, les connexions simplifiées: Au premier abord, l’authentification multifacteur semble compliquer les connexions. Mais, en réalité, la protection renforcée qu’offre cette méthode permet aux entreprises d’utiliser des options de connexion plus avancées comme l’authentification unique (SSO).
Adobe a publié des correctifs pour Bridge CC, Experience Manager et Dreamweaver. Trois vulnérabilités sont corrigées dans Experience Manager tandis qu’une vulnérabilité est résolue dans Bridge et Dreamweaver. Aucune d’entre elles n’est considérée comme critique et le niveau de vulnérabilité le plus élevé pour chaque logiciel concerné est Important.
Petites entreprises, grandes menaces : restez informés, restez protégés
