Comment fonctionnent les Kits d’exploitation ?

Les Exploit kits, des boites à outils faciles à utiliser

Cependant, l’aspect peut-être le plus préoccupant des kits d’exploitation tient à leur facilité d’utilisation. Ces « boîtes à outils à louer » ont principalement pour but de réduire les compétences techniques nécessaires au lancement de campagnes de malware, afin qu’un assaillant n’ait pas besoin de créer ou implanter le code malveillant lui-même. De fait, de nombreux kits s’accompagnent même désormais d’une interface ergonomique, permettant aux malfaiteurs de gérer et de surveiller leur malware tout au long d’une campagne.

La charge malveillante des kits d’exploitation se présentait jusque-là sous la forme de différentes sortes de malwares, qu’il s’agisse de fraude au clic publicitaire, de malware bancaire ou de ransomware, la nature de ces attaques variant selon le profil de l’utilisateur. Compte tenu de la facilité de personnalisation d’une attaque et de l’ergonomie des kits, il n’est guère surprenant que ceux-ci soient devenus l’arme de prédilection d’un grand nombre de cybercriminels, moins compétents sur le plan technique.

De quoi sont-ils faits ?

En règle générale, l’infrastructure d’un kit d’exploitation comprend trois composants :

• le « back-end », qui contient le tableau de commande et les charges malveillantes ;
• la couche intermédiaire, qui héberge le code malveillant et crée un tunnel dans le serveur back-end ;
• la couche proxy, qui transmet le malware directement à la victime.

La chaîne d’infection/exploitation demeure en outre largement similaire pour les différents kits :

• La victime se rend sur le site web, entièrement ou partiellement contrôlé par l’assaillant ;
• Elle est ensuite redirigée à travers de nombreux serveurs intermédiaires ;
• À son insu, elle aboutit sur le serveur hébergeant le kit d’exploitation ;
• Le kit tente alors de s’installer en exploitant une vulnérabilité logicielle sur le serveur cible ;

En cas d’installation réussie, la charge malveillante est alors activée.

La différence marquante entre les kits réside dans les types de vulnérabilités exploitées pour infecter les visiteurs et les diverses astuces employées pour échapper aux antivirus.

Vers la multiplication des cibles mobiles

Alors que les kits d’exploitation avaient traditionnellement tendance à cibler principalement les ordinateurs, les appareils mobiles sont de plus en plus visés en raison du grand nombre d’utilisateurs qui s’en servent pour surfer sur le Web, échanger des e-mails, consulter les réseaux sociaux et même pour effectuer des opérations bancaires. La plupart de ces utilisateurs n’étant pas au fait des meilleures pratiques pour sécuriser correctement leur mobile, ils offrent par essence une cible bien plus facile.

Il faut donc s’attendre à ce que les auteurs des attaques s’orientent progressivement vers la diffusion de malware mobile via des pages web sur un navigateur mobile, c’est-à-dire essentiellement le même mode d’infection que dans la plupart des cas sur les ordinateurs.

Dès lors que le virus réussit à s’implanter sur un ordinateur ou un mobile, il peut opérer derrière les firewalls d’une entreprise ou d’un particulier. Le malware se propage ainsi à d’autres équipements et se connecte au serveur de commande et de contrôle (C&C) via Internet, ce qui lui permet ensuite d’exfiltrer des données ou de télécharger d’autres logiciels malveillants. Cette communication entre le serveur C&C et la machine infectée passe souvent par le serveur de noms de domaines (DNS) de la cible.

Connaître son ennemi

Même si tous les kits d’exploitation ne sont pas identiques, il est important d’en identifier deux principaux.

Le baromètre Infoblox des menaces DNS observées au 4ème trimestre 2015 révèle que le kit Angler a représenté 56 % des nouvelles activités de ce type, et le kit RIG 20 %. En quoi consistent ces kits et leurs activités ?

Le kit d’exploitation Angler est l’un des plus élaborés actuellement utilisé par les cybercriminels. Notoirement connu pour avoir inauguré la technique du « masquage de domaine », Angler peut ainsi contrer les stratégies de blocage sur la base de la réputation et infiltrer des URL malveillantes dans des réseaux publicitaires légitimes. Il redirige ensuite les visiteurs du site web qui cliquent sur les liens publicitaires infectés vers d’autres sites qui implantent à leur tour un malware. Ces kits tendent à être actualisés avec les dernières failles « zero day » découvertes dans des logiciels répandus, tels que Apache Flash ou WordPress. Si l’on y ajoute l’utilisation de techniques complexes de dissimulation, cela rend Angler particulièrement difficile à détecter pour les solutions antivirus classiques.

Face à cette évolution constante, les entreprises doivent investir dans des technologies de protection qui non seulement bloquent un composant du kit Angler mais sont aussi capables d’identifier et d’interrompre l’activité malveillante sur l’ensemble de la chaîne d’infection.

Bien que de conception plus ancienne, le kit d’exploitation RIG a récemment fait son retour. Cela montre que les menaces passées peuvent réapparaître sous une nouvelle forme à mesure que les kits sont mis à jour. L’analyse par Infoblox de l’activité de RIG en 2015 révèle que celui-ci a commencé à utiliser des techniques de masquage de domaine similaires à celles employées par Angler.

Même si RIG est souvent déployé dans le cadre de campagnes de publicité malveillante, Heimdal Security a récemment découvert qu’il sert également pour la pollution de référencement Google, consistant à détourner les tactiques d’optimisation du moteur de recherche pour faire la promotion de sites web malveillants.

Avec leurs différentes déclinaisons et techniques, les kits d’exploitation offrent aux malfaiteurs dépourvus de compétences techniques l’opportunité de tirer profit du monde de la cybercriminalité. Pour se protéger contre cette menace sans cesse croissante, les entreprises doivent faire appel à une source fiable de veille des menaces et s’appuyer sur ces informations pour interrompre les communications des malwares passant par des protocoles au sein de leur propre infrastructure, notamment le DNS… [Lire la suite]

Réagissez à cet article

Une alerte à la bombe dans un avion causée par un réseau Wi-Fi

Le réseau WiFi en question a été repéré par un des passagers qui, inquiet de ce nom étrange, en a tout de suite informé le personnel de bord. Ce dernier a alors remonté l’information jusqu’au commandant de bord, qui a décidé de garder l’avion au sol tant que l’appareil émetteur de ce réseau n’a pas été repéré. Une annonce retentit dans les hauts parleurs de l’avion afin de prévenir les passagers, mais après une demi-heure de recherche, la source n’est toujours pas localisée.

« Un réseau WiFi peut avoir une bonne portée, donc cela aurait pu venir d’une personne dans le terminal », explique un des passagers. Des recherches sont menées dans et autour de l’avion, sans résultat. Finalement, après trois heures d’attente sur le tarmac, l’avion se met finalement en route pour sa destination, Perth, en Australie, où il atterrit sans encombre 80 minutes plus tard... [Lire la suite]

Réagissez à cet article

Les hackers privilégient le «drive-by download»

MELANI a observé une augmentation des attaques contre des sites Web au deuxième semestre 2015. Les criminels sont constamment à la recherche de possibilités d’infecter commodément un maximum d’appareils de victimes potentielles.
Dans son rapport semestriel, publié jeudi, la Centrale d«enregistrement et d’analyse pour la sûreté de l«information (MELANI) constate que si les hackers privilégiaient par le passé l’envoi de courriels, qui demande peu de connaissances techniques, c’est désormais le «drive-by download» qui a la cote: il consiste à propager des logiciels malveillants (maliciels) à grande échelle, à travers des sites web très fréquentés.
Les portails des journaux et les réseaux publicitaires sont les cibles préférées des escrocs, explique MELANI. Une infection chez un fournisseur de contenu publicitaire peut se révéler lourde de conséquences, en infectant plus loin de nombreux sites clients.

Familles de maliciels

Au deuxième semestre de l’année dernière, l’extorsion est restée une des méthodes favorites des cybercriminels afin d’obtenir des gains rapides. Les familles de maliciels de cryptages sont toujours plus nombreuses, avertit MELANI. Les attaques DDoS (déni de service distribué), qui visent à rendre des sites inaccessibles pour ensuite exiger une rançon, se sont multipliées en 2015.
Les criminels choisissent avant tout des entreprises qui dépendent de l’accès à leur site Internet, car elles sont plus faciles à faire chanter. Sous la menace d’une éventuelle perturbation de l’accès à leur site, certaines sont prêtes à mettre la main au porte-monnaie. «Mais en payant, elles donnent aux hackers les moyens financiers pour renforcer leur infrastructure d’attaque et intensifier leurs actions», souligne la centrale.

En 2015, MELANI a ouvert le site «antiphishing.ch», qui permet à chacun de signaler des sites de hameçonnage. Quelque 2500 sites ont été dénoncés la première année. A côté du phishing par usage abusif du logo de l’administration fédérale, constaté plusieurs fois, le recours au phishing à l’aide de fichiers PDF est en recrudescence: au lieu d’un lien HTML, le courriel contient un fichier .pdf en annexe, qui lui-même incite à cliquer sur un lien malveillant.

Zurich et Valais

Comme au premier semestre 2015, Zurich et le Valais affichent au deuxième semestre un taux d«infection par habitant supérieur aux autres cantons. «Alors qu’à Zurich ce résultat tient à la forte densité d«ordinateurs, les raisons du taux d’infection élevé en Valais ne sont pas connues à l’heure actuelle», écrit MELANI dans son rapport.

Consultable en ligne, ce document permet de découvrir les innombrables techniques développées par les cybercriminels pour gagner de l’argent illégalement, et suggère des moyens pour se prémunir d’une attaque.
(ats)… [Lire la suite]

Réagissez à cet article

Des hackers proches de Daech menacent les New-Yorkais

Les hackers ont mis en ligne non seulement les noms des New-Yorkais, mais aussi les lieux de résidence et leurs adresses électroniques, rapporte le Reuters, qui précise qu’une grande partie des données sont désuètes. En outre, la liste inclut les données personnelles d’un grand nombre de fonctionnaires du département d’Etat américain ainsi que de citoyens sans relations avec les services publics.

Des agents fédéraux et des policiers de New York ont contacté les personnes figurant sur la liste pour les informer, mais les forces de l’ordre ne considèrent pas cette menace comme crédible, indique la source.

« Bien que notre pratique courante consiste à refuser de commenter les questions opérationnelles et les enquêtes spécifiques, le FBI avertit régulièrement les individus et les organisations sur l’information recueillie au cours d’une enquête qui peut être perçue comme une menace potentielle », stipule la déclaration du FBI.

Précédemment, le groupe de pirates informatiques de Daech connu comme « Cyber-califat uni » a annoncé qu’il avait obtenu les informations personnelles de 50 employés du département d’Etat américain, y compris leurs noms et numéros de téléphones. Pour le prouver, les pirates ont publié des captures d’écran et ont menacé d' »écraser » les Etats-Unis, de tuer ces employés et de détruire le système de sécurité nationale. De son côté, le département d’Etat américain n’a fourni aucun commentaire.

Croyant attaquer Google, les hackers de Daech manquent leur cible

Auparavant, les Etats-Unis avaient ouvert une nouvelle ligne de combat contre l’Etat islamique, comprenant des attaques contre des réseaux informatiques de Daech. Des cyberattaques seront réalisées contre l’Etat islamique parallèlement à l’usage des armes traditionnelles.
Depuis 2013, les autorités américaines ont arrêté plus de 70 personnes pour collaboration avec l’Etat islamique… [Lire la suite]

Réagissez à cet article

Un casseur de 17 ans retrouvé par la police grâce à YouTube

Tout ce que vous direz sur Internet pourra être retenu contre vous et heureusement, les imbéciles n’en ont pas toujours conscience. France 3 Pays-de-la-Loire rapporte ainsi que la police nantaise consulte les vidéos amateurs qui circulent notamment sur YouTube, dans lesquelles des casseurs sont visibles, voire celles dans lesquelles ils se vantent de leurs propres délits (ce qui arrive plus souvent qu’on ne l’imagine).

C’est ainsi que les policiers ont pu appréhender un jeune lycéen de 17 ans, qui s’était vanté sur une vidéo d’avoir « fait Go Sport la dernière fois » et d’avoir « eu des chaussures gratuites » en se servant dans la vitrine cassée de la boutique située à deux pas de la tour de Bretagne, au cœur de la métropole de Nantes. Le magasin de sport avait été vandalisé le 5 avril dernier et la vidéo avait été tournée après une nouvelle manifestation du 9 avril… [Lire la suite]

Réagissez à cet article

Un botnet de 777.000 PC démantelé

Encore une fois, l’opération a été menée conjointement par Interpol et des acteurs privés de la sécurité informatique comme Kaspersky Lab et Trend Micro. Simda était présent dans plus de 770.000 PC dans 190 pays. Dix serveurs de commande et contrôle ont été saisis aux Pays-Bas, mais des équipements contrôlant ce botnet ont été démantelés aux États-Unis, en Russie, au Luxembourg et en Pologne.

Kaspersky explique que Simda était actif depuis fin 2012 et utilisé pour distribuer de manière décentralisée des malwares divers et variés notamment destinés à détourner (c’est original) des données bancaires. Il s’incrustait dans Windows via une modification des fichiers HOSTS permettant de faire passer pour légitimes des sites Web qui ne l’étaient pas.

Afin de vérifier si votre PC fait ou faisait partie du botnet Simda, Kaspersky a mis en ligne cette page : http://www.generation-nt.com/simda-botnet-malware-interpol-microsoft-kaspersky-trend-micro-actualite-1914093.html

Cette nouvelle victoire illustre l’efficacité des actions internationales et coordonnées public/privé. D’ailleurs dès 2010, le Clusif faisait état des progrès accomplis dans la lutte contre les botnets, grâce notamment à l’implication de différents acteurs clés de l’Internet, et notamment des opérateurs télécoms.. [Lire la suite]

Réagissez à cet article

La France largement ciblée par les attaques DDoS au premier trimestre 2016

Dans le précédent rapport, de la société Incapsula, l’attention sur un nombre croissant d’attaques DDoS de type « flood » à très haut débit lancées contre les clients de l’entreprise au niveau de la couche réseau. Dans ce type d’attaques, des paquets de données de petite taille, ne dépassant généralement pas 100 octets, sont émis à un rythme extrêmement élevé de façon à saturer la capacité des commutateurs réseau, ce qui aboutit à un déni de service pour les utilisateurs légitimes.

La vitesse d’émission des paquets est mesurée en Mpps (millions de paquets par seconde). Au 1^er trimestre 2016, la fréquence de ces attaques présentant un nombre élevé de Mpps a été sans précédent. En moyenne, nous avons neutralisé une attaque de plus de 50 Mpps tous le quatre jours et une de plus de 80 Mpps tous les huit jours. Plusieurs de ces attaques ont franchi le cap des 100 Mpps, la plus intense culminant à plus de 120 Mpps.

Nous pensons que ces attaques à très haut débit sont une tentative pour mettre en échec les solutions de neutralisation DDoS de la génération actuelle.

A l’heure actuelle, la majorité des services et appliances de neutralisation sont d’une grande efficacité face aux assauts présentant un nombre élevé de Gbit/s. Cependant, comme les auteurs des attaques s’en rendent compte, bon nombre de ces mêmes solutions n’offrent pas une capacité identique contre les très hauts débits de paquets, car elles n’ont pas été conçues pour en traiter un volume aussi important.

Fait intéressant, nous avons également observé dans le nouveau rapport d’incapsula, l’emploi fréquent d’une combinaison de différents vecteurs pour constituer des assauts plus complexes, avec un débit élevé à la fois en Mpps et en Gbit/s.

Le scénario le plus courant ici est la combinaison d’une attaque de type UDP Flood à très haut débit et d’une attaque par amplification DNS, grosse consommatrice de bande passante. En conséquence, au 1^er trimestre 2016, la fréquence des attaques par amplification DNS a augmenté de 6,3 % par rapport au trimestre précédent.

En outre, nous avons également constaté un accroissement notable du nombre d’attaques multivecteurs. Globalement, celles-ci ont représenté 33,9 % de l’ensemble des assauts sur la couche réseau, soit une hausse de 9,5 % par rapport au trimestre précédent. En termes absolus, le nombre d’attaques multivecteurs est passé de 1326 au 4^ème trimestre 2015 à 1785 au 1^er trimestre 2016.

Couche application : des robots DDoS plus malins

Les attaques DDoS sur la couche réseau, nous avons vu au premier trimestre 2016 les auteurs d’attaques passer à la vitesse supérieure et se concentrer sur des méthodes susceptibles de contourner les mesures de sécurité. La meilleure illustration en est une augmentation du nombre de robots DDoS capables de se glisser au travers des mailles du filet, à savoir les tests couramment utilisés pour filtrer le trafic d’attaque.

Au 1^er trimestre 2016, le nombre de ces robots a explosé pour atteindre 36,6 % du trafic total des botnets, contre 6,1 % au trimestre précédent. Dans le détail, 18,9 % étaient capables d’accepter et de conserver des cookies, tandis que les 17,7 % restants pouvaient également interpréter du code JavaScript.

De telles capacités, combinées à une empreinte HTTP d’apparence authentique, rendent les robots malveillants indétectables par la plupart des méthodes. Les attaques DDoS se démultiplient !

En dehors de l’utilisation de robots plus sophistiqués, les assaillants explorent de nouvelles méthodes d’exécution des attaques sur la couche application. Les plus notables d’entre elles sont de type HTTP/S POST flood, employant des requêtes très longues pour tenter de saturer la connexion réseau de la cible.

Enfin, nous avons également observé un accroissement continu de la fréquence des assauts. Au premier trimestre 2016, un site sur deux victime d’une attaque a été ciblé plusieurs fois. Le nombre de sites attaqués entre deux et cinq fois est passé de 26,7 % à 31,8 %.

Les attaques DDoS : la Corée du Sud en tête des pays à l’origine des attaques

A partir du deuxième trimestre 2015, nous avons enregistré une forte recrudescence de l’activité des botnets DDoS provenant de Corée du Sud, une tendance qui s’est poursuivie ce trimestre. Cette fois, étant à l’origine de 29,5 % de l’ensemble du trafic DDoS sur la couche application, le pays s’est hissé en tête de liste des attaquants.

Un examen plus approfondi des données concernant les attaques DDoS révèle que la majorité du trafic d’attaque émanant de Corée du Sud provient de botnets Nitol (52,9 %) et PCRat (38,2 %). Plus de 38,6 % de ces attaques ont été lancées contre des sites web japonais et 30,3 % contre des cibles hébergées aux Etats-Unis.

Il est intéressant de noter, au cours de ce trimestre, une forte augmentation de l’utilisation de Generic!BT bot, un chevalde Troie connu pour infecter les ordinateurs Windows. Celui-ci a été identifié pour la première fois en 2010 et nous voyons aujourd’hui ses variantes employées pour pirater des machines dans le monde entier.

Au 1^er trimestre 2016, des variantes de Generic!BT ont ainsi été utilisées dans des attaques DDoS issues de 7756 adresses IP distinctes réparties dans 52 pays, principalement en Europe de l’Est. La majorité de cette activité a été tracée jusqu’en Russie (52,6 %) et en Ukraine (26,6 %).

Conclusion : les attaques DDoS conçues contre les solutions de neutralisation

Les années précédentes, la plupart des attaques observées avaient pour but de causer un maximum de dommages aux infrastructures ciblées. Il s’agissait typiquement d’assauts de force brute, de type « flood », frappant avec une grande capacité et sans faire de détail. Les attaques plus sophistiquées étaient alors rares.

Cependant, au cours des derniers mois, nous avons enregistré un nombre croissant d’attaques orchestrées par rapport aux solutions de neutralisation DDoS. La diversité des méthodes d’attaque ainsi que l’expérimentation de nouveaux vecteurs semblent indiquer un changement de priorité, les assauts étant de plus en plus conçus pour paralyser les solutions de neutralisation, et non plus uniquement la cible.

D’une part, cela dénote l’omniprésence des services et appliances de protection DDoS, qui sont appelés à devenir partie intégrante de la majorité des périmètres de sécurité pour espérer contrer les attaques DDoS. D’autre part, cela illustre également le défi auquel le secteur de la neutralisation DDoS va être confronté : des attaques de plus en plus élaborées qui exploitent les points faibles de ses propres technologies… [Lire la suite]

Réagissez à cet article

Forum TAC « Technologies Against Crime » : LYON, les 28 et 29 avril 2016

Cette année, le thème est :

 
Les principaux partenaires de l’événement

Tout au long de ces 2 jours, nous allons assister aux présentation des sujets suivants :

Réagissez à cet article

Les cybercriminels profitent des failles de la nature humaine 

Plusieurs tendances remarquées les années précédentes se stabilisent et restent valables, parmi lesquelles :

On retrouve des motivations financières ou d’espionnage dans 89% de toutes les attaques
Dans la plupart des cas, ce sont des vulnérabilités connues et non corrigées qui sont exploitées, alors que des correctifs existent et sont disponibles depuis des mois voire des années. Les 10 vulnérabilités connues les plus fréquentes se retrouvent dans 85% des cas de compromissions réussies.

• 63% des compromissions de données avérées sont imputables à l’utilisation de mots de passe volés, faciles à deviner ou de mots de passe par défaut qui n’ont pas été modifiés ;
• 95% des cas de compromissions et 86% des incidents de sécurité ont été perpétrés en suivant l’un ou l’autre des neuf scénarios recensés comme les plus fréquents;
• Les attaques par ransomware augmentent de 16% par rapport à 2015.

Il est navrant de constater que des mesures de défense pourtant basiques font toujours défaut dans de nombreuses entreprises

« Les entreprises, forces de sécurité et organisations gouvernementales font preuve d’une volonté forte de devancer les cybercriminels, et le Data Breach Investigations Report revêt pour cela une importance croissante », commente Chris Formant, président de Verizon Enterprise Solutions. « Les contributions et collaborations rassemblées au sein du DBIR, apportées par des organisations du monde entier, sont plus que jamais nécessaires pour bien appréhender l’état des menaces. Et la compréhension est la première étape de l’action. »

Les pratiques de phishing de plus en plus préoccupantes

Les pratiques de phishing, qui font qu’un utilisateur reçoit un e-mail qui lui apparaît légitime de la part d’une source frauduleuse, se sont nettement intensifiées par rapport à l’an dernier. Ce qui est alarmant, c’est que les messages de phishing ont été ouverts dans 30% des cas, contre 23% dans le rapport 2015, et que dans 13% de ces cas le destinataire a aussi ouvert la pièce jointe ou cliqué sur le lien délétère, provoquant l’activation du malware et ouvrant ainsi les portes aux cybercriminels.

Ces dernières années, le phishing était le scénario d’attaque privilégié du cyber-espionnage. Il s’est maintenant généralisé, au point d’entrer dans la composition de 7 des 9 scénarios d’incidents les plus fréquents recensés dans l’édition 2016 du rapport. Cette technique d’une grande efficacité présente de nombreux avantages, dont un délai de compromission très court et la possibilité de cibler des individus et des entreprises spécifiques.

A la liste des erreurs humaines s’ajoutent celles commises par les entreprises elles-mêmes. Ces erreurs, labellisées dans la catégorie « Erreurs diverses », constituent le scénario n°1 des incidents de sécurité dans le rapport de cette année. Dans 26% des cas, ces erreurs impliquent l’envoi d’informations sensibles à la mauvaise personne. Mais on trouve aussi d’autres types d’erreurs de la même catégorie : pratiques inappropriées de destruction des informations internes, mauvaise configuration des systèmes IT, et perte ou vol d’actifs de la société, comme les PC portables et smartphones.

La nature humaine : la base d’une attaque informatique

« On peut dire qu’un sujet central est commun aux constatations de ce rapport : l’élément humain », déclare Bryan Sartin, directeur exécutif de l’équipe Verizon RISK à DataSecurityBreach.fr. « Malgré les avancées de la recherche en sécurité informatique et la disponibilité d’outils et de solutions de cyber détection, nous continuons de déplorer les mêmes erreurs depuis plus de dix ans. Alors que faire ? »

Les chercheurs spécialistes de la sécurité de Verizon soulignent aussi la grande rapidité avec laquelle les cybercriminels perpétuent leurs attaques. Dans 93% des cas, il faut à peine quelques minutes à des hackers pour compromettre des systèmes, et dans 28% des cas ils parviennent à exfiltrer des données en quelques minutes seulement.

Comme pour l’édition 2015 du rapport DBIR, les compromissions de terminaux mobiles et d’objets de l’Internet des objets (IoT) ne sont pas très représentées. Mais le rapport signale qu’il existe bien des tentatives visant à démontrer la faisabilité de ces compromissions (proof of concept), et que ce n’est qu’une question de temps avant qu’une compromission à grande échelle se produise qui impacte les mobiles et terminaux IoT, ce qui signifie que les entreprises ne doivent pas relâcher leur vigilance en termes de protection des smartphones et des objets de l’IoT.

Il est important de noter également que les attaques d’applications Web sont devenues le vecteur n°1 des cas de compromissions de données, et que 95% des compromissions d’applis Web avaient des motivations financières.

Progression de l’attaque en trois volets

L’édition 2016 du rapport alerte sur le risque d’être victime d’un nouveau type d’attaque en trois volets qui se répète avec une grande régularité. De nombreuses entreprises ont fait les frais de telles attaques :

1. La nature humaine – Envoi d’un e-mail de phishing avec un lien pointant vers un site web malveillant ou une pièce jointe infectée ;
2. Un malware est téléchargé sur le PC de la victime et il ouvre la voie à d’autres malwares utilisés pour rechercher des informations secrètes et confidentielles à usurper (cyber espionnage) ou pour chiffrer des fichiers en vue de demander une rançon. Très souvent, le malware vole les identifiants d’accès à diverses applications au moyen d’enregistreurs de frappe ;
3. Les droits d’accès dérobés servent à s’infiltrer davantage et perpétrer de nouvelles attaques : se connecter à des sites web de tiers, de banque en ligne ou de e-commerce, par exemple.

« L’objectif est de comprendre le mode opératoire des cybercriminels », déclare Bryan Sartin à datasecuritybreach.fr. « C’est en maîtrisant les scénarios des attaques que nous pourrons mieux les détecter, les prévenir et y répondre. »… [Lire la suite]

Téléchargez le rapport

Réagissez à cet article

Quels sont les dangers des points d’accès Wifi gratuits ?

De plus en plus nombreux, les points d’accès Wi-Fi ouverts et gratuits (dans les rues, les parcs, les gares…) sont bien pratiques pour se connecter en mobilité, notamment pour les salariés nomades. Mais ces hotspots ne brillent pas toujours par leur sécurité. D’ailleurs, les entreprises s’inquiètent de plus en plus des risques liés à leur utilisation par leurs employés. La possibilité de voir des données sensibles détournées est forte, du coup, de plus en plus d’entreprises optent pour une solution radicale : interdire leur usage.

C’est la conclusion d’une étude iPass (un spécialiste des accès Wi-Fi pour les pros) menée par Vanson Bourne au mois de mars 2016 auprès de 500 directeurs informatiques et décideurs informatiques aux États-Unis (200), au Royaume-Uni (100), en Allemagne (100) et en France (100).

Ainsi, près des deux tiers (62%) des entreprises interdisent à leurs employés mobiles d’utiliser les points d’accès Wi-Fi gratuits, 20% ont déclaré qu’elles envisageaient d’interdire cet accès dans un avenir proche et 94% des entreprises interrogées considèrent les points d’accès Wi-Fi gratuits comme une source importante de menaces pour la sécurité mobile.

En France, 29% des directions interrogées interdisent systématiquement cet accès, 44% parfois, soit un total de 73%. Et 17% pensent le faire dans le futur. Les interdictions concernent avant tout le secteur de la finances où l’interdiction totale et temporaire atteint 85%, devant l’IT (80%).

VPN

« La méthode consistant à leur empêcher tout accès à ces points de connectivité est aussi maladroite qu’inadaptée. Dans le monde actuel, où le Wi-Fi occupe la première place, les entreprises doivent impérativement informer leurs employés mobiles des dangers du Wi-Fi gratuit et non sécurisé, et leur donner les outils adéquats pour sécuriser leur connexion à Internet et rester productifs. », souligne iPass qui rappelons-le fournit des solutions de sécurisation dédiées…

« Le Wi-Fi est une technologie révolutionnaire qui a bouleversé le mode de travail des utilisateurs dans le monde », explique Keith Waldorf, Vice-président du département d’ingénierie chez iPass. « Cependant, elle est à l’origine de problèmes colossaux en termes de sécurité mobile. Le fait de rester connecté est un besoin de base pour tout employé mobile. Toutefois, comme le nombre d’entreprises victimes d’atteintes à la sécurité ne cesse de croître, la question de la sécurité mobile devient un sujet brûlant pour un grand nombre de sociétés. En particulier, le recours à des points d’accès Wi-Fi gratuits, non sécurisés, inquiète de plus en plus les entreprises, qui essaient de trouver un équilibre entre les coûts et la convivialité d’une solution de connectivité et les menaces éventuelles des pirates informatiques ».

Pour 37% des participants interrogés, les points d’accès Wi-Fi gratuits représentent la plus grande menace à gérer en termes de sécurité mobile, d’abord à cause du manque de précautions prises par les employés (36%) et pour 27%, des appareils qu’ils utilisent. Du coup, 88% des entreprises (94% en France) ont beaucoup de difficultés à appliquer à une stratégie standardisée.

Pour autant, des solutions simples existent : d’abord la pédagogie auprès des salariés nomades puis la technique avec la mise en place d’un VPN (Virtual Private Technology), qui crée une connexion chiffrée. Toutefois, seuls 26 % des participants à l’étude sont certains que ses employés utilisent uniquement les réseaux VPN pour accéder aux systèmes professionnels… [Lire la suite]

Réagissez à cet article