Sécurité informatique ou cybersécurité

Lors d’une cyberattaque à Hong Kong, le spyware LightSpy a infecté les iPhones des utilisateurs qui visitaient de faux sites d’actualités. 

En janvier 2020, les experts ont détecté une attaque par point d’eau à grande échelle qui s’en prenait aux résidents de Hong Kong : le malware multifonctionnel LightSpy pour iOS s’installait sur les smartphones des victimes. Cela nous rappelle encore que les dispositifs Apple, notamment les iPhones, ne sont pas immunisés contre les malwares. Ils sont protégés, évidemment, mais cette protection n’est pas totale.

Comment LightSpy infecte-t-il les dispositifs iOS ?

Le malware s’installe sur le smartphone de la victime lorsqu’elle visite un des différents sites Internet qui se font passer pour des médias d’informations locales. Les cybercriminels ont tout simplement copié le code d’authentiques pages d’actualités et ont créé des clones.

Les sites ont chargé toute sorte d’exploits sur les smartphones des victimes afin d’installer LightSpy. Les liens redirigeant vers de faux sites ont été distribués sur des forums que les habitants de Hong Kong utilisent. Si l’utilisateur visitait une seule page malveillante, l’iPhone pouvait être infecté. Inutile de toucher quoi que ce soit d’autre.

Qu’est-ce que LightSpy ?

Le malware LightSpy est une porte dérobée modulaire qui permet au pirate informatique d’exécuter des commandes à distance sur le dispositif infecté et, généralement, de devenir incontrôlable sur le téléphone de la victime.

Par exemple, le cybercriminel peut connaître l’emplacement du smartphone, consulter le répertoire, voir l’historique des appels, découvrir à quels réseaux Wi-Fi la victime a l’habitude de se connecter, analyser le réseau local et télécharger les données de toutes les adresses IP détectées sur le serveur de son centre de commandes (C&C). De plus, la porte dérobée a des modules permettant de voler les informations de Trousseaux d’accès (stockage du mot de passe et de la clé de chiffrement d’iOS) ainsi que les données des applications de messagerie WeChat, QQ et Telegram.

Il est particulièrement intéressant de constater que les pirates informatiques n’ont pas exploité de vulnérabilités zero-day mais plutôt des vulnérabilités first-day. Il s’agit de points récemment découverts ayant un patch, mais celui-ci n’est inclus que dans les dernières mises à jour système. Par conséquent, les utilisateurs iOS ayant mis à jour leur dispositif dès que possible ne pouvaient pas être infectés. mais il s’avère que peu de personnes installent les mises à jour. Cette attaque menaçait les propriétaires d’iPhone sous iOS 12.1 et 12.2. Ce problème touche donc tous les modèles sortis entre l’iPhone 6s et l’iPhone X.

Comment se protéger de LightSpy

Nous ne savons pas encore si LightSpy sortira de la Chine. Ces toolkits ont tendance à toucher un public plus large, alors ne pensez pas que vous allez pouvoir éviter ce problème. Prenez les précautions suivantes pour plus de sécurité :

• Installez la dernière version du système d’exploitation. Si vous ne voulez pas le faire à cause des problèmes que rencontre iOS13, n’ayez crainte puisque les bugs Wi-Fi et autres défauts agaçants ont été corrigés dans la version actuelle (13.4).
• Faites attention lorsque vous cliquez sur des liens, surtout si vous ne connaissez pas l’expéditeur. Même si, à première vue, ils semblent vous rediriger vers un site Internet connu, vérifiez minutieusement l’adresse. Cela ne coûte rien.

L’article est intéressant et montre encore qu’au delà des protections de sécurité (Firewall, Antivirus…..) la sensibilisation du personnel est clé. 

L’application ZOOM semble être victime de son succès….Multiplié par 20…c est le nombre d'utilisateurs de l'application de visioconférence Zoom en deux mois en raison du confinement. Débordée par les failles de sécurité, permettant notamment à des internautes mal intentionnés de s'introduire dans des réunions, Zoom essaye désormais de rassurer les utilisateurs. 

Le "Zoom bombing", des détournements inquiétants

En à peine une semaine, les problèmes se sont multipliés pour Zoom. Déjà cible privilégiée des pirates informatiques, l'application a fait un face à un phénomène très inquiétant : le "Zoom bombing". Pendant plusieurs jours, grâce à une faille de sécurité qui rendait publics les codes d'accès de visioconférences mal paramétrées, des internautes ont pu pirater des réunions de travail ou des cours en direct, certains en profitant pour diffuser des images pornographiques ou des incitations à la haine. Faille qui a valu à Zoom d'être bannie de nombreuses écoles aux États-Unis.

Aujourd'hui, ce problème de confidentialité majeur est réglé, assure le président de Zoom France, Loïc Rousseau, joint par Europe 1. "Jusqu'ici, il suffisait d'un lien pour se connecter à une visioconférence. Nous avons ajouté un mot de passe, qui n'était pas obligatoire auparavant, afin de sécuriser l'entrée des participants dans la réunion", explique-t-il. "Nous avons également instauré par défaut une 'salle d'attente' dans laquelle l'organisateur voit qui veut rentrer dans la conférence. De là, il peut sélectionner qui entre ou non. Enfin, une fois la réunion lancée, vous avez la possibilité de la verrouiller pour que personne d'autre ne puisse y avoir accès."

Des réglages par défaut plus stricts

En plus du "bombing", Zoom multiplie les correctifs pour améliorer la sécurité du logiciel. Il lui a en effet été reproché d'autres problèmes non négligeables, à commencer par le chiffrement des conversations, jugé trop léger par les spécialistes de la cybersécurité. Il a donc été rehaussé d'un cran pour correspondre à la norme minimale recommandée. De même, les données de chiffrement ne transitent désormais plus par la Chine, trajet jugé risqué par les défenseurs de la protection des données personnelles. 

"Nous prenons la sécurité très à coeur. Nous sommes en règle avec le RGPD depuis sa mise en oeuvre en 2018", argue Loïc Rousseau. "Il y a des failles, c'est vrai. Nous avons un focus sur les trois prochains mois pour améliorer la sécurité de Zoom et rendre tout cela le plus transparent possible. C'est véritablement notre cheval de bataille", martèle le patron de Zoom France, qui ajoute que le logiciel est utilisé dans sa version professionnelle par "des entreprises mondiales, du CAC 40" et répond donc à leurs normes de sécurité

Avec le télétravail aujourd’hui nous faisons tout en ligne et, les cybercriminels dans le contexte Covid19 se sont rendu compte qu’ils pouvaient profiter de la situation

• Certains malwares exploitent le mot coronavirus 2019, c’est-à-dire Covid-19…ils s’en servent pour cacher des fichiers malveillants dans des documents qui parlent soi-disant de cette maladie.
• Le Streaming…Au cours de ces dernières semaines, hausse incroyable des services de streaming en ligne, avec des chiffres jamais atteints auparavant. Les millions de personnes qui ont l’habitude d’aller au restaurant, ou de sortir pour se retrouver dans un bar, doivent désormais rester chez elles. Ce changement a mis beaucoup de pression sur les services de streaming et certaines entreprises ont dû réduire la qualité de leur contenu pour essayer d’éviter un engorgement. Néanmoins, il est fort probable que cette mesure amène certains utilisateurs à rechercher d’autres pages permettant d’accéder au contenu en ligne…et c est une erreur..ils feront dasn ces conditions le jeu des cybercriminels en laissant de côté les portails protégés des services de streaming légitimes (films, jeux vidéo et autres contenus). Rappels :

=> Utilisez seulement les sources fiables et les services pour lesquels vous payez un abonnement. Vérifiez toujours le format de l’URL et l’orthographe du nom de l’entreprise avant de télécharger quoi que ce soit. Les faux sites Internet ressemblent au vrai mais certaines anomalies vous permettent de faire la différence.

=> Faites attention à l’extension du fichier téléchargé. Les fichiers vidéo ne doivent pas terminer en .exe.

=> Soyez extrêmement vigilant si vous utilisez torrents. Par exemple, vous pouvez lire les commentaires laissés sur les fichiers téléchargeables et, si vous trouvez des avis n’ayant aucun lien avec le contenu, alors il s’agit sûrement d’un malware.

=> Protégez les dispositifs que vous utilisez pour reproduire du contenu en streaming et mettez votre système d’exploitation et vos programmes à jour dès que possible.

=> Évitez les liens qui vous promettent un contenu en avant-première et, si vous avez des doutes quant à l’authenticité du contenu, vérifiez auprès de votre fournisseur de services de divertissement. Par exemple, si vous ne savez pas si un film est disponible dans votre pays.

=> Utilisez une carte de crédit pour réaliser vos paiements mais évitez de sauvegarder les détails de la carte sur le site de streaming.

=> Choisissez un mot de passe unique et complexe pour chaque compte en ligne.

• Les achats sur internet…en très fortes augmentations pendant cette période de confinement. Il a été constaté que les pics d’achats étaient souvent accompagnés d’une hausse du nombre d’attaques d’hameçonnage et de malwares liés aux achats. Quelques conseils pratiques.

·      Méfiez-vous des offres qui sont trop belles pour être vraies. Elles sont souvent fausses.

=> Saisissez l’URL dans votre navigateur pour vérifier si la promotion figure sur le site et évitez de cliquer sur le lien qui figure dans l’e-mail.

=> Vérifiez que la barre d’adresse contient le cadenas ou commence par HTTPS avant de payer. N’oubliez pas que le cadenas ne garantit la sécurité du site que si l’adresse de l’URL est correcte, alors faites bien attention !

=> Utilisez une carte de crédit au lieu d’une carte de débit pour plus de protection lors du paiement.

=> Évitez de sauvegarder les détails de votre carte sur le site Internet.

=> Protégez les dispositifs utilisés pour faire des achats et assurez-vous d’installer les mises à jour et les patchs dès que possible.

=> Choisissez un mot de passe unique et fort pour chaque compte en ligne.

• Les fakes news n’ont rien de nouveau. Nous avons pu constater comment elles ont affecté certains événements importants dans le passé. Pourtant, lorsqu’il s’agit d’une crise nationale, voire internationale, le problème et les conséquences de la propagation de fake news sont plus réels que jamais. Il est plus important que jamais de faire attention à la source et à la validité des informations avant de les partager ou d’agir. Nous avons déjà vu comment les médias (WhatsApp, réseaux sociaux et certains sites d’actualité reconnus) ont fait circuler certains mauvais conseils de santé au sujet des anti-inflammatoires. Ne faites confiance qu’aux sites d’actualité réputés et validés.

=> Faites des recherches pour confirmer les informations transmises de bouche à oreille, y compris via les applications de messagerie et les réseaux sociaux.

=> Ne partagez pas les renseignements que vous ne pouvez pas valider. Soyez responsable lorsque vous faites suivre certaines informations, ou lorsque vous les partagez.

Avec la pandémie de coronavirus, la demande de protection des logiciels de collaboration est en hausse.

Lorsqu’une entreprise demande à ses employés de travailler depuis chez eux, le service informatique doit souvent se dépêcher de trouver les bons outils pour collaborer à distance. La facilité d’utilisation et d’installation, et la sécurité sont généralement les principaux critères. Dans la plupart des cas, l’entreprise choisit Microsoft Office 365. Même si cet outil est pratique, sa sécurité peut être renforcée. Notre solution pour MS Office 365 est disponible depuis plusieurs années et nous l’améliorons continuellement. Aujourd’hui, nous lançons une mise à jour spécifiquement pensée pour renforcer la sécurité de ce logiciel de collaboration.

Protection des outils de collaboration de Microsoft Office 365

En règle générale, n’importe quel environnement de collaboration peut être utilisé comme mécanisme pour diffuser un malware sur le réseau d’une entreprise. Le télétravail augmente les risques puisque les employés utilisent plus souvent leurs dispositifs personnels pour envoyer et partager des fichiers.

Protection de Microsoft Exchange Online

L’hameçonnage est la cybermenace que les employés d’une entreprise rencontrent le plus souvent, étant donné que les e-mails restent le premier vecteur d’attaque utilisé par les cybercriminels. Les escrocs ne cessent d’envoyer des spams et des messages ciblés qui contiennent de faux liens ou des pièces jointes malveillantes. Les filtres internes de Microsoft Exchange Online éliminent certains d’entre eux alors que d’autres arrivent à se faufiler.

Avec cette mise à jour, Kaspersky 365 ajoute des technologies qui empêchent la contrefaçon d’adresses IP. Leurs experts surveillent le paysage des menaces qui est en constante évolution pour que notre moteur anti-hameçonnage puisse détecter toutes les menaces, y compris les plus récentes. Cette mesure offre une meilleure protection contre les attaques de compromission de la messagerie en entreprise puisque les cybercriminels utilisent souvent de faux domaines.

Partage de fichiers sécurisé

Le malware qui se fait passer pour un e-mail est loin d’être la seule source de menace. En théorie, les employés peuvent recevoir des fichiers malveillants à travers d’autre canaux, comme les applications de messagerie, une clé USB, ou le téléchargement d’une archive protégée par un mot de passe. Dans un environnement parfait, l’antivirus du dispositif détecterait le fichier. Pourtant, dans le cas du télétravail, vous n’êtes pas toujours en mesure de savoir quels dispositifs les employés utilisent ou quelle est le niveau de protection de leurs appareils personnels. Quelqu’un pourrait involontairement partager un fichier malveillant avec ses collègues et mettre en danger tous leurs dispositifs.

Pour empêcher cette situation, Kaspersky à déployé un programme qui arrive à détecter un malware dans un logiciel de collaboration. Les employés n’utilisent pas seulement ce service pour partager leurs fichiers. Ils se servent d’autres méthodes comme SharePoint Online et Microsoft Teams. Dans cette optique, notre solution de sécurité analyse désormais les fichiers envoyés à travers ces canaux. Si un employé télécharge un fichier malveillant, il est immédiatement placé en quarantaine et l’équipe informatique reçoit tout de suite un rapport sur la menace.

En complément, sensibiliser les collaborateurs à la cybersécurité ou la sécurité informatique est un des éléments clé pour ne pas mettre en péril le réseau de l’entreprise (+70% des infection réseau sont dues à une erreur humaine)..et cela rentre dans la RGPD. Dans ce cadre, nous avons développé un outil en e-learning qui sert à faire progresser les salariés sur un sujet bien souvent perçu comme abscons.

Étant donné la tourmente actuelle causée par la pandémie de Covid-19, il est nécessaire plus que jamais de télé-travailler en toute sécurité.

Contactez-nous pour en savoir plus 

- contact@weodeo.com

- 01-77-19-15-65

7 professionnels de l’informatique et de la sécurité dans le monde sur 10 font état d’une augmentation des menaces et des attaques depuis le début de l’épidémie de coronavirus, les criminels cherchant à exploiter le boom du télétravail…et de la crise sanitaire.

L’enquête réalisée par menée par Dimensional Research auprès de 411 professionnels issus d’entreprises de plus de 500 collaborateurs faire ressortir une augmentation des menaces et des attaques depuis le début de l’épidémie de coronavirus. Les leviers utilisés :

• 55%, les tentatives de phishing
• 32% les sites web malveillants prétendant offrir des informations ou des conseils sur la pandémie
• 28%, les logiciels malveillants
• 19% des logiciels rançonneurs

Pour bien fonctionner, la sécurité informatique doit être renforcée

Aujourd’hui, 95 % des personnes interrogées déclarent être  confrontées à trois défis supplémentaires en matière de sécurité informatique.

• Pour 56% des personnes, la fourniture d’un accès à distance sécurisé pour les collaborateurs. Disposer d’une connexion à distance réellement sécurisée, sans faille comme par exemple le protocole TLS 1.3…le précédent (TLS 1.2) comprenait des failles informatiques
• Pour 55%, le besoin de solutions d’accès à distance évolutives
• Pour finir, pour 47%, les collaborateurs travaillant à domicile utilisant des logiciels, des outils et des services non validés.

Weodeo propose des solutions sécurisées basées sur les produits Fortinet et Kaspersky…et des méthodes éprouvées. Par ailleurs, la sensibilisation des collaborateurs aux bonnes pratiques informatiques sont clés…au-delà de la RGPD elle assure au fil de l’eau une hygiène vis-à-vis de la cybersécurité adaptée…et permettra très rapidement de limiter les risques informatiques pour l’organisation.

un société à détecté un nouveau vecteur d’attaque utilisé de plus en plus par les cybercriminels pour cibler les nombreux utilisateurs d’Office 365 : les applications Azure malveillantes.

Les attaquants peuvent créer, déguiser et déployer des applications Azure malveillantes dans leurs campagnes de phishing. Les applications Azure ne nécessitent pas l’approbation de Microsoft et, plus important encore, elles ne nécessitent pas l’exécution de code sur la machine de l’utilisateur, ce qui permet d’échapper facilement aux outils de détection sur les endpoints notamment.
« Une fois que l’attaquant a convaincu la victime de cliquer pour installer les applications Azure malveillantes, il peut cartographier l’organisation de l’utilisateur, accéder aux fichiers de la victime, lire ses e-mails, envoyer des e-mails en son nom (idéal pour le spear phishing interne), et bien plus encore« , indique le spécialiste.

C’est quoi les applications Azure ? Microsoft a créé Azure App Service pour donner aux utilisateurs la possibilité de créer des applications cloud personnalisées qui peuvent facilement appeler et consommer des API et des ressources Azure, ce qui facilite la création de programmes qui s’intègrent à l’écosystème Microsoft 365.
L’une des API Azure les plus courantes est l’API MS Graph. Cette API permet aux applications d’interagir avec l’environnement 365 de l’utilisateur, notamment les utilisateurs, les groupes, les documents OneDrive, les boîtes aux lettres Exchange Online et les conversations.
Semblable à la façon dont votre téléphone iOS vous demandera si une application accède à vos contacts ou à votre emplacement, le processus d’autorisation de l’application Azure demandera à l’utilisateur d’accorder à l’application l’accès aux ressources dont il a besoin. Un attaquant intelligent peut donc utiliser cette opportunité pour inciter un utilisateur à donner à son application malveillante l’accès à une ou plusieurs ressources cloud sensibles.

Que voit l’utilisateur ?

« Sous le nom de l’application, cependant, se trouve le nom du locataire de l’attaquant et un message d’avertissement, qui ne peuvent pas être masqués. L’attaquant espère ainsi qu’un utilisateur sera pressé, verra l’icône familière et se déplacera à travers cet écran aussi rapidement et irréfléchi qu’il passerait par un avis de conditions de service« , détaille Varonis.
En cliquant sur «Accepter», la victime accorde à l’application les autorisations au nom de son utilisateur, c’est-à-dire que l’application peut lire les courriels de la victime et accéder à tous les fichiers auxquels elle a accès.
« Cette étape est la seule qui nécessite le consentement de la victime – à partir de ce moment, l’attaquant a un contrôle total sur le compte et les ressources de l’utilisateur« .
Après avoir donné son accord à la demande, la victime sera redirigée vers un site Internet du choix de l’attaquant. « Une bonne astuce (du pirate, ndlr) peut être de mapper l’accès récent aux fichiers de l’utilisateur et de le rediriger vers un document SharePoint interne afin que la redirection soit moins suspecte. » Cette attaque peut donner accès à la liste des utilisateurs, des groupes et des objets dans le client 365 de l’utilisateur, à du spear phishing, du vol de fichiers et de courriers à partir d’Office 365. « Cet appel d’API à lui seul pourrait déclencher une violation massive des informations personnelles« , précise le spécialiste. Le lien dans un e-mail reçu dirige la victime vers le site Web contrôlé par l’attaquant qui la redirige de manière transparente vers la page de connexion de Microsoft. Le flux d’authentification est entièrement géré par Microsoft. L’utilisation de l’authentification multifacteur n’est donc pas une atténuation viable, précise Varonis.
Une fois que l’utilisateur se connecte à son instance O365, un jeton sera généré pour l’application malveillante et l’utilisateur sera invité à l’autoriser et à lui accorder les autorisations dont il a besoin. Voici à quoi cela ressemble pour l’utilisateur final.

Comment supprimer les applications malveillantes ?

Selon Varonis, la manière la plus simple de détecter les octrois de consentement illicites consiste à surveiller les événements de consentement dans Azure AD et à consulter régulièrement vos « applications d’entreprise » dans le portail Azure.

À l’aide du portail Azure, accédez à « Applications d’entreprise » dans l’onglet « Azure Active Directory » et supprimez les applications. Un utilisateur régulier peut également supprimer l’accès en accédant à https://myapps.microsoft.com, en vérifiant les applications qui y sont répertoriées et en révoquant les privilèges si nécessaire.

ESN ou plus communément appelée entreprise informatique Weodeo est spécialisée autour du monde du numérique et du digital. Ses principales spécialités : Sécurité informatique, maintenance / infogérance de parcs informatiques, vente de matériel informatique-numérique, mobilité, visioconférence, téléphonie sur Ip…

Depuis plus d’un an les entreprises sont confrontées à de multiples contraintes dont celles de pouvoir fonctionner normalement. Hier les grèves à répétition (sans jugement) et aujourd’hui l’épidémie covid19…nous obligeant à juste titre, à rester chez soi.

Dans ce contexte, beaucoup d’entreprises ont développé la mobilité, le télétravail depuis quelques temps déjà…contrairement à d’autres qui se sont vues contraintes de la développer à marche forcée. Mais qui dit mobilité, télétravail dit aussi risques plus forts sur la sécurité informatique de son parc informatique.…ne nous y trompons pas, les systèmes numériques des entreprises sont très largement fragilisés.

Preuve en est…aujourd’hui 23 Mars 2020 l’express titrait : « En pleine crise du coronavirus, les hôpitaux de Paris victimes d'une cyberattaque » https://lexpansion.lexpress.fr/high-tech/en-pleine-crise-du-coronavirus-les-hopitaux-de-paris-victimes-d-une-cyberattaque_2121692.html

Les risques sont d’autant plus forts qu’il est prévu des attaques ciblées sur les services publics, services de santé et les entreprises..d’apres un nombre important d’experts. Les pirates informatiques vont profiter, en effet, de la période pour pénétrer les systèmes et faciliter leurs démarches illégales. Le télétravail est un sujet à risque pour les organisations en termes de cybersécurité et il convient de le sécuriser et le faciliter tout en conservant un haut niveau de confidentialité et de disponibilité. »

dans un tel contexte il est important voire capital de :

- sensibiliser les collaborateurs aux bonnes pratiques à avoir sur la sécurité informatique : 

- s’assurer que son écosystème soit sécurisé au bon niveau

- Que l'entreprise ai des antivirus des qualité

…

Nous pouvons vous accompagner sur ses sujets comme sur d’autres…n’hésitez pas.

Selon un rapport de la solution de sécurité Malwarebytes, les ordinateurs de la marque Apple auraient été victimes de deux fois plus d'infections que les PC Windows en 2019.  

Alors que les ordinateurs d'Apple sont généralement perçus comme étant plus sûrs que les PC équipés de Windows, les chiffres montrent une tout autre réalité. En 2019, Malwarebytes a détecté en moyenne 11 infections par appareil pour les Mac, largement plus que les 5,8 infections par appareil pour Windows. Ce chiffre a plus que doublé par rapport à 2018, où le logiciel comptait 4,8 infections pour chaque Mac.

Weodeo, certifiée par Kaspersky, leader mondial de la protection, peut vous aider dans la protection de votre écosystème.

Consultez nous ! 

L’environnement idéal pour une attaque informatique est celui qui demande le moins d’effort pour infiltrer le réseau. Dans ce cadre, une mauvaise hygiène informatique et la brèche est ouverte. Cinq point clés à ne pas négliger.

1.   Ne pas reconfigurer les identifiants par défaut L’une des erreurs les plus courantes, et pourtant les plus évidentes, consiste à ne pas reconfigurer les noms d’utilisateur et les mots de passe par défaut des bases de données, des installations et des équipements. C’est un problème tellement basique qu’il est comparable à des clés laissées sur une porte verrouillée. Et quand cela arrive, les informations d’identification par défaut sont l’une des erreurs de configuration les plus faciles à exploiter.

Il existe des outils qui permettent de scanner et de vérifier les mots de passe et peuvent en effet permettre aux hackers d’accéder aux équipements clés du réseau, comme les pare-feu et les routeurs. Même les systèmes d’exploitation peuvent se trouver exposés à cause d’informations d’identification par défaut. Le processus est également automatisé jusqu’à un certain point. Les chercheurs ont récemment découvert un scanner web en Python appelé Xwo, en mesure de balayer facilement le Web à la recherche de services web exposés et de mots de passe par défaut. Après avoir collecté les informations d’identification par défaut pour MySQL, MongoDB, Postgre SAL et Tomcat, le scanner transfère les résultats à un serveur de commande et contrôle pour poursuivre son action.

2. Retarder la mise à jour des logiciels

Les prestataires technologiques et les spécialistes de la sécurité répètent ce message essentiel à la sécurité depuis des années. Pourquoi ? Parce que c’est efficace. Des systèmes d’exploitation mis à jour à l’aide des derniers correctifs peuvent avoir un impact crucial sur la prévention des failles. 
Certes, il peut être difficile de suivre le rythme des correctifs. Ces éléments peuvent changer tous les jours, et le défi s’étoffe à mesure que les environnements se complexifient. Mais si les administrateurs n’assurent pas une maintenance correcte sur le plan des correctifs, ils ne font qu’attendre un accident inévitable. 

3. Appliquer les mêmes mots de passe sur différents périphériques 

Bien que des mots de passe forts et complexes constituent l’un des piliers de toute stratégie de sécurité basique, même lorsqu’ils sont mis en place, leur utilisation est discutable. Les environnements utilisent souvent le même compte utilisateur et le même mot de passe sur tous les périphériques d’un parc de terminaux.

L’une des principales raisons est que cela facilite la gestion. Mais, et c’est un inconvénient majeur, c’est également pratique pour les hackers, et cela peut leur permettre de compromettre toutes les machines à partir d’une faille sur une seule d’entre elles. À partir de là, ils peuvent utiliser des programmes d’extraction des informations d’identification pour révéler les mots de passe, voire leurs hachages. C’est alors que les vrais problèmes commencent. La réutilisation des mots de passe doit être évitée à tout prix, et les comptes non indispensables doivent être désactivés avant de pouvoir fournir un accès.

4. La mauvaise configuration des interfaces à distance 

Tout appareil en contact avec l’extérieur et connecté à Internet doit faire l’objet d’une protection particulièrement soignée. Des services tels que le protocole propriétaire RDP (Remote Desktop Protocol) développé par Microsoft peuvent fournir aux administrateurs une interface permettant de contrôler les ordinateurs à distance. Mais leur mauvaise configuration offre aux cybercriminels une possibilité d’accéder aux systèmes.

Par exemple, des ransomwares tels que CrySiS et SamSam ont déjà ciblé les entreprises via des ports RDP ouverts, en utilisant des attaques par force brute et par dictionnaire. Les administrateurs doivent utiliser une combinaison de mots de passe forts et complexes, de pare-feu et de listes de contrôle d’accès pour réduire le risque de compromission.

5. Désactiver la journalisation ou la cape d’invisibilité des hackers

Bien que la désactivation de la journalisation ne permette pas nécessairement à un attaquant d’accéder à un système, cela lui permet d’agir en restant inaperçu sur la machine. Lorsque la journalisation est désactivée, les pirates informatiques peuvent se déplacer latéralement sur un réseau à la recherche de données ou d’actifs à exploiter, sans laisser de trace de leur activité.

Cela complique énormément le travail des analystes judiciaires et des intervenants en cas d’incident lorsqu’ils doivent reconstituer ce qui s’est produit lors d’un incident ou d’une intrusion. En revanche, il peut être très bénéfique d’activer la journalisation et d’en envoyer les données vers un emplacement centralisé, par exemple une plateforme de gestion des informations et des événements de sécurité (SIEM). Ces données fourniront les indices nécessaires aux analystes judiciaires lors d’une enquête pour reproduire l’attaque et comprendre l’ampleur de l’intrusion.

Tout périphérique, toute plateforme laissés dans un état par défaut ou mal configuré facilite d’autant le travail d’un criminel. Bien que ces vulnérabilités n’entraînent pas nécessairement de problèmes tout de suite, les pirates informatiques les découvriront probablement à un moment donné et les exploiteront pour obtenir un accès non autorisé. La mise en place de configurations de sécurité appropriées pour protéger les applications, les serveurs et les bases de données peut aider les entreprises à préserver leurs données et leur éviter de devenir une cible facile.

Tout ceci démontre encore une fois l'importance de sensibiliser à la cybersécurité l'ensemble des collaborateurs d'une entreprise...afin de limiter les risques...et donc les conséquences dramatiques.

Nouvelle Breve... mac vulnérable  

Selon un rapport de la solution de sécurité Malwarebytes, les ordinateurs de la marque Apple auraient été victimes de deux fois plus d'infections que les PC Windows en 2019. 

L’étude a révélé que les ordinateurs Apple subissaient en moyenne 11 infections par ordinateur contre 5,8 pour Windows. Un chiffre étonnant pour une marque bénéficiant d’une réputation de produit “sûrs et inviolables” ! La cause de cette augmentation proviendrait essentiellement des logiciels publicitaires, les adwares. 

En raison de leurs succès, les Mac seraient de plus en plus ciblées par les cybercriminels. Une cible très intéressante car leurs utilisateurs, pensant que les systèmes de protection intégrer à leurs ordinateurs, ne voient pas l’utilité de s’équiper de logiciel de protection.