PHISHING, FRAUDE ET ESCROQUERIES EN TEMPS DE PANDEMIE
En ce début d’année 2021 comme en 2020, la cybercriminalité surfe sur la pandémie pour s’envoler vers de nouveaux horizons. Jamais le potentiel n’a été aussi prometteur pour le phishing, la fraude et les escroqueries : les cybermenaces explosent. Le phishing & la pandémie, un mélange explosif ! Les cybercriminels jouent sur la fébrilité des individus face au Covid pour leur soutirer des fonds via des ransomwares. Les malwares comme TrickBot, Agent Tesla ou Emotet, adaptent leurs contenus à la crise sanitaire : Faux fichiers de résultats de tests de Covid-19, Annonce d’un traitement contre le virus, Convocation à une vaccination rapide, Faux site de prise de rdv, de vente de masques ou de gel hydroalcoolique, Décalage d’une livraison d’un colis… Les exemples de thématiques dédiées au phishing sont nombreux et toujours d’actualité. Les cybercriminels dissimulent leur identité derrière celle des organismes de santé, la médecine du travail, les laboratoires d’analyses ou de grandes marques, pour envoyer ces messages au plus grand nombre. Le phishing n’est pas nouveau (cf. article précédent) mais le Covid-19 en a démultiplié l’ampleur et les conséquences. Dans le cas présent, ce sont plus de 7 milliards d’individus qui sont des cibles potentielles et tout le tissu entrepreneurial. Selon Barracuda Networks, le phishing a enregistré un bond de 667 % en mars 2020 et en avril, 380.000 attaques informatiques étaient liées au Covid-19 contre 1.200 en janvier. Le phishing, une goutte au milieu d’une myriade de fraudes et escroqueries en ligne Au-delà du phishing les menaces couvrent différents types d’intrusions. Certaines sont innovantes et s’appuient sur la modification des usages d’outils online tels que les conférences audio / vidéo : Les spam (courriels indésirables) : générés en masse et gérés par l’IT ils sont souvent bien filtrés par les firewalls, antivirus et autres services pare-feu des entreprises. Malware : logiciel malveillant installé à son insu. Ils sont discrets, à l’inverse du Ransomware. Exfiltration de données Phishing avec URL falsifiée : Google a dénombré 316.523 nouveaux sites factices relatifs au Coronavirus en 1 mois courant mars 2020, et les cybercriminels ont aussi déposé des centaines de milliers de noms de domaine intégrant le mot clé « covid » : plus de 200.000 ont été classés en risque élevé ou malveillant. Phishing latéral : il s’appuie sur l’utilisation d’un vrai compte piraté et exploité par un criminel. Taux de succès maximal car la confiance est déjà établie entre des interlocuteurs qui se « connaissent ». Spear phishing (harpooning): ciblé et précis, il a pour objectif de vous voler des données clés. Usurpation de marque / de nom de domaine Escroquerie / Extorsion Usurpation de compte Détournement de conversations : c’est la grande tendance. Ils peuvent conduire les utilisateurs à télécharger de faux outils de collaboration. En tête des cibles, Teams et Zoom. On note une recrudescence de fichiers malveillants portant des noms tels que « zoom-us-zoom_XXX.exe » et « microsoft-teams_V#mu#D_XXX.exe » (où X représente un pseudo numéro de version). D’ailleurs, depuis le début de l’année, plus de 1.700 nouveaux domaines ont été enregistrés comportant le mot « zoom », dont 25 % d’entre eux au cours de la semaine dernière. Phishing, fraude et escroqueries : suspicion absolue Les nouveaux outils doivent susciter encore plus de vigilance dans votre entreprise. Que ce soit à des fins de vol de données ou de détournements de fonds, l’enjeu reste financier. Ainsi du bureau physique au bureau virtuel, prudence et vigilance sont de mises. Dans ce cadre, la solution MATA I/O crypte les fichiers de règlement pour éviter les dépôts de fichiers en clair sur le réseau de l’entreprise. Cette solution crypte également les données sensibles, comme les coordonnées bancaires, pour vous protéger des requêtes informatiques malveillantes. Découvrez aussi Mata Conseil
LE SEUL PROTOCOLE SECURISE A 100%: L’EBICS TS
Le protocole EBICS, qu’on ne présente plus ou presque, est le protocole de communication bancaire standardisé et sécurisé qui garantit la confidentialité des données, permet l’identification des donneurs d’ordre et préserve l’intégrité des fichiers.
MÉFIEZ-VOUS DE CETTE NOUVELLE ARNAQUE QUI PREND DE L’AMPLEUR EN FRANCE : LE VIREMENT IMMEDIAT
Depuis plusieurs semaines, de nombreuses personnes témoignent avoir été victime d’une arnaque redoutable, celle du « virement immédiat ». Une escroquerie bien rodée qui peut vous mettre dans une situation très inconfortable. Depuis le début de la crise sanitaire, le nombre d’escroqueries en France explose. Arnaque au colis, phishing, fausses infirmières et même… l’étrange arnaque à la fiente. Cela fait quelques semaines qu’une nouvelle duperie prend de l’ampleur dans le pays. Une fraude redoutable et très efficace qui peut arriver à tout le monde. Voici comment y faire face. L’arnaque du « virement immédiat » L’un de ces témoignages a été partagé par Actu La Rochelle. Il s’agit du cas d’une étudiante victime de cette escroquerie. À cause de cela, la jeune femme a été à découvert de 42 000 euros au début du mois de novembre. Une situation tragique d’autant plus que le malfaiteur était l’un de ses proches. En effet, selon sa version, cet « ami » aurait déposé sur son compte bancaire deux chèques pour un montant total de 88 000 euros. Grâce à sa proximité avec l’étudiante, l’arnaqueur s’est emparé de ses données bancaires et a effectué un virement vers un compte tiers. Ainsi, il a pu récupérer de l’argent facilement alors que les chèques étaient probablement sans provision et pourraient avoir été volés. Est-ce la faute de la banque ? Que faire face à cela ? Cette arnaque est redoutable car elle abuse du traitement automatique de la banque, qui vérifie seulement s’il y a une signature au dos du chèque, sans se soucier de celle-ci. Ainsi, sur le chèque, vous pouvez faire n’importe quel gribouillage, cela sera suffisant. Un chèque volé ou sans provision, des coordonnées bancaires subtilisées, et le tour est joué. Que faire dans ce cas-là ? L’association Banques Infos Recours a aidé la jeune femme à s’en sortir. Tout d’abord, elle a accusé la banque de ne pas avoir bien fait son travail de vérification. Espérant ainsi que la banque dédommage la victime. Une plainte au pénal a même été posée. De votre côté, il n’y a malheureusement pas grand chose à faire. Gardez vos données bancaires aussi secrètes que possible. Et méfiez-vous car dans l’une des variantes de cette arnaque, l’escroc vous demande un « service » en encaissant un de ses chèques, vous promettant une petite somme en dédommagement. Refusez directement ! Et si jamais cela vous arrive, n’hésitez pas à rapidement contacter des associations qui défendent les clients vis-à-vis de leur banque comme Banques Infos Recours, que vous pouvez contacter directement sur leur site internet. Source : Gentside
SEPTEMBRE, MOIS RECORD POUR LES RANSOMWARES
Avec 270 attaques de ransomwares, septembre a été le mois le plus actif pour les criminels. Covid-19 «aidant», le nombre d’attaques n’a cessé d’augmenter toute l’année. Sauf en juillet, probablement en raison des vacances. Au classement des ransomwares, Nefilim a détrôné les champions de l’année, avec un tiers des attaques déclenchées en septembre et identifiées par les experts. Pas vraiment étonnant puisque ce ransomware utilise une faille de Citrix Gateway… utilisé par beaucoup de ceux qui passent par un VPN pour travailler à distance. Selon Le Mag IT , Maze continue ses ravages et est toujours considéré comme un des malwares les plus dangereux, depuis sa découverte il y a un peu plus d’un an. Revil, le ransomware qui avait valu des problèmes à Cactus en mai, reste le numéro un de l’année, pour Keepnet . Quasiment la moitié des PME ont été victimes d’une attaque, toujours selon la même source , et ceux qui se sont fait piéger ont choisi de payer pour récupérer leurs données dans trois cas sur quatre. L’agence française de la sécurité des systèmes d’information profite d’ailleurs du Mois de la cybersécurité pour rappeler ses bonnes pratiques , considérant qu’avec le Covid-19, le nombre d’attaques a doublé cette année. La semaine dernière, un nouveau grand groupe, dont le holding est au Luxembourg, Luxottica, reconnaissait avoir été victime d’un ransomware, selon Le Monde informatique . Selon Microsoft, cité par Futura-Sciences , les pirates gagnent en efficacité et ont désormais besoin de moins de 45 minutes pour frapper: 13 milliards d’adresses électroniques ont été la cible de tentatives d’attaque cette année. Source : Paperjam
NOUVELLE STRATÉGIE POUR POUSSER LE PAIEMENT DU RANSOMWARE BITCOIN
La création de sites spécialement conçus pour filtrer les données volées est une stratégie qui prend de l’ampleur en 2020. Elle commence par l’utilisation de virus informatiques pour détourner les fichiers des entreprises et des grandes entreprises et exiger le paiement d’une rançon, une pratique connue sous le nom de ransomware. La nouveauté dans les nouveaux cas est que, si l’argent n’est pas reçu, les hackers rendent publiques les informations confidentielles des entreprises attaquées sur des sites Web sombres (darknet). L’objectif est de faire pression sur les victimes pour qu’elles soient obligées de payer pour leur rançon de données. Les pirates espèrent que les coûts associés aux violations de données pourraient inciter davantage de victimes à payer le montant requis. En effet, la fuite peut conduire les entreprises à faire face à des sanctions réglementaires, à des atteintes à la réputation et à des poursuites judiciaires pour la divulgation d’informations de tiers. Leur cours de bourse peut également être affecté par la perte de propriété intellectuelle. La pratique de la fuite de données a été lancé en novembre 2019 par les pirates derrière le ransomware Maze, dans une tentative de forcer la reddition de Bitcoin en échange des fichiers. À cette date, ils ont publié près de 700 Mo de données volées à Allied Universal, une société de services de sécurité de Californie, aux États-Unis.Il ne s’agissait que d’une partie de 5 Go de données détournées pour lesquelles ils ont demandé un paiement de 300 bitcoins. Sur ce site, le ransomware Maze a commencé à filtrer les données volées à ses victimes. Source: bleepingcomputer.com Par la suite, ils ont publié les données de nombreuses entreprises via des forums de hackers et, enfin, sur un site dédié spécifiquement aux fuites. En voyant ces exemples, les autres opérateurs de ransomware ont utilisé la même tactique d’extorsion. Ils ont commencé par filtrer les fichiers volés sur les forums ou envoyer des e-mails aux médias. Peu après des sites Web sombres ont émergé dédié uniquement aux fuites. Aujourd’hui, les sites de fuite de données volées se sont multipliés. La société de sécurité Emisisoft estime que, au cours des six premiers mois de 2020, plus de 11% des infections par ransomware impliquaient potentiellement une violation de données. Selon Raj Samani, scientifique en chef de la société de sécurité McAfee et conseiller en cybersécurité chez Europol, l’adoption rapide des sites de violation de données pourrait être due au fait que de moins en moins de victimes choisissent de payer ce que les attaquants exigent. Le nouveau ransomware Avaddon rejoint la liste des fuites Suivant la tendance du vol et de la fuite de données, les opérateurs de ransomware Avaddon ont créé cette semaine un nouveau site de violation de données sur le dark web. Là, ils publieront les fichiers volés des victimes qui décident de ne pas payer la rançon. En annonçant leur nouveau site, identifié comme “Avaddon Info”, le groupe ajoute à la liste ransomware qui utilisent cette stratégie comme un mécanisme pour faire pression sur leurs victimes. L’information, publiée dans le média spécialisé Bleeping Computer le 10 août, a été publiée par la société israélienne de cybersécurité, Kela. Il explique que la ligne d’action d’Avaddon est la même que celle utilisée par Maze et d’autres hackers. Jusqu’à présent, ils ont inclus une seule victime sur le nouveau site, une entreprise de construction dont ils ont divulgué 3,5 Mo de documents prétendument volés. “Ils ont publié un échantillon des données obtenues, avec des informations relatives à l’activité de l’entreprise au Royaume-Uni, au Mexique, aux Philippines, en Malaisie et en Thaïlande”, selon les déclarations de Kela. Un échantillon de données volées à une entreprise de construction a été publié sur le nouveau site de rançongiciel Avaddon. Source: bleepingcomputer.com Avaddon est un ransomware récent. Il est connu depuis juin 2020 et est diffusé via une campagne massive de spam. Les logiciels malveillants s’intègrent dans les e-mails avec un fichier JavaScript malveillant déguisé en fichier image .jpg. Liste des ransomwares avec des sites de fuite de données On estime que les sites de violation de données volés sont actuellement gérés par plus d’une douzaine d’opérateurs de ransomwares. En plus de ceux déjà mentionnés, Avaddon et Maze, certains d’entre eux sont listés ci-dessous. AKO Il a commencé à fonctionner en janvier 2020. Ako exige que les plus grandes entreprises disposant d’informations plus précieuses paient une rançon et une extorsion supplémentaire pour supprimer les données volées. Si le paiement n’est pas effectué, les données de la victime ils sont publiés sur son «Blog de fuite de données». CL0P Il a commencé comme une variante de CryptoMix et est rapidement devenu le ransomware de choix pour un groupe d’APT connu sous le nom de TA505. Ce groupe a attaqué 267 serveurs de l’Université de Maastricht. En mars 2020, CL0P a lancé un site de fuite de données appelé ‘CL0P ^ -LEAKS‘, Où ils publient les données des victimes. DoppelPaymer Connu depuis juillet 2019, DoppelPaymer ou BitPaymer cible ses victimes via des piratages de bureau à distance et l’accès fourni par le cheval de Troie Dridex. En février 2020, a lancé un site de filtrage dédié qu’ils appellent «Dopple Leaks». Nemty Connu depuis janvier 2019 sous le nom de Ransomware-as-a-Service (RaaS) appelé JSWorm, il a été renommé Nemty en août de l’année dernière. En mars 2020, Nemty a créé un site de violation de données pour publier les données des victimes. Nephilim En mars dernier, Nemty a créé une équipe affiliée pour un Ransomware-as-a-Service privé appelé Nephilim. Le ransomware est né en recrutant uniquement des pirates et des distributeurs de logiciels malveillants expérimentés. Peu après, a créé un site intitulé “Corporate Leaks” ils utilisent pour publier les données volées. NetWalker En mai 2020, NetWalker, également connu sous le nom de Mailto, a commencé à recruter des affiliés en proposant des paiements importants et un site d’auto-publication de fuite de données. Utilisez un compte à rebours pour essayer d’effrayer les victimes et les forcer à payer. Pysa (Mespinoza) Il est apparu en octobre 2019. En novembre, il a changé l’extension de cryptage de fichier
À QUAND LE CONTRÔLE DU BÉNÉFICIAIRE DE VIREMENT ?
Fraude sur les virements Parce que, simultanément, les institutions financières s’engagent dans une stratégie de développement des paiements par transfert interbancaire et que la fraude sur les virements prend une ampleur inquiétante, le Royaume-Uni a conçu un système unifié de confirmation des bénéficiaires. Le « CoP » est désormais opérationnel et activé par défaut pour tous les clients de presque tous les établissements. L’intégration de l’évolution des pratiques commence à devenir urgente, entre les désirs politiques ou économiques de promouvoir un modèle alternatif aux règlements par carte, essentiellement au profit des mouvements de compte à compte, la généralisation des transferts instantanés, accélérant les échanges, et la progression constante de la cybercriminalité, dont les acteurs sont en permanence à l’affût des opportunités créées par les changements de comportements et les faiblesses des solutions émergentes. Si elle n’est pas absolument infaillible, la réponse de l’industrie britannique présente l’immense avantage d’être extrêmement simple. Dorénavant, au moment de fournir les informations d’un nouveau bénéficiaire de virement, le payeur est invité à saisir le nom de l’individu ou la raison sociale de l’entité en même temps que ses coordonnées bancaires. En arrière-plan, une requête est alors transmise à la banque destinataire, de manière à vérifier la concordance des caractéristiques et écarter les risques d’usurpation. Le résultat, qui respecte les exigences de protection de données sensibles, prend trois formes différentes (outre les erreurs). Dans le cas général, la correspondance est parfaite et l’opération peut suivre son cours sans danger patent. Parfois, une différence mineure (une orthographe approximative, par exemple) génère un avertissement et incite l’utilisateur à s’assurer de l’identité de sa contrepartie. Enfin, en cas de divergence sérieuse, le client reçoit une alerte critique et est pressé de redoubler de prudence. De toute évidence, cette mesure élémentaire ne résorbera pas tous les problèmes de détournement de fonds. Mais elle a tout de même deux mérites importants. D’une part, elle devrait aider directement à réduire l’impact des arnaques au changement d’identifiants bancaires (quand un escroc parvient à faire croire à sa proie que les références de son fournisseur ont changé) qui font perdre chaque année des millions aux particuliers et aux entreprises (et beaucoup d’entre elles ne s’en remettent jamais). D’autre part, elle permettra peut-être aux victimes potentielles de prêter une plus grande attention aux opérations qu’elles réalisent en ligne en un clin d’œil. La présence d’une étape de contrôle leur donnera en effet l’occasion de prendre un peu de recul avant d’envoyer de l’argent vers une destination inconnue. Or d’autres initiatives ont démontré par le passé combien le seul fait d’obliger la personne à marquer une pause dans sa démarche favorise sa prise de conscience d’une tentative de fraude en cours. Quoique avec un certain retard sur nos voisins d’Outre-Manche, l’Union Européenne semble déterminée, notamment à travers la directive DSP2, à promouvoir les échanges interbancaires comme un moyen de règlement de la vie courante. Par ailleurs, la plate-forme transcontinentale de paiement instantané constitue une brique supplémentaire du même édifice. Cependant, afin d’atteindre cet objectif, il faudra non seulement garantir la sécurité des dispositifs déployés mais également conquérir la confiance des clients. La confirmation de bénéficiaire serait un premier pas facile dans la bonne direction… Source : C’est pas mon idée !
RANSOMWARE : ÉTAT DES LIEUX ET PERSPECTIVES
Quand il s’agit de se défendre contre le ransomware, les outils de sécurité ne sont efficaces que si ceux qui les gèrent savent s’en servir. Alors que nous nous sommes lourdement mobilisés ces dernières semaines pour nous adapter à la crise mondiale actuelle, la cybersécurité a pu être reléguée au second plan. Les cybercriminels, eux, s’en réjouissent. Les réseaux ayant été profondément modifiés, ils se sont activement mis à cibler les télétravailleurs, ceux précisément qui étaient autrefois protégés par le périmètre du réseau. Les tactiques utilisées ? Leur faire parvenir de fausses informations autour du COVID-19, mener des attaques sur les réseaux sociaux ou encore sonder les nouveaux environnements réseau à la recherche de vulnérabilités. FortiGuard Labs a activement scruté l’univers des menaces pendant cette période, et a constaté une inflation significative ciblant les individus à l’aide de sites Web infectés et de campagnes de phishing. Les pièces jointes hébergeant un contenu malveillant, les experts ont constaté un bond de 131 % des virus au cours du mois de mars de cette année. Ceci explique également le reflux constaté des attaques traditionnelles alors que les cybercriminels changent de cibles. Les incidents liés aux ransomware devraient donc progresser car les cybercriminels tentent d’utiliser des dispositifs piratés d’utilisateurs finaux pour s’immiscer au sein des réseaux. Qu’en est-il du ransomware aujourd’hui ? La menace est-elle toujours aussi prégnante ? Le ransomware, à l’évidence, est de ces attaques qui donnent des sueurs froides aux professionnels de la sécurité, d’autant que la menace ne montre aucun signe de ralentissement. Quand il s’agit de se défendre contre le ransomware, les outils de sécurité ne sont efficaces que si ceux qui les gèrent savent s’en servir. Les erreurs de configuration et la prolifération des outils de sécurité peuvent grever l’efficacité de la ligne de défense des entreprises et leur capacité à déjouer les cyberattaques. Enfin, et ceci est particulièrement vrai pour le ransomware, le problème le plus critique est celui du facteur humain. D’autres points doivent aussi être pris en compte, comme l’absence de visibilité et de contrôle que connaissent la plupart des entreprises victimes d’attaques. Avec le nombre de nouvelles vulnérabilités zero-day existantes, nous ne sommes jamais à l’abri d’un exploit de grande envergure. Même avec les fonctions de sécurité les plus récentes en place, si une vulnérabilité zero-day est exploitée, les organisations devront compter sur les trois piliers d’un programme de cybersécurité robuste – les personnes, les processus et la technologie – pour identifier la menace dès ses prémices. Les solutions anti-exploit et EDR (détection et prise en charge des menaces sur les Endpoints) sont d’excellents outils pour identifier des logiciels malveillants sur un Endpoint avant que celui-ci n’accède au réseau, ce qui permet ensuite de partager cette information. Un pare-feu de segmentation interne (ISFW) peut alors assurer une segmentation dynamique qui met l’hôte infecté en quarantaine. Par ailleurs, la technologie SOAR (orchestration de sécurité, automatisation et réponse) peut procéder rapidement à la remédiation suite aux informations de veille recueillies. Cette stratégie qui fonctionne parfaitement pour contrer les ransomware, permet également de neutraliser les attaques les plus avancées. Le ransomware n’est pas un malware aussi complexe et sophistiqué que l’on imagine. Et c’est précisément cela qui le rend dangereux : les cybercriminels n’ont pas besoin d’être des experts puisque des toolkits de ransomware peuvent être téléchargés à partir d’Internet et personnalisés avec des connaissances minimales en matière de programmation. Il est vrai que la majorité de ces ransomware ne fonctionneront probablement pas sur les grandes entreprises puisque sans doute neutralisés par les dispositifs de sécurité. Mais compte tenu du contexte actuel, avec nombre de néo-télétravailleurs, des équipes IT surchargées et des politiques de sécurité nouvelles mais pas forcément testées, les entreprises se retrouvent soudainement en position d’être victimes d’attaques. S’il y a d’autres menaces sans doute plus communes que le ransomware, celui-ci reste une menace majeure compte tenu de son lourd impact sur les entreprises qui en sont victimes : en effet, une attaque par ransomware réussie peut aller jusqu’à mettre à l’arrêt l’activité d’une entreprise. Les bonnes pratiques de cybersécurité et le facteur humain contre les ransomware La triste vérité est que la plupart des attaques peuvent être évitées. Les entreprises peinent à assurer le patching de leurs dispositifs. On ne peut pas toujours les blâmer pour cela. Ces correctifs doivent être testés, ce qui peut être chronophage au sein des environnements étendus et complexes. Souvent, les utilisateurs disposent de droits administratifs sur leur système pour se substituer aux équipes de support IT et d’administration, et ainsi alléger leurs tâches. Mais ceci rend l’automatisation des patchs et des mises à jour plus difficile. Et au sein d’environnements mobiles étendus, il n’est guère simple d’inciter les utilisateurs disséminés géographiquement à déployer leurs patchs. Pourtant, si ces problèmes sont réglés, il est fort à parier que la majorité des ransomware ne seraient plus efficaces. Le problème n’est pas qu’une question de prise de conscience, il est enraciné dans le comportement humain. Sensibiliser et agir sont deux choses très différentes. Aux côtés d’attaques à grande échelle et peu discriminantes, certains emails sont conçus de manière intelligente pour cibler des profils spécifiques d’individus au sein des entreprises, soit directement, soit par le biais d’une nouvelle technique qui consiste à insérer des emails de phishing dans un fil de messages pour augmenter la probabilité qu’il soit ouvert et cliqué. Ce type d’attaque est connu sous le nom de spearphishing, et même de “whale phishing” si la cible est un dirigeant d’entreprise. Mais peu importe qui est ciblé, tout le monde est susceptible de recevoir un email soigneusement conçu qui débarque à un moment où il est juste suffisamment distrait pour ne pas repérer la menace. Le facteur humain ne se limite pas à des personnes naïves qui cliquent sur des liens ou ouvrent des documents malveillants. Sont également inclus les managers et dirigeants qui ne comprennent pas la portée de ces menaces, ni comment les neutraliser. Les technologies antimalware progressent si vite que la majorité d’entre nous ne peuvent en maîtriser
LES CYBERATTAQUES CAPITALISENT SUR LE CORONAVIRUS
Vol d’informations personnelles, d’argent, infection des ordinateurs avec des logiciels malveillants : les criminels profitent de la peur liée à l’épidémie pour mener des pratiques frauduleuses. Ils ont tout d’un message d’information sur le Covid-19. Mais il s’agit en réalité de virus informatiques. Via de faux e-mails des autorités de santé, de fausses notes internes en entreprise ou encore de fausses alertes de retard de livraison, les cybercriminels tentent dans le monde entier d’exploiter la peur liée à l’épidémie pour s’infiltrer sur les réseaux informatiques des entreprises et des particuliers. Tant et si bien qu’aujourd’hui plusieurs spécialistes indiquent avoir rarement vu de campagnes de spams prendre une telle ampleur… Fait rare, l’Organisation mondiale de la santé (OMS) est récemment sortie de son rôle de médecin en chef face à l’épidémie pour parler de cybersécurité, en mettant en garde contre les fraudeurs qui se font passer pour elle. « Le coronavirus est devenu le thème de prédilection des attaques par mail, dit carrément Loïc Guezo, le directeur stratégie pour l’Europe du Sud de l’éditeur de logiciels de sécurité Proofpoint. Certains messages sont envoyés à des centaines de milliers de personnes en même temps. » Des e-mails d’apparence légitime Les méthodes des cybercriminels sont bien connues des experts. « Les pirates suivent très bien l’actualité », souligne Michel Lanaspeze, le directeur marketing en Europe de Sophos, un autre éditeur de technologie du secteur. Ils cachent leurs liens vérolés et leurs pièces jointes malveillantes dans des e-mails d’apparence légitime qui captent l’attention du destinataire en évoquant les sujets qui l’intéressent le plus. « L’ingénierie sociale a la cote car la psyché humaine reste le maillon faible de tout système de sécurité… », écrivent les experts de Fortinet dans une note. En France, les experts de la plate-forme gouvernementale « cybermalveillance.gouv », dont le rôle consiste uniquement à recevoir des signalements de citoyens, n’ont pas constaté de hausse du nombre de signalements. « Mais nous nous y attendons », note Jean-Jacques Latour, responsable de l’expertise en cybersécurité. Une seule alerte jusqu’ici à propos d’un faux site de vente de masques de protection qui a débité ses clients sans honorer une seule commande. Des logiciels d’exfiltration de données Partout dans le monde, des arnaques sont signalées. Ici un e-mail envoyé par un transporteur et dont la pièce jointe était supposée indiquer le report d’une date de livraison en raison du ralentissement de l’activité dans les ports en Chine. Cliquer sur la pièce jointe déclenche l’installation d’un logiciel d’exfiltration de données. Là des messages qui invitent leurs destinataires à répondre à des campagnes de dons pour la recherche sur la maladie afin d’hameçonner les données personnelles des internautes. Ou encore un email avec en tête OMS dressant une liste de précautions à prendre pour éviter l’infection et lançant par la même occasion l’installation d’un logiciel aspirant automatiquement tous les mots de passe préenregistrés sur l’ordinateur… Un peu partout, des autorités réagissent. En Chine, la Commission chinoise de réglementation des banques et des assurances a signalé plusieurs arnaques qui ont touché des banques nationales. De son côté, l’OMS recommande de ne pas cliquer directement sur les liens présents dans ses e-mails mais de se rendre directement sur son site web, de ne jamais transmettre un mot de passe pour avoir accès à des informations publiques et de vérifier l’adresse e-mail de l’expéditeur. Source : Les Echos
EBICS RTN – Les notifications en temps réel par le protocole EBICS
EBICS RTN : UN BESOIN DE COMMUNIQUER EN TEMPS RÉEL Jusqu’alors, le protocole EBICS fonctionnait à sens unique. C’était au client, l’entreprise, d’établir la connexion avec la banque. Par exemple, lors d’une demande de réception d’extraits de comptes, c’est bien l’entreprise qui se connecte à la banque par EBICS, fait la demande de réception de ses extraits, que la banque lui transfère ensuite par ce même canal. Les nouveaux usages de la télématique imposent de plus en plus de vitesse dans les échanges, et pour les banques, la possibilité de restituer de l’information à leurs clients en temps réel. Par exemple : pour délivrer des accusés d’exécution d’opérations, ou des accusés de réception de virements instantanés. Cela permet également d’éviter la saturation des serveurs EBICS des banques. Sans ce type de canal, l’entreprise est obligée d’interroger très régulièrement sa banque par EBICS pour getter l’arrivée d’un accusé bancaire. COMMENT FONCTIONNE EBICS RTN Afin de répondre à ces nouveaux besoins, une initiative a vu le jour sous l’appellation : EBICS RTN, pour Real Time Notifications. Le principe repose sur l’ouverture d’un canal de type WebSocket entre l’entreprise et la banque. Ce type de canal n’utilise pas directement le protocole EBICS, mais ne remet pas à cause l’existant puisqu’il ne sera dédié qu’à certaines notifications. Une fois la communication établie, le canal reste ouvert et permet des échanges bidirectionnels et temps réels. Ainsi, la banque pourra pousser de l’information à l’entreprise, sur la disponibilité d’un accusé ou d’un extrait de compte par exemple. Et l’entreprise pourra ensuite se connecter de manière classique, en EBICS, pour récupérer les données. La banque pourra également utiliser ce canal pour délivrer des informations générales, par exemple sur l’expiration de ces certificats. CÔTÉ SÉCURITÉ Le canal WebSocket utilise la couche SSL, les communications sont donc protégées à l’aide d’un certificat. Le canal sera toujours ouvert, ou fermé, à l’initiative de l’entreprise. Ce canal est dédié à l’échange d’informations, mais ne sera pas utilisé pour l’émission de règlements : virements, prélèvements, ou la réception d’extraits de compte. Sur EBICS 3.0, un BTF (Business Transaction Format = Type de flux) spécifique est dédié à ce canal : « OTH/DE/wssparm ». Nous pouvons voir au travers de cette initiative une évolution intéressante du protocole EBICS, qui s’adapte aux nouveaux besoins du marché. EBICS RTN n’est pas encore disponible, il est encore en phase pilote auprès de certains établissements bancaires, et suppose que les éditeurs de logiciels de communication EBICS fassent évoluer leurs solutions à destination des entreprises. EBICS RTN suppose en outre l’utilisation d’EBICS dans la version 3.0.
COMMENT LE LAB DU CDSE ANTICIPE LES MENACES ET AVANCE DES SOLUTIONS
Le Lab, l’incubateur du CDSE permet de fructueux échanges. Deux événements annuels permettent de renforcer la collaboration entre les acteurs de la cybersécurité. « Bonjour, le groupe est victime d’une offensive de tentatives de fraude au président via WhatsApp. Contact par compte avec photo du dirigeant et conversation engagée sur un sujet prétendu urgent et confidentiel. Nous en avions régulièrement mais les remontées récentes sont beaucoup plus nombreuses. Sommes-nous les seuls ? » A peine avions-nous bouclé un entretien très riche que le président du CDSE (1), Stéphane Volant, par ailleurs secrétaire général de la SNCF, nous faisait suivre ce SMS. Signe d’une menace bien réelle. Preuve aussi « de la richesse des échanges de la communauté du CDSE », souligne-t-il. Dans cette lutte sans fin contre une menace en perpétuelle évolution, le rôle du CDSE demeure inchangé depuis sa création il y a vingt-cinq ans : servir de lieu d’échanges entre pairs pour partager bonnes pratiques et expériences, plus ou moins malheureuses, plus ou moins discrètement. Au sein de la communauté de ces têtes chenues – la moyenne d’âge frise les soixante ans -, se déploie désormais le Lab : un incubateur créé à l’initiative Julien Marcel, jusqu’à peu secrétaire général de l’association. S’installant peu à peu dans le paysage du risk management, le Lab est à l’avant-garde de toutes les problématiques de sécurité, jouant un rôle de défricheur et d’anticipateur. On y côtoie toute une génération de numéro deux, numéro trois : des collaborateurs « digital native » qui infusent les bons réflexes, anticipent les menaces et les solutions de demain ». Moyenne d’âge : 35 ans. Avec, comme rendez-vous déjà incontournable du début de l’été, L’Odyssée du CDSE Lab, un événement monté en partenariat avec Thales, notamment. Et, dans lequel « industriels et politiques peuvent être trempés directement dans la marmite de la sécurité et sûreté, plaisante, très sérieusement, Stéphane Volant. Car, comme on dit en Afrique, à force d’y être trempé, on finit par prendre le goût de la sauce. » La deuxième édition de l’événement a ainsi réuni le 4 juillet 2019, au Dernier Etage à Paris, plus de 500 décideurs, privés ou publics, dont les plus haut gradés des ministères des Armées et de l’Intérieur, autour du thème de la confiance. Technologique, s’entend. « Le Lab a un rôle de prospective et d’accélérateur de rencontres, avec ce talent sûr de dénicher les acteurs et les sujets qui agitent l’écosystème », loue Sabri Solani, chef de projet innovation & blockchain à La Fabrique du Futur, qui était là pour présenter une future blockchain tricolore, ValYooTrust, auquel son « think and do tank » numérique participe avec le ministère des Armées et l’Institut Mines-Télécom. L’édition 2019 fut aussi l’occasion de découvrir, parmi la quinzaine de start-up présentes, une déclinaison de l’application Marmelade, destinée à l’origine aux élèves de terminale pour réviser leur BAC, en les obligeant à répondre à des questions du programme pour déverrouiller leur smartphone. Ce que nous ferions plus de 150 fois par jour… Une application qui fonctionne donc aussi très bien pour bachoter la politique sécurité de son entreprise. Autre incontournable de l’agenda du CDSE, son colloque annuel, dont la prochaine édition aura lieu le 17 décembre au siège de l’OCDE, avec pour thème cette année : « La sécurité : un atout pour l’économie des territoires ». « On va y inviter les dirigeants de collectivités – régions, départements… », indique Stéphane Volant. Car la chaîne de sécurité ne concerne pas que le siège des grandes entreprises et Paris, mais tous les maillons du tissu économique, de plus en plus interconnectés : filiales, sous-traitants, fournisseurs… Avec, pour objectif de travailler tous ensemble. « Et, ce ne sont pas que des mots ! » assure le président du CDSE. (1) Club des directeurs de sécurité et de sûreté des entreprises (Vinci, Danone, Renault, L’Oréal, etc.) Source : Les echos