RANSOMWARE : ÉTAT DES LIEUX ET PERSPECTIVES
Quand il s’agit de se défendre contre le ransomware, les outils de sécurité ne sont efficaces que si ceux qui les gèrent savent s’en servir. Alors que nous nous sommes lourdement mobilisés ces dernières semaines pour nous adapter à la crise mondiale actuelle, la cybersécurité a pu être reléguée au second plan. Les cybercriminels, eux, s’en réjouissent. Les réseaux ayant été profondément modifiés, ils se sont activement mis à cibler les télétravailleurs, ceux précisément qui étaient autrefois protégés par le périmètre du réseau. Les tactiques utilisées ? Leur faire parvenir de fausses informations autour du COVID-19, mener des attaques sur les réseaux sociaux ou encore sonder les nouveaux environnements réseau à la recherche de vulnérabilités. FortiGuard Labs a activement scruté l’univers des menaces pendant cette période, et a constaté une inflation significative ciblant les individus à l’aide de sites Web infectés et de campagnes de phishing. Les pièces jointes hébergeant un contenu malveillant, les experts ont constaté un bond de 131 % des virus au cours du mois de mars de cette année. Ceci explique également le reflux constaté des attaques traditionnelles alors que les cybercriminels changent de cibles. Les incidents liés aux ransomware devraient donc progresser car les cybercriminels tentent d’utiliser des dispositifs piratés d’utilisateurs finaux pour s’immiscer au sein des réseaux. Qu’en est-il du ransomware aujourd’hui ? La menace est-elle toujours aussi prégnante ? Le ransomware, à l’évidence, est de ces attaques qui donnent des sueurs froides aux professionnels de la sécurité, d’autant que la menace ne montre aucun signe de ralentissement. Quand il s’agit de se défendre contre le ransomware, les outils de sécurité ne sont efficaces que si ceux qui les gèrent savent s’en servir. Les erreurs de configuration et la prolifération des outils de sécurité peuvent grever l’efficacité de la ligne de défense des entreprises et leur capacité à déjouer les cyberattaques. Enfin, et ceci est particulièrement vrai pour le ransomware, le problème le plus critique est celui du facteur humain. D’autres points doivent aussi être pris en compte, comme l’absence de visibilité et de contrôle que connaissent la plupart des entreprises victimes d’attaques. Avec le nombre de nouvelles vulnérabilités zero-day existantes, nous ne sommes jamais à l’abri d’un exploit de grande envergure. Même avec les fonctions de sécurité les plus récentes en place, si une vulnérabilité zero-day est exploitée, les organisations devront compter sur les trois piliers d’un programme de cybersécurité robuste – les personnes, les processus et la technologie – pour identifier la menace dès ses prémices. Les solutions anti-exploit et EDR (détection et prise en charge des menaces sur les Endpoints) sont d’excellents outils pour identifier des logiciels malveillants sur un Endpoint avant que celui-ci n’accède au réseau, ce qui permet ensuite de partager cette information. Un pare-feu de segmentation interne (ISFW) peut alors assurer une segmentation dynamique qui met l’hôte infecté en quarantaine. Par ailleurs, la technologie SOAR (orchestration de sécurité, automatisation et réponse) peut procéder rapidement à la remédiation suite aux informations de veille recueillies. Cette stratégie qui fonctionne parfaitement pour contrer les ransomware, permet également de neutraliser les attaques les plus avancées. Le ransomware n’est pas un malware aussi complexe et sophistiqué que l’on imagine. Et c’est précisément cela qui le rend dangereux : les cybercriminels n’ont pas besoin d’être des experts puisque des toolkits de ransomware peuvent être téléchargés à partir d’Internet et personnalisés avec des connaissances minimales en matière de programmation. Il est vrai que la majorité de ces ransomware ne fonctionneront probablement pas sur les grandes entreprises puisque sans doute neutralisés par les dispositifs de sécurité. Mais compte tenu du contexte actuel, avec nombre de néo-télétravailleurs, des équipes IT surchargées et des politiques de sécurité nouvelles mais pas forcément testées, les entreprises se retrouvent soudainement en position d’être victimes d’attaques. S’il y a d’autres menaces sans doute plus communes que le ransomware, celui-ci reste une menace majeure compte tenu de son lourd impact sur les entreprises qui en sont victimes : en effet, une attaque par ransomware réussie peut aller jusqu’à mettre à l’arrêt l’activité d’une entreprise. Les bonnes pratiques de cybersécurité et le facteur humain contre les ransomware La triste vérité est que la plupart des attaques peuvent être évitées. Les entreprises peinent à assurer le patching de leurs dispositifs. On ne peut pas toujours les blâmer pour cela. Ces correctifs doivent être testés, ce qui peut être chronophage au sein des environnements étendus et complexes. Souvent, les utilisateurs disposent de droits administratifs sur leur système pour se substituer aux équipes de support IT et d’administration, et ainsi alléger leurs tâches. Mais ceci rend l’automatisation des patchs et des mises à jour plus difficile. Et au sein d’environnements mobiles étendus, il n’est guère simple d’inciter les utilisateurs disséminés géographiquement à déployer leurs patchs. Pourtant, si ces problèmes sont réglés, il est fort à parier que la majorité des ransomware ne seraient plus efficaces. Le problème n’est pas qu’une question de prise de conscience, il est enraciné dans le comportement humain. Sensibiliser et agir sont deux choses très différentes. Aux côtés d’attaques à grande échelle et peu discriminantes, certains emails sont conçus de manière intelligente pour cibler des profils spécifiques d’individus au sein des entreprises, soit directement, soit par le biais d’une nouvelle technique qui consiste à insérer des emails de phishing dans un fil de messages pour augmenter la probabilité qu’il soit ouvert et cliqué. Ce type d’attaque est connu sous le nom de spearphishing, et même de “whale phishing” si la cible est un dirigeant d’entreprise. Mais peu importe qui est ciblé, tout le monde est susceptible de recevoir un email soigneusement conçu qui débarque à un moment où il est juste suffisamment distrait pour ne pas repérer la menace. Le facteur humain ne se limite pas à des personnes naïves qui cliquent sur des liens ou ouvrent des documents malveillants. Sont également inclus les managers et dirigeants qui ne comprennent pas la portée de ces menaces, ni comment les neutraliser. Les technologies antimalware progressent si vite que la majorité d’entre nous ne peuvent en maîtriser
LA FRAUDE AUX FOURNISSEURS RESTE LA TECHNIQUE PRÉFÉRÉE DES CYBERCRIMINELS
D’après une étude, en 2019 l’usurpation d’identité a été la technique la plus utilisée par les cybercriminels, devant l’intrusion dans les systèmes d’information. 48% des entreprises interrogées ont subi des fraudes aux fournisseurs dont l’objectif est obtenir le paiement de fausses factures. Malgré cela, 6 répondants sur 10 n’ont toujours pas de budget alloué à ces questions. En 2019, 7 entreprises sur 10 ont été victimes d’au moins une tentative de fraude, révèle une étude publiée le 12 mai 2020 par la société d’assurance-crédit Euler Hermes et l’Association nationale des directeurs financiers et de contrôle de gestion. Elles ont interrogé 200 entreprises françaises pour mesurer le nombre de fraudes et de cyberattaques perpétrées en 2019. L’USURPATION D’IDENTITÉ DEVANT LES CYBERATTAQUES L’usurpation d’identité est la technique la plus utilisée par les fraudeurs devant l’intrusion dans les systèmes d’information. La fraude aux fournisseurs est massivement utilisée. 48 % des entreprises interrogées ont cité ce délit qui vise à se faire passer pour un fournisseur afin d’obtenir le paiement de factures émises par le véritable fournisseur. Elle est suivie par la fraude au faux président, qui a sensiblement progressé en 2019 (38 %), les autres usurpations d’identité (banques, avocats, commissaires au compte) citées par 31 % des répondants et la fraude au faux client (24 %). L’intrusion dans les systèmes d’information est citée par 29 % des entreprises interrogées. Elle est utilisée en tant qu’attaque directe avec les rançongiciels mais également comme moyen pour préparer une fraude. « L’usurpation d’identité est un grand classique de la fraude et elle est de loin la technique favorite des fraudeurs. Son usage a toutefois évolué : là où auparavant, le mail était le facteur déclencheur, de nouvelles techniques plus pointues sont apparues et permettent aux fraudeurs de gagner en efficacité. On peut notamment penser à l’intelligence artificielle et aux logiciels d’imitation de voix, grâce auxquels les fraudeurs ont plus de crédibilité dans leurs tentatives et qui permettent de constituer des scénarios d’usurpation d’identité extrêmement convaincants », explique Armelle Raillard, experte assurance-fraude chez Euler Hermes France. 27 % DES ENTREPRISES ONT SUBI AU MOINS UNE FRAUDE AVÉRÉE L’étude montre la récurrence de ces attaques sur une même cible. En 2019, 29 % des répondants ont été visés par plus de 5 tentatives. Ils étaient 24 % en 2018. Et cette persévérance porte ses fruits. 27 % des entreprises interrogées ont subi au moins une fraude avérée en 2019 (26 % en 2018). Le moment de l’attaque est un élément central. 43 % des entreprises ont remarqué une recrudescence des attaques en veille ou en week-end et en période de congés. Rien d’étonnant, les délinquants concentrent leurs efforts sur les périodes où les entreprises sont moins armées pour se protéger. Pour près d’une entreprise sur 3, le préjudice subi est supérieur à 10 000 euros. Mais les entreprises semblent de plus en plus conscientes de ce risque. En effet, 84 % d’entre elles craignent une accentuation du phénomène sur l’année à venir. Elles étaient 78 % en 2018. Cette prise de conscience pousse les entreprises à prendre des mesures. 60 % d’entre elles ont mis en place une cartographie des risques et 40 % ont décidé de créer ou transférer un budget dédié à la lutte contre la fraude. PLUS DE 6 RÉPONDANTS SUR 10 N’ONT TOUJOURS PAS ALLOUÉ DE BUDGET SPÉCIFIQUE Mais des efforts restent à faire. Plus de 6 répondants sur 10 n’ont toujours pas alloué de budget spécifique à la lutte contre la fraude et la cybersécurité en 2019. « Nous sommes sur la bonne voie mais les entreprises doivent aller plus loin dans leur démarche pour se mettre à l’abri des attaques. Des dispositifs comme l’assurance-fraude existent et permettent aux entreprises de transférer ce risque majeur sur une tierce partie pour ne pas avoir à l’assumer entièrement« , indique Armelle Raillard. L’étude rappelle que la crise sanitaire actuelle peut être largement exploitée par les cyberdélinquants. « Le risque est que la crise que nous traversons conduise à une moindre vigilance ou à la ‘dégradation temporaire’ des dispositifs de contrôle en raison de la priorité légitime donnée à la continuité d’exploitation. Les cyber-fraudeurs peuvent en profiter pour exploiter toute faille du dispositif de prévention et de contrôle et accentuer leurs attaques », déclare Christian Laveau, président du groupe de travail Cyberfraude de la DFCG. Début mars 2020, des experts en cybersécurité constatent en effet une augmentation des attaques informatiques. Cette hausse est selon eux directement liée à la pandémie de Covid-19 qui agit comme « un appât pour tromper les victimes dans l’exécution de logiciels malveillants« . Source : Usine Digitale
LES CYBERATTAQUES CAPITALISENT SUR LE CORONAVIRUS
Vol d’informations personnelles, d’argent, infection des ordinateurs avec des logiciels malveillants : les criminels profitent de la peur liée à l’épidémie pour mener des pratiques frauduleuses. Ils ont tout d’un message d’information sur le Covid-19. Mais il s’agit en réalité de virus informatiques. Via de faux e-mails des autorités de santé, de fausses notes internes en entreprise ou encore de fausses alertes de retard de livraison, les cybercriminels tentent dans le monde entier d’exploiter la peur liée à l’épidémie pour s’infiltrer sur les réseaux informatiques des entreprises et des particuliers. Tant et si bien qu’aujourd’hui plusieurs spécialistes indiquent avoir rarement vu de campagnes de spams prendre une telle ampleur… Fait rare, l’Organisation mondiale de la santé (OMS) est récemment sortie de son rôle de médecin en chef face à l’épidémie pour parler de cybersécurité, en mettant en garde contre les fraudeurs qui se font passer pour elle. « Le coronavirus est devenu le thème de prédilection des attaques par mail, dit carrément Loïc Guezo, le directeur stratégie pour l’Europe du Sud de l’éditeur de logiciels de sécurité Proofpoint. Certains messages sont envoyés à des centaines de milliers de personnes en même temps. » Des e-mails d’apparence légitime Les méthodes des cybercriminels sont bien connues des experts. « Les pirates suivent très bien l’actualité », souligne Michel Lanaspeze, le directeur marketing en Europe de Sophos, un autre éditeur de technologie du secteur. Ils cachent leurs liens vérolés et leurs pièces jointes malveillantes dans des e-mails d’apparence légitime qui captent l’attention du destinataire en évoquant les sujets qui l’intéressent le plus. « L’ingénierie sociale a la cote car la psyché humaine reste le maillon faible de tout système de sécurité… », écrivent les experts de Fortinet dans une note. En France, les experts de la plate-forme gouvernementale « cybermalveillance.gouv », dont le rôle consiste uniquement à recevoir des signalements de citoyens, n’ont pas constaté de hausse du nombre de signalements. « Mais nous nous y attendons », note Jean-Jacques Latour, responsable de l’expertise en cybersécurité. Une seule alerte jusqu’ici à propos d’un faux site de vente de masques de protection qui a débité ses clients sans honorer une seule commande. Des logiciels d’exfiltration de données Partout dans le monde, des arnaques sont signalées. Ici un e-mail envoyé par un transporteur et dont la pièce jointe était supposée indiquer le report d’une date de livraison en raison du ralentissement de l’activité dans les ports en Chine. Cliquer sur la pièce jointe déclenche l’installation d’un logiciel d’exfiltration de données. Là des messages qui invitent leurs destinataires à répondre à des campagnes de dons pour la recherche sur la maladie afin d’hameçonner les données personnelles des internautes. Ou encore un email avec en tête OMS dressant une liste de précautions à prendre pour éviter l’infection et lançant par la même occasion l’installation d’un logiciel aspirant automatiquement tous les mots de passe préenregistrés sur l’ordinateur… Un peu partout, des autorités réagissent. En Chine, la Commission chinoise de réglementation des banques et des assurances a signalé plusieurs arnaques qui ont touché des banques nationales. De son côté, l’OMS recommande de ne pas cliquer directement sur les liens présents dans ses e-mails mais de se rendre directement sur son site web, de ne jamais transmettre un mot de passe pour avoir accès à des informations publiques et de vérifier l’adresse e-mail de l’expéditeur. Source : Les Echos