Cybermalveillance : Tout ce qu’il faut savoir sur la violation des données personnelles chez Free
Cybermalveillance – Le 31 octobre 2024, l’opérateur télécom Free a révélé avoir été victime d’une attaque informatique majeure, entraînant une cybermalveillance ayant exposé les données personnelles de ses clients. Cet incident soulève des préoccupations importantes en matière de sécurité des données et de prévention contre les cybermenaces. Voici un décryptage complet des faits, des conséquences et des mesures à adopter pour se protéger. Qu’est-ce que la cybermalveillance et pourquoi est-elle préoccupante dans cette affaire ? La cybermalveillance désigne les activités malveillantes ciblant les systèmes informatiques ou les données numériques. Dans le cas de Free, cette attaque a permis aux cybercriminels d’accéder à des informations sensibles, notamment : Nom et prénom Adresses email et postale Date et lieu de naissance Numéros de téléphone Identifiants abonnés Données contractuelles (type d’offre souscrite, date de souscription) Dans certains cas, les IBAN (International Bank Account Number) Bien que les mots de passe ne semblent pas avoir été compromis, cette fuite de données s’inscrit dans une tendance croissante de cybermalveillance ciblant des entreprises pour exploiter ou monnayer les informations volées. Les obligations légales face à la cybermalveillance Conformément au Règlement Général sur la Protection des Données (RGPD), Free doit informer individuellement toutes les personnes touchées. Par ailleurs, une plainte a été déposée, et la Commission Nationale de l’Informatique et des Libertés (CNIL) a été saisie. L’enquête, confiée à la Brigade de Lutte Contre la Cybercriminalité (BL2C), porte sur plusieurs infractions liées à la cybermalveillance, notamment : L’atteinte à des systèmes de traitement automatisé de données. La collecte frauduleuse de données à caractère personnel. Le recel de données issues d’un délit. Les risques associés à la cybermalveillance : Ce que vous devez savoir Les données exfiltrées peuvent être exploitées de diverses manières par les cybercriminels. Voici les principaux risques de cybermalveillance liés à cette violation : Phishing (hameçonnage) : Vous pourriez recevoir des emails ou SMS frauduleux se faisant passer pour Free ou d’autres organismes. Usurpation d’identité : Vos données personnelles pourraient être utilisées pour ouvrir des comptes ou effectuer des achats en votre nom. Escroqueries financières : Des prélèvements non autorisés pourraient être réalisés grâce à l’utilisation de votre IBAN. SIM Swapping : Les criminels peuvent détourner votre ligne téléphonique mobile pour accéder à des services protégés par une authentification à deux facteurs. Propagation de malwares : Des liens infectés pourraient vous être envoyés pour compromettre vos appareils. Comment se protéger efficacement contre la cybermalveillance ? Face à ce type de menace, il est essentiel d’adopter des mesures préventives. Voici quelques conseils pratiques pour limiter l’impact de la cybermalveillance : 1. Restez vigilant face aux tentatives de phishing Ne cliquez jamais sur des liens ou pièces jointes d’emails suspects. Vérifiez toujours l’expéditeur d’un message. En cas de doute, contactez directement Free via son service client. 2. Surveillez vos comptes bancaires Examinez régulièrement vos relevés pour détecter toute transaction inhabituelle. Signalez immédiatement à votre banque toute activité suspecte et demandez l’annulation des prélèvements frauduleux conformément à l’article L133-24 du Code monétaire et financier. 3. Protégez votre ligne téléphonique Si vous perdez l’accès à votre ligne mobile, contactez rapidement votre opérateur pour vérifier qu’un SIM Swapping n’a pas eu lieu. Demandez à votre opérateur de renforcer la sécurité de votre ligne. 4. Déposez plainte si nécessaire Conservez toutes les preuves d’activités suspectes (emails, captures d’écran). Déposez plainte auprès d’un commissariat ou de la Brigade de Lutte Contre la Cybercriminalité (BL2C). 5. Signalez l’incident à la CNIL Si vous estimez que vos données n’ont pas été suffisamment protégées, vous pouvez porter plainte auprès de la CNIL. Cybermalveillance et recours collectif : Une option pour les victimes Les victimes de cette violation peuvent également se regrouper pour intenter une action collective. En France, ces démarches sont souvent soutenues par des associations de défense des droits des consommateurs ou de protection des données. Une telle action peut demander : La cessation des activités à l’origine de la violation. Une indemnisation pour le préjudice subi. Free et la gestion de la crise de cybermalveillance Pour gérer cette situation, Free a mis en place un numéro vert destiné à ses clients concernés : 0 805 921 100, disponible tous les jours de 9h à 18h. L’opérateur communique également avec transparence sur l’enquête en cours et les mesures prises pour renforcer la sécurité. Cependant, cet incident rappelle l’importance pour les entreprises de s’équiper contre la cybermalveillance. Des audits réguliers, des sauvegardes sécurisées et des formations au sein des équipes techniques sont indispensables pour minimiser ces risques. Conclusion : Cybermalveillance, vigilance et responsabilité collective Cette violation des données chez Free illustre l’ampleur des défis posés par la cybermalveillance à l’ère numérique. Il est impératif pour les entreprises et les particuliers de renforcer leurs défenses face à ces menaces croissantes. En tant qu’utilisateur, adopter des pratiques sécuritaires et signaler tout comportement suspect sont des gestes essentiels pour se protéger. De leur côté, les entreprises doivent mettre en œuvre des solutions robustes pour sécuriser les données de leurs clients. Pour en savoir plus sur la cybermalveillance et les mesures de prévention, consultez le site officiel Cybermalveillance.gouv.fr, une ressource incontournable pour comprendre et combattre ces menaces. Pour en savoir plus sur nos logiciels, contacter le 0806110020.
Témoignage client : alteca
Alteca secures its transfers and automates its cash flow in record time Alteca is an independent Lyonnaise Digital Services Company established throughout France. MATA solutions: Secure e Link cash – Control of third-party contact details connected to SEPAMAIL deployment in secure AZURE CLOUD “Mata is a 100% efficient, intuitive and ergonomic solution, supported by a local team” Mr. Guillaume Barbier, Accounting & Administrative Manager at Alteca ALTECA IN A NUTSHELL Alteca is an independent Lyonnaise Digital Services Company established throughout France. For 25 years, it has been the privileged partner of large companies in the banking, insurance, industry, distribution and services sectors. It supports them in their digital transformation projects: web, mobile, IoT, Data, IS modernization, management, functional expertise. Alteca’s 8 regional agencies have 650 employees for a turnover of more than 50 million euros. Accounting, treasury and sales administration management is centralized in Lyon where Mr Guillaume Barbier is Accounting & Administrative Manager. He led the project to implement a centralized solution to enable the company to secure its transfers, verify paid details and automate its cash management. He gives us his feedback. WHAT WERE ALTECA’S NEEDS AND WHY DID YOU OPT FOR MATA SOLUTIONS? Mr Barbier took office in September 2020, he had in his roadmap this priority project related to securing flows. When he took office, daily management was done via Excel and web banking access. The company exposed itself to significant risks of fraud. Before joining Alteca, I was used to working with big solutions, Kyriba to be precise. The management of this project allowed me to discover other solutions, including those of MATA. My priorities were simple: I needed an ergonomic, intuitive and reliable centralized tool to secure all transfers and facilitate daily cash management. The competition between several players allowed us to choose MATA for three main reasons: Sepamail allowed us to secure transfers in a fluid and transparent manner, automatically relying on existing RIBs by checking the attachment to SIRET; The solution was simple and perfectly sized for Alteca; The ideal support offered and adapted to our needs, while relying on a competitive price. Mr. Barbier had already thwarted check or false president fraud in his previous professional missions, he urgently needed an effective solution that was easy to deploy. Despite his practical knowledge of other solutions, MATA’s option was chosen. What tipped the scales in addition to the stated points? The original positioning with the integrated security and cash offer, the solid cogs of the solutions presented, the simplicity of the interfaces and a response consistent with the initial needs, quite simply. HOW LONG TO DEPLOY THE MATA SOLUTION WITHIN ALTECA? After a first contact in 2020 and all the twists and turns linked to COVID, the project started in the summer of 2021. The relationship established between Alteca and MATA was fluid and efficient, despite the confinements and other quarantines, the project was able to be implemented for the return in September 2021. A short quarter will have been enough for the start of production. WHAT ARE THE IMPACTS OF MATA SOLUTIONS AT ALTECA? In a nutshell, Mr Barbier sums up his direct interests: We have gained in fluidity, implemented new signature workflows. The time saved in cash management is more than 25% and our work methodology has radically evolved! The live cash management tool also makes it possible to generate projections that are accessible and visible to authorized persons. The gain in transparency is undeniable. Access to tailor-made reporting makes it possible to offer managers a clear summary of the cash position. The objectives are achieved: Transfers are perfectly secure and contact details verified; Daily use is simple and the tool is stable. Getting started by the team was very quick and intuitive; The support is impeccable with a very responsive and available hotline, a single point of contact who knows our work environment; MATA is more flexible since their solutions are scalable, you can make improvements to the existing one and adapt it to your needs. We used it to set up signature workflows! AT THE TIME OF THE BALANCE SHEET Mata is a 100% efficient, intuitive and ergonomic solution, supported by a local team See another client’s testimonial
Mata io aux journées de l’afte les 16 et 17 novembre 2021
MATA et ses partenaires vous accueilleront avec plaisir lors des Journées du Trésorier qui auront lieu les 16 et 17 novembre prochains au Palais BRONGNIART à Paris. A cette occasion, venez jouer avec nous à la Fraudster Party et gagnez le prix du meilleur détective ! Intrigue : Le célèbre fraudeur Frank Fraudster planifie l’élaboration d’une fraude à l’encontre d’une grande entreprise américaine. Pour accomplir son noir dessein, il va suivre des étapes précises : Déterminer sa cible : que veut obtenir Frank ? Quelle entreprise peut-il escroquer pour arriver à ses fins ? Obtenir des renseignements : Frank cartographie la société ciblée. Organisation technique : Création de la fausse identité, de la fausse société et ouverture d’un compte en banque. Mise en œuvre de la fraude : Frank entre en contact avec ses cibles. Après la fraude : que devient l’argent ? Suivez le parcours de Frank Fraudster et attrapez le si vous pouvez ! Si vous souhaitez vous inscrire au salon
Sis id, partenaire de mata, pour mutualiser les solutions de sécurité des paiements
Sis ID est une fintech française, créée en 2016, dont la spécialité est d’accompagner les moyennes et grandes entreprises dans la lutte contre la fraude aux virements bancaires. Avec l’explosion ces dernières années des fraudes aux moyens de paiements, cette startup a développé une plateforme permettant aux entreprises de sécuriser leurs virements. Pourquoi développer un outil de lutte contre la fraude au virement bancaire ? Laurent Sarrat, fondateur et CEO de la start-up Sis ID, est un ingénieur informatique orienté produit qui a passé une partie de sa carrière chez Sanofi, puis comme consultant pour Capgemini. En 2016, sous l’impulsion d’un des cofondateurs, Attestation Légale, ils réunissent une quinzaine de directeurs financiers et trésoriers pour les faire travailler sur une problématique commune rencontrée par tous : la fraude au virement bancaire. Sujets ou victimes, ils n’ont pas de solutions automatisées pour se protéger de la fraude et utilisent des processus manuels qui reposent essentiellement sur l’humain, sa connaissance du contexte et du fournisseur. C’est comme ça que naît Sis ID. « Quand nous avons commencé, l’entreprise n’existait pas, le produit non plus. Notre ADN est essentiellement collaboratif. Nous sommes plus forts ensemble que seul et c’est d’autant plus vrai dans la lutte contre la fraude. Pour un fraudeur, frauder c’est son métier. Pour une entreprise, lutter contre la fraude n’est pas son métier donc elle tente de faire ce qu’elle peut. La sécurité est un domaine très compliqué à gérer. Si Microsoft, Apple et Facebook se font hacker, une entreprise dont ce n’est pas le métier peut l’être aussi. Le seul moyen de résister est de s’unir. » De cette collaboration naît un outil qui permet de vérifier que des coordonnées bancaires appartiennent bien à une entreprise. Grâce à son réseau de plus de 10 000 entreprises, Sis ID permet le contrôle de centaines de milliers de coordonnées bancaires chaque mois via sa plateforme SaaS qui sécurise les coordonnées de paiement des tiers, clients et fournisseurs au-delà des frontières de l’entreprise (+ de 32 pays). La mutualisation du collectif pour contrer la fraude au paiement Les entreprises victimes de fraudes ou de tentatives de fraude peuvent directement alerter la communauté sur la plateforme My Sis ID. Cette mutualisation des efforts prend la forme de la mise en commun d’historiques de paiements via une base de données mutualisées. Sis ID ne se contente pas de fournir un référentiel fournisseurs basique : les données, anonymes et sécurisées, font l’objet d’analyses dans le volume d’informations des paiements. « Nous avons créé un écosystème d’entreprises qui lutte contre la fraude. Nous devons une parfaite transparence à notre communauté sur la manière dont nous travaillons même si nous utilisons des technologies complexes : machine learning, big data, blockchain…» SEPAmail DIAMOND pour vérifier les coordonnées bancaires Fin 2017, SEPAmail DIAMOND sort sur le marché pour lutter contre la fraude au virement. Les banques ont la possibilité de vérifier les coordonnées bancaires de leurs titulaires directement auprès de leurs banques. SEPAmail DIAMOND ne couvre cependant pas la totalité du paysage français car toutes les banques n’y adhèrent pas (70% seulement), ainsi que d’autres services de vérification de validité des comptes (affacturages, paiements à l’étranger, …). Aussi, en 2020, BNP Paribas & Sis ID s’associent pour offrir à leurs clients une solution qui ouvre désormais la voie de l’international pour permettre aux entreprises de valider l’ensemble des coordonnées bancaires de leurs tiers aussi bien en France que dans le reste du monde. « Nous sommes à la croisée des chemins : nous travaillons avec les corporates et nous travaillons avec les banques. Nous sommes une Fintech qui est accélérée par la banque. Notre positionnement est différent par rapport à ce que l’on retrouve sur le marché. Nous aidons nos clients à certifier leurs paiements à l’international.» Comment ce partenariat entre Sis ID et Mata a-t-il pu voir le jour ? Laurent Sarrat s’est naturellement trouvé des affinités avec Mata, spécialiste de la sécurisation des flux financiers et éditeur de la solution MATA I/O. Le pragmatisme, le professionnalisme, la proximité avec le client et les solutions proposées correspondant aux besoins du marché ont tout de suite intéressé Sis ID. Les solutions de Mata complètent le scope de produits sur la thématique du contrôle continu des tiers et de la fraude aux paiements. L’objectif commun des deux structures est de simplifier la vie des clients. Quand Sis ID propose un référentiel unique, sécurisé et centralisé en interrogeant l’exactitude de ce compte (Siren, N° de TVA intra, N° Duns, …), Mata I/O propose une détection de la fraude en continu et en temps réel en intégrant sa solution dans le SI du client. 1. Contrôle continu du tiers automatisé Lorsqu’un changement sur un tiers est détecté grâce à la base tiers référente de MATA I/O, la solution interroge automatiquement Sis ID pour tester le couple identifiant/coordonnées bancaires. La réponse est donnée en temps réel au valideur en responsabilité de ce tiers qui pourra ensuite être mis à jour dans l’ERP ou autre application de gestion du client (paie, moyens de paiement …). 2. Contrôle des virements Mata I/O dispose d’une formathèque qui lui permet de tester n’importe quel fichier de règlements et de vérifier que le compte payé est bien celui du tiers. Lors de chaque campagne, les règlements sont automatiquement pris en charge par MATA I/O qui les teste par comparaison avec la base tiers référente. Les ordres suspects sont mis en quarantaine dans un coffre-fort numérique dont ils ne sortiront qu’après validation par un valideur accrédité. Si l’ordre se révèle être une fraude, il peut être supprimé de la remise qui sera automatiquement recalculée et produite au format attendu par la banque. A ce contrôle sur IBAN, on peut rajouter des contrôles supplémentaires de récurrence ou d’anomalie sur montant par catégorie de tiers, mais aussi sur listes blanches ou noires de pays. « En associant le savoir-faire de Mata et de Sis ID, nous pouvons proposer un seul produit au client qui lui simplifie son quotidien. Nous pouvons nous concentrer sur nos métiers respectifs, suivre les évolutions de la fraude
Témoignage client : norauto
NORAUTO est un réseau d’établissements privés à caractère commercial dans le domaine de l’entretien automobile. Afin d’améliorer la sécurité des virements, Norauto a décidé de s’appuyer sur Mata IO pour implémenter SEPAMAIL DIAMOND au sein de son infrastructure. « Nos objectifs portaient sur la nécessité de protéger nos données, de contrôler les échanges et de sécuriser les virements. Nous avons alors sollicité MATA pour ses compétences sur le sujet. » Monsieur Derveaux, Trésorier Norauto France et International. ETABLISSEMENT : Norauto est leader européen de l’entretien automobile depuis plus de 50 ans. CONCEPT : Le réseau Norauto est déployé en France et partout dans le monde, il est composé de plus de 6.500 collaborateurs qui travaillent dans 400 centres et reçoivent 4 millions de clients par an. Le concept de « Centre Norauto » est innovant et original. Norauto est le premier prestataire de services autos à associer sous un même toit, un atelier d’entretien et de réparation automobile, une surface de vente de pièces détachées et d’articles liés à tous les types de mobilités (auto, vélos, scooters…). LOCALISATION : France et partout dans le monde SOLUTION : Sepamail Diamond déployé par MATA BENEFICES : Renforcement de la sécurité des paiements. INTEGRATEUR : MATA, avec un accompagnement efficace, professionnel et dans le respect des délais. Une équipe pour gérer les enjeux du projet Norauto Ce réseau en pointe dans sa catégorie de services, recherche l’amélioration continue et s’appuie sur des valeurs fortes : le partage, l’esprit entrepreneurial, la responsabilité et l’enthousiasme. Le pôle trésorerie de Norauto & Norauto international est gérée par équipe de 8 personnes. Elle est composée d’un Crédit Manager, de deux Trésoriers opérationnels qui couvrent la gestion de trésorerie quotidienne, de quatre Comptables flux financiers qui couvrent la comptabilité bancaire des centres et enfin d’un Responsable du service trésorerie, qui coordonne l’équipe et synchronise les actions avec le réseau. En sa qualité de Trésorier Norauto France et International, Mr Derveaux s’est attaché à déployer une solution à la hauteur des exigences du Groupe en matière de sécurité des virements dans les entreprises de « retail » : « Lors d’une réunion de travail et de synergie des services financiers, nous avons abordé la question de sécurité des virements dans un univers toujours plus digital où la fraude à la modification des données bancaires s’insinue dangereusement. Dans ce cadre, nous nous sommes fixés des objectifs ambitieux pour lesquels nous devions trouver des prestaires de service compétents. Nos objectifs portaient sur la nécessité de protéger nos données, de contrôler les échanges et de sécuriser les virements. Nous avons alors sollicité MATA – entre autres – pour ses compétences sur le sujet. » Les critères qui nous ont amenés à retenir la solution de Mata L’efficience du diagnostic : l’adéquation est totale entre, le besoin énoncé, les fonctionnalités demandées et, la solution SEPAMAIL DIAMOND déployée, bien centrée sur la protection des données dans l’environnement existant ; La compétence et l’honnêteté : « Nous avons recherché des solutions chez plusieurs prestataires et nous avons retenu MATA sur la base de son professionnalisme, sa souplesse, sa capacité à s’adapter et à avoir une démarche droite et honnête. À tous moments nous avons été informés du potentiel de la solution mais aussi de ses limites. » Un point essentiel pour avoir une vision réaliste du projet pour Mr Derveaux, Trésorier Norauto France et International. L’esprit d’innovation et la réactivité face aux contraintes techniques ; L’accompagnement toujours sérieux et positif ; MATA a porté le contrat principal pour Norauto auprès de la banque avec laquelle l’accord était en cours, « ce qui allège considérablement le travail administratif et juridique », appuie Mr Derveaux ; Le respect des délais, avec un déploiement qui a duré moins de 24 mois depuis la réunion de travail initiale. Dans ce délai est inclus le développement d’une API bancaire ! Enfin, le tarif est aussi parfaitement adapté au niveau de prestation. La Mise en œuvre de la solution SEPAMAIL DIAMOND chez Norauto « Ce qui ressort c’est une grande réactivité, tout a été étonnamment rapide et le rétroplanning initial a été respecté ». L’API de la banque a été connectée en moins d’un mois en partant de zéro. L’exploitation du logiciel et ses apports Norauto utilise SEPAMAIL DIAMOND déployé par MATA en aval de l’existant afin de sécuriser les données fournisseurs dès leur entrée dans la fiche fournisseur dédiée. Une approche innovante et originale qui s’appuie sur l’API bancaire pour la mise à disposition des données. Le gain RH est clair, c’est un ETP qui est libéré pour d’autres tâches au sein du service, et le temps de réponse qui pouvait s’allonger jusqu’à deux semaines prend aujourd’hui moins de 2 secondes ! En deux mois, plus de 550 demandes ont été émises et validées pour plus de 80% d’entre elles. Une performance annoncée après audit et atteinte dès la mise en œuvre. Les 100% ne sont pas atteints car certaines banques ne proposent pas encore le dispositif SEPAMAIL DIAMOND. La sécurité de flux est maximale, c’était la priorité de Norauto. A l’heure du bilan Le service délivré par les équipes MATA a été résumé en quelques mots par Mr Derveaux : « Facilité d’échange, capacité d’adaptation, honnêteté, mise en place solide et efficace, accompagnement fluide, adapté au contexte, au rythme et aux délais… Nous sommes extrêmement satisfaits de MATA qui a su répondre à 100% à nos besoins. » Voir le témoignage d’un autre client
LE SEUL PROTOCOLE SECURISE A 100%: L’EBICS TS
Le protocole EBICS, qu’on ne présente plus ou presque, est le protocole de communication bancaire standardisé et sécurisé qui garantit la confidentialité des données, permet l’identification des donneurs d’ordre et préserve l’intégrité des fichiers.
MÉFIEZ-VOUS DE CETTE NOUVELLE ARNAQUE QUI PREND DE L’AMPLEUR EN FRANCE : LE VIREMENT IMMEDIAT
Depuis plusieurs semaines, de nombreuses personnes témoignent avoir été victime d’une arnaque redoutable, celle du « virement immédiat ». Une escroquerie bien rodée qui peut vous mettre dans une situation très inconfortable. Depuis le début de la crise sanitaire, le nombre d’escroqueries en France explose. Arnaque au colis, phishing, fausses infirmières et même… l’étrange arnaque à la fiente. Cela fait quelques semaines qu’une nouvelle duperie prend de l’ampleur dans le pays. Une fraude redoutable et très efficace qui peut arriver à tout le monde. Voici comment y faire face. L’arnaque du « virement immédiat » L’un de ces témoignages a été partagé par Actu La Rochelle. Il s’agit du cas d’une étudiante victime de cette escroquerie. À cause de cela, la jeune femme a été à découvert de 42 000 euros au début du mois de novembre. Une situation tragique d’autant plus que le malfaiteur était l’un de ses proches. En effet, selon sa version, cet « ami » aurait déposé sur son compte bancaire deux chèques pour un montant total de 88 000 euros. Grâce à sa proximité avec l’étudiante, l’arnaqueur s’est emparé de ses données bancaires et a effectué un virement vers un compte tiers. Ainsi, il a pu récupérer de l’argent facilement alors que les chèques étaient probablement sans provision et pourraient avoir été volés. Est-ce la faute de la banque ? Que faire face à cela ? Cette arnaque est redoutable car elle abuse du traitement automatique de la banque, qui vérifie seulement s’il y a une signature au dos du chèque, sans se soucier de celle-ci. Ainsi, sur le chèque, vous pouvez faire n’importe quel gribouillage, cela sera suffisant. Un chèque volé ou sans provision, des coordonnées bancaires subtilisées, et le tour est joué. Que faire dans ce cas-là ? L’association Banques Infos Recours a aidé la jeune femme à s’en sortir. Tout d’abord, elle a accusé la banque de ne pas avoir bien fait son travail de vérification. Espérant ainsi que la banque dédommage la victime. Une plainte au pénal a même été posée. De votre côté, il n’y a malheureusement pas grand chose à faire. Gardez vos données bancaires aussi secrètes que possible. Et méfiez-vous car dans l’une des variantes de cette arnaque, l’escroc vous demande un « service » en encaissant un de ses chèques, vous promettant une petite somme en dédommagement. Refusez directement ! Et si jamais cela vous arrive, n’hésitez pas à rapidement contacter des associations qui défendent les clients vis-à-vis de leur banque comme Banques Infos Recours, que vous pouvez contacter directement sur leur site internet. Source : Gentside
SEPTEMBRE, MOIS RECORD POUR LES RANSOMWARES
Avec 270 attaques de ransomwares, septembre a été le mois le plus actif pour les criminels. Covid-19 «aidant», le nombre d’attaques n’a cessé d’augmenter toute l’année. Sauf en juillet, probablement en raison des vacances. Au classement des ransomwares, Nefilim a détrôné les champions de l’année, avec un tiers des attaques déclenchées en septembre et identifiées par les experts. Pas vraiment étonnant puisque ce ransomware utilise une faille de Citrix Gateway… utilisé par beaucoup de ceux qui passent par un VPN pour travailler à distance. Selon Le Mag IT , Maze continue ses ravages et est toujours considéré comme un des malwares les plus dangereux, depuis sa découverte il y a un peu plus d’un an. Revil, le ransomware qui avait valu des problèmes à Cactus en mai, reste le numéro un de l’année, pour Keepnet . Quasiment la moitié des PME ont été victimes d’une attaque, toujours selon la même source , et ceux qui se sont fait piéger ont choisi de payer pour récupérer leurs données dans trois cas sur quatre. L’agence française de la sécurité des systèmes d’information profite d’ailleurs du Mois de la cybersécurité pour rappeler ses bonnes pratiques , considérant qu’avec le Covid-19, le nombre d’attaques a doublé cette année. La semaine dernière, un nouveau grand groupe, dont le holding est au Luxembourg, Luxottica, reconnaissait avoir été victime d’un ransomware, selon Le Monde informatique . Selon Microsoft, cité par Futura-Sciences , les pirates gagnent en efficacité et ont désormais besoin de moins de 45 minutes pour frapper: 13 milliards d’adresses électroniques ont été la cible de tentatives d’attaque cette année. Source : Paperjam
NOUVELLE STRATÉGIE POUR POUSSER LE PAIEMENT DU RANSOMWARE BITCOIN
La création de sites spécialement conçus pour filtrer les données volées est une stratégie qui prend de l’ampleur en 2020. Elle commence par l’utilisation de virus informatiques pour détourner les fichiers des entreprises et des grandes entreprises et exiger le paiement d’une rançon, une pratique connue sous le nom de ransomware. La nouveauté dans les nouveaux cas est que, si l’argent n’est pas reçu, les hackers rendent publiques les informations confidentielles des entreprises attaquées sur des sites Web sombres (darknet). L’objectif est de faire pression sur les victimes pour qu’elles soient obligées de payer pour leur rançon de données. Les pirates espèrent que les coûts associés aux violations de données pourraient inciter davantage de victimes à payer le montant requis. En effet, la fuite peut conduire les entreprises à faire face à des sanctions réglementaires, à des atteintes à la réputation et à des poursuites judiciaires pour la divulgation d’informations de tiers. Leur cours de bourse peut également être affecté par la perte de propriété intellectuelle. La pratique de la fuite de données a été lancé en novembre 2019 par les pirates derrière le ransomware Maze, dans une tentative de forcer la reddition de Bitcoin en échange des fichiers. À cette date, ils ont publié près de 700 Mo de données volées à Allied Universal, une société de services de sécurité de Californie, aux États-Unis.Il ne s’agissait que d’une partie de 5 Go de données détournées pour lesquelles ils ont demandé un paiement de 300 bitcoins. Sur ce site, le ransomware Maze a commencé à filtrer les données volées à ses victimes. Source: bleepingcomputer.com Par la suite, ils ont publié les données de nombreuses entreprises via des forums de hackers et, enfin, sur un site dédié spécifiquement aux fuites. En voyant ces exemples, les autres opérateurs de ransomware ont utilisé la même tactique d’extorsion. Ils ont commencé par filtrer les fichiers volés sur les forums ou envoyer des e-mails aux médias. Peu après des sites Web sombres ont émergé dédié uniquement aux fuites. Aujourd’hui, les sites de fuite de données volées se sont multipliés. La société de sécurité Emisisoft estime que, au cours des six premiers mois de 2020, plus de 11% des infections par ransomware impliquaient potentiellement une violation de données. Selon Raj Samani, scientifique en chef de la société de sécurité McAfee et conseiller en cybersécurité chez Europol, l’adoption rapide des sites de violation de données pourrait être due au fait que de moins en moins de victimes choisissent de payer ce que les attaquants exigent. Le nouveau ransomware Avaddon rejoint la liste des fuites Suivant la tendance du vol et de la fuite de données, les opérateurs de ransomware Avaddon ont créé cette semaine un nouveau site de violation de données sur le dark web. Là, ils publieront les fichiers volés des victimes qui décident de ne pas payer la rançon. En annonçant leur nouveau site, identifié comme “Avaddon Info”, le groupe ajoute à la liste ransomware qui utilisent cette stratégie comme un mécanisme pour faire pression sur leurs victimes. L’information, publiée dans le média spécialisé Bleeping Computer le 10 août, a été publiée par la société israélienne de cybersécurité, Kela. Il explique que la ligne d’action d’Avaddon est la même que celle utilisée par Maze et d’autres hackers. Jusqu’à présent, ils ont inclus une seule victime sur le nouveau site, une entreprise de construction dont ils ont divulgué 3,5 Mo de documents prétendument volés. “Ils ont publié un échantillon des données obtenues, avec des informations relatives à l’activité de l’entreprise au Royaume-Uni, au Mexique, aux Philippines, en Malaisie et en Thaïlande”, selon les déclarations de Kela. Un échantillon de données volées à une entreprise de construction a été publié sur le nouveau site de rançongiciel Avaddon. Source: bleepingcomputer.com Avaddon est un ransomware récent. Il est connu depuis juin 2020 et est diffusé via une campagne massive de spam. Les logiciels malveillants s’intègrent dans les e-mails avec un fichier JavaScript malveillant déguisé en fichier image .jpg. Liste des ransomwares avec des sites de fuite de données On estime que les sites de violation de données volés sont actuellement gérés par plus d’une douzaine d’opérateurs de ransomwares. En plus de ceux déjà mentionnés, Avaddon et Maze, certains d’entre eux sont listés ci-dessous. AKO Il a commencé à fonctionner en janvier 2020. Ako exige que les plus grandes entreprises disposant d’informations plus précieuses paient une rançon et une extorsion supplémentaire pour supprimer les données volées. Si le paiement n’est pas effectué, les données de la victime ils sont publiés sur son «Blog de fuite de données». CL0P Il a commencé comme une variante de CryptoMix et est rapidement devenu le ransomware de choix pour un groupe d’APT connu sous le nom de TA505. Ce groupe a attaqué 267 serveurs de l’Université de Maastricht. En mars 2020, CL0P a lancé un site de fuite de données appelé ‘CL0P ^ -LEAKS‘, Où ils publient les données des victimes. DoppelPaymer Connu depuis juillet 2019, DoppelPaymer ou BitPaymer cible ses victimes via des piratages de bureau à distance et l’accès fourni par le cheval de Troie Dridex. En février 2020, a lancé un site de filtrage dédié qu’ils appellent «Dopple Leaks». Nemty Connu depuis janvier 2019 sous le nom de Ransomware-as-a-Service (RaaS) appelé JSWorm, il a été renommé Nemty en août de l’année dernière. En mars 2020, Nemty a créé un site de violation de données pour publier les données des victimes. Nephilim En mars dernier, Nemty a créé une équipe affiliée pour un Ransomware-as-a-Service privé appelé Nephilim. Le ransomware est né en recrutant uniquement des pirates et des distributeurs de logiciels malveillants expérimentés. Peu après, a créé un site intitulé “Corporate Leaks” ils utilisent pour publier les données volées. NetWalker En mai 2020, NetWalker, également connu sous le nom de Mailto, a commencé à recruter des affiliés en proposant des paiements importants et un site d’auto-publication de fuite de données. Utilisez un compte à rebours pour essayer d’effrayer les victimes et les forcer à payer. Pysa (Mespinoza) Il est apparu en octobre 2019. En novembre, il a changé l’extension de cryptage de fichier
RANSOMWARE : ÉTAT DES LIEUX ET PERSPECTIVES
Quand il s’agit de se défendre contre le ransomware, les outils de sécurité ne sont efficaces que si ceux qui les gèrent savent s’en servir. Alors que nous nous sommes lourdement mobilisés ces dernières semaines pour nous adapter à la crise mondiale actuelle, la cybersécurité a pu être reléguée au second plan. Les cybercriminels, eux, s’en réjouissent. Les réseaux ayant été profondément modifiés, ils se sont activement mis à cibler les télétravailleurs, ceux précisément qui étaient autrefois protégés par le périmètre du réseau. Les tactiques utilisées ? Leur faire parvenir de fausses informations autour du COVID-19, mener des attaques sur les réseaux sociaux ou encore sonder les nouveaux environnements réseau à la recherche de vulnérabilités. FortiGuard Labs a activement scruté l’univers des menaces pendant cette période, et a constaté une inflation significative ciblant les individus à l’aide de sites Web infectés et de campagnes de phishing. Les pièces jointes hébergeant un contenu malveillant, les experts ont constaté un bond de 131 % des virus au cours du mois de mars de cette année. Ceci explique également le reflux constaté des attaques traditionnelles alors que les cybercriminels changent de cibles. Les incidents liés aux ransomware devraient donc progresser car les cybercriminels tentent d’utiliser des dispositifs piratés d’utilisateurs finaux pour s’immiscer au sein des réseaux. Qu’en est-il du ransomware aujourd’hui ? La menace est-elle toujours aussi prégnante ? Le ransomware, à l’évidence, est de ces attaques qui donnent des sueurs froides aux professionnels de la sécurité, d’autant que la menace ne montre aucun signe de ralentissement. Quand il s’agit de se défendre contre le ransomware, les outils de sécurité ne sont efficaces que si ceux qui les gèrent savent s’en servir. Les erreurs de configuration et la prolifération des outils de sécurité peuvent grever l’efficacité de la ligne de défense des entreprises et leur capacité à déjouer les cyberattaques. Enfin, et ceci est particulièrement vrai pour le ransomware, le problème le plus critique est celui du facteur humain. D’autres points doivent aussi être pris en compte, comme l’absence de visibilité et de contrôle que connaissent la plupart des entreprises victimes d’attaques. Avec le nombre de nouvelles vulnérabilités zero-day existantes, nous ne sommes jamais à l’abri d’un exploit de grande envergure. Même avec les fonctions de sécurité les plus récentes en place, si une vulnérabilité zero-day est exploitée, les organisations devront compter sur les trois piliers d’un programme de cybersécurité robuste – les personnes, les processus et la technologie – pour identifier la menace dès ses prémices. Les solutions anti-exploit et EDR (détection et prise en charge des menaces sur les Endpoints) sont d’excellents outils pour identifier des logiciels malveillants sur un Endpoint avant que celui-ci n’accède au réseau, ce qui permet ensuite de partager cette information. Un pare-feu de segmentation interne (ISFW) peut alors assurer une segmentation dynamique qui met l’hôte infecté en quarantaine. Par ailleurs, la technologie SOAR (orchestration de sécurité, automatisation et réponse) peut procéder rapidement à la remédiation suite aux informations de veille recueillies. Cette stratégie qui fonctionne parfaitement pour contrer les ransomware, permet également de neutraliser les attaques les plus avancées. Le ransomware n’est pas un malware aussi complexe et sophistiqué que l’on imagine. Et c’est précisément cela qui le rend dangereux : les cybercriminels n’ont pas besoin d’être des experts puisque des toolkits de ransomware peuvent être téléchargés à partir d’Internet et personnalisés avec des connaissances minimales en matière de programmation. Il est vrai que la majorité de ces ransomware ne fonctionneront probablement pas sur les grandes entreprises puisque sans doute neutralisés par les dispositifs de sécurité. Mais compte tenu du contexte actuel, avec nombre de néo-télétravailleurs, des équipes IT surchargées et des politiques de sécurité nouvelles mais pas forcément testées, les entreprises se retrouvent soudainement en position d’être victimes d’attaques. S’il y a d’autres menaces sans doute plus communes que le ransomware, celui-ci reste une menace majeure compte tenu de son lourd impact sur les entreprises qui en sont victimes : en effet, une attaque par ransomware réussie peut aller jusqu’à mettre à l’arrêt l’activité d’une entreprise. Les bonnes pratiques de cybersécurité et le facteur humain contre les ransomware La triste vérité est que la plupart des attaques peuvent être évitées. Les entreprises peinent à assurer le patching de leurs dispositifs. On ne peut pas toujours les blâmer pour cela. Ces correctifs doivent être testés, ce qui peut être chronophage au sein des environnements étendus et complexes. Souvent, les utilisateurs disposent de droits administratifs sur leur système pour se substituer aux équipes de support IT et d’administration, et ainsi alléger leurs tâches. Mais ceci rend l’automatisation des patchs et des mises à jour plus difficile. Et au sein d’environnements mobiles étendus, il n’est guère simple d’inciter les utilisateurs disséminés géographiquement à déployer leurs patchs. Pourtant, si ces problèmes sont réglés, il est fort à parier que la majorité des ransomware ne seraient plus efficaces. Le problème n’est pas qu’une question de prise de conscience, il est enraciné dans le comportement humain. Sensibiliser et agir sont deux choses très différentes. Aux côtés d’attaques à grande échelle et peu discriminantes, certains emails sont conçus de manière intelligente pour cibler des profils spécifiques d’individus au sein des entreprises, soit directement, soit par le biais d’une nouvelle technique qui consiste à insérer des emails de phishing dans un fil de messages pour augmenter la probabilité qu’il soit ouvert et cliqué. Ce type d’attaque est connu sous le nom de spearphishing, et même de “whale phishing” si la cible est un dirigeant d’entreprise. Mais peu importe qui est ciblé, tout le monde est susceptible de recevoir un email soigneusement conçu qui débarque à un moment où il est juste suffisamment distrait pour ne pas repérer la menace. Le facteur humain ne se limite pas à des personnes naïves qui cliquent sur des liens ou ouvrent des documents malveillants. Sont également inclus les managers et dirigeants qui ne comprennent pas la portée de ces menaces, ni comment les neutraliser. Les technologies antimalware progressent si vite que la majorité d’entre nous ne peuvent en maîtriser