Les entreprises se jugent souvent prêtes à résister aux cyber-attaques alors que la réalité est bien souvent moins reluisante.

 

Plusieurs études sorties récemment convergent pour montrer un tableau assez catastrophique de la cybersécurité des entreprises alors que la perception affichée par celles-ci est plutôt marquée par l’optimisme. Ou bien faut-il mieux parler d’inconscience ? Ainsi, 62% des entreprises ont déjà subi une tentative de fraude selon une étude de Sage. 12% en ont même subi au moins cinq. La fraude la plus courante reste la fameuse fraude au président (usurpation d’identité d’un dirigeant pour obtenir un virement à l’étranger) : 80% des entreprises affectées l’ont rencontrée. 18% ont été victimes d’un test bancaire et 14% d’une fraude interne (cas classique : substitution de RIB).

Les trois quarts des DAF craignent avant tout les fraudes d’origines externes. La fraude au président et la falsification de RIB sont largement cités avant des cyber-attaques sur des données financières (un quart seulement des répondants). Des processus métier ont été mis en place pour parer ces fraudes non-technologiques comme la séparation créateur/valideur d’un paiement, la double signature… Le respect des procédures et la vigilance interne ont suffi à détecter des fraudes dans de nombreux cas. Mais 30% des entreprises continuent de valider leurs virements par un simple fax ! Suivant les recommandations des organismes professionnels, la bascule vers les traitements informatisés (EBICS TS, via les portails bancaires, etc.) est malgré tout bien engagée.

Une méconnaissance des bonnes pratiques et des règles

Mais il n’en demeure pas moins que la méconnaissance des bonnes pratiques pour sécuriser l’information reste importante. Selon une étude Solucom/Conscio, 46% des collaborateurs ne sont pas préparés à réagir à de l’ingénierie sociale dont la fraude au président n’est qu’un exemple caricatural. Pourtant, selon les auteurs de l’étude, l’ingénierie sociale est la méthode principale pour s’introduire dans les systèmes d’information des entreprises ou réaliser des fraudes, notamment par usurpation d’identité ou de couple identifiant/mot de passe.

Si 88% des collaborateurs sont sensibilisés aux règles pour gérer les mots de passe, 47% seulement les adoptent. Un mécanisme technique est donc nécessaire pour obliger à respecter les bonnes pratiques. Enfin, la même étude mentionne que la réglementation sur les données personnelles est méconnue par la majorité des collaborateurs, entraînant de ce fait un important risque juridique pour leurs entreprises.

Bienvenue aux malwares

L’ingénierie sociale est décidément bien ancrée dans les pratiques des cyber-criminels. Cibler précisément les attaques permet notamment, selon l’étude publiée par Cisco, d’introduire des ransomware. Ce type d’attaque génèrerait 34 millions de dollars par an et par campagne. Etre victime de tels pratiques est assez gênant, ce qui explique sans doute que seules 21% des entreprises informent leurs partenaires, 18% les autorités et 15% leur compagnie d’assurance.
Bien entendu, les fondamentaux du cybercrime sont toujours d’actualité avec des variantes pour les maintenir au goût du jour. La compromission de serveurs est ainsi un classique pour mener des attaques indirectes, notamment via des CMS mal mis à jour. La compromission de domaines WordPress a ainsi augmenté de 221% entre février et octobre 2015. Parmi les mauvaises pratiques qui se développent, la non-mise à jour des infrastructures est en croissance.

La fuite de données via les navigateurs, souvent négligée, est pourtant en pleine croissance : des extensions malveillantes affecteraient 85% des entreprises. Les attaques à base de DNS sont également en plein boum, d’autant que les experts DNS ne travaillent que rarement avec les experts en sécurité. Malgré tout, il est estimé que la rapidité de détection d’une intrusion a augmenté même si elle reste dans une fourchette de 100 à 200 jours.

 

Utilisant la même technique de vol de données que le cheval de Troie Dridex, de sinistre mémoire, le ransomware Locky est actuellement massivement poussé sur des ordinateurs cibles. Une rançon de 17 000 dollars a été demandée à un centre hospitalier américain pour remettre en marche son système d’information.

Un nouveau type de ransomware utilisant les mêmes modalités d’attaque que le fameux malware bancaire Dridex, fait des ravages sur les machines de certains utilisateurs. En général, les victimes reçoivent par courrier électronique une facture incluant une macro sous forme de document Microsoft Word, ou une petite application, qu’elles ouvrent sans trop de méfiance. Un seul conseil : attention aux documents Microsoft Word contenant des macros !

En raison des dangers pour la sécurité, les macros sont désactivées par défaut par Microsoft. Quand les utilisateurs ouvrent un document contenant une macro, Word les avertit immédiatement. « Mais si les macros sont activées, le document exécute la macro et télécharge Locky sur l’ordinateur », a écrit mardi Palo Alto Networks dans un blog. Locky utilise la même technique que Dridex, le cheval de Troie bien connu qui vole les identifiants des utilisateurs de services bancaires en ligne. D’ailleurs, les experts en sécurité pensent que le groupe à l’origine de Locky est lié à l’un des groupes qui contrôlent Dridex. « Les modalités de distribution sont similaires. De même, le chevauchement des noms de fichiers et l’absence de campagne de ce malware particulièrement agressif coïncident avec l’émergence initiale de Locky », a encore écrit Palo Alto.

Un chargeur de macros cousin de Bartallex pour Dridex

Les ransomwares provoquent d’énormes dégâts. Il crypte les fichiers sur l’ordinateur de la victime et parfois sur un réseau entier. Le versement de la rançon exigée par les attaquants pour obtenir la clé de déchiffrement peut permettre de récupérer les fichiers, à condition que les pirates tiennent parole. Sinon, les fichiers sont irrécupérables, sauf si l’entreprise ou la victime concernée a effectué une sauvegarde régulière de ses données et que ces données n’ont pas été touchées pas le ransomware. Selon NBC News, plus tôt ce mois-ci, le système informatique du Hollywood Presbyterian Medical Center a été stoppé après une infection par le Locky. Les attaquants auraient demandé dans un premier temps le versement de 9.000 bitcoins, l’équivalent de 3,6 millions de dollars, pour livrer la clé de déchiffrement. Une somme incorrecte puisqu’au final seulement 17 000 dollars, soit 40 bitcoins, ont été demandés (et que l’hôpital a payé).

Certains indices laissent penser que les pirates qui contrôlent Locky ont organisé une campagne d’attaque massive. Palo Alto Networks a déclaré qu’il avait dénombré 400 000 sessions utilisant le même genre de chargeur de macro que Bartallex pour Dridex, afin d’installer Locky sur le système. Plus de la moitié des systèmes ciblés étaient localisés aux États-Unis, mais d’autres pays comme le Canada et l’Australie ont également été touchés. Contrairement à d’autres ransomware, Locky utilise sa propre infrastructure de commande et de contrôle pour effectuer un échange de clé en mémoire avant de crypter les fichiers.

Une parade pour limiter l’impact de Locky

Ce mode d’action pourrait être le point faible du ransomware. « C’est intéressant, parce que la plupart des ransomwares génèrent une clé de cryptage aléatoire en local sur l’hôte de la victime, puis envoient une copie cryptée vers l’infrastructure de l’attaquant », a expliqué Palo Alto. « Cela permet d’envisager une stratégie pour atténuer l’attaque, en perturbant par exemple les réseaux de commande et de contrôle qui transmettent la clef de cryptage ». Selon Kevin Beaumont, qui traite des questions de sécurité sur Medium, les fichiers chiffrés avec le ransomware affichent une extension « .locky ». Il explique également comment identifier les machines ou les réseaux infectés dans une entreprise. « Le compte Active Directory de la victime devrait être verrouillé immédiatement et l’accès au réseau bloqué », conseille-t-il. Ajoutant : « Il faudra probablement reconfigurer entièrement le PC infecté ».

 

RiskAttitude peut vous aider à vous prémunir des risques liés à la cyber sécurité . Pour plus d’informations n’hésitez pas à nous contacter.

Source : lemondeinformatique.fr