
Indices pour reconnaître une attaque informatique
Les récentes attaques informatiques au niveau mondial (WannaCry, Petya) ne sont que en fait que des rappels pour les sociétés, quelle que soit leur taille, oui PME, TPE, start up ou indépendants, votre activité peut aussi être bloquée par ce type d’attaque.
Ces attaque de rançongiciel (ransomware), exploitent les négligences courantes des entreprises à ne pas mettre à jour leurs systèmes d’exploitation, leurs nombreux logiciels…
Et pourtant, le coût du blocage et de la perte éventuelle de données personnelles recueillies sur le territoire européen est bien plus grand que celui destiné à protéger son activité des cyberattaques.
Les nouvelles règles applicables dès mai 2018 à toutes les entreprises ou organismes qui recueillent des données personnelles sur le territoire européen, le RGPD, le Règlement E-Privacy, imposent au « responsable du traitement » de protéger les données personnelles qu’il recueille.
Si vous perdez des données personnelles dans ce cas de figure, vous risquez d’importantes amendes administratives, des poursuites pour dommages et intérêts, des sanctions supplémentaires éventuelles imposées par votre État.
Si vous ne connaissez pas vos obligations concernant le recueil et le traitement des données personnelles, je vous conseille de lire mon article de blog pour plus d’informations sur le RGPD « Suis-je concerné par le RGPD? »
Plusieures familles de cyber-risques
Le vol d’informations financières, de données personnelles des clients de l’entreprise (numéros de carte de crédit, coordonnées bancaires …) Dans ce cas, la société a l’obligation réglementaire de notifier à chaque client l’atteinte à ses données.
Le blocage de la production ou de l’activité commerciale :
- faire tomber un site internet
- s’infiltrer dans le système informatique gérant l’automatisation d’une ligne de fabrication,
- bloquer l’accès aux logiciels de paye, de relation clients…
Le risque de fraude et d’espionnage pour voler :
- votre propriété intellectuelle
- vos datas
- votre recherche
- vos offres de marché…
Attaque de l’intérieur
- pas des employés ou ex-employés volant des fichiers (concurrence déloyale).
N’oublions pas l’évident :
Le risque de catastrophe naturelle (tempête, inondations…) ou d’incendie
qui peut aboutir à la destruction de matériel de conservation des données de l’entreprise.
L’évaluation de ces risques ne dépend toutefois pas du seul ressort du manager, ni même du responsable de l’informatique, c’est l’ensemble des employés qui utilisent internet qui est concerné.
LE PÉRIMÈTRE D’EXPOSITION DE VOTRE ENTREPRISE AU CYBER-RISQUE EST BIEN PLUS VASTE ET MOBILE QUE VOUS L’IMAGINEZ
Avec les ordinateurs mobiles (smartphones, tablettes, et nouveau : les objets connectés).
Les criminels réalisent qu’il est plus facile d’entrer dans votre système via des applications pour lesquelles la sécurité est inférieure à celle des serveurs et systèmes d’exploitation (tels Mac OS, Linux ou Windows…)
Quels sont les indices d’une attaque ?
Il existe des détecteurs automatiques d’intrusions mais les outils de cyber-attaque se développent aussi rapidement que les outils de défense.
QUELQUES INDICES QUE VOUS ÊTES SUJETS D’UNE ATTAQUE
Au début ce sont des incidents qui paraissent seulement techniques et anodins mais ils doivent alerter l’utilisateur.
Voici une des raisons de FORMER TOUT LE PERSONNEL à être vigilant sur un ordinateur (et tablette, smartphone) au travail.
- Des fichiers ont disparu ou ont été modifiés sans manipulation.
- La connexion internet est devenue très lente.
- L’ordinateur « gèle », ne répond plus, devient très lent.
- Des services non-autorisés sont ouverts.
- Un système ne marche plus.
- Des fichiers mots de passe sont ouverts ou modifiés sans autorisation.
- Vous constatez une activité importante sur vos sites ou au contraire une chute inexpliquée de fréquentation.
- Des comptes sont créés sans l’intervention de personnes autorisées (administrateur par exemple).
- Des pop-ups (fenêtres qui s’ouvrent sans avoir été sollicitées) apparaissent en nombre quand vous utilisez internet.
- Des modifications interviennent sur vos comptes digitaux à des dates ou heures suspectes.
- Des éléments inhabituels apparaissent dans la procédure de paiement ou de commande.
- Les données clients montrent des informations incohérentes.
Ces signes peuvent indiquer une attaque de déni d’accès (Dos ou DDoS [1]) dont le principe est de détruire un système en l’inondant de demandes de datas sans sens.
Le système n’arrive plus à fournir son service.
Ils peuvent aussi indiquer que vous êtes attaqués par un malware ou logiciel malveillant (un virus par exemple).
Ces attaques assez évidentes peuvent même cacher une attaque plus subtile de vos données en occupant votre attention.
Bon à savoir
Le meilleur moyen d’éviter ce type d’attaques est d’avoir :
- Un logiciel anti-virus sérieux, mis à jour régulièrement
- Un pare-feu mis à jour
- Mis à jour son logiciel d’exploitation (tels Android, IOS, Mac OS, Linux, Windows …). Les attaques WannaCry ou Petya ont pu se propager parce que les logiciels n’avaient pas été mis à jour
MAIS
NE PARLER QUE DE L’ASPECT TECHNOLOGIQUE DE LA CYBER-PROTECTION EST INSUFFISANT
Il faut envisager votre stratégie pour l’ensemble de votre organisation, si petite ou grande soit elle, tout le monde doit comprendre que l’enjeu de la défense informatique de l’entreprise est un travail collectif.
La cybersecurité, la gestion du risque, comprennent la prise en compte de toute votre organisation, à commencer par vous-même.
Il est important que, quelle que soit la structure de votre entreprise, L’ÉQUIPE DIRIGEANTE SOIT INFORMÉE, IMPLIQUÉE DANS
- LA MISE EN PLACE DE PROCÉDURES SIMPLES,
- ÉLABORÉES AVEC DU BON-SENS,
- À L’ENSEMBLE DU PERSONNEL
- ET SURTOUT APPLIQUÉES AVEC CONSTANCE
Il faut aussi comprendre que le facteur humain dans les attaques est important et aucune machine, aucune technique ne peut complètement le contrôler.
Exemples d’attaques : ransomware et fraude au président
LE MAILLON LE PLUS FAIBLE ET LE PLUS CONTRÔLABLE PAR UN CYBERCRIMINEL RESTE L’HUMAIN
Ransomware. L’attaque d’ingénierie sociale
Les criminels sont devenus plus subtils dans leur approche et ont recours à la psychologie pour manipuler les utilisateurs.
Au vu de l’augmentation et de la sophistication de ce type d’attaques, la prévention contre l’ingénierie sociale doit être une priorité.
Le terme d’ingénierie sociale ne recouvre en fait que
L’ANCIEN ART DE MANIPULER LES ÊTRES HUMAINS :
- Email de provenance inconnue, avec un titre accrocheur, ou en rapport avec votre activité et une pièce jointe qui paraît se référer à une procédure de l’entreprise.
- Envoi d’un email d’une adresse inconnue ou similaire à une adresse habituelle avec un intitulé urgent ou surprenant.
Cette attaque paraît évidente, pourtant il est facile de cliquer par inadvertance ou curiosité sur la pièce jointe infectée et de faire rentrer instantanément un virus informatique dans le système de l’entreprise où sont partagés des documents sensibles.
POUR PARER CE PROBLÈME :
NE DONNEZ L’ACCÈS AUX COMPTES ADMINISTRATEURS DE VOTRE ENTREPRISE QU’À UN NOMBRE RESTREINT DE PERSONNES
Dans l’utilisation courante d’internet, un compte d’utilisateur est suffisant et empêchera un accès direct à tout votre système en cas d’infection.
Il existe un site offrant des outils de déchiffrement pour les ransomware courants : NOMORERANSOM [2] sur https://www.nomoreransom.org/fr/crypto-sheriff.php
DÉFINITIONS :
Un compte administrateur permet de modifier des paramètres de sécurité, installer des logiciels et des matériels, et accéder à tous les fichiers de l’ordinateur.
Un compte d’utilisateur standard protège l’ordinateur en empêchant les utilisateurs d’effectuer des modifications susceptibles d’avoir une incidence pour chacun des utilisateurs de l’ordinateur.
MESURES À PRENDRE
- Méfiez-vous des extensions de documents joints du type :
.exe
.vbs
.scr
en activant la fonction « AFFICHER L’EXTENSION DES NOMS DE FICHIERS » dans la configuration de votre système d’exploitation
- Éduquez les personnes, encore ET encore sur la conduite à tenir en cas de réception de ce type de communications.
- Enseignez à TOUS la conduite à tenir lors de la demande d’identifiants sur Internet.
- Parlez des risques : montrer des exemples de manipulation, apprendre la méfiance vis à vis de toute demande qui dénote de la procédure normale
- Enseignez aux employés à ne pas diffuser le détail des procédures de fonctionnement de l’entreprise, conservez les documents de référence dans des dossiers cryptés et accessibles de façon limitée.
LA MANIPULATION PEUT AUSSI SE BASER SUR LA CRAINTE NATURELLE DE L’AUTORITÉ
La fraude au président
> Il est tard un vendredi soir, le comptable reçoit ce qui apparaît être un mail urgent du dirigeant de l’entreprise ou d’un supérieur hiérarchique habilité à ordonner des virements.
> Les criminels auront pris soin de vérifier l’absence du dirigeant, la période de vacances d’été étant propice, l’entreprise tourne peut-être à effectifs réduits.
> Ils auront même usurpé le mail du donneur d’ordre habituel.
> Les escrocs prétendent qu’il faut faire un virement important à un tiers, une société peut-être même connue du comptable.
> Le prétexte peut être la signature d’un énorme contrat, un virement qui doit rester discret pour la concurrence.
> La personne se trouve harcelée de messages pressants avec des arguments convaincants.
> Bien souvent elle cèdera sous la pression et fera le virement via une banque de la société qui ne sera pas toujours vigilante sur ce type de demande.
L’argent partira instantanément sur des comptes intraçables.
Le travail de préparation est important mais il rapporte gros aux malfaiteurs :
- Ils recherchent des informations sur le registre du commerce et sur des sites spécialisés,
- ils épluchent les statuts, l’extrait K-bis, les comptes rendus des comités d’entreprises ou encore les procès-verbaux d’assemblée générale
- pour collecter un maximum de renseignements sur l’organigramme, l’identité ainsi que les coordonnées des porteurs de parts et des dirigeants dont ils interceptent la signature au bas des documents officiels.
Ils s’imprègnent aussi des lettres de communications internes pour comprendre la stratégie de l’entreprise jusqu’à acquérir le langage, le vocabulaire propre à chaque entreprise…[3]
LA CRÉATIVITÉ DES MALFAITEURS EST INFINIE :
Certains n’hésitent pas à s’introduire ouvertement dans les locaux de l’entreprise sous divers prétextes plausibles en jouant sur l’urgence d’une intervention et l’absence vérifiée de responsables.
Il est arrivé que des criminels bien préparés s’infiltrent directement dans les locaux de l’entreprise pour accéder à un terminal informatique en passant par la réception et en manipulant la personne en charge de l’accueil.
Ils se font passer pour une entreprise habituée des locaux
LA RESPONSABILITÉ DES DIRIGEANTS EST CRUCIALE POUR RECONNAÎTRE CE RISQUE MAJEUR ET COURANT
Les attaques courantes qui peuvent avoir des conséquences graves: Phishing ou hameçonnage
=> Un utilisateur recevra
- un faux email ou un message instantané (ou toute autre forme de communication électronique)
- à l’aspect officiel
- avec des logos et un aspect identique aux sites légitimes (judiciaires, administratifs, bancaires…)
- une adresse électronique presque juste
- la mention de délais très courts pour se conformer à la demande au risque de graves conséquences pour l’entreprise (ou la personne).
=> La victime clique sur le lien par exemple pour remplir un formulaire sur un site d’apparence légitime et donne des informations sensibles (carte de crédit, accès bancaires, identifiants de comptes…)
=> Cette fraude aboutit au vol de sommes importantes si elle est détectée tardivement.
Water-holing (ou point d’eau) là ou s’abreuvent les proies…
Les pirates préfèrent infecter le site d’un partenaire ou d’une structure souvent fréquentée par les employés de la société.
! C’est pratiquement impossible à détecter pour un utilisateur !
=> Les criminels infectent un site spécialisé, par exemple un forum de professionnels souvent consulté sur lequel un employé désire rechercher des informations.
=> Quand l’utilisateur se connecte sur ce site légitime, il fait entrer sans le savoir un programme malveillant (malware)
- qui peut encrypter (bloquer) toutes les données de l’entreprise ou
- qui accède de façon cachée à tous les dossiers de l’entreprise et vole des secrets de fabrication, des informations sensibles sur le fonctionnement de l’entreprise, l’accès aux comptes bancaires, aux données personnelles des clients
=> Si l’appareil de l’employé est connecté au disque dur du réseau entreprise qui permet de partager des dossiers dans la société
C’EST TOUT LE SYSTÈME DE L’ENTREPRISE QUI PEUT ÊTRE CRYPTÉ, BLOQUÉ CONTRE UNE DEMANDE DE RANÇON SOUVENT EN CRYPTOMONNAIE (BITCOIN) INTRAÇABLE.
=> Cette demande est faite sous forme d’une page qui apparaît sur vos écrans.
=> Les criminels promettent le déblocage des comptes après paiement en fournissant un code.
=> Si l’entreprise n’a pas un système de sauvegarde efficace et multiple en place, elle risque de perdre son activité, il ne faut pas trop compter sur « l’honnêteté » des criminels que rien n’oblige à donner un code de déblocage après paiement de la rançon…
UNE SOLUTION ?
N’AUTORISER L’ACCÈS QU’À DES SITES DE CONFIANCE ET INSTALLER LES PROTECTIONS NÉCESSAIRES ET DE LES METTRE À JOUR
CONCLUSION
- La capacité d’invention des criminels est sans limite et devient de plus en sophistiquée.
COMME IL EST IMPOSSIBLE POUR LE COLLABORATEUR NON SPÉCIALISTE EN INFORMATIQUE DE SAVOIR TOUT SUR LE SUJET DE LA CYBER-CRIMINALITÉ
- Il est judicieux, voire vital, d’enseigner la MÉFIANCE et la VIGILANCE pour TOUT ce qui touche au système informatique et ses accès.
- En complément, il est nécessaire de bien établir et faire appliquer une procédure précise pour toutes les opérations sensibles (touchant aux paiements, traitement des données personnelles …)
- Il faut constamment FORMER LE PERSONNEL par des informations courtes et précises. Il ne reconnaîtra une anomalie que s’il est parfaitement au courant de ce qui doit être considéré comme normal.
NOTES
[1] Une attaque par déni de service (DoS attack pour Denial of Service attack en anglais) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. À l’heure actuelle la grande majorité de ces attaques se font à partir de plusieurs sources, on parle alors de déni de service distribué (DDoS attack pour Distributed Denial of Service attack), Wikipedia, https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service
[2] Extrait de leur site : » Pour nous permettre de définir le type de rançongiciel qui affecte votre système, nous vous prions de remplir le formulaire ci-dessous. Ainsi, nous pourrons vérifier si une solution est disponible. Si c’est bien le cas, nous vous fournirons un lien pour télécharger la solution de déchiffrement. »
[3] Description faite par le patron du Quai des Orfèvres le 28/08/2014 au Figaro
[ninja_form id=2]