Home » Posts tagged 'phishing'

Tag Archives: phishing

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Mois de la cybersécurité 2017 à Abidjan

Mois de la cybersécurité 2017

Le Mois de la cybersécurité (CSM) s’appuie sur le fait qu’Internet est une ressource partagée et que la sécurité des communications sur internet est une responsabilité partagée.

Mois de la cybersécurité 2017

Le Mois de la cybersécurité est une campagne internationale de sensibilisation. Elle a lieu chaque année en Europe, Asie, Amérique du Nord et Australie au mois d’octobre. L’objectif de cette campagne est de sensibiliser le public sur l’importance de la sécurité de l’information. Elle vise à informer les citoyens sur la sécurité lors de l’utilisation d’Internet et sur quelques bonne pratiques simples à suivre pour se protéger en ligne, ainsi que pour protéger leur famille, leur milieu de travail et leurs appareils.

Les thèmes du mois de la cybersécurité 2017

Le mois est divisé en thèmes (un thème par semaine) qui soulignent les différents aspects de la cybersécurité. Cette année, la campagne débutera le 2 octobre pour s’achever le 31 Octobre et sera organisée de la façon suivante :

  • 1ère Thème : du 2 au 6 octobre : Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne
  • 2ème Thème : du 9 au 13 octobre : Soyez vigilants – Protection des renseignements personnels et des données privées
  • 3ème Thème : du 16 au 20 octobre : Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous
  • 4ème Thème : du 23 au 27 octobre : Le citoyen numérique dans un monde de plus en plus numérique

Les évènements planifiés à Abidjan

Afin de soutenir cette campagne internationale de sensibilisation, AB Consulting CI s’associe cette année encore à l’initiative collective. Chaque semaine, des évènements gratuits seront proposés. Mais, cette année, outre les évènements (wébinaires, rencontres), des ressources documentaires seront mises à disposition de tous. Il s’agira de livres blancs, de posters à partager, d’infographies, d’articles sur notre blog et même d’outils de sensibilisation.

Le programme des évènements est d’ores et déjà fixé et nous vous invitons à vous inscrire nombreux et nombreuses pour y assister. C’est évènements sont entièrement gratuits mais le nombre de places est limité. Alors n’attendez pas pour vous inscrire en suivant les liens ci-dessous :

Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne

Nous vous proposons de nous suivre le 25 Octobre 2017 à 11h GMT pour un wébinaire d’une heure, présenté par Alain Bonneaud sur le thème « 10 moyens simples de vous protéger en ligne« . Les participants se verront remettre gratuitement un livre blanc reprenant les 10 conseils pour assurer leur sécurité en ligne. Inscrivez-vous ici.

Soyez vigilants – Protection des renseignements personnels et des données privées

Le 11 Octobre 2017 à 11h GMT, David Henrard, président du Chapitre ISACA de Québec et expert de la protection des renseignements personnels, présentera un wébinaire d’une heure sur le thème « Cybersécurité : La protection des renseignements personnels« . A l’heure où le GDPR entrera bientôt dans sa phase obligatoire, cette présentation fera le point sur les aspects réglementaires pour les entreprises mais aussi sur les précautions à prendre par tout utilisateur d’internet en matière de protection de ses informations personnelles. Inscrivez-vous ici.

Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous

Le 18 Octobre 2017 à 11h GMT, Alain Bonneaud, expert en cybersécurité et en gouvernance des Entreprises présentera un wébinaire d’une heure sur la nécessité, au sein des Entreprises, de sensibiliser l’ensemble du personnel à une obligation de respecter des règles de bases en matière de sécurité. Contrairement à une idée reçue, la sécurité n’est pas l’apanage des informaticiens. Savez-vous que 95% des attaques informatiques réussies passent par des personnels non informaticiens? Que vous soyez chef d’Entreprise ou salarié ou même consultant, cette présentation intitulée « La cybersécurité au travail est l’affaire de tous. Pas seulement des informaticiens! » vous concerne. Insrcivez-vous ici.

Le citoyen numérique dans un monde de plus en plus numérique

Le 27 Octobre 2017, à Abidjan, AB Consulting CI organisera une petit déjeuner pour les directions des Entreprises afin d’échanger avec les Directeurs et Managers sur leurs responsabilités en matière de gestion des risques de cybersécurité et les manières de se protéger dans un monde toujours plus numérique. Cette rencontre sera l’occasion d’échanger avec nos experts sur l’ensemble des aspects relatifs à ces problématiques de plus en plus sensibles. Cette matinée est accessible uniquement sur invitation, le nombre de places étant très limité. N’hésitez pas à nous laisser vos coordonnées si vous souhaitez y participer.

Et bien sûr, n’hésitez pas à nous adresser vos commentaires et à partager d’autres initiatives utiles à tous dans le cadre de cette campagne internationale.

Phishing – Mode d’emploi

AB Consulting vous propose une série d’articles destinés à la sensibilisation sur les risques en matière de sécurité de l’information. Suite à notre précédent article 10 trucs pour reconnaître un mail d’hameçonnage, aujourd’hui, nous allons revisiter la façon de repérer une tentative de phishing en nous concentrant sur une campagne récente ciblant les clients PayPal. Nous allons commencer par souligner les repères visuels qui vous aideront à éviter de devenir une victime, mais nous allons aussi approfondir l’arnaque de façon plus complète afin de vous permettre de comprendre le processus de bout en bout.

phishing - mode d'emploi

PayPal est l’une des marques les plus ciblées par les escrocs dans le cadre de tentatives d’hameçonnage, à l’instar des autres banques et institutions financières dès lors que les cyber-criminels cherchent à dérober de l’argent. Nous allons donc, étudier une séquence complète de tentative d’extorsion d’informations personnelles utilisant Paypal.


Attention, il s’agit d’un cas réel. Les adresses des sites web ainsi que les adresses mail des pirates sont susceptibles d’être toujours actives. N’essayez surtout pas de vous y connecter. Vous risqueriez de devenir vous-même une victime.


Le phishing, c’est quoi?

Le phishing (ou hameçonnage) reste l’une des méthodes les plus faciles et les plus rapides d’extorsion d’informations personnelles. Avec ce type d’attaque, les criminels jouent sur le nombre. Plus le nombre de messages envoyés est important et plus il est probable que quelqu’un tombe dans le piège.

Même si le nombre de victimes est finalement assez faible, le coût d’une campagne d’hameçonnage n’est rien à côté des bénéfices réalisés. Une seule victime suffit souvent à couvrir tous les coûts.

Malheureusement, des dizaines de personnes sont susceptibles d’être victimes de ce type d’arnaque dans une campagne donnée, de sorte que le phishing est devenu un business très rémunérateur pour la plupart des criminels. Chaque campagne est différente, ciblant souvent des renseignements personnels ou des informations financières. Dans ce cas qui nous sert d’exemple, elle cible tout à la fois.

Le phishing, ça commence souvent par un e-mail

Le plus souvent, tout commence par la réception dans votre boîte mail d’un message similaire à celui-ci :

phishing paypal 1/11

Il s’agit d’une copie fidèle d’un véritable message Paypal. Les couleurs, le logo, la mise en forme, tout est identique. L’objectif est de vous faire peur pour vous inciter à cliquer sur le bouton!

Attention à l’adresse mail de l’expéditeur

Vous pouvez remarquer que l’adresse email de l’expéditeur n’est une adresse Paypal. C’est un indice très important qui doit vous alerter :

Phishing Paypal 2/11

Le « via » marquant dans le champ « De: » est significatif de la façon que Google utilise pour vous dire que l’e-mail que vous lisez a été envoyé à partir d’un compte différent de celui qui est indiqué. Si l’email provenait réellement de PayPal, Google ne vous donnerait pas cet indice.

Gmail affiche cette information parce que bon nombre des services qui envoient des e-mails au nom d’autrui ne vérifient pas que le nom que l’expéditeur donné correspond bien à cette adresse e-mail. Google vous met en garde dans son aide, que nous vous invitons à consulter.

Dans ce cas, le criminel utilise un site Web et le serveur de l’hébergeur du site pour vous envoyer le message. Si ce message ne passe pas par Gmail, le simple fait que l’expéditeur n’a pas utilisé une adresse PayPal est le premier indice qui doit vous mettre en garde.

Bien sûr, le sujet de l’e-mail est tout aussi faux. En tentant de souligner un point sensible et d’instiller un faux sentiment d’urgence, et du fait qu’il ne mentionne pas l’identifiant du « compte » en question le pirate augmente les chances que la curiosité vous gagne et que vous ouvriez le message.

Le corps du message – C’est là que tout se passe

Pour un œil non averti, le message vous informe que votre compte PayPal a été limité, et et que vous avez un délai court pour résoudre le problème à l’origine de cette limitation. Encore une fois, l’objectif est d’instiller chez vous un faux sentiment d’urgence. si vous êtes un utilisateur régulier de PayPal, le fait que vous risquiez de perdre l’accès à votre compte est un problème qui peut être potentiellement grave pour vous.

Phishing Paypal 3/11

Le message lui-même se présente comme une mesure de sécurité, et vous informe que votre compte PayPal pourrait être en danger de piratage, ce qui pourrait résulter en un vol de vos avoirs ou son utilisation frauduleuse. Ironique vraiment, puisque le vol de vos informations est l’objectif qui se cache derrière le mail. Une fois encore, les criminels utilisent la peur comme facteur de motivation principal. La solution est simple : allez confirmer vos informations sur votre compte en suivant le lien fourni.

Pour un œil exercé, le message est un faux. Tout d’abord, PayPal utilise toujours le nom de compte enregistré lors de l’adressage de messages, de sorte qu’ils ne vous adressent jamais un e-mail de sécurité en utilisant un nom générique du type « clientèle Paypal ».

Deuxièmement, le message lui-même est une simple image. Le pirate a créé un lien vers son domaine, et utilisé une image à la place d’un lien texte que presque tout le monde utilise sur le Web.

L’utilisation d’une image permet de passer au travers de beaucoup de filtres anti-spam basiques. Le fait que le message a été relayé par un compte hacké qui n’a jamais envoyé de spam précédemment va également aider à éviter la détection.

Mais qu’advient-il si vous cliquez sur le lien?

Il est encore temps de faire marche arrière

Si pour une raison quelconque vous avez cliqué sur le lien, l’URL affichée devrait être une alerte suffisante pour mettre en échec cette tentative de phishing :

Phishing Paypal 4/11

L’adresse du site n’est pas sécurisée, l’accès n’est pas réalisé via HTTPS et le domaine N’EST clairement PAS un domaine contrôlé par PayPal. Vous êtes ici convié à saisir les identifiant /mot de passe de votre compte Paypal sur un site contrôlé par le pirate.


ATTENTION: l’URL indiquée dans cette image était active il y a seulement quelques semaines. N’essayez pas de la visiter. L’hébergeur a pris la la décision de déconnecter ce domaine depuis, mais rien ne garantit que cette URL ne pointe pas vers un nouvel emplacement dans le futur.


Vous avez entré votre identifiant et votre mot de passe?

Entrer votre nom d’utilisateur et mot de passe dans le champ de la diapositive précédente déclenche un certain nombre de contrôles par le script de Phishing créé sur ce domaine. A ce stade, votre nom d’utilisateur et mot de passe PayPal ont été volés. Ce n’est que le début du processus…

Phishing Paypal 5/11

Cet écran vous est familier? C’est normal. La couleur des images, le format des pages du site, et même la barre d’adresse remplie de lettres et de chiffres tout est conçu pour vous tromper et vous faire penser que vous êtes bien sur le site de PayPal. Rappelez-vous que ce n’est pas le cas. Le HTTPS: manquant est une preuve supplémentaire que Paypal n’a rien voir avec cette page.

Maintenant, passons à la partie qui intéresse nos pirates

Une fois l’écran de chargement disparaît, la deuxième partie de l’arnaque peut commencer. A ce stade, votre nom d’utilisateur et mot de passe PayPal ont été récupérés. Cependant il ne faut surtout pas que vous vous arrêtiez là.

Phishing Paypal 6/11

La meilleure façon de continuer à vous sentir menacé c’est de simuler l’incident technique avant de passer à l’étape suivante… Vous êtes donc invité à confirmer vos données de connexion.

Et si vous nous en disiez un peu plus sur vous?

Si vous acceptez et que vous confirmez, vous verrez apparaître cette nouvelle page. Le criminel va devenir capable de construire un profil basé sur vos informations personnelles. Les données recueillies pourront être vendues. Elles pourront aussi être utilisées pour des escroqueries ultérieures y compris pour voler votre identité.

Phishing Paypal 7/11

Le script a besoin d’informations et vous demande d’entrer vos informations personnelles détaillées avant d’en venir à son objectif principal. Le processus n’est pas encore arrivé à son terme.

Les détails de votre carte de paiement

Maintenant, le pirate a obtenu vos informations personnelles. Cette page va tenter d’obtenir des données financières, à savoir les détails de votre carte de crédit.

Phishing Paypal 8/11

Cette page, ainsi que tous les autres, a été conçue pour ressembler fidèlement à une page PayPal. Pour ceux qui savent qu’ils doivent rechercher un cadenas pour s’assurer que la page des données bancaires est bien sécurisée, mais qui ont oublié où ce cadenas doit apparaître sur la page, le message au bas de l’écran peut paraître rassurant. Bien évidemment, RIEN sur cette page N’EST SECURISE.

Mais pourquoi s’arrêter en si bon chemin?

La dernière part d’informations dont le criminel a besoin porte toujours sur vos données bancaires. Ce formulaire a deux fonctions :

  • d’abord il recueille vos données de connexion et votre numéro de compte à votre banque,
  • la deuxième est qu’il permet à l’escroc pour voir si recyclez vos mots de passe.

Phishing Paypal 9/11

S’il s’avère que le mot de passe PayPal est la même que celui permettant l’accès à votre compte bancaire, alors il y a de fortes présomptions que vous utilisiez le même mot de passe partout. Au pire, le criminel peut utiliser cette information pour réaliser d’autres escroqueries. Il pourra alors exploiter les informations recueillies pour accéder à d’autres comptes vous appartenant.

On est presque au bout du processus de phishing

Nous arrivons à la fin du processus. Tout a été conçu pour que vous pensiez avoir affaire à PayPal en essayant d’endormir votre méfiance. Hélas, à ce stade l’intégralité de vos informations bancaires, vos renseignements personnels, les détails de votre carte de crédit, et les données de connexion à votre compte PayPal sont entre les mains des pirates. Il n’y a pas de retour en arrière possible.

Phishing Paypal 10/11

Les choses doivent continuer à avancer pour ne pas éveiller votre méfiance. Cette page restera affichée seulement quelques secondes (une durée insuffisante pour que ayez le temps de cliquer sur l’un des trois boutons) avant que vous ne soyez redirigé vers le dernier écran.

Comme si rien ne s’était passé !

La dernière étape de l’escroquerie vous ramène sur le véritable site de PayPal. Si vous regardez bien la barre d’adresse, vous verrez que l’URL est en HTTPS:. La zone où le cadenas est présent comporte maintenant le nom de la société et apparaît en vert.

Phishing Paypal 11/11

Les précédentes images faisaient toutes partie de l’arnaque. Donc, le fait que le site web légitime PayPal apparaisse à la fin sur l’écran ne signifie absolument rien. Les écrans de saisie ont tous été récupérés et quelque part dans le monde, il y a un criminel qui abuse de vos informations de multiples façons créatives, sans aucun doute.

Quand on évoque l’hameçonnage,il est difficile de s’en protéger en permanence. Cependant, ce n’est pas une tâche impossible. En cas de doute, ne cliquez pas sur les liens ou les pièces jointes dans un courrier électronique. Et surtout n’allez pas visiter le site en question (par exemple PayPal) directement.

Rappelez-vous que le mail est le dernier des moyens de communication que les banques et les organismes financiers utilisent pour communiquer avec vous. En ligne, faites attention à la barre d’adresse. Vérifiez que vous êtes bien en  HTTPS lorsque vous êtes sur le point d’entrer des informations personnelles ou financières dans un formulaire.

Comment s’assurer contre ce type de danger?

Il n’y a pas de solutions technologiques fiables pour vous protéger contre ce type de menaces. C’est de la responsabilité de chacun et de chacune d’assurer la sécurité de l’information. La sécurité de l’information vous concerne tous, tant au niveau personnel qu’au niveau professionnel. Nous vous invitons donc à renforcer votre sensibilisation et celle des employés de votre Organisation. A cet effet, nous proposons des sessions de formations sur ce sujet avec les mesure de préventions associées. Ces mesures sont issues des normes et référentiels de bonnes pratiques tels que ISO 27001, ISO 27002, NIST CSF ou RESILIA.

AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, PECB, EXIN et AXELOS  sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose régulièrement des sessions de sensibilisation tout spécialement adaptées à des cibles spécifiques (dirigeants, personnels des métiers, informaticiens) et animées par un expert du domaine. Ces formations peuvent être délivrées, en Français ou en Anglais. Nous les proposons dans le cadre de nos sessions publiques ou sur mesure en intra-entreprise   :

Sensibilisation à RESILIA (2 formats : 4 heures ou 1 journée)

COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)

Sensibilisation à ISO 27001 / ISO 27002 (1 journée)

Toutes nos formations peuvent également être délivrées pour les informaticiens. Nous formons également les équipes de sécurité et les métiers sur l’ensemble de ces domaines. Nos accréditations nous permettent de délivrer des certifications  reconnues au niveau international.

Pour tout complément d’information ou pour vous abonner à notre newsletter, merci de bien vouloir compléter le formulaire de contact :

Tous les écrans illustrant cet article sont extraits de la revue CSO.

 

 

10 trucs pour reconnaître un mail d’hameçonnage

Chaque jour d’innombrables courriels d’hameçonnage sont envoyés à des victimes sans méfiance dans le monde entier. Certains d’entre eux apparaissent si bizarres qu’ils sont faciles à identifier. A l’inverse,  d’autres peuvent être plus convaincants. Alors, comment faire la différence entre un message de phishing et un message légitime?

10 indices pour reconnaître un mail d'hameçonnage
Crédits : © Weerapat1003

L’hameçonnage est aujourd’hui au coeur de l’ingénierie sociale. Il constitue donc une préoccupation majeure pour de nombreuses sociétés. Dans une récente enquête (Black Hat Attendee Survey réalisée lors de la conférence de Juillet 2015 aux USA) 48% des participants considèrent le l’hameçonnage et les autres risques liés à l’ingénierie sociale comme le 2ème souci le plus important pour eux avec 22% de leur budget informatique en moyenne consacré à ce sujet.

Comment reconnaître une tentative d’hameçonnage?

Malheureusement, il n’y a pas qu’une seule technique qui fonctionnerait dans toutes les situations. Il est, par conséquent, difficile de détecter un email d’hameçonnage. Cependant il existe des indices qui permettent d’éveiller les soupçons. Cet article répertorie 10 d’entre eux.

1. Le message comporte une URL bizarre

Une des premières choses que je vous recommande de vérifier dans un message e-mail suspect est l’intégrité et la cohérence de toutes les URL présentes dans le message. Souvent l’URL dans un message de phishing apparaît parfaitement valable. Toutefois, si vous passez votre souris au dessus de l’URL, vous devriez voir l’adresse réelle du lien hypertexte (au moins dans Outlook). Si l’adresse du lien hypertexte est différente de l’adresse qui est affichée en clair, alors il y a une forte probabilité que le message soit frauduleux ou malveillant.

2. Les URLs contiennent un nom de domaine trompeur

Les pirates qui utilisent la technique de l’hameçonnage pour lancer des escroqueries utilisent le plus souvent ll’ignorance, par leurs victimes, du fonctionnement et des règles de nommage liées à la structure des DNS. La dernière partie d’un nom de domaine est le plus révélateur. Par exemple, le nom de domaine office.microsoft.com serait un domaine enfant de microsoft.com parce microsoft.com apparaît à la fin du nom de domaine complet (sur le côté droit), ce qui peut laisser penser que le domaine appartient bien à Microsoft. Inversement, microsoft.com32.info ne saurait évidemment pas provenir de microsoft.com parce que la référence à microsoft apparaît au début (sur la partie gauche) du lien complet.

ATTENTION, dans la réalité, le domaine microsoft.com32.info existe vraiment. N’essayez donc pas d’y accéder car vous risquez l’installation d’un ransomware qui bloquera votre navigateur web en se faisant passer pour les autorités et vous réclamera le paiement d’une amende.

J’ai vu cette astuce utilisée de nombreuses fois par des artistes de l’hameçonnage pour essayer de convaincre les victimes qu’un message provient bien d’une société comme Microsoft ou Apple. L’artiste du phishing crée simplement un domaine enfant portant le nom de Microsoft, Apple, Windows, ou autre. Le nom de domaine résultant ressemble à ceci: microsoft.com32.info ou encore windows-crash-report.info/Windows/

3. Le mail contient des fautes d’orthographe ou de grammaire

Chaque fois qu’une grande entreprise envoie un message au nom de la société dans son ensemble, le message est généralement vérifié au niveau, entre autres, de l’orthographe, de la grammaire et de la légalité. Donc, si vous recevez un message rempli de fautes de grammaire ou d’orthographe, il a très peu de chance qu’il émane du département juridique d’une grande société.

4. Le message vous demande des informations personnelles

Peu importe à quoi un email officiel pourrait ressembler, c’est toujours un mauvais présage si le message vous demande des renseignements personnels. Votre banque n’a pas besoin de vous pour connaître votre numéro de compte! C’est elle qui vous l’a attribué. De même, une entreprise digne de confiance réclamera jamais  votre mot de passe, votre numéro de carte de crédit, ou la réponse à une question de sécurité par e-mail.

5. L’offre contenue dans le mail est trop belle pour être vraie

Il y a un vieil adage qui dit que si quelque chose semble trop beau pour être vrai, alors ça l’est probablement. Ceci est particulièrement vrai pour les messages électroniques. Si vous recevez un message d’une personne inconnue qui fait de belles promesses, c’est probablement d’une arnaque.

6. Vous n’avez rien demandé

Ce matin encore, j’ai reçu un message m’informant que j’avais gagné le gros lot à la loterie !!!! Le seul problème, c’est que je n’ai acheté aucun billet de loterie. Si vous recevez un message vous informant que vous avez gagné un concours, un lot à loterie ou que sais-je encore sans avoir participé volontairement à quoi que ce soit, vous pouvez parier que le message est une arnaque.

7. On vous demande d’envoyer de l’argent pour payer des frais

Un signe révélateur d’un email d’hameçonnage est qu’on vous finit par vous demander de l’argent. Il est possible qu’on ne vous demande rien dans le message initial. Mais tôt ou tard, les escrocs au phishing vont probablement vous demander de l’argent pour couvrir des frais, taxes, redevances, ou quelque chose de semblable. Si cela se produit, vous pouvez être quasiment certain qu’il s’agit d’une arnaque.

8. Le message vous adresse des menaces irréalistes

Bien que la plupart des escroqueries par phishing tentent de tromper les gens en leur demandant de l’argent ou des informations sensibles en leur promettant des gains d’argent instantanés, certains artistes de l’hameçonnage utilisent l’intimidation pour effrayer les victimes en donnant des informations. Si un message fait des menaces irréalistes, il s’agit probablement d’une arnaque.

Il ya 10 ans, je reçus un message électronique, d’apparence officielle, émanant prétendument de ma banque. Tout dans le message semblait complètement légitime, sauf une chose. Le message prétendait que la sécurité de mon compte avait été compromise et que si je ne remplissais pas un formulaire (sur lequel on me demandait mon numéro de compte) ainsi que deux pièces d’identité avec photo, mon compte serait fermé et mes biens saisis.

Je ne suis pas un avocat, mais je suis sûr qu’il est illégal pour une banque de fermer votre compte et de saisir vos biens simplement parce que vous n’avez pas répondu à un message électronique. De plus, le seul compte que j’ai eu dans cette banque était un crédit pour l’achat d’un véhicule. Il n’y avait pas de dépôt à saisir. Je n’avais aucun compte de dépôt ou d’épargne dans cette banque.

9. Le mail semble émaner d’un service public (impôts, sécurité sociale, …)

Les professionnels de l’hameçonnage qui veulent recourir à l’intimidation ne se présentent pas toujours comme une banque. Parfois, ils vont envoient des messages prétendant provenir d’un organisme public. Le Trésor, la direction des impôts, la police, le tribunal ou toute autre entité susceptible d’effrayer ou de tenter le citoyen moyen respectueux de la loi sont souvent utilisés.

hameçonnage impôts
Exemple de mail d’hameçonnage utilisant les impôts comme argument

Les organismes publics n’utilisent pratiquement jamais l’e-mail comme moyen de contact initial. Cela ne veut pas dire que organismes gouvernementaux et ceux chargés de l’application de la loi n’utilisent jamais d’e-mails. Toutefois, les organismes chargés d’appliquer la loi suivent certains protocoles. Ils ne participent pas à l’extorsion de fonds par-email, du moins selon mon expérience.

10. Il y a quelque chose qui vous semble suspect

Les équipes de sécurité des casinos sont formées à regarder tout ce qui leur semble suspect. L’idée est que si quelque chose vous semble bizarre, il ya probablement une bonne raison à cela. Ce même principe vaut presque toujours pour les e-mails. Si vous recevez un message qui semble suspect, il est généralement dans votre intérêt d’éviter d’agir sur ce message.

Comment éviter que votre personnel se fasse piéger?

Tous les professionnels s’accordent sur un fait. La première chose à faire consiste à mener des campagnes de sensibilisation et de formation du personnel. En effet la sécurité de l’information est une responsabilité collective de tous les employés et pas seulement du personnel informatique ou chargé de la sécurité. C’est donc l’ensemble du personnel qui doit être formé.

Nous vous conseillons également la lecture de notre article : Phishing, mode d’emploi.

Quelles formations choisir?

Il est inutile de dépenser votre argent dans des formations inutiles. Il faut d’abord sensibiliser le personnel non informatique. Cette sensibilisation portera sur l’hameçonnage et les autres aspects de l’ingénierie sociale. Des séances de sensibilisation de quelques heures (4 à 8 heures) sont suffisantes.  Inutile donc de former l’ensemble du personnel sur des formations ISO 27001 Foundation ou ISO 27001 Lead Implémenter… Ces formations sont réservées aux spécialistes de la sécurité impliqués dans l’implémentation d’un système de management de la sécurité, en vue de la certification de l’Entreprise.

Pour le Conseil d’Administration et le Comité de Direction

Pour sensibiliser le Conseil d’Administration et les membres du Comité de Direction sur les risques et leurs responsabilités en matière de sécurité de l’information :

COBIT® 5 pour le Board et les Exécutifs (1 jour)

RESILIA – Sensibilisation  (1 jour)

Introduction à la sécurité du SI basée sur ISO 27001 / ISO 27002 (1 jour)

Pour le personnel non informatique

RESILIA – Sensibilisation (1 jour)

Introduction à la sécurité du SI basée sur ISO 27002 (1 jour)

Pour le personnel du département informatique

ISO 27001 Foundation (3 jours) – Pour les organisations souhaitant implémenter un système de management de la sécurité de l’information basé sur ISO 27001

ISO 27002 Foundation (3 jours) – Bonnes pratiques de mise en oeuvre de la sécurité de l’information dans une entreprise ne cherchant pas la certification ISO 27001

RESILIA Foundation (3 jours) – Bonnes pratiques en matière de cyber-sécurité et de cyber-résilience. S’intègre parfaitement avec ITIL®

Pour le personnel spécialisé en sécurité de l’information

ISO 27001 Practitioner (2 jours) – Pour les personnels chargés de la sécurité dans une organisation implémentant ou ayant implémenté un système de management de la sécurité basé sur ISO 27001

ISO 27002 Advanced (3 jours) – Expertise dans l’application de bonnes pratiques de gestion de la sécurité décrites dans ISO 27002

RESILIA Practitioner (2 jours) – Pour les personnels en charge de mettre en oeuvre et d’appliquer les bonnes pratiques de cyber-sécurité et de cyber-résilience dans l’Entreprise

NIST Implementation based on COBIT® 5

Pour les équipes de contrôle interne ou d’audit interne

ISO 27001 Auditor (2 jours)

Pour les experts et les consultants / auditeurs

ISO 27001 Lead Implementer (5 jours)

ISO 27001 Lead Auditor (5 jours)

CISM – Certified Information Security Manager (4 jours)

CISSP – Certified Information Systems Security Professional (5 jours)

2AB & Associates, spécialiste de la sécurité et de la résilience, et seul Organisme de formation accrédité par les organisations internationales (ISACA, ISO, ANSI, AXELOS, APMG, EXIN, PEOPLECERT, PECB) en Afrique, vous propose toute sa gamme des formations accréditées. Nous pouvons également vous proposer nos services d’implémentation et d’audit sur ces domaines ainsi que sur la Gouvernance et le Management de votre système d’information.

Pour tout complément d’information ou si vous avez été vous-même victime d’une tentative d’hameçonnage (phishing), merci de nous laisser votre commentaire.

Pare-feu humain: votre meilleure protection

Suite à un récent article publié sur ce blog et intitulé Cyber-sécurité – Ingénierie sociale: un risque majeur, je voudrais maintenant prendre un peu de recul et tenter d’explorer ce qui précède généralement une cyber-attaque d’ingénierie sociale réussie.

Dans le cadre d’une discussion récente, un expert en ingénierie sociale m‘affirmait avec force que l’ingénierie sociale est quasiment toujours liée à un besoin de reconnaissance qui peut être satisfait grâce aux réseaux sociaux.

De nombreux articles portent sur les méthodes d’attaque qui donnent finalement lieu à une violation de données, mais négligent de mentionner l’aspect le plus important de ces violations réussies: la reconnaissance.

La quête de reconnaissance comme motivation

Grâce aux médias sociaux et aux progrès technologiques réalisés ces dernières années dans les outils d’analyse de logiciels, il est maintenant facile pour un pirate de pénétrer en profondeur au cœur même de votre organisation, sans jamais avoir à franchir l’enceinte physique des murs de votre bureau.

Nous connaissons tous le vieil adage Une chaîne n’a jamais que la solidité de son maillon le plus faible, qui, lorsqu’on l’applique à la sécurité de l’information pourrait se terminer par c’est à dire le maillon humain.

Cela n’a jamais été plus vrai qu’aujourd’hui.

protégez-vous de l'intérieurUne récente enquête sur la sécurité (réalisée par PwC entre Mars 2014 et Mai 2015) a révélé que 31% de l’ensemble des incidents de sécurité de l’information étaient directement dus au personnel des Entreprises. Cette statistique fait bien sûr référence aux prédateurs, mais aussi aux téméraires et aux dupes. Peu importe, le fait est que les employés sont un vecteur d’attaque efficace pour le cyber-ennemi, et, si la faiblesse a une origine humaine, elle peut rendre les contrôles techniques en place, aussi évolués soient-ils, totalement inefficaces.

Les réseaux sociaux sont le vecteur essentiel grâce auquel les criminels peuvent profiter de cette faiblesse.

Il existe maintenant des outils open-source permettant de retrouver l’ensemble des comptes connectés à un individu sur les réseaux sociaux, plus leurs relations avec les autres, tout cela complété par un ensemble de données personnelles intéressantes, le tout présenté sous des formes faciles à exploiter.

Il existe même un logiciel propriétaire qui reprendra tous les médias sociaux émanant d’un emplacement donné grâce à la géo-localisation.

Tout ceci n’est qu’une entrée en matière avant même que nous ne considérions l’utilisation de sites tels que LinkedIn, sur lesquels sévissent de nombreux pirates avec de faux comptes, certains usurpant même des identités de professionnels de l’industrie de la sécurité – avec un certain succès, avouons-le – aidés et légitimés en cela par tous ceux qui, trop laxistes pour effectuer les vérifications sur le travail qu’ils revendiquent dans leur profil fournissent trop facilement des références. Certains faux comptes peuvent ensuite, forts de leur crédibilité, obtenir des informations privées, des offres d’emploi, des données critiques et même des invitations à dialoguer par téléphone.

La collecte d’informations

Mis à part l’ingénierie sociale s’appuyant les réseaux sociaux, il y a également d’autres moyens très simples de collecter des informations. Je ne vais pas chercher à obtenir de votre part des informations confidentielles qui relèvent de la protection des données, mais des informations qui semblent tout à fait innocentes et sont cependant très utiles à un pirate: qui est actuellement en vacances, quel département est actuellement débordé par manque de personnel, quel employé est mécontent et pour quelle raison, et ainsi de suite…

Et n’imaginez pas un seul instant que votre département informatique est à l’abri.

fuites d'informations sur les réseaux sociauxJ’ai, personnellement, été témoin de cas d’administrateurs IT donnant publiquement, sur des forums de support, des informations techniques détaillées sur leur environnement IT sans savoir qui lisait réellement ces informations, tweetant sur les dernières mises à jour de leurs infrastructures ou de leurs applications, sur les correctifs déployés, les problèmes internes, et même sur des cyber-attaques en cours.

Rien que des morceaux de choix pour les cyber-criminels…

Vous êtes sans doute en train de vous dire, « qu’est-ce que cela a à voir avec ma petite organisation? Aucun criminel ne va dépenser autant d’efforts pour nous cibler alors que nous n’avons aucune information de valeur ».

Détrompez-vous.

Êtes-vous un sous-traitant, un consultant ou un fournisseur dans une relation d’affaires avec une grande organisation? Alors, vous êtes une cible potentielle. Encore plus si cette relation business se situe dans le domaine IT.

La même enquête mentionnée ci-dessus conclut:

« Un nombre croissant de personnes interrogées attribue les incidents de sécurité à des partenaires business ayant un accès à leur réseau et à leurs données ».

Votre organisation pourrait bien être le point d’entrée parfait ouvrant la route vers de plus gros poissons. Vous pourriez être le point de départ idéal pour progresser, en utilisant des relations de confiance existantes, et remonter vers le sommet de la pyramide.

Le pare-feu humain. Que faire?

Nous pouvons prendre modèle sur les procédés appliqués par le renseignement et les militaires, et intégrer la sécurité opérationnelle (OPSEC) à notre activité. Mais non, je ne me prends pas pour James Bond. Attendez un peu !

La page Wiki sur OPSEC n’est pas particulièrement instructive, mais elle a le mérite d’en donner une définition:

La sécurité opérationnelle (OPSEC) est le processus consistant à protéger de petits morceaux  de données susceptibles d’être regroupés pour donner une image plus générale.

OPSEC ou Sécurité opérationnelle (en Français : le renseignement) est une méthode pour se prémunir des risques que peut courir une structure si des informations sensibles sont acquises par les adversaires de cette structure. Elle fut formalisée par une équipe de l’armée américaine pendant la guerre du Viêt Nam.

Nous ne devons pas nécessairement dupliquer ce modèle au sein des Entreprises, mais, au moins, un premier niveau de sensibilisation ne serait pas superflu. Nous devons inculquer cet état d’esprit et la nécessité de prudence au personnel de nos organisations. Ce modèle est utilisé en dehors des limites des murs de l’Entreprise, et donne de bons résultats. L’ennemi auquel vous faites face n’est peut-être pas un geek boutonneux dans sa chambre mais il s’agit peut-être d’un état ou d’une multinationale.

pare-feuNous devons créer une focalisation sur la sécurité opérationnelle qui restera en permanence dans le subconscient des employés, même pendant leur temps libre, agissant sur eux en dehors de l’organisation lorsqu’ils se lâchent sur leur plate-forme de médias sociaux préférés. Nous devons créer une sensibilisation forte sur le fait que chaque élément d’information interne de l’entreprise, ou privée, partagée en ligne peut servir à un adversaire pour reconstituer   notre environnement et, finalement, faciliter son travail de découverte des vecteurs d’attaque.

Nous avons besoin d’avoir des employés fortement sensibilisés à la menace de l’environnement de telle sorte qu’ils ressentent un véritable coup de pied au derrière à chaque fois qu’ils parlent de l’entreprise en ligne.

Malheureusement, c’est bien au-delà de l’ambition de ce court article d’explorer la meilleure façon d’atteindre cet objectif, mais je vous laisse avec cette dernière pensée que j’ai, de nouveau, tirée de l’enquête et qui résume bien la situation actuelle:

« Une autre constatation inquiétante est la diminution constante des programmes de sensibilisation et de formation des employés. »

Il est grand temps de mettre à jour votre pare-feu humain. La technologie ne suffit pas !!

Par contre, ne vous limitez pas à votre personnel informatique, qui est bien sûr critique, mais pensez à sensibiliser l’ensemble du personnel de votre organisation car chaque personne ayant un accès à votre système d’information vous fait courir un risque.

Une bonne approche serait d’organiser des séances de sensibilisation pour les personnels non techniques et des séances plus complètes pour vos personnels informatique.

Voici quelques exemples.

Pour le personnel non technique (membres du Comité de Direction et du Conseil d’Administration inclus):

Sensibilisation à la sécurité du SI basée sur ISO 27001: Découverte, en une journée, des bonnes pratiques pour se protéger contre les menaces en matière de cyber-criminalité.

Sensibilisation à la cyber-résilience basée sur RESILIA : Introduction à la cyber-résilience, ou comment se protéger contre les menaces de sécurité de l’information et, surtout, comment survivre à une cyber-attaque?

COBIT® 5 pour le Board et les Exécutifs : une journée dédiée aux risques en matière de sécurité auxquels font face les Entreprises et quel rôle doivent jouer les conseils d’administration et les comités de direction pour assurer la protection des actifs de l’Entreprise.

Pour le personnel technique du département IT:

ISO 27002 Foundation : Formation de 3 jours conduisant à la certification ISO 27002 Foundation de l’EXIN et couvrant l’ensemble des bonnes pratiques en matière de sécurité de l’information, basées sur ISO 27002.

RESILIA Foundation : cours intensif de trois jours, conduisant à la certification RESILIA Foundation d’AXELOS® et couvrant les méthodes et l‘utilisation de contrôles préventifs, détectifs et correctifs permettant ainsi d‘identifier les risques tout en garantissant un fonctionnement efficace dans un contexte business de plus en plus compétitif. Cette formation est un excellent complément à la certification ITIL® Foundation.

ISO 27001 Foundation : Ce cours intensif de 3 jours permet une bonne compréhension du cadre de gestion de la Sécurité de l‘Information défini par la norme ISO/IEC 27001, des concepts de base, des avantages et des considérations en lien avec l’implémentation d‘un Système de Management de la Sécurité de l‘Information (SMSI). Ce cours, conclu par le passage de le certification ISO 27001 Foundation de l’APMG, est tout particulièrement destiné aux personnels qui ont rôle à jouer dans l’implémentation d’un SMSI au sein de leur organisation.

COBIT® 5 pour la sécurité de l’information : Cette session de deux jours offre une couverture globale et pratique de tous les aspects de COBIT® 5 dans le cadre spécifique de la sécurité de l‘information, y compris ses composantes, les facilitateurs et les conseils de mise en œuvre. Ce cours est tout spécialement destiné aux managers.

Pour les professionnels de la sécurité de votre Entreprise:

ISO 27001 Practitioner : Session pratique de deux jours durant laquelle les participants apprendront, sur la base de scénarios, à implémenter, de façon opérationnelle, un SMSI basé sur les exigences de la norme ISO 27001.

RESILIA Practitioner : Session de deux jours, conclue par le passage de l’examen RESILIA Practitioner d’AXELOS®, au cours de laquelle les participants apprendront comment obtenir le meilleur équilibre entre risques, les coûts, les avantages et la flexibilité au sein d’une organisation en utilisant les bonnes pratiques de cyber-résilience RESILIA.

ISO 27002 Advanced : S‘appuyant sur des études de cas, ce cours intensif de 3 jours permet aux participants de maîtriser les aspects organisationnels et managériaux de la sécurité de l‘information avant de passer, en fin de session, l’examen ISO 27002 Advanced de l’EXIN.

Implementing NIST based on COBIT® 5

COBIT® 5 Security Assessor

ISO 27005 Risk Manager : Ce cours de trois jours permet aux participants de développer la compétence liée à la maîtrise des éléments de gestion des risques de base associés à tous les actifs pertinents pour la sécurité de l’information en utilisant ISO 27005 comme un cadre de référence. Il se conclut par le passage de l’examen de certification ISO 27005 Risk Manager de PECB.

CISM : Le programme CISM® est orienté vers la gouvernance et la gestion de la sécurité de l‘information. Il est reconnu comme un standard pour les professionnels qui conçoivent, créent et mettent en œuvre les programmes de sécurité de l‘information dans les entreprises. Cette formation de quatre jours vous permet de préparer efficacement les passage de l’examen CISM® de l’ISACA.

CRISC : Le programme CRISC™ est orienté vers la gouvernance et la gestion des risques SI. Il est reconnu comme un standard pour les professionnels qui conçoivent, créent et mettent en œuvre les contrôles des risques SI dans les entreprises. Cette formation de 3 jours vous permet de préparer de façon efficace le passage de l’examen CRISC® de l’ISACA.

Pour obtenir plus d’informations, merci de remplir ce formulaire de contact:

Sécurité: Tentative d’hameçonnage sous le nom de Google


Un nouvel exemple de menace sur la sécurité des informations : un email de phishing se présentant comme une suggestion légitime émanant de Google de mise à jour de votre navigateur Google Chrome fait actuellement beaucoup de victimes sur internet.
Les utilisateurs sont invités à cliquer sur un lien pour mettre à jour leur navigateur Chrome.
La prétendue mise à jour s’effectue au travers du lancement d’un exécutable dont le nom ChromeSetup.exe fait penser à une mise à jour officielle de votre navigateur, qui  va crypter des fichiers spécifiques sur l’ordinateur de la victime, puis demander une rançon pour que les données soient décryptées.Mais ce décryptage a un prix: le montant étant est de deux bitcoins (environ $ 450, ou 400 €), et  le délai de paiement de la rançon est limité à 96 heures.L’adresse email de l’expéditeur a été habilement maquillée pour apparaître comme émanant de Google.Les experts mettent en garde les utilisateurs sur le fait que si les chevaux de Troie actifs peuvent être éliminés grâce aux anti-virus du marché, il est beaucoup plus difficile et parfois impossible de récupérer des fichiers chiffrés.Alors que les développements technologiques rapides ont fourni de vastes gisements d’opportunité et des sources potentielles d’efficacité pour les organisations de toutes tailles, ces nouvelles technologies ont également apporté des menaces sans précédent avec elles.

Sensibilisation et formation à la sécurité

La sensibilisation du personnel des entreprises sur les dangers du phishing et de la sécurité de l'information est maintenant une exigence d'affaires critique.

Catégories

Archives

Calendrier

décembre 2018
L M M J V S D
« Nov    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
%d blogueurs aiment cette page :