Home » Posts tagged 'phishing'

Tag Archives: phishing

Cybersécurité: au delà de l’environnement professionnel

Je travaille avec de nombreuses organisations à travers le monde pour les aider à améliorer leur cybersécurité. J’écris beaucoup d’articles sur des blogs, j’anime des conférences et des formations sur ce sujet depuis plusieurs années. Dans le cadre de mes activités de conseil, je me concentre presque toujours sur la gouvernance et le management de la sécurité des systèmes d’information en entreprise. Cela concerne entre autres les mots de passe, la protection des données personnelles, etc.. C’est bien pour cela que mes clients ont recours à mes services. Cependant, il est tout aussi important de penser à la cybersécurité dans nos vies personnelles.

Cybersécurité au delà de l'environnement professionnel, les mots de passe, les objets connectés, les terminaux doivent être protégés
Crédit © rawpixel.com 2018

Dans cet article, j’aborderai trois sujets essentiels :

  • Gestion de vos comptes d’utilisateurs et mots de passe
  • Protection de vos ordinateurs, tablettes et téléphones
  • Protection vos appareils IoT (objets connectés)

Dans un prochain article, j’aborderai le quatrième sujet: « Protection de vos informations personnelles ». Cet article est déjà très long et vous devrez donc attendre un prochain post pour que j’aborde ce sujet sensible. Il mérite beaucoup plus que quelques lignes.

1. Gérez vos comptes utilisateurs et vos mots de passe

Chaque semaine, nous découvrons une nouvelle faille majeure dans la sécurité des informations. Les données personnelles de millions de personnes sont ainsi divulguées. Lors d’une récente attaque contre les hôtels Marriott, les pirates se sont emparés d’informations personnelles concernant des centaines de millions de clients (entre 350 et 500 millions selon les estimations). Cela devrait vous inciter à la plus grande prudence quand à l’utilisation d’internet au quotidien.

Définissez bien votre stratégie de gestion de mots de passe

Lorsqu’une violation survient, les pirates informatiques s’emparent généralement d’une liste de noms d’utilisateurs et de mots de passe utilisés sur les systèmes violés. Souvent ils récupèrent également des informations personnelles et financières qu’ils pourront ensuite utiliser ou revendre. Une des premières choses qu’ils font ensuite, généralement, est d’essayer ces mots de passe sur tous les autres sites auxquels ils peuvent penser. Il ne s’agit pas juste de taper les mots de passe sur un clavier pour voir où leurs victimes travaillent. Les pirates utilisent des scripts qui essaient des millions de mots de passe connus sur plusieurs milliers de sites Web. Cela signifie que si vous avez utilisé le même mot de passe sur plusieurs sites différents, et si l’un de ces sites est victime d’une attaque, les pirates informatiques peuvent potentiellement accéder à tous les autres comptes sur lesquels vous avez réutilisé ce même mot de passe.

Idéalement, vous avez donc besoin d’un nom d’utilisateur différent et d’un mot de passe complexe différent pour chaque connexion. Oui, je sais. Ce n’est pas facile quand vous pouvez avoir des centaines de comptes différents. Je viens de compter le nombre de comptes différents que j’ai. Et vous savez quoi? J’ai découvert que j’utilise plus de 200 identifiants différents, que ce soit pour les achats, les voyages, la gestion de mon argent, les médias sociaux, les entreprises de services publics, le gouvernement, etc.

Assurez-vous que votre stratégie est suffisamment solide

Certaines personnes utilisent un mot de passe commun pour ce qu’ils considèrent être des sites à faible risque. Ils ne définissent des mots de passe uniques que pour les sites qui leur paraissent les plus critiques, comme leur banque. Hélas, cela peut entraîner des problèmes lorsqu’un compte «à faible risque» s’avère plus important que vous ne le pensiez. Des informations personnelles pouvant aider les pirates à violer un compte plus sécurisé pourraient éventuellement être dérobées.

Prenons un exemple simple. Imaginons que votre opérateur de téléphonie mobile utilise un ancien compte de messagerie, que vous utilisez rarement et que vous avez oublié, pour confirmer les commandes. Un pirate informatique peut alors récupérer votre numéro de téléphone et l’utiliser pour se faire passer pour vous sur un autre site. De même, imaginons qu’un pirate informatique accède au site sur lequel vous avez utilisé votre mot de passe commun parce que vous vouliez uniquement effectuer un achat ponctuel et que la société conserver une copie des informations de votre carte de crédit en ligne. Le cyber-criminel pourrait alors obtenir votre mot de passe commun ainsi que les informations de votre carte de crédit. Bon d’accord, imaginons que le site marchand en question ne conserve pas vos informations de carte de crédit. Celles concernant vos achats (nom, prénom, adresse email) peuvent être suffisantes pour qu’un pirate informatique réussisse une attaque de phishing: «Cher Alain, le t-shirt que tu as acheté la semaine dernière provenait d’un lot défectueux. Merci de cliquer sur ce lien pour obtenir un remboursement ».

Utilisez un gestionnaire de mots de passe

Si vous souhaitez créer un mot de passe différent et complexe pour chaque site sur lequel vous vous connectez, vous aurez sûrement beaucoup de mal à le mémoriser. Alors vous pouvez le stocker dans une feuille de calcul ou un document protégé par mot de passe. Encore faut-il vous assurer que la protection du document ne puisse pas être violée. Il est cependant préférable d’utiliser un outil de gestion de mots de passe.

Les gestionnaires de mots de passe sont beaucoup plus qu’un simple outil de stockages des mots de passe. Ils offrent tout un ensemble de fonctionnalités telles que :

  • Protection de tous vos noms d’utilisateur et mots de passe enregistrés protégés par un seul mot de passe (très complexe j’espère) que vous seul connaissez
  • Navigation automatique vers des sites Web et saisie de vos informations dans les champs correspondants
  • Capture automatique des noms d’utilisateur et des mots de passe lorsque vous les entrez ou les modifiez
  • Génération de mots de passe aléatoires complexes correspondant à des critères spécifiés
  • Synchroniser les mots de passe cryptés enregistrés vers un service cloud afin que vous puissiez les utiliser sur de nombreux appareils différents (ordinateur, tablette, téléphone)
  • Prise en charge de plusieurs navigateurs pour vous permettre de vous connecter comme bon vous semble au moment voulu
  • Prise en charge de diverses plates-formes, notamment Windows, Mac, IoS et Android.

Certains gestionnaires de mots de passe sont gratuits, d’autres sont payants. Certains autres ont une version premium et une version gratuite avec des fonctionnalités différentes. Voici une liste de quelques produits que vous devriez considérer:

Une fois que vous aurez commencé à utiliser un gestionnaire de mots de passe, vous verrez par vous-même. Vous vous demanderez comment vous avez réussi à vous en passer jusqu’alors. Cela rend les choses tellement plus faciles. Comme pour tout outil, la configuration et l’habitude de l’interface utilisateur demandent un peu d’effort au début. Ensuite vous pourrez créer des mots de passe longs et complexes pour chaque site et les utiliser pratiquement sans effort.

Utilisez l’authentification à deux facteurs

Les mots de passe longs et complexes aident à sécuriser vos comptes, mais ils ne suffisent pas toujours. Les hackers peuvent utiliser de nombreuses astuces pour obtenir vos mots de passe. En particulier si vous utilisez un réseau WiFi public non sécurisé dans les hôtels, les aéroports ou les cafés, ils peuvent espionner et récupérer vos mots de passe qui sont transmis en clair sur le réseau.

L’authentification à deux facteurs utilise deux manières différentes de prouver qui vous êtes. Elle repose sur deux choses complètement différentes. Il est donc beaucoup plus difficile pour un pirate informatique de prendre le contrôle votre compte. Chaque connexion nécessite l’utilisation de deux éléments distincts parmi les suivants:

  • Quelque chose que vous savez (un mot de passe par exemple)
  • Quelque chose que vous avez (une carte, un badge, un jeton matériel)
  • ou quelque chose que vous êtes (une identification biométrique comme une empreinte digitale par exemple)
  • ou enfin quelque part où vous êtes (l’identité d’un réseau sans fil par exemple ou des coordonnées GPS).

Certains sites Web vous permettent d’utiliser un message texte envoyé sur un téléphone portable ou un code envoyé dans un message électronique en tant que deuxième facteur. C’est notamment le cas pour les banques. Cela vaut mieux que de simplement utiliser un mot de passe mais ce n’est pas aussi sécurisé que d’autres options. En effet, il existe des moyens bien connus d’intercepter les messages électroniques et les messages texte du téléphone. D’ailleurs, considéré comme trop fragile, ce moyen d’authentification utilisé par les banques est en voie d’être interdit en Europe. La commission européenne est  actuellement en train d’élaborer la nouvelle directive DPS2 qui va dans ce sens et s’imposera à toutes les banques et les sites marchands. La meilleure option pour une utilisation personnelle consiste à utiliser une application, telle que Google Authenticator, ou un jeton matériel, tel que Yubikey.

L’authentification à deux facteurs est déjà disponible sur de nombreux sites

Peut-être ne le savez-vous pas mais de nombreux sites et logiciels différents prennent déjà en charge l’authentification à deux facteurs. Par exemple

  • Vous pouvez l’activer sur les sites de médias sociaux tels que Facebook, Twitter et LinkedIn
  • De nombreuses banques et autres sites financiers fournissent un deuxième facteur sous la forme d’un jeton matériel qui génère un code à utiliser lorsque vous vous connectez
  • Certains logiciels prennent en charge deux facteurs. Par exemple, vous pouvez configurer la connexion à deux facteurs pour la plupart des gestionnaires de mots de passe répertoriés ci-dessus.

Utilisez un service de VPN

Vous utilisez un réseau WiFi public, par exemple dans les hôtels, les aéroports ou les cafés? Les pirates informatiques ont alors une bonne occasion de s’attaquer à votre sécurité. Ils peuvent s’y prendre de différentes manières. Notamment, il peuvent mettre en place un faux point d’accès WiFi qui redirige tout le trafic via leurs propres serveurs. Ils ont alors tout loisir de capturer vos informations personnelles.

Le meilleur moyen de vous protéger de ce type d’attaque consiste à utiliser un service VPN. Une fois que vous vous êtes connecté au réseau WiFi et avant de faire quoi que ce soit, le service VPN configure une connexion vérifiée et cryptée entre votre appareil et un serveur VPN. Le serveur VPN achemine ensuite tout votre trafic Internet, de façon cryptée, vers sa destination. Ceci empêche toute personne sur le réseau WiFi local de voir quoi que ce soit sur votre activité Internet ou d’interférer avec celle-ci.

Vous pouvez trouver une comparaison détaillée des produits VPN disponibles sur le site That One Privacy Site.

2. Protégez vos ordinateurs, vos tablettes et vos téléphones

Il est extrêmement facile pour les ordinateurs, les tablettes ou les téléphones d’être infectés par des logiciels malveillants pouvant avoir des conséquences dévastatrices. Un Ransomware peut chiffrer tous vos fichiers et demander de l’argent pour les récupérer. Le cryptojacking peut prendre le contrôle de votre appareil et utiliser toute votre puissance CPU pour générer des bitcoins pour un attaquant. Les virus, les vers et les chevaux de Troie peuvent être utilisés pour prendre complètement le contrôle de votre appareil et l’utiliser pour lancer des attaques sur d’autres ordinateurs ou tout simplement pour vous causer des problèmes.

Parmi les actions que vous pouvez prendre pour vous protéger nous vous proposons les suivantes:

Maintenez les correctifs de sécurité à jour

Ne tardez pas à installer les correctifs du système d’exploitation. Dès que le correctif est disponible et que la connaissance du bug se généralise, il est probable que des cyber-criminels tenteront d’exploiter le bug qu’il corrige. Si vous attendez quelques semaines pour installer le correctif, ils auront tout le temps de vous pirater.

Ne faites pas que patcher votre système d’exploitation. Les applications nécessitent également des correctifs réguliers. Certaines applications les téléchargent automatiquement. Par exemple, des navigateurs Web tels que Chrome et Firefox vous invitent à mettre à jour les versions les plus récentes. Vous devez toutefois surveiller les autres applications et les maintenir à jour manuellement.

Il existe des outils pour vous aider, mais aucun d’eux n’est totalement satisfaisant. Vous pouvez utiliser un produit appelé SUMo, qui identifie les mises à jour dont vous avez besoin et fournit un lien pour les télécharger. Attention cependant, les liens de téléchargement ne sont pas toujours fonctionnels.

Assurez-vous de maintenir votre anti-virus à jour

Vous devez absolument exécuter un logiciel antivirus sur tous vos appareils, le maintenir à jour et effectuer des analyses régulières. Il existe de nombreuses options gratuites, en fonction de la plate-forme que vous utilisez. Par exemple, Sophos propose des produits gratuits pour Windows, Mac et Android. N’hésitez pas à rechercher en ligne des critiques qui seront probablement mises à jour plus fréquemment que ce blog.

Faites attention l’hameçonnage, ne cliquez pas sur des liens

L’hameçonnage (phishing en anglais) est souvent utilisé par les pirates pour vous amener à télécharger et à exécuter des logiciels. Généralement, il se présente sous la forme d’un lien dans un courrier électronique, un message texte ou un message de média social. Mais il peut également être intégré dans un document PDF ou Office. Pour en savoir plus, je vous invite à consulter un précédent article : Phishing – Mode d’emploi.  Auparavant, il était assez facile de reconnaître les attaques de phishing car elles avaient généralement une mauvaise grammaire et des liens qui présentaient des risques évidents à reconnaître. Mais les escrocs deviennent de plus en plus intelligents et certaines de ces attaques sont vraiment difficiles à détecter.

Vous devez être vigilant. Si vous recevez un lien dans un message envoyé par un ami, ne vous contentez pas de cliquer dessus. Réfléchissez bien au type de messages que cet ami vous envoie habituellement. Eventuellement contactez-le et demandez-lui s’il vous a vraiment envoyé le message. Si vous recevez un email d’une banque ou d’une autre institution financière, n’utilisez jamais le lien inclus dans le message pour accéder à votre compte. Ouvrez votre navigateur Web et accédez vous-même au site.

Faites des sauvegardes régulières, spécialement pour les données importantes

Si votre ordinateur ou votre périphérique est compromis, vous pouvez probablement le restaurer dans l’état dans lequel il se trouvait lorsqu’il a quitté l’usine. Cela supprimera tout logiciel malveillant. Cependant, si vos précieuses données ont été compromises, votre seul moyen de récupération consiste à restaurer une sauvegarde. Vous pouvez utiliser un logiciel de sauvegarde comme Acronis TrueImage ou StorageCraft ShadowProtect, mais même si cela n’est pas possible, vous devez stocker des copies des fichiers importants dans un emplacement sûr, même si vous les envoyez régulièrement à votre service de messagerie cloud.

3. Protégez vos objets connectés

De nombreux appareils que nous introduisons aujourd’hui dans nos foyers ont une capacité informatique et une connectivité réseau. Cela inclut

  • les téléviseurs et les différentes éléments que nous leur connectons;
  • haut-parleurs intelligents tels que Amazon Echo ou Google Home;
  • les ampoules intelligentes;
  • systèmes domotiques;
  • les webcams;
  • et des appareils plus exotiques tels que des grille-pain intelligents, des bouilloires et des brosses à dents.

Tous ces appareils sont en réalité des ordinateurs de votre réseau domestique. Ils peuvent donc être attaqués et leur contrôle peut être pris par des pirates. Si vous souhaitez connaître l’ampleur potentielle du problème, consultez Shodan, un moteur de recherche Web qui localise et identifie les périphériques IoT non sécurisés.

Les conseils de ce paragraphe du blog s’appliquent également aux périphériques réseau domestiques tels que les routeurs et les points d’accès sans fil.

Changez les mots de passe par défaut

La première chose, et la plus importante, que vous devriez faire avant de commencer à utiliser tout appareil connecté est de changer les mots de passe par défaut. Choisissez un bon mot de passe et veillez à en conserver une copie, de préférence dans votre gestionnaire de mots de passe.

Mettez à jour le micro-logiciel et les logiciels

Comme tous les autres ordinateurs, ces appareils exécutent des logiciels qui peuvent être compromis. Les fournisseurs publient régulièrement des mises à jour et des correctifs. Vous devez vous assurer que ceux-ci sont installés rapidement.

Désactivez les fonctionnalités que vous n’utilisez pas

De nombreux appareils comportent de nombreuses fonctionnalités qu’on utilise très rarement. Une fois que vous avez identifié les fonctionnalités du périphérique que vous souhaitez utiliser, il est recommandé de désactiver toutes les fonctionnalités que vous n’utilisez pas. Cela réduira la «surface d’attaque» et contribuera à réduire les risques de compromission de votre appareil.

Conclusion

Nous sommes de plus en plus dépendants d’Internet et nos foyers regorgent d’appareils informatiques de plus en plus sophistiqués. Internet et les appareils connectés sont très populaires. Ils contribuent à notre qualité de vie, mais ils comportent des risques. Si vous les utilisez sans penser aux risques, un jour vous serez attaqué et les conséquences pourraient être graves.

Si vous utilisez les contre-mesures disponibles, telles que les bons mots de passe, l’authentification à deux facteurs et les mises à jour de correctifs, vous pouvez alors vous protéger. Vous protègerez ainsi votre maison et votre famille contre les pires effets d’une attaque.

Cet article vous a paru utile? Vous avez d’autres astuces pour vous protéger en ligne? N’hésitez pas à partager vos avis et vos expériences par un commentaire. Si vous avez aimé cet article, vous pouvez aussi nous laisser un « like », cela fait toujours plaisir à notre équipe.

Mois de la cybersécurité 2017 à Abidjan

Mois de la cybersécurité 2017

Le Mois de la cybersécurité (CSM) s’appuie sur le fait qu’Internet est une ressource partagée et que la sécurité des communications sur internet est une responsabilité partagée.

Mois de la cybersécurité 2017

Le Mois de la cybersécurité est une campagne internationale de sensibilisation. Elle a lieu chaque année en Europe, Asie, Amérique du Nord et Australie au mois d’octobre. L’objectif de cette campagne est de sensibiliser le public sur l’importance de la sécurité de l’information. Elle vise à informer les citoyens sur la sécurité lors de l’utilisation d’Internet et sur quelques bonne pratiques simples à suivre pour se protéger en ligne, ainsi que pour protéger leur famille, leur milieu de travail et leurs appareils.

Les thèmes du mois de la cybersécurité 2017

Le mois est divisé en thèmes (un thème par semaine) qui soulignent les différents aspects de la cybersécurité. Cette année, la campagne débutera le 2 octobre pour s’achever le 31 Octobre et sera organisée de la façon suivante :

  • 1ère Thème : du 2 au 6 octobre : Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne
  • 2ème Thème : du 9 au 13 octobre : Soyez vigilants – Protection des renseignements personnels et des données privées
  • 3ème Thème : du 16 au 20 octobre : Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous
  • 4ème Thème : du 23 au 27 octobre : Le citoyen numérique dans un monde de plus en plus numérique

Les évènements planifiés à Abidjan

Afin de soutenir cette campagne internationale de sensibilisation, AB Consulting CI s’associe cette année encore à l’initiative collective. Chaque semaine, des évènements gratuits seront proposés. Mais, cette année, outre les évènements (wébinaires, rencontres), des ressources documentaires seront mises à disposition de tous. Il s’agira de livres blancs, de posters à partager, d’infographies, d’articles sur notre blog et même d’outils de sensibilisation.

Le programme des évènements est d’ores et déjà fixé et nous vous invitons à vous inscrire nombreux et nombreuses pour y assister. C’est évènements sont entièrement gratuits mais le nombre de places est limité. Alors n’attendez pas pour vous inscrire en suivant les liens ci-dessous :

Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne

Nous vous proposons de nous suivre le 25 Octobre 2017 à 11h GMT pour un wébinaire d’une heure, présenté par Alain Bonneaud sur le thème « 10 moyens simples de vous protéger en ligne« . Les participants se verront remettre gratuitement un livre blanc reprenant les 10 conseils pour assurer leur sécurité en ligne. Inscrivez-vous ici.

Soyez vigilants – Protection des renseignements personnels et des données privées

Le 11 Octobre 2017 à 11h GMT, David Henrard, président du Chapitre ISACA de Québec et expert de la protection des renseignements personnels, présentera un wébinaire d’une heure sur le thème « Cybersécurité : La protection des renseignements personnels« . A l’heure où le GDPR entrera bientôt dans sa phase obligatoire, cette présentation fera le point sur les aspects réglementaires pour les entreprises mais aussi sur les précautions à prendre par tout utilisateur d’internet en matière de protection de ses informations personnelles. Inscrivez-vous ici.

Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous

Le 18 Octobre 2017 à 11h GMT, Alain Bonneaud, expert en cybersécurité et en gouvernance des Entreprises présentera un wébinaire d’une heure sur la nécessité, au sein des Entreprises, de sensibiliser l’ensemble du personnel à une obligation de respecter des règles de bases en matière de sécurité. Contrairement à une idée reçue, la sécurité n’est pas l’apanage des informaticiens. Savez-vous que 95% des attaques informatiques réussies passent par des personnels non informaticiens? Que vous soyez chef d’Entreprise ou salarié ou même consultant, cette présentation intitulée « La cybersécurité au travail est l’affaire de tous. Pas seulement des informaticiens! » vous concerne. Insrcivez-vous ici.

Le citoyen numérique dans un monde de plus en plus numérique

Le 27 Octobre 2017, à Abidjan, AB Consulting CI organisera une petit déjeuner pour les directions des Entreprises afin d’échanger avec les Directeurs et Managers sur leurs responsabilités en matière de gestion des risques de cybersécurité et les manières de se protéger dans un monde toujours plus numérique. Cette rencontre sera l’occasion d’échanger avec nos experts sur l’ensemble des aspects relatifs à ces problématiques de plus en plus sensibles. Cette matinée est accessible uniquement sur invitation, le nombre de places étant très limité. N’hésitez pas à nous laisser vos coordonnées si vous souhaitez y participer.

Et bien sûr, n’hésitez pas à nous adresser vos commentaires et à partager d’autres initiatives utiles à tous dans le cadre de cette campagne internationale.

Phishing – Mode d’emploi

AB Consulting vous propose une série d’articles destinés à la sensibilisation sur les risques en matière de sécurité de l’information. Suite à notre précédent article 10 trucs pour reconnaître un mail d’hameçonnage, aujourd’hui, nous allons revisiter la façon de repérer une tentative de phishing en nous concentrant sur une campagne récente ciblant les clients PayPal. Nous allons commencer par souligner les repères visuels qui vous aideront à éviter de devenir une victime, mais nous allons aussi approfondir l’arnaque de façon plus complète afin de vous permettre de comprendre le processus de bout en bout.

phishing - mode d'emploi

PayPal est l’une des marques les plus ciblées par les escrocs dans le cadre de tentatives d’hameçonnage, à l’instar des autres banques et institutions financières dès lors que les cyber-criminels cherchent à dérober de l’argent. Nous allons donc, étudier une séquence complète de tentative d’extorsion d’informations personnelles utilisant Paypal.


Attention, il s’agit d’un cas réel. Les adresses des sites web ainsi que les adresses mail des pirates sont susceptibles d’être toujours actives. N’essayez surtout pas de vous y connecter. Vous risqueriez de devenir vous-même une victime.


Le phishing, c’est quoi?

Le phishing (ou hameçonnage) reste l’une des méthodes les plus faciles et les plus rapides d’extorsion d’informations personnelles. Avec ce type d’attaque, les criminels jouent sur le nombre. Plus le nombre de messages envoyés est important et plus il est probable que quelqu’un tombe dans le piège.

Même si le nombre de victimes est finalement assez faible, le coût d’une campagne d’hameçonnage n’est rien à côté des bénéfices réalisés. Une seule victime suffit souvent à couvrir tous les coûts.

Malheureusement, des dizaines de personnes sont susceptibles d’être victimes de ce type d’arnaque dans une campagne donnée, de sorte que le phishing est devenu un business très rémunérateur pour la plupart des criminels. Chaque campagne est différente, ciblant souvent des renseignements personnels ou des informations financières. Dans ce cas qui nous sert d’exemple, elle cible tout à la fois.

Le phishing, ça commence souvent par un e-mail

Le plus souvent, tout commence par la réception dans votre boîte mail d’un message similaire à celui-ci :

phishing paypal 1/11

Il s’agit d’une copie fidèle d’un véritable message Paypal. Les couleurs, le logo, la mise en forme, tout est identique. L’objectif est de vous faire peur pour vous inciter à cliquer sur le bouton!

Attention à l’adresse mail de l’expéditeur

Vous pouvez remarquer que l’adresse email de l’expéditeur n’est une adresse Paypal. C’est un indice très important qui doit vous alerter :

Phishing Paypal 2/11

Le « via » marquant dans le champ « De: » est significatif de la façon que Google utilise pour vous dire que l’e-mail que vous lisez a été envoyé à partir d’un compte différent de celui qui est indiqué. Si l’email provenait réellement de PayPal, Google ne vous donnerait pas cet indice.

Gmail affiche cette information parce que bon nombre des services qui envoient des e-mails au nom d’autrui ne vérifient pas que le nom que l’expéditeur donné correspond bien à cette adresse e-mail. Google vous met en garde dans son aide, que nous vous invitons à consulter.

Dans ce cas, le criminel utilise un site Web et le serveur de l’hébergeur du site pour vous envoyer le message. Si ce message ne passe pas par Gmail, le simple fait que l’expéditeur n’a pas utilisé une adresse PayPal est le premier indice qui doit vous mettre en garde.

Bien sûr, le sujet de l’e-mail est tout aussi faux. En tentant de souligner un point sensible et d’instiller un faux sentiment d’urgence, et du fait qu’il ne mentionne pas l’identifiant du « compte » en question le pirate augmente les chances que la curiosité vous gagne et que vous ouvriez le message.

Le corps du message – C’est là que tout se passe

Pour un œil non averti, le message vous informe que votre compte PayPal a été limité, et et que vous avez un délai court pour résoudre le problème à l’origine de cette limitation. Encore une fois, l’objectif est d’instiller chez vous un faux sentiment d’urgence. si vous êtes un utilisateur régulier de PayPal, le fait que vous risquiez de perdre l’accès à votre compte est un problème qui peut être potentiellement grave pour vous.

Phishing Paypal 3/11

Le message lui-même se présente comme une mesure de sécurité, et vous informe que votre compte PayPal pourrait être en danger de piratage, ce qui pourrait résulter en un vol de vos avoirs ou son utilisation frauduleuse. Ironique vraiment, puisque le vol de vos informations est l’objectif qui se cache derrière le mail. Une fois encore, les criminels utilisent la peur comme facteur de motivation principal. La solution est simple : allez confirmer vos informations sur votre compte en suivant le lien fourni.

Pour un œil exercé, le message est un faux. Tout d’abord, PayPal utilise toujours le nom de compte enregistré lors de l’adressage de messages, de sorte qu’ils ne vous adressent jamais un e-mail de sécurité en utilisant un nom générique du type « clientèle Paypal ».

Deuxièmement, le message lui-même est une simple image. Le pirate a créé un lien vers son domaine, et utilisé une image à la place d’un lien texte que presque tout le monde utilise sur le Web.

L’utilisation d’une image permet de passer au travers de beaucoup de filtres anti-spam basiques. Le fait que le message a été relayé par un compte hacké qui n’a jamais envoyé de spam précédemment va également aider à éviter la détection.

Mais qu’advient-il si vous cliquez sur le lien?

Il est encore temps de faire marche arrière

Si pour une raison quelconque vous avez cliqué sur le lien, l’URL affichée devrait être une alerte suffisante pour mettre en échec cette tentative de phishing :

Phishing Paypal 4/11

L’adresse du site n’est pas sécurisée, l’accès n’est pas réalisé via HTTPS et le domaine N’EST clairement PAS un domaine contrôlé par PayPal. Vous êtes ici convié à saisir les identifiant /mot de passe de votre compte Paypal sur un site contrôlé par le pirate.


ATTENTION: l’URL indiquée dans cette image était active il y a seulement quelques semaines. N’essayez pas de la visiter. L’hébergeur a pris la la décision de déconnecter ce domaine depuis, mais rien ne garantit que cette URL ne pointe pas vers un nouvel emplacement dans le futur.


Vous avez entré votre identifiant et votre mot de passe?

Entrer votre nom d’utilisateur et mot de passe dans le champ de la diapositive précédente déclenche un certain nombre de contrôles par le script de Phishing créé sur ce domaine. A ce stade, votre nom d’utilisateur et mot de passe PayPal ont été volés. Ce n’est que le début du processus…

Phishing Paypal 5/11

Cet écran vous est familier? C’est normal. La couleur des images, le format des pages du site, et même la barre d’adresse remplie de lettres et de chiffres tout est conçu pour vous tromper et vous faire penser que vous êtes bien sur le site de PayPal. Rappelez-vous que ce n’est pas le cas. Le HTTPS: manquant est une preuve supplémentaire que Paypal n’a rien voir avec cette page.

Maintenant, passons à la partie qui intéresse nos pirates

Une fois l’écran de chargement disparaît, la deuxième partie de l’arnaque peut commencer. A ce stade, votre nom d’utilisateur et mot de passe PayPal ont été récupérés. Cependant il ne faut surtout pas que vous vous arrêtiez là.

Phishing Paypal 6/11

La meilleure façon de continuer à vous sentir menacé c’est de simuler l’incident technique avant de passer à l’étape suivante… Vous êtes donc invité à confirmer vos données de connexion.

Et si vous nous en disiez un peu plus sur vous?

Si vous acceptez et que vous confirmez, vous verrez apparaître cette nouvelle page. Le criminel va devenir capable de construire un profil basé sur vos informations personnelles. Les données recueillies pourront être vendues. Elles pourront aussi être utilisées pour des escroqueries ultérieures y compris pour voler votre identité.

Phishing Paypal 7/11

Le script a besoin d’informations et vous demande d’entrer vos informations personnelles détaillées avant d’en venir à son objectif principal. Le processus n’est pas encore arrivé à son terme.

Les détails de votre carte de paiement

Maintenant, le pirate a obtenu vos informations personnelles. Cette page va tenter d’obtenir des données financières, à savoir les détails de votre carte de crédit.

Phishing Paypal 8/11

Cette page, ainsi que tous les autres, a été conçue pour ressembler fidèlement à une page PayPal. Pour ceux qui savent qu’ils doivent rechercher un cadenas pour s’assurer que la page des données bancaires est bien sécurisée, mais qui ont oublié où ce cadenas doit apparaître sur la page, le message au bas de l’écran peut paraître rassurant. Bien évidemment, RIEN sur cette page N’EST SECURISE.

Mais pourquoi s’arrêter en si bon chemin?

La dernière part d’informations dont le criminel a besoin porte toujours sur vos données bancaires. Ce formulaire a deux fonctions :

  • d’abord il recueille vos données de connexion et votre numéro de compte à votre banque,
  • la deuxième est qu’il permet à l’escroc pour voir si recyclez vos mots de passe.

Phishing Paypal 9/11

S’il s’avère que le mot de passe PayPal est la même que celui permettant l’accès à votre compte bancaire, alors il y a de fortes présomptions que vous utilisiez le même mot de passe partout. Au pire, le criminel peut utiliser cette information pour réaliser d’autres escroqueries. Il pourra alors exploiter les informations recueillies pour accéder à d’autres comptes vous appartenant.

On est presque au bout du processus de phishing

Nous arrivons à la fin du processus. Tout a été conçu pour que vous pensiez avoir affaire à PayPal en essayant d’endormir votre méfiance. Hélas, à ce stade l’intégralité de vos informations bancaires, vos renseignements personnels, les détails de votre carte de crédit, et les données de connexion à votre compte PayPal sont entre les mains des pirates. Il n’y a pas de retour en arrière possible.

Phishing Paypal 10/11

Les choses doivent continuer à avancer pour ne pas éveiller votre méfiance. Cette page restera affichée seulement quelques secondes (une durée insuffisante pour que ayez le temps de cliquer sur l’un des trois boutons) avant que vous ne soyez redirigé vers le dernier écran.

Comme si rien ne s’était passé !

La dernière étape de l’escroquerie vous ramène sur le véritable site de PayPal. Si vous regardez bien la barre d’adresse, vous verrez que l’URL est en HTTPS:. La zone où le cadenas est présent comporte maintenant le nom de la société et apparaît en vert.

Phishing Paypal 11/11

Les précédentes images faisaient toutes partie de l’arnaque. Donc, le fait que le site web légitime PayPal apparaisse à la fin sur l’écran ne signifie absolument rien. Les écrans de saisie ont tous été récupérés et quelque part dans le monde, il y a un criminel qui abuse de vos informations de multiples façons créatives, sans aucun doute.

Quand on évoque l’hameçonnage,il est difficile de s’en protéger en permanence. Cependant, ce n’est pas une tâche impossible. En cas de doute, ne cliquez pas sur les liens ou les pièces jointes dans un courrier électronique. Et surtout n’allez pas visiter le site en question (par exemple PayPal) directement.

Rappelez-vous que le mail est le dernier des moyens de communication que les banques et les organismes financiers utilisent pour communiquer avec vous. En ligne, faites attention à la barre d’adresse. Vérifiez que vous êtes bien en  HTTPS lorsque vous êtes sur le point d’entrer des informations personnelles ou financières dans un formulaire.

Comment s’assurer contre ce type de danger?

Il n’y a pas de solutions technologiques fiables pour vous protéger contre ce type de menaces. C’est de la responsabilité de chacun et de chacune d’assurer la sécurité de l’information. La sécurité de l’information vous concerne tous, tant au niveau personnel qu’au niveau professionnel. Nous vous invitons donc à renforcer votre sensibilisation et celle des employés de votre Organisation. A cet effet, nous proposons des sessions de formations sur ce sujet avec les mesure de préventions associées. Ces mesures sont issues des normes et référentiels de bonnes pratiques tels que ISO 27001, ISO 27002, NIST CSF ou RESILIA.

AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, PECB, EXIN et AXELOS  sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose régulièrement des sessions de sensibilisation tout spécialement adaptées à des cibles spécifiques (dirigeants, personnels des métiers, informaticiens) et animées par un expert du domaine. Ces formations peuvent être délivrées, en Français ou en Anglais. Nous les proposons dans le cadre de nos sessions publiques ou sur mesure en intra-entreprise   :

Sensibilisation à RESILIA (2 formats : 4 heures ou 1 journée)

COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)

Sensibilisation à ISO 27001 / ISO 27002 (1 journée)

Toutes nos formations peuvent également être délivrées pour les informaticiens. Nous formons également les équipes de sécurité et les métiers sur l’ensemble de ces domaines. Nos accréditations nous permettent de délivrer des certifications  reconnues au niveau international.

Pour tout complément d’information ou pour vous abonner à notre newsletter, merci de bien vouloir compléter le formulaire de contact :

Tous les écrans illustrant cet article sont extraits de la revue CSO.

 

 

10 trucs pour reconnaître un mail d’hameçonnage

Chaque jour d’innombrables courriels d’hameçonnage sont envoyés à des victimes sans méfiance dans le monde entier. Certains d’entre eux apparaissent si bizarres qu’ils sont faciles à identifier. A l’inverse,  d’autres peuvent être plus convaincants. Alors, comment faire la différence entre un message de phishing et un message légitime?

10 indices pour reconnaître un mail d'hameçonnage
Crédits : © Weerapat1003

L’hameçonnage est aujourd’hui au coeur de l’ingénierie sociale. Il constitue donc une préoccupation majeure pour de nombreuses sociétés. Dans une récente enquête (Black Hat Attendee Survey réalisée lors de la conférence de Juillet 2015 aux USA) 48% des participants considèrent le l’hameçonnage et les autres risques liés à l’ingénierie sociale comme le 2ème souci le plus important pour eux avec 22% de leur budget informatique en moyenne consacré à ce sujet.

Comment reconnaître une tentative d’hameçonnage?

Malheureusement, il n’y a pas qu’une seule technique qui fonctionnerait dans toutes les situations. Il est, par conséquent, difficile de détecter un email d’hameçonnage. Cependant il existe des indices qui permettent d’éveiller les soupçons. Cet article répertorie 10 d’entre eux.

1. Le message comporte une URL bizarre

Une des premières choses que je vous recommande de vérifier dans un message e-mail suspect est l’intégrité et la cohérence de toutes les URL présentes dans le message. Souvent l’URL dans un message de phishing apparaît parfaitement valable. Toutefois, si vous passez votre souris au dessus de l’URL, vous devriez voir l’adresse réelle du lien hypertexte (au moins dans Outlook). Si l’adresse du lien hypertexte est différente de l’adresse qui est affichée en clair, alors il y a une forte probabilité que le message soit frauduleux ou malveillant.

2. Les URLs contiennent un nom de domaine trompeur

Les pirates qui utilisent la technique de l’hameçonnage pour lancer des escroqueries utilisent le plus souvent ll’ignorance, par leurs victimes, du fonctionnement et des règles de nommage liées à la structure des DNS. La dernière partie d’un nom de domaine est le plus révélateur. Par exemple, le nom de domaine office.microsoft.com serait un domaine enfant de microsoft.com parce microsoft.com apparaît à la fin du nom de domaine complet (sur le côté droit), ce qui peut laisser penser que le domaine appartient bien à Microsoft. Inversement, microsoft.com32.info ne saurait évidemment pas provenir de microsoft.com parce que la référence à microsoft apparaît au début (sur la partie gauche) du lien complet.

ATTENTION, dans la réalité, le domaine microsoft.com32.info existe vraiment. N’essayez donc pas d’y accéder car vous risquez l’installation d’un ransomware qui bloquera votre navigateur web en se faisant passer pour les autorités et vous réclamera le paiement d’une amende.

J’ai vu cette astuce utilisée de nombreuses fois par des artistes de l’hameçonnage pour essayer de convaincre les victimes qu’un message provient bien d’une société comme Microsoft ou Apple. L’artiste du phishing crée simplement un domaine enfant portant le nom de Microsoft, Apple, Windows, ou autre. Le nom de domaine résultant ressemble à ceci: microsoft.com32.info ou encore windows-crash-report.info/Windows/

3. Le mail contient des fautes d’orthographe ou de grammaire

Chaque fois qu’une grande entreprise envoie un message au nom de la société dans son ensemble, le message est généralement vérifié au niveau, entre autres, de l’orthographe, de la grammaire et de la légalité. Donc, si vous recevez un message rempli de fautes de grammaire ou d’orthographe, il a très peu de chance qu’il émane du département juridique d’une grande société.

4. Le message vous demande des informations personnelles

Peu importe à quoi un email officiel pourrait ressembler, c’est toujours un mauvais présage si le message vous demande des renseignements personnels. Votre banque n’a pas besoin de vous pour connaître votre numéro de compte! C’est elle qui vous l’a attribué. De même, une entreprise digne de confiance réclamera jamais  votre mot de passe, votre numéro de carte de crédit, ou la réponse à une question de sécurité par e-mail.

5. L’offre contenue dans le mail est trop belle pour être vraie

Il y a un vieil adage qui dit que si quelque chose semble trop beau pour être vrai, alors ça l’est probablement. Ceci est particulièrement vrai pour les messages électroniques. Si vous recevez un message d’une personne inconnue qui fait de belles promesses, c’est probablement d’une arnaque.

6. Vous n’avez rien demandé

Ce matin encore, j’ai reçu un message m’informant que j’avais gagné le gros lot à la loterie !!!! Le seul problème, c’est que je n’ai acheté aucun billet de loterie. Si vous recevez un message vous informant que vous avez gagné un concours, un lot à loterie ou que sais-je encore sans avoir participé volontairement à quoi que ce soit, vous pouvez parier que le message est une arnaque.

7. On vous demande d’envoyer de l’argent pour payer des frais

Un signe révélateur d’un email d’hameçonnage est qu’on vous finit par vous demander de l’argent. Il est possible qu’on ne vous demande rien dans le message initial. Mais tôt ou tard, les escrocs au phishing vont probablement vous demander de l’argent pour couvrir des frais, taxes, redevances, ou quelque chose de semblable. Si cela se produit, vous pouvez être quasiment certain qu’il s’agit d’une arnaque.

8. Le message vous adresse des menaces irréalistes

Bien que la plupart des escroqueries par phishing tentent de tromper les gens en leur demandant de l’argent ou des informations sensibles en leur promettant des gains d’argent instantanés, certains artistes de l’hameçonnage utilisent l’intimidation pour effrayer les victimes en donnant des informations. Si un message fait des menaces irréalistes, il s’agit probablement d’une arnaque.

Il ya 10 ans, je reçus un message électronique, d’apparence officielle, émanant prétendument de ma banque. Tout dans le message semblait complètement légitime, sauf une chose. Le message prétendait que la sécurité de mon compte avait été compromise et que si je ne remplissais pas un formulaire (sur lequel on me demandait mon numéro de compte) ainsi que deux pièces d’identité avec photo, mon compte serait fermé et mes biens saisis.

Je ne suis pas un avocat, mais je suis sûr qu’il est illégal pour une banque de fermer votre compte et de saisir vos biens simplement parce que vous n’avez pas répondu à un message électronique. De plus, le seul compte que j’ai eu dans cette banque était un crédit pour l’achat d’un véhicule. Il n’y avait pas de dépôt à saisir. Je n’avais aucun compte de dépôt ou d’épargne dans cette banque.

9. Le mail semble émaner d’un service public (impôts, sécurité sociale, …)

Les professionnels de l’hameçonnage qui veulent recourir à l’intimidation ne se présentent pas toujours comme une banque. Parfois, ils vont envoient des messages prétendant provenir d’un organisme public. Le Trésor, la direction des impôts, la police, le tribunal ou toute autre entité susceptible d’effrayer ou de tenter le citoyen moyen respectueux de la loi sont souvent utilisés.

hameçonnage impôts
Exemple de mail d’hameçonnage utilisant les impôts comme argument

Les organismes publics n’utilisent pratiquement jamais l’e-mail comme moyen de contact initial. Cela ne veut pas dire que organismes gouvernementaux et ceux chargés de l’application de la loi n’utilisent jamais d’e-mails. Toutefois, les organismes chargés d’appliquer la loi suivent certains protocoles. Ils ne participent pas à l’extorsion de fonds par-email, du moins selon mon expérience.

10. Il y a quelque chose qui vous semble suspect

Les équipes de sécurité des casinos sont formées à regarder tout ce qui leur semble suspect. L’idée est que si quelque chose vous semble bizarre, il ya probablement une bonne raison à cela. Ce même principe vaut presque toujours pour les e-mails. Si vous recevez un message qui semble suspect, il est généralement dans votre intérêt d’éviter d’agir sur ce message.

Comment éviter que votre personnel se fasse piéger?

Tous les professionnels s’accordent sur un fait. La première chose à faire consiste à mener des campagnes de sensibilisation et de formation du personnel. En effet la sécurité de l’information est une responsabilité collective de tous les employés et pas seulement du personnel informatique ou chargé de la sécurité. C’est donc l’ensemble du personnel qui doit être formé.

Nous vous conseillons également la lecture de notre article : Phishing, mode d’emploi.

Quelles formations choisir?

Il est inutile de dépenser votre argent dans des formations inutiles. Il faut d’abord sensibiliser le personnel non informatique. Cette sensibilisation portera sur l’hameçonnage et les autres aspects de l’ingénierie sociale. Des séances de sensibilisation de quelques heures (4 à 8 heures) sont suffisantes.  Inutile donc de former l’ensemble du personnel sur des formations ISO 27001 Foundation ou ISO 27001 Lead Implémenter… Ces formations sont réservées aux spécialistes de la sécurité impliqués dans l’implémentation d’un système de management de la sécurité, en vue de la certification de l’Entreprise.

Pour le Conseil d’Administration et le Comité de Direction

Pour sensibiliser le Conseil d’Administration et les membres du Comité de Direction sur les risques et leurs responsabilités en matière de sécurité de l’information :

COBIT® 5 pour le Board et les Exécutifs (1 jour)

RESILIA – Sensibilisation  (1 jour)

Introduction à la sécurité du SI basée sur ISO 27001 / ISO 27002 (1 jour)

Pour le personnel non informatique

RESILIA – Sensibilisation (1 jour)

Introduction à la sécurité du SI basée sur ISO 27002 (1 jour)

Pour le personnel du département informatique

ISO 27001 Foundation (3 jours) – Pour les organisations souhaitant implémenter un système de management de la sécurité de l’information basé sur ISO 27001

ISO 27002 Foundation (3 jours) – Bonnes pratiques de mise en oeuvre de la sécurité de l’information dans une entreprise ne cherchant pas la certification ISO 27001

RESILIA Foundation (3 jours) – Bonnes pratiques en matière de cyber-sécurité et de cyber-résilience. S’intègre parfaitement avec ITIL®

Pour le personnel spécialisé en sécurité de l’information

ISO 27001 Practitioner (2 jours) – Pour les personnels chargés de la sécurité dans une organisation implémentant ou ayant implémenté un système de management de la sécurité basé sur ISO 27001

ISO 27002 Advanced (3 jours) – Expertise dans l’application de bonnes pratiques de gestion de la sécurité décrites dans ISO 27002

RESILIA Practitioner (2 jours) – Pour les personnels en charge de mettre en oeuvre et d’appliquer les bonnes pratiques de cyber-sécurité et de cyber-résilience dans l’Entreprise

NIST Implementation based on COBIT® 5

Pour les équipes de contrôle interne ou d’audit interne

ISO 27001 Auditor (2 jours)

Pour les experts et les consultants / auditeurs

ISO 27001 Lead Implementer (5 jours)

ISO 27001 Lead Auditor (5 jours)

CISM – Certified Information Security Manager (4 jours)

CISSP – Certified Information Systems Security Professional (5 jours)

2AB & Associates, spécialiste de la sécurité et de la résilience, et seul Organisme de formation accrédité par les organisations internationales (ISACA, ISO, ANSI, AXELOS, APMG, EXIN, PEOPLECERT, PECB) en Afrique, vous propose toute sa gamme des formations accréditées. Nous pouvons également vous proposer nos services d’implémentation et d’audit sur ces domaines ainsi que sur la Gouvernance et le Management de votre système d’information.

Pour tout complément d’information ou si vous avez été vous-même victime d’une tentative d’hameçonnage (phishing), merci de nous laisser votre commentaire.

Pare-feu humain: votre meilleure protection

Suite à un récent article publié sur ce blog et intitulé Cyber-sécurité – Ingénierie sociale: un risque majeur, je voudrais maintenant prendre un peu de recul et tenter d’explorer ce qui précède généralement une cyber-attaque d’ingénierie sociale réussie.

Dans le cadre d’une discussion récente, un expert en ingénierie sociale m‘affirmait avec force que l’ingénierie sociale est quasiment toujours liée à un besoin de reconnaissance qui peut être satisfait grâce aux réseaux sociaux.

De nombreux articles portent sur les méthodes d’attaque qui donnent finalement lieu à une violation de données, mais négligent de mentionner l’aspect le plus important de ces violations réussies: la reconnaissance.

La quête de reconnaissance comme motivation

Grâce aux médias sociaux et aux progrès technologiques réalisés ces dernières années dans les outils d’analyse de logiciels, il est maintenant facile pour un pirate de pénétrer en profondeur au cœur même de votre organisation, sans jamais avoir à franchir l’enceinte physique des murs de votre bureau.

Nous connaissons tous le vieil adage Une chaîne n’a jamais que la solidité de son maillon le plus faible, qui, lorsqu’on l’applique à la sécurité de l’information pourrait se terminer par c’est à dire le maillon humain.

Cela n’a jamais été plus vrai qu’aujourd’hui.

protégez-vous de l'intérieurUne récente enquête sur la sécurité (réalisée par PwC entre Mars 2014 et Mai 2015) a révélé que 31% de l’ensemble des incidents de sécurité de l’information étaient directement dus au personnel des Entreprises. Cette statistique fait bien sûr référence aux prédateurs, mais aussi aux téméraires et aux dupes. Peu importe, le fait est que les employés sont un vecteur d’attaque efficace pour le cyber-ennemi, et, si la faiblesse a une origine humaine, elle peut rendre les contrôles techniques en place, aussi évolués soient-ils, totalement inefficaces.

Les réseaux sociaux sont le vecteur essentiel grâce auquel les criminels peuvent profiter de cette faiblesse.

Il existe maintenant des outils open-source permettant de retrouver l’ensemble des comptes connectés à un individu sur les réseaux sociaux, plus leurs relations avec les autres, tout cela complété par un ensemble de données personnelles intéressantes, le tout présenté sous des formes faciles à exploiter.

Il existe même un logiciel propriétaire qui reprendra tous les médias sociaux émanant d’un emplacement donné grâce à la géo-localisation.

Tout ceci n’est qu’une entrée en matière avant même que nous ne considérions l’utilisation de sites tels que LinkedIn, sur lesquels sévissent de nombreux pirates avec de faux comptes, certains usurpant même des identités de professionnels de l’industrie de la sécurité – avec un certain succès, avouons-le – aidés et légitimés en cela par tous ceux qui, trop laxistes pour effectuer les vérifications sur le travail qu’ils revendiquent dans leur profil fournissent trop facilement des références. Certains faux comptes peuvent ensuite, forts de leur crédibilité, obtenir des informations privées, des offres d’emploi, des données critiques et même des invitations à dialoguer par téléphone.

La collecte d’informations

Mis à part l’ingénierie sociale s’appuyant les réseaux sociaux, il y a également d’autres moyens très simples de collecter des informations. Je ne vais pas chercher à obtenir de votre part des informations confidentielles qui relèvent de la protection des données, mais des informations qui semblent tout à fait innocentes et sont cependant très utiles à un pirate: qui est actuellement en vacances, quel département est actuellement débordé par manque de personnel, quel employé est mécontent et pour quelle raison, et ainsi de suite…

Et n’imaginez pas un seul instant que votre département informatique est à l’abri.

fuites d'informations sur les réseaux sociauxJ’ai, personnellement, été témoin de cas d’administrateurs IT donnant publiquement, sur des forums de support, des informations techniques détaillées sur leur environnement IT sans savoir qui lisait réellement ces informations, tweetant sur les dernières mises à jour de leurs infrastructures ou de leurs applications, sur les correctifs déployés, les problèmes internes, et même sur des cyber-attaques en cours.

Rien que des morceaux de choix pour les cyber-criminels…

Vous êtes sans doute en train de vous dire, « qu’est-ce que cela a à voir avec ma petite organisation? Aucun criminel ne va dépenser autant d’efforts pour nous cibler alors que nous n’avons aucune information de valeur ».

Détrompez-vous.

Êtes-vous un sous-traitant, un consultant ou un fournisseur dans une relation d’affaires avec une grande organisation? Alors, vous êtes une cible potentielle. Encore plus si cette relation business se situe dans le domaine IT.

La même enquête mentionnée ci-dessus conclut:

« Un nombre croissant de personnes interrogées attribue les incidents de sécurité à des partenaires business ayant un accès à leur réseau et à leurs données ».

Votre organisation pourrait bien être le point d’entrée parfait ouvrant la route vers de plus gros poissons. Vous pourriez être le point de départ idéal pour progresser, en utilisant des relations de confiance existantes, et remonter vers le sommet de la pyramide.

Le pare-feu humain. Que faire?

Nous pouvons prendre modèle sur les procédés appliqués par le renseignement et les militaires, et intégrer la sécurité opérationnelle (OPSEC) à notre activité. Mais non, je ne me prends pas pour James Bond. Attendez un peu !

La page Wiki sur OPSEC n’est pas particulièrement instructive, mais elle a le mérite d’en donner une définition:

La sécurité opérationnelle (OPSEC) est le processus consistant à protéger de petits morceaux  de données susceptibles d’être regroupés pour donner une image plus générale.

OPSEC ou Sécurité opérationnelle (en Français : le renseignement) est une méthode pour se prémunir des risques que peut courir une structure si des informations sensibles sont acquises par les adversaires de cette structure. Elle fut formalisée par une équipe de l’armée américaine pendant la guerre du Viêt Nam.

Nous ne devons pas nécessairement dupliquer ce modèle au sein des Entreprises, mais, au moins, un premier niveau de sensibilisation ne serait pas superflu. Nous devons inculquer cet état d’esprit et la nécessité de prudence au personnel de nos organisations. Ce modèle est utilisé en dehors des limites des murs de l’Entreprise, et donne de bons résultats. L’ennemi auquel vous faites face n’est peut-être pas un geek boutonneux dans sa chambre mais il s’agit peut-être d’un état ou d’une multinationale.

pare-feuNous devons créer une focalisation sur la sécurité opérationnelle qui restera en permanence dans le subconscient des employés, même pendant leur temps libre, agissant sur eux en dehors de l’organisation lorsqu’ils se lâchent sur leur plate-forme de médias sociaux préférés. Nous devons créer une sensibilisation forte sur le fait que chaque élément d’information interne de l’entreprise, ou privée, partagée en ligne peut servir à un adversaire pour reconstituer   notre environnement et, finalement, faciliter son travail de découverte des vecteurs d’attaque.

Nous avons besoin d’avoir des employés fortement sensibilisés à la menace de l’environnement de telle sorte qu’ils ressentent un véritable coup de pied au derrière à chaque fois qu’ils parlent de l’entreprise en ligne.

Malheureusement, c’est bien au-delà de l’ambition de ce court article d’explorer la meilleure façon d’atteindre cet objectif, mais je vous laisse avec cette dernière pensée que j’ai, de nouveau, tirée de l’enquête et qui résume bien la situation actuelle:

« Une autre constatation inquiétante est la diminution constante des programmes de sensibilisation et de formation des employés. »

Il est grand temps de mettre à jour votre pare-feu humain. La technologie ne suffit pas !!

Par contre, ne vous limitez pas à votre personnel informatique, qui est bien sûr critique, mais pensez à sensibiliser l’ensemble du personnel de votre organisation car chaque personne ayant un accès à votre système d’information vous fait courir un risque.

Une bonne approche serait d’organiser des séances de sensibilisation pour les personnels non techniques et des séances plus complètes pour vos personnels informatique.

Voici quelques exemples.

Pour le personnel non technique (membres du Comité de Direction et du Conseil d’Administration inclus):

Sensibilisation à la sécurité du SI basée sur ISO 27001: Découverte, en une journée, des bonnes pratiques pour se protéger contre les menaces en matière de cyber-criminalité.

Sensibilisation à la cyber-résilience basée sur RESILIA : Introduction à la cyber-résilience, ou comment se protéger contre les menaces de sécurité de l’information et, surtout, comment survivre à une cyber-attaque?

COBIT® 5 pour le Board et les Exécutifs : une journée dédiée aux risques en matière de sécurité auxquels font face les Entreprises et quel rôle doivent jouer les conseils d’administration et les comités de direction pour assurer la protection des actifs de l’Entreprise.

Pour le personnel technique du département IT:

ISO 27002 Foundation : Formation de 3 jours conduisant à la certification ISO 27002 Foundation de l’EXIN et couvrant l’ensemble des bonnes pratiques en matière de sécurité de l’information, basées sur ISO 27002.

RESILIA Foundation : cours intensif de trois jours, conduisant à la certification RESILIA Foundation d’AXELOS® et couvrant les méthodes et l‘utilisation de contrôles préventifs, détectifs et correctifs permettant ainsi d‘identifier les risques tout en garantissant un fonctionnement efficace dans un contexte business de plus en plus compétitif. Cette formation est un excellent complément à la certification ITIL® Foundation.

ISO 27001 Foundation : Ce cours intensif de 3 jours permet une bonne compréhension du cadre de gestion de la Sécurité de l‘Information défini par la norme ISO/IEC 27001, des concepts de base, des avantages et des considérations en lien avec l’implémentation d‘un Système de Management de la Sécurité de l‘Information (SMSI). Ce cours, conclu par le passage de le certification ISO 27001 Foundation de l’APMG, est tout particulièrement destiné aux personnels qui ont rôle à jouer dans l’implémentation d’un SMSI au sein de leur organisation.

COBIT® 5 pour la sécurité de l’information : Cette session de deux jours offre une couverture globale et pratique de tous les aspects de COBIT® 5 dans le cadre spécifique de la sécurité de l‘information, y compris ses composantes, les facilitateurs et les conseils de mise en œuvre. Ce cours est tout spécialement destiné aux managers.

Pour les professionnels de la sécurité de votre Entreprise:

ISO 27001 Practitioner : Session pratique de deux jours durant laquelle les participants apprendront, sur la base de scénarios, à implémenter, de façon opérationnelle, un SMSI basé sur les exigences de la norme ISO 27001.

RESILIA Practitioner : Session de deux jours, conclue par le passage de l’examen RESILIA Practitioner d’AXELOS®, au cours de laquelle les participants apprendront comment obtenir le meilleur équilibre entre risques, les coûts, les avantages et la flexibilité au sein d’une organisation en utilisant les bonnes pratiques de cyber-résilience RESILIA.

ISO 27002 Advanced : S‘appuyant sur des études de cas, ce cours intensif de 3 jours permet aux participants de maîtriser les aspects organisationnels et managériaux de la sécurité de l‘information avant de passer, en fin de session, l’examen ISO 27002 Advanced de l’EXIN.

Implementing NIST based on COBIT® 5

COBIT® 5 Security Assessor

ISO 27005 Risk Manager : Ce cours de trois jours permet aux participants de développer la compétence liée à la maîtrise des éléments de gestion des risques de base associés à tous les actifs pertinents pour la sécurité de l’information en utilisant ISO 27005 comme un cadre de référence. Il se conclut par le passage de l’examen de certification ISO 27005 Risk Manager de PECB.

CISM : Le programme CISM® est orienté vers la gouvernance et la gestion de la sécurité de l‘information. Il est reconnu comme un standard pour les professionnels qui conçoivent, créent et mettent en œuvre les programmes de sécurité de l‘information dans les entreprises. Cette formation de quatre jours vous permet de préparer efficacement les passage de l’examen CISM® de l’ISACA.

CRISC : Le programme CRISC™ est orienté vers la gouvernance et la gestion des risques SI. Il est reconnu comme un standard pour les professionnels qui conçoivent, créent et mettent en œuvre les contrôles des risques SI dans les entreprises. Cette formation de 3 jours vous permet de préparer de façon efficace le passage de l’examen CRISC® de l’ISACA.

Pour obtenir plus d’informations, merci de remplir ce formulaire de contact:

Sécurité: Tentative d’hameçonnage sous le nom de Google


Un nouvel exemple de menace sur la sécurité des informations : un email de phishing se présentant comme une suggestion légitime émanant de Google de mise à jour de votre navigateur Google Chrome fait actuellement beaucoup de victimes sur internet.
Les utilisateurs sont invités à cliquer sur un lien pour mettre à jour leur navigateur Chrome.
La prétendue mise à jour s’effectue au travers du lancement d’un exécutable dont le nom ChromeSetup.exe fait penser à une mise à jour officielle de votre navigateur, qui  va crypter des fichiers spécifiques sur l’ordinateur de la victime, puis demander une rançon pour que les données soient décryptées.Mais ce décryptage a un prix: le montant étant est de deux bitcoins (environ $ 450, ou 400 €), et  le délai de paiement de la rançon est limité à 96 heures.L’adresse email de l’expéditeur a été habilement maquillée pour apparaître comme émanant de Google.Les experts mettent en garde les utilisateurs sur le fait que si les chevaux de Troie actifs peuvent être éliminés grâce aux anti-virus du marché, il est beaucoup plus difficile et parfois impossible de récupérer des fichiers chiffrés.Alors que les développements technologiques rapides ont fourni de vastes gisements d’opportunité et des sources potentielles d’efficacité pour les organisations de toutes tailles, ces nouvelles technologies ont également apporté des menaces sans précédent avec elles.

Sensibilisation et formation à la sécurité

La sensibilisation du personnel des entreprises sur les dangers du phishing et de la sécurité de l'information est maintenant une exigence d'affaires critique.

Catégories

Archives

Calendrier

février 2019
L M M J V S D
« Jan    
 123
45678910
11121314151617
18192021222324
25262728  
%d blogueurs aiment cette page :