La créativité est l’arme secrète des cybercriminels.
Les cybercriminels développent chaque année plus de tactiques innovantes utilisées pour obtenir des informations sur votre entreprise par le biais de votre personnel ou de vos collègues. Jetons un coup d’œil aux méthodes les plus répandues, et que chacun des salariés de votre entreprise devraient connaître.
Phishing / Ransomware
La majorité des attaques ciblées sont diffusées via des e-mails adressés aux salariés. Les hackers essayent de les piéger en leur faisant ouvrir des e-mails de phishing/hameçonnage dans le but de les faire cliquer sur des liens dangereux.
En pratique, l’utilisateur reçoit un email avec un contenu qui en apparence émane d’une institution telle qu’une banque, les impôts, la CAF ou encore un fournisseur d’accès à Internet. L’utilisateur est invité à effectuer une opération de type changement de mot de passe ou encore activation de compte, mais le site web vers lequel il est dirigé est en fait une copie frauduleuse du site institutionnel. Le salarié néophyte en informatique ne sait pas faire la différence entre un email frauduleux et une communication officielle et communiquera volontairement les informations requises. Les banques, les boutiques en ligne et les systèmes de paiement restent les organisations les plus ciblées par ce type d’attaque.
Dites à vos salariés d’être en alerte et qu’ils se posent certaines questions, telles que :
- Est-ce que l’e-mail indique une URL mais se réfère en réalité à une autre ?
- Est-ce que le message demande des informations personnelles ?
- Est-ce que les informations de l’en-tête correspondent bien à l’expéditeur ?
En étant en alerte et en contactant le service informatique, les salariés peuvent arrêter des menaces préjudiciables avant qu’elles ne franchissent le seuil de votre entreprise
Récupération de mots de passe (trop simples)
Environ 90 %1 des mots de passe sont vulnérables face au piratage. Beaucoup de gens utilisent des mots de passe trop simples, en pensant que personne n’essaiera d’accéder à leur compte, mais ils se trompent. N’importe quel compte peut être piraté, même si son titulaire pense ne pas représenter un intérêt suffisant pour être ciblé.
Les cybercriminels utilisent des ordinateurs pour tenter de deviner votre mot de passe à raison de milliers de tentatives par minute. Les programmes qui devinent les mots de passe utilisent des dictionnaires prêts à l’emploi et des combinaisons simples de lettres et de chiffres. Les mots de passe longs constitués d’une combinaison de nombres, de symboles et de lettres majuscules et minuscules sont plus difficiles à deviner !
Une fois qu’une personne mal intentionnée détient votre mot de passe, elle peut :
- Emprunter de l’argent auprès de vos amis en votre nom
- Envoyer des malwares à vos contacts
- Publier quelque chose de douteux sur votre page
- Ou même retirer de l’argent de votre compte bancaire.
Il est donc important de savoir comment utiliser les mots de passe de façon adéquate : il doit être suffisamment complexe et à usage unique.
La confiance est la base sur laquelle l’ingénierie sociale est fondée. Elle piège les salariés en les poussant à rompre les procédures normales de sécurité, une méthode efficace qui s’est avéré la cause principale de nombreuses attaques de grandes entreprises. Beaucoup de salariés partent du principe qu’ils ne seront jamais la cible de telles attaques.
En effet, les salariés se sentent en confiance au moment d’utiliser l’équipement de leur entreprise (c’est à l’entreprise de se doter de solutions de sécurité robustes).
L’ingénierie sociale est un type d’atteinte à la sécurité que les escrocs utilisent pour inciter des personnes à leur communiquer des données permettant d’accéder à des informations sensibles. Les auteurs d’attaques d’ingénierie sociale ont le même objectif que les pirates, mais leur action consiste à tromper leurs victimes plutôt qu’à pénétrer les réseaux. Parfois, les escrocs parviennent à obtenir les informations recherchées en les demandant tout simplement à leurs victimes.
Les infections de sites Internet en masse sont devenues l’un des plus grands problèmes auxquels le secteur informatique doit faire face.
Les sites renferment des scripts malveillants qui ont été injectés dans le code PHP, JS ou HTML d’origine par les auteurs des attaques. En règle générale, ces scripts redirigent les visiteurs du site vers des URL malveillantes où des programmes malveillants attendent d’être téléchargés et exécutés sur l’ordinateur de la victime. Dans la majorité des cas, la victime ne remarque rien de l’exécution du programme malveillant et ne voit qu’un site Internet qui semble fonctionner normalement.
L’idée même de l’attaque de point d’eau est de trouver et d’infecter les sites que les salariés visitent le plus souvent. Lorsqu’un salarié ouvre un site infecté, le code injecté dans le corps de la page redirige le navigateur vers un site malveillant contenant un kit d’Exploits. La plupart des salariés sont surpris d’apprendre qu’il ne suffit que d’une simple visite sur un site pour être infectés. Cliquer sur « Autoriser » ou « Confirmer » exécute souvent le code malveillant et dissimule l’attaque à l’équipe de sécurité informatique
La plupart des entreprises sont maintenant équipées d’une solution d’automatisation de l’installation des mises à jour Microsoft Windows, avec un système de type WSUS. Cependant peu d’entreprises disposent de solutions de mises à jour des applications tierces telles qu’Adobe Reader, Flash Player, Java ou encore des navigateurs tiers. Or des failles de sécurité sont fréquemment découvertes dans ces applications et les vulnérabilités sont exploitées par des codes malveillants. Lorsque l’utilisateur dispose de tous les privilèges sur son système, ce qui en soit est déjà un problème de sécurité, on ne peut pas compter sur lui pour mettre à jour ces applications tierces.
L’inaction de l’utilisateur face aux mises à jour proposées est exploitée comme faiblesse pour que les auteurs de codes malveillants parviennent à leur objectif.
Les pirates profitent du fait que les utilisateurs ne désinstallent pas les applications qui ne sont plus supportées, donc plus mises à jour mais qui fonctionnent toujours.
Le WiFi gratuit est un point chaud pour les criminels.
Les escrocs peuvent pirater les connexions WiFi à accès ouvert et espionner vos activités en ligne. Si vous ne prenez pas des précautions en matière de sécurité, les criminels peuvent voir vos noms d’utilisateurs, mots de passe, courriels et d’autres informations confidentielles.
Avec la mise à disposition de WiFi gratuit dans les lieux publics, les salariés sont tentés d’envoyer des emails professionnels et de partager des informations sensibles.
Si l’utilisation d’un WIFI gratuit est indispensable, veillez à utiliser un VPN. Il vous
permettra de chiffrer le trafic entre votre appareil et les sites que vous visiterez.
Souvent, le salarié connecte ses périphériques personnels sur diverses machines en dehors de l’entreprise, ces ordinateurs pouvant être infectés par des codes malveillants développés pour se propager automatiquement sur tous nouveaux périphériques amovibles connectés.
Lors de la connexion du périphérique infecté sur le réseau de l’entreprise, le malware infecte automatiquement la machine hôte et a ensuite la possibilité de se propager sur les autres machines
Le virus Stuxnet s’est initialement introduit dans des installations
nucléaires iraniennes via une clé USB, avant de se propager dans des installations russes de la
même manière. Des programmes malveillants ont même été détectés dans une station spatiale
internationale.
Kido, autrement connu sous les noms de Conficker et Downadup est un malware qui exploitait
notamment les périphériques amovibles pour se propager. Il a causé des dégâts importants en
entreprise et persiste encore dans certaines d’entre elles à ce jour.
Le faux ordre de virement (FOVI) est devenu, l’arnaque la plus redoutable en France pour les entreprises. L’art du FOVI consiste à abuser un salarié ou un assistant comptable afin d’exiger un virement bancaire.
Afin de rassurer les entreprises ciblées, les voleurs créent un compte bancaire sur le site internet La Poste afin d’utiliser le service payant de la lettre recommandée.
Ce compte, créé sous une fausse identité, leur permet de régler des envois postaux et ainsi faire parvenir aux entreprises ciblées un courrier matérialisé. Les escrocs n’hésitent pas à créer une véritable structure juridique afin de paraître plus crédibles, tel a été le cas pour l’attaque sur Google.