Archive d’étiquettes pour : protection informatique

Ces derniers mois ont vu le piratage d’institutions publiques se multiplier. Entre autres, ceux de l’EMS de Vessy et de la commune de Rolle ont fait grand bruit. Et généré un vent de panique dans les établissements de santé similaires ou dans d’autres communes. Car les pirates risquent de ne pas en rester là. Et voici pourquoi.

Nombreuses sont les institutions publiques à avoir fait les frais du piratage informatique cette année. Au-delà des exemples mentionnés plus haut, citons aussi le gymnase intercantonal de La Broye. Et ceci malgré les avertissements répétés de la Confédération au travers du Centre National de Cyber-Sécurité (NCSC) pour inciter les organisations de toutes tailles à se protéger. Mais pourquoi les organismes publics semblent plus exposés ?

On peut tout d’abord y voir une certaine naïveté, doublée d’un sentiment de protection naturelle. En effet, de par leur nature, les services publics n’ont pas vocation à avoir une activité lucrative. Il n’y a donc pas réellement de manque à gagner en cas d’interruption informatique, même si l’usage des deniers publics n’est alors pas optimal. Les moyens de pression sont donc moindres. Et ces organismes se sentent, au plus, à l’abri, et en tout cas, pas naturellement dans le radar des hackers de tout poil.

L’exposition publique, nouveau levier du piratage informatique

C’était sans compter sur le changement de stratégie de ces derniers. Alors qu’il y a encore peu, le chantage portait sur la restitution des données, et le manque à gagner qui résultait de leur indisponibilité, il est maintenant coutumier qu’il se base sur l’exposition des données sur le DarkNet. Et pour une institution publique, cela change évidemment la donne. Non seulement parce qu’elles peuvent avoir à stocker et manipuler des données sensibles et/ou personnelles. Mais aussi parce qu’elles sont comptables de la protection de celles-ci.

Les institutions publiques manipulent des données qui peuvent s’avérer plus sensibles que celles d’une entreprise

En filigrane, c’est la pression publique que les pirates souhaitent utiliser comme levier pour arriver à leurs fins. Dans le cas de la commune de Rolle, les données dérobées ont été récupérées grâce à des sauvegardes récentes. Mais l’incident ne s’est pas arrêté là, puisque ces mêmes données ont été mise en vente sur le DarkNet. C’est d’ailleurs par ce biais que l’ampleur de la fuite a été découverte. Les pirates jouent donc en parallèle sur deux des caractéristiques de la sécurité informatique : l’intégrité des données, et leur confidentialité.

Ce chantage à la fuite des données est fatalement devenu prédominant ces derniers mois. Et il est « bien » adapté à l’attaque d’institutions publiques. Si la divulgation des salaires d’une entreprise n’est certes pas un événement très réjouissant, il n’affecte finalement que celle-ci. Dans le cas d’une commune ou d’un établissement d’enseignement, ce sont les données d’autrui qui sont exposées, avec des conséquences désastreuses dont l’étendue peut s’avérer immense.

Changer de stratégie pour parer les nouvelles attaques

A terme, c’est la stratégie de protection des données qui doit donc être revue. Car le seul maintien de leur intégrité ne suffit plus. Il est nécessaire de travailler en amont pour garantir leur confidentialité. Et même si le risque zéro ne peut évidemment pas être garanti, les moyens existent désormais pour assurer un niveau de protection décent sans mettre les budgets dans le rouge. L’important étant de rester au-dessus de la mêlée, et donc de la moyenne. Car ce sont naturellement les infrastructures les plus faibles qui seront visées en premier.

La sécurisation des accès aux données semble être la première pierre de l’édifice. La généralisation de MFA – Multi Factor Authentication – constitue une réponse devenue maintenant classique. Pour rappel, ce deuxième facteur d’authentification permet de se prémunir de la perte ou du vol d’un mot de passe. Si cette technique est maintenant généralisée sur les services Cloud classiques, elle tarde encore à s’imposer dans le monde des petites organisations, car elle requiert soit des moyens importants, soit de transférer ses services dans le Cloud justement. Ce que les institutions publiques peuvent encore avoir de la peine à accepter.

Externaliser ses données peut donner un sentiment de moindre protection contre lequel les institutions publiques doivent lutter

Autre point à considérer : l’accès au réseau où se trouvent les données. Le NCSC conseille à ce titre de renforcer l’accès à distance par réseau privé virtuel (VPN, Virtual Private Network) et de protéger les accès à des bureaux distants (notamment via le protocole RDP, Remote Desktop Protocol, de Microsoft). Comme nous l’avions expliqué il y a quelques mois, la pandémie de Covid-19 a amené les petites organisations à s’adapter, notamment pour faire face au besoin de travail à distance. Et ce sont ces deux technologies qui ont été sollicitées pour y arriver. Avec parfois des trous dans la raquette, que les pirates informatiques exploitent sans hésiter.

Les cyber-attaques de des derniers mois montrent donc que les hackers n’hésitent maintenant plus à s’attaquer à des organisations qui se croyaient protégées. Car la nature même de leurs cibles vont rendre ces attaques d’autant plus efficaces. Si les moyens de protection existent, leur mise en œuvre est, parfois, encore balbutiante. Ce qui laisse le champ libre, probablement pour quelques temps encore, à de nouvelles menaces. Et des gros titres dans la presse.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Le phishing, vous connaissez ? Cette technique, aussi appelée hameçonnage en bon français, est utilisée par les pirates pour voler vos identifiants. Basée sur l’envoi d’email, elle tente de vous mettre en confiance en présentant un environnement connu. Et vous invite à saisir identifiant et mot de passe. Pourtant, identifier ces courriels pirates n’est pas si compliqué. Voici comment procéder.

L’hameçonnage est une technique de piratage qui a malheureusement fait ses preuves. Tout commence généralement par un email que vous recevez un beau matin. S’il arrive là, c’est que votre système de filtrage a été floué (vous en avez un, au fait ?) : c’est rare, mais pas impossible. Et ça n’est pas le propos : le courriel est là, et vous devez décider quoi en faire. Voici quelques clés pour identifier s’il est frauduleux.

La peur et la confiance : les deux leviers du phishing

Pour que vous soyez incité à agir, cet email utilise généralement la peur. Un des meilleurs moyens consiste à agiter un chiffon rouge, comme l’expiration de votre mot de passe et tous les cataclysmes qui vont avec : perte de l’accès à vos données, perte de temps, journée gâchée…

La deuxième phase consiste donc à vous proposer une solution rapide et simple pour éviter tout inconvénient : connectez-vous et validez votre mot de passe. En cliquant sur le lien qui vous est gentiment proposé, vous ouvrez une page qui ne vous est pas méconnue, avec une zone de saisie du nom d’utilisateur et du mot de passe.

Pas de panique, cliquer n’est pas forcément rédhibitoire

Jusqu’à cet instant précis, vous n’êtes pas en danger, mais vous avez simplement réagi à la sollicitation. Ni vos données ni votre ordinateur n’ont été compromis à ce stade. En revanche, si la confiance est telle que vous livrez ces deux informations, le cataclysme – le vrai – pourrait bien se réaliser. Voyons donc comment éviter d’en arriver là.

Encore une fois, je me place dans le cas où l’email n’a pas été filtré par votre service de messagerie. Les services d’email modernes disposent de moyens d’analyse qui leur permettent de trier le bon grain de l’ivraie. Elles ne sont pour autant pas infaillibles, et peuvent présenter soit des faux positifs, soit des faux négatifs. Dans ce dernier cas, vous avez encore quelques cartes en main.

Toute incitation à agir est suspecte

Tout d’abord, un tel email doit attirer votre attention. Comment ? En appliquant un principe simple : toute injonction à agir est suspecte. Que ce soit pour cliquer sur un lien ou ouvrir un attachement. Un « Cliquez ici » devrait vous alerter immédiatement. Et vous amener à supprimer l’email en question ? Pas si vite, si vous avez encore le moindre doute, il s’agit maintenant de valider cette première impression.

Le bouton qui est vous est présenté fièrement en plein milieu d’email est somme toute inoffensif. Il tente de vous emmener sur un site Web, celui qui vous mettra en confiance, afin d’activer la 2nde étape du processus. Mais en le survolant, sans cliquer dessus, il révèlera tous ses secrets. L’adresse de destination apparaît, et vous indique clairement si on essaie de vous duper.

Même si certains font des efforts, de nombreux pirates continuent d’utiliser des liens suspects

Soyons clairs : si l’email semble émis par Microsoft ou Google, le lien vous emmènera vers un nom de domaine exotique, sans aucun lien avec l’émetteur qu’il prétend être. Un exemple ? Voici une adresse dans un email incitant à vous connecter chez Facebook : http://activate.facebook.fblogins.net/88adbao798283o8298398?login.asp

Vous aurez remarqué que l’adresse de ce site, bien que comprenant le mot clé « Facebook », vous emmène sur le nom de domaine fblogins.net. Si la première phase vous a mis en alerte, cette lecture attentive finira de vous convaincre que vous pouvez classer ce courriel verticalement.

Et si malgré tout vous cliquez…

Malgré ces précautions, si vous suivez le lien, on vous demandera alors de vous authentifier. Et si vous allez jusqu’à cette extrémité, évidemment vous ne serez pas connecté au moindre service. Le but ici est de récupérer votre mot de passe, et de le tester sur d’autres services : stockage en ligne, messagerie, etc. Les utilisateurs ont malheureusement tendance à utiliser toujours le même mot de passe un peu partout.

A terme, les pirates cherchent à s’introduire dans votre système informatique ou bloquer vos moyens informatiques. Dans le premier cas, les hackers rechercheront des informations sensibles dans vos données, comme des numéros de carte de crédit. Dans le second, ils tenteront de vous extorquer de l’argent, en cryptant vos fichiers par exemple.

Pour ceux qui sont équipés de double authentification, cette deuxième barrière les protègera. Partiellement en tout cas. Car si votre mot de passe est utilisé dans différents systèmes, et que certains d’entre eux n’ont pas cette double protection, alors la porte sera ouverte. D’où l’importance de garder l’œil ouvert, de faire tourner ses mots de passe, et de les diversifier. A bon entendeur.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Selon une étude récente, la sécurité informatique sera l’une des deux priorités des PME en 2021. Sujet récurrent, et mal nécessaire, la protection des infrastructures IT est le parent pauvre des petites entreprises. Est-ce que cette année marquera un tournant en la matière ? Probablement, et voici pourquoi.

Si la sécurité informatique est mal aimée des PME, les derniers mois auront au moins permis de montrer leur défaut en la matière. Les hackers de tout poil ne s’y sont pas trompés, multipliant les attaques, vers les grands groupes, ou encore les institutions publiques comme les plus petites des entreprises. La mise en place – parfois anarchique – du télétravail ou de l’accès à distance aux réseaux des entreprises a ouvert quelques brèches, rapidement exploitées.

Alors oui, la sécurité est contraignante. Et oui, il est assez pratique de noter ses mots de passe sur un Post-It ou de mettre en place des outils de partage d’écran grand public pour retrouver son PC professionnel depuis la maison en quelques clics. Mais à quel prix ? Les conséquences peuvent être dramatiques. Les dernières statistiques montrent qu’une entreprise sur trois dans le monde à subi une attaque d’hameçonnage de mot de passe.

Il aura donc fallu une pandémie – rien que ça – pour donner un coup de projecteur sur les trous béants laissés par plusieurs années, voire décennies, de disette dans le domaine de la protection informatique. 2021 marquera donc un virage dans le bon sens, et pour trois bonnes raisons.

Parce que le télétravail a ouvert des failles

Lorsque la Confédération a décidé le semi-confinement du pays, elle a pris tout le monde au dépourvu. Y compris les PME. Cette décision instituait indirectement le home office comme une nouvelle règle, qui s’imposait alors aux petits patrons. Tous ont dû s’y mettre, y compris les plus récalcitrants. Pour ces derniers, qui n’avaient pas envisagé ce mode de travail, le chantier était vaste. Et le temps à disposition inversement proportionnel.

Il a donc fallu faire, au mieux, des compromis, et au pire des compromissions. Evidemment, la sécurité des données s’est retrouvée sacrifiée sur l’autel de la réactivité. Et le bricolage est devenu la norme dans les PME qui ne disposaient pas déjà des outils adéquats. Les comptes de messagerie se sont donc retrouvés configurés sans contrôle sur des appareils personnels, et les données se sont échangées à grands coups de clés USB, de WeTransfer et de copies locales.

Avec la généralisation du télétravail, le volume des échanges sur le Cloud a explosé. Certains acteurs en ont tiré profit pour capter des données à moindre coût.

Quel problème me direz-vous ? Si l’infrastructure IT d’une PME dispose d’un minimum de contrôle, il n’en va pas de même des appareils privés. Qui s’assure à la maison que votre antivirus est bien à jour, ou même que vous en disposiez d’un ? Ou encore que vos mots de passe sont changés régulièrement ? La récente divulgation d’une liste de plusieurs milliards de mots de passe compromis montre à quel point les appareils personnels sont vulnérables, et dans quelle mesure les connecter au bureau revient à faire entrer le loup dans la bergerie. Les pirates l’ont bien compris.

Parce que les pirates sont sur la brèche

Ceux-ci se sont naturellement glissés dans la faille pour profiter de l’aubaine. Imaginez donc : des millions de PME, bien plus concernées par leur survie que par la mise en place académique d’outils de travail à distance, représentaient autant de proies faciles. L’occasion était trop belle. Et on a donc vu dans la presse des exemples quasi-quotidiens d’entreprises piratées, qui avaient vu leurs données cryptées ou leurs comptes dérobés. Au premier rang desquels les organismes de santé.

Si des cas de piratage – ou de négligence, au choix – remontent régulièrement à la surface, leur multiplication pendant la pandémie était significative. Et les utilisateurs déjà sous pression, comme ceux des services hospitaliers par exemple, se sont retrouvés évidemment dans l’œil du cyclone du hacking informatique. Quoi de plus attractif en effet qu’une organisation débordée, qui ne pourra pas se passer longtemps de son système informatique ?

Payer la rançon pour retrouver ses données est équivalent à un coup dés : il n’y a aucune garantie que cela aboutisse

Beaucoup ont payé les rançons demandées pour libérer leurs précieux fichiers. Mais tous n’ont pas pu les récupérer. Car en la matière, la règle ne change pas : seule une minorité des données dérobées est rendue à son propriétaire. La règle qui prévaut en la matière est simple : ne pas compter sur une telle récupération. Et donc mettre en place des mécanismes qui permettront plutôt de faire face au vol de données, quitte à perdre quelques jours de travail.

Parce que le Cloud s’est généralisé

Facteur aggravant, l’adoption massive du Cloud dans les PME a agi comme un effet cumulatif sur les risques que les PME font porter à leurs données. Là encore, une mise en place anarchique et sans préparation de ces outils aboutit fatalement à une exposition forte de ses données. Un bon exemple ? DropBox bien sûr. Cet outil bien pratique permet de stocker dans le Cloud des fichiers en pagaille, et de les partager avec collègues et partenaires.

Les plus attentifs d’entre vous auront parcouru les petites lignes des conditions générales de la version gratuite de l’outil. Et ils auront remarqué que le gratuit a bel et bien un coût. En l’occurrence, celui de la propriété de vos données. Vous avez bien lu : l’usage de la version à zéro franc de DropBox vous engage à céder le droit de propriété des tous les fichiers que vous y déposerez. Même après suppression. Une vraie manne pour ce service qui, à n’en pas douter, a pu capter depuis 12 mois des masses de données, dont certaines sont confidentielles.

Le Cloud en tant que tel n’est pas dangereux. Au contraire, il offre un niveau de sécurité informatique bien plus important que ce que la PME lambda ne pourra jamais s’offrir sur ses propres serveurs. Mais une exploitation hasardeuse vous mènera immanquablement dans le mur. Ces outils ne sont pas miraculeux, ils sont tout simplement puissants. Et requièrent encore plus d’expertise pour en tirer le meilleur profit. Pandémie ou pas.

Emmanuel Dardaine

emmanuel dardaine expert cloud