Archives par mot-clé : cybersécurité

Se protéger des ransomwares

L’utilisateur, cible privilégiée du cybercriminel

Les cybercriminels sont souvent vus comme des génies de l’informatique et qui grâce à du matos informatique à la pointe des nouvelles technologies sont prêt à partir à l’assaut de n’importe quel système informatique.

Eh bien, sachez que c’est loin d’être le cas…

Honnêtement pourquoi se compliquer la vie à pirater un système informatique hyper-sécurisé alors qu’il suffit juste… de vous demander de le faire?

Les cybercriminels vont tout simplement vous faire faire le sale boulot. Comment? En abusant de votre confiance, comme n’importe quel escroc.

 

Exemple? Le phishing.

C’est une technique où les pirates vont se faire passer pour quelqu’un d’autre : une entreprise, une organisation ou un collègue par exemple. De sorte à ce que vous ayez assez confiance pour faire exécuter le logiciel malveillant à votre insu. Le phishing peut prendre diverses formes : email, chat ou site web par exemple.

Et vous vous retrouvez alors vite infecté en ayant téléchargé un fichier ou en cliquant sur un lien.

 

 

Définition du ransomware

 

Et ça c’est la cyberescroquerie du moment, c’est le ransomware. Le Ransomware, c’est un logiciel malveillant qui après avoir infecté votre machine va “chiffrer” les données. Le ransomware bloque alors l’accès à vos données et même parfois à tout votre système.

Et ce sujet est à prendre au sérieux. Parce que la plupart des Ransomware utilise l’algorithme AES pour chiffrer les fichiers. En gros cela veut dire que une fois infecté c’est trèèèès difficile de récupérer vos données  (même pour des experts en informatique).

En échange de leur libération, les criminels exigent le paiement d’une rançon, et avec en général, une préférence pour le bitcoin pour éviter de se faire prendre.

 

 

Les cyber-escroqueries

Et le meilleur moyen de se défendre d’un ransomware est encore de ne pas se faire infecter. Et c’est pour ça qu’on va voir les procédés les plus courants de cyber-escroqueries

Le premier procédé est l’envoi d’un mail :

Dans cet exemple,  l’email paraît venir d’un interlocuteur qui demande de « voir la facture jointe » en cliquant sur le document attaché. Ce message semble inoffensif. Mais l’ouvrir provoquera la contamination immédiate.

N’ouvrez donc pas les PJ d’expéditeurs inconnus.

Autre variante d’escroquerie par email, voici un message qui semble venir d’OVH mais qui cette fois incite à cliquer sur un lien url. Et Il suffit parfois juste d’ouvrir la page pour se faire infecter.

A noter que dans ce cas, en survolant le lien url avec la souris SANS cliquer, on constate qu’il dirige sur un site malveillant car on voit le lien url en bas de la page. En plus l’adresse mail étrange de l’expéditeur doit attirer votre vigilance

Autre technique : le Site web malicieux

Les sites web malicieux sont conçus pour ressembler aux pages d’un site légitime. Les cybercriminels veulent des informations personnelles (identifiants, mots de passe et informations bancaires) ou vous faire télécharger des logiciels malveillants. Dans ce cas, faites attentions à l’adresse du site web.

Enfin, on a la fausse fenêtre pop-up.

Cette dernière indique généralement que l’ordinateur a été bloqué par une institution, comme la police nationale ici, pour éviter l’accès à des contenus illégaux. Dans cette fenêtre, il est demandé de cliquer sur un lien pour payer une fausse amende, ce qu’il ne faut jamais faire évidemment.

 

Bonnes pratiques

Et voici les bonnes pratiques pour repérer et se prémunir de ces cyber-escroqueries :

  • Faites attention aux noms d’expéditeurs avec des adresses email mal orthographiées ou louches,
  • Attention aussi aux liens url fausses mais volontairement similaires à une marque connue.
  • Ensuite tout email, site web ou pop-up qui demandent de télécharger un élément, de donner des informations personnelles ou de payer directement doit attirer votre vigilance
  • En cas de doute, ne cliquez jamais sur les PJ de ces mails ni sur les liens url et ne leur livrez aucune information.

Ce type d’attaque peut être très difficile à détecter, même avec une grande vigilance. C’est pourquoi il est important de sécuriser votre poste de travail :

  • D’abord avoir un antivirus parce qu’ils peuvent contenir des fonctionnalités anti-ransomware bloquant les activités jugées suspicieuses.
  • Ensuite, vos logiciels doivent être mis à jour dès que possible. Le but est d’éviter que les cybercriminels exploitent d’anciennes failles, déjà réparé par les éditeurs de logiciels via une mise à jour
  • Enfin, Il est primordial d’avoir une sauvegarde hors ligne de vos données. Hors ligne pour que le ransowmare ne puisse pas se propager à votre sauvegarde.

Comme ça, si vous vous faites infecter par un ransomware, vous faites un nettoyage, au pire un reformatage, de votre PC, et ensuite une restauration de vos données à partir de votre sauvegarde.

 

Pour finir un grand merci à Quantic support pour cette collaboration.

En quelques mots :

  • Quantic support est une société qui accompagne les entreprises dans la transformation digitale de leurs métiers.
  • Quantic support favorise l’adoption des nouveaux usages numériques en mettant à disposition des utilisateurs des espaces de travail connectés, sécurisés et accessible de n’importe où, en s’appuyant sur l’offre Microsoft office 365.
  • L’offre Quantic support, c’est aussi le support aux utilisateurs en français comme en anglais, le management des infrastructures et la mobilité.

La DMZ pour les nuls

Le terme DMZ vient de l’anglais “DeMilitarized Zone” et veut dire zone démilitarisée en francais. En informatique, la DMZ est un sous-réseau isolé séparant le réseau local (le LAN donc) et un réseau considéré comme moins sécurisé, comme Internet par exemple. Et cette séparation est faite par un firewall.

La DMZ héberge justement des machines du réseau interne qui ont besoin d’être accessibles depuis l’extérieur, c’est le cas notamment lorsqu’ils fournissent un service fourni aux utilisateurs sur Internet (serveur web, un serveur de messagerie, proxy, RP, un serveur FTP public, DNS, VoIP, etc)

La DMZ joue le rôle de « zone tampon » entre le réseau à protéger et un réseau hostile. Les serveurs du LAN ne sont jamais exposés directement à Internet. Et à l’inverse, les personnes de l’extérieur n’ont jamais à accéder directement à des ressources du LAN. Tout doit d’abord transiter par la DMZ

En terme de sécurité cela veut aussi dire qu’en cas de compromission d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la DMZ et non au réseau local.

A noter qu’il est aussi tout à fait possible de mettre en place des DMZ en interne afin de cloisonner le réseau interne selon différents niveaux de protection

En termes d’architecture, Il existe plusieurs façons de concevoir un réseau avec DMZ.

La première méthode est d’utiliser Un seul pare-feu avec trois interfaces réseau à créer. Le réseau externe est formé sur la première interface, entre le FAI et le firewall. Le réseau interne est formé à partir de la deuxième interface réseau. Et la DMZ à partir de la troisième interface. Et les différentes règles de firewall vont contrôler le trafic entre lnternet et la DMZ, et entre le LAN et la DMZ. Le principal inconvénient de cette architecture est que si cet unique firewall est compromis, cette architecture tombe.

Une architecture plus sécurisée consiste simplement à utiliser deux firewalls pour créer une DMZ. Le premier laisse passer uniquement le trafic vers la DMZ. Le second n’autorise que le trafic entre la DMZ et le réseau interne. Cette configuration est considérée comme mieux sécurisée, puisqu’un pirate devra compromettre deux machines pour accéder au LAN interne.

Pour aller plus loin sur ce sujet, je vous conseille fortement d’aller voir ma vidéo sur le firewall

IDS et IDS : comprendre l’essentiel

Dans cette vidéo, je vais vous expliquer ce qu’est un IDS et un IPS. Qu’est ce qu’un IDS? Qu’est ce qu’un IPS? Quels sont leurs rôles, leurs points communs et leurs différences ?

Intrusion Detection System

IDS pour Intrusion Detection System veut dire système de détection d’intrusion en français. Il s’agit d’un mécanisme qui a pour objectif de re pérer tout type de trafic potentiellement malveillant (par exemple les tentatives d’intrusion, attaques virales, débits trop importants et trafic sortant de l’ordinaire).

Pour résumer, un IDS va détecter une activité suspecte en s’appuyant sur une norme. Si les activités s’éloignent de la norme, l’IDS lance une alerte. Et l’IDS remplit cet objectif en surveillant les activités d’une cible (qui peut être un réseau ou des machines hôtes).

En fonction de la cible on aura 2 types d’IDS différents :

  • le premier est le Network IDS ou l’IDS réseau
  • Les NIDS (Network Intrusion Detection System), surveillent l’état de la sécurité du du réseau.
Network IDS

Le NIDS est situé sur un réseau isolé et ne voit qu’une copie du trafic. Et quand je dis trafic je parle des paquets qui circulent sur le réseau. Et en cas, de détection d’une menace, le NIDS peut lever des alertes et ordonner les actions pour le blocage d’un flux

En terme d’architecture,  Le NIDS est situé sur un réseau isolé et analyse une copie du trafic du réseau à surveiller, entre ses points d’entrées et les terminaux du réseau. A noter qu’Il est entièrement passif et n’est pas capable de dialoguer avec le réseau surveillé.

Host IDS

Il y a ensuite les Host IDS ou  IDS système. Les HIDS (Host Intrusion Detection System), surveillent l’état de la sécurité des hôtes selon différents critères :

  • Activité de la machine (comme par exemple le nombre et listes de processus, le nombre d’utilisateurs, ressources consommées, etc.)
  • Le second critère de surveillance est l’Activité de l’utilisateur sur la machine : horaires et durée des connexions, commandes utilisées, programmes activés, etc
  • Et évidemment le HIDS analyse toute Activité potentielle liée à l’activité d’un ver, d’un virus ou cheval de Troie

En terme d’architecture, le HIDS master récupère les informations remontées par une machine sur laquelle un client HIDS est installé. Ensuite, le HIDS master va analyser ces informations sur le fonctionnement et l’état des machines  afin de détecter les menaces.

Intrusion Prevention System

Passons maintenant à l’IPS. L’IPS (pour Intrusion Prevention System) veut dire système de prévention d’intrusion en français.

Il est situé en coupure, c’est à dire qu’il n’analyse pas une copie des données comme l’IDS, mais va analyser les données elles-mêmes. Ce qui veut dire que Les données réelles passent à travers l’IPS. L’IPS va réagir en temps réel en stoppant le trafic suspect qu’il reconnaît, notamment en bloquant les ports.

Comme l’IDS, il existe 2 principaux types d’IPS

Network Intrusion Prevention System

Les NIPS (network intrusion prevention system) sont des IPS permettant de surveiller le trafic réseau.

Le NIPS analyse le trafic réseau en s’appuyant sur une base de données de signatures d’attaque (comme un anti virus) et dès qu’il reconnait une signature, il en déduit que c’est une attaque.

Dans ce cas il peut prendre des mesures pour bloquer l’attaque avant qu’elle n’ait commencé en bloquant le flux malveillant.

Host Intrusion Prevention System

Les HIPS (host intrusion prevention system) sont des IPS permettant de suivre l’état de sécurité des machines hôtes. Le HIPS réalise cela à travers la surveillance des différentes éléments de la machine : les processus, les drivers, les .dll etc.

En cas de détection d’un processus suspect, le HIPS peut le stopper pour mettre fin à l’attaque.

Il y a deux inconvénients majeurs concernant les IPS :

  • Comme les IDS, les IPS ne sont pas fiables à 100 % mais la le principal risque c’est de bloquer du trafic légitime en cas d’erreur d’analyse
  • Le deuxième inconvénient de l’IPS est que, il est donc vulnérable et attaquable puisqu’il est en coupure sur le réseau.

Un flux malveillant peut exploiter une faille afin de prendre le contrôle sur l’IPS et désactiver ses fonctions de sécurité, et même pour éventuellement s’en servir pour mener de nouvelles attaques

Firewall et IPS réseau

Dernière chose parce qu’il y a beaucoup de confusion dessus, c’est la différence entre un firewall et un IPS réseau

Le rôle d’un IPS reseau est de détecter des attaques sur un réseau à partir d’une base de données de signatures d’attaque (comme un anti virus) et de les bloquer si nécessaire.

Le rôle d’un firewall est différent puisque son but est de faire du filtrage d’accès en définissant les communications autorisés ou interdites.

Par exemple :

  • Les accès sortant directes en HTTP vers l’extérieur du réseau sont interdits et ces flux doivent donc passer par le proxy de l’entreprise avant d’aller vers l’exterieur.
  • Ou alors Les accès entrants en tel protocol applicatif sont interdits sauf s’ils proviennent de cette machine externe spécifique à destination de cette machine interne spécifique, etc.

Mais c’est vrai que certains firewalls embarque des fonctions IPS avec eux d’où les confusions. Ce sont des fonctions complémentaires

D’ailleurs sachez que j’ai fait une vidéo dédiée sur les firewalls si vous voulez en savoir plus!

Cybersécurité : La négligence de Trump critiquée

Trump, dessin, caricature, cybersécurité, firewall

 

7 membres sur les 27 du NIAC (National Infrastructure Advisory Council), en charge de conseiller Donald Trump sur les questions de cybersécurité, ont donnés leur démission dans une lettre commune. Ils ont dénoncés notamment la négligence et l’indifférence de Trump pour la sécurité informatique des Etats-Unis.

Source : Le Monde

Remarque : si vous ne savez pas ce qu’est un firewall, je vous invite à regarder cette vidéo