Recrudescence des extorsions en ligne : comment s’en prémunir ?

La société TrendMicro vient de sortir son rapport 2016 au titre éloquent : « une année record pour les menaces contre l’entreprise ». Avec plus de 200 nouvelles « familles » de rançongiciels apparues pour cette seule année, les coûts pour les entreprises ont été significatifs mais, comme souvent, les noms de domaine ont aussi été utilisés comme vecteurs d’attaque. Revue de détail, avec des pistes pour mieux défendre l’entreprise entreprise face à ces risques.

Yahoo.com… Ou le danger d’un e-mail gratuit et générique accentué par une mauvaise communication.

Ce sont plus d’un milliard de comptes du service américain qui ont été attaqués en 2013. Yahoo n’a communiqué sur le sujet qu’en décembre 2016, soit trois mois après une autre attaque qui avait déjà mis en cause 500 000 utilisateurs. L’absence de communication de la part du groupe au départ et ses explications peu convaincantes ensuite ont pesé lourd dans les négociations pour le rachat de la société par Verizon qui a en conséquence obtenu une réduction de 350 millions de dollars sur le prix final.

Impressionnantes par leur ampleur, ces affaires soulignent s’il en était besoin les dangers pour les entreprises de confier des ressources aussi sensibles que le courrier électronique à une organisation proposant des services grand public et gratuits. Bien sûr, communiquer avec un nom de domaine reprenant sa propre marque donne une bien meilleure image qu’une adresse « @yahoo.com », mais surtout utiliser un serveur dédié donne l’indépendance technologique qui est le seul moyen pour l’entreprise de mettre en place des procédures de sécurité ajustées à ses besoins. Ces affaires sont aussi symptomatiques d’un temps où, alors que les attaques se font de plus en plus nombreuses, il est important pour l’entreprise de communiquer pro-activement sur les problèmes rencontrés. Le recours à un expert en sécurité est ici fort utile car un rapport impartial pourra rassurer les clients sur la réaction appropriée de l’entreprise face aux failles détectées et ainsi restaurer la nécessaire confiance des clients.

Les DDoS mettent l’Internet en panne… et montrent que tout objet connecté peut être une cible.

Le 21 octobre 2016, de nombreux sites Internet parmi les plus utilisés (Twitter, Spotify) ont été inaccessibles pendant plusieurs heures, entrainant la frustration de leurs abonnés et une perte de chiffre d’affaire importante pour les entreprises concernées. Pour atteindre ces géants, les malfaiteurs ne les ont pas visés un par un, ils se sont attaqués à leur fournisseur d’infrastructure DNS. On parle ici d’attaque de « Déni de Service Distribué » (Distributed Denial of Service ou DDoS en anglais) : schématiquement, l’attaque se fait en s’appropriant des appareils connectés dont on prend le contrôle pour leur faire envoyer des demandes de connexion massives sur les serveurs cibles. Ces utilisateurs « robots » (on parle de botnet) ont donc créé des embouteillages massifs chez le prestataire de DNS de ces grandes sociétés, empêchant du même coup les utilisateurs normaux de se rendre sur les sites concernés.

Cette affaire est riche d’enseignement pour les entreprises. Tout d’abord, le procédé n’est pas nouveau et ne requiert pas de compétences particulières, ce qui le rend particulièrement dangereux. Les malfaiteurs n’ont pas eu besoin d’utiliser des serveurs avec une forte puissance de calcul : les « robots » étaient en fait des caméras de surveillance mal configurées et donc mal protégées contre les attaques extérieures. Le même phénomène peut se produire en entreprise : même si elle n’est pas la cible en tant que telle, son infrastructure peut être utilisée passivement par les malfaiteurs pour une attaque de plus grande ampleur et entrainer, entre autres, des coûts de fonctionnement et de maintenance beaucoup plus importants pour son parc de machines.

Il est donc primordial de faire procéder régulièrement à des audits de sécurité pour s’assurer que le réseau et les serveurs de l’entreprise ne peuvent pas être l’objet d’une attaque, qu’elle soit directe ou non. Par ailleurs, la taille et l’expérience du prestataire DNS victime de l’attaque (un des leaders mondiaux du secteur) n’ont pas suffi à protéger ses clients devant l’ampleur sans précédent de l’attaque. On peut même imaginer que sa réputation ait contribué à en faire une cible auprès de malfaiteurs désireux de décrocher ce trophée et de prendre position contre l’implication du prestataire antérieur. Utiliser conjointement plusieurs prestataires, dont certains sans doute moins connus, est donc une bonne première étape pour lutter contre ce type d’attaque.

Vous avez un message… Mais est-il fiable ?

On parle de Courrier d’Affaire Vulnérable (Business E-Mail Compromise) et, si cette attaque est celle qui requiert le moins d’efforts techniques (il suffit, comme son nom l’indique d’envoyer un e-mail), elle a posé de nombreux problèmes à de grandes entreprises cette année.

Le directeur financier d’un grand industriel (Leoni AG) a ainsi versé près de 45 millions de dollars à un tiers sur la foi d’un courrier électronique. Avec six millions de dollars, le butin de l’attaque contre la société SS&C Technology était moindre mais avec des conséquences importantes puisque la société a eu à répondre d’une plainte pour « monumental manque de diligence » de la part de son client Tillage. En effet, le personnel de SS&C s’est laissé abuser par des courriels écrits dans un style plus qu’approximatif et provenant de noms de domaine dans lesquels le nom du client était mal orthographié (Tilllage avec trois L par exemple).

Ici encore ce qui frappe n’est pas tant l’audace de l’attaque – le fait de profiter de la crédulité de sa victime en utilisant ce que les américains appellent le « Social Engineering » n’a rien de nouveau ni de compliqué – mais le fait que des mesures simples auraient permis d’éviter ces conséquences désastreuses. Un nom de domaine similaire à une marque enregistré par un tiers avec une faute de frappe (les trois L ici) peut bien sûr être constitutif de cybersquatting, et la plupart des entreprises ne laisseront pas prospérer des pages web qui affichent des publicités ou contrefont leurs sites. Pourtant, aujourd’hui c’est quand ce type de nom de domaine n’est pas lié à un site qu’il faut s’inquiéter, car il peut aussi être utilisé dans le cadre d’e-mails malveillants aux conséquences beaucoup plus graves. Il est donc essentiel d’utiliser un mécanisme de veille qui, en plus de recenser les pages web éventuellement liées au nom de domaine puisse s’assurer qu’un serveur de courrier électronique n’est pas actif. Cela souligne aussi l’importance d’un portefeuille de noms de domaine consolidé et exhaustif : si le malfaiteur ne peut pas enregistrer un nom de domaine ressemblant au nom de l’entreprise qui a procédé à des enregistrements défensifs, il cherchera une autre cible.

Il est aussi possible de prendre des mesures plus techniques pour limiter ce type de risques : un professionnel de l’hébergement comme SafeBrands peut aider ses clients à sécuriser leurs e-mails pour que les courriers provenant de noms suspects soient rejetés et ne risquent pas de tromper les salariés.

SafeBrands est à votre disposition pour faire un état de votre situation ainsi que pour vous proposer des solutions pour sécuriser vos noms de domaine et échanges Internet. N’hésitez pas à contacter nos chargés de clientèle en utilisant notre formulaire en ligne, par email domaines@safebrands.com ou téléphone au +33 (0)1 80 82 82 60.

Les solutions SafeBrands liées à cet article

  • Parce que l’e-mail est une chose trop importante pour la confier à un produit grand public et gratuit, la solution Mail Pro Collaboratif  vous permet non seulement de revendiquer l’identité de votre entreprise avec votre propre nom de domaine, mais elle permet aussi la gestion du carnet d’adresse et du calendrier. Tous les échanges sont sécurisés et encryptés avec les plus hauts niveaux de chiffrement. Le stockage de vos données est dupliqué sur plusieurs sites géographiques dont 100% sur le territoire français.
  • Votre site doit être accessible partout et par tous. Les solutions DNS avancées et Ultra haute disponibilité  proposées par SafeBrands s’appuient sur plusieurs opérateurs de taille mondiale et basés dans des zones géographiques distinctes, avec basculement automatique en cas de défaillance. Notre statut d’hébergeur dédié nous permet par ailleurs d’obtenir à la volée de grands volumes de bande passante pour faire face rapidement à des attaques DDoS. Nos professionnels techniques certifiés peuvent aussi réaliser un audit de votre réseau et de votre connectique pour vous aider à mieux vous défendre contre les attaques, qu’elles soient actives ou passives.
  • Armez vos collaborateurs contre les escrocs. Notre service d’audit pourra vous aider à enregistrer défensivement des noms de domaine trop proches de votre marque ou de faire un état des lieux sur la situation d’un client important ; notre outil de surveillance  vous avertira lorsqu’un serveur de courrier électronique a été activé sur nom à risque (MX Records) pour que vous puissiez en avertir vos salariés et éventuellement donner un mandat de cession d’atteinte à SafeBrands pour faire cesser le trouble. Et parce que la vigilance passe aussi par des règles claires, la rédaction d’une charte de nommage pourra être envisagée. Enfin nos équipes techniques pourront vous conseiller sur les protocoles à mettre en place pour faire de votre système d’e-mail une cible moins tentante pour des malfaiteurs.