Depuis l’attaque contre Sony Pictures, de nombreux experts restent sceptiques sur l’implication du gouvernement de Kim Jong-un derrière ce qui semble être le « pire » hack d’une entreprise rendu publique.
Avant que les pirates ne déversent des e-mails pour humilier l’entreprise et ne postent une note sur Pastebin pour menacer la sortie du film “The Interview” (avec l’inscription “Rappelez-vous du 11 Septembre”), notre Conseiller en Sécurité Sean Sullivan donne l’explication suivante : “les pirates sont soit favorables aux réformes des droits d’auteur qui ciblent Hollywood, ou bien il s’agit d’une tentative de rançonnement et d’extorsion de fond.”
Il ajoute : « Les pirates qui s’intéressent aux réformes des droits d’auteur utilisent très souvent une meilleure grammaire que celle trouvée sur le fond d’écran. Ce qui nous amène à penser malheureusement qu’il s’agit d’une affaire d’extorsion de fonds. »
Peu d’entreprises sont aussi vulnérables envers de tels actes d’humiliation publique (et donc vulnérables face à l’extorsion) qu’une société mondiale de médias. Mais toute entreprise risque d’importants dommages financiers face au dévoilement de données confidentielles.
Qu’est-ce que cela signifie pour vous et votre entreprise ?
Voici 5 conseils qui peuvent vous sembler évidents, mais qui ne l’étaient visiblement pas pour Sony :
- Si le réseau de votre entreprise est infiltré, cela commence très certainement par un clic malheureux d’un employé sur la pièce jointe d’un email.
“Il est intéressant de noter que, si les outils à disposition des hackers sont nombreux, les méthodes de base pour accéder à l’environnement de la victime ne le sont pas,” note Verizon dans son récent « Data Breach Investigations Report ».
“Le plus prolifique est le plus fidèle : le spear phishing. […] Un email, bien conçu et pertinent personnellement/professionnellement, est envoyé à des utilisateurs ciblés, les incitant à ouvrir une pièce jointe ou à cliquer sur un lien dans le message. Inévitablement, l’utilisateur mord à l’hameçon, le malware s’installe sur le système, suivi par une porte dérobée ou une chaîne de commande, et l’assaillant enchaîne une série d’actions vers son objectif “.
Avec la richesse des informations disponibles en ligne, cibler un utilisateur spécifique avec une pièce jointe infectée reste la méthode la plus simple pour pénétrer un réseau. La plupart d’entre nous utilisent des emails depuis suffisamment longtemps pour savoir qu’un message avec PJ qui manque de professionnalisme peut être dangereux. Mais si l’email semble bien conçu avec une tournure personnelle, nous pouvons encore être dupes !
L’éducation en matière de sécurité ne saura jamais guérir l’erreur humaine, mais pourtant une mise en garde de base s’applique cette fois encore : n’ouvrez jamais une pièce jointe que vous n’attendiez pas !
- Ne stockez pas vos mots de passe dans un dossier nommé « Mots de Passe »
Cela semble évident. Mais il semble que c’est ce que Sony faisait. Verizon rapporte que les identifiants sont la cible numéro un des hackers. Avec 62% des attaques qui ne sont découvertes qu’un mois après le piratage du réseau en question, les intrus ont largement eu le temps de fouiner. Ne leur rendez pas la tâche facile !
- Bouchez les trous.
Gardez tout votre système, vos applications et vos logiciels de sécurité patchés et protégés -en particulier les navigateurs web et n’utilisez pas les plugins Java.
Ou obtenez une solution comme Software Updater de F-Secure qui tient constamment à jour vos systèmes d’exploitation, vos programmes et vos plugins !
- Les liens de vos emails peuvent être aussi dangereux que les pièces-jointes.
Il s’avère que des années d’endoctrinement ont eu un certain effet : les utilisateurs sont plus sceptiques des pièces-jointes, mais pas assez envers les liens dans les emails qui peuvent conduire à attaques web de type “drive-by” et/ou des escroqueries par phishing.
Environ 8% cliqueront sur une pièce-jointe tandis que “18% des utilisateurs visiteront un lien présent dans un e-mail de phishing. Les utilisateurs peu familiers avec des logiciels malveillants penseront simplement que la visite d’un lien n’entraînera aucun compromis. ”
- N’oubliez pas que les emails sont éternels
“Dance like no one is watching; email like it may one day be read aloud in a deposition.”
— Olivia Nuzzi (@Olivianuzzi) 13 Décembre 2014
Catégories