Stoppez les cyber-attaques

Stoppez les cyber-attaques avant qu'elles ne commencent: collecte et ciblage de données

Le philosophe grec Platon a écrit que "Le commencement est la partie la plus importante du travail". Le grand homme d’État, scientifique et philosophe américain qu’était Benjamin Franklin a également souligné l’importance de la planification en déclarant que "l’absence de préparation fait courir à l’échec".

Il est malheureux que beaucoup de cyber-criminels suivent aujourd’hui leur conseil. En effet, le nombre de menaces continue d'augmenter de manière exponentielle et les infections à base de malware sont passées de moins de 250 000 par mois il y a un peu plus de deux ans à près de 500 000 aujourd’hui. L'hacktivisme, les conflits sociaux et politiques ainsi que l'espionnage sont les principales raisons de cette recrudescence car les cyber-criminels vendent des informations sur le Dark Web et chiffrent données et systèmes pour exiger des rançons.

L'époque où les cyber-criminels ciblaient principalement les cartes de crédit est révolue car les informations médicales ont désormais 10 fois plus de valeur. Les cyber-criminels utilisent des logiciels de ransomware pour infiltrer des services critiques, notamment les systèmes de santé qui s'appuient sur des informations en temps réel. Leurs activités répréhensibles et discrètes vont de la reprogrammation de clés USB aux nouveaux malware, qui évoluent tellement vite que les solutions antivirus ne peuvent même pas les comparer avec des signatures, et qui esquivent aussi le sandboxing ("bac à sable"), en passant par le piratage d'activité au moyen de versions miroirs d'applications légitimes ou de sites Web réputés.

Si vous pensiez que les cyber-criminels ne s'intéressent qu'aux marchés bien en vue et aux grandes entreprises, détrompez-vous. Ce nouveau monde des cyber-menaces n'a aucune limite et la taille de l'entreprise n’est pas un critère.

Webinaire à la demande : à travers les yeux d'un cyber-criminel – planification d'une attaque et collecte de données

La reconnaissance: la première phase

La reconnaissance est la première étape que la plupart des cyber-criminels suivent pour planifier une attaque ou une intrusion. C'est également celle la plus fréquemment utilisée. Selon cette logique, les cyber-criminels utilisent tout un éventail de techniques actives et passives pour obtenir des informations sur les vulnérabilités d’un réseau. Les métadonnées issues des médias sociaux, des pièces jointes aux emails et des documents publiés sur les sites Web de l'entreprise et contenant des données telles que les noms de système, les identifiants de connexion et les mots de passe et autres informations sont des cibles de prédilection. Ces informations sont exploitées pour préparer la phase de hameçonnage et autres activités d'ingénierie sociale.

Ci-dessous quelques exemples de moyens utilisés par les cyber-criminels pour faire de la reconnaissance de métadonnées:

  • Collecte d'informations. Rechercher assez d'informations pour devenir crédible et digne de confiance. En règle générale, un nom ne suffit pas et il doit être complété par un nom ou un site d'entreprise.
  • Vulnérabilités. Cibler les identifiants, les noms des systèmes, les versions des applications ainsi que les structures de répertoires pour monter une attaque par le biais de vulnérabilités connues et inconnues.
  • Médias sociaux. Les réseaux sociaux s’avèrent être de riches gisements de données pour les cyber-criminels en quête d'informations personnelles à exploiter.

Tout est dans le document

Les documents contiennent des informations "cachées" qui peuvent être récupérées, notamment des métadonnées telles que les noms des utilisateurs et des systèmes. Pour ne prendre que leur exemple, les documents Word contiennent différents types de données cachées et d’informations personnelles:

  • Commentaires et historique des modifications provenant des marques de révision, des différentes versions et des annotations à l'encre électronique
  • Propriétés du document et informations personnelles
  • En-têtes, pieds de page et filigranes
  • Texte caché
  • Propriétés du serveur de documents
  • Données SML personnalisées 

C'est avec étonnement que l'on constate que les documents contiennent tout un éventail de types d’informations présentes dans les courriers électroniques, sur les intranets et même sur les sites Web. Différentes approches permettent aux entreprises de briser la chaîne d’attaque dès l'étape de la reconnaissance, ce qui permet de mettre les cyber-criminels en échec avant qu’ils ne commencent:

  • Inspection du contenu en profondeur. Grâce à cette technique, les entreprises peuvent détecter les métadonnées imbriquées, l'historique de révision ainsi que les informations de sauvegarde rapide. Cette approche comprend une décomposition récursive, une véritable détection binaire, y compris pour les objets imbriqués, ainsi que la détection de sous-composants (en-tête, pied de page, propriétés,...).
  • Suppression des métadonnées. La passerelle permet de détecter et de supprimer les métadonnées et autres données imbriquées de manière automatique et homogène dans les courriers électroniques ainsi que sur le Cloud et les médias sociaux.
  • Prévention contextuelle des fuites de données. Un moteur de politique permet de supprimer automatiquement les données sensibles et le contenu malveillant qui entrent sur et quittent votre réseau. N’est supprimé que le contenu enfreignant les politiques, ce qui n’a donc aucune incidence sur le reste de la communication.
  • Prévention des intrusions. Une technologie de prévention des intrusions permet de détecter l'analyse qui est lancée lors d'une attaque et de la stopper avant que l’attaquant ne puisse collecter trop de connaissances sur le réseau d’une entreprise.