Sécurité des emails : Comment les pirates arrivent-ils à se faire passer pour votre président et comment les stopper?

Avez-vous déjà reçu un e-mail étrange de la part de votre président?

C’est la première fois qu’il vous contacte et pourtant il a pensé à vous pour prendre en charge un transfert d’argent important, urgent, secret… Étrange?

L’e-mail provient pourtant bien de l'adresse e-mail de votre président : le champ « de » / « from » l’atteste. 

Réfléchissez bien avant de passer à l’action car cela a plutôt l’air d’un e-mail frauduleux.

Si vous avez du "poids" dans l’entreprise, contactez votre équipe informatique et parlez leur du protocole d'authentification des e-mails DMARC. 

Si personne ne comprend votre langage alors soyez certains que votre sécurité de vos communications e-mail peut être améliorée.

Il en va de la sécurité de vos employées et des organisations avec lesquelles vous échangez des e-mails. 

En effet, si vos administrateurs n’ont pas mis en place DMARC en mode "rejet" ou "quarantaine", alors rien n’empêche un pirate sur internet d'usurper vos adresses e-mail et donc de se faire passer pour votre président auprès de vos employés et clients.

Cela peut avoir des conséquences financières (principalement dues à la fraude) mais aussi légales.

En effet, certains de vos partenaires peuvent inclure dans leurs contrats des règles vous obligeant à suivre les bonnes pratiques de sécurité des communications e-mails. Si ces derniers sont victimes d’une tentative d’hameçonnage impliquant votre entreprise, leurs avocats pourront intenter une action en justice civile.

Que faire donc ?

1/ Surveillez puis bloquez tout e-mails entrant et contenant @votredomaine.fr dans le champ « From ». Normalement vous ne devriez pas recevoir beaucoup d’e-mails en provenance de serveurs mail externes et contenant @votredomaine.fr dans le champ « From ». Ce réglage empêchera vos employés de recevoir des e-mails frauduleux ayant l’air de venir de vos adresses e-mail.

2/ Authentifiez vos e-mails sortants avec les protocoles d'authentification des e-mails SPF/DKIM et implémentez DMARC en mode "rejet" ou "quarantaine" afin de donner un moyen à vos destinataires de s’assurer que les e-mails qu’ils reçoivent de vous… proviennent bien de vous ! Il est préférable de passer par des professionnels expérimentés pour implémenter SPF/DKIM/DMARC car vous courez le risque que vos e-mails n’arrivent plus à leurs destinataires, surtout si votre organisation dispose de plusieurs domaines et, envoie et reçoit des e-mails depuis plusieurs plateformes.

Pour aller plus loin :

https://oppidumsecurity.com/anti-fraude.php  

https://blogs.office.com/2015/01/20/enhanced-email-protection-dkim-dmarc-office-365/

http://www.slideshare.net/return_path/how-cybercriminals-cheat-email-authentication

http://www.slideshare.net/barrywjones3/dmarc-and-fraud

Des questions concernant cet article? 

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde. 


Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com


Ou nous parler via notre site internet : https://oppidumsecurity.com/

Cyber Sécurité en entreprise: corriger ce qui est important en premier

La Cyber Sécurité est une discipline complexe et nécessitant un investissement à long terme

De nombreuses stratégies et technologies existent pour prévenir, détecter et éradiquer les attaques informatiques. Cependant, une Cyber Défense n’est efficace que si elle est correctement intégrée à l’environnement IT de l’entreprise et que les technologies mises en place sont configurées et opérées par des personnes formées et passionnées.

La mise en place d’un programme de sécurité informatique est souvent un processus long, difficile et couteux. Il est donc important de savoir prioriser ses efforts afin de maximiser ses retours sur investissement le plus rapidement possible. Il en va de la crédibilité du programme de Cyber Sécurité et de notre place aussi...!

Que faire en premier? Sécuriser le terrain!

En premier, il est très important de fixer les failles exploitables immédiatement et sans efforts par les hackers. 

Voici une recette pour en détecter en quantité :

- Lancez un scan de vulnérabilité complet et authentifié sur toutes vos ressources informatiques. Pour que votre scanner puisse s'authentifier, créez lui un compte dans le domaine que vous désirez scanner. Cela vous donnera une vision très claire des droits dont disposerait un hacker après avoir hameçonné un de vos employés. Le résultat de ce scan de vulnérabilité devra être revu en détail. Ces points devront attirer votre curiosité et devront être fixés le plus rapidement possible :

·  Dossiers partagés entre tous les membres de l’entreprise et contenant des informations sensibles, des mots de passes, des fichiers de configurations, etc.

·  Les mots de passe par défaut : bases de données, serveurs web & FTP, applications, Windows, Unix, etc.

· Les systèmes pour lesquels tout le monde est administrateurs

· Les systèmes pour lesquels tout le monde a des accès au bureau à distance (RDP)

· Les systèmes ayant des vulnérabilités qui permettraient à un hacker de prendre le contrôle à distance de vos systèmes de manière rapide et automatisée.

· Etc.

  - Révisez les délégations de tâches administratives dans votre Active Directory. Identifiez qui peut :

· Modifier le mot de passe de vos utilisateurs et ordinateurs

· Ajouter des membres dans des groupes de sécurité critiques

· Ajouter, modifier et supprimer des GPOs

· Modifier des scripts lancés lors du démarrage des systèmes

· Lier des GPOs à des unités organisationnelles

·  Créer des utilisateurs et des ordinateurs

·  Etc.

Des outils très couteux comme GoldFinger 007 peuvent vous faciliter cette tâche. Il existe aussi des scripts gratuits que vous pouvez adapter à vos besoins. 

  - Assurez-vous que les mots de passe des comptes locaux d’administration de vos systèmes sont uniques. Des solutions comme LAPS et CyberArk peuvent être utilisées à cet effet.

  - Assurez-vous que vos solutions de gestion de parc informatique (NAC, Scanners, logiciels de backup, helpdesk etc.) se connectent de manière sécurisée sur vos systèmes. C’est-à-dire en utilisant des protocoles d’authentification ainsi que des types de connexion ne mettant pas à risque les mots de passe de vos comptes de service :

·  Pour ce faire, évitez le plus possible d’utiliser des connexions « interactives » initiées principalement lorsque des  tâches  et services s’exécutent avec des comptes ayant des droits sur plusieurs systèmes. Évitez aussi les protocoles d’authentification transmettant des mots de passe en clair ou bien le protocole SMB NTLM non signé qui peut être "hijacké" par un hacker pour s’authentifier sur le système de son choix (SMB RelayAttack).

· Privilégiez les protocoles d’authentification SMB NTLM v2  signé et Kerberos (préféré) couplés à des connections de type « réseau ».  Plus d’information dans cet article.

Que faire ensuite? Construire sa défense!

Une fois les failles ci-dessus corrigées, il est temps pour vous de vous concentrer sur la définition et la mise en place d’une architecture de Cyber Sécurité adaptée à vos besoins de sécurité.

Là encore il faudra prioriser ses efforts. Les 35 contrôles définis et priorisés par efficacité par le département de la défense australienne sont pour cela un bon point de départ: Strategies to Mitigate Targeted Cyber Intrusions . 

La maitrise d'une méthode d'analyse des risques informatique comme Octave Allegro couplée à des connaissances approfondies en techniques d'attaques seront aussi nécessaires pour garantir que l'entreprise profitera pleinement de ses investissements en sécurité. 

Nous espérons que cet article vous aura permis de mieux comprendre comment prioriser la mise en place de votre Cyber Défense. 

Bon courage!

Des questions concernant cet article? 

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde. 


Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com

Ou nous parler via notre site internet : https://oppidumsecurity.com/