Bienvenue à la deuxième partie de notre série de courts blogues, basés sur les discussions Twitter que nous avons tenus pour souligner la 14e édition du Mois de sensibilisation à la cybersécurité (NCSAM). La National Cyber Security Alliance (@NatlCyberSecAlliance) assure encore une fois une série d’échanges Twitter tous les jeudis d’octobre, avec le mot-clic #ChatSTC (modération assurée par @STOPTHNKCONNECT). Les chercheurs d’ESET participent encore une fois à cet événement.
Dans la première partie de notre série, nous avons abordé des questions telles que le rôle de l'utilisateur moyen d'Internet pour assurer la sécurité du Web et prévenir le vol d’identité. Dans cette deuxième partie, nous poursuivrons sur le thème des mesures simples pour assurer la sécurité sur Internet.
De simples mesures pour la sécurité en ligne : Jeudi, le 5 octobre 2017, 15h00-16h00 EDT/12h00-13h00 PDT
NDLT: Vous pouvez consultez la version originale non traduite, incluant les abréviations et expressions de Twitter, ici
__________________
Q4a : Qu’est-ce exactement qu’un rançongiciel, et quelles sont les conséquences potentielles pour les victimes de ce type d’attaques?
Bruce P. Burrell : Un rançongiciel est exactement ce que son nom indique. C’est un logiciel qui prend quelque chose en otage et demande une rançon. Ce peut être l’ordinateur en entier — qui ne pourra démarrer qu’après le paiement de la rançon (ou l’effacement du système) — ou un sous-ensemble de l’ordinateur (généralement des données de l’utilisateur, comme des documents d’affaires, des images, des vidéos, etc.). En général, la zone d’attaque est large : c’est plus convaincant pour la victime de payer quand presque tout est inaccessible que si seulement « la photo que vous avez pris mercredi dernier à 17h » est touchée.
Les conséquences? Eh bien, ça dépend. Par exemple, certains rançongiciels peuvent être vaincus assez facilement; parfois un anti logiciel malveillant générique peut réparer les dommages ou un outil malveillant peut permettre de restaurer l’accès.
Puisqu’un grand nombre de rançongiciel chiffre les données hôtes, tout dépend de la qualité de l’algorithme de chiffrement utilisé.
Examinons le pire scénario : les données ont été chiffrées par un algorithme puissant (qui, en utilisant la force brute, pourrait demander des milliards d’années à déchiffrer en utilisant les ordinateurs les plus rapides à ce jour) et il n’y a pas de sauvegardes. Puis, la victime pourrait faire face à la faillite s’il s’agit d’une entreprise ou perdre tous ses vidéos de chats et de hamsters s’il s’agit d’un utilisateur. Ces deux situations étant évidemment insoutenables.
Côté professionnel, il y a aussi des répercussions. Les clients peuvent se tourner vers un compétiteur, l’entreprise peut subir des coûts juridiques importants, ou expérimenter une atteinte à sa réputation ou une baisse du cours de son action.
Bien sûr, le paiement de la rançon n’offre aucune garantie de succès. Nous avons en effet observé des cas où il n’y a aucun moyen pour payer la rançon, et d’autres où les attaquants n’avaient pas de clés de déchiffrement… Ainsi, même si vous payez, vous contribuez non seulement au financement d’une entreprise criminelle, mais en plus, vous n’avez aucune assurance de retrouver vos données.
Aryeh Goretsky : C’est bloquer à quelqu’un l’usage de son ordinateur jusqu’au paiement d’une rançon, mais le paiement de cette rançon ne garantit pas d’en retrouver l’accès.
David Harley : Vous priver de vos données, de l’utilisation de votre ordinateur ou d’un autre appareil, jusqu’à ce que vous payiez une rançon.
Ils sont étroitement liés à certaines formes d’attaques de déni de service (Dos) et d’arnaques du soutien techniques impliquant de réels dommages au système de la victime.
Lysa Myers : Le type le plus courant regroupe les crypto-rançongiciels, qui embrouillent les fichiers pour les rendre inutilisables.
Q4b : Qu’est-ce que les individus et les entreprises peuvent faire pour se protéger des rançongiciels ou récupérer leurs fichiers?
Bruce P. Burrell : Bien sûr, avoir une suite antivirus configuré adéquatement, comme ceux présentement offerts par ESET (pour la maison ou les entreprises) aide énormément, mais beaucoup de choses peuvent aussi être faites. Faites des sauvegardes, testez-les, et GARDEZ AU MOINS CERTAINES DE CES SAUVEGARDES HORS LIGNE. Assurez-vous d’effectuer les mises à jour de correctif (OS et applications) et de désactivez les services non utilisés, ou mieux encore : désinstallez-les. RDP (NDLT : Remote Desktop Protocol, qu’on peut traduire par « protocole de bureau à distance ») est un exemple significatif de quelque chose qu’il vaut mieux enlever si possible. S’il doit demeurer installé, il est très important de le configurer avec beaucoup de précautions.
Aryeh Goretsky : Les sauvegardes, faire les mises à jour de sécurité des OS et des applications, utiliser un logiciel de sécurité + les sauvegardes (elles sont tellement importantes que je les mentionne deux fois)
David Harley : Est-ce que quelqu’un a parlé de sauvegardes? Ne vous fiez pas uniquement aux logiciels de sécurité, ni n’assumez que vous pourrez « acheter » une récupération de la part des arnaqueurs.
Lysa Myers : Sauvegardez, sauvegardez, sauvegardez. Avec des sauvegardes régulières et testées, un rançongiciel ne représente qu’une simple nuisance, plutôt qu’une catastrophe. Le conseil habituel pour prévenir les logiciels malveillants s’applique aussi : utilisez plusieurs couches de protection pour minimiser les risques. Il vaut mieux prévenir plutôt que guérir.
Si possible, ne payez pas du tout les criminels. Il n’y a aucune garantie que le déchiffreur fonctionnera et vous vous serez auto-identifié comme cible facile.
Q5 : Qu’est-ce que l’émergence de l’Internet des Objets (IdO) signifie pour nos données personnelles? Que devrions-nous faire avant de connecter des choses à l’Internet?
Bruce P. Burrell : Dites simplement non. Je l’ai fait et vous devriez aussi. :-p Ou vous pouvez accepter et donner vos informations personnelles aux attaquants. À vous de voir.
Aryeh Goretsky : L’IdO implique que tous ces appareils que vous ne voyez pas comme des PC collectent des données sur vous et ont accès à vos données. Vérifiez leurs politiques de sécurité et de vie privée avant de les brancher.
David Harley : IdO = des appareils que vous ne voyez pas comme des PC, mais aussi des ordinateurs qui n’ont pas besoin d’être connectés mais le sont. Ils peuvent être dangereux par défaut.
Lysa Myers : Arrêtez & Réfléchissez avant de Connecter des appareils intelligents. Avez-vous besoin d’une fourchette connectée? D’un thermomètre? D’une machine à laver? Si vous avez connecté un appareil de l’IdO, protégez-le le mieux possible. Sécurisez-le sur le routeur et modifiez au minimum le mot de passe par défaut.
Q6 : Que devrait faire une personne qui pense être victime d’un cybercrime?
Bruce P. Burrell : Signalez-le auprès des forces de l’ordre – il semble que celles-ci ne soient pas pleinement conscientes de l’amplitude du problème. Votre plainte ne fera peut-être pas que votre problème soit adressé, mais elle pourrait contribuer à augmenter les fonds, et à long terme, améliorer la réponse des forces de l’ordre.
Signalez-le à votre fournisseur d’antivirus : il pourra peut-être vous éviter des problèmes semblables à l’avenir, soit en vous aidant à définir de meilleurs paramètres, soit en corrigeant leur logiciel afin qu’il puisse faire face à de nouvelles attaques.
Signalez-le aussi à votre entourage proche, prudemment, surtout si vous en avez tiré une leçon. Mais faites attention de ne pas répandre de rumeurs et des insinuations : assurez-vous d’avoir les faits exactes avant tout! [Si possible, demandez à votre geek de technologie locale de vous assister dans la rédaction de votre texte.]
Aryeh Goretsky : Déposez une plainte à la police de votre localité et au IC3.GOV.
David Harley : Ce sont de bons conseils, mais n’ayez pas des attentes trop élevés envers les forces de l’ordre. Même s’ils avaient conscience de l’ampleur des problèmes, ils n’ont probablement les ressources pour les « petits » cas. (Ce à quoi Bruce a répondu « Même si la dénonciation n’entraine pas l’arrestation de l’attaquant ni me permet de retrouver argent/fichiers/autre, cela pourrait aider à rendre le monde meilleur globalement, et j’en retire un bénéfice aussi. »)
Lysa Myers : Tout dépend des caractéristiques du crime, mais une étape souvent négligée est le signalement, qui nous permet de recueillir des statistiques.
N'ouvrez jamais les pièces jointes ou cliquez sur les liens dans le courriel non sollicité
Q7 : Avez-vous quelques conseils de base que n’importe qui peut suivre ce mois-ci pour être plus sûr et en sécurité en ligne (NDLT : #online)?
Bruce P. Burrell : Pas juste ce mois-ci. À TOUS les mois.
- « N’ouvrez jamais les pièces jointes, ni ne cliquez sur les liens figurant dans des courriers électroniques, messages privés (IMs), publications Facebook, gazouillis, etc. non sollicités, même s’ils semblent provenir de sources que vous connaissez et auxquelles vous faites confiances. » Si vous croyez devoir ouvrir ou cliquer, contactez l’expéditeur supposé via un autre média – par exemple, si c’était un courrier électronique, utiliser le téléphone, etc. – et demandez-lui si il/elle a envoyé ce message. Si non, c’est assurément bidon; si oui, demandez-leur de quoi il s’agit. Même si vous risquez tout de même de vous retrouver dans l’eau chaude, vous saurez au moins qui sont vos véritables amis.
- Effectuez des sauvegardes régulières, testez-les, et gardez au moins l’une de ces sauvegardes hors ligne.
- Si ça semble trop beau pour être vrai, C’EST trop beau pour être vrai, et donc, c’est faux. [Tous les 36 du mois, cette maxime risque d’être erronée, mais vous feriez mieux de l’appliquer par défaut.]
- Et bien sûr, gardez votre système d’exploitation et vos applications à jour et passez autant de temps que possible pour rester au fait des développements en sécurité, via des sources auxquelles vous vous fiez [Idéalement, nous souhaitons que vous considériez WLS (et ESET, tout particulièrement USRT – l’équipe de recherche d’ESET aux États-Unis) comme sources de confiance, mais bien sûr, la confiance ça se mérite; alors regardez et prenez votre propre décision.]
Aryeh Goretsky : Testez vos sauvegardes. Assurez-vous que tous vos systèmes d’exploitation et applications sont à jour. Analysez votre PC contre les menaces.
David Harley : La confiance illimitée est un luxe, et son prix peut donc être très élevé. Faites confiance, mais vérifiez. (Quelques) conseils supplémentaires : https://www.welivesecurity.com/2015/03/13/heimdal-blog-19-experts-50-security-tips/
Lysa Myers : Ajoutez une couche de protection à celles dont vous disposez déjà. Utilisez 2FA. Chiffrez vos données. Effectuez des sauvegardes et testez-les. [2FA = authentification à deux facteurs]
Q8 : Quelles ressources recommandez-vous aux utilisateurs d’Internet qui cherchent une façon plus sûre et sécuritaire se connecter?
Bruce P. Burrell : WLS, le service à la clientèle et le soutien technique d’ESET. Graham Cluley et Brian Krebs. Ainsi que d’autres vendeurs de solution en sécurité réputés – mais comme je le disais plus tôt, cette confiance se mérite. Lisez donc attentivement et servez-vous de votre tête; regardez ce qui semble bien et si l’expérience prouve que c’est vrai, ajoutez des points à la confiance que vous accordez à cette source. Et si elle se trompe, du moins dans votre cas, enlevez-lui-en.
Une fois que le total devient assez élevé – ou faible – vous pouvez envisager de leur faire plus ou moins confiance en conséquence. Rappelez-vous que si tout le monde fait des erreurs de temps à autres, c’est autre chose quand quelqu’un tente de tromper. Dans ce cas, c’est probablement un peu dur, mais personnellement, j’opte pour « Méfiez-vous de tout ce qui provient de cette source par la suite tant et aussi longtemps que ce n’est pas démontré par une source externe. Mais ne vous fiez plus jamais à cette source sans que les informations soient corroborées par une source fiable. » Oh : et s’il y a un moyen de contact (comme celui que nous offrons à WLS avec AskESET), n’hésitez pas à demander si vous avez des questions! Je ne peux pas vous garantir qu’on vous répondra ou que nous connaîtrons la(les) réponse(s)… Mais on ne peut certainement pas répondre si vous ne demandez pas!
Aryeh Goretsky : www.securingourecity.org + www.welivesecurity.com
David Harley :
https://www.welivesecurity.com/2015/03/13/heimdal-blog-19-experts-50-security-tips/
https://heimdalsecurity.com/blog/most-common-mistakes-27-cyber-security-experts/
Lysa Myers : WeLiveSecurity, bien sûr!.
__________________
Nous vous encourageons à suivre les discussions sur Twitter et aux autres événements et profitez des commentaires et conseils offerts par les autres joueurs de l’industrie de la sécurité. Nous vous encourageons aussi découvrir cette page créée par ESET, qui regroupe plusieurs ressources gratuites en cybersécurité, afin de vous aider à être plus conscientisés #CyberAware.
WeLiveSecurity publiera d’autres articles au sujet des événements à venir au cours des prochaines semaines, alors restez à l’affût!