Chaque année, près de 400 millions de personnes 1 sont victimes de la cybercriminalité.

Transcription

1

2 400, Chaque année, près de 400 millions de personnes 1 sont victimes de la cybercriminalité. Principal vecteur d attaque des cybermalfaiteurs : les sites Web, y compris les sites légitimes infectés ou compromis de diverses manières. Face à ces menaces, c est la réputation de votre site Web et la sécurité de vos visiteurs qui sont en jeu. Chaque propriétaire de site Web doit donc bien cerner les risques en présence et les moyens de lutte à sa disposition. Dans cette optique, ce guide de survie s impose comme le compagnon indispensable pour sortir indemne des méandres du Web. 1 Rapport Norton Diapositive 10 : Faites de la connaissance votre meilleure arme de défense I 2

3 CYBERCRIMINALITÉ : ATTENTION DANGER 1 sur % Un site Web sur 500 est infecté par malware 2. Plus inquiétant encore, la grande majorité de ces sites (61 % exactement 3 ) sont des sites Web légitimes infiltrés par des cybercriminels. Pour ces derniers, rien de plus simple : ils peuvent acheter sur Internet des kits clés en main pour l attaque de sites Web, ou plus précisément l infiltration des serveurs qui les hébergent. De fait, le schéma d attaque est le même que celui des virus informatiques qui infectent les PC des particuliers et des entreprises. Conclusion : le piratage d un site Web est désormais à la portée de tous. En l espace d une minute, ces kits d attaques analysent des milliers de sites pour y détecter les failles et les vulnérabilités les plus communément exploitées. Il ne leur reste ensuite plus qu à introduire des logiciels malveillants sur les sites identifiés comme vulnérables. Pour pirater un serveur Web, les hackers ont plus d un tour dans leur sac : ingénierie sociale, phishing ou spyware tout est bon pour subtiliser le nom d utilisateur et le mot de passe d un administrateur et accéder au systeme. Ne leur laissez aucune chance! 2 ISTR ISTR 18 Attaque I 3

4 Usurpation d identité et phishing : les modes opératoires L usurpation d identité constitue l une des formes les plus insidieuses de la cybercriminalité. Du vol d un numéro de carte bancaire à la prise de contrôle totale de l identité d une personne, elle revêt des formes aussi dangereuses que variées. C est la mésaventure qu a connue le journaliste Mat Honan 4 en 2012, quand des pirates informatiques se sont peu à peu introduits dans sa messagerie et d autres de ses comptes en ligne. Au final, ce sont toutes les données de son ordinateur et de son smartphone qui ont été effacées à distance, soit une année complète de photos de sa fille depuis sa naissance, des documents, s, etc. Il lui a ensuite fallu énormément de temps et d énergie pour accéder à nouveau à l ensemble de ses comptes et reprendre le contrôle de sa vie numérique 5. En clair, Honan a été victime d une habile série d attaques d ingénierie sociale conçues pour accéder successivement à ses comptes sur Internet. Il est loin d être le seul. De nombreuses personnes se font piéger par des s et des sites de phishing de plus en plus convaincants et sophistiqués qui les incitent à divulguer leurs noms d utilisateur et mots de passe. Le phishing consiste à contacter une personne par ou les réseaux sociaux pour l inviter à cliquer sur le lien d un site en apparence authentique. La victime est ensuite redirigée vers un site Web frauduleux qui est la copie exacte du site légitime une banque, un réseau social ou autre. Elle y saisit ses identifiants de connexion, qui tombent ainsi facilement entre les mains des cybercriminels. Pour contrer le phishing, certaines suites de sécurité effectuent des tests de détection des sites déguisés. Quant aux propriétaires de sites Web avisés, ils font appel à des technologies de sécurité dernier cri comme les certificats SSL Extended Validation (EV), dont la mission est d attester de l authenticité du site visité. Sans cette aide, il est souvent très difficile de différencier un site authentique d une réplique utilisée pour le phishing. Le phishing consiste a contacter une personne par ou les réseaux sociaux pour l inviter a cliquer sur le lien d un site en apparence authentique Attaque I 4

5 Botnets : modes opératoires Le cinéma influence notre perception du hacker, souvent représenté comme un génie solitaire se lançant à l assaut d un site dans la pénombre d une chambre en sous-sol. La réalité est extrêmement différente. Les hackers agissent au contraire en bandes organisées qui utilisent les botnets à grande échelle pour passer automatiquement au crible des millions d ordinateurs et autre sites Web. Un botnet n est autre qu un ensemble d ordinateurs contrôlés par un malware, souvent à l insu de leurs utilisateurs. L instigateur du botnet utilise ensuite la puissance de ce pool d ordinateurs pour exécuter un logiciel malveillant. Les attaques de type drive-by, qui consistent à infecter des internautes de passage sur un site Web compromis, constituent une des méthodes d enrôlement les plus courantes. Un seul botnet peut réunir des milliers, voire des dizaines de milliers de machines individuelles, à des fins diverses : Envoi de pourriels (spams) à grande échelle Hébergement de sites de phishing Repérage des vulnérabilités d ordinateurs et de sites Web légitimes au moyen de kits d attaques «Faux clics» sur des publicités en ligne pour générer des revenus illicites Lancement d attaques de déni de service (DDoS) visant à empêcher les utilisateurs d accéder aux services en ligne pris pour cible Avec les botnets, les cybercriminels disposent d une puissance de traitement et d une connectivité Internet à très grande échelle. Ainsi, ils sont capables d envoyer des millions de spams ou d infecter tout autant d ordinateurs en l espace d une heure. Attaque I 5

6 L IMPACT ÉCONOMIQUE RÉEL DU VOL DE DONNÉES Une fois que les cybercriminels ont infiltré un site Web, ils n ont plus qu à l exploiter à des fins (très) lucratives. L une des techniques de prédilection consiste notamment à installer des logiciels espions (spyware) sur les ordinateurs des visiteurs. Comme leur nom l indique, ces programmes agissent dans la plus grande discrétion pour dérober les données personnelles, numéros de carte bancaire, etc. de leurs victimes. Aucun moyen de les détecter sans un logiciel de sécurité adapté. Ils peuvent aussi rediriger furtivement les visiteurs vers d autres sites ou modifier les contenus d un site. Cette furtivité reste encore la meilleure alliée des cybercriminels. Quand une personne découvre le pot aux roses, elle réagit immédiatement. Or, la plupart du temps, les malfaiteurs agissent à l insu des propriétaires de sites Web infectés et a fortiori de leurs visiteurs. Si les conséquences pour les visiteurs peuvent s avérer très graves, elles le sont tout autant pour le propriétaire du site Web incriminé : Érosion de la confiance et de la fidélité des clients Perte d internautes au profit d autres sites Interception de données personnelles saisies sur le site Placement sur liste noire par les moteurs de recherche ( sites infectés sont bloqués par Google chaque jour 6 ) Cette furtivité reste encore la meilleure alliée des cybercriminels. 6 Infection I 6

7 Cybercriminalité : un problème de taille Si la lutte contre le cybercrime se situe au cœur des préoccupations des propriétaires de sites Web, le fléau s étend également à l ensemble de l économie. Selon le rapport Norton 2013 sur la cybercriminalité, cette dernière représente en effet une sorte de prélèvement illicite sur le commerce en ligne qui pèse plus de 83 milliards d euros par an 7. Chaque jour, plus d un million de personnes tombent dans les mailles du filet, pour un coût moyen de 220 euros par victime. PRÉLÈVEMENT ILLICITE SUR LE COMMERCE EN LIGNE 83 MILLIARDS VICTIMES DU CYBERCRIME (PAR JOUR) 2 MILLIONS Quelles en sont les implications concrètes? Quatre internautes sur dix ont été un jour victimes d attaques de diverses natures : malwares, virus, piratages, arnaques, fraudes et vols. Les conséquences sont alors nombreuses : De longues heures de réparation de l ordinateur infecté, notamment pour éliminer un virus (24 % des personnes interrogées) Perte d argent suite au verrouillage par rançongiciel de l ordinateur et à sa «libération» contre versement d une rançon Usurpation d identité débouchant sur le clonage de cartes bancaires, la contraction de prêts et, au final, l insolvabilité des victimes. Des mois de travail leur seront alors nécessaires pour tenter de réparer les dégâts. Transformation furtive de leur PC en esclave au service d un «botnet» malveillant (>voir «Botnets : modes opératoires» pour en savoir plus). À grande échelle, la cybercriminalité érode la confiance générale dans Internet, limitant par là-même la liberté de choix et d action des utilisateurs. 7 go.symantec.com/norton-report-2013 Infection I 7

8 Quelles sont les cibles de prédilection des cybercriminels? Selon le Rapport Norton 2013 sur la cybercriminalité, un document issu d une enquête réalisée auprès de internautes adultes à travers le monde : Les victimes sont plutôt des hommes que des femmes Les utilisateurs d appareils mobiles, de réseaux sociaux et de réseaux WiFi publics ou non protégés sont également davantage exposés Enfin, les parents d enfants âgés de 8 à 17 ans sont plus vulnérables Dans le cas des sites Web, les botnets et kits d attaques ratissent très large. Grands groupes ou PME, grands noms ou petites structures familiales, stars du CAC 40 ou organisations caritatives... tout est bon à prendre. Par essence, aucun site Web n est invisible. Chaque site représente donc une cible. Malwares : modes opératoires Chez les particuliers comme dans les entreprises, les utilisateurs se doivent de mettre régulièrement leurs ordinateurs à jour à l aide de correctifs et autres mises à jour d applications, de systèmes d exploitation, etc. Ces opérations servent à colmater les failles que les éditeurs de logiciels et experts en sécurité découvrent chaque jour et dont ils ne sont hélas pas les seuls à connaître l existence. En effet, les pirates sont également au courant de ces vulnérabilités qu ils sont prêts à exploiter pour prendre le contrôle d ordinateurs non corrigés : comme pour installer des virus ou accéder à des informations personnelles. Pour les serveurs Web, l approche reste la même. Ils sont équipés d un système d exploitation, tout comme votre ordinateur personnel fonctionne sous Windows ou Mac OS. Des logiciels applicatifs servent les pages Web aux visiteurs du site. Plus récemment, on a vu des nombreux sites Web faire appel à des systèmes de gestion de contenus pour permettre aux non-informaticiens de créer et de modifier eux-mêmes des pages Web. Or, chacune de ces couches logicielles peut contenir des vulnérabilités susceptibles de permettre aux cybercriminels de modifier les contenus d un site Web. Une fois qu ils ont pris le contrôle d un site, ils peuvent s en servir comme rampe de lancement d attaques à l encontre de vos visiteurs. La cybercriminalité revêt différentes formes. Certains sont à l affût de vulnérabilités logicielles à exploiter pour leur propre compte, d autres créent des kits d attaques dans le but de les revendre. D autres enfin se spécialisent dans l utilisation de ces kits d attaques pour exploiter les vulnérabilités des sites Web. Pour que tout ce petit monde se rencontre, il existe sur Internet un grand marché noir où ils peuvent se revendre des conseils et astuces, et acheter ces kits. Les kits d attaques ressemblent à tout autre logiciel vendu dans le commerce. Mis à jour régulièrement, ils sont assortis d une garantie et d un support technique. Leader de ce marché sous-terrain, le kit «Blackhole» représentait 41 % de l ensemble des cyberattaques en ISTR 18 Infection I 8

9 LES MOYENS DE PROTECTION Particuliers ou professionnels, les internautes peuvent se protéger en faisant preuve d un minimum de bon sens sur le Web : Supprimez les s et les messages des médias sociaux qui vous paraissent suspects, sans cliquer sur les liens Installez un logiciel antivirus récent Installez les derniers correctifs et mises à jour logiciels sur votre ordinateur Créez une sauvegarde de votre ordinateur sur un disque externe ou via un service de sauvegarde dans le Cloud Restez vigilants sur les réseaux sociaux : déconnect ez-vous lorsque vous avez terminé et n acceptez pas les invitations de personnes que vous ne connaissez pas. Choisissez des mots de passe forts, que vous chang erez souvent, et ne les divulguez à personne Restez vigilants lorsque vous publiez des informations en ligne ne divulguez pas plus d informations personnelles que nécessaire sur les réseaux sociaux, et faites attention aux fichiers que vous placez sur les sites de partage et de stockage dans la Cloud Assurez-vous de la présence de marques de confiance comme les certificats Symantec SSL EV et le sceau Norton Secured Seal lorsque vous visitez un site Web ne transmettez aucune information confidentielle sur un site auquel vous ne faites pas confiance. Identification des éventuelles vulnérabilités de votre site Face à l augmentation du risque de corruption de leurs sites Web au moyen de kits d attaques, les propriétaires de sites Web doivent agir. Même s ils ne maîtrisent pas spécialement tous les aspects techniques, il leur faudra mettre en place des mesures destinées à protéger leurs sites, leurs visiteurs et leur réputation. Or, pres d un quart des responsables informatiques ne savent pas comment sécuriser leur site Web et plus de la moitié n ont jamais réalisé de détection des vulnérabilités de leur site Web 9 Vous pouvez utiliser les outils webmasters gratuits de Google qui vous informeront d un éventuel blocage de votre site en cas de malware sur votre serveur Web, mais vous arriverez alors après la bataille. Si vous préférez intervenir en amont, les certificats Symantec SSL EV ou Pro SSL, et leur service d analyse antimalware, constituent une meilleure alternative 10. Ce service vérifie chaque jour votre site et vous alerte en cas de problème. En prime, ces certificats incluent également une analyse hebdomadaire de détection des vulnérabilités destinée à identifier les faiblesses majeures susceptibles d exposer votre site aux attaques 11. Ces services vous aident à agir de façon préventive plutôt que curative Protection I 9

10 Que faire pour protéger votre site Web? La lecture de ce guide vous aura sans aucun doute sensibilisé à l importance d une analyse régulière de votre site pour y détecter la présence d éventuels malwares et autres failles. Toutefois, il existe encore des moyens supplémentaires de renforcer la sécurité de votre site et de vos visiteurs : Le sceau Norton Secured donne aux visiteurs la garantie que le site visité fait régulièrement l objet d analyses anti-malwares et de détection des vulnérabilités. Ce sceau constitue la marque de confiance la plus reconnue sur Internet 12. Pour preuve, 94 % des consommateurs se disent davantage disposés à poursuivre leur achat en ligne en sa présence 13. Les certificats SSL Extended Validation affichent une barre d adresse verte qui atteste de l identité de l entreprise propriétaire du site. Ils rassurent ainsi les internautes quant à l authenticité et la légitimité du site visité. Dès lors qu ils sont certains de ne pas se trouver sur un site de phishing, les cyberconsommateurs sont davantage disposés à saisir leurs coordonnées de carte bancaire et/ou d autres données financières confidentielles 14. Mise à jour régulière de vos logiciels serveurs. Si vous hébergez ou administrez vos propres serveurs Web, installez-y régulièrement des correctifs et des mises à jour. Si vous utilisez un système de gestion de contenus comme WordPress, mettez-le aussi régulièrement à jour, y compris l ensemble des plug-ins tiers. D après l étude de Symantec, les kits ciblent en majorité des vulnérabilités bien connues, pour lesquelles des solutions existent déjà. Contrôle des accès aux serveurs Web. Utilisez des mots de passe forts pour vos systèmes de gestion de contenus et vos serveurs Web. Interdisez le partage de mots de passe entre utilisateurs et assurez-vous de n octroyer des mots de passe ad ministrateurs qu aux seuls utilisateurs dont la fonction l exige. Always-on SSL. Des grands noms du Web comme Facebook et Twitter utilisent la technologie SSL sur chacune de leurs pages, et pas uniquement sur les formulaires de saisie et autres pages de paiement. Ainsi, cette technologie crypte et protège l ensemble des informations transmises par un utilisateur sur le site, et le rend moins vulnérable aux interceptions de type «man in the middle». Une bonne compréhension des menaces en présence profite non seulement à votre sécurité, mais aussi à votre activité. L équation est simple : si les consommateurs se sentent en sécurité, ils achèteront plus. Symantec vous accompagne dans vos missions de protection de votre site. Grâce à sa gamme de solutions de sécurité en ligne, vous gardez un coup d avance sur les cybercriminels et renforcez la confiance de vos clients, en toute simplicité. 12 Enquête e-consommateurs internationale : (États-Unis, Allemagne et Royaume-Uni), juillet Enquête Symantec réalisée auprès de cyberconsommateurs américains, février Enquête Symantec réalisée en janvier 2011 auprès de cyberconsommateurs de 6 pays (Royaume-Uni, France, Allemagne, Benelux, États-Unis et Australie). Protection I 10

11 VIDÉOS DU GUIDE SYMANTEC DE SURVIE CONTRE LE CYBERCRIME Ni vous, ni votre entreprise ne devez être les prochaines victimes des cybercriminels visionnez notre série vidéo en trois épisodes pour faire de la connaissance votre meilleure arme de défense. Découvrez combien de sites Web sont aujourd hui infectés et les raisons pour lesquelles même les sites légitimes ne sont pas toujours à l abri. Le vol de données étant désormais à la portée de tous, ce guide vous dévoilera les méthodes utilisées par ces nouveaux cambrioleurs du Web. Enfin, vous y découvrirez l impact économique réel du vol de données et les étapes à suivre pour protéger vos données et celles de votre entreprise. Pour en savoir plus sur Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, Norton, le logo en forme de coche et le logo Norton Secured sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux États-Unis et dans d autres pays. Les autres noms cités peuvent être des marques commerciales de leurs détenteurs respectifs. Vidéos du guide de survie contre le cybercrime I 11