L’École Européenne d’Intelligence Économique lance son cinquième webinar avec en intervenant, Frédéric Mouffle, Expert Cybersécurité et Directeur général associé de KER-MEUR.
Le thème : Cybersécurité : Best Practices.
Introduction :
La cybersécurité est un sujet majeur devenu stratégique pour les entreprises mais également pour les utilisateurs.
Nous verrons dans ce webinar, les principaux vecteurs d’attaques et comment s’en prémunir.
En appliquant les « best practices », vous serez a même de pouvoir éviter 95% des menaces.
Les best practices seront abordées, de la robustesse du mot de passe, au chiffrement des données en passant par une politique de sauvegarde efficace.
Retrouvez le Replay de ce webinar à l’adresse suivante : https://www.eeie.fr/webinar-eeie-05-cybersecurite-best-practices/
2. QUELQUES CHIFFRES
2,6 milliards
Nombre de comptes en ligne piratés en 2017
Combien valent vos infos
sur le Dark Web ?
E-mail/mot de passe : 1 $
Permis de conduire : 20 $
N° de carte de crédit : 8 à 22 $
Dossier médical : > 1 000 $
(Source : Keeper)
3. CODE PIN / MOT DE PASSE
Définir un mot de passe de 8 caractères minimum pour le déverrouillage de vos
sessions.
# Temps nécessaire pour
déchiffrer un mot de passe :
4 chiffres = immédiat
6 chiffres = 2 sec
8 chiffres = 9 heures
10 chiffres = 6 ans
# Lorsqu’un site internet se
fait voler sa base de données,
si votre mot de passe est
simple, il sera décrypté.
# Top 5 des mots de passe
les plus utilisés
123456
Password
12345678
Qwerty
12345
letmein
Pourquoi ?
4. CODE PIN / MOT DE PASSE
Solution ?
[Téléphones et Ordinateurs] La complexité du mot de passe est fondamentale, utilisez des caractères
majuscules, minuscules, chiffres et spéciaux. Exemple : 00NomDeRue@@
[Téléphones ] L’utilisation de l’empreinte ou du face ID empêche l’attaquant de visualiser la saisie de
votre mot de passe.
[Téléphones et Ordinateurs] Utilisez des logiciels de gestion de mot de passe tels que Keepass,
Lastpass ou Dashlane.
# Configurez la double authentification systématiquement lorsque cela est possible et/ou utilisez une
Yubikey.
Testez la robustesse de votre mot de passe
https://howsecureismypassword.net
Décryptez le Hash d’un mot de passe
https://md5decrypt.net/
5. CODE PIN / MOT DE PASSE
Exemple
17 janvier 2019 : Vol de mots de passe
Troy Hunt, expert informatique chez Microsoft et connu pour être le fondateur du site « Have I
been Pwned? », a fait savoir qu'une archive comprenant près de 2,7 milliards d'identifiants a
fait son apparition sur la toile. Celle-ci regroupe des données issues de quelque 12 000
piratages.
Source : https://www.lesnumeriques.com/vie-du-net/collection-1-2-7-milliards-comptes-pirates-
dans-archive-n82943.html
Lien : https://haveibeenpwned.com/
6. CHIFFRER/CRYPTER
# En cas de perte ou de vol de vos périphériques, l’attaquant peut avoir accès à vos données
présentes sur les disques durs, mémoires, cartes SD si les données ne sont pas protégées.
# Dans le cadre professionnel, vous êtes détenteur de données sensibles qui doivent être protégées
contre le vol d’information.
# Lors de vos déplacements, si vous ne chiffrez pas vos communications, un attaquant pourrait les
intercepter et récupérer des informations.
# Assurez vous que vos logiciels de messagerie utilisent bien le protocole SSL/TLS. Dans le cas
contraire, une personne connectée sur le même réseau pourrait récupérer vos identifiants.
Cryptez/chiffrez l’intégralité des données présentes sur vos périphériques
ainsi que vos communications internet, mail.
Pourquoi ?
7. CHIFFRER/CRYPTER
[Ordinateurs] Utilisez les outils intégrés à vos systèmes d’exploitation, Bitlocker pour Windows
et Filevault pour MAC.
[Ordinateurs] Si vos systèmes d’exploitation ne disposent pas d’outils intégrés, installez une
application de chiffrement de type Veracrypt, Axcrypt ou 7Zip pour l’envoi de fichiers chiffrés.
[Téléphones] Utilisez les outils intégrés à vos périphérique tel que Knox (Android). Pour IOS, le
chiffrement est activé par défaut à condition que le périphérique soit verrouillé par un code.
[Téléphones/Communication] Lorsqu’un doute subsiste, il est préférable d’utiliser la 4G qui est
très difficile à intercepter et à décrypter.
[Téléphones et Ordinateurs/Communication] Configurer vos logiciels de messagerie (Outlook,
Thunderbird.) avec le protocole SSL/TLS afin de chiffrer la communication entre votre appareil
et le serveur de mail. Vérifiez que tous vos liens de navigation soient tous en HTTPS.
Solution ?
8. CHIFFRER/CRYPTER
Exemple
24 septembre 2019 : Un ingénieur de Thales se fait voler un ordinateur avec des données
confidentielles.
Un ingénieur du groupe de défense Thales s'est fait voler deux ordinateurs, dont l'un contenait
des données cryptées confidentielles, et un badge d'accès personnel. L'ordinateur professionnel
de cet ingénieur contenait des données sensibles MAIS cryptées à des fins militaires.
Source: https://www.lefigaro.fr/flash-actu/yvelines-un-ingenieur-de-thales-se-fait-voler-un-
ordinateur-avec-des-donnees-confidentielles-20190925
9. VIRTUAL PRIVATE NETWORK (VPN)
# Un individu malveillant ou un Etat peut contrôler le point d’accès Wifi/Réseau ou intercepter les
données au niveau de l’opérateur internet. Il pourra alors visualiser votre activité internet et
récupérer certains de vos mots de passe.
Utilisez systématiquement une liaison VPN lorsque vous êtes
connectés sur un réseau wifi autre que celui de votre entreprise.
10. VIRTUAL PRIVATE NETWORK (VPN)
[Téléphones et Ordinateurs] Lors de déplacements à l’étranger ou lorsque vous ne connaissez pas
l’origine du point d’accès sur lequel vous voulez vous connecter, initialisez une connexion VPN.
Solution ?
11. VIRTUAL PRIVATE NETWORK (VPN)
Exemple
Juillet 2017: Le groupe de pirates, APT28, utilise la faille de WannaCry pour pirater le Wifi de
plusieurs hôtels en Europe et voler des données clients.
Ce groupe exploite le faible niveau de sécurité des réseaux Wifi des hôtels pour y implanter
des malwares et récupérer des identifiants et mots de passe de clients. Ils parviennent dans un
deuxième temps à pénétrer les réseaux de leurs employeurs.
Source: https://www.fireeye.com/blog/fr-threat-research/2017/08/apt28-targets-hospitality-
sector.html
12. SAUVEGARDER / RESTAURER
# Si vous êtes victime d’un virus de type Ransomware, vous avez la capacité de restaurer toutes vos
données sans perte majeure.
# Si un logiciel malveillant est installé sur votre téléphone ou ordinateur, la restauration périodique
supprimera ce logiciel.
# Le risque de défaillance sur les supports de stockage sont une réalité (casse, panne, perte…)
Procédez à des sauvegardes régulières de vos données ordinateurs et téléphones.
Pourquoi ?
13. SAUVEGARDER / RESTAURER
# Ne faites pas de sauvegarde automatique sur un disque de type lecteur réseau. Si un virus infecte
votre machine, il aurait accès à votre espace de sauvegarde ainsi qu’à l’ensemble du réseau.
# Sauvegardez vos données sur un support amovible chiffré.
# Sauvegardez uniquement les données importantes.
# Testez la restauration de vos sauvegardes afin d’en vérifier l’intégrité.
# Doublez vos sauvegardes dans des lieux physiques différents.
# Pour les utilisateurs de Mac/PC Ios et Android, des services de sauvegarde type cloud sont
disponibles gratuitement jusqu’à un certain volume de données.
Solution ?
14. SAUVEGARDER / RESTAURER
Exemple
2017: Le ransomware WannaCry avait pris en otage les données de certains établissements de
santé, révélant ainsi l’insuffisance de la protection et de la gestion des données.
Le ransomware WannaCry a infecté les systèmes informatiques de plusieurs établissements de
santé, les obligeant à verser une rançon pour retrouver les données de leurs patients.
Des sauvegardes hors site et hors ligne permettent à la fois d’atténuer les conséquences néfastes
des ransomwares, mais aussi de contribuer à prévenir le problème.
Source : https://www.journaldunet.com/economie/expert/69570/gerer-les-donnees-dans-le-
secteur-de-la-sante-un-an-apres-wannacry.shtml
15. APPLICATION / LIEN MALVEILLANT
# Les concepteurs de virus s’appuient sur la vulnérabilité humaine afin que leur code malveillant
puisse s’exécuter sur le périphérique de la victime.
# Un virus peut se cacher dans :
- Une application non certifiée - Un lien (http://cliquezici.com) SMS, WhatsApp
- Une pièce jointe infectée - Une image MMS
# Si vous cliquez, tous ces vecteurs d’infection peuvent déclencher à votre insu un code malveillant
pouvant subtiliser vos données, crypter vos fichiers, utiliser votre machine comme serveur de spam….
# Votre périphérique pourrait être utilisé pour effectuer des attaques informatiques
N’installez pas d’application en dehors des stores officiels. Vérifiez les liens ou PJ
Pourquoi ?
16. APPLICATION / LIEN MALVEILLANT
# Ne jailbreakez pas votre IPhone, n’installez aucune application ou mise à jour en dehors des
stores officiels (Apple Store / Google Play).
# Ne pas utiliser Windows en mode administrateur, créez une session utilisateur aux droits limités.
# N’ouvrez pas de lien, fichier d’un tiers non identifié (même si cela est tentant).
# Disposez d’une sauvegarde intègre à restaurer en cas d’infection.
Solution ?
17. APPLICATION / LIEN MALVEILLANT
Exemple
2019 : Certaines fausses applications sont des copies de l'application d'origine, que ce soit
l'interface utilisateur, l’interface graphique ou le contenu.
De fausses applications telles que Spotify, Deezer, Snapachat ou Instagram fleurissent sur les «
dark app store » (ex : Tutu-App), c’est à dire en dehors des stores officiels. Ce sont des
imitations conçues pour tromper l’utilisateur et lui subtiliser ses informations de paiement, ses
contacts et autres données privées. Elles sont ensuite le plus souvent commercialisées sur le
darknet.
Source : https://www.kaspersky.fr/resource-center/preemptive-safety/identifying-and-
avoiding-fake-apps
Liens vers les stores officiels:
- https://play.google.com/store/
- https://https://www.apple.com/ios/app-store/
18. LOCALISER / EFFACER LES DONNEES
# En cas de perte ou de vol, vous pourrez localiser votre téléphone, le verrouiller, le faire sonner,
envoyer un message sur l’écran pour vous permettre de le retrouver.
# En cas de vol, vous pourrez effacer le contenu du téléphone à distance.
# Pensez à noter votre numéro IMEI pour qu’en cas de perte/vol de votre périphérique, il soit rendu
inutilisable sur l’ensemble des réseaux télécom.
Pour activer la localisation sur Apple : https://www.apple.com/fr/icloud/find-my/
Pour activer la localisation sur Samsung : https://www.samsung.com/fr/apps/find-my-mobile/
Utilisez les services de localisation/antivol, proposés par les constructeurs de
téléphones mobiles.
19. LOCALISER / EFFACER LES DONNEES
Exemple
Décembre 2018 : La fonction « Localiser mon iPhone » a permis à la police de mettre la main sur un
voleur de voitures.
Un Américain s’était fait voler son véhicule par un homme armé. Avant d’être extrait de force du
véhicule, la victime a eu la présence d’esprit de cacher son iPhone dans la voiture. La fonction de
localisation a permis aux forces de l’ordre de retrouver l’auteur de l’agression.
Source : https://www.phonandroid.com/grace-localiser-iphone-police-retrouve-voiture-volee.html
20. L’INGENIERIE SOCIALE
# La première phase d’une attaque informatique est souvent de l’ingénierie sociale. L’attaquant
réalise un environnement internet de sa cible en vue d’obtenir des informations. Il tentera de
collecter des éléments par mail ou téléphone en se faisant passer pour quelqu’un d’autre auprès de
vos relations.
# Si vos données présentes sur internet sont maîtrisées, il lui sera beaucoup plus difficile de vous
atteindre, la prise de risque sera plus grande.
# Vérifiez vos paramètres de confidentialité sur vos comptes et réseaux sociaux.
# La maitrise de vos informations est essentielle tant sur le plan personnel que professionnel.
La CNIL et le RGPD vous permettent de faire valoir l’accès à vos données personnelles ainsi que le
droit à l’oubli.
Ayez la maitrise et la connaissance des données qui vous concernent sur internet
21. L’INGENIERIE SOCIALE
Exemple
Novembre 2019 : Plusieurs entreprises de Haute-Savoie ont été victimes d’arnaques aux Faux
Ordres de Virement Internationaux (FOVI).
Depuis 2010, la fraude aux FOVI est une attaque classique chez les cybercriminels. En ciblant les
comptables des sociétés et en se faisant passer pour les dirigeants ou des fournisseurs, ils tentent de
faire modifier les coordonnés bancaires à leur profit. Les cybercriminels ont demandé par courriel
d’effectuer des virements en urgence. Avant d’agir, ces escrocs étudient le fonctionnement de
l’entreprise afin d’être en mesure de convaincre la personne ciblée.
Source : https://www.francebleu.fr/infos/faits-divers-justice/escroqueries-plusieurs-entreprises-de-
haute-savoie-victimes-d-arnaques-aux-faux-ordres-de-virement-1572974330
22. LES MISES A JOUR
# Les mises à jour de sécurité/critiques comblent les failles identifiées par les fabricants ou par des
tiers (Zéro Day).
# Les mises à jour de version apportent souvent des fonctionnalités supplémentaires ou corrigent
certains dysfonctionnements.
# Les virus sont conçus pour exploiter certaines vulnérabilités sur des versions précises de logiciels.
Si votre appareil dispose de la dernière mise à jour, le code malveillant ne pourra pas s’exécuter
car non conçu pour infecter cette nouvelle version.
# Les mises à jour ne doivent être réalisées que depuis les sites officiels.
# Ayez connaissance de l’ensemble de votre matériel nécessitant d’être maintenu à jour.
Procédez aux mises à jour de sécurité sur vos téléphones, ordinateurs et objets
connectés lorsqu’elles vous sont proposées.
23. LES MISES A JOUR
Exemple
Mars 2019 : Google mettait en garde contre une faille d’envergure sur Google Chrome, ce qui
nécessitait une mise à jour immédiate de la part de ses utilisateurs.
Affectant le navigateur Chrome (sur Windows, Linux et iOS), le bug permettait à presque n’importe
qui d’avoir accès à des données utilisateurs et d’exécuter des tâches sans autorisation préalable.
Google ayant rapidement déployé un correctif, il suffisait de mettre à jour le navigateur Chrome
sur tous ses appareils pour corriger la faille.
Source : https://www.journaldugeek.com/2019/03/08/google-chrome-faille-de-securite-necessite-
de-mettre-navigateur-a-jour/
24. OBJETS CONNECTES (IoT)
# Beaucoup d’objets connectés sont vendus avec des identifiants et mots de passe par défaut, ce
qui les rend accessibles à des pirates informatiques depuis internet.
# Les objets connectés n’ont pas encore l’attention nécessaire de leur propriétaire en matière de
sécurité. Ce sont des cibles de choix pour vous espionner, lancer des attaques, stocker des contenus
illégaux à votre insu ou utiliser la puissance de calcul de l’objet.
# Pour garantir un niveau de sécurité suffisant:
1. Réinitialisez le périphérique avant de l’utiliser
2. Changez les mots de passes par défaut
3. Préférez des marques de fabricants réputés
Moteur de recherche de l’internet des objets vulnérables : https://www.shodan.io/
Référencez tous les objets connectés présents sur votre réseau informatique
25. OBJETS CONNECTES (IoT)
Exemple
Avril 2018 : Un casino piraté depuis le thermomètre connecté de son aquarium.
Des pirates ont utilisé le thermomètre présent dans un aquarium d’un casino comme point d’entrée
du réseau informatique . Ils ont ainsi pu accéder au Cloud de l’entreprise et subtiliser sa base de
données.
Source : https://www.businessinsider.com/hackers-stole-a-casinos-database-through-a-thermometer-
in-the-lobby-fish-tank-2018-4?IR=T
26. ANTI-VIRUS
# L’installation d’un antivirus ne vous protègera pas à 100%. Les hackeurs mettent au point des
programmes qui ne sont pas détectés par les antivirus.
# L’antivirus peut cependant détecter des processus malveillants déjà connus dans les bases
antivirales.
# Les mises à jour vous protègent contre les nouvelles menaces identifiées.
Installez un antivirus pour bénéficier d’une couche supplémentaire de sécurité.
27. ANTI-VIRUS
Exemple
Mai 2019: Le groupe de hackers Fxmsp assure avoir compromis les réseaux internes de trois
sociétés américaine d'antivirus.
Les noms de ces trois éditeurs d'antivirus n’ont pas été dévoilés mais ils sont qualifiés de majeurs.
Ce collectif de hackers serait parvenu à infiltrer leurs réseaux internes et exfiltrer environ 30 To de
données. Ces dernières porteraient sur du code source sensible de logiciels antivirus, de modèles
d'intelligence artificielle et de plugins de sécurité.
Source : https://www.generation-nt.com/hacker-advintel-fxmsp-piratage-antivirus-actualite-
1964780.html