BLOG

Défense contre la cybercriminalité pendant l'Euro 2020

David Warburton Miniature
David Warburton
Publié le 14 juin 2021

L'Euro 2020, retardé, est enfin en cours, marquant le début de l'un des plus grands événements sportifs à se dérouler depuis plus d'un an.

Et, comme pour tout événement de cette envergure, nous pouvons nous attendre à ce que les cybercriminels soient en forme et prêts à agir. Les jeux en ligne, les jeux d’argent et les services de commerce électronique en particulier sont susceptibles d’être ciblés à mesure que le battage médiatique autour de l’événement augmente et que l’activité en ligne associée augmente.

Voici quelques-unes des menaces auxquelles les entreprises proposant des services axés sur l’Euro 2020 devraient faire attention pendant le tournoi (et au-delà) :

Défense contre les attaques DDoS

Bien qu’une attaque DDoS puisse avoir un impact considérable sur n’importe quelle entreprise, les sites de jeux en ligne sont particulièrement vulnérables. À l'approche des matchs, on peut s'attendre à ce que le nombre de personnes pariant sur le résultat augmente et, grâce à une variété presque infinie d'options à leur disposition, continue à le faire tout au long du match. Les attaquants le savent et ajustent souvent leur timing en conséquence.

L’activité DDoS est déjà en hausse. Les données collectées par le centre d'opérations de sécurité (SOC) de F5 Silverline et l'équipe de réponse aux incidents de sécurité (SIRT) de F5 ont récemment révélé que les attaques DDoS ont augmenté de 55 % entre janvier 2020 et mars 2021 . La majorité de ces incidents (54 %) ont utilisé plusieurs vecteurs d’attaque, ce qui suggère une sophistication croissante d’attaquants de plus en plus déterminés.

Notamment, la plus grande attaque observée par le SOC visait une entreprise fournissant des services de sécurité de l'information aux organisations de jeux et de paris.  Dans cet exemple, l’entreprise a été menacée d’une attaque si elle ne payait pas. Face à leur refus, une attaque multi-vectorielle a été lancée, qui a duré plus d’un mois.

Il existe plusieurs raisons pour lesquelles les cybercriminels choisissent de cibler ce type d’entreprises. L’objectif le plus évident est le gain financier, en utilisant la menace d’une attaque DDoS pour les exiger en rançon. D’autres motivations pourraient inclure des attaques au nom de concurrents, des acteurs malveillants cherchant à utiliser une attaque DDoS comme diversion, ou simplement des pirates informatiques cherchant à se faire un nom.

La bonne nouvelle est qu’il existe plusieurs moyens de renforcer vos défenses. De plus en plus, cela implique d’empêcher les attaques d’atteindre le réseau de l’entreprise en exploitant des services gérés basés sur le cloud.

Une solution comme F5 Silverline DDoS Protection en est un bon exemple.  Fourni via une plateforme basée sur le cloud, il peut détecter et atténuer en temps réel, empêchant même les attaques DDoS volumétriques les plus importantes d'atteindre le réseau.  Le service est soutenu par un accès 24h/24 et 7j/7 à une équipe d'experts SOC pour maintenir les entreprises en ligne pendant les attaques DDoS via une protection L3-L7 complète et multicouche.

Les contrôles de sécurité techniques/préventifs suivants sont également recommandés pour se protéger contre les attaques DDoS :

  • Utilisez à la fois des pare-feu réseau et des pare-feu application Web.
  • Utilisez un système de détection d’intrusion basé sur le réseau.
  • Appliquez rapidement les correctifs pour empêcher vos systèmes d’être utilisés pour lancer des attaques.
  • Bloquer le trafic avec des adresses IP sources usurpées.
  • Utilisez la limitation de débit pour restreindre le volume du trafic entrant.

Montrant le détournement de forme, le carton rouge

D’autres tactiques cybercriminelles opportunistes à surveiller incluent le détournement de formulaire . Actuellement, l'une des tactiques d'attaque Web les plus courantes, elle consiste à siphonner des données du navigateur Web d'une organisation vers un emplacement contrôlé par l'attaquant.

À mesure que de plus en plus applications Web se connectent à des composants critiques tels que les paniers d’achat, les paiements par carte, la publicité et les analyses, les fournisseurs deviennent une cible démesurée. Le code peut être fourni à partir d’une grande variété de sources, dont la plupart se situent au-delà des limites des contrôles de sécurité d’entreprise habituels, tels que les proxys et les pare-feu application Web. Étant donné que de nombreux sites Web utilisent les mêmes ressources tierces, les attaquants savent qu’il leur suffit de compromettre un seul composant pour extraire des données d’un vaste bassin de victimes potentielles.

Les mesures de sécurité typiques qui peuvent aider les organisations à rester en sécurité comprennent :

  • Création d'une liste d'actifs d' applications Web. Cela devrait inclure un audit approfondi du contenu tiers. Le processus est compliqué par le fait que les tiers renvoient généralement vers encore plus de sites Web et par une tendance à des contrôles de sécurité de qualité inférieure.
  • Correction de votre environnement .  Même si les correctifs ne résolvent pas nécessairement les failles du contenu tiers, ils rendent plus difficile le passage d'une faille initiale à un compromis substantiel. L’injection Web étant une technique très polyvalente, la mise à jour des correctifs des applications exécutées dans votre propre environnement reste essentielle pour éviter les dommages causés par un actif tiers compromis.
  • Analyse des vulnérabilités. Depuis des années, les RSSI reconnaissent l’importance d’effectuer des analyses externes pour obtenir une vue d’ensemble de la situation. Cela devient encore plus important lorsque d’énormes quantités de contenu sont assemblées à la dernière minute côté client.
  • Surveillance des changements de code. Quel que soit l’endroit où le code est hébergé, il est important d’obtenir un degré de visibilité supplémentaire, indépendamment de l’apparition de nouvelles vulnérabilités. Cela signifie surveiller les buckets GitHub et AWS S3, ainsi que les référentiels de code natifs.
  • Authentification multifactorielle . Étant donné que l’injection est souvent utilisée pour contourner l’authentification afin d’accéder au code du serveur Web, l’authentification multifacteur doit être implémentée sur tout système se connectant à des actifs à fort impact. Idéalement, le chiffrement de la couche applicative peut également compléter TLS/SSL en chiffrant les informations d’identification et les détails de la carte de paiement lorsque l’utilisateur les saisit dans le navigateur.  Certains produits de pare-feu application Web (WAF) bien connus ont cette capacité. Cependant, un Advanced WAF peut offrir des niveaux améliorés de visibilité et de contrôle de la couche applicative pour aider à atténuer les risques d’injection distribuée et polymorphe.
  • Explorez le potentiel des en-têtes de sécurité des application Web . Par exemple, il est possible de mettre en place une politique de sécurité du contenu (CSP) pour bloquer les injections de code non autorisées dans un site Web ou une application. De plus, les méthodes Web SubResource Integrity (SRI) peuvent vérifier que les applications tierces n'ont pas été modifiées.  Les deux outils nécessitent du travail pour s'adapter correctement à une application Web. C’est là qu’un WAF robuste et flexible entre en jeu.
  • Surveillez les domaines et certificats nouvellement enregistrés . Ils sont souvent utilisés pour héberger des scripts malveillants tout en paraissant authentiques aux yeux des utilisateurs finaux.

Lutter contre le fléau du phishing

L’hameçonnage est un autre favori éternel. Les attaquants n’ont pas à se soucier de pirater un pare-feu, de trouver un exploit zero-day, de déchiffrer le cryptage ou de descendre en rappel dans une cage d’ascenseur avec un jeu de crochets entre les dents. Il est bien plus facile de tromper quelqu’un pour lui demander ses papiers d’identité. La partie la plus difficile est de trouver un argumentaire par e-mail convaincant pour inciter les gens à cliquer et un faux site sur lequel atterrir. Attendez-vous à une surabondance de ces derniers tout au long du tournoi.

Selon le dernier rapport de F5 Labs sur le phishing et la fraude , 52 % des sites de phishing utilisaient des noms de marque et des identités courants dans les adresses de leurs sites Web. Les auteurs d’attaques de phishing ont également intensifié leurs efforts pour faire apparaître les sites frauduleux aussi authentiques que possible : Les données du F5 SOC citées dans le rapport ont révélé que la plupart des sites de phishing utilisaient le cryptage, 72 % d'entre eux utilisant des certificats HTTPS valides pour tromper leurs victimes. Cela signifie que la simple recherche du cadenas (ou d’une adresse commençant par https://) ne suffit plus. En fait, il est extrêmement dangereux de conseiller cela, car cela implique que les sites sont intrinsèquement dignes de confiance simplement parce qu'ils possèdent un certificat numérique.

Chaque organisation sera à un moment donné la cible d’attaques de phishing, que ces attaques soient dirigées ou aveugles. Malheureusement, toutes les organisations ne mettent pas en œuvre des cadres de gestion de la sécurité de l’information robustes.

Les cinq fonctions du NIST offrent un moyen utile de réfléchir à toute cybermenace mais, quels que soient les efforts déployés par les entreprises pour protéger leur marque et leurs clients, les attaques de phishing continueront de réussir tant qu'il y aura un humain qui pourra être manipulé psychologiquement d'une manière ou d'une autre. C'est pourquoi les contrôles de sécurité et les navigateurs Web doivent devenir plus efficaces pour mettre en évidence les sites frauduleux auprès des utilisateurs. Les particuliers et les organisations doivent également être formés en permanence sur les dernières techniques utilisées par les fraudeurs, des URL trompeuses à l’utilisation abusive de certificats HTTPS.

Rester sur la balle

Les menaces détaillées ci-dessus ne constituent pas une liste exhaustive. Il y en a d'autres. N’oubliez pas que les cybercriminels sont extrêmement doués pour tirer profit des rebondissements liés à des événements comme l’Euro 2020. Restez vigilant, recherchez les bonnes solutions de sécurité et essayez toujours de suivre l’évolution des mentalités et des capacités des attaquants.