Les employés sont souvent avertis des risques d’exposition des données associés aux e-mails de phishing, au vol d’informations d’identification et à l’utilisation de mots de passe faibles. Cependant, ils peuvent risquer de divulguer ou d’exposer des informations sensibles sur eux-mêmes, le travail qu’ils font ou leur organisation sans même s’en rendre compte. Ce risque est souvent inexploré dans les formations de sensibilisation à la cybersécurité, laissant les employés inconscients des risques qu’ils peuvent poser pour la sécurité des données qui, si elles sont exposées, pourraient être exploitées à la fois directement et indirectement pour cibler les travailleurs et les entreprises à des fins malveillantes.
Voici huit façons inhabituelles, inattendues et relativement étranges pour les employés d’exposer accidentellement des données, ainsi que des conseils pour traiter et atténuer les risques qui y sont associés.
1. Les reflets des lunettes exposent les données de l’écran lors des appels de vidéoconférence
Les plates-formes de visioconférence telles que Zoom et Microsoft Teams sont devenues un incontournable du travail à distance/hybride. Cependant, de nouvelles recherches universitaires ont révélé que les participants à la visioconférence portant des lunettes risquent d’exposer accidentellement des informations via le reflet de leurs lunettes.
Dans un article intitulé Détective privé : sur les limites de l’affichage textuel de l’écran via les reflets des lunettes dans les visioconférences, un groupe de chercheurs de l’Université Cornell a révélé une méthode de reconstruction du texte à l’écran exposé via les lunettes des participants et d’autres objets réfléchissants lors de vidéoconférences. À l’aide de modèles mathématiques et d’expériences sur des sujets humains, la recherche a exploré la mesure dans laquelle les webcams divulguent des informations textuelles et graphiques reconnaissables qui brillent à partir de lunettes.
“Nos modèles et nos résultats expérimentaux dans un environnement de laboratoire contrôlé montrent qu’il est possible de reconstruire et de reconnaître avec une précision de plus de 75 % des textes à l’écran d’une hauteur aussi petite que 10 mm avec une webcam 720p”, ont écrit les chercheurs. “Nous avons en outre appliqué ce modèle de menace aux contenus textuels Web avec différentes capacités d’attaquant pour trouver des seuils auxquels le texte devient reconnaissable.” L’étude de 20 participants a révélé que les webcams 720p actuelles sont suffisantes pour que les adversaires reconstruisent le contenu textuel sur les sites Web à grande police, tandis que l’évolution vers les caméras 4K fera basculer le seuil de fuite de texte vers la reconstruction de la plupart des textes d’en-tête sur les sites Web populaires.
De telles capacités entre les mains d’un acteur malveillant pourraient potentiellement menacer la sécurité de certaines données confidentielles et sensibles. La recherche a proposé des mesures d’atténuation à court terme, notamment un prototype de logiciel que les utilisateurs peuvent utiliser pour brouiller les zones de lunettes de leurs flux vidéo. “Pour d’éventuelles défenses à long terme, nous préconisons une procédure de test de réflexion individuelle pour évaluer les menaces dans différents contextes et justifier l’importance de suivre le principe du moindre privilège pour les scénarios sensibles à la vie privée”, ont ajouté les chercheurs.
2. Les mises à jour de carrière de LinkedIn déclenchent des attaques de phishing par SMS pour les nouveaux employés
Sur le site de réseautage professionnel LinkedIn, il est courant que les gens publient des messages lorsqu’ils commencent un nouveau rôle, mettant à jour leur profil pour refléter leur dernier changement de carrière, leur expérience et leur lieu de travail. Cependant, cet acte apparemment inoffensif peut ouvrir de nouveaux lanceurs aux soi-disant attaques de phishing par SMS pour les nouveaux employés, par lesquelles les attaquants parcourent LinkedIn à la recherche de nouvelles offres d’emploi, recherchent le numéro de téléphone d’un nouvel employé sur un site de courtage de données et envoient des messages de phishing par SMS en prétendant être un cadre supérieur au sein de l’entreprise, essayant de les tromper pendant les premières semaines de leur nouvel emploi.
Comme l’a détaillé Rachel Tobac, experte en ingénierie sociale et PDG de SocialProof Security, ces messages demandent généralement des cartes-cadeaux ou de faux transferts d’argent, mais ils sont connus pour demander des informations de connexion ou des decks sensibles. “J’ai récemment constaté une augmentation de la méthode d’attaque par hameçonnage par SMS pour les nouveaux employés”, elle a écrit sur Twitterajoutant que c’est devenu si courant que la plupart des organisations avec lesquelles elle travaille ont cessé d’annoncer de nouvelles embauches sur LinkedIn et recommandent aux nouveaux arrivants de limiter les publications sur leurs nouveaux rôles.
Ce sont de bonnes mesures d’atténuation pour réduire les risques d’escroqueries par hameçonnage par SMS pour les nouveaux employés, a déclaré Tobac, et les équipes de sécurité devraient également éduquer les nouveaux employés sur ces attaques, en décrivant à quoi ressemblera une véritable communication de l’entreprise et quelles méthodes seront utilisées. Elle a également recommandé de fournir aux employés DeleteMe pour supprimer leurs coordonnées des sites de courtage de données.
3. Les médias sociaux, les images de l’application de messagerie révèlent des informations de fond sensibles
Les utilisateurs peuvent ne pas associer la publication de photos sur leurs réseaux sociaux personnels et leurs applications de messagerie à un risque pour les informations sensibles de l’entreprise, mais comme Dmitry Bestuzhev, chercheur sur les menaces le plus distingué chez BlackBerry, le dit au CSO, la divulgation accidentelle de données via des applications sociales telles qu’Instagram, Facebook, et WhatsApp est une menace très réelle. « Les gens aiment prendre des photos mais parfois ils oublient leur environnement. Ainsi, il est courant de trouver des documents sensibles sur la table, des schémas au mur, des mots de passe sur des notes autocollantes, des clés d’authentification et des écrans déverrouillés avec des applications ouvertes sur le bureau. Toutes ces informations sont confidentielles et pourraient être utilisées pour des activités néfastes.
Il est facile pour les employés d’oublier que, sur un écran déverrouillé, il est simple de repérer le navigateur qu’ils utilisent, les produits antivirus auxquels ils sont connectés, etc., ajoute Bestuzhev. “Ce sont toutes des informations précieuses pour les attaquants et peuvent si facilement être exposées sur des photos sur les mises à jour de statut Instagram, Facebook et WhatsApp.”
Keiron Holyome, vice-président UKI, Europe de l’Est, Moyen-Orient et Afrique chez BlackBerry, souligne l’importance de l’éducation à la sécurité et de la sensibilisation à ce problème. « Les entreprises ne peuvent pas empêcher les employés de prendre et de partager des photos, mais elles peuvent souligner les risques et amener les employés à s’arrêter et à réfléchir à ce qu’ils publient », dit-il.
4. Les erreurs de saisie du script d’ingestion de données entraînent une utilisation incorrecte de la base de données
S’adressant au CSO, Tom Van de Wiele, chercheur principal sur les menaces et la technologie chez WithSecure, a déclaré que son équipe avait traité des cas inhabituels dans lesquels une simple erreur de frappe d’une adresse IP ou d’une URL pour un script d’ingestion de données a conduit à l’utilisation de la mauvaise base de données. “Cela se traduit alors par une base de données mixte qui doit être nettoyée ou restaurée avant le démarrage du processus de sauvegarde, sinon l’organisation pourrait avoir un PII [personally identifiable information] incident qui viole le RGPD », ajoute-t-il. “Les entreprises sont régulièrement confrontées à des incidents de mélange de données et parfois les opérations sont irréversibles si une succession de pannes se produit trop loin dans le passé.”
Van de Wiele conseille donc aux équipes de sécurité de tirer parti de l’aspect authentification de TLS lorsque cela est possible. “Cela réduira le risque d’erreur d’identité des serveurs et des bases de données, mais comprenez que le risque ne peut pas être complètement éliminé – alors agissez et préparez-vous en conséquence en vous assurant que vous disposez de journaux en place qui sont utilisés dans le cadre d’une stratégie de détection et de surveillance plus large. Cela inclut les événements réussis et non réussis », ajoute-t-il.
Van de Wiele préconise également l’application de règles, de processus, de sensibilisation et de contrôles de sécurité stricts sur la manière et le moment d’utiliser les environnements de production/pré-production/mise en scène/test. “Cela se traduira par moins d’incidents de mélange de données, moins d’impact lors du traitement de données produit réelles et garantit que tout type de mise à jour ou de modification résultant de la découverte d’un problème de sécurité peut être testé de manière approfondie dans des environnements de pré-production.” Nommer les serveurs afin qu’ils puissent être distingués les uns des autres plutôt que d’utiliser des abréviations est un autre conseil utile, tout comme effectuer des tests de sécurité en production, dit-il. “Investissez dans la détection et la surveillance comme l’un des contrôles compensatoires pour cela et testez pour vous assurer que la détection fonctionne conformément aux attentes.”
5. Les journaux de transparence des certificats exposent des radeaux de données sensibles
Les journaux de transparence des certificats (CT) permettent aux utilisateurs de naviguer sur le Web avec un degré de confiance plus élevé et permettent aux administrateurs et aux professionnels de la sécurité de détecter les anomalies de certificat et de vérifier rapidement les chaînes de confiance. Cependant, en raison de la nature de ces journaux, tous les détails d’un certificat sont publics et stockés pour toujours, explique Art Sturdevant, vice-président des opérations techniques chez Censys. « Un audit rapide des données des certificats de Censys montre les noms d’utilisateur, les e-mails, les adresses IP, les projets internes, les relations commerciales, les produits en pré-lancement, les structures organisationnelles, etc. Ces informations peuvent être utilisées par les attaquants pour empreinter l’entreprise, compiler une liste de noms d’utilisateur ou d’adresses e-mail valides, cibler les e-mails de phishing et, dans certains cas, cibler les systèmes de développement, qui peuvent avoir moins de contrôles de sécurité, pour la prise de contrôle et le mouvement latéral.
Étant donné que les données d’un journal CT sont éternelles, il est préférable de former les développeurs, les administrateurs informatiques, etc. à utiliser un compte de messagerie générique pour enregistrer les certificats, ajoute Sturdevant. “Les administrateurs doivent également former les utilisateurs sur ce qui se passe dans un journal CT afin qu’ils puissent aider à éviter la divulgation accidentelle d’informations.”
6. Le matériel USB “innocent” devient une porte dérobée pour les attaquants
Les employés peuvent être enclins à acheter et à utiliser leur propre matériel, comme des ventilateurs USB ou des lampes avec leurs ordinateurs portables d’entreprise, mais le chef de l’équipe de recherche sur les logiciels malveillants de CyberArk, Amir Landau, prévient que ces gadgets apparemment innocents peuvent être utilisés comme des portes dérobées vers l’appareil d’un utilisateur et le réseau d’entreprise plus large. . De telles attaques matérielles ont généralement trois vecteurs d’attaque principaux, dit-il :
- « Le matériel malveillant par conception, où les appareils sont livrés avec des logiciels malveillants préinstallés, avec un exemple connu sous le nom de BadUSB. Les BadUSB peuvent être achetés très facilement sur AliExpress, ou les gens peuvent créer les leurs avec des sources ouvertes, telles que Canard en caoutchouc USBà partir de n’importe quel périphérique USB.
- Viennent ensuite les infections par des vers – également appelées réplication via des supports amovibles – où les périphériques USB sont infectés par des vers, tels que USBferry et Raspberry Robin.
- Troisièmement, il y a les chaînes d’approvisionnement matérielles compromises. “Dans le cadre d’une attaque de la chaîne d’approvisionnement, de mauvais logiciels ou puces sont installés dans du matériel légitime, comme dans le cas des micropuces malveillantes insérées dans les cartes mères qui se sont retrouvées dans les serveurs utilisés par Amazon et Apple en 2018.”
Détecter ce type d’attaques au point de terminaison est difficile, mais la détection et la réponse des antivirus et des points de terminaison peuvent, dans certains cas, protéger contre les menaces en surveillant le flux d’exécution des appareils étendus et en validant les politiques d’intégrité du code, explique Landau. “Les solutions de gestion des accès privilégiés (PAM) sont également importantes en raison de leur capacité à bloquer les ports USB aux utilisateurs non privilégiés et à empêcher le code non autorisé.”
7. Les imprimantes de bureau jetées offrent des mots de passe Wi-Fi
Lorsqu’une ancienne imprimante de bureau cesse de fonctionner ou est remplacée par un modèle plus récent, on peut pardonner aux employés de simplement la jeter pour la recycler. Si cela est fait sans d’abord effacer les données telles que les mots de passe Wi-Fi, cela peut exposer une organisation à des risques d’exposition des données.
Van de Wiele l’a vu de ses propres yeux. “Les criminels ont extrait les mots de passe et les ont utilisés pour se connecter au réseau de l’organisation afin de voler des PII”, dit-il. Il conseille de chiffrer les données au repos et en cours d’utilisation/transit et de s’assurer qu’un processus d’authentification existe pour protéger la clé de déchiffrement des terminaux en général. “Assurez-vous que les supports amovibles sont sous contrôle, que les données sont toujours cryptées et que la récupération est possible via un processus formel avec les contrôles nécessaires en place.”
8. Courriels envoyés à les comptes personnels divulguent des informations sur les entreprises et les clients
Avishai Avivi, CISO chez SafeBreach, raconte un incident où un e-mail non malveillant envoyé par un employé à des fins de formation a presque conduit à l’exposition de données, y compris les numéros de sécurité sociale des clients. « Dans le cadre de la formation des nouveaux associés, l’équipe de formation a pris une vraie feuille de calcul qui contenait les SSN des clients, et a simplement masqué les colonnes contenant tous les SSN. Ils ont ensuite fourni cette feuille de calcul modifiée aux stagiaires. L’employé cherchait à poursuivre sa formation à la maison et a simplement envoyé la feuille de calcul par e-mail à son compte de messagerie personnel », a-t-il déclaré à CSO.
Heureusement, l’entreprise disposait d’un contrôle réactif de protection contre les fuites de données (DLP) surveillant tous les e-mails des employés, qui a détecté l’existence de plusieurs SSN dans la pièce jointe, bloqué l’e-mail et alerté le SOC. Cependant, cela rappelle que des informations sensibles peuvent être exposées même par les actions les plus authentiques et les plus bienveillantes.
“Plutôt que de compter sur des contrôles réactifs, nous aurions dû avoir de meilleurs contrôles préventifs de classification des données qui auraient indiqué le déplacement de données SSN réelles de l’environnement de production vers un fichier du service de formation, un contrôle qui aurait empêché l’employé d’essayer même pour envoyer la pièce jointe par e-mail à un compte de messagerie personnel », explique Avivi.
Copyright © 2022 IDG Communications, Inc.