Les faiblesses que ciblent les attaques informatiques résident moins dans les machines que dans la nature humaine.
Proofpoint dresse inlassablement ce constat année après année dans son rapport intitulé « Le facteur humain ».
L’édition 2018 n’y déroge pas. S’en dégage toutefois un autre enseignement, à mettre en parallèle avec une récente étude de Gemalto qui pointait les risques inhérents à l’externalisation : la sécurité que promettent les fournisseurs de services cloud n’est pas toujours au rendez-vous.
En premier lieu au niveau de l’authentification. Qu’elles émanent de bots, de nœuds Tor ou encore d’apps tierces, 24 % des tentatives « suspectes » de connexion ont réussi sur les « centaines de milliers » de comptes SaaS examinés par Proofpoint dans le cadre d’évaluations de risques ont réussi. Environ 1 % des identifiants avaient par ailleurs filtré.
Sur ce même échantillon, environ la moitié des utilisateurs ont connecté des applications et autres composantes tierces. Cette flexibilité n’est pas sans danger, estime Proofpoint, en donnant l’exemple d’un module autorisé, par un jeton OAuth, à synchroniser des e-mails sur un serveur moins sécurisé.
Outre le fait qu’environ 60 % des utilisateurs n’étaient soumis ni à une politique de mots de passe, ni à une procédure d’authentification forte, ils ont été des milliers à partager des fichiers avec leur compte personnel. De nombreux contenus ont, en parallèle, été partagés à trop large périmètre au sein de l’organisation… voire mis en accès public.
Les attaques informatiques tirent également parti de la légitimité des services cloud, aussi bien pour héberger que pour distribuer des logiciels malveillants. Proofpoint donne l’exemple de SharePoint, utilisé, en 2017, pour envoyer des millions de messages de spam à travers des centaines de campagnes.
G Suite ne manque pas à l’appel. La suite bureautique est pointée du doigt par le biais d’une vulnérabilité – corrigée – dans Google Apps Script permettant de glisser des malware dans des e-mails anodins en apparence.
Les services cloud ne sont pas toujours frappés directement. Ils servent souvent de simple levier de phishing, typiquement dans l’optique de récupérer des identifiants de connexion.
Dans les relevés de Proofpoint, Dropbox a été, et de loin, le principal appât, devant Outlook Web App, Office 365, les logiciels Adobe et Google Drive. Le taux de clics a cependant été nettement supérieur sur des e-mails semblant provenir de DocuSign.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…