27.09.2022 - Le nombre de signalements transmis au NCSC a légèrement diminué la semaine dernière. Des courriels d'hameçonnage qui font miroiter un remboursement de l'impôt circulent à nouveau. Par ailleurs, plusieurs signalements concernent des courriels de prétendus chercheurs en cybersécurité qui affirment avoir découvert des vulnérabilités sur le site Internet des entreprises qu'ils contactent.
De prétendus chercheurs en cybersécurité détournent le processus de divulgation responsable
Les failles de sécurité constituent l'un des plus grands dangers quand il est question d'informatique, et les systèmes accessibles directement via Internet sont particulièrement concernés. En effet, ceux-ci sont à la portée d'escrocs dans le monde entier. Selon un rapport récemment publié par Microsoft, les erreurs de configuration que présentent les logiciels et les appareils informatiques sont à l'origine de plus de 80 % des attaques par rançongiciel.
Le risque de cyberattaque diminue toutefois drastiquement lorsque ces vulnérabilités sont rapidement corrigées et que les systèmes sont maintenus à jour. Heureusement, de nombreux chercheurs en cybersécurité sondent Internet à la recherche des failles et informent les administrateurs compétents lorsqu'ils en découvrent une. L'on sera donc bien avisé de prendre au sérieux une personne qui nous signale une vulnérabilité sur un site Internet ou un serveur, de vérifier ses dires et, le cas échéant, d'adopter aussi vite que possible les mesures qui s'imposent.
Malheureusement, un certain nombre d'escrocs cherchent à obtenir de l'argent facilement en envoyant des consignes de sécurité ou en signalant des erreurs de configuration fictives. Le NCSC reçoit régulièrement des signalements de la part d'entreprises qui ont reçu de tels messages et qui hésitent quant à l'attitude à adopter.
Dans l'un des cas signalés, une entreprise a reçu un courriel l'informant de l'existence d'une prétendue vulnérabilité sur son site Internet. Les auteurs du courriel demandaient, à la fin de leur message, une prime pour le signalement de ladite vulnérabilité dans le cadre du processus de divulgation responsable. Il s'est toutefois rapidement avéré que cette «vulnérabilité» ne tenait en réalité qu'à l’absence de la fonctionnalité «HTTP Strict Transport Security (HSTS)» sur le site Internet de l'entreprise. Lorsque le service HSTS est activé sur un site, un en-tête supplémentaire est utilisé dans le protocole HTTPS. Ce dernier force les navigateurs à passer par une connexion cryptée dès leur premier accès au site. Bien que l’implémentation du HSTS soit fortement recommandée, le fait qu’un site n’utilise pas ce mécanisme peut difficilement être qualifié de faille de sécurité classique. Par ailleurs, de nombreux sites Internet permettent aux utilisateurs sans connaissances informatiques spécialisées de vérifier si un site a activé le HSTS. Il est donc plus que contestable de réclamer une récompense pour avoir signalé ce genre de cas. Dans une telle situation, il est probable que les auteurs de l'alerte misent sur l'incertitude des entreprises en matière de cybersécurité. Comme ils envoient leurs courriels en grand nombre, on peut supposer que certaines entreprises les paient, leur faisant ainsi gagner un ou deux francs.
Recommandations:
- Prenez au sérieux les messages signalant des vulnérabilités, vérifiez ces dernières et adoptez les mesures qui s'imposent le plus rapidement possible.
- Ne vous laissez pas déstabiliser par les profiteurs qui tirent parti de la situation pour se faire de l'argent avec des indications simples.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Informations complémentaires
Dernière modification 27.09.2022
