Utiliser des appareils personnels à des fins professionnelles – conseils d’ESET

 

Le 6 février 2024 - Le travail hybride (hybrid work), depuis qu’il a aidé les organisations à surmonter la pandémie, a consolidé sa place. Dès lors, nombreux sont ceux qui souhaitent ou doivent accéder aux données de l’entreprise depuis n’importe quel endroit, à toute heure ainsi qu’à partir de n’importe quel appareil.

L’utilisation d’appareils personnels à des fins professionnelles présente des risques de sécurité accrus, surtout s’ils ne bénéficient pas de pratiques et de mesures de sécurité robustes. Bien que les préoccupations concernant le BYOD (Bring-Your-Own-Device) ne soient pas nouvelles, le recours croissant aux appareils personnels pour le travail a repositionné la sécurité des données des entreprises et a nécessité une réévaluation et un réajustement des politiques pour répondre à l'évolution de l'environnement de travail.

Même s'il n'y a pas de solution universelle, certaines mesures peuvent fortement contribuer à protéger les organisations.

Réduire la surface d'attaque des entreprises                                                                                                     L’utilisation par les employés d’appareils non gérés par les équipes informatiques est une menace sérieuse pour les données de l’entreprise. Les criminels étant toujours à la recherche de failles dans la cuirasse des organisations, limiter le nombre de points d'entrée potentiels est l’évidence même. Les organisations doivent faire l'inventaire de tous les appareils accédant à leurs réseaux et définir les normes de sécurité et les configurations auxquelles ces appareils doivent répondre pour garantir une protection de base.                                                                                        

Des applis ou autres logiciels non approuvés sur les appareils des employés sont une source de risques pour l'intégrité, la disponibilité et la confidentialité des données et des systèmes. Pour empêcher l'accès non réglementé de tiers aux données sensibles, les organisations peuvent créer une « barrière » entre les informations personnelles et professionnelles et contrôler les appareils en imposant une liste noire (ou blanche) pour les applis. Garder les appareils sous contrôle est possible grâce à un logiciel spécial de gestion des appareils mobiles.

Mettre à jour les logiciels et les systèmes d'exploitation                                                                                       Chaque jour de nouvelles vulnérabilités sont découvertes dans des logiciels couramment utilisés. Par conséquent, il est plus facile de s'assurer que les employés travaillent sur des appareils à jour s'ils utilisent des ordinateurs portables et des smartphones de l'entreprise et s'ils bénéficient de l'assistance du service informatique pour installer les mises à jour sur leurs machines peu de temps après leur publication. Beaucoup d’entreprises utilisent un logiciel de gestion des appareils non seulement pour installer les mises à jour, mais également pour améliorer la sécurité en générale.

Si la mise à jour de logiciels sur leurs appareils se fait par les employés, les organisations peuvent leur rappeler que des correctifs sont disponibles, fournir des guides sur la façon de les appliquer et suivre leur avancement.

Établir des connexions sécurisées                                                                                                                                          Si des employés externes doivent accéder au réseau, l’organisation doit en être informée. Ces collaborateurs peuvent utiliser non seulement leur réseau domestique, mais également les réseaux publics. Un réseau privé virtuel (VPN) correctement configuré qui permet aux travailleurs distants d'accéder aux réseaux d'entreprise est un moyen simple de réduire l'exposition d'une organisation aux vulnérabilités que les criminels pourraient exploiter.

Activer la connectivité à distance dans l'environnement informatique d'une organisation se fait via le protocole RDP (Remote Desktop Protocol). Lorsqu’on est passé au travail hybride, les connexions RDP ont fortement augmenté, tout comme les attaques contre les endpoints RDP. Pour accéder aux réseaux d'entreprise, les attaquants ont exploité des paramètres RDP mal configurés ou des mots de passe faibles. Ainsi, les criminels peuvent s'emparer de la propriété intellectuelle, crypter les fichiers et les conserver contre rançon, tromper un service comptable pour qu'il transfère des fonds vers des comptes qu'ils contrôlent ou faire des ravages dans les sauvegardes de données.

Il y a de nombreuses façons de se protéger contre les attaques RDP. L'accès RDP doit être correctement configuré, notamment en désactivant le RDP accessible sur Internet et en ayant des mots de passe forts pour tous les comptes pouvant être connectés via RDP. Pour en savoir plus sur la configuration RDP appropriée, consultez l'article récent d'ESET :

Remote Desktop Protocol: Configuring remote access for a secure workforce

Protéger les joyaux de la couronne                                                                                                            Stocker des données confidentielles de l'entreprise sur un appareil personnel constitue un risque en cas de perte ou de vol de l'appareil, s'il n'est pas protégé par mot de passe et si le disque dur n'est pas chiffré. Cela s'applique également si l'appareil est utilisé par quelqu'un d'autre. Même si c’est un membre de la famille, cela peut conduire à compromettre les données de l'entreprise, qu’elles soient stockées localement ou dans le cloud.

Des mesures telles qu'une protection renforcée par mot de passe, le verrouillage automatique d'une demande et la formation des employés pour empêcher quiconque d'utiliser l'appareil, protégeront les données de l'organisation.

Pour réduire le risque que des personnes non autorisées accèdent à des informations confidentielles, les organisations doivent chiffrer les données sensibles en transit et au repos, mettre en œuvre une authentification multi facteur et sécuriser les connexions réseau.

Visioconférence sécurisée                                                                                                                                                      La pandémie, a déplacé toutes les réunions vers le monde virtuel. Les organisations donc doivent établir des lignes directrices pour la vidéoconférence : quel logiciel utiliser et comment sécuriser la connexion.

Il faut utiliser un logiciel doté de fonctionnalités de sécurité robustes, d'un cryptage de bout en bout et d'une protection par mot de passe pour protéger les données confidentielles des regards indiscrets. Les logiciels de visioconférence doivent disposer des dernières mises à jour de sécurité afin de pouvoir remédier à toute faille le plus rapidement possible.

Les logiciels et les personnes                                                                                                                        Un logiciel de sécurité multicouche réputé doit être utilisé sur les appareils accédant aux systèmes de l’organisation. Un tel logiciel – géré par l'équipe de sécurité ou informatique de l'organisation – peut éviter bien des maux de tête ainsi que des pertes de temps et d’argent. Cela peut protéger contre les nouvelles menaces de maliciels, sécuriser les données et aider les administrateurs système à maintenir les appareils conformes aux politiques de sécurité de l'organisation.

S'assurer que les appareils et les données sont régulièrement sauvegardés (et tester les sauvegardes) et dispenser une formation de sensibilisation à la sécurité au personnel sont d'autres mesures incontournables. Les contrôles techniques ne sont pas complets si les employés ne comprennent pas les risques associés à l'utilisation d'appareils personnels à des fins professionnelles.

ESET Research ontdekt spionage-apps bij aanval in Pakistan – romantiek-zwendel werd hierbij gebruikt

 

·   E$SET Research heeft een nieuwe cyberspionage-campagne ontdekt die het met veel vertrouwen heeft toegeschreven aan de Patchwork APT-groep.

·       De campagne gebruikte Google Play om zes kwaadaardige apps te verspreiden, gebundeld met VajraSpy RAT-code. Nog zes andere apps werden ‘in the wild’ verspreid.

·       De apps op Google Play zijn ruim 1.400 keer geïnstalleerd en zijn nog steeds beschikbaar in alternatieve appstores.

·       Patchwork gebruikte wellicht een ‘honey-trap’ romantiek-zwendel om de slachtoffers aan te zetten om de malware te installeren.

 

BRATISLAVA, MONTREAL — 1 februari 2024 — ESET-onderzoekers hebben twaalf Android-spionage-apps geïdentificeerd die dezelfde kwaadaardige code delen; zes waren beschikbaar op Google Play. Alle waargenomen apps werden geadverteerd als messaging tools, behalve één die zich voordeed als nieuws-app. Op de achtergrond voeren deze apps heimelijk een trojan-code uit voor externe toegang (Remote Access Trojan - RAT), genaamd VajraSpy, die gebruikt wordt door de Patchwork APT-groep voor gerichte spionage. Volgens het onderzoek van ESET hebben de criminelen achter de getrojaniseerde apps wellicht een romantische zwendel gebruikt om hun slachtoffers aan te zetten die malware te installeren.

VajraSpy heeft een reeks spionage-functionaliteiten die kunnen uitgebreid worden op basis van de machtigingen die toegekend zijn aan de app die met de code is gebundeld. Het steelt contacten, bestanden, oproeplogs en sms-berichten. Sommige installaties kunnen ook WhatsApp- en Signal-berichten stelen, telefoongesprekken opnemen en met de camera foto's maken.

Op basis van de beschikbare cijfers zijn de kwaadaardige apps die toen beschikbaar waren op Google Play ruim 1.400 keer gedownload. Tijdens het ESET-onderzoek leidde de zwakke operationele beveiliging van een van de apps ertoe dat gegevens van slachtoffers openbaar werden gemaakt, zodat onderzoekers 148 gecompromitteerde toestellen in Pakistan en India konden geo-lokaliseren. Het ging wellicht om de werkelijke doelwitten van de aanslagen. ESET is lid van de App Defense Alliance en een actieve partner in het programma voor malwarebeperking met als doel snel potentieel schadelijke apps te vinden en te stoppen voor ze op Google Play komen. Als partner van deze organisatie heeft ESET de kwaadaardige apps geïdentificeerd en aan Google gemeld. Ze zijn niet langer in de Play Store beschikbaar, maar wel nog steeds in alternatieve appstores.

Vorig jaar ontdekte ESET dat Rafaqat, een getrojaniseerde nieuws-app, gebruikt werd om gebruikersinformatie te stelen. Nader onderzoek legde nog een aantal apps met dezelfde kwaadaardige code bloot. In totaal analyseerde ESET twaalf getrojaniseerde apps waarvan zes (waaronder Rafaqat) beschikbaar waren op Google Play, en zes ‘in the wild’ waren gevonden – in de VirusTotal-database. Deze apps hadden diverse namen, zoals Privee Talk, MeetMe, Let’s Chat, Quick Chat, Rafaqat, Chit Chat, YohooTalk, TikTalk, Hello Chat, Nidus, GlowChat en Wave Chat.

Om hun slachtoffers te overhalen, gebruikten de criminelen wellicht romantiek-zwendel, waarbij ze eerst contact opnamen met de slachtoffers op een ander platform en hen vervolgens overtuigden om over te schakelen naar een getrojaniseerde chat-app. “Cybercriminelen gebruiken social engineering als een krachtig wapen. We raden u ten zeerste af om op links te klikken om een app te downloaden die wordt verzonden in een chatgesprek. Het kan moeilijk zijn om immuun te blijven voor valse romantische avances, maar het loont de moeite om altijd waakzaam te zijn”, zegt ESET-onderzoeker Lukáš Štefanko, die deze Android-spyware ontdekte. Volgens de MITRE ATT&CK-database is Patchwork niet definitief toegeschreven en enkel indirect bewijs suggereert dat de groep mogelijk een pro-Indiase of Indiase entiteit is. Deze groep richt zich vooral op diplomatieke en overheidsinstanties.

Lees voor meer technische informatie over VajraSpy en de spionage-apps van de Patchwork APT-groep de blog “VajraSpy: A Patchwork of espionage apps” op WeLiveSecurity.com.