J'ai déjà donner trois exemples d'attaques possibles pour les réseaux non connecté à Internet de façon direct ou indirect. J'ai oublié de donner un quatrième exemple d'attaque possible pour s'en prendre à un réseau non connecté à Internet de manière direct ou indirect en s'attaquant à un ordi ayant accès à Internet qui est utilisé par un utilisateur du réseau non connecté à Internet.
Exemple n°4 d'attaque possible d'un réseau non connecté à Internet :
David est administrateur réseau d'un réseau non connecté à Internet de manière direct ou indirect où il est interdit d'en extraire des informations et en conséquent il n'y a pas de copies de ces données excepté celle sur des disques dur externes en cas de panne dans un local de l'entreprise où il travaille.
Comme tout le monde ou presque. Il possède un ordinateur chez lui pour son usage personnel.
Son ordi perso n'a pas de protection contre l'ouverture de l'unité centrale et il a des périphériques inutiles activés qui'il n'a pas désactivé et retirer. Voici de graves erreurs de sécurité.
Il utilise seulement deux ports USB (Un pour sa souris et un autre pour son clavier) et les quatre autres ports USB ne sont pas utilisé.
Il a un UEFI pour lequel il n'a pas mis de mot de passe et en conséquent il n'est pas demandé de mot de passe après le démarrage de l'ordinateur pour démarrer son système d'exploitation (Windows dans son cas).
Si il avait mis un mot de passe à son UEFI. On ne pourrait pas lancer Windows sans ce mot de passe.
Il a une clé USB qu'il utilise pour mettre des données perso (Des projets personnel de musique assisté par ordinateur) de son ordinateur perso qu'il utilisera sur un ordinateur non connecté au réseau Internet à son travail pendant ses pauses.
Vu que c'est un administrateur réseau.
Il est improbable de réussir à infecter son PC en lui envoyant un courriel contenant une pièce jointe malveillante ou un lien malveillant.
Par contre des gens travaillant pour une entreprise concurrente pourrait aisément s'introduire chez lui si il a un système de sécurité sommaire et il pourrait aisément infecter les fichiers qu'ils utilisent pour la musique assisté par ordinateur sur son PC perso quand il n'est pas chez lui.
Ces gens pourrait s'introduire chez lui si ils apprennent par un employé espion que David fait de la musique pendant ces pauses en travaillant sur des projets musicaux qu'il transfère sur un ordinateur non connecté à Internet avec une clé USB.
Si l'employé espion parle de la clé USB ils comprendront aisément qu'il transfère le travail musical effectué durant ses pauses sur son ordinateur perso.
En infectant ces fichiers sur son ordi perso ils pourraient infecter la clé USB qui infectera l'ordinateur non connecté au réseau qui permettra de siphoner des données qui seront stocker sur une partition caché.
Quand David mettra sa clé USB sur son ordi perso les données copié à son insu sur son ordinateur pro non connecté à Internet seront envoyé par Internet.
Morale de l'histoire : Il ne faut jamais utilisé une clé USB qu'on utilise pour des choses perso et pro.
Ne pas mélanger la vie pro et perso. On ne met pas de fichiers venant d'un ordi perso sur un ordi pro et vice-versa.
On n'utilise pas un périphérique (Souris , Clavier , Casque audio etc...) qu'on utilise dans sa vie perso pour sa vie pro et vice-versa vu qu'un périphérique peut être infecter ou avoir était substituer à notre insu par un autre périphérique en apparence similaire alors que c'est une version modifié de celui qu'on avait qui contient un programme malveillant ou encore pire tel un système de transmission radio.
Imaginez que vous avez un casque audio que vous utilisez pour votre vie pro et perso.
Un jour un individu parvient à substituer votre casque par un autre de même modèle qui a subit des modifications physiques invisible si on ne regarde pas à l'intérieur permettant d'écouter à distance vos conversation avec celui-ci.
Cela signifie qu'une entité est capable d'écouter à distance vos conversations pro et perso sans que vous puissiez vous en apercevoir puisque vous n'allez pas vérifier l'intégrité physique de votre casque.
Voilà pourquoi il est utile de mettre des marques sur son matériel pour s'assure qu'il n'a pas était remplacer par un autre de même modèle.
On ne pense pas assez à la sécurité physique de l'équipement informatique.
|
Répondre
|
Il n'y a pas de quoi CRI74.
Il faut bien faire de la prévention.
Je trouve regrettable que les FAI ne soit pas légalement obligé de faire de la prévention auprès de leurs clients en leur fournissant un manuel de sécurité informatique ou au minimum leur dire où en trouver un.
Ce manuel de sécurité informatique serait un manuel écrit et édité par un partenaire privé en lien avec l'État ou par une institution étatique.
Je pense que protéger les particuliers est un début pour protéger les entreprises parce que si les pratiques de sécurité informatique se répandent dans la population les entreprises seront mieux se protéger et de même pour nos institutions d'États.
Aussi , il ne faut pas oublier que dans le cas d'attaque ciblé qu'un groupe d'attaquants voulant cibler le réseau informatique d'une société Française non connecté à Internet de manière direct ou indirect (Si un poste de ce réseau est connecté à un poste ayant un accès Internet ou un autre poste qui n'est pas connecté à Internet connecté à un poste ayant un accès à Internet) pourrait chercher à infecter l'ordinateur personnel d'un utilisateur de ce réseau informatique.
Donc apprendre à protéger son ordi peut protéger son employeur par ricochet.
Exemple n°1 d'attaque possible d'un réseau non connecté à Internet :
Alice travaille dans une grande société Française et elle a accès à un réseau informatique non connecté à Internet de manière direct ou indirect.
Comme il est difficile pour le groupe d'attaquants de s'attaquer à ce réseau pour récupérer des secrets commerciaux de l'entreprise dans ce réseau.
Ils vont utiliser une société écran qu'ils utilisent pour leurs attaques en se faisant passer pour un partenaire commercial potentiel et envoyer un courriel contenant une pièce jointe malveillante à plusieurs personnes du personnel en espérant que l'un d'eux va la télécharger sur son PC personnel sous Windows qui est le même système d'exploitation sur les ordis du réseaux non connectés à Internet.
Alice télécharge le document PDF.
Après qu'elle est ouvert celui-ci un programme malveillant s'installe et il infectera les clés USB.
Alice met sa clé USB et l'infection a lieu et comme elle utilise sa clé USB sur son PC perso ainsi que le réseau informatique non connecté à Internet de son entreprise.
Ça signifie que ce réseau sera infecté.
Quand elle va insérer sa clé le maliciel va infecter le poste non connecté à Internet et récupéra discrètement des fichiers via une partition caché sur la clé USB.
Quand elle mettra sa clé USB chez elle les fichiers récupérer discrètement seront envoyés.
Une autre possibilité est que le programme malveillant ne soit pas aussi évoluer techniquement et se contente simplement d'envoyer les fichiers en provenance du réseau non connecté à Internet qu'elle aura copié sur sa clé USB.
Ils seront envoyé via Internet quand elle là mettra dans son ordi perso.
Si elle n'utilisait pas une clé USB pour ses affaires persos , une autre pour le réseau non connecté à Internet (Le mieux est qu'il soit interdit d'utiliser des clés USB sur ce genre de réseau et qu'il y est des moyens techniques pour empêcher l'insertion d'une clé USB) , une autre pour les PC de l'entreprise non sensibles relié à Internet.
Ce ne serait pas arrivé.
Exemple n°2 d'attaque possible d'un réseau non connecté à Internet :
Bob est toxicomane et accro aux jeux.
Ces deux addictions le rendent vulnérable financièrement.
Des individus d'un service de renseignement d'un État étranger voulant attaquer le réseau non connecté à Internet contenant des secrets industriels sur des technologies de l'entreprise où il travaille organisent des filatures des administrateurs de ce réseau informatique pour trouver des failles humaines à exploiter chez les personnes ciblés.
Vu que Bob ne fait jamais attention aux éventuels filatures par un agresseur potentiel voulant le voler (Statistiquement parlant on a plus de chances d'avoir à faire à un agresseur voulant nous voler ou nous agresser gratuitement qu'un service de renseignement).
Ce service de renseignement arrivera d'autant plus à le filer qu'il n'y a pas qu'une personne pour le suivre mais six.
Ils se rendent donc compte qu'il va voir son dealer tous les matins pour acheter ses doses de cocaïne hebdomadaires.
Son dealer est aussi un de ses partenaires dans des parties clandestines de poker (Texas hold'em la variante le plus commune) et il doit au total 20 000 €.
Ceux qui l'observent savent qu'il va voir son dealer à une heure fixe chaque jour à tel endroit (Un parc pour la fiction de notre exemple).
Étant trop loin pour savoir ce qu'ils disent pendant de longues minutes chaque jour et voyant juste qu'ils se disputent.
Ils décident un jour d'envoyer deux de leurs agents qui seront présent 10 minutes avant lui.
Ils écoutent la conversation et comprennent qu'il doit de l'argent.
Ils en informent leur chef qui décida de demander à son supérieur que faire.
Le supérieur du chef dit qu'au vu de la situation on peut essayer de proposer de l'argent à Bob pour qu'il copie des données du réseau non connecté à Internet de son entreprise pour leur compte et lui faire croire qu'on a des vidéos de ses activités illicites qu'on transmettra à sa famille si il refuse de travailler pour eux contre paiement.
Les gens du service de renseignement vont se faire passer pour des espions travaillant pour une entreprise d'un autre pays que le leur quand ils vont approcher Bob pour le corrompre pour mettre les autorités Françaises sur une fausse piste dans le cas où l'opération échoue.
L'opération de corruption est une réussite. Bob qui était administrateur de ce réseau non connecté à Internet à pu transmettre des infos. Après avoir rembourser ses dettes de jeux il a continuer à travailler pour eux pensant travailler pour une entreprise concurrente d'un pays d'Asie du Sud-Est alors qu'il travaillait en réalité pour un service de renseignement d'un État d'Asie de l'Est.
Pour se protéger de ce type d'individus il faut des fouilles obligatoires avant d'entrer dans les lieux sensibles pour éviter que des appareils photos , caméras , clavier identique en apparence aux claviers utilisés contenant un système radio qui enverra à un tiers les touches frappés aux claviers etc... entre dans ces lieux.
Il faut aussi des caméras pour surveiller les employés et protéger les périphériques utilisé pour empêcher la substitution par un périphérique de même modèle modifié pour envoyer des infos par radio ainsi qu'enlever les périphériques inutiles tel les ports USB qu'on utilise pas.
Pour les plus paranos , vous pouvez spécifier dans le contrat de travail que les employés devront être nu dans les zones sensibles ou porter uniquement des sous vêtements et des chaussettes soit obliger de changer de vêtements sous surveillance.
La nudité me semble être l'arme défensive absolu pour éviter une caméra caché ou autre qui n'aurait pas était découverte lors de la fouille.
Avec moi il serait même interdit de porter des bijoux dans les zones sensibles à cause de potentiel caméra , appareil photo ou micro dissimilé dans ceux-ci.
C'est radical et je ne connais pas de méthodes plus fiable que ça.
Je n'ai jamais entendu parler d'entreprises utilisant un truc aussi radical.
Ne pas oublier la cage de faraday ainsi que des murs en béton armé et utiliser du matériel avec du blindage.
Exemple n°3 d'attaque possible d'un réseau non connecté à Internet :
Christiane se rends à un rendez-vous important avec des clients avec cinq autres de ses collègues.
Les clients leur offre des clés USB piégé par un programme malveillant.
Christiane met la clé USB dans son ordi perso et dans un poste du réseau non connecté à Internet.
Quand elle la branche sur son PC perso les donnés que la clé USB a permis de récupérer via le programme malveillant dans la clé USB sur le réseau non connecté à Internet.
Les données seront envoyé via la connexion perso de Christiane.
Une variante théorique de ce type d'attaque est d'offrir une clé USB contenant un dispositif radio pour envoyer les données sur la clé USB à un tiers sans passer par Internet mais je ne connais aucun cas allégé ou avéré ou une tel clé fut utilisé bien que ce soit théoriquement possible.
C'est bien pour éviter ce genre de choses qu'il ne faut pas utiliser les clés USB et autres périphériques que l'on vous offre.
Si on vous offre une clé USB ou un autre périphérique tel un clavier il faut savoir qu'il est potentiellement piégé.
|
Répondre
|
Merci simcour pour cet exposé remarquable.
J’aurai besoin de quelques heures pour tout comprendre, mais je réfléchirai demain après une bonne nuit.
|
Répondre
|
@Coco85 Il est possible d'envoyer un programme malveillant sur un forum si le forum accepte les pièces jointes.
Dans ce cas il faudra qu'une personne clique sur la pièce jointe pour la télécharger pour être infecter.
Sinon , il y a une autre technique qui est que la personne diffuse un lien malveillant.
Quand la personne cliquera sur le lien il y aura l'exploitation d'une faille du navigateur permettant un téléchargement de celui-ci à son insu.
Sinon le lien peut demander de télécharger quelque chose et la personne télécharge sans réfléchir.
Wikipédia l'explique : https://fr.wikipedia.org/wiki/T%C3%A9l%C3%A9chargement_furtif
Si on ne télécharge pas les pièces jointes diffusé sur un forum et qu'on ne clique pas sur les liens venant de sites inconnus.
On réduit largement les risques.
Les plus paranos peuvent autoriser les scripts (Principalement Javascript) uniquement sur les sites de confiance en configurant leur navigateur (Firefox est le plus connus).
Pour configurer le pare-feu de la box.
Cela dépend du FAI (Fournisseur d'accès à Internet).
Il faut entrer une adresse IP local dans le navigateur qui n'est pas la même selon les FAI puis entrer le mot de passe par défaut que dépend des FAI (Si tu ne l'a pas changé. Je conseille de changer ce mot de passe).
Une adresse IP local qui est accessible uniquement sur ton réseau.
Une adresse IP local est une IP accessible uniquement sur le réseau chez toi.
C'est comme habiter dans une rue et dire à son voisin habitant la même rue son numéro d'appartement.
Ceux qui ne sont pas tes voisins doivent connaître ton adresse postale complète tandis que tes voisins ont seulement besoin de ton numéro d'appartement.
Il y a l'adresse IP publique et l'adresse IP locale de chaque ordinateur du réseau de ta maison
Il y a une adresse IP publique pour tous les ordis de ta maison mais chaque ordi a une adresse IP locale qui sert à ta box pour savoir quel ordi a demander l'accès à tel site tandis que les sites visités verront une seule adresse IP publique même si tu utilises deux ordinateurs connecté au même réseau pour te connecter à celui-ci.
Il faut faire attention quand on configure le pare-feu de la box ou de l'ordi parce que on pourrait empêcher soit même d’accéder à Internet si on s'y prends mal.
Si on est un particulier faisant que des trucs standards sur Internet et qu'on lis ses courriels à partir de son navigateur Internet (Firefox en est un).
On doit uniquement acceptez les communications entrantes et sortantes sur les ports TCP 38 (RAP , Important pour le routage des paquets) , 53 (DNS qui permet de faire le lien entre ce que vous tapez dans la barre d'adresse de votre navigateur et l'IP lié au nom du site) , 80 (HTTP) , 81 (Parfois utilisé par HTTP mais tu peux ou non le fermer selon que ce soit possible ou pas) , 443 (HTTPS) ainsi que le port UDP 53 (DNS).
Si on a une utilisation spécifique comme jouer à des jeux en ligne il faut savoir quels sont les ports TCP et UDP dont le jeu a besoin.
Si on utilise un logiciel de messagerie pour envoyer des courriels (Evolution , Outlook , Thunderbird etc...).
Il faut autoriser les connexions au port 25 soit 465 ou 587 (SMTP , Sert à envoyer les courriels. Le port utilisé dépend du FAI et c'est l'un de ces trois là).
Si on utilise un logiciel de messagerie pour recevoir du courriel (Evolution , Outlook , Thunderbird etc...).
Il faut savoir si on utilise POP3 qui ne chiffre pas les communications ou POP3S qui les chiffre (POP3 utilise le port TCP 110 et POP3S utilise le port TCP 995) , IMAP2 (Port TCP 143) , IMAP3 (Port TCP 220) , IMAP4 (Port TCP 143) ou IMAPS (Port TCP 993).
Conclusion : Vaut mieux lire ses courriels avec un webmail pour ne pas se torturer la tête à configurer le pare-feu en s'embêtant à accepter l'utilisation du protocole SMTP puis de l'autre protocole pour lire les courriels qui est soit POP3 , POP3S , IMAP2 , IMAP3 ou IMAPS.
Pour lire ses courriels avec un webmail il suffit d'autoriser les ports suivants à communiquer.
1.TCP 38 (RAP , Important pour le routage des paquets)
2.TCP 53 (DNS qui permet de faire le lien entre ce que vous tapez dans la barre d'adresse de votre navigateur et l'IP lié au nom du site)
3.TCP 80 (HTTP)
4.TCP 81 (Parfois utilisé par HTTP mais tu peux ou non le fermer selon que ce soit possible ou pas)
5.TCP 443 (HTTPS)
6.UDP 53 (DNS)
|
Répondre
|
Merci pour ces infos anti arnaques JD1976 et les solutions utiles Simcour
|
Répondre
|
Bonsoir simcour et bonsoir à tous les amis.
Tu as écrit : « Il est de bon sens de jeter directement à la corbeille les courriels venant d'un expéditeur inconnu. ».
C’est pourquoi je n’ai pas ouvert ton message. Hé, hé, je ne te connais pas vraiment et je suis prudent ! Se pourrait-il qu’il y ait dedans un truc comme ce que tu décris plus bas. Tu me fais peur.
Je ne suis pas vraiment de ta génération, (j’en dirai plus à ce sujet demain), et je me méfie de tous ces petits jeunes qui en savent beaucoup plus que moi en informatique.
Ma question est : « Est-il possible d’envoyer un virus via un message sur un forum ? ».
Simcour, pourrais-tu nous dire comment faire pour configurer un pare-feu sur une box ?
D’avance, merci !
|
Répondre
|
Je me demande comment on peut encore se faire avoir par ce genre d'arnaques au XXIe siècle.
Ça me fait penser à ceux ne configurant pas leur pare-feu et qui télécharge les pièces jointes dans les courriels d'expéditeurs inconnus et qui clique dans les liens envoyé par des expéditeurs inconnus.
Il est de bon sens de jeter directement à la corbeille les courriels venant d'un expéditeur inconnu.
Vous pouvez trouvez ici un message que j'ai écris sur la sécurité informatique : https://www.abcbourse.com/forums/msg680567_securite-numerique--cybersecurite
J'ai 25 ans et je suis exaspéré de voir des personnes de ma génération qui ne configure pas le pare-feu de leur box et de leur ordi alors qu'ils ont vécu quasiment toutes leurs vies avec des ordinateurs.
Vu que la box est le premier mur à passer pour un pirate informatique si l'attaque vient de l'extérieur (Ex : Scan de ports TCP et UDP d'un pirate situé hors de votre réseau cherchant une cible au hasard).
Il est impératif de configurer le pare-feu de la box.
Vu que le pare-feu est le deuxième mur à passer pour un pirate en cas d'attaque extérieur et le premier en cas d'attaque intérieur (Ex : Quelqu'un de votre famille ayant installer un cheval de Troie sur votre machine à votre insu avec une clé USB est un bonne exemple d'attaque intérieur typique).
Il est impératif de configurer le pare-feu de l'ordi.
Je suis aussi choqué de voir qu'il y a encore des gens utilisant Windows alors que ce système est moins sécurisé qu'un système d'exploitation basé sur Linux dans sa conception.
Par exemple Windows peut traiter un fichier JPEG comme si s'était un exécutable tandis qu'un système basé sur Linux n’exécutera pas un fichier JPEG en tant que fichier exécutable sauf si vous lui donnez manuellement l'autorisation pour ça ou l'utilisation d'une faille éventuelle.
Quand une faille est découverte et publié. Microsoft peut mettre des mois pour délivrer un correctif tandis que ça prend généralement quelque jours maximum pour un système basé sur Linux.
Il est temps que la population est conscience des dangers potentiels avec l'informatique.
Allez expliquer au chef lambda d'une PME ou TPE qu'il est important d'enlever les ports USB inutiles (Laissez deux ports USB pour le souris et le clavier si ces périphériques utilisent du USB et mettez des protections pour empêcher qu'on enlève le clavier et la souris pour y mettre des clés USB contenant un programme malveillant ou pire tel le remplacement du clavier par un clavier à l'apparence identique contenant un système de communication radio pour envoyer à un tiers les touches frappés au clavier) , lecteurs de CD/DVD si non utilisé et autre périphériques inutiles pour réduire le risque d'infections par un employé malveillant sans oublier la mise en place de dispositifs pour empêcher l'ouverture de l'unité centrale et le placement d'un dispositif espion physique.
Il est déjà compliqué d'expliquer au chef lambda d'une PME ou TPE qu'il faut qu'il y est un compte par employé avec des droits limités selon leurs besoin avec des mots de passes forts.
Alors , il est difficile de leur faire comprendre des dangers des dispositifs espions physiques tel un câble VGA modifié (Il faut s'en protégé en faisant en sorte que nul remplace votre câble VGA par un autre) qui envoie à un tiers à une dizaine ou vingtaine de kilomètre ce qu'affiche l'écran si ils ne peuvent pas comprendre les bases de la sécurité informatique comme un compte par utilisateur et interdiction du partage de comptes.
|
Répondre
|
Merci à toi pour l’info.
Les arnaques sont trop beaucoup nombreuses, et hélas, encore trop de gens se laissent baiser.
Donc, de dénoncer les arnaques , et d'en donner "l'antidote" et les conseils de prudence, est extrêmement important.
|
Répondre
|
ATTENTION AUX FAUX SONDAGES AMAZON !
MANUEL ALAVER
PUBLIÉ LE 05/04/2019 À 14H53 MIS À JOUR LE 05/04/2019 À 14H54
Un email aux couleurs du géant américain promettait de remporter un iPhone ou un Samsung dernier cri. En réalité, il s’agissait d’une campagne d’abonnement déguisée.
Trop beau pour être vrai. Pendant quelques heures, une poignée d’internautes a cru flairer la bonne affaire avant de déchanter rapidement. En cause, des emails estampillés Amazon invitant à participer à un sondage, rapporte le site spécialisé Zataz. En remerciement de sa participation, l’utilisateur se voyait promettre un cadeau. Et pas n’importe lequel, un Samsung Galaxy S9 ou un Apple iPhone X. Pour recevoir sa récompense, le site demandait de contribuer aux frais de dossier en renseignant ses coordonnées bancaires.
Sauf qu’il s’agissait tout bonnement… d’une arnaque. Le cadeau n’existait pas. Zataz, qui a décrypté les petites lignes desconditions générales, révèle la supercherie. “Tous les participants prennent part à un tirage au sort pour le produit illustré. Ce tirage spécial inclut un accès illimité de 3 jours à une plateforme de divertissement en ligne. Après les 3 jours d’essai, vous vous engagez dans un abonnement mensuel qui sera automatiquement déduit de votre carte de crédit, tous les 30 jours”.
Coût total de l’escroquerie : 65 euros par mois pour un service fictif. Le mail en question n’est évidemment pas issu d’Amazon, et le site est hébergé à l’étranger. Pour éviter ce type d’arnaque, il faut toujours penser à vérifier l’URL d’un site avant de communiquer ses coordonnées bancaires. Si le paiement est déjà effectué, il est impératif de contacter sa banque pour faire opposition et lancer une procédure de chargeback afin d’obtenir un remboursement.
😡
|
Répondre
|
Suivez les marchés avec des outils de pros !