Bloc-notes dans OneNote et PDF : les pirates détournent la sécurité traditionnelle

La sécurité des e-mails ne résiste pas à toutes les menaces. Les sites web frauduleux demeurent toujours un danger. Les pirates gagnent en créativité et utilisent désormais OneNote et les PDF comme vecteurs d’attaque.

Plus de sécurité est toujours bénéfique, surtout quand il s’agit de points finaux. C’est sur l’ordinateur portable d’un employé que se croisent les données, les applications cloud, les applications sur site, les données sur le serveur, la messagerie et bien plus encore. Les criminels se régalent de telles proies.

HP intègre à Wolf Security plusieurs mécanismes de sécurité supplémentaires qui complètent les solutions traditionnelles telles que l’antivirus ou la sécurité de la passerelle de messagerie. Une de ces solutions mérite une mention spéciale : Sure Click. Cette solution utilise la virtualisation avec des micro-VM pour ouvrir les fichiers dangereux dans une sorte de conteneur isolé. Les maliciels qui éclatent dans ce conteneur ne peuvent pas affecter le reste du système. Cette méthode offre une couche protective supplémentaire au cas où une pièce jointe frauduleuse serait ouverte par erreur. Elle permet également de collecter une foule d’informations sur les menaces qui peuvent échapper aux mécanismes de protection traditionnels.

Passé la passerelle

Le rapport Wolf Security Threat Insights de HP du premier trimestre 2023 montre que ces maliciels ingénieux sont encore nombreux. Les chiffres du fabricant révèlent que 14 % des menaces par e-mail ont échappé à la solution de sécurité de la passerelle de messagerie utilisée. Soit un pour cent de plus qu’un trimestre plus tôt. Pour causer des dégâts, les attaquants doivent redoubler leur créativité.

Les macros ne sont plus un moyen pratique d’injecter des maliciels dans un système, alors les criminels se tournent vers d’autres moyens. Les bloc-notes OneNote sont très populaires. OneNote permet en effet d’intégrer des formes complexes de contenu et donc des maliciels. Les pirates déguisent un bloc-notes en informations provenant de l’entreprise, en attirant les utilisateurs à double-cliquer sur un élément du bloc-notes, par exemple en prétendant qu’un tel clic est nécessaire pour charger des données via le cloud.

Isolement

On peut ainsi activer une porte dérobée ou ouvrir la porte à un rançongiciel. La micro-virtualisation garantit que l’infection se limite à l’environnement isolé et jetable dans lequel OneNote peut être exécuté. HP prévoit que les bloc-notes OneNote resteront un vecteur populaire. Le mieux pour les administrateurs est de définir que ces bloc-notes, reçus par e-mail, seront considérés comme non fiables par défaut.

Les pirates ont également adopté d’autres techniques pour introduire des contenus dangereux qui échappent à la sécurité traditionnelle. Les fichiers PDF semblent particulièrement populaires, puisqu’ils représentent 4 % des attaques. Cacher des logiciels malveillants dans des fichiers d’archive est une autre technique très répandue. HP constate une augmentation de 53 % de l’utilisation des archives gzip (.gz). Elles comptent pour environ 5 % des attaques détectées. Les archives RAR comptent pour 7 % et les archives zip pour 14 %.

Méthodes plus complexes

Les attaquants se montrent aussi de plus en plus agressifs, par exemple en envoyant des campagnes d’attaque via un compte déjà piraté appartenant à l’entreprise. Les e-mails d’hameçonnage arrivent donc via un domaine fiable, ce qui élimine de nombreuses restrictions en matière de sécurité.

HP constate que 80 % des attaques qu’elle observe proviennent des e-mails. Le navigateur web reste également un vecteur populaire (13 %). Dans ce cas, les criminels essaient surtout de convaincre les utilisateurs de cliquer sur un lien trompeur. Ils copient par exemple une page web et la mettent en avant dans Google. De cette manière, la page frauduleuse se retrouve en tête des résultats de recherche et la victime peut se faire piéger.

Le plus possible

Les chiffres montrent qu’aucune méthode de sécurité ne peut protéger vraiment tout. Si un maliciel s’introduit à un point final, une sécurité supplémentaire peut aider à prévenir les pires situations. Les criminels deviennent de plus en plus créatifs avec leurs e-mails d’hameçonnage, et même après une formation complète, il est fort probable qu’un employé soit surpris de temps en temps. L’isolement dans une sorte de « sandbox » est un filet de sécurité supplémentaire bienvenu pour ces scénarios.


Cet article fait partie d’une série sur le rôle de HP dans la sécurité des ordinateurs portables. Cliquez ici pour contacter HP à ce sujet.