Selon une étude publiée mardi par une société de services de cybersécurité, les appareils numériques et les réseaux domestiques des dirigeants d’entreprise, des membres du conseil d’administration et des employés de grande valeur ayant accès à des informations financières, confidentielles et exclusives sont des cibles de choix pour les acteurs malveillants.
La maison connectée est une cible de choix pour les cybercriminels, mais peu de dirigeants ou d’équipes de sécurité réalisent l’importance de cette menace émergente, note l’étude basée sur l’analyse des données de plus de 1 000 dirigeants, membres de conseils d’administration et cadres de haut niveau de plus de 55 entreprises américaines du Fortune 1000 qui utilisent la plateforme de protection des dirigeants de BlackCloak.
“L’étude de BlackCloak est exceptionnelle”, a observé Darren Guccione, PDG de Keeper Security, une société de gestion de mots de passe et de stockage en ligne.
“Elle contribue à mettre en lumière les problèmes et les vulnérabilités omniprésents causés par des millions d’entreprises qui migrent vers le travail distribué et à distance tout en effectuant des transactions avec les sites Web, les applications et les systèmes de l’entreprise à partir de réseaux domestiques non sécurisés”, a-t-il déclaré à TechNewsWorld.
Les chercheurs de BlackCloak ont découvert que près d’un quart des cadres (23%) ont des ports ouverts sur leurs réseaux domestiques, ce qui est très inhabituel.
Le CISO de BlackCloak, Daniel Floyd, a attribué certains de ces ports ouverts à des installateurs tiers. “Il s’agit de sociétés audiovisuelles ou informatiques qui, parce qu’elles ne veulent pas envoyer un camion en cas de panne, mettent en place une redirection de port sur le pare-feu”, a-t-il déclaré à TechNewsWorld.
“Cela leur permet de se connecter à distance au réseau pour résoudre les problèmes”, poursuit-il. “Malheureusement, ils sont configurés de manière inappropriée avec des identifiants par défaut ou des vulnérabilités qui n’ont pas été corrigées depuis quatre ou cinq ans.”
Caméras de sécurité exposées
Un port ouvert ressemble à une porte ouverte a expliqué Taylor Ellis, un analyste des menaces client chez Horizon3 AI, une société de tests de pénétration automatisés en tant que service à San Francisco. “Vous ne laisseriez pas votre porte ouverte 24 heures sur 24 et 7 jours sur 7 à notre époque, et c’est la même chose avec un port ouvert sur un réseau domestique”, a-t-il déclaré à TechNewsWorld.
“Pour un chef d’entreprise, a-t-il poursuivi, la menace d’effraction augmente lorsque vous avez un port ouvert donnant accès à des données sensibles.”
“Un port agit comme une passerelle de communication pour un service spécifique hébergé sur un réseau”, a-t-il ajouté. “Un attaquant peut facilement ouvrir une porte dérobée dans l’un de ces services et le manipuler pour l’utiliser à sa guise.”
Parmi les ports ouverts sur les réseaux domestiques des dirigeants d’entreprise, le rapport note que 20 % étaient connectés à des caméras de sécurité ouvertes, ce qui peut également constituer un risque pour un dirigeant ou un membre du conseil d’administration.
A D V E R T I S S E M E N T D E L ‘ E N T R E P R I S E
“Les caméras de sécurité ont souvent été utilisées par les acteurs de la menace à la fois pour implanter et distribuer des logiciels malveillants, mais aussi, et c’est peut-être plus important, pour assurer une surveillance des schémas et des habitudes – et si la résolution est suffisamment bonne, pour voir les mots de passe et autres informations d’identification saisis”, a noté Bud Broomhead, PDG de Viakoo, un développeur de solutions logicielles de cybersécurité et de sécurité physique à Mountain View, Californie.
“De nombreuses caméras IP ont des mots de passe par défaut et des micrologiciels obsolètes, ce qui en fait des cibles idéales pour être violées et, une fois violées, facilite le déplacement latéral des acteurs de la menace au sein du réseau domestique”, a-t-il déclaré à TechNewsWorld.
Fuites de données
Les chercheurs de BlackCloak ont également découvert que les appareils personnels des dirigeants d’entreprise étaient aussi peu sûrs, sinon plus, que leurs réseaux domestiques. Plus d’un quart des cadres (27%) avaient des logiciels malveillants sur leurs appareils, et plus de trois quarts de leurs appareils (76%) présentaient des fuites de données.
Les applications sont l’un des moyens par lesquels les données fuient des smartphones. “Beaucoup d’applications demandent des autorisations sensibles dont elles n’ont pas besoin”, explique Floyd. “Les gens ouvrent l’application pour la première fois et se contentent de cliquer sur les paramètres sans se rendre compte qu’ils donnent à l’application l’accès à leurs données de localisation. Ensuite, l’appli vendra ces données de localisation à une tierce partie.”
“Il ne s’agit pas seulement des cadres et de leurs appareils personnels, il s’agit des appareils personnels de tout le monde”, a ajouté Chris Hills, stratège en chef de la sécurité chez BeyondTrust, fabricant de solutions de gestion des comptes privilégiés et de gestion des vulnérabilités à Carlsbad, en Californie.
“La quantité de données, de PII, voire de PHI, que contient le smartphone commun de nos jours est époustouflante”, a-t-il déclaré à TechNewsWorld. “Nous ne réalisons pas à quel point nous pouvons être vulnérables lorsque nous ne pensons pas à la sécurité en ce qui concerne nos smartphones.”
La sécurité des appareils personnels ne semble pas être en tête des priorités.de l’esprit de nombreux cadres. L’étude a révélé que près de neuf d’entre eux sur dix (87 %) n’ont aucune sécurité installée sur leurs appareils.
La sécurité des OS mobiles est déficiente
“De nombreux appareils sont livrés sans logiciel de sécurité installé, et même s’ils en ont un, il peut ne pas être suffisant”, a noté Broomhead. “Par exemple, les appareils Android de Samsung sont livrés avec le logiciel de sécurité Knox, qui a déjà présenté des failles de sécurité.”
“Le fabricant de l’appareil peut essayer de faire des compromis entre la sécurité et la convivialité qui peuvent favoriser la convivialité”, a-t-il ajouté.
Hills a maintenu que la plupart des gens sont à l’aise et satisfaits de penser que le système d’exploitation sous-jacent de leur smartphone contient les mesures de sécurité nécessaires pour garder les méchants à l’écart.
A D V E R T I S S E M E N T D E S C O M P É T E N C E S
“Pour le commun des mortels, c’est probablement suffisant”, a-t-il déclaré. “Pour le cadre commercial qui a plus à perdre étant donné son rôle dans une entreprise ou une société, la couverture de sécurité du système d’exploitation sous-jacent n’est tout simplement pas suffisante.”
“Malheureusement, dans la plupart des cas”, a-t-il poursuivi, “il y a tellement de choses que nous nous efforçons de protéger en tant qu’individus, que parfois certains des plus communs sont négligés, comme nos smartphones.”
Manque de protection de la vie privée
Une autre conclusion des chercheurs de BlackCloak est que la plupart des comptes personnels des cadres, tels que les courriels, le commerce électronique et les applications, manquent de protections de base en matière de vie privée.
En outre, ils ont découvert que les informations de sécurité des cadres – comme les mots de passe des banques et des médias sociaux – sont facilement accessibles sur le dark web, ce qui les rend vulnérables aux attaques d’ingénierie sociale, au vol d’identité et à la fraude.
Près de neuf cadres sur dix (87 %) ont des mots de passe qui fuient actuellement sur le dark web, notent les chercheurs, et plus de la moitié (53 %) n’utilisent pas de gestionnaire de mots de passe sécurisé. Pendant ce temps, seuls 8% ont activé l’authentification multifactorielle sur une majorité d’applications et d’appareils.
“Bien que des mesures telles que l’authentification multifactorielle ne soient pas parfaites, ces meilleures pratiques de base sont essentielles, en particulier pour le conseil d’administration et la suite, qui choisissent souvent de ne pas se conformer à cette exigence pour des raisons de commodité “, a déclaré à TechNewsWorld Melissa Bischoping, spécialiste de la recherche sur la sécurité des points d’extrémité chez Tanium, fabricant d’une plate-forme de gestion et de sécurité des points d’extrémité à Kirkland, Wash.
“L’attaque de la vie numérique personnelle est peut-être un nouveau risque à considérer pour les entreprises”, écrivent les chercheurs, “mais c’est un risque qui nécessite une attention immédiate. Les adversaires ont déterminé que les cadres à domicile sont un chemin de moindre résistance, et ils compromettront ce vecteur d’attaque aussi longtemps qu’il sera sûr, transparent et lucratif pour eux de le faire.”
