L’Active Directory menacé par des QR codes malveillants

L’Active Directory menacé par des QR codes malveillants


L’adoption des QR codes a été largement boostée par la pandémie et la mise en place du pass sanitaire. Cette prévalence a suscité l’intérêt des cybercriminels pour cette technologie afin de mener à bien des campagnes malveillantes, notamment de phishing. Le risque est d’autant plus grand qu’il n’y a actuellement pas de système de cyberprotection disponible pour repérer les cyberattaques via QR codes.

Présents dans les bars et les restaurants, sur des affiches publicitaires, ou encore sur des tickets d’événements sportifs et culturels, les QR codes semblent avoir une utilité confinée aux consommateurs finaux. Or, la ligne entre les sphères professionnelles et personnelles est devenue très floue. Au travail par exemple, les employés n’hésitent pas à utiliser des appareils personnels à des fins professionnelles, et inversement.

Les QR codes dans le cadre professionnel, une nouvelle norme

Les organisations, prenant davantage conscience des cybermenaces ces dernières années, ont pour beaucoup mises en place l’authentification multifacteurs (MFA), notamment via les smartphones des collaborateurs avec une vérification de l’identité par SMS ou message push. Scanner des QR codes est parfois requis également pour accéder à des parkings d’entreprise ou pour réserver une salle de réunion dans les espaces de coworking. Les appareils personnels sont donc devenus une entrée vers l’environnement IT de l’entreprise.

Les cybercriminels tentent alors de compromettre ces smartphones personnels pour s’immiscer dans l’infrastructure des entreprises. Il est en effet relativement simple de créer une page web ressemblant à un site légitime, d’y associer un QR code imprimé sur un sticker, et d’apposer ce dernier par-dessus le vrai QR code, par exemple.

Via cette technique, il est possible de détourner la fenêtre de connexion Office 365 permettant d’accéder au système et de voler les identifiants des utilisateurs. Ce vol d’identifiant permet ainsi d’accéder à tout type de données.

La formation et la vigilance, les outils clé contre les QR codes contrefaits

En réalité, tout site permettant aux utilisateurs de se connecter avec un identifiant Microsoft 365 est vulnérable et peut être contrefait via un QR code d’accès frauduleux. Actuellement, il n’existe pas de solutions technologiques pour repérer ce type de fraude. Pour pallier ces manquements, il faut donc se tourner vers l’humain : la formation cyber des utilisateurs doit désormais inclure un volet consacré aux QR codes et aux bonnes pratiques associées.

Les équipes en charge de la sécurité ne pouvant pas bloquer ces techniques malveillantes, les employés représentent donc le seul bouclier face à la menace.

En effet, les QR codes malveillants sont un nouveau mode de phishing, au même titre qu’un lien hypertexte dans un e-mail, avec tous les risques qu’ils peuvent présenter. Il ne faut par conséquent pas en scanner un venant d’une source inconnue ou suspecte ; de même qu’il est préférable de se rendre directement sur le site web associé via une recherche sur navigateur. Une bonne astuce est également de vérifier l’adresse du lien du QR code scanné, afin de s’assurer qu’il est bien sécurisé et authentique. En adoptant une bonne cyberhygiène, les employés s’assurent ainsi de ne pas compromettre leur appareil et, in fine, les données de leur entreprise.

Désormais, lorsque les appareils personnels des employés sont intégrés à l’environnement informatique de l’entreprise, tels que les smartphones, les équipes informatiques doivent veiller aux risques associés. Il est essentiel de sensibiliser les employés, par le biais de formations à la cybersécurité, au fait qu’ils doivent rester vigilants également en dehors de leurs heures de travail. L’idée qu’une personne lambda ne puisse pas être la cible d’un cybercriminel est un préjugé dangereux. Tout un chacun peut en effet devenir une voie d’accès à un environnement informatique plus vaste, ce qui signifie que chaque smartphone peut être attaqué.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.