Des experts en cybersécurité et d’anciens professionnels de l’application de la loi ont mis sur pied la société CyberCatch, une firme de cybersécurité qui se consacre aux petites et moyennes entreprises (PME) de moins de 500 employés. Celle-ci a ensuite publié un premier rapport sur les vulnérabilités des petites et moyennes entreprises (Small and Medium-Sized Business Vulnerabilities Report), qui montre que plus de 30 % PME américaines présentent des vulnérabilités dont les attaquants peuvent profiter. Au Canada, le chiffre passe à 80 % des sites Web et des applications des PME testés par l’outil CyberXRay de l’entreprise.

Ce rapport est la première étude à se pencher sur les PME nord-américaines en vue de détecter les vulnérabilités qu’un cyberattaquant peut repérer et exploiter pour faire une intrusion, voler des données ou infecter par rançongiciel, notent les chercheurs de CyberCatch. « Il révèle à quel point les PME sont actuellement vulnérables aux cyberattaques. C’est la raison pour laquelle CyberCatch a été fondée », ajoute son fondateur et président, Sai Huda. Son équipe comprend des experts en application de la loi et en cybersécurité issus du secteur des assurances, du ministère de la Défense des États-Unis, de la marine américaine et de la Gendarmerie royale du Canada (GRC).

Dans son rapport, la société indique qu’une analyse de 21 850 sites Web de PME sélectionnées au hasard aux États-Unis et au Canada (dont 1850 provenant du Canada) a révélé que les vulnérabilités à l’usurpation d’identité, au détournement de clics et au reniflage [de mots de passe ou de données] étaient les trois grands risques notés. « Dans les trois cas, le degré de vulnérabilité était considérablement plus élevé au Canada », font remarquer les chercheurs de la firme.

Il y a usurpation d’identité lorsqu’un site Web, un logiciel ou une application Web ne vérifie pas suffisamment l’origine ou l’authenticité des données et accepte des données invalides, ce qui permet aux attaquants de forcer un serveur à divulguer de l’information. Les visiteurs réels peuvent également être redirigés vers le site Web de l’attaquant dans le but d’exploiter de façon malveillante leurs données d’identification et de les récolter en vue d’attaques futures. Le détournement de clics, quant à lui, se produit lorsque la technologie permet à un attaquant de charger diverses couches transparentes ou masquées sur une page Web pour amener les utilisateurs à cliquer à leur insu sur des liens. La saisie au clavier peut également être détournée, ajoutent-ils. Quant au reniflage, il est possible lorsque la technologie retenue n’impose pas de chiffrement et permet au contraire la transmission de données confidentielles ou critiques.

Au Canada comme aux États-Unis, les PME devraient analyser leurs sites Web, leurs logiciels et leurs applications Web accessibles par Internet pour s’assurer de l’absence de vulnérabilités, conclut le rapport. Un contrôle de cybersécurité visant à vérifier régulièrement toutes les ressources informatiques en vue d’en détecter les vulnérabilités devrait être mis en place ; il faudrait aussi adopter une politique visant à corriger toute faiblesse dans un délai raisonnable, recommandent les auteurs.