Tous les articles par Damien Bancal

Emploi, Entreprise, Sauvegarde

e-reputation des entreprises et des administrations

Une norme internationale – ISO 20488 – se prépare et la France est en tête de pont. Le comité technique international de normalisation « réputation en ligne » (ISO) a été créé à l’initiative de la France. AFNOR appelle tous les professionnels français de l’e-reputation à rejoindre la commission créée pour participer à la diffusion de leur savoir-faire dans le monde.

A l’international, les entreprises partagent toutes les mêmes problématiques. Leur réputation est désormais liée à la digitalisation des comportements des consommateurs. Les clients décident de ce qu’elles sont, ils le partagent à toute heure et dans toutes les langues. Le besoin de capitaliser sur les pratiques des professionnels d’e-réputation est partagé au niveau international. En mettant en commun leur savoir-faire en commission de normalisation AFNOR, les français pourront participer à la définition des outils et des méthodes de référence internationales de demain. Par des normes d’application volontaire, toutes les parties prenantes pourront partager des bonnes pratiques, et donc les faire connaître.

Les premières pistes de réflexion
·      Elaborer à l’échelle internationale une méthode fiable de traitement des avis de consommateurs,
sur la base de la 1ere norme française qui a ouvert la voie en 2013.
·      S’accorder sur un glossaire commun sur la e-réputation des organisations publiques et privées.
·      Etudier le rôle des médias sociaux et des autres outils dans les débats de normalisation.

D’abord renforcer la commission de normalisation française
La France est au coeur de norme internationale du projet pour plusieurs raisons.

1 – Son avance avec la 1ere norme française internationalement reconnue, publiée en 2013.

2 – Le pilotage du projet international confié à un français, Laurent Petit dialogue & digital skills manager de Décathlon et président du comité technique ISO « online reputation ». Son rôle : susciter un travail constructif entre tous les pays volontaires, créer un consensus, et  encourager d’autres pays à s’investir dans les travaux…

3 – La France s’engage aussi avec la volonté de diversifier la commission de normalisation nationale qui défendra nos couleurs dans les discussions internationales. Les représentants des voyagistes et des hôteliers, déjà très présents, doivent être rejoints par des professionnels de la e-reputation car la France a un vrai savoir-faire en la matière.

Les représentants de l’automobile, des nouvelles technologies, des équipements sportifs, des médicaments, du secteur des services, du secteur bancaire ont toute leur place au sein de la commission française.

Qui compose le comité de l’ISO sur l’e-reputation piloté par La France ?
27 pays représentés par des entreprises, des administrations et des associations de consommateurs. 9 ont le statut de participants actifs (Allemagne, Canada, Chine, Espagne, Finlande, France, Malaisie, Royaume-Uni et République Tchèque) ; 18 sont des observateurs, parmi les quels le Brésil, le Japon et l’Inde. Cette liste est appelée à évoluer selon les choix stratégiques opérés par les parties intéressées.
Le rôle d’AFNOR est de contribuer aux travaux des instances de normalisation européenne et internationale où 87% des normes volontaires, disponibles en France, ont été réalisées en 2014.

Les initiatives prises par les parties prenantes, les bureaux de normalisation sectoriels et AFNOR ont permis, en 2014, de maintenir la France en 2ème position en Europe et en 3ème place au niveau mondial (devant le Royaume-Uni et le Japon) en termes d’exercices de responsabilités au sein des instances de normalisation. Pour rejoindre la commission de normalisation française E-reputation.

Qu’est-ce qu’une norme volontaire ?
A la différence de la réglementation, une norme volontaire est une méthode de référence élaborée à la demande et avec le concours actifs des parties intéressées, réunies de manière représentative (industriels, consommateurs, associations, syndicats, collectivités locales…) par AFNOR. Elle est d’application optionnelle, sauf si la réglementation l’impose (1% des cas). Les normes volontaires fournissent des principes et des exigences pour une activité ou ses résultats. Elles sont revues systématiquement et a minima tous les cinq ans. Les utilisateurs décident de leur maintien, de leur mise à jour ou de leur annulation.

Les normes volontaires en chiffres
33 614 normes volontaires étaient disponibles à fin 2014. 756 nouvelles normes ont été publiées en 2014 (87% d’origine européenne ou internationale). 1 249 ont été mises à jour et 1790 ont été supprimées.

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Piratage, Propriété Industrielle

Nouvelle vulnérabilité zero-day dans Adobe Flash

Un commentaire

Trend Micro, éditeur de logiciel et solutions de sécurité, a identifié le week-end dernier une nouvelle vulnérabilité 0day affectant Adobe Flash Player, la troisième depuis le début de l’année ! Confirmée par Adobe mais pas encore patchée, cette faille expose plus d’un milliard d’ordinateurs utilisant la dernière version d’Adobe Flash.

Dans un post publié hier sur leur blog, les chercheurs de Trend Micro expliquent que cette vulnérabilité est semblable à celle de la semaine dernière, qui affectait les produits Flash pour Windows. Les attaques sont en effet menées via des publicités en ligne malveillantes, une technique appelée « malvertising ».

L’attaque révélée hier est en cours depuis le 14 janvier et s’est intensifiée à partir du 27 janvier. 3 294 compromissions ont déjà été détectées par les chercheurs sur l’un des sites concernés. Dailymotion.com est l’un des premiers sites où ces attaques ont été détectées.

« Il s’agit de la troisième vulnérabilité découverte depuis le début de l’année dans ce logiciel très répandu chez les particuliers et au sein des entreprises ! Un incident qui rappelle l’importance du Virtual Patching », commente à DataSecurityBreach.fr Loïc Guézo, de chez Trend Micro. « Cette démarche est essentielle pour compenser le temps nécessaire à l’éditeur concerné pour publier son patch correctif. Des délais parfois très longs ! De plus, certains patches sont incorrects, comme c’est arrivé avec Heartbleed, ou n’arrivent tout simplement jamais si les systèmes ne disposent plus de support, comme c’est le cas pour les anciennes versions de Windows. »

Il est recommandé aux entreprises ne disposant pas d’un système de sécurité adéquat de désactiver Adobe Flash Player en attendant qu’un patch de sécurité soit disponible. Data Security Breach en profite pour vous rappeler de vous méfier des fausses mises à jour [lire].

Cybersécurité, Entreprise, Fuite de données, Logiciels, Propriété Industrielle

Enterprise Immune System : combattre pro activement les cybermenaces

Un commentaire

Darktrace est une société de cyberdéfense britannique, fondée en 2013 par des mathématiciens de l’Université de Cambridge. DataSecurityBreach.fr va vous proposer  de découvrir une nouvelle catégorie de technologie, appelée « Enterprise Immune System ». Elle permet aux entreprises de se défendre contre les cybermenaces avancées d’aujourd’hui, de façon proactive. Son socle technologique est basé sur des avancées récentes dans le domaine des mathématiques probabilistes et de l’apprentissage automatique. Découverte de Darktrace !

DataSecurityBreach.fr :  Qu’est-ce qu’un « système immunitaire d’entreprise » ?
DarkTrace : Le « système immunitaire d’entreprise » est une nouvelle approche de cyberdéfense, qui prend comme point de départ l’inévitable infiltration des réseaux d’entreprise. De la même façon que le corps humain est constamment attaqué par des bactéries et des virus, les entreprises sont également exposées à une gamme de menaces complexes qui ne sont pas prévisibles à l’avance. Le système immunitaire du corps humain nous permet de gérer ces attaques constantes tout en apprenant ce qui fait partie de « nous-mêmes » et ainsi en repérant ce qui est « anormal » en mode adaptatif. Cette capacité d’auto-apprentissage est aussi primordiale pour les stratégies de cyberdéfense d’avenir, permettant ainsi aux entreprises de détecter, en temps réel, des menaces potentielles à l’intérieur de leur système et de les stopper avant qu’elles ne deviennent des incidents nuisibles.

DataSecurityBreach.fr :  Cela fonctionne comment ?
DT : Le « système immunitaire d’entreprise » s’inspire du corps humain qui a la même capacité de repérer des éléments étrangers qui pourraient représenter une menace  mais aussi de « se connaître » et de « s’apprendre » de manière évolutive. La technologie « Enterprise Immune System » repose sur des mathématiques et des techniques d’apprentissage automatique très pointues qui analysent en temps réel les comportements de chaque machine, chaque individu et de l’entreprise dans sa globalité, tout en s’adaptant dynamiquement à leur évolution. Avec ces modèles probabilistes, le système immunitaire d’entreprise établit une compréhension de la « normalité » (pattern of life) qui change constamment selon les activités de l’entreprise, des utilisateurs et des machines. Ce système est capable de repérer les comportements anormaux, au fur et à mesure que ceux-ci apparaissent.

DataSecurityBreach.fr :  Identifier une menace qui n’existe pas encore publiquement (0day) demande de connaître cette menace, Darktrace fait comment pour y arriver ?
DT : Il est impossible de prédire chaque menace à l’avance. Nous faisons face à de plus en plus attaques ciblées, menées par des personnes compétentes qui savent se cacher dans le bruit d’un réseau. Il y a aussi la menace interne, provenant des employés, qui est souvent sous-estimée, car elle est très difficile à détecter. Darktrace fait des calculs probabilistes selon des évidences informatiques changeantes, corrélant des traces d’activité faibles pour établir une vue d’ensemble de normalité et anormalité. Ce processus se passe en temps réel, ce qui nous donne la meilleure opportunité de détecter de vraies menaces qui n’ont pas encore été identifiées.

DataSecurityBreach.fr :  Achetez-vous des 0day pour être capable d’agir en amont ?
DT : Non. Toute la valeur de l’approche du « système immunitaire »’ repose sur l’auto-apprentissage de la plateforme Darktrace, qui n’a pas besoin de connaissances « a priori » sur les menaces déjà existantes ou des règles prédéfinies.

DataSecurityBreach.fr :  Qu’est-ce qu’une activité anormale dans une entreprise ?
DT : Une activité anormale peut être n’importe quelle action ou comportement qui sort du tissu de vie « normal » pour l’entreprise dans sa globalité, une machine ou une personne, ou bien l’ensemble de ces trois éléments. Darktrace prend en compte la mesure de 300 dimensions d’activité pour avoir une visibilité très riche de ce qui se passe à l’intérieur de l’entreprise – par exemple, l’heure normale de connexion au réseau par un employé le matin, les dossiers qu’il utilise souvent, le volume de données envoyées et ses destinations. – etc. Chaque entreprise est différente, alors Darktrace apprend la ‘normalité’ pour chaque client de manière évolutive.

DataSecurityBreach.fr : Les mathématiques (Recursive Bayesian Estimation) seraient-elle plus forte que les pirates/les malveillants/… ?
DT : Les mathématiques probabilistes, y compris le « Recursive Bayesian Estimation », représente une innovation fondamentale dans ce domaine qui aident les organisations de reprendre l’avantage sur l’attaqueur ou des menaces potentielles. Grace à sa vision globale de l’entreprise digitale, Darktrace permet aux organisations de voir – pour la première fois – la topologie de leurs systèmes d’informations en temps réel. Fort de cette surveillance probabiliste, le défendeur est capable d’anticiper les signes de compromission subtils, avant que les malveillants et les attaqueurs aient l’opportunité de voler des informations ou de nuire à l’organisation.

DataSecurityBreach.fr :  Travailler sur le comportement (le soi) de ses employés pour en extraire des comportements « illicites », n’est-ce pas un problème d’un cyber espionnage en entreprise, à l’insu des employés ?
DT : Non ce n’est pas un problème, Darktrace ne lit pas le contenu des données qu’elle analyse, et la consommation de ces données est passive. Nos modèles mathématiques détectent les anomalies automatiquement, et n’alertent l’opérateur de sécurité qu’en cas d’anomalie suspecte.

DataSecurityBreach.fr : Darktrace est capable de gérer ses menaces « inconnues » aujourd’hui, mais certains peuvent agir/se lancer demain, comment gérer le risque de faux positif ?
DT : Les menaces présentes et futures sont traitées de la même façon par Darktrace. Les attaques sont identifiées avant qu’elles lancent de manière définitive de façon proactive. La puissance des modèles mathématiques probabilistes de Darktrace est telle que le nombre de faux positifs typique est radicalement réduit. Il est impossible d’adresser chaque violation de politique ou problème potentiel. Mais comme les probabilités se mettent en œuvre dès l’installation, tout comme l’apprentissage du système qui se construit en temps réel, tout en étant auto-apprenant, cela permet d’éviter les faux positifs et rend l’utilisation de Darktrace unique et extrêmement efficace. Par définition l’utilisation de Darktrace permet d’anticiper les potentialités malveillantes qui n’ont jamais été rencontrées. Grâce à son modèle comportemental, le « système immunitaire d’entreprise » est capable non pas de prédire, mais de se prémunir d’attaque jamais rencontrée auparavant.

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Cyberattaques de points de vente

Comme le montrent les titres de la presse depuis quelques mois, les pirates font preuve de plus en plus de ressources quand il s’agit de traverser les pare-feu des entreprises pour attaquer directement les terminaux des points de vente et leurs serveurs back-end. Si le service informatique ne peut les empêcher d’entrer par la porte, existe-t-il une seconde ligne de défense permettant au moins de contenir les cybervoleurs une fois que ceux-ci se trouvent à l’intérieur ?

Le modus operandi des pirates reste relativement simple dans le cas des attaques liées à la vente au détail. Ils pénètrent dans le poste fixe ou le portable d’un utilisateur par phishing ou en devinant le mot de passe. L’injection SQL, un autre vecteur d’attaque éprouvé, peut également avoir été employée lors d’une certaine occasion.

Dans tous les cas, les cybervoleurs ont contourné les vérifications de périmètre et les défenses anti-intrusion pour lesquelles les entreprises ont dépensé des centaines de millions de dollars ou d’euros. La détection antivirus traditionnelle ne peut, au mieux, que rester au fait des signatures les plus récentes. De plus, les programmes malveillants comportent maintenant des routines anti-investigation qui déjouent les stratégies de blocage de base. Mais il existe une furtivité encore plus grande dans ces attaques.

L’art de la furtivité
Après avoir examiné de nombreux incidents réels, je peux vous dire que les pirates testent les vulnérabilités d’authentification de manière réflexe dès leur entrée, au moyen de Pass the Hash, de rainbow tables, etc.

Si vous voulez des statistiques plus précises, le Rapport d’enquête sur les compromissions de données de Verizon Data Breach indique qu’environ 80 % des incidents de piratage comportent une attaque de type authentification.

La stratégie des pirates consiste à moissonner autant d’informations d’identification que possible. Le logiciel de surveillance les voit comme de simples utilisateurs lors de leur passage furtif de serveur en serveur. Leur objectif ultime est d’obtenir les informations d’identification d’un utilisateur avancé disposant de permissions élevées afin de pouvoir aboutir au serveur contenant les données les plus précieuses.

À partir de là, leur outil malveillant préféré est la ligne de commande habituelle : ils copient les fichiers vers un serveur spécial à partir duquel les informations de carte de crédit seront finalement extraites.

En quoi consiste un programme malveillant exactement ?
Cette question mène à des considérations plus vastes sur la disparition des limites entre programmes malveillants et vrais logiciels. Nombre de logiciels que les pirates chargent après leur arrivée sont souvent les mêmes que ceux utilisés par les services de sécurité informatique.

Les outils présents dans la panoplie d’un pirate peuvent comprendre PWDump (extraction de chaînes de hachage), Netview (mappage des connexions réseau), Psll (listeur de processus) et CheckSQL (force brute appliquée aux comptes SQL). Tous se trouvent dans une zone d’ombre et ne sont pas entièrement inappropriés dans le dossier d’un administrateur système. Ainsi, leur existence ne prouve pas nécessairement qu’un système a été compromis.

L’essentiel à retenir : si vous comptez sur les logiciels commerciaux de détection d’intrusion pour analyser la liste de « programmes malveillants » ci-dessus, vous finirez par lever beaucoup de faux lièvres.

Faire le premier pas
Sans surprise, il existe différentes approches pour réduire les risques. Lorsque les cyber voleurs passent les premiers murs de défense, certains voient la situation comme un autre problème de périmètre : un problème interne résolu au mieux par une meilleure architecture réseau (c.-à-d. en isolant les serveurs et les terminaux PDV de tout le reste). Mais les autres (moi y compris) pensent qu’il vaut mieux concentrer les efforts de sécurité sur les défenses se trouvant vers le haut de la pile, à savoir au niveau de l’OS. Toutefois, lors de mes propres conversations avec les pros de la sécurité d’une grande société d’antivirus, j’ai découvert qu’il existe un consensus sur quelques mesures de prévention. Outre la mise en place de politiques de mot de passe strictes, l’action suivante consiste à restreindre les connexions réseau à distance à partir des machines des utilisateurs ordinaires.

Pourquoi cela ?
Il faut empêcher les intrus de repartir depuis leur point d’entrée initial. Malheureusement, dans de nombreux environnements Windows, les services de connexion à distance au PC sont souvent largement activés et les pirates peuvent confortablement s’y connecter et même lancer l’interface utilisateur depuis la ligne de commande. Ce risque peut être réduit en limitant le nombre d’utilisateurs et d’ordinateurs capable d’effectuer des connexions via RDP (Remote Desktop Protocol). Les administrateurs peuvent le faire au moyen de l’éditeur d’objets de stratégie de groupe (GPO : Group Policy Object), en naviguant vers les Composants Windows | Hôte de session Bureau à distance | Connexions. Ils pourront également configurer la stratégie Attribution des droits utilisateur. Vous pouvez en savoir plus sur cette procédure ici. (Par Norman Girard, Vice Président et directeur général Europe de Varonis)

Cybersécurité, Espionnae, Facebook, Fuite de données, Identité numérique, Particuliers, Social engineering

Connaître vos ami(e)s sur Facebook, un jeu d’enfant

Facebook permet de protéger son compte des regards non autorisés. Lorsqu’une personne configure correctement son profile, la protection des informations et des ami(e)s semble correcte… ou pas.

Voici un bug qui affiche vos ami(e)s alors normalement invisbles. Mario Gosparini, analyste et développeur R&D, explique ce problème qui permet de retrouver l’identité de vos ami(e)s. Plutôt génant quand on sait la vivacité des escrocs à intervenir sur Facebook.

Etonnant, le « truc » jongle avec les personnes inscrites sur votre compte et une url qu’il suffit de manipuler : facebook.com/{ pseudo de la personne cible}/friends?and={ pseudo de l’ami de la personne cible }&sk=friends.

Grace à ce lien « modifié », les visages des ami(e)s des ami(e)s permet de faire ressortir les ami(e)s en commun. « Du coup de fil en aiguille en prenant chaque amis et en utilisant un lien spéciale, je peux comparer les amis des 2 personnes, et récupérer progressivement la liste des amis intégralement« . C’est long, mais c’est efficace. (Dyrk)

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

La biométrie peut-elle vraiment remplacer les mots de passe ?

Les hackers du Chaos Computer Club ont réussir, fin décembre, à reproduire l’empreinte digitale du ministre allemand de la défense à partir de photos publiques en haute définition. Sachant qu’ils avaient précédemment montré qu’ils savent utiliser ces empreintes reconstituées sur les capteurs des téléphones portables grand public… Prenons un peu de recul et analysons ce que cela veut dire pour l’avenir de l’authentification en ligne. Par Emmanuel Schalit, CEO de Dashlane.

Il y a traditionnellement trois types de facteurs qui permettent d’authentifier un individu :
·         Ce qu’il sait (mot de passe, code pin, question secrète…)
·         Ce qu’il possède (jetons, cartes…)
·         Ce qu’il est (signature de l’iris, empreinte digitale…)

Les systèmes informatiques très sensibles des gouvernements ou des grandes entreprises utilisent souvent des processus d’authentification forte, multi facteurs, qui requièrent la mise en œuvre de deux ou trois facteurs parmi les trois types citées ci-dessus. Les sites Internet grand public quant à eux utilisent des systèmes d’authentification simples, basés sur un identifiant et un mot de passe connu uniquement de l’utilisateur. Pour des raisons pratiques, les consommateurs ne sont pas prêts à utiliser des systèmes multi facteurs sur les dizaines de sites web qu’ils utilisent régulièrement.

Quels sont les avantages et les désavantages de la biométrie pour l’authentification en ligne des consommateurs?
Le point fort de la biométrie c’est qu’elle résout à la fois le problème de l’identification (déterminer l’identité d’un individu) et de l’authentification (confirmer son droit à accéder à un contenu ou un service). Sur le papier c’est un bon outil pour prévenir l’usurpation d’identité et de nombreuses fraudes. On peut me voler ma carte de crédit ou mes mots de passe mais on ne peut pas me voler mon empreinte digitale… C’est ce qu’on pensait jusqu’à maintenant. La reconstitution d’empreinte réalisée par les hackers la semaine dernière bouleverse cette croyance.

Désormais on sait que l’authentification biométrique peut être piratée comme toute autre forme d’authentification. Et apparaît alors un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage,  si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent devenir tous vulnérables en même temps. Il y a d’autres limites à l’utilisation de données biométriques : elles ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l’utilisation anonyme d’identifiants sont cependant de plus en plus répandus sur le web…

La biométrie est pertinente pour ajouter un facteur d’authentification supplémentaire dans le cadre de l’authentification multi facteurs mais il y a peu de chances qu’elle succède au mot de passe comme standard pour l’ensemble des sites, contrairement à ce que l’on veut nous faire croire. Utilisés correctement (un mot de passe fort et unique pour chaque site web), les mots de passe ont de réels avantages :

·         Un mot de passe peut être volé mais si vous utilisez un mot de passe unique pour chaque site, l’intégrité de vos autres accès n’est pas compromise en cas de vol. C’est différent avec les données biométriques qui sont par définition les mêmes partout
·         Un mot de passe peut être partagé, ce qui est nécessaire à la fois en famille et au travail. Les comptes Netflix à la maison ou les comptes Twitter d’entreprise sont par exemple généralement accessibles via un seul compte dont les identifiants sont partagés.
·         Le mot de passe préserve l’anonymat qui est très important pour les internautes. Que serait Twitter sans la possibilité de créer des comptes anonymes ?

Compte tenu de notre utilisation croissante d’Internet, nos cerveaux ne peuvent plus accomplir seuls toutes les tâches nécessaires pour bien gérer ses mots de passe : génération aléatoire, stockage sous forme cryptée, mémorisation, changement des mots de passe. Nous avons trop de comptes et trop d’appareils pour cela. C’est pourquoi de plus en plus d’utilisateurs d’Internet se reposent sur un gestionnaire de mot de passe pour s’assurer de respecter les règles de bases du bon usage des mots de passe.

Certains voient les mots de passe comme un système temporaire qui sera remplacé très rapidement par un système d’authentification ultra sophistiqué. Cela sera peut-être vrai un jour mais en attendant, le mot de passe reste le standard, et un standard ne se remplace pas si facilement. Pour preuve, nous utilisons toujours le clavier au format azerty, non pas parce que l’ordre de ces lettres est nécessaire aujourd’hui (c’était le cas uniquement sur les machines à écrire avec ruban), mais parce que c’est devenu un standard, et qu’aucune innovation n’a réussi à le supplanter, en termes de facilité d’usage comme en termes de déploiement. Nous ferions mieux de veiller à bien utiliser nos mots de passe plutôt que de croire à une hypothétique solution miracle !

Cybersécurité, DDoS, Entreprise, Piratage

Recrudescence des attaques DDoS en France au lendemain des marches contre le terrorisme

Le 15 janvier, le vice-amiral Arnaud Coustillière, officier général à la cyberdéfense faisait état d’une montée en flèche des attaques contre des sites Web français : « Parlant d’une vague sans précédent, le vice-amiral Arnaud Coustillière, officier général de la cyberdéfense à l’état-major des armées françaises, a déclaré que 19 000 sites Web français avaient été la cible de cyberattaques ces derniers jours, … ». Une attaque que révélait le site zataz.com.

Avec l’aide de l’observatoire ATLAS, la société Arbor Networks nous a permis de constater les répercussions de conflits du monde réel sur l’espace numérique. ATLAS reçoit des données anonymes du trafic relatives aux incidents DDoS provenant de plus de 330 fournisseurs d’accès Internet partenaires à travers le monde. Nous nous sommes intéressés aux attaques DDoS survenues avant et après le dimanche 11 janvier. Afin de jauger cette riposte, nous comparons les attaques DDoS observées entre le 3 et le 10 janvier à celles recensées du 11 au 18 janvier inclus.

Fréquence des attaques
Entre le 3 et le 18 janvier, au total 11 342 attaques distinctes ont été signalées contre la France, soit en moyenne 708 par jour. La série suivante de graphiques illustre la fréquence et l’ampleur des attaques DDoS durant les 8 jours ayant précédé et suivi la date du 11 janvier à 00:00:00 GMT. Nous observons une augmentation de 26 % du nombre d’attaques DDoS dans la période qui a suivi le 11 janvier.

Ampleur des attaques
Nous constatons une hausse de 35 % de l’ampleur moyenne des attaques DDoS après le 11 janvier. En effet, dans les huit jours précédant le 11 janvier, la moyenne était de 1,21 Gbit/s. Après le 11 janvier, elle est passée à 1,64 Gbit/s.

Répartition de l’ampleur des attaques
247 (5 %) des attaques DDoS sur la période antérieure au 11 janvier ont dépassé 5 Gbit/s, chiffre qui est passé à 678 (11 %) après le 11 janvier. Tandis que la Figure 2 indique une augmentation de 35 % de l’ampleur moyenne des attaques le 11 janvier, le pourcentage d’attaques supérieures à 5 Gbit/s a, quant à lui, plus que doublé.

Pics d’attaques
Le 9 janvier s’est déroulée une attaque à 40,96 Gbit/s, tandis qu’une attaque à 63,02 Gbit/s a été signalée le 11 janvier. L’attaque du 11 janvier a donc été 54 % plus violente que celle du 9 janvier.

Le 11 janvier, la plus grande manifestation depuis la libération, a vu des millions de personnes marcher pour lutter contre le terrorisme dans tout le pays[5]. Le 15 janvier, le vice-amiral Arnaud Coustillière a fait état d’une vague sans précédent de cyberattaques contre des sites Web français, parlant d’une « riposte aux manifestations de masse ». Les données Arbor ATLAS présentées ci-dessus paraissent corroborer ces affirmations.

Les comparaisons des statistiques d’attaques DDoS durant les huit jours ayant précédé et suivi le 11 janvier font en effet apparaître une hausse de 26 % du nombre d’attaques, une augmentation de 35 % de l’ampleur moyenne des attaques, un doublement du nombre d’attaques supérieures à 5 Gbit/s et un accroissement de 54 % de l’ampleur de l’attaque la plus violente entre les deux périodes. Il s’agit là d’un nouvel exemple frappant d’une recrudescence des cyberattaques en écho à des événements géopolitiques.

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Joomla, Leak, Logiciels, Microsoft, Mise à jour, Oracle, Patch, Piratage, Red Hat, Social engineering, Wordpress

Selon Cisco – 100% des réseaux analysés contiennent des malwares

Le principal enjeu des équipes en charge de la sécurité des systèmes d’information est de faire face à des attaques de plus en plus ciblées et de mieux comprendre la menace pour détecter les signaux faibles sur leurs réseaux. Selon Cisco – 100% des réseaux analysés contiennent des malwares. Vous avez dit inquiétant ?

Le Rapport Annuel sur la Sécurité 2015 de Cisco révèle que 40 % des failles de sécurité en entreprise ne sont pas corrigées. Les résultats du Rapport Cisco soulignent que, malgré une prise de conscience de la menace et un nombre croissant d’attaques ciblées médiatisées, les entreprises n’utilisent pas forcément l’ensemble des outils disponibles, simples à mettre en œuvre, pour contrer les cyberattaques. L’étude Cisco a été menée auprès de 1700 entreprises dans 9 pays.

Le Rapport permet de tirer plusieurs conclusions majeures :
La menace est réelle et permanente : 100 % des réseaux analysés contiennent des malwares. Ces résultats sont identiques au Rapport 2014. En 2014, 1 % des vulnérabilités connues (43 sur 6756) ont été exploitées par les cybercriminels. D’une part, cela signifie que les entreprises doivent prioriser 1 % des vulnérabilités exploitées dans le cadre de leur politique globale de correction. D’autre part, même si les technologies atteignent de hauts niveaux de performance, il est nécessaire de comprendre les menaces pour lutter contre les vulnérabilités. Les kits d’exploits largement utilisés sont rapidement détectés par les solutions de sécurité – ce qui signifie que les cybercriminels préfèrent disposer  du 4ème ou 5ème kit d’exploits le plus utilisé, pour ne pas trop attirer l’attention. Même si les kits d’exploits ont diminué de 88 % entre mai et novembre 2014, ils restent un outil utilisé à un rythme soutenu par les cybercriminels, aux conséquences sérieuses pour les entreprises. Les failles Java sont en baisse de 34 % et les attaques Flash de 3 % alors que les failles Silverlight ont augmenté de 228 % et les failles PDF de 7 %.

Les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des vulnérabilités en partageant un exploit entre deux fichiers distincts : un Flash et un JavaScript. L’activité malveillante est alors plus difficile à détecter et à analyser et prouve la sophistication des attaques et la professionnalisation des hackers.

L’industrie pharmaceutique et la chimie sont les secteurs les plus touchés par la cybercriminalité. Les médias, l’industrie, le transport et la logistique et l’aviation complètent le top 5 des secteurs les plus touchés. L’an dernier, seuls l’industrie pharmaceutique et la chimie et l’aviation figuraient parmi les secteurs les plus concernés par les attaques. Le volume de spam a augmenté de 250 % en 2014. Plus ciblé et plus dangereux, envoyé à plus faible volume à partir d’un grand nombre d’adresses IP pour échapper aux outils de détection, un nouveau type de spam est en train d’émerger (Snowshoe). Les spammeurs adaptent les messages à leur cible (phishing), de façon à contourner les filtres anti-spam pour mieux tromper leurs victimes. Le malvertising (publicités malicieuses) est une nouvelle technique utilisée par les cybercriminels en 2014 qui permet de diffuser des malwares au travers des navigateurs, tout en ne nécessitant pas de moyens importants mais permettant aux cybercriminels de gagner beaucoup d’argent. Adobe et Internet Explorer sont les éditeurs les plus vulnérables avec respectivement 19 % et 31 % des attaques observées.

Grâce à l’évolution des technologies de sécurité, les attaques directes et massives sont de plus en plus difficiles à mettre en œuvre. Les cybercriminels font désormais preuve de plus de créativité pour tromper l’utilisateur afin que celui-ci installe lui-même le logiciel malveillant. Ils profitent également de la faiblesse des entreprises en matière de mise à jour des vulnérabilités connues sur leurs systèmes : Alors que la faille Heartbleed a été découverte il y a plus de 6 mois, et qu’elle a permis de révéler une faille dans OpenSSL, 56 % des versions OpenSSL ont plus de 4 ans et sont toujours vulnérables car elles n’ont pas été mises à jour depuis la sortie du patch. Internet Explorer est le navigateur le moins mis à jour avec seulement 10 % des versions installées mises à jour avec la dernière version connue, la version la plus courante datant de 31 mois par rapport à la version la plus récente. Au contraire, 64 % des versions de Chrome sont à jour.

« La sécurité du système d’information est une affaire d’équipe : elle ne pourra être optimale que si le RSSI et l’équipe informatique, les dirigeants de l’entreprise, les directeurs métier, etc. travaillent ensemble pour mieux comprendre la menace et faire face aux cyberattaques. Les cybercriminels travaillent de mieux en mieux pour dissimuler leurs traces. L’ensemble des parties prenantes doit donc répondre à des questions majeures : est-ce que l’entreprise dispose des outils qui lui permettront non seulement d’identifier les attaques avérées, mais également de déterminer où se situent les vrais vulnérabilités de son informatique ? Comment l’entreprise peut être certaine que ses utilisateurs sont en sécurité, et cela même lorsqu’ils travaillent en dehors du périmètre du réseau de l’entreprise ? » explique à DataSecurityBreach.fr Christophe Jolly, Directeur Sécurité Cisco France. « Face à l’évolution de la menace, les entreprises doivent mettre en œuvre un ensemble de mesures de sécurité pour leur permettre de répondre aux défis liés à la cybercriminalité et au cyberespionnage industriel et pour mieux comprendre la cybersécurité du monde d’aujourd’hui ».

Retrouvez le Rapport Annuel sur la Sécurité 2015 de Cisco en intégralité ici : www.cisco.com/go/asr2015

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde

Conservation des données et entreprises

Nouvelle loi relative à la conservation des données : Quels sont les impacts pour les entreprises et les administrations ? Les changements qu’il va falloir intégrer avec la récente entrée en vigueur de la loi du 13 novembre 2014 visant à encadrer l’apologie d’actes terroristes, notamment sur le net. (par Olfeo)

A l’heure où le gouvernement travaille sur des mesures permettant de mieux prévenir le terrorisme notamment sur Internet suite aux attentats en France, deux textes ont déjà vu le jour depuis début 2015. Ainsi le 1er janvier 2015, une nouvelle loi en matière de conservation des données a vu le jour à
travers le décret n° 2014-1576 du 4 décembre 2014 et le 10 janvier la loi du 13 novembre 2014 est entrée en vigueur afin d’encadrer l’apologie d’actes terroristes, notamment sur le net.

Quel impact l’entrée en vigueur de ce décret pour les entreprises et les administrations en matière de conservation des logs ?
A travers le décret n° 2014-1576 du 4 décembre 2014, les données auxquelles les services de renseignement et de défense peuvent avoir accès sont des données dites de connexion, telles que, notamment :

o   l’identifiant de la connexion ;
o   les dates et heure de début et de fin de la connexion ;
o   les données relatives aux destinataires de l’utilisation

Les services relevant de la sécurité intérieure, de la défense, de l’économie et du budget, chargées notamment de rechercher des informations intéressant la sécurité nationale, la criminalité et la délinquance organisée ou la prévention du terrorisme, sont habilités à demander l’accès à ces données de connexion. Ces « personnalités qualifiées » peuvent solliciter une demande d’accès aux données de connexion, en temps différé comme en temps réel, au groupement interministériel de contrôle.

Le groupement interministériel de contrôle transmet ensuite aux opérateurs de communication électroniques, aux fournisseurs d’accès à internet, aux hébergeurs et par extension aux entreprises et administrations (loi n° 2006-64 du 23 janvier 2006, relative à la lutte contre le terrorisme – alinéa 2 de l’article L. 34-1) la demande d’accès aux données ;

Les données transmises par ces derniers sont ensuite conservées, pour une durée maximale de trois ans, par le Premier ministre et sont automatiquement effacées passé ce délai. Par conséquent, ce décret modifie la durée de conservation des données collectées par le groupement interministériel de contrôle, qui passe d’un an à trois ans, et sont conservées par le Premier ministre seul.

Toutefois il ne modifie pas l’obligation de conservation, durant un an, par les opérateurs de communications électroniques, les fournisseurs d’accès à internet et les hébergeurs, entreprises et administrations des données de connexion. Depuis le 10 janvier 2015, l’utilisation d’Internet pour faire l’apologie d’actes terroristes est devenue circonstance aggravante à travers l’article 421-2-5 du code pénal.

Cet article dispose que « le fait de provoquer directement à des actes de terrorisme ou de faire publiquement l’apologie de ces actes est puni de cinq ans d’emprisonnement et de 75.000 € d’amende », et précise que « les peines sont portées à sept ans d’emprisonnement et à 100.000 euros d’amende lorsque les faits ont été commis en utilisant un service de communication au public en ligne ». Une entreprise ou administration peut ainsi être sollicitée par le groupement interministériel de contrôle (décret n° 2014-1576 du 4 décembre 2014) pour une demande d’accès aux données de connexion, en temps différé comme en temps réel.

Pour conclure, ces deux dernières évolutions de la législation française en matière de lutte contre le terrorisme ne font que mettre l’accent sur la réelle obligation de filtrer pour les entreprises et les administrations en France. Néanmoins, d’autres évolutions sont à prévoir dans le cadre des réflexions du gouvernement pour mieux prévenir les menaces terroristes.

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Sécurité, Smartphone, Téléphonie

Le téléphone sécurisé BlackPhone… pas si secure que ça

Une faille sérieuse découverte dans le téléphone portable ultra sécurisé BlackPhone. Le smartphone qui protège des écoutes peut être infiltré !

Un hacker australien a découvert comment piéger la sécurité, pourtant très poussée, du téléphone BlackPhone. L’appareil permet de chiffrer les appels et les contenus qu’il diffuse. Du moins, ça c’était avant. Avant qu’un bidouilleur découvre qu’avec un simple SMS envoyé à l’application « Silent » il était possible d’exécuter un code malveillant et de prendre la main sur le téléphone. Une injection découverte en une semaine par Mark Dowd. Le fabricant du BlackPhone annonce une rustine pour son matériel. Un téléphone qui coûte 550€. (Register)

Cloud, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Linux, Logiciels, Mise à jour, Piratage

Faille sévère pour les systèmes Linux

Qualys publie un bulletin de sécurité pour la vulnérabilité « GHOST » découverte sur les systèmes Linux Cette vulnérabilité sévère détectée dans la bibliothèque C de GNU/Linux donne le contrôle aux attaquants sans nécessiter d’identifiants système. – Patchs disponibles dès aujourd’hui –

Qualys, Inc., le principal fournisseur de solutions de sécurité et de conformité dans le Cloud, annonce que son équipe chargée de la recherche en sécurité a découvert dans la bibliothèque C de GNU/Linux (glibc) une vulnérabilité critique qui permet aux pirates de prendre le contrôle à distance de tout un système, en se passant totalement des identifiants système. Qualys a travaillé de manière étroite et coordonnée avec les fournisseurs de distributions Linux pour proposer un patch pour toutes les distributions de systèmes Linux touchés. Ce patch est disponible dès aujourd’hui auprès des fournisseurs correspondants.

Baptisée GHOST (CVE-2015-0235) parce qu’elle peut être déclenchée par les fonctions gethostbyname et gethostbyaddr, cette vulnérabilité touche de nombreux systèmes sous Linux à partir de la version glibc-2.2 publiée le 10 novembre 2000. Les chercheurs de Qualys ont par ailleurs détecté plusieurs facteurs qui atténuent l’impact de cette vulnérabilité, parmi lesquels un correctif publié le 21 mai 2013 entre les versions glibc-2.17 et glibc-2.18. Malheureusement, ce correctif n’ayant pas été classé comme bulletin de sécurité, la plupart des distributions stables et bénéficiant d’un support à long terme ont été exposées, dont Debian 7 (« Wheezy »), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 et Ubuntu 12.04.

Les clients Qualys peuvent détecter GHOST à l’aide de la signature QID 123191 fournie par le service Cloud Qualys Vulnerability Management (VM). Lorsqu’ils lanceront le prochain cycle de scan, ils obtiendront des rapports détaillés sur l’exposition de leur entreprise à cette vulnérabilité sévère. Ils pourront ainsi estimer son impact sur leur activité et suivre efficacement la vitesse de résolution du problème.

« GHOST expose à un risque d’exécution de code à distance qui rend l’exploitation d’une machine par un pirate terriblement enfantine. Il suffit par exemple qu’un pirate envoie un mail sur un système sous Linux pour obtenir automatiquement un accès complet à cette machine », explique à dataSecuritybreach.fr Wolfgang Kandek, Directeur technique de Qualys, Inc. « Compte tenu du nombre de systèmes basés sur glibc, nous considérons qu’il s’agit d’une vulnérabilité sévère qui doit être corrigée immédiatement. La meilleure marche à suivre pour atténuer le risque est d’appliquer un patch fourni par votre fournisseur de distributions Linux. »

Mise à jour RedHat publiée ce 27 janvier. Explication technique sur open wall.

Mise à jour : 

L’éditeur Ve-hotech vient de diffuser une mise à jour 5.1.1 de son système d’exploitation en vue de prévenir la vulnérabilité CVE-2015-0235 dans la bibliothèque libc6. libc6 étant la principale bibliothèque utilisée par l’ensemble des programmes fonctionnant sous Linux, Ve-hotech a pris des mesures immédiates pour régler le problème.

  • Si le serveur est paramétré pour se mettre automatiquement à jour, il est probablement déjà à jour. Il suffit de vérifier que le numéro de version est bien 5.1.1 dans l’interface utilisateur.
  • Si le serveur est paramétré pour être mis à jour manuellement, l’utilisateur doit effectuer la mise à jour à partir de l’onglet maintenance de l’application de configuration avancée.
  • Si la version du serveur est inférieure à la 4.0, il est fortement conseillé de mettre à niveau le serveur vers la génération 4 du micro-logiciel.
  • Les versions 1.x du micro-logiciel ne sont pas concernées.
Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Le site de l’Élysée géré par une ferme américaine ?

Faut-il s’inquiéter de cette idée numérique ? Le site Internet de la Présidence de la République Française serait hébergé par une société américaine.

Loin de nous de penser que l’hébergeur américain COLT soit une mauvaise entreprise. Loin de nous de penser que Level 3 espionne ses clients. Mais s’il existe bien un site en France qui doit être hébergé sur le territoire, et par une entreprise hexagonale, c’est bien celui de l’Élysée. Nous imaginons mal voir le site de la Maison Blanche finir dans les serveurs d’Oceanet Technology ou OVH, même sur le sol américain.

Le site de l’Élysée est hébergé par qui ?

D’après les informations de l’AFNIC, le site passerait par les câbles et serveurs de la société COLT Imaginet ; Selon Geolook, Elysee.fr passe aussi par une ferme du Kensas (La localisation à la sauce Google Map, ndr), mais plus sérieusement par les tuyaux de l’américain Level 3 Communications, Inc (certainement, entre autre, pour soutenir une éventuelle attaque DDoS, NDR). Les deux géants ont débarqué en force, en 2012, sur le territoire français.

En visitant le portail présidentiel, nous découvrons une autre information. Le site serait hébergé par Bears Tech. Bref, la souveraineté de la France 2.0 semble promenée d’ hébergeur et hébergeur ?

Google Map situe le site de l’Élysée… dans une ferme du Kansas 🙂

Bref, dans une période ou des Snowden (officiels ou non) expliquent les infiltrations étatiques, que le FBI arrête encore des espions sur son sol, les plus paranoïaques peuvent se dire que tant de partenaires pour un hébergement multiple, voilà qui est troublant. Rien que pour les correspondances entre les Français et le Président. Un formulaire, comme des pages, qui n semblent pas utiliser le https. Même plus besoin de lancer des satellites d’espionnages ou de mettre une pince crocodile sur les câbles sous-marin au large de Marseille.

Android, backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, Sécurité, Smartphone, Téléphonie

Des portes dérobées découvertes dans des terminaux Android

Un commentaire

DeathRing et CoolReaper, des portes cachées installées dans des téléphones Android. Ils ont pu toucher des millions d’utilisateurs.

Palo Alto Networks a révélé des informations sur une porte dérobée présente sur des millions de terminaux mobiles Android vendus par Coolpad, l’un des plus gros fabricants de Smartphones basé en Chine. Baptisée « CoolReaper », cette porte dérobée expose les utilisateurs à d’éventuels actes de malveillance et semblerait avoir été installée et conservée par Coolpad malgré les objections des clients.

Il arrive fréquemment que les fabricants d’équipements installent des logiciels sur le système d’exploitation mobile Android de Google pour doter les appareils Android de fonctionnalités et de possibilités de personnalisation supplémentaires. Certains opérateurs de téléphonie mobile installent même des applications permettant de recueillir des données sur les performances des appareils. Mais d’après l’analyse détaillée de l’Unité 42 – l’équipe d’analyse des menaces de Palo Alto Networks – CoolReaper ne se contenterait pas de collecter simplement des données d’utilisation de base. Son fonctionnement s’apparenterait davantage à celui d’une véritable porte dérobée permettant d’accéder aux appareils Coolpad. Coolpad semblerait également avoir modifié une version du système d’exploitation Android pour rendre cette porte dérobée quasi invisible pour les programmes d’antivirus.

Découvert par le chercheur Claud Xiao de Palo Alto Networks, CoolReaper a été identifié sur 24 modèles de téléphones vendus par Coolpad et pourrait, si l’on en croit les données commerciales de Coolpad accessibles au public, impacter plus de 10 millions d’utilisateurs.

« Il est naturel que les fabricants d’équipements sous Android préinstallent des logiciels qui offrent des fonctionnalités et permettent de maintenir leurs applications à jour. Mais la porte dérobée évoquée dans ce rapport dépasse le cadre que connaissent les utilisateurs : elle permet à Coolpad de prendre le contrôle complet des équipements affectés, de rendre le logiciel invisible pour les antivirus et expose les utilisateurs à la merci d’actes de malveillance. Nous encourageons vivement les millions d’utilisateurs Coolpad susceptibles d’être concernés par CoolReaper d’inspecter leurs appareils pour y rechercher l’éventuelle porte dérobée et prendre les mesures appropriées pour protéger leurs données. » – Ryan Olson, directeur de la recherche au sein de l’Unité  42 chez Palo Alto Networks

Contexte et effets de CoolReaper
L’intégralité des résultats de l’analyse de CoolReaper figure dans le rapport de l’Unité 42, « CoolReaper : The Coolpad Backdoor » préparé par Claud Xiao et Ryan Olson qui paraît aujourd’hui. Dans ce rapport, Palo Alto Networks publie également la liste des fichiers à vérifier sur les terminaux Coolpad susceptibles d’indiquer la présence de la porte dérobée CoolReaper. Comme l’ont observé les chercheurs, CoolReaper est capable d’effectuer chacune des tâches suivantes, avec un potentiel de dangerosité pour les données sensibles des utilisateurs ou des entreprises. Un pirate malintentionné pourrait par ailleurs exploiter une vulnérabilité découverte sur le système de contrôle (back-end) de CoolReaper.

CoolReaper est capable de télécharger, installer ou activer n’importe quelle application Android sans autorisation ou notification de l’utilisateur ; effacer des donnés utilisateur, désinstaller des applications existantes ou désactiver des applications système ; informer les utilisateurs d’une fausse mise à jour OTA (Over-The-Air) qui, au lieu de mettre à jour le terminal, installe des applications indésirables ; envoyer ou insérer des messages SMS ou MMS arbitraires sur le téléphone ; transmettre à un serveur Coolpad des informations concernant le terminal, sa localisation, l’utilisation des applications, l’historique des appels et des SMS.

Prise en compte par Coolpad
L’Unité 42 a commencé à observer ce que l’on a baptisé CoolReaper suite aux nombreuses réclamations publiées sur les forums Internet par des clients de Coolpad en Chine. Au mois de novembre, un chercheur qui travaillait avec le site Wooyun.org a identifié une vulnérabilité sur le système de contrôle back-end de CoolReaper. Cette découverte a permis de comprendre que Coolpad contrôlait lui-même le backdoor présent dans le logiciel. Un site d’information chinois, Aqniu.com, a par ailleurs signalé l’existence de la porte dérobée et ses pratiques abusives dans un article paru le 20 novembre 2014. Au 17 décembre 2014, Coolpad n’a toujours pas répondu aux nombreuses demandes d’assistance de Palo Alto Networks. Les informations de ce rapport ont également été transmises à l’équipe de sécurité Android de Google.

De son côté Lookout découvre un logiciel malveillant pré-chargé dans des smartphones. DeathRing est un cheval de Troie chinois, préinstallé sur toute une série de smartphones parmi les plus populaires en Asie et en Afrique. Bien que sa détection ne soit pas plus fréquente qu’un autre logiciel malveillant, nous le considérons menaçant, notamment de par sa présence sur les smartphones dès leur sortie d’usine, et car il a été détecté aux quatre coins de la planète.

Autre particularité de ce malware, sa méthode de distribution. Pour la seconde fois en 2014, c’est en pré-chargeant le malware directement dans la chaîne d’approvisionnement que DeathRing atteint sa cible. Nous n’arrivons pour le moment pas à déterminer à quelle étape de la chaîne d’approvisionnement DeathRing est installé sur les smartphones. Nous savons toutefois que, pour de nombreux portables, il est installé dans le répertoire système le rendant extrêmement difficile à éradiquer. Il n’est malheureusement pas possible aux prestataires de services de sécurité de supprimer ce logiciel malveillant car il est installé dans le répertoire système des portables.

Recommandations

·         Vérifiez la provenance du téléphone que vous achetez.
·         Téléchargez une application de sécurité comme celle de Lookout, qui sert de première ligne de défense pour votre portable. Si vous découvrez qu’un tel logiciel malveillant est pré-chargé sur votre portable, demandez à vous faire rembourser.
·         Consultez régulièrement votre facture téléphonique afin de détecter les frais suspects.

Argent, Arnaque, backdoor, Banque, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Identité numérique, Leak, Particuliers, Piratage

La réalité de l’industrialisation de la cybercriminalité

Selon le Centre de lutte contre la Cybercriminalité d’Europol, il n’y aurait qu’une centaine de personnes responsables de la cybercriminalité dans le monde.

Ce chiffre reflète effectivement la réalité de l’industrialisation de la cybercriminalité d’aujourd’hui, à laquelle sont confronté les entreprises, les États et les individus. Ainsi, seul un tout petit nombre de programmes permettant d’exploiter des failles logicielles connues (exploits) et d’outils en matière de cybercriminalité sont très largement exploités par les réseaux cybercriminels professionnels dans le monde entier.

Le dernier rapport semestriel sur la sécurité de Cisco a d’ailleurs mis en évidence le fait que le nombre de kits d’exploits a chuté de 87 % depuis que le créateur présumé de Blackhole a été arrêté en 2013. Cela montre à quel point ce kit a largement été utilisé par la communauté cybercriminelle.

Nous savons également que les réseaux de cybercriminels sont si bien organisés qu’ils achètent désormais « clef en main » les kits d’exploits et logiciels qu’ils utilisent pour mener à bien leurs activités. La plupart du temps, ces logiciels sont même fournis avec des manuels d’utilisation et un support technique 24/7. Ensuite, les cybercriminels utilisent Internet pour mettre en place un « réseau de distribution » dans le monde entier et diffuser leurs attaques, que ce soit physiquement ou en ligne, via des réseaux de botnets.

Selon Europol, ces kits et ces malwares sont si sophistiqués qu’avec très peu d’effort ils peuvent être réutilisés maintes fois et adaptés aux cibles des cybercriminels.

Mais si ces outils sont si fréquemment et si largement répandus, pourquoi les entreprises ne parviennent-elles pas à prévenir les attaques de leurs réseaux et leurs PC ?

Ceci est en partie dû au fait que les cybercriminels ont une longueur d’avance sur les responsables de la sécurité en trouvant de nouvelles variantes à leurs kits d’exploit alors que les experts en sécurité cherchent le moyen de les bloquer. Cette « course à l’armement » ne cessera jamais et nous savons même que de nombreux réseaux de cybercriminels vont jusqu’à acheter les solutions de sécurité pour tester leurs exploits afin de voir si ces dernières parviennent à les arrêter. Et, si tel est le cas, ils développent une nouvelle version de l’exploit pour la communauté cybercriminelle.

Ce que les professionnels de la cybersécurité ont bien compris depuis longtemps, c’est que les hackers sont très motivés, bien équipés et très qualifiés pour s’enrichir grâce à leurs activités illégales.

Les entreprises doivent ainsi s’assurer que leur sécurité est à jour et dispose des toutes dernières signatures, protections et solutions disponibles. Car, tandis que de nombreuses attaques sont destinées à une entreprise en particulier (attaque ciblée) , nous savons que beaucoup d’entre elles sont moins ciblées mais réussissent grâce à un manque de patching ou de mise à jour des signatures, des protections ou des solutions dont sont équipées les entreprises.

Aussi, les entreprises doivent s’assurer que leurs solutions de sécurité ne prennent pas seulement en compte uniquement la défense des postes de travail, mais qu’elles soient également capables de détecter les activités malicieuses potentielles sur l’ensemble de leur réseau – où les menaces peuvent apparaître. Il est fort probable que votre entreprise soit attaquée un jour, mais plus vite vous le saurez et vous agirez, plus vite vous pourrez déterminer l’ampleur des dommages sur votre business et sur la réputation de votre entreprise.  (Par Christophe Jolly, Directeur France Security Group Cisco / BBC.)

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Virus

Un code malveillant JeSuisCharlie

5 commentaires

Des pirates informatiques diffusent un code malveillant du nom de JeSuisCharlie. Il aurait déjà infecté plusieurs millions d’ordinateurs.

Un virus informatique diffusé par des malveillants aurait touché des millions d’ordinateurs depuis les attentats parisiens. Les chercheurs de Blue Coat Systems auraient découvert la chose, indique que les pirates ont baptisé leur microbe : JeSuisCharlie.

L’outil permet de prendre la main sur un ordinateur connecté et transformer le pc en zombie capable de participer à des Dénis Distribués de Service, en proxy pour servir de rebond à d’autres attaques distantes, … Cet espiogiciel utilise le code du RAT Français DarkComet. Le microbe se cache en réalité dans une photo, partagée plus de 5 millions de fois sur Twitter en 48 heures. Cette image reprend la main de ce nouveau né baptisé Charlie.

« C’est énervant de voir mon outil repris par le premier criminel qui passe, souligne à DataSecurityBreach.fr l’auteur du RAT. J’ai arrêté de travailler dessus il y a deux ans quand, déjà, le gouvernement Syrien l’avait détourné à des fins malveillantes. » A noter qu’il existe un outil permettant de contrer DarkComet.

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage, Wordpress, Wordpress

Plusieurs média français piratés

France 3, Le Monde, RCF… plusieurs médias français dans la ligne de mire des pirates informatiques de l’opération Anti #CharlieHebdo. Étonnant, des frères ennemis s’allient pour une même cause.

L’Armée Électronique Syrienne ressort de sa cachette 2.0 en s’attaquant au journal Le Monde. Les pirates, pro Bachar-Al-Assad, via une technique qu’ils exploitent avec, malheureusement, efficacité. Parmi les victimes, la sécurité du journal Le Monde. Le CMS de la rédaction, mais aussi le Twitter ont été manipulés. Un courriel piégé aurait permis à la SEA de prendre la main sur le quotidien français. La SEA a indiqué, dans plusieurs Tweets «Je ne suis pas Charlie» ainsi qu’un rappel sur les bombardements en Syrie. Étonnant, les pirates de l’opération anti #charliehebdo ne sont pourtant pas des pro Bachar-Al-Assad. La SEA a déjà piraté Forbes, eBay, le FC Barcelone, Reuters ou encore The Sun.

Du côté des pirates ayant lancé une opération contre le web français, trois nouveaux groupes viennent d’apparaitre. ZATAZ.COM en a recensé plus d’une trentaine. Les nouveaux se sont attaqués à plusieurs sites appartenant aux groupes France Télévision avec des espaces basés en Outre-mer ou encore  les sites Internet régionaux de France 3. Une attaque qui a du obliger France Télévision a fermer les possibilités de diffuser le moindre article sur ses sites.

Pendant ce temps…
… La Fédération de Tennis vient de déposer plainte après le piratage d’un millier de site de club que la FFT hébergeait. : « Un large éventail de sites des comités et clubs a fait l’objet d’usurpation par des individus qui les utilisent comme vitrine de leurs revendications. Il n’échappera à personne le lien avec les événements tragiques de ces derniers jours. » indique un courriel diffusé aux présidents de club. Étonnant, le groupe montré du doigt, les Fellaga Anonymous n’ont pas revendiqué cette attaque.

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Piratage, Propriété Industrielle

Un pirate informatique arrêté pour avoir visé Madonna

L’ancienne pop star Madonna n’aime pas ce début d’année. L’artiste américaine voit son nouvel album piraté. elle se consolera avec l’arrestation de son voleur 2.0.

Et si le pirate informatique arrêté a Tel-Aviv, soupçonnait du piratage de l’informatique de la pop star Madonna, était membre d’un groupe qui se serait aussi invité dans les machines de Sony Pictures. Le Jérusalem Post explique dans son édition de mercredi qu’un homme a été arrêté à Tel-Aviv. Il est soupçonné d’avoir piraté des ordinateurs de majors et de « stars » de la musique pour mettre la main sur les disques en cours de création, avant donc la sortie officielle en boutique. Intéressante arrestation par l’unité 433 de la police israélienne. Une section en charge de la « mafia ». Des policiers locaux qui travailleraient main dans la main avec le FBI.

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Protéger son site face aux cyber attaques

Un commentaire

L’actualité récente a suscité une recrudescence des tentatives de piratage des sites internet. L’hébergeur Oceanet Technology vient de communiquer auprès de ses clients afin de sensibiliser ces derniers aux bonnes pratiques du web.

« Lorsque nous assurons l’administration système de votre serveur, nous mettons en œuvre les bonnes pratiques d’hébergement permettant de limiter les risques d’intrusion au niveau du système d’exploitation, explique l’entreprise Nantais. Toutefois, ces mesures ne sont pas suffisantes pour protéger l’application ou le site web hébergé.« 

Beaucoup de webmasters pensent que l’hébergeur est le rempart, la protection. C’est oublié les outils installés par les administrateurs des sites. Sont particulièrement visés les sites internet qui s’appuient sur des gestionnaires de contenu (CMS) tels que Joomla, WordPress, Drupal ou l’un des nombreux autres outils de ce type. En effet, lorsque ces outils ne sont pas maintenus à jour, les pirates peuvent profiter de failles connues pour déposer un contenu indésirable sur le site.

Comment le protéger

– En appliquant l’ensemble des mises à jour disponibles pour votre CMS
Cette opération est la plus simple et la plus pérenne. Elle vous immunise contre les failles connues et corrigées et vous permet de continuer à utiliser votre site dans les meilleures conditions. Si vous ne maîtrisez pas ces questions, n’hésitez pas à vous rapprocher du prestataire qui a réalisé votre site et pourra réaliser pour vous cette vérification.

– Par placement en lecture seule
Cette opération interdira toute modification du contenu de votre site, que ce soit par vous ou par un pirate éventuel. Naturellement, cette solution est peu souhaitable puisque vous ne pourrez plus modifier le contenu de votre site. Toutefois, s’il s’agit d’un site ancien dont le contenu n’évolue plus, cette solution vous permet de garantir que votre site demeurera en l’état. Si Oceanet Technology administre votre système, nous pouvons réaliser cette opération sur simple demande au support.

Lorsqu’un site est piraté, il arrive que celui-ci serve de pont pour porter atteinte à d’autres utilisateurs que ce soit au travers de campagnes de mails indésirables ou d’opérations de dénis de service. « Dans de telles circonstances, indique Oceanet Technology, nous n’avons d’autre choix que de suspendre l’activité du site compromis. » Bref, les mesures de prévention proposées ci-dessus sont donc importantes pour garantir la disponibilité de votre site.

Argent, Arnaque, backdoor, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Espionnae, Fuite de données, Paiement en ligne, Particuliers, Piratage

Les pirates d’Anunak s’attaquent aux banques russes

Un commentaire

Des pirates informatiques baptisés Anunak se sont spécialisés dans les attaques numériques à destination des banques russes. 20 millions d’euros auraient été volées.

La société néerlandais Fox-IT, spécialisée dans la sécurité informatique, a annoncé avoir terminé une enquête sur un groupe de pirates qu’elle a baptisé Anunak. Ces « visiteurs » ne visent que les banques russes. Méthode employée, courriels piégés et infiltration/installation d’outils malveillants comme des keylogger [logiciel d’espionnage, NDR] qui ont pour mission d’intercepter la moindre frappe sur un clavier.

En 2013, les voleurs 2.0 se seraient invités dans une cinquantaine de banques. D’après la société FOX It, les pirates auraient ainsi pu manipuler des distributeurs de billets. Deux entreprises bancaires piratées ont perdu leur licence bancaire suite aux méfaits d’Anunak.

Cybersécurité, Entreprise, Espionnae, Facebook, Fuite de données, Particuliers

PictureBook affiche les photos Facebook que vous cachez

2 commentaires

Voilà une extension qui risque de faire un tabac, avant que Facebook face disparaitre cette option involontaire… ou pas !

PictureBook est une application dédiée au navigateur Chrome de Google. Sa mission, permettre de faire ressortir les photos que vous ne souhaitez pas afficher sur votre compte communautaire. L’outil fait ressortir les documents ou vous êtes tagués, même si vous n’avait pas validé les documents en question.

L’outil exploite les photos publiques, via les comptes de vos amis. Pour éviter ce petit espionnage entre « potes », mais pas seulement, vos « non » ami(e)s peuvent aussi vous « regarder », il suffit de dé-taguer vous même les clichés vous affichant.

PictureBook rappelle que la gestion de sa confidentialité sur la toile n’est pas un vain mot. A bon entendeur !

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Propriété Industrielle

Google accuse la MPAA de manipuler la justice

Un commentaire

L’affaire du piratage de Sony Picture n’a pas fini de faire les vagues. Il faut dire aussi que les donnés diffusées par les pirates ont de quoi faire sourire, rougir ou mettre très en colère certains acteurs médiatique, comme Google.

Dans les courriers et autres fichiers lâchés sur Internet par le/les pirates, on apprend que la Motion Picture Association of America a manipulé la justice américaine afin que Google supprime de son moteur de recherche les liens permettant de mettre la main sur des liens ou des sites renvoyant sur des contrefaçons. On comprend mieux pourquoi Sony a menacé la presse en indiquant qu’elle n’avait pas le droit de télécharger, lire et utiliser les informations mis en pâture par le/les pirate(s).

Bilan, le New York Times a lu et analysé les documents en question. Le journal a comparé avec les informations légales proposées lors du procès. Bilan, le procureur en charge du dossier, Jim Hood, a tout simplement reçu un courrier des avocats de la MPAA qui lui indiquaient quoi dire et faire.

Google a expliqué sur son blog qu’il n’était pas content et annonce que cette méthode n’était rien d’autre qu’une conspiration à son encontre. « La lettre a été signée par le procureur Wood, mais a été rédigée par un avocat du cabinet Jenner & Block qui travaille pour la MPAA ». souligne le New York Times.

Bref, le monde merveilleux du 7ème art révèle sa véritable facette. Nous sommes à deux doigts de dire merci à ce/ces pirates.

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, ios, Particuliers, Sécurité, Smartphone, Vie privée

Énorme faille de confidentialité découverte dans les réseaux de téléphonie mobile

Un commentaire

Deux chercheurs allemands, spécialisés dans la sécurité informatique, ont découvert ce qui semble être un cas grave de fuite concernant les téléphones portables.

D’après Tobias Engel et Karsten Nohl, la faille pourrait permettre à des criminels et des agences de renseignement d’espionner les appels téléphoniques privés et les messages texte transmis via les réseaux cellulaires.

Le problème apparaît dans le système de signal 7 (SS7), un réseau mondial de télécommunications dont vous n’avez très certainement jamais entendu parlé. Sept permet aux opérateurs de téléphonie de faire transiter les messages et les SMS à travers le monde. Le Washington Post a rapporté que les chercheurs ont découvert des trous de sécurité dans certaines des fonctions SS7 normalement utilisées. SS7 a été conçu dans les années 1980. Il est évident que ce dernier soit criblé de vulnérabilités qui portent atteinte à la vie privée des milliards d’utilisateurs de cellulaires de part le monde.

Les failles peuvent permettre de localiser les appelants, n’importe où dans le monde, écouter les appels, les enregistrer. Il serait également possible de frauder les utilisateurs, ainsi que les opérateurs de téléphonie mobile en utilisant certaines fonctions SS7. Deux commandes semblent être particulièrement intéressantes.

La première pourrait permettre de détourner un téléphone portable en interceptant les appels qu’il reçoit. Une sorte de Man-in-middle. Avec un tel système en place, les appels peuvent être enregistrés secrètement. Deuxième commande, un pirate situé à proximité de sa cible pourrait utiliser des antennes radio pour intercepter les appels et les SMS traversant la zone « d’écoute ». Il faut une clé temporaire SS7 pour déchiffrer les communications enregistrées.

La semaine dernière, Nohl a mis ses découvertes en pratique en démontrant le danger à un sénateur allemand en déchiffrant ses SMS.

Pour se protéger, il est fortement conseillé d’utiliser des outils tels que FaceTime (Apple), Signal (Whisper System) ou RedPhone qui permettent d’avoir une communication sécurisée sur un canal non sécurisé.

Apple, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, OS X, Patch

Utilisateur de Firefox et Thunderbird, un keylogger activé dans le nouvel OS d’Apple, Yosemite

Voilà qui n’est pas amusant, mais alors pas du tout. Le chercheur en sécurité Kent Howard a rapporté à Apple un problème présent dans OS X 10,10 (Yosemite). Une fonctionne sauvegarde les informations tapées dans les produits Mozilla !

Des fichiers journaux sont créés par le CoreGraphics d’OS X dans le répertoire local /tmp. Ces fichiers journaux contiennent un enregistrement de toutes les entrées dans les programmes Mozilla (Firefox, Thunderbird) pendant leur fonctionnement. Dans les versions de Mac OS X (à partir des versions 10.6, 10,9, ndlr datasecuritybreach.fr) les CoreGraphics avaient cette capacité d’enregistrement mais le « keylogger » avait été désactivé par défaut. Dans OS X 10,10, cette journalisation a été activée de nouveau, par défaut, pour certaines applications qui utilisent une mémoire personnalisée, comme jemalloc.

Sur les systèmes vulnérables, la faille peut entraîner l’interception des données privées telles que noms d’utilisateur, mots de passe et autres données sauvegardées par ce fichier journal mal venu. Ce problème n’affecte pas les utilisateurs d’OS X avant la version 10.10. Les utilisateurs de l’OS X 10.10 doivent aller dans le dossier /tmp, supprimer les fichiers avec des noms commençant par « CGLog_ » suivie du nom d’un produit Mozilla, tels que « CGLog_firefox ». (Alerte Mozilla/Metabaron)

 

Android, backdoor, Cybersécurité, Espionnae, Fuite de données, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Vie privée

Logiciels espions dans la derniere mise à jour Galaxy Note de Samsung

Un commentaire

Mais que viennent donc faire là Cookie Jam, Drippler et RetailMeNot dans la nouvelle mise à jour de T-Mobile concernant les Galaxy Note 4 de chez Samsung. Les applications sont avides d’informations… sans que les propriétaires des smartphones soient alertés.

Voilà qui commence à faire beaucoup. Après la disparation de musique non acquise sur iTunes dans des iPod, Apple ayant décidé de faire le ménage sans que les utilisateurs ne puissent rien dire, voici le débarquement de logiciels « sniffeurs » d’informations dans les Galaxy Note 4 Samsung commercialisés par T-Mobile.

Une mise à jour, imposée par l’opérateur, en a profité pour installer sans que personne ne puisse dire « non », trois applications avec des autorisations incroyables… sans que le propriétaire du téléphone ne le sache. Cookie Jam, Drippler et RetailMeNot se sont retrouvés dans les smartphones. Les utilisateurs peuvent pas les effacer, ils se réinstallent dans la foulée.

Les logiciels malveillants ont été installés automatiquement après la mise à jour de T-Mobile. Parmi les autorisations autorisées, mais non validées par les clients : lire l’état du téléphone, l’identité, modifier, lire et supprimer le contenu de votre périphérique de stockage USB, modifier les paramètres de sécurité du système, télécharger des fichiers sans notification, voir toutes sortes de connexions et avoir accès complet au réseau… (Rick Farrow)

backdoor, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Propriété Industrielle, Vie privée

007 espionne deux cables sous-marins de Vodafone

Un commentaire

L’agence britannique GCHQ aurait espionné deux câbles sous marins de Reliance Communication pour accéder aux données de millions de personnes.

L’Inde, comme des millions d’Internautes sont en colères après le GCHQ (General Communications Headquarters), les grandes oreilles britanniques, sœurs jumelles de la Nationale Security Agency de l’Oncle Sam. Dans ce qui peut être qualifié comme une autre révélation majeure des dossiers volés d’Edward Snowden, ancien analyste privé employé par la NSA, il vient d’être révélé par la presse britannique, allemande et indienne (Channel4, Süddeutsche Zeitung), que l’agence britannique « d’intelligence » a piraté deux grands câbles sous-marins de Reliance Communications. L’intimité numérique de millions d’utilisateurs aurait été compromise, sans parler de plusieurs gouvernements, dont l’Inde, l’Égypte, la péninsule arabique, la Malaisie, la Thaïlande, Hong Kong, la Chine continentale, Taïwan et le Japon.

Le piratage aurait été réalisé avec l’aide d’une société privée achetée dernièrement par le géant des télécommunication Vodafone. Ce « copain » aurait permis de pirater les câbles de Reliance Communication, ainsi que 27 autres « tuyaux » passant par le Royaume. Une action planifiée baptisée « Pfenning Alpha« , en partenariat avec la NSA américaine. Une ponction qui aurait durée de 2009 à 2011 à partir de Skewjack Farm, dans le sud de l’Angleterre.

Les câbles Reliance acheminent le trafic de données Internet entre l’Asie, l’Europe  (Flag) et le continent américain (Flag Atlantic 1).

Il y a un an, Le Monde rappelait que la France n’était pas en reste avec ce genre de « partenariat » avec la mise sur écoute d’un câble sous-marin. « Ce flux d’informations étranger-France, cette « matière première » comme la qualifie la NSA dans une note révélée par M. Snowden, fait l’objet d’une large interception par la DGSE« . Bref, la NSA a des pinces crocodiles un peu partout !

En février 2013, la NSA confirmait sa main mise sur les données transitant par le câble SEA-ME-WE 4 « Nous avons réussi à collecter les informations de gestion des systèmes du câble sous-marin SEA-ME-WE » confirmait alors la grande muette. (HindusTimes)

Argent, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Paiement en ligne, Particuliers, Piratage, Vie privée

Il était possible de pirater Paypal d’un clic de souris

2 commentaires

Yasser Ali, un étudiant Égyptien vient de toucher 10.000 $ de Paypal. Le chercheur en sécurité informatique avait trouvé le moyen de pirater la grosse tirelire Paypal.

Ali, qui est ingénieur en mécanique, a découvert le moyen de passer outre la sécurité mise en place par Paypal. Inquiétant quand on connait les masses d’argent qui peuvent transiter par le géant américain. Via un simple clic, sur un lien particulièrement formulé dans un courriel envoyé à une cible, un pirate pouvait prendre la main sur le compte Paypal ciblé, et l’exploiter à loisir.

PayPal n’a pas tardé à répondre à cette alerte. Correction effectuée, Ali a touché 10 000 dollars de récompense. La faille se situait du côté des jetons d’authentification. Ces codes sont envoyés aux clients et sont changés à chaque fois que l’utilisateur clique sur le lien Paypal. Ali a cependant identifié que chaque jeton peut être réutilisé en faisant croire à Paypal que le client « cliqueur » est bien le propriétaire du compte en question. (Ali)

Banque, Cloud, Cybersécurité, Emploi, Entreprise, Mise à jour, Paiement en ligne, Patch, Propriété Industrielle

Marché de la cybersécurité du secteur financier américain: une hausse de 23%

Un commentaire

La rédaction de DataSecurityBreach.fr a reçu les résultats d’une nouvelle étude qui examine l’évolution rapide du marché de la cybersécurité dans le secteur des services financiers américains. Selon l’étude HSRC, le marché de la cybersécurité des services bancaires et financiers aux États-Unis devrait atteindre 9,5 milliards de dollars en 2015, suite à une hausse annuelle record de 23%.

Faisant suite à la flambée des cyber-attaques «réussies», les organismes financiers américains constitueront le plus important secteur non-gouvernemental du marché de la cybersécurité. Selon la nouvelle étude Banking & Financial Services Cybersecurity: U.S. Market 2015-2020, publiée par Homeland Security Research Corp. (HSRC): la multiplication et la sophistication des cyber-attaques «réussies» contre les grandes chaînes de vente au détail, les banques et les entreprises de services financiers l’année dernière (au cours de laquelle des relevés bancaires de plus de 500 millions de clients et des cartes bancaires ont été compromis) ont  incité les conseils d’administration des institutions financières américaines à l’action. Du fait de la remarquable croissance annuelle de 23%, le marché de la cybersécurité des services financiers américains atteindra 9,5 milliards de dollars en 2015 et deviendra ainsi le marché le plus important du secteur privé en matière de cybersécurité.

Argent, Banque, Cybersécurité, Emploi, Entreprise, Paiement en ligne, Particuliers

Les sites marchands sous pression à l’approche de Noël

Avec l’arrivée des fêtes de fin d’année, nombreux sont les acteurs du e-commerce qui se préparent à affronter cette saison cruciale en termes de ventes. Aux Etats-Unis, le coup d’envoi des achats de Noël est chaque année marqué par le Black Friday et le Cyber Monday, deux journées pendant lesquelles les consommateurs dépensent plusieurs millions d’euros en ligne.

Si ce phénomène est encore un peu timide en France, l’engouement pour les achats sur internet durant cette période est réel. En effet, selon les résultats du dernier baromètre de la Fevad sur les ventes en ligne, plus de 11 milliards d’euros devraient être dépensés par les Français sur internet pour Noël, soit une hausse de 10% par rapport à l’année dernière.

La très attendue période des achats de Noël représente l’une des plus importantes de l’année, et les sites marchands vont devoir prendre les mesures nécessaires pour pouvoir l’aborder sereinement. En effet, les douze derniers mois ont été difficiles pour de grands noms tels que Target, eBay ou encore Home Depot, qui ont successivement été victimes de cyberattaques ayant exposé les données bancaires et personnelles de millions de clients. De ce fait, tous les regards sont aujourd’hui tournés vers les acteurs du e-commerce, et les exigences des consommateurs sont de plus en plus élevées sur la qualité d’expérience en ligne mais aussi, et surtout, sur la sécurisation des données.

Avec autant de cartes bancaires enregistrées et utilisées sur internet, il ne fait aucun doute que les e-commerçants représentent l’une des cibles privilégiées des hackers. Il est donc primordial que les enseignes adoptent de puissants systèmes de défense pour être en mesure de lutter contre les cyberattaques de plus en plus sophistiquées. Alors que la question n’est plus de savoir si mais quand une entreprise sera visée par des pirates informatiques, les sites du e-commerce doivent prendre leurs responsabilités et assurer la protection de l’ensemble de leurs données, aussi bien pour leurs clients que pour leur réputation. Les récentes failles de sécurité ont déjà impacté les habitudes des consommateurs; ils se montrent en effet de plus en plus méfiants et accordent difficilement leur confiance quand il est question de communiquer leurs informations personnelles, encore moins si l’enseigne a déjà été victime d’une attaque.

Il est donc nécessaire que les e-commerçants fassent de la protection des données de leurs clients une priorité. Une mesure efficace serait la mise en place d’outils permettant de fournir une surveillance proactive, continue et en temps réel de l’activité sur leur réseau. Il s’agit également de la clé absolue pour être capable d’identifier le moindre comportement anormal qui laisserait présager une menace et de bénéficier d’alertes immédiates en cas d’événement critique. Ainsi, une visibilité accrue et en temps réel permet de détecter beaucoup plus tôt les éventuelles attaques, et de prendre très rapidement les mesures qui s’imposent pour les neutraliser avant qu’elles ne s’étendent et ne causent des dommages durables.

Les conséquences financières peuvent être très lourdes si les enseignes ne sont pas capables d’assurer un haut niveau de sécurité, surtout au moment de Noël. Pour palier un tel risque, elles ont donc tout intérêt à renforcer la protection de l’ensemble des données sensibles générées par leur activité ainsi que celles de leurs clients, et à adopter une stratégie globale de sécurité dans un contexte de cyber-menaces grandissantes. (Par Jean-Pierre Carlin de LogRhythm)

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Justice, Leak, loi, Particuliers, Piratage, Propriété Industrielle, Vie privée

Données personnelles, l’Europe s’active…

La très prochaine Réglementation Générale de l’Union Européenne sur la Protection des Données, prévue pour la fin de l’année, concerne toutes les entreprises disposant de bases de données personnelles. Celles-ci auront 2 ans pour se mettre en conformité avec cette nouvelle réglementation. Des sanctions financières lourdes (jusqu’à 5% du chiffre d’affaires annuel) seront appliquées en cas d’infraction.

Gouverner, c’est prévoir. Cette maxime doit être complétée par l’évidence qu’il faut, pour anticiper les décisions, disposer de l’information. Toutes les entreprises qui utilisent des bases de données personnelles doivent donc aujourd’hui s’intéresser à la future Réglementation Générale de l’Union Européenne sur la Protection des Données qui verra le jour à la fin de l’année. Avec d’autant plus d’attention que des sanctions financières lourdes (jusqu’à 5% du chiffre d’affaires annuel) seront appliquées en cas d’infraction.

Une Réglementation Générale sur la Protection des Données
Soucieuse de renforcer les droits sur la vie privée en ligne, la Commission Européenne a proposé le 25 janvier 2012 une réforme de l’UE 95/46 /CE sur la protection des données, une réglementation déjà vieille de 10 ans. Depuis la mise en œuvre de la directive initiale, les progrès technologiques ont en effet entraîné une modification profonde de la façon de collecter, de rendre accessibles et d’utiliser les données. Une proposition de Réglementation Générale sur la Protection des Données a donc vu le jour. Approuvée par le Parlement Européen en mars dernier, elle est en cours d’adoption par le Conseil de l’Union Européenne et sera effective d’ici la fin de l’année, c’est-à-dire dans un mois, pour entrer en vigueur définitive après une période transitoire de deux ans.

Des conséquences pour tous les résidents de l’Union…
La Réglementation Générale sur la Protection des Données sera applicable si l’entreprise ou le sujet des données – la personne – est installé dans l’Union Européenne. Ce qui est déjà le cas de la Directive actuelle qui soumet les entreprises européennes à des règles beaucoup plus strictes que les entreprises hors UE. Désormais, les entreprises établies en dehors de l’Union Européenne devront obéir aux mêmes normes que les sociétés européennes lorsqu’elles traiteront des données personnelles de résidents de l’UE.

Par donnée personnelle, la Commission Européenne désigne « toute information relative à une personne physique, se rapportant à sa vie privée, professionnelle ou publique. Il s’agit du nom, d’une photo, d’une adresse électronique, de coordonnées bancaires, de messages sur les réseaux sociaux, d’une information médicale ou de l’adresse IP d’un ordinateur. »

Les principales modifications touchent à trois sujets majeurs.
Le droit à effacer des données personnelles
Le droit à l’oubli numérique permettra aux personnes qui veulent maîtriser leur vie en ligne de ne plus avoir de données personnelles stockées, traitées ou accessibles. Tout particulier pourra obtenir qu’elles soient supprimées, à condition qu’aucun motif légitime ne justifie leur maintien.

Chaque utilisateur final aura le droit de transférer des données d’un service à l’autre. D’autre part, les entreprises devront obtenir l’accord des intéressés pour recueillir leurs données personnelles. La non-obtention ou la non-fourniture de ce consentement invalidera le processus. Les entreprises doivent être en mesure de prouver comment les données personnelles sont traitées, recueillies, conservées, accessibles et utilisées. Elles doivent pouvoir produire l’accord explicite qui leur permet de traiter les données en question.

Le Responsable de la protection des données
Les entreprises de plus de 250 salariés seront tenues de nommer un Responsable de la protection des données, dont les coordonnées devront être publiées, pour veiller au respect de la réglementation. En cas de violation des données, il devra informer les organismes de réglementation en fournissant des renseignements détaillés, dans les 72 heures qui suivent la prise de connaissance de l’infraction. Toute action ayant un impact «hostile» devra être notifiée. En conséquence, l’entreprise doit se préparer et prendre les dispositions nécessaires pour fournir les informations détaillées sur les violations de données, aux autorités compétentes, dans le laps de temps autorisé. Ces exigences signifient que l’entreprise doit être capable d’identifier rapidement l’infraction et mesurer l’étendue de la fuite.

Une protection intégrée
Des garanties de protection des données devraient être intégrées dès les premiers développements des produits et des services proposés par les entreprises. Les paramètres par défaut respectant la vie privée devraient devenir la norme, comme par exemple sur les réseaux sociaux.

Des conséquences importantes pour l’entreprise
La Directive en vigueur n’est pas appliquée de la même manière dans tous les pays membres de l’Union Européenne. La nouvelle Réglementation sur la Protection des Données sera, au contraire, mise en œuvre de manière identique dans tous les pays membres. Le fait que ce soit une Réglementation et non une Directive signifie qu’elle sera directement applicable à chaque Etat membre de l’UE.

Le respect de la Réglementation évitera des pénalités financières et d’éventuelles poursuites judiciaires. Des sanctions sont prévues. Etablies en fonction de l’ampleur de la fuite de données, elles peuvent atteindre 2 à 5% du chiffre d’affaires annuel global et aller jusqu’à 100 millions d’euros.

Une grande sévérité pour les entreprises !
Les diverses modifications comme le droit à l’oubli, l’accès facilité pour l’utilisateur à ses propres données, l’accord nécessaire pour pouvoir utiliser ou traiter les données des particuliers, la nomination d’un Responsable à la protection des données, la notification et les informations concernant les flux en cas de violation ainsi que la confidentialité par défaut sont évidemment à inclure dans le plan d’évolution du Système d’Information, et cette nouvelle réglementation, qui a des conséquences importantes sur l’organisation de l’entreprise, doit être mise en place avec attention.
Comment se conformer à cette nouvelle norme ?

La Réglementation Générale sur la Protection des Donnée engendrera des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données. Quant à l’obligation de déclarer toute violation des données, cela nécessite un système actif de surveillance des échanges et des flux de données et un certain nombre de bonnes pratiques.

Un examen approfondi des politiques de sécurité et de protection des données ainsi que des rôles et responsabilités au sein de l’entreprise s’impose. La priorité est un audit pour évaluer les risques et déterminer les actions à entreprendre en fonction des faiblesses propres à l’entreprise sur ce sujet. En second lieu, l’adoption d’une solution de SIEM* est un moyen efficace de contrôler l’accès aux systèmes où sont stockées les données personnelles. Ce type de solution permet aussi de surveiller la sécurité des systèmes et recevoir des alertes quand on y accède. Les logs fournissent en effet une vision complète et exacte de ce qui a été consulté. Il est donc possible d’informer rapidement les organismes de réglementation en cas de violation des données. Il est également possible de configurer des rapports prouvant la conformité à la Réglementation, ce qui aide considérablement les Responsables de la protection des données.

Faire appel à des experts et mettre en place dès 2015 ces nouvelles exigences en matière de sécurité et de conformité s’avère d’ores et déjà une tâche à planifier. On peut bien sûr penser que la mise en œuvre effective de la réglementation étant prévue après une période de deux ans, rien ne presse… Mais l’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. Anticiper est aussi un avantage concurrentiel (voire marketing) pour les entreprises utilisant pour leur métier de gros volumes de données personnelles. (Par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint.)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).