L’opérateur sud-africain des télécommunications MTN victime d’une cyber-attaque. Le 28 août dernier, l’opérateur sud-africain des télécommunications MTN a été victime d’une attaque informatique d’envergure. Cette intrusion dans les serveurs DNS de la société a causé une interruption de son réseau Data. La panne engendrée a aussi affecté les services Internet des fournisseurs Afrihost et Axxess, partenaires de MTN. Dans un communiqué, Afrihost a expliqué que « les serveurs DNS de MTN pouvaient normalement maîtriser ce type d’attaque sans problème. Mais au moment de l’attaque, plusieurs changements étaient opérés sur les serveurs et il y a eu un bug dans le système qui a causé cette situation exceptionnelle. Le bug a été identifié et le cas ne devrait plus se reproduire ». (Avec Ecofin)
Tous les articles par Damien Bancal
Documents et informations d’entreprise malmenés par les travailleurs à domicile
Une enquête dans cinq pays européens, effectuée par Opinion Matters à la demande d’Iron Mountain, révèle à datasecuritybreach.fr un comportement dangereux des travailleurs à domicile vis-à-vis des informations professionnelles. C’est ainsi que quelque 50 pour cent des participants à l’étude ont avoué avoir déjà envoyé des documents d’entreprise via leur compte webmail personnel, peu importe où l’information était stockée. En outre, 29 pour cent d’entre eux laissaient circuler sans problème des informations et des documents professionnels au sein de leur domicile, alors que 19 pour cent jetaient même ce genre de documents dans leur poubelle domestique.
Un pourcentage suffisamment élevé pour rendre de nouveau (plus) populaire la pratique de ‘dumpster diving’ (la collecte et la fouille des déchets domestiques de personnes et d’entreprises connues). Ce pourcentage est d’autant plus étonnant que l’on conseille depuis longtemps déjà de ne même plus jeter de courrier personnel dans les ordures ménagères. Mais dans d’autres endroits aussi, l’on traite négligemment les informations professionnelles. C’est ainsi que quelque 11 pour cent des répondants ont déjà expédié des documents de travail d’un restaurant, alors que 7 autres pour cent l’ont fait par l’entremise d’un lien wifi non sécurisé. Ces chiffres sont d’autant plus inquiétants que l’étude révèle que ce sont les chefs d’entreprise et les membres de la direction qui travaillent le plus souvent à domicile (plus de la moitié d’entre eux travaillent deux jours ou plus par semaine à la maison), suivis par les collaborateurs du département marketing (35 pour cent d’entre eux travaillent chez eux plus de deux jours par semaine).
DataSecurityBreach.fr vous propose quelques trucs et astuces en vue de sécuriser davantage le travail à domicile :
– Appliquez une politique claire à propos de la sécurité au travail en dehors de l’entreprise.
– Soyez précis quant à la manière dont l’information sensible doit être traitée.
– Prévoyez une infrastructure sécurisée.
– Veillez à une formation adéquate et régulière.
– Prévoyez un accès sécurisé aux données de l’entreprise, afin d’éviter le stockage et l’impression locales de celles-ci.
– Le chiffrement est obligatoire.
– Les sauvegardes se font sur des supports amovibles sécurisés et non connectés au réseau des réseaux.
– Un broyeur de papier est indispensable (voir bruler les documents.
Disques enregistrables cryptés : EncryptDisc
DataLocker Inc, un des leader en matière de développement de solutions de stockages cryptées, a annoncé aujourd’hui à DataSecurityBreach.fr sa gamme de CD et DVD cryptés enregistrables qui sera commercialisée sous la marque EncryptDisc. La ligne EncryptDisc, anciennement connue sous le nom SecureDisk, offre un système de chiffrement FIPS 140-2 validé AES 256 bit directement intégré au CD ou DVD.
DataLocker EncryptDisc permet maintenant à DataLocker de protéger les données où qu’elles soient, sous n’importe quelle forme. Les CD et DVD DataLocker EncryptDisc combinent des fonctionnalités de gravage et de sécurisation des données, une solution simple et efficace de stocker des données en toute sécurité. Il n’y a pas de logiciel à installer et aucun besoin de faire appel à une solution logicielle tierce. DataLocker EncryptDisc est disponible chez Ingram et Amazon (SecureDisk).
Inclure le contrôle des utilisateurs à privilèges
Ces dernières années, cyberdéfense et cybersécurité ont pris une place considérable dans la vie des entreprises et des particuliers. Les jours passent et les attaques s’amplifient. Elles sont toujours plus ciblées, diversifiées et étendues, et la cybercriminalité fait partie intégrante de notre vie quotidienne. Historiquement, les éditeurs d’antivirus et de pare-feu ont pris le leadership du marché. Paradoxalement, ils ne traitent qu’une partie des problèmes ce qui se traduit par une augmentation du nombre d’incidents et de leur ampleur, malgré la croissance des budgets de sécurité informatique. En effet, un pan entier de la sécurité informatique reste méconnu : la gestion des utilisateurs à privilèges, qui répond au nom encore mal connu en France, d’Insider Threat ou gestion de la menace interne. Pour l’éditeur français, WALLIX, spécialiste de la traçabilité des utilisateurs à privilèges, une stratégie de sécurité complète et cohérente doit, certes, prévoir de se protéger contre les menaces provenant de l’extérieur mais également des risques qu’impliquent la liberté absolue dont jouissent les utilisateurs à privilèges. Explication de Jean-Noël de Galzain, PDG de WALLIX, pour DataSecurityBreach.fr
Un utilisateur à privilège, qu’est-ce que c’est ?
Un utilisateur à privilège, est, par définition, une personne dont les droits ont été élevés ou étendus sur le réseau informatique : droits d’accès, gestion des autorisations, administration des équipements et applications, modification, suppression ou transfert de fichiers, etc. L’utilisateur à privilèges peut être interne ou externe à une société. Ses droits lui sont délégués par le représentant légal de la société qui souvent n’est même pas au courant de ce risque. Par nature, l’utilisateur à privilèges a donc accès à des données sensibles et stratégiques pour l’entreprise aux secrets de l’entreprise et de ses salariés. Il a un droit de vie et de mort sur l’informatique de l’entreprise.
L’utilisateur à privilèges fait-il toujours partie d’une société ?
Lorsqu’une société externalise la gestion d’une partie ou de l’ensemble de son informatique ou de ses équipements, les prestataires qui prennent la main à distance ou interviennent sur le réseau interne pour mener à bien des opérations de support ou de maintenance deviennent des utilisateurs à privilèges, et ce, bien qu’ils ne fassent pas partie des effectifs de la société. Savez-vous par exemple quelles sont les autorisations d‘accès d’un technicien qui vient réparer la photocopieuse IP ou la connexion réseau ?
En d’autres termes, externaliser revient, pour une entreprise et son dirigeant, à confier « les clés de la maison » à une personne inconnue, qui aurait accès à l’ensemble des pièces et du contenu des placards, avec la capacité de les fouiller, d’y prendre et remettre ce qu’il y trouve, en gérant lui-même les autorisations d’accès. Si quelque chose est endommagée, disparaît ou est simplement dérobé après son passage, que faire ? Comment savoir ce qui a été fait ? Où y a-t-il eu un problème ? Quand ? De quelle manière ? Qui va payer les dégâts ? Comment vais-je pouvoir justifier l’incident ou le vol vis-à-vis des assurances ?
Pour le Clusif et son panorama 2012 des menaces informatiques, près de la moitié des entreprises de plus de 200 salariés en France, et des collectivités territoriales externalisent la gestion de leur Système d’information, 50% ne collectent pas les logs (pas de preuve), 20% ne changent jamais les mots de passe y compris lorsqu’un départ ou un changement de prestataire survient.
Quels sont les risques liés aux utilisateurs à privilèges ?
De par leur statut, les utilisateurs à privilèges, au même titre que les utilisateurs « lambda » font peser des risques sur le réseau d’entreprises. On peut les classer en plusieurs catégories :
– Les risques liés à l’erreur humaine : comme n’importe quel utilisateur, l’utilisateur à privilèges reste un être humain, susceptible pour quelque raison que ce soit de commettre des erreurs sur un réseau ; seulement ces erreurs peuvent avoir des conséquences considérables sur la productivité, la réputation et le chiffre d’affaires de l’entreprise affectée.
Imaginons, par exemple, qu’après une erreur de manipulation lors d’une opération de télémaintenance, un prestataire externe provoque une panne sur le serveur d’un e-commerçant. Pour ce dernier, ce sont des pertes de chiffre d’affaires pendant toute la durée de la panne qu’il est nécessaire de réparer, mais avant cela d’en retrouver l’origine. Ceci peut prendre un temps considérable, multiplier les dégâts mais également entacher sérieusement la réputation de l’e-commerçant définitivement. Entretemps, les clients iront se servir ailleurs.
Désormais, avec les nouvelles réglementations, il sera nécessaire de communiquer sur un incident, avec un risque d’amende liée à la perte d’informations clients (données clients, numéros de carte bleue, ou encore, données de santé).
Dans un autre cas récent, des centaines de dossiers patients se sont retrouvés publiés sur Internet. C’est en tapant son nom par hasard dans un moteur de recherche qu’une personne a retrouvé l’intégralité de son dossier médical en libre consultation. Ce type de fuite de données peut provenir d’une erreur humaine (un prestataire externe commet une faute dans les process et laisse s’échapper ces données) ou d’un acte de malveillance qui illustre les risques liés aux utilisateurs à privilèges.
– Les risques liés à la malveillance : l’utilisateur à privilèges reste un être humain. Ainsi, lorsqu’une collaboration professionnelle se finit en mauvais termes, il peut être tentant d’utiliser ses droits pour nuire à l’entreprise ou voler des informations stratégiques (fichiers clients, CB, secrets, …).
En 2012, c’est un sous-traitant de la société Toyota qui, après avoir été licencié, avait dérobé des informations relatives aux brevets industriels du constructeur japonais. Combien de bases clients dérobées, de messages divulgués ou d’informations recueillies grâce à des fichiers informatiques indûment téléchargés ? Là encore, se pose la problématique de l’origine de la fuite. Qui a fait cela ? Quand et comment ? Pourquoi cette personne a-t-elle eu accès à ces données en particulier ? Peut-on empêcher un tel acte ou en garder la trace et comment ? Comment gérer cela en interne et avec les prestataires externes ?
Selon une étude Forrester, 50 % des utilisateurs à privilèges partent de leur entreprise ou sortent d’une mission d’infogérance avec des données sensibles. Comment peut-on donc évaluer ou mieux encore parler de gestion des risques sans traiter ce sujet ? Quand les hautes autorités de sécurité nationale mettront elles en garde contre ces risques béants ?
Heureusement, de plus en plus de DSI et de RSSI, pour répondre au contrôle interne ou à leurs directions générales, prévoient l’usage d’une solution qui réponde au problème de la gestion de la menace interne et des prestataires externes. Aussi ont-ils prévu l’intégration d’une solution de gestion des utilisateurs à privilèges dans leurs politiques de sécurité.
Le marché français du PUM (Privileged User Management) n’en est qu’à ses balbutiements malgré l’urgence.
WALLIX, éditeur pionnier dans la gestion des utilisateurs à privilèges grâce à sa solution Wallix AdminBastion, le WAB, préconise, bien entendu la protection contre les menaces provenant de l’extérieur du réseau. Elles sont connues et désormais très bien circonscrites grâce à des solutions comme l’anti-virus, le firewall, l’IPS, l’IDS etc. Cependant, l’éditeur français insiste sur la nécessité et l’urgence de compléter ces dispositifs par des solutions internes de contrôle des utilisateurs à privilèges.
Cependant, ces solutions souffrent d’une mauvaise réputation : trop souvent, celles-ci sont perçues comme des produits visant purement et simplement à surveiller les utilisateurs à privilèges. Contre toute attente, elles permettent surtout de dédouaner les utilisateurs en apportant une preuve tangible et concrète de l’origine de l’incident.
Pour Jean-Noël de Galzain, fondateur de WALLIX, l’éditeur pionnier de solution de gestion des utilisateurs à privilèges, le WAB : « une stratégie de sécurité cohérente de bout-en-bout ne peut plus se passer de solutions de contrôle des utilisateurs à privilèges. Chaque jour, des utilisateurs à privilèges accèdent à des données essentielles et stratégiques pour la survie et la rentabilité de l’entreprise. Même si, bien entendu, la malveillance n’est généralement pas la première cause de perte de données, les erreurs humaines sur un réseau, sont, elles, bien réelles et peuvent prendre des proportions catastrophiques à l’échelle de l’Internet. Nous alertons vivement les DSI, RSSI et les plus hautes instances de sécurité informatiques quant aux risques qui pèsent en termes de productivité, de réputation et de conformité sur les entreprises publiques et privées. La gestion des risques internes est aussi prioritaire que la gestion des menaces périmétriques. Le risque le plus grave serait de l’ignorer ! »
Hesper bot, cheval de Troie bancaire
Data Security Breach a été alerté par ESET au sujet de la découverte d’un cheval de Troie bancaire baptisé « Hesper bot ». Il affecte notamment les plates-formes Android en Europe et en Turquie. Utilisant une apparence très crédible de campagnes liées à des organisations dignes de confiance, il incite les victimes à exécuter des logiciels malveillants. Plusieurs victimes ont déjà été dépouillées de leurs avoirs à cause de cette menace nouvellement révélée. Sur la base de données LiveGrid – système de collecte des logiciels malveillants basés sur le Cloud d’ESET – des centaines d’infections ont été détectées en Turquie, des dizaines en République tchèque, au Royaume-Uni et au Portugal. Ce malware bancaire très puissant et sophistiqué baptisé Hesperbot se propage par e-mails sous forme de phishing et tente d’infecter les appareils mobiles fonctionnant sous Android, Symbian et Blackberry.
Le code malveillant a été référencé sous le nom de Win32/Spy.Hesperbot. Cette menace intègre des fonctionnalités de keylogger, peut effectuer des captures d’écran fixe ou de vidéo et mettre en place un proxy distant. Il comporte également quelques astuces plus avancées, telles que la création d’une connexion à distance cachée pour le système infecté. « L’analyse de la menace a révélé que nous avions affaire à un cheval de Troie bancaire, avec des fonctionnalités similaires et des objectifs identiques au fameux malware Zeus et SpyEye, mais les différences d’installation sont importantes, laissant entendre qu’il s’agit d’une nouvelle famille de logiciels malveillants, et non d’une variante d’un cheval de Troie déjà connu, » explique à data Security Breach Robert Lipovsky, chercheur en malware d’ESET qui dirige l’équipe d’analyse de cette menace. « Les solutions d’ESET telles que ESET Smart Security et ESET Mobile Security protègent contre ce malware », a-t-il ajouté.
Les Cybercriminels visent à obtenir des informations de connexion leur permettant d’obtenir les codes d’accès au compte bancaire de la victime et de les amener à installer un composant mobile du malware sur leur téléphone Symbian, Blackberry ou Android. La campagne de malware a commencé en République Tchèque le 8 Août 2013. Les auteurs ont enregistré le domaine www.ceskaposta.net, qui est très ressemblant au site actuel de la Poste tchèque. « Ce n’est pas surprenant que les assaillants aient essayé de leurrer les victimes potentielles en les incitant à ouvrir les logiciels malveillants via des emails de phishing, apparaissant comme des informations de suivi de colis de la Poste. Cette technique a été utilisée de nombreuses fois auparavant » , précise à datasecuritybreach.fr Lipovsky. Le service postal tchèque a réagi très rapidement en émettant un avertissement sur l’escroquerie, via leur site web .
Néanmoins, le pays le plus touché par ce cheval de Troie bancaire est la Turquie, avec une détection de ce malware a une date antérieure au 8 Août. De récents pics d’activité de botnet ont été observés en Turquie en juillet 2013, mais ESET a également repéré des échantillons plus anciens qui remontent au moins à avril 2013. L’e -mail de phishing qui a été envoyée aux victimes potentielles ressemble à une facture. Une variante du malware a également été trouvée sur la toile, conçue pour cibler les utilisateurs d’ordinateurs au Portugal et au Royaume-Uni .
Faites risettes, Facebook vend votre sourire
Un peu de biométrie, un peu de stockage et voilà nos photographies de profils devenus une denrée économique pour Facebook. Nous vous en parlions, l’année dernière dans zatazweb.tv. Facebook met en place des systèmes économiques avec nos données et nos photographies. Parmi les (très) nombreuses actions en préparations, une webcam, chez les commerçants qui, couplée avec Facebook et votre smartphone, vous communique des bons de réductions dans la boutique partenaire.
Depuis quelques jours, Big Brother a décidé de débuter une autre forme de commercialisation des vies privées proposées dans son portail communautaire. L’information a été diffusée de manière « douce », dans un courriel annonçant « de nouvelles conditions d’utilisation« . Dans ces nouveautés, l’utilisation des photos des profils des utilisateurs. Ces dernières peuvent être stockées (ce qui était déjà le cas, ndlr datasecuritybreach.fr) dans une base de données centrale (la nouveauté, ndlr zataz.com). Une BDD centralisée que peuvent consulter les annonceurs.
L’intérêt ? L’avenir va très rapidement nous le dire via les applications et outils (comme notre webcam citée plus haut, ndlr datasecuritybreach.fr). L’annonce de Facebook est aussi d’indiquer aux utilisateurs que leur visage pourra être scanné et exploitée à partir d’un système biométrique prévu à cet effet. Erin Egan, responsable de la confidentialité et de la vie privée chez Facebook, indique ces données offriront aux utilisateurs un meilleur contrôle sur leurs informations personnelles. En gros, si quelqu’un diffuse votre tête sur Facebook, Facebook vous préviendra. Un peu de vie privée par-ci et un gros coup de louche dans le tas car si vous n’acceptez pas les nouvelles conditions d’utilisations, dehors ! Bref, la BDD centrale ne gardera que votre photographie de profile, tout en étant capable de contrôler les autres.
Pour vous protéger de ce genre de débordement commercial, plusieurs choix. Ne pas s’inscrire à Facebook. Bien choisir ses options de confidentialités proposées par le portail. Chiffrer votre visage. Pour cela, troublez par exemple, vos yeux ; mettez un bonnet ; où faîtes comme votre serviteur, faîtes des sourires à vous arracher la mâchoire.
Prudence aux distributeurs de billets
La grande braderie de la capitale flamande va attirer des centaines de milliers de visiteurs. Quelques conseils face aux distributeurs de billets. Qu’on le veuille ou non, les grands rendez-vous populaires comme la Braderie de Lille, qui se tiendra ce week-end dans la capitale flamande, attirent les pirates informatiques. Les premiers dans notre liste, les skimmeurs, les professionnels du vol de données bancaires. Il faut dire qu’avec un potentiel de 2 millions de visiteurs, voilà de quoi attirer les convoitises. DataSecurityBreach.fr propose plusieurs conseils de base à retenir, histoire de ne pas finir avec son clone de carte bancaire dans les mains du black market.
Vérifiez bien si :
– Le clavier bouge-t-il ?
– Le lecteur de carte vous semble-t-il mobile ?
– Le plafonnier a-t-il un trou en son centre ?
– Des « boites » publicitaires, pour flyers par exemple, sont-elles collées sur les côtés du GAB ? Oui ! N’utilisez pas ce distributeur.
– Des distributeurs en « panne » à côté d’un seul en fonction ? Passez votre chemin.
– Un papier vous indiquant des GAB hors-services et vous invite à utiliser un distributeur particulier ? No Way !
Si vous tombez sur un distributeur qui vous semble piégé (voir), ne touchez à rien, alertez les autorités proches du GAB. Ne vous interposez pas. Les « propriétaires » du matos de skimming ne sont pas des enfants de cœur.
Intercepter les données du dossier public de DropBox… facile
Le dossier Public de DropBox, un peu trop libre pour les personnes non autorisées à le consulter. Dropbox est une société bien connue spécialisée dans les solutions de cloud computing. La société annonce des centaines de millions d’utilisateurs, avec des pétaoctets de données stockées. Aujourd’hui, beaucoup utilisent Dropbox pour partager quoi que ce soit en famille ou entre amis. Cet usage semble parfaitement raisonnable si les données partagées ne sont pas sensibles, mais Dropbox est aujourd’hui aussi largement utilisé par les entreprises. DropBox remplace même parfois le service de Backup ou autres moyens de partager des fichiers entre collègues. Il parait que cela permet d’économiser de l’espace disque, du temps. Mais côté confidentialité, il faudra repasser, surtout si vous utilisez le dossier « Public ».
Notre ami Jean-Pierre Lesueur (DarkCoderSc) vient de nous montrer comment les fichiers DropBox dans le dossier « Public », normalement sécurisés et non accessibles aux personnes non autorisées, sont en fait parfaitement libres d’être consultés par des personnes extérieures. Pour cela, rien de plus simple. Il faut posséder un compte DropBox valide, une petite application python du nom de wfuzz et … c’est tout.
L’outil va égrener les noms de fichiers qui peuvent se trouver dans le dossier Public d’un compte DropBox ciblé. Bref, arrêtez de penser que le dossier « Public » n’est pas accessible aux personnes non autorisées. Démonstration en vidéo, ci-dessous.
Perte ou vol de données sur internet : une meilleure protection des consommateurs
A compter du 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).
Cette procédure comprend 3 obligations à la charge du professionnel :
- La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
- La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
- Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.
Une liste indicative de mesures techniques de protection à mettre en œuvre (techniques de cryptage par exemple) sera publiée ultérieurement par la Commission européenne. Pour en savoir plus, DataSecurityBreach.fr vous invite à vous lire le Règlement n° 611/2013 de la Commission européenne du 24 juin 2013 du journal officiel de l’Union européenne.
Un nouveau Kit pour bloquer des sites web
Nous ne donnerons pas le nom de l’outil, histoire de ne pas voir débouler les zozos du web et éviter des attaques DDoS contre des sites web qui ne demandent rien. Un internaute, qui semble être franco/belge, vient d’annoncer sur un forum dédié au piratage, la commercialisation d’un Bot, que DataSecurityBreach.fr a baptisé Le Chat Fou, capable de lancer des attaques électroniques sous la forme de Déni Distribué de Service (DDoS) : UDP, TCP, HTTP et Slowloris.
« Basé sur une source d’un simple HTTP botnet, Axxx Cxx est un projet personnel que j’ai débuté il y a 5 mois, à pu lire DataSecurityBreach.fr. Ce bot a été fait pour soutenir un grand nombre d’autres bots. » L’objet est commercialisé. Le codeur d’A.C. commercialise son outil « Le prix est de 40 € pour le panel + serveur + mises à jour + support« . Il est réclamé 10 € pour une installation sur un hébergement personnel et 1€ pour modifier les DNS.
Une option assez étonnante est proposée par A.C. Il est possible d’accéder à l’espace d’administration depuis son iPhone et de lancer des attaques. Ce bot est diffusé dans sa version 1.2. Bref, un outil qui risque de permettre aux pousses bouton de dire : T’es mort, t’as vu !
X-Keyscore, l’outil d’analyse des services de renseignements US
Il est logique que la NSA utilise les ambassades américaines basées à l’étranger en tant qu’outil collecteur pour le système d’analyse d’information X-Keyscore, moissonneuse batteuse révélée par le nouveau russe (pour un an, ndlr datasecuritybreach.fr) Snowden. Les ambassades ont toujours été utilisées pour l’espionnage local, pour la « veille » militaire, politique, économique, sociale. Son option cyber était inévitable.
Les ambassades ont de multiples réseaux de communications. Il est intéressant de « suivre » certains « employés » sur LinkedIn et autres médias sociaux. De nombreux militaires et anciens espions cherchant désormais une plus grande rémunération, sont en « awares » pour toutes propositions sonnantes et trébuchantes. Une recherche rapide par Cryptome sur LinkedIn a de quoi faire sourire : AGILEVIEW, AGILITY, AIRGAP/COZEN, AIGHANDLER, ANCHORY/MAUI, ARCANAPUP, ARTEMIS, ASSOCIATION, AUTOSOURCE, BEAMER, BELLVIEW, BLACKPEARL, CADENCE/GAMUT, CHALKFUN, CINEPLEX, CLOUD, COASTLINE, COMMONVIEW, CONTRAOCTAVE, CONVERGENCE, COURIERSKILL, CREEK, CREST, CROSSBONES, CPE, CULTWEAVE, CYBERTRANS, DISHFIRE, DOUBLEARROW, DRAGONFLY, WEALTHYCLUSTER (EWC), ETHEREAL (logiciel open source network d’analyse, ndlr datasecuritybreach.fr), FASCIA, FASTSCOPE, FOREMAN, GAMUT/UTT, GISTQUEUE, GJALLER, GLAVE, GLOBALREACH, GOLDMINER, GOLDPOINT, GOSSAMER, GROWLER, HERCULES (CIA database, ndlr datasecuritybreach.fr) HIGHTIDE/SKYWRITER, HOMEBASE, INFOSHARE, JOLLYROGER, KINGFISH, LIQUIDFIRE, MAINWAY, MARINA, MASTERLINK, MASTERSHAKE, MAUI/ANCHORY, MESSIAH, METTLESOME, NEWHORIZONS, NIGHTSURF, NORMALRUN/CHEWSTICK/FALLENORACLE, NUCLEON, OCTAVE, PATHMASTER/MAILORDER, PINWALE, PANOPTICON, PRESENTER, PROTON, RAVENWING, RENOIR, ROADBED, SCORPIOFORE/CPE, SHARKFINN, SKOPE, SKYWRITER, SNAPE, SPOTBEAM, STINGRAY; SURREY, TAPERLAY, TAROTCARD, TEMPTRESS, TRACFIN, TRAILMAPPER, TREASUREMAP, TRICKLER, TUNINGFORK/SEEKER, TURMOIL, TUSKATTIRE, TWISTEDPATH, UIS/PINWALE, UTT, WEALTHYCLUSTER, WIRESHARK (logiciel open source network d’analyse, ndlr datasecuritybreach.fr) WITCHHUNT, XKEYSCORE, YELLOWSTONE/SPLITGLASS.
Selon un document que Cryptome a diffusé, 150 sites et plus de 700 serveurs seraient employés pour X-Keyscore. Etonnant, un serveur est basé à Moscou, un autre à Pékin. Les ambassades sont donc montrés du doigt. Etonnamment, la station NSA à Hawaï, où Edward Snowden a travaillé, n’apparaît pas sur la carte. 25 points sont affichés le long de la côte Antarctique. La France est affichée, pas la Belgique, ni la Suisse ou encore le Luxembourg. A noter que des offres d’emplois affichent très clairement les ambitions de XKeyscore… avant la « pseudo » révélation de Snowden.
Sur Saic.com par exemple, le 03 juillet, la recherche d’ingénieurs systèmes familier de « VMware ESXi 3.5, 4.1 et 5.0.« , sachant manipuler « des logiciels avec des langages de script Java, C et Bourne shell » et pythonner dans la joie et la bonne humeur. L’heureux gagnant, qui travaillera à Columbia, dans le Maryland, fournira un soutien technique pour les systèmes qui englobent les systèmes SKIDROWE. Mais qui est donc ce mystérieux Skidrowe qui va obliger notre demandeur d’emploi de passer sous l’égide du « Top Secret » et du « SCI with Polygraph » ?
Pendant ce temps, la NSA, qui a fait parler son boss lors du Black hat de Las Vegas (hué, comme l’explique zataz.com), affiche dans la foulée son commentaire au sujet de XKEYSCORE. « Dire que la NSA collecte arbitrairement des informations est fausse. Les activités de la NSA sont ciblées et spécifiquement déployées contre – et seulement contre – des cibles de renseignement étrangers légitimes en réponse aux exigences de nos dirigeants qui ont besoin d’information pour protéger notre nation et ses intérêts. La publication de ces informations classifiées sur les systèmes de collecte de la NSA ne fait que mettre en péril les sources et les méthodes« . La NSA, qui n’a jamais autant « causé » depuis ces dernières semaines explique ne pas pouvoir en dire beaucoup plus sur X-Keyscore. « Accédez à XKEYSCORE, explique la NSA, ainsi qu’à tous les outils d’analyse de la NSA, est limité aux seuls employés légitimes. Ces personnes doivent suivre une formation appropriée avant de se voir accorder un tel accès – la formation est renouvelée régulièrement. Cette formation couvre non seulement la mécanique de l’outil mais aussi des obligations éthiques et juridiques de chaque analyste. En outre, il existe plusieurs échelons de vérifications afin d’éviter les abus délibérés« . D’après la NSA, depuis 2008, plus de 300 terroristes ont été capturés à l’aide de renseignements provenant de XKEYSCORE. en attendant, la NSA annonce remplacer beaucoup de ses analystes par des machines. Ca évite les fuite !? Pendant ce temps, dans l’Utah, le Data Center de la NSA sort du sol. Du moins le Bing Map de Microsoft est plus prolixe en image que Google map sur le sujet !
Pirates de CB arrêtés à Nice
Les « Amis du petits dejeuners », comme les nomme ZATAZ.COM, de la région de Nice se sont mis au houmous, moutabal, böreks et autres dolmas. La division économique et financière de la police judiciaire niçoise a arrêté dans un hôtel, fin juillet, deux Arméniens soupçonnés d’avoir mis en place des skimmeurs dans des distributeurs automatiques de billets de Nice, Aix-les-Bains, Marseille, Lyon. C’est d’ailleurs des policiers lyonnais qui avaient traqué et logé les deux présumés voleurs.
Les skimmeurs ? Des systèmes permettant d’intercepter les données de votre carte bancaire insérée dans un distributeur de billet officiel. Du « matos » qui pullule. Les deux pirates appréhendés, comme d’habitude, font parti d’une bande très organisée avec les « placeurs », les collecteurs et les revendeurs. Déférés au parquet, les deux amateurs du skimming ont été mis en examen pour escroqueries en bande organisée. (Nice matin)
Sauvegarder ses fichiers avec Toutbox.fr
Vous souhaitez sauvegarder vos images, vidéos, … et pouvoir y accéder partout, que se soit au bureau, à la maison, en week-end ou en déplacement professionnel ? Le service proposé gratuitement par Toutbox.fr devrait vous plaire. Toutbox.fr est un système moderne de disque dur virtuel, un site exclusivement français,
entièrement gratuit et illimité. Toutbox.fr vous permet d’envoyer et de partager des fichiers avec la communauté de Toutbox.fr. Les fichiers peuvent être publics ou privés. Dans ce dernier cas, les documents sont protégés par un mot de passe. Toutbox.fr se démarque de ses concurrents par son aspect illimité et gratuit mais aussi par les fonctionnalités offertes par le site (streaming, preview de fichiers …). Un logiciel, baptisé Box, permet de gérer son compte depuis son bureau d’ordinateur.
Toutbox.fr, le cloud social
Chaque utilisateur dispose de sa propre page ToutBox. Il peut modifier à volonté cette espace afin de mettre en avant les fichiers qu’il souhaite partager. Une page qui deviendra rapidement la vitrine pour son propre site ou tout simplement se présenter pour les autres utilisateurs. Le contenu est libre et les autres utilisateurs peuvent laisser des messages sur le « mur » de tous les utilisateurs pour communiquer et échanger entre eux. Un moteur de recherche permet de retrouver ses fichiers en cherchant parmi les noms, la description, la date d’ajout ou encore son poids. Il est aussi possible de rechercher parmi les fichiers des utilisateurs qui autorisent cette fonction.
Streaming, preview et vie privée
Toutbox.fr propose du streaming. Vous avez ainsi la possibilité d’écouter la musique présente sur votre compte ou celle d’autres utilisateurs, là aussi en illimité et sans avoir à télécharger le fichier sur votre ordinateur ! Vous voulez voir un extrait du document que vous voulez télécharger ? Faites une preview du fichier pour voir si le fichier est bien le bon ! La preview de fichiers marche pour la plupart des extensions connues, même pour les vidéos. Pour finir, la vie privée n’est pas un vain mot.
Toutbox.fr est un service gratuit et illimité qui voit le partage sous un autre angle : social et avec des fonctionnalités pratiques, que ce soit pour le simple utilisateur qui veut sauvegarder ses fichiers, l’utilisateur qui souhaite partager ses fichiers au plus grand nombre ou à l’éditeur qui recherche un moyen simple et sécurisé pour diffuser son contenu.
Grand jeu de l’été
Voici venir la 17ème édition du grand jeu de l’été de ZATAZ Magazine, datasecuritybreach.fr, zatazweb.tv. A gagner, entre autres, deux Playstation 4.
Comme il est de coutume chez ZATAZ Magazine, et cela dure depuis 17 ans, nous organisons un grand jeu de l’été, histoire de s’amuser, en se cultivant, durant les vacances d’été. Cette année ne déroge pas à la règle. Deux jeux, pour tenter de remporter des lots qui devraient vous plaire. D’abord, des goodies ZATAZ et Defcon. Des Tee-shirts ZATAZ.COM et de la Nuit du Hack. Des livres des éditions ENI, dont l’excellent « Laboratoire virtuel pour auditer et mettre en place des contre-mesures » ; des bluray d’Iron Man 3 (merci Marvel) ; des jeux Watch Dogs (Merci UbiSoft). Cerise sur le gâteau, deux PlayStation 4 (Merci Sony), ainsi que des portes cartes de protections, anti interception de nos donnés bancaires offertes par stop-rfid.fr ou encore des clés USB VPN d’iTwin Pro.
Les réponses :
1 – L’IP, l’adresse Internet Protocol, est-elle une donnée à caractère personnelle ? Oui Non
Réponse : Oui d’après la CNIL et Bruxelles
2 – Configurer un accès Wifi avec un niveau de sécurité maximum se fait avec une clé WPA WPA2 WEP IMEI
Réponse : WPA2
3 – Qu’est ce que le Soft Power ?
l’ingérence, l’influence, la diplomatie, la corruption
Réponse : l’influence
4 – Quel est le résultat de 55 6e 20 2b 20 32 20 3d ?
Réponse : 1 + 2 = 3
5 – Dans l’émission de ZATAZWeb.tv été, un QR code vous propose quelle information ?
Réponse : Lien vers https://www.datasecuritybreach.fr/un-labo-virtuel-pour-auditer-et-mettre-en-place-des-contre-mesures/
6 – Complétez cette phrase en remplaçant les 4 croix par les mots correspondants Ceux qui utilisent xxxx pour favoriser leurs attaques montent leur intelligence; ceux qui utilisent xxxx gagnent en puissance.
Réponse : Ceux qui utilisent le feu pour favoriser leurs attaques montent leur intelligence; ceux qui utilisent l’eau gagnent en puissance. – SUN TZU
7 – TGEgc3VpdGUgZGVzIHF1ZXN0aW9ucyBzb250IHN1ciBkYXRhc2VjdXJpdHlicmVhY2guZnI
Réponse : La suite des questions sont sur datasecuritybreach.fr
8 – 79e35664717c21b96225d8d6ed4f0b16
Réponse : zataz hashé avec md5
9 – Comment se nomme le héro du jeu d’Ubi Soft, Watch Dogs ?
Réponse : Aiden Pearce
10 – Combien de fonctionnaires Sud-Coréens ont été touchés par le blocage de leur smartphone ? (réponse sur DataSecurityBreach)
Réponse : Environ 1500. (Source)
11 – Qui se cache dans la lune, derrière le corbeau ?
Réponse : une tête de mort.
12 – Si on vous dit : 1994 – Henri, Philippe et Christian, vous pensez à ?
Réponse : Rapport « Intelligence économique et stratégie des entreprises«
13 – Que veut dire 孙子兵法
Réponse : L’art de la guerre
14 – Quel est le pays que n’a pas encore couvert ZATAZWeb.tv ?
Maroc ; Mexique ; Espagne ; Etats-Unis ; Québec ; Belgique.
Réponse : Au moment du jeu, il s’agissait de l’Espagne.
15 – 01001100 01100001 00100000 00110001 01100101 01110010 01100101 00100000 01110000 01100001 01110010 01110100 01101001 01100101 00100000 01100100 01110101 00100000 01100111 01110010 01100001 01101110 01100100 00100000 01101010 01100101 01110101 00100000 01100100 01100101 00100000 01101100 00100111 01100101 01110100 01100101 00100000 01110011 01100101 00100000 01110100 01110010 01101111 01110101 01110110 01100101 00100000 01110011 01110101 01110010 00100000 01111010 01100001 01110100 01100001 01111010 00101110 01100011 01101111 01101101
Réponse : La 1ere partie du grand jeu de l’été se trouve sur zataz.com
Les gagnants : (Tirage au sort effectué lors du HackNowLedge Tunisie)
1.696 bonnes réponses/concurrents sur 5.115 joueurs.
Remporte la PS4 + goodies : Vincent Delecoirti (69)
Jeux Watch Dogs + goodies : Julien Rames ; Folmat5.
Livre + goodies : Dionys Lugon-Moulin ; Fabrice Di Cicco ; Max Barral.
Tee-shirt zataz : Franck Pachon, Gilles Mendes.
Pour la photo, c’est Céline Jacquemin qui reporte a PS3 avec avec cette photo (ci-dessous). Les autres concurrents vont recevoir goodies et tee-shirt zataz.
Failles pour plusieurs banques étrangères
Fahmi Ben Khlifa, jeune chercheur tunisien en sécurité informatique, a alerté la rédaction de datasecuritybreach.fr au sujet de plusieurs failles découvertes sur les sites Internet de trois banques étrangères. Les vulnérabilités, des XSS (Cross-site scripting) qui pourraient permettre à un pirate informatique de mettre en place des pages phishing directement à partir des urls officiels des banques visées, de lancer l’installation d’un code malveillant dans l’ordinateur d’un visiteur, …
Il faut, cependant, que le pirate construise une adresse web malveillante qu’il doit diffuser à ses cibles par courriel, Twitter, Facebook, … Les trois banques concernées ont été alertées : Central bank of Azerbaïdjan, Central bank of Belize et la banque centrale de la république dominicaine.
Espionnite au Royaume-Unis et en Nouvelle-Zélande
D’ici quelques mois, les britanniques seront obligés d’installer un logiciel afin de contrôler la visite d’un site pornographique. Une décision à la Big Brother pour un filtre anti-pornographie censé proteger les enfants. Si l’idée est bonne, qui ne souhaite pas protéger un enfant, l’excuse numérique laisse un léger mal de crâne aux défenseurs des droits de l’homme sur la toile.
Si un britannique adulte souhaite visiter un site coquin, il devra l’indiquer dans le logiciel espion. L’Open Rights Group, une ONG qui tente de protéger les droits en ligne des consommateurs, indique que le gouvernement britannique va étendre cette cyber-surveillance à la violence, à l’anorexie, aux troubles de l’alimentation, au suicide, au fait de fumer, à la consommation d’alcool.
D’après l’ORG, les forums peuvent aussi être « bloqués ». A l’internaute de tripatouiller dans la configuration de son logiciel. Bref, voilà aussi une excellente idée pour les « majors » du web qui, elles, ne seront pas filtrées et s’offriront de la page vue supplémentaire. Ca va être marrant de voir des émissions de télé réalité, comme celle proposée en 2012 par Channel 4, bloquer l’intégralité du site web de la chaîne en raison de l’accumulation de drogue, violence, … A noter que Google a prouvé, zataz.com vous l’a révélé en juillet, qu’il était tout à fait possible de bannir du web un site Internet.
En Nouvelle-Zélande, le parlement veut voter une loi qui donnerait plus de possibilité d’espionnage au Government Communications Security Bureau. La DGSE locale, est un service de renseignement extérieur. Sauf que les « élus » locaux veulent élargir la surveillance des communications à l’ensemble des Néo-Zélandais (soupçonnés de porter atteinte à la sécurité nationale ou non, ndlr datasecuritybreach.fr).
Bref, des 007 censés s’occuper hors des murs du pays veulent aussi s’occuper de leurs citoyens. Bilan, attaques DDoS et autres barbouillages de sites, comme le site du Premier Ministre John Key par Anonymous, chauffent le web local.
La prochaine mise à jour de l’iPhone va vous espionner
Vous avez un travail qui demande discrétion. Bref, vous n’avez pas envie d’indiquer l’adresse de vos bureaux. Vous êtes « volage » et vous n’avez pas vraiment envie d’indiquer à votre époux/épouse les lieux de vos rencontres extra conjugales. Si vous avez un iPhone et que vous avez l’intention de mettre à jour votre « précieux » vers l’iOS 7 lisez ce qui va suivre.
Une des options du nouvel opus d’iOS mérite d’être désactivée. Apple propose d’affiner votre localisation GPS à partir de votre téléphone. Une option activée par défaut. Ce qui veut dire que le géant de l’informatique indique et sauvegarde vos lieux préférés. Autant dire que regrouper vos informations, avec celles d’autres internautes, aura de quoi donner de l’eau au moulin « PRISMique » des géants du marketing, ou bien pire que les vendeurs de rêves.
Apple indique que cette option permet « une meilleure approximation de la localisation géographique (…) Apple veut retenir les coordonnées afin d’améliorer les cartes et autres produits et services d’Apple basés sur la localisation« . Bref, la grosse pomme veut tout savoir sur vous !
Vous pourrez désactiver l’option, explique Protecus, en allant dans les « Paramètres », option Confidentialité > Location > Système > Emplacements fréquentés.
Vous voyagez avec vos appareils connectés ? N’oubliez pas de penser à leur/et votre sécurité.
Vous partez en vacances ? Une enquête reçue à la rédaction de DataSecurityBreach.fr, menée par F-Secure, met le doigt sur les moments de vos vies digitales qui nécessitent une attention particulière lors de vos déplacements.
Lorsque l’on voyage, il est pratique d’utiliser les réseaux Wifi public des aéroports ou encore des restaurants. Pourtant, 52% des sondés sont inquiets de la sécurité et la confidentialité de ces réseaux, et avec raison. Sean Sullivan, Security Advisor chez F-Secure Labs, affirme qu’il ne faut pas oublier que ces réseaux Wifi portent bien leurs noms : ils sont publics. Vous partagez ces réseaux avec des inconnus, et il y a toujours le risque qu’ils puissent utiliser un logiciel pour regarder ce que vous faites en ligne.
Selon Sean Sullivan, « Il est naturel de penser qu’il y a de la confidentialité parce que nous utilisons un appareil personnel… mais en réalité ce n’est pas du tout le cas ». Il conseille de ne pas faire ce que l’on souhaite laisser à l’abri des regards indiscrets, comme des connections à des comptes protégés par des mots de passe. Il ajoute : « J’utilise les réseaux de Wifi public pour des choses dont je parlerais avec un ami dans le métro. Les opérations bancaires, je les fais chez moi ».
Le même raisonnement vaut pour l’utilisation des ordinateurs publics dans les bibliothèques ou les cybercafés. Sean Sullivan conseille une utilisation réfléchie et limitée (par exemple, lire les actualités), parce que des logiciels espions pourraient être installés sur l’ordinateur… et voler vos mots de passe.
Si vous devez utiliser des réseaux publics pour communiquer avec vos proches, M. Sullivan recommande la création d’une adresse mail que vous n’utiliseriez que lorsque vous êtes en vacances, et qui n’a rien à voir avec votre adresse mail habituelle. « De cette façon, si quelqu’un pirate votre adresse mail de vacances, il ne pourra que voir des mails de votre mère ou de la gardienne de votre chat, mais ils n’auront pas accès aux données sensibles qui seraient en mémoire dans votre compte de messagerie principal », dit-il.
Une opération bancaire à faire ? Les précautions à prendre lorsque vous êtes loin de chez vous. 85% des gens disent qu’ils se connectent à leur banque via leurs ordinateurs, et 24% à partir de leurs smartphones. Comment procéder si vous deviez absolument faire une transaction lorsque vous êtes en vacances ? Il est probablement préférable d’utiliser votre forfait data mobile avec l’application mobile de votre banque, même si cela signifie faire du roaming. Cela peut coûter un peu cher, mais c’est toujours moins onéreux que de se faire vider votre compte. Les banques utilisent des connections HTTPS. Sont-elles pour autant sécurisées quand vous y accédez via les réseaux Wifi publics ? 39% des gens utilisent très peu de mots de passe différents pour leurs différents comptes. Et si vous utilisez le même mot de passe sur un site non sécurisé et sur un site sécurisé (comme celui de votre banque), cela signifie qu’un « fouineur » pourrait facilement accéder à votre compte bancaire. Les « fouineurs » utilisent parfois des méthodes plus rudimentaires : jeter discrètement un coup d’œil par-dessus votre épaule quand vous entrez votre mot de passe peut leur suffire pour vous le dérober !
Gardez votre contenu en toute sécurité lorsque vous êtes sur la route des vacances 67% des sondés accordent plus de valeur aux contenus d’un appareil plutôt qu’à l’appareil lui-même, d’un point de vue matériel. Cela illustre l’importance des sauvegardes avant le départ en vacances. Par exemple, en utilisant un service de synchronisation de contenu comme Content Anywhere de F-Secure. Fourni par les opérateurs, il permet aux utilisateurs d’avoir accès aux contenus de l’appareil automatiquement synchronisés sur leur cloud personnel. Grâce à ces services, nous ne somme plus obligés de voyager avec des périphériques de stockage encombrants (comme des disques durs), et il est facile de partager nos photos de vacances, en toute confidentialité et en toute sécurité. Les données que vous mettez dans le « Content Cloud » de F-Secure sont entièrement chiffrées pendant le transfert et le stockage.
La localisation d’un appareil perdu ou volé Perdre ou se faire voler un téléphone portable peut gâcher les vacances. DataSecurityBreach.fr a pu lire qu’avec 61% des personnes qui ont une double utilisation pro/perso de leurs appareils, il y a de bonnes raisons d’être prudent. Un téléphone perdu pourrait avoir un impact non seulement sur vos propres données, mais aussi sur celles de votre entreprise. L’application gratuite Anti-Theft de F-Secure pour smartphones et tablettes vous permet de verrouiller à distance et de localiser votre appareil, et si nécessaire, en effacer toutes les données. Autre recommandation : assurez-vous que le mot de passe de votre téléphone portable verrouillant votre écran se mette en place après un court laps de temps, comme une minute.
D’autres conseils si vous utilisez les Wifi public:
· Ne laissez pas votre appareil se connecter automatiquement à des réseaux publics.
· Effacez les points d’accès Wifi que vous avez utilisé lorsque vous rentrez chez vous.
· Ne soyez pas connecté aux applications dont vous n’avez pas besoin lorsque vous vous déplacez.
· Vérifiez auprès de l’établissement que le réseau Wifi auquel vous vous connectez est vraiment le leur, et non pas celui qu’un « fouineur » aurait mis en place pour vous tromper.
· Soyez conscient de votre environnement et de toute personne qui pourrait être en train de jeter un regard par – dessus votre épaule.
· Utilisez un mot de passe différent pour chaque compte.
· Pour les ordinateurs portables, désactiver le partage de fichiers, activez le pare-feu et configurer le de sorte qu’il bloque les connexions entrantes.
· Si possible, utilisez un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) qui sécurise votre connexion même sur le Wifi public.
· Utilisez un routeur de voyage avec une carte SIM prépayée pour créer votre propre réseau Wifi.
· A minima, vérifiez la présence du cadenas et du « https » dans la barre d’adresse pour n’importe quel site contenant vos informations personnelles. S’ils ne sont pas là, il est préférable d’éviter le site.
· En règle générale : considérez que tout ce que vous faites sur un réseau Wifi public est comme une conversation publique.
Outil pirate pour compromettre le Framework Web Apache Struts
Un outil pirate Chinois, datasecuritybreach.fr a appris qu’il était vendu dans le black market, permet d’automatiser une attaque à l’encontre du Framework Web Apache Struts. Les chercheurs de l’éditeur de solutions de sécurité informatique Trend Micro confirme que cet outil était capable de compromettre le Framework Web Apache Struts en exploitant une faille qui vient d’être bouchée par l’Apache Software Foundation. L’outil pirate contient un Web Shell, un outil qui permet au pirate de se promener dans la machine piégée via cette porte cachée. Une sorte de Shell99 bien connu chez les pirates. Une version java de la bestiole (JspWebShell) permet d’utiliser les technologies JavaServer Pages (JSP) pour les faciliter les actions du pirate.
Un « couteau Suisse » gênant. Même si un rustine existe, peu de mises à jour semblent avoir été effectuées par les utilisateurs de l’outil de développement d’applications web Java. Il faut dire aussi qu’en pleine périodes de vacances, ça n’aide pas. Comme le précise Trend Micro, l’outil pirate exploite les récentes failles CVE-2013-2251 et CVE-2013-1966, ainsi que de vieilles dames, toujours actives, datant de 2010 et 2011 : CVE-2011-3923, et CVE-2010-1870.
Bref, la mise à jour vers la version 2.3.15.1 d’Apache Struts est plus que conseillée : http://struts.apache.org/download.cgi#struts23151. DataSecurityBreach.fr a pu constater sur le blog du groupe de hackers chinois que les premières infos sur la faille ont commencé à pointer le bout de leurs bits en mai 2013. Le 19 Juillet sortait l’exploit. Le 20 juillet, l’outil K-eight, signé par B.L.Brother, était diffusé. Soit trois jours après la diffusion du patch de sécurité d’Apache.
Le code de sécurité de Porsche piraté
Flavio Garcia, maître de conférences en informatique à l’université de Birmingham, a découvert comment passer outre le système numérique permettant de faire démarrer les Porsches, Audis, Bentleys et autres Lamborghini. La faille se trouve dans l’algorithme qui permet la vérification de la clé de contact.
Le chercheur devait présenter sa trouvaille lors d’une conférence dédiée à la sécurité informatique, à Washington (Symposium Usenix Security – 14/15 août, ndlr). Une injonction de la justice britannique à interdit à l’universitaire de présenter son travail. Volkswagen, propriétaire des quatre marques de luxe citées, s’attaque aux travaux de Garcia et deux autres experts néerlandais en cryptographie de l’Université Raboud, Baris Ege et Roel Verdult.
La vulnérabilité se situerait dans le RFID de la puce Megamos Crypto, une « bestiole » qui n’a pas évolué depuis plus de 20 ans. Un algorithme trop léger et la clé devient aussi bavarde qu’une mouette.
La justice explique sa décision par le fait que cette publication pourrait permettre de cracker la sécurité des clés et voler les voitures. Le calcule mathématique complexe, qui a permis aux chercheurs de trouver la faille, est sur le web depuis… 2009. Les scientifiques ont utilisé une technique appelée « chip slicing » qui consiste à analyser une puce sous un microscope et lancer un processus d’analyse qui coûte plus de 50,000 euros. Dommage que le juge n’a pas imposé dans la foulée à VW de mettre de l’ordre dans ses bits.
Envoyez vos campagnes emailing tout simplement
Le logiciel Sarbacane est proposé en téléchargement gratuit : l’occasion pour vous de tester la diffusion facile et rapide de vos newsletters. Fidéliser vos lecteurs, clients, visiteurs sur Internet ? Et si vous tentiez l’emailing. Ici, pas question de parler de spam, de pourriel, mais bien d’une gestion efficace et rapide de votre base de données. Sarbacane est la solution d’emailing de référence.
Ce logiciel, en téléchargement gratuit pour tester ses capacités, permet de gérer vos campagnes d’emailing et de newsletter. Importez vos contacts, créez vos mails personnalisés en HTML, et envoyez vos mails à vos lecteurs, clients, visiteurs en toute facilité. Nous vous proposons de tester gratuitement ce logiciel d’emailing pour que vous puissiez découvrir sa simplicité d’utilisation et son efficacité.
Créé par une société du Nord de la France, située à quelques kilomètres de zataz.com, Sarbacane a reçu le label qualité d’Ekomi avec une note loin d’être négligeable : 4.4 sur 5. La Poste, Toshiba, Universal Music ou encore le CIC utilisent Sarbacane : testez gratuitement Sarbacane et laissez-vous convaincre par son utilité et son efficacité.
Sarbacane Téléchargement Gratuit
Espionner via l’API d’un HTML5
Une vulnérabilité découverte dans un API d’HTML5 permet de connaitre l’historique de navigation d’un internaute. Cette possibilité a été annoncée dans un document diffusé par le Context Information Security sous le titre de « Pixel Perfect Timing Attacks with HTML5« . Le problème se situe dans l’API requestAnimationFrame.
Cet API consulte l’historique de votre navigateur pour différencier un site web que vous avez visité et celui qui vous aller visiter. Seulement, il a été découvert qu’il était aussi possible, pour un site malveillant, de mettre la main sur l’historique de navigation de chaque visiteur. Si vous couplez requestAnimationFrame à une interception d’ip et quelques informations privées, vous voilà avec la vie privée numérique de l’internaute bien mal en point. Côté conseil, utilisez le monde « Navigation privée » de votre navigateur.
Facebook, Twitter, Google, Linkedin, Bong, Amazon, Mozilla, Reddit, souffrent de cette potentialité malveillante. Cette technique s’est avérées très efficaces, permettant à un site malveillant de contrôler des milliers d’URL par seconde pour voir si un utilisateur a visité les principaux portails du web. En 2010, David Baron a publié une proposition pour prévenir de telles attaques, en limitant les styles (css) qui peuvent être appliquées aux liens visités et veiller à ce que l’API JavaScript appelle que les styles des éléments à visiter. Les correctifs avaient été mis en œuvre dans tous les principaux navigateurs. Sauf que la faille découverte permet aussi de lire, à distance, les pixels et, avec un peu de malice, permettre à un pirate de lire ce qui s’affiche dans le navigateur. Le White paper de CIS.
Piratage d’un compte bancaire, les indices qui mettent la puce à l’oreille
La plupart des utilisateurs jugent important de protéger leurs informations personnelles stockées sur leurs ordinateurs. Et selon une récente enquête consultée par DataSecurityBreach.fr, réalisée pour Kaspersky Lab, aussi incroyable que cela puisse paraître un participant sur trois (33%) conserve ses coordonnées bancaires sur son ordinateur domestique. A noter que 62 % des utilisateurs considèrent la fuite de données financières comme la menace la plus dangereuse ; 47 % estiment que le vol d’informations bancaires lors d’achat en ligne est le problème le plus préoccupant lorsque l’on se rend sur internet. 57 % des français estiment qu’ils ne sont pas suffisamment outillés pour faire face aux menaces de sécurité sur internet.
Les cybercriminels multiplient les tentatives pour pirater les sites de banque et de commerce en ligne. C’est pourquoi, surveiller ses comptes de paiement en ligne (PayPal, Amazon, Google Checkout, etc.) de près peut éviter des mauvaises surprises à la fin du mois. Comme le rappelle ZATAZWeb.tv, s’informer, c’est déjà se sécuriser. Voici les six « alertes » qui doivent vous faire tendre l’oreille.
1. Surveiller les activités non autorisées : savoir toujours quelles opérations sont prévues. Tout montant débité sans l’autorisation du détenteur du compte, aussi faible soit-il, doit constituer un signal d’alerte.
2. Attention aux notifications : Le fait de recevoir un e-mail informant que les informations de son compte ont changé alors que rien n’a été modifié peut être un signe que le compte a été piraté.
3. Attention aux faux appels : si un interlocuteur se présente comme travaillant pour un établissement bancaire ou prestataire de paiement au téléphone, ne pas hésiter à rappeler le service client pour vérifier l’authenticité de l’appel.
4. Se méfier des textos : si l’utilisateur reçoit soudainement des SMS ou des appels provenant d’un numéro de mobile habituellement non utilisé par son prestataire, il faut être extrêmement prudent quant à son origine.
5. Vérifier chaque e-mail : si un e-mail ou une autre forme de communication en ligne ne paraît pas authentique, ne pas y répondre sans avoir vérifié son authenticité auprès de son prestataire.
6. Attention aux faux liens : si des activités inhabituelles sont observées sur son compte, il faut vérifier si aucun lien suspect dans un e-mail n’a été ouvert.
Ainsi, il est bien sûr recommandé aux utilisateurs d’adopter les bons réflexes de sécurité lors des achats en ligne. En outre, l’installation d’un logiciel efficace de sécurisation d’Internet, et notamment des fonctions de banque en ligne, permet d’éviter les attaques de type « man in the browser » qui interceptent les données normalement sécurisées transitant dans un navigateur Web. Dans ce type d’attaque, un malware implanté sur l’ordinateur infecté modifie de manière invisible des pages Web légitimes afin de prendre le contrôle des activités de banque en ligne. L’internaute est bien connecté au site Web authentique de la banque, l’adresse affichée (URL) est la bonne mais des cybercriminels peuvent intercepter la transaction pour dérober les informations financières et, plus grave, de l’argent.
La méthode miracle anti-cellulite… des pirates
Bitdefender, éditeur de solutions de sécurité, a informé DataSecurityBreach.fr que les utilisateurs de Pinterest étaient visés par la propagation d’une arnaque publicitaire sur ce réseau social qui permet d’épingler ses photos préférées. Ce scam publicitaire concerne une solution « miracle » pour se débarrasser de la cellulite et perdre du poids, une arnaque qui apparaît bien souvent en cette saison estivale. Les scammeurs voient en Pinterest l’endroit idéal pour diffuser ce type d’arnaque puisque parmi les 49 millions d’utilisateurs du réseau social, 80 % sont des femmes. Ce scam n’est pas malveillant mais vise à tirer profit des utilisatrices qui, tombées dans le piège, achèteront le ‘pack beauté’ ou ‘l’offre du jour’.
Cette arnaque, qui a envahi Pinterest en quelques semaines, utilise le tableau d’utilisatrices pour s’y afficher en tant que ‘pin’. Ainsi, de nombreuses femmes ont épinglé malgré elles, sur leur tableau, des dizaines de photos d’un corps exhibant de la cellulite et d’une personne « avant/après » le test de cette solution miraculeuse.
Scam anti-cellulite
L’interface de Pinterest se prête particulièrement à la mise en avant de ce genre de produits. Les images utilisées sont efficaces et le slogan optimiste, ce qui pousse les utilisatrices à cliquer afin de recevoir des « informations auxquelles seulement quelques personnes privilégiées ont accès ». En cliquant sur la photo, l’utilisatrice est redirigée vers plusieurs sites qui affichent tous la même vidéo : quelques exercices basiques qui permettraient de faire fondre les excès de graisse à vitesse grand V. Après ce teasing attrayant, la visiteuse est invitée à s’offrir le pack beauté, sans oublier l’offre du jour, elle aussi à ne pas manquer.
Certains noms de domaines de ces sites sont enregistrés anonymement afin de ne pas révéler l’identité de « l’entreprise » qui fournit les produits en question. Cependant, Pinterest et Google parviennent à bloquer quelques-uns de ces sites, signalés comme dangereux. Afin de se prémunir des arnaques en ligne, Bitdefender préconise aux internautes de toujours utiliser une solution de sécurité à jour et de vérifier sur Internet les informations relatives à la société qui commercialise les produits désirés. Les internautes peuvent aussi bénéficier d’éventuels avertissements ou de l’expérience d’autres acheteurs, grâce à de simples recherches sur le Web.
PlugIn de sécurité pour WordPress
Kévin FALCOZ, alias 0pc0deFR, chercheur français en sécurité informatique propose un outil fort intéressant permettant de tester la sécurité des plugins WordPress que DataSecuritybreach.fr vous conseille fortement. L’outil disponible sous le repository Bulk Tools permet actuellement de chercher des vulnérabilités de type SQL ou CSRF. Un outil d’audit ingénieux. « Je travaille dessus, souligne à la rédaction de Data Security Breach 0pc0deFR. Je vais le rendre encore plus puissant dans le but de détecter plus de vulnérabilités ». Bref, un excellent projet qui mérite d’être suivi et encouragé. A noter quelques règles Yara, pour les amateurs d’analyses de malwares.
Faille pour le site du Ministère de la Défense du Koweït
Le chercheur en sécurité informatique Ben Khlifa Fahmi a alerté la rédaction de Data Security Breach après la découverte d’une faille, de type XSS (Cross Site Scripting, ndlr datasecuritybreach.fr) visant le site Internet du Ministère de la Défense du Koweït. Ce type de faille, classé troisième par l’Owasp, permet d’intercepter les cookies générés par le site (gestion de l’accès à l’administration par exemple, ndlr datasecuritybreach.fr), afficher un faux espace d’accès (Phishing) ou diffuser un code malveillant dans la machine d’un visiteur. Le pirate doit générer un url particulier, à partir de l’adresse officielle du Kuwait Ministry of Defense et l’envoyer à sa cible. Ben a alerté l’administrateur du site pour permettre sa correction.
Les menaces et la sécurité des centres d’assistance technique
Le SANS Institute of Research a dévoilé les résultats d’une étude sponsorisée par RSA, la division sécurité de EMC, portant sur les menaces et la sécurité des centres d’assistance technique (Les help desks, ndlr datasecuritybreach.fr).
Les help desks sont le point d’entrée des employés pour la résolution des problèmes informatiques. Pourtant on constate que la sécurité informatique reste encore assez à améliorer ; les téléassistants étant mesurés à la rapidité de résolution des problèmes. Ainsi ces centres sont aujourd’hui une voie facile pour les hackers de mettre un pied dans l’entreprise. L’étude réalisée auprès de 900 professionnels de l’informatique dans le monde, tous secteurs confondus, souligne les menaces et le niveau de sécurité des centres d’assistance technique :
– Pour 69% des répondants, l’ingénierie sociale est le premier moyen pour les hackers d’entrer dans les entreprises via les help desks. L’ingénierie sociale étant une forme d’acquisition déloyale d’information : les informations basiques et accessibles à tous comme le nom, prénom et numéro d’employé sont souvent le seul moyen d’identifier les collaborateurs.
– Un tiers des professionnels interrogés atteste que la sécurité de leur help desk reste très faible.
– 43% ne prennent pas en compte le paramètre sécurité lorsqu’ils calculent le budget de leur help desk.
Data Security Breach rappelle qu’afin de prévenir les attaques, les entreprises doivent protéger leurs données tout en répondant aux attentes des employés et ainsi revoir la sécurité de leur help desk. Pour cela RSA recommande :
– L’automatisation et la mise en libre-service des options pour les questions courantes de l’utilisateur telles que la réinitialisation du mot de passe afin de réduire les erreurs et les vulnérabilités qui conduisent à des failles informatiques et le vol de données
– Des formations solides et continues du personnel pour apprendre à repérer et réagir à d’éventuelles attaques
– Des outils avancés qui permettent des méthodes d’authentification plus solides en utilisant des ressources de données dynamiques. (SANS Institut)
Les menaces sur Android se rapprochent des attaques sur PC
Les malwares Android passent du ‘simple’ Trojan par SMS au ransomware. DataSecurityBreach.fr a pu constater selon le rapport sur l’évolution des malwares Android publié par Bitdefender, que de nouvelles e-menaces plus sophistiquées qu’auparavant sont apparues au premier semestre 2013. En effet, si les précédents rapports faisaient état d’une augmentation des Trojans qui envoient des SMS surtaxés à l’insu des utilisateurs de Smartphones, le nombre de ransomwares pour Android a augmenté durant les six premiers mois de l’année, ciblant majoritairement l’Asie. Bien que le Trojan SMS, à l’instar de la famille de Trojans – Android.Trojan.FakeInst, représente 72,51% des malwares Android détectés au niveau mondial, ce rapport confirme une tendance de fond : les menaces sur mobiles se rapprochent de celles bien connues dans le monde des PC, à l’exemple du malware bancaire Zeus qui s’est répandu sous l’appellation ZitMo dans sa version mobile.
Le malware bancaire ZitMo sévit majoritairement en Chine Sur le premier semestre 2013, le rapport d’analyse de Bitdefender montre que les utilisateurs Android qui achètent régulièrement en ligne ont pu être touchés par le Trojan bancaire ZitMo. Si les utilisateurs chinois ont été majoritairement victimes de ce malware (44,65 %), l’Allemagne apparaît aussi comme une cible privilégiée en arrivant en tête des pays européens (14,47 %).
ZitMo Le malware bancaire a pour objectif principal de détourner les transactions réalisées en ligne. Sur Android, ces malwares sont installés sur l’appareil par l’utilisateur en se faisant passer soit pour une application sécurisée, soit pour une mise à jour du certificat de sécurité à télécharger à la suite d’un achat en ligne. DataSecurityBreach vous rappelle que ZitMo reçoit des instructions d’un serveur de commande et de contrôle (C&C) et peut transmettre tous les messages SMS reçus. Cela est particulièrement intéressant pour les hackers puisqu’ils peuvent ainsi recevoir le numéro d’authentification bancaire mTAN (mobile Transaction Authentification Number) aussitôt que l’utilisateur initie une transaction. Grâce au Trojan bancaire Zeus déployé sur le PC, et son équivalent sur mobiles ZitMo qui intercepte les SMS avec le code mTAN, les cybercriminels peuvent ainsi prendre le contrôle total sur la transaction bancaire. Le Trojan ZitMo est également exploité par les cybers escrocs pour dérober des données personnelles, au même titre que d’autres familles de malwares Android, et parfois même les adwares qui peuvent sembler plus inoffensifs de prime abord.
Augmentation du nombre de ransomware pour Android
Bitdefender a également analysé la propagation de la famille de malwares FakeAV qui comprend entre autres le nouveau ransomware Android. FakeAV.C. ainsi que le Trojan Android.FakeAV.B dont le but était de voler des données personnelles ou sensibles. L’analyse révèle que l’Inde (32,70 %) et l’Indonésie (15,90 %) sont les deux pays les plus ciblés par cette famille de ransomwares, devant la Malaisie (6,96 %) et la Thaïlande (4,68 %). L’Europe est encore relativement épargnée par ce type de ransomware pour Android pour le moment. Cela s’explique par le fait que les utilisateurs européens ne téléchargent pas encore autant d’applications à partir de plates-formes non officielles, autre que Google Play.
FakeAV
Découvert en Asie, le nouveau malware Android. FakeAV.C, se comporte à peu près de la même façon qu’un ransomware sur PC. Déguisé en solution antimalware, incitant l’utilisateur à le télécharger de son plein gré, il bloque la machine sur laquelle il est installé. L’utilisateur piégé est ensuite sommé de payer une somme d’argent s’il veut voir les fonctionnalités de son appareil de nouveau accessibles. Le niveau accru de sophistication et la similitude de ce Cheval de Troie avec un ransomware pour PC pourraient suggérer que les codeurs de malwares Android se lancent sur ce « marché » en pleine croissance. La reproduction des comportements de malwares PC sur Android n’est pas une nouveauté puisque déjà observée dans le passé avec les adwares, qui ont gagné en popularité et se sont développés sur les OS mobiles. A noter que la famille Android.Adware.Plankton, reste la famille d’adwares la plus active au niveau global avec 53,34 % de détections.
Adwares
Le manque de politique de sécurité encadrant le BYOD, qui permet aux salariés d’accéder aux données confidentielles de l’entreprise via leurs appareils personnels, et les risques pris par les utilisateurs peu attentifs et souvent ignorants des risques de sécurité, favorisent activement le travail des cybercriminels. Ces derniers ont alors toutes les cartes en main pour exploiter ces vulnérabilités et pouvoir s’infiltrer et prendre le contrôle de façon ciblée de nombreuses ressources dans une société. Au vu des ces nouveaux vecteurs d’attaques et de la prolifération de nouveaux types d’e-menaces, la sécurité mobile sur Android n’est plus facultative mais obligatoire.
Un pirate dans votre smartphone
Les 7 signaux d’alerte indiquant une possible infection d’un Smartphone… et les 7 façons de les éviter. Avec six fois plus de malwares sur la plate-forme Android qu’il y a un an, les smartphones deviennent des appareils vulnérables aux malwares. En effet, 22 750 nouvelles modifications de programmes malveillants pour appareils mobiles ont été détectées, soit plus de la moitié du total de modifications détectées sur l’ensemble de l’année 2012 selon le rapport « Développement des menaces informatiques au premier trimestre 2013 » de Kaspersky Lab. Alors comment savoir si un téléphone est infecté et surtout que faire pour s’en protéger, DataSecurityBreach.fr vous propose quelques clés pour repérer si vous êtes victimes d’une possible infection.
1. Publicités indésirables : Les fenêtres pop-up et d’autres types de publicités intempestives dépassant le comportement normal d’une application peuvent indiquer qu’un adware s’est probablement installé.
2. Pics de consommation Internet : certains malwares augmentent la consommation de données en forçant le téléphone à se connecter à de multiples reprises à un site Web, à cliquer sur une publicité, à télécharger des fichiers volumineux ou à envoyer des messages.
3. Factures anormalement élevées : souvent, un téléphone infecté par un malware passe des appels ou envoie des SMS vers des numéros surtaxés, qui viennent gonfler la facture de son propriétaire.
4. Présence d’applications non voulues : certains malwares achètent des applications sur Google Play ou une autre boutique Android. Il faut donc se méfier si des applications inhabituelles apparaissent sur un téléphone.
5. Applications utilisant des fonctions superflues : souvent un malware se fait passer pour une application légitime. Pour le détecter, la fausse application demande une autorisation ou utilise une fonction sans rapport avec sa finalité.
6. Activités inhabituelles sur les comptes en ligne : Les données ne sont pas seulement menacées par les risques d’infection d’un ordinateur. Les malwares mobiles récents, particulièrement polyvalents et retors, sont capables de dérober des mots de passe, des identifiants et d’autres informations conservés sur un smartphone.
7. Une application exige un paiement pour déverrouiller l’appareil : aucune entité légitime ne bloquera un téléphone et ne réclamera ensuite de l’argent en échange de son déverrouillage.
Pour réduire le risque d’infection au minimum, voici les principaux conseils de sécurité pour Android :
1. S’abstenir de « rooter » son téléphone. Malgré les avantages qu’offre cette alternative, elles sont généralement au détriment de la sécurité.
2. Définir un code PIN autre que 0000 ou 123456 ou un mot de passe, pour verrouiller l’écran Android et ainsi empêcher un tiers d’accéder à l’appareil en cas de perte ou de vol.
3. Ne télécharger des applications qu’auprès de sources dignes de confiance. Des logiciels légitimes en apparence mais provenant de sources non fiables peuvent en effet présenter des risques.
4. Ne pas passer par des réseaux Wi-Fi publics pour effectuer des transactions privées, par exemple des virements bancaires ou des achats en ligne.
5. Vérifier systématiquement les autorisations demandées par une application. Si l’une d’elles ne semble pas nécessaire, par exemple l’accès aux SMS ou aux contacts personnels, ne pas installer l’application.
6. Ne pas conserver des données confidentielles sur son téléphone et prendre le soin de sauvegarder régulièrement le contenu de l’appareil.
7. Activer les fonctions intégrées de contrôle parental afin de protéger les enfants sur Internet et compléter celles-ci avec des applications de sécurité fournies par un éditeur réputé.
Eviter les Attaques DDoS
Une stratégie de défense multi-couches, une protection du serveur DNS et une visibilité sur l’ensemble de l’infrastructure IT épargneront les entreprises des conséquences et des coûts engendrés par des attaques par déni de services. (Par Christophe Auberger, Responsable Technique chez Fortinet pour Data Security Breach).
Au début, les attaques DDoS étaient de simples attaques par déni de services lancées à partir d’un seul ordinateur. Cependant, avec la prolifération des botnets, elles ont évolué pour devenir l’une des plus grandes menaces dans le monde de la sécurité. Verizon, dans son rapport annuel sur la Violation des Données 2012 (2012 Data Breach Investigations Report), a caractérisé ces attaques comme étant “plus effrayantes que les autres menaces, qu’elles soient réelles ou supposées.”
Le cabinet de recherche Stratecast dans une récente étude a également constaté que les attaques DDoS augmentent de 20% à 45% par an, les attaques DDoS applicatives connaissant, elles, une croissance à trois chiffres. Stratecast a ajouté que les attaques DDoS représentent l’un des outils de prédilection des hackers, souvent dans le cadre d’une stratégie d’attaques multi-techniques.
Plus récemment, les chercheurs ont constaté que les attaques DDoS ont évolué non seulement en termes de fréquence, mais également en termes de bande passante et de durée. Il y a 10 ans, par exemple, des attaques de 50 Gbps étaient observées quelques fois par an seulement. Dorénavant, de telles attaques peuvent se produire presque toutes les semaines.
En outre, les attaques sont plus intelligentes parce qu’elles sont dorénavant mieux maitrisées. Plutôt que de lancer un flux automatisé de données, les assaillants commencent une opération, puis peuvent adapter le type d’attaques ou la cible en fonction du résultat.
Les attaques DDos vont continuer à proliférer alors que de plus en plus d’entreprises autorisent les appareils mobiles au sein de leur réseau. L’équipe de recherche des menaces FortiGuard Labs de Fortinet a constaté que les botnets sur mobiles, tel que Zitmo, ont de nombreuses caractéristiques et fonctionnalités identiques aux traditionnels botnets sur PC. FortiGuard Labs prévoit qu’en 2013, de nouvelles formes d’attaques par déni de services apparaitront, tirant profit à la fois des appareils mobiles et PC.
Et, elles représentent d’énormes pertes. En plus des pertes de revenus dues à l’inaccessibilité, les entreprises doivent supporter les coûts liés à la remise en service et à l’analyse IT, la perte du rendement, les sanctions financières résultant des accords de SLA non tenus, ou encore à l’atteinte à la réputation de la marque.
L’évolution des attaques DDoS souligne l’urgence pour les entreprises à adopter une stratégie de sécurité appropriée. Il y a des mesures proactives que les organisations peuvent prendre pour renforcer les défenses et réduire le risque d’attaques. Plutôt que de viser à supprimer entièrement le trafic DDoS, une stratégie DDoS doit chercher à maintenir les services – en particulier les services critiques – avec un minimum d’interruption. Pour ce faire, les entreprises peuvent commencer par évaluer l’environnement réseau et définir un plan d’intervention. Entres autres, le plan devrait comprendre des efforts de remise en état et de sauvegarde, une surveillance supplémentaire, et des moyens pour restaurer le service aussi rapidement et efficacement que possible.
Pour la protection proactive, les trois principales étapes à suivre sont l’implémentation d’une stratégie de défense multi-couches, la protection des serveurs DNS et autres infrastructures critiques, ainsi que le maintien de la visibilité et du contrôle sur l’infrastructure IT.
Défense Multi-Couches
En matière de protection DDoS, une stratégie multi-couches est essentielle, impliquant des solutions dédiées sur sites, conçues pour combattre et minimiser les menaces provenant de n’importe quelle partie du réseau. Ces outils doivent fournir des techniques empêchant l’usurpation tout en permettant l’authentification des hôtes, le positionnement de seuils spécifiques pour les applications et le trafic, la vérification des protocoles et états, la mise en application des gabarits, les contrôles d’accès basés sur la géolocalisation et les listes noires/blanches.
Lorsqu’elles envisagent des solutions dédiées DDoS, les organisations doivent s’assurer que celles-ci leur permettront de détecter également les attaques DDoS applicatives et de bloquer efficacement tous les modèles et techniques des attaques DDoS, qu’ils soient classiques, génériques ou personnalisés. Egalement, ces solutions doivent « apprendre » à reconnaitre les types de comportement basés sur le flux du trafic, qu’ils soient acceptables ou anormaux. Ce profilage de trafic est essentiel car cela permet de détecter et de freiner plus rapidement les menaces tout en réduisant les faux positifs.
Pour une meilleure efficacité opérationnelle, les entreprises doivent également envisager des solutions DDoS qui offrent des fonctionnalités de virtualisation et de géo-localisation avancées.
Grâce à la virtualisation, les administrateurs des politiques peuvent établir et surveiller plusieurs domaines indépendants de politiques dans un seul dispositif, empêchant les attaques affectant un segment de réseau d’impacter les autres. Ce mécanisme est également efficace dans l’escalade de la défense – plutôt que de s’appuyer sur un seul ensemble de politiques, les administrateurs IT peuvent en définir plusieurs à l’avance, ce qui permet d’appliquer un ensemble de politiques plus rigoureux si les précédentes sont insuffisantes.
Les technologies de géolocalisation, d’autre part, permettent aux entreprises de bloquer le trafic malveillant en provenance de sources inconnues ou étrangères et suspectes. Cela réduit la consommation d’énergie et de charges sur les serveurs backend en éliminant le trafic des régions qui ne sont pas concernées par le marché et la couverture géographique de l’organisation.
Protéger les serveurs DNS
Dans la cadre d’une stratégie globale défensive, les organisations doivent protéger leurs infrastructures et actifs critiques. De nombreuses entreprises maintiennent leurs propres serveurs DNS pour assurer la disponibilité Web, cependant ces serveurs sont souvent les premiers systèmes ciblés lors d’une attaque DDoS. Une fois que les serveurs DNS sont touchés, les assaillants peuvent facilement stopper les opérations Web d’une organisation, créant une situation de déni de services. Les solutions de protection DNS disponibles sur le marché aujourd’hui peuvent protéger contre les mécanismes d’intrusion utilisant l’authentification des transactions ou l’application de ports sources aléatoires.
Maintenir le Contrôle et la Visibilité sur l’Infrastructure
Les organisations doivent rester vigilantes et surveiller leurs systèmes avant, pendant et après une attaque. Ce n’est un secret pour personne, avoir une représentation globale de l’environnement IT permet aux administrateurs de détecter les aberrations du trafic réseau et de détecter les attaques plus rapidement, tout en leur fournissant des analyses et renseignements pour mettre en œuvre des techniques de prévention et de minimisation des attaques appropriées. Les meilleures défenses intègreront une surveillance continue et automatisée, avec des systèmes d’alertes qui sonnent l’alarme et déclenchent le plan d’intervention en cas de détection de trafic DDoS.
Il est important d’avoir une visibilité et un contrôle précis sur le réseau. Cette visibilité sur le comportement réseau aide les administrateurs à trouver la cause de l’attaque et à bloquer le trafic des flux tout en permettant au trafic légitime de passer librement. Cela permet également aux administrateurs d’analyser les attaques de manière historique et en temps réel dans le cadre d’enquêtes approfondies. En outre, les caractéristiques avancées de suivi des sources peuvent aider les efforts de défense en localisant l’adresse d’une attaque non-usurpée, et peuvent même contacter l’administrateur du domaine du contrevenant.
Attirer l’Attention des Entreprises
Les attaques DDoS – comme d’autres menaces de sécurité – continueront de croitre et seront plus effrénées dans le futur. La nature évolutive des technologies DDoS obligera les entreprises à changer de mode de pensée, impliquant une plus grande prévoyance et des défenses plus proactives. Par conséquent, les organisations doivent renforcer leurs plans d’intervention et évaluer leur infrastructure réseau vis-à-vis des menaces DDoS actuelles. Cela passe par le renforcement des défenses des serveurs critiques et par la priorisation des données. Il faut également implémenter des moyens de gestion et de surveillance pour une compréhension globale de l’ensemble du réseau. Enfin, les administrateurs IT devraient être capables de mettre en oeuvre des mesures de protection qui identifient rapidement la source de la menace, minimisent l’impact de l’attaque, et rétablissent le service dès que possible.
Ce ne sont qu’avec ces mesures que les entreprises cesseront de s’inquiéter des attaques DDoS, aussi paralysantes soient-elles, et pourront se recentrer sur leur activité.