Tous les articles par Damien Bancal

Leak

Piratage des données du Boss de la CIA et des Services Secrets

Un commentaire

Nouvelles fuites de données bancaires appartenant au patron de la CIA, de la directrice des Services Secrets, ainsi que d’Angelina Jolie, Hillary Clinton, ou encore Lady gaga.

Il y a 15 jours, un pirate informatique diffusait sur le site Exposed.su (fermé depuis, ndlr Data Security Breach) des informations sensibles et confidentielles appartenant à de nombreuses stars américaines (politiques, sportives ou culturelles). Deux semaines plus tard, retour des pirates avec cette fois, un nouveau site (plusieurs domaines ont été enregistrés, ndlr datasecuritybreach.fr) avec de nouvelles données dont celles de Michelle Obama, Beyonce, Hillary Clinton, Angelina Jolie, Lady Gaga. Dans les fichiers mis en ligne Tom Cruise, John Brennan (le directeur de la CIA), Dennis Rodman (boxeur), P. Diddy (rappeur), Robert De Niro ou encore Julia Pierson (Directrice du Secret Service).

Mi-mars, Britney Spears, Mel Gibson, Arnold Schwarzeneger, Beyonce, Jay Z, Hulk Hogan étaient piratés via l’infiltration de serveurs de sociétés de crédit : Equifax et, d’après les informations collectées par DSB et zataz.com, TransUnion. Nous avons retrouvé ce qui semble être un des instigateurs de cette grande fuite. Nous le baptiserons « Nippon ». Cet informaticien nous a confié ne pas être seul dans ce piratage. « La vulnérabilité est Cookie Logged, après nous n’avons eu qu’à jouer au DOM pour bypasser le Pop-uP » explique  le présumé pirate.

Nous avons donc tenté d’en savoir plus. Usurpateur, mythomane, … « J’ai la femme et les trois enfants du patron de la CIA, va nous confirmer Nippon, mais je préserve l’anonymat de la famille. Ce serait un déshonneur de s’attaquer à eux. » Il semble, à l’analyse de notre discussion, que l’équipe derrière cette diffusion ne soit pas particulièrement raccord sur la méthode à employer pour parler de cette infiltration. Certains ayant décidé de diffuser sans l’accord global du groupe.

Pour finir, nous avons demandé à notre interlocuteur de prouver les données qu’il annonçait avoir piraté avec ses « amis ». Il nous a communiqué un document comprenant l’intégralité des données appartenant au patron de la CIA. Autant dire totalement invérifiable… à moins de savoir nager dans le béton ! Les derniers documents volés, dont plusieurs à la société Credit Sesame et Credit Karma, datent du 31 mars, preuve que les pirates ont encore des accès.

Argent

Faille pour BitCoin Central

Un commentaire

Une faille découverte dans le service BitCoin oblige BitCoin Central à fermer pour maintenance. Comme l’annonçait, en début de soirée, le twitter officiel de @zataz, un problème est survenu pour le système monétique Bitcoin. Dans la nuit de dimanche à lundi, le site BitCoin Central à confirmer les informations que possédait la rédaction de zataz.com, un problème de sécurité est intervenu dans les bits des Bitcoins. « Nous avons détecté une faille de sécurité, indique l’équipe de BitCoin Central. Les services sont temporairement suspendus jusqu’à ce que nous ayons soigneusement étudié la situation. Nous allons reprendre les services dans les plus brefs délais. » Datasecuritybreach.fr vous conseille de ne SURTOUT PAS envoyer d’argent avec votre adresse, du moins pour le moment. A noter que les bitcoins des clients (en euros) sont en sécurité et ne sont pas affectés par la brèche de sécurité découverte. L’adresse 1LrPYjto3hsLzWJNstghuwdrQXB96KbrCy est sous le contrôle de Bitcoin-Central et Paytunia. « Nous nous engageons à reprendre du service dès que possible, termine BitCoin Central. Attendez-vous à une reprise normale du service dans les 48 heures. »

Piratage

Darkode infiltré, secrets révélés

L’un des espaces les plus confidentiel du web piraté. Les secrets du business de ce black market space révélés. Le moins que l’on puisse dire est que ce 1er avril 2013 aura un goût amère pour les administrateurs de l’espace Darkode. Darkode, en quelques mots, est un espace « très » privé dédié au black market, au business du piratage (données bancaires, failles, …). il est possible d’y croiser de nombreuses « stars » du milieu « black hat », qu’elles soient aujourd’hui en prison (bx1, TinKode) ou encore en activité, sans parler d’informations et vendeurs d’outils pirates comme Zeus ; numéros de cartes bancaires dérobées, …

L’activité de cet espace risque de prendre un sérieux coût dans l’aile. Xylitol, un internaute francophone connu pour son talent numérique, vient de démonter ce black space. Premier élément, le « hacker » semble persuadé que la page d’accès à Darkode sniffe les mots de passe. Autant dire que les visiteurs, triés sur le volet, ont leurs identifiants dans les mains de l’administrateur. Lors de ce piratage en règle, il a été découvert qu’un des membres de cette famille underground s’était fait, excusé du peu, plus de 11 000 $ en commercialisant les actions du bot SpyEye.

Parmi les révélation réalisées après le passage de Xylitol, la page dédiée à la naissance d’un « exploit kit » du nom d’EgyPack. Couteau Suisse pirate apparu en 2011. Autre détail révélé, plusieurs administrateurs de Hack Forum, un autre espace pirate moins privé que Darkode, seraient aussi admins sur ce dernier.

Un « leak », une diffusion loin d’être négligeable. Xylitol, sur son blog Xylibox, annonce avoir réalisé 4 500 captures écrans. « ma version privée, explique l’hacktiviste à zataz.com, c’est une version complète de la base de données, avec en plus une copie sql qui date de 2009« . L’auteur nous explique garder la chose pour les représentants de la loi qui lui en feraient la demande. Bref, poisson d’avril ou pas ?

Hacking

Votre enfant confronté à du porno, sur le web ?

Un sondage réalisé par Profil Technology et Mafamillezen, que Data Security Breach a pu consulter, révèle que les parents ont conscience des dangers d’Internet, mais ne protègent pas pour autant leurs enfants. Profil Technology, division de la société française Editions Profil, spécialisée en filtrage de contenus numériques, a effectué un sondage en partenariat avec Mafamillezen auprès de 300 parents. Les résultats de ce sondage confirment les craintes de DataSecurityBreach.fr.

Votre enfant a-t-il été confronté à des contenus inappropriés sur Internet (pornographie, violence, piratage, drogue…) ?

Selon vous, pour votre enfant, surfer sur Internet est :

Avez-vous discuté avec votre enfant des dangers d’Internet ?

Utilisez-vous un logiciel de contrôle parental ?

 

« Ce sondage révèle qu’une majorité de parents (71%) est consciente des dangers qui circulent sur Internet et en parle avec leurs enfants (80%). En revanche, on peut se demander s’ils posent les bonnes questions, car seulement 38% des parents interrogés savent si leurs enfants ont été confrontés à des contenus inappropriés. Ce sondage nous confirme malheureusement, malgré les recommandations de nombreuses associations de protection des enfants, que les parents ne sont pas à proximité des jeunes enfants lorsque ces derniers surfent sur Internet alors même que les médias relaient régulièrement des histoires sordides où tout commence avec un enfant laissé sans surveillance devant un ordinateur », déclare à DataSecurityBreach.fr Nicolas Lacourte, Chef de produits Profil Technology.

Si les parents sont conscients des risques engendrés par Internet, ils semblent ne pas s’astreindre à faire le minimum requis pour s’assurer de la bonne utilisation d’Internet par leurs enfants. Y-aurait-il une forme de découragement voire de renoncement de la part des parents face à la multiplication des sources d’accès à Internet ? Voici donc trois recommandations essentielles, faciles à appliquer et évidemment très efficaces pour accompagner les parents et protéger leurs enfants : Placer l’ordinateur de la maison dans un lieu de passage, de manière à garder un œil sur l’écran ; discuter ouvertement avec les enfants des rencontres mal intentionnées que l’on peut faire sur la toile et les accompagner dans leurs premiers surfs sur Internet ; installer sur les ordinateurs de la maison accessibles aux enfants, une solution de contrôle parental capable de filtrer les sites Internet par catégorie de contenus et de personnaliser le niveau de filtrage par enfant sans omettre de leur expliquer l’objectif de ce filtrage. Ne pas oublier les smartphones et les tablettes qui facilitent l’accès à Internet, mais qui rendent la tâche des parents encore plus difficile en raison de la transportabilité aisée de ces appareils.

Particuliers

Les failles fatales de la neutralité du Net selon le CNNum

Un commentaire

Dans son avis [1] rendu le 12 mars 2013, le Conseil National du Numérique (CNNum) invite le gouvernement à faire reconnaître le principe de neutralité du Net « comme un principe fondamental nécessaire à l’exercice de la liberté de communication et de la liberté d’expression ». Que les autorités publiques semblent prendre conscience de la nécessité de consacrer ce principe essentiel apparait comme une bonne nouvelle, toutefois la proposition de mise en œuvre formulée par le CNNum, via la loi de 1986 concernant la télévision, semble vouée à l’échec. ***

La neutralité du Net « au plus haut niveau de la hiérarchie des normes » ?

Afin de protéger la neutralité du Net, le CNNum propose d’intégrer un « principe de neutralité » dans la loi de 1986, ce qui le placerait, prétend-il, « au plus haut niveau de la hiérarchie des normes ». Une telle proposition se fonde sur le postulat selon lequel « la liberté d’expression n’est pas suffisamment protégée dans la loi française ». En se focalisant sur l’édifice législatif, le CNNum semble oublier l’article 11 [2] de la Déclaration des droits de l’homme et du citoyen, tout comme son appartenance au bloc de constitutionnalité. Le CNNum semble oublier aussi que la liberté d’expression est d’ores et déjà sollicitée par le juge, qu’il soit européen, administratif, judiciaire ou constitutionnel, notamment pour faire contrepoids à des mesures disproportionnées visant à la protection de la propriété intellectuelle.

La loi de 1986 [3] est une loi ordinaire qui n’a jamais fait partie du bloc de constitutionnalité [4] – le seul et unique « plus haut niveau de la hiérarchie des normes ». Il est donc faux de prétendre qu’y inscrire le principe de neutralité du Net suffise à hisser ce dernier au dessus des lois. Le législateur ne pourrait parvenir à ce résultat qu’en enclenchant la lourde procédure de révision de la Constitution, ce qui serait peu probable en la matière, et ce que l’avis n’envisage de toute façon pas.

Chercher à introduire un principe général de neutralité dans une loi ne suffit pas à répondre au problème posé, qui est celui de la sanction des atteintes à la liberté d’expression. C’est avant tout en établissant une définition claire d’infractions et de sanctions dissuasives que la neutralité du Net pourrait être garantie, ce que le CNNum s’abstient de proposer [5], préférant placer ce principe au sein d’une loi datée qui n’a pas été conçue pour le recevoir.

La neutralité du Net bridée par les règles inadaptées taillées pour la télévision

Dans son avis, le CNNum propose d’insérer le principe de neutralité dans le premier article [6] de la loi de 1986. Si le CNNum a précisément choisi cet article de cette loi, c’est parce qu’il y est établi que « la communication au public par voie électronique est libre », et que la neutralité du Net devrait devenir une composante de cette liberté. Or, dans sa conception, l’objet de la loi de 1986 ne fut pas de garantir cette liberté mais, au contraire, d’encadrer le secteur de l’audiovisuel qu’elle libéralisait en le soumettant à des règles strictes et en le plaçant sous le contrôle du CSA. Ainsi, dès son premier article et à peine le principe de liberté de communication proclamé, la loi s’empresse de dresser la liste exhaustive des valeurs pouvant justifier qu’elle soit limitée.

Parmi ces exceptions, on retrouve « le respect de la dignité de la personne humaine, […] de la propriété d’autrui [et] la protection de l’enfance », autant de valeurs qui, bien qu’exigeant une attention certaine, sont constamment invoquées afin de justifier toutes les atteintes portées aux libertés fondamentales sur Internet. Et la loi de 1986 les définit si largement que les opérateurs télécom et autre acteurs industriels n’auraient aucun mal à les exploiter devant le juge, afin de justifier n’importe quelle restriction d’accès à Internet. Ainsi, l’exception pour « protection de la propriété d’autrui » sera inévitablement utilisée par les industries du divertissement, au nom de leurs droits d’auteur, pour déroger à la neutralité du Net.

Plus grave encore, l’article prévoit que la liberté de communication peut être limitée par « les contraintes techniques inhérentes aux moyens de communication ». Nul doute que les opérateurs sauraient parfaitement se saisir de ce concept particulièrement flou, qu’ils sont les premiers à pouvoir définir, afin de porter atteinte à la neutralité des réseaux, à la liberté d’expression, à l’innovation et à l’équité au nom de contraintes techniques et économiques. Bref, tout est déjà dans la loi de 1986 pour permettre aux opérateurs de maintenir le statu quo actuel justifiant toutes les restrictions d’accès par de plus ou moins fumeuses raisons techniques.

Et il n’est en rien surprenant que cette loi soit parfaitement inadaptée à accueillir le principe de neutralité lorsque l’on sait combien le secteur auquel elle est destinée – la télévision – se distingue, par sa nature centralisée et par la rareté des canaux de communication, du fonctionnement même de l’Internet – ce que le CNNum reconnaît [7] lui-même dans son rapport.

L’audiovisuel ne se compose que de communications unilatérales en nombre fini, auxquelles le concept de neutralité n’a pas lieu de s’appliquer, quand Internet est la somme de communications multilatérales et illimitées. Imposer les règles de la gestion de la rareté des communications télévisuelles comme limitation de l’organisation de l’abondance des communications Internet serait un contre-sens historique.

La définition de la mise en œuvre de la neutralité du Net abandonnée au pouvoir judiciaire

L’inscription de la neutralité du Net dans une loi pré-existante souligne la volonté du CNNum de ne pas créer un cadre juridique nouveau, spécifique et adapté, afin de protéger la neutralité du Net. L’avis l’explique d’ailleurs clairement : « le principe de neutralité doit venir compléter et éclairer les dispositions juridiques existantes » et n’a donc pas vocation à être protégé en tant que tel.

Or, la neutralité du Net est un enjeu majeur pour notre société, un enjeu politique, qui dépasse de loin le cadre des procédures judiciaires, individuelles et isolées. C’est au législateur seul de définir les infractions et sanctions – avant tout dissuasives -, en fonction d’exceptions précises et limitées permettant de déroger à la neutralité du Net et de rendre légitime une restriction d’accès à Internet.

En abandonnant ces choix politiques au pouvoir judiciaire, une mise en œuvre des proposition du CNNum laisserait les puissants avocats des opérateurs obtenir par la jurisprudence la liberté de s’engouffrer dans les larges exceptions que leur offre la loi de 1986 et de justifier tous les abus. D’ailleurs, le CNNum ne laisse encore une fois pas de place au doute. Pour lui, « il convient de mettre en place des indicateurs pour mesurer le niveau de neutralité des réseaux et des services ouverts au public ». Que l’on ne s’y trompe pas. Un opérateur s’abstient ou non de contrôler et de prioriser le contenu qu’il véhicule. Il ne peut s’abstenir à moitié. L’idée qu’il y aurait une échelle de neutralité est inconciliable avec l’idée même de neutralité.

Il faut espérer que le gouvernement fasse preuve de courage en allant plus loin que le Conseil national du numérique ne l’y invite : qu’il ne se contente pas d’inscrire le principe de neutralité dans une loi inadaptée qui le priverait de tout effet, mais propose un cadre juridique nouveau qui le protégerait spécifiquement, en sanctionnant sévèrement les entorses [8].

Si cet avis marque le début d’une prise en compte des enjeux de la neutralité du Net par les pouvoirs publics, les citoyens doivent plus que jamais rester vigilants, pour que ce principe essentiel ne soit pas vidé de sa substance par le législateur, résultat qui serait bien pire que de n’avoir aucune loi sur la question. Les travaux à venir entre les différents ministères (Ayrault, Pellerin, Taubira, Valls), et l’examen d’un éventuel projet de loi au Parlement devront faire l’objet d’une attention toute particulière, afin que nos libertés en ligne soient efficacement protégées.

Références

1. https://www.laquadrature.net/files/CNNum-avis-sur-la-neutralite-du-net.pdf

2. Article XI de la Déclaration universelle des droits de l’homme : « La libre communication des pensées et des opinions est un des droits les plus précieux de l’Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté, dans les cas déterminés par la Loi. »

3. La « loi du 30 septembre 1986 relative à la liberté de communication », dite « loi Léotard », libéralisa le secteur de la téléphonie mobile et de la télévision par câble, ce qui permit notamment la privatisation de TF1 l’année suivante. Afin d’encadrer ce nouveau secteur privé, elle institua une Commission nationale de la communication et des libertés, qui deviendra rapidement le Conseil supérieur de l’audiovisuel (CSA).

Dans son premier article, la loi proclame que « la communication au public par voie électronique est libre », reprenant la jurisprudence du Conseil constitutionnel qui reconnaissait, dès 1982, la valeur constitutionnelle du principe de « liberté de communication des pensées et des opinions par les moyens audiovisuels », directement tiré de l’article 11 de la Déclaration universelle des droits de l’homme et du citoyen.

4. Le bloc de constitutionnalité réunit l’ensemble des normes placées au sommet de l’ordre juridique français – auxquelles aucune loi ni traité international ne peut déroger. Ces normes sont celles de la Constitution de 1958, de son préambule, du préambule de la Constitution de 1946, de la Déclaration des droits de l’homme et du citoyen de 1789 et de la charte de l’environnement, ainsi que les « principes fondamentaux reconnus par les lois de la République » dégagés par le Conseil constitutionnel et le Conseil d’État et les principes et objectifs reconnus de valeur constitutionnelle par le Conseil constitutionnel.

5. Le CNNum s’abstient de proposer toute sanction alors même qu’il regrette, dans son rapport, que la résolution du Parlement européen adoptée en 2011 en faveur du principe de neutralité « se refus[e] à demander une action législative immédiate ou des sanctions à l’encontre des opérateurs qui restreignent l’accès à Internet de leurs abonnés ».

6. Article 1 de la loi de 1986 : « La communication au public par voie électronique est libre.

L’exercice de cette liberté ne peut être limité que dans la mesure requise, d’une part, par le respect de la dignité de la personne humaine, de la liberté et de la propriété d’autrui, du caractère pluraliste de l’expression des courants de pensée et d’opinion et, d’autre part, par la protection de l’enfance et de l’adolescence, par la sauvegarde de l’ordre public, par les besoins de la défense nationale, par les exigences de service public, par les contraintes techniques inhérentes aux moyens de communication, ainsi que par la nécessité, pour les services audiovisuels, de développer la production audiovisuelle.

Les services audiovisuels comprennent les services de communication audiovisuelle telle que définie à l’article 2 ainsi que l’ensemble des services mettant à disposition du public ou d’une catégorie de public des œuvres audiovisuelles, cinématographiques ou sonores, quelles que soient les modalités techniques de cette mise à disposition. »

7. Le CNNum reconnaît dans son rapport que « en matière de droit de la communication et de l’expression sur les réseaux numériques[,] la bidirectionnalité intrinsèque diffère radicalement des réseaux de communication analogiques que régule, entre autres, la loi de 1986 sur la liberté de communication ».

8. Paradoxalement, le rapport admet que, quant à la définition du principe de neutralité, « l’objectif à atteindre est toujours clairement décrit comme le contrôle des pratiques de filtrage, de blocage, de censure ou de ralentissement de l’accès à l’information par le public », mais que cet objectif « implique toujours un grand nombre d’exceptions tels quel l’intérêt économique des acteurs, la lutte contre le spam ou le maintien de la qualité du réseau ».

Pour échapper à cette approche qui, bien qu’ayant « l’avantage de la simplicité,[…] a l’inconvénient d’être pratiquement inopérante », le rapport reconnaît qu’il faut « définir le principe de neutralité de façon positive ». Or, il ne propose aucune mesure pour y parvenir : l’insertion du principe dans la loi de 1986 est l’approche simple et inefficace, et la définition positive aurait été la création d’un cadre nouveau, accompagné de sanctions efficaces.

Assez étrangement, le CNNum semble inviter le gouvernement à aller plus loin que ce qu’il ne lui propose, et intitule l’un des titres de son rapport « Un cadre juridique nouveau posant un principe fort de neutralité […] » alors qu’il ne propose, dans son avis, que d’inscrire ce principe dans un cadre juridique ancien et inadaptée.

Cybersécurité, Livres

A lire : les livres du mois de Mars

La rédaction a lu pour vous quatre livres sortis en ce mois de mars, dédiés à la sécurité des données. Des livres qui ont attiré notre attention et qui, nous le pensons, méritent de finir dans votre bibliothèque de part leurs contenus et les informations qu’ils peuvent vous apporter dans votre vie numérique. A noter que nous vous proposons l’accès à ces livres, via Amazon.

Nous commencerons « notre revue de livre » par « Traitement des données personnelles » de Fabrice Mattatia. Un guide juridique indispensable aux éditions Eyrolles. L’entreprise qui protège les données personnelles de ses clients bénéficie d’un avantage concurrentiel, notamment pour son image de marque. Cet excellent écrit revient sur le droit des individus à voir leurs données personnelles protégées, sur les obligations des organisations et des entreprises en la matière, et sur les sanctions encourues en cas de manquement. Cet ouvrage initie à la culture juridique des données personnelles les directeurs des systèmes d’informations, responsables de traitements de données, et plus largement tous les techniciens confrontés à la problématique de la gestion des données personnelles, avec un luxe de détail concernant les différentes jurisprudences. Il présente notamment des cas concrets de cyber-attaques et les réponses pénales ou administratives associées. Ainsi, si une entreprise est victime d’un phishing utilisant une copie de sa page web, que doit-elle faire ? Que risque pénalement une entreprise victime d’un vol de base de données ? Comment faire respecter le droit français par des entreprises étrangères ? Clairement un livre de chevet, documenté, précis et vivant avec son époque.

Chez Lavoisier, un ancien de la Direction de la Surveillance du Territoire (DST), Patrick Le Guyader, revient sur « La protection des données sur Internet« . Un ouvrage qui expose les menaces de confidentialité liées à la cybercriminalité, au niveau des technologies fixes ou mobiles. Avec des exemples, il renseigne sur les législations nationales et internationales et les règles à respecter destinées à protéger l’internaute lorsqu’il navigue sur le Web. Un peu lourd à lire, il faut dire aussi que l’ouvrage propose de très nombreux articles de loi, ce document est parfait dans sa déclinaison des législations nationales et internationales.


<A HREF= »http://ws.amazon.fr/widgets/q?rt=tf_ssw&ServiceVersion=20070822&MarketPlace=FR&ID=V20070822%2FFR%2Fzataznet-21%2F8003%2F27946433-deac-4674-8b98-5864c25e4868&Operation=NoScript »>Widgets Amazon.fr</A>

Dans un autre genre, « Plan de continuité d’activité » chez ENI Editions. Ce livre s’adresse principalement aux Responsables des risques et de la continuité (RPCA, Risks Managers, RSSI), aux Directeurs de Systèmes d’Information (DSI) aux Consultants ou encore aux Chefs de projet sécurité, pour les accompagner dans leur démarche de mise en œuvre d’un Plan de Continuité d’Activité (PCA). 310 pages d’astuces et de bonnes conduites à tenir en cas de panne, piratage, … Très accessible, l’écrit de Bernard CARREZ, Antonio PESSOA et Alexandre PLANCHE propose de nombreux schémas et tableaux.

Nous terminerons notre lecture mensuelle par « Internet sans danger – Le guide du bon sens numérique » édité par Bayard, sous l’impulsion de l’assureur AXA. Un livret qui devrait trouver son public, surtout du côté des parents avec le chapitre « Permettre à son enfant d’acquérir un usage responsable d’Internet« . Le reste du contenu, sous forme de fiches pratiques, n’est pas désagréable à lire, mais recèle quelques erreurs ou « vieilleries » qui pourraient perdre les surfeurs pas vraiment habitué à se sécuriser. A noter quelques sites web classiques ou très « parisiens », en édulcorant totalement ceux qui sont sur le terrain depuis des années, comme zataz.com, qui côté aides aux particuliers et entreprises a fait ses preuves depuis plus de 16 ans (et sans rien à vendre, ndlr datasecuritybreach.fr). Le guide s’inscrit dans une démarche de prévention des risques numériques initiée par AXA et AXA Prévention depuis 2010. Durant l’été 2011 un projet de sensibilisation et d’échange avait déjà impliqué les 15 000 collaborateurs d’AXA. 500 collaborateurs avaient ensuite partagé leurs témoignages et expériences sur le bon usage des médias et des réseaux sociaux à travers une plateforme collaborative en ligne, puis participé à l’écriture de 20 conseils indispensables pour prévenir les risques numériques. Un premier Guide du bon sens numérique avait alors été produit, d’abord pour l’interne puis dès décembre 2011 en téléchargement gratuit pour tous sur le site d’AXA Prévention.

Cyber-attaque

Le site des FEMEN piraté

4 commentaires

Le site des FEMEN, des féministes, se fait pirater, coup sur coup, depuis mercredi soir. Les messages ne sont pas des plus sympathiques pour les adeptes des manifestations « coup de poing » les seins nus. Jeudi soir, des messages très violents  traités les FEMEN de Truie : « Venez en Tunisie ! Nous couperons vos seins et les donnerons à manger à nos chiens ! » ; Ce Vendredi, Le logo d’un Anonymous avec un turban s’affichait sur un fond vert. Une attaque intéressante. Le pirate tente de faire croire qu’il est Tunisien, Arabe, anti femme, …

Le Facebook des FEMEN avait été piraté en milieu de semaine. Autant dire que les pirates ont accès à d’autres éléments (comme les emails, ndlr datasecurityreach.fr) pour agir autant et aussi rapidement. L’affaire aurait débuté après que l’association diffuse, sur son Facebook, deux photos de deux jeunes Tunisiennes aux seins nus dans une opération que FEMEN a baptisé Free Amina.

Entreprise

Au boulot, trop surfer est une faute grave

La justice Française décide que l’usage personnel et excessif de l’internet au travail est une faute grave. Le site Internet (indispensable, ndlr datasecuritybreach.fr) Legalise.net revient sur un jugement rendu voilà quelques jours. Il concerne l’utilisation de l’Internet « privé » au bureau. On y apprend que le nombre important de connexions à internet pour un usage personnel pendant le temps de travail peut justifier un licenciement pour faute grave. La Cour de cassation, dans un arrêt du 23 février 2013, l’a décidé. Le jugement visait une responsable juridique qui signait 10 000 connexions à des sites de voyages, de comparaison de prix, de sorties, des réseaux sociaux pendant deux courtes périodes. Des connexions durant son temps de travail. Ce n’est pas la première fois que la Cour de cassation se prononce sur l’usage personnel excessif de l’internet au travail. Dans un arrêt du 18 mars 2009, elle avait considéré que le fait de se connecter de façon importante à internet sur son lieu de travail, et à des fins non professionnelles, constituait une faute grave.

Entreprise, Sauvegarde

Sauvegarde de données : ça coinçe encore

D’après une récente étude auprès de ses clients, Kroll Ontrack, leader sur le marché de la récupération de données, de la recherche d’informations et de preuves informatiques, a découvert que même si 60 % des personnes interrogées avaient une solution de sauvegarde en place au moment de la perte de données, la sauvegarde n’était pas à jour ou ne fonctionnait pas correctement. À l’approche de la journée mondiale de la sauvegarde, le 31 mars 2013, ces résultats, ainsi que DataSecurityBreach.fr, rappellent qu’il est important de vérifier qu’une sauvegarde fonctionne correctement et capture un ensemble de données actuel et précis. De plus, les résultats de l’étude indiquent que le disque dur externe reste le mode de  sauvegarde le plus utilisé pour les données personnelles et professionnelles. En fait, 60 % des personnes interrogées ont eu recours à une solution de disque dur externe, 15 % au cloud computing et 15 % à la sauvegarde sur bande. Quelle que soit la solution, plusieurs scénarios courants peuvent donner lieu à des pertes de données :

·         un disque externe connecté de manière occasionnelle et une sauvegarde non automatisée et effectuée à la demande ;

·         un ordinateur éteint au moment d’une sauvegarde programmée et non configuré pour l’effectuer à un autre moment ;

·         la défaillance d’un logiciel de sauvegarde ;

·         une sauvegarde dont l’espace de destination est plein ;

·         un profil de sauvegarde ne couvrant pas l’intégralité du périphérique à sauvegarder ;

·         un fichier perdu avant la sauvegarde programmée.

« L’utilisation d’une solution de sauvegarde est essentielle pour tout professionnel ou particulier qui veut se protéger contre la perte de données », estime à Data Security Breach Magazine Paul Dujancourt, directeur général de Kroll Ontrack France. « Cependant, comme les résultats de notre récente étude mondiale le démontrent, même une solution de type disque externe ou cloud computing réputée ne donne pas toujours les résultats escomptés. Une solution de sauvegarde n’est efficace que si l’utilisateur ou l’administrateur informatique s’assure que la solution fonctionne comme prévu et que la sauvegarde est complète. »

Sur 600 clients interrogés, dont un tiers ont subi une perte de données personnelles et deux tiers ont perdu des données professionnelles. Après avoir subi une perte de données, 87 % des personnes interrogées ont indiqué qu’il était extrêmement probable ou assez probable qu’elles recherchent une solution de sauvegarde. Parmi elles, près de 60 % recherchent une solution de type disque dur externe et environ un quart envisage le cloud computing pour protéger leurs données. Les 13 % restants qui ne prévoient pas de rechercher une solution de sauvegarde ont cité le temps et les dépenses associés à la recherche et à l’administration comme principal obstacle à sa prise en compte.

DataSecuritybreach.fr vous propose les conseils pour une sauvegarde réussie

·         Prenez le temps d’investir dans une solution de sauvegarde et d’établir un calendrier de sauvegarde.

·         Vérifiez que les sauvegardes s’exécutent régulièrement, conformément au calendrier établi.

·         Consultez les rapports de sauvegarde pour identifier les erreurs ou les échecs.

·         Testez régulièrement les sauvegardes pour vous assurer que les données ont été correctement capturées et que les fichiers sont intacts.

Arnaque, escroquerie, Particuliers, Scam

Les scammeurs lancent leurs campagnes de malwares sur le thème des vacances

Le secteur du tourisme ayant déjà commencé à communiquer sur leurs offres d’été, les scammeurs suivent la tendance et mettent en place des campagnes de spam contenant des malwares sur le thème des vacances. Ce sont les e-mails de confirmation de vol qui sont les plus utilisés cette année, suivis des offres d’hôtel, des offres de croisières somptueuses et de prêts divers pour les vacances. BitDefender s’en fait l’écho auprès de DataSecurityBreach.fr et alerte les internautes.

Pendant la saison, 6% de l’ensemble du spam concerne le thème des vacances. Et si l’on comptabilise 1.8 million de spams standards par jour, environ 108 000 messages sont sur le thème des vacances au plus fort de la saison, parmi lesquels les fausses confirmations de vol qui sont les plus répandues. Les e-mails de confirmation ou les reçus issus de compagnies aériennes constituent environ 60% de l’ensemble du spam sur le thème des vacances d’été cette année. Ces messages délivrent généralement des malwares dans une pièce jointe ou comportent un lien vers des pages Web malveillantes.

Le second type de scam saisonnier le plus fréquent est la fausse newsletter présentant de fausses bonnes affaires pour les réservations à l’avance de séjours de luxe dans le monde entier. Ces messages sont rédigés dans différentes langues selon les destinations qu’ils proposent. Les croisières, les offres d’assurance de voyage et les prêts vacances sont également utilisés pour séduire tous ceux qui préparent la parfaite escapade estivale.

Bitdefender a également découvert que Delta Air Lines et US Airways étaient les entreprises les plus ciblées, puisqu’elles comptent parmi les plus grandes compagnies aériennes aux États-Unis, offrant leurs services à des millions de clients à travers le monde. Il est en effet logique que plus les clients sont nombreux à utiliser un service, plus il y a de chances que les scams fonctionnent. Pour vous protéger, suivez les conseils de DataSecurityBreach.fr qui vous permettront d’organiser et de profiter de vos vacances en toute sécurité :

Renseignez-vous sur le site Web que vous utilisez avant de réserver un vol ou un hôtel.

Consultez les opinions des autres utilisateurs sur les sites Web de vente de billets/de réservation. Lisez leurs commentaires et leurs avis au sujet des services de ces sites.

Essayez d’entrer en contact avec un représentant de l’entreprise afin d’obtenir autant d’informations que possible sur le lieu de vacances.

Ne cliquez pas sur les liens inclus dans les e-mails, surtout si vous n’avez pas expressément demandé des renseignements sur des offres de voyage ou réalisé des réservations de vol/hôtel et n’ouvrez jamais les fichiers joints à ce type d’e-mails.

Lorsque vous partez en vacances, ne l’annoncez pas sur les réseaux sociaux. Une maison vide peut être extrêmement tentante pour des cambrioleurs. En effet, sécuriser les informations que vous mettez en ligne  peut aussi contribuer à protéger votre environnement physique.

Évitez de réaliser des achats en ligne ou de consulter des comptes bancaires lorsque vous utilisez des hotspots Wifi tels que ceux des aéroports, des cafés ou des centres commerciaux. Ne le faites pas non plus dans un hôtel.

Entreprise, Fuite de données

Sécurité des impressions : 63% des entreprises déplorent avoir subi une perte de données

L’étude européenne menée par Quocirca, société de recherche et d’édition, à la demande de Nuance, révèle que, malgré l’importance croissante que les entreprises accordent aux systèmes d’impression multifonctions dans le cycle de vie des documents, elles restent exposées à des risques de fuites des données confidentielles. En effet, Data Security Breach a pu découvrir que seules 22 % des entreprises interrogées par Quocirca ont sécurisé leur environnement d’impression et 63 % d’entre elles reconnaissent avoir subi un ou plusieurs cas de pertes de données, alors même qu’elles sont sans cesse plus nombreuses à mesurer les dommages potentiels de l’utilisation abusive ou du vol de données sensibles pour leur réputation et la confiance de leurs clients.

Les résultats de cette étude sont consultables dans le dernier livre blanc de Nuance, intitulé Impression de documents : un faux sentiment de sécurité ?, qui explique aux entreprises et administrations pourquoi et comment s’assurer que leurs activités d’impression sont sécurisées afin de protéger leurs informations confidentielles et celles de leurs clients. Le livre blanc rend également compte que de simples pratiques de sécurisation de l’impression permettent de réduire l’exposition aux risques de fuites de données et de satisfaire aux exigences réglementaires en matière de protection des informations. Nuance recommande même aux entreprises d’inscrire la sécurité des impressions dans sa stratégie plus globale de sécurité de l’information. Afin d’illustrer ces recommandations, le livre blanc comporte deux études de cas d’entreprises du secteur public (le conseil du Comté du Lancashire au Royaume-Uni) et du secteur financier (la banque suisse Graubündner Kantonalbank) utilisant les solutions Equitrac et SafeCom de Nuance pour mieux protéger leurs impressions.

Ce document intervient alors que les entreprises s’efforcent de rationaliser leurs flux de gestion des documents papier (pour gagner en efficacité ou pour se conformer aux obligations légales ou environnementales) et qu’elles se dotent de plus en plus d’imprimantes multifonctions (MFP) et en réseau.

Cyber-attaque, DDoS, Entreprise

Un DDoS géant perturbe Internet

10 commentaires

Une attaque informatique à l’encontre d’un spécialiste de la lutte contre les spams perturbe l’Internet. Spamhaus, une entité basée en Suisse qui s’est donnée pour mission de publier des « listes noires » de serveurs utilisés dans des diffusions massives de spams, des courriels non sollicités. 80% des blocages des pourriels seraient réussis grace à SpamHaus. Depuis quelques jours, une attaque de type DDoS (Dénis Distribués de Service) perturbe le fonctionnement de SpamHaus… et du réseau des réseaux. Matthew Prince, de chez CloudFlare, indique n’avoir jamais vue une attaque prendre une telle ampleur. Tout a débuté la semaine derniére, les Suisses ont placé dans la liste noire du moment le site internet néerlandais Cyberbunker. Motif, le portail serait un repére de pirates et autres spammeurs. « Spamhaus n’a pas été en mesure de prouver ses allégations » indique CyberBunker.

Le New York Times fait parler un « porte-parole » des pirates assaillants. Sven Olaf Kamphuis indique que l’attaque est en représaille contre Spamhaus, qui « abuse de son influence« . L’attaque DDoS a une telle impacte qu’elle aurait « freinée » le débit web, en Europe. A l’AFP Johannes Ullrich, de l’institut de technologie américain SANS, explique que cette attaque est dix fois plus puissantes que les derniérs DDoS enregistrés. Il est vrai que se manger 300 gigabytes de données par seconde, ca à de quoi bloquer des serveurs ! Data Security Breach trouve que le plus inquiétant n’est pas l’attaque en elle même, mais sa facilité de mise en place. Les pirates ont tout simplement profité des vulnérabilités des serveurs DNS. Bilan, chaque attaque est multipliée par 100. Voir Open Resolver Project pour en savoir plus.

Internet a-t-il failli être coupé par une attaque de grande ampleur ?

A cette question que tout le monde se pose en ce moment, la réponse est oui. Avec les attaques qui ont eu lieu récemment et on encore lieu à certaines échelles, Internet a été, tout au moins, déstabilisé pendant plusieurs heures. Que vous ayez un téléphone portable en 3G, un ordinateur pour surfer sur votre site préféré ou voulu recevoir des mails d’outre atlantique, vous avez peut être tous senti à plus ou moins grande échelle des ralentissements.

L’attaque informatique derrière cette déstabilisation est connue, mais n’avait jamais été menée à cette ampleur. Les DDOS et plus spécifiquement les DrDOS sont des attaques par amplification de trafic, ou pour faire simple, les attaquants utilisent des serveurs et des réseaux mal configurés comme des amplificateurs. Ils transforment une ou plusieurs connexions de tailles honorables (mais que tout le monde peut s’offrir pour quelques dizaines d’euros par mois) en canons à trafic de très grande ampleur. Pour prendre une image plus parlante, cela revient à transformer une balle de pistolet en une pluie de munitions. Avec une telle arme, pour chaque « balle » tirée à l’origine, plusieurs centaines de milliers de projectiles arrivent à destination…

Il est important de comprendre cependant qu’aussi puissantes soient ces attaques, elles sont temporaires par essence. Leurs durées de vie se comptent en heures, en dizaines d’heures au maximum, Internet n’est donc pas en risque d’être définitivement « cassé » mais en risque d’être très embouteillé, pendant un long moment. Une question de fond demeure, ces embouteillages dureront-ils très longtemps et seront-ils fréquents ou bien les autorités vont-elles réagir et forcer la prise de mesures concrètes ?

Le laxisme et l’avidité au cœur du problème

Car ce qui rend possible ces attaques, ce sont deux problèmes fondamentaux, tous deux possibles à régler. En effet, ces attaques sont rendues possibles par des serveurs mal configurés. Cette fois-ci ce sont les serveurs DNS qui sont concernés, l’un des services indispensable au fonctionnement d’Internet, qui convertit les noms (comme www.datasecuritybreach.fr) en adresse numériques (dites IP) compréhensibles par les ordinateurs et serveurs. En l’occurrence, ces DNS « ouverts » étaient parfois laissés accessibles en tant que service à la communauté, souvent laissés ouverts par d’autres administrateurs moins compétents par manque de connaissance ou de temps.  Mais auparavant, c’était les protocoles utilisés par les serveurs de jeux sur Internet et d’autres sources sont également possibles à exploiter par les pirates. Le point commun à tous ces supports d’attaques est que les personnes ayant soit développé soit déployé ces services ont mal configuré leurs serveurs et permis à ces attaques d’avoir lieu.

Le second problème est lui très matériel. Il y a des grands bénéficiaires à ces flux démesurés. Pour commencer par le point important, ces attaques ne devraient pas exister et sont simplissimes à bloquer. Il suffit à chaque entité participant au réseau Internet de n’acheminer que les paquets légitimes, provenant réellement de son réseau. Actuellement ce n’est pas le cas. En effet, de très nombreux opérateurs (dont les plus grands Français, Allemands et US) ne filtrent pas les paquets transitant par leurs réseaux et acheminent des paquets qu’ils savent illégitimes.

Ces attaques reposent sur un mécanisme central clé : le fait que l’adresse source, l’identité numérique de l’attaquant est faussée. Cette méthode, appelée le spoofing, est laissée libre à l’utilisation de chacun alors qu’il n’est que normal et logique que chacun ne transporte que les paquets réellement issus de son réseau. Cela revient exactement au même que de transporter des valises d’inconnus que l’on vous aurait remis à l’aéroport. Pourquoi le font-ils ? Car les opérateurs de niveau 2 se facturent le trafic envoyés entres eux. En résumé, plus ils envoient de trafic, plus ils facturent le voisin qui reçoit ce trafic. DataSecurityBreach.fr le confirme, c’est donc une raison très monétaire qui les motive plus qu’une très théorique impossibilité technique derrière laquelle ils se cachent pour ne pas résoudre le problème.

La guerre des boutons 2.0

Cette attaque est par bien des aspects uniques. Unique car elle a visé les plus gros « tuyaux » d’Internet (les tiers 1), ce qui est atypique et à bien failli couper tout le réseau pendant quelques heures. Elle est aussi unique par la violence et son ampleur. A notre connaissance, aucune attaque n’avait encore atteint une telle ampleur, avec près de 300 Gbps de trafic vu par les grands opérateurs par moment. Les plus gros points d’échange d’Internet n’acceptent que 100 Gbps, là où cette attaque a dépassé les 300 Gbps par endroits dans le réseau mondial…

Cela représente, disons 1 million de voitures circulant sur une route où l’on en attend 100 000 en général au grand maximum. C’est l’équivalent de plusieurs dizaines de milliers de connexions ADSL classiques qu’il faudrait réunir à plein débit à un instant donné pour atteindre un tel volume. Un très gros canon à paquet donc et cela n’est encore qu’une partie du trafic maximal généré par cette attaque. Unique enfin par sa cible et son origine. Pour une cause qui ne nécessite très probablement pas une telle Vendetta, le spam, Internet a été déstabilisé quelques heures. On ne règle pas les bagarres de gamins dans une cours de récré à coup de taser et de flashball, on ne règle pas un différend avec Spamhaus avec une DDOS de cette taille, cela est déraisonnable.

Unique, cette attaque à malheureusement de grande chance de ne pas le rester car rien n’est fait à l’heure actuelle par les autorités pour forcer des configurations plus efficaces des réseaux opérateurs et des services clef d’Internet. Les solutions sont connues, la volonté de les appliquer manque. Elle ne restera pas unique car mener une telle attaque n’est pas extrêmement complexe, les méthodes sont connues et les personnes capables de les mener se comptent en dizaines de milliers dans le monde, à minima. Bien sûr la très grande majorité d’entre elles sont des personnes raisonnables, mais il suffit d’une seule en l’occurrence pour atteindre un tel résultat…

La structure de base d’internet la rend résiliente à beaucoup de dangers différents, mais d’un autre côté,  certains points clés sont toujours très fragiles et les milieux underground le savent …

Moi vouloir tuer Internet L’architecture principale du DNS peut être mise à terre. Ce n’est pas chose aisée mais un DDOS massif peut la faire plier et donc casser le système de résolution de nom et le processus de diffusion, entrainant ainsi un situation très inconfortable. Le second point que je voulais souligner est que la faille dévoilée par Dan Kaminsky durant l’été 2008 est encore présente sur presque un quart des DNS mondiaux et permet une attaque par cache poisoning, aussi simple que redoutablement efficace.

BGP. Cette partie est aussi sensible et fragile. Les membres de la DFZ (Default Free Zone) sont supposés se faire confiance les uns aux autres les yeux fermés. Nous prenons des routes depuis d’autre AS et diffusons notre routage aux autres membres…Mais si des paquets étranges sont envoyés dans le pré-carré, ils peuvent faire chuter l’ensemble, comme par exemple ce fameux mois d’août 2010, durant lequel le Ripe à mener une expérience qui tourna mal, brisant ainsi beaucoup de routes et dérangeant une partie du trafic Internet pour plusieurs minutes. Les Chinois ont aussi commis leur « erreur », générant un des plus spectaculaires détournements de trafic de l’histoire d’Internet. Il est dit que c’était une erreur (par ceux qui l’ont commise 🙂 ) mais il apparait tout de même comme rien de moins que le plus large et important piratage jamais réalisé sur internet, montrant une fois encore que les piliers d’Internet peuvent encore facilement « trembler sur leurs bases.

L’IPV4 est le plus fondamental des protocoles d’Internet. Il est présent depuis des décennies et à été attaqué de tellement de façon différentes que je ne peux imaginer donner un chiffre pertinent à fournir dans cet article. Quelques points sont cependant sûr concernant IPV4, le protocole est utilisé partout (moins de 8% d’internet est prêt pour IPV6), il comporte de nombreuse erreurs de conceptions, il permet de nombreuse attaque par DDOS, spoofing, sniffing et chacun l’implémente « à sa sauce ». Tout cela fait d’IPV4 le plus utilisé des protocoles de niveau 3 du monde et, bien entendu, le plus connu, testé, reversé et attaqué…

Une lutte de pouvoirs ?

CloudFlare après sa méga panne plongeant des centaines de milliers de sites dans le noir le plus total avait bien besoins d’une énorme publicité. En aidant cette fois des « gentils », c’est pour eux l’occasion rêvée pour redorer cette image ternie. Il n’y a pas que les attaques qui peuvent être amplifiées, il y a aussi les paroles. Oui, car contrairement à ce que raconte certains ahuris, le trafic Internet en Europe n’a pas bougé d’un pouce : chiffres à l’appui. Quant aux évènements, il s’agit bien d’un règlement de compte entre Spamhauss et de véritables cybercriminels aguerris qu’il vaut mieux éviter de chicaner, même pour plaisanter.

Spamhauss est sauvé, CloudFlare devient un super-héros auprès des gentils mais laisse une ouverture béante aux whitecollars du CB-31337 qui ne se font pas prier pour récupérer habillement l’histoire en diabolisant à nouveau Spamhauss (ouvertement critiqué pour avoir le cul entre deux chaises et pour ses méthodes de cowboys) et gagnant ainsi de nouveaux clients. Si vous n’avez pas encore compris, Internet va bien, très bien même. Business is business… Cependant ça démontre une nouvelle fois les faiblesses connues qui peuvent (mais ça ce n’est pas nouveau, disons « qu’ils osent ») être utilisées dans d’autres types d’attaques. Avec ces escarmouches, ils ne font que frapper du poing, peut être un avertissement comme tu le soulignes,… ou simplement une évaluation. Ces gens là ont largement la capacité de mener des offensives nettement supérieures (avec dégâts). A mon sens, il faut se souvenir d’une chose très importante : il n’est pas possible d’évaluer les capacités offensives avec certitude de l’ensemble des acteurs en présence car ils sont connectés indirectement avec divers milieux, autres que l’underground traditionnel. Ils peuvent changer de facette l’espace d’un instant et devenir un bras armé. Mettez une dose d’agences de renseignements, une pincée de politiques… et très franchement, je doute que les moyens déployés, même extra-ordinaires, depuis les claques Estoniennes, Géorgiennes,… suffisent à contre-carrer des attaques disons.. hors normes. Quoiqu’ils pourront certainement mener des investigations, compter les morceaux et tenter de recoller ce puzzle bordélique mais ça sera définitivement trop tard. Rassurez-vous, tant qu’il y aura des enjeux financiers, rien de tout cela n’arrivera. (Avec NBS-SYSTEM)

Chiffrement, cryptage

Deux solutions de Prim’X inscrites au catalogue produits de l’OTAN

Deux solutions de Prim’X inscrites au catalogue produits de l’OTAN Zed! et ZoneCentral de Prim’X ont obtenu l’approbation du laboratoire d’évaluation de produits de l’OTAN. Prim’X, éditeur de solutions de chiffrement pour la sécurité des données, annonce que ses solutions Zed! et ZoneCentral ont passé avec succès l’évaluation opérationnelle (OpEval) du laboratoire d’évaluation de produits de l’OTAN. Cela leur permet de figurer dès à présent au Nato Information Assurance Product Catalog avec le statut « green ».

« C’est avec une grande satisfaction que nous avons appris que nos produits avaient reçu une évaluation positive de la part de l’OTAN », déclare José Lavancier, Directeur des projets de Certification de Prim’X. « Cela vient récompenser l’implication de nos équipes et la qualité de leur travail pour fournir des solutions fiables, efficaces, et répondant au plus hautes exigences en matière de sécurité. »

ZoneCentral est un logiciel de chiffrement des données qui en réserve l’accès aux seuls utilisateurs autorisés et identifiés. Sans contrainte d’organisation, il protège les fichiers et les dossiers là où ils résident, sur un poste de travail ou sur un serveur de données. Zed! permet d’utiliser des conteneurs chiffrés pour protéger les transports de fichiers indépendamment du canal utilisé (email, support amovible, file transfert, etc.). Les conteneurs .zed sont comparables à une « valise diplomatique » contenant des fichiers sensibles que seuls les destinataires identifiés ont le droit de lire.

Après avoir reçu l’agrément de l’ANSSI, le succès de cette évaluation opérationnelle permet au NIATC (Nato Information Assurance Technical Center) d’attester de l’adéquation de ces deux produits aux besoins de l’OTAN et de leur interopérabilité avec les systèmes de l’Alliance pour la protection d’informations jusqu’au niveau Diffusion Restreinte OTAN.

« Soumettre nos solutions aux évaluations des organismes de certification les plus rigoureux est un gage de qualité supplémentaire qui démontre leur robustesse à nos clients, partenaires et l’ensemble de l’écosystème de la sécurité informatique », conclut Michel Souque, Président de Prim’X. C’est cette qualité de développement qui a fait notre succès et que nous comptons poursuivre dans l’avenir. »

Prim’X peut s’enorgueillir de quatre certifications récentes et une cinquième qui vient d’être lancée auprès de l’ANSSI pour ZonePoint 3.0, logiciel qui assure le chiffrement des documents déposés dans les bibliothèques SharePoint apportant ainsi la couche de confidentialité indispensable à tout projet de partage de document ou d’externalisation des données d’entreprise.

Cybersécurité

370 milliads de dollars pour le futur cloud Chinois

Dans un nouveau rapport, BroadGroup propose pour la toute première fois un état des lieux des investissements dans le Cloud et des projets de développement de datacenters en Chine. DataSecurityBreach.fr a pu lire qu’à l’issue de recherches qualitatives et d’une centaine d’entretiens individuels, ce rapport révèle un programme de très grande ampleur portant sur un investissement total de 370 milliards $  et le doublement de la capacité des datacenters d’ici à 2016.
Le rapport, intitulé ‘China Cloud, Challenges and Opportunities in China’s Cloud Datacenter Deployment’ (Enjeux et opportunités de déploiement de datacenters pour le Cloud en Chine), décrit la stratégie mise en œuvre pour éliminer la dépendance vis-à-vis des fournisseurs étrangers de technologie et réunir les conditions d’une croissance économique durable pour la population chinoise d’1,3 milliard d’habitants. Le 12ème plan quinquennal du gouvernement chinois retient l’attention du monde entier pour la part belle qu’il fait aux investissements de création de logiciels, d’applications et de plates-formes Cloud, soutenus par un programme de déploiement massif de datacenters Cloud.
Le rapport explique comment le plan gouvernemental initial portant sur des déploiements Cloud dans 5 villes continue de s’élargir et couvre à présent 15 provinces au moins, avec des financements de projets conséquents. 109 projets ont été identifiés au total, la plupart impliquant la construction de nouveaux datacenters Cloud. Le rapport détaille les plans d’investissements, province par province, essentiellement concentrés dans le nord de la Chine, avec 88 % de l’investissement total partagés entre les cinq premières provinces de la liste.
Les profils des principaux acteurs des projets sont présentés dans le rapport, ainsi que les résultats d’analyses SWOT des segments clés de l’industrie des datacenters, à savoir les datacenters indépendants des opérateurs (carrier neutral), les datacenters Internet, et les trois géants des télécommunications en Chine : China Mobile, China Unicom et China Mobile.
Les projets Cloud sont détaillés par ville et dans le cadre d’une analyse régionale, avec taxinomie des projets par localisation géographique. Des cartes de la distribution des projets Cloud sont fournies pour illustrer le propos selon différents angles : par montant de l’investissement (en RMB), par dimensions (m²) et par nombre de projets.
Le secteur du datacenter est confronté à des enjeux immenses. Si la réussite future des projets Cloud en Chine dépendra surtout des business models et de la demande, le rapport nous explique que de nombreux obstacles politiques, commerciaux et techniques pèsent déjà sur les questions de disponibilité de la bande passante, d’accès réseau et d’alimentation électrique.
Certes le marché est porteur d’opportunités, mais seule la politique du gouvernement pourra apporter des changements favorables aux règles d’investissement et de participation des étrangers au marché. Le rapport fait état de théories toujours en circulation concernant des solutions potentielles risquant d’être sanctionnées.
Ce rapport est le premier à ce jour à proposer une analyse aussi complète de la stratégie Cloud et des déploiements de datacenters en Chine.
A l’occasion des Datacentres Europe 2013 organisés par BroadGroup les 29 et 30 mai 2013 à Nice, de nombreux représentants de l’industrie, d’utilisateurs de différents marchés verticaux et d’administrations gouvernementales du monde entier seront présents.
Entreprise

Challenge de sécurité autour de CerberHost

NBS System ouvre un challenge de sécurité autour de CerberHost, son Cloud de Haute Sécurité Ce concours est ouvert à tous : experts en sécurité, pentesteur, hacker de génie ou occasionnel, érudit en informatique et curieux de la sécurité – avec à la clé, des lots allant jusqu’à 5000 € !   NBS SYSTEM, société française fondée en 1999 et spécialisée d’une part dans l’hébergement et l’infogérance de serveurs et la sécurité informatique d’autre part, annonce l’ouverture d’un challenge de sécurité atour de CerberHost, son Cloud de Haute Sécurité lancée en octobre dernier. Ce challenge démarre le lundi 25 mars 2013 et s’achèvera le 21/06/2013. A la clé, jusqu’à 5000 € pour la première personne qui arrivera à pénétrer dans l’environnement de CerberHost (détails complets du concours plus bas).

A l’occasion de ce challenge, Philippe Humeau, CEO de NBS System déclare à Data Security Breach : « Nous ne voulons pas proposer une Cloud sécurisé « sur le papier », qui repose sur de la méthode Coué et un Powerpoint affirmant que « c’est sécurisé ». Après un investissement de R&D considérable, nous pensons que NBS System propose, au travers de CerberHost, l’offre d’hébergement la plus sécurisée à ce jour, et nous souhaitons le démontrer. Ce challenge vise donc à étrenner encore un peu plus nos systèmes déjà solidement testés. »

Qu’est ce que CerberHost ? CerberHost est le fruit de deux années de R&D et de plus de 10 ans d’expérience sur le marché de la sécurité informatique et notamment en matière de tests d’intrusion. Avec plus de 16 méthodes ou systèmes de protections différents, CerberHost a été conçue pour garantir une sécurité informatique proche des 99.9% aux sites Internet LAMP et bientôt Java. Cette particularité permet de rendre tous les sites LAMP pratiquement invulnérables aux attaques informatiques. Elle propose une infrastructure capable de résister aux attaques informatiques et résiliente aux pannes en assurant la sécurité physique, la logique et la redondance. Après des milliers d’attaques bloquées qui ont été lancées contre le site de Charlie Hebdo, protégé par CerberHost depuis septembre 2011, après un test d’intrusion menée par la société HSC sur une Damn Vulnerable Web Application, CerberHost reste inviolé à ce jour.

Mais, rien n’est impossible cependant et NBS System ne souhaite qu’une chose : aller plus loin.

Détails du CerberHost Spring Challenge (CSC)

Contenu du site à tester Le concours consiste à réussir une intrusion sur une plateforme d’entrainement pour les tests d’intrusions de type « Damn Vulnerable Web Application ». Ce logiciel est volontairement « troué » pour permettre de tester des outils, des candidats ou des méthodes d’intrusions et il contiendra de nombreuses failles de différents types. Le code source de ce site de test sera mis à disposition des participants qui pourront l’auditer en local, sur leurs machines. Celui en production sur le serveur de tests sera exactement le même. Paramétrage de la Sécurité de l’instance Toutes les couches de sécurité de CerberHost seront actives à l’exception du firewall à bannissement progressif. En effet CerberHost utilise un système de réputation d’IP qui bannie de manière progressive en dureté et dans le temps, le filtrage appliqué à une IP qui violent des règles de sécurité. Dans le contexte du concours, les IP enregistrées seront « whitelistées » et ne seront pas bannis comme le ferait normalement le système. Pour avoir un ordre d’idée, quand une IP scanne des ports, elle a un comportement anormal vis à vis de la plateforme hébergée et cette IP est progressivement bannie de plus en plus durement (en terme de durée notamment, mais aussi de range d’IP ou de type de réponse, reject, drop, tarpit, etc.) Au final, un tel dispositif à lui seul ralentirait considérablement des experts dans leur travail et ne présente pas spécifiquement d’intérêt dans le cadre de ce concours. Le DVWA sera paramétré en sécurité la plus basse (toutes les failles seront actives/ouvertes).   Pour le reste, l’instance CerberHost utilisée sera tout à fait standard, mais la méthodologie sera un peu moins « stricte » que celle dont les clients de NBS System disposent. Lors d’une mise en production « normale » d’un client CerberHost, NBS System effectue un audit rapide et met en place certaines règles spécifiques en plus des protections standards. Ici, le processus sera le même mais rien ne sera spécifiquement dédié à ce site, pas plus de protection ou de dispositifs particuliers, c’est même l’inverse car NBS System souhaite ouvrir le challenge et se mettre « dans la pire des situations possibles », avec un site troué et des défenses amoindries.

Durée du jeu

Le jeu se déroulera du 25/03/13 au 21/06/2013. En cas de victoire ou de victoire partielle d’un participant (voir définition ci-dessous), le jeu s’arrêtera lorsque la preuve de la victoire aura été apportée et validée par le Jury.

Jury

Le jury est constitué de : • Maître Diane Mullenex (associée du cabinet Ichay & Mullenex) • Nicolas Ruff (chercheur au sein de la société EADS) • Philippe Humeau (Directeur Général de la société NBS System) Le Jury validera les potentielles victoires des candidats.

Objectifs

Victoire Une victoire sera attribuée au 1er participant ayant :

•        Soit obtenu une invite de commande (« shell ») (non root) sur une des machines intermédiaires : Firewall, Reverse Proxy.

•        Soit créé un fichier dans le compte root de la machine hébergeant le site, nommé avec son ID et contenant son email de contact et l’adresse IP depuis laquelle l’intrusion sur le site a été réalisée. Ces conditions sont indépendantes : en remplir une est suffisant pour obtenir une Victoire. Une Victoire est unique et arrête le Jeu.

Victoire partielle Si une faille était trouvée sur le site, qui ne constituerait pas une Victoire mais permettrait : •        Soit de récupérer le contenu de la table « SECRET » qui est stockée dans la même base de données, sur la même instance de MySQL, que les autres données du site. La récupération devra être réalisée via l’exploitation d’une des injections SQL présente dans le site,

•        Soit d’arriver à exécuter du code PHP (via les vulnérabilités de file inclusion ou file upload présentes sur le site). Exemple : exécution d’un fichier PHP contenant un appel à ‘phpinfo’ et un ‘sleep’,

•        Soit d’arriver à réaliser un cross site scripting (ie. affichage du cookie dans un popup javascript), en exploitant une des vulnérabilités de cross-site scripting présentes sur le site,

•        Soit d’arriver à obtenir un « shell » non privilégié (non root) persistant sur la machine (via l’exploitation d’une vulnérabilité dans un démon tiers ou dans PHP)

Alors une Victoire Partielle serait accordée. Ces cinq conditions sont indépendantes. En remplir une est suffisant pour obtenir une Victoire Partielle. Une seule Victoire Partielle sera accordée par méthode d’attaque utilisée validant l’une des 5 conditions. Donc un participant utilisant la même méthode que celle d’une Victoire Partielle déjà effectuée (même si elle est encore en cours de validation par le jury), ne pourrait se prévaloir d’une Victoire Partielle.

Une Victoire Partielle n’arrête pas le Jeu. Les Victoires Partielles sont publiées dans un délai de 72 heures à compter de leur validation par le Jury.

Effort méritoire Si une faille était trouvée, qui ne constituerait ni une Victoire, ni une Victoire Partielle mais permettrait :

•        de compromettre des données ou de changer la page d’accueil du Site (defacing),

•        d’arriver à écrire dans le répertoire /challenge_ME, présent à la racine de la machine, dont le propriétaire sera l’utilisateur faisant tourner le démon Apache sur la machine.

Afin d’authentifier son Effort Méritoire, la personne devra écrire dans un fichier nommé avec son ID, son email de contact et l’adresse IP depuis laquelle l’intrusion a été réalisée. Alors un Effort Méritoire serait accordé.

Ces deux conditions sont indépendantes. En remplir une est suffisant pour obtenir un Effort Méritoire. Un seul Effort Méritoire sera accordé par méthode d’attaque utilisée validant l’une des 2 conditions. Donc un participant utilisant la même méthode que celle d’un Effort Méritoire déjà effectuée (même si elle est encore en cours de validation par le jury), ne pourrait se prévaloir d’un Effort Méritoire.

Un Effort Méritoire n’arrête pas le jeu. Les Efforts Méritoires sont publiés dans un délai de 72 heures à compter de leur validation par le Jury. Validité de la victoire, victoire partielle ou de l’effort méritoire. Ne seront considérés comme valides que des victoires, victoires partielles ou efforts méritoires qui seront effectués par des personnes enregistrées dans le concours avec le formulaire disponible et possédant leur ID. L’attaque ayant menée à la compromission devra être expliquée et reproductible. Le potentiel code source de l’attaque n’aura pas à être divulgué cependant.

Lots A une victoire serait attribué :

•        un prix de 5000 €

•        un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert

•        Une autorisation de la société à communiquer sous seing privé sur cette réalisation (par exemple sur un CV) La faille utilisée peut être expliquée sans être totalement révélée « techniquement »

A une victoire partielle :

•        un prix de 500 €

•        un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert

•        Une autorisation de la société à communiquer sous seing privé sur cette réalisation (par exemple sur un CV) La faille utilisée devra être révélée complètement.

A un effort méritoire :

•        Un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert derrière l’exploit. La faille utilisée devra être révélée complètement.  Limites & méthodes autorisées

Les DOS & DDOS n’ont pas leur place dans ces tests. NBS System cherche à évaluer la robustesse des barrières mises en place, pas à tester la capacité du réseau à absorber ou contrer des DDOS. Un autre test sera mené ultérieurement en ce sens avec plusieurs dizaines de Gb/s de trafic généré. Les CSRF et bruteforce applicatifs ne constituent pas non plus une possibilité de victoire ou d’effort méritoire. En effet, les CSRF impliquent un tiers et ne reposent donc pas seulement sur la plateforme NBS System et ses dispositifs de sécurité et ils ne sauraient garantir la sécurité des tiers. De même, les bruteforce applicatifs n’ont pas d’intérêt puisque les candidats disposeront du mot de passe pour accéder au DVWA. Les autres méthodes de compromission, techniques d’attaques (donc non physiques et non sociales), comme par exemple les  overflow, XSS, SQLi, etc. sont toutes acceptées. NBS System ne souhaite pas de menaces physiques sur son personnel, pas plus que de méthodes sociales qui déborderaient sur les vies privées de ses employés, d’où les limites posées. La seule machine qui peut être visée est celle hébergeant la DVWA, qui répond au FQDN suivant : challenge.cerberhost.com et à l’IP associée. Toute autre machine /IP / serveur / service est en dehors de la zone de test, sauf s’il s’agit d’une machine protégeant la machine challenge.cerberhost.com (son Firewall ou son Reverse Proxy). Aucune autre machine / service / IP du réseau NBS System ou de ses clients ne peut et ne devra être ciblée, sous peine de poursuites.

Identification & inscription des participants

Les participants peuvent être anonymes durant le concours, mais ils doivent fournir une adresse IP qui sera enregistrée dans le firewall de NBS System pour « alléger » les mesures de bannissement progressif. Le vainqueur devra lui être identifié avec nom & prénom pour recevoir son prix, cependant, son nom ne sera pas révélé s’il ne le souhaite pas. Ils doivent aussi fournir une adresse email valide qui servira aux échanges entre les équipes. Ces données sont privées et ne seront pas révélées, ci-dessous le formulaire d’inscription : Règlement complet et exact du concours.

Cyber-attaque, Particuliers

Attaque de masse : des milliers de données de Français piratées

6 commentaires

Un fichier malveillant réussi, en quelques heures, à voler des milliers de logins et mots de passe de Français crédules. Un pirate informatique a diffusé un fichier malveillant, en multi-urls, proposant de télécharger un logiciel de création de code StarPass. Bien évidemment, derrière ce pseudo programme, promu par des vidéos sur Youtube, ce cache un logiciel d’espionnage. Mission du « malveillant », intercepter les logins et mots de passe pouvant trainer sur les ordinateurs des victimes.

Le « fouineur », il utilise un email dixi7z@xxxx.ch a mis la main sur plusieurs milliers d’informations de Français : sites web, logins, emails, mots de passe. Par un tour de magie, la rédaction de Data Security Breach a pu mettre la main sur les données volées.

Zataz.com, via son protocole d’alerte, a  alerté l’ensemble des internautes touchés par cette infiltration malveillante. Plus de 700 personnes sont concernées avec des accès à des boutiques en ligne, des comptes Googles, Facebook, sites Internet, forums, accès wifi (SFR, FREE, …), clés Windows.

Banque, Cybersécurité, Piratage

Chine versus Corée du Sud ? Une banque tranche

La Corée du Sud est responsable du piratage ayant causé l’arrêt du réseau, et non la Chine. C’est ce qu’indique la presse Chinoise, depuis quelques heures. A l’image de CRJ Online, le message passé par Bjeing est assez clair. La Chine n’est pas responsable de l’attaque informatique à l’encontre de la Corée du Sud. « Le groupe formé par divers services sud-coréens, explique le communiqué de presse reçu à la rédaction de Data Security Breach, chargé d’enquêter sur la coupure du réseau internet de certains médias et banques, a indiqué le 22 mars que le code informatique malveillant ayant provoqué ces coupures était venu d’ordinateurs présents au sein de la banque sud-coréenne, et non d’ordinateurs de Chine. » Pour parfaire sa démonstration du « C’est pas moi, c’est quelqu’un d’autre », la Chine précise que ce code est venu d’une adresse IP privée.

Banque, Entreprise

Les sénateurs Français rejettent une sécurité bancaire

6 commentaires

Les Sénateurs Français viennent de rejeter un amendement qui devait imposer une sécurité efficace lors des transactions sur Internet. Les sénateurs et sénatrice M. BOCQUET, Mme BEAUFILS, M. FOUCAUD et les membres du Groupe communiste républicain et citoyen ont proposé un amendement qui aurait pu s’inclure dans le Projet de loi « Séparation et régulation des activités bancaires« .

Les trois sages proposaient que soit rajoutée, à l’article 18, une obligation de sécurisation de nos transactions bancaires. Le texte expliquait que cet amendement tend à généraliser l’adoption d’un dispositif de sécurisation des transactions de type 3D Secure, en particulier pour les paiements sur internet. 3D Secure est connu et reconnu. Alors que l’équipement de tous les professionnels en 3D Secure a permis au Royaume-Uni une baisse de 52 % de la fraude en 4 ans, la France est très en retard. L’équipement des commerçants ne progresse que lentement : 24 % des transactions fin 2012 contre 15 % en 2010. Seule la moitié des opérateurs l’ont adopté, mais il ne s’agit pas des principaux : la plupart des grands commerçants en ligne (Amazon, Fnac ou PriceMinister par exemple) se refusent à ajouter une étape au cours de la vente. « Cette situation n’est plus admissible, expliquent les 3 Sénateurs, surtout lorsqu’on constate l’efficacité de la sécurisation. » Les sites de jeux en ligne, qui l’ont adoptée, ont fait baisser leur taux de fraude de 59 % en 3 ans.

Un système d’authentification du client, utilisé lors de toute opération de paiement par téléphone ou par internet entre un particulier et un professionnel, est mis en place au plus tard le 1er janvier 2014. Ce système est commun à tous les professionnels, d’application obligatoire et basé sur un code non réutilisable. Un comité composé à parité de représentants des organismes bancaires, des professionnels de la vente à distance et des consommateurs est chargé de déterminer les modalités techniques de mise en place de ce dispositif. L’Observatoire national de la délinquance et des réponses pénales a publié en janvier 2013 un rapport accablant sur la hausse des fraudes à la carte bancaire sur internet. Fin 2012, un autre organisme, l’Observatoire de la sécurité des cartes de paiement, indiquait que le commerce à distance représentait 61 % de la fraude pour seulement  8,4 % des transactions. Il est donc crucial de prendre des mesures contre ce phénomène qui met en danger les consommateurs, mais aussi leur confiance dans le commerce en ligne.

Avec autant d’argument, les Sénateurs avaient de quoi comprendre l’importance de l’amendement. Devinez ce qu’ils ont décidé de faire ? Ils ont voté contre !

Cyber-attaque, Piratage

Piratage en Corée du Sud … même pas peur !

Les organisations sud-coréennes cibles de cyber-attaques ? DataSecurityBreach.fr a appris hier qu’une cyber-attaque aurait paralysé les réseaux informatiques de trois sociétés de radiodiffusion et de deux banques en Corée du Sud. Les réseaux de ces organisations auraient été « partiellement ou totalement bloqués » et certains services bancaires tels que les distributeurs automatiques de billets auraient également été touchés.

La cause de ces problèmes reste inconnue, et les autorités sud-coréennes « essaient actuellement de déterminer la cause de la paralysie du réseau ». Bien qu’aucun réseau informatique lié au gouvernement n’ait été affecté, les autorités ont indiqué que l’implication de la Corée du Nord n’avait pas encore été établie. Cependant, le porte-parole du Ministère de la Défense sud-coréen Kim Min-seok a déclaré : « Nous n’excluons pas la possibilité que la Corée du Nord soit impliquée ».

Jean-Pierre Carlin, Directeur régional pour l’Europe du Sud et Benelux chez LogRhythm, commente cette information à Data Security Breach. : « La Corée du Sud est l’un des pays les plus développés au niveau technologique et il est souvent décrit comme le territoire « le plus branché du monde ». En tant que tel, les organisations doivent absolument avoir une connaissance approfondie de leurs propres systèmes IT, pour s’assurer que leurs réseaux sont non seulement protégés de manière adéquate, mais que s’ils devaient être attaqués (ce qui semble inévitable vu le contexte actuel en matière de cybercriminalité), les éventuels dommages seraient efficacement limités en temps réel et les traces de cette attaque pourraient être clairement démontrées. »

La cause des problèmes de réseau survenus hier est encore floue et les systèmes ont été infiltrés au point d’en être « paralysés », ce qui indique que les organisations cibles ne disposaient pas la visibilité nécessaire pour contrôler efficacement leurs systèmes IT et pour identifier et corriger en temps réel tout comportement anormal sur leur réseau informatique. Les organisations doivent pouvoir surveiller en temps réel toutes les données de registre générées par l’ensemble de leurs appareils informatiques, lesquelles renferment toutes les traces d’activité sur le réseau informatique, afin de détecter et de réagir à tout comportement suspect ou non autorisé à l’instant même où il a lieu. Ces messages d’activité aident non seulement les entreprises à identifier un piratage avant que celui-ci ne puisse causer des dommages durables, mais fournissent également des preuves indiscutables permettant de comprendre comment et pourquoi ces attaques ont pu avoir lieu.

L’autre grave problème est qu’il reste énormément d’incertitudes quant à la provenance de cette attaque. Lorsque la source d’une cyber-attaque n’est pas confirmée, l’imputation peut souvent être erronée, et compte tenu des tensions diplomatiques actuelles entre le Sud et le Nord de la Corée, toute erreur de jugement pourrait avoir des conséquences militaires indésirables. Une analyse plus approfondie de la faille s’avère donc nécessaire, mais celle-ci ne pourra être réalisée à l’aide de solutions de sécurité traditionnelles comme des anti-virus ou des pare-feux. Une stratégie de sécurité IT globale, se concentrant sur la surveillance continue des réseaux informatiques, offrira la visibilité réseau et le discernement de mise pour une telle analyse. Ce niveau élevé de visibilité réseau est primordial pour permettre aux organisations de contrecarrer efficacement les cyber-attaques et de retrouver leurs véritables auteurs.

Les pirates, derrière une attaque somme toute TRES classique se font appeler “Whois Team”. Les barbouilleurs ont affiché de jolies têtes de morts. A première vue, les pirates auraient utilisé un « outil » qui aurait automatisé l’attaque. Nous sommes loin d’une attaque de type Stuxnet ou Wiper. Les pirates semblent avoir cherché la publicité. Bref, ça sent le script-kiddies. Fermé le ban !

Entreprise, Propriété Industrielle

Trademark ClearingHouse

Noms de domaine personnalisés : La « Trademark ClearingHouse » au secours des titulaires de marques à partir du 26 mars 2013. Le lancement des nouvelles extensions personnalisées (.PARIS; .SKI; .SNCF) dont la presse s’est largement fait l’écho, est imminent. Plus de 1000 demandes devraient être acceptées cette année qui s’ajouteront aux extensions actuelles génériques (.com, .net, etc.) et régionales (.fr, .eu, etc.), et dans lesquelles des noms de domaine pourront être réservés.

La protection des marques contre le cybersquatting sera, davantage encore, un véritable enjeu stratégique pour les titulaires de droits. Dans cette perspective, l’ICANN a mis en place un mécanisme de protection des droits par la création d’une base de donnée, appelée Trademark ClearingHouse (TMCH), qui sera accessible à partir du 26 mars aux titulaires de marques, sous réserve d’une inscription préalable. La TMCH est un système de déclaration et de veille entre marques antérieures et réservations postérieures de noms de domaine sous les nouvelles extensions.

L’intérêt de l’inscription des marques dans la TMCH est double : – Seule l’inscription d’une marque dans la base permettra de participer aux périodes de réservations prioritaires dites « Sunrise », qui devront être proposées par les Registres pour chaque nouvelle extension. En d’autres termes, le titulaire d’une extension personnalisée, ex: .PARIS ou .SHOP, sera tenu de donner la priorité sur la réservation du nom de domaine au titulaire de la marque antérieure déclarée, ex: www.loreal.paris ou encore www.lacoste.shop.

– Les candidats à la réservation d’un nom de domaine seront, le cas échéant, informés de l’existence d’une marque antérieure inscrite au sein de la TMCH. De leurs côtés, les titulaires de marques seront également informés de la réservation du nom de domaine identique à leurs droits et pourront éventuellement s’y opposer par le biais d’une nouvelle procédure simplifiée de règlement des litiges appelée : Uniform Rapid Suspension (URS). Outre le paiement de taxes et d’annuités, plusieurs conditions sont requises pour le choix, l’inscription et le maintien des marques au sein de la Trademark Clearinghouse, qui nécessiteront un véritable accompagnement personnalisé par le Conseil en propriété industrielle. (William Lobelson et Julien Fialletout, Juriste Conseil en Propriété Industrielle pour DataSecurityBreach.fr)

Android, Cybersécurité, Entreprise, Logiciels, Piratage, Smartphone, Virus

Malware NotCompatible : le retour

En mai 2012, Data Security Breach revenait sur l’annonce de Lookout avec l’apparition de NotCompatible, un programme malveillant diffusé par des sites web piratés. Une fois installé, NotCompatible fait office de serveur proxy, permettant à l’appareil qui l’héberge d’envoyer et de recevoir des données relatives au réseau. Pour la première fois, des sites web piratés ont servi de tremplin pour cibler et contaminer des appareils mobiles spécifiques. Depuis les premiers cas mis au jour, nous avons détecté une activité de NotCompatible faible à modérée par moments, avec des pics. La situation est toute autre depuis plusieurs jours : le réseau de surveillance de Lookout concernant les menaces mobiles (Mobile Threat Network) a détecté une hausse soudaine du nombre de cas qui atteint 20 000 par jour entre dimanche et lundi dernier.

Les nouveautés

NotCompatible n’a guère changé sur le plan de ses capacités techniques et de sa conception depuis les premiers cas décelés, en mai 2012. C’est en revanche son mode de diffusion qui diffère désormais : le programme circule principalement via des messages spam envoyés par des comptes de messagerie Email piratés.

Android dans le collimateur

Les premières campagnes d’infection de NotCompatible visaient spécifiquement les utilisateurs d’appareils sous Android, en repérant la présence d’un en-tête (header) contenant le mot « Android » dans le navigateur : sa détection commandait alors le téléchargement du programme malveillant. Désormais, les liens contenus dans le spam en question utilisent une tactique semblable. La tactique est similaire dans les nouveaux cas. En cliquant sur un lien présent dans un spam, sous Windows, iOS et OSX, l’utilisateur est redirigé vers un article prétendument publié sur Fox News relatif à la perte de poids.

Si l’on clique sur le lien à partir d’un appareil sous Android, le navigateur redirige vers un « site de sécurité pour Android », en vue d’une mise à jour. En fonction de sa version d’Android et du navigateur, l’utilisateur peut être poussé à effectuer un téléchargement, à son insu dans un grand nombre de cas. DataSecurityBreach.fr vous explique souvent ce tour de passe-passe via des kits pirates. Le programme se glissera alors dans le dossier des téléchargements. Dans le cas de Chrome, l’utilisateur verra s’afficher une demande de confirmation du téléchargement.

C’est le cas pour une écrasante majorité des cas détectés lors du récent pic d’activité. Le programme a été installé dans seulement 2 % des cas. Comment s’en prémunir ?  Evitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam.

·        Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.

·        Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement.

·        Téléchargez une application de protection mobile qui passe au crible les contenus à la recherche de programmes malveillants éventuels.

Cybersécurité, Entreprise, Hacking, Particuliers

Laisserez-vous disparaitre la protection de vos données ?

La commission des « affaires juridiques » (JURI), menée par Marielle Gallo (France – EPP), vient de voter son avis sur la nouvelle législation relative à la protection des données proposée par la Commission européenne. Avec ce dernier vote pour avis, légèrement moins catastrophique que les précédents, le Parlement européen affaiblit une fois encore la protection des données personnelles des citoyens européens. Les membres des quatre commissions ayant exprimé leur avis ont choisi de se ranger aux côtés des multinationales américaines qui, comme Facebook et Google, collectent, traitent et vendent des données concernant nos vies quotidiennes. La mobilisation citoyenne commence doucement à porter ses fruits, mais doit encore s’intensifier avant le vote crucial de la commission principale « libertés civiles » (LIBE) – actuellement prévu pour les 24-25 April, mais probablement reporté.  ***

Une fois encore, Marielle Gallo (France – PPE) a choisi de protéger les intérêts de l’industrie plutôt que les droits des citoyens, et a conduit la commission « affaires juridiques » (JURI) à voter un avis appelant à affaiblir la protection de la vie privée des citoyens dans la proposition de règlement de la Commission européenne. Des amendements déposés par Marielle Gallo et ses collègues conservateurs (soutenus par les membres du groupe libéral (ALDE)) proposent par exemple d’autoriser les entreprises à traiter les données personnelles des citoyens et à les transmettre à des tiers qui pourront ensuite en faire ce qu’ils voudront, dès lors qu’ils invoqueront un « intérêt légitime » [1]. D’autres amendements adoptés aujourd’hui introduisent toutes sortes de failles juridiques, et invitent par exemple le Parlement européen à autoriser le traitement des données personnelles même lorsque l’objectif de ce traitement est incompatible avec celui décrit lors de la collecte des données [2].

Ainsi, ce vote s’inscrit dans la lignée de ceux des commissions « consommateurs » (IMCO) de janvier [3], et de ceux des commissions « industrie » (ITRE) et « emploi » (EMPL) de février [4], qui reprenaient un grand nombre des demandes des lobbies de l’industrie, et menaçaient les protections proposées par la Commission européenne.

Cependant, ce vote, au même titre que les trois précédents, n’a pas de portée législative. Le prochain vote à en avoir un sera celui de la commission principale « libertés civiles » (LIBE), prévu pour fin avril mais probablement reporté, et qui déterminera réellement si l’Union européenne choisira de laisser à ses citoyens le contrôle de leurs données, ou si elle choisira de copier le modèle américain dans lequel les sociétés peuvent collecter, traiter, stocker et vendre les données personnelles des citoyens sans aucune contrainte.

Le vote d’aujourd’hui a pourtant été légèrement moins catastrophique que les précédents, et démontre que les membres du Parlement européen sont sensibles à la mobilisation citoyenne et à la pression médiatique, et qu’ils protégeraient notre droit à la vie privée si nous les y poussions. Avant le vote de la commission LIBE, les citoyens doivent donc renforcer la mobilisation et continuer à contacter leurs députés européens.

« Les enjeux cruciaux liés à notre vie privée et à l’économie numérique se joueront au sein de la commission principale « libertés civiles ». Les citoyens peuvent mettre leurs élus face à leurs responsabilités en se mobilisant et en exigeant que Facebook, Google et les autres géants du Net n’aient pas un accès « Open Bar » à nos données personnelles. Nous devons garder le contrôle de nos données, afin de garder le contrôle de notre vie en ligne. Tout se jouera à partir de maintenant et jusqu’aux élections européennes. » déclare Jérémie Zimmermann, porte-parole de l’association La Quadrature du Net.

* Références * 1. Am. 24 déposé par Marielle Gallo (France – EPP)

2. Am. 144 déposé par Klaus-Heiner Lehne (Allemagne – EPP)

3. https://www.laquadrature.net/fr/vie-privee-les-entreprises-us-gagnent-en-commission-consommateurs-au-parlement-europeen

4. https://www.laquadrature.net/fr/la-vie-privee-des-citoyens-menacee-dans-les-commissions-parlementaires-europeennes

Cybersécurité, Entreprise, Hacking, Logiciels, Piratage

Certification DSD du gouvernement australien

Good for Enterprise aide les départements du gouvernement à minimiser les risques liés à la cyber-sécurité puis à tirer un meilleur parti de leurs appareils iOS.

Good Technology™, le leader des solutions sécurisées de mobilité d’entreprise, annonce aujourd’hui que Good for Enterprise™ (GFE) est devenue la première solution de sécurité mobile utilisant un conteneur à être certifiée par l’organisme Defence Signals Directorate (DSD) du gouvernement australien. Cette certification, DSD Cryptographic Evaluation (DCE) certification1, permettra aux appareils iOS sécurisés avec Good for Enterprise de communiquer et de stocker des informations classifiés jusqu’au niveau ‘Protected’.

« La certification du niveau de sécurité ‘protected’ est le Saint Graal », a commenté à data security Breach Kevin Noonan, Ovum Public Sector Research Director. « A travers cette large palette de fonctionnalités qu’offre Good, telles que l’accès aux e-mails, au calendrier, aux contacts, à l’intranet et le visionnage des documents, il sera beaucoup plus facile de répondre à la majorité des besoins des professionnels dans la plupart des agences gouvernementales australiennes. »

La DSD est une agence de renseignements du Ministère de la Défense australien. La DSD fournit des recommandations et des services de sécurité principalement aux agences fédérales et gouvernementales australiennes. La DSD travaille également en étroite collaboration avec les industriels pour développer et déployer des produits cryptographiques sécurisés.

« En tant que ministère rattaché au CommonWealth, nous avons des exigences élevées concernant la protection et la sécurisation des informations du gouvernement » a declaré à Datasecuritybreach.fr Al Blake, Chief Information Officer, au Département d’Etat du Développement Durable, de l’Environnement, de l’Eau, de la Population et des Collectivités. « En déployant Good, avec son conteneur chiffré, cela permet aux utilisateurs finaux d’utiliser l’appareil mobile de leur choix, ce qui minimise les frais de gestion des terminaux tout en ayant le niveau de sécurité élevé dont nous avons besoin pour les informations gouvernementales. Le déploiement a été un énorme succès et a permis d’augmenter considérablement la connectivité du personnel et la flexibilité au travail. »

En plus de la solution GFE récemment certifiée, les solutions de Good fournissent une plateforme de mobilité complète au gouvernement. Bien que DSD l’ait certifié pour iOS, GFE prend également en charge Android et Windows Mobile. Les ministères australiens peuvent également bénéficier du meilleur des applications développées par des éditeurs tiers, comme des éditeurs de documents, SharePoint, toutes sécurisées par la plateforme de développement d’applications de Good, Good Dynamics.

En outre, Good Dynamics permet aux utilisateurs de créer et de déployer leurs propres applications sous iOS, enrichissant ainsi l’expérience utilisateur et améliorant la productivité tout en assurant la sécurité des données.

La certification par la DSD du conteneur sécurisé de Good Technology permet aux ministères d’utiliser de manière bien plus productive leurs terminaux iOS, sans faire de compromis sur la cyber-sécurité. La principale exigence pour les organisations du secteur public devrait être de minimiser le risque de compromission des données, telles que des fuites depuis des terminaux ou des réseaux.

La solution de Good Technology de gestion des périphériques mobiles (MDM) offre non seulement une solution complète sécurisé de bout en bout, mais fournit également aux administrateurs la possibilité de surveiller, de gérer et d’aider les utilisateurs d’iOS. Le support technique peut rapidement résoudre les problèmes, et donne une vision complète de tous les appareils iOS déployés au sein d’un département grâce au tableau de bord. A tout moment et de n’importe où, les administrateurs peuvent protéger les réseaux et les données en bloquant l’accès à partir des appareils ‘jailbreakés’, et en effaçant à distance les smartphone et tablettes volés ou perdus.

 

1 : Common Criteria (CC) certification is ongoing

Cybersécurité, Entreprise, Logiciels, Particuliers

Smartphone quasi indestructible

La perte de données peut aussi se dérouler après la chute de son portable. Imaginez, sur les pistes, et … paf! … e portable termine sa course contre un sapin. Cet hiver, la neige était au rendez-vous et bon nombre d’utilisateurs de smatphones sont encore sur les pistes à profiter du sport de glisse préféré des français. Avec la croissance effrénée des nouvelles technologies, rester connecter même sur les pistes, devient un jeu d’enfant. Mais qu’en est-il des chutes à grande vitesse lorsque son smartphone dernier cri est dans la poche de sa combinaison ? Températures extrêmes, chutes ou encore neige qui s’insinue partout, beaucoup de smartphones ne tiennent pas le choc face aux conditions hivernales. Caterpillar lève le voile sur son nouveau mobile idéal pour la saison du ski : le Cat B15.

A toutes épreuves

• Protéger des chutes : L’appareil est protégé par de l’aluminium anodisé argent et un caoutchouc absorbant les chocs.

• Waterproof : Le Cat B15 est certifié IP67. Ce standard industriel signifie que le dispositif est étanche, capable de résister à l’immersion dans un mètre d’eau pendant 30 minutes. Pas de problème d’utilisation lorsque les mains sont mouillées.

• Résistance aux températures extrêmes : Le Cat B15 fonctionne par des températures allant de -20º C à +55º C. Il est donc protégé de la neige mais également du sable pour les vacances d’été !

Cybersécurité, Entreprise, Logiciels, Particuliers, Piratage, Virus

Qui connaît son ennemi comme il se connaît…

Cette citation de Sun Tzu, issue de l’Art de la Guerre et écrite dès le Vème siècle avant Jésus-Christ, continue d’inspirer nombre de stratégies militaires ou commerciales, mais ne vaut que si l’on considère l’ensemble du constat : « Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux. Que dire de ceux qui ne se connaissent pas plus que leurs ennemis ? ». Par Eric Soares, Vice-président France de Symantec pour Data Security Breach.

Les entreprises et les gouvernements ont-ils conscience de la multiplication des cyber-menaces ? Les plus connues d’entre elles  ne cessent de baisser : seules 4 % d’entre elles sont des virus ; le taux de spam a baissé de plus de 30 % sur les douze dernier mois. Ces « vieilles » menaces sont connues des individus, des entreprises et des gouvernements, qui se sont, au cours des années équipés pour les contrer. Néanmoins, les attaques malveillantes avaient augmenté de 81 % en 2011, les attaques web de 36 % et le nombre de variantes uniques de code malveillant atteignait les 403 millions, des tendances qui n’ont cessé de s’affirmer depuis, avec le succès dont on entend trop souvent parler hélas. Les entreprises et gouvernements doivent en outre faire face à l’augmentation des attaques ciblées, qui touchent non seulement les dirigeants, mais également les différentes fonctions de l’organisation ouvertes sur l’extérieur. Il convient également de tenir compte des attaques visant la production-même des entreprises ou leur fonctionnement, telles que le désormais très connu Stuxnet ou la plus discrète Narilam, qui modifiait des bases de données comptables. Enfin, à ces menaces externes viennent s’ajouter les risques internes : selon une étude récente menée avec le Ponemon Institute, 60 % des employés ont déclaré prendre des données appartenant à leur employeur lorsqu’ils le quittent.

Qu’elles soient internes ou externes, les entreprises tout comme les gouvernements doivent non seulement avoir conscience mais également la connaissance des cyber-menaces qu’elles doivent affronter.

Le périmètre des risques doit également être réévalué. Il y a encore quelques années, les systèmes d’information étaient limités aux ordinateurs et serveurs se trouvant dans les murs des organisations. La moitié de leurs données se trouvent désormais en dehors de leur pare-feu. Aujourd’hui le développement du cloud et celui de la mobilité, séparément et conjointement, sont certes porteurs de nouvelles opportunités pour les entreprises et les gouvernements, mais signifient également  une multiplication des points d’entrée pour les menaces et nécessite une approche in-extenso de la sécurité.  Celle-ci est en effet l’une des premières préoccupations des entreprises qui transfèrent tout ou partie de leur capital informationnel vers le cloud. C’est également une opportunité majeure de sécurité accrue… à condition de s’être assuré que ce même cloud, qu’il soit privé, public ou hybride, répond aux exigences de sécurité et aux obligations réglementaires les plus rigoureuses.

Le développement des terminaux mobiles à usage professionnel n’est évidemment pas un phénomène que l’on peut contrer, mais qu’il convient d’accompagner, là encore, afin de protéger au mieux les informations de l’entreprise. Aujourd’hui, 23 % des collaborateurs accèdent aux informations de l’entreprise via un appareil mobile. Il s’avère donc nécessaire de renforcer les politiques de sécurité, dont les niveaux doivent varier selon le propriétaire du terminal, et bien sûr de son utilisation.

Les organisations doivent donc tenir compte de ces nouveaux développements dans leur approche de la sécurité de leurs données, ou d’intégrer cette dernière dès la phase initiale de leurs projets de cloud et de mobilité la dimension sécurité. Mais est-ce toujours le cas ?

Les défis à relever sont particulièrement nombreux pour être « cyber-ready » et assurer la cyber résilience d’une organisation. Le risque 0 n’existe certes pas, mais il convient  d’apprendre et de comprendre la multiplication et les différents types de cyber-menaces ainsi que les nouveaux périmètres à considérer, pour assurer une protection optimale et maximale des informations.

Cybersécurité, Entreprise, Hacking, Logiciels, Particuliers, Piratage, Virus

Astuces pour protéger les données de votre entreprise

Soyez attentifs ! Quelques astuces pour garder les données de votre entreprise à l’abri de l’intérêt de personnes mal intentionnées. Par Wieland Alge, pour Data Security Breach, Vice président Europe – Barracuda Networks.

Pour les informations importantes, n’utilisez que des sources que vous savez être sûres. De manière générale, ne faites pas confiance à un tiers si vous n’avez pas été l’auteur du premier contact. Si votre banque vous téléphone et vous demande des informations spécifiques, évitez de les donner. À la place, il vaut mieux que vous contactiez vous-même votre banque en utilisant les numéros de contact que vous savez être sûrs. Ils sont généralement inscrits au dos de votre carte bancaire ou sur le site internet de votre banque.

Ayez le même réflexe avec vos emails.

Au lieu d’utiliser les URL contenues dans vos emails pour vous assurer qu’elles renvoient bien aux bonnes adresses, il est préférable de ne pas cliquer sur ces liens, car il est toujours possible de tomber dans un piège. Les emails provenant de Paypal ou d’organismes similaires doivent être ignorés. À la place, rendez-vous sur le site internet de l’organisme en question en tapant manuellement l’URL dans votre navigateur, puis connectez-vous à votre compte. S’il y a réellement quelque chose que vous devez savoir, cela sera très clairement indiqué après votre connexion.

Mettez au point une technique d’interrogatoire.

La mise en place de ce genre de technique au sein d’une entreprise est contre nature et peut demander des efforts, mais elle permet également de stopper une grande partie des attaques et de résoudre certains problèmes organisationnels. Il faut régulièrement demander à tous les employés, nouveaux comme anciens, de présenter un badge lorsqu’ils souhaitent accéder à une zone sensible ou à des données importantes. Ils doivent savoir qu’ils sont responsables de leur badge et de l’utilisation qu’ils en font. Cette technique permet également de stopper les employés qui s’accordent plus de permissions sans y être autorisés. Félicitez publiquement ceux qui signalent les problèmes éventuels et qui prennent des mesures pour les corriger, et récompensez-les si possible.

Gardez des rapports d’entrée et de sortie pour les zones sensibles.

Assurez-vous que les employés comprennent que ce n’est pas parce qu’une personne est haut placée dans la hiérarchie de l’entreprise qu’elle peut transgresser les règles.

Méfiez-vous de ceux qui s’intéressent trop à votre entreprise.

si vous les avez rencontrés dans le bar ou le café du coin : ce ne sont probablement que des commerciaux, mais il pourrait aussi s’agir d’escrocs. Vous ne perdrez généralement pas grand-chose à éviter ces deux types de personnes.

Ayez conscience que la technologie et la nature humaine ont leurs limites.

Malheureusement, les configurations techniques en matière de sécurité ont toujours des limites. Une fois que vous l’aurez compris, cela pourra vous aider à prévenir les attaques. Dans le meilleur des cas, les paramètres ne sont juste pas assez suffisants, et même avec des programmes adéquats et des contrôles d’accès, la sécurité est à la merci de l’utilisateur : intermédiaire à la fois le plus fort et le plus faible.

Quelques conseils de Datasecuritybreach.fr pour les entreprises afin d’éviter les vols de données sur les différents réseaux de communication :

Téléphone :

1.   Ne donnez jamais à personne vos mots de passe de sécurité.

2.   Ne divulguez jamais les informations sensibles de votre entreprise, à moins que ce ne soit à une personne que vous connaissez dans la vraie vie et qu’il ou elle ait une autorisation. Même pour les appels des personnes qui déclarent vouloir joindre le patron de votre entreprise, il vous faut vérifier l’identité de l’appelant avec les protocoles de sécurité de l’entreprise.

3.   Donnez l’alerte si vous entendez un de vos collègues transgresser les règles précédentes.

Internet :

4.   Soyez toujours prudents avec les URL des pages internet et des emails. Avant de cliquer sur un lien, passez votre souris dessus pour vous assurer qu’il renvoie à la bonne adresse, ou tapez l’URL manuellement dans votre navigateur.

5.   Soyez vigilants face aux emails inhabituels dans votre boite de réception. Si vous y répondez, revérifiez le contenu de votre email et de votre liste de destinataires CC.

En personne :

6.   Demandez toujours aux employés de présenter leur badge d’identité lorsqu’ils entrent sur le lieu de travail.

7.   Utilisez des badges d’identité temporaires pour les visiteurs, les amis, le personnel de service et de distribution ; et raccompagnez-les à chaque fois.

8.   Formez vos employés afin qu’ils aient les connaissances appropriées en matière de sécurité, et plus particulièrement ceux qui sont les cibles les plus faciles à atteindre comme le personnel de l’accueil, du service client ou du service commercial.

Cybersécurité, Entreprise, Particuliers

Rentabiliweb atteint le plus haut degre de securite en matiere de transactions bancaires

Be2bill, solution spécialisée dans le paiement en ligne éditée par Rentabiliweb Europe, est le premier établissement acquéreur en France à être certifié « Merchant Agent » et la troisième société française à se voir délivrer cette certification de tiers de confiance par VISA, premier réseau mondial. En effet, les réseaux bancaires imposent désormais aux commerçants, pour continuer à garantir leurs transactions, de travailler exclusivement avec des opérateurs agréés comme Be2bill.

Par ailleurs, Rentabiliweb Europe annonce le renouvellement et l’extension de sa certification PCI DSS (Payment Card Industry Data Security Standard) au niveau 1 Service Provider, soit le plus haut niveau d’exigence en matière de sécurité informatique sur le traitement des données bancaires. Largement répandu dans les pays anglo-saxons et de plus en plus en France, le standard PCI DSS est avant tout une mesure de protection des données bancaires pour tous les sites marchands et fournisseurs de solutions de paiement qui traitent, transportent et stockent des données de cartes bancaires.

Etre conforme au standard PCI DSS, ou passer par un prestataire de services de paiement (PSP) certifié, affranchit le marchand de sa responsabilité sur le traitement des données bancaires, notamment en cas de point de compromission (POC) avéré. Dans un environnement PCI DSS, le marchand ne risque plus de subir les pénalités, souvent très lourdes, de la part des réseaux interbancaires (VISA, Mastercard, GCB).

Obtenir la certification PCI DSS est un processus lourd, contraignant et chronophage pour les commerçants. Grâce à la solution de paiement Be2bill, les marchands confient la sécurisation de leurs transactions à un tiers de confiance certifié au plus haut niveau. Be2bill gère en effet 100% du processus de traitement des données bancaires, en assume l’entière responsabilité et permet à ses clients de se consacrer entièrement au développement de leur activité.

En tant que PCI DSS service provider niveau 1, Rentabiliweb Europe se soumet à un audit de conformité rigoureux effectué par un organisme indépendant et reconnu, le Qualified Security Assessor (QSA). Rentabiliweb s’appuie sur une référence française en matière d’audit de sécurité informatique : Hervé Schauer Consultants. Les audits de contrôle seront trimestriels et porteront sur la fiabilité du réseau, l’analyse des règles de configuration, l’absence de failles de sécurité, etc. Ils seront réalisés par un Approved Scanning Vendors : Qualys.

L’extension du certificat PCI DSS au plus haut niveau de sécurité, au-delà des bénéfices qu’elle apporte au groupe et à ses clients, est une étape indispensable pour Rentabiliweb dans la préparation de son dossier d’établissement de crédit. « Depuis 10 ans nous travaillons non seulement à la mise en conformité, mais également à la définition de nouveaux standards de sécurisation des datas. La certification PCI DSS, qui a porté sur 12 exigences et plus de 120 points de contrôle, récompense les investissements humains et techniques que nous avons massivement déployés au cours des 20 derniers mois précise à datasecuritybreach.fr Romain Pera, Directeur technique de Rentabiliweb Europe. « Je m’étais engagé à amener le groupe Rentabiliweb au plus niveau technique en termes de traitement de données sensibles, afin de servir nos clients e-commerçants les plus exigeants. C’est chose faite.» indique à Data Security Breach Jean-Baptiste Descroix-Vernier, président du groupe Rentabiliweb.

*La norme PCI DSS est prescrite par les principaux fournisseurs de cartes de paiement. Elle détermine les règles et processus à respecter par les entreprises qui traitent, transportent et stockent des données de cartes bancaires.

Cybersécurité, Entreprise, Particuliers

Aux calendes grecques la protection des données

Après les Commission du Marché intérieur et de l’Industrie, c’était au tour de la Commission des Affaires juridiques de se prononcer sur la proposition de la Commission européenne. En adoptant aujourd’hui l’avis Gallo (14 voix pour, 6 contre, 1 abstention), la Commission des Affaires juridiques a vidé encore un peu plus de son contenu la proposition de la Commission européenne visant à renforcer la protection des données personnelles. L’eurodéputée socialiste Françoise Castex dénonce, auprès de Datasecuritybreach.fr, le compromis de l’UDI Marielle Gallo avec les ultralibéraux: « le résultat de cette alliance est déplorable pour le consommateur et fait le jeu des géants Google et autres Facebook. Marielle Gallo, qui se prétend depuis des années le héraut de l’identité culturelle française, a sacrifié les données personnelles des citoyens européens sur l’autel des multinationales américaines (…) Comment peut-on être arc-bouté sur les droits de propriété intellectuelle et être aussi hermétique au droit à disposer de ses données personnelles ? Mme Gallo n’aime décidemment pas les internautes!« , ironise-t-elle.

Pour le Vice-présidente de la Commission des Affaires juridiques: « Nous devons renforcer les droits des citoyens si nous voulons restaurer leur confiance dans les entreprises sur internet. La droite, qui avait soutenu la résolution du Parlement du 6 juillet 2011 sur le renforcement de la protection des données, à cédé aux sirènes des lobbyistes et fait marche arrière! Force est de constater qu’elle n’a pas eu le courage d’imposer les règles claires et protectrices qu’elle appelait de ses vœux il y a à peine deux ans. C’est déplorable!« 

Pour l’eurodéputée socialiste, « Nous devons exiger un consentement explicite, préalable et informé de l’utilisateur pour chaque acte de collecte, de traitement ou de vente de ses données. Il nous faut par ailleurs protéger les citoyens de toute forme de discrimination résultant des mesures de profilage en encadrant strictement ce dernier. Pour ce faire, nous devons sanctionner lourdement les entreprises dans les cas d’abus et les mettre devant leurs responsabilités en cas de négligences conduisant à la fuite de données personnelles. » Avant de conclure: « Garder la maîtrise de ses données personnelles doit être un droit fondamental. »

Cybersécurité, Entreprise, Piratage

Bouleversements sécuritaires en 2013 ?

L’Internet que nous connaissons existera-t-il encore dans quelques années ? Est-ce un bouleversement sur « Qui contrôle Internet » ? La découverte d’une nouvelle épidémie de malware Mac ? Une attaque de type DDoS des Smart TV? Peu importe ce que nous réserve 2013, il est certain que ce sera une année charnière. Voici ce que le F-Secure Labs prévoit à DataSecurityBreach.fr pour l’année à venir.

1.       Et si c’était la fin d’Internet tel que nous le connaissons ? « Selon les échanges survenus lors de la World Conference on International Telecommunications (qui a eu lieu en décembre à Dubaï), 2013 devrait être une année riche en évènements », déclare Sean Sullivan, Security Advisor chez F-Secure Labs à Data Security Breach. Cette conférence pourrait avoir un impact majeur sur Internet tel que nous le connaissons aujourd’hui: « Internet pourrait se morceler en une série de petits Internets », avance Sean Sullivan. « Il est aussi possible qu’Internet devienne un espace financé par des grands groupes de fournisseurs de contenus, tels que Facebook, Google ou Youtube. Et que ceux-ci imposeraient des taxes aux internautes souhaitant accéder aux informations qu’ils proposent. »

Le WCIT (World Congress on Information Technology) est une conférence organisée par l’International Telecommunication Union (ITU) pour finaliser le traité des « International Telecommunications Regulations ». Parmi les participants, on trouve des représentants des gouvernements de tous les pays, dont de nombreux opposants à une utilisation libre d’Internet. Il s’agit notamment de régimes gouvernementaux qui aimeraient reprendre le contrôle d’Internet, actuellement aux mains des « geeks », explique Sean Sullivan à DataSecurityBreach.fr. De nouvelles mesures ont même déjà été proposées, avançant des raisons de sécurité. Toutefois, les défenseurs de la vie privée estiment que ces mesures entraineraient la fin de l’anonymat sur Internet.

2.       Des fuites nous révèleront une augmentation des outils d’espionnage financés par les gouvernements « Il est clair que depuis les dernières fuites liées à Stuxnet, Flame et Gauss, la course aux cyber-armement est belle et bien lancée », déclare Mikko Hypponen, Chief Research Officer. Même si nous ne serons pas toujours au courant des cyber-opérations lancées par des états-nations, nous pouvons nous attendre à ce que ces activités soient de plus en plus utilisées par les gouvernements. En 2013, il est fort probable de voir une augmentation de telles fuites, y compris en provenance de pays qui n’ont jamais été à l’origine d’attaques à ce jour. Avec le lancement d’une véritable course à l’armement, les fuites ne cesseront d’augmenter.

3.       L‘utilisation des malware mobile se démocratisera Android s’est développé comme aucun autre système d’exploitation par le passé, passant des smartphones aux tablettes puis aux Smart TV. Et plus un système d’exploitation se généralise, « plus il est facile de créer des malware performants, et plus il y aura d’opportunités pour les criminels de mettre en place des activités lucratives » déclare à Data Security Breach Sean Sullivan. Les malware ciblant les mobiles seront facile d’accès, grâce à des kits d’outils créés et vendus par des cybercriminels spécialistes du hack à d’autres criminels, non experts. En quelques sortes, des « malware-as-a-service », pour Android.

4.       Une autre épidémie de malware frappera l’univers du Mac Le scareware appelé Mac Defender fut propagé en 2011 ; En 2012, Flashback profita des failles de Java. Pour 2013, le Labs prévoit la découverte d’une autre épidémie de malware Mac qui devrait faire des ravages au sein de la communauté Mac. « L’auteur du Cheval de Troie FlashBack est toujours en fuite. Il paraîtrait même qu’il serait en train de travailler sur une nouvelle offensive» estime Sean Sullivan à Data Security Breach . « Malgré les améliorations en sécurité apportées à Mac OS, une partie des utilisateurs Mac continue de rester inconsciente des risques encourus, ce qui les rend vulnérables face aux nouveaux malware. »

5.       Les Smart TV deviendront une nouvelle cible pour les hackers Les Smart TV sont connectées à Internet. Elles sont très puissantes mais ne sont généralement pas sécurisées… et deviennent donc vulnérables aux attaques. Elles sont d’autant plus vulnérables que, contrairement aux ordinateurs, elles sont souvent connectées à Internet sans le nécessaire pour empêcher le trafic indésirable. Par ailleurs, les consommateurs oublient souvent de changer le nom d’utilisateur et le mot de passe par défaut, ce qui facilite l’accès aux hackers. « C’est très facile pour les hackers de rechercher et trouver les Smart TV sur Internet, » dit à Datasecuritybreach.fr Sean Sullivan. « Une fois trouvées, ils n’ont plus qu’à utiliser le nom d’utilisateur par défaut et le mot de passe de la TV en question, et le tour est joué. » En 2012, une famille de malware, LighAidra, a infecté des décodeurs. En 2013, les Smart TV pourraient être utilisées pour des fraudes utilisant les clicks (le Bitcoin mining) ou encore des attaques de type DDoS.

6.       Les logiciels espions pour mobiles seront de plus en plus nombreux 2013 sera l’année des logiciels de tracking, dont la côte qui monte en flèche. Ces derniers seront utilisés pour des raisons autres que celle du contrôle parental. Il y a eu une nette croissance du nombre d’applications de sécurité pour les enfants, permettant de surveiller les activités et comportements de ces derniers sur la toile, et notamment sur Facebook. « Il apparait évident que ce type de logiciel peut également être utilisé pour espionner n’importe qui, et pas seulement les enfants » déclare Sean Sullivan à Data Security Breach. «Plus l’utilisation du smartphone sera répandue, plus les gens chercheront  ce type de logiciels,  par exemple pour savoir ce que deviennent leurs ex ! ».