Archives de catégorie : Chiffrement

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice

Amende : 3 millions d’euros pour ne pas avoir protégé les mots de passe clients

Deux entreprises de télécommunications américaines condamnées à payer 3,5 millions de dollars pour ne pas avoir correctement protégé leurs clients.

TerraCom et YourTel America, deux fournisseurs de services mobiles, ont été pris la main dans le pot de miel. En 2014, il était découvert les dossiers des clients des deux entreprises. 300.000 clients ont été impactés par cette mauvaise maîtrise de leurs informations par les sociétés en qui ils avaient confiance. La FCC, Federal Communications Commission vient de condamner (2) les deux sociétés à 3,5 millions de dollars d’amende.

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, escroquerie, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, santé, Social engineering

La Garde Nationale Américaine visée par une fuite de données

Les anciens et actuels membres de la Garde nationale de l’armée américaine pourraient être affectés par une violation de leurs renseignements personnels à la suite d’une fuite informatique de leurs données.

Cet incident n’a pas de rapport avec la violation des renseignements personnels de 19,7 millions d’employés « civils » du gouvernement fédéral américain (+ 1,8 millions de personnels extérieurs) à la suite de deux piratages de l’Office of Personnel Management (OPM). La nouvelle fuite du jour vise le centre de la Garde Nationale de l’armée américaine, le National Guard Bureau. « Tous les membres de la Garde nationale de l’armée, actuels et anciens, et cela depuis 2004, pourraient être affectés par cette violation » confirme un fonctionnaire américain. Les données ont été transférées par inadvertance à un centre de données qui n’était pas accrédité par le Département de la Défense. Earl Brown, porte-parole du National Guard Bureau, indique que les données concernées comprennent les noms des soldats, les numéros complets de sécurité sociale, les dates de naissance et les adresses physiques des militaires. Le Bureau de la Garde nationale a mis en place une page Web dédiée à cette fuite.

Pour l’OPM, se sont deux piratages qui ont été découverts. En Avril 2015, l’OPM découvrait que les données personnelles de 4,2 millions d’employés du gouvernement fédéral, anciens et actuels, avaient été volées. Lors de l’enquête, il était relevé un autre vol, en juin 2015 cette fois. Les données sensibles, dont le numéro de sécurité sociale US (qui peut permettre, par exemple, d’ouvrir un compte en banque, NDR), ont été subtilisées à 21,5 millions de personnes sauvegardées dans les bases de données de l’OPM.

Argent, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, Paiement en ligne, Particuliers, Piratage

10 hôtels Mandarin Oriental piratés, des français impactés

Le 25 Février 2015, le groupe hôtelier Mandarin Oriental était alerté d’une attaque informatique ayant pu impacter les données bancaires de ses clients. Six mois plus tard, la société confirme et alerte les personnes impactées.

Lors de son enquête, le groupe Mandarin Oriental estime que le pirate a utilisé une nouvelle variante d’un malware pour obtenir l’accès à ses systèmes de cartes de crédit. Une attaque qui a débuté… en juin 2014. Ce piratage a permis au malveillant de mettre la main sur les informations clients, des données non chiffrées !

Sont impactés les hôtels Mandarin Oriental basés aux USA (Boston, Las Vegas, Miami, New-York, San Francisco et Washington), en Asie (Hong Kong) et en Europe (Genève et Londres). Si toutes les infiltrations ont débuté le 18 juin 2014, certaines se sont conclues en mars 2015. Les données bancaires impactées sont celles des clients ayant acquis une chambre, mais aussi l’accès aux SPA, aux salles de réunions et autres produits achetés dans les boutiques de l’enseigne. Le Mandarin Oriental a commencé à communiquer auprès des clients impactés par ce vol, le 10 Juillet 2015.

Le prix d’une chambre simple à New-York est de 850 dollars. Autant dire que le pirate savait qu’il allait « taper » dans des portes monnaies biens garnis.

Dans la foulée, le groupe hôtelier Hershey Entertainment & Resorts, ils possèdent des hôtels et des parcs d’attractions, viennent d’alerter la justice américaine d’un piratage informatique ayant touché les données bancaires de leurs clients. Une attaque qui aurait couru entre février 2015 et le 2 juin de la même année. L’enquête est en cours. Elle a été lancée à la suite de plainte de clients ayant des prélèvements bancaires non autorisés.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Social engineering

Vos ex-collaborateurs emportent avec eux plus que vous ne croyez

Selon le Bureau des statistiques du travail des États-Unis (Bureau of Labor Statistics), 965 000 personnes ont quitté leur poste dans l’industrie des services en 2014. À l’âge des fuites de données massives, des exigences en matière de conformité et des budgets IT réduits, l’on se pose inévitablement les questions suivantes : Ces entreprises ont-elles fermé les comptes, droits de connexion et accès aux informations d’entreprise de leurs ex-collaborateurs ? Ont-elles récupéré leurs biens matériels et logiciels d’entreprise ?

Les réponses sont surprenantes. Selon une enquête menée auprès d’ex-collaborateurs par Osterman Research et Intermedia, c’est stupéfiant : 89 % des personnes interrogées ont conservé l’accès à au moins une application d’un précédent employeur et 45 % ont toujours accès à des données confidentielles. Un nombre surprenant (49 %) de ces personnes admet s’être connecté à un compte après avoir quitté l’entreprise.

Comment expliquer qu’un si grand nombre d’entreprises aient négligé de prendre des précautions simples et de bon sens concernant leurs anciens collaborateurs ? Le plus souvent, c’est dû aux processus et outils d’accueil et de départ des collaborateurs qui sont peu performants. Dans de nombreuses entreprises, ces processus et workflows sont non seulement manuels et un peu hasardeux, mais ils reposent sur de nombreux acteurs différents qui interagissent rarement.

Il est fréquent qu’un nouveau collaborateur doive s’adresser à une personne pour obtenir un téléphone, à une autre pour un ordinateur portable, et encore une autre pour avoir un compte d’e-mail et un accès réseau. Lorsque ce collaborateur quitte l’entreprise, on ne sait plus vraiment qui est responsable de la récupération de tous ces équipements et logiciels : le supérieur du collaborateur ou toutes les personnes citées plus haut. À moins qu’une seule personne ou un seul outil ne fasse le suivi de tous les biens et processus, des failles sont inévitables.

Les piètres performances des outils et processus d’accueil des nouveaux collaborateurs et de départ des anciens sont nuisibles pour de nombreuses raisons, notamment : Productivité, Finances, Sécurité et Conformité. La meilleure façon d’éviter les faiblesses dans la gestion des biens, et l’accueil ou le départ des collaborateurs, consiste à consolider et à automatiser les processus.

Commencez par regrouper tous les processus hétérogènes qui interviennent dans l’accueil ou le départ des collaborateurs pour réduire leur nombre autant que possible. Lorsqu’un nouveau collaborateur arrive, un seul processus doit lui fournir tous les biens (équipements, logiciels, accès aux e-mails, aux applications et autres comptes, etc.) nécessaires pour qu’il puisse commencer à travailler. Les départements IT ou RH doivent générer une liste unique des biens affectés, sur la base du rôle du nouveau collaborateur dans l’entreprise.

Tous les processus d’arrivée et de départ des collaborateurs doivent être aussi automatisés que possible, car des processus et workflows manuels disparates génèrent souvent des erreurs, des omissions et des non-respects (intentionnels ou non) des processus.

Un solide outil de gestion du cycle de vie des biens s’avère utile, en automatisant les workflows de processus qui accélèrent toutes les notifications, étapes et approbations nécessaires pour effectuer avec succès les opérations d’accueil ou de départ d’un collaborateur. Comme ils font le suivi de tous les biens matériels et logiciels, de l’approvisionnement à l’affectation, la réaffectation et jusqu’à la mise au rebut, les outils de cycle de vie des biens permettent de déterminer rapidement la disponibilité des biens, et de les réaffecter à d’autres rôles ou individus. Vous pouvez également récupérer et réaffecter des biens lorsqu’un collaborateur change de poste ou quitte l’entreprise, ce qui accélère l’approvisionnement en nouveaux biens si aucun n’est disponible. Vous garantissez ainsi qu’aucun bien ni accès ne quitte l’entreprise, ni ne reste inutilisé.

Les processus de gestion des biens et d’arrivée/départ de collaborateurs sont truffés d’erreurs, donc générateurs de risques et de dépenses inutiles. Vous connaissez les biens dont vous disposez, leur emplacement et leurs performances. Ainsi, les nouveaux collaborateurs sont plus rapidement productifs et les entreprises évitent les failles de sécurité, les dépenses inutiles et les amendes pour non-conformité. (Par Jacob Christensen, pour DataSecurityBreach.fr, Marketing Product Manager chez LANDESK)

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Sécurité, Smartphone, Téléphonie

Fieldbook Secure : le smartphone français sécurisé

Un commentaire

ERCOM et Logic Instrument annoncent le Fieldbook Secure, un smartphone entièrement sécurisé pour faire face aux besoins accrus en matière de sécurisation des communications (voix, SMS, données).

Le Fieldbook Secure est doté d’un processeur octo-coeurs de 1,7 GHz. Il fonctionne sous le système d’exploitation Android 5 Lollipop, pour des applications d’entreprises, propriétaires ou à télécharger depuis Google Play Store.

Son module 4G LTE intégré offre un accès rapide aux données mobiles, tandis que l’interface GPS sert en données de navigation pour des applications basées sur la geo-localisation.

La caméra arrière de 13MP permet la capture d’images et de vidéos d’une qualité exceptionnelle. L’écran de 6 pouces avec sa résolution Full HD de 1080 x 1920 pixels dispose du multi-touch. Le rétroéclairage permet une lisibilité optimale même dans les environnements extérieurs les plus lumineux. Enfin, grâce à sa conformité à la norme IP68, le Fieldbook Secure survit même sous l’eau et à des chutes d’un mètre.

La suite Cryptosmart-Mobile d’Ercom, installée sur ce smartphone sécurise toutes les communications des terminaux mobiles (voix, data, mail, SMS) sur tout type de réseaux (GPRS, Edge, 3G/4G, LTE, HSDPA, Wi-Fi®, Satellite, etc.). C’est la première solution sécurisée et ergonomique dans la téléphonie mobile. Elle inclut des logiciels et une technologie brevetée de cryptologie. La sécurité s’appuie notamment sur l’utilisation d’une carte à puce hautement sécurisée (composant certifié EAL5+, applet certifiée EAL4+ et solution agréée diffusion restreinte par l’ANSSI, Agence Nationale de Sécurité des Systèmes d’Information).

Associée à la Cryptosmart-Gateway, il est possible de faire des appels chiffré-clair, clair-chiffré et/ou chiffré-chiffré. Cryptosmart-Mobile Suite fournit également une authentification forte, un verrouillage d’écran sécurisé, le chiffrement transparent de toutes les données de l’utilisateur, l’effacement à distance et un pare-feu local.

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, escroquerie, Facebook, Fuite de données, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Patch, Social engineering, Twitter

Durant les vacances, sécurisez vos connexions wifi, smartphone, tablette et ordinateur

Un commentaire

Vous allez partir en vacances ? Pensez à sécuriser votre téléphone, votre tablette, votre ordinateur portable des regards indiscrets. Voici quelques astuces.

Comme le rappel ZATAZ.COM, avant votre départ, pensez à vous créer un compte électronique dédié uniquement à vos vacances. Ainsi, à la fin de votre séjour, de retour à votre domicile, au bureau, ce compte éphémère pourra être mis en sommeil, jusqu’à vos prochains congés. Si vous n’avez pas le choix, et que vous devez utiliser un de vos comptes emails habituels, achetez un accès VPN. Certaines sociétés, comme HideMyAss, proposent d’acquérir un abonnement d’un mois, le temps de votre déplacement. Un VPN sécurisera vos connexions et les contenus que vous consultez (mails, sites Internet, …).

Méfiez-vous aussi de votre chambre d’hôtel. Pensez à chiffrer le disque dur, ou du moins, un espace qui ne sera pas lisible au petit curieux qui accéderez à son contenu. Ne pensez pas que le mot de passe qui protège la session de votre ordinateur est un rempart parfait. Un truc simple pour protéger les fichiers que vous avez sur votre machine, utilisez 7zip, un logiciel gratuit qui permet d’enfermer, dans un conteneur informatique, les fichiers de votre choix. Il suffit de chiffrer le contenu via l’option dédiée. De l’AES-256 efficace en 2 clics de souris.

Pour finir, n’utilisez pas les ordinateurs en libre service proposés dans les aéroports, les hôtels, … pour accéder à vos espaces privés (webmail, …). Cela vous évitera de laisser des données sensibles et privées en accès libre alors que vous pensiez les avoir effacé.

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, RFID, Vie privée

Maison connectée : le défi de la protection de l’identité

Fin mai se tenait à Paris la Connected Conference, un rendez-vous devenu incontournable pour tous les acteurs du Monde Connecté où de grands acteurs de l’industrie ont été invités à s’exprimer (Nest, Alcatel-Lucent, Lego). C’est en se rendant à l’intérieur de leur «Maison Connectée» créée pour l’événement que l’on pouvait prendre la mesure du phénomène: de l’ampoule, aux serrures en passant par les thermostats, tout sera connecté.

Il est nécessaire que les industriels développent des appareils se focalisant sur l’identité de l’utilisateur et créent un protocole de sécurité simple et uniforme, à travers les appareils, les applications, et les réseaux. Cependant, comment être sûrs que ces appareils soient assez sécurisés au vue de leur nombre et diversité et de la croissance exponentielle des applications multi-plateformes ?

Des défis à ne pas négliger
Les technologies biométriques s’installent peu à peu dans notre quotidien, mais ce n’est que tout récemment qu’elles ont fait leur entrée dans nos maisons. Au-delà des nombreux avantages que peut offrir la maison connectée pour nous faciliter la vie (praticité, automatisation des processus, optimisation des coûts…), elle soulève de nombreuses questions, notamment en matière de confidentialité et de sécurité des données. « Avec de nouveaux points d’entrées dans nos foyers, les pirates peuvent facilement s’immiscer dans notre quotidien, connaitre nos habitudes et pirater nos données »

Les appareils connectés d’ores et déjà disponibles à la vente offrent des services au top de la technologie, mais dont la sécurité est souvent sacrifiée à la fonctionnalité : la plupart d’entre eux ne disposent pas, par exemple, de mécanismes de réponse en cas de piratage de leurs équipements. Avec ces nouveaux points d’entrées dans nos foyers, les hackers peuvent facilement s’immiscer dans notre quotidien, connaitre nos habitudes et pirater nos données. Nous entendons trop souvent parler de cyber attaques, de vols de données confidentielles pour ne pas s’interroger, à juste titre, sur les menaces pesant sur les appareils enregistrant notre quotidien, nos habitudes, nos préférences, notre intimité.

Il est ainsi nécessaire que les industriels développent des appareils se focalisant sur l’identité de l’utilisateur et créent un protocole de sécurité simple et uniforme, à travers les appareils, les applications, et les réseaux. Ainsi, le thermostat intelligent devra être en mesure d’ordonner à votre lave-linge quand commencer un programme d’une autre marque, via un réseau Wi-Fi dont on connaît que trop bien la vulnérabilité. Certes ces appareils ne représentent pas des données confidentielles mais les caméras de surveillance la porte du garage, les baby-phones,… nombreux sont les objets sensés nous rassurer et que des hackers pourraient utiliser contre nous.

La biométrie, une option gagnante
La biométrie, c’est l’identification d’une personne par une partie de son corps (main, œil, doigt, visage) pour accéder à un service ; en d’autres termes, c’est un excellent moyen pour s’authentifier ou se connecter à tous types d’appareils. « Il devient urgent que les industriels s’attachent à travailler conjointement avec des professionnels de la sécurité des identités numériques »

Dans la maison intelligente du futur, la biométrie et par extension toutes les technologies nécessitant l’identité de l’utilisateur pour commander un service seront utilisées. Le téléphone portable sera l’objet central de la maison connectée. Depuis ce dernier, les utilisateurs pourront contrôler tous les aspects de leur maison et de leurs appareils ménagers grâce à l’authentification biométrique. Le management de l’identification et de l’authentification sera la clef pour les contrôler. Il est ainsi maintenant possible de mettre en route certains objets à distance : faire chauffer de l’eau, contrôler la température d’un four depuis notre voiture, tout est possible ! De plus en plus diversifié, le marché de l’IoT doit veiller à uniformiser ses offres s’il ne veut pas basculer dans la complexité. L’industrie a besoin de créer un accès simplifié et sécurisé pour permettre aux différents objets connectés de marques concurrentes de communiquer entre eux.

Nous pouvons facilement imaginer qu’à l’avenir, tout ce qui requiert une connexion par identification ou authentification pourrait être contrôlé par la biométrie : thermostats, compteurs intelligents, interrupteurs… Dans le futur, nous pourrons rendre nos foyers aussi connectés que nous le souhaitons !

L’internet des Objets offre de nombreux avantages mais soulève à la fois de nombreuses inquiétudes en terme de connexion et d’accès. Il devient urgent que les industriels s’attachent à travailler conjointement avec des professionnels de la sécurité des identités numériques pour garantir un accès sécurisé afin de protéger de manière optimale des données hautement confidentielles.

Android, backdoor, Banque, Bitcoin, Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch, Sécurité, Smartphone

Risques sur mobiles : 1 code malveillant sur 2 cible l’argent des victimes

Selon le G DATA Mobile Malware Report, 5000 nouveaux programmes malveillants ciblent les appareils mobiles chaque jour.

Les achats réalisés à partir d’appareils mobiles connaissent une forte croissance. En France, le m-commerce représente 20 % des transactions en ligne selon le bilan du e-commerce au 1er trimestre 2015 de la Fevad. La gestion des comptes bancaires en ligne avec le mobile est une autre tendance qui attise la convoitise des cybercriminels. En gérant ses accès bancaires avec son mobile, l’utilisateur casse la protection à double facteur et laisse la porte ouverte aux attaques. Le rapport sur les dangers mobiles montre que 50% des 440 000 programmes analysés au premier trimestre 2015 ont un objectif purement financier.

La banque sur mobile, nouvelle cible ?
La croissance de l’utilisation des appareils mobiles pour gérer les comptes bancaires en ligne pose un nouveau problème de sécurité exploité par les cybercriminels. Les authentifications à double facteurs (identification sur le site Internet et validation par envoi SMS sur le mobile) mises en place par les banques pour sécuriser l’accès au compte en ligne montrent leur limite lorsque l’accès au compte et la validation se réalisent sur le même appareil. Une faille exploitée par exemple par le trojan bancaire FakeToken. Ce code se déguise en une application fournie par la banque. Une fois installée sur le mobile, l’application accède au compte de la victime et réalise des transactions bancaires en interceptant les codes de validation envoyés par SMS.

L’argent comme priorité
Les tablettes et smartphones deviennent des cibles de choix chez les attaquants. Il a été constaté qu’au moins 50% des programmes malveillants analysés ont une finalité financière. Les trojans constituent la majorité de ces dangers. Certains chiffrent les données de l’utilisateur et demandent une rançon ou abonnent la victime à des services surtaxés. D’autres, plus avancés, ciblent les comptes bancaires.

Hausse des dangers sur mobiles au premier trimestre 2015
Les experts ont identifié 440 267 nouveaux échantillons de malware Android au premier trimestre 2015. Comparé au dernier trimestre 2014 (413 871), le nombre de programmes nuisibles pour Android augmente de 6,4%, et de 21% si l’on compare au 1er trimestre 2014 (363 153).

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, loi, Mise à jour, Patch, santé, Social engineering

Nos données de santé, source de convoitises pour les pirates

2 commentaires

91% des entreprises de santé interrogées ont subi une violation de leurs données au cours de ces 2 dernières années selon l’étude « Privacy and Security of Healthcare Data » du Ponemon Institute et seulement 32% pensent avoir les ressources suffisantes pour parer ces incidents1. La majorité des entreprises de santé sont désarmées et ne sont absolument pas en mesure de répondre à la Réglementation européenne sur la Protection des Données qui devrait être mise en application très prochainement.

L’étude Ponemon montre que, pour la première fois, les attaques criminelles sont la première cause de violations de données de santé. Jusqu’alors, la perte ou le vol d’ordinateurs, de tablettes ou de smartphones par négligence avait conduit à des violations de données. Aujourd’hui, les choses ont évolué. Nous passons des violations de données accidentelles ou opportunistes aux violations de données intentionnelles. Une tendance qui s’affirme. Les cybercriminels ciblent de plus en plus les données médicales. Ils exploitent cette mine de renseignements personnels, financièrement lucratifs. Les centres hospitaliers, laboratoires d’analyses médicales, pharmacies… ne disposent malheureusement pas des ressources, des processus et des technologies pour prévenir et détecter les attaques contre les données sensibles qu’elles manipulent. Leur défaillance, régulièrement pointée du doigt par les médias, se traduit par la fuite des données sensibles de leurs patients. On se souvient par exemple, des centaines de résultats d’analyses médicales provenant d’une soixantaine de laboratoires, accessibles sur Internet à cause d’une faille2 ou de la publication du dossier médical de Michael Schumacher3.

Si l’on observe une légère hausse des investissements des organisations de santé pour protéger les informations médicales, ces efforts restent cependant insuffisants pour contrer les cyber-menaces qui évoluent très rapidement. La moitié des entreprises de santé ont peu confiance – parfois même pas du tout – dans leur capacité à détecter une perte ou un vol de données de leurs patients.

Une faiblesse en décalage avec les obligations légales
En France, les informations relatives à l’état de santé physique et psychique d’un patient sont des données personnelles, soumises au Code de la santé publique et à la loi Informatique et Liberté. La Réglementation générale sur la protection des données, en cours d’adoption par le Conseil de l’Union Européenne vient compléter la législation française. Les professionnels et les établissements de santé sont strictement tenus au respect des obligations concernant la collecte, l’utilisation, la communication, le stockage et la destruction des données à caractère personnel. En pratique, les professionnels de la santé doivent prendre toutes les précautions nécessaires pour empêcher que ces données soient modifiées, effacées (par erreur ou volontairement) et que des tiers non autorisés y aient accès.

L’absence de mise en œuvre de mesures de sécurité est considérée comme une atteinte grave à la protection de la vie privée et peut être pénalement sanctionnée (amende et emprisonnement). Cependant, de nombreux professionnels ont des difficultés à se mettre en conformité avec la réglementation. En milieu hospitalier, par exemple, médecins, infirmiers et personnel administratif n’ont pas toujours été sensibilisés aux règles à respecter en matière de sécurité et de confidentialité des données.

Une réglementation unique pour toute l’Europe
La mise en œuvre de la future Réglementation sur la Protection des Données qui s’effectuera de manière identique dans tous les pays membres contrairement à la Directive actuelle, devrait avoir d’importantes conséquences sur l’organisation de l’entreprise. Comment respecter cette norme qui va engendrer des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données ?

Toute violation des données devra obligatoirement être déclarée. Concrètement, un système actif de surveillance des échanges et des flux de données devient nécessaire. Il convient en premier d’examiner avec attention le rôle et la responsabilité des différents acteurs de l’entreprise manipulant les dossiers médicaux. Il faut engager une sensibilisation forte au respect des bonnes pratiques, puis établir une politique de sécurité et de protection des données. On commence par évaluer les risques pour décider les actions à adopter, en fonction des faiblesses de l’établissement de santé. Le point clé est la visibilité sur la circulation des données au sein du réseau, compte tenu du risque que leur transmission génère. La mise en place d’une solution de SIEM* est le moyen efficace pour surveiller la sécurité des systèmes informatiques, contrôler l’accès aux systèmes où sont stockées les données médicales et recevoir des alertes quand on y accède. Les logs fournissent une vision complète et exacte de ce qui a été consulté. Informer rapidement les organismes de réglementation en cas de violation des données devient alors possible ainsi que configurer des rapports prouvant la conformité à la Réglementation.

Anticiper la mise en place de solutions efficaces
La communauté des entreprises de santé partage des données vulnérables et offrent une grande surface d’attaque avec de nombreux points d’accès aux cybercriminels de plus en plus habiles à dérober et exploiter des informations personnelles. Aussi convient-il de faire appel à des experts pour mettre en place dès à présent ces exigences en matière de sécurité et de conformité. On peut bien sûr penser que rien ne presse, la mise en œuvre effective de la réglementation étant prévue après une période de deux ans. L’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. (par Frédéric Saulet, pour DataSecurityBreach.fr, Directeur Régional Europe du Sud de LogPoint)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).

backdoor, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, pourriel, Propriété Industrielle, ransomware, Sauvegarde, Social engineering

Les collaborateurs, première menace pour les données de l’entreprise ?

Selon une récente étude[1] réalisée en France, les salariés seraient très confiants quant à la sécurité informatique au sein de leur entreprise. En effet, seuls 36% d’entre eux pensent qu’elle a déjà été la cible de hackers alors qu’en réalité, 90% des organisations reconnaissent avoir déjà subi une attaque. En outre, 85% des personnes interrogées estiment que leur entreprise est bien protégée contre les cyber-attaques et les hackers.

Des résultats qui révèlent une importante contradiction entre la perception des employés et la réalité des risques actuels qui planent sur les ressources et les données d’une organisation alors que les menaces se multiplient et sont de plus en plus sophistiquées. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Ces chiffres sont surprenants dans la mesure où les affaires de faille de sécurité et de vol de données massifs font très régulièrement la une des médias depuis quelques mois. Ce sentiment de confiance représente une véritable porte ouverte aux hackers car si les collaborateurs n’ont pas conscience des risques qui planent sur les données et les ressources de l’entreprise, il y a fort à parier pour que les bonnes pratiques et les procédures essentielles en matière de sécurité ne soient pas non plus appliquées, voire négligées ».

En outre, ce n’est pas parce qu’une entreprise est protégée qu’elle ne subira pas d’attaque, ce que semblent pourtant penser les employés interrogés. En effet, des hackers qui souhaitent pénétrer au sein d’un système d’information finiront tôt ou tard par y parvenir, même si cela prend du temps.

Pour que les collaborateurs aient une perception en adéquation avec la réalité, les entreprises doivent impérativement poursuivre leurs efforts pour les sensibiliser aux cyber-risques, aussi bien pour leurs données personnelles que pour celles de l’organisation, ainsi qu’aux conséquences préjudiciables que peut entrainer une fuite de données. La formation de l’ensemble des membres d’une organisation aux risques, aux différents types d’attaques potentielles ainsi qu’à l’application systématique des bonnes pratiques représentent la base pour initier une stratégie globale de sécurité efficace. Le contrôle d’accès, la vigilance relative aux emails ainsi que le renouvellement régulier des mots de passe font notamment partie des mesures indispensables. En outre, les responsables de la sécurité doivent mettre en place un dispositif de sanction pour les employés qui ne respectent pas les règles imposées par l’entreprise, pour une meilleure implication mais aussi pour engager leur responsabilité.

Selon l’étude Capgemini, 28% des personnes interrogées estiment que la politique de sécurité informatique de leur société n’est pas vraiment claire, voire pas du tout, et 39% déclarent ne pas la connaître. Ces résultats révèlent un manque d’information et peut-être un manque d’implication de la part des directions à se saisir de ces problématiques auquel les entreprises doivent rapidement remédier. Pour les entreprises qui ne possèdent pas forcément les ressources en interne (un CSO par exemple, responsable principal de la sécurité), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la Confédération Générale du Patronat des Petites et Moyennes Entreprises (CGPME) ont publié en mars dernier un guide des bonnes pratiques pour les PME. Cette excellente initiative répond à l’urgente nécessité de sensibiliser les salariés aux conséquences qui peuvent résulter d’une simple négligence et des règles de base à respecter, et aide les organisations en leur proposant une expertise adaptée à leurs besoins. Nous les encourageons donc vivement à partager ce guide en marge de leur stratégie globale de sécurité pour une meilleure information, prévention et prise de conscience des risques qui conduiront à l’adoption des bons réflexes.

La contradiction entre la perception de la cyber-sécurité par les salariés et la réalité met en avant le fait que l’humain reste l’un des maillons faibles d’une organisation. Les hackers le savent très bien, c’est la raison pour laquelle ils sont à l’affût du moindre faux pas. Dans ce contexte, la protection des données et des ressources représente aujourd’hui un véritable défi pour les entreprises. Il est donc primordial de faire prendre conscience aux employés que les cyber-risques sont réels, que les attaques ne sont pas uniquement portées sur les grandes organisations connues, et qu’ils peuvent eux-mêmes en être à l’origine. Avec une plus grande implication de la direction générale pour la formation de l’ensemble des collaborateurs, associée aux initiatives des autorités régissant la sécurité informatique, les entreprises vont pouvoir renforcer la protection de leurs données ainsi que l’efficacité de leur politique de sécurité, un enjeu majeur à l’heure où les cyber-attaques sont devenues monnaie courante.

[1] Etude « La Cybersécurité vue par les collaborateurs » menée par Opinion Way pour Capgemini auprès d’un échantillon de 1010 salariés français de bureau d’entreprises privées en mai 2015

Chiffrement, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Social engineering

Comment élaborer une bonne stratégie de sécurité

Les DSI ont pris note des scénarios de cauchemar que les violations de données peuvent engendrer : vous souvenez-vous de Sony ou de Target ? Pour combattre ces bombes à retardement, ils ont étoffé leurs budgets de sécurité. L’équipe d’intervention informatique d’urgence (CERT) de la Carnegie Mellon University recommande également de mettre en place une stratégie de sécurité que vous pouvez consulter si vos systèmes sont compromis.

Pourquoi avez-vous besoin d’une stratégie de sécurité ? Une stratégie de sécurité contient des procédures organisationnelles qui vous indiquent exactement quoi faire pour prévenir les problèmes ainsi que la marche à suivre si vous vous trouvez en situation de violation de données. Les problèmes de sécurité peuvent concerner :
– la confidentialité, lorsque des personnes obtiennent ou divulguent des informations de manière inappropriée ;
– l’intégrité, quand des informations sont altérées ou validées de manière erronée, délibérément ou accidentellement ;
– la disponibilité, avec des informations inaccessibles lorsqu’elles sont requises ou disponibles à plus d’utilisateurs que nécessaire.

En tout cas, disposer d’une stratégie permettra d’assurer que tous les membres du service informatique se trouvent sur la même longueur d’onde en ce qui concerne les processus et procédures de sécurité.

À quoi ressemble une bonne stratégie de sécurité ?
Vous avez peut-être une idée de ce à quoi la stratégie de sécurité de votre entreprise doit ressembler. Mais si vous souhaitez vérifier votre travail ou disposer d’indicateurs supplémentaires, visitez la page consacrée aux modèles de stratégies de sécurité de l’information  de SANS. Vous y trouverez vingt-sept stratégies de sécurité à consulter et utiliser gratuitement. Une bonne stratégie de sécurité doit ressembler à :
– Objectifs : des attentes et des buts clairs.
– Conformité : les législations peuvent faire partie des exigences d’une stratégie de sécurité, et il est donc essentiel de les énumérer.
– Dernière date de test : les stratégies doivent constituer une documentation vivante fréquemment contrôlée et remise en question.
– Date de dernière mise à jour : les documents d’une stratégie de sécurité doivent être mis à jour pour s’adapter aux changements de l’entreprise, aux menaces extérieures et aux évolutions technologiques.
– Contact : les informations contenues dans les stratégies de sécurité sont censées être lues, comprises et mises en application par tous les collaborateurs d’une entreprise et s’il y a des questions, un propriétaire du document doit y répondre.

Questions à poser lors de la création de votre stratégie de sécurité ?
Lorsque vous créez une stratégie de sécurité, il est utile de poser des questions parce qu’en y répondant, vous découvrirez ce qui est important pour votre entreprise et vous pourrez discerner les ressources nécessaires pour former et maintenir votre stratégie. Voici quelques questions pour démarrer :
– De quelle(s) personne(s) vous faudra-t-il l’approbation ?
– Qui sera le propriétaire de cette stratégie de sécurité ?
– Quel est le public concerné par cette stratégie ?
– Quelles réglementations s’appliquent à votre secteur d’activité (par exemple, GLBA, HIPAA, Sarbanes-Oxley, etc.) ?
– Qui a besoin d’avoir accès aux données de votre entreprise ?
– Qui possède les données que vous gérez ? Votre entreprise ? Vos clients ?
– Combien de demandes d’accès aux données recevez-vous chaque semaine ?
– Comment ces demandes sont-elles satisfaites ?
– Comment et quand l’accès est-il examiné ?
– Comment pouvez-vous vous assurer qu’aucun conteneur ne sera ouvert à un groupe d’accès global (Tout le monde, Utilisateurs du domaine, Utilisateurs authentifiés, etc.) sans autorisation explicite des propriétaires de données et de la hiérarchie concernée ?
– Comment toutes les activités d’accès seront-elles enregistrées et disponibles pour audit ?
– Si des données n’ont pas été consultées depuis 18 mois, comment seront-elles identifiées et restreintes afin que seuls leurs propriétaires y aient accès jusqu’à ce qu’une demande soit formulée par un autre utilisateur ?
– Comment harmoniserez-vous votre stratégie de sécurité aux objectifs de l’entreprise ?

Derniers conseils
Les stratégies de sécurité donnent de meilleurs résultats lorsqu’elles sont concises et vont droit au but. Elles doivent aussi favoriser et répondre aux besoins de l’activité. Grâce à une maintenance régulière, la stratégie de sécurité de votre entreprise contribuera à en protéger les actifs. (Par Norman Girard, pour DataSecurityBreach.fr, Vice Président et directeur général Europe de Varonis)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Social engineering

Stratégies BYOD : sécuriser les données d’entreprise dans un monde mobile

Les environnements des entreprises évoluent rapidement. Dans ce contexte, les employés doivent pouvoir accéder à leurs informations professionnelles à tout moment en situation de mobilité, ceci afin d’améliorer leur productivité, leur niveau de satisfaction et les performances globales de leur entreprise. Souvent, les salariés veulent accéder à leurs messageries, calendriers, contacts, données clients et documents sensibles sur leurs appareils personnels, ce qui représente un potentiel cauchemar pour les départements informatiques, qui doivent s’assurer de la sécurité des informations professionnelles.

Selon les prévisions du Gartner, d’ici 2017, un employeur sur deux exigera de ses employés qu’ils utilisent leurs appareils personnels au travail. Les entreprises doivent donc impérativement prendre des mesures appropriées afin de s’assurer que la vague de smartphones et de tablettes pénétrant dans le périmètre de l’entreprise soit sécurisée. Pour cela, elles doivent mettre en œuvre des stratégies BYOD offrant de la flexibilité aux employés, et assurant dans le même temps la sécurité au niveau de l’entreprise. De telles stratégies peuvent faire toute la différence, car elles instaurent des règles strictes permettant de faire face à diverses problématiques essentielles : quels appareils et applications sont autorisés à accéder aux informations professionnelles ; qui est responsable des applications et des données ; quelles données doivent être en lecture seule / modifiables, ou disponibles hors ligne ; ou encore qui doit payer pour la consommation professionnelle de données et de voix.

Déterminer en quoi il est nécessaire de migrer vers le BYOD
La première étape dans la mise en œuvre d’un programme BYOD efficace est tout d’abord de définir en quoi celui-ci est nécessaire, et d’établir clairement des indicateurs de réussite. Un tel programme est-il nécessaire pour réduire les dépenses d’investissements et les frais ? L’objectif est-il de stimuler la productivité du personnel ? Lorsque l’on détermine la nécessité d’un programme BYOD pour une entreprise, il est important de s’assurer que le raisonnement adopté soit en accord avec les objectifs de l’entreprise. Une fois le but clairement défini, il sera plus facile pour les dirigeants de justifier un investissement continu dans un tel programme, et l’adoption de ce dernier devrait également s’en trouver renforcée dans l’entreprise.

Il est également essentiel de démontrer la valeur ajoutée du BYOD pour l’entreprise, et de présenter ses avantages et ses risques aux utilisateurs mobiles, ainsi que la façon dont le programme envisagé permettra d’en assurer la protection. Les équipes informatiques pourront faire l’objet d’un certain rejet lors d’un tel déploiement  : en effet, certains employés verront cela comme une excuse pour accéder aux appareils personnels, craindront de voir leurs informations personnelles effacées, ou encore que leur consommation personnelle de données et de voix augmente sur leurs forfaits mensuels. Cependant, les départements informatiques prenant le temps d’expliquer en quoi ce programme leur sera bénéfique et permettra de les protéger ont alors plus de chance de rencontrer de l’enthousiasme de la part des utilisateurs plutôt que l’inverse. Une stratégie BYOD pertinente implique que chacune des parties soit sur la même longueur d’onde dès le début pour que les organisations récoltent rapidement les fruits de leurs efforts.

Exposer les droits de la société en matière de gestion de données professionnelles sur des appareils personnels
Lors de la mise en œuvre d’un programme BYOD, un contrat de licence de l’utilisateur final (EULA) devrait clairement définir le comportement attendu des employés et promouvoir le respect volontaire des stratégies d’entreprise et de sécurité, tout en protégeant leur vie privée. Le cas échéant, la stratégie mise en œuvre devrait clairement préciser que l’entreprise se réserve le droit d’effacer ses données et applications lorsque nécessaire.

Beaucoup d’organisations se tournent vers une solution de conteneurisation garantissant une séparation nette entre les données professionnelles et personnelles. Une telle solution permet de satisfaire le besoin de confidentialité des employés mobiles, ainsi que les exigences des départements informatiques en matière de sécurité des données professionnelles. De cette façon, en cas de vol ou de perte de l’appareil, ou si un employé quitte l’entreprise, seules les données professionnelles seront effacées à distance, réduisant ainsi le risque de compromission de données sensibles. Pour les équipes informatiques, la conteneurisation est un gage de confiance quant à la sécurité des données. Ils peuvent ainsi promouvoir en toute sérénité l’utilisation d’informations professionnelles sur des appareils appartenant aux employés ou à l’entreprise dans le cadre de workflows mobiles. Du côté des employés, le fait que leurs messageries personnelles, photos et bibliothèques musicales soient inaccessibles et ne puissent pas être effacées par leur département informatique est une source supplémentaire de tranquillité quant au respect de leur vie privée.

Envisager des solutions de facturation partagée
Le BYOD est récemment devenu un point de discorde quant à l’identité de celui devant payer la facture mensuelle de services de téléphonie mobile. Ainsi, en 2014, la Cour suprême et la Cour d’appel de Californie se sont prononcées sur la question.

La facturation partagée peut faciliter la transition vers la gestion de la mobilité d’entreprise (EMM) pour les entreprises, en leur évitant des problématiques complexes d’indemnisation, de remboursement et d’attribution de crédits. Au lieu d’inclure les frais de données liées à une consommation professionnelle sur des forfaits mensuels personnels, l’accès aux applications fournies par l’entreprise peut être directement facturé à l’employeur et aux partenaires. Les remboursements peuvent ainsi être rationalisés en même temps que les questions de responsabilité des RH et juridique quant aux contenus des utilisateurs. Plus besoin d’enregistrer des notes de frais, de payer des frais cachés liés au traitement des remboursements, ou de gérer des questions fiscales liées à des indemnisations.

En intégrant un forfait de données professionnel et une facturation partagée à leurs stratégies BYOD, les dirigeants d’entreprise peuvent accélérer la transition de leur personnel vers la mobilité.

Impliquer également les employés
Malgré toutes les meilleures intentions du monde, les services juridiques et informatiques élaborent parfois une stratégie BYOD manquant de convivialité. Lorsqu’ils définissent et déploient une telle stratégie, les dirigeants doivent impliquer tous les services, y compris les RH, le service financier et juridique, les responsables de la sécurité et de la confidentialité, ainsi que les responsables informatiques. Ils pourront ainsi exposer à ces principaux acteurs un cadre de meilleures pratiques de BYOD structuré afin de favoriser une prise de décision rapide et collaborative.

La mobilité est essentielle pour lutter contre la concurrence. En donnant aux employés la possibilité de travailler sur les appareils de leur choix, il est possible d’accélérer les tâches quotidiennes et d’accroître ainsi la productivité des salariés et leur degré de satisfaction. Lors de la mise en œuvre de stratégies BYOD complètes, les dirigeants doivent clairement présenter les arguments en faveur du déploiement de tels programmes, et établir avec précision le droit de leur entreprise à gérer les données professionnelles stockées sur les appareils personnels. Ils doivent également envisager de mettre en place une solution de conteneurisation afin de séparer les données professionnelles et personnelles, et réfléchir à une solution de facturation partagée afin d’éviter les problématiques complexes d’indemnisation, de responsabilité quant au contenu de l’utilisateur final et de contrôle des notes de frais des employés.

Enfin, il est essentiel d’aborder le déploiement de stratégies et de solutions BYOD dans votre entreprise comme un effort commun à tous vos services. Créez une campagne de marketing interne proactive destinée aux utilisateurs d’appareils mobiles en vous assurant qu’elle soit engageante et facile à comprendre, comme avec des vidéos, des posters, des FAQ, ou des événements dédiés à des endroits stratégiques. Expliquez clairement les avantages, et comment votre stratégie et votre solution BYOD permettent de gérer les risques au niveau des données professionnelles. La clé d’une stratégie efficace est de s’assurer que le programme créé profite aux employés tout en renforçant la sécurité des données professionnelles. (Par Florian Bienvenu, pour datasecuritybreach.fr, vice-président UK, Europe Centrale, Europe du Sud et Moyen Orient de Good Technology)

Chiffrement, cryptage, Cybersécurité, Justice, loi

Le Sénat a adopté les conclusions de la commission mixte paritaire sur le projet de loi relatif au renseignement

Un commentaire

Au cours de la séance du 23 juin 2015, le Sénat a adopté les conclusions de la commission mixte paritaire (CMP) sur le projet de loi relatif au renseignement. La CMP avait adopté plusieurs dispositions dans la rédaction issue des travaux du Sénat.

Ainsi, les dispositions du Sénat visant à garantir les libertés publiques ont été maintenues. Il s’agit notamment de la définition du respect de la vie privée qui implique le secret des correspondances, protection des données personnelles et l’inviolabilité du domicile ; la possibilité pour toute personne souhaitant vérifier qu’aucune technique de renseignement n’est mise en oeuvre de manière irrégulière à son encontre de saisir la CNCTR (Commission nationale de contrôle des techniques de renseignement) sans avoir à démontrer un “intérêt direct et personnel” à agir ; – la limitation à deux mois de la durée d’autorisation de mise en oeuvre des techniques particulières de renseignement portant sur les données de connexion ; la possibilité pour le Conseil d’Etat de statuer en référé en premier et dernier ressort dans le cadre de contentieux sur la mise en oeuvre des techniques de renseignement.

En outre, l’administration pénitentiaire ne pourra pas utiliser les techniques de recueil de renseignement et la computation du délai de conservation des renseignements se fera à partir du recueil de la donnée et non de son exploitation. En commission mixte paritaire, sénateurs et députés se sont accordés sur le délai de conservation des données recueillies par les techniques de renseignement, fixé à 30 jours pour les interceptions de correspondances, à 120 jours pour les renseignements collectés dans le cadre de la captation d’images ou de données informatiques, à quatre ans pour les données de connexion et à six ans pour les données cryptées.

En séance, lors de la lecture des conclusions de CMP, le Sénat a adopté l’amendement n° 8 du Gouvernement qui supprime une disposition adoptée par la commission mixte paritaire et qui prévoyait que le Premier ministre pouvait autoriser le recours aux techniques de renseignement sans avis préalable de la CNCTR lorsque leur mise en œuvre ne concerne ni un Français, ni un résident habituel en France.

Ce texte sera adopté définitivement si l’Assemblée nationale adopte les conclusions de la commission mixte paritaire dans les mêmes termes le 24 juin 2015.

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Sauvegarde

Une nouvelle menace nommée Equation Group

En février dernier, la sphère de la cyber-sécurité a pris conscience des efforts déployés par Equation Group, organisation de cyber-espionnage de haut niveau qui exploite les firmwares HDD et SSD.

McAfee Labs a évalué les modules de reprogrammation exposés et a observé qu’ils pouvaient reprogrammés les firmwares des HDD et des SSD. Ainsi, les logiciels malveillants peuvent être rechargés et infecter l’ordinateur à chaque redémarrage du système : ils ne disparaissent pas, même en cas de reformatage du disque ou de réinstallation du système d’exploitation. Une fois infecté, le logiciel de sécurité ne peut plus détecter le malware qui est caché au sein du système. « Chez Intel Security, explique David Grout, nous avons suivi de près ces types de menaces hybrides software/hardware. En effet, bien que ces logiciels malveillants aient historiquement été déployés pour des attaques ciblées, les entreprises doivent se préparer à l’inévitable volet commercial que pourraient représenter de telles menaces à l’avenir ».

Il est nécessaire pour une entreprise de prendre des mesures pour renforcer la détection des menaces existantes telles que l’hameçonnage intégrant des liens frauduleux et les malwares infestant les périphériques USB, et d’envisager des solutions qui pourraient prévaloir l’exfiltration des données.

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle

Nouvelles cyberattaques contre des réseaux gouvernementaux et militaires en Asie du Sud-Est

Palo Alto Networks, spécialiste en sécurité d’entreprise, dévoile  les résultats d’une étude sur une série de cyber attaques qui pourraient être commanditées par des États pour cibler des organismes publics et militaires de pays d’Asie du Sud-Est.

Découverte par l’équipe de cyberveille de l’Unité 42 de Palo Alto Networks et surnommée « Opération Lotus Blossom », l’attaque s’apparente à une tentative de récupérer des informations internes sur le fonctionnement d’États nations dans la région. La campagne remonte à trois ans et plusieurs cibles basées à Hong Kong, Taiwan, au Vietnam, aux Philippines et en Indonésie sont concernées.

Plus de 50 attaques distinctes ont été identifiées dans l’Opération Lotus Blossom. Toutes utilisent un cheval de Troie développé spécifiquement et baptisé « Élise » pour lancer des attaques de spear phishing ultra ciblées par le biais d’e-mails et s’introduire dans les systèmes visés. Selon l’Unité 42, le malware Élise a été développé pour les besoins spécifiques de l’opération, bien qu’il soit également utilisé par l’adversaire dans d’autres attaques sans rapport.

Reconnaissables à leurs outils spécifiques, aux vastes ressources mobilisées et à la ténacité des assaillants depuis plusieurs années, ces attaques présupposent l’intervention en coulisses d’une équipe organisée dotée de moyens suffisants. Pour l’Unité 42, ces caractéristiques et la nature des cibles évoquent des motivations qui relèvent du cyberespionnage. Les acteurs à la manœuvre pourraient, toujours d’après l’Unité 42, avoir des liens ou être financièrement soutenus par un État nation ayant de puissants intérêts dans les affaires régionales en Asie du Sud-Est.

« Au regard des standards actuels, le cheval de Troie de type porte dérobée et les exploits de vulnérabilités utilisés dans l’Opération Lotus Blossom ne sont pas des techniques nouvelles. Ces attaques peuvent néanmoins être préjudiciables si elles aboutissent, car elles permettent aux pirates d’accéder à des données sensibles. L’utilisation actuelle de vulnérabilités plus anciennes est symptomatique : tant que les entreprises ne seront pas axées sur la prévention et qu’elles n’auront pas pris les mesures nécessaires pour améliorer la cybersécurité, les cyberpirates continueront d’employer les bonnes vieilles méthodes parce qu’elles marchent encore », commente à DataSecurityBreach.fr Ryan Olson, directeur de la veille, Unité 42, Palo Alto Networks

L’équipe de l’Unité 42 a pu découvrir la campagne Lotus Blossom grâce au tout récent service AutoFocus de Palo Alto Networks. Ce service permet aux analystes de sécurité de corréler et d’interroger des événements de sécurité provenant de plus de 6 000 abonnés WildFire et d’autres sources de cyberveille. Les abonnés des services Palo Alto Networks Threat Prevention et WildFire sont automatiquement protégés contre ces attaques. Les autres sont invités à vérifier leur réseau pour y rechercher d’éventuels signes d’intrusion et renforcer leurs contrôles de sécurité par l’ajout d’indicateurs pertinents, comme indiqué en détail dans la version intégrale du rapport.

Android, backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, Patch, Sécurité, Smartphone, Téléphonie, Vie privée, VPN

600 millions d’utilisateurs d’un téléphone Samsung en danger ?

Un commentaire

Plus de 600 millions d’utilisateurs de téléphones portables Samsung ont été touchés par un risque de sécurité important. Samsung S3, S4, S5 et S6 touchés par une vulnérabilité dans un clavier pré-installé qui permet à un pirate d’exécuter du code à distance.

Intéressant ! Après la diffusion de faille et bug visant le téléphone portable d’Apple, l’iPhone, voici venir la faille pour le concurrent direct de la grosse pomme, la famille des Samsung S. Cette faille a été découverte par le chercheur Ryan Welton de la société américaine de NowSecure. Samsung a été alerté en décembre 2014.

Compte tenu de l’ampleur du problème, NowSecure a aussi notifié le CERT américain afin de faire corriger le problème rapidement (CVE-2015-2865). L’équipe de sécurité de Google Android a elle aussi été mise dans la boucle. L’attaque permet de récupérer la connexion GPS, brancher caméra et micro, installer en cachette des applications malveillantes, lire les messages (SMS, MMS, Mails, …). Bref, une petite cochonnerie.

Samsung n’a rien dit, mais propose depuis début de 2015 un correctif. Impossible de savoir si les opérateurs ont suivi la même mouvance sécuritaire… mais particulièrement pratique pour espionner une cible précise. A la lecture de la liste ci-dessous, qui ne concerne que des opérateurs américains, il y a de forte chance que votre téléphone soit toujours un espion en puissance dans votre poche.

Malheureusement, l’application du clavier défectueux ne peut pas être désinstallé. Côté solution : ne pas utiliser de wifi non sécurisé (utilisez un VPN, INDISPENSABLE NDLR)… ou changez de téléphone.

Galaxy S6      Verizon  Non corrigée
Galaxy S6       AT & T   Inconnu
Galaxy S6       Sprint   Non corrigée
Galaxy S6       T Mobile Inconnu
Galaxy S5       Verizon  Inc9nnu
Galaxy S5       AT & T   Inconnu
Galaxy S5       Sprint   Inconnu
Galaxy S5       T Mobile N8n c2rrigée
Galaxie S4       Verizon  Inconnu
Galaxie S4       AT & T   Inconnu
Galaxie S4       Sprint   Inconnu
Galaxie S4       T Mobile Inc8nnu
Galaxy S4 Mini  Verizon  Inconnu
Galaxy S4 Mini  AT & T   Non corrigée
Galaxy S4 Mini  Sprint   Inconnu
Galaxy S4 Mini  T Mobile Inc9nnu

Merci à @dodutils pour l’alerte.

Argent, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Espionnae, Facebook, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Vie privée

Piratage confirmé pour LastPass

2 commentaires

Le système de mot de passe LastPass piraté. L’éditeur confirme le passage malveillant de visiteurs qui ont mis la main sur les données des clients de l’entreprise.

LastPass est un coffre fort de mot de passe. Au lieu de retenir des dizaines de précieux sésames, l’excellent LastPass propose de les sauvegarder dans son service et de ne retenir que le password proposé par le service, le mot de passe principal, dit maître. Sauf que si un pirate met la main sur cet unique clé généraliste, le danger est réel. Autant dire que le malveillant n’a plus qu’à se servir. C’est ce qui semble se passer pour LastPass.

L’entreprise vient de confirmer une intrusion dans son serveur. Sur son blog, l’éditeur explique qu’une enquête est en cours et qu’elle a pour le moment « démontré que les adresses mails des comptes LastPass, ainsi que des informations dédiées aux mots de passe (mais pas les mots de passe directement, NLDR), le salage et le hachage d’authentification ont été piratés« .

Bref, pas besoin de vous faire un dessin. Changez votre mot de passe LastPast, comme le propose les ingénieurs de Lastpast. Les utilisateurs touchés ont/vont reçu/recevoir un courriel. On peut aussi conseiller de modifier l’ensemble des mots de passe sauvegardés dans l’outil, sait-on jamais… ou prenez des vitamines pour sauvegarder vos précieux uniquement dans votre cerveau. Les utilisateurs qui passeraient par un nouveau matériel doivent, de nouveau, se valider par mail.

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, Propriété Industrielle, Vie privée

HP facilite la sécurisation des impressions

HP a annoncé des solutions et des services, nouveaux et actualisés, qui permettent aux clients de mieux sécuriser leur environnement d’impression et de gagner en efficacité. Cette initiative s’inscrit dans le cadre de la stratégie HP visant à proposer des offres innovantes pour la sécurité des impressions et à les rendre accessibles au plus grand nombre.

« La sécurité et la protection des données d’entreprise sont des problématiques qui revêtent une importance croissante pour nos clients », souligne Edmund Wingate, vice-président Solutions LaserJet Enterprise chez HP. « HP continue à jouer un rôle moteur dans la sécurisation des imprimantes au travers d’offres qui renforcent la sécurité de nos modèles réseau et contribuent à protéger les données de notre clientèle. »

 Une sécurisation des impressions de pointe, plus accessible aux clients

Nouvelle fonctionnalité de HP Access Control, l’impression sécurisée, en mode «serverless», évite le recours à des serveurs dans de petits bureaux (agences par exemple). Ce mode d’impression sécurisée peut être déployé pour préserver la confidentialité des documents, se conformer à la politique d’impression de l’entreprise (par exemple, impression en noir et blanc et/ou recto-verso uniquement), mais aussi pour économiser des consommables (toner, papier) et de l’énergie. A présent exploitable sous forme de solution de mobilité managée, HP Access Control permet également d’envoyer, depuis un appareil mobile, des impressions par e-mail à une file d’attente sécurisée en mode « pull ». Ainsi, l’impression à partir d’un terminal mobile s’effectue aussi facilement que depuis un ordinateur de bureau ou portable connecté au réseau de l’entreprise, en bénéficiant d’un contrôle d’accès, d’un suivi et de mesures de sécurité identiques. Ces nouvelles capacités sont mises à la disposition de tous les clients équipés de HP Access Control.

De son côté, HP JetAdvantage Security Manager (ou HP Imaging and Printing Security Center) élargit son périmètre aux dernières imprimantes HP LaserJet Pro. Concrètement, les clients peuvent faire appel à cette solution HP d’administration et de contrôle automatisé de la sécurité de leur parc d’imprimantes HP pour sécuriser une plus large gamme de périphériques. L’offre HP Printing Security Advisory Services, quant à elle, étend sa couverture géographique, se dotant de nouveaux conseillers en sécurité en Europe et en Asie afin de rendre l’expertise HP en matière de sécurité d’impression accessible aux clients dans ces régions du monde.

Une sécurité renforcée par l’analyse et l’automatisation

HP assortit sa solution HP Capture & Route d’un nouveau module de reconnaissance automatique de document (RAD). Celui-ci permet d’accélérer et de faciliter la dématérialisation des documents papier et leur routage dans le workflow de l’entreprise (applications métier ou solution d’archivage par exemple). Il permet aussi de réduire les erreurs et d’améliorer la sécurité et la conformité des données. Destinée aux clients qui entendent accroître l’automatisation de leurs workflows et affiner leurs analyses, l’offre Managed Services, via son intégration avec HP Big Data, HP Teleform et HP Process Automation, contribue encore à améliorer la sécurité, la conformité et la gouvernance des informations dans divers secteurs d’activité (services juridiques, santé, services financiers, commerce, etc.).

Pour les clients désireux d’optimiser l’efficacité et la productivité de leur parc d’imprimantes, HP lance Proactive Print Advisor, un service qui leur propose des rapports, analyses et recommandations personnalisés en fonction de leur environnement d’impression. Accessible dans le monde entier, ce service allège la charge d’administration des structures informatiques, à grand renfort de recommandations sur l’optimisation de la rentabilité de leur parc et l’application de règles, ainsi que de conseils leur permettant de demeurer au fait des mises à jour.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, VPN

Attaque LogJam : les clés Diffie-Hellman visées

Des milliers de messagerie, Web, SSH, et les serveurs VPN sont vulnérables à une nouvelle attaque. Appelée Logjam, elle affecte l’échange de clés Diffie-Hellman. Le protocole d’échange de clé Internet (IKE) qui utilise l’algorithme de Diffie-Hellman est largement mis en œuvre dans le cryptage des données (par exemple, par SSL / TLS).

Le 20 mai 2015, une équipe de plusieurs chercheurs en sécurité de US a annoncé une faiblesse dans l’échange de clés Diffie-Hellman exploitée par l’«attaque Logjam » (Logjam attack). La faiblesse est causée par un défaut dans le protocole TLS qui est utilisé pour HTTP, SSH, et le cryptage de la connexion VPN. Elle peut être exploitée par la technique de l’homme du milieu (Man-in-the-Middle – MITM). Les cybercriminels peuvent surveiller ou même manipuler le trafic de données entre deux ou plusieurs parties de communication. La faiblesse est en fait dans la procédure de prise de contact TLS, au cours de laquelle l’attaquant fragilise l’exportation et l’échange de clés au lieu de l’échange de clés Diffie-Hellman normale. En réponse, le serveur continue échanger la clé de 512 bits, mais sans résultat.

Généralement, l’attaque de Logjam met en péril toutes les méthodes de chiffrement qui utilisent l’algorithme de Diffie-Hellman et l’échange de clés sur Internet (IKE). Comme déjà mentionné, ils comprennent le protocole TLS et SSL son prédécesseur qui sont largement utilisés pour SSH, courrier, web, et le cryptage de la connexion VPN.

Chiffrement, cryptage, Cybersécurité, Entreprise

Le modèle de maturité TLS

Dans le cadre de son activité SSL Labs,  Ivan Ristic du Qualys SSL Labs (Centre de recherches sur TLS et PKI qui fournit des outils de sécurité, de la documentation ainsi que des études sur les écosystèmes) passe beaucoup de temps à aider les autres à renforcer leur sécurité TLS. Soit directement ou en développant des outils et en rédigeant de la documentation. Avec le temps, il a remarqué que déployer TLS en toute fiabilité était de plus en plus compliqué alors que ce devrait être le contraire.

C’est pourquoi il présente dans DataSecurityBreach.fr  un modèle de maturité TLS, un modèle de déploiement conceptuel avec une feuille de route pour une sécurité TLS puissante. Ce modèle offre cinq niveaux de maturité.

Au Niveau 1 se trouve le chaos. Sans aucune politique ni règle associée à TLS, votre sécurité est aux mains du hasard (par exemple la configuration constructeur par défaut), d’individus ou plus généralement d’initiatives ad-hoc. Si bien que vous ne savez pas ce dont vous disposez ni quelle sera votre sécurité. Même si vos sites existants bénéficient d’une bonne sécurité, impossible de garantir que cela sera aussi le cas pour vos nouveaux projets. Tout le monde commence à ce niveau.

Le Niveau 2, celui de la configuration, ne concerne que la sécurité du protocole TLS et ignore les protocoles supérieurs. C’est de ce niveau dont nous parlons le plus, mais c’est généralement celui le plus facile à atteindre. Pour les systèmes modernes, il s’agit essentiellement d’un problème de reconfiguration des serveurs. Les systèmes plus anciens peuvent nécessiter une mise à niveau, ou, en dernier recours, un proxy plus sécurisé installé en frontal.

Le niveau 3, celui de la sécurité applicative, concerne la sécurisation de ces protocoles applicatifs supérieurs pour éviter des problèmes susceptibles de compromettre le chiffrement. Pour ce qui est des sites Web, ce niveau exige d’éviter de mélanger du texte en clair avec du contenu chiffré au sein de la même application ou sur la même page. Autrement dit, l’ensemble de la surface applicative doit être chiffrée. En outre, tous les cookies applicatifs doivent être bloqués et leur intégrité doit être vérifiée dès leur arrivée afin de se protéger contre des attaques à base d’injection de cookies.

Le Niveau 4, celui de l’engagement, a trait à l’engagement sur le long terme en matière de chiffrement. Concernant les sites Web, ce niveau est atteint en activant HTTP Strict Transport Security (HSTS), une norme relativement récente et prise en charge par les navigateurs modernes (par exemple supportée par IE sous Windows 10). HTTP Strict Transport Security applique un modèle de sécurité TLS plus strict pour mettre en échec les attaques visant à supprimer SSL ainsi que celles incitant les utilisateurs à cliquer sur les avertissements relatifs aux certificats.

Enfin, au niveau 5 se trouve une puissante sécurité. Vous définissez votre propre protection privée dans le Cloud PKI pour vous prémunir contre la plus importante faiblesse de l’infrastructure PKI, à savoir la possibilité pour une quelconque autorité de certification d’émettre un certificat pour un site Web sans la permission de son propriétaire. Pour ce faire, la technique d’« épinglage » des certificats (« public key pinning ») permet de restreindre le nombre d’autorités de certification susceptibles d’émettre des certificats pour vos sites Web. Il est également possible d’adopter une approche plus sécurisée en approuvant chaque certificat individuellement.

La simplicité conceptuelle du modèle de maturité de la sécurité TLS permet de savoir facilement où nous en sommes et ce qu’il reste à améliorer. Nous pourrons ainsi nous concentrer sur ce qui importe vraiment. Même s’il offre la meilleure sécurité, le niveau 5 nécessite beaucoup de travail et gère des risques inexistants pour la plupart des sites. Et s’il ne fait pas l’unanimité, le Niveau 4 reste le niveau minimum reconnu comme sécurisé et vers lequel devraient tendre la plupart des entreprises.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Piratage, Propriété Industrielle

Sésame ouvre-toi : un jouet Mattel ouvre les portes des garages

Le jouet Mattel IM-ME permet, avec une petite modification, d’ouvrir les portes des garages. Vive le sans-fil !

Les garages des Américains, nouvel espace de jeu pour les pirates ? Samy Kamkar, un informaticien curieux, a découvert qu’avec le jouet IM-ME de Mattel, et un code de son invention, il devenait possible d’ouvrir les portes des garages. Un outil qui ne coûte que quelques dollars.

Le problème est que certains garages ne sont protégés que par un code dont la sécurité est équivalente à un mot de passe à deux caractères. Samy Kamkar a réussi à cracker (pirater) la chose, avec son tool OpenSesame, en quelques secondes. « Une sécurité qui est une vaste blague, dit Kamkar. Un pirate peut entrer dans votre garage, en utilisant un appareil que vous ne remarquerez même pas dans sa poche, et en quelques secondes, votre porte de garage est ouverte.« 

OpenSesame ne fonctionne qu’avec les portes de garage dont l’ouverture se fait par un code unique, transmis en sans-fil via une télécommande. Bref, les portes ne tiennent pas longtemps, en ce moment, face aux pirates. Comme le cas du piratage des portières de voitures que ZATAZ vous révélait dernièrement. (Wired)

Android, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, OS X, Sauvegarde, Sécurité, Smartphone, Social engineering, Windows phone

56 millions de données exposées par des applications de smartphones

Des chercheurs de l’Université Allemande de Darmstadt annoncent que les développeurs d’applications prennent la sécurité des données par dessus la jambe.

Leurs applications auraient exposé 56 millions de données en utilisant les services de Google, Amazon et Facebook. L’équipe de chercheurs a testé 750.000 applications Android et iOS. Ils ont utilisé les services d’identité « fédérés » afin de s’authentifier plus simplement, plus rapidement, entre leurs différents appareils. Sauf qu’il semble y avoir un gros problème. L’équipe a trouvé des données, y compris les adresses mails, mots de passe, et les dossiers de santé, se promenant entre les connexions. Autant de données qui pourraient être exposées à des yeux indiscrets, et les comptes respectifs compromis si les jetons d’authentifications étaient  capturés. « Les développeurs d’applications utilisent des bases de données dans le cloud, explique les étudiants. Ils stockent  les données des utilisateurs, mais apparemment ignorent les recommandations de sécurité des données que recommandent pourtant les fournisseurs cloud

Les pirates ont besoin, cependant, d’extraire la clé de l’application et/ou exploiter une connexion sans fil non sécurisée, pour agir. Les sociétés qui hébergent ont besoin de beaucoup moins ! (The Register)

Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Vie privée

Les Risques Cachés de l’Explosion du Trafic HTTPS

Si vous n’êtes pas préparé à une forte augmentation du trafic HTTPS, votre réseau est menacé !

Paradoxal, non ? HTTPS, après tout, est une bonne chose. Comme tout le monde le sait, HTTPS est la version sécurisée du Hypertext Transfer Protocol (HTTP), qui utilise le protocole SSL/TLS pour crypter et protéger le trafic web. Si vous souhaitez privatiser n’importe quelle action en ligne — qu’il s’agisse de l’achat de nouvelles chaussures ou du paiement d’une facture— HTTPS est ce qui protège vos communications des regards mal intentionnés.

Les professionnels de la sécurité ont toujours encouragé l’utilisation d’HTTPS par les applications web. Il semble que leurs vœux aient été exhaussés. Comme le confirme l’ouvrage The Cost of “S” in HTTPS, 50% des flux sur le web sont aujourd’hui sécurisés. En fait, beaucoup des plus grands sites web ont adopté HTTPS comme leur protocole par défaut, dont Google, Facebook et YouTube. Mieux encore, les fournisseurs de navigateurs tels que Google ont même commencé à considérer toutes les pages non HTTPS comme non sécurisées, un nouveau pas vers la standardisation par défaut d’HTTPS.

De nombreux facteurs contribuent à cette ruée vers HTTPS, dont le principal est probablement « l’effet Snowden. » Certes, les spécialistes ont toujours compris la facilité avec laquelle nos conversations sur Internet peuvent être interceptées, mais les documents secrets dévoilés par Edward Snowden n’ont pas seulement permis au grand public d’identifier le risque du ‘man-in-the-middle’ (MitM), mais ont prouvé que les gouvernements y ont participé activement depuis des années. Maintenant que nous savons que quelqu’un nous regarde, nous prenons la protection de nos conversations beaucoup plus sérieusement.

Au sens large, cet accroissement du trafic HTTPS est une bonne chose. Toutefois, sous la surface il dissimule deux écueils qui peuvent sérieusement affecter votre sécurité, si vous n’y êtes pas préparé. Spécifiquement,

1.      Les méchants utilisent aussi HTTPS,
2.      La sécurisation de ce trafic entraîne de nouvelles contraintes en matière de performances.

Les avantages que vous retirez d’HTTPS profitent également aux hackers. Les pirates veulent dissimuler leurs communications, qu’il s’agisse de leurs téléchargements de malware ou des canaux de commande et de contrôle (C&C) que leur malware utilise pour communiquer avec eux. HTTPS fournit un mécanisme très efficace pour faire précisément cela. Les méchants ont compris que HTTPS est typiquement un « trou noir » pour vos outils de sécurité réseau, et ont donc commencé à l’utiliser pour leurs activités malveillantes, afin de les masquer.

C’est la raison pour laquelle il est plus important que jamais de commencer à sécuriser HTTPS. Vous avez besoin de solutions de sécurité capables de “voir” à l’intérieur des communications HTTPS, et d’y appliquer les scans traditionnels de sécurité (IPS, antivirus, etc.).

Heureusement, il existe une solution à ce problème. De nombreuses solutions de sécurité réseau actuelles, telles que de nouvelles versions de boîtiers UTM, des firewalls de nouvelle génération (NGFW), et d’autres proxies de sécurité, disposent de passerelles sur la couche applicative ou de capacités d’inspection DPI pour HTTPS. En gros, ils effectuent une attaque MitM « amicale » sur HTTPS afin de le décrypter de façon temporaire et de mettre en œuvre les scans de sécurité. Le boîtier ré encrypte ensuite le trafic pour le délivrer au réseau. Ces outils nécessitent que vos clients acceptent un certificat numérique, afin de maintenir la confidentialité de la connexion HTTPS. En bref, ils vous permettent de potentiellement détecter des activités malicieuses dans un trafic normalement indéchiffrable, sans remettre en cause la vie privée de vos utilisateurs.

Toutefois, sécuriser le trafic HTTPS met en lumière et exacerbe le second problème – les contraintes d’HTTPS en matière de performances. En termes simples, encrypter quelque chose consomme des ressources de traitement et accroît le volume du trafic. Si vous désirez savoir dans quelle proportion, il vous suffit de consulter l’ouvrage que j’ai cité précédemment. En gros, les conséquences ne sont pas négligeables, mais nous disposons généralement des ressources processeur et réseau pour les gérer… Ceci, avant d’y ajouter les solutions de sécurité dont j’ai parlé plus haut.

Comme je l’ai mentionné précédemment, des solutions de sécurité peuvent maintenant décrypter le trafic HTTPS. Toutefois, ce décryptage double le temps de traitement d’HTTPS, le boîtier de sécurité devant décrypter puis ré encrypter avant de délivrer le trafic. De plus, dans l’environnement actuel riche de menaces, vous souhaiterez que plusieurs couches de sécurité (par exemple IPS, antivirus, détection C&C) contrôlent votre trafic HTTPS. Si vous avez mis en place un contrôle de sécurité séparé pour chaque couche, chacune d’entre elles nécessite un traitement, ce qui ralentit singulièrement le trafic. Si 50% du trafic Internet est en protocole HTTPS, cela représente un vrai goulet d’étranglement.

La solution ? Utiliser des contrôles de sécurité tout en un conçus pour traiter la charge HTTPS. Un des avantages des nouveaux boîtiers UTM et des firewalls de nouvelle génération est que leurs couches de sécurité sont toutes appliquées en un seul point. Ceci veut dire qu’ils n’ont à décrypter HTTPS qu’une seule fois. Cependant, si votre sécurité dépend à ce point d’un seul boîtier, mieux vaut être sûr qu’il sera capable de supporter la charge. Beaucoup de boîtiers UTM ou Next Generation Firewalls mettent en avant leurs performances firewall, qui ne tiennent pas compte des autres contrôles de sécurité et de l’inspection des paquets HTTPS. Il est donc très important d’examiner la performance du boîtier lorsque tous les contrôles de sécurité sont activés, et spécialement l’inspection des paquets HTTPS. Ce n’est qu’une fois cette vérification faite que vous saurez si votre boîtier sera capable ou non de traiter, et de sécuriser, l’explosion des flux HTTPS.

Pour résumer, l’usage accru du protocole HTTPS est une très bonne chose pour la sécurité du web. Toutefois, vous devez vous assurer que vos solutions de sécurité en place sont capables réellement d’identifier les menaces à l’intérieur d’HTTPS, et qu’elles peuvent supporter l’accroissement de la charge HTTPS induit par l’effet Snowden. (Par Pierre Poggy, Country Manager Watchguard France / TechDirt)

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Social engineering, Virus

Stegosploit : l’outil qui cache un code malveillant dans une image

Lors de la conférence Hack In The Box d’Amsterdam, un chercheur en sécurité informatique présente Stegosploit, un outil qui permet de cacher un code malveillant dans une image.

Imaginez, vous êtes en train de surfer quand soudain votre machine devient folle ! Un code malveillant vient d’être installé alors que vous avez un antivirus et vos logiciels à jour. Une image, affichait par un site que vous veniez de visiter vient de lancer l’attaque. De la science-fiction ? Pas avec les preuves de Saumil Shah, un chercheur en sécurité informatique.

L’ingénieur a expliqué lors de la conférence (HiP) Hack In The Box que des pirates étaient très certainement en train d’exploiter sa découverte. L’idée, cacher un code malveillant dans une image en utilisant la stéganographie (cacher une information dans un autre document, NDR). Des recherches de Shah est sorti Stegosploit, un logiciel qui code en Javascript un logiciel malveillant dans les pixels d’une image au format JPEG ou PNG.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, pourriel, Social engineering

Signatures numériques

Peut-on se passer de l’e-mail dans le cadre de ses activités professionnelles ? Pratique et instantanée, la communication par e-mail s’est imposée au quotidien dans l’entreprise. Certaines études évaluent à plus de 100 milliards le nombre d’e-mails professionnels qui sont échangés chaque jour.

Malgré ses nombreux atouts, l’e-mail présente également certains risques. Des récits de fuites de données sensibles font régulièrement la une des médias. Un des derniers incidents en date : la récente divulgation des numéros de passeport de 31 leaders mondiaux. En cause ? La fonctionnalité de saisie automatique à partir du carnet d’adresses d’Outlook. Cette fonctionnalité – aussi pratique soit-elle – ne fait qu’accentuer le risque de diffuser, par erreur, des données confidentielles.

Malgré l’augmentation du nombre d’erreurs d’aiguillage d’e-mails et l’évolution du contexte législatif – comme en atteste la récente loi australienne sur l’obligation de conserver des métadonnées et d’autres textes réglementant la transmission de données confidentielles (HIPAA, FIPPA et PCI) –, on peut s’étonner que les entreprises ne soient pas plus nombreuses à choisir de sécuriser le contenu de leurs e-mails.

L’e-mail est sans doute un peu trop pratique à en juger par la facilité avec laquelle des informations sensibles peuvent être envoyées, au risque de tomber dans les mauvaises mains.

Quelques chiffres
53 % des employés ont déjà reçu des données sensibles d’entreprise non cryptées par e-mail ou en pièces jointes. (2)
21 % des employés déclarent envoyer des données sensibles sans les chiffrer2. Les coûts liés à la perte de données s’envolent, sans parler des conséquences sur la réputation des entreprises et des éventuelles répercussions sur le plan juridique en cas de violation de la réglementation sur la  transmission et le stockage de données confidentielles (notamment dans le cadre des lois HIPAA et FIPPA, et du standard PCI).
22 % des entreprises sont concernées chaque année par la perte de données via e-mail. (3)
3,5 millions de dollars : coût moyen d’une violation de données pour une entreprise. (4)

La solution ?
Il existe heureusement des solutions de sécurité des emails qui mettent les utilisateurs et leur entreprise à l’abri de ces menaces. La signature numérique et le chiffrement des courriels garantissent la confidentialité d’un message et évitent que des données sensibles ne tombent dans de mauvaises mains. Le destinataire a également l’assurance de l’identité réelle de l’expéditeur de l’e-mail et que le contenu du message n’a pas été modifié après son envoi.

Le chiffrement d’un e-mail revient à sceller son message puis à le déposer dans un dossier verrouillé dont seul le destinataire prévu possède la clé. Il est alors impossible pour une personne interceptant le message, pendant son transit ou à son emplacement de stockage sur le serveur, d’en voir le contenu. Sur le plan de la sécurité, le chiffrement des e-mails présente les avantages suivants :

Confidentialité : le processus de chiffrement requiert des informations de la part du destinataire prévu, qui est le seul à pouvoir consulter le contenu déchiffré.
Intégrité du message : une partie du processus de déchiffrement consiste à vérifier que le contenu du message d’origine chiffré correspond au nouvel mail déchiffré. Le moindre changement apporté au message d’origine ferait échouer le processus de déchiffrement.

Avant de choisir une solution, il est important d’avoir en tête plusieurs choses. L’utilisateur est le mieux placé, car il connaît son entreprise mieux que personne. Phishing, perte de données… quels sont ses principaux sujets de préoccupation ? Quelle est l’infrastructure de messagerie en place dans l’entreprise ? Quel est le cadre réglementaire ? Les réponses propres à chaque entreprise orienteront les choix vers la solution la plus appropriée.

Sources :
1 Email Statistics Report 2013-2017, The Radicati Group, Inc.
2 SilverSky Email Security Habits Survey Report, SilverSky, 2013
3 Best Practices in Email, Web, and Social Media Security, Osterman Research, Inc., January 2014
4 Global Cost of Data Breach St’sudy, Ponemon Institute

Chiffrement, cryptage, cryptolocker, Cybersécurité, Entreprise, Logiciels, Mise à jour, Patch, ransomware

Attaque de masse de Locker, un nouveau ransomware mort né

Voilà qui reste étonnant. Un étudiant ayant mis en place une démonstration qui a mal tourné ? Le code malveillant Locker touche des centaines de machines. Son auteur s’excuse et diffuse de quoi se soigner ?

Il se nomme Poka BrightMinds. Derrière ce pseudonyme, l’auteur du ransomware V Locker. Depuis le 25 mai, ce microbe infecte et chiffre des milliers de données dans le monde. Une démonstration qui aurait mal tourné ? Son auteur vient de s’excuser en diffusant la base de données des clés publiques, privées et bitcoins employés par V Locker.

Dans la foulée, et avec la présence de ces données, un outil a été réalisé afin de déchiffrer les fichiers. Locker Unlocker va déchiffrer les fichiers infectés par « v Locker ». L’ensemble de la base de données des clés a été inclus dans l’outil. Bilan, le programme de Nathan Scott fait tout de même 70 Mo mais permet de sauver les contenus des disques durs piégés. Attention, cette version ne fonctionnera que pour les victimes qui connaissent leur adresse BitCoin. Une adresse donnée lors de l’attaque.

backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

La Yemen Electronic Army diffuse des milliers de documents sensibles

DSB a pu constater des milliers de données volées.

La Yemeni Electronic Army vient de mettre une sacré pagaille dans l’informatique du Ministère des Affaires étrangères d’Arabie Saoudite. Des milliers de données diffusées, des centaines de machines bloquées.

La Yemeni Electronic Army (Yemen Cyber Army) n’a pas été de main morte, derrière ce groupe de pirates informatiques, de jeunes internautes passionnés d’informatiques et, malheureusement, manipulés dans des actions qui les dépassent. Le YEA a annoncé le pirate du Ministère des Affaires étrangères d’Arabie Saoudite (mofa.gov.sa). Plusieurs milliers d’informations sensibles, allant des visas, aux courriels internes des Ambassades du Royaume ont été mis en ligne sur plusieurs sites de téléchargement gratuits. Ils ne sont pas à leur premier coup. Ils ont piraté, dernièrement, un sous domaine du Ministère de l’Éducation Nationale d’Arabie Saoudite ssb.edu.sa.

Le Yemen Cyber Army  annonce avoir chiffré 3 000 ordinateurs, volé plus de 300Gb de données. Ils promettent autant d’informations pour le Ministère de l’Intérieur et le Ministère de la Défense. A noter que la source de l’information nous provient d’une agence de presse Iranienne qui n’a pas hésité à diffuser le lien de téléchargement des données piratées, volées et mis en ligne.

Ce groupe de pirates dispose d’un outil qu’ils cachent dans les serveurs infiltrés.

Le royaume d’Arabie Saoudite est une ciblé récurrente. Au mois d’août 2012, une des plus importantes compagnie pétrolière du monde, Saudi Arabian Oil Co était obligée de couper ses ordinateurs du web après la découverte d’un code malveillant dans ces derniers.

Argent, backdoor, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, Paiement en ligne, Particuliers, Piratage, Social engineering, Virus

Des pirates dans le réseau bancaire Isabel

Des pirates informatiques auraient visé le système bancaire belge Isabel.

Le nombre de cyberattaques contre les utilisateurs de toutes sortes de plateformes de banque en ligne est en nette augmentation. Les utilisateurs Isabel aussi peuvent être victimes d’actes de fraude ou de maliciels (logiciel malveillant). Malgré toutes les mesures de sécurité prises par Isabel SA et les banques, la sécurité des transactions n’est possible qu’avec la collaboration active des utilisateurs. Cependant, il semble que des pirates ont trouvé le moyen de nuire à cette entreprise forte de 35 000 clients professionnels.

Isabel SA est le principal prestataire belge de services en matière de PC Banking destinés aux utilisateurs professionnels. Les grandes entreprises, comme Breetec, des PME et des services publics utilisent ce système. Isabel c’est annuellement 400 millions de transactions pour une valeur de 2.400 milliards d’euro. Bref, de quoi attirer les pirates informatiques.

Selon la justice belge, des malveillants auraient mis en place un virus qui se serait attaqué à 35 000 entreprises belges. Des enquêtes ont été ouvertes par les parquets de Bruxelles et de Furnes. D’après le journal De Tijd, plusieurs sociétés auraient été victimes de ponctions pécuniaires orchestrées par le code pirate.

Isabel indique de son côté que le PC de l’utilisateur est contaminé par un maliciel (logiciel malveillant) au travers d’une pièce jointe proposé par un courriel. Le fraudeur prend le contrôle du PC à distance. Il effectue des transactions frauduleuses et les fait signer par l’utilisateur. « Le mode d’attaque ne change pas dans l’environnement Isabel. La seule différence se situe au moment où le fraudeur veut faire signer la transaction : à ce moment, le lecteur de carte émet un bip. Si l’utilisateur considère la demande du lecteur comme suspecte et n’introduit pas son code PIN, aucun problème. » Malheureusement, si l’utilisateur a le réflexe d’introduire son code PIN, il signera sans le savoir une transaction frauduleuse. C’est donc bien l’utilisateur qui signe des transactions qui seront ensuite exécutées par la banque.

Breetec, l’une des victimes, a été en mesure de retracer l’une des transactions qui s’est terminée dans une banque situé à Dubaï.

Android, Argent, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, ios, Linux, Logiciels, Microsoft, OS X, Paiement en ligne, Particuliers, Sécurité, Smartphone, Téléphonie, Vie privée, VPN

Connexions wifi gratuites : Sécuriser vos surfs cet été avec un VPN

Vous allez partir en vacances, profiter de connexions wifi gratuites, ou proposées par un hôtel, un camping, un restaurant ? Pensez à vous équiper d’un VPN qui protégera vos connexions et mots de passe tout en préservant votre anonymat sur le serveur utilisé.

Connexions wifi gratuites ? Faut-il encore vous parler de protection de vos machines (tablettes, smartphones, ordinateurs) quand vous partez en vacances, à l’étranger ? Faut-il vous rappeler la dangerosité d’une connexion wifi libre, gratuite (ou non), publique ? Avec les congés qui s’approchent à grands pas, il est bon de penser à s’équiper d’un VPN. Ainsi, le réseau wifi que vous utiliserez n’aura pas la possibilité de lire (volontairement ou non, NDR) les mots de passe que vous venez de taper, les mots doux que vous venez de diffuser, les documents et sites Internet que vous consultez.

Plusieurs possibilités s’offrent à vous. D’abord avec les Français de chez No Limit VPN. Pratique et rapide, ils proposent une possibilité d’essayer gratuitement leur service, histoire de vous familiariser avec cette sécurité indispensable. Ils utilisent un chiffrement 128 bits et 256 bits qui rend votre trafic Internet impossible à lire pour un malveillant. Plusieurs protocoles sont disponibles (PPTP, L2TP et OpenVPN) afin de vous permettre de choisir votre niveau préféré de cryptage. Compter entre 2.49 et 3.99€ par mois (selon la durée, NDR).

Même type de service pour VyprVPN. Logiciels très simple d’utilisation, fonctionnant sous Mac OS X, Windows 7, 8, Vista, Linux, ou encore sur les smartphones iOS et Android. 52 serveurs dans le monde (de la Suisse à la Pologne, en passant par la Colombie, le Vietnam ou encore la Canada). Des tarifs allant de 5 à 10€ par mois selon les options, dont Chameleon qui permet de cacher votre utilisation d’un VPN. A noter une option totalement gratuite, une nouveauté chez VyprVPN.

Troisième possibilité, ma préférée, Hide My Ass ! Une société basée dans des îles ensoleillées. Leur proposition, contourner les restrictions en ligne pour accéder à du contenu uniquement disponible à l’étranger, Netflix and Co. Accédez aux sites Web de votre pays lorsque vous êtes à l’étranger, et contournez la censure du gouvernement ou au travail et accédez à des sites comme Facebook, Gmail et YouTube. Le plus économiquement intéressant avec son option annuelle (5€ par mois, NDR).

Bref, des outils indispensables.

 

Argent, Arnaque, backdoor, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, Logiciels, Mise à jour, Paiement en ligne, Particuliers, Patch, Piratage, Propriété Industrielle, Sauvegarde, Social engineering, Vie privée

Outils anti ransomwares

Un commentaire

Disque dur bloqué, fichiers chiffrés, … les attaques de ransomwares n’ont jamais été aussi nombreuses. Un kit de sauvetage vient d’être diffusé. Il ne corrige pas toutes les possibilités malveillantes, mais permet déjà d’y voir plus clair.

L’internaute Jada Cyrus a compilé un kit de secours pour aider les victimes de ransomwares à déchiffrer les fichiers verrouillés. Cette boite à outils serait efficace contre les variantes de CryptoLocker, TeslaCrypt, et CoinVault, trois logiciels rançonneurs malheureusement très populaire sur la toile… et dans les ordinateurs de leurs victimes. « Nous avons des dizaines de cas » souligne à DataSecurityBreach.fr un technicien officiant dans une boutique informatique du Nord de la France, à Seclin. « Beaucoup de personnes se retrouvent avec leurs fichiers chiffrés et n’hésitent pas à payer pour retrouver leurs biens« .

ZATAZ.COM a proposé, il y a quelques semaines, un article les premières minutes d’une attaque d’un ransomware. De quoi vous donner une idée de l’efficacité de ce genre d’attaque. Pour rappel, pour se protéger de ce genre de cochonnerie : Ne pas télécharger ou cliquer sur n’importe quoi ; Un courriel proposant un fichier joint de types .rar ; .zip ; .exe ; .svg ; … sont à bannir. Les alertes s’ouvrant dans votre navigateur vous annonçant « des virus » ou une mise à jour urgente de VLC (vidéo, NDR) ; Flash ; … ne sont pas à prendre à la lettre. Un antivirus mis à jour est obligatoire. La meilleure des défenses face à ce genre d’attaque reste la réflexion. Ce kit regroupe des anti ransomwares pour BitCryptor, CoinVault, CryptoLocker, FBI Ransomware, PC Lock, Tesla Crypt, Torrent Locker.

Un faux courriel, une pièce jointe piégée et le disque dur est chiffré !

Pendant ce temps…

Le Ministère de la justice Vietnamien est devenu la dernière victime de taille d’une attaque d’un ransomware. Plusieurs ordinateurs connectés au réseau du ministère ont été infectés par le malware. Beaucoup de données « importantes » se sont retrouvées cryptés. Comme il n’y a aucun moyen de récupérer les données autres que de payer la rançon, il est très probable que le ministère va perdre toutes ses données. Espérons pour ce ministère que les mots « sauvegardes », « Backup » ou « Kar surxng kahxmul » ne lui soit pas inconnu.

Le kit est à télécharger ICI.