Archives de catégorie : Mise à jour

Antivirus, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, escroquerie, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Piratage, Social engineering, Virus

L’état du spam et du phishing au premier trimestre 2016

Une étude sur le spam et le phishing au premier trimestre 2016 montre que le nombre de spams contenant des pièces jointes malveillantes ont augmenté de 50 % au cours des trois premiers mois de 2016.

Bitdefender, spécialiste des solutions de sécurité informatique souligne quelques tendances de fond au cours du premier trimestre 2016. Les spammeurs utilisent des techniques d’attaque de plus en plus pointues et ciblées contrairement à l’envoi en masse de spam, chose courante ces dernières années. Les services de partage de fichiers et de stockage dans le Cloud sont devenus des cibles privilégiées par les pirates pour diffuser des codes malveillants. VBS Downloader, Upatre, Andromeda et JS Downloader ont été les downloaders les plus bloqués par Bitdefender. Ce type de logiciel malveillant est intégré dans des pièces jointes. Une fois installé, le programme télécharge différents malware sur les systèmes infectés. Au premier trimestre 2016, une pièce jointe sur sept contenait un ransomware. Les extensions de fichier les plus utilisées sont les archives (Zip, Rar, etc.), ce qui démontre une volonté d’échapper aux filtres Antispam. Le format ZIP dissimule des fichiers Javascript dans 95% des cas et reste le  moyen de diffusion essentiel du ransomware Locky.

En ce qui concerne le phishing, les modèles d’attaques impliquant les services de partage et de stockage en ligne ont détrôné les secteurs de la vente et du paiement en ligne, traditionnellement prisés des cybercriminels.  Au cours du premier trimestre 2016,  les services les plus touchés étaient Apple, Paypal et Google.

Dans les prochains mois, il est fort probable que les tentatives de spear-phishing, les chevaux de Troie et les ransomwares tendront à augmenter en raison des réussites récentes (et lucratives) de fuite de données sensibles utilisant les identifiants de responsables gouvernementaux, de chefs d’états ou, des personnalités politiques etc. par les cybercriminels. Les évènements internationaux majeurs tels que les élections présidentielles américaines, les Jeux Olympiques, le soutien à des œuvres humanitaires par exemple, constituent autant d’opportunités à exploiter par les cybercriminels.

Argent, Chiffrement, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Patch, Social engineering, Vie privée

Chiffrement : 27% des certificats sur Yahoo non réédités

Selon Venafi, Yahoo n’a pas pris les mesures pour se protéger et utilise des pratiques de chiffrement très faibles.

Chiffrement : Les équipes du laboratoire de recherche Vénafi – « Venafi Labs », ont analysés des données via TrustNet, la base de données mondiale sur les « Certificate Intelligence » et ont constaté que 27% des certificats sur Yahoo n’ont pas été réédités depuis janvier 2015. Même si les certificats sont remplacés, ce qui pourrait réduire les dégâts, Yahoo ne peut avoir la certitude que les hackers n’ont pas les accès actuels aux communications cryptées. Seulement 2,5% des 519 certificats déployés l’ont été durant les 90 derniers jours. Il est donc très probable que Yahoo! n’ait pas la capacité de trouver et remplacer des certificats numériques rapidement… Et malheureusement c’est un problème très commun, même pour les grandes organisations qui ont une présence importante en ligne.

Les données étudiées par « Venafi Labs » comportent un nombre impressionnant de certificats Yahoo qui utilisent MD5, une fonction de hachage cryptographique pouvant être renversée par une attaque brutale : MD5 souffre de sérieuses failles qui sont par ailleurs très bien connues. Par exemple Flame, une famille de logiciels malveillants souvent utilisés par les départements espionnage de certains pays, a exploité une vulnérabilité MD5. Tous les certificats MD5 utilisés par Yahoo aujourd’hui et bien d’autres certificats évalués par « Venafi Labs » sont émis par les entreprises elles-mêmes. Un certificat MD5 actuel utilise des caractères génériques (*.yahoo.com) et a une date d’expiration de 5 ans. Les certificats de ce type (avec des dates d’expirations très longues et émis par les entreprises elles-mêmes ou encore ceux qui utilisent des caractères génériques) sont tous les symptômes d’un contrôle cryptographique très faible.

Chiffrement faible !

41% des certificats de Yahoo sur l’ensemble des données de TrustNet utilisent SHA-1, un algorithme de hachage qui n’est plus considéré comme sécurisé contre des détracteurs disposant de gros moyens financiers. Les principaux vendeurs de navigateurs ont déclaré qu’ils arrêteraient les certificats SHA-1 en janvier 2017. « N’importe laquelle de ces questions cryptographiques, laisserait une organisation extrêmement vulnérable aux attaques des communications cryptées et leur authentification. explique Hari Nair, Cryptographic researcher chez Venafi. Au niveau collectif, cela soulève de sérieuses questions sur le fait que Yahoo puisse avoir la visibilité et la technologie nécessaire pour protéger les communications cryptées et assurer aux utilisateurs leur vie privée.« .

Yahoo n’a pas remplacé ses clés cryptographiques et ses certificats numériques durant les 90 derniers jours, en aucune façon cela ne pourrait représenter une réaction coordonnée face à une intrusion. Fait encore plus troublant, les fragilités connues sur les certificats MD5 associées avec des « Wildcard certificate » qui ont une date d’expiration de 5 ans, montrent clairement que Yahoo manque d’une vision approfondie sur sa position au niveau de la sécurité informatique. Les organisations utilisent le chiffrement pour tout sécuriser – sans une connaissance approfondie de risques cryptographiques, il n’y a absolument aucun moyen d’être certain de préserver sécurité et vie privée.

Base de données, Chiffrement, Contrefaçon, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

Check Point Security Report 2016

Security Report : Un employé télécharge un logiciel malveillant toutes les 4 secondes et 1 employé sur 5 est à l’origine d’une faille de sécurité.

Security Report – Le volume des attaques de phishing continue d’augmenter et touche 80% des entreprises interrogées, les pirates préférant des méthodes reposant sur la messagerie et l’ingénierie sociale pour mener leurs attaques. La société Check Point Software Technologies Ltd. vient de publier les résultats de son Security Report annuel et de l’enquête SANS : Exploits at the Endpoint: SANS 2016 Threat Landscape Study. Ces deux études mettent en exergue les challenges majeurs auxquels sont confrontées les entreprises, et délivrent des recommandations aux responsables informatiques, à mesure que les entreprises continuent de se doter de protections contre les cybermenaces évolutives.

Pour la quatrième édition de leur Security Report, les chercheurs ont analysé l’activité de plus de 31 000 gateways Check Point dans le monde entier, révélant ainsi des détails sur les logiciels malveillants connus et inconnus que rencontrent les entreprises, les tendances d’attaque, et l’impact des appareils mobiles dans l’entreprise. Les chercheurs ont également pu mesurer l’impact des failles de sécurité sur les entreprises, et les dépenses supplémentaires engendrées, au-delà des coûts de désinfection.

Dans l’enquête Exploits at the Endpoint: SANS 2016 Threat Landscape Study, réalisée en partenariat avec le SANS Institute, un organisme de recherche et de formation sur la sécurité, les chercheurs ont interrogé plus de 300 professionnels de l’informatique et de la sécurité à travers le monde pour déterminer les menaces que les entreprises doivent affronter, quand et comment ces menaces deviennent des incidents, les types de menaces qui ont le plus d’impact, et les défis que les entreprises rencontrent pour se protéger.

« Avec des milliards de nouvelles connexions chaque minute, le monde est plus interconnecté que jamais auparavant. Les innovations telles que le Cloud, la mobilité et l’Internet des objets, sont en train de transformer la manière dont nous déployons, consommons et protégeons la technologie, » déclare Amnon Bar-Lev, président de Check Point. « De plus en plus de logiciels malveillants sont introduits dans notre écosystème. Les techniques traditionnelles de sécurité sont incapables de les stopper. Pour s’en prémunir, il faut conserver de l’avance sur les choses que nous ne pouvons pas voir, connaître ou contrôler, et empêcher les attaques avant qu’elles ne se produisent. »

Ces deux études présentent une vision globale du paysage des menaces, des réseaux jusqu’aux postes de travail, et offrent leurs conclusions :

Les logiciels malveillants inconnus poursuivent leur croissance exponentielle et évolutive.
Les chercheurs ont constaté une multiplication par 9 de la quantité de logiciels malveillants inconnus qui empoisonnent les entreprises, notamment en raison des employés qui téléchargent un nouveau logiciel malveillant inconnu toutes les quatre secondes. Au total, près de 12 millions de nouvelles variantes de logiciels malveillants sont découvertes chaque mois. Plus de nouveaux logiciels malveillants ont été découverts au cours des deux dernières années que durant la décennie précédente.

La sécurité a pris du retard sur la mobilité
Les smartphones et les tablettes représentent aujourd’hui 60 pour cent du temps de consultation des médias numériques. Les appareils mobiles en entreprise sont à la fois une malédiction en termes de sécurité et une bénédiction en termes de productivité. Bien que les employés ne souhaitent pas être la cause d’une faille de sécurité, 1 employé sur 5 sera toutefois à l’origine d’une faille en raison de logiciels malveillants mobiles ou de connexions Wi-Fi malveillantes.

Les postes de travail sont le point de départ de la plupart des menaces
Parmi les entreprises interrogées, les postes sont à l’origine de la plupart des failles de sécurité et sont l’élément le plus critique de la cybersécurité. Les agresseurs préfèrent attaquer via la messagerie dans 75% des cas, et 39% des attaques menées contre les postes parviennent à contourner les gateways de sécurité réseau. Les recherches précisent que 85% des menaces sont découvertes une fois qu’elles ont réussi à se glisser dans l’entreprise.

Les deux rapports concluent que les entreprises devraient se doter de la meilleure architecture de sécurité prévoyante possible afin de pouvoir faire face aux complexités actuelles et futures en matière de sécurité informatique. Cette architecture devrait intégrer des composants critiques pour l’entreprise moderne : prévention avancée des menaces, protection des appareils mobiles, et segmentation du réseau pour une supervision approfondie.

Pour consulter le Rapport Sécurité 2016 de Check Point, rendez-vous sur http://www.checkpoint.com/securityreport/.

Arnaque, Cybersécurité, escroquerie, ID, ios, iOS, Logiciels, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Téléphonie, Vie privée

La mise à jours d’IOS 9.3.5 d’Apple ne permet pas d’éradiquer PEGASUS d’un IPhone déjà infecté

A la fin du mois d’août, Apple avait annoncé une mise à jour 9.3.5 d’IOS pour éliminer de son système IOS le logiciel espion PEGASUS qui prend d’assaut ses smartphone avec trois vulnérabilités « zero-day » appelées TRIDENT.

Dans un article publié récemment sur son blog aux Etats Unis, la société Lookout, en partenariat avec Citizen Lab, alerté Apple des dangers représentés par l’intrusion de Pegasus. Il a été constaté que la mise à jour des smartphones ne permet pas d’éliminer une infection de PEGASUS existante sur un appareil donné. La mise à jour de IOS 9.3.5 permet de colmater la faille et de protéger les appareils de toute attaque future mais elle ne permet aucune détection d’infection potentielle existante.

En plus de la mise à jour d’IOS 9.3.5 , Lookout recommande des étapes clés afin de pouvoir mieux protéger les I-Phones d’une attaque PEGASUS éventuelle : Installer et utiliser une solution de détection de malwares et d’infection, afin de pouvoir déterminer si votre appareil a été attaqué par PEGASUS ou est infecté d’un autre malware. C’est le meilleur moyen de pouvoir détecter un infection ou toute nouvelle attaque potentielle.

Pour les entreprises, Lookout rappelle que PEGASUS représente une attaque à probabilité réduite mais à dangers extrêmement élevés. Toute attaque éventuelle ciblerait probablement en premier les postes à responsabilité clés tels que le Président et les membres du CODIR, le DAF, Le Directeur des RH, etc. L’équipe IT se doit donc de vérifier ces portables en priorité.

Ne faire aucune sauvegarde d’un appareil infecté. Bien qu’il semble, en cas d’attaque, essentiel de faire une sauvegarde des données, apps et photos du portable infecté il faut malheureusement éviter car cela peut activer des mécanismes d’autodestruction de PEGASUS qui détruirait sur son passage le portable en question.

PEGASUS est en effet programmé pour s’auto détruire s’il « pense » qu’il a été identifié. De plus, une sauvegarde permettrait en plus de préserver cet état d’infection et réinstaller la donnée dans un nouvel appareil pourrait faciliter en fait une infection PEGASUS du nouveau smartphone.

BYOD, Cybersécurité, Entreprise, ID, IOT, Mise à jour, Particuliers, Patch, Téléphonie

Les trois principales implications de sécurité de l’IoT

Les professionnels de la sécurité informatique font face depuis une dizaine d’années au raz-de-marée que provoque l’augmentation des connexions d’utilisateurs, terminaux  et objets connectés IoT pour accéder aux ressources de l’entreprise ; dans le même temps, ils s’efforcent de réduire la surface d’exposition aux attaques en éliminant autant de points d’accès que possible.

Les spécialistes des objets connectés, l’ IoT, procèdent généralement à un inventaire des connexions, ils consolident les systèmes sur le réseau et les serveurs ciblés, ils créent des portails en alternative aux accès à distance, et ils opèrent une corrélation avancée des événements de sécurité au moyen d’une solution centrale de sécurité. Introduire des dispositifs IoT dans un environnement revient à ajouter un nombre inconnu de nouvelles portes à un bâtiment qui en compte déjà 100 dont l’accès est à peine contrôlé. En 20 ans, nous sommes passés d’un appareil par utilisateur à quatre ou cinq par personne et bientôt nous ne saurons probablement plus combien notre environnement compte de points d’accès exploitables connectés à Internet.

Rien que l’audit et l’inventaire de ces terminaux apparaissent comme des tâches monumentales, or c’est la première étape d’une stratégie de protection efficace. L’accessibilité future de dispositifs IoT sur le réseau a des incidences sur la sécurité. Voici trois implications qu’il convient de garder à l’esprit :

La prolifération des dispositifs IoT augmente la surface d’attaque

Pensez aux conditions d’accueil des personnes dans un grand immeuble de bureaux d’une ville moyenne. Il est possible que de nombreuses portes ne soient pas gardées, mais la progression du flux est guidée vers un guichet d’accueil ou un hall d’entrée central où les personnes titulaires d’un badge le présentent tandis que les autres doivent se soumettre à des procédures de vérification d’identité avant de se voir remettre un badge qui les autorise à aller plus loin. Pour d’autres types d’accès, l’approche n’est pas différente ; en instaurant une connexion centrale de courtage, au moins pour les requêtes émanant de l’extérieur de la surface d’attaque, l’entreprise peut établir des contrôles à un point unique d’entrée/sortie.

IoT : suffisamment anodins pour être ignorés, mais suffisamment intelligents pour être dangereux

On a trop souvent tendance à réduire l’Internet des Objets à un grille-pain intelligent. Et c’est une partie du problème. La plupart des « objets » connectés sont d’une telle simplicité qu’on banalise leur présence ou ce sont des outils ou des fonctions intégrées dont on ignore même l’existence. On en vient à oublier que, tout anodin qu’ils aient l’air, ces dispositifs sont connectés à Internet. Ce qui les rend aussi intelligents que quiconque décidera d’y accéder ou de s’en servir.

L’objet entre vos mains, à qui appartient-il réellement ?

Ce qui nous amène à la troisième préoccupation : à qui appartient réellement ou qui contrôle le dispositif IoT avec lequel vous vivez ? Est-ce vous qui l’entretenez ? Espérons que quelqu’un s’en charge car faute de correctifs et de maintenance, il y a fort à parier que votre dispositif IoT figurera bientôt dans une base de données des vulnérabilités avec le risque d’être exploité immédiatement après. S’il y a effectivement maintenance, qui y a accès ? Et même si vous avez la réponse à cette question, que savez-vous de la politique de sécurité du fournisseur concerné ? Pour revenir au point précédent, votre sécurité dépend de la vigilance dont fait preuve celui à qui vous confiez des droits d’accès au réseau de votre entreprise. Effrayant, non ? Mais à nouveau, c’est en suivant les bonnes pratiques de gouvernance des accès, comme l’utilisation d’une connexion de courtage comme indiqué précédemment, que vous saurez qui a accès à vos systèmes IoT, par quel moyen, où, quand et comment.

Le nombre des points d’accès et des dispositifs connectés présents sur votre réseau va très certainement continuer d’augmenter au cours des prochaines années. Avez-vous adopté des mesures pour prévenir les risques de compromission liés aux dispositifs IoT ? (Par Thierry Tailhardat, Directeur France de Bomgar)

Android, Cybersécurité, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Téléphonie, Vie privée

Un nouveau logiciel espion OVERSEER s’attaque aux Apps du Google Play Store

Quelques semaines seulement après avoir alerté Apple sur le logiciel espion PEGASUS qui avait trouvé une faille TRIDENT pour s’infiltrer sur IOS, l’équipe de veille et de recherche de Lookout Mobile Security, annonce avoir découvert un logiciel espion qui a attaqué plusieurs Apps sur Google Play Store.

Le spyware appelé OVERSEER, a été identifié sur quatre applications, dont une, Embassy, qui permettait aux voyageurs de rechercher des Ambassades à l’étranger. Ce malware a aussi été injecté sous forme de Trojan dans des applications de diffusion actualités Russes et Européennes. Google a promptement retiré les quatre applications infectées après avoir été prévenu par Lookout.

OVERSEER est un spyware qui cible par exemple grâce à Embassy, les grands voyageurs avec la fonction principale d’effectuer des recherches d’adresses d’Ambassades à travers le monde. Les personnes en voyages d’affaires, qui voyagent régulièrement, peuvent être particulièrement vulnérables à une telle attaque en installant sur leur téléphone l’application.

Les variantes d’OVERSEER sont capables d’identifier et d’exfiltrer l’information suivante :
:: Toutes les coordonnées de la personne attaquée tels que le nom, numéro de téléphone, l’adresse e-mail
:: Tous les comptes installés sur l’appareil infecté
:: Les coordonnées précises de localisation, latitude, longitude, No d’identification de réseau
:: La mémoire disponible interne et externe
:: Toutes les informations techniques du smartphone attaqué, incluant le type de téléphone, le nom de l’opérateur, le fabriquant du téléphone, le numéro d’identification de l’appareil, la version d’Android, l’identification Android, le niveau SDK etc.

Le spécialiste a identifié OVERSEER dans au moins quatre autres applications disponibles sur Google Play Store. Toutes ont été immédiatement retirées par Google. Beaucoup de ces Applis sont nouvelles avec un faible nombre de téléchargements et des commentaires qui semblent être faux. Ceci peut démontrer que ces applications ont été créées avec pour seul objectif d’aider à diffuser OVERSEER.

Argent, backdoor, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Particuliers, Piratage, Social engineering

Lurk : business des codes malveillants

Pourquoi le groupe cybercriminel Lurk monétise l’exploit kit Angler, son outil le plus puissant ? Bienvenue dans le business des codes malveillants !

Au début de l’été, Kaspersky Lab a participé à l’arrestation de membres du gang Lurk, suspectés d’avoir dérobé plus de 45 millions de dollars, grâce à des codes malveillants, auprès d’un certain nombre d’entreprises et de banques en Russie. Il s’agit du plus grand groupe cybercriminel financier capturé ces dernières années. Cependant, il ne s’agissait pas du seul méfait de Lurk. D’après l’analyse de l’infrastructure informatique qui se cache derrière le malware du même nom, ses auteurs ont développé et louent leur kit d’exploitation de vulnérabilités à d’autres cybercriminels. Le kit Angler est un jeu de programmes malveillants capable d’exploiter les failles de sécurité de logiciels répandus afin d’installer en toute discrétion des malwares supplémentaires sur les PC.

Angler : un outil puissant pour la propagation de tous types de malwares
Le kit d’exploitation Angler est, depuis plusieurs années, l’un des outils les plus puissants disponibles sous le manteau pour les pirates. La dernière fois que l’on a entendu parler d’Angler remonte à la fin de 2013, lorsque le kit a été proposé en location. Plusieurs groupes cybercriminels s’en sont servi pour propager différents types de malwares : adwares, malwares bancaires, ou ransomwares. Ce kit d’exploitation a été utilisé activement par le groupe à l’origine de CryptXXX, l’un des ransomwares les plus virulents et dangereux sur Internet, de TeslaCrypt et d’autres menaces. Angler a également été utilisé pour la propagation du cheval de Troie bancaire Neverquest, conçu pour attaquer près d’une centaine de banques différentes. Les activités d’Angler se sont interrompues juste après l’arrestation du groupe Lurk.

Les services de banques en lignes principalement visés par des codes malveillants
Comme l’a montré l’étude réalisée par les experts en sécurité, le kit Angler a été créé à l’origine dans un unique but : fournir au groupe Lurk un moyen de diffusion fiable et efficace, lui permettant de cibler les PC à l’aide de son malware bancaire. Etant un groupe très fermé, Lurk s’est efforcé de conserver la maîtrise de son infrastructure cruciale au lieu d’en sous-traiter certaines parties à l’instar d’autres groupes. Cependant, en 2013, la situation a changé et la bande a ouvert l’accès à son kit pour tous ceux disposés à payer.

Nous supposons que la décision de Lurk d’ouvrir l’accès à Angler a été en partie motivée par une nécessité financière. A l’époque où le groupe a mis Angler en location, la rentabilité de sa principale activité – le cybervol d’entreprises – était en baisse sous l’effet d’une série de mesures de sécurité mises en place par les développeurs de logiciels de banque à distance, ce qui a rendu la tâche beaucoup plus difficile pour ces pirates. Or, à cette même époque, Lurk devait entretenir à ses frais une infrastructure réseau et un “personnel” considérables. Le groupe a donc décidé d’élargir ses activités et y est parvenu dans une certaine mesure. Tandis que le cheval de Troie bancaire Lurk menaçait exclusivement des entreprises russes, Angler a été employé dans des attaques visant des utilisateurs du monde entier. Son développement et son support – n’était que l’une des facettes de l’activité de Lurk. En l’espace de plus de cinq ans, le groupe est passé de la création de malware très puissant pour le vol automatisé de fonds avec des logiciels de banque à distance, à des stratagèmes évolués impliquant des fraudes à base d’échange de carte SIM et des spécialistes du piratage de l’infrastructure interne des banques.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, VPN

Compromission : On ne vole pas loin sans de bonnes pratiques de sécurité

Compromission – De nombreuses personnes vivent à proximité de la ville de Tampa, en Floride, pour diverses raisons, l’une d’entre elles étant de pouvoir transiter régulièrement par l’un des meilleurs aéroports des Etats-Unis, le Tampa International Airport (TIA). Malheureusement, comme beaucoup d’autres en ce moment, TIA a récemment fait les frais d’une compromission de sa sécurité informatique. Mais plus que d’autres, comme il s’agit d’un aéroport international, TIA a dû prendre la peine de s’expliquer.

Compromission – De ce que nous savons des failles constatées, la liste s’apparente à tout ce qu’il ne faut pas faire en matière de sécurité informatique. TIA a recruté une personne pour travailler sur un projet Oracle. Cette personne a communiqué ses identifiants VPN, ses comptes (privilégiés) et ses mots de passe à près d’une dizaine d’autres personnes dont certaines travaillant pour une agence de recrutement, qui se sont connectées au système des dizaines de fois depuis Mumbai et Pradesh, en Inde, des Emirats Arabes Unis et du Cachemire, en Inde.

Ce cas particulier met en scène la collision malheureuse de VPN mal sécurisés, des accès non contrôlés de prestataires et de la non observance des bonnes pratiques de gestion des mots de passe. Plusieurs personnes ont été licenciées, dont le directeur et le responsable informatiques. TIA en est venu à paralyser ses processus métier en prenant la décision radicale, mais probablement nécessaire, de ne plus autoriser l’accès au réseau informatique de l’aéroport qu’aux équipements délivrés par les autorités aériennes compétentes et non plus aux appareils électroniques personnels.

Suite à cette compromission, parce que TIA n’avait pas correctement encadré les conditions d’accès dès le départ, l’aéroport a dû revenir à ses pratiques d’il y a 20 ans. Or des alternatives existent.

Ne jamais faire aveuglément confiance à des prestataires extérieurs dès qu’il s’agit de la sécurité de VOS informations. Désignez clairement les tierces parties, les prestataires et les consultants qui travaillent pour vous. Les prestataires de services IT et sociétés de conseil ne sont pas réputés pour la rigueur de leur sécurité informatique. Ce n’est pas parce qu’ils détachent des consultants que leur posture de sécurité est nécessairement mature. Vérifiez comment ils recrutent les profils des professionnels qu’ils envoient en mission et s’ils leur dispensent des formations de sensibilisation aux pratiques de sécurité.

Pour l’accès des tiers à votre environnement, d’autres solutions existent que de passer par un VPN et de simplement prier pour que chacun observe les bonnes pratiques. Une solution avec une connexion de courtage permet de contrôler qui a accès à vos systèmes IoT, par quel moyen, où, quand et comment. Séparez bien les choses : vous pouvez très bien autoriser des tierces parties à collaborer à vos projets, sans leur délivrer un grappin façon IP pour s’infiltrer sur votre réseau interne.

Ne pas accorder d’accès libre sans restriction. Instaurez une procédure mature de traçabilité de vos prestataires du moment où ils font une demande d’accès au moment où vous le leur accordez et où vous le révoquez. Ainsi vous êtes informé et vous faites preuve de responsabilité.

Surveiller ce qu’ils font de leur autorisation d’accès. Prévoyez de jeter un œil par-dessus leur épaule chaque fois que vous le souhaitez. Enregistrez toute l’activité. Ce qui est gênant dans le cas du piratage de TIA, c’est que même après les investigations de sécurité, les auditeurs étaient « incapables de dire quelles données spécifiques ont pu être transférées. » L’enregistrement systématique des activités des prestataires qui se connectent à vos réseaux et systèmes permet de toujours savoir qui a fait quoi exactement. C’est une bonne pratique à observer en toutes circonstances, pour une gestion de projet, le suivi de facturation, la conduite d’un audit de sécurité annuel et la gestion post-compromission dans le cas d’un incident comme celui de l’aéroport TIA.

Renforcer la sécurité des mots de passe. Dans le cas particulier de TIA, il semble qu’aucun contrôle des règles de gestion des mots de passe ait été exercé. Une solution de référentiel sécurisé de mots de passe/identifiants peut permettre de régler cette situation rapidement. Vous éliminez le risque lié à des mots de passe dupliqués, faciles à deviner, partagés, ainsi que les menaces que posent les comptes partagés ou intégrés aux systèmes.

Chaque cas de compromission est source d’enseignements, ce sera le cas à long terme pour l’aéroport de Tampa.
(Par William Culbert, Directeur de Solutions Engineering, Bomgar)

Cloud, Cybersécurité, DDoS, Entreprise, Mise à jour, Patch, Piratage, Sauvegarde

Les attaques DDoS migrent vers le cloud des grands providers

Comme la plupart des “services” les attaques informatique migrent vers le cloud.

Selon Radware, la dernière tendance sur la scène du piratage international consiste utiliser les plateformes Cloud de grand fournisseurs tels que Amazon Web Services, Google ou Microsoft afin de déployer des attaques de déni de service (DDoS) à très grande échelle. Les pirates utilisent par ailleurs ces services pour mettre en œuvre des attaques de type “phishing” ainsi que d’autres activités malveillantes visant à leurrer ou contaminer les API (interfaces de programmation applicative) publiques  de manière en modifier le comportement, à les utiliser pour cacher des scripts, du codes, des fichiers malveillants etc.

En seulement quelques heures, les pirates sont alors susceptibles de “charger” des scripts d’attaque et de lancer des assauts. Les organisations qui utilisent ces plateformes cloud pour la conduite de leurs activités sont alors confrontés à un risque majeur concernant leur sécurité puisqu’ils ne peuvent pas bloquer la communication avec ces plateformes de nuage public.

Les pirates utilisent des plateformes cloud pour deux raisons: le volume et la dissimulation. Il existe des contextes d’utilisation spécifiques où une connection permanente est établie entre le réseau interne d’une entreprise et ses applications cloud.” indique Ben Zilberman, de chez Radware. “Dans ce type de scénario, si une attaque est lancée depuis le fournisseur de services cloud cela représente un véritable défi en terme de défense et de protection. La solutions de sécurité doit être suffisamment intelligente distinguer le trafic légitime du malveillant. Si les hackers parviennent à tirer parti de la puissance de grands fournisseurs de cloud publics pour effectuer des attaques par déni de service, leur seule limite est le budget dont ils disposent !

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, santé

Trois logiciels destinés aux dentistes vulnérables aux pirates informatiques

Base de données vulnérables et manipulation possible pour 3 logiciels destinés aux dentistes.

Outils professionnels vulnérables ! Le CERT de l’Université américaine Carnegie Mellon vient d’annoncer la découverte de problèmes informatiques dans trois logiciels destinés aux dentistes souffraient de failles informatiques qui donneraient un accès aux données sauvegardées via ces outils professionnels. Des fuites qui concernent aussi les patients.

Parmi les failles, des injections SQL qui ouvrent les portes aux informations gardées par les bases de données. Sont concernés deux logiciels de gestion de dossiers dentaires : Dentsply Sirona et Open Dental. Ce dernier est très mignon, j’ai pu tester la chose chez un dentiste ami Belge, il n’y a pas de mot de passe pour accéder à l’outil de gestion MySQL (sic!).

Le troisième logiciel montré par la roulette du CERT, le Dexis Imaging Suite 10. L’éditeur vient de conseiller à ses utilisateurs de mettre à jour les informations d’identification de la base de données. Bref, lisez le mode d’emploi et changez les accès, les urls, …

L’ampleur du problème semble énorme. Des milliers de dentistes utiliseraient l’outil en question, dont des clients gouvernementaux américains comme des cliniques de la marine ou encore de l’US Air Force.

Open Dental, en tant que logiciel libre et open-source, est disponible pour quiconque souhaite le télécharger. 4000 cabinets dentaires l’utiliseraient.

Justin Shafer, l’auteur des trois découvertes, est un spécialiste de l’informatique « dentaire ». Ce Texan avait fait les manchettes de la presse US, l’année dernière, après que le FBI se soit invité chez lui, pour l’arrêter, après avoir divulgué une faille dans le logiciel Dentrix.

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Propriété Industrielle, Social engineering

Filtre anti espion sur les prochains Hewlett-Packard

Le géant de l’informatique Hewlett-Packard s’associe avec 3M pour préinstaller sur ses prochains ordinateurs portables professionnels un filtre anti espion.

Filtre anti espion – Quoi de plus courant que de croiser à la terrasse d’un café, dans le train ou dans un aéroport ces fiers commerciaux pressés de travailler, même dans un lieu non sécurisé. Autant dire que collecter des données privées, sensibles, en regardant juste l’écran de ces professionnels du « c’est quoi la sécurité informatique ? » est un jeu d’enfant.

Hewlett-Packard (HP), en partenariat avec 3M, se prépare à commercialiser des ordinateurs portables (Elitebook 1040 et Elitebook 840) dont les écrans seront équipés d’un filtre anti voyeur. Un filtre intégré directement dans la machine. Plus besoin d’utiliser une protection extérieure.

Une sécurité supplémentaire pour les utilisateurs, et un argument de vente loin d’être négligeable pour le constructeur. Selon Mike Nash, ancien chef de la division de sécurité de Microsoft et actuellement vice-président de Hewlett-Packard, il est possible de croiser, partout, des utilisateurs d’ordinateurs portables sans aucune protection écran. Bilan, les informations affichés à l’écran peuvent être lues, filmées, photographiées.

Le filtre pourra être activé et désactivé à loisir.

Chiffrement, cryptage, Cybersécurité, Espionnae, Logiciels, Microsoft, Mise à jour, Particuliers, Patch

Microsoft diffuse des infos chiffrées via votre port 80

Microsoft se fait envoyer, de votre ordinateur, des informations chiffrées. Toutes les 5 minutes des « trucs » passent par le port 80 de votre machine.

Âllo, le port 80 ? Voilà qui est « amusant ». Mike Patterson, patron de la société Plixer, spécialisée dans la sécurité informatique, découvre que les options de « confidentialité » proposées par Windows 10 ne servent à rien, mais qu’en plus, l’OS du géant américain communique toutes les 5 minutes des données chiffrées à un de ses serveurs.

Finesse de la chose, pour ne pas éveiller les soupçons, les données chiffrées communiquées à ssw.live.com le sont pas le port 80, via un bon gros HTTP. Il faut dire aussi que si les informations collectées, on ne sait pas lesquelles, passaient par un HTTPS (port 443), les soupçons auraient été plus rapide.

Lors de sa recherche, Mike Patterson a découverte que l’éditeur d’antivirus McAfee, ainsi que le fabriquant de casque Plantronics agissaient aussi de la sorte. [Techradar]

Cybersécurité, DDoS, Mise à jour, Patch, Piratage

70,2% des attaques DDoS par botnet ont utilisé des serveurs Linux au 2ème trimestre 2016

Durant la période étudiée, ce sont les ressources de 70 pays qui ont été visées par des attaques DDoS, la Chine étant le pays le plus touché (77% du nombre total d’attaques). L’Allemagne et le Canada sont tous les deux sortis du top 10 des pays visés, remplacés par la France et les Pays-Bas.

La durée des attaques a largement augmenté ce trimestre. Si le nombre d’attaques ayant duré jusqu’à 4h a diminué – passant de 68% au 1er trimestre à 60% au 2nd trimestre – la proportion de très longues attaques a augmenté. 9% des attaques ont duré entre 20h et 49h (contre 4% au 1er trimestre) et 4% ont duré entre 50h et 99h (contre 1% au 1er trimestre). Au 2nd trimestre, l’attaque la plus longue a duré 291 heures (soit 12 jours), contre 8 jours au 1er trimestre.

Bien que les méthodes d’attaques les plus utilisées demeurent SYN DDoS, TCP DDoS et HTTP DDoS, la proportion d’attaques de type SYN DDoS a été multipliée par 1,4 par rapport au trimestre précédent (pour atteindre 76%). Cette augmentation s’explique principalement par la multiplication des attaques utilisant des botnets Linux – qui sont les plus efficaces pour les attaques SYN-DDoS. C’est la première fois que Kaspersky DDoS Intelligence enregistre un tel déséquilibre entre les bots basés sur Linux (70%) et Windows (30%).

« Les serveurs Linux contiennent souvent des vulnérabilités assez classiques, sans pour autant être protégés par une solution de sécurité robuste, ce qui les rend plus sujets aux infections de bots. Les attaques réalisées par des bots Linux sont simples mais efficaces ; elles peuvent durer plusieurs semaines, alors que le propriétaire du serveur n’a pas conscience d’être à l’origine d’une attaque. De plus, en utilisant un seul serveur, les cybercriminels peuvent lancer une attaque dont la puissance sera égale à celle de plusieurs centaines d’ordinateurs personnels. C’est pourquoi les entreprises doivent se protéger en amont contre ce type de scenario, quelles que soient la durée et la complexité des attaques », commente Oleg Kupreev, Lead Malware Analyst chez Kaspersky Lab.

Base de données, Cybersécurité, Entreprise, IOT, Mise à jour, Patch, Propriété Industrielle, Sauvegarde

Le lancement du jeu The Division a poussé l’analytique jusqu’à la limite

Pour ceux qui vivent sur une île déserte, en mars dernier, Ubisoft a lancé Tom Clancy’s The Division, son jeu de tir à la troisième personne en monde ouvert très attendu et disponible en ligne uniquement, sur plusieurs plateformes. Le jeu a battu les records de l’entreprise, dont le plus grand nombre de ventes durant le premier jour de commercialisation, recueillant non seulement d’excellentes critiques générales mais renforçant ainsi les bénéfices de l’entreprise pour l’exercice 2015-16. En préparation du lancement, les personnes impliquées dans les analyses de données du jeu étaient bien conscientes que la pression serait immense.

La sortie de The Division marque le plus grand lancement de l’histoire d’Ubisoft. Il a fallu environ six mois avant le lancement pour que tout le monde soit sur la même longueur d’onde quant au travail d’analyse mais cela s’est tout de même avéré être un défi de taille « tout particulièrement pour notre infrastructure de suivi. Lors du lancement, notre capacité a lentement atteint sa limite, nous avons donc dû prendre de nombreuses décisions à la volée afin de maintenir notre flux analytique. Cela a demandé énormément de travail, mais nous l’avons fait« , déclare Alzbeta Kovacova, responsable analytique chez Massive Entertainment.

Presque toutes les entreprises en jeu emploient des données de nos jours, même s’il est simplement question d’indicateurs de performance ordinaires. De plus en plus de directeurs et de responsables saisissent le besoin de l’analytique et souhaitent en faire usage. L’analytique permet d’améliorer les jeux pour tous les joueurs, d’informer les équipes de développement durant la conception de nouveaux jeux améliorés et de rendre les efforts de marketing bien plus efficaces. »

Mme Kovacova insiste sur le fait que ce qui fait la principale différence entre une réussite et un échec pour un jeu de cet ampleur, et au sein du monde de l’analytique de jeu en général, ce sont les gens. Toutefois, bien que l’importance des données augmente pour tous les produits commerciaux, les gens peuvent aussi représenter un obstacle.

Lors de son effort annuel visant à rassembler les personnes impliquées dans ce domaine et à partager leurs leçons et expériences, le Game Analytics and Business Intelligence Forum se rendra à Londres en septembre (du 20 au 22) pour offrir des séminaires présentés par des acteurs tels que Rovio, Spotify, King et Miniclip.

Lors d’une présentation exclusive, Mme Kovacova parlera également plus en détail du lancement de The Division chez Massive entertainment lors de ce forum.

« J’espère que le secteur pourra tirer quelque chose de ma présentation, dit-elle. Mais je me réjouis aussi d’en apprendre davantage au sujet des différents défis et des solutions développées par les autres intervenants du panel. »

Cybersécurité, DDoS, Mise à jour, Patch, Piratage

Être payé pour lancer des DDoS

Déjà que lancer des DDoS était accessible au premier idiot du village, voilà que maintenant, il pourrait être possible de les payer pour leurs attaques.

Le DDoS, une plaie du web qui a pour mission de bloquer un serveur à coups de connexions de masse. Un Déni Distribué de Service, c’est un peu comme déverser des poubelles devant l’entrée d’une maison, plus personne ne peut rentrer, plus personne ne peut en sortir. Deux chercheurs américains viennent de rajouter une couche dans ce petit monde fou-fou des DDoSeurs : payer les lanceurs d’attaques.

Eric Wustrow de l’Université du Colorado et Benjamin VanderSloot de l’Université du Michigan se sont lancés dans la création d’une crypto-monnaie, comme le bitcoin, qui pourrait rémunérer les lanceurs de DDoS. Ils ont baptisé leur « idée » : DDoSCoin. Sa mission, récompenser les participants à des dénis de service distribués (DDoS). Cette « monnaie » ne fonctionne que lorsque l’ordinateur de la cible a le TLS activé (Security Layer Transport), un protocole de chiffrement pour les communications Internet sécurisée.

Créer une monnaie qui permet aux « mineurs » de prouver leur participation à un DDoS vers un serveur web ciblé peut paraitre bizarre. Les deux étudiants cherchent des méthodes pour contrer et remonter ce type d’attaque.

Cybersécurité, IOT, Mise à jour, Téléphonie

Un tricheur de PokemonGo fait interdire un opérateur Belge

3 commentaires
Voilà une histoire belge qui n’a pas dû faire rire les clients et l’opérateurs Belges Proximus. Pour contrer un tricheur de PokemonGO, l’éditeur du Jeu Niantic a bloqué ses accès aux utilisateurs de Proximus.

Un internaute a voulu faire le malin et jouer à PokemonGo à sa façon. Je vous expliquais en juillet comment de nombreux tricheurs se fabriquaient de l’expérience dans le jeu de l’été sans même bouger de leur salon. Une idée idiote alors que le jeu réclame de marcher et sortir de chez soi.

Un de ses tricheurs a expliqué sur Reddit [Fermé depuis] avoir ouvert mille comptes via une connexion Proximus. Il faut dire aussi que cet opérateur Belge ne facture pas les datas qui transitent sur son réseau. Bilan, le tricheur a voulu jouer au plus malin. Sauf que les auteurs de Pokemon Go ne sont pas manchots dans la traçabilité. Niantic a bloqué une grande partie du réseau Proximus. Bilan, les serveurs de jeu de PokemonGo ont été interdits quelques temps.

Niantic explique que chasser les tricheurs lui permet aussi d’alléger ses serveurs abordés par des milliers de bots extracteurs de données. [Vif]

Cybersécurité, Firefox, Logiciels, Mise à jour, Patch

Sécuriser Firefox efficacement en quelques clics de souris

4 commentaires
Vous utilisez Firefox est vous souhaitez que cet excellent navigateur soit encore plus sécurisé lors de vos surfs sur Internet ? Voici quelques astuces qui supprimerons la géolocalisation, le profilage de Google ou encore que vos données offline disparaissent du regard d’espions locaux.

C’est sur le blog des Télécoms que j’ai vu pointer l’information concernant le réglage de plusieurs paramètres de Firefox afin de rendre le navigateur de la fondation Mozilla encore plus sécurisé. L’idée de ce paramétrage, empêcher par exemple Google de vous suivre à la trace ou de bloquer la géolocalisation qui pourrait être particulièrement big brotherienne.

Commençons par du simple. Il suffit de taper dans la barre de navigation de votre Firefox la commande about:config. Une alerte s’affiche, pas d’inquiétude, mais lisez là quand même. recherchez ensuite la ligne security.tls.version. Les valeurs affichées doivent osciller entre 1 et 3. Ensuite, recherchez la ligne geo.enabled pour annuler la géolocalisation. Passez le « true » en « False ». Pour que les sites que vous visitiez ne connaisse pas la dernière page que vous avez pu visiter, cherchez la ligne network.http.sendRefererHeader et mettre la valeur 1. Elle est naturellement placée à 2. Passez à False la ligne browser.safebrowsing.malware.enabled.

Ici, il ne s’agit pas d’autoriser les malwares dans Firefox, mais d’empêcher Google de vous tracer en bloquant les requêtes vers les serveurs de Google. Pour que Google cesse de vous profiler, cherchez la ligne browser.safebrowsing.provider.google.lists et effacez la valeur proposée.

Pour finir, vos données peuvent être encore accessibles en « offlire », en mode hors connexion. Cherchez les lignes offline-apps.allow_by_default et offline-apps.quota.warn. La première valeur est à passer en Fasle, la seconde valeur en 0.

Il ne vous reste plus qu’à tester votre navigateur via le site de la CNIL ou celui de l’Electronic Frontier Foundation.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Firefox, Leak, Logiciels, Microsoft, Mise à jour, Paiement en ligne, Patch, Piratage

Abuser le HTTPS des sites Internet

Un commentaire
Deux chercheurs en sécurité informatique découvrent une méthode pour abuser les sites Internet en mode sécurisé (https).

Deux informaticiens Belges viennent d’alerter Google, Microsoft et les participants de la Black Hat conférence d’un problème découvert permettant de piéger les sites Internet et leur mode sécurisé, le HTTPS. Pour Tom Van Goethem et Mathy Vanhoef, deux étudiants de l’université de Leuven, la technique exploitée est baptisée HTTP Encrypted Information can be Stolen Through TCP-Windows (HEIST).

L’idée malveillante est d’intercepter les données transmisses, passant par les protocoles de sécurité tels que SSL ou TLS. Bilan, le HTTPS (connexion sécurisé) ne sert plus à rien si l’interception du trafic est orchestré, dans la foulée, par un fichier JavaScript caché sur une page web dédiée, ou exploitée à cet effet. Une publicité diffusée par une régie extérieure, qui elle n’est pas sécurisée, peut permettre cette infiltration.

La présentation des deux doctorants en informatique est disponible ICI. Pour vous protéger de ce genre d’indiscrétion, désactivez les ‘third-party cookies’ dans les paramètres de votre navigateur. Je vais être clair, pas pratique, cela va perturber le bon fonctionnement des sites en HTTPS. Mais en attendant une correction des géants de l’Internet, pas d’autres solutions.

Android, Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, ios, Mise à jour, Particuliers, Sécurité, Smartphone, Téléphonie, Windows phone

PokemonGo : un ami qui vous veut du mal ?

La folie PokemonGo n’est plus à démontrer. Il suffit de marcher dans les rues, dans les parcs, sur les plages pour croiser des centaines de « dompteurs ». La question se pose tout de même : et si ce jeu n’était qu’un maître espion.

Ah, le grand jeu vidéo de l’été. Chasser des petits bêtes via l’application PokemonGo. De la « pseudo » réalité augmentée qui a su attirer des millions d’adeptes en quelques jours. Des millions de joueurs qui fournissent des milliards de données privées.

Pokemon GO récupère la position GPS, l’historique des endroits visités, la fréquence et les habitudes de jeu. Un archivage pour une période indéterminée. La société californienne collecte adresses Google, Facebook, l’ensemble de vos informations publiques, l’IP de l’utilisateur, le nom et la version de votre système d’exploitation.

Cerise sur le gâteau, Pokemon Go sauvegarde aussi le nom de la page Web que vous visitiez avant de jouer à Pokémon Go, ainsi que les mots clés que vous avez pu utiliser pour rejoindre PokemonGo lors de votre première visite. A noter que la lecture des conditions d’utilisations est, une fois de plus, magique. L’éditeur Niantic se dégage de toute responsabilité en cas de partage des données. Des données baptisées « actifs ». Autant dire que les partenaires Google et Pokémon Company font partis de ces collecteurs. Un véritable trésor numérique.

Home sweet home pokemonGo

Les joueurs peuvent réclamer la destruction des données. Il faut envoyer un mail, ou visiter la page dédiée, ou écrire une lettre postale. Cependant, n’oublier pas de réclamer la destruction des mêmes données qui se retrouvent dans les sauvegardes.

Pour rappel, l’application était capable, à son lancement, d’ouvrir votre compte Google. Niantic avait le droit de modifier l’ensemble des données, lire vos courriels Gmail, modifier vos documents Google Drive, consulter votre historique de recherche, vos photos personnelles. Du bonheur que cette famille de Pikachu ! Est-ce que cela vaut-il vraiment le coup de lâcher toutes ses données pour quelques Pokeballs ? Bref, une fois de plus, quand une application est gratuite, c’est vous qui êtes le produit. Et si on regarde un peu plus loin, sans la jouer complotiste, PokemonGo n’aurait-il pas un but plus discret, celui de cartographier là ou Google ne peut se rendre avec ses Google Caméra ?

A lire, l’étude de SANS Institut sur l’analyse du logiciel.

Banque, Base de données, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Social engineering, Vie privée

IDICore : En un clic, ils savent tout de vous

La société IDI annonce être capable de fournir la moindre information sur les Américains. Dans IDICore, chaque mouvement physique, chaque clic, chaque jeu, chaque endroits visités sont répertoriés.

La société Interactive Data Intelligence (IDI – IDCORE), basée en Floride, présage de l’avenir « Big Brother » qui s’ouvre à nous. La société a construit un profil sur l’ensemble les adultes américains en regroupant l’ensemble des données des ressortissants locaux dans une base de données géante. Chaque mouvement, chaque clic de souris, chaque jeu utilisé, chaque endroit visité, IDI a collecté, sauvegardé, classé les informations. Comment ? En louant des accès à des bases de données. Pour 10 dollars, comme le rappel Bloomberg, les fouineurs professionnels sont en mesure de rechercher et trouver la moindre information sur les américains : adresses publiques et non publiques, photos de voiture… Ils peuvent combiner ces informations avec celles des sociétés marketing et vous combiner des informations pouvant aller jusqu’à la dernière visite chez l’épicier du coin, ce que vous avez mangé hier soir, et prédire vos futurs comportements.

idiCORE : Minority Report is back

IDI semble être la première entreprise à centraliser et à « militariser » toutes ces informations pour ses clients. Son service de base de données est baptisé idiCORE. Il combine des dossiers publics, des données démographiques et comportementales. Le responsable d’IDI, Derek Dubner, indique que son système possède un profil sur tous les adultes américains, y compris les jeunes qui ne seraient pas présents dans des bases de données classiques.

Du bluff marketing ou véritable “Big Brother” ?

Derek Dubner n’a proposé, pour le moment, aucune démonstration de son idiCORE. Il indique que ces profils comprennent toutes les adresses connues, les numéros de téléphone et adresses mail ; les adresses des anciennes et nouvelles propriétés ; il en va de même des véhicules anciens et actuels ; des potentiels actes criminels : excès de vitesse sur place ; les registres de vote ; permis de chasse ; les noms et numéros de téléphone des voisins. Les rapports proposés par idiCORE contiendraient aussi des photos de voitures prises par des entreprises privées en charge de la collecte automatisée des plaques d’immatriculation, avec coordonnées GPS.

Bref, la société IDI présage de l’avenir « Big Brother » qui s’ouvre à nous. Et il est de plus en plus moche !

Antivirus, Cybersécurité, Logiciels, Mise à jour

L’antivirus Français VirusKeeper disponible en version 2017 gratuite pour les particuliers

La société d’édition AxBx annonce la sortie de la version 2017 de son antivirus VirusKeeper. Une version gratuite pour le grand publique.

VirusKeeper est le seul antivirus français. Il repose sur un moteur d’analyse comportementale exclusif qui lui permet de détecter les malwares connus ou non. En 2006, VirusKeeper innovait déjà puisqu’il était le premier antivirus reposant sur l’analyse comportementale. Les antivirus fonctionnant à base de scanner de signatures, technologie qui date des années 80, sont aujourd’hui obsolètes et incapables de détecter les menaces actuelles.

Le nouveau VirusKeeper 2017 marque un tournant majeur dans le monde de l’antivirus puisqu’il propose désormais une version gratuite pour les particuliers. Le constat est qu’en France plus d’un particulier sur deux est mal protégé parce qu’il utilise une antivirus de technologie obsolète ou une version d’essai bridée qui est insuffisante pour assurer une protection efficace. VirusKeeper 2017 Free Edition est ainsi le premier antivirus gratuit de nouvelle génération 100% Made in France.

La version 2017 est disponible en 2 éditions : L’édition « Free » version gratuite pour les particuliers qui fournit une protection complète multi niveaux contre les menaces actuelles : virus, vers, chevaux de Troie, spyware et programmes malveillants. La version gratuite est réservée aux particuliers et aux usages privés. L’édition « Ultimate », qui fournit une protection de très haut niveau contre toutes les formes de menaces actuelles. La version Ultimate inclut également un scanner anti-grayware et Security Advisor un outil de détection de failles de sécurité. 97,8 millions de fichiers malveillants détectés et bloqués 10 années d’expérience.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, loi, Mise à jour

Règlement 2016/679 : 5 questions sur le Règlement Européen de Protection des Données Personnelles

Le règlement 2016/679 du 27 avril 2016 sur la protection des données personnelles sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union européenne. Pour les entreprises, le compte à rebours a commencé. Il convient d’être en mesure de faire face au nouveau cadre juridique européen avant sa date d’application. Qu’est-ce que cela implique pour les entreprises ?

Règlement 2016/679 – Quels sont les règles d’application territoriale ? Ce nouveau règlement européen sera d’application directe dans les 28 pays membres de l’UE. Il n’y aura pas de loi nationale de transposition. Ce Règlement s’appliquera à l’identique en « écrasant » les différentes législations nationales existantes en la matière.

Concrètement, que prévoit ce Règlement ?
Si les personnes dont les données personnelles sont collectées résident sur le territoire de l’UE (quelle que soit la localisation de celui qui collecte) : le Règlement 2016/679 s’appliquera obligatoirement à cette collecte et à tout traitement ultérieur des données ainsi collectées. Si le prestataire qui collecte ou traite des données personnelles est situé sur le territoire de l’UE : le Règlement 2016/679 s’appliquera également obligatoirement, même pour des données collectées hors UE. Cela devrait permettre à des non-résidents de l’UE d’obtenir une protection là ou leur propre pays de résidence n’en propose pas forcément.

Quels sont les droits et obligations des entreprises qui collectent et traitent des donnÉes personnelles sur le territoire de l’UE ? L’idée de fond de cette règlementation est d’imposer une transparence lors de la collecte et de tout autre « traitement » des données personnelles. Chaque  “maitre de fichiers” sera dans l’obligation de tenir un registre des traitements opérés et de prendre des mesures « effectives » de sécurisation technique des traitements. Un régime nouveau d’information obligatoire sera mis en place pour contrer toute violation des traitements. Le régime des sanctions est substantiellement “boosté” pour envisager des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial des récalcitrants.

Existe-t-il un régime particulier applicable aux “sous-traitants” ?
Les prestataires de service en mode SaaS et les hébergeurs seront tous “sous-traitants” au sens de la nouvelle réglementation européenne. Et c’est à leur niveau que se situent les plus grands changements avec l’arrivée de cette législation. Lorsqu’une entreprise qui collecte des données personnelles fera appel à un prestataire de service en mode SaaS, elle devra veiller à ce que son « sous-traitant » respecte ses directives ainsi que les obligations spécifiques qui s’imposeront aussi à ses sous-traitants. Sous la directive 95/46 (dont l’abrogation est fixée au 25 mai 2018) il suffisait que le prestataire (sous-traitant) s’engage par contrat à ne traiter les données du “maitre du fichier” que sur instructions écrites de ce dernier. Le prestataire sous-traitant devait simplement sécuriser techniquement les traitements auxquels il procédait. A l’avenir, les choses vont devoir être formalisées pour plus de transparence dans les relations entre le “maitre du fichier” et son prestataire SaaS. L’hypothèse de la sous-sous–traitance, extrêmement courante aujourd’hui dans l’industrie du logiciel en mode SaaS, est également directement impactée par cette règlementation. Car on ne trouve aujourd’hui plus guère de service SaaS sans un contrat d’hébergement avec un tiers au contrat SaaS. Ce tiers, c’est l’hébergeur qui est sous-traitant d’un service au profit des prestataires SaaS. Et Bruxelles n’a pas oublié ces professionnels dont le rôle est déterminant dans le traitement et le stockage des données personnelles.

Quels sont les droits des “personnes concernées” ?
Les personnes physiques dont les données sont collectées doivent d’abord pouvoir s’assurer qu’elles ont donné leur consentement à la collecte et au traitement ultérieur de leurs données. Le Règlement 2016/679 définit sans ambiguïté la notion de consentement : « toute manifestation de volonté, libre, spécifique, informée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif explicite, que des données [personnelles] la concernant fassent l’objet d’un traitement ». Déjà, à ce stade, il faut noter que le consentement ne pourra plus être présumé (principe de l’opt-out) mais bien exigé de manière positive et au préalable (principe de l’opt-in).

Le Règlement pose ensuite une série de critères que doivent respecter tous les traitements de données personnelles : les données doivent être traitées de manière « licite, loyale et transparente » pour la personne concernée. Ce critère de transparence est la grande nouveauté de ce texte. Ce texte précise en plus que les données personnelles ne peuvent être collectées et traitées « pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités ».

Pour ce qui est des droits accordés aux personnes dont les données personnelles sont traitées, le nouveau Règlement confirme l’existence du droit d’accès, du droit à la rectification et du droit à s’opposer à un traitement. Sont nouveaux le droit à l’effacement (droit à l’oubli), le droit à la limitation du traitement et le droit à la portabilité des données. Enfin, le Règlement consacre de nouvelles dispositions sur le « profilage » des personnes dont les données sont traitées et encadre à ce titre de manière originale les « décisions individuelles automatisées » comprenant un « profilage ».

Y a-t-il un durcissement des obligations de sécurité ?
Tout à fait ! Et c’est une des grandes nouveautés du Règlement 2016/679.  En parallèle de l’obligation de tenue d’un « registre des activités de traitement » de données personnelles, les professionnels qui collectent des données personnelles ont une obligation de sécurisation des traitements auxquels ils procèdent. A ce titre, chaque responsable du traitement et chaque sous-traitant doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Ces mesures techniques peuvent prendre plusieurs formes :

Ø    la pseudonymisation et le chiffrement des données ;
Ø    des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement ;
Ø    des moyens permettant de rétablir la disponibilité des données en cas d’incident physique ou technique ;
Ø    une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement.

Le renforcement des obligations de sécurité passe également par la transparence de la communication sur les atteintes aux données. C’est pourquoi le Règlement impose aux responsables de traitement une obligation d’information des autorités de contrôle en cas d’atteinte à la sécurité du traitement, qui entraîne une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux données.

Cette obligation d’information en cas d’atteinte aux conditions normales de stockage et d’accès aux données s’impose à l’identique à tout sous-traitant (on pense aux prestataires de service en mode SaaS ou aux hébergeurs) qui a l’obligation d’informer le responsable du traitement de toute atteinte à la sécurité, à charge pour le responsable d’en informer à son tour son autorité de contrôle. (Marc-Antoine Ledieu avocat et Frans Imbert-Vier, Président Directeur Général d’Ubcom.)

Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Social engineering

Des experts du piratage informatique seront bientôt défiés par une machine du DARPA

Au mois d’Août, sept machines participeront au premier tournoi international de défense informatique, et le vainqueur affrontera des experts du piratage informatique, selon l’Agence pour les projets de recherche avancée de défense DARPA, une agence du département américain de la Défense chargée de développer de nouvelles technologies pour l’armée américaine.

La DARPA a également annoncé qu’elle organiserait le Cyber Grand Challenge, un programme pluriannuel qui s’achèvera le 4 août à Los Angeles sur une compétition de cyberdéfense sans précédent ouverte au public. Cet événement sera organisé en collaboration avec DEF CON, l’une des conventions annuelles de piratage informatique les plus grandes et les plus reconnues au monde. Pendant cette compétition, les programmateurs des sept équipes finalistes se retireront et laisseront leur machine se battre de manière autonome pour remporter le grand prix, qui vaut des millions de dollars.

En outre, la machine de l’équipe qui remportera la compétition devra ensuite faire face aux meilleurs hackers, les vainqueurs de la compétition « Capture the Flag » (CTF) de DEF CON, qui aura lieu le 5 août, a indiqué la DARPA. « Ce sera la première fois que des concurrents mécaniques participent à l’événement, et cela pourrait annoncer le jour où l’ordinateur deviendra le grand maître de la cyberdéfense, comme cela s’est produit avec les échecs et Jeopardy! », a déclaré la DARPA dans un communiqué.

Capture the Flag

Le premier Grand Challenge de la DARPA était une compétition pour voitures autonomes organisée en 2004. Bien que l’événement ait été un échec, aucun véhicule robotisé n’ayant réussi à finir le parcours, cette compétition a cependant incité de nombreuses autres entreprises, dont Google, à s’intéresser à la fabrication de véhicules autonomes.

La DARPA souhaite à présent organiser la même compétition pour la cyberdéfense. D’après l’agence, le processus de recherche et de correction de bogues, de cracks ainsi que d’autres vecteurs d’infection reste en effet encore artisanal. Avec le développement de l’Internet des objets (IdO), la sécurité des systèmes informatiques doit évoluer vers un processus extensible et largement automatisé.

Cependant, « contrairement aux voitures autonomes, pour lesquelles le chemin vers l’autonomie complète, aussi difficile soit-il, n’est qu’une question de progrès technologique, nous ignorons encore si l’autonomie de raisonnement exigée par la cyberdéfense est possible à atteindre », a expliqué le directeur de programme de la DARPA Mike Walker, qui a organisé le Cyber Grand Challenge en 2013.

« De la même manière que le premier vol effectué par les frères Wright n’est pas allé loin mais a déclenché une chaîne d’événements qui a rapidement permis au monde de réduire les distances, une démonstration convaincante que la cyberdéfense automatisée est possible serait un changement de paradigme important et précipiterait l’arrivée du jour où les pirates informatiques n’auront plus les avantages inhérents dont ils bénéficient aujourd’hui« , a estimé M. Walker. (PeopleDaily)

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, santé

Big Data et Santé : les données médicales relèvent d’une législation particulière

Les données de santé occupent une place particulière dans le Big Data. Personnelles, sensibles mais aussi confidentielles, les données médicales relèvent d’une législation particulière. Qu’il s’agisse de la gestion d’un établissement de soin ou de la dématérialisation d’un dossier patient, leur nombre ne cesse d’augmenter. Est-il possible d’assurer la protection des données médicales, tout en permettant aux établissements et professionnels de santé de pouvoir les gérer facilement au quotidien ?

Les données de santé, de par leur confidentialité, sont régies par le Code de la santé publique et plus particulièrement par l’article L. 1110-4. Celui-ci définit les conditions de cette protection juridique en autorisant l’échange de données de santé entre l’équipe de soin du même établissement ou des professionnels de santé d’entités différentes mais prenant en charge le même patient, sous réserve que celui-ci bénéficie du droit d’opposition. Par ailleurs, le patient peut accéder à ses données médicales, les faire rectifier, les mettre à jour ou les supprimer s’il le souhaite.

Outre la protection juridique des données, des exigences techniques ont également été mises en place. Il s’agit ici des obligations de protection physique des données pour les professionnels de santé. Ils sont tenus de protéger les informations en les manipulant mais aussi en les stockant dans un environnement sécurisé. Pour cela, ils peuvent les conserver en interne ou faire appel à un hébergeur agréé pour les stocker.

Hébergeur Agrée de Données de Santé

L’agrément « Hébergeur Agrée de Données de Santé » (HADS), a été créé afin de garantir la confidentialité, l’intégrité, la disponibilité et la traçabilité des informations sensibles que constituent les données médicales. Le respect de nombreuses exigences est ici impliqué comme l’authentification forte, le chiffrement des données, la traçabilité des accès etc.

Un cadre légal strict ne veut pas dire la fin de la collaboration au sein des établissements de santé
Aujourd’hui, l’essentiel des informations liées au patient est dématérialisé. Il peut s’agir d’une prescription médicale, de résultat d’analyse, d’un dossier d’hospitalisation ou de tout autre information dont un professionnel de santé peut avoir connaissance. Par ailleurs, les médecins et les hôpitaux ne sont pas les seuls à manipuler des données de santé et à être soumis à cette législation particulière. Par exemple, toute application mobile qui traiterait des données à caractère médical est aussi obligée de passer par un tiers hébergeur agréé. Ce cadre légal concerne donc un volume immensément important de données, d’autant plus que le marché de l’e-santé est en forte croissance.

Ce cadre légal ne doit pas être un frein pour les établissements et professionnels

S’il doit permettre de sécuriser les informations médicales des patients, ce cadre légal ne doit pas être un frein pour les établissements et professionnels de santé dans leur travail quotidien. En effet, ces données regroupent toutes les informations concernant un individu. Si l’on prend l’exemple d’un hôpital, il est important que l’ensemble de l’équipe soignante puisse accéder facilement et rapidement aux informations d’un patient.

Aussi la loi autorise à ce qu’une application puisse se superposer à la couche d’hébergement agrée dans la mesure où celle-ci est compatible avec les prérequis de l’agrément. Ainsi, l’établissement ou le professionnel de santé peut se doter d’une solution de gestion et de partage de fichiers sécurisée compatible avec un hébergeur agrée, et allier à la fois conformité à la loi et collaboration. (Lydie Balfet, NetExplorer)

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Mise à jour

European Cyber Week : J’entends le loup, le renard et le hacker

Du 21 au 25 novembre, la Bretagne va accueillir l’ European Cyber Week. Cinq jours dédiés à la sécurité informatique.

La ville de Rennes, en Bretagne, va accueillir, du 21 au 25 novembre 2016, l’ European Cyber Week. Derrière ce titre, le Pôle d’excellence cyber [Créé en 2014, on y retrouve dans son conseil d’administration le Vice Amiral Arnaud Coustillière et Madame Marie-Noëlle Sclafer représentants le Ministère de la Défense, NDR]. Ce rendez-vous va proposer 7 rendez-vous dédiés à la sécurité informatique. Une première à Rennes.

Au programme de l’ European Cyber Week : état des avancées technologiques en matière de cyberdéfense et de cybersécurité (C&ESAR) ; l’Internet des objets ; le lien entre recherche et entreprises de la cybersécurité ; Peer learning entre régions européennes sur le développement de la cybersécurité en tant qu’activité économique ; un colloque sur l’état de l’art de la recherche en matière de sécurité des réseaux électriques intelligents et un challenge de hacking éthique.

L’ European Cyber Week est financé et épaulé par le Conseil régional de Bretagne, le ministère de la Défense, DGA Maîtrise de l’information, BDI, EIT Digital, Images & Réseaux, Rennes Atalante, INRIA, Université de Rennes 1, Telecom Bretagne, Meito et avec le soutien de l’Union européenne.

La Bretagne dispose d’un peu plus de 120 entreprises spécialisées dans la cybersécurité. En 2014, la Région avait lancé un appel à projets baptisé « solutions nouvelles de cybersécurité« . Une enveloppe de 593 000€ avaient été partagées entre 13 sélectionnés : Prescom, Med E Com, Frogi Secure, Interface Concept, AriadNext, DareBoost, Opale Security, Amossys [présent dans le conseil d’administration du Pôle d’excellence cyber], First Wan Delivery Network, Tevalis, Celtpharm. En juin 2016, 800 000€ étaient proposés dans un nouvel appel à projet. Un appel qui se cloture dans quelques semaines. (7Seizh)

Cybersécurité, Hacking, Mise à jour, Rendez-Vous, Social engineering

Un boitier sans fil pour protéger son ordinateur

ZATAZ Web TV ZATAZ Tv E24S5 est sorti. Au sommaire de ce 24ème épisode de l’année : retour sur la Nuit du Hack 2016 ; la découverte du boitier Glabys pour protéger son ordinateur ; les actualités à ne pas rater concernant la cybersécurité, le hacking et le petit monde du piratage informatique.

Au programme de ce nouveau numéro de ZATAZ Web TV (semaine du 04 juillet 2016) : Retour sur l’exceptionnelle Nuit du Hack 2016 qui s’est tenue à Disney Land Paris le week-end du 2 et 3 juillet 2016 ; découverte d’un petit boitier Bluetooth étonnant, le Glabys, qui permet de bloquer votre ordinateur quand vous vous éloignez de votre machine. Il suffit de se rapprocher pour que la machine soit de nouveau disponible. Bref, un étonnant boitier sans fil pour protéger son ordinateur ; et l’actualité du moment liée au piratage informatique, codes malveillants, conférences à ne pas rater…

Cloud, Cybersécurité, Entreprise, Mise à jour

Votre système d’information est-il protégé des dangers du cloud ?

Plan de la sécurité – Blue Coat Systems, Inc. fournisseur de solutions avancées de sécurité du Web pour les entreprises et administrations publiques, a présenté les premiers résultats d’une enquête en ligne menée auprès de 3 130 salariés d’entreprises d’une variété de secteurs en Europe. Cette enquête réalisée par YouGov offre une vision détaillée de la façon dont ceux-ci utilisent actuellement des applications cloud telles que Dropbox, Box, Office 365, Slack, LinkedIn, Facebook et Gmail sur le plan de la sécurité.

plan de la sécurité – Les professionnels européens d’aujourd’hui exposent leur entreprise à des risques de fuite et d’utilisation abusive de données sensibles. Ces risques atteignent désormais des proportions alarmantes pour les organisations. Ainsi, les résultats de l’enquête indiquent que 53 % des personnes interrogées utilisent des applications cloud au travail. Et c’est en France que celles-ci sont le plus populaires avec 64 % des répondants, soit plus qu’au Royaume-Uni (49 %) ou en Allemagne (47 %).

Les entreprises s’appuient de plus en plus sur ces technologies ; pourtant, il est fréquent que les applications cloud utilisées n’aient pas été validées par les services informatiques. C’est ainsi que des données professionnelles sensibles se retrouvent exposées à un risque d’utilisation inappropriée par des employés les partageant ou les stockant (volontairement ou non) ailleurs que sur des applications protégées d’entreprise. L’enquête met en évidence les principaux risques que le cloud représente pour les organisations, notamment celui de se retrouver avec des données échappant à leur contrôle (« shadow data »). En voici les principaux enseignements :

L’utilisation d’applications cloud au travail motivée par une quête de productivité
Le partage de données se fait principalement à des fins collaboratives : 23 % des personnes interrogées utilisent des applications cloud pour transmettre des informations à leurs collègues. En outre, 17 % des répondants se servant d’applications cloud pour travailler à distance et 10 % de ceux en utilisant en déplacement à l’étranger affirment agir dans un souci de productivité. La génération Y fait par ailleurs figure de pionnier en matière de partage de données sur de telles applications : 30 % des 18-24 ans et 25 % des 25-34 ans partagent des informations avec leurs collègues, contre 18 % des 45-54 ans et 21 % des 55 ans et plus.

Les fonctions les plus critiques présentent les risques les plus sérieux pour la sécurité des informations
Les spécialistes de la gestion des systèmes d’information (76 %), des RH (69 %) et des finances (59 %) sont ceux qui utilisent le plus ces applications cloud au travail. Ils exposent ainsi les données d’entreprise les plus sensibles et précieuses aux risques d’une sécurité moins élevée.

Les données clients et de marketing sont les plus vulnérables
Les applications cloud servent régulièrement à échanger des bases de données et du contenu. Les registres de ventes et les bases de données clients, deux éléments ciblés par la future réglementation GDPR (General Data Protection Regulation), sont donc particulièrement exposés. En effet, parmi les individus partageant des informations professionnelles confidentielles à l’aide de telles applications, 29 % partagent des données de marketing ; viennent ensuite les données clients (23 %), informatiques (20 %) et financières (17 %).

Les employés vont même jusqu’à enfreindre la loi
De nombreuses utilisateurs d’applications cloud admettent le faire à des fins non autorisées, comme pour récupérer des données de leur ancienne société, pour dénoncer leur entreprise, voire pour assurer leur protection personnelle. Bien qu’il soit illégal de dérober des données appartenant à une entreprise avant d’en rejoindre une nouvelle, 7 % des répondants admettent se servir d’applications cloud pour se livrer à cette pratique. La dénonciation d’actes répréhensibles commis par une entreprise n’est, elle, pas illégale, et est la motivation derrière 8 % de l’utilisation du cloud pour conserver des données.

C’est dans le domaine des RH que cette pratique est la plus fréquente avec 17 % des professionnels du domaine. Enfin, le souci d’assurer sa propre protection (en récupérant des données d’entreprise afin de protéger des informations personnelles) motive 14 % de l’utilisation d’applications cloud au bureau. Les spécialistes de la gestion des RH (21 %), des systèmes d’information (18 %) et financière (17 %) sont ceux qui en utilisent le plus dans ce contexte. Compte tenu de la sensibilité des données gérées par ces types de professionnels, cette pratique présente donc un risque sérieux pour les entreprises.

L’âge, un facteur majeur dans l’utilisation du cloud
Plus les employés sont jeunes, plus ils utilisent d’applications cloud : 63 % des 18-24 ans s’en servent au travail, contre 59 % des 25-34 ans, 55 % des 35-44 ans, 48 % des 45-54 ans et 47 % des 55 ans et plus. Généralement plus à l’aise avec les nouvelles technologies, les jeunes peuvent en revanche se montrer moins respectueux des mesures de sécurité.

« Cette enquête met en lumière les comportements des employés utilisant des applications cloud au bureau, ainsi que les risques auxquels ils exposent leurs employeurs en adoptant de tels comportements », déclare à DataSecurityBreach.fr le Dr Hugh Thompson, directeur technique et vice-président sénior de Blue Coat Systems, Inc. « Il est important de noter que les équipes gérant les données les plus critiques (soit les professionnels de la gestion financière, des systèmes d’information et des RH) sont les plus adeptes de ces applications. Les données sensibles placées sous leur responsabilité sont souvent les cibles privilégiées des pirates. La chasse aux shadow data, ou données « fantômes » car échappant au contrôle des équipes informatiques, restent clairement un défi de taille pour les organisations. Celles-ci doivent adopter une approche proactive afin d’éviter le partage de données sur des applications non approuvées, et pour s’assurer que les employés accèdent aux informations conformément aux paramètres d’utilisation établis pour éviter tout danger. »

N.B. Tous les chiffres, sauf mention contraire, sont fournis par YouGov Plc. Taille totale de l’échantillon : 6 044 adultes, dont 3 130 individus actifs. Le travail sur le terrain a été réalisé du 6 au 12 mai 2016. L’enquête a été réalisée en ligne. Les chiffres ont été pondérés et sont représentatifs de tous les adultes britanniques, français et allemands (âgés de 18 ans et plus).

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Patch Tuesday Juin 2016

L’analyse du Patch Tuesday juin contient une menace 0-Day connue sur Flash, qui est actuellement en cours d’exploitation à l’aveugle. Le reste est plutôt classique avec 16 bulletins de Microsoft pour corriger plus de 40 vulnérabilités pour le mois de juin.

Le Patch Tuesday juin 2016 arrive avec un cortège de 16 bulletins publiés par Microsoft pour résoudre plus de 40 vulnérabilités (CVE) différentes. Cela porte à 81 le nombre de bulletins pour les 6 premiers mois, ce qui laisse augurer plus de 160 bulletins d’ici fin 2016, un nouveau record pour la dernière décennie en termes de correctifs.

Votre attention doit se porter en priorité sur Adobe Flash. En effet, Adobe a reconnu qu’une vulnérabilité (CVE-2016-4171) au sein du lecteur Flash actuel est en cours d’exploitation en aveugle, si bien que l’éditeur a reporté le patch mensuel pour Adobe Flash. Dans son avis de sécurité APSA16-03. Adobe promet ce patch pour d’ici la fin de la semaine. Surveillez attentivement sa diffusion et déployez-le dès que possible. Si l’outil EMET est installé sur vos systèmes, vous êtes protégés. Pour information, c’est le troisième mois d’affilée qu’une faille 0-Day est découverte dans Flash, ce qui en fait le logiciel certainement le plus ciblé sur les points d’extrémité de votre entreprise.

Ce mois-ci, un ensemble de bulletins à la fois pour les serveurs et les systèmes clients va occuper cette semaine toute l’équipe IT qui devra sécuriser les systèmes de l’entreprise.

Vulnérabilité critique

La vulnérabilité la plus intéressante côté serveur est résolue dans le bulletin MS16-071. Ce dernier corrige une vulnérabilité critique unique sur le serveur DNS de Microsoft. En cas d’exploitation réussie, l’attaquant déclenche une exécution de code à distance (RCE) sur le serveur, ce qui est extrêmement fâcheux pour un service aussi critique que DNS. Les entreprises qui exécutent leur serveur DNS sur la même machine que leur serveur Active Directory doivent être doublement conscientes du danger que représente cette vulnérabilité.

Côté client, la vulnérabilité la plus importante est résolue dans le bulletin MS16-070 Elle corrige plusieurs problèmes dans Microsoft Office. Principale vulnérabilité associée au format Microsoft Word RTF, CVE-2016-0025 déclenche une exécution RCE au profit de l’attaquant. Le format RTF pouvant être utilisé pour attaquer via le volet d’aperçu d’Outlook, la faille peut être déclenchée à l’aide d’un simple email et sans interaction avec l’utilisateur.

Côté navigateur Web, les bulletins MS16-063 pour Internet Explorer, MS16-068 pour Edge et MS16-069 pour Javascript sur Windows Vista traitent plusieurs vulnérabilités RCE critiques qui sont exploitables lors d’une simple navigation sur le Web. Ces vulnérabilités constituent un vecteur d’attaque privilégié pour les cybercriminels et nous vous recommandons de les corriger dans les 7 prochains jours.

Les autres vulnérabilités concernées par ce Patch Tuesday juin sont toutes classées comme importantes. Elles sont généralement exploitées pour élever des privilèges une fois qu’un intrus est parvenu à exécuter du code sur la machine et sont donc associées avec une exécution de code à distance comme décrit ci-dessus. L’exception est MS16-076 qui résout une faille unique dans Windows Netlogon pouvant fournir une exécution RCE à l’attaquant. Sa gravité est moindre qu’une vulnérabilité RCE normale parce l’attaquant devra dans un premier temps prendre le contrôle du serveur Active Directory.

Deux autres vulnérabilités côté serveur dans le patch tuesday juin

Une élévation de privilèges sur le composant du serveur SMB résolue dans le bulletin MS16-075

Une faille dans Microsoft Exchange résolue dans le bulletin MS16-079 entraînant aussi une élévation de privilèges, certains étant liés au patch Oracle dans la bibliothèque Outside-in.

En résumé, il s’agit d’un Patch Tuesday relativement classique mais avec une menace 0-Day connue qui nécessite de surveiller impérativement la publication de la prochaine mise à jour de Flash. Corrigez les autres problèmes en fonction de vos priorités habituelles, mais faites particulièrement attention à la vulnérabilité qui affecte le serveur DNS et qui va forcément susciter des comportements indésirables. (Wolfgang Kandek, CTO de Qualys).

Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Social engineering

Piratage d’utilisateurs de TeamViewer : la faute aux utilisateurs

Un commentaire

Un nombre conséquent d’utilisateurs de TeamViewer se sont plaints du piratage de leur compte. La société américaine indique que les utilisateurs sont responsables… de leur négligence.

De nombreuses sociétés Internet comme Reddit ont dû modifier les mots de passe de certains de leurs utilisateurs, 100.000 pour Reddit, à la suite du piratage massif des données de Myspace, LinkedIn… Pourquoi ? Les utilisateurs exploitaient le même mot de passe sur différents supports numériques. Autant dire du pain béni pour les pirates. Parmi les victimes, le fondateur de Facebook. Lui, il cherchait doublement les ennuis, son mot de passe n’était rien d’autre que « dadada« . Bref, à force de penser que cela n’arrive qu’aux autres, le danger vous tombera dessus, un jour ou l’autre, et plus rapidement que vous pourriez le penser.

TeamViewer, l’outil qui permet de se connecter sur un ordinateur, à distance, vient d’alerter ses utilisateurs. Un grand nombre de clients TeamViewer s’étaient plaints du piratage de leur compte. L’entreprise a utilisé le terme de « négligence » pour définir les récents problèmes.

TeamViewer a mis en place, la semaine dernière, un nouveau système de sécurité pour renforcer les connexions : la double authentification. Le porte-parole de TeamViewer a indiqué que le développement des outils de sécurité avait commencé, il y a quelques semaines, lorsque les premiers rapports de vols de compte ont émergé du web.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch

Problème de confidentialité pour le site My pension

Le site Belge Mypension.be souffre d’un problème de confidentialité. Un utilisateur pensant être déconnecté… le reste sans le savoir.

problème de confidentialité – Les cookies sont de petits fichiers permettant de rendre « unique » l’utilisation d’un site Internet. Il permet de garder en mémoire une session après l’utilisation d’un identifiant de connexion ; de garder en mémoire les choix que vous avez pu effectuer sur un forum, une boutique… Le cookie peut aussi être un problème, surtout si ce dernier est mal géré.

C’est ce qui vient d’arriver au site Internet du gouvernement Belge, Mypension.be. Cet espace du service public du royaume ne prend pas en compte l’ordre pourtant donné par le bouton « deconnexion ». Bilan, si une personne surfe sur un ordinateur public ou semi public (bureau…) un second internaute, face au clavier, peut se retrouver connecter aux informations privées et sensibles du propriétaire légitime. « Une solution technique est en préparation et sera déployée aussitôt qu’elle aura été validée. La sécurité est en effet essentielle pour nos utilisateurs. » infique le site des pensions belges au journal Le Vif.

Espérons pour ce site qu’aucune faille de type XSS (Cross-Site Scripting) existe. Une XSS permet de dérober, par le biais d’un lien particulièrement formulé, d’intercepter les données d’un cookie, donc dans ce cas, de connexion d’un belge utilisateur de My Pension. Une attaque qui peut faciliter, pour un malveillant, l’accès aux données d’une cible pensant être déconnectée de son administration.