Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Télécom Lille propose un Mastère Spécialisé « Ingénierie de la Cybersécurité »

Télécom Lille propose un Mastère Spécialisé  « Ingénierie de la Cybersécurité »  accrédité par la Conférence des Grandes Ecoles en septembre 2016.

Ingénierie de la Cybersécurité – Les entreprises et les organisations privées et gouvernementales font face chaque jour à de nouveaux enjeux en matière de protection de leurs patrimoines et de sécurisation de leurs infrastructures. En effet, l’omniprésence de la technologie sans fil, les systèmes d’information répartis, le cloud computing, le nomadisme, ont profondément modifié et accentué les risques touchant à la sécurité des données.

Télécom Lille, grande école d’ingénieurs dans le domaine du numérique, a fait de la sécurité l’un de ses axes majeurs de formation et de recherche depuis plus de 20 ans. Pour répondre aux besoins croissants de ce secteur, elle proposera à partir de la rentrée 2016 une formation diplômante en « Ingénierie de la Cybersécurité », accréditée Mastère Spécialisé par la Conférence des Grandes Ecoles.
Cette formation, conçue en partenariat avec les entreprises, s’appuie sur 522 heures d’enseignements théoriques, de travaux pratiques et de travaux de groupes et sur une thèse professionnelle de 5 mois à réaliser en entreprise.

Elle vise l’acquisition des connaissances méthodologiques, théoriques et techniques nécessaires pour maîtriser la mise en place de la sécurité du système d’information, l’identification des risques et l’élaboration des plans de sécurité destinés à  protéger les ressources vitales de l’entreprise contre les agressions internes et externes de toutes natures. De grandes entreprises leaders du secteur de la Cybersécurité/Cyberdéfense soutiennent ce nouveau Mastère et participeront à la formation à travers l’intervention de leurs experts.

Pour plus d’informations sur les conditions de candidatures : consulter le site web ou par tél  03.20.33.55.79

Le ransomware : une histoire de business criminel

Le ransomware est un modèle économique criminel, et non un problème de malware.

L’Unité 42 publie sa dernière analyse en date sur les ransomware, qui représentent l’une des cybermenaces les plus sérieuses auxquelles sont aujourd’hui confrontées les entreprises aux quatre coins du monde. Véritable modèle économique, le ransomware, ou rançongiciel, se révèle extrêmement efficace pour enrichir les cybercriminels tout en causant un préjudice opérationnel significatif aux entités touchées. Il ne fait pas de distinction entre ses victimes, sévit partout dans le monde et frappe les principaux marchés verticaux. Petites structures, grandes entreprises, particuliers : tous sont des cibles potentielles.

Si les rançongiciels existent, sous diverses formes, depuis plusieurs décennies, les criminels en ont perfectionné les principaux aspects au cours de ces trois dernières années. Résultat : les nouvelles familles de malware se sont multipliées, rendant cette technique particulièrement redoutable, et de nouveaux acteurs prennent aujourd’hui part à ces procédés très lucratifs.

Pour mener à bien une attaque de ce type, un pirate doit se conformer à la procédure suivante :
1.     Prendre le contrôle d’un système ou d’un équipement.
2.     Empêcher le propriétaire de l’équipement contrôlé d’y avoir accès, en partie ou en totalité.
3.     L’avertir que l’accès à son équipement lui sera restitué, moyennant le versement d’une rançon, et lui préciser les modalités de règlement de celle-ci.
4.     Accepter le paiement effectué par le propriétaire de l’équipement.
5.     Restituer au propriétaire un accès intégral à son équipement une fois le paiement perçu.

Si le pirate néglige l’une de ces étapes, il ne parviendra pas à ses fins. Bien que le concept de ransomware existe depuis plusieurs décennies, la technologie et les techniques requises pour s’acquitter de ces cinq étapes à grande échelle étaient encore inaccessibles il y a quelques années. La déferlante d’attaques imputables à l’exploitation de cette procédure a eu des répercussions sur les entreprises du monde entier qui, pour nombre d’entre elles, n’étaient pas préparées à les esquiver.

Multiplication des plates-formes
Les rançongiciels ont d’ores et déjà migré de Windows à Android, et un cas sous Mac OS X a été recensé. Aucun système n’est à l’abri de ce genre d’attaques, et tout équipement susceptible d’être détourné pour faire l’objet d’une demande de rançon sera une cible à l’avenir. Ce phénomène s’affirmera encore avec l’essor de l’Internet des objets (IoT). Si un pirate est en mesure d’infecter un réfrigérateur connecté à Internet, peut-être est-il plus délicat de monnayer cette intrusion. Pourtant, le modèle économique du ransomware peut s’appliquer à ce cas de figure, et plus largement, à partir du moment où le pirate est en mesure de s’acquitter des cinq étapes citées pour mener à bien ce type d’attaque. Une fois le réfrigérateur infecté, le pirate en question pourrait parfaitement désactiver à distance le circuit de refroidissement et ne le réactiver qu’en contrepartie d’un petit pécule versé par la victime.

Rançons très élevées
Dans le cadre d’attaques mono systèmes de type ransomware, des rançons allant de 200 à 500 $ sont exigées, mais les montants peuvent être nettement plus élevés. Si des pirates réalisent avoir compromis un système stockant de précieuses informations, et que l’entité infectée a les moyens de payer, ils reverront à la hausse le montant de leurs exigences. Nous avons d’ores et déjà constaté ce phénomène avec plusieurs attaques ultra-médiatisées dirigées contre des hôpitaux en 2016 : les rançons acquittées dépassaient largement les 10 000 $.

Attaques ciblées avec demande de rançon
Une intrusion ciblée sur un réseau s’avère intéressante pour un pirate à plus d’un titre. La revente ou l’exploitation d’informations dérobées est une technique usuelle, mais qui nécessite souvent une infrastructure « back-end » supplémentaire et des préparatifs pour pouvoir les monnayer. Les attaques ciblées avec ransomware représentent un réel potentiel pour ces pirates susceptibles de ne pas savoir comment autrement monétiser leur intrusion. Une fois le réseau infiltré, rien ne les empêche d’isoler des fichiers très lucratifs, bases de données et systèmes de sauvegarde, puis de crypter simultanément l’ensemble de ces données. De telles attaques, qui font appel au logiciel malveillant SamSa, ont d’ores et déjà été observées et se sont révélées très rentables pour les adversaires les exécutant.

L’Insee et la Drees ouvrent le code source d’Ines

L’Insee et la Drees mettent leurs données à disposition depuis de nombreuses années. Le 14 juin, ils iront encore plus loin et partageront le code source d’un de leurs outils de simulation, le modèle Ines, qui fête ses 20 ans cette année.

Cette ouverture sera précieuse pour tous ceux qui souhaitent utiliser un modèle fiable et éprouvé, afin de mener des évaluations de politiques publiques. Elle le sera également pour l’Insee et la Drees qui pourront améliorer le modèle grâce aux contributions libres.

Mais qu’est Ines ?
Créé en 1996, Ines est l’acronyme d’« Insee-Drees », les deux organismes qui développent conjointement le modèle. Le modèle Ines simule les prélèvements sociaux et fiscaux directs et les prestations sociales à partir de données représentatives de la population française que fournit l’enquête Revenus fiscaux et sociaux. Il est largement mobilisé par l’Insee et la Drees pour éclairer le débat économique et social dans les domaines de la redistribution monétaire, la fiscalité ou la protection sociale.

A partir d’Ines, l’équipe Insee – Drees  publie chaque année un dossier dans France Portrait Social qui décrit l’impact des mesures fiscales et sociales de l’année précédente sur le niveau de vie moyen et les inégalités.   Ines permet également l’estimation des indicateurs avancés du taux de pauvreté monétaire et des inégalités.  Il est aussi utilisé comme outil d’appui à la réflexion, notamment en réponse aux sollicitations des ministères de tutelles, de divers Hauts Conseils, ou d’organismes de contrôle (IGF, Cour des Comptes, Igas).

Pour en savoir plus sur le modèle Ines .

Que pourra-t-on faire à partir du code source d’Ines ?  
Mener des travaux de recherche à partir d’un outil performant et éprouvé. Fort de ses vingt ans d’existence, le modèle Ines est un modèle de référence en matière de simulation des prélèvements obligatoires et des prestations sociales. Le mettre à disposition, c’est permettre aux  équipes de recherche ayant accès aux données sur lesquelles s’appuie le modèle, de mener des travaux pointus et approfondis, notamment à des fins d’évaluation de politiques publiques.  De plus, l’Insee et la Drees joignent au code source une documentation très complète et continuellement alimentée via un wiki, pour permettre à chacun une utilisation autonome du modèle.

Contribuer à l’amélioration du modèle
L’Insee et la Drees se réjouissent de pouvoir bénéficier ainsi des contributions d’experts extérieurs à la conception du modèle Ines. Un dispositif sera mis en place dès le 14 juin pour recueillir les propositions d’amélioration. Les utilisateurs pourront communiquer entre eux et s’adresser à l’équipe qui administre le modèle pour signaler des erreurs dans le code et/ou proposer des améliorations, via un forum dédié. Ces propositions seront étudiées par l’équipe Insee – Drees et pourront être intégrées au modèle.

La reconnaissance d’un « droit du sampling » en faveur de Madonna

Jeudi 2 juin 2016, la chanteuse Madonna a remporté une nouvelle victoire, non pas de la musique mais sur le plan judiciaire. En effet, elle avait été accusée par la maison de disque VMG Salsoul d’avoir abusé de l’art du « sampling » qui consiste à incorporer un très court extrait de la musique d’un autre dans son propre morceau.

En l’espèce, c’est dans sa version pour radio de la chanson « Vogue » sortie en 1990 que la Madonne a repris à cinq reprises un sampling d’une mélodie de cuivres extraite du morceau « Ooh I Love it (Love Break) » du Salsoul Orchestra, une groupe de funk américain qui étais sorti au début des années 80’. C’est le producteur de cette dernière chanson qui avait collaboré avec Madonna pour enregistrer ce qui est ensuite devenu un tube planétaire.

Sampling : la légitimité de l’action contre Madonna en vertu du droit d’auteur
La magistrate Susan Graber n’a pas remis en cause le fait que même de courts extraits de morceaux, qui pourraient donc potentiellement servir à d’autres artistes sampleurs, sont protégées par le droit d’auteur. C’est pourquoi elle est revenue sur la décision des juges du fond qui avaient considéré que les poursuites engagées par la maison de disque étaient déraisonnables.

Cependant, la juge a estimé que « le grand public [ne pouvant pas] de détecter l’origine des cuivres », le groupe Salsoul Orchestra n’avait aucune légitimité à réclamer des royalties, c’est-à-dire des redevances au titre de l’utilisation par Madonna d’une partie de leur morceau.

Des limites apportées au droit d’auteur en faveur de la créativité musicale
C’est donc de manière très concrète que cette affaire a été abordée. On part du postulat que tout artiste peut s’opposer au sample de ses chansons, mais sa demande ne sera accueillie que si le public est en mesure de faire un lien direct entre les deux morceaux. L’atteinte au droit d’auteur n’est donc pas automatique, ce qui est très favorable à la création musicale.

En effet, cette décision montre qu’à partir du moment où un artiste créé une œuvre musicale assez originale pour qu’on ne puisse pas détecter l’utilisation d’un sample, alors il n’a pas à verser de royalties au titulaire des droits d’auteur sur le morceau original. A l’inverse, l’artiste qui en quelques sortes ne camoufle pas assez le sample à travers sa propre création de telle sorte qu’on peut reconnaître l’origine du court extrait repris devra rémunérer l’auteur original.

Sampler n’est pas forcément plagier : Une solution française déjà établie
Cette décision américaine fait écho à une jurisprudence établie en France depuis une affaire qui avait confronté Les inconnus à Maceo Parker en 1993 et qui a été confirmée par un arrêt du 5 juillet 2000 du Tribunal de grande instance de Paris. Les juges français ont en effet considéré que « le caractère reconnaissable de l’emprunt par un auditeur moyen » constitue le critère de qualification de l’acte de contrefaçon quand le sample n’a pas fait l’objet d’une autorisation préalable. Cela permet de concilier les intérêts des artistes samplés comme des artistes sampleurs.

En conclusion, il est à espérer que l’alignement des États-Unis sur la solution française entrainera l’avènement d’un véritable « droit au sample » dans le monde. Les artistes recourent de plus en plus, et ce depuis l’apparition du Hip Hop, à cette technique et les sanctionner à ce titre lorsqu’ils ont fait un sérieux effort de création serait préjudiciable à l’ensemble de l’industrie musicale. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM).

Lutte contre le cyber-terrorisme : vie privée et sécurité nationale

Une étude révèle des attitudes et des avis différents dans la région EMEA quant à l’utilisation des données personnelles et la lutte contre le cyber-terrorisme.

Une étude initiée par F5 Networks et menée à l’échelle européenne auprès de 7 000 personnes (1) révèle que 75 % des individus n’ont aucune confiance dans les réseaux sociaux et les entreprises marketing, en ce qui concerne la protection de leurs données personnelles. 70 % des individus se disent « préoccupés » lorsqu’ils partagent leurs données avec des entreprises et 64 % inquiets pour leur vie privée. Seuls 21 % sont convaincus que les entreprises peuvent protéger efficacement leurs données contre le piratage.

Lutte contre le cyber-terrorisme : Une confiance sous conditions
Sur l’ensemble du panel, plus de la moitié des individus sont prêts à partager leurs données – date de naissance (53 %), statut matrimonial (51 %) et intérêts personnels (50 %) en échange de l’utilisation gracieuse de services. En France, ils sont 55 % à être prêts à communiquer leurs intérêts personnels (contre seulement 35 % au Royaume-Uni).

Pourtant, près d’un cinquième des répondants (18 %) déclare qu’ils ne partageraient jamais leurs données contre un service, ce qui est le cas de 21 % des français et de 33 % des britanniques. En fait, sur la région EMEA, les habitants du Royaume-Uni sont les moins disposés à communiquer leurs données.

Un degré de confiance différent selon le secteur d’activité de l’entreprise
Les individus considèrent les banques comme les sociétés les plus dignes de confiance (76 %) et leur font davantage confiance pour protéger leurs données (73 %) que les entreprises d’autres secteurs. Il reste toutefois une insatisfaction concernant les méthodes utilisées pour protéger les données. Les utilisateurs trouvent ainsi que les banques (77 %), les organismes de santé (71 %), de même que le secteur public et le gouvernement (74 %), ont besoin de renforcer leurs systèmes d’authentification pour atteindre un plus haut niveau de sécurité.

« Les acteurs traditionnels tels que les banques sont, par leur activité, considérés comme de confiance », commente Antoine Huchez, responsable marketing Europe du Sud chez F5 Networks à DataSecurityBreach.fr. « Pourtant, cela ne nous empêche pas les consommateurs de partager des informations sur les réseaux sociaux, alors qu’ils considèrent ceux-ci comme peu fiables, en matière de protection des données personnelles. Les utilisateurs étant de plus en plus sensibilisés sur les risques, les entreprises doivent mettre en place une infrastructure de sécurité et de protection des données – technologie, éducation et processus – suffisamment rigoureuse pour répondre aux inquiétudes de leurs utilisateurs et garder la confiance de leurs clients ».

Le débat lutte contre le cyber-terrorisme : confidentialité ou protection ?
Le règlement européen sur la protection des données personnelles (General Data Protection Regulation – GDPR), récemment approuvé par le Parlement européen, donne aux citoyens le droit de se plaindre et d’obtenir réparation si leurs données sont mal utilisées au sein de l’UE. Lorsqu’on leur demande ce qu’ils considèrent comme un mauvais usage de leurs données, plus des deux tiers (67 %) des individus mentionnent le partage de leurs données avec des tiers sans leur consentement. A noter que sur les pays Européens si ce partage de données sans consentement est une mauvaise pratique pour 75 % des consommateurs britanniques, les français sont seulement 59 % à le penser – les polonais (71%), les allemands (68 %) et les habitants du Benelux (62 %).

Dans le sillage du débat entre Apple et le FBI concernant le déverrouillage d’un smartphone, 43 % des individus sont d’accord avec l’affirmation selon laquelle les entreprises sur le marché des nouvelles technologies devraient accorder la priorité à la sécurité nationale plutôt que sur la vie privée et fournir aux organismes gouvernementaux l’accès aux périphériques verrouillés. Les chiffres sont encore plus élevés au Royaume-Uni (50 %), au Benelux (49 %) et en France (46%) mais plus faibles en Allemagne (38 %) et en Arabie Saoudite (37 %).

La sécurité nationale passe devant le droit à la vie privée avec une différence de 12 points, mais pour 43% des individus, la responsabilité de protéger les citoyens contre les menaces cyber-terroristes incombe à leur gouvernement et un cinquième (21 %) des personnes interrogées pensent que chacun devrait être responsable de sa protection. « Les individus prennent ainsi conscience qu’ils peuvent jouer un rôle dans la sécurité nationale mais les responsabilités ne sont pas encore clairement établies », conclut à DataSecurityBreach.fr Antoine Huchez, responsable marketing Europe du Sud chez F5 Networks.

(1)L’étude, menée par Opinium Research, a interrogé plus de 7 000 individus à travers le Royaume-Uni, l’Allemagne, la France, le Benelux, les Émirats Arabes Unis, l’Arabie Saoudite et la Pologne, afin de recueillir leur avis quant à la sécurité et l’utilisation des données personnelles.

Football : Euro 2016 et sécurité informatique

Euro 2016 – Les événements sportifs mondiaux ont toujours constitué un terrain de chasse idéal pour les cybercriminels. L’Euro 2016, qui débute le 10 juin prochain, ne devrait pas déroger à la règle.

Euro 2016 – Voici quelques éléments clés à retenir, amateur de football, de l’Euros 2016 ou non. Se méfier du spam et autre fausses « bonnes affaires » (places pour assister aux matchs à des prix défiant toute concurrence, par exemple). Ces mails peuvent contenir une pièce jointe infectée contenant un malware accédant au PC et interceptant les données bancaires des internautes lorsqu’ils font des achats en ligne. Ils peuvent également contenir un ransomware, qui verrouille et chiffre les données contenues dans le PC et invite les victimes à verser une rançon pour les récupérer.

Détecter les tentatives de phishing (vente de tickets à prix cassés voire gratuits, offres attractives de goodies en lien avec l’évènement,…) en vérifiant l’URL des pages auxquelles le mail propose de se connecter et en ne communiquant aucune information confidentielle (logins/mots de passe, identifiants bancaires, etc.) sans avoir préalablement vérifié l’identité de l’expéditeur.

Être prudent vis à vis du Wi-Fi public pour éviter tout risque de fuite de données, par exemple en désactivant l’option de connexion automatique aux réseaux Wi-Fi. Les données stockées sur les smartphones circulent en effet librement sur le routeur ou le point d’accès sans fil (et vice-versa), et sont ainsi facilement accessibles.

Redoubler de vigilance vis-à-vis des mails invitant à télécharger un fichier permettant d’accéder à la retransmission des matchs en temps réel. Il s’agit en réalité de logiciels malveillants qui, une fois exécutés, permettent d’accéder aux données personnelles stockées dans le PC (mots de passe, numéro de CB, etc.) ou utilisent ce dernier pour lancer des procédures automatiques comme l’envoi de mails massifs. (TrendMicro)

Panama Papers : le résultat d’une sécurité informatique négligée

Sécurité informatique négligée – Le monde financier, politique et juridique a été bouleversé par les Panama Papers. Mais comment a-t-il été possible de voler 2,6 To de données appartenant à Mossack Fonseca ?

Au delà de l’affaire fiscale, politiciens, industriels et autres personnalités auraient utilisé des entreprises offshore pour réaliser de l’optimisation, Mossack Fonseca est aussi une affaire de sécurité informatique ! Même si nous n’avons encore aucune certitude sur la manière dont la fuite s’est précisément produite, c’est tout de même 2,6 To de données qui ont été volées chez Mossack Fonseca. Le cabinet-conseil juridique a déclaré que les données ont été volées à partir d’un serveur email attaqué, sans donner davantage de détails.

Plusieurs experts se sont penchés sur la question. Regardons quelques dérapages de cette sécurité informatique négligée :
Mossack Fonseca utilise WordPress pour son site internet. Comme nous le savons, il est important de mettre à jour les sites internet WordPress régulièrement à cause des failles qui ressortent très souvent. La version utilisée mi-avril a été mise à jour la dernière fois il y a cinq mois.
Le serveur WordPress utilisait le même serveur que la base de  données contenant tous les fichiers client.
Le site internet de Mossack Fonseca utilise un plug-in WordPress propice aux fuites : Revolution Slider. Le plug-in a été attaqué régulièrement depuis 2014. Même sanction pour son application dédiée aux offres d’emploi. Une révélation de ZATAZ.
Les détails d’identification du serveur mail étaient stockés en texte dans un autre plug-in WordPress.
Il y avait un portail où les clients pouvaient s’identifier. Une version de Drupal propice aux fuites était utilisée à ces fins et contenait 25 vulnérabilités différentes. Drupal n’a pas été mis à jour depuis 2013.
Le serveur email de Mossack Fonseca n’a pas été mis à jour depuis 2009 et contenait par conséquence beaucoup de failles de sécurité.
Le protocole hasardeux SSL v2 était utilisé pour le portail client.
Le site était vulnérable aux injections SQL.
Les mails n’étaient pas chiffrés.
Différents experts émettent également l’hypothèse qu’un espionnage interne pourrait être à l’origine de la fuite.

Même s’il est difficile de savoir si une ou plusieurs de ces failles ont été utilisées dans l’attaque, il parait évident que la sécurisation des informations du cabinet de conseil était trop faible. Mais le vol de données est un symptôme qui est présent dans tous les secteurs. D’une manière générale, la sécurité de l’information et l’informatique est bien souvent le parent pauvre des entreprises. Les directives de protection des données de la commission européenne qui vont rendre illégales l’attitude laxiste face à la sécurité des informations, ne peut qu’être bénéfiques. Même si l’on peut craindre qu’il n’y ait aucune action des entreprises jusqu’à ce que tombent les premières amendes.

Une erreur d’inattention : jusqu’à 15 millions de dollars

Erreur d’inattention – On peut perdre de l’argent à cause des fluctuations du marché ou d’un secteur d’activité. Mais lorsque l’on oublie de renouveler ses certificats SSL, les conséquences financières peuvent être catastrophiques pour l’entreprise – notamment en termes d’image de marque et de fiabilité auprès de vos prospects et clients.

D’après une étude, près des deux tiers des entreprises reconnaissent avoir déjà perdu des clients au cours des deux dernières années parce qu’elles avaient omis de sécuriser leur site Web avec les certificats appropriés. Une erreur d’inattention qui coûte ! Dès qu’un client perd confiance dans votre site Web – et par analogie, dans votre entreprise –, il risque d’aller voir ailleurs par crainte pour la sécurité de ses données. Si un site Web n’est pas sécurisé, l’entreprise expose ses données à des risques de violation dont les conséquences financières peuvent se chiffrer en millions d’euros. Un simple oubli à la date de renouvellement de ses certificats suffit à déclencher une avalanche de frais : interventions en cas d’incident, dommages et intérêts, frais de justice, sanctions financières et relations publiques…

D’après un rapport Ponemon de 2015, l’entreprise « moyenne » a déjà connu plus de deux défaillances système ces deux dernières années à cause de « pannes en rapport avec des certificats ».  Pour une panne non programmée liée aux certificats, le coût moyen avoisine 15 millions de dollars (USD).

Étude de cas Microsoft Azure
En 2013, la plate-forme cloud Azure de Microsoft a connu une panne mondiale à cause d’un certificat SSL expiré. L’incident s’est produit au moment même où l’on signalait des problèmes sur les services Xbox Music et Xbox Video de Microsoft. L’annonce est survenue le jour où Microsoft reconnaissait avoir été victime de la même cyberattaque qu’Apple et Facebook. Comme l’on peut l’imaginer, ses nombreux clients ont dû être informés, son service des relations presse a dû gérer la communication autour de la situation et Microsoft a enregistré un important manque à gagner pendant l’attaque.

Comment s’assurer que son site est protégé ?
Face au risque croissant des cyberattaques, les sociétés d’audit traquent les normes et les réglementations auxquelles les entreprises devront se conformer pour démontrer l’absence de risques pour leurs clients ou leurs données. Pour savoir quelles sont les mesures de mise en conformité à prendre, on peut se rendre sur le site IT Governance pour consulter les pages consacrées aux normes publiées.

Depuis que des sociétés comme Google notent mieux les entreprises dont les sites sont sécurisés, le sujet est d’actualité dans les entreprises et les départements responsables de la sécurité des systèmes d’information.

Faire un audit interne
Commencer par rassembler l’ensemble de ses certificats actuels et de ses clés pour identifier les éventuelles failles.

L’entreprise peut d’ores et déjà utiliser l’outil gratuit mis à disposition par GlobalSign pour vérifier ses serveurs Web. Si l’on est client de GlobalSign, on peut également utiliser l’outil d’inventaire de certificats pour vérifier gratuitement l’emplacement de ses certificats et leur date de renouvellement.

Répertorier les dates d’expiration pour chaque certificat et les consigner dans un endroit facile à mémoriser. Pour se faciliter la tâche, la personne chargée de la sécurité des systèmes d’information peut éventuellement programmer un rappel dans son calendrier avant la date d’expiration de chacun de ses certificats pour effectuer les mises à jour dans les délais et éviter que le site de son entreprise ne se retrouve en situation de vulnérabilité. L’on peut également envisager une solution Managed SSL pour contrôler ses certificats via une plate-forme en ligne et être prévenu lorsqu’un certificat doit être renouvelé.

Faites appliquer les règles en interne
Après avoir pris connaissance des normes ISO, GlobalSign recommande de mettre en place les processus adéquats dans son entreprise et de les documenter pour que chacun soit, dans la mesure du possible, informé des mesures prises, des raisons sous-jacentes et de son rôle.

Des formations doivent également être mises en place à l’échelle de l’entreprise pour expliquer à ses collaborateurs les changements entrepris. Autre objectif de ces formations : éviter que les collaborateurs ne soient victimes d’arnaques de type phishing (hameçonnage) ou qu’ils exposent inutilement des données sensibles avec le risque de compromettre les données de l’entreprise.

Voici un exemple de procédures à mettre en œuvre pour assurer la protection interne et externe d’une entreprise au niveau physique et en ligne :
Carte magnétique/Badge permettant d’accéder aux bâtiments, bureaux et salles avec des niveaux d’autorisation différents en fonction des collaborateurs
Règlement intérieur prévoyant des formations régulières pour les collaborateurs sur les bonnes pratiques et les moyens de détecter et de signaler d’éventuelles menaces et problèmes de sécurité. Authentification à deux facteurs pour l’accès des collaborateurs aux machines, terminaux, réseaux et portails en ligne. Signature numérique des e-mails permettant de garantir l’authenticité de l’auteur des messages, d’éviter toute modification non autorisée des messages et de chiffrer les messages contenant des données et des informations sensibles. (GlobalSign)

Un million d’ordinateurs piégés par un botnet

Un botnet infectant près d’un million de machines détourne les requêtes effectuées sur Google, Bing et Yahoo. Les programmes d’affiliation publicitaires génèrent des millions de dollars de revenus, ce qui n’a pas échappé aux pirates. Les redirections frauduleuses de trafic et le détournement de clics sont exploités depuis longtemps.

Il y a seulement quelques semaines, les auteurs du malware botnet DNSChanger ont été condamnés à sept ans de prison pour ce type de pratiques. Grâce à ce malware, Vladimir Tsatsin avait ainsi pu gagner un million de dollars en modifiant les paramètres DNS des ordinateurs infectés pour détourner les publicités, effectuer du « clickjacking » ou modifier les résultats des moteurs de recherche. Avec la nouvelle génération de clickbots tels que le Trojan Redirector.Paco ce type de détournement de revenus publicitaires prend une ampleur sans précédent. Le cheval de Troie Redirector.Paco repose sur un fichier PAC (Proxy auto-config) permettant de rediriger toutes les recherches effectuées via Google, Bing ou Yahoo des machines infectées sur des résultats définis par les pirates.

Comment ça marche ?
L’objectif du malware est de rediriger tout le trafic généré lors de l’utilisation d’un des principaux moteurs de recherche (Google, Yahoo ou Bing) et de remplacer les résultats de cette recherche par ceux obtenus à partir d’un autre moteur conçu à cet effet. Le but étant de permettre aux cybercriminels de gagner de l’argent grâce au programme AdSense. Le programme Google AdSense for Search affiche normalement des publicités contextuelles sur les pages de résultats du moteur de recherche et partage une partie de ses revenus publicitaires avec les partenaires du réseau AdSense. Pour rediriger le trafic, le malware effectue quelques réglages simples au niveau du registre. Il modifie les valeurs des clés AutoConfigURL et AutoConfigProxy des paramètres Internet de sorte que pour chaque requête effectuée par l’utilisateur, une requête de fichier PAC (Proxy auto-config) soit effectuée. Ce fichier impose au navigateur Web de rediriger le trafic vers une adresse différente.

Le malware s’efforce de donner une apparence d’authenticité aux résultats obtenus. Cependant, certains indices devraient normalement alerter les utilisateurs. Dans la barre d’état du navigateur, des messages tels que « Waiting for proxy tunnel » ou «Downloading proxy script » peuvent être affichés. Deuxièmement, la fausse page Google est anormalement longue à charger. De plus, le malware n’affiche pas les lettres colorées habituelles du logo Google au-dessus des numéros de page. Le botnet Redirector.Paco est en activité depuis la mi-septembre 2014. Depuis, il a réussi à infecter plus de 900 000 adresses IP dans le monde entier, principalement en Inde, Malaisie, Grèce, Italie, au Pakistan, au Brésil, aux États-Unis, et en Algérie.

Skimer, la nouvelle menace pour distributeurs de billets

Skimer, un groupe russophone, force les distributeurs automatiques de billets (DAB) à l’aider à dérober de l’argent. Découvert en 2009, Skimer a été le premier programme malicieux à prendre pour cible les DAB. Sept ans plus tard, les cybercriminels ré-utilisent ce malware. Mais le programme, ainsi que les escrocs, ont évolué ; ils représentent une menace encore plus importante pour les banques et leurs clients partout dans le monde.

Imaginons qu’une banque découvre avoir été victime d’une attaque. Étrangement, aucune somme d’argent n’a été dérobée et rien n’a été modifié dans son système. Les criminels sont partis comme ils sont venus. Serait-ce possible ? Je vous parlais de ce type d’attaque l’année dernière. L’éditeur Gdata m’avait invité en Allemagne pour découvrir l’outil malveillant qui permettait de pirater un distributeur de billets. Aujourd’hui, l’équipe d’experts de Kaspersky Lab a mis au jour le scenario imaginé par les cybercriminels et découvert des traces d’une version améliorée du malware Skimer sur l’un des DAB d’une banque. Il avait été posé là et n’avait pas été activé jusqu’à ce que les criminels lui envoient un contrôle : une façon ingénieuse de couvrir leurs traces.

Le groupe Skimer commence ses opérations en accédant au système du DAB, soit physiquement, soit via le réseau interne de la banque visée. Ensuite, après été installé avec succès dans le système, l’outil Backdoor.Win32.Skimer, infecte le cœur de l’ATM, c’est-à-dire le fichier exécutable en charge des interactions entre la machine et l’infrastructure de la banque, de la gestion des espèces et des cartes bancaires.

Ainsi, les criminels contrôlent complètement les DAB infectés. Mais ils restent prudents et leurs actions témoignent d’une grande habileté. Au lieu d’installer un skimmer (un lecteur de carte frauduleux qui se superpose à celui du DAB) pour siphonner les données des cartes, les criminels transforment le DAB lui-même en skimmer. En infectant les DAB avec Backdoor.Win32.Skimer, ils peuvent retirer tout l’argent disponible dans le distributeur ou récupérer les données des cartes des utilisateurs qui viennent retirer de l’argent, y compris le numéro de compte et le code de carte bancaire des clients de la banque.

Il est impossible pour un individu lambda d’identifier un DAB infecté car aucun signe de le distingue d’un système sain, contrairement à un DAB sur lequel a été posé un skimmer traditionnel qui peut être repéré par un utilisateur averti.

Un zombie dormant
Les retraits directs depuis un DAB ne peuvent pas passer inaperçu alors qu’un malware peut tranquillement siphonner des données pendant une longue période. C’est pourquoi le groupe Skimer n’agit pas immédiatement et couvre ses traces avec beaucoup de prudence. Leur malware peut opérer pendant plusieurs mois sans entreprendre la moindre action.

Pour le réveiller, les criminels doivent insérer une carte spécifique, qui contient certaines entrées sur sa bande magnétique. Après lecture de ces entrées, Skimer peut exécuter la commande codée en dur ou requérir des commandes via le menu spécial activé par la carte. L’interface graphique de Skimer n’apparaît sur l’écran qu’une fois la carte éjectée et si les criminels ont composé la bonne clé de session, de la bonne façon, sur le pavé numérique en moins de 60 secondes.

À l’aide du menu, les criminels peuvent activer 21 commandes différentes, comme distribuer de l’argent (40 billets d’une cassette spécifique), collecter les données des cartes insérées, activer l’auto-suppression, effectuer une mise à jour (depuis le code du malware mis à jour embarqué sur la puce de la carte), etc. D’autre part, lors de la collecte des données de cartes bancaires, Skimer peut sauvegarder les fichiers dumps et les codes PIN sur la puce de la même carte, ou il peut imprimer les données de cartes collectées sur des tickets générés par le DAB.

Dans la plupart des cas, les criminels choisissent d’attendre pour collecter les données volées afin de créer des copies de ces cartes ultérieurement. Ils utilisent ces copies dans des DAB non infectés pour retirer de l’argent sur les comptes clients sans être inquiétés. De cette manière, ils s’assurent que les DAB infectés ne seront pas découverts. Et ils récupèrent de l’argent simplement.

Des voleurs expérimentés
Skimer a été largement répandu entre 2010 et 2013. À son arrivée correspond une augmentation drastique du nombre d’attaques sur des distributeurs automatiques de billets, avec jusqu’à neuf différentes familles de malwares identifiées par Kaspersky Lab. Cela inclut la famille Tyupkin, découverte en mars 2014, qui est devenue la plus populaire et la plus répandue. Cependant, il semblerait maintenant que Backdoor.Win32.Skimer soit de retour. Kaspersky Lab identifie 49 modifications de ce malware, dont 37 ciblent les DAB émanant de l’un des plus importants fabricants. La version la plus récente a été découverte en mai 2016.

En observant les échantillons partagés avec VirusTotal, on note que les DAB infectés sont répartis sur une large zone géographique. Les 20 derniers échantillons de la famille Skimer ont été téléchargés depuis plus de 10 régions à travers le monde : Émirats Arabes Unis, France, États-Unis, Russie, Macao, Chine, Philippines, Espagne, Allemagne, Géorgie, Pologne, Brésil, République Tchèque.

Empreintes biométriques, le FBI veut sa BDD

Le FBI vient d’annoncer qu’elle trouvait judicieux de pouvoir stocker toutes les informations concernant les empreintes biométriques, dans un espace de stockage qui lui serait propre.

Le FBI propose de sauvegarder toutes les empreintes biométriques, dans ses locaux, que les Américains auront pu soumettre à l’administration de l’Oncle Sam. Les Américains, mais pas seulement. Si vous avez fait une demande de visa, par exemple, vos données pourraient être sauvegardées et stockées dans la base de données du FBI.

Connu comme le système d’identification de prochaine génération (NGIS), la base de données contiendra les enregistrements des passeports, des contrôles de sécurité, et les informations des traitements judiciaires, comme ceux enregistrés lors d’une arrestation. Il n’y aura pas que les empreintes digitales de vos doigts. NGIS prévoit de sauvegarder les scans d’iris, du visage, palmaires, et toute autre information corporelles qui peuvent être recueillies dans le cadre d’une interaction avec l’agence gouvernementale.

Le FBI explique que sa base de données doit être considérée comme sensible, donc exemptée du contrôle effectué par la Loi sur la protection des renseignements personnels. Bilan, personne ne pourra lui demander le moindre compte. Le FBI a ajouté que l’agence pourrait utiliser les données pour arrêter de futurs criminels. On ne sait pas combien de personnes sont dans cette base de données. L’Electronic Frontier Foundation a déclaré en 2014 que le FBI prévoyait d’avoir plus de 52 millions de photos dans cette « BDD » d’ici la fin de l’année 2015. Le législateur à jusqu’au 6 juin pour freiner les hardeurs du FBI. (Zdnet)

Notification d’infraction aux données : linkedIn

La société LinkedIn vient de communiquer sur son « problème » de fuite de données. Voici ses propos et sa notification d’infraction aux données.

« Vous avez pu récemment entendre parler de problème de sécurité à LinkedIn. Nous souhaitions nous assurer que vous disposiez des faits réels, des données concernées et des mesures que nous prenons pour vous protéger.

Que s’est-il passé ?
Le 17 mai 2016, nous avons découvert que des données volées en 2012 de LinkedIn ont été mises à disposition en ligne. Il ne s’agit pas d’une nouvelle infraction ou d’un hack. Nous avons pris des mesures immédiates pour invalider tous les mots de passe des comptes que nous estimons affectés. Il s’agit des comptes créés avant 2012 qui n’avaient pas mis leur mot de passe à jour après l’infraction.

Quelles sont les données concernées ?
Les adresses e-mail des membres, les mots de passe chiffrés et l’ID LinkedIn (identifiant interne attribué à chaque profil de membre) de 2012.

Nos mesures
Nous avons invalidé les mots de passe de tous les comptes créés avant l’infraction de 2012 qui n’avaient pas réinitialisé les mots de passe depuis. De plus, nous utilisons des outils automatiques pour identifier et bloquer toute activité suspicieuse qui se produirait sur les comptes LinkedIn. Nous collaborons également avec les forces de l’ordre.

LinkedIn a pris des mesures importantes depuis 2012 pour renforcer la sécurité des comptes. Nous avons ajouté des couches de protection supplémentaires au stockage des mots de passe et offrons la possibilité à nos membres d’activer la vérification en deux étapes pour plus de sécurité.

Vos options
Nous avons plusieurs équipes dédiées à la sécurité des données confiées par nos membres à LinkedIn. De votre côté, pour renforcer la sécurité de vos comptes, nous vous suggérons d’accéder au Centre de sécurité pour apprendre à activer la vérification en deux étapes et à créer des mots de passe résistants. Nous recommandons que vous changiez régulièrement de mot de passe et que si vous utilisez des mots de passe similaires, ou les mêmes, sur d’autres sites web, vous les changiez aussi.

Pour plus d’informations
Si vous avez des questions, veuillez contacter notre équipe Sécurité tns-help@linkedin.com. Pour en savoir plus, lisez notre blog officiel. »

Ross : La justice prochainement rendue par une intelligence artificielle ?

Des chercheurs ont mis en place une intelligence artificielle baptisée ROSS qui sera capable, dans les mois à venir, de remplacer un avocat.

Comme si le monde n’était pas assez inquiet à la vue de l’automatisation et de la création d’intelligence artificielle capable de remplacer l’homme dans les taches professionnelles du quotidien. Les avocats vont pouvoir commencer à trembler. La semaine dernière, le cabinet d’avocats Baker & Hostetler a annoncé mettre en place une intelligence artificielle exclusive signée IBM. Une technologie baptisée Ross.

ROSS est le premier avocat artificiellement intelligent du monde. Conçu comme un outil algorithmique d’auto-apprentissage, Ross est capable de la plupart des actions cognitives de base et possède des capacités de recherche « affinées », dont la possibilité de faire des citations complètes. Ross se joindra à l’équipe de 50 avocats du cabinet Baker & Hostetler, des juristes spécialisés dans les affaires de faillite.

Il suffit de poser une question simple à ROSS, et ce dernier fournit l’ensemble des textes de lois, et dirige son interlocuteur vers la lecture de la législation en vigueur concernant l’affaire en cours, la jurisprudence et des sources secondaires. ROSS surveille les jugements afin d’informer les avocats de nouvelles décisions judiciaires qui peuvent influer sur les cas traités.

Ross sera principalement utilisé comme un outil de recherche, à synthétiser rapidement un grand nombre de dossiers et extraire les sources les plus pertinentes. Bref, après l’IA de Google qui a ingurgité des milliers de romans à l’eau de rose et qui est capable aujourd’hui de créer des poésies d’amour [très étranges] ; après le professeur de la Georgia Tech’s School of Interactive Computing qui n’était en fait qu’un bot [les élèves l’ont appris à la fin de l’année scolaire], voici donc venir le robot avocat. Une idée sortie tout droit du nanar de science-fiction Demolition Man ? En 2015, un étudiant britannique de l’université de Stanford avait créé un site internet baptisé « Ne payez pas« . Son site, et le bot programmé à cet effet, est capable de noyer d’arguments juridiques les tribunaux pour permettre aux internautes condamnés à payer une amende à ne pas être condamné.

Droit à l’oubli : Google interjette appel de sa condamnation par la CNIL

Cnil contre Google : Le combat du droit à l’oubli continue après l’appel de sa condamnation par la CNIL ce 19 mai.

Google est bousculé par les autorités européennes et nationales depuis 2 ans concernant le référencement des personnes physiques au sein du moteur de recherches.

Tout a commencé avec l’affaire dite ‘’Google Spain’’ en 2014, au terme de laquelle la Cour de justice de l’Union Européenne a condamné le géant mondial de l’internet à retirer les résultats « inadéquats, pas ou plus pertinents ou excessifs » référençant le nom de personnes qui ne le souhaitaient pas ou plus et en ont formulé la demande.

Suite à cette décision, le moteur de recherche a reçu des dizaines de milliers de requêtes de la part de citoyens français. On dit qu’ils cherchent à exercer leur « droit à l’oubli », bien que celui-ci n’existe pas actuellement de manière explicite dans la législation ou jurisprudence européenne et française.

Les tentatives de Google pour échapper au droit à l’oubli
Suite à la décision de la Cour de Strasbourg, la société Google a accédé en demi-teinte aux demandes des internautes. Après avoir créée un formulaire à cet effet, elle a procédé au déréférencement de certains résultats mais seulement sur les extensions européennes du moteur de recherches comme google.fr ou google.uk. A contrario, elle refuse catégoriquement de faire jouer le droit à l’oubli des personnes sur le portail google.com. Or, tout le monde peut utiliser cette extension, ce qui revient à rendre illusoire le déférencement.

En mai 2015, face à ce manque de volonté, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a publiquement mis en demeure le moteur de recherche mondial n°1 d’accéder aux demandes de déréférencement sur tous les noms de domaine de la société. Un recours gracieux a été formé fin juillet 2015 par Google faisant valoir que l’injonction entraverait le droit à l’information de ses internautes tout en instaurant une forme de censure. Selon la société, il ne revient pas à une agence nationale de protection des données à caractère personnel de se revendiquer « une autorité à l’échelle mondiale pour contrôler les informations auxquelles ont accès les internautes à travers le monde ».

Après le rejet de ce recours gracieux, la CNIL a engagé une procédure de sanction à l’encontre de Google qui s’est soldée par sa condamnation à 100 000 euros d’amende pour ne pas avoir appliqué le droit à l’oubli sur l’ensemble de ses extensions géographiques.

Google interjette appel de sa condamnation par la CNIL
Ce jeudi 19 mai 2016, Google a fait appel de cette condamnation peu sévère au regard du chiffre d’affaire astronomique de cette société de droit américain, qui était de 66 milliard de dollars en 2014, soit 19% de plus qu’en 2013. On en déduit que Google en fait une affaire personnelle, une affaire de principe : La société ne veut pas se laisser dicter sa conduite par la Cour de justice de l’Union européenne et certainement pas par une autorité administrative française.

A l’image de David contre Goliath, le combat de la CNIL contre Google est extrêmement déséquilibré. Nous ne pouvons que saluer la persévérance de la CNIL dans sa confrontation avec Google pour faire respecter les droits des particuliers français partout dans le monde. Le projet de loi pour une République numérique conforte la position de la CNIL en consacrant un droit à l’oubli pour les mineurs. De plus, toute personne pourra dorénavant organiser les conditions de conservation et de communication des données à caractère personnel la concernant après son décès, ce qu’on peut rattacher au droit à l’oubli. Entre neutralité du net et droit à l’oubli, des choix vont devoir être pris et il faudra les imposer à Google, ce qui présage encore une longue vie à la saga judiciaire sur le déréférencement. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Ransomware: +30% d’attaques en 3 mois

Le ransomware a dépassé les attaques de type APT (menaces persistantes avancées) pour devenir le principal sujet d’actualité du trimestre. 2900 nouvelles variantes de malwares au cours de ces 92 jours.

Selon le rapport de Kaspersky Lab sur les malwares au premier trimestre, les experts de la société ont détecté 2900 nouvelles variantes de malwares au cours de cette période, soit une augmentation de 14 % par rapport au trimestre précédent. 15 000 variantes de ransomware sont ainsi dorénavant recensés. Un nombre qui va sans cesse croissant. Pourquoi ? Comme j’ai pu vous en parler, plusieurs kits dédiés aux ransomwares sont commercialisés dans le blackmarket. Autant dire qu’il devient malheureusement très simple de fabriquer son arme de maître chanteur 2.0.

Au premier trimestre 2016, les solutions de sécurité de l’éditeur d’antivirus ont empêché 372 602 attaques de ransomware contre leurs utilisateurs, dont 17 % ciblant les entreprises. Le nombre d’utilisateurs attaqués a augmenté de 30 % par rapport au 4ème trimestre 2015. Un chiffre à prendre avec des pincettes, les ransomwares restant très difficiles à détecter dans leurs premiéres apparitions.

Locky , l’un des ransomwares les plus médiatisés et répandus au 1er trimestre
Le ransomware Locky est apparu, par exemple, dans 114 pays. Celui-ci était toujours actif début mai. Un autre ransomware nommé Petya est intéressant du point de vue technique en raison de sa capacité, non seulement à crypter les données stockées sur un ordinateur, mais aussi à écraser le secteur d’amorce (MBR) du disque dur, ce qui empêche le démarrage du système d’exploitation sur les machines infectées.

Les trois familles de ransomware les plus détectées au 1er trimestre ont été Teslacrypt (58,4 %), CTB-Locker (23,5 %) et Cryptowall (3,4 %). Toutes les trois se propagent principalement par des spams comportant des pièces jointes malveillantes ou des liens vers des pages web infectées. « Une fois le ransomware infiltré dans le système de l’utilisateur, il est pratiquement impossible de s’en débarrasser sans perdre des données personnelles. » confirme Aleks Gostev, expert de sécurité en chef au sein de l’équipe GReAT (Global Research & Analysis Team) de KL.

Une autre raison explique la croissance des attaques de ransomware : les utilisateurs ne s’estiment pas en mesure de combattre cette menace. Les entreprises et les particuliers n’ont pas conscience des contre-mesures technologiques pouvant les aider à prévenir une infection et le verrouillage des fichiers ou des systèmes, et négligent les règles de sécurité informatique de base, une situation dont profitent les cybercriminels entre autres. Bref, trop d’entreprise se contente d’un ou deux logiciels de sécurité, se pensant sécurisées et non concernées. L’éducation du personnel devrait pourtant être la priorité des priorités.

25 bases de données piratées diffusées sur la toile

25 bases de données piratées diffusées sur Internet par un pirate. De la promo vente sur le dos de millions d’internautes. Des Français concernés.

Le 18 mai dernier, un pirate informatique a décidé de diffuser sur Internet 25 bases de données piratées. Les cibles de ce malveillant numérique courent de 2014 à 2016. J’ai pu constater de nombreuses informations de Français enregistrées dans les bases de données volées aux sites 000webhost, Vodaphone, SnapChat, BlackHatWorld pour ne citer qu’eux.

La plus récente des BDD concerne le site LinuxMint, piraté en 2016. Le pirate a diffusé les contenus non pas par beauté du geste, il n’y en a aucun dans tous les cas, mais par intérêt économique. D’abord il diffuse son compte Bitcoin, histoire de s’attirer les donateurs, mais aussi les clients qui pourraient lui commander d’autres données, via les informations qu’il garde en secret, dans son ordinateur. Il met aussi en pâture des bases de données qu’il n’a plus besoin. Des millions de datas ponctionnées, vidées, revendues dans le black market, depuis des semaines.

Pirater une maison connectée, facile ?

Pirater une maison connectée, facile ?  Une nouvelle étude expose les risques dans un foyer via l’analyse de quatre objets connectés très populaires. 

C’est devenu très « mode » de sortir une étude sur les objets connectés. J’avoue ne rien n’y apprendre, mais cela à le mérite de rappeler que le problème est encore trop négligé par les constructeurs et les consommateurs. Les chercheurs des Bitdefender Labs ont réalisé une étude sur quatre périphériques de l’Internet des Objets (IdO) destinés au grand public, afin d’en savoir plus sur la sécurisation des données de l’utilisateur et les risques dans un foyer connecté. La question est de savoir si pirater une maison connectée est facile.

Les produits sont l’interrupteur connecté WeMo Switch qui utilise le réseau WiFi existant pour contrôler les appareils électroniques (télévisions, lampes, chauffages, ventilateurs, etc.), quel que soit l’endroit où vous vous trouvez ; l’ampoule LED Lifx Bulb connectée via WiFi, compatible avec Nest ; le kit LinkHub, incluant des ampoules GE Link et un hub pour gérer à distance les lampes, individuellement ou par groupes, les synchroniser avec d’autres périphériques connectés et automatiser l’éclairage selon l’emploi du temps et le récepteur audio Wifi Cobblestone de Muzo pour diffuser de la musique depuis son smartphone ou sa tablette, via le réseau WiFi.

L’analyse révèle que les mécanismes d’authentification de ces objets connectés peuvent être contournés et donc exposer potentiellement les foyers et leurs occupants à une violation de leur vie privée. Les chercheurs sont parvenus à découvrir le mot de passe pour accéder à l’objet connecté et à intercepter les identifiant et mot de passe WiFi de l’utilisateur. Les failles identifiées par l’équipe de recherche concernent des protocoles non protégés et donc vulnérables, des autorisations et authentifications insuffisantes, un manque de chiffrement lors de la configuration via le hotspot (données envoyées en clair) ou encore des identifiants faibles.

L’IdO pose des problèmes de sécurité spécifiques, et par conséquent, nécessite une nouvelle approche intégrée de la cyber-sécurité domestique, qui passe de la sécurité centrée sur le périphérique à une solution capable de protéger un nombre illimité d’appareils et d’intercepter les attaques là où elles se produisent : sur le réseau. Si des marques comme Philips et Apple ont créé un écosystème verrouillé, l’interopérabilité reste essentielle à ce stade du développement des nouveaux objets connectés. Il est donc plus que temps que les constructeurs prennent en compte nativement la sécurité dans le développement de leurs différents appareils.

Pirater une maison connectée : pour maîtriser nos terminaux, commençons par comprendre leurs données
Tandis que se développent toutes sortes d’objets connectés et que les prix des différents capteurs baissent, l’Internet des Objets (ou IoT) fait son entrée triomphale dans nos quotidiens hyperconnectés. Et si beaucoup ont déjà prédit des milliards de dollars d’investissements et de profits pour ces objets qui intégreront pleinement nos vies d’ici 2050, on a tendance à oublier l’inflation inévitable des bases de données liées à de tels terminaux. Le véritable enjeu réside pourtant dans ces stocks d’informations. Car s’il faut sans doute s’attendre à des problèmes de connectivité des objets eux-mêmes, ce seront surtout les données qui en émaneront qu’il faudra savoir gérer pour tirer le meilleur de l’IoT.

Cela va de l’extraction des données à partir des terminaux, des machines et des plates-formes distantes à l’interprétation des données afin de stimuler la productivité et d’accroître les performances. Que ce soit pour une maison connectée, un terminal portatif ou une solution industrielle, il existe souvent un décalage entre la collecte des nouvelles données et la présentation des informations analysées de manière à ce qu’elles puissent être comprises et explorées dans les moindres détails.

Il existe trois éléments clés pour franchir ces obstacles et apprivoiser l’IoT, comme le confirme Edouard Beaucourt, Directeur Régional France, Suisse Romande et Afrique du Nord de la société Tableau Software..

Pirater une maison connectée : L’IoT doit être souple et intéractif
En matière d’analyse de données, chaque question que nous nous posons par rapport aux données nécessite son propre graphique et sa propre perspective visuelle. Cela est particulièrement vrai pour l’explosion de données provenant des capteurs qui constituent la base de l’IoT. Malheureusement, la plupart des applications de l’IoT sont fournies avec des vues « uniformisées ». Elles répondent à un ensemble de questions prédéterminées, jugées dignes d’obtenir une réponse par un petit groupe « d’experts », que ce soient les spécialistes de la santé à l’origine de FitBit ou les ingénieurs qui ont créé la plate-forme Predix de GE.

Pour exploiter pleinement le potentiel de l’IoT, les outils doivent être bien plus souples et doivent permettre aux utilisateurs de façonner et d’adapter les données de différentes façons, en fonction de leurs besoins ou de ceux de leur organisation. L’interactivité, l’exploration en détail et le partage sont fondamentaux pour rendre les données de l’IoT utiles, sans que cela nécessite un énorme projet autour de ces données. Idéalement, les utilisateurs seront en mesure d’avoir des conversations informelles et approfondies avec leurs données, tout en explorant d’autres données afin de découvrir toutes sortes de changement. Ils pourront parfois même dévoiler des tendances jusqu’alors inconnues.

Par exemple, vous disposez peut-être d’une application IoT qui analyse les données historiques de l’activité d’un moteur, d’une turbine à gaz ou d’une locomotive en panne, et qui détermine les conditions qui provoquent les dysfonctionnements ainsi que la fréquence à laquelle ils sont susceptibles de se produire. Mais comment savoir quelles pièces sont les plus fragiles ? Quelles usines les ont fabriquées ? Et quelle est la date de fabrication ? Ou encore quels fournisseurs ont causé le plus de problèmes ? L’interactivité et la possibilité de partager des informations sont fondamentales pour trouver les réponses à ces questions.

Pirater une maison connectée : L’IoT doit pouvoir intégrer et s’associer à d’autres données
Pour obtenir des réponses, les analyses de données interactives ne suffisent pas : il faut également associer les données IoT à un contexte supplémentaire. Commençons par un exemple concret : vous souhaitez combiner vos données Fitbit pour éventuellement trouver un lien entre votre programme d’exercices et vos cycles de sommeil. Vous vous posez les questions suivantes : Dans quelle mesure mon activité physique de la journée influence-t-elle mes cycles de sommeil ? Mes performances sont-elles meilleures lorsque je dors beaucoup ? Les tableaux de bord natifs de Fitbit vous permettent seulement d’analyser les données d’exercices de façon isolée. Cependant, si vous exportez les données, vous pouvez associer ces informations à d’autres informations, telles que le suivi de vos activités physiques et de vos apports alimentaires, vos mensurations et vos cycles de sommeil. L’exportation des données n’est pas forcément la méthode idéale, mais c’est parfois le seul moyen d’élargir la portée de l’analyse.

Imaginez maintenant que vous fusionnez des données disparates pour obtenir des informations exploitables pour votre entreprise. Les capteurs intégrés aux réacteurs d’avion peuvent aider à déterminer le moment où une opération de maintenance est nécessaire. Cela permettrait d’anticiper les éventuelles défaillances et d’économiser des milliards de dollars. De plus, l’intégration des données de ces capteurs dans d’autres informations peut également révéler les économies réalisées par rapport aux budgets prévus par produit et par région, par exemple.

Pirater une maison connectée : L’IoT doit pouvoir apprendre et se renouveler
L’exportation de données (sachant que ce n’est pas la méthode idéale), nous amène à un dernier point important : nous vivons dans un monde où il est de plus en plus utopique d’avoir des « données parfaites ». Vos données, aussi organisées soient-elles, sont susceptibles d’être stockées dans une source à laquelle vous n’avez pas accès. Elles peuvent également ne pas inclure certains éléments clés qui sont nécessaires pour répondre à vos questions, ou être formatées de telle sorte que leur analyse approfondie devient complexe. Les applications IoT souffrent des mêmes inconvénients, surtout lorsqu’il n’existe aucun consensus sur les normes et les protocoles pour la prise en charge de l’interopérabilité des terminaux.

Toutefois, plutôt que de laisser des données incomplètes ou de mauvaise qualité paralyser notre entreprise, nous devons utiliser ce dont nous disposons et procéder par itération jusqu’à trouver les bonnes solutions. Au fur et à mesure des itérations, vous apprenez à distinguer les données « acceptables » de celles dont la qualité est mauvaise. Les données acceptables suffisent en général à répondre à la plupart des questions, sinon toutes. De plus, comprendre les lacunes de certaines données permet d’améliorer le processus pour les collecter et les traiter. Cela vous aidera à résoudre les problèmes liés aux processus de collecte et d’intégration de vos données. Au final, cela nous aidera tous à apprivoiser l’IoT plus rapidement.

Forte hausse des applications Android malveillantes

Les applications Android malveillantes et les ransomwares dominent le paysage des menaces au 1er trimestre 2016.

La société Proofpoint a publie son Rapport trimestriel sur les menaces, qui analyse les menaces, les tendances et les transformations observées au sein de notre clientèle et sur le marché de la sécurité dans son ensemble au cours des trois derniers mois. Chaque jour, plus d’un milliard de courriels sont analysés, des centaines de millions de publications sur les réseaux sociaux et plus de 150 millions d’échantillons de malwares afin de protéger les utilisateurs, les données et les marques contre les menaces avancées. On apprend, entre autres, que 98 % des applications mobiles malveillantes examinées au 1er trimestre 2016 ont ciblé des appareils Android. Cela demeure vrai en dépit de la découverte médiatisée d’un cheval de Troie pour iOS et de la présence persistante d’applications iOS ou officieuses dangereuses. Les applications Android malveillantes sont de plus en plus nombreuses.

75 % des attaques de phishing véhiculées par des e-mails imposteurs comportent une adresse «répondre à » usurpée afin de faire croire aux destinataires que l’expéditeur est une personne représentant une autorité. Ce type de menaces est de plus en plus mature et spécialisé, et c’est l’un des principaux ciblant les entreprises aujourd’hui, qui leur auraient coûté 2,6 milliards de dollars au cours des deux dernières années selon les estimations.

Applications Android malveillantes

Les ransomwares se sont hissés aux premiers rangs des malwares privilégiés par les cybercriminels. Au 1er trimestre, 24 % des attaques par e-mail reposant sur des pièces jointes contenaient le nouveau ransomware Locky. Seul le malware Dridex a été plus fréquent.

L’e-mail reste le principal vecteur de menaces : le volume de messages malveillants a fortement augmenté au 1er trimestre 2016, de 66 % par rapport au 4ème trimestre 2015 et de plus de 800 % comparé au 1er trimestre 2015. Dridex représente 74 % des pièces jointes malveillantes.

Chaque grande marque analysée a augmenté ses publications sur les réseaux sociaux d’au moins 30 %. L’accroissement du volume des contenus générés par les marques et leurs fans va de pair une accentuation des risques. Les entreprises sont constamment confrontées au défi de protéger la réputation de leurs marques et d’empêcher le spam, la pornographie et un langage grossier de polluer leur message.

Les failles de Java et Flash Player continuent de rapporter gros aux cybercriminels. Angler est le kit d’exploitation de vulnérabilités le plus utilisé, représentant 60 % du trafic total imputable à ce type d’outil. Les kits Neutrino et RIG sont également en progression, respectivement de 86 % et 136 %. (ProofPoint)

Développement rapide des cybermenaces sur mesure

Des cybermenaces régionalisées, avec des langues, des styles et des méthodes de paiement locaux.

Une étude menée par les SophosLabs, de l’éditeur de solution de sécurité informatique éponyme, indique une tendance à l’augmentation, chez les cybercriminels, du ciblage et de la sélection spécifique de certains pays lors de la conception de leurs ransomwares et autres cyberattaques malveillantes. Cette étude intègre des informations émanant de plus d’un million de systèmes de par le monde qui ont été analysées.

Afin d’atteindre davantage de victimes avec leurs attaques, les cybercriminels conçoivent aujourd’hui des spams sur-mesure pour déployer leurs menaces en utilisant un langage, des styles et des méthodes de paiement locaux, pour une meilleure compatibilité culturelle. Les ransomwares sont malicieusement déguisés en authentiques notifications par email, en imitant des logos locaux, pour plus de crédibilité, plus de probabilité d’être cliqués et une meilleure rentabilité pour les cybercriminels. Afin d’avoir la meilleure efficacité possible, ces spams par email imitent par exemple l’agence postale locale, les services des impôts ou de police, les entreprises fournissant l’eau, le gaz, l’électricité, en utilisant des fausses confirmations d’envoi et de remboursement, de fausses amendes pour excès de vitesse, ou encore de fausses factures d’électricité. Une augmentation notable des spams dans lesquels les textes sont mieux orthographiés et ponctués, avec une meilleure structure grammaticale. « Vous devez faire davantage attention pour différencier les faux emails des vrais », déclare Chester Wisniewski, Senior Security Advisor chez Sophos à DataSecurityBreach.fr. « Etre au courant des tactiques et techniques utilisées dans votre région ou pays devient un aspect fondamental de la cybersécurité ».

Les experts ont aussi repéré une tendance nette à l’apparition de différents types de ransomwares qui ciblent des lieux spécifiques. Les différentes versions de CryptoWall frappent en priorité les Etats-Unis, le Royaume-Uni, le Canada, l’Australie, l’Allemagne et la France. TorrentLocker attaque principalement le Royaume-Uni, l’Italie, l’Australie et l’Espagne et TeslatCrypt, quant à lui, sévit au Royaume-Uni, aux Etats-Unis, au Canada, à Singapour et en Thaïlande. Les analyses montrent également le TER[1] (Threat Exposure Rates) par pays, sur les 3 premiers mois de 2016. Bien que les économies des pays occidentaux soient une cible principale, leurs TER sont plutôt faibles. Les pays classés avec un TER faible sont la France avec 5.2%, le Canada avec 4.6%, l’Australie avec 4.1%, les Etats-Unis avec 3%, et le Royaume-Uni avec 2.8%. L’Algérie avec 30.7%, la Bolivie avec 20.3%, le Pakistan avec 19.9%, la Chine avec 18.5% et l’Inde avec 16.9%, sont les pays avec les plus forts pourcentages de systèmes exposés à des attaques par malwares. ZATAZ.COM avait été l’un des premiers blog dédié à la protection numérique à annoncer la vente de « kit » pirate de création de ransomware.

« Même le blanchiment d’argent est ciblé géographiquement afin d’être plus lucratif. L’utilisation des cartes de crédit peut s’avérer risquée pour les cybercriminels. Ils ont ainsi commencé à utiliser des méthodes de paiement anonymes sur Internet, afin d’extorquer de l’argent à leurs cybervictimes via les ransomwares », a déclaré Wisniewski à Data Security Breach. « Nous avons pu observer des cybercriminels utiliser les équivalents locaux de cartes de paiement en ligne ou en magasin, telles que la carte prépayée Green Dot MoneyPak chez Walgreens aux Etats-Unis, ou encore Ukash, à présent paysafecard, utilisée dans plusieurs magasins au Royaume-Uni ». L’idée de sélectionner des pays en particulier est aussi ressortie de l’étude comme une tendance forte.

Les cybercriminels programment leurs attaques afin d’éviter certains pays ou certains types de clavier avec un langage particulier. Un phénomène qui apparaît pour plusieurs raisons. Il peut s’agir de la volonté des cybercriminels que ces attaques ne se produisent pas à proximité du point d’envoi, afin d’éviter toute détection. Il peut s’agir aussi d’un sentiment de fierté nationale, ou encore d’une stratégie conspirationniste afin de créer le doute à propos d’un pays en particulier, en l’épargnant lors du lancement de l’attaque.

Les banques sont un bon exemple de l’utilisation par les cybercriminels de malwares ciblant un endroit en particulier pour augmenter leurs gains. L’étude révèle, en effet, comment de manière historique les Trojans et malwares utilisés pour infiltrer les banques ou les institutions financières convergent vers des régions spécifiques :

·         Brazilian Banker Trojans et ses variantes ciblent le Brésil.
·         Dridex est présent davantage aux États-Unis et en Allemagne.
·         Trustezeb se rencontre plus dans les pays germanophones.
·         Yebot est populaire à Hong Kong et au Japon.
·         Zbot est plus répandu aux États-Unis, au Royaume-Uni, au Canada, en Allemagne, en Italie, en Espagne et au Japon.

Il existe une véritable industrie artisanale visant à créer des Trojans sur-mesure, prenant pour cible uniquement les banques brésiliennes. Maintenant que les cybercriminels créent des menaces qui semblent vraiment authentiques et qui sont ciblées, il est de plus en plus difficile de reconnaitre les spams malveillants. Les utilisateurs de PC domestiques sont souvent les cibles de telles attaques et doivent protéger leurs systèmes vis-à-vis de ces menaces sophistiquées.

Ransomwares : règles pour ne pas finir chiffré

Le ransomware est un logiciel malveillant qui infecte les équipements connectés, les réseaux et les centres de données. Ces derniers ne peuvent plus être utilisés tant qu’une rançon n’a pas été payée pour débloquer les systèmes infectés. Des attaques qui se sont démultipliées ces derniers mois.

Le ransomware existe depuis au moins 1989, à l’époque où le cheval de troie “PC Cyborg” cryptait des dossiers sur un disque dur et forçait les utilisateurs à payer 189 $ pour les récupérer. Depuis, les attaques de type ransomware sont devenues beaucoup plus sophistiquées, ciblées, et bien sûr lucratives. Même si ce protéger est dès plus simple (réflexion, éducation, anticipation), les attaques ont démontré que les internautes n’étaient toujours pas prêts face à un courriel mystérieux.

L’impact et la toxicité d’un ransomware sont difficiles à évaluer, car de nombreuses sociétés choisissent tout simplement de payer pour récupérer leurs données, une démarche qui n’est pas toujours la plus pertinente. Un rapport portant sur la campagne liée au ransomware Cryptowall v3, datant d’octobre 2015 et réalisé par la Cyber Threat Alliance, estimait que le coût engendré par cette seule attaque d’envergure ressortait à 325 millions de dollars.

Un ransomware utilise des modi operandi différents. Un crypto ransomware peut contaminer un système d’exploitation au point d’empêcher l’équipement de démarrer. D’autres ransomware vont crypter un lecteur ou un ensemble de fichiers et de dossiers. Certaines variantes, particulièrement malveillantes, disposent d’un minuteur qui déclenche la suppression des fichiers jusqu’au paiement de la rançon. Quelle que soit la variante, les ransomware exigent le règlement d’une rançon afin de débloquer ou libérer les systèmes informatiques, fichiers ou données verrouillés ou chiffrés.

Comment est-on infecté ?

Un ransomware peut être inoculé de différentes manières, mais, le plus souvent, il prend la forme d’un fichier infecté joint à un email. Par exemple, aujourd’hui, vous avez peut-être reçu un email prétendument envoyé par votre banque. Il comporte le bon logo, des liens URL vers votre véritable banque et votre nom. Le message vous indique qu’une activité suspecte a été détectée sur votre compte bancaire, et que vous devez installer le fichier joint à l’email afin de vérifier vos codes d’accès à votre compte en ligne. Ces vérifications semblent légitimes, mais il s’agit, en réalité, d’une attaque par phishing.

Vous le savez : aucune banque ne se permettrait d’envoyer un fichier à installer, surtout s’il s’agit de vérifier vos identifiants d’accès bancaire. En réalité, le document joint est vérolé par un ransomware dont l’objectif est de s’installer sur votre système d’exploitation si vous cliquez dessus.

Les documents joints aux emails ne constituent néanmoins pas les seuls leviers de contamination. Le téléchargement “drive-by” en est un autre : l’utilisateur visite un site web infecté et télécharge furtivement un logiciel malveillant qui s’installe à l’insu de l’utilisateur. Le ransomware se propage également via les réseaux sociaux ou les applications web de messagerie instantanée. Enfin, récemment, ce sont des serveurs web vulnérables qui ont été exploités pour servir de point d’entrée vers le réseau d’une entreprise.

Comment ne pas se faire piéger ?

Voici dix conseils pour protéger vos données et celles de votre entreprise des ravages d’un ransomware.

1.       Mettre en place une stratégie de sauvegarde et de restauration. Sauvegardez vos données régulièrement et stockez-les offline, sur un équipement autre que celui que vous utilisez.

2.       Utilisez des outils professionnels de sécurité email et web, capables d’analyser les documents joints aux emails, les sites web visités, les fichiers infectés par des logiciels malveillants, et qui peuvent bloquer des publicités potentiellement dangereuses, ainsi que l’accès à des sites et réseaux sociaux qui ne présentent aucun intérêt dans le cadre du travail. Ces outils doivent intégrer les fonctionnalités d’une sandbox de manière à ce qu’un fichier, nouvellement identifié ou non reconnu, puisse être exécuté et analysé dans un environnement sécurisé et cloisonné.

3.       Faites en sorte que vos systèmes d’exploitation, équipements et logiciels soient patchés et à jour.

4.       Assurez-vous que vos équipements, antivirus réseau, systèmes de prévention d’intrusion et outils antimalware bénéficient des mises à jour les plus récentes.

5.       Si possible, utilisez une liste d’applications qui empêchera les applications non conformes d’être téléchargées ou exécutées.

6.       Segmentez votre réseau en zones de sécurité, pour empêcher une infection présente dans une zone de se propager à d’autres.

Établissez et appliquez des autorisations et privilèges d’accès, de manière à ce qu’un nombre restreint d’utilisateurs présente le potentiel de contaminer les applications métiers, les données ou les services critiques.

8.       Établissez et mettez en vigueur une politique de sécurité qui va encadrer le BYOD (Bring your Own Device), afin d’inspecter et de désactiver les dispositifs non conformes à vos exigences de sécurité (absence d’anti-malware, signatures antivirales périmées, systèmes d’exploitation non patchés, etc.).

9.       Déployez des outils d’analyse post-incident pour analyser, suite à une attaque, l’origine de la menace, le délai de présence (et donc de nocuité) du logiciel malveillant au sein de votre environnement, la suppression réelle de la menace de chaque équipement et garantir que cette mésaventure ne peut se reproduire.

10.   ESSENTIEL: ne comptez PAS sur vos collaborateurs pour assurer la sécurité de votre entreprise. Même s’il est important de les sensibiliser davantage à la sécurité aux travers de formations (afin qu’ils apprennent à ne pas télécharger de fichiers, cliquer sur des pièces jointes à des emails suspects ou sur des liens internet non sollicités). L’être humain reste le maillon faible de votre chaîne de sécurité, et vous devez en tenir compte.

En effet, pour nombre de vos collaborateurs, cliquer sur des documents joints et faire des recherches sur Internet font partie de leur travail. Il est difficile d’être toujours méfiant. D’autre part, les attaques de type phishing sont devenues très convaincantes. Une attaque par phishing ciblée se sert de données disponibles en ligne et de profils sur les réseaux sociaux pour personnaliser son approche. Notons également qu’il est humain de cliquer naturellement sur une facture inattendue à régler, ou sur un message d’alerte provenant de votre banque. Enfin il ressort de nombreuses études que les utilisateurs ont le sentiment qu’assurer la sécurité est le travail de quelqu’un d’autre, mais certainement pas le leur.

Que faire si vous êtes contaminé ?

Si vous disposez d’une sauvegarde récente de vos données : vous pouvez effacer le contenu de votre équipement et procéder à la restauration.

1. Signalez le délit

Une recherche rapide en ligne vous mènera vers le site où signaler les cybercrimes dans votre pays ou région. En Europe, vous pouvez localiser le site de signalement des cybercrimes de votre pays à cette adresse.

2. Payer une rançon ne constitue pas une garantie

Payer une rançon ne garantit pas la restitution des fichiers. Les escrocs, en revanche, perçoivent les fonds et, dans certains cas, disposent des informations bancaires de leur victime. De plus, décrypter des fichiers ne signifie pas que le phénomène de contagion lié au logiciel malveillant a été éradiqué.

3. Faites appel à des experts

De nombreux systèmes d’exploitation, logiciels et solutions de sécurité sont fournis pas des acteurs qui comptent dans leurs équipes des experts capables de vous prodiguer des conseils sur la manière de réagir en cas d’infection. Des sociétés de services peuvent également vous proposer de réaliser des expertises post-incident et accélérer la reprise suite à un tel sinistre.

4. Prévoyez un plan B

Que faire si vos systèmes informatiques ou réseaux sont indisponibles ? Disposez-vous d’un plan de secours ? Pouvez-vous assurer le bon déroulement des opérations, même en mode restreint, pendant le processus de restauration ? Connaissez-vous le coût horaire subi par votre entreprise en cas d’indisponibilité système ? Ce coût est-il intégré à votre budget informatique ? Autant d’informations qui doivent être prises en compte dans votre politique de sécurité.

Bref, la cybercriminalité est une entreprise à but lucratif générant des milliards de revenus. Avec le même objectif que la plupart des entreprises, les cybercriminels sont très motivés quand il s’agit de trouver des moyens de s’enrichir. Mais contrairement aux entreprises, la fin justifie les moyens. Les cybercriminels misent sur des subterfuges, l’extorsion de fonds, des attaques, des menaces et des techniques d’ingénierie sociale pour accéder à vos données critiques et vos ressources.

Le ransomware n’est guère nouveau mais son récent essor, sa sophistication et sa rapidité de frappe soulignent une tendance orientée à la hausse et une volonté d’identifier de nouveaux moyens d’escroquer les particuliers et les entreprises qui sont en ligne.

Maintenant, plus que jamais, la sécurité n’est pas juste un élément à rajouter à votre métier. Elle est devenue indispensable pour mener vos opérations. Faites en sorte d’établir des partenariats avec des experts en sécurité qui comprennent que la sécurité ne se résume pas à activer un boîtier dans un centre de données. Il s’agit, au contraire, d’un ensemble de technologies intégrées et collaboratives, associé à une politique de sécurité efficace et à une approche par étapes qui prend en compte les phases de préparation, de protection, de détection, de réaction et d’apprentissage.

Les solutions de sécurité doivent pouvoir partager leurs informations de veille sur les menaces et neutraliser rapidement toute menace à l’échelle de votre environnement multisite. Elles doivent être intégrées au cœur de votre réseau et vous protéger de manière transparente et sur le long terme, à mesure que votre réseau évolue et se développe. Ces solutions doivent savoir s’adapter rapidement lorsque de nouvelles menaces apparaissent et, bien sûr, ne pas ralentir vos activités métiers au quotidien. (Guillaume Lovet, expert en cybercriminalité chez Fortinet)

Patch Tuesday – Mai 2016

Un mois de Mai avec un Patch Tuesday parmi les plus intenses depuis un moment en raison des menaces 0-Day qui y sont traitées et de leur ampleur potentielle.

Microsoft et Adobe publient les mises à jour de sécurité, mais avant de rentrer dans les détails des mises à jour de mai (17 en tout), rappelons l’urgence d’une autre vulnérabilité qui vous a peut-être échappée. Le célèbre programme Open Source ImageMagick est actuellement la cible d’une attaque active sur Internet. La vulnérabilité CVE-2016-3714 (renommée ImageTragick) permet d’exécuter du code à distance (RCE) via le l’envoi d’images. Pour l’instant, aucun patch n’est disponible, mais une solution de contournement a été publiée pour neutraliser les attaques en cours. Nous vous recommandons de faire comme les pirates, c’est-à-dire de scanner votre infrastructure pour rechercher des occurrences d’ImageMagick puis d’appliquer cette solution de contournement dans le fichier policy.xml. C’est ce que j’ai immédiatement fait sur mes sites, même si je n’utilise ImageMagick qu’en mode ligne de commande pour créer des vignettes. À noter que ces deux dernières semaines la solution de contournement s’est enrichie et qu’il est donc intéressant de la recharger si vous l’avez déjà appliquée.

Revenons aux mises à jour de Microsoft et d’Adobe publiées pour résoudre les vulnérabilités actuellement attaquées de manière active avec au total 17 bulletins pour colmater plus de 100 failles logicielles.

Tout en haut de notre liste des priorités figure la mise à jour pour Internet Explorer (MS16-051) qui résout une vulnérabilité de type RCE critique, en l’occurrence CVE-2016-0189 qui est actuellement sous le feu d’attaques. Cette vulnérabilité est située dans le moteur JavaScript et, dans Vista et Windows 2008, le moteur est distinct du navigateur. Donc, si vous exécutez ces variantes de Windows (seulement 2% fonctionnent encore sous Vista), vous devez installer MS16-053.

Vient ensuite APSA16-02, un avis de sécurité Zero-Day pour Adobe Flash. Aucun correctif n’est encore disponible, il est important de surveiller l’évolution de la situation. Adobe devrait publier une nouvelle version de Flash d’ici la fin de cette semaine. La vulnérabilité en question nommée CVE-2016-4117 fait actuellement l’objet d’attaques à l’aveugle.

Nous vous suggérons de commencer par traiter ces trois vulnérabilités avant de traiter d’autres problèmes. Pour la suite des bulletins, vous devriez vous concentrer sur :

MS16-054 pour Office qui résout deux vulnérabilités critiques au sein du format de fichier RTF. Elles peuvent être déclenchées via le volet d’aperçu d’Outlook sans que vos utilisateurs cliquent sur le fichier malveillant. Je vous r ecommande d’utiliser la fonction de blocage de fichiers pour supprimer RTF des formats de fichiers que vous acceptez, ce qui renforcera un peu votre protection et vous fera gagner du temps pour résoudre pleinement ce problème.

MS16-052 pour le navigateur Microsoft Edge sous Windows 10. Ce bulletin traite quatre vulnérabilités critiques, soit un peu moins que pour l’ancien navigateur Internet Explorer avec le bulletin MS16-051, sachant qu’aucune de ces failles ne fait l’objet d’une attaque directe.

MS16-055, un patch pour le sous-système graphique de Windows. S’agissant d’une vulnérabilité dans l’interface GDI, les vecteurs d’attaque peuvent provenir du Web et de documents. Les versions Windows affectées vont de Vista à Windows 10.

MS16-057 pour le shell Windows. Ce bulletin résout une vulnérabilité critique dans l’interface utilisateur au cœur de Windows, elle permet à un attaquant d’exécuter du code distant sur le système

MS16-062 pour les pilotes du noyau Windows. Toutes ces vulnérabilités sont locales mais du même type que celui utilisé par les attaquants pour élever leurs privilèges après s’être introduits dans le système.

Les bulletins MS16-056 et MS16-059 pour le Journal Windows et Windows Media Center traitent des vulnérabilités au sein de formats de fichier utilisés par ces applications. Si vous utilisez ces programmes, soyez vigilants car les vulnérabilités sont assez fréquentes et des attaquants finiront par découvrir ces nouvelles possibilités d’attaque un jour à l’autre. En raison de sa similarité avec MS15-134 (supporté dans Metasploit), il y a des chances pour que le bulletin MS16-059 figure très bientôt dans les boîtes à outils pour pirates.

MS16-058 pour IIS. Si vous exécutez IIS comme serveur Web, intéressez-vous à ce bulletin s’il y a des risques que des attaquants obtiennent les privilèges requis pour accéder à vos systèmes

APSB16-14 pour Adobe Reader, la mise à jour bimensuelle gère 92 vulnérabilités et expositions CVE différentes. (Qualys)

Facebook is watching you : système biométrique efficace

Depuis 2010, Facebook propose à ses utilisateurs un système de reconnaissance faciale qui permet de gagner du temps dans le « taguage » des personnes qui sont sur les photos. Sous couvert d’une nouvelle fonctionnalité, c’est un véritable dispositif biométrique qui a été mis en œuvre car il permet d’identification d’un individu à partir d’une simple photographie de son visage.

En Californie, trois utilisateurs ont reproché au réseau social n°1 d’avoir « secrètement et sans leur consentement » collecté des « données biométriques dérivées de leur visage ». Ces plaintes ont été jugées recevables par le juge James Donato qui « accepte comme vraies les allégations des plaignants » et juge « plausible » leur demande.

Au sein de l’Union européenne, le danger a rapidement été perçu s’agissant du système de reconnaissance faciale de Facebook qui l’a suspendu en 2012. Mais aux Etats-Unis, bien moins vigilants, cette fonctionnalité a perduré et il apparait bienvenu que la Justice y réagisse enfin. Facebook a constitué des profils qui répertorient les caractéristiques du visage de ses utilisateurs, leur cercle d’amis, leurs goûts, leurs sorties, etc. Avec plus de 3 milliards d’internautes dans le monde, cela revient à ce qu’environ 28% de la population ait un double virtuel rien que sur Facebook.

Facebook is watching you : Reconnaissance faciale, intelligence artificielle et atteinte aux libertés
Eu égard à leur grand potentiel discriminatoire, les données biométriques sont strictement encadrées par la loi du 6 janvier 1978 puisque d’après son article 25, une autorisation préalable de la Commission nationale de l’informatique et des libertés est indispensable pour  mettre en œuvre des « traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Cela regroupe l’ensemble des techniques informatiques qui permettent d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales.

Les conditions générales d’utilisation de Facebook ne sont pas donc pas conformes à la législation française sur les données personnelles, notamment s’agissant de la condition de consentement préalable, spécifique et informé au traitement des multiples données à caractère personnel collectées. Mais le géant de l’internet ne répond qu’à l’autorégulation. Par opposition à la règlementation étatique, la régulation n’entend prendre en compte que la norme sociale, c’est-à-dire l’état des comportements à un moment donné. Si la norme sociale évolue, alors les pratiques de Facebook s’adapteront.

Vers une remise en cause mondialisée des abus de Facebook ?
L’affaire pendante devant les Tribunaux met en lumière le manque de réactivité des américains face aux agissements de Facebook. C’est seulement au bout de 5 années que la Justice s’empare de la question des données biométriques à l’initiative de simples utilisateurs, alors même qu’une action de groupe à l’américaine d’envergure aurait pu être engagée pour mettre sur le devant de la scène les abus de Facebook.

Néanmoins, « mieux vaut tard que jamais » et l’avenir d’une décision répressive  ouvre la porte vers de nouveaux horizons pour l’ensemble des utilisateurs. En effet, Facebook prend comme modèle pour toutes ses conditions générales d’utilisation à travers le monde la version américaine de « licencing ». Plus Facebook se verra obligé dans son pays natal à évoluer pour respecter les libertés individuelles des personnes inscrites, plus on s’éloignera du système tentaculaire imaginé par Mark Zuckerberg qui n’est pas sans rappeler celui imaginé par Georges Orwell dans son roman 1984.

Par Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d’avocats ACBM.

Les cybers attaques ont un impact réel sur la confiance des consommateurs

Une enquête menée par le cabinet d’études VansonBourne à l’initiative de FireEye auprès d’un panel représentatif de 1000 consommateurs français, révèle que les cyber attaques de grande ampleur qui se sont produites en 2015 ont affecté durablement la confiance des consommateurs envers les grandes marques.

Les résultats de l’enquête ont mis en évidence une inquiétude grandissante du public directement liée à la perception d’un manque d’intérêt des directions générales pour la protection des données, plus des trois quarts (77%) des consommateurs déclarant être prêts à stopper leurs achats auprès d’une entreprise si une cyber attaque révélait une négligence de la part des dirigeants sur la protection des données. Cette négligence des dirigeants est d’ailleurs jugée plus grave que si la faille de sécurité est simplement due à une erreur humaine, seules 53% des personnes interrogées évoquant cette raison pour stopper leurs achats.

Les conclusions de l’enquête révèlent également l’impact financier potentiel sur le long terme des vols de données pour les grandes marques, 54% des consommateurs déclarant qu’ils engageraient des poursuites judiciaires contre les entreprises si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque. 71% des consommateurs indiquent également qu’ils divulgueront à l’avenir moins d’informations personnelles aux marques avec lesquelles ils sont en relation, ce qui pourrait avoir un impact négatif sur les ventes de beaucoup d’entreprises qui exploitent les donnes de leurs clients pour optimiser leur marketing.

Richard Turner, President EMEA de FireEye, a déclaré : « Les cyber attaques et les vols de données se sont multipliés dans l’actualité au cours de l’année écoulée, et les entreprises françaises n’ont pas toutes été épargnées. Les dirigeants des entreprises concernées ont dû réagir immédiatement pour limiter les pertes financières directes, en offrant des ristournes ou d’autres compensations aux consommateurs ». Mais cette enquête montre que les pertes financières dues à un vol de données s’étendent longtemps après que l’attaque initiale ait eu lieu. Elle met en lumière le « coût caché » des cyber attaques sur les entreprises, avec des consommateurs moins enclins à acheter auprès d’organisations réputées négligentes en matière de sécurité, et de plus en plus tentés d’engager des poursuites contre des fournisseurs si leurs données tombent en de mauvaises mains.

Les conclusions de cette enquête sur la confiance des consommateurs montrent que les perceptions négatives du public pour les marques attaquées peuvent persister longtemps après qu’elles aient quitté l’actualité, et que de plus en plus de consommateurs affectés par les vols de données pointent du doigt les responsables tout en haut de l’échelle. Il y a là des leçons importantes à retenir pour les directions générales, qui commencent à comprendre pourquoi elles doivent jouer un rôle plus actif dans la cyber sécurité. Il est également intéressant de voir dans ces résultats que les consommateurs accordent de plus en plus d’importance à la sécurité des données et gardent cet aspect à l’esprit lors de leurs décisions d’achat. Alors que la sécurité des données a été trop souvent considérée par le passé par les entreprises comme un simple centre de coût, elle représente désormais pour elles une opportunité d’attirer de nouveaux clients qui veulent avoir l’assurance que leurs données seront en sécurité. »

Les principales conclusions de l’enquête sur la confiance des consommateurs

·         Plus de la moitié des consommateurs interrogés (53%) déclarent prendre la sécurité de leurs données personnelles en considération lorsqu’ils achètent des produits et services.

·         71% des consommateurs interrogés divulgueront dans l’avenir moins de données personnelles aux organisations qui leur fournissent des produits et des services, en conséquence des cyber attaques majeures qui ont eu lieu l’année dernière.

·         Près de la moitié (42%) des consommateurs seraient prêts à payer plus un fournisseur de service garantissant une meilleure sécurité des données.

·         54% des consommateurs déclarent qu’ils engageraient des poursuites judiciaires contre leurs fournisseurs de produits et services si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque.

·         13% des personnes interrogées déclarent que la sécurité de leurs données personnelles est désormais leur principale préoccupation lorsqu’elles achètent des produits et services.

·         38% des consommateurs déclarent que les cyber attaques de grande ampleur qui se sont produites l’année dernière ont eu un impact négatif sur leur perception de la réputation des entreprises attaquées, tandis que 30% d’entre eux déclarent que ces cyber attaques ont dégradé la réputation de toutes les entreprises auprès desquelles elles font leurs achats.

·         21% des personnes interrogées qui ont eu connaissance des cyber attaques de l’année passée considèrent que la communication des dirigeants des entreprises concernées a été mauvaise ou très mauvaise.

·         L’enquête a également révélé que 93% des personnes interrogées s’attendraient à être informées dans les 24 heures si leur fournisseur de service était victime d’une attaque susceptible de compromettre leurs données. La nouvelle directive européenne GDPR (General Data Protection Regulation) imposant que les autorités soient informées d’un vol de données dans les 72 heures, ceci montre que les consommateurs sont encore plus stricts dans leurs exigences, 68% d’entre eux s’attendant même à être informés immédiatement.

Vivre et mourir à travers le regard des autres : Suicide en direct sur Périscope

Suicide en direct sur Périscope – Le grand public a découvert l’application Periscope après la médiatisation de la vidéo du footballeur de l’équipe de France Serge Aurier insultant Laurent Blanc en réponse à des questions posées par des internautes. Cette application permet en effet de retransmettre en direct ce qu’on filme et les autres utilisateurs peuvent commenter tout autant en direct ce qu’ils voient, et c’est un suicide ils ont pu assister ce mardi 10 mai.

Après avoir annoncé qu’elle allait faire quelque chose de choquant et demandé aux mineurs de ne pas regarder -ce qui a dû en attirer plus d’un- une jeune femme a annoncé avoir été violée et a désigné nommément de son agresseur. Afin de faire passer selon ses dires « un message », elle s’est ensuite jetée sous un RER C en direct sous les yeux d’une centaine d’utilisateurs. Elle avait moins de 20 ans.

Cela s’est produit vers 16h30 à la gare d’Egly en Essonne. La jeune femme avait quelques minutes auparavant annoncé son geste à l’un de ses proches par sms. Ce dernier comme les ‘’spectateurs’’ n’ont rien pu faire, si ce n’est appeler les pompiers qui ont ramassé le téléphone puis retiré sa batterie pour mettre fin à la vidéo. Le téléphone a été saisi par les enquêteurs d’une brigade de recherche et une enquête a été ouverte par le parquet d’Evry et de nombreuses personnes appellent à la fermeture de l’application via les réseaux sociaux.

Suicide en direct sur Périscope : l’illustration tragique des dérives de l’exposition de soi sur les réseaux
Comment a-t-on pu en arriver là ? Quel a pu être le raisonnement de cette jeune fille ? Elle a affirmé dans une de ses vidéos que « tant qu’on ne tape pas dans la provoc’ les gens de comprennent pas ». Elle a donc estimé que le seul moyen d’exprimer sa détresse due au viol dont elle aurait été victime était de partager son suicide avec des inconnus. Se jeter sous un RER est malheureusement devenu courant chez les jeunes, comme l’avais montré le suicide de deux élèves de Polytechnique en février et mars 2016.

Récemment les médias ont dénoncé une nouvelle mode consistant à tabasser un inconnu dans la rue de manière totalement gratuite et aléatoire, et ce en direct sur Periscope. Cette application tend à devenir le moyen de communication privilégié des comportements les plus noirs de notre société. Est-ce que le suicide de cette jeune femme va être une source d’inspiration pour d’autres personnes ? Nous ne l’espérons pas et plaidons en faveur d’une fermeture préventive de l’application devenue malgré elle malsaine.

L’éthique douteuse de Baidu mise en lumière après la mort d’un internaute
Baidu a été fondé en 2000 et est aujourd’hui le plus grand moteur de recherche Chinois, ce qui en fait le 5ème site le plus consulté au monde. A l’instar de Google avec son système AdWords, Baidu se finance grâce à la sponsorisation des liens internet. Or, les publicités médicales représentent environ 20% des revenus de son moteur de recherche. Début janvier, on a découvert que Baidu avait supprimé les messages négatifs de la part d’internautes de forums de santé sur des contenus sponsorisés de médicaments et hôpitaux. Ce n’était que les prémices d’une dénonciation des pratiques commerciales du groupe par l’autorité de régulation administrant l’internet chinois, la CAC.

Les dérives de l’utra-sponsorisation en matière médicale
Wei Zewi, un étudiant chinois de 21 ans diagnostiqué d’une forme rare de cancer a fait une recherche sur Baidu concernant sa maladie et les premiers résultats ont mis en évidence une immunothérapie expérimentale par un hôpital pekinois. Ce traitement très onéreux s’est révélé totalement inefficace et, avant de mourir, le jeune homme a écrit une lettre accusant Baidu de tromper ses usagers en classant les résultats selon les recettes publicitaires. L’émotion qu’il a suscité sur les réseaux sociaux a attiré l’attention des médias et autorités, jusqu’à faire dégringoler le cours du groupe chinois à la Bourse de New York.

L’enquête du régulateur de l’internet chinois révèle que « le mécanisme utilisé par Baidu pour classer les résultats dépend de façon excessive du prix payé et les contenus sponsorisés ne sont pas clairement signalés ». La CAC insiste sur le fait que ce système « influence l’impartialité et l’objectivité des résultats obtenus et contribue facilement à induire en erreur les internautes ». Ces remarques sont vraies dans tous les secteurs, mais les conséquences peuvent-être particulièrement désastreuses en matière médicale comme l’a montré le cas Wei Zewi. Ainsi, sans être des professionnels de la santé, on peut dire que les moteurs de recherche devraient respecter d’eux-mêmes une forme d’éthique médicale vis-à-vis de ses internautes malades.

Enfin une remise en cause du modèle économique biface des moteurs de recherche gratuits ?
Suite à cette affaire, Baidu a pris divers engagements. Il a assuré avoir supprimé les résultats sponsorisés de la part de plus de 2500 établissement médicaux ou entreprises de santé et a annoncé la mise en place d’un fonds d’indemnisation des usagers victimes de résultats publicitaires trompeurs de l’équivalent de 135 millions d’euros. De manière plus concrète, Baidu s’est engagé à signaler ostensiblement les contenus sponsorisés à l’aide de marqueurs et avertissements et les limitera à 30% de chaque page de résultat affiché.

Le modèle économique de Baidu est dit « biface » car on a d’un côté les internautes, qui ne payent pas et de l’autre coté les annonceurs, qui eux payent pour être mis en avant. Cette seconde face finance le moteur de recherche à concurrence de 84% du chiffre d’affaire. C’est donc de manière indirecte que les usagers de Baidu, Google, Ebay et de la multitude d’autres sites en apparence gratuits peuvent prendre le statut de consommateur. Ce statut permettrait aux internautes d’être protégés plus efficacement contre les abus des moteurs de recherche et de leurs partenaires annonceurs pour les inciter à se tourner vers tel ou tel produit ou service.

Mais le droit de la consommation ne s’est pas encore à proprement parler emparé de la question du modèle biface et de ses conséquences pour les internautes-consommateurs. Par exemple, le cheval de troie des attaquants du service AdWords de Google devant la Cour de justice de l’Union Européenne le 23 mars 2010 a été le droit des marques et la lutte contre la contrefaçon sur internet. Les mésaventures de Baidu catalyseront peut-être une prise de conscience collective des risques liés à l’influence des résultats de recherche sur les choix de consommation des internautes, particulièrement concernant leur santé.

Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d’avocats ACBM (http://www.acbm-avocats.com)

Renforcer la cybersécurité des organismes financiers

La société financière SWIFT a publié très récemment un communiqué visant à sensibiliser ses 11 000 banques clientes à relever le niveau de sécurité lors de l’utilisation de leur système de transfert. Cette recommandation fait suite à la cyberattaque perpétrée contre la Banque Centrale du Bangladesh (BCB) ayant conduit au vol de 81 millions de dollars via un système de transfert de fonds Swift.

Dans ce contexte de sensibilisation accrue et de transformation digitale des entreprises, les cyberattaques perpétrées contre les organismes financiers démontrent le besoin global de revoir la place de la sécurité dans les stratégies des organismes financiers et des entreprises, aux plus hauts niveaux de ces dernières. C’est d’autant plus essentiel à l’heure où les dommages collatéraux tels que l’impact sur le cours de la bourse et sur les investissements semblent inévitables.

Jean-François Pruvot, Regional Director France chez CyberArk, commente à Data Security Breach : « La cybersécurité doit irrévocablement être considérée comme une priorité par les entreprises car les répercussions immédiates d’une faille de sécurité concernent directement, et en premier lieu, leurs dirigeants qui sont porteurs de ces questions et sont donc tenus pour responsables du moindre incident. Dans le cas d’une cyberattaque de grande ampleur, cela aboutit la plupart du temps au renvoi ou à la démission quasi immédiate du PDG, comme ce fût le cas, par exemple, de la Banque Centrale du Bangladesh. Des mesures souvent radicales qui s’expliquent par des arguments économiques et stratégiques« .

D’un point de vue économique, les cybermenaces doivent aujourd’hui être considérées comme un risque systémique. En effet, les attaques contre les organisations financières impactent directement les investissements et le cours de la bourse, ce qui contribue à inciter les agences de notation et les organismes de contrôles financiers, qui jusqu’à présent ne prenaient pas en compte le risque cyber dans leurs analyses, à l’intégrer de plus en plus, à l’instar d’analystes financiers tels que Moody’s. L’adoption de cette démarche anticipative leur permet entre autres d’éviter que les investisseurs ne se retournent contre eux dans le cas d’un décrochage boursier causé par une cyberattaque.

Relever le niveau de sécurité

Par ailleurs, dès lors que les investissements et/ou le cours de la bourse sont impactés, les organisations doivent prendre conscience de l’effet « boule de neige » d’une cyberattaque, d’un point de vue stratégique. En effet, en attaquant l’entreprise, elle touche en premier lieu la direction, suivi du comité de direction et par extension atteint le conseil d’administration. Cela conduit à la nécessité de développer en amont un plan d’urgence, tenant compte des répercussions sur l’image et la réputation, pour faire face à l’éventualité d’une cyberattaque. Mais ce qui aura le plus de poids est sa manière d’appréhender une telle crise auprès de ses clients, partenaires et investisseurs et surtout sa capacité à recouvrer le business suite à une compromission. Par exemple, le renvoi effectif d’un dirigeant, ou sa démission, reste à l’heure actuelle quasiment inévitable car il démontre une volonté de l’entreprise d’aller de l’avant et de ne pas reproduire les mêmes erreurs : il envoie un message de renouveau à l’opinion.

Cependant, avant d’en arriver là, les hauts dirigeants, qui ont en majorité pris conscience de la menace du risque lié à la cybersécurité, doivent à présent s’atteler sérieusement à la mise en place et au verrouillage d’un plan de sécurité de l’information au sein de leur organisation, et ce, au-delà des investissements financiers dans les technologies. Pour y parvenir, ils doivent indiscutablement impliquer l’ensemble des départements de l’entreprise afin d’adresser à l’unisson, et en priorité, le problème central des pirates informatiques qui trouveront le moyen de s’introduire dans le périmètre de sécurité, et de détourner et d’abuser d’identifiants afin d’accéder à des informations sensibles ou de perpétrer des transactions frauduleuses dont les conséquences risquent de marquer l’organisme au fer rouge pour de longues années.

7 ans de prison et 750000€ d’amende pour les réseaux de contrefacteurs en France

Vêtements, produits de luxe, dvd, films, albums de musique… Les réseaux de contrefacteurs en bande organisée, comme un portail diffuseur de liens torrents reliés à des copies illicites risquent 7 ans d’emprisonnement et 750.000€ d’amende.

L’Union des Fabricants (Unifab), association française de lutte anti-contrefaçon qui œuvre depuis plus de 140 ans pour la protection et la promotion du droit de la propriété intellectuelle, et ses 200 entreprises adhérentes issues de tous les secteurs d’activité, se félicitent de l’adoption en Commission Mixte Paritaire (CMP) de l’amendement concernant l’aggravation des sanctions en matière de contrefaçon en bande organisée, portant les peines encourues pour les contrefacteurs, de 5 ans et 500.000€,  à 7 ans d’emprisonnement et 750.000€ d’amende.

Les discussions dans le cadre du projet de loi lutte contre le terrorisme, entamées à l’Assemblée Nationale et poursuivies au Sénat, ont abouti à une véritable avancée,  dans la protection des œuvres de l’esprit qui sont, il est important de le rappeler, les piliers de la tradition, du savoir-faire, de l’économie, de la création, et de la sécurité des consommateurs.

Réseaux de contrefacteurs

Cette disposition, qui demeure à l’adoption finale et définitive du texte, s’inscrit dans la droite ligne des 10 recommandations formulées par l’Unifab à l’occasion de la sortie de son rapport sur le lien direct entre « contrefaçon et terrorisme » remis officiellement au Ministre des Finances et des Comptes Publics M. Michel Sapin le 28 janvier dernier.

« Aujourd’hui nous célébrons une véritable et authentique victoire, une avancée spectaculaire, qui provoquera une réelle prise de conscience dans l’application des peines à leur plus juste niveau. Je ne peux que féliciter et remercier les acteurs majeurs de cette initiative, et particulièrement le président du Comité National Anti-Contrefaçon (CNAC) et Sénateur des Français à l’étranger M.Richard Yung, qui, grâce à un engagement sans faille a permis de réévaluer le cadre répressif de la propriété intellectuelle pour être en phase avec l’échelle des peines des délits similaires… » déclare Christian Peugeot, Président de l’Unifab.

Alors que la France, leader en matière de protection des droits de propriété intellectuelle, renforce son système répressif concernant les activités liées aux réseaux de contrefacteurs, le tribunal populaire de Putuo, à Shanghai vient de condamner un revendeur, sur une célèbre plateforme chinoise de e-commerce, à fermer sa boutique en ligne et à cesser d’utiliser frauduleusement la marque « Bonpoint ». Le contrefacteur a été condamné à payer 35.000 yuans, et, fait surprenant, à exprimer publiquement ses excuses dans le journal local Xinmin.

Pirate de données bancaires arrêté en Pologne

Un pirate de données bancaires Polonais, recherché depuis 6 mois, arrêté après avoir volé plus de 100.000 €. Il en avait 800.000 en réserve.

Selon les autorités polonaises, Mateusza C., un internaute de 35 ans originaire de Varsovie, est accusé de piratage bancaire. Lui et un complice [Polsilverem], ce dernier a été arrêté en octobre 2015, auraient réussi à s’infiltrer dans des banques locales pour orchestrer des virements illicites. 100.000 euros ont pu être dérobés et transformés en bitcoin, la crypto monnaie. Les pirates avaient encore la main sur 800.000 euros qu’ils n’ont pu transférer. Connu sur la toile sous le pseudonyme de Pocket, le pirate risque 10 ans de prison. Pendant ce temps, en Russie, le gouvernement de Vladimir Poutine se penche à punir les utilisateurs « malveillants » de Bitcoin. Des peines d’amendes et de prisons sont proposés dans une loi qui doit être votée le mois prochain.

Google s’ouvre les portes de centaines de milliers de dossiers de santé

Un accord signé entre Google et le National Health Service (NHS) britannique va permettre à Google d’accéder à plus de 1,6 millions de dossiers médicaux.

Le National Health Service (NHS) est le système de la santé publique du Royaume-Uni. Sa mission, permettre aux britanniques de se soigner dans les meilleures conditions. Quatre NHS régissent le système de santé publique des Écossais, Britanniques, Irlandais et Gallois. Les sujets de sa gracieuse majesté vont adorer apprendre que le NHS a signé un accord avec une filiale de Google, DeepMind. Finalité de ce partenariat, comprendre la santé humaine. Sauf qu’il semble que ce contrat passé en 2014 vient de prendre une nouvelle tournure plus intrusive.

DeepMind a dorénavant un accès complet à 1,6 millions de dossiers de patients britanniques. Des dossiers de patients passés par les trois principaux hôpitaux de Londres : Barnet, Chase Farm, et le Royal Free. En février, la filiale de Google dédiée à l’intelligence artificielle a indiqué avoir mis en place une application appelée Streams. Elle est destinée à aider les hôpitaux à surveiller les patients atteints de maladie rénale. Cependant, il vient d’être révélé que l’étendue des données partagées va beaucoup plus loin et inclut des journaux d’activité, au jour le jour, de l’hôpital (qui rend visite au malade, quand…) et de l’état des patients.

Les résultats des tests de pathologie et de radiologie sont également partagés. En outre, DeepMind a accès aux registres centralisés de tous les traitements hospitaliers du NHS au Royaume-Uni, et cela depuis 5 ans. Dans le même temps, DeepMind développe une plate-forme appelée Rescue Patient. Le logiciel utilise les flux de données de l’hôpital. Des informations qui doivent permettre de mener à bien un diagnostic. New Scientist explique que l’application compare les informations d’un nouveau patient avec des millions d’autres cas « Patient Rescue pourrait être en mesure de prédire les premiers stades d’une maladie. Les médecins pourraient alors effectuer des tests pour voir si la prédiction est correcte« .

Générer un mot de passe indéchiffrable, possible ?

A l’occasion de la Journée du Mot de Passe, les meilleurs conseils aux utilisateurs pour éviter que leurs codes secrets ne soient découverts.

Le 5 mai était la Journée Mondiale du Mot de Passe. Une idée marketing lancée par des éditeurs de solution de sécurité informatique. Pour marquer cette date d’une pierre blanche, plusieurs éditeurs ont analysé les habitudes des utilisateurs. Avast Software par exemple propose des recommandations pour créer et protéger des mots de passe indéchiffrables.

Créer des mots de passe fiables et les modifier fréquemment
Une actualité ponctuée d’histoires comme celles de la faille d’Ashley Madison, le site de rencontres extra-conjugales, démontre que les gens n’utilisent pas correctement leurs mots de passe. Les utilisateurs ne créent pas de codes assez fiables et il est certain qu’ils ne les changent pas régulièrement – même face au risque de voir leurs données sensibles et leurs potentielles frasques exposées, ou leur mariage brisé. Les utilisateurs créent des mots de passe facilement déchiffrables souvent par manque d’information ou par paresse, en témoigne la liste des codes les plus souvent utilisés compilée par les chercheurs. Dans le top 10 :

1.       123456
2.       123456789
3.       password
4.       101
5.       12345678
6.       12345
7.       Password1
8.       qwerty
9.       1234
10.      111111

Cette liste comprend les mots de passe les plus simples, tels que 123456, password, et qwerty. D’autres se retrouvent plus bas dans la liste comme iloveyou (#19) ou trustno1 (#57) – une ironie pour un code figurant dans la liste des mots de passe les plus populaires. « Certains pensent qu’une liste de mots de passe seuls qui fuite en ligne n’est pas un problème – cependant, environ 50 % de ces mots de passe étaient associés à une adresse mail, déclare le chercheur d’Avast Michal Salat. Nous savons que les gens utilisent les mêmes combinaisons de mails et de mots de passe pour différents comptes. C’est pourquoi si un hacker connait le mot de passe de votre profil Ashley Madison, il connaitra également celui de votre Facebook, Amazon, eBay, etc. »

Comment créer des mots de passe fiables ?

Il n’y a pas de meilleure occasion que le 5 mai pour commencer à changer ses habitudes et protéger ses codes. Voici quelques conseils pour garder un mot de passe fiable et sécurisé. Je vais être honnete avec vous, si vous ne prenez pas 5 minutes pour réfléchir à votre sécurité et à la bonne gestion de vos précieux, passez votre chemin !

Domus tutissimum cuique refugium atque receptaculum sit

·         Créer des mots de passe longs et complexes. Il suffit de reprendre une phrase d’un livre que vous aimez. N’oubliez pas d’y placer quelques chiffres, majuscules et signes de ponctuations.
·         Utiliser un mot de passe différent pour chaque compte. Lors de les conférences, je fais sortir les clés des participants. Une clé pour chaque porte (voiture, boite aux lettres, maison, bureau…). En informatique, il faut la même régle pour ses mots de passe.
·         Ne pas partager ses mots de passe. C’est peut-être une proposition idiote au premier abord, mais combien de fois, lors d’ateliers que je propose dans les écoles, j’entends le public m’expliquer avoir partager avec son ami, son voisin… sa clé wifi !
·         Changer ses mots de passe régulièrement. Pour mon cas, il change tous les 35 jours. Je ne suis pas à l’abris du vol d’une base de données dans les boutiques, sites… que j’utilise.
·         Utiliser un gestionnaire de mot de passe pour mémoriser ses mots de passe ? Je suis totalement contre. Il en existe beaucoup. Mais faire confiance à un outil dont on ne maîtrise ni le code, ni la sécurité, me parait dangereux. Beaucoup d’utilisateurs y trouvent un confort. L’ensemble de vos mots de passe sont regroupés dans une solution informatique qui chiffre les données. Un seul mot de passe est requis pour utiliser n’importe quel compte sauvegardé. Bref, vaut mieux ne pas perdre ce précieux cerbére !
·         Verrouiller son matériel avec un mot de passe. Les systèmes existent. utilisez les. Je croise bien trop d’ordinateur s’ouvrant d’une simple pression sur la touche « Entrée ».
·         Activer la double-authentification ou l’authentification forte. Indispensable aide. Téléphone portable, sites Internet, Facebook, Twitter… La double authentification renforce l’accès à vos espaces. En cas de perte, vol, piratage de votre précieux. Sans la double authentification, impossible d’accèder à vos données.

De son côté TeamViewer rappele aussi qu’il est déconseillé de fournir des informations personnelles identifiables : Utiliser plusieurs mots de passe forts peut impliquer quelques difficultés de mémorisation. Aussi, afin de s’en souvenir plus facilement, beaucoup d’utilisateurs emploient en guise de mot de passe des noms et des dates qui ont une signification personnelle. Les cyber-délinquants peuvent cependant exploiter des informations accessibles publiquement et des comptes de réseaux sociaux pour trouver ces informations et s’en servir pour deviner les mots de passe.