Mardi 17 septembre, une nouvelle vulnérabilité zero-day affectant toutes les versions d’Internet Explorer a été annoncée par Microsoft. Cette vulnérabilité peut corrompre la mémoire de manière à permettre aux attaquants d’exécuter des codes arbitraires. L’attaque fonctionne en attirant des utilisateurs vers des sites conçus pour l’occasion et qui abrite cette vulnérabilité dirigée contre Internet Explorer. Jusqu’à présent, cette vulnérabilité a été utilisée dans un nombre limité d’attaques ciblées. Microsoft a pris connaissance de cette vulnérabilité et a posté une alerte sur le sujet. L’éditeur n’a pas encore distribué de patch, mais a fourni une solution temporaire – cf. “Fix It” – qui devrait servir jusqu’à ce qu’une mise à jour en matière de sécurité soit disponible. (Symantec)
Archives de catégorie : Cybersécurité
Actualités liées à la CyberSecurité.
L’assurance contre les cyber-risques d’Allianz ne peut être qu’un « filet de sécurité » pour les entreprises
Le spécialiste de l’assurance Allianz Global Corporate & Specialty (AGCS) vient d’annoncer une nouvelle gamme de produits destinée à protéger les entreprises contre les problèmes qui peuvent découler d’une cyber-attaque grave ou d’une violation de données. Cette annonce fait suite à de récentes études qui indiquent que les cyber-attaques sont susceptibles de faire perdre plusieurs millions d’euros aux entreprises, dans un contexte où elles sont visées par des cyber-attaques de plus en plus sophistiquées.
Nigel Pearson, responsable de la cybernétique chez Allianz, déclare à ce sujet que les entreprises ne réalisent pas l’ampleur du risque actuel alors que « de nombreux cybercriminels sont déjà en mesure de pirater les systèmes de petites et moyennes structures, et qu’ils peuvent ainsi trouver un moyen d’accéder aux systèmes des grandes entreprises avec lesquelles ces PME sont partenaires ».
Jean-Pierre Carlin, directeur commercial Europe du Sud chez LogRhythm, a fait les commentaires suivants : « La cybercriminalité et l’espionnage industriel sont devenus tellement banals que les récents incidents n’ont pas réussi à susciter l’intérêt requis des entreprises au moment où ils ont été rapportés. Le fait que la cybercriminalité ait coûté plus de 2,5 milliard d’euros en 2012 aurait dû servir de détonateur et envoyer un message fort et clair aux organisations. Malheureusement, vu les nombreuses attaques médiatisées auxquelles nous avons pu assister jusqu’ici cette année, le chemin est encore long et certains iront même jusqu’à dire que nous sommes déjà en train de perdre la bataille.«
Ce qui est intéressant ici, cependant, c’est que les assureurs commencent à reconnaître à la fois la nouvelle source de revenus, et les nouvelles opportunités commerciales offertes par cette nouvelle catégorie de risque. Comme les attaques des cybercriminels deviennent plus sophistiqués, et que nous nous rendons compte du caractère inéluctabilité de la crise, il semble logique que les entreprises souhaitent bénéficier du plus haut niveau de protection.
Il est également judicieux pour les assureurs de commencer à reconnaître ce risque lié à l’ère du temps – comme ils l’avaient fait avec le détournement des avions et à la cendre volcanique. Pour les entreprises, les conséquences d’une faille grave pourraient être comparées aux dommages d’un incendie ou d’un cambriolage important – si ce n’est pire… Il ne serait donc pas surprenant de voir d’autres assureurs suivre l’exemple d’Allianz très prochainement.
« Cependant, cette nouvelle prise en compte du risque par l’assurance doit être considérée comme un filet de sécurité, et ne pas donner un prétexte aux entreprises pour entretenir un faux sentiment de sécurité. Il est impératif que les bonnes pratiques en matière de sécurité soient maintenues afin de préserver l’étanchéité des réseaux de l’entreprise. La protection des renseignements personnels devrait être primordiale, par exemple, plutôt que de simplement couvrir les frais d’une violation. Le contrôle de la protection devrait être la norme dans toutes les organisations car il offre une vue étendue de toutes les activités du réseau de façon à ce que si quelque chose de suspect est identifié, il peut être arrêté avant que le mal ne soit fait. Cette protection devrait être élargie aux fournisseurs tiers, comme les petites entreprises qui desservent les grandes, et qui sont de plus en plus perçues comme maillon faible par les pirates qui veulent contourner la sécurité des grandes multinationales« .
Les robots de la police privée du copyright attaquent « Robocopyright »
Avec une mordante ironie, la vidéo « Robocopyright ACTA » [1] que La Quadrature du Net avait publiée en 2010 sur Youtube [2] pour dénoncer les excès de la répression conduite au nom du droit d’auteur a été retirée cette semaine [3] par la plateforme… pour violation du droit d’auteur ! Elle constituait pourtant incontestablement une parodie protégée par une exception au droit d’auteur en France et par le fair use (usage équitable) aux États-Unis. Cette atteinte caractérisée à la liberté d’expression ne fait qu’illustrer une fois de plus les risques de censure dont sont porteurs les systèmes d’application automatisée du droit d’auteur. Ce sont pourtant ces modèles qui sont montrés en exemple aujourd’hui en France, notamment à travers le concept « d’auto-régulation des plateformes », que l’on retrouve aussi bien dans le rapport Lescure, à la Hadopi ou au CSA. ***
La vidéo « Robocopyright ACTA » avait été réalisée par l’équipe de La Quadrature [4] à partir du détournement d’une scène du film RoboCop, dont les droits appartiennent à la société de production MGM. Ce sont ces contenus que le système automatique de filtrage Content ID [5], mis en place par Google sur Youtube, a repérés et retirés, peut-être à la demande des ayants droit.
Content ID fonctionne sur une base contractuelle par le biais d’accords de redistribution des revenus publicitaires entre Google et les ayants droit. Il se substitue aux mécanismes prévus par la loi, aussi bien en Amérique qu’en France, concernant la responsabilité des hébergeurs. En laissant aux titulaires de droit la possibilité de décider arbitrairement du retrait de leurs contenus, Content ID occasionne très fréquemment des dommages collatéraux, en provoquant le retrait de mashups, de remix ou de parodies reconnues par ailleurs par la loi.
Ce système aboutit à la mise en place d’une police privée du droit d’auteur, s’exerçant en dehors du contrôle de la justice et dérivant graduellement vers un système de censure aveugle. Une possibilité de contre-notification a bien été prévue [6] par le biais d’un appel, mais, outre la lourdeur de cette procédure pour les simples citoyens, l’impartialité de ce dispositif est douteuse, puisque certains ayants droit comme Universal [7] ont obtenu des privilèges leur permettant d’obtenir les retraits comme ils le souhaitent.
Il est très inquiétant de voir que ces systèmes automatiques de filtrage sont pris pour exemple par les pouvoirs publics français, comme des dispositifs dont l’application pourrait être généralisée pour « réguler » Internet au nom du droit d’auteur. Mireille Imbert Quaretta, présidente de la Commission de protection des droits de la Hadopi, s’est ainsi vue confier par le Ministère de la Culture une mission de lutte contre la contrefaçon commerciale [8]. Elle entend pousser les plateformes à « s’autoréguler » en mettant en place des dispositifs de filtrage, sous peine de voir leur responsabilité engagée. On retrouve la même idée dans les recommandations du rapport Lescure [9], qui vante les mérites de Content ID et envisage favorablement sa généralisation.
Face à ces dérives, qui pourraient amener un ACTA ou un SOPA contractuel en France [10], La Quadrature réaffirme que le retrait d’un contenu sur Internet ne devrait intervenir qu’après le contrôle d’un juge impartial dans le cadre d’une procédure contradictoire au sein d’un tribunal. Il n’appartient pas à des acteurs privés de définir à leur guise l’étendue de la liberté d’expression. Le mashup, le remix et la parodie doivent être consacrés comme des droits dans la loi, mais les abus de la censure ou de la sanction automatisée ne sont en rien limités à ces cas.
« Le retrait arbitraire de cette vidéo illustre le fait que l’application du droit d’auteur ne devrait jamais être confiée à des machines ou à des humains machinisés. C’est hélas une tendance lourde de la guerre au partage, inscrite dès l’origine dans le fonctionnement de la Hadopi. Le projet de confier au CSA la possibilité d’infliger automatiquement des amendes par voie d’ordonnances pénales participe de la même logique », déclare Philippe Aigrain, co-fondateur de La Quadrature du Net.
« Cette vidéo était l’un des symboles de la lutte contre l’accord ACTA et elle avait été vue par des centaines de milliers d’internautes. Le détournement parodique de contenus est devenu un mode d’expression à part entière sur Internet. Ce sont des pans entiers de notre culture qui sont menacés par cette application disproportionnée, injuste et dangereuse du droit d’auteur », déclare Jérémie Zimmermann, porte-parole de la Quadrature du Net.
* Références *
1. http://mediakit.laquadrature.net/view.php?full=1&id=555
2. https://www.youtube.com/watch?v=4-NmUklcbDc
3. https://www.laquadrature.net/fr/numerama-la-quadrature-du-net-censuree-par-le-robocop-youtube
4. Et l’aide précieuse de Magali « StarMag »
5. https://www.youtube.com/t/contentid
6. https://www.youtube.com/yt/copyright/fr/counter-notification.html
7. http://www.numerama.com/magazine/25601-universal-a-les-pleins-pouvoirs-de-censure-sur-youtube.html
9. https://www.laquadrature.net/fr/rapport-lescure-le-catalogue-repressif-de-lindustrie
10. https://www.laquadrature.net/fr/hadopi-et-intermediaires-du-net-non-a-un-acta-a-la-francaise
Les services secrets britanniques lancent un casse tête pour recruter
Un processus de recrutement a été lancé par les grandes oreilles britanniques, le GHCQ. Le service d’écoute de Grande-Bretagne met au défi les candidats qui postulent à un poste chez 007. Mission du futur « espion », savoir cracker une série de codes énigmatiques mis en ligne sur un site officiel mis en ligne pour l’occasion, le « Can You Find It? ». Ce casse-tête se compose de 29 blocs de cinq lettres. Il faut déchiffrer la chose en cinq réponses. Les réponses conduisent alors le demandeur d’emploi dans une chasse au trésor locale.
L’année dernière, une campagne similaire avait été lancée. 170 bonnes réponses pour 3,2 millions de visiteurs. A noter que les espions de sa gracieuse majesté propose aussi des lots : des Raspberry PI et des Nexus Google 7 ! Bref, étonnant écho après les révélations d’espionnage de la Belgique par le GHCQ.
En février 2012, l’ANSSI, l’entité française dédiée à la sécurité des infrastructure informatique du pays lancé le même type de concours. L’Agence nationale de la sécurité des systèmes d’information avait caché un message dans l’un de ses logos. Une série de chiffres et de lettres, ainsi que le « AUTH:DE9C9C55:PCA » qui se situaient entre la map monde et le titre gravé dans le cercle bleu.
Les meilleures pratiques de sécurité pour les PME
La cybercriminalité augmente dans des proportions alarmantes. Les petites et moyennes entreprises sont devenues des cibles privilégiées pour les cybercriminels. Le Wall Street Journal a récemment déclaré que les petites entreprises se remettent rarement d’une cyberattaque, mais quelques étapes très simples vous permettent cependant de protéger votre entreprise. DataSecurityBreach.fr vous proposait, il y a quelques jours, des méthodes à mettre en place lors de vos voyages, avec votre ordinateur portable.
Quels sont les mots de passe que les cybercriminels tentent d’abord d’utiliser ? Comment sensibilisez-vous vos employés à la politique de sécurité ? Vos employés ont-ils conscience des risques liés aux réseaux sociaux ? Check Point répond notamment à ces questions pour vous aider à améliorer votre sécurité dès aujourd’hui. Cet article décrit les 10 meilleures pratiques de sécurité que les petites entreprises doivent prendre en compte pour protéger leur réseau.
1. Les mots de passe communs sont de mauvais mots de passe
Les mots de passe sont votre première ligne de défense en matière de sécurité. Les cybercriminels qui tentent de s’introduire dans votre réseau débutent leur attaque en essayant les mots de passe les plus courants. Une étude de SplashData a déterminé les 25 mots de passe les plus communément utilisés dans les pays anglophones. Vous n’en croirez pas vos yeux… Assurez-vous que vos utilisateurs utilisent des mots de passe longs (plus de 8 caractères) et complexes (comprenant des minuscules, des majuscules, des chiffres et des caractères non alphanumériques).
1 password
2 123456
3 12345678
4 abc123
5 qwerty
6 monkey
7 letmein
8 dragon
9 111111
10 baseball
11 iloveyou
12 trustno1
13 1234567
14 sunshine
15 master
16 123123
17 welcome
18 shadow
19 ashley
20 football
21 jesus
22 michael
23 ninja
24 mustang
25 password1
2. Verrouillez chaque entrée
Il suffit d’une seule porte ouverte pour permettre à un cybercriminel de pénétrer dans votre réseau. Tout comme vous protégez votre domicile en verrouillant la porte d’entrée, la porte du jardin et les fenêtres, pensez à protéger votre réseau de la même façon. Réfléchissez à toutes les manières dont quelqu’un pourrait s’introduire dans votre réseau, puis assurez-vous que seuls les utilisateurs autorisés peuvent le faire.
· Utilisez des mots de passe renforcés sur les ordinateurs portables, les smartphones, les tablettes et les points d’accès Wifi. · Utilisez un pare-feu intégrant un système de prévention des menaces pour protéger l’accès à votre réseau (tel que l’Appliance Check Point 600)
· Protégez vos postes (ordinateurs portables et ordinateurs de bureau) par des logiciels antivirus, antispam et antiphishing · Prémunissez-vous contre l’une des méthodes d’attaque les plus courantes en demandant aux employés de ne pas connecter de périphérique USB inconnu
3. Segmentez votre réseau
Une manière de protéger votre réseau consiste à le découper en zones et protéger chaque zone de manière appropriée. Une zone peut être réservée uniquement au travail important, tandis qu’une autre peut être réservée aux invités, dans laquelle les clients peuvent surfer sur Internet sans être en mesure d’accéder à la zone de travail. Segmentez votre réseau et imposez des exigences de sécurité plus strictes là où c’est nécessaire.
· Les serveurs web destinés au public ne devraient pas être autorisés à accéder à votre réseau interne · Vous pouvez autoriser l’accès invité, mais ne permettez pas à des invités d’accéder à votre réseau interne · Découpez éventuellement votre réseau selon les différentes fonctions de l’entreprise (service clientèle, finance, reste des employés)
4. Définissez et appliquez une politique de sécurité, et sensibilisez vos utilisateurs
Définissez une politique de sécurité (de nombreuses petites entreprises n’en ont pas) et utilisez votre système de prévention des menaces à sa pleine capacité. Prenez le temps de déterminer les applications que vous souhaitez autoriser sur votre réseau et celles que vous n’autorisez pas. Formez vos employés à l’utilisation conforme du réseau de l’entreprise. Officialisez la politique de sécurité, puis appliquez-la où vous le pouvez. Notez tous les manquements à la politique et toute utilisation excessive de la bande passante.
· Mettez en place une politique d’utilisation appropriée pour les applications et les sites web autorisés/non autorisés · N’autorisez pas l’utilisation d’applications à risque, telles que Bit Torrent et autres applications de partage de fichiers en P2P, qui sont une des méthodes courantes de diffusion de logiciels malveillants
· Bloquez TOR et tout autre anonymiseur dont l’objectif est de masquer les comportements et contourner la sécurité
· Pensez aux réseaux sociaux durant la définition de la politique
5. Prenez conscience des risques liés aux réseaux sociaux
Les réseaux sociaux sont une mine d’or pour les cybercriminels qui cherchent à obtenir des informations sur des individus pour améliorer les chances de succès de leurs attaques. Les attaques de phishing, de spearphish et d’ingénierie sociale, débutent toutes par la collecte de données personnelles sur des individus.
· Sensibilisez vos employés en les invitant à faire preuve de prudence lorsqu’ils communiquent sur les réseaux sociaux, même lorsqu’il s’agit de leur compte personnel
· Faites savoir à vos utilisateurs que les cybercriminels constituent des profils sur les salariés pour augmenter la réussite de leurs attaques de phishing et d’ingénierie sociale
· Formez vos employés sur les paramètres de confidentialité des réseaux sociaux afin de protéger leurs données personnelles
· Les utilisateurs devraient faire attention aux informations qu’ils partagent car les cybercriminels pourraient deviner les réponses de sécurité (telles que le prénom des enfants) pour réinitialiser des mots de passe et ainsi réussir à accéder à leur compte
6. Chiffrez tout
Une seule fuite de données peut être dévastatrice pour votre entreprise et sa réputation. Protégez vos données en chiffrant celles qui sont confidentielles, et facilitez ce processus pour vos employés.
Intégrez le chiffrement à votre politique de sécurité.
· Installez des mécanismes de chiffrement avant le démarrage sur les ordinateurs portables de l’entreprise pour les protéger en cas de perte ou de vol
· Achetez des disques durs et des clés USB avec chiffrement intégré
· Renforcez le chiffrement de votre réseau Wifi (en utilisant notamment la norme WPA2 avec chiffrement AES)
· Protégez vos données des écoutes clandestines en chiffrant les communications Wifi via VPN (réseau privé virtuel)
7. Maintenez votre réseau au top de ses performances
Votre réseau et l’ensemble des composantes qui y sont connectés, devraient fonctionner comme une machine bien huilée. Une maintenance régulière permet de garantir des performances optimales et d’éviter tout ralentissement.
· Vérifiez que les systèmes d’exploitation des ordinateurs portables et des serveurs sont à jour (Windows Update est activé sur tous les systèmes)
· Désinstallez tout logiciel qui n’est pas nécessaire à votre activité pour éviter d’avoir à le mettre à jour régulièrement (Java, par exemple)
· Mettez à jour les navigateurs et les applications Flash, Adobe et autres, sur vos serveurs et ordinateurs portables
· Activez les mises à jour automatiques le cas échéant pour Windows, Chrome, Firefox, Adobe
· Utilisez un système de prévention des intrusions (IPS) tel que l’Appliance Check Point 600 pour stopper les attaques sur les ordinateurs portables qui ne sont pas à jour
8. Faites preuve de prudence envers le Cloud
Le stockage et les applications dans le Cloud sont à la mode, mais comme vous le rappelle souvent datasecuritybreach.fr, soyez prudent. Tout contenu déplacé vers le Cloud échappe à votre contrôle. Les cybercriminels profitent des faiblesses de sécurité de certains fournisseurs de service.
· Lorsque vous utilisez le Cloud, vous devez considérer que les contenus que vous y envoyez ne sont plus privés
· Chiffrez les contenus avant de les envoyer (y compris les sauvegardes système)
· Vérifiez la sécurité de votre fournisseur de service
· N’utilisez pas le même mot de passe partout, en particulier ceux que vous utilisez pour le Cloud
9. Ne laissez pas l’administration aux soins de tous
Les ordinateurs portables sont accessibles via des comptes utilisateur et des comptes administrateur. L’accès administrateur donne plus de liberté aux utilisateurs et de contrôle sur leur ordinateur portable, mais ce contrôle est transféré aux cybercriminels lorsque le compte administrateur est piraté.
· Ne laissez pas les employés utiliser Windows avec des privilèges administrateur dans le cadre de leur activité quotidienne.
· L’utilisation d’un compte avec des droits utilisateur réduit la capacité des logiciels malveillants à provoquer des dégâts, comme ils pourraient le faire avec des privilèges administrateur.
· Prenez l’habitude de changer les mots de passe par défaut sur tous les appareils, y compris les ordinateurs portables, les serveurs, les routeurs, les passerelles et les imprimantes réseau.
10. Maîtrisez l’utilisation des appareils personnels
Commencez par définir une politique d’utilisation des appareils personnels (BYOD). De nombreuses entreprises évitent le sujet, alors que datasecuritybreach.fr vous l’indique très souvent, c’est une tendance qui continue de se développer
. Ne faites par l’erreur d’ignorer ce sujet ! Sensibilisez plutôt vos utilisateurs.
· Autorisez uniquement l’accès invité (Internet seulement) aux appareils appartenant aux employés
· Verrouillez les appareils appartenant aux utilisateurs par mot de passe
· Accédez aux données confidentielles uniquement à travers un VPN chiffré. Datasecuritybreach.fr vous conseille l’excellent VYPRVPN.
· N’autorisez pas le stockage de données confidentielles sur des périphériques personnels (données des clients et de cartes de paiement notamment)
· Prévoyez un plan d’action en cas de perte ou de vol d’un appareil personnel
Des ordinateurs piégés lors d’un important tournoi de poker
Que s’est-il passé lors lors de l’EPT de Barcelone. Au moins trois joueurs professionnels de poker, qui logeaient dans l’Hôtel ARTS ont vu leurs ordinateurs portables disparaitre, pu revenir dans la chambre de leurs propriétaires respectifs. Les victimes, Jens Kyllönen, Ignat Liviu et Aku Joentausta ont découvert qu’une personne avait tenté d’installer un logiciel espion dans leurs machines. DataSecurityBreach.fr vous rappelle que Kyllönen est l’un des plus importants joueurs de poker du web.
Ignat Liviu a expliqué sur le forum 2+2 sa mésaventure : « la même chose nous est arrivée à Ignat et moi, nos clés de chambre ne fonctionnait plus, nous descendons à la réception, lorsque nous sommes remontés nos ordinateurs avaient disparu. Le temps de retourner à la réception pour signaler le vol, remonter dans notre chambre, nos machines étaient miraculeusement réapparu. » Du côté de l’Hôtel, une enquête est en cours.
Que vous soyez joueur de poker ou non, dans un hôtel, un ordinateur portable n’a pas à trainer sur une table. Voici quelques trucs que DataSecurityBreach.fr utilise en déplacement :
– Ranger votre machine dans le coffre de votre chambre.
– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate.
– Changer votre mot de passe de portable et mettez un mot de passe au bios de votre machine. Le mot de passe bios vous évitera la modification de lancement de votre machine, vers une clé USB ou CD boot casseur de mot de passe. [Voir comment cracker le mot de passe de n’importe quel Windows en 30 secondes].
– Chiffrer les informations sensibles ou le disque dur de votre ordinateur.
– Utiliser un câble antivol.
– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.
– Nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.
– Un antivirus mis à jour obligatoire.
– Utiliser un VPN pour vos connexions.
– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.
Si aucune de ces solutions proposées par zataz.com ne vous convient, gardez votre machine à vos côtés.
Ps : DataSecurityBreach.fr ne peut proposer l’url du forum américain 2+2 considéré comme interdit sur le territoire français par l’ARJEL. Ce forum propose des liens et des tournois de pokers vers des casinos illicites sur le territoire hexagonal.
Pas de trêve estivale pour les spammeurs
En août, 82 % du flux email sont des spams et 8 % des emails sont des publicités. La société VadeRetro, spécialisée dans la lutte contre les spams vient de nous envoyer ses statistiques pour le mois d’août. Autant dire qu’une fois de plus, l’ambiance « courriel » sur la toile pique les yeux. 82 % des emails sont des spams ; 8 % sont des emails publicitaires ; et, seulement, 10 % des emails sont légitimes. Des statistiques tirées du Vade Retro Cloud qui comprend 12 000 domaines, 200 000 boites aux lettres valides et 8 500 000 mails par jour. Autant dire que cela en fait de l’énergie, de la bande passante et de l’argent « cramés » par ces pourriels. Si aucun virus n’aura été détecté durant cette période, il faut rappeler que les virus sur le SMTP sont une partie dérisoire du flux mais représentent toujours une grande menace. Beaucoup de virus SMTP sont issus des botnets qui cherchent à agrandir leur parc de postes infectés. Une vague de virus SMTP est souvent suivie d’une vague de SPAM. www.vade-retro.fr/fr/
Patch party pour Microsoft
Le Patch Tuesday publié en ce mois de septembre septembre est chargé. Nous recevrons donc 14 nouveaux bulletins, ce qui porte à 80 le nombre de bulletins qui auront déjà été publiés jusqu’à septembre de cette année. Nous allons donc certainement dépasser les 100 bulletins publiés pour 2013 année contre 83 en 2012 et exactement 100 en 2011. Ceci reflète bien l’effervescence du marché de la sécurité informatique.
Parmi les 14 bulletins, les 8 premiers sont intitulés « Exécution de code à distance », le type de faille prisé par les pirates pour pénétrer votre réseau. Les bulletins #1 à #4 sont quant à eux intitulés « critiques » par Microsoft, ce qui signifie que les failles concernées peuvent uniquement être exploitées avec la participation de l’utilisateur. Le bulletin #1 est consacré à Sharepoint Server et devrait être la priorité absolue des administrateurs de serveurs, lesquels se seront auparavant empressés de tester et vérifier que le patch n’aura aucun impact sur une quelconque fonctionnalité critique pour l’activité de votre entreprise. Le bulletin #2 devrait être une priorité de l’équipe chargée de la sécurité du parc informatique. En effet, il concerne une faille dans Microsoft Office qui peut être déclenchée par la simple prévisualisation d’un email dans Outlook, c’est-à-dire sans même ouvrir le courrier électronique. Outlook pour Office 2007 et 2010 est concerné par cette faille.
Le bulletin #3 est une mise à jour critique pour Internet Explorer (IE) et concerne toutes les versions de IE6 à IE10, y compris sous Windows 8 et Windows RT. Le bulletin #4, qui est le dernier bulletin critique, est consacré à une faille sous Windows, mais qui ne concerne que les systèmes d’exploitation appartenant presque au passé, à savoir Windows XP et Windows Server 2003. Par conséquent, vous devriez dès à présent supprimer progressivement ces systèmes d’exploitation qui ne bénéficieront plus du support des patchs de sécurité à compter d’avril 2014, tout comme Office 2003 qui sera aussi privé de ce support dès avril prochain. Ces systèmes d’exploitation ainsi que la suite Office commenceront alors à cumuler les vulnérabilités non résolues et attireront donc des pirates qui pourront disposer d’outils faciles à utiliser et infaillibles pour exploiter des configurations sous XP/2003 ou exécutant Office 2003.
Parmi les bulletins restants, les #6, #7 et #8 sont des priorités car ils traitent de failles Office (Word, Excel et Access) qui peuvent être exploitées pour prendre le contrôle d’une machine ciblée. Toutes les versions Office 2003, 2007, 2010 et 2013 sont concernées et le bulletin #7 s’applique également à Excel sous Mac OS X Office 2011. En résumé, il s’agit donc d’un Patch Tuesday important, surtout pour les vulnérabilités bureautiques, au moins si vous n’exécutez pas Sharepoint Server.
Perturbations et intrusions : les utilisateurs de plus en plus inquiets face à l’utilisation de multiples appareils connectés
L’augmentation des appareils technologiques et leur utilisation qui se développent progressivement, perturbent les utilisateurs et les exposent à de plus en plus d’atteintes à la vie privée. Tels sont les résultats révélés par l’étude qu’a consulté DataSecurityBreach.fr. Une étude signée par AVG Technologies N.V., fournisseur de solutions de sécurité, de protection de données et d’optimisation mobiles et internet pour plus de 155 millions d’utilisateurs actifs. L’étude se base sur un panel de 5000 consommateurs dans huit pays et démontre que malgré l’explosion des offres, des possibilités et des opportunités de connexion internet, des craintes se développent du côté des consommateurs quant à la gestion de plusieurs appareils et la multiplication des atteintes à la vie privée.
Suite à la publication récente d’articles hautement médiatisés révélant les agissements d’entreprises et d’organisations gouvernementales qui auraient recueilli via Internet, de grandes quantités de données personnelles à partir des appareils des utilisateurs, près de la moitié des personnes interrogées (46 %) ont admis être de plus en plus préoccupées quant à la protection de leur vie privée. Elles ont également exprimé une plus grande méfiance vis-à-vis des entreprises et de leur capacité à protéger les données personnelles. Judith Bitterli, Vice-Présidente en charge du marketing chez AVG Technologies, constate : « Nos recherches ont montré que si 7 personnes sur 10 (72 %) pensent que la technologie deviendra encore plus utile dans les cinq prochaines années, elles sont presque autant (69 %) à croire qu’elle va également devenir de plus en plus intrusive. C’est un décalage frappant avec la vision des créateurs d’Internet. Par ailleurs, quant aux préoccupations liées au partage de données, combien de temps les consommateurs vont encore tolérer ce statu quo » ?
88 % des personnes interrogées rechignent à communiquer des renseignements personnels pour accéder à des services. En effet, la plupart d’entre elles acceptent la situation, à défaut d’une autre alternative (38 %), ou limitent la quantité des données qu’elles sont prêtes à fournir (36 %). De plus, près de 8 personnes sur 10 (79 %) ont déjà interrompu le téléchargement d’une application ou d’un programme demandant l’accès à des informations, ce qui révèle un fort malaise concernant la quantité de données personnelles dont la communication est demandée aux consommateurs.
Conjuguée aux préoccupations sur la préservation de la vie privée, le développement de la connectivité ajoute un poids supplémentaire aux inquiétudes des consommateurs dans leur vie numérique. La plupart des personnes interrogées (59 %) ont admis avoir utilisé plus de trois appareils personnels et de multiples systèmes d’exploitation à la maison, et seuls 44 % prennent des mesures visant à simplifier la gestion de leurs différents appareils en les synchronisant les uns aux autres. Il en résulte une multiplication des tâches répétitives et des problèmes techniques.
Un nouveau Trojan cible Linux avec un arsenal important
La société Doctor Web a annoncé, il y a quelques jours, la détection d’un nouveau programme malveillant ciblant Linux : Linux.Hanthie. Selon les résultats de l’étude, les spécialistes ont découvert que ce Trojan (aussi connu sous le nom de Hand of Thief) peut exécuter beaucoup de fonctions, ainsi que cacher sa présence dans le système. Aujourd’hui ce malware est très populaire sur les forums clandestins de hackers où les pirates le vendent souvent. Linux.Hanthie est lié aux bots des familles FormGrabber et BackDoor ciblant le système d’exploitation Linux, et dispose de mécanismes anti détection ainsi que d’un démarrage masqué qui ne nécessite pas de privilèges administrateur. Il utilise un chiffrement fort pour la communication avec l’interface de commande (256-bit). La configuration flexible du bot est possible via le fichier de configuration.
Après son lancement, le Trojan bloque l’accès aux adresses depuis lesquelles les mises à jour logicielles ou les logiciels antivirus sont téléchargés. Ce Trojan est capable de se soustraire à l’analyse antivirus et de s’exécuter dans des environnements isolés et virtuels. Cette version de Linux.Hanthie ne possède pas de mécanismes d’auto réplication, c’est pourquoi ses développeurs conseillent de le distribuer en utilisant les moyens de l’ingénierie sociale. Ce Trojan est compatible avec les distributions Linux (dont Ubuntu, Fedora et Debian) et avec huit types d’environnements de bureau, par exemple, GNOME et KDE.
Après le démarrage du Trojan, l’installateur masque sa présence dans le système et détecte les machines virtuelles. Ensuite, Linux.Hanthie s’installe dans le système en créant un fichier d’auto démarrage et en plaçant une copie de réserve de lui-même dans l’un des dossiers sur le disque. Dans le dossier des fichiers temporaires, il crée une bibliothèque exécutable, qu’il essaie d’intégrer dans tous les processus en cours. En cas d’échec, Linux.Hanthie lance un nouveau fichier exécutable depuis un dossier temporaire responsable de la connexion avec le serveur de gestion et supprime sa version originale.
Le Trojan comprend plusieurs modules fonctionnels : l’un d’eux, qui représente une bibliothèque, exécute des fonctions malveillantes. Ce module injecte un grabber dans les navigateurs Mozilla Firefox, Google Chrome, Opera, ainsi que Chromiim et Ice Weasel (développés uniquement pour Linux). Ce grabber permet d’intercepter les sessions HTTP et HTTPS et d’envoyer des données entrées par l’utilisateur aux malfaiteurs. Cette bibliothèque peut également remplir la fonction de backdoor. Le trafic, lors du transfert des données entre le logiciel et le serveur de gestion, est crypté.
Le Trojan comprend d’autres fonctions. Par exemple, via la commande socks, il lance sur la machine infectée un serveur proxy ; via la commande bind, il lance un script pour écouter le port ; par la commande bc, il se connecte à un serveur ; par la commande update, il télécharge et installe une nouvelle version ; par la commande rm, il se supprime. Un autre module permet au Trojan de réaliser des fonctionnalités limitées sans effectuer d’injections de code.
Piratage informatique : plus de 60 millions de données personnelles divulguées en 2 ans
Les actes de piratage informatique ont entraîné des fuites concernant plus de 63 millions de données personnelles en 2011 et 2012, a révélé le député du Parti démocrate (PD) Choi Jae-cheon après avoir analysé des données de la Commission coréenne des commissions (KCC) et de l’Agence de supervision financière (FSS). La plupart de ces fuites se sont produites dans le secteur non financier (61,48 mlns) et le reste dans le secteur financier (1,9 mln).
SK Communications Co., l’opérateur des sites populaires Nate et Cyworld qui ont fait l’objet d’un piratage massif l’année dernière, a affiché le plus grand nombre de fuites de données personnelles (35 mlns), devant Nexon Korea Corp., société de jeux en ligne (13 mlns), et KT Corp, le deuxième opérateur de téléphonie mobile (8,73). Dans le secteur financier, plus de 1,75 million d’informations personnelles ont été divulguées suite à un piratage informatique contre Hyundai Capital. Les attaques informatiques qui ont visé les sites Internet de ces sociétés ont été à l’origine de la majorité des fuites d’informations.
Les erreurs de programme ont été également l’une des causes principales de ces déperditions. «La discrétion excessive des entreprises face aux piratages informatiques augmente les dégâts», a noté Choi, appelant à une déclaration rapide auprès des autorités en cas d’accident pour réduire les dégâts causé par ces cyberattaques. Le député a de même exhorté les autorités de supervision à mener des enquêtes complètes pour éviter de nouveaux piratages et à renforcer les sanctions contre les fuites de données personnelles. Choi a récemment proposé une révision de la loi sur les réseaux d’information et de communication en vertu de laquelle tout piratage informatique doit être déclaré dans les 24 heures qui suivent l’incident sous peine d’amende. 63 millions connues. Zataz.com vous laisse imaginer le reste ! (Yonhap)
NetTraveler : code malveillant en guerre sur le web
Les experts de Kaspersky Lab ont identifié un nouveau vecteur d’attaque utilisé par NetTraveler. Datasecuritybreach.fr vous en a déjà parlé sous les noms de « Travnet », « Netfile » ou encore « Red Star APT » ; un malware ayant déjà touché plusieurs centaines de cibles dans plus de 40 pays. Les victimes de NetTraveler, identifiées à ce jour, incluent des activistes tibétains/ouïgours, des groupes pétroliers, des centres ou instituts de recherche scientifique, des universités, des entreprises privées, des gouvernements ou institutions gouvernementales, des ambassades et des partenaires militaires.
Suite aux révélations autour de la découverte de NetTraveler en juin 2013, ses auteurs avaient arrêté tous les systèmes de commande et de contrôle pour les déplacer vers de nouveaux serveurs en Chine, à Hong Kong ainsi qu’à Taiwan. Ils ont ensuite continué leurs activités sans entrave. Au cours des derniers jours, une attaque de phishing ciblée a été lancée contre plusieurs activistes ouïgours. « L’exploit » Java, utilisé pour distribuer cette nouvelle variante de l’APT Red Star, n’a bénéficié d’un patch que récemment (en juin 2013) et enregistre donc un taux de réussite très élevé.
En complément, NetTraveler adopte des nouvelles techniques pour piéger ses victimes, notamment le « watehing hole », le « drive-by downloads » et le recours à des domaines infectés. Un certain nombre d’attaques émanaient du domaine « wetstock[z]org », connu pour avoir été utilisé lors des précédentes attaques de NetTraveler. Ces redirections semblent venir d’autres sites en lien avec la communauté ouïgoure, qui ont, en réalité, été infectés. D’autres « exploits » récents pourraient être intégrés et utilisés à plus large échelle. Voici donc les règles à suivre pour se protéger de cette typologie d’attaque :
[+] Mettre à jour Java pour utiliser la version la plus récente, où désinstaller Java si vous ne l’utilisez pas,
[+] Mettre à jour Microsoft Windows et Office pour utiliser la version la plus récente,
[+] Mettre à jour tous les autres logiciels tiers, comme Adobe Reader,
[+] Utiliser un navigateur sécurisé tel que Google Chrome, dont les cycles de mise à jour et de développement des patches sont plus rapides que ceux d’Internet Explorer, installé par défaut dans Windows,
[+] Etre attentif aux liens sur lesquels vous cliquez et aux pièces jointes que vous ouvrez dans les emails provenant de personnes inconnues.
« Jusqu’ici, aucune vulnérabilité de type zero-day ne semble avoir été exploitée par le groupe NetTraveler. Pour s’en protéger, les patches sont impuissants mais des technologies comme Automatic Exploit Prevention et DefaultDeny offrent une protection efficace contre les menaces persistantes. » explique à data security breach magazine Costin Raiu, Directeur du GReAT chez Kaspersky Lab.
Disques enregistrables cryptés : EncryptDisc
DataLocker Inc, un des leader en matière de développement de solutions de stockages cryptées, a annoncé aujourd’hui à DataSecurityBreach.fr sa gamme de CD et DVD cryptés enregistrables qui sera commercialisée sous la marque EncryptDisc. La ligne EncryptDisc, anciennement connue sous le nom SecureDisk, offre un système de chiffrement FIPS 140-2 validé AES 256 bit directement intégré au CD ou DVD.
DataLocker EncryptDisc permet maintenant à DataLocker de protéger les données où qu’elles soient, sous n’importe quelle forme. Les CD et DVD DataLocker EncryptDisc combinent des fonctionnalités de gravage et de sécurisation des données, une solution simple et efficace de stocker des données en toute sécurité. Il n’y a pas de logiciel à installer et aucun besoin de faire appel à une solution logicielle tierce. DataLocker EncryptDisc est disponible chez Ingram et Amazon (SecureDisk).
Inclure le contrôle des utilisateurs à privilèges
Ces dernières années, cyberdéfense et cybersécurité ont pris une place considérable dans la vie des entreprises et des particuliers. Les jours passent et les attaques s’amplifient. Elles sont toujours plus ciblées, diversifiées et étendues, et la cybercriminalité fait partie intégrante de notre vie quotidienne. Historiquement, les éditeurs d’antivirus et de pare-feu ont pris le leadership du marché. Paradoxalement, ils ne traitent qu’une partie des problèmes ce qui se traduit par une augmentation du nombre d’incidents et de leur ampleur, malgré la croissance des budgets de sécurité informatique. En effet, un pan entier de la sécurité informatique reste méconnu : la gestion des utilisateurs à privilèges, qui répond au nom encore mal connu en France, d’Insider Threat ou gestion de la menace interne. Pour l’éditeur français, WALLIX, spécialiste de la traçabilité des utilisateurs à privilèges, une stratégie de sécurité complète et cohérente doit, certes, prévoir de se protéger contre les menaces provenant de l’extérieur mais également des risques qu’impliquent la liberté absolue dont jouissent les utilisateurs à privilèges. Explication de Jean-Noël de Galzain, PDG de WALLIX, pour DataSecurityBreach.fr
Un utilisateur à privilège, qu’est-ce que c’est ?
Un utilisateur à privilège, est, par définition, une personne dont les droits ont été élevés ou étendus sur le réseau informatique : droits d’accès, gestion des autorisations, administration des équipements et applications, modification, suppression ou transfert de fichiers, etc. L’utilisateur à privilèges peut être interne ou externe à une société. Ses droits lui sont délégués par le représentant légal de la société qui souvent n’est même pas au courant de ce risque. Par nature, l’utilisateur à privilèges a donc accès à des données sensibles et stratégiques pour l’entreprise aux secrets de l’entreprise et de ses salariés. Il a un droit de vie et de mort sur l’informatique de l’entreprise.
L’utilisateur à privilèges fait-il toujours partie d’une société ?
Lorsqu’une société externalise la gestion d’une partie ou de l’ensemble de son informatique ou de ses équipements, les prestataires qui prennent la main à distance ou interviennent sur le réseau interne pour mener à bien des opérations de support ou de maintenance deviennent des utilisateurs à privilèges, et ce, bien qu’ils ne fassent pas partie des effectifs de la société. Savez-vous par exemple quelles sont les autorisations d‘accès d’un technicien qui vient réparer la photocopieuse IP ou la connexion réseau ?
En d’autres termes, externaliser revient, pour une entreprise et son dirigeant, à confier « les clés de la maison » à une personne inconnue, qui aurait accès à l’ensemble des pièces et du contenu des placards, avec la capacité de les fouiller, d’y prendre et remettre ce qu’il y trouve, en gérant lui-même les autorisations d’accès. Si quelque chose est endommagée, disparaît ou est simplement dérobé après son passage, que faire ? Comment savoir ce qui a été fait ? Où y a-t-il eu un problème ? Quand ? De quelle manière ? Qui va payer les dégâts ? Comment vais-je pouvoir justifier l’incident ou le vol vis-à-vis des assurances ?
Pour le Clusif et son panorama 2012 des menaces informatiques, près de la moitié des entreprises de plus de 200 salariés en France, et des collectivités territoriales externalisent la gestion de leur Système d’information, 50% ne collectent pas les logs (pas de preuve), 20% ne changent jamais les mots de passe y compris lorsqu’un départ ou un changement de prestataire survient.
Quels sont les risques liés aux utilisateurs à privilèges ?
De par leur statut, les utilisateurs à privilèges, au même titre que les utilisateurs « lambda » font peser des risques sur le réseau d’entreprises. On peut les classer en plusieurs catégories :
– Les risques liés à l’erreur humaine : comme n’importe quel utilisateur, l’utilisateur à privilèges reste un être humain, susceptible pour quelque raison que ce soit de commettre des erreurs sur un réseau ; seulement ces erreurs peuvent avoir des conséquences considérables sur la productivité, la réputation et le chiffre d’affaires de l’entreprise affectée.
Imaginons, par exemple, qu’après une erreur de manipulation lors d’une opération de télémaintenance, un prestataire externe provoque une panne sur le serveur d’un e-commerçant. Pour ce dernier, ce sont des pertes de chiffre d’affaires pendant toute la durée de la panne qu’il est nécessaire de réparer, mais avant cela d’en retrouver l’origine. Ceci peut prendre un temps considérable, multiplier les dégâts mais également entacher sérieusement la réputation de l’e-commerçant définitivement. Entretemps, les clients iront se servir ailleurs.
Désormais, avec les nouvelles réglementations, il sera nécessaire de communiquer sur un incident, avec un risque d’amende liée à la perte d’informations clients (données clients, numéros de carte bleue, ou encore, données de santé).
Dans un autre cas récent, des centaines de dossiers patients se sont retrouvés publiés sur Internet. C’est en tapant son nom par hasard dans un moteur de recherche qu’une personne a retrouvé l’intégralité de son dossier médical en libre consultation. Ce type de fuite de données peut provenir d’une erreur humaine (un prestataire externe commet une faute dans les process et laisse s’échapper ces données) ou d’un acte de malveillance qui illustre les risques liés aux utilisateurs à privilèges.
– Les risques liés à la malveillance : l’utilisateur à privilèges reste un être humain. Ainsi, lorsqu’une collaboration professionnelle se finit en mauvais termes, il peut être tentant d’utiliser ses droits pour nuire à l’entreprise ou voler des informations stratégiques (fichiers clients, CB, secrets, …).
En 2012, c’est un sous-traitant de la société Toyota qui, après avoir été licencié, avait dérobé des informations relatives aux brevets industriels du constructeur japonais. Combien de bases clients dérobées, de messages divulgués ou d’informations recueillies grâce à des fichiers informatiques indûment téléchargés ? Là encore, se pose la problématique de l’origine de la fuite. Qui a fait cela ? Quand et comment ? Pourquoi cette personne a-t-elle eu accès à ces données en particulier ? Peut-on empêcher un tel acte ou en garder la trace et comment ? Comment gérer cela en interne et avec les prestataires externes ?
Selon une étude Forrester, 50 % des utilisateurs à privilèges partent de leur entreprise ou sortent d’une mission d’infogérance avec des données sensibles. Comment peut-on donc évaluer ou mieux encore parler de gestion des risques sans traiter ce sujet ? Quand les hautes autorités de sécurité nationale mettront elles en garde contre ces risques béants ?
Heureusement, de plus en plus de DSI et de RSSI, pour répondre au contrôle interne ou à leurs directions générales, prévoient l’usage d’une solution qui réponde au problème de la gestion de la menace interne et des prestataires externes. Aussi ont-ils prévu l’intégration d’une solution de gestion des utilisateurs à privilèges dans leurs politiques de sécurité.
Le marché français du PUM (Privileged User Management) n’en est qu’à ses balbutiements malgré l’urgence.
WALLIX, éditeur pionnier dans la gestion des utilisateurs à privilèges grâce à sa solution Wallix AdminBastion, le WAB, préconise, bien entendu la protection contre les menaces provenant de l’extérieur du réseau. Elles sont connues et désormais très bien circonscrites grâce à des solutions comme l’anti-virus, le firewall, l’IPS, l’IDS etc. Cependant, l’éditeur français insiste sur la nécessité et l’urgence de compléter ces dispositifs par des solutions internes de contrôle des utilisateurs à privilèges.
Cependant, ces solutions souffrent d’une mauvaise réputation : trop souvent, celles-ci sont perçues comme des produits visant purement et simplement à surveiller les utilisateurs à privilèges. Contre toute attente, elles permettent surtout de dédouaner les utilisateurs en apportant une preuve tangible et concrète de l’origine de l’incident.
Pour Jean-Noël de Galzain, fondateur de WALLIX, l’éditeur pionnier de solution de gestion des utilisateurs à privilèges, le WAB : « une stratégie de sécurité cohérente de bout-en-bout ne peut plus se passer de solutions de contrôle des utilisateurs à privilèges. Chaque jour, des utilisateurs à privilèges accèdent à des données essentielles et stratégiques pour la survie et la rentabilité de l’entreprise. Même si, bien entendu, la malveillance n’est généralement pas la première cause de perte de données, les erreurs humaines sur un réseau, sont, elles, bien réelles et peuvent prendre des proportions catastrophiques à l’échelle de l’Internet. Nous alertons vivement les DSI, RSSI et les plus hautes instances de sécurité informatiques quant aux risques qui pèsent en termes de productivité, de réputation et de conformité sur les entreprises publiques et privées. La gestion des risques internes est aussi prioritaire que la gestion des menaces périmétriques. Le risque le plus grave serait de l’ignorer ! »
Hesper bot, cheval de Troie bancaire
Data Security Breach a été alerté par ESET au sujet de la découverte d’un cheval de Troie bancaire baptisé « Hesper bot ». Il affecte notamment les plates-formes Android en Europe et en Turquie. Utilisant une apparence très crédible de campagnes liées à des organisations dignes de confiance, il incite les victimes à exécuter des logiciels malveillants. Plusieurs victimes ont déjà été dépouillées de leurs avoirs à cause de cette menace nouvellement révélée. Sur la base de données LiveGrid – système de collecte des logiciels malveillants basés sur le Cloud d’ESET – des centaines d’infections ont été détectées en Turquie, des dizaines en République tchèque, au Royaume-Uni et au Portugal. Ce malware bancaire très puissant et sophistiqué baptisé Hesperbot se propage par e-mails sous forme de phishing et tente d’infecter les appareils mobiles fonctionnant sous Android, Symbian et Blackberry.
Le code malveillant a été référencé sous le nom de Win32/Spy.Hesperbot. Cette menace intègre des fonctionnalités de keylogger, peut effectuer des captures d’écran fixe ou de vidéo et mettre en place un proxy distant. Il comporte également quelques astuces plus avancées, telles que la création d’une connexion à distance cachée pour le système infecté. « L’analyse de la menace a révélé que nous avions affaire à un cheval de Troie bancaire, avec des fonctionnalités similaires et des objectifs identiques au fameux malware Zeus et SpyEye, mais les différences d’installation sont importantes, laissant entendre qu’il s’agit d’une nouvelle famille de logiciels malveillants, et non d’une variante d’un cheval de Troie déjà connu, » explique à data Security Breach Robert Lipovsky, chercheur en malware d’ESET qui dirige l’équipe d’analyse de cette menace. « Les solutions d’ESET telles que ESET Smart Security et ESET Mobile Security protègent contre ce malware », a-t-il ajouté.
Les Cybercriminels visent à obtenir des informations de connexion leur permettant d’obtenir les codes d’accès au compte bancaire de la victime et de les amener à installer un composant mobile du malware sur leur téléphone Symbian, Blackberry ou Android. La campagne de malware a commencé en République Tchèque le 8 Août 2013. Les auteurs ont enregistré le domaine www.ceskaposta.net, qui est très ressemblant au site actuel de la Poste tchèque. « Ce n’est pas surprenant que les assaillants aient essayé de leurrer les victimes potentielles en les incitant à ouvrir les logiciels malveillants via des emails de phishing, apparaissant comme des informations de suivi de colis de la Poste. Cette technique a été utilisée de nombreuses fois auparavant » , précise à datasecuritybreach.fr Lipovsky. Le service postal tchèque a réagi très rapidement en émettant un avertissement sur l’escroquerie, via leur site web .
Néanmoins, le pays le plus touché par ce cheval de Troie bancaire est la Turquie, avec une détection de ce malware a une date antérieure au 8 Août. De récents pics d’activité de botnet ont été observés en Turquie en juillet 2013, mais ESET a également repéré des échantillons plus anciens qui remontent au moins à avril 2013. L’e -mail de phishing qui a été envoyée aux victimes potentielles ressemble à une facture. Une variante du malware a également été trouvée sur la toile, conçue pour cibler les utilisateurs d’ordinateurs au Portugal et au Royaume-Uni .
Faites risettes, Facebook vend votre sourire
Un peu de biométrie, un peu de stockage et voilà nos photographies de profils devenus une denrée économique pour Facebook. Nous vous en parlions, l’année dernière dans zatazweb.tv. Facebook met en place des systèmes économiques avec nos données et nos photographies. Parmi les (très) nombreuses actions en préparations, une webcam, chez les commerçants qui, couplée avec Facebook et votre smartphone, vous communique des bons de réductions dans la boutique partenaire.
Depuis quelques jours, Big Brother a décidé de débuter une autre forme de commercialisation des vies privées proposées dans son portail communautaire. L’information a été diffusée de manière « douce », dans un courriel annonçant « de nouvelles conditions d’utilisation« . Dans ces nouveautés, l’utilisation des photos des profils des utilisateurs. Ces dernières peuvent être stockées (ce qui était déjà le cas, ndlr datasecuritybreach.fr) dans une base de données centrale (la nouveauté, ndlr zataz.com). Une BDD centralisée que peuvent consulter les annonceurs.
L’intérêt ? L’avenir va très rapidement nous le dire via les applications et outils (comme notre webcam citée plus haut, ndlr datasecuritybreach.fr). L’annonce de Facebook est aussi d’indiquer aux utilisateurs que leur visage pourra être scanné et exploitée à partir d’un système biométrique prévu à cet effet. Erin Egan, responsable de la confidentialité et de la vie privée chez Facebook, indique ces données offriront aux utilisateurs un meilleur contrôle sur leurs informations personnelles. En gros, si quelqu’un diffuse votre tête sur Facebook, Facebook vous préviendra. Un peu de vie privée par-ci et un gros coup de louche dans le tas car si vous n’acceptez pas les nouvelles conditions d’utilisations, dehors ! Bref, la BDD centrale ne gardera que votre photographie de profile, tout en étant capable de contrôler les autres.
Pour vous protéger de ce genre de débordement commercial, plusieurs choix. Ne pas s’inscrire à Facebook. Bien choisir ses options de confidentialités proposées par le portail. Chiffrer votre visage. Pour cela, troublez par exemple, vos yeux ; mettez un bonnet ; où faîtes comme votre serviteur, faîtes des sourires à vous arracher la mâchoire.
Prudence aux distributeurs de billets
La grande braderie de la capitale flamande va attirer des centaines de milliers de visiteurs. Quelques conseils face aux distributeurs de billets. Qu’on le veuille ou non, les grands rendez-vous populaires comme la Braderie de Lille, qui se tiendra ce week-end dans la capitale flamande, attirent les pirates informatiques. Les premiers dans notre liste, les skimmeurs, les professionnels du vol de données bancaires. Il faut dire qu’avec un potentiel de 2 millions de visiteurs, voilà de quoi attirer les convoitises. DataSecurityBreach.fr propose plusieurs conseils de base à retenir, histoire de ne pas finir avec son clone de carte bancaire dans les mains du black market.
Vérifiez bien si :
– Le clavier bouge-t-il ?
– Le lecteur de carte vous semble-t-il mobile ?
– Le plafonnier a-t-il un trou en son centre ?
– Des « boites » publicitaires, pour flyers par exemple, sont-elles collées sur les côtés du GAB ? Oui ! N’utilisez pas ce distributeur.
– Des distributeurs en « panne » à côté d’un seul en fonction ? Passez votre chemin.
– Un papier vous indiquant des GAB hors-services et vous invite à utiliser un distributeur particulier ? No Way !
Si vous tombez sur un distributeur qui vous semble piégé (voir), ne touchez à rien, alertez les autorités proches du GAB. Ne vous interposez pas. Les « propriétaires » du matos de skimming ne sont pas des enfants de cœur.
Intercepter les données du dossier public de DropBox… facile
Le dossier Public de DropBox, un peu trop libre pour les personnes non autorisées à le consulter. Dropbox est une société bien connue spécialisée dans les solutions de cloud computing. La société annonce des centaines de millions d’utilisateurs, avec des pétaoctets de données stockées. Aujourd’hui, beaucoup utilisent Dropbox pour partager quoi que ce soit en famille ou entre amis. Cet usage semble parfaitement raisonnable si les données partagées ne sont pas sensibles, mais Dropbox est aujourd’hui aussi largement utilisé par les entreprises. DropBox remplace même parfois le service de Backup ou autres moyens de partager des fichiers entre collègues. Il parait que cela permet d’économiser de l’espace disque, du temps. Mais côté confidentialité, il faudra repasser, surtout si vous utilisez le dossier « Public ».
Notre ami Jean-Pierre Lesueur (DarkCoderSc) vient de nous montrer comment les fichiers DropBox dans le dossier « Public », normalement sécurisés et non accessibles aux personnes non autorisées, sont en fait parfaitement libres d’être consultés par des personnes extérieures. Pour cela, rien de plus simple. Il faut posséder un compte DropBox valide, une petite application python du nom de wfuzz et … c’est tout.
L’outil va égrener les noms de fichiers qui peuvent se trouver dans le dossier Public d’un compte DropBox ciblé. Bref, arrêtez de penser que le dossier « Public » n’est pas accessible aux personnes non autorisées. Démonstration en vidéo, ci-dessous.
Perte ou vol de données sur internet : une meilleure protection des consommateurs
A compter du 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).
Cette procédure comprend 3 obligations à la charge du professionnel :
- La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
- La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
- Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.
Une liste indicative de mesures techniques de protection à mettre en œuvre (techniques de cryptage par exemple) sera publiée ultérieurement par la Commission européenne. Pour en savoir plus, DataSecurityBreach.fr vous invite à vous lire le Règlement n° 611/2013 de la Commission européenne du 24 juin 2013 du journal officiel de l’Union européenne.
Un nouveau Kit pour bloquer des sites web
Nous ne donnerons pas le nom de l’outil, histoire de ne pas voir débouler les zozos du web et éviter des attaques DDoS contre des sites web qui ne demandent rien. Un internaute, qui semble être franco/belge, vient d’annoncer sur un forum dédié au piratage, la commercialisation d’un Bot, que DataSecurityBreach.fr a baptisé Le Chat Fou, capable de lancer des attaques électroniques sous la forme de Déni Distribué de Service (DDoS) : UDP, TCP, HTTP et Slowloris.
« Basé sur une source d’un simple HTTP botnet, Axxx Cxx est un projet personnel que j’ai débuté il y a 5 mois, à pu lire DataSecurityBreach.fr. Ce bot a été fait pour soutenir un grand nombre d’autres bots. » L’objet est commercialisé. Le codeur d’A.C. commercialise son outil « Le prix est de 40 € pour le panel + serveur + mises à jour + support« . Il est réclamé 10 € pour une installation sur un hébergement personnel et 1€ pour modifier les DNS.
Une option assez étonnante est proposée par A.C. Il est possible d’accéder à l’espace d’administration depuis son iPhone et de lancer des attaques. Ce bot est diffusé dans sa version 1.2. Bref, un outil qui risque de permettre aux pousses bouton de dire : T’es mort, t’as vu !
X-Keyscore, l’outil d’analyse des services de renseignements US
Il est logique que la NSA utilise les ambassades américaines basées à l’étranger en tant qu’outil collecteur pour le système d’analyse d’information X-Keyscore, moissonneuse batteuse révélée par le nouveau russe (pour un an, ndlr datasecuritybreach.fr) Snowden. Les ambassades ont toujours été utilisées pour l’espionnage local, pour la « veille » militaire, politique, économique, sociale. Son option cyber était inévitable.
Les ambassades ont de multiples réseaux de communications. Il est intéressant de « suivre » certains « employés » sur LinkedIn et autres médias sociaux. De nombreux militaires et anciens espions cherchant désormais une plus grande rémunération, sont en « awares » pour toutes propositions sonnantes et trébuchantes. Une recherche rapide par Cryptome sur LinkedIn a de quoi faire sourire : AGILEVIEW, AGILITY, AIRGAP/COZEN, AIGHANDLER, ANCHORY/MAUI, ARCANAPUP, ARTEMIS, ASSOCIATION, AUTOSOURCE, BEAMER, BELLVIEW, BLACKPEARL, CADENCE/GAMUT, CHALKFUN, CINEPLEX, CLOUD, COASTLINE, COMMONVIEW, CONTRAOCTAVE, CONVERGENCE, COURIERSKILL, CREEK, CREST, CROSSBONES, CPE, CULTWEAVE, CYBERTRANS, DISHFIRE, DOUBLEARROW, DRAGONFLY, WEALTHYCLUSTER (EWC), ETHEREAL (logiciel open source network d’analyse, ndlr datasecuritybreach.fr), FASCIA, FASTSCOPE, FOREMAN, GAMUT/UTT, GISTQUEUE, GJALLER, GLAVE, GLOBALREACH, GOLDMINER, GOLDPOINT, GOSSAMER, GROWLER, HERCULES (CIA database, ndlr datasecuritybreach.fr) HIGHTIDE/SKYWRITER, HOMEBASE, INFOSHARE, JOLLYROGER, KINGFISH, LIQUIDFIRE, MAINWAY, MARINA, MASTERLINK, MASTERSHAKE, MAUI/ANCHORY, MESSIAH, METTLESOME, NEWHORIZONS, NIGHTSURF, NORMALRUN/CHEWSTICK/FALLENORACLE, NUCLEON, OCTAVE, PATHMASTER/MAILORDER, PINWALE, PANOPTICON, PRESENTER, PROTON, RAVENWING, RENOIR, ROADBED, SCORPIOFORE/CPE, SHARKFINN, SKOPE, SKYWRITER, SNAPE, SPOTBEAM, STINGRAY; SURREY, TAPERLAY, TAROTCARD, TEMPTRESS, TRACFIN, TRAILMAPPER, TREASUREMAP, TRICKLER, TUNINGFORK/SEEKER, TURMOIL, TUSKATTIRE, TWISTEDPATH, UIS/PINWALE, UTT, WEALTHYCLUSTER, WIRESHARK (logiciel open source network d’analyse, ndlr datasecuritybreach.fr) WITCHHUNT, XKEYSCORE, YELLOWSTONE/SPLITGLASS.
Selon un document que Cryptome a diffusé, 150 sites et plus de 700 serveurs seraient employés pour X-Keyscore. Etonnant, un serveur est basé à Moscou, un autre à Pékin. Les ambassades sont donc montrés du doigt. Etonnamment, la station NSA à Hawaï, où Edward Snowden a travaillé, n’apparaît pas sur la carte. 25 points sont affichés le long de la côte Antarctique. La France est affichée, pas la Belgique, ni la Suisse ou encore le Luxembourg. A noter que des offres d’emplois affichent très clairement les ambitions de XKeyscore… avant la « pseudo » révélation de Snowden.
Sur Saic.com par exemple, le 03 juillet, la recherche d’ingénieurs systèmes familier de « VMware ESXi 3.5, 4.1 et 5.0.« , sachant manipuler « des logiciels avec des langages de script Java, C et Bourne shell » et pythonner dans la joie et la bonne humeur. L’heureux gagnant, qui travaillera à Columbia, dans le Maryland, fournira un soutien technique pour les systèmes qui englobent les systèmes SKIDROWE. Mais qui est donc ce mystérieux Skidrowe qui va obliger notre demandeur d’emploi de passer sous l’égide du « Top Secret » et du « SCI with Polygraph » ?
Pendant ce temps, la NSA, qui a fait parler son boss lors du Black hat de Las Vegas (hué, comme l’explique zataz.com), affiche dans la foulée son commentaire au sujet de XKEYSCORE. « Dire que la NSA collecte arbitrairement des informations est fausse. Les activités de la NSA sont ciblées et spécifiquement déployées contre – et seulement contre – des cibles de renseignement étrangers légitimes en réponse aux exigences de nos dirigeants qui ont besoin d’information pour protéger notre nation et ses intérêts. La publication de ces informations classifiées sur les systèmes de collecte de la NSA ne fait que mettre en péril les sources et les méthodes« . La NSA, qui n’a jamais autant « causé » depuis ces dernières semaines explique ne pas pouvoir en dire beaucoup plus sur X-Keyscore. « Accédez à XKEYSCORE, explique la NSA, ainsi qu’à tous les outils d’analyse de la NSA, est limité aux seuls employés légitimes. Ces personnes doivent suivre une formation appropriée avant de se voir accorder un tel accès – la formation est renouvelée régulièrement. Cette formation couvre non seulement la mécanique de l’outil mais aussi des obligations éthiques et juridiques de chaque analyste. En outre, il existe plusieurs échelons de vérifications afin d’éviter les abus délibérés« . D’après la NSA, depuis 2008, plus de 300 terroristes ont été capturés à l’aide de renseignements provenant de XKEYSCORE. en attendant, la NSA annonce remplacer beaucoup de ses analystes par des machines. Ca évite les fuite !? Pendant ce temps, dans l’Utah, le Data Center de la NSA sort du sol. Du moins le Bing Map de Microsoft est plus prolixe en image que Google map sur le sujet !
Pirates de CB arrêtés à Nice
Les « Amis du petits dejeuners », comme les nomme ZATAZ.COM, de la région de Nice se sont mis au houmous, moutabal, böreks et autres dolmas. La division économique et financière de la police judiciaire niçoise a arrêté dans un hôtel, fin juillet, deux Arméniens soupçonnés d’avoir mis en place des skimmeurs dans des distributeurs automatiques de billets de Nice, Aix-les-Bains, Marseille, Lyon. C’est d’ailleurs des policiers lyonnais qui avaient traqué et logé les deux présumés voleurs.
Les skimmeurs ? Des systèmes permettant d’intercepter les données de votre carte bancaire insérée dans un distributeur de billet officiel. Du « matos » qui pullule. Les deux pirates appréhendés, comme d’habitude, font parti d’une bande très organisée avec les « placeurs », les collecteurs et les revendeurs. Déférés au parquet, les deux amateurs du skimming ont été mis en examen pour escroqueries en bande organisée. (Nice matin)
Failles pour plusieurs banques étrangères
Fahmi Ben Khlifa, jeune chercheur tunisien en sécurité informatique, a alerté la rédaction de datasecuritybreach.fr au sujet de plusieurs failles découvertes sur les sites Internet de trois banques étrangères. Les vulnérabilités, des XSS (Cross-site scripting) qui pourraient permettre à un pirate informatique de mettre en place des pages phishing directement à partir des urls officiels des banques visées, de lancer l’installation d’un code malveillant dans l’ordinateur d’un visiteur, …
Il faut, cependant, que le pirate construise une adresse web malveillante qu’il doit diffuser à ses cibles par courriel, Twitter, Facebook, … Les trois banques concernées ont été alertées : Central bank of Azerbaïdjan, Central bank of Belize et la banque centrale de la république dominicaine.
La prochaine mise à jour de l’iPhone va vous espionner
Vous avez un travail qui demande discrétion. Bref, vous n’avez pas envie d’indiquer l’adresse de vos bureaux. Vous êtes « volage » et vous n’avez pas vraiment envie d’indiquer à votre époux/épouse les lieux de vos rencontres extra conjugales. Si vous avez un iPhone et que vous avez l’intention de mettre à jour votre « précieux » vers l’iOS 7 lisez ce qui va suivre.
Une des options du nouvel opus d’iOS mérite d’être désactivée. Apple propose d’affiner votre localisation GPS à partir de votre téléphone. Une option activée par défaut. Ce qui veut dire que le géant de l’informatique indique et sauvegarde vos lieux préférés. Autant dire que regrouper vos informations, avec celles d’autres internautes, aura de quoi donner de l’eau au moulin « PRISMique » des géants du marketing, ou bien pire que les vendeurs de rêves.
Apple indique que cette option permet « une meilleure approximation de la localisation géographique (…) Apple veut retenir les coordonnées afin d’améliorer les cartes et autres produits et services d’Apple basés sur la localisation« . Bref, la grosse pomme veut tout savoir sur vous !
Vous pourrez désactiver l’option, explique Protecus, en allant dans les « Paramètres », option Confidentialité > Location > Système > Emplacements fréquentés.
Vous voyagez avec vos appareils connectés ? N’oubliez pas de penser à leur/et votre sécurité.
Vous partez en vacances ? Une enquête reçue à la rédaction de DataSecurityBreach.fr, menée par F-Secure, met le doigt sur les moments de vos vies digitales qui nécessitent une attention particulière lors de vos déplacements.
Lorsque l’on voyage, il est pratique d’utiliser les réseaux Wifi public des aéroports ou encore des restaurants. Pourtant, 52% des sondés sont inquiets de la sécurité et la confidentialité de ces réseaux, et avec raison. Sean Sullivan, Security Advisor chez F-Secure Labs, affirme qu’il ne faut pas oublier que ces réseaux Wifi portent bien leurs noms : ils sont publics. Vous partagez ces réseaux avec des inconnus, et il y a toujours le risque qu’ils puissent utiliser un logiciel pour regarder ce que vous faites en ligne.
Selon Sean Sullivan, « Il est naturel de penser qu’il y a de la confidentialité parce que nous utilisons un appareil personnel… mais en réalité ce n’est pas du tout le cas ». Il conseille de ne pas faire ce que l’on souhaite laisser à l’abri des regards indiscrets, comme des connections à des comptes protégés par des mots de passe. Il ajoute : « J’utilise les réseaux de Wifi public pour des choses dont je parlerais avec un ami dans le métro. Les opérations bancaires, je les fais chez moi ».
Le même raisonnement vaut pour l’utilisation des ordinateurs publics dans les bibliothèques ou les cybercafés. Sean Sullivan conseille une utilisation réfléchie et limitée (par exemple, lire les actualités), parce que des logiciels espions pourraient être installés sur l’ordinateur… et voler vos mots de passe.
Si vous devez utiliser des réseaux publics pour communiquer avec vos proches, M. Sullivan recommande la création d’une adresse mail que vous n’utiliseriez que lorsque vous êtes en vacances, et qui n’a rien à voir avec votre adresse mail habituelle. « De cette façon, si quelqu’un pirate votre adresse mail de vacances, il ne pourra que voir des mails de votre mère ou de la gardienne de votre chat, mais ils n’auront pas accès aux données sensibles qui seraient en mémoire dans votre compte de messagerie principal », dit-il.
Une opération bancaire à faire ? Les précautions à prendre lorsque vous êtes loin de chez vous. 85% des gens disent qu’ils se connectent à leur banque via leurs ordinateurs, et 24% à partir de leurs smartphones. Comment procéder si vous deviez absolument faire une transaction lorsque vous êtes en vacances ? Il est probablement préférable d’utiliser votre forfait data mobile avec l’application mobile de votre banque, même si cela signifie faire du roaming. Cela peut coûter un peu cher, mais c’est toujours moins onéreux que de se faire vider votre compte. Les banques utilisent des connections HTTPS. Sont-elles pour autant sécurisées quand vous y accédez via les réseaux Wifi publics ? 39% des gens utilisent très peu de mots de passe différents pour leurs différents comptes. Et si vous utilisez le même mot de passe sur un site non sécurisé et sur un site sécurisé (comme celui de votre banque), cela signifie qu’un « fouineur » pourrait facilement accéder à votre compte bancaire. Les « fouineurs » utilisent parfois des méthodes plus rudimentaires : jeter discrètement un coup d’œil par-dessus votre épaule quand vous entrez votre mot de passe peut leur suffire pour vous le dérober !
Gardez votre contenu en toute sécurité lorsque vous êtes sur la route des vacances 67% des sondés accordent plus de valeur aux contenus d’un appareil plutôt qu’à l’appareil lui-même, d’un point de vue matériel. Cela illustre l’importance des sauvegardes avant le départ en vacances. Par exemple, en utilisant un service de synchronisation de contenu comme Content Anywhere de F-Secure. Fourni par les opérateurs, il permet aux utilisateurs d’avoir accès aux contenus de l’appareil automatiquement synchronisés sur leur cloud personnel. Grâce à ces services, nous ne somme plus obligés de voyager avec des périphériques de stockage encombrants (comme des disques durs), et il est facile de partager nos photos de vacances, en toute confidentialité et en toute sécurité. Les données que vous mettez dans le « Content Cloud » de F-Secure sont entièrement chiffrées pendant le transfert et le stockage.
La localisation d’un appareil perdu ou volé Perdre ou se faire voler un téléphone portable peut gâcher les vacances. DataSecurityBreach.fr a pu lire qu’avec 61% des personnes qui ont une double utilisation pro/perso de leurs appareils, il y a de bonnes raisons d’être prudent. Un téléphone perdu pourrait avoir un impact non seulement sur vos propres données, mais aussi sur celles de votre entreprise. L’application gratuite Anti-Theft de F-Secure pour smartphones et tablettes vous permet de verrouiller à distance et de localiser votre appareil, et si nécessaire, en effacer toutes les données. Autre recommandation : assurez-vous que le mot de passe de votre téléphone portable verrouillant votre écran se mette en place après un court laps de temps, comme une minute.
D’autres conseils si vous utilisez les Wifi public:
· Ne laissez pas votre appareil se connecter automatiquement à des réseaux publics.
· Effacez les points d’accès Wifi que vous avez utilisé lorsque vous rentrez chez vous.
· Ne soyez pas connecté aux applications dont vous n’avez pas besoin lorsque vous vous déplacez.
· Vérifiez auprès de l’établissement que le réseau Wifi auquel vous vous connectez est vraiment le leur, et non pas celui qu’un « fouineur » aurait mis en place pour vous tromper.
· Soyez conscient de votre environnement et de toute personne qui pourrait être en train de jeter un regard par – dessus votre épaule.
· Utilisez un mot de passe différent pour chaque compte.
· Pour les ordinateurs portables, désactiver le partage de fichiers, activez le pare-feu et configurer le de sorte qu’il bloque les connexions entrantes.
· Si possible, utilisez un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) qui sécurise votre connexion même sur le Wifi public.
· Utilisez un routeur de voyage avec une carte SIM prépayée pour créer votre propre réseau Wifi.
· A minima, vérifiez la présence du cadenas et du « https » dans la barre d’adresse pour n’importe quel site contenant vos informations personnelles. S’ils ne sont pas là, il est préférable d’éviter le site.
· En règle générale : considérez que tout ce que vous faites sur un réseau Wifi public est comme une conversation publique.
Outil pirate pour compromettre le Framework Web Apache Struts
Un outil pirate Chinois, datasecuritybreach.fr a appris qu’il était vendu dans le black market, permet d’automatiser une attaque à l’encontre du Framework Web Apache Struts. Les chercheurs de l’éditeur de solutions de sécurité informatique Trend Micro confirme que cet outil était capable de compromettre le Framework Web Apache Struts en exploitant une faille qui vient d’être bouchée par l’Apache Software Foundation. L’outil pirate contient un Web Shell, un outil qui permet au pirate de se promener dans la machine piégée via cette porte cachée. Une sorte de Shell99 bien connu chez les pirates. Une version java de la bestiole (JspWebShell) permet d’utiliser les technologies JavaServer Pages (JSP) pour les faciliter les actions du pirate.
Un « couteau Suisse » gênant. Même si un rustine existe, peu de mises à jour semblent avoir été effectuées par les utilisateurs de l’outil de développement d’applications web Java. Il faut dire aussi qu’en pleine périodes de vacances, ça n’aide pas. Comme le précise Trend Micro, l’outil pirate exploite les récentes failles CVE-2013-2251 et CVE-2013-1966, ainsi que de vieilles dames, toujours actives, datant de 2010 et 2011 : CVE-2011-3923, et CVE-2010-1870.
Bref, la mise à jour vers la version 2.3.15.1 d’Apache Struts est plus que conseillée : http://struts.apache.org/download.cgi#struts23151. DataSecurityBreach.fr a pu constater sur le blog du groupe de hackers chinois que les premières infos sur la faille ont commencé à pointer le bout de leurs bits en mai 2013. Le 19 Juillet sortait l’exploit. Le 20 juillet, l’outil K-eight, signé par B.L.Brother, était diffusé. Soit trois jours après la diffusion du patch de sécurité d’Apache.
Le code de sécurité de Porsche piraté
Flavio Garcia, maître de conférences en informatique à l’université de Birmingham, a découvert comment passer outre le système numérique permettant de faire démarrer les Porsches, Audis, Bentleys et autres Lamborghini. La faille se trouve dans l’algorithme qui permet la vérification de la clé de contact.
Le chercheur devait présenter sa trouvaille lors d’une conférence dédiée à la sécurité informatique, à Washington (Symposium Usenix Security – 14/15 août, ndlr). Une injonction de la justice britannique à interdit à l’universitaire de présenter son travail. Volkswagen, propriétaire des quatre marques de luxe citées, s’attaque aux travaux de Garcia et deux autres experts néerlandais en cryptographie de l’Université Raboud, Baris Ege et Roel Verdult.
La vulnérabilité se situerait dans le RFID de la puce Megamos Crypto, une « bestiole » qui n’a pas évolué depuis plus de 20 ans. Un algorithme trop léger et la clé devient aussi bavarde qu’une mouette.
La justice explique sa décision par le fait que cette publication pourrait permettre de cracker la sécurité des clés et voler les voitures. Le calcule mathématique complexe, qui a permis aux chercheurs de trouver la faille, est sur le web depuis… 2009. Les scientifiques ont utilisé une technique appelée « chip slicing » qui consiste à analyser une puce sous un microscope et lancer un processus d’analyse qui coûte plus de 50,000 euros. Dommage que le juge n’a pas imposé dans la foulée à VW de mettre de l’ordre dans ses bits.
Espionner via l’API d’un HTML5
Une vulnérabilité découverte dans un API d’HTML5 permet de connaitre l’historique de navigation d’un internaute. Cette possibilité a été annoncée dans un document diffusé par le Context Information Security sous le titre de « Pixel Perfect Timing Attacks with HTML5« . Le problème se situe dans l’API requestAnimationFrame.
Cet API consulte l’historique de votre navigateur pour différencier un site web que vous avez visité et celui qui vous aller visiter. Seulement, il a été découvert qu’il était aussi possible, pour un site malveillant, de mettre la main sur l’historique de navigation de chaque visiteur. Si vous couplez requestAnimationFrame à une interception d’ip et quelques informations privées, vous voilà avec la vie privée numérique de l’internaute bien mal en point. Côté conseil, utilisez le monde « Navigation privée » de votre navigateur.
Facebook, Twitter, Google, Linkedin, Bong, Amazon, Mozilla, Reddit, souffrent de cette potentialité malveillante. Cette technique s’est avérées très efficaces, permettant à un site malveillant de contrôler des milliers d’URL par seconde pour voir si un utilisateur a visité les principaux portails du web. En 2010, David Baron a publié une proposition pour prévenir de telles attaques, en limitant les styles (css) qui peuvent être appliquées aux liens visités et veiller à ce que l’API JavaScript appelle que les styles des éléments à visiter. Les correctifs avaient été mis en œuvre dans tous les principaux navigateurs. Sauf que la faille découverte permet aussi de lire, à distance, les pixels et, avec un peu de malice, permettre à un pirate de lire ce qui s’affiche dans le navigateur. Le White paper de CIS.
Piratage d’un compte bancaire, les indices qui mettent la puce à l’oreille
La plupart des utilisateurs jugent important de protéger leurs informations personnelles stockées sur leurs ordinateurs. Et selon une récente enquête consultée par DataSecurityBreach.fr, réalisée pour Kaspersky Lab, aussi incroyable que cela puisse paraître un participant sur trois (33%) conserve ses coordonnées bancaires sur son ordinateur domestique. A noter que 62 % des utilisateurs considèrent la fuite de données financières comme la menace la plus dangereuse ; 47 % estiment que le vol d’informations bancaires lors d’achat en ligne est le problème le plus préoccupant lorsque l’on se rend sur internet. 57 % des français estiment qu’ils ne sont pas suffisamment outillés pour faire face aux menaces de sécurité sur internet.
Les cybercriminels multiplient les tentatives pour pirater les sites de banque et de commerce en ligne. C’est pourquoi, surveiller ses comptes de paiement en ligne (PayPal, Amazon, Google Checkout, etc.) de près peut éviter des mauvaises surprises à la fin du mois. Comme le rappelle ZATAZWeb.tv, s’informer, c’est déjà se sécuriser. Voici les six « alertes » qui doivent vous faire tendre l’oreille.
1. Surveiller les activités non autorisées : savoir toujours quelles opérations sont prévues. Tout montant débité sans l’autorisation du détenteur du compte, aussi faible soit-il, doit constituer un signal d’alerte.
2. Attention aux notifications : Le fait de recevoir un e-mail informant que les informations de son compte ont changé alors que rien n’a été modifié peut être un signe que le compte a été piraté.
3. Attention aux faux appels : si un interlocuteur se présente comme travaillant pour un établissement bancaire ou prestataire de paiement au téléphone, ne pas hésiter à rappeler le service client pour vérifier l’authenticité de l’appel.
4. Se méfier des textos : si l’utilisateur reçoit soudainement des SMS ou des appels provenant d’un numéro de mobile habituellement non utilisé par son prestataire, il faut être extrêmement prudent quant à son origine.
5. Vérifier chaque e-mail : si un e-mail ou une autre forme de communication en ligne ne paraît pas authentique, ne pas y répondre sans avoir vérifié son authenticité auprès de son prestataire.
6. Attention aux faux liens : si des activités inhabituelles sont observées sur son compte, il faut vérifier si aucun lien suspect dans un e-mail n’a été ouvert.
Ainsi, il est bien sûr recommandé aux utilisateurs d’adopter les bons réflexes de sécurité lors des achats en ligne. En outre, l’installation d’un logiciel efficace de sécurisation d’Internet, et notamment des fonctions de banque en ligne, permet d’éviter les attaques de type « man in the browser » qui interceptent les données normalement sécurisées transitant dans un navigateur Web. Dans ce type d’attaque, un malware implanté sur l’ordinateur infecté modifie de manière invisible des pages Web légitimes afin de prendre le contrôle des activités de banque en ligne. L’internaute est bien connecté au site Web authentique de la banque, l’adresse affichée (URL) est la bonne mais des cybercriminels peuvent intercepter la transaction pour dérober les informations financières et, plus grave, de l’argent.
PlugIn de sécurité pour WordPress
Kévin FALCOZ, alias 0pc0deFR, chercheur français en sécurité informatique propose un outil fort intéressant permettant de tester la sécurité des plugins WordPress que DataSecuritybreach.fr vous conseille fortement. L’outil disponible sous le repository Bulk Tools permet actuellement de chercher des vulnérabilités de type SQL ou CSRF. Un outil d’audit ingénieux. « Je travaille dessus, souligne à la rédaction de Data Security Breach 0pc0deFR. Je vais le rendre encore plus puissant dans le but de détecter plus de vulnérabilités ». Bref, un excellent projet qui mérite d’être suivi et encouragé. A noter quelques règles Yara, pour les amateurs d’analyses de malwares.