Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Android, Cybersécurité, Sécurité

Synchronisation des mots de passe sous Chrome : une bien mauvaise idée…

2 commentaires

La saisie automatique des mots de passe dans votre navigateur est une fonction que vous appréciez. En effet, comment retenir aujourd’hui tous les mots de passe dont on a besoin, d’autant qu’on sait désormais qu’il est impératif d’utiliser des mots de passe complexes ? Pourtant, à l’heure où Google vient d’annoncer les nouvelles versions de Chrome (pour Windows et Android), équipées de cette fonction que nous apprécions tous de synchronisation des mots de passe et des données de saisie automatique, il est temps de jeter un pavé dans la mare de nos certitudes : ce système n’est absolument pas sécurisé ! En effet, les mots de passe stockés par le navigateur ne sont pas protégés : on ne vous réclame aucun mot de passe pour vous connecter à Chrome. Ainsi, n’importe qui peut utiliser votre ordinateur et se connecter sans problème à vos différents comptes  et donc à vos données privées.

De plus, l’utilisation de la synchronisation de Google (« Google Sync ») est doublement dangereuse : d’une part, vous laissez Google accéder potentiellement à vos mots de passe, ce qui est risqué lorsqu’on connait sa politique de collecte de données, et d’autre part, un jour ou l’autre Google peut être « hacké », ce qui rend vos mots de passe encore plus vulnérables, puisque les clés de cryptage appartiennent à Google. Il existe une option de sécurité dans Chrome, mais tellement bien cachée que personne ne l’utilise…

Chiffrement, Cyber-attaque, Cybersécurité, Fuite de données, Leak

Protéger l’entreprise contre les cyberattaques est insatisfaisante

Un commentaire

En France, les professionnels de la sécurité informatique estiment que leur capacité à protéger leur entreprise contre les cyberattaques est insatisfaisante. Juniper Networks, leader de l’innovation réseaux, annonce à datasecuritybreach.fr les résultats pour la France d’une étude mondiale réalisée par l’Institut Ponemon pour le compte de Juniper Networks. En France, les entreprises interrogées peinent à se protéger contre les attaques menaçant la sécurité de leur réseau en raison du nombre de terminaux grand public et d’applications introduits sur le lieu de travail, ainsi que du manque de visibilité des systèmes. 65 % des entreprises françaises sondées estiment que la migration des systèmes sur site vers des environnements cloud constitue également une menace importante pour la sécurité de leur réseau.

Réalisée auprès de 4 774 informaticiens et responsables de la sécurité informatique dans neuf pays, dont plus de 450 professionnels en France, l’enquête identifie les problématiques auxquelles les entreprises sont confrontées face aux nouvelles menaces et à leurs difficultés à s’en prémunir. L’enquête montre que la sophistication croissante des cyberattaques, l’évolution des menaces et la crainte croissante du vol de propriété intellectuelle et de secrets professionnels stimulent les investissements dans les technologies de sécurité réseau.

De nombreux professionnels de la sécurité informatique interrogés dans le monde estiment que les entreprises sont mal équipées pour détecter, bloquer et prévenir rapidement les attaques. En France, les personnes interrogées considèrent la stratégie mise en place par leur entreprise pour protéger le réseau contre ces attaques comme « insatisfaisante ». 60 % des professionnels français interrogés sont également convaincus que les nouvelles lois européennes relatives à la protection des informations personnelles auront un réel impact sur l’ensemble des opérations de leur entreprise. Cet impact sera notamment vrai quant à l’obligation pour les entreprises de signaler un vol de données sous 24 heures, la plupart des entreprises sondées ayant fait état d’un vol de données une fois par an au cours des deux dernières années.

L’étude identifie plusieurs problématiques de sécurité réseau auxquelles les professionnels de la sécurité informatique sont confrontés aujourd’hui en France :

·         Les entreprises françaises se concentrent sur les menaces internes pour gérer les risques pesant sur la cybersécurité : 43 % des professionnels interrogés en France ont déclaré que leur entreprise utilise une solution de protection de réseau pour faire face aux menaces internes (menaces émanant du réseau) ;

·         Il est important de sensibiliser les employés aux nouvelles menaces et aux risques relatifs au cloud : en France, 72 % des professionnels de la sécurité informatique ont déclaré que la sensibilisation aux nouvelles menaces est une priorité pour promouvoir l’utilisation des nouvelles technologies de sécurité ;

·         Les préoccupations concernant les lois européennes relatives à la protection des informations personnelles : 60 % des professionnels interrogés en France ont déclaré que les nouvelles lois européennes relatives à la protection des informations personnelles auront un impact important sur l’ensemble des opérations des entreprises et leur mise en conformité.

Cybersécurité

Hacknowledge Contest Benelux

Suivez, en temps réel, avec ZATAZ.COM, ACISSI et CPEHN (Charleroi) le Hacknowledge-contest 2013 Benelux.

13h30 – Découverte du système d’alerte ZATAZ.COM avec Damien Bancal.

Fonctionnement, actions, … Plus de 40.000 sociétés aidées, bénévolement, depuis bientôt 17 ans (anniversaire en juin 2013).

14h30 – RFID, Le sans fil nous parle par Sébastien Lasson

Un jouet à 30 euros cache, en son sein, un outil professionnel dédié au RFID vendu sous sa forme « pro », 300€.

16h00 – Social Engineering par Sébastien Baudru de Drastic Sécurité.

Explication sur cet « art » d’étudier une cible humaine… avant de s’occuper de son informatique. De multiples outils pour le SE : Tailgating, shoulder surfing, trashing, phishing, Cross site Scripting, Mass Human Deny Of Service. Prudence aux courriers d’entreprises ayant un nom trés proche de celui de l’administration fiscale. Possibilité de détourner de l’argent en jouant sur la peur des Impôts, URSAFF, …

 

17h00 – De son côté, François Goffinet est venu parler de migration IPv6 et sécurité.

« Ipv6 n’est pas sécurisé comme on veut nous le faire entendre, indique l’enseignant, Chrome, n’est pas compatible IPv6 ; les commentaires dans le code source de Wireshark, ne sont pas flatteurs pour IPv6« .

18 h – La sécurité informatique – Etat des lieux en Belgique par Rudi Réz (CPEHN).  

Du côté des forces de l’ordre dédiées au cyber-crime  : 37 policiers pour la FCCU (Federal Cyber Crime Unit) ; 180 pour les 25 zones régionales RCCU (Regional Cyber Crime Unit). Le CERT Belge (CERT.BE) a lancé +1400 enquêtes en 2011, pour plus de 2100 alertes. Il n’existe pas de loi obligeant les entreprises à notifier la justice/le public en cas de piratage/fuite de données. Le gouvernement conseille de le faire, mais ne l’oblige pas.

21 h – Le concours !
Plus de trente participants, 70 épreuves. La nuit s’annonce riche et… studieuse.
Lancement des hostilités … H -1.

 21h30 – C’est parti … mon kiki !

70 épreuves : hack, chiffrement, décryptage, code barre, lock picking, …  A noter de la pointure parmi les participants dont le gagnant du SANS NetWars tournament of Champion 2012.

 

05h30 – La lutte est serrée pour les concurrents.

Les épreuves s’enchaînent, les défis tombent, un par un. Physiques, numériques, certaines autres « briques » résistent.

Patch

Oracle Critical Patch Update – Avril 2013

Oracle a publié deux mises à jour de sécurité critiques. Tout d’abord, une nouvelle version de Java corrige 42 vulnérabilités, dont 19 ayant le score CVSS le plus élevé (10) qui permet à un attaquant de prendre le contrôle total de la machine. Cette mise à jour corrige également les vulnérabilités découvertes lors de la compétition PWN2OWN à CanSecWest, en mars, où Java a été exploité par trois chercheurs en sécurité différents. Oracle a également modifié les alertes qui surgissent lorsque l’on exécute une applet Java, en introduisant des états distincts donnant plus d’informations sur la nature de l’applet. Les nouvelles versions sont Java v7 update 21et Java v6 update 45.

Dans l’ensemble, le CPU d’avril 2013 corrige plus de 120 vulnérabilités dans 13 gammes de produits. Une cartographie précise des logiciels installés sera cruciale dans l’application de ces correctifs en raison du grand nombre de produits couverts. Nous recommandons de commencer par les services exposés sur Internet, puis de mettre à jour en priorité les produits contenant des vulnérabilités avec un score CVSS élevé.

Le SGBDR d’Oracle dispose de quatre mises à jour pour des vulnérabilités ayant un score CVSS de 10. Les organisations doivent s’assurer en priorité que leurs bases de données Oracle ne sont pas exposées et appliquer les correctifs en conséquence.

La base de données MySQL dispose de 25 vulnérabilités corrigées, avec un score CVSS maximum de 6.9. Un score de niveau moyen qui donnent plus de temps aux administrateurs informatiques pour réagir.

Les solutions Oracle Fusion ont 29 vulnérabilités corrigées, avec un score CVSS de 10. Nous recommandons d’appliquer les patchs aussi rapidement que possible. Une des vulnérabilités se trouve dans le produit Oracle Outside-In, qui est utilisé par Microsoft Exchange Server. Il est noté 6.8, ce qui signifie que nous aurons une mise à jour d’Exchange très bientôt.

Oracle Solaris est affecté par 16 failles avec un score de 6.4, dont deux vulnérabilités exploitables à distance. Les administrateurs informatiques doivent se concentrer dans un premier temps sur ces deux vulnérabilités.

Les autres produits mis à jour comprennent Peoplesoft, Supply-Chain, E-Business, CRM.

En complément des mises à jour d’Oracle, Apple a également publié deux mises à jour de sécurité. La première adresse Java 6 qui est maintenu par Apple sur Mac OS X. La seconde corrige une vulnérabilité dans Webkit, le moteur de rendu HTML de Safari. La vulnérabilité dans Webkit a également été découverte lors de la compétition PWN2OWN, mais en l’occurrence dans le navigateur Chrome de Google. Google a corrigé cette vulnérabilité le mois dernier. (Wolfgang Kandek, CTO de Qualys pour Datasecuritybreach.fr)

Cybersécurité

L’Institut Léonard de Vinci ouvre un MBA « Sécurité des réseaux numériques ».

Un commentaire

Lutter contre les cyber-attaques et prévenir la menace numérique L’Institut Léonard de Vinci ouvre un MBA « Sécurité des réseaux numériques ». Au moment où les cyber attaques contre les entreprises ou les états sont monnaie courante et où de nouveaux besoins en compétences émergent, Data Security Breach revient sur ce nouveau MBA  « Sécurité des réseaux numériques » de L’Institut Léonard de Vinci. Un MBA qui aura pour mission de former des experts et des stratèges du management de la sécurité des réseaux numérique dans tous les secteurs de l’économie mondialisée, arrive à point nommé.

En effet, selon le rapport du sénateur Jean-Marie Bockel sur la cyberdéfense (juillet 2012), les formations dédiées ne couvriraient qu’un quart des besoins de recrutement, estimés actuellement à 1000 par an (200 pour les administrations et 800 pour le secteur privé). Ce MBA qui combine 6 mois de formation à l’université et 6 mois de formation en entreprise, traite donc des problématiques pratiques et actuelles sous l’angle de la sécurité globale, telles que le cloud, le big data, la sécurité des réseaux, la mobilité dans les réseaux sans fil, le multimédia, mais il assure aussi les bases indispensables de la connaissance du droit (communication, pénal, finance, assurance, social), de  la gestion (management) et de la science politique (communication de crise, réseaux sociaux). Pour comprendre le contexte et les enjeux de l’ouverture de ce MBA DataSecurityBreach.fr revient sur l’échange avec M. Yves ROUCAUTE, directeur du MBA « Sécurité des Réseaux numériques », Professeur agrégé des facultés, Président du conseil scientifique de l’Institut National des Hautes Etudes de Sécurité et de Justice.

Pourriez-vous nous présenter le MBA « Sécurité des Réseaux numériques » de l’Institut Léonard de Vinci ?

Yves ROUCAUTE : Le MBA « Sécurité des Réseaux Numériques » a pour objectif de former des experts de l’information technologique et des stratèges incontournables du management de la sécurité des réseaux numériques et de l’économie numérique. Et cela dans tous les secteurs de l’économie : entreprises privées ou publiques, états, collectivités territoriales, institutions de régulation ou encore lobbys. Il combine apprentissage théorique et pratique de la maîtrise de la sécurité du fonctionnement des systèmes d’information dans l’économie numérique et management opérationnel technico-économique et juridique pour gérer et prévoir l’évolution des stratégies face aux risques et menaces liés aux réseaux numériques. Tous les postes à responsabilités liés aux secteurs économiques utilisant les technologies numériques ainsi que les métiers liés au conseil et à l’audit de systèmes numériques sont concernés. Les débouchés sont  donc nombreux dans les entreprises privées et publiques, les industries, le commerce, les banques, les assurances, mais aussi au sein des organismes étatiques ou des collectivités territoriales, des institutions de régulation et des lobbys.

Comment s’assurer que les élèves ne soient pas dépassés par le développement constant des nouvelles technologies et actualisent constamment leurs connaissances ? Nous offrons à la fois un contenu d’enseignement performant et un personnel enseignant à la pointe des questions de sécurité soulevées par  l’information technologique à l’heure de la mondialisation.  En effet, avec Michel Riguidel, Professeur émérite de Paris Tech, ex-directeur du département «Informatique et Réseaux », directeur adjoint du MBA, nous avons appelé des professionnels du management du risque numérique, réputés internationalement, qui travaillent à la direction d’entreprises  spécialisées dans la sécurité des réseaux. Ainsi, les élèves vont savoir gérer le risque numérique imminent mais aussi prévoir son évolution. Ils comprendront la sécurité des systèmes d’information tout en saisissant l’écosystème numérique dans sa globalité, dans ses diverses dimensions technologiques, juridiques, financières, assurantielles, psychologiques et sociologiques.

Comment concrètement les étudiants du MBA « Sécurité des Réseaux numériques » seront-ils en mesure de prévenir les cyber-attaques ? Les cyber-attaques sont devenues une menace constante pour les entreprises mais aussi pour les Etats. Depuis 2007 et la cyber attaque contre l’Estonie de la part de sites russes, le danger a été pris en compte.  Dernièrement, les attaques contre Lockheed, Google et Twitter ont fait grand bruit et montrent que nul n’est à l’abri. Ce sont des centaines d’entreprises qui, chaque année, sont victimes de cette nouvelle forme de criminalité. En premier lieu, les étudiants de notre MBA, formés par des professionnels de renom, seront en mesure d’éviter et de prévoir ce type de cyber attaque. Au Luxembourg, comme lors de l’organisation d’un cycle de conférences au Sénat, les dirigeants de ce MBA ont eu l’occasion de faire des recommandations sur la gestion des infrastructures vitales (appelées « critiques » dans les pays anglo-saxons) de la France. Il n’est pas anodin que l’Association internationale de science politique m’ait permis d’organiser, avec trois des enseignants de ce master, le premier grand colloque européen sur la sécurité des réseaux numériques critiques au Luxembourg en mars 2010. Ou que Michel Riguidel soit coordinateur dans le 6ème programme cacdre recherches et développement, de l’Union européenne, expert de l’ANR, membre du Conseil d’Evaluation Télécommunications à la DGA, alors qu’il a notamment conçu le premier pare-feu certifié ITSEC E4 en Europe ou  inventé le mot « tatouage ».  Pas anodin non plus que Gérard Peliks, expert sécurité chez Cassidian Cyber sécurité, soit Président de l’atelier sécurité du Forum ATENA. Pour ne citer que quelques uns de nos enseignants. Indéniablement, les étudiants seront pleinement confrontés aux  vulnérabilités, aux risques et aux menaces liées aux réseaux numériques. Ils seront, en même temps, en position de distinguer les vraies menaces des jeux en trompe l’œil de certaines entreprises voire de certains services, via de prétendus risques d’attaque et, ainsi, de mesurer les dangers de l’utilisation de certains softwares qui sont en vérité des machines de guerre de l’intelligence économique, parfois seulement utilisés pour vendre des produits informatiques, parfois pour connaître les projets et intentions de concurrents, mais aussi qui sont parfois utilisés pour maîtriser les systèmes d’information des entreprises ou des Etats, voire les détruire.

Le MBA « SECURITE DES RESEAUX NUMERIQUES » propose 447 heures (6 mois)  de cours et séminaires répartis en 4 modules et 6 mois de formation en entreprise. Objectifs : former des experts et des stratèges incontournables du management de la sécurité des réseaux numériques et de l’économie numérique. Public visé : Etudiant Bac +4 ou équivalent – Les épreuves d’admissibilité se font sur dossier et les épreuves d’admission se font sur examen oral devant le comité d’orientation pédagogique. Une remise à niveau est possible. Débouchés professionnels : secteurs des technologies de l’information, de l’informatique, des télécommunications, des activités numériques et des services fournis aux entreprises et aux collectivités ainsi que les métiers liés au conseil et à l’audit des systèmes numériques dans les entreprises privées ou publiques, Etats ou collectivités territoriales, institutions de régulation ou lobbys.

Cybersécurité

Internet traque le/les terroristes de Boston

Un commentaire

Sur le forum 4chan, les internautes se sont lancés dans la traque du/des terroristes de Boston. Impressionnant ! Et si les Internautes réussissez à retrouver le/les terroriste(s) de Boston ? Sur plusieurs espaces web, dont le forum 4chan, les images des bombes de Boston sont décortiquées. Autant dire que la traque est impressionnante. Plusieurs suspects ont été remontés grâce à des détails tirés des photos, vidéos. Parmi les détails, des documents tirés d’appareils photos de sportifs, supporteurs et du FBI. Certaines comparaisons sont assez saisissantes. Surtout l’analyse des sacs à dos, en comparaison de ceux qui semblent avoir caché les « cocottes minutes ». Maintenant, une chasse aux sorcières peut, aussi, montrer du doigt des personnes n’ayant aucun rapport avec cette atrocité.

Argent, Cyber-attaque, Cybersécurité

Cyber criminels se penchent sur Bitcoin

2 commentaires

Comment les cybercriminels exploitent les monnaies virtuelles comme Bitcoin. D’abord, petit rappel de DataSecurityBreach.fr sur ce qu’est le Bitcoin. Bitcoin est une monnaie virtuelle décentralisée en ligne basée sur une source ouverte, le protocole P2P. Les Bitcoins peuvent être transférés sur un ordinateur sans avoir recours à une institution financière. La création et le transfert Bitcoin est effectué par des ordinateurs appelés «mineurs» qui confirment la création du bitcoin en ajoutant les informations dans une base de données décentralisée. Les Bitcoins deviennent plus difficiles à produire. Il n’y a plus « que » 10 millions de bitcoins en circulation aujourd’hui. La conception Bitcoin permet uniquement de créer 21 millions de pièces virtuelles. Cette limite sera atteinte au cours de l’année 2140. Le portefeuille Bitcoin est ce qui vous donne la propriété d’une ou plusieurs adresses Bitcoin. Vous pouvez utiliser ces adresses pour envoyer et recevoir des pièces provenant d’autres utilisateurs/internautes. Il existe les « piscines ». Espace qui permet à plusieurs internautes de « fabriquer » des Bitcoins. L’idée, travailler ensemble pour faire des bitcoins et partager les bénéfices de manière équitable. Enfin, vous pouvez acheter et vendre des bitcoins en utilisant plusieurs monnaies du monde réel (Euro, Dollar, …) à l’aide de plusieurs espaces d’échanges tels que MtGox, BTC-E ou encore Virtex.

En raison de la popularité croissante du Bitcoin, cette monnaie est devenue une cible intéressante et rentable pour les cybercriminels. Au cours des dernières années, DataSecurityBreach.fr vous a relayé d’une augmentation du nombre d’attaques et de menaces impliquant la monnaie virtuelle. Les « vilains » ont adapté leurs outils afin de voler des bitcoins à leurs victimes, utiliser des systèmes compromis pour exploiter des bitcoins et, bien évidement, traduire la monnaie virtuelle en billets biens réels. D’autre part les échanges virtuels sont également des victimes potentielles : phishing, déni de service. Dans ce dernier cas, la mission est clairement la déstabilisation du taux de change et des profits.

Au cours des dernières années, la capacité de voler le fichier wallet.dat (Le portefeuille Bitcoin, ndlr Data Security Breach) a été ajoutée à plusieurs familles de logiciels malveillants. En outre, de nouvelles familles de logiciels malveillants sont apparus dans le but de voler ce fichier à partir des machines infectées. Par exemple, une version du malware Khelios a été utilisée pour envoyer de faux courriels et inciter le téléchargement du malveillant. Mission finale, voler des données provenant des systèmes infectés. En conséquence, si un utilisateur du Bitcoin est infecté, le keylogger intercepte les frappes claviers dédiés aux Bitcoins. Le fichier porte-monnaie peut être protégé par un mot de passe… sauf que la majorité des logiciels pirates dédiés aux vols de données bancaires ont intégré le moyen de cracker le mot de passe du portefeuille. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fichier portefeuille (exemple : 928296a933c8eac9282955d47a811aa2759282973b8789bcfd567fb79282908ea).

En plus de voler le porte-monnaie Bitcoin, le nombre de logiciels malveillants qui permettent aux pirates d’utiliser la puissance de l’ordinateur des victimes est grandissante. Il permet aux escrocs numériques de générer des Bitcoins. Des variantes de Zeus/Zbot utilisent des « plugin » qui visent BitCoin.  L’année dernière, zataz.com vous parlait d’attaques de sites web, avec l’installation d’iframe « bizarres » dans les sites infectés. Les iframes dirigés les internautes vers le site anshaa[*]com. L’attaque visait Bitcoin. Au cours des derniers mois, plusieurs variantes de Dorkbot, y compris celui qui visait Skype, était exploité pour ajouter la capacité mining pool dans les ordinateurs infectés. Une fois que le système compromis, une version de la Ufasoft mining pool est lancée. Le pirate produit du Bitcoin sans se fatiguer. Derrière ce botnet, le même groupe. Il exploit(ait)e : cantvenlinea[*]biz, revisiondelpc[*]ru, cantvenlinea[*]ru, hustling4life[*]biz.

Alors que ce premier groupe a fait tourner son arnaque durant près de 6 mois, un autre groupe de pirates exploite, depuis 1 an, Dorkbot. Si le premier gang semble être des pays de l’Est, le second passe par l’Asie pour agir. Ce groupe exploite aussi une autre monnaie virtuelle, Litecoins. Dans ces cas, les pirates exploitent de faux logiciels diffusés via le P2P et les fameux iFrames installés dans des sites compromis via des kits Exploits de type  Blackhole. Comme vous pouvez le voir dans notre capture écran de comptes pirates, plusieurs escrocs utilisent des adresses Bitcoin. Bilan, il est possible de voir  les transactions effectuées par ces comptes. Certains affichent plus de 38.000 dollars de recettes ! Pas mal pour un petit Botnet !

Mtgox est le plus grand lieu d’échange Bitcoin. Il est possible de transformer ses Bitcoins en Euros ou Dollars. Ces dernières semaines, la popularité croissante de Bitcoin et Mtgox a attiré les pirates. Début avril, le site mtgox-chat[*]info ciblait les utilisateurs Mtgox. Mission de ce piège, inciter l’internaute à télécharger une applet Java malveillante. Marrant, le serveur pirate de gestion (C&C) se nommait « tamere123 ». Il faut dire aussi qu’avec 20.000 comptes Mtgox créé par jour (le nombre de comptes pirates n’est pas connu, ndlr DataSecuritybreach.fr), l’intérêt des escrocs ne fait que suivre le mouvement.

Vous commencez à comprendre pourquoi le Bitcoin a plongé de 50% la semaine dernière, passant de 36 euros le 16 mars pour atteindre 200 euros, 1 mois plus tard. Le Bitcoin se stabilise autour de 75 euros. Jusqu’au prochain problème, comme celui vécu début avril, chez Bitcoin central !

Cybersécurité, Wordpress

Près de 1.000.000 de WordPress en danger

4 commentaires

Un plugin pour WordPress dangereux. Il permet de diffuser des messages non sollicités à partir de 935.000 WordPress ainsi piégés. Si vous utilisez le plugin « widget Media social » dans votre WordPress, un conseil de datasecuritybreach.fr, effacez-le de votre site. Sucuri, expert en sécurité informatique a découvert que le plugin était utilisé pour injecter des messages non sollicités sur votre site. L’outil, qui se veut être un allier dans votre communication sur les réseaux sociaux et aussi, et avant tout, un piége.

Avec plus de 935.000 téléchargements, le plugin a de quoi faire de gros dégâts. Dans le code source de l’application, un url caché, qui est diffusé dans de faux messages. L’intérêt du pirate, faire référencer dans un maximum de sites, donc ensuite sur Google, son espace malveillant. L’url caché a pour mission d’injecter « PayDay Loan » et de renvoyer les lecteurs des WordPress sur le site paydaypam.co.uk, un site de prêt d’argent.

Le code malveillant a été ajouté dans la dernière version du plugin, SMW 4.0. Les utilisateurs sont vivement invités par Datasecuritybreach.fr à retirer le plug-in de leur site. Le plugin a été supprimé du WordPress Plugin.

Cybersécurité

Patch Tuesday d’avril

Comme chaque premier jeudi du mois, Microsoft a publié sa notification avancée du Patch Tuesday de ce mois d’avril. Il compte neuf bulletins affectant toutes les versions de Windows, certains composants Office et serveur ainsi que Windows Defender sur Windows 8 et RT. Cependant seuls deux bulletins sont jugés « critiques ».

Le bulletin 1 est destiné à toutes les versions d’Internet Explorer (IE), y compris la plus récente IE 10 sur Windows 8 et RT, et devrait être la priorité ce mois-ci. Il est classé « critique » et permet l’exécution de code à distance par le biais du vecteur d’attaque aujourd’hui le plus commun : l’un des utilisateurs de l’entreprise accédant à un site Web malveillant. Le bulletin 2 est la seconde vulnérabilité classée « critique » et affecte le système d’exploitation Windows, à l’exception des versions les plus récentes, Windows 8, Server 2012 et Windows RT (la version tablette).

Les bulletins restants sont tous évalués «importants» et affectent Windows, le serveur Sharepoint ainsi que, il est intéressant de le noter, un produit de sécurité. Il s’agit du scanner de malware de Microsoft, Windows Defender sur Windows 8 et Windows RT. Les vulnérabilités corrigées dans ces bulletins permettent généralement à l’attaquant l’escalade de privilèges. Il accède ainsi du niveau de privilège d’un utilisateur normal à celui d’un utilisateur de niveau administrateur. Il peut également tromper l’utilisateur en l’incitant à ouvrir un fichier spécialement conçu.

Parmi les autres annonces auxquelles il faut prêter attention, le projet source PostGreSQL Open a publié une nouvelle version de son produit de base de données corrigeant cinq failles de sécurité. L’une d’elles, CVE-2013-1899 permet à l’attaquant de supprimer des fichiers de base de données sans authentification, ce qui conduit à la perte de données et au déni de service. PostGreSQL a jugé cette faille suffisamment importante pour justifier la semaine dernière une pré-annonce de la publication d’un correctif cette semaine.

Il faut également garder à l’esprit que Oracle a prévu une publication supplémentaire pour Java ce mois-ci. Normalement, Java bénéficie d’une nouvelle version tous les quatre mois : février, juin et octobre de chaque année. En raison de la quantité et de la gravité des vulnérabilités récemment découvertes, il y aura une nouvelle version qui sera mise en ligne le 16 avril. (Wolfgang Kandek, CTO de Qualys pour DataSecurityBreach.fr)

Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Sécurité

Vers une Union européenne de la Sécurité Informatique …

Est-il temps d’inventer une « échelle de Richter » des incidents de sécurité ? Alors qu’un projet de Directive a été présenté par Neelie Kroes, commissaire européenne chargée de la société numérique et au moment où le Conseil et le Parlement européens doivent discuter de ce nouveau texte, François Lavaste, Président de NETASQ, acteur de la sécurité informatique revient pour DataSecurityBreach.fr sur cette nouvelle directive.

L’objectif de cette nouvelle Directive européenne vise à renforcer le niveau de sécurité des systèmes d’information européens et ce, de façon homogène. Au programme, la mise en place, dans chaque état membre, d’une infrastructure complète en matière de cybersécurité et une obligation de notification des violations de la sécurité des données personnelles sur 6 secteurs « cibles » qui sont les services financiers, les services internet clés, l’énergie, la santé, les transports et les administrations publiques.   Alors que l’on pouvait s’attendre, par exemple, à une obligation visant à inciter les éditeurs de logiciels à « patcher» les codes défectueux, ou à des obligations pour les acteurs de la filières de mettre en place des mesures de prévention ou de sensibilisation en matière de sécurité des données et des systèmes, le texte ne prévoit, a priori, rien sur ces sujets pour le moment. « Les États membres veillent à ce que les administrations publiques et les acteurs du marché notifient à l’autorité compétente les incidents qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent ».

Que recouvre exactement cette notion d’incidents ayant “un impact significatif” sur la SSI ?

La sécurité informatique est, de manière assez surprenante, un domaine qui n’a pas encore inventé ou imposé son « échelle de Richter ». Il existe des indices de gravité pour les vulnérabilités (faible, modéré, important, critique) mais ceux-ci sont assez basiques. Certaines entreprises de sécurité, inspirées probablement par les niveaux d’alerte du plan VIGIPIRATE en France ou par ceux du NTAS (National Terrorism  Advisory System) aux Etats-Unis, publient leur propre échelle de menace (basse, medium, élevée, extrême par exemple). Ces indicateurs sont souvent subjectifs et précèdent les incidents potentiels. Cependant après un incident, aucune « échelle » de gravité n’est véritablement communément admise et utilisée. On pourrait imaginer qu’une telle échelle « a posteriori » de la gravité d’un incident de sécurité serait utile pour rapidement mettre en place, pour les victimes prévenues, les mesures à prendre et pour que les médias positionnent ces évènements de manière la plus objective possible.

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données, Sauvegarde, Sécurité

L’encadrement juridique de l’utilisation de leurs équipements personnels par les salariés

Le BYOD (« Bring your own device »), ou l’utilisation par les employés de leurs équipements personnels (smartphone, pc portable, tablette tactile…) dans un contexte professionnel, est aujourd’hui une pratique courante en entreprise, qui demeure pourtant peu encadrée juridiquement. Donatienne Blin, avocat au sein du département Informatique & Réseaux du cabinet Courtois Lebel, passe en revue, pour Data Security Breach,  les points de vigilance. L’accès immédiat et en toutes circonstances au système d’information de l’entreprise grâce aux BYOD améliore la réactivité et la productivité des employés.

Pourtant cette pratique souvent tolérée par les entreprises présente, en l’absence d’encadrement spécifique, des risques substantiels pesant sur la sécurité du système d’information, précisément sur la confidentialité et l’intégrité des données de l’entreprise : négligence de l’utilisateur (prêt ou perte du terminal), applications malveillantes téléchargées, virus ou failles de sécurité de l’OS (operating system) rendent possibles les accès frauduleux au système d’information par des tiers non autorisés. Chaque type de BYOD présente des risques particuliers qui devront être traités différemment.

L’utilisation des équipements personnels et l’anticipation des risques est donc une problématique majeure au sein de l’entreprise et précisément des directions juridiques et des directions des systèmes d’information. Toute perte ou altération des données personnelles peut provoquer des dommages économiques à l’entreprise, mais peut également engager sa responsabilité : l’article 34 de la loi n°78-17 Informatique, fichiers et libertés du 6 janvier 1978 impose au responsable de traitement de données personnelles de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour « préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Ainsi, dans le prolongement de la politique de sécurité mise en œuvre par les DSI (directions des systèmes d’information), les entreprises doivent encadrer l’utilisation des BYOD et garder en toutes circonstances le contrôle de l’accès au réseau et des données y étant accessibles. Cet encadrement devra se matérialiser par la mise en place d’une charte informatique, ou la mise à jour de celle-ci dès lors qu’elle serait existante, en vue d’y inclure les mesures propres à leur utilisation, applicables à l’ensemble des salariés.

Les problématiques suivantes devront y être abordées :

L’accès au système d’information de l’entreprise Compte tenu des risques (introduction de virus, fuite, perte, altération de données personnelles ou sensibles et confidentielles…) pesant notamment sur les données de l’entreprise, des règles d’accès au système d’information de l’entreprise via un équipement personnel devront être adaptées. On pourra prévoir que le salarié utilisant un équipement personnel soit obligé, préalablement à la connexion de son terminal au réseau de l’entreprise, d’avertir le DSI et de faire contrôler son équipement afin de s’assurer de sa conformité en termes de sécurité. De même, le salarié devra toujours disposer d’un équipement en état de fonctionnement, et systématiquement, télécharger les mises à jour proposées par les éditeurs (du système d’exploitation, des logiciels et des applications utilisés).

Il pourra également être imposé au salarié de protéger son équipement par mot de passe afin d’en interdire l’accès aux tiers. L’obligation de faire l’acquisition d’outils permettant de limiter les risques de sécurité pourra également être imposée au salarié : logiciel antivirus, de cryptage des données, ou encore dispositif permettant de supprimer les données à distance dès lors que les données seraient directement stockées sur l’équipement personnel du salarié. Afin d’éviter la perte définitive des données (les applications cloud le permettent, ndlr Datasecuritybreach.fr), il peut également être imposé au salarié d’installer des outils de sauvegardes journalières ou de synchronisation des données avec un autre appareil. En cas de vol, perte, ou constat quelconque d’intrusion frauduleuse sur l’équipement personnel, le salarié devra immédiatement prévenir le DSI afin qu’il prenne toutes mesures nécessaires pour protéger le système d’information de l’entreprise et les données y étant stockées.

La propriété et le contrôle des données accessibles via l’équipement personnel Il devra être précisé que toutes données professionnelles stockées ou accessibles via un équipement personnel demeureront la propriété exclusive de l’employeur. Les cas d’accès et de contrôle aux données stockées sur l’équipement personnel du salarié par l’employeur devront être précisément définis dans la charte.

Pour rappel, Data Security Breach vous énumère les règles à retenir : le salarié utilisant un équipement professionnel doit expressément identifier les éléments personnels comme tels ; à défaut d’identification explicite contraire, le contenu est considéré comme ayant un caractère professionnel et son employeur peut dès lors y accéder.

L’employeur ne peut accéder aux fichiers personnels expressément identifiés comme tels par son salarié hors la présence de ce dernier, et ce sauf risque ou évènement particulier. Il devra être imposé au salarié, en cas de départ de l’entreprise, de transférer à son supérieur hiérarchique l’ensemble des données professionnelles éventuellement stockées sur son équipement personnel. En cas d’application cloud, l’accès doit être coupé au jour du départ.

La problématique du coût ou la participation de l’entreprise aux frais payés par les salariés Dans le cas des BYOD, le coût des équipements personnels utilisés à des fins professionnelles et les éventuels frais annexes (assurance, maintenance, anti-virus, forfait téléphone/internet, logiciels indispensables à l’activité, tel que le Pack Office de Microsoft) sont de fait déportés chez les salariés. Certains coûts pourraient être partiellement pris en charge par les entreprises, dès lors qu’il est raisonnable de considérer que le salarié n’aurait pas fait l’acquisition de ces différents outils, imposés par l’entreprise, dans le cadre d’une utilisation strictement personnelle. Ces règles liées à la prise en charge totale ou partielle des coûts devront être définies et portées à la connaissance des employés. Cette problématique rejoint celle de la discrimination entre les salariés : certains salariés pourront se procurer eux-mêmes leur propre équipement tandis que d’autres ne le pourront pas pour des raisons exclusivement financières.

La durée légale du travail En utilisant son équipement personnel, notamment pour recevoir ses mails professionnels, le salarié reste connecté en permanence avec le réseau de son entreprise.Cela a pour conséquence d’augmenter la durée du travail. Or les entreprises doivent respecter la durée légale du temps de travail sous peine de sanction. La charte devra donc tenir compte du fait que l’utilisation de l’équipement personnel ne doit en aucun cas porter atteinte à la durée légale du travail applicable à chaque salarié concerné. Au même titre, aucune sanction ne devrait découler d’une absence de réactivité d’un salarié en dehors de ses horaires de travail.

Les accès aux applications ou plus généralement au réseau de l’entreprise en dehors des horaires de travail peuvent être directement bloqués à distance par la direction des systèmes d’information. Ce système impose de créer des groupes d’utilisateurs autorisés, en fonction des horaires de travail qui leur sont applicables, du poste ou encore du rang hiérarchique occupé.

La responsabilité en cas de vol ou de dommages matériels causés à l’équipement personnel La question des éventuels dommages causés à l’équipement personnel de l’employé sur le lieu de travail sans aucune faute de sa part devra être tranchée dans la charte. Par exemple un virus pourrait être transmis sur l’équipement personnel du salarié qui se serait connecté au réseau de l’entreprise. Dès lors que l’équipement du salarié serait endommagé par la faute ou la négligence de l’entreprise, celle-ci devrait, dans ces conditions, être responsable des réparations.Les conditions de responsabilité et de réparation totale ou partielle en cas de dommages matériels doivent donc être précisément définies, dans le respect des règles du code du travail applicables.

La redéfinition des règles d’utilisation prohibées Il conviendra d’élargir les règles d’utilisation prohibées des ressources de l’entreprise aux ressources personnelles, dès lors que le réseau internet de l’entreprise devient accessible via un équipement personnel. Ainsi, il faudra rappeler au salarié que les règles d’utilisation prohibées des ressources de l’entreprise s’étendent à son équipement personnel (faits d’atteinte à la vie privée ou à l’image d’un tiers, diffamation, injure, discrimination, dénigrement de l’entreprise, l’atteinte à l’image de marque, à sa réputation ou à ses droits). De même, devront être prohibés les téléchargements de contenus portant atteinte au droit de la propriété intellectuelle qui seraient effectués par le salarié via le réseau de l’entreprise avec son équipement personnel. Enfin, il devra être interdit au salarié de se connecter via des réseaux wifi non sécurisés mais également de télécharger des applications ou logiciels non sécurisés sur son équipement personnel. La DSI pourrait préalablement établir une liste d’applications ou d’éditeurs interdits car présentant des risques en termes de sécurité, et mettre à jour cette liste.

L’opposabilité des règles L’opposabilité de ces règles devra être assurée afin de pouvoir engager la responsabilité disciplinaire ou judiciaire du salarié qui ne les aurait pas respectées et qui aurait été responsable du dommage causé à l’entreprise par sa faute. Ces règles peuvent donc figurer dans la charte informatique de l’entreprise, laquelle sera elle-même annexée au règlement intérieur. Les instances  représentatives du personnel devront être consultées.

Pour finir, DataSecurityBreach.fr vous rappelle que dans son arrêt du 12 février 2013, la Cour de cassation a jugé qu’un employeur pouvait contrôler une clé USB d’un employé connectée à son ordinateur professionnel alors même que celle-ci était personnelle et sans la présence de l’employé. En l’espèce, les fichiers contenus n’étaient pas identifiés comme personnels, pas plus que la clé en question. Malheureusement pour l’employé, la clé contenait des informations confidentielles, ce qui a justifié son licenciement. (par Courtois Lebel, pour DataSecurityBreach.fr – PL est membre de deux réseaux de cabinets d’avocats : AEL, réseau européen, et ALFA.)

Chiffrement, Entreprise, Fuite de données, Leak

Impression des documents : un faux sentiment de sécurité ?

Quant à l’exposition des entreprises et des administrations aux risques de pertes de données confidentielles via les documents imprimés. Il repose sur l’étude menée par le cabinet d’analyses Quorcica sur 150 entreprises de plus de 1000 salariés, au Royaume-Uni, en France et en Allemagne. Selon Quocirca, à peine 22 % des entreprises ont mis en place un environnement d’impression sécurisé et 63 % des entreprises déclarent avoir subi des fuites de données dues à des documents imprimés, les entreprises s’exposent à de sérieux problèmes de confidentialité. Le livre blanc de Nuance présente les avantages d’une technologie d’impression sécurisée en matière d’authentification, d’autorisation et de suivi, et explique comment les entreprises peuvent améliorer la sécurité de leurs documents et se conformer aux exigences réglementaires.

Les entreprises qui consolident leur parc d’imprimantes optent très souvent pour des environnements partagés. Inévitablement, le risque de voir des documents tomber entre de mauvaises mains s’accroît. Dans le cadre d’une stratégie de sécurité des impressions, les entreprises doivent pouvoir contrôler l’accès à leurs multifonctions et disposer de fonctionnalités de contrôle et d’audit permettant un suivi des activités par périphérique et par utilisateur. L’efficacité d’une stratégie de protection des informations est toujours limitée à son maillon le plus faible. L’impression de documents demeure une pratique courante pour de nombreuses entreprises, mais celles-ci ne peuvent plus se permettre la moindre négligence en matière de sécurité. Même si l’impression en mode « pull » offre un moyen efficace pour lutter contre la perte de données, elle doit s’inscrire dans une stratégie globale, intégrant formation des utilisateurs, définition de règles et intégration de technologies complémentaires. Ce rapport comporte aussi deux études de cas d’ent solutions Equitrac et SafeCom de Nuance pour mieux protéger leurs impressions.

Cybersécurité

Problème de sécurité pour un espace Google

Un commentaire

Un bug aux potentialités malveillantes découvert dans un espace googlecode.com. Découverte d’un problème de sécurité qui pourrait, entre de mauvaises mains, nuire aux potentiels visiteurs du site GoogleCode.com. Cet espace, dédié aux développeurs, recèle des pages pouvant être exploitées de biens mauvaises façons. Dans l’un de ses espaces, une faille de type XSS. Un Cross Site Scripting qui pourrait permettre, comme le montre dans son émission du mois d’avril de ZATAZWeb.tv, d’afficher un message, diffuser un code malveillant, de mettre en place un espace phishing, …

L’entreprise a été alertée [#1254414323] mais a expliqué que ce problème n’était pas de son ressort (sic!). En attendant une correction, il est fortement conseillé de ne cliquer sur aucun lien renvoyant vers GoogleCode.com. DataSecuritybreach.fr vous conseille de taper, par vous même, l’url dans la barre de navigation de votre butineur préféré.

Argent, Banque, Particuliers

Problème pour la Banque ING

Intéressant bug, ces dernières heures, dans le système Internet de la banque ING. La banque néerlandaise a subi une défaillance majeure dans son système bancaire. Des dizaines de clients ont rapporté que leurs comptes en banque affichaient de mauvais soldes. Certains de ces clients se sont retrouvés avec des débits de plusieurs centaines d’euros. Bilan du « bug », les systèmes ont été coupés. Trop de visiteurs et, ce qui semble être une roue de secours, la coupure pure et simple des connexions à la page d’administration des comptes.

Au moment de l’écriture de cet article, Data Security Breach pouvait lire sur le site d’ING : «  Drukte op Mijn ING. Op dit moment zijn er zeer veel bezoekers op Mijn ING. Hierdoor is het nu helaas niet mogelijk om in te loggen. Probeert u het over enkele minuten nogmaals. Onze excuses voor het ongemak. » traduisez : « À l’heure actuelle, il y a de très nombreux visiteurs qui tente de joindre mon ING (l’espace privé des clients, ndlr DataSecurityBreach.fr). Il n’est malheureusement pas possible de se connecter. S’il vous plaît, essayez de nouveau dans quelques minutes. Nous nous excusons pour la gêne occasionnée. »

D’après les premières constatations, le problème viendrait de la société Rabobank. Certains services ne sont d’ailleurs plus disponibles. Les banques indiquent que cela est dû à un problème technique et pas un « hack ». En attendant, des clients ont cru au jackpot en étant crédités de plusieurs millions d’euros, pendant que d’autres perdaient l’ensemble de leurs économies !

D’après notre expérience, une mise à jour qui a du mal tourner. En France, en 2011, le Crédit Agricole avait connu le même yoyo bancaire. Après avoir été débités deux fois, des clients s’étaient vus crédités de l’argent trop perçu par la banque … deux fois ! Une coquille numérique qui avait prélevé deux fois le même montant lors d’un achat par carte bancaire. La banque avait été rapide à répondre à ses clients et à corriger le « bug ». Sauf que certains clients avaient été correctement remboursés… deux fois.

Cybersécurité, Livres

A lire : les livres du mois de Mars

La rédaction a lu pour vous quatre livres sortis en ce mois de mars, dédiés à la sécurité des données. Des livres qui ont attiré notre attention et qui, nous le pensons, méritent de finir dans votre bibliothèque de part leurs contenus et les informations qu’ils peuvent vous apporter dans votre vie numérique. A noter que nous vous proposons l’accès à ces livres, via Amazon.

Nous commencerons « notre revue de livre » par « Traitement des données personnelles » de Fabrice Mattatia. Un guide juridique indispensable aux éditions Eyrolles. L’entreprise qui protège les données personnelles de ses clients bénéficie d’un avantage concurrentiel, notamment pour son image de marque. Cet excellent écrit revient sur le droit des individus à voir leurs données personnelles protégées, sur les obligations des organisations et des entreprises en la matière, et sur les sanctions encourues en cas de manquement. Cet ouvrage initie à la culture juridique des données personnelles les directeurs des systèmes d’informations, responsables de traitements de données, et plus largement tous les techniciens confrontés à la problématique de la gestion des données personnelles, avec un luxe de détail concernant les différentes jurisprudences. Il présente notamment des cas concrets de cyber-attaques et les réponses pénales ou administratives associées. Ainsi, si une entreprise est victime d’un phishing utilisant une copie de sa page web, que doit-elle faire ? Que risque pénalement une entreprise victime d’un vol de base de données ? Comment faire respecter le droit français par des entreprises étrangères ? Clairement un livre de chevet, documenté, précis et vivant avec son époque.

Chez Lavoisier, un ancien de la Direction de la Surveillance du Territoire (DST), Patrick Le Guyader, revient sur « La protection des données sur Internet« . Un ouvrage qui expose les menaces de confidentialité liées à la cybercriminalité, au niveau des technologies fixes ou mobiles. Avec des exemples, il renseigne sur les législations nationales et internationales et les règles à respecter destinées à protéger l’internaute lorsqu’il navigue sur le Web. Un peu lourd à lire, il faut dire aussi que l’ouvrage propose de très nombreux articles de loi, ce document est parfait dans sa déclinaison des législations nationales et internationales.


<A HREF= »http://ws.amazon.fr/widgets/q?rt=tf_ssw&ServiceVersion=20070822&MarketPlace=FR&ID=V20070822%2FFR%2Fzataznet-21%2F8003%2F27946433-deac-4674-8b98-5864c25e4868&Operation=NoScript »>Widgets Amazon.fr</A>

Dans un autre genre, « Plan de continuité d’activité » chez ENI Editions. Ce livre s’adresse principalement aux Responsables des risques et de la continuité (RPCA, Risks Managers, RSSI), aux Directeurs de Systèmes d’Information (DSI) aux Consultants ou encore aux Chefs de projet sécurité, pour les accompagner dans leur démarche de mise en œuvre d’un Plan de Continuité d’Activité (PCA). 310 pages d’astuces et de bonnes conduites à tenir en cas de panne, piratage, … Très accessible, l’écrit de Bernard CARREZ, Antonio PESSOA et Alexandre PLANCHE propose de nombreux schémas et tableaux.

Nous terminerons notre lecture mensuelle par « Internet sans danger – Le guide du bon sens numérique » édité par Bayard, sous l’impulsion de l’assureur AXA. Un livret qui devrait trouver son public, surtout du côté des parents avec le chapitre « Permettre à son enfant d’acquérir un usage responsable d’Internet« . Le reste du contenu, sous forme de fiches pratiques, n’est pas désagréable à lire, mais recèle quelques erreurs ou « vieilleries » qui pourraient perdre les surfeurs pas vraiment habitué à se sécuriser. A noter quelques sites web classiques ou très « parisiens », en édulcorant totalement ceux qui sont sur le terrain depuis des années, comme zataz.com, qui côté aides aux particuliers et entreprises a fait ses preuves depuis plus de 16 ans (et sans rien à vendre, ndlr datasecuritybreach.fr). Le guide s’inscrit dans une démarche de prévention des risques numériques initiée par AXA et AXA Prévention depuis 2010. Durant l’été 2011 un projet de sensibilisation et d’échange avait déjà impliqué les 15 000 collaborateurs d’AXA. 500 collaborateurs avaient ensuite partagé leurs témoignages et expériences sur le bon usage des médias et des réseaux sociaux à travers une plateforme collaborative en ligne, puis participé à l’écriture de 20 conseils indispensables pour prévenir les risques numériques. Un premier Guide du bon sens numérique avait alors été produit, d’abord pour l’interne puis dès décembre 2011 en téléchargement gratuit pour tous sur le site d’AXA Prévention.

Chiffrement, cryptage

Deux solutions de Prim’X inscrites au catalogue produits de l’OTAN

Deux solutions de Prim’X inscrites au catalogue produits de l’OTAN Zed! et ZoneCentral de Prim’X ont obtenu l’approbation du laboratoire d’évaluation de produits de l’OTAN. Prim’X, éditeur de solutions de chiffrement pour la sécurité des données, annonce que ses solutions Zed! et ZoneCentral ont passé avec succès l’évaluation opérationnelle (OpEval) du laboratoire d’évaluation de produits de l’OTAN. Cela leur permet de figurer dès à présent au Nato Information Assurance Product Catalog avec le statut « green ».

« C’est avec une grande satisfaction que nous avons appris que nos produits avaient reçu une évaluation positive de la part de l’OTAN », déclare José Lavancier, Directeur des projets de Certification de Prim’X. « Cela vient récompenser l’implication de nos équipes et la qualité de leur travail pour fournir des solutions fiables, efficaces, et répondant au plus hautes exigences en matière de sécurité. »

ZoneCentral est un logiciel de chiffrement des données qui en réserve l’accès aux seuls utilisateurs autorisés et identifiés. Sans contrainte d’organisation, il protège les fichiers et les dossiers là où ils résident, sur un poste de travail ou sur un serveur de données. Zed! permet d’utiliser des conteneurs chiffrés pour protéger les transports de fichiers indépendamment du canal utilisé (email, support amovible, file transfert, etc.). Les conteneurs .zed sont comparables à une « valise diplomatique » contenant des fichiers sensibles que seuls les destinataires identifiés ont le droit de lire.

Après avoir reçu l’agrément de l’ANSSI, le succès de cette évaluation opérationnelle permet au NIATC (Nato Information Assurance Technical Center) d’attester de l’adéquation de ces deux produits aux besoins de l’OTAN et de leur interopérabilité avec les systèmes de l’Alliance pour la protection d’informations jusqu’au niveau Diffusion Restreinte OTAN.

« Soumettre nos solutions aux évaluations des organismes de certification les plus rigoureux est un gage de qualité supplémentaire qui démontre leur robustesse à nos clients, partenaires et l’ensemble de l’écosystème de la sécurité informatique », conclut Michel Souque, Président de Prim’X. C’est cette qualité de développement qui a fait notre succès et que nous comptons poursuivre dans l’avenir. »

Prim’X peut s’enorgueillir de quatre certifications récentes et une cinquième qui vient d’être lancée auprès de l’ANSSI pour ZonePoint 3.0, logiciel qui assure le chiffrement des documents déposés dans les bibliothèques SharePoint apportant ainsi la couche de confidentialité indispensable à tout projet de partage de document ou d’externalisation des données d’entreprise.

Cybersécurité

370 milliads de dollars pour le futur cloud Chinois

Dans un nouveau rapport, BroadGroup propose pour la toute première fois un état des lieux des investissements dans le Cloud et des projets de développement de datacenters en Chine. DataSecurityBreach.fr a pu lire qu’à l’issue de recherches qualitatives et d’une centaine d’entretiens individuels, ce rapport révèle un programme de très grande ampleur portant sur un investissement total de 370 milliards $  et le doublement de la capacité des datacenters d’ici à 2016.
Le rapport, intitulé ‘China Cloud, Challenges and Opportunities in China’s Cloud Datacenter Deployment’ (Enjeux et opportunités de déploiement de datacenters pour le Cloud en Chine), décrit la stratégie mise en œuvre pour éliminer la dépendance vis-à-vis des fournisseurs étrangers de technologie et réunir les conditions d’une croissance économique durable pour la population chinoise d’1,3 milliard d’habitants. Le 12ème plan quinquennal du gouvernement chinois retient l’attention du monde entier pour la part belle qu’il fait aux investissements de création de logiciels, d’applications et de plates-formes Cloud, soutenus par un programme de déploiement massif de datacenters Cloud.
Le rapport explique comment le plan gouvernemental initial portant sur des déploiements Cloud dans 5 villes continue de s’élargir et couvre à présent 15 provinces au moins, avec des financements de projets conséquents. 109 projets ont été identifiés au total, la plupart impliquant la construction de nouveaux datacenters Cloud. Le rapport détaille les plans d’investissements, province par province, essentiellement concentrés dans le nord de la Chine, avec 88 % de l’investissement total partagés entre les cinq premières provinces de la liste.
Les profils des principaux acteurs des projets sont présentés dans le rapport, ainsi que les résultats d’analyses SWOT des segments clés de l’industrie des datacenters, à savoir les datacenters indépendants des opérateurs (carrier neutral), les datacenters Internet, et les trois géants des télécommunications en Chine : China Mobile, China Unicom et China Mobile.
Les projets Cloud sont détaillés par ville et dans le cadre d’une analyse régionale, avec taxinomie des projets par localisation géographique. Des cartes de la distribution des projets Cloud sont fournies pour illustrer le propos selon différents angles : par montant de l’investissement (en RMB), par dimensions (m²) et par nombre de projets.
Le secteur du datacenter est confronté à des enjeux immenses. Si la réussite future des projets Cloud en Chine dépendra surtout des business models et de la demande, le rapport nous explique que de nombreux obstacles politiques, commerciaux et techniques pèsent déjà sur les questions de disponibilité de la bande passante, d’accès réseau et d’alimentation électrique.
Certes le marché est porteur d’opportunités, mais seule la politique du gouvernement pourra apporter des changements favorables aux règles d’investissement et de participation des étrangers au marché. Le rapport fait état de théories toujours en circulation concernant des solutions potentielles risquant d’être sanctionnées.
Ce rapport est le premier à ce jour à proposer une analyse aussi complète de la stratégie Cloud et des déploiements de datacenters en Chine.
A l’occasion des Datacentres Europe 2013 organisés par BroadGroup les 29 et 30 mai 2013 à Nice, de nombreux représentants de l’industrie, d’utilisateurs de différents marchés verticaux et d’administrations gouvernementales du monde entier seront présents.
Banque, Cybersécurité, Piratage

Chine versus Corée du Sud ? Une banque tranche

La Corée du Sud est responsable du piratage ayant causé l’arrêt du réseau, et non la Chine. C’est ce qu’indique la presse Chinoise, depuis quelques heures. A l’image de CRJ Online, le message passé par Bjeing est assez clair. La Chine n’est pas responsable de l’attaque informatique à l’encontre de la Corée du Sud. « Le groupe formé par divers services sud-coréens, explique le communiqué de presse reçu à la rédaction de Data Security Breach, chargé d’enquêter sur la coupure du réseau internet de certains médias et banques, a indiqué le 22 mars que le code informatique malveillant ayant provoqué ces coupures était venu d’ordinateurs présents au sein de la banque sud-coréenne, et non d’ordinateurs de Chine. » Pour parfaire sa démonstration du « C’est pas moi, c’est quelqu’un d’autre », la Chine précise que ce code est venu d’une adresse IP privée.

Banque, Entreprise

Les sénateurs Français rejettent une sécurité bancaire

6 commentaires

Les Sénateurs Français viennent de rejeter un amendement qui devait imposer une sécurité efficace lors des transactions sur Internet. Les sénateurs et sénatrice M. BOCQUET, Mme BEAUFILS, M. FOUCAUD et les membres du Groupe communiste républicain et citoyen ont proposé un amendement qui aurait pu s’inclure dans le Projet de loi « Séparation et régulation des activités bancaires« .

Les trois sages proposaient que soit rajoutée, à l’article 18, une obligation de sécurisation de nos transactions bancaires. Le texte expliquait que cet amendement tend à généraliser l’adoption d’un dispositif de sécurisation des transactions de type 3D Secure, en particulier pour les paiements sur internet. 3D Secure est connu et reconnu. Alors que l’équipement de tous les professionnels en 3D Secure a permis au Royaume-Uni une baisse de 52 % de la fraude en 4 ans, la France est très en retard. L’équipement des commerçants ne progresse que lentement : 24 % des transactions fin 2012 contre 15 % en 2010. Seule la moitié des opérateurs l’ont adopté, mais il ne s’agit pas des principaux : la plupart des grands commerçants en ligne (Amazon, Fnac ou PriceMinister par exemple) se refusent à ajouter une étape au cours de la vente. « Cette situation n’est plus admissible, expliquent les 3 Sénateurs, surtout lorsqu’on constate l’efficacité de la sécurisation. » Les sites de jeux en ligne, qui l’ont adoptée, ont fait baisser leur taux de fraude de 59 % en 3 ans.

Un système d’authentification du client, utilisé lors de toute opération de paiement par téléphone ou par internet entre un particulier et un professionnel, est mis en place au plus tard le 1er janvier 2014. Ce système est commun à tous les professionnels, d’application obligatoire et basé sur un code non réutilisable. Un comité composé à parité de représentants des organismes bancaires, des professionnels de la vente à distance et des consommateurs est chargé de déterminer les modalités techniques de mise en place de ce dispositif. L’Observatoire national de la délinquance et des réponses pénales a publié en janvier 2013 un rapport accablant sur la hausse des fraudes à la carte bancaire sur internet. Fin 2012, un autre organisme, l’Observatoire de la sécurité des cartes de paiement, indiquait que le commerce à distance représentait 61 % de la fraude pour seulement  8,4 % des transactions. Il est donc crucial de prendre des mesures contre ce phénomène qui met en danger les consommateurs, mais aussi leur confiance dans le commerce en ligne.

Avec autant d’argument, les Sénateurs avaient de quoi comprendre l’importance de l’amendement. Devinez ce qu’ils ont décidé de faire ? Ils ont voté contre !

Android, Cybersécurité, Entreprise, Logiciels, Piratage, Smartphone, Virus

Malware NotCompatible : le retour

En mai 2012, Data Security Breach revenait sur l’annonce de Lookout avec l’apparition de NotCompatible, un programme malveillant diffusé par des sites web piratés. Une fois installé, NotCompatible fait office de serveur proxy, permettant à l’appareil qui l’héberge d’envoyer et de recevoir des données relatives au réseau. Pour la première fois, des sites web piratés ont servi de tremplin pour cibler et contaminer des appareils mobiles spécifiques. Depuis les premiers cas mis au jour, nous avons détecté une activité de NotCompatible faible à modérée par moments, avec des pics. La situation est toute autre depuis plusieurs jours : le réseau de surveillance de Lookout concernant les menaces mobiles (Mobile Threat Network) a détecté une hausse soudaine du nombre de cas qui atteint 20 000 par jour entre dimanche et lundi dernier.

Les nouveautés

NotCompatible n’a guère changé sur le plan de ses capacités techniques et de sa conception depuis les premiers cas décelés, en mai 2012. C’est en revanche son mode de diffusion qui diffère désormais : le programme circule principalement via des messages spam envoyés par des comptes de messagerie Email piratés.

Android dans le collimateur

Les premières campagnes d’infection de NotCompatible visaient spécifiquement les utilisateurs d’appareils sous Android, en repérant la présence d’un en-tête (header) contenant le mot « Android » dans le navigateur : sa détection commandait alors le téléchargement du programme malveillant. Désormais, les liens contenus dans le spam en question utilisent une tactique semblable. La tactique est similaire dans les nouveaux cas. En cliquant sur un lien présent dans un spam, sous Windows, iOS et OSX, l’utilisateur est redirigé vers un article prétendument publié sur Fox News relatif à la perte de poids.

Si l’on clique sur le lien à partir d’un appareil sous Android, le navigateur redirige vers un « site de sécurité pour Android », en vue d’une mise à jour. En fonction de sa version d’Android et du navigateur, l’utilisateur peut être poussé à effectuer un téléchargement, à son insu dans un grand nombre de cas. DataSecurityBreach.fr vous explique souvent ce tour de passe-passe via des kits pirates. Le programme se glissera alors dans le dossier des téléchargements. Dans le cas de Chrome, l’utilisateur verra s’afficher une demande de confirmation du téléchargement.

C’est le cas pour une écrasante majorité des cas détectés lors du récent pic d’activité. Le programme a été installé dans seulement 2 % des cas. Comment s’en prémunir ?  Evitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam.

·        Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.

·        Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement.

·        Téléchargez une application de protection mobile qui passe au crible les contenus à la recherche de programmes malveillants éventuels.

Cybersécurité, Entreprise, Hacking, Particuliers

Laisserez-vous disparaitre la protection de vos données ?

La commission des « affaires juridiques » (JURI), menée par Marielle Gallo (France – EPP), vient de voter son avis sur la nouvelle législation relative à la protection des données proposée par la Commission européenne. Avec ce dernier vote pour avis, légèrement moins catastrophique que les précédents, le Parlement européen affaiblit une fois encore la protection des données personnelles des citoyens européens. Les membres des quatre commissions ayant exprimé leur avis ont choisi de se ranger aux côtés des multinationales américaines qui, comme Facebook et Google, collectent, traitent et vendent des données concernant nos vies quotidiennes. La mobilisation citoyenne commence doucement à porter ses fruits, mais doit encore s’intensifier avant le vote crucial de la commission principale « libertés civiles » (LIBE) – actuellement prévu pour les 24-25 April, mais probablement reporté.  ***

Une fois encore, Marielle Gallo (France – PPE) a choisi de protéger les intérêts de l’industrie plutôt que les droits des citoyens, et a conduit la commission « affaires juridiques » (JURI) à voter un avis appelant à affaiblir la protection de la vie privée des citoyens dans la proposition de règlement de la Commission européenne. Des amendements déposés par Marielle Gallo et ses collègues conservateurs (soutenus par les membres du groupe libéral (ALDE)) proposent par exemple d’autoriser les entreprises à traiter les données personnelles des citoyens et à les transmettre à des tiers qui pourront ensuite en faire ce qu’ils voudront, dès lors qu’ils invoqueront un « intérêt légitime » [1]. D’autres amendements adoptés aujourd’hui introduisent toutes sortes de failles juridiques, et invitent par exemple le Parlement européen à autoriser le traitement des données personnelles même lorsque l’objectif de ce traitement est incompatible avec celui décrit lors de la collecte des données [2].

Ainsi, ce vote s’inscrit dans la lignée de ceux des commissions « consommateurs » (IMCO) de janvier [3], et de ceux des commissions « industrie » (ITRE) et « emploi » (EMPL) de février [4], qui reprenaient un grand nombre des demandes des lobbies de l’industrie, et menaçaient les protections proposées par la Commission européenne.

Cependant, ce vote, au même titre que les trois précédents, n’a pas de portée législative. Le prochain vote à en avoir un sera celui de la commission principale « libertés civiles » (LIBE), prévu pour fin avril mais probablement reporté, et qui déterminera réellement si l’Union européenne choisira de laisser à ses citoyens le contrôle de leurs données, ou si elle choisira de copier le modèle américain dans lequel les sociétés peuvent collecter, traiter, stocker et vendre les données personnelles des citoyens sans aucune contrainte.

Le vote d’aujourd’hui a pourtant été légèrement moins catastrophique que les précédents, et démontre que les membres du Parlement européen sont sensibles à la mobilisation citoyenne et à la pression médiatique, et qu’ils protégeraient notre droit à la vie privée si nous les y poussions. Avant le vote de la commission LIBE, les citoyens doivent donc renforcer la mobilisation et continuer à contacter leurs députés européens.

« Les enjeux cruciaux liés à notre vie privée et à l’économie numérique se joueront au sein de la commission principale « libertés civiles ». Les citoyens peuvent mettre leurs élus face à leurs responsabilités en se mobilisant et en exigeant que Facebook, Google et les autres géants du Net n’aient pas un accès « Open Bar » à nos données personnelles. Nous devons garder le contrôle de nos données, afin de garder le contrôle de notre vie en ligne. Tout se jouera à partir de maintenant et jusqu’aux élections européennes. » déclare Jérémie Zimmermann, porte-parole de l’association La Quadrature du Net.

* Références * 1. Am. 24 déposé par Marielle Gallo (France – EPP)

2. Am. 144 déposé par Klaus-Heiner Lehne (Allemagne – EPP)

3. https://www.laquadrature.net/fr/vie-privee-les-entreprises-us-gagnent-en-commission-consommateurs-au-parlement-europeen

4. https://www.laquadrature.net/fr/la-vie-privee-des-citoyens-menacee-dans-les-commissions-parlementaires-europeennes

Cybersécurité, Entreprise, Hacking, Logiciels, Piratage

Certification DSD du gouvernement australien

Good for Enterprise aide les départements du gouvernement à minimiser les risques liés à la cyber-sécurité puis à tirer un meilleur parti de leurs appareils iOS.

Good Technology™, le leader des solutions sécurisées de mobilité d’entreprise, annonce aujourd’hui que Good for Enterprise™ (GFE) est devenue la première solution de sécurité mobile utilisant un conteneur à être certifiée par l’organisme Defence Signals Directorate (DSD) du gouvernement australien. Cette certification, DSD Cryptographic Evaluation (DCE) certification1, permettra aux appareils iOS sécurisés avec Good for Enterprise de communiquer et de stocker des informations classifiés jusqu’au niveau ‘Protected’.

« La certification du niveau de sécurité ‘protected’ est le Saint Graal », a commenté à data security Breach Kevin Noonan, Ovum Public Sector Research Director. « A travers cette large palette de fonctionnalités qu’offre Good, telles que l’accès aux e-mails, au calendrier, aux contacts, à l’intranet et le visionnage des documents, il sera beaucoup plus facile de répondre à la majorité des besoins des professionnels dans la plupart des agences gouvernementales australiennes. »

La DSD est une agence de renseignements du Ministère de la Défense australien. La DSD fournit des recommandations et des services de sécurité principalement aux agences fédérales et gouvernementales australiennes. La DSD travaille également en étroite collaboration avec les industriels pour développer et déployer des produits cryptographiques sécurisés.

« En tant que ministère rattaché au CommonWealth, nous avons des exigences élevées concernant la protection et la sécurisation des informations du gouvernement » a declaré à Datasecuritybreach.fr Al Blake, Chief Information Officer, au Département d’Etat du Développement Durable, de l’Environnement, de l’Eau, de la Population et des Collectivités. « En déployant Good, avec son conteneur chiffré, cela permet aux utilisateurs finaux d’utiliser l’appareil mobile de leur choix, ce qui minimise les frais de gestion des terminaux tout en ayant le niveau de sécurité élevé dont nous avons besoin pour les informations gouvernementales. Le déploiement a été un énorme succès et a permis d’augmenter considérablement la connectivité du personnel et la flexibilité au travail. »

En plus de la solution GFE récemment certifiée, les solutions de Good fournissent une plateforme de mobilité complète au gouvernement. Bien que DSD l’ait certifié pour iOS, GFE prend également en charge Android et Windows Mobile. Les ministères australiens peuvent également bénéficier du meilleur des applications développées par des éditeurs tiers, comme des éditeurs de documents, SharePoint, toutes sécurisées par la plateforme de développement d’applications de Good, Good Dynamics.

En outre, Good Dynamics permet aux utilisateurs de créer et de déployer leurs propres applications sous iOS, enrichissant ainsi l’expérience utilisateur et améliorant la productivité tout en assurant la sécurité des données.

La certification par la DSD du conteneur sécurisé de Good Technology permet aux ministères d’utiliser de manière bien plus productive leurs terminaux iOS, sans faire de compromis sur la cyber-sécurité. La principale exigence pour les organisations du secteur public devrait être de minimiser le risque de compromission des données, telles que des fuites depuis des terminaux ou des réseaux.

La solution de Good Technology de gestion des périphériques mobiles (MDM) offre non seulement une solution complète sécurisé de bout en bout, mais fournit également aux administrateurs la possibilité de surveiller, de gérer et d’aider les utilisateurs d’iOS. Le support technique peut rapidement résoudre les problèmes, et donne une vision complète de tous les appareils iOS déployés au sein d’un département grâce au tableau de bord. A tout moment et de n’importe où, les administrateurs peuvent protéger les réseaux et les données en bloquant l’accès à partir des appareils ‘jailbreakés’, et en effaçant à distance les smartphone et tablettes volés ou perdus.

 

1 : Common Criteria (CC) certification is ongoing

Cybersécurité, Entreprise, Logiciels, Particuliers

Smartphone quasi indestructible

La perte de données peut aussi se dérouler après la chute de son portable. Imaginez, sur les pistes, et … paf! … e portable termine sa course contre un sapin. Cet hiver, la neige était au rendez-vous et bon nombre d’utilisateurs de smatphones sont encore sur les pistes à profiter du sport de glisse préféré des français. Avec la croissance effrénée des nouvelles technologies, rester connecter même sur les pistes, devient un jeu d’enfant. Mais qu’en est-il des chutes à grande vitesse lorsque son smartphone dernier cri est dans la poche de sa combinaison ? Températures extrêmes, chutes ou encore neige qui s’insinue partout, beaucoup de smartphones ne tiennent pas le choc face aux conditions hivernales. Caterpillar lève le voile sur son nouveau mobile idéal pour la saison du ski : le Cat B15.

A toutes épreuves

• Protéger des chutes : L’appareil est protégé par de l’aluminium anodisé argent et un caoutchouc absorbant les chocs.

• Waterproof : Le Cat B15 est certifié IP67. Ce standard industriel signifie que le dispositif est étanche, capable de résister à l’immersion dans un mètre d’eau pendant 30 minutes. Pas de problème d’utilisation lorsque les mains sont mouillées.

• Résistance aux températures extrêmes : Le Cat B15 fonctionne par des températures allant de -20º C à +55º C. Il est donc protégé de la neige mais également du sable pour les vacances d’été !

Cybersécurité, Entreprise, Logiciels, Particuliers, Piratage, Virus

Qui connaît son ennemi comme il se connaît…

Cette citation de Sun Tzu, issue de l’Art de la Guerre et écrite dès le Vème siècle avant Jésus-Christ, continue d’inspirer nombre de stratégies militaires ou commerciales, mais ne vaut que si l’on considère l’ensemble du constat : « Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux. Que dire de ceux qui ne se connaissent pas plus que leurs ennemis ? ». Par Eric Soares, Vice-président France de Symantec pour Data Security Breach.

Les entreprises et les gouvernements ont-ils conscience de la multiplication des cyber-menaces ? Les plus connues d’entre elles  ne cessent de baisser : seules 4 % d’entre elles sont des virus ; le taux de spam a baissé de plus de 30 % sur les douze dernier mois. Ces « vieilles » menaces sont connues des individus, des entreprises et des gouvernements, qui se sont, au cours des années équipés pour les contrer. Néanmoins, les attaques malveillantes avaient augmenté de 81 % en 2011, les attaques web de 36 % et le nombre de variantes uniques de code malveillant atteignait les 403 millions, des tendances qui n’ont cessé de s’affirmer depuis, avec le succès dont on entend trop souvent parler hélas. Les entreprises et gouvernements doivent en outre faire face à l’augmentation des attaques ciblées, qui touchent non seulement les dirigeants, mais également les différentes fonctions de l’organisation ouvertes sur l’extérieur. Il convient également de tenir compte des attaques visant la production-même des entreprises ou leur fonctionnement, telles que le désormais très connu Stuxnet ou la plus discrète Narilam, qui modifiait des bases de données comptables. Enfin, à ces menaces externes viennent s’ajouter les risques internes : selon une étude récente menée avec le Ponemon Institute, 60 % des employés ont déclaré prendre des données appartenant à leur employeur lorsqu’ils le quittent.

Qu’elles soient internes ou externes, les entreprises tout comme les gouvernements doivent non seulement avoir conscience mais également la connaissance des cyber-menaces qu’elles doivent affronter.

Le périmètre des risques doit également être réévalué. Il y a encore quelques années, les systèmes d’information étaient limités aux ordinateurs et serveurs se trouvant dans les murs des organisations. La moitié de leurs données se trouvent désormais en dehors de leur pare-feu. Aujourd’hui le développement du cloud et celui de la mobilité, séparément et conjointement, sont certes porteurs de nouvelles opportunités pour les entreprises et les gouvernements, mais signifient également  une multiplication des points d’entrée pour les menaces et nécessite une approche in-extenso de la sécurité.  Celle-ci est en effet l’une des premières préoccupations des entreprises qui transfèrent tout ou partie de leur capital informationnel vers le cloud. C’est également une opportunité majeure de sécurité accrue… à condition de s’être assuré que ce même cloud, qu’il soit privé, public ou hybride, répond aux exigences de sécurité et aux obligations réglementaires les plus rigoureuses.

Le développement des terminaux mobiles à usage professionnel n’est évidemment pas un phénomène que l’on peut contrer, mais qu’il convient d’accompagner, là encore, afin de protéger au mieux les informations de l’entreprise. Aujourd’hui, 23 % des collaborateurs accèdent aux informations de l’entreprise via un appareil mobile. Il s’avère donc nécessaire de renforcer les politiques de sécurité, dont les niveaux doivent varier selon le propriétaire du terminal, et bien sûr de son utilisation.

Les organisations doivent donc tenir compte de ces nouveaux développements dans leur approche de la sécurité de leurs données, ou d’intégrer cette dernière dès la phase initiale de leurs projets de cloud et de mobilité la dimension sécurité. Mais est-ce toujours le cas ?

Les défis à relever sont particulièrement nombreux pour être « cyber-ready » et assurer la cyber résilience d’une organisation. Le risque 0 n’existe certes pas, mais il convient  d’apprendre et de comprendre la multiplication et les différents types de cyber-menaces ainsi que les nouveaux périmètres à considérer, pour assurer une protection optimale et maximale des informations.

Cybersécurité, Entreprise, Hacking, Logiciels, Particuliers, Piratage, Virus

Astuces pour protéger les données de votre entreprise

Soyez attentifs ! Quelques astuces pour garder les données de votre entreprise à l’abri de l’intérêt de personnes mal intentionnées. Par Wieland Alge, pour Data Security Breach, Vice président Europe – Barracuda Networks.

Pour les informations importantes, n’utilisez que des sources que vous savez être sûres. De manière générale, ne faites pas confiance à un tiers si vous n’avez pas été l’auteur du premier contact. Si votre banque vous téléphone et vous demande des informations spécifiques, évitez de les donner. À la place, il vaut mieux que vous contactiez vous-même votre banque en utilisant les numéros de contact que vous savez être sûrs. Ils sont généralement inscrits au dos de votre carte bancaire ou sur le site internet de votre banque.

Ayez le même réflexe avec vos emails.

Au lieu d’utiliser les URL contenues dans vos emails pour vous assurer qu’elles renvoient bien aux bonnes adresses, il est préférable de ne pas cliquer sur ces liens, car il est toujours possible de tomber dans un piège. Les emails provenant de Paypal ou d’organismes similaires doivent être ignorés. À la place, rendez-vous sur le site internet de l’organisme en question en tapant manuellement l’URL dans votre navigateur, puis connectez-vous à votre compte. S’il y a réellement quelque chose que vous devez savoir, cela sera très clairement indiqué après votre connexion.

Mettez au point une technique d’interrogatoire.

La mise en place de ce genre de technique au sein d’une entreprise est contre nature et peut demander des efforts, mais elle permet également de stopper une grande partie des attaques et de résoudre certains problèmes organisationnels. Il faut régulièrement demander à tous les employés, nouveaux comme anciens, de présenter un badge lorsqu’ils souhaitent accéder à une zone sensible ou à des données importantes. Ils doivent savoir qu’ils sont responsables de leur badge et de l’utilisation qu’ils en font. Cette technique permet également de stopper les employés qui s’accordent plus de permissions sans y être autorisés. Félicitez publiquement ceux qui signalent les problèmes éventuels et qui prennent des mesures pour les corriger, et récompensez-les si possible.

Gardez des rapports d’entrée et de sortie pour les zones sensibles.

Assurez-vous que les employés comprennent que ce n’est pas parce qu’une personne est haut placée dans la hiérarchie de l’entreprise qu’elle peut transgresser les règles.

Méfiez-vous de ceux qui s’intéressent trop à votre entreprise.

si vous les avez rencontrés dans le bar ou le café du coin : ce ne sont probablement que des commerciaux, mais il pourrait aussi s’agir d’escrocs. Vous ne perdrez généralement pas grand-chose à éviter ces deux types de personnes.

Ayez conscience que la technologie et la nature humaine ont leurs limites.

Malheureusement, les configurations techniques en matière de sécurité ont toujours des limites. Une fois que vous l’aurez compris, cela pourra vous aider à prévenir les attaques. Dans le meilleur des cas, les paramètres ne sont juste pas assez suffisants, et même avec des programmes adéquats et des contrôles d’accès, la sécurité est à la merci de l’utilisateur : intermédiaire à la fois le plus fort et le plus faible.

Quelques conseils de Datasecuritybreach.fr pour les entreprises afin d’éviter les vols de données sur les différents réseaux de communication :

Téléphone :

1.   Ne donnez jamais à personne vos mots de passe de sécurité.

2.   Ne divulguez jamais les informations sensibles de votre entreprise, à moins que ce ne soit à une personne que vous connaissez dans la vraie vie et qu’il ou elle ait une autorisation. Même pour les appels des personnes qui déclarent vouloir joindre le patron de votre entreprise, il vous faut vérifier l’identité de l’appelant avec les protocoles de sécurité de l’entreprise.

3.   Donnez l’alerte si vous entendez un de vos collègues transgresser les règles précédentes.

Internet :

4.   Soyez toujours prudents avec les URL des pages internet et des emails. Avant de cliquer sur un lien, passez votre souris dessus pour vous assurer qu’il renvoie à la bonne adresse, ou tapez l’URL manuellement dans votre navigateur.

5.   Soyez vigilants face aux emails inhabituels dans votre boite de réception. Si vous y répondez, revérifiez le contenu de votre email et de votre liste de destinataires CC.

En personne :

6.   Demandez toujours aux employés de présenter leur badge d’identité lorsqu’ils entrent sur le lieu de travail.

7.   Utilisez des badges d’identité temporaires pour les visiteurs, les amis, le personnel de service et de distribution ; et raccompagnez-les à chaque fois.

8.   Formez vos employés afin qu’ils aient les connaissances appropriées en matière de sécurité, et plus particulièrement ceux qui sont les cibles les plus faciles à atteindre comme le personnel de l’accueil, du service client ou du service commercial.

Cybersécurité, Entreprise, Particuliers

Rentabiliweb atteint le plus haut degre de securite en matiere de transactions bancaires

Be2bill, solution spécialisée dans le paiement en ligne éditée par Rentabiliweb Europe, est le premier établissement acquéreur en France à être certifié « Merchant Agent » et la troisième société française à se voir délivrer cette certification de tiers de confiance par VISA, premier réseau mondial. En effet, les réseaux bancaires imposent désormais aux commerçants, pour continuer à garantir leurs transactions, de travailler exclusivement avec des opérateurs agréés comme Be2bill.

Par ailleurs, Rentabiliweb Europe annonce le renouvellement et l’extension de sa certification PCI DSS (Payment Card Industry Data Security Standard) au niveau 1 Service Provider, soit le plus haut niveau d’exigence en matière de sécurité informatique sur le traitement des données bancaires. Largement répandu dans les pays anglo-saxons et de plus en plus en France, le standard PCI DSS est avant tout une mesure de protection des données bancaires pour tous les sites marchands et fournisseurs de solutions de paiement qui traitent, transportent et stockent des données de cartes bancaires.

Etre conforme au standard PCI DSS, ou passer par un prestataire de services de paiement (PSP) certifié, affranchit le marchand de sa responsabilité sur le traitement des données bancaires, notamment en cas de point de compromission (POC) avéré. Dans un environnement PCI DSS, le marchand ne risque plus de subir les pénalités, souvent très lourdes, de la part des réseaux interbancaires (VISA, Mastercard, GCB).

Obtenir la certification PCI DSS est un processus lourd, contraignant et chronophage pour les commerçants. Grâce à la solution de paiement Be2bill, les marchands confient la sécurisation de leurs transactions à un tiers de confiance certifié au plus haut niveau. Be2bill gère en effet 100% du processus de traitement des données bancaires, en assume l’entière responsabilité et permet à ses clients de se consacrer entièrement au développement de leur activité.

En tant que PCI DSS service provider niveau 1, Rentabiliweb Europe se soumet à un audit de conformité rigoureux effectué par un organisme indépendant et reconnu, le Qualified Security Assessor (QSA). Rentabiliweb s’appuie sur une référence française en matière d’audit de sécurité informatique : Hervé Schauer Consultants. Les audits de contrôle seront trimestriels et porteront sur la fiabilité du réseau, l’analyse des règles de configuration, l’absence de failles de sécurité, etc. Ils seront réalisés par un Approved Scanning Vendors : Qualys.

L’extension du certificat PCI DSS au plus haut niveau de sécurité, au-delà des bénéfices qu’elle apporte au groupe et à ses clients, est une étape indispensable pour Rentabiliweb dans la préparation de son dossier d’établissement de crédit. « Depuis 10 ans nous travaillons non seulement à la mise en conformité, mais également à la définition de nouveaux standards de sécurisation des datas. La certification PCI DSS, qui a porté sur 12 exigences et plus de 120 points de contrôle, récompense les investissements humains et techniques que nous avons massivement déployés au cours des 20 derniers mois précise à datasecuritybreach.fr Romain Pera, Directeur technique de Rentabiliweb Europe. « Je m’étais engagé à amener le groupe Rentabiliweb au plus niveau technique en termes de traitement de données sensibles, afin de servir nos clients e-commerçants les plus exigeants. C’est chose faite.» indique à Data Security Breach Jean-Baptiste Descroix-Vernier, président du groupe Rentabiliweb.

*La norme PCI DSS est prescrite par les principaux fournisseurs de cartes de paiement. Elle détermine les règles et processus à respecter par les entreprises qui traitent, transportent et stockent des données de cartes bancaires.

Cybersécurité, Entreprise, Particuliers

Aux calendes grecques la protection des données

Après les Commission du Marché intérieur et de l’Industrie, c’était au tour de la Commission des Affaires juridiques de se prononcer sur la proposition de la Commission européenne. En adoptant aujourd’hui l’avis Gallo (14 voix pour, 6 contre, 1 abstention), la Commission des Affaires juridiques a vidé encore un peu plus de son contenu la proposition de la Commission européenne visant à renforcer la protection des données personnelles. L’eurodéputée socialiste Françoise Castex dénonce, auprès de Datasecuritybreach.fr, le compromis de l’UDI Marielle Gallo avec les ultralibéraux: « le résultat de cette alliance est déplorable pour le consommateur et fait le jeu des géants Google et autres Facebook. Marielle Gallo, qui se prétend depuis des années le héraut de l’identité culturelle française, a sacrifié les données personnelles des citoyens européens sur l’autel des multinationales américaines (…) Comment peut-on être arc-bouté sur les droits de propriété intellectuelle et être aussi hermétique au droit à disposer de ses données personnelles ? Mme Gallo n’aime décidemment pas les internautes!« , ironise-t-elle.

Pour le Vice-présidente de la Commission des Affaires juridiques: « Nous devons renforcer les droits des citoyens si nous voulons restaurer leur confiance dans les entreprises sur internet. La droite, qui avait soutenu la résolution du Parlement du 6 juillet 2011 sur le renforcement de la protection des données, à cédé aux sirènes des lobbyistes et fait marche arrière! Force est de constater qu’elle n’a pas eu le courage d’imposer les règles claires et protectrices qu’elle appelait de ses vœux il y a à peine deux ans. C’est déplorable!« 

Pour l’eurodéputée socialiste, « Nous devons exiger un consentement explicite, préalable et informé de l’utilisateur pour chaque acte de collecte, de traitement ou de vente de ses données. Il nous faut par ailleurs protéger les citoyens de toute forme de discrimination résultant des mesures de profilage en encadrant strictement ce dernier. Pour ce faire, nous devons sanctionner lourdement les entreprises dans les cas d’abus et les mettre devant leurs responsabilités en cas de négligences conduisant à la fuite de données personnelles. » Avant de conclure: « Garder la maîtrise de ses données personnelles doit être un droit fondamental. »

Cybersécurité, Entreprise, Piratage

Bouleversements sécuritaires en 2013 ?

L’Internet que nous connaissons existera-t-il encore dans quelques années ? Est-ce un bouleversement sur « Qui contrôle Internet » ? La découverte d’une nouvelle épidémie de malware Mac ? Une attaque de type DDoS des Smart TV? Peu importe ce que nous réserve 2013, il est certain que ce sera une année charnière. Voici ce que le F-Secure Labs prévoit à DataSecurityBreach.fr pour l’année à venir.

1.       Et si c’était la fin d’Internet tel que nous le connaissons ? « Selon les échanges survenus lors de la World Conference on International Telecommunications (qui a eu lieu en décembre à Dubaï), 2013 devrait être une année riche en évènements », déclare Sean Sullivan, Security Advisor chez F-Secure Labs à Data Security Breach. Cette conférence pourrait avoir un impact majeur sur Internet tel que nous le connaissons aujourd’hui: « Internet pourrait se morceler en une série de petits Internets », avance Sean Sullivan. « Il est aussi possible qu’Internet devienne un espace financé par des grands groupes de fournisseurs de contenus, tels que Facebook, Google ou Youtube. Et que ceux-ci imposeraient des taxes aux internautes souhaitant accéder aux informations qu’ils proposent. »

Le WCIT (World Congress on Information Technology) est une conférence organisée par l’International Telecommunication Union (ITU) pour finaliser le traité des « International Telecommunications Regulations ». Parmi les participants, on trouve des représentants des gouvernements de tous les pays, dont de nombreux opposants à une utilisation libre d’Internet. Il s’agit notamment de régimes gouvernementaux qui aimeraient reprendre le contrôle d’Internet, actuellement aux mains des « geeks », explique Sean Sullivan à DataSecurityBreach.fr. De nouvelles mesures ont même déjà été proposées, avançant des raisons de sécurité. Toutefois, les défenseurs de la vie privée estiment que ces mesures entraineraient la fin de l’anonymat sur Internet.

2.       Des fuites nous révèleront une augmentation des outils d’espionnage financés par les gouvernements « Il est clair que depuis les dernières fuites liées à Stuxnet, Flame et Gauss, la course aux cyber-armement est belle et bien lancée », déclare Mikko Hypponen, Chief Research Officer. Même si nous ne serons pas toujours au courant des cyber-opérations lancées par des états-nations, nous pouvons nous attendre à ce que ces activités soient de plus en plus utilisées par les gouvernements. En 2013, il est fort probable de voir une augmentation de telles fuites, y compris en provenance de pays qui n’ont jamais été à l’origine d’attaques à ce jour. Avec le lancement d’une véritable course à l’armement, les fuites ne cesseront d’augmenter.

3.       L‘utilisation des malware mobile se démocratisera Android s’est développé comme aucun autre système d’exploitation par le passé, passant des smartphones aux tablettes puis aux Smart TV. Et plus un système d’exploitation se généralise, « plus il est facile de créer des malware performants, et plus il y aura d’opportunités pour les criminels de mettre en place des activités lucratives » déclare à Data Security Breach Sean Sullivan. Les malware ciblant les mobiles seront facile d’accès, grâce à des kits d’outils créés et vendus par des cybercriminels spécialistes du hack à d’autres criminels, non experts. En quelques sortes, des « malware-as-a-service », pour Android.

4.       Une autre épidémie de malware frappera l’univers du Mac Le scareware appelé Mac Defender fut propagé en 2011 ; En 2012, Flashback profita des failles de Java. Pour 2013, le Labs prévoit la découverte d’une autre épidémie de malware Mac qui devrait faire des ravages au sein de la communauté Mac. « L’auteur du Cheval de Troie FlashBack est toujours en fuite. Il paraîtrait même qu’il serait en train de travailler sur une nouvelle offensive» estime Sean Sullivan à Data Security Breach . « Malgré les améliorations en sécurité apportées à Mac OS, une partie des utilisateurs Mac continue de rester inconsciente des risques encourus, ce qui les rend vulnérables face aux nouveaux malware. »

5.       Les Smart TV deviendront une nouvelle cible pour les hackers Les Smart TV sont connectées à Internet. Elles sont très puissantes mais ne sont généralement pas sécurisées… et deviennent donc vulnérables aux attaques. Elles sont d’autant plus vulnérables que, contrairement aux ordinateurs, elles sont souvent connectées à Internet sans le nécessaire pour empêcher le trafic indésirable. Par ailleurs, les consommateurs oublient souvent de changer le nom d’utilisateur et le mot de passe par défaut, ce qui facilite l’accès aux hackers. « C’est très facile pour les hackers de rechercher et trouver les Smart TV sur Internet, » dit à Datasecuritybreach.fr Sean Sullivan. « Une fois trouvées, ils n’ont plus qu’à utiliser le nom d’utilisateur par défaut et le mot de passe de la TV en question, et le tour est joué. » En 2012, une famille de malware, LighAidra, a infecté des décodeurs. En 2013, les Smart TV pourraient être utilisées pour des fraudes utilisant les clicks (le Bitcoin mining) ou encore des attaques de type DDoS.

6.       Les logiciels espions pour mobiles seront de plus en plus nombreux 2013 sera l’année des logiciels de tracking, dont la côte qui monte en flèche. Ces derniers seront utilisés pour des raisons autres que celle du contrôle parental. Il y a eu une nette croissance du nombre d’applications de sécurité pour les enfants, permettant de surveiller les activités et comportements de ces derniers sur la toile, et notamment sur Facebook. « Il apparait évident que ce type de logiciel peut également être utilisé pour espionner n’importe qui, et pas seulement les enfants » déclare Sean Sullivan à Data Security Breach. «Plus l’utilisation du smartphone sera répandue, plus les gens chercheront  ce type de logiciels,  par exemple pour savoir ce que deviennent leurs ex ! ».

Cybersécurité, Entreprise, Hacking, Logiciels, Piratage, Virus

La NSA recrute ses tueurs numériques

Un commentaire

La NSA recrute ses tueurs numériques La NSA recrute son armée numérique. Pendant ce temps, un hacktivistes passe par son espace privée dédié à l’emploi. « Notre pays est entré dans une ère nouvelle qui apporte de profonds changements » explique l’espace emploi de la NSA. Un espace publique qui annonce que la National Security Agency lance une série de recrutements de personnel qui sera intégré aux opérations de réseau informatique (CNO). « Cette mission très importante est composé de trois grandes parties: le réseau de défense, d’attaque de réseau, et de l’exploitation des réseaux informatiques. Afin de s’acquitter de ses missions, la NSA est à la recherche de personnes qui sont hautement qualifiées et passionnées pour gagner la guerre dans le cyberespace. »

Bon, ne courez pas proposer votre CV. La NSA ne recrute que de l’américain pur souche. Toujours est-il que les emplois sont « variés » demandant « une bonne connaissance des techniques de pénétration du réseau » (…) « Si vous avez l’habitude visiter les sites Web de sécurité de réseau, assister à des conférences, ou de maintenir votre propre réseau, nous aimerions vous parler ! » Comme le montre la capture écran de cet article, des postes partout aux USA, des employés pour le « computer Network Operation » ; des chercheurs informatiques ; descodeurs/programmeurs … et des pirates informatiques. Comme nous vous l’avons entouré, le poste « Intrusion Analyst Skill Developpement program ». du Ethical Hacking à la sauce « Homme en noir ».

A noter, d’ailleurs, que lors du Defcon 20 de Las vegas, un concours renvoyait les vainqueurs du « Capture the flag » sur un espace numérique du site NSA.GOV dédié : www.nsa.gov/careers/dc20/. A première vue, un poste qui n’a pas encore trouvé preneur. L’hacktiviste Sl1nk (En interview dans l’émission de janvier de zatazweb.tv) a réussi à s’inviter dans l’espace emploi du site officiel de la NSA. Une visite qui lui a permis de se créer un compte « utilisateur ». Nous vous laissons imaginer la suite !

Pendant ce temps, les grandes banques américaines se sont tournés vers la National Security Agency pour demander de l’aide à la suite de plusieurs attaques informatiques lancées durant les fêtes de fin d’année. Les banques ont demandé à la NSA de protéger leurs systèmes informatiques. Autant dire que l’idée est intéressante. Demander au plus gros espion de la planète de sécuriser des banques. vous commencez à sentir le souffle chaud de big brother dans sa belle chemise de « protection » contre les DDoS. Les attaques sur les sites bancaires, qui ont commencé il y a un an, et qui se sont intensifiées en Septembre, auraient connu une nouvelle sophistication inquiétante. La NSA, la plus grande agence mondiale d’espionnage électronique, a été priée de fournir une assistance technique pour aider les pauvres banquiers. En gros, entre les connexions pirates, mais aussi les légitimes, et les banques, il y aurait donc dorénavant les grandes oreilles de l’Oncle Sam. La NSA a refusé de commenter, sauf une déclaration lapidaire, une aide « en pleine conformité avec toutes les lois et réglementations applicables. ». Fermé le ban !

Cybersécurité, Entreprise, Particuliers, Piratage

Rendre la transparence des cyber-attaques obligatoire

Propositions de la Commission européenne de rendre la transparence des cyber-attaques obligatoire dans certaines industries. La proposition de la Commission européenne reflète la prise de conscience que les cyber-attaques ne sont pas uniquement un problème militaire. Comme dans tous les conflits, les infrastructures critiques seront aussi prises pour cible. Les gouvernements doivent avoir une idée claire et immédiate de la menace qui impose aux entreprises d’industries critiques, de signaler l’intégralité des attaques dont elles sont victimes, dès qu’elles sont découvertes. Il est également essentiel de partager les informations sur les attaques, les vulnérabilités et les dégâts causés, pour pouvoir développer des moyens de lutte qui permettront à d’autres entreprises de ne pas être victimes du même genre d’attaques.

Les protestations des entreprises concernant des données confidentielles et les secrets commerciaux ne sont pas fondées. En ne se focalisant que sur leur réputation et leur valeur boursière, les entreprises oublient le fait que ce sont les données des utilisateurs qui sont la cible d’une attaque. C’est-à-dire, nos données.

Nos informations ont été volées ? Il nous faut le savoir ! L’entreprise risque d’en souffrir et nous devons être tenus au courant des attaques secondaires potentielles, auxquelles nous pourrions avoir à faire face, pour des données que nous pensions en sécurité avec nos fournisseurs de services, nos banques, nos hôpitaux, et même les magasins où l’on fait nos achats et les médias auxquels on s’abonne. N’importe quelle information sensible nous concernant, nous ou notre conduite, pourrait être la cible d’attaques « phishing » (comme celles qui ont été utilisées pour pirater l’éditorial du New York Times). Il est donc clair que la prochaine ébauche de proposition de l’Union Européenne pour la Stratégie de la Cybersécurité a besoin d’une clause obligeant les entreprises à signaler leurs attaques sur des systèmes publics, puisque leur propre bon sens ne les a pas encore convaincues de le faire.