Archives de catégorie : Securite informatique

Près de la moitié des entreprises ont subi une compromission de données en 2016

La forte progression du trafic Internet émanant de bots crée un sérieux angle mort pour la sécurité IT, et 79% des entreprises ne savent toujours pas si leur trafic web provient d’humains ou de bots selon une étude de Radware.

La publication d’une nouvelle étude intitulée Radware Research: Web Application Security in a Digitally Connected World ne laisse rien présagé de bon. Ce rapport, qui examine la façon dont les entreprises protègent leurs applications web, identifie des lacunes de sécurité au sein des actuelles pratiques DevOps, recense les principaux types et vecteurs d’attaques et identifie les principaux risques.

L’étude qui s’intéresse aux secteurs d’industrie les plus ciblés, comme la vente au détail, la santé et les services financiers, souligne la prolifération du trafic web généré par des bots et son impact sur la sécurité applicative des entreprises. En réalité, les bots sont à l’origine de plus de la moitié (52%) de tout le flux du trafic Internet. Pour certaines entreprises, les bots constituent plus de 75% du trafic total. Les résultats soulignent ainsi qu’une entreprise sur trois (33%) ne sait pas distinguer les « bons » bots des « mauvais ».

Le rapport révèle également que près de la moitié (45%) des sondés ont expérimenté une compromission de données l’année passée et que 68% ne sont pas certains de pouvoir préserver la sécurité de leurs informations internes. De plus, les entreprises protègent souvent mal leurs données sensibles. 52% n’inspectent pas le trafic échangé depuis et vers des API. 56% ne sont pas en capacité de suivre les données une fois qu’elles quittent l’entreprise.

Toute entreprise qui collecte les informations de citoyens européens va bientôt devoir se conformer aux réglementations strictes sur la confidentialité des données imposées par le nouveau règlement général sur la protection des données (GRPD) ou GDPR (General Data Protection Regulations).

Ces nouvelles obligations prendront effet en mai 2018. Toutefois, à moins d’un an de l’échéance, 68% des entreprises craignent de ne pas être prêtes à temps.

« Il est alarmant que les dirigeants d’entreprises qui recueillent les données sensibles de millions de consommateurs doutent de la sécurité des informations qu’ils détiennent », déclare Carl Herberger, vice-président des solutions de sécurité chez Radware. « Ils connaissent les risques mais des angles morts, potentiellement vecteurs de menaces, persistent. Tant que les entreprises ignoreront où se situent leurs vulnérabilités et qu’elles n’auront pas pris les bonnes mesures pour se protéger, les attaques d’ampleur et les compromissions de données continueront de faire les gros titres. » Selon le Dr Larry Ponemon, « Ce rapport montre clairement que la pression exercée à fournir des services applicatifs en continu limite la capacité des méthodes DevOps à assurer la sécurité des applications Web aux différentes étapes du cycle de vie des développements logiciels.»

La sécurité applicative est trop souvent négligée. Tout le monde veut bénéficier des avantages de l’automatisation totale et de l’agilité conférées permis par le déploiement continu. La moitié (49%) des sondés utilisent actuellement le déploiement continu des services applicatifs et 21% envisagent de l’adopter au cours des 12 à 24 mois. Toutefois, ce modèle peut aggraver les problématiques de sécurité du développement applicatif : 62% reconnaissent que la surface d’attaque s’en trouve étendue et la moitié environ déclare ne pas intégrer la sécurité au processus.

Les bots prennent le dessus. Les bots sont la dorsale du e-commerce aujourd’hui. Les e-commerçants utilisent les bots pour les sites comparateurs de prix, les programmes de fidélité électroniques, les chatbots, etc. 41% des commerçants ont même déclaré que plus de 75% de leur trafic émane de bots, alors que 40% ne font toujours pas la différence entre les bons et les mauvais bots. Les bots malveillants constituent un risque réel. Certaines attaques de web scrapping volent la propriété intellectuelle des commerçants, cassent les prix et rachètent des stocks de façon à écouler la marchandise via des canaux non autorisés en dégageant une marge. Mais les bots ne sont pas le seul problème des commerçants. Dans le secteur de la santé, où 42% du trafic émane de bots, 20% seulement des responsables de la sécurité IT étaient certains qu’ils pourraient identifier les « mauvais » bots.

La sécurité des API est souvent négligée. Quelque 60% des entreprises partagent et consomment des données via les API, y compris des informations personnelles, des identifiants et mots de passe, des détails de paiements, des dossiers médicaux, etc. Pourtant, 52% n’inspectent pas les données échangées avec leurs API, et 51% n’effectuent aucun audit de sécurité ni n’analysent les failles éventuelles des API en amont de l’intégration.

Les périodes de vacances sont à haut risque pour les commerçants. Les commerçants sont confrontés à deux menaces distinctes mais très dommageables pendant les périodes de vacances : les pannes et les compromissions de données. Des pannes d’Internet lors de la haute saison quand les commerçants dégagent le plus de bénéfices peuvent avoir des conséquences financières désastreuses. Pourtant, plus de la moitié (53%) ne sont pas certains de la disponibilité à 100% de leurs services applicatifs. Les périodes où la demande est forte comme celles du Black Friday et du Cyber Monday, exposent également les données des clients : 30% des détaillants laissent entendre qu’ils peinent à protéger correctement leurs données sensibles au cours de ces périodes.

Les données médicales des patients courent des risques également. 27% seulement des sondés dans le secteur de la santé ont confiance dans leur capacité à protéger les dossiers médicaux de leurs patients, même s’ils sont près de 80% à devoir se conformer aux réglementations d’état. Il est primordial de déployer des correctifs de sécurité pour faire face aux actuelles menaces et mieux pouvoir atténuer leur impact, mais 62% environ des sondés dans le secteur de la santé n’ont peu ou pas confiance dans la capacité de leur établissement à pouvoir adopter rapidement des correctifs de sécurité et déployer les mises à jour, sans compromettre la conduite des opérations. Plus de la moitié (55%) des établissements de santé déclarent n’avoir aucun moyen de suivre les données partagées avec une tierce partie une fois qu’elles ont quitté le réseau interne. Les organisations du secteur de la santé sont les moins enclines à rechercher des données volées sur le Darknet : 37% ont déclaré le faire contre 56% dans le secteur des services financiers et 48% dans le secteur de la vente au détail.

La multiplication des points de contact aggrave le niveau de risque. L’avènement des nouvelles technologies financières (comme celles liées aux paiements mobiles) facilite l’accès des consommateurs et leur degré d’engagement, ce qui a pour effet d’accroître le nombre des points d’accès comportant des vulnérabilités et de majorer le niveau de risque auquel sont confrontés les responsables de la sécurité. Alors que 72% des organisations de services financiers partagent les identifiants et mots de passe et que 58% partagent les détails des paiements réalisés via des API, 51% ne chiffrent pas le trafic, avec le risque d’exposer les données en transit des clients.

Les équipements médicaux seront-ils la prochaine cible des cybercriminels ?

Equipements médicaux et les pirates ! Le thème de l’édition 2017 du Cyber Security Weekend européen était “Next” – the near future and threats we will face ». A cette occasion, des experts de Kaspersky Lab, de KPN et d’EUMETSAT se sont réunis pour évoquer leurs prévisions et études respectives. Les participants ont ainsi pu écouter les prévisions sur ce que réservent les cybercriminels aux hôpitaux et aux patients en 2018.

Les données médicales contenus dans les équipements médicaux ont une très grande valeur sur le marché noir et les systèmes médicaux revêtent une importance vitale. Dès lors, les organisations de santé sont une proie de choix pour les tentatives d’extorsion. Il est donc essentiel que la communauté des spécialistes de la sécurité travaille en étroite collaboration avec le monde de la santé et ses fournisseurs dans le but de renforcer la protection des appareils utilisés, de veiller à ce que les nouveaux systèmes soient sécurisés et sûrs d’entrée de jeu, et pour que les équipes médicales soient bien formées aux questions de cybersécurité.

Le paysage en 2017

En 2017, les recherches ont montré à quel point les informations médicales et les données des patients stockées au sein d’une infrastructure de santé connectée étaient peu protégées et donc, accessibles en ligne par n’importe quel cybercriminel motivé. Les experts ont par exemple découvert que près de 1500 appareils utilisés pour le traitement des imageries médicales étaient accessibles au public. En outre, les recherches ont démontré qu’un nombre non négligeable de logiciels et d’applications en ligne de nature médicale, renferment des vulnérabilités pour lesquelles il existe des exploits publics. Ce risque se voit accru par la valeur des informations médicales, dont comptent bien profiter les cybercriminels pour leur bénéfice personnel. Ils savent en effet pertinemment qu’elles sont faciles d’accès et que les organismes médicaux seront toujours prêts à payer pour les récupérer.

A quoi faut-il s’attendre pour 2018 ?

Le secteur médical va être de plus en plus menacé, étant donné le nombre croissant d’appareils connectés et d’applications vulnérables déployés par les services de santé. Le monde de la santé est soumis à différents facteurs qui influent sur son fonctionnement : la nécessité d’en faire plus, à moindre coût, avec les ressources existantes ; le besoin croissant des soins à domicile pour les populations vieillissantes et les pathologies chroniques telles que le diabète ; l’aspiration du grand public à adopter un mode de vie plus sain ; et la prise de conscience que le partage de données et le suivi croisé des patients par différentes organisations sont la clé pour améliorer la qualité et l’efficacité des soins médicaux.

9 grandes menaces dans les 12 prochains mois

Les attaques ciblant les équipements médicaux avec un objectif d’enrichissement personnel, de malveillance pure, ou pour des motivations pire encore, seront en recrudescence. Les équipements médicaux spécialisés sont de plus à en plus nombreux à être connectés à des réseaux informatiques. Si ces derniers sont pour la plupart privés, une seule connexion peut suffire pour permettre à des attaquants de s’engouffrer dans la brèche et de diffuser des programmes malveillants à l’aide de ce réseau « pourtant fermé ». Or s’en prendre à des équipements peut perturber l’administration de soins, voire être fatal, ce qui augmente grandement les probabilités de versement de rançons en cas de tentative d’extorsion.

Il faut s’attendre à une hausse du nombre d’attaques ciblées visant à dérober des données. Le volume d’informations médicales et de données patients stockées et traitées par les systèmes de santé connectés, augmente tous les jours. Ce type de données est très coté sur le marché noir et peut servir à des fins de chantage et de tentative d’extorsion. D’autant que les criminels ne sont pas les seuls intéressés : l’employeur ou l’assureur d’une victime peuvent être intéressés de connaitre ce qui peut impacter les primes d’une personne ou son emploi.

Équipements médicaux dans la ligne de mire

Le nombre de cas d’attaques avec ransomware, visant les organismes médicaux, va augmenter. Ces tentatives s’appuieront sur le chiffrement de données et le blocage des appareils : les coûts exorbitants des équipements médicaux connectés et leur caractère souvent vital en feront des cibles de choix pour des attaques et tentatives de racket.

Le concept de périmètre professionnel clairement défini va continuer de s’effriter au sein des institutions médicales, dans la mesure où un nombre croissant d’appareils sont connectés à Internet – stations de travail, serveurs, appareils mobiles et équipements divers. Les criminels ont un choix toujours plus large pour tenter d’accéder à des informations médicales et à des réseaux. Mettre en place des systèmes de protection et sécuriser les utilisateurs finaux ou points de terminaison, va devenir le nouveau défi des équipes chargées de la sécurité dans les structures médicales. En effet, tous les nouveaux appareils créent autant de points d’accès à l’infrastructure.

Les données sensibles et confidentielles transmises aux professionnels de la santé par les appareils portables connectés, les implants notamment, vont être de plus en plus pris pour cible par des attaquants. En effet, ces appareils sont de plus en plus utilisés pour les diagnostics médicaux, les traitements et les soins préventifs. Les pacemakers et les pompes à insuline en sont de bons exemples.

Les systèmes d’information médicaux nationaux et régionaux qui échangent des données patients non-chiffrées, ou non sécurisées, avec des praticiens, des hôpitaux, des cliniques et autres établissements, vont être de plus en plus ciblés. Les attaquants vont chercher à intercepter les données lorsqu’elles se trouvent en dehors du pare-feu des réseaux. Il en sera de même pour les données échangées par les établissements médicaux et les compagnies d’assurance santé.

Équipements médicaux, mais pas que…

Le succès des petits appareils de santé et de fitness connectés est une aubaine pour les attaquants, car ils livrent de gros volumes de données personnelles généralement peu protégées. Avec l’engouement pour l’amélioration du bien-être, les bracelets, systèmes de suivi et autres montres connectées vont héberger et transmettre des grandes quantités de données personnelles, protégées à minima. Les cybercriminels n’hésiteront pas à profiter de cette véritable mine d’or.

Les attaques paralysantes – de type DDoS (avec refus de service) ou ransomware qui détruit les données (à l’instar de WannaCry) – posent un problème croissant pour les organismes de soins de santé de plus en plus digitalisés. Le nombre de stations de travail, processus informatisés de traitement des archives médicales et des données commerciales, qui sont le quotidien de toute organisation à la page, élargissent la surface d’attaque possible pour les cybercriminels. La situation est d’autant plus critique pour le monde de la santé dans les cas d’urgences avec pronostic vital engagé.

Enfin, et surtout, les technologies émergentes telles que les membres artificiels connectés, les implants destinés à apporter des améliorations physiologiques, la réalité augmentée embarquée conçues pour résoudre des problèmes de handicap et rendre l’être humain plus fort et en meilleure forme, constituent, elles aussi de nouvelles opportunités pour les attaquants imaginatifs armés d’intentions malveillantes. Ces nouvelles technologies médicales doivent donc être sécurisées dès le stade de leur conception.

Ce document est le premier d’une série publiée par Kaspersky Lab, consacrée aux prévisions annuelles de ses experts. Les autres annonces concerneront les domaines de l’automobile, des services financiers et de la fraude, de la sécurité industrielle et des crypto-monnaies. Tous seront accompagnés des traditionnelles prévisions de menaces ciblées. L’intégralité des Kaspersky Lab Threat Predictions for 2018 sera disponible sur Securelist dans la semaine.

La sécurité des objets connectés dans une motion aux Pays-Bas

Les Pays-Bas viennent d’adopter une motion imposant aux fabricants d’ objets connectés (IoT) des tests de sécurité informatique.

Voilà une loi traitant de la sécurité des objets connectés qui fait tendre l’oreille. Les Pays-Bas viennent de valider une motion qui impose des tests de piratage à l’encontre des objets connectés vendu dans le pays. Bref, l’Internet of Things (IoT) pris au sérieux et d’une maniérè sécuritaire. C’est l’idée du sénateur Maarten Hijink qui demande au gouvernement et aux entreprises d’organiser des « pentests », des tests de sécurité, afin de tester les appareils connectés. Il y a quelques mois, la Chambre des députés avait réclamé au gouvernement d’agir sur ce même thème, la sécurité des objets connectés. Dans cette nouvelle motion, l’état est inviter à des actions proactives, comme le « hack éthique » dont la mission est d’améliorer la sécurité des objets, donc des utilisateurs.

Cybersécurité : Malwarebytes dévoile les grandes tendances 2018

Prévisions en matière de cybersécurité pour 2018. MB prédit une augmentation des menaces reposant sur le cryptojacking via les navigateurs Web, des attaques basées sur PowerShell ainsi qu’une accélération de l’utilisation par les pirates de logiciels de sécurité comme porte dérobée. Ces agissements seront portées par la tendance croissante au « tout connecté » dans l’ensemble des secteurs. Par ailleurs, les domaines de l’éducation et de la santé devraient être de plus en plus touchés par les cyberattaques.

Prévisions – L’année 2017 a été le théâtre d’attaques d’ampleur mondiale reposant sur des ransomwares tels que Wannacry et NotPetya, des violations de données sans précédent comme le piratage massif dont a été victime Equifax ou encore la perte de 198 millions de dossiers électoraux. Dans ce contexte, les experts en cybersécurité de Malwarebytes Labs dressent une liste de tendances susceptibles d’affecter les entreprises et les particuliers en 2018. « Les résultats de nos laboratoires de R&D ne montrent aucun signe de ralentissement pour 2018. Les outils et les techniques de piratage sont de plus en plus sophistiqués et accessibles. Nous assistons à l’apparition d’une nouvelle vague de cybercriminalité, portée par la multiplications des logiciels malveillants peu coûteux et par la promesse de profit facile. Les attaques à venir nécessiteront davantage de formation en matière de cybersécurité, une meilleure sensibilisation et une approche à plusieurs niveaux de la sécurité des entreprises et des personnes. » confie Marcin Kleczynski, CEO de Malwarebytes.

Prévisions – « La ruée vers le Bitcoin » : le cryptojacking sera la priorité absolue des cybercriminels

L’activité de cryptojacking a explosé en fin d’année 2017 et nous prévoyons une intensification de cette pratique en 2018, à mesure que la valeur des crypto-monnaies augmentera. En une seule journée de 2017, Malwarebytes a bloqué 11 millions de connexions à des sites permettant le cryptojacking. Ce qui rend cette activité intéressante est le flou qui subsite entre l’internaute lambda et le cybercriminel. En effet, dans la mesure ou elle est réalisée de manière transparente et clairement identifiée, on peut tout a fait imaginer qu’elle vienne remplacer la publicité online traditionnelle et permette aux éditeurs de sites Web de créer une nouvelle source de revenus. Néanmoins, le cryptojacking reste encore majoritairement produit à partir de sites Web légitimes compromis par des cybercriminels. Quoi qu’il en soit, ce sera l’une des activités à surveiller en 2018 !

Prévisions – Les attaques basées sur PowerShell seront amenées à augmenter

Il y a quelque mois, des membres du gouvernement saoudien ont été attaquées via une macro du logiciel Word qui a infecté les ordinateurs avec des chevaux de Troie voleurs d’informations. Plutôt que de récupérer une charge utile binaire, l’attaque s’est appuyée sur des scripts malveillants pour communiquer avec des sites Web compromis. Ces attaques basées sur des scripts, et en particulier celles basées sur PowerShell, sont extrêmement difficiles à identifier et peuvent facilement échapper aux antivirus. Elles sont donc particulièrement attrayantes pour les cybercriminels et ous prévoyons de nombreuses autres attaques PowerShell dans l’année à venir.

Les établissements d’enseignement deviendront une cible de choix

Malgré une sophistication croissante, les cybercriminels vont continuer à cibler les points d’accès les plus faciles à pénétrer. Les établissements d’enseignement sont souvent un patchwork de systèmes sous-protégés et qui manquent de ressources pour se défendre. Par ailleurs, il y existe un nombre important de terminaux potentiellement attaquables et contenant une quantité massive de données exclusives sur les étudiants, les enseignants ou même les parents… et les vols concernent en général les données les plus enrichies ! Le domaine de l’éducation, qui combine à la fois des faiblesses en matière de cybersécurité et des données extrêments riches, se veut alors la cible la plus probable de cyberattaques.

La cybercriminalité clandestine continuera d’évoluer et de se développer

Bien que nous ayons l’impression d’être débordés par le nombre de cyberattaques, il ne faut pas s’attendre à un ralentissement en 2018. En effet, le nombre d’outils à la disposition des cybercriminels augmente tandis que le seuil de connaissance nécessaire pour mener une attaque diminue. Le contexte est donc propice à la multiplication du nombre de pirates ! Cette croissance est également portée par les médias qui ont fortement relayé le succès et la rentabilité de la cybercriminalité. Les ransomwares par exemple, représentent à eux seuls un milliard de dollars de profit sur l’année 2017. Devenir cybercriminel n’est par ailleurs plus un tabou car la stigmatisation de ces activités diminue dans certaines parties du monde. Pour certains, il s’agit d’une activité comme une autre. Dans le même temps, ceux qui sont déjà établis comme des « acteurs de premier plan » de la cybercriminalité vont devenir agressifs dans la défense de leurs territoires, de leurs zones d’opérations et de leurs sources de revenus. Nous pourrions commencer à observer des stratégies de fusion et d’acquisiton de la part des « multinationales de la cybercriminalité », voir à un recours à la violence dans le monde réel pour sécuriser et accroître leurs sources de revenus.

Les logiciels de sécurité auront une cible attachée dans le dos

En 2018, les cybercriminels cibleront et exploiteront davantage les logiciels de sécurité. En ciblant ces programmes de confiance et la chaîne d’approvisionnement logicielle et matérielle, les attaquants peuvent contrôler les dispositifs et manipuler sans réserve les utilisateurs. Les pirates informatiques tireront parti des produits de sécurité et les exploiteront, soit par une corruption directe de l’agent installé sur le poste de travail, soit en interceptant et en redirigeant le trafic du cloud pour atteindre leurs objectifs. Au fur et à mesure que ces pratiques seront plus connues du public, la perception des logiciels de sécurité, en particulier celle des antivirus traditionnels se détériorera encore davantage.

Les vers deviendront les vecteurs de lancement de malwares

En 2017, Wannacry et Trickbot ont utilisé les fonctionnalités de vers pour propager les logiciels malveillants. En 2018, nous devrions voir un plus grand nombre de familles de malwares utiliser cette technique, car les compromis réseau dus aux vers se propagent plus rapidement que la plupart des autres méthodes. Si les pirates informatiques peuvent comprendre comment utiliser les vers sans être trop bruyants, cette tactique peut faire un grand nombre de victimes en très peu de temps.

L’IoT va créer de nouveaux défis dans le domaine de la santé

La possibilité pour les dispositifs médicaux de se connecter au Web, rendue possible par l’Internet des objets (IoT) offre de nombreux avantages. Une plus grande connectivité signifie de meilleures données, une meilleure analyse et de meilleurs soins offerts aux patients. Mais elle ouvre aussi la porte à de nouvelles menaces comme la perte de données particulièrmeent sensibles puisqu’elles concernent la santé et à l’accès non autorisé aux appareils. Pour assurer la sécurité des patients, la vigilence sera donc primordiale ! Comme dans le cadre dela conversion des dossiers de santé électroniques (DSE), les protocoles de sécurité devront changer et évoluer pour faire face à l’évolution et à la croissance des menaces. Les appareils devront être équipés de méthodes d’authentification stricte, faire l’objet d’un accès limité, et bénéficier d’une surveillance accrue de leurs communications. Le cryptage sera par conséquent un élément crucial dans la sécurisation de ces dispositifs et une responsabilité qui, si elle n’est pas adoptée par les fournisseurs et les fabricants de dispositifs, sera vraisemblablement assumée par des tiers fournisseurs de services de sécurité.

Quand votre entreprise mine de la crypto-monnaie… pour les pirates

Votre ordinateur consomment-ils de l’énergie pour vos uniques intérêts ? L’extraction de cryptomonnaie présente une nouvelle menace pour les entreprises. Le tout dernier Threat Index de Check Point révèle une augmentation des extractions de cryptomonnaie en octobre, avec CoinHive en sixième place des logiciels les plus utilisés au monde.

Non, CoinHive ou les crypto-monnaies (cryptomonnaie) ne sont pas malveillantes. Leurs utilisations inapropriées par des malveillants transforment ces beaux projets en merdier sans nom. C’est un peu comme dire que la voiture est illégale car des chauffards roulent à 230kms heures et tuent des gens. Que des braqueurs se servent d’une automobile pour attaquer une banque. Toujours est-il que l’ambiance autour des monnaies démateriealisées ne va pas s’arranger dans les semaines à venir.

Suite à la récente étude de Check Point démontrant que les extracteurs de cryptomonnaie peuvent frauduleusement utiliser jusqu’à 65 % des ressources totales en CPU d’un utilisateur final, sans son approbation, la variante CoinHive a fait son apparition dans le Threat Index d’octobre en 6e position. Ce logiciel malveillant est conçu pour extraire la cryptomonnaie Monero lorsqu’un utilisateur consulte une page web, sans l’approbation de l’utilisateur. CoinHive implante du code JavaScript, qui utilise ensuite le CPU de l’utilisateur final, impactant gravement les performances de sa machine.

Comme en septembre, RoughTed et Locky sont les deux menaces les plus répandues. Cependant, le logiciel malveillant Seamless, un redirecteur transparent de trafic, a fait son entrée parmi les trois premiers. Ce logiciel malveillant redirige silencieusement ses victimes vers une page web pirate. Elle infecte à l’aide d’un kit d’exploitation de vulnérabilités. L’infection réussie permet au pirate de télécharger d’autres logiciels malveillants.

Maya Horowitz, Threat Intelligence Group Manager chez Check Point, précise : « L’émergence de Seamless et de CoinHive souligne une fois de plus le besoin en technologies avancées de prévention des menaces pour sécuriser les réseaux contre les cybercriminels. L’extraction de cryptomonnaie est un nouvel acteur silencieux et pourtant significatif dans le paysage des menaces. Elle permet à des pirates de générer d’importants revenus tandis que les postes et les réseaux des victimes souffrent de latence et d’une baisse de performance. »

Top 3 des logiciels malveillants en octobre 2017

RoughTed est un logiciel de publicité malveillante. Contournement les bloqueurs de publicités. RT déclenche une série d’escroqueries, d’exploitations de vulnérabilités et de logiciels malveillants. Il est en mesure d’attaquer n’importe quel type de plate-forme et de système d’exploitation. Il utilise des techniques de prise d’empreintes pour délivrer l’attaque la plus pertinente.

Locky est connu. Un ransomware diffusé en février 2016. Il se propage principalement via des mails et des pièces jointes au format Word ou Zip. Il télécharge et installe un logiciel qui chiffre les fichiers des utilisateurs.

Seamless est un système de répartition de trafic. Il redirige silencieusement ses victimes vers une page web malveillante. Elle infecte les machines à l’aide d’un kit d’exploitation de vulnérabilités. L’infection permet au pirate de télécharger d’autres logiciels malveillants.

La liste des logiciels malveillants les plus couramment utilisés pour attaquer les actifs mobiles des entreprises a connu un changement par rapport à septembre, avec le logiciel rançonneur LeakerLocker pour Android apparaissant en seconde position.

Top 3 des logiciels malveillants mobiles

Triada – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Triada charge également de fausses URL dans le navigateur. LeakerLocker – Un logiciel rançonneur sur Android accédant aux données personnelles de l’utilisateur, puis les lui présentant en le menaçant de les divulguer en ligne en cas de non-paiement d’une rançon. Lootor – Outil de piratage ciblant des vulnérabilités du système d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement. La liste complète des 10 principales familles de logiciels malveillants en octobre est disponible sur le Blog Check Point.

Pour la France, le top 5 comprend : Roughted, Locky, Pushdo, Seamless ou encore Conficker. CoinHive s’affiche à la 6ème position.

Blockchain de la preuve, Ledgerofproof

La preuve irréfutable et gratuite que vos documents vous appartiennent !

Accessible gratuitement, la blockchain Ledgerofproof permet de créer une empreinte datée de tous vos documents. En cas de plagiat, vous disposez alors d’une preuve incontestable de leur antériorité. Articles, enquêtes, ouvrages, dessins, images, photos, contrats… Protéger ses documents n’est pas simple. Avec Ledgerofproof, la blockchain de la gestion des preuves, constituer la preuve de la propriété de ses documents se fait en 3 clics. Unique au monde, cette blockchain permet en effet de prouver très simplement l’existence d’un document à un instant « t ».

Ledgerofproof : comment la preuve devient-elle infalsifiable ?
Lorsque quelqu’un enregistre un document, seule son « empreinte » est conservée. En clair cela signifie que le texte est « haché » grâce à un algorythme et qu’il devient impossible d’en modifier la moindre virgule. En même temps, l’empreinte sauvegardée est horodatée, rendant par la même la date de création pérenne. Son contenu, n’est pas conservé par un seul serveur, mais par des milliers de participants au réseau, qui seront tous avertis en cas de modification. Cette approche permet donc de sécuriser l’empreinte à 100 % et donc de prouver, le cas échéant, qu’un document était en l’état à une date et une heure précise.

Accessible sur la plate-forme Spuro, Ledgerofproof est utilisable gratuitement par tout un chacun. Seuls les Smartcontracts, des applications permettant une utilisation automatique de la blockchain sont commercialisées. Spuro, une plate-forme dédiée aux blockchains Ledgerofproof est l’une des quatre blockchains privées proposées par Spuro, la plateforme développée par Benjamin Faraggi, entrepreneur passionné par ce type de technologies. Spuro propose aujourd’hui 4 blockchains : Ledgerofproof, la 3ème blockchain la plus connue au monde après Bitcoin et Ethereum. Artledger, à destination des graphistes, dessinateurs, peintres, poètes, musiciens. Durasedlex pour les juristes, avocats, huissiers, etc. et Diurnarius pour les journalistes, chroniqueurs, photographes, etc.

RGPD : un logiciel pour réaliser son analyse d’impact sur la protection des données (PIA)

Pour accompagner les professionnels dans leurs analyses d’impact sur la protection des données dans le cadre du réglement général sur la protection des données (RGPD), la CNIL met à disposition un logiciel PIA. Adopté en mai 2016, le RGPD entre en application le 25 mai 2018 dans tous les Etats membres de l’Union Européenne.

L’analyse d’impact sur la protection des données (Privacy Impact Assessment, PIA ou DPIA) est un outil important pour la responsabilisation des organismes. Cette bonne pratique fortement recommandée, et obligatoire dans certains cas. Construire des traitements de données respectueux de la vie privée. Démontrer leur conformité au règlement général sur la protection des données (RGPD).

Pour les accompagner dans cette démarche, la CNIL met à disposition un logiciel libre PIA. Cet outil ergonomique déroule l’intégralité de la méthode PIA développée par la CNIL dès 2015. L’application de cette méthode permet d’être conforme aux exigences définies dans les lignes directrices du G29. Le groupe des « CNIL européennes » les a adopté en octobre 2017. Des directions qui permettent aux professionnels de se familiariser à la méthode PIA. Bref, être prêt en mai 2018.

L’outil PIA offre plusieurs fonctionnalités pour mener à bien son PIA. Une base de connaissances contextuelle reposant sur le texte du RGDP. Des guides PIA. Un Guide sécurité publiés par la CNIL.

Lors de l’avancée de l’analyse, la base présente les contenus les plus pertinents ; des outils de visualisation permettant de comprendre en un coup d’œil l’état des risques du traitement étudié. Actuellement présenté dans sa « version beta », des améliorations et enrichissements pourront être apportés au logiciel en fonction des retours utilisateurs.

Publié sous licence libre, vous pouvez développer de nouvelles fonctionnalités répondant à vos besoins spécifiques et les partager par la suite avec la communauté. La CNIL proposera une version finalisée en 2018, avant l’entrée en application du règlement.

Les Français plébiscitent les objets connectés sans en mesurer les risques !

A l’occasion de Noël, les objets connectés semblent être le cadeau de cette fin d’année : tendance d’achat, appréhension de la sécurité, prise de mesure, etc. L’étude « Most Hackable Gifts » dévoile la liste des cadeaux de Noël les plus prisés à la fois par les consommateurs, mais aussi par les cybercriminels.

Objets connectés, Noël et les pirates. Ainsi, parmi les cadeaux les plus attendus au pied du sapin figurent les indétrônables tablettes et smartphones (60 %) et autres ordinateurs portables (30 %). Les accessoires domotique de l’habitat connecté (25%) sont également très populaires cette année, aux côtés des jouets connectés (22 %), des casques de réalité virtuelle (19 %) et des Smart TV (17 %).

Une méconnaissance des risques associés aux objets connectés

Une grande majorité de consommateurs Français reconnait la nécessité de sécuriser ordinateurs portables, tablettes et smartphones (64 %). Mais moins 1/3 estiment que les casques réalité virtuelle, les jouets et autres accessoires connectés doivent être sécurisés.

Il faut rappeler qu’ils gèrent également un certain volume d’informations personnelles. 15 % pensent même que les objets connectés n’ont pas besoin d’être sécurisés.

« A Noël, les objets connectés seront cette année encore à l’honneur. Or, on constate que les consommateurs ne mesurent pas tous l’importance de la protection de ces appareils et du risque auquel ils s’exposent lors d’une connexion avec un device non connecté« , précise Lam Son Nguyen expert en sécurité – McAfee.

91 % estime qu’il est important/voir très important que leur identité en ligne et leurs appareils connectés soient sécurisés. La moitié des consommateurs prennent des mesures pour s’assurer que leur nouvel appareil connecté est protégé avant utilisation. 23% ne sont d’ailleurs pas sûrs de savoir prendre les mesures adaptées en matière de sécurité. Les consommateurs sont tout simplement mal informés sur les dangers et la manière dont il faut protéger ces appareils connectés.

Peu conscients des risques ils ne mettent pas en œuvre les mesures nécessaires pour se protéger ce que les cybercriminels pourraient exploiter pour le piratage de leurs objets et le vol de leurs données personnelles.

Ces informations révèlent l’importance pour les consommateurs d’être vigilants quant aux enjeux de sécurité inhérents aux objets connectés qu’ils déposeront au pied du sapin de Noël. Il est important que chacun mesure les risques liés à tout objet connecté et cesse de penser qu’il suffit simplement de s’en remettre aux mesures des fabricants pour éviter le vol de leurs données dans le temps. Il serait bon, aussi, que les fabricants fournissent des informations sur la sécurisation générale, ainsi que de leur produit. L’éducation devrait être imposée dans chaque notice, en plus des obligations légales copiées à longueur de page de certaines notices.

Quelques réflexes simples à adopter en matière de sécurité des objets connectés

D’abord, lisez la notice. Vous pourriez y trouver quelques réponses (mot de passe, …). Ensuite, protéger votre réseau domestique. Plus facile à dire, qu’à faire, mais loin d’être impossible si vous vous y penchez un peu. DataSecurityBreach vous propose par exemple de regarder du côté des adresses MAC de vos materiels et votre box, ou encore du côté de la double authentification. Mettre à jour les logiciels et applications des objets connectés. Voyez si elles peuvent être automatisées. Sécuriser votre appareil avec une solution dédiée : antivirus, firewall, … Privilégiez une connexion Wi-Fi sécurisée. Celle de la maison, mais avec un bonus qu’est le contrôle par l’adresse MAC. Protéger vos objets avec des mots de passe complexes. Même si cela n’est pas gage d’efficacité optimale, un mot de passe fort (lettres, majuscules, chiffres et signes de ponctuations) permet de retarder le malveillant qui ira voir ailleurs. Et au moindre doute, agissez !

Fuite de données pour l’enseigne de prêt-à-porter Forever 21

L’enseigne de prêt-à-porter Forever 21 annonce le piratage de plusieurs millions de données bancaires. Des Francophones parmi les victimes.

Un conseil, si vous êtes un client ou une cliente de l’enseigne de prêt-à-porter Forever 21, vérifiez votre compte bancaire et alertez votre conseiller financier. La société américaine vient d’annoncer dans un communiqué de presse avoir été la victime d’un piratage informatique. Elle ne s’en est jamais rendu compte. C’est une source anonyme qui lui a indiqué le piratage. Des pirates se servaient dans les données bancaires de ses clients, depuis plusieurs mois.

Une cyberattaque qui a été déclenchée en mars 2017. Elle a été stoppée en octobre 2017. Huit mois d’une ponction malveillante via des terminaux de paiement ! « Notre enquête se focalise sur des transactions effectuées par cartes bancaires dans des magasins Forever 21 entre mars 2017 et octobre 2017, explique le communiqué de presse, Il est trop tôt pour fournir davantage de détails sur l’enquête. Nous vous conseillons d’examiner de près leurs relevés de comptes bancaires ».

Une nouvelle fuite de données massive. Comme l’explique dans le ZATAZ Web Tv tourné à New York, les fuites sont de plus en plus importantes avec des incidences qui sont cachées aux victimes, comme ce fût le cas pour Yahoo!, Equifax, ….

Forever 21 indique que de nombreux clients ont été impactés. Des boutiques basées en Inde, Israël, Corée du sud, Canada, Australie, Philippines, Mexique, Hong Kong, Brésil, Argentine sont touchées.

Inquiétant ? F21 indique que l’attaque n’a touché que certaines boutiques : « En raison des solutions de chiffrement et de tokenisation implémentées par Forever 21 en 2015, il semble que seuls certains terminaux de vente dans certains magasins Forever 21 ont été affectés lorsque le chiffrement des appareils n’était pas opérationnel.« 

Des gants, des autocollants et des Pin’s NFC pour les Jeux Olympiques d’hiver

La société Visa a créé des gants, des autocollants et des pin’s NFC sur le thème des Jeux Olympiques. L’idée, effectuer des paiements rapides sur n’importe quel terminal de paiement équipé en sans contact.

Le sans contact dit NFC gagne du terrain. Visa, le fabriquant de cartes bancaires, vient de lancer trois produits NFC, paiement sans contact, pour les Jeux Olympiques d’Hiver. Des JO qui se dérouleront en Corée du Sud. L’entreprise s’est associée à Lotte Card, le pôle financier du géant de la grande distribution Lotte Department Store. Mission, créer de nouveaux accessoires de paiement. Ils sont disponibles depuis le 9 novembre partout en Corée. Parmi les produits, quatre pin’s au prix unitaire de 5 000 KRW (4€). Il faut ajouter un montant prépayé intégré d’une valeur de 30 000 (23€) ou 50 000 (38€) Won coréen (KRW).

Qui dit hiver, dit gant. Visa propose des gants… de paiement. Ils sont équipés d’une puce à double interface munie d’une antenne sans contact permettant d’effectuer des achats sur les sites officiels des Jeux Olympiques et sur les terminaux compatibles partout dans le monde. Les gants seront pré-chargés avec un montant prépayé d’une valeur de 30 000 ou 50 000 Won coréen (KRW).

Pour finir, des autocollants. Ici aussi, une puce et une antenne NFC à double interface. Ces micro-étiquettes peuvent être collées sur n’importe quel support, afin d’effectuer facilement et rapidement des paiements à tout moment. Les autocollants de paiement seront pré-chargés avec des montants prépayés s’élevant à 30 000, 50 000, 100 000 ou 200 000 Won coréen (KRW).

Pour rappel, la société LotteCard avait été victime d’un piratage massif de ses données en décembre 2013. Les données personnelles d’environ 20 millions de clients de Citi Bank Korea, Kookmin Bank, NongHyup Bank, KB Kookmin Card et Lotte Card avaient été touchées par cette fuite massive.

Protection des moyens de paiement sans contact

Pour la première fois, un moyen de protection active proposé sous forme de carte plastique empêche toute utilisation frauduleuse d’une carte de paiement sans contact ou d’un moyen de paiement utilisant le NFC sur un smartphone. C’est la promesse du laboratoire de design dirigé par Tomasz Pomorski, Omnichip et ISRA Cards, un fabricant français de cartes plastiques avec ou sans puce et avec ou sans contact. Les deux entreprises ont réfléchi à la création de cartes intégrant la technologie Active Blocker.

Alors que les systèmes de protection actuels se contentent de proposer un « bouclier » physique censé arrêter les ondes de façon aussi passive qu’imparfaite, Active Blocker va plus loin que la simple perturbation de la communication : il l’empêche en la brouillant. En effet, si un fraudeur tente de se connecter à une carte NFC via un lecteur pirate, ActiveBlocker empêchera toute communication en émettant des signaux qui « couvriront » ceux de la carte NFC. Le procédé de brouillage est vieux comme les ondes mais s’avère compliqué à mettre en œuvre dans une communication en champ proche car son effet perturbateur doit rester circonscrit à des distancent à la fois relativement courtes et suffisamment longues pour être parfaitement efficace.

C’est pourquoi ISRA a réfléchi à la création d’une carte dédiée à la protection des moyens de paiements, mais aussi des documents d’identités utilisant la technologie sans contact tels que les e-passeports. Cette carte se glisse simplement dans le portefeuille ou le porte-carte avec les cartes de paiement et agit immédiatement, sans batterie. Dès que l’utilisateur sort sa carte de sans contact pour effectuer un paiement chez un commerçant, elle quitte le champ d’action d’ActiveBlocker, son signal n’est donc plus brouillé et le paiement peut s’effectuer tout à fait normalement.

ISRA Cards et Omnichip proposeront leur produit commun à tous les acteurs susceptibles d’être confrontés à des problématiques de sécurité liés au NFC tels que banques, sociétés d’assurance ou d’assistance, distributeurs, fabricants ; dans des formes adaptées aux besoins des utilisateurs finaux : carte de protection, carte de fidélité, carte d’authentification, etc.

La rédaction a demandé une version pour test, nous n’avons pas encore reçu de réponse.

Chiffrement : mais que se passe t-il chez nos voisins anglais ?

Suite aux récentes déclarations de madame Amber Rudd, ministre de l’Intérieur britannique, sur la question du chiffrement, Craig Stewart, VP EMEA chez Venafi, donne quelques enseignements de sécurité au gouvernement.

Le chiffrement est clairement à l’ordre du jour au Royaume Uni. Depuis quelques mois, le Ministre de l’Intérieur, Amber Rudd ne fait aucun secret sur ce qu’elle pense des entreprises technologiques comme WhatsApp, qui ne vont pas assez loin lorsqu’il s’agit d’arrêter des groupes extrémistes qui utilise la technologie à des fins néfastes. Lors d’un entretien assez controversé, Amber Rudd a prétendu qu’elle n’avait pas besoin de comprendre le chiffrement pour le combattre : une déclaration qui a choqué tous les acteurs de la sécurité.

Amber Rudd est sans aucun doute bien intentionnée. En tant que ministre de l’Intérieur, elle est responsable de la sécurité nationale et ce n’est donc pas étonnant, qu’elle agisse en pensant au devoir de préserver la sécurité publique. Cependant, ses récents propos indiquent un manque de compréhension des fondamentaux sur le chiffrement, même les plus élémentaires. Elle montre aussi un mépris inquiétant sur l’importance de la sécurité de notre économie numérique.

Obtenir des informations réalistes

Les citoyens devraient s’inquiéter par la vision d’Amber Rudd, qui semble voir le chiffrement comme une partie du problème, alors qu’il est en fait, l’un des moyens de défense incontournable dont nous disposons collectivement. Quand il est mis en place correctement, il préserve la sécurité de nos données, qu’il s’agisse de données sensibles sur « NHS Trust », où des informations sur l’enregistrement des votes (73% des sites de la police s’appuie là-dessus pour sécuriser les informations vulnérables) .

D’une façon plus générale, il est incontournable pour le succès de l’économie britannique dans le secteur bancaire, le commerce ou le e-commerce. Les logiciels de chiffrement, dans le viseur de Madame Rudd, ne sont que la partie visible de l’iceberg. Elle doit comprendre que le chiffrement ne peut pas s’appliquer ou se supprimer sur un simple coup de tête. Un chiffrement efficace exige que son infiltration soit impossible et que les portes dérobées de n’importe quel gouvernement ne puissent rendre les systèmes numériques accessibles ni aux cybercriminels ni aux gouvernements eux-mêmes. Amber Rudd a suggéré, à tort, qu’il s’agissait d’une théorie mais c’est un fait mathématique.

Etant donné le niveau de chiffrement, sur lequel le secteur public compte, pour préserver ses données publiques sensibles, il serait bon de conseiller à madame Rudd d’examiner de plus près, la fonction des entreprises technologiques, avant de tirer des conclusions trop rapides – particulièrement tant qu’il n’y a pas de preuve que l’affaiblissement du chiffrement par l’utilisation des « Backdoors » augmenterait notre sécurité.

Les citoyens face à l’accessibilité de leurs données personnelles

Dans le cadre d’un article pour The Telepgraph plus tôt dans l’année, Madame Rudd écrivait : « Qui utilise WhatsApp parce qu’il est crypté de bout en bout, plutôt que parce qu’il s’agit de la meilleure manière, la plus conviviale et bon marché, de rester en contact avec sa famille et ses amis ? », elle disait également : « Les entreprises font souvent des compromis entre sécurité et utilisation. C’est sur ce point, que nos experts croient pouvoir trouver des solutions. Les gens préfèrent souvent la facilité d’utilisation et une multitude de fonctions pour améliorer une sécurité inviolable ».

Pourtant, une étude récente la contredit. En se basant, sur les avis de plus de 1 000 citoyens britanniques, l’étude a examiné les initiatives qui accorderaient aux gouvernements plus d’accès aux données personnelles. Elle met en évidence, qu’une très large majorité d’entre eux, n’est pas d’accord sur l’utilisation de portes dérobées cryptées – avec une totale compréhension des menaces que ces portes dérobées présenteraient pour leur vie privée et leurs données personnelles-.

Dans cette étude, moins d’un quart (24%) des consommateurs britanniques croient en réalité que le gouvernement, devrait être capable d’obliger les citoyens, à communiquer leurs données personnelles. Par contre, à peine 1 sur 5 (19%), accepterait que le gouvernement puisse contraindre les entreprises technologiques à partager les données sans consentement préalable des consommateurs. La moitié des répondants, estime qu’elle serait plus en sécurité contre le terrorisme si le gouvernement avait accès aux données cryptées. Le manque total de soutien sur la position du gouvernement en matière de chiffrement, montre que le public estime clairement les avantages du cryptage, plus d’ailleurs que ne le font nos dirigeants.

Il est nécessaire d’avoir une vision globale

Malheureusement, le débat se poursuit. Madame Rudd ne sera pas la dernière à viser WhatsApp et d’autres sociétés technologiques, qui utilisent le chiffrement pour protéger la vie privée des consommateurs. Avec chaque attaque terroriste, la pression de ces sociétés va augmenter tant que nos dirigeants continueront à tirer des conclusions hâtives sans comprendre les faits.

Cela doit s’arrêter. Le chiffrement n’est pas un ennemi et le gouvernement devrait arrêter de l’encadrer comme si c’était le cas. Même si nous devions laisser de côté les priorités publiques sur cette question, la diminution du chiffrement nous rend plus vulnérables, et affaiblit notre économie, qui dépend d’une vaste gamme de transactions numériques sécurisées. Madame Rudd, de son côté, devrait bien apprendre les fondamentaux du chiffrement avant de commenter encore ce sujet.

iTrust Community : Mettre en conformité avec le RGPD votre entreprise grâce à un SOC

Itrust organise un webinaire gratuit, le 28 novembre, dès 14 heures, pour parler Sécurité informatique avec la iTrust Community.

ITrust community vous invite à assister à son prochain webinaire : Un SOC pour vous protéger de Wannacry, Petya …, mardi 28 novembre à 14h. Celui-ci sera animé par votre serviteur et par ITrust, société d’expertise en cybersécurité française. Ces derniers mois, les notions d’Intelligence Artificielle et de Big Data sont devenues des notions phares. Elles ont fait une entrées fracassante dans le milieu industriel, la cybersécurité ne faisant pas exception.

Pour le secteur de la sécurité, le challenge est de trouver comment détecter et faire face aux attaques de demain. (Comment faire face à des menaces sophistiquées ? Comment pouvoir prédire la façon avec laquelle ces attaques, seront menées et sous quelles formes elles seront amenées ? Grâce à son aptitude a gérer de lourd volumes de données, les algorithmes de l’intelligence artificielle se sont avérés d’une grande efficacité dans la détection des menaces.

En première partie, Damien Bancal, journaliste spécialisé dans la sécurité informatique et la lutte contre le cybercrime (zataz.com) vous parlera des dernières cyber attaques. En seconde partie, ITrust vous présentera son SOC. Rendez-vous gratuit !

Directive sur le droit d’auteur : alerte pour les intermédiaires techniques

Les intermédiaires techniques s’inquiètent de la directive sur le droit d’auteur. La France pousse-t-elle pour l’interdiction des sites d’hébergement en Europe ?

Dès la présentation du projet de directive sur le droit d’auteur en septembre 2016, des organisations professionnelles du numérique avaient alerté sur le risque de brèche dans le statut d’hébergeur. Alors que les travaux avancent au niveau européen, l’Association des Services Internet Communautaires (ASIC), France Digitale, Syntec Numérique et TECH IN France souhaitent faire part de leur vive inquiétude compte tenu des discussions actuelles autour de l’article 13 de cette proposition de directive.

Le projet d’article 13 de la directive sur le droit d’auteur contraindrait les fournisseurs de services d’hébergement (qu’il s’agisse de prestataires de stockage, de sites marchands, de réseaux sociaux, ou encore de plateformes de partage de vidéos) sur Internet à surveiller et filtrer activement les contenus générés par leurs utilisateurs, avec des obligations fortes en termes de détection et de retrait des contenus couverts par le droit d’auteur.

De telles obligations porteraient ainsi atteinte au régime de responsabilité prévu pour les hébergeurs en Europe par la directive commerce électronique et en France par la loi pour la confiance dans l’économie numérique, régime qui s’est avéré fondamental pour le développement d’Internet en France et en Europe.

Par ailleurs, la Présidence estonienne de l’Union européenne a invité les Etats membres à considérer des mesures qui porteraient ouvertement atteinte au régime des hébergeurs*, et à se prononcer sur une extension du droit d’auteur de nature à rendre automatiquement responsable les intermédiaires de l’Internet, en contradiction avec le régime de responsabilité des intermédiaires de la directive commerce électronique**.

La mise en œuvre d’une telle obligation supposerait une pré-sélection systématique par les hébergeurs de chaque contenu envoyé par un internaute avant sa publication et menacerait donc non seulement le fonctionnement de ces services mais surtout l’accès de chacun aux moyens de libre expression et de libre création en ligne. Les hébergeurs deviendraient de facto seuls juges, ex ante, de ce qui doit ou non être accessible sur Internet.

Ainsi, au-delà de l’impact sur les intermédiaires, les mesures envisagées conduiraient nécessairement à une restriction des droits fondamentaux des citoyens européens sur Internet. Cette analyse est partagée par plus de cinquante universitaires européens*** et une lettre ouverte sur le sujet**** a été signée par près de 60 ONG réparties à travers l’Europe et défendant les libertés fondamentales.

Les organisations professionnelles signataires appellent donc la France à défendre le statut des fournisseurs d’hébergement, qui n’est pas contradictoire avec la mise en œuvre de moyens de protection du droit d’auteur, et demandent à ce qu’une réflexion associant les parties prenantes soit engagée au plus vite par le Gouvernement.

* Article 14 de la Directive sur le Commerce Électronique 2000/31
** Article 3(1) de la Directive 2001/29 sur le droit d’auteur dans la société de l’information
*** papers.ssrn.com/sol3/papers.cfm?abstract_id=3054967
**** liberties.eu/en/news/delete-article-thirteen-open-letter/13194

La mauvaise gestion des comptes et des accès à privilèges

Une étude mondiale auprès de plus de 900 professionnels de la sécurité informatique lève le voile sur une mauvaise gestion à grande échelle des comptes à privilèges. Neuf répondants sur dix reconnaissent des difficultés dans la gestion des comptes à privilèges. Un professionnel de la sécurité informatique sur cinq (18 pourcents) procède encore à une journalisation en format papier pour gérer les comptes à privilèges.

Une nouvelle étude mondiale, éditée par la société de One Identity, met en lumière de mauvaises pratiques généralisées en termes de gestion des comptes à privilèges. Dimensional Research a récemment interrogé 913 professionnels de la sécurité informatique sur les difficultés, les habitudes et les tendances en matière de gestion des accès aux données de l’entreprise. Parmi les conclusions les plus éloquentes, neuf répondants sur dix (88 pourcents) admettent rencontrer des problèmes pour gérer les mots de passe à privilèges, alors qu’un sur cinq (18 pourcents) effectue toujours une journalisation en format papier pour gérer les comptes à privilèges.

Ces conclusions sont significatives dans la mesure où les comptes à privilège octroient un accès littéralement illimité à quasiment tous les composants de l’infrastructure IT d’une entreprise et donnent en substance la clé des systèmes et données de l’entreprise les plus stratégiques et les plus sensibles. Cette étude révèle également trois domaines majeurs sujets à d’inquiétantes pratiques lacunaires pour gérer les comptes à privilèges.

Outils et plateformes d’administration

outre le fait que 18 pourcents des répondants admettent utiliser des journaux en format papier, il est surprenant que 36 pourcents utilisent des tableurs tout aussi inappropriés pour faire le suivi des comptes à privilèges. L’étude a également découvert que deux tiers (67 pourcents) des entreprises s’appuient sur deux outils ou davantage pour gérer ces comptes – ce qui révèle une incohérence généralisée dans la gestion des comptes à privilèges.

Supervision et visibilité : la majorité des professionnels de la sécurité informatique (57 pourcents) admet faire la supervision de certains comptes à privilèges uniquement, voire ne pas du tout superviser les accès à privilèges. Pire, 21 pourcents des répondants avouent être incapables de superviser ou d’enregistrer l’activité associée à des identifiants d’administration, alors que 32 pourcents indiquent qu’ils ne peuvent pas identifier de manière cohérente les personnes à l’origine de ces activités.

Gestion et modification des mots de passe : une impressionnante proportion de 86 pourcents des entreprises ne change pas régulièrement le mot de passe de leurs comptes administrateurs après chaque utilisation. De plus, 40 pourcents des professionnels de la sécurité informatique n’appliquent pas la meilleure pratique fondamentale consistant à modifier le mot de passe administrateur par défaut. En contournant ces meilleures pratiques, les comptes à privilèges deviennent une vulnérabilité et ouvrent la porte à une exfiltration de données ou pire en cas de compromission.

Quand une entreprise n’applique pas les processus les plus élémentaires de sécurité et de gestion des comptes à privilèges, elle s’expose à un risque considérable. Encore et toujours, les brèches ouvertes par le piratage de comptes à privilèges résultent en coûts de mitigation astronomiques ainsi qu’en vol de données et en marques écornées,” note John Milburn, président et directeur général de One Identity. “Les résultats de cette étude indiquent qu’il existe une vaste et inquiétante proportion d’entreprises n’ayant pas de procédures appropriées en place. Il est capital que les organisations implémentent les meilleures pratiques en matière de comptes à privilèges sans créer de nouvelles entraves à la réalisation du travail.”

Éviter une gestion archaïque

Un récent rapport de Forrester indique que huit brèches sur dix impliquent des identifiants à privilèges et met en lumière combien les pirates ciblent les comptes à privilèges. Les cybercriminels savent qu’obtenir l’accès à des comptes à privilèges est le moyen le plus rapide et le plus simple de mettre la main sur les données et les systèmes sensibles d’une entreprise. C’est pourquoi les organisations ne peuvent plus se contenter de pratiques dépassées, comme des registres en format papier ou une journalisation sous Excel pour gérer ces comptes prioritaires.

La sécurité reste l’un des freins les plus importants à l’adoption du Cloud

Selon une récente enquête, la sécurité informatique reste l’un des freins les plus importants à l’adoption du Cloud pour les entreprises.

Les entreprises de la zone EMEA se tournent de plus en plus vers Office 365 de Microsoft, même si compte tenu de toutes les cyber attaques récentes, les inquiétudes concernant la sécurité restent l’un des freins les plus importants à l’adoption du cloud. Telle est une des principales conclusions d’une enquête internationale conduite auprès de plus de 1.100 organisations par Barracuda Networks, Inc., un éditeur de solutions de sécurité et de protection de données basées sur le cloud.

L’enquête, intitulée “Office 365 Adoption Survey: Drivers, Risks, and Opportunities” avait pour but de mesurer les tendances autour de l’adoption et de l’utilisation de Microsoft Office 365, y compris les facteurs contribuant à la décision pour ou contre la migration vers cette plate-forme. L’étude a également permis de rassembler des informations sur l’utilisation par les entreprises de solutions tierces de sécurité et de protection de données avec Office 365, et leur engagement vis à vis de revendeurs à valeur ajoutée (VARs) et de fournisseurs de services managés.

Commentant ces résultats, Chris Ross, SVP International chez Barracuda Networks, a déclaré : “L’adoption d’Office 365 continuant d’augmenter d’une année sur l’autre en Europe, il est naturel d’assumer que les inquiétudes concernant les cyber menaces vont persister. Mais il est encourageant de constater que les entreprises s’éveillent à l’importance d’une approche de protection multi-couches, ce qui suggère une meilleure compréhension de leurs obligations lors de l’adoption du cloud.

Un domaine où l’Europe a encore du chemin à faire pour atteindre les niveaux constatés aux États-Unis est l’adoption de solutions tierces pour ajouter une couche supplémentaire de sécurité contre les attaques de spear phishing, d’usurpation d’identité et de ‘social engineering.

Seules 14% des organisations de la zone EMEA ont déjà quelque chose en place, à comparer à 36 pour cent aux États-Unis. Nous pensons que cette situation devrait évoluer au cours de l’année qui vient, et nous incitons les entreprises européennes à y prêter attention.

Nous constatons que les cyber criminels changent de cibles, passant du top management à des employés plus bas dans la hierarchie, et de grandes entreprises à des organisations plus petites disposant de moins de ressources.”

Principales conclusions dans la zone EMEA

* Près des deux tiers (62%) des entreprises de la zone EMEA utilisent désormais Office 365, en augmentation de 50 pour cent par rapport à une enquête similaire réalisée par Barracuda en 2016.

* Parmi celles qui n’utilisent pas aujourd’hui Office 365, un peu moins de 40% indiquent qu’elles prévoient de migrer dans l’avenir – une proportion moindre qu’aux États-Unis, où près de 49% déclarent prévoir cette migration.

* La plus grande inquiétude visant la sécurité pour plus de 90% des entreprises européennes concerne les ransomwares. Près la moitié d’entre elles (48%) avouent avoir déjà été frappée par une infection de ce type, même si seulement 3% d’entre elles ont finalement payé la rançon.

* Pour les entreprises ayant déjà été frappées, le mail a été de loin le principal vecteur d’attaque pour les cyber criminels, près des trois quarts (70%) des attaques par ransomware arrivant via email. Les trafic web (18%) et le trafic réseau (12%) n’ont représenté qu’un nombre relativement faible d’infections.

* La raison la plus couramment invoquée pour ne pas migrer vers Office 365 a changé depuis l’étude de l’année dernière, les entreprises européennes rejoignant les américaines en plaçant en tête les inquiétudes concernant la sécurité (32%). Mais à la différence des États-Unis, les entreprises européennes citent toujours une politique “no cloud” comme une raison significative de ne pas migrer (28%).

* Malgré ces inquiétudes, plus de 85 pour cent des entreprises européennes interrogées ont indiqué ne pas utiliser la fonction Advanced Threat Protection (ATP) de Microsoft Office 365 – s’appuyant plutôt sur des solutions tierces pour accroître la protection de leurs environnements Office 365. Plus de deux cinquièmes d’entre elles (43%) utilisent des solutions tierces de sécurité, d’archivage ou de sauvegarde, ce chiffre étant encore plus important (68%) parmi celles qui prévoient de migrer.

* A côté de cela, 41% des organisations interrogées ont déclaré redouter des attaques de phishing, de spear phishing, d’usurpation d’identité ou de ‘social engineering’. Toutefois, seules 14% des organisations européennes ont indiqué disposer d’une solution tierce pour adresser ces menaces.

Ces résultats confirment la prise de conscience croissante des besoins de sécurité que nous constatons chez nos clients, et la nécessité d’adopter une approche multi-couches pour progresser,” a ajouté Sanjay Ramnath, Vice President of Security Products and Business Strategy chez Barracuda. “Nos clients et nos partenaires indirects qui déploient Barracuda Sentinel et Barracuda Essentials for Office 365 peuvent migrer certains de leurs processus de gestion stratégiques dans le cloud, tout en étant certains d’être protégés contre les ransomwares, les attaques de spear phishing et d’autres menaces avancées.

Trafic des Code Signing Certificates

Sur le dark web, le trafic illicite des « Code Signing Certificates » se révèle plus lucratif que le trafic de passeports et d’armes. Une étude révèle le commerce florissant des certificats de signature de code.

Le business des Code Signing Certificates prend de l’ampleur. C’est du moins ce qu’a constaté Venafi, éditeur de solutions axées sur la protection des identités machines. La société annonce les conclusions d’une enquête menée pendant six mois, sur les ventes de certificats numériques de signature de code réalisées sur le darkweb.

Menée par le CSRI (Cyber Security Research Institute), cette enquête a mis en évidence l’abondance de certificats de signature de code sur le darkweb, qui peuvent se négocier jusqu’à 1 200 dollars – rendant ces articles plus onéreux que des passeports contrefaits, des cartes bancaires dérobées et même des armes de poing aux États-Unis.

« Nous savons depuis plusieurs années que les cybercriminels recherchent activement des certificats de signature de code pour diffuser des logiciels malveillants sur ordinateurs », indique Peter Warren, président du CSRI. « La preuve de l’existence d’un marché de la criminalité aussi conséquent pour les certificats remet en question l’ensemble de notre système d’authentification sur Internet et témoigne de l’urgente nécessité de déployer des systèmes technologiques capables de faire obstacle à l’utilisation abusive des certificats numériques. »

Les certificats de signature de code servent à vérifier l’authenticité et l’intégrité des logiciels et applications informatiques, et constituent un élément essentiel de la sécurité sur Internet et en entreprise. Néanmoins, les cybercriminels peuvent mettre à profit des certificats de signature de code compromis pour introduire des malwares sur des réseaux d’entreprise et équipements grand public.

« Notre étude révèle que les certificats de signature de code constituent des cibles lucratives pour les cybercriminels », souligne Kevin Bocek, stratège sécurité chez Venafi.

Les certificats de signature de code dérobés rendent la détection de logiciels malveillants quasiment impossible pour les entreprises. N’importe quel cybercriminel peut s’en servir pour fiabiliser et mener à bien des attaques de malwares, de ransomware et aussi des attaques cinétiques.

De plus, les certificats de signature de code pouvant être revendus plusieurs fois avant que leur valeur ne commence à décroître, ils s’avèrent très profitables aux pirates et aux négociants présents sur le darkweb. Autant de facteurs qui alimentent la demande en leur faveur.

« Bien que notre enquête ait mis au jour un trafic florissant au niveau des certificats de signature de code, nous avons uniquement fait apparaître la partie émergée de l’iceberg. Ironie du sort, nos chercheurs n’ont pu, bien souvent, approfondir leurs investigations, les opérateurs du darkweb se montrant méfiants à leur égard. Nous soupçonnons un négoce de certificats et de clés TLS, VPN et SSH tout aussi prospère, en marge du trafic de certificats de signature de code que nous avons mis au jour », conclut Peter Warren.

Chiffrement : une clé USB sensible trouvée dans la rue

Chiffrement : un homme trouve une clé USB avec les plans de sécurité d’un aéroport Londonien. Des informations qui n’étaient pas chiffrées !

Un Londonien sans emploi a découvert une clé USB dans la rue alors qu’il se dirigeait vers la bibliothèque pour vérifier sur Internet les offres d’emploi. Quand il est arrivé à la bibliothèque, il l’a branché et a découvert que cette dernière était remplie de nombreux détails de sécurité au sujet de l’aéroport international de Londres Heathrow. On pouvait également y trouver les mesures de sécurité et les détails de voyage de la reine Elizabeth II. L’homme a remis immédiatement le disque à un journaliste du Sunday Mirror.

Les informations ainsi disponibles comprenaient l’emplacement de chaque caméra de télévision en circuit fermé (CCTV), les itinéraires et mesures de protection de la sécurité pour la Reine, les ministres du Cabinet et les dignitaires étrangers en visite, mais aussi des cartes des tunnels de l’aéroport.

Une fuite, des fuites !

« Cette histoire est tout ce qui est de plus vraie hélas » indique Romain Cohen-Gonsaud, responsable des ventes et du marketing en Europe pour Origin Storage, il poursuit en indiquant « de tels faits sont très graves et il faut que tout le monde prennent conscience au niveau des entreprises, gouvernements et agences gouvernementales que les données que nous stockons sont ultra sensibles ».

Il existe de nombreux moyens de protéger nos données où qu’elles se trouvent. Si l’on reprend l’exemple de cette clé USB perdue, une telle histoire n’aurait pas vu le jour si le propriétaire des données avait mis en place un système de gestion des périphériques mobiles. En effet avec la solution SafeConsole, il est possible d’administrer à distance un disque dur ou encore une clé USB, changer le mot de passe utilisateur et même effacer la totalité du contenu stocké ! Et ceci à distance sas effort.

A l’heure où nous parlons de plus en plus de la fameuse GRPD, cette loi qui va obliger les entreprises de toute taille à mettre en œuvre des systèmes afin de sécuriser leurs données, il faut bien avouer que cette histoire doit tous nous motiver à prendre les bonnes décisions, plutôt que de les subir, et ce dans l’intérêt de tous.

Assurance : Euler Hermes lance EH Fraud Reflex

La première assurance fraude globale et 100% digitale des petites entreprises.

Face à un risque de fraude croissant et protéiforme, Euler Hermes affirme à nouveau sa volonté d’accompagner les entreprises dans la prévention des risques et la protection de leur trésorerie. Le leader européen de l’assurance fraude lance une nouvelle solution complète et totalement dématérialisée à destination des petites entreprises[1], EH Fraud Reflex.

Entre persistance de la fraude par usurpation d’identité et explosion du nombre de cyber attaques, le risque de fraude se diversifie, s’intensifie, et évolue vers plus de sophistication. D’après l’étude menée en 2017 par Euler Hermes et la DFCG[2], 8 entreprises sur 10 ont été victimes d’au moins une tentative de fraude l’an passé, et 1 entreprise sur 5 a subi au moins une fraude avérée sur la même période.

« Les petites entreprises semblent les plus exposées au risque de fraude, car leur budget alloué à la protection des données et au renforcement des process est limité. De plus, la moindre perte peut s’avérer désastreuse pour leur trésorerie. Selon notre enquête, 10% des sociétés attaquées l’an passé auraient subi une perte supérieure à 100 000 €. Un montant conséquent qui mettrait en danger la viabilité de beaucoup de petites entreprises », analyse Sébastien Hager, Expert fraude chez Euler Hermes France.

Efficacité, simplicité et personnalisation

Afin d’aider les petites entreprises à protéger leur activité, Euler Hermes propose une nouvelle solution d’assurance fraude globale et 100% digitale. EH Fraud Reflex les protège contre la cyberfraude, la fraude externe et la fraude interne, avec une couverture des pertes directes et de certains frais consécutifs (atteinte au système de téléphonie, décryptage du ransomware, restauration et/ou décontamination des données). La couverture, la franchise et la durée sont personnalisées selon le profil de l’entreprise et modulables.

Le parcours de souscription, entièrement dématérialisé, s’effectue sur une plateforme internet dédiée : de la qualification du besoin à la définition des paramètres du contrat, avec une possibilité de signature électronique une fois les options et le tarif sélectionnés, EH Fraud Reflex propose une expérience digitale optimisée, intuitive et rapide. De plus, l’outil allie à la fois prévention et protection : plusieurs questions sont posées à l’entreprise afin de l’aider à identifier ses mesures de prévention face au risque de fraude, et à définir précisément son besoin de couverture.

« Finalement, EH Fraud Reflex pourrait se résumer en trois mots : efficacité, puisqu’elle protège contre tous les types de fraude à moindre coût (à partir de 75€ HT par mois) ; simplicité, puisqu’on peut y souscrire en ligne, en quelques clics et sans audit préalable ; personnalisation, puisqu’elle s’adapte aux besoins de l’entreprise », résume Sébastien Hager.

De nouveaux risques qui nécessitent de nouvelles défenses

Pour Eric Lenoir, Président du Comité Exécutif d’Euler Hermes France, la dématérialisation de l’assurance répond parfaitement à l’évolution des attentes des petites entreprises. « Le progrès technologique permet aux pirates de se réinventer en permanence, d’où l’apparition récurrente de nouveaux risques pesant sur la trésorerie et la rentabilité des petites entreprises. Dans ce contexte, ces dernières recherchent avant tout de la flexibilité, de la simplicité et de l’immédiateté dans les outils qu’elles utilisent pour se défendre. L’assurance 100% digitale réunit l’ensemble de ces critères, et EH Fraud Reflex relève de cette philosophie. La commercialisation de cette nouvelle solution d’assurance fraude est une étape supplémentaire dans notre accélération digitale, et appelle à d’autres innovations dans la façon de protéger les actifs des sociétés. C’est un virage primordial pour accompagner au mieux les petites entreprises dans leur prévention, leur protection et leur développement. »

[1] Entreprises dont le chiffre d’affaires est inférieur à 10 millions d’euros
[2] Enquête menée en avril 2017 auprès de 200 entreprises. Toutes les tailles d’entreprises et tous les secteurs sont représentés

RGPD : choisir entre l’anonymisation ou la pseudonymisation des données personnelles

Anonymisation ou pseudonymisation ? Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans quelques mois, le 25 mai 2018. Avec la digitalisation et l’augmentation accrue du nombre de données, cette nouvelle réglementation européenne demande à toute entreprise manipulant des données personnelles et toute information permettant d’identifier une personne, de mettre en place les moyens techniques adéquats pour assurer la sécurité des données des citoyens européens.

Anonymisation ou pseudonymisation ? Deux grandes techniques très distinctes mises en avant dans la réglementation RGPD / RDPG mais qui sont pourtant souvent confondues dans le monde de la sécurité informatique : l’anonymisation des données et la pseudonymisation des données. Pour être conforme à la RGPD, il est important de pouvoir faire la différence, afin de s’assurer d’être bien préparé et de protéger correctement les données des citoyens.

Data anonymization (anonymisation) ou comment anonymiser l’information

La technique de l’anonymisation des données détruit toute possibilité de pouvoir identifier à quel individu appartiennent les données personnelles. Ce processus consiste à modifier le contenu ou la structure des données en question afin de rendre la « ré-identification » des personnes quasi impossible, même après traitement.

Cette méthode, intéressante au départ, reste pourtant difficile à mettre en œuvre dans la mesure où plus le volume de données croît, plus les risques de ré-identification par recoupement sont importants. En effet, des informations totalement anonymisées peuvent conduire à l’identification d’une personne en fonction du comportement relevé dans les informations, comme les habitudes de navigation sur internet, les historiques d’achats en ligne. Par exemple, si une entreprise garde les données de l’employée Sophie, même en les rendant anonymes (plus de nom, prénom, date de naissance et adresse), l’humain ayant des habitudes, il reste tout de même possible de déterminer un comportement spécifique : L’entreprise saura par exemple que Sophie se rend sur le même site d’information tous les matins, consulte ses mails quatre fois par jours et aime visiblement commander tous les jeudis son déjeuner au restaurant au coin de la rue. Au final, même anonymisées, les habitudes de comportement de Sophie permettent de la ré-identifier.

Or, la CNIL rappelle que « pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. »

Pour de nombreuses entreprises donc, l’anonymisation totale des données personnelles reste difficile à mettre en œuvre. Ces dernières se tournent alors vers une autre technique qui apparait comme un bon compromis : la pseudonymisation.

La pseudonymisation ou l’anonymisation des données

La réglementation RGPD introduit un nouveau concept de protection des données à échelle européenne, la pseudonymisation, un « entre deux » qui ne rend pas les données complètement anonymes ni complètement identifiables non plus. La pseudonymisation consiste à séparer les données de leurs propriétaires respectifs pour que tout lien avec une identité ne soit possible sans une information supplémentaire. En résumé, il s’agit d’une technique d’amélioration de la vie privée où les données d’identification directes sont conservées séparément et en toute sécurité à partir des données traitées, afin de garantir la non-attribution. Ainsi, dans le contexte de la pseudonymisation, les données ne sont pas complètement anonymes sans être identifiables pour autant.

L’unique point faible de la pseudonymisation est qu’elle génère une clé d’identification, une pièce maîtresse qui permet d’établir un lien entre les différentes informations des personnes. Pour assurer la sécurité des données, ces clés d’identification doivent être stockées avec un contrôle d’accès performant. En effet, une clé d’identification mal protégée permet à un attaquant de retrouver les informations originales avant que ces dernières ne soient traitées. L’utilisation du chiffrement des données sensibles fait partie des solutions robustes de protection des informations confidentielles en matière de pseudonymisation. Et il est du devoir de l’entreprise de mettre en place les solutions de sécurité adéquates et raisonnables permettant de limiter les risques de vols de ces précieuses clés par des personnes mal attentionnées.

Les entreprises ont le choix entre les techniques d’anonymisation et de pseudonymisation des données personnelles pour être conformes au RGPD. Leur choix dépendra de leurs besoins mais aussi de la nature des informations collectées. Si l’anonymisation est une technique qui peut être difficile à mettre en place, la pseudonymisation permet de simplifier le processus de protection des données personnelles tout en restant conformes à la nouvelle réglementation européenne. (Jan Smets, pre-sales manager chez Gemaltode)

Le cabinet d’avocats Desmarais en direct dans le Dark Web

Dark Web, deux mots qui font fantasmer… et renvoient souvent aux hackers, crackers et autres pirates informatiques. Un espace qui pourtant n’est pas à négliger. Le cabinet d’avocats Desmarais vient d’y implanter un espace numérique.

Ce Dark Web, appelé officiellement « Internet Clandestin » par la Commission d’Enrichissement de la Langue Française n’est pas une zone de non droit pour Pierre Desmarais du Cabinet Desmarais Avocats. « Le Dark Web est d’abord et avant tout un espace chiffré permettant des échanges et des connexions sécurisées et plus anonymes. Comme sur tout espace public, le droit y a pleinement sa place ».

De l’autre côté du miroir

En amont de l’ouverture du Hackfest de Québec et à l’occasion du lancement de son nouveau site Internet (www.desmarais-avocats.fr), le Cabinet, spécialisé notamment en droit de l’innovation, des données et du numérique, a décidé de se présenter également sur TOR (The Onion Router) via l’adresse pxpalw3plncz4umm.onion (Uniquement via TOR).

« Aujourd’hui, c’est une simple transposition de note site classique. Demain, nous irons plus loin. En effet, les utilisateurs du Dark Web, de TOR, se posent de nombreuses questions sur l’usage crypté / anonymisé permis pour cet espace. C’est pourquoi nous allons rapidement leurs proposer une FAQ sur les points principaux » précise Mr Pierre Desmarais.

De plus, et pour aller encore plus loin, le cabinet Desmarais Avocats envisage déjà de réaliser des webinars dédiés sur TOR. Pour construire ceux-ci et préparer la FAQ, chaque internaute présent sur le Dark Web et s’interrogeant sur une question juridique liée à son usage est invité à transmettre celle-ci via le formulaire de contact présent sur le site.

Dark Web, un nouvel espace de sécurité pour les usagers et les entreprises

À l’heure où la sécurisation des données, leur anonymisation sont au centre de tous les débats, aussi bien dans le monde de la santé, du e-commerce, de la banque-assurance ou de l’information, le Dark Web est de plus en plus porteur de solutions.

OpenBazzar est un exemple révélateur de cette évolution, de ces nouveaux usages issus du Dark Web. Non seulement cette plateforme de e-commerce permet de limiter le prix de biens vendus (absence de commission, chaque utilisateur ou entreprise étant sa propre plateforme de e-commerce) mais elle permet également de rester maître de ses données personnelles, de ses habitudes d’achat qui ne sont transmises à personne.

« Les technologies blockchain, dont on parle de plus en plus et dont les usages commencent à émerger pour sécuriser des transactions financières, des échanges de données…, sont nées du Dark Web » indique Mr Pierre Desmarais avant de poursuivre « Il est nécessaire de s’immerger dans cet espace si l’on souhaite accompagner au mieux les usages. Cela fait partie de l’ADN du cabinet ».

Les entreprises françaises trop sûres d’elles face au RGPD

Règlement européen sur la protection des données (RGPD) : Les entreprises françaises seraient-elles trop confiantes vis à vis de leur conformité réglementaire ?

A moins de 8 mois de l’entrée en vigueur du RGPD, le Règlement Général sur la Protection des Données  le 25 mai 2018, Trend Micro a souhaité vérifier si les entreprises étaient bien préparées. Pour ce faire, l’éditeur a conduit une étude internationale auprès de 1 000 cadres dirigeants à travers une dizaine de pays, dont la France.

Les entreprises françaises : vraiment prêtes ?

98 % des entreprises françaises savent qu’elles doivent se conformer au RGPD et 92 % des cadres dirigeants affirment avoir déjà pris connaissance des dispositions légales s’y rapportant, conscients de l’importance de la règlementation. De même, la moitié d’entre eux connait le montant des pénalités financières en cas de non-conformité, démontrant une certaine avance en comparaison d’autres pays tels que le Royaume-Unis où seuls 27 % des dirigeants sont conscients que leur entreprise encourt une amende équivalente à 4 % du chiffre d’affaires.

Cependant, les entreprises ne semblent ni aussi préparées ni aussi protégées qu’elles le prétendent. En effet, une certaine confusion demeure quant à la nature exacte des données personnelles à protéger. L’étude démontre par exemple que les cadres dirigeants français sont encore nombreux à ignorer que sont considérées comme des données personnelles : la date de naissance d’un client (67 %), les bases de données marketing contenant des mails (33 %), les adresses postales (27 %) ou encore les adresses électroniques (21 %).

La bonne compréhension des principes généraux du RGPD s’accompagne donc d’un certain excès de confiance puisque près de 8 entreprises françaises sur 10 (79 %) affirme pourtant que leurs données sont totalement sécurisées (89 % aux États-Unis). Une majorité d’entre elles (33 %) estime d’ailleurs n’avoir besoin que de 7 à 12 mois pour se mettre en conformité.

Mise en conformité : quelles étapes, quels obstacles ?

Les étapes considérées comme prioritaires par les entreprises françaises pour se conformer à la règlementation sont l’augmentation de la police d’assurance en cas de faille (60 %) et l’embauche d’une tierce personne en charge de la conformité (58 %). Sur ce sujet, on constate une divergence entre les pays : en Allemagne (64 %), aux Etats-Unis (63 %) et au Royaume-Uni (58 %), investir davantage pour sécuriser le SI reste en effet la première priorité.

Trend Micro s’est également attaché à mettre en lumière les principaux freins liés à la mise en conformité. Ainsi parmi les personnes sondées, le manque de processus clairs et d’informations liées à l’appartenance des données (34 %) et les ressources financières nécessaires (32 %) sont perçus comme les principaux obstacles.

Les entreprises françaises : suffisamment transparentes vis-à-vis de leurs clients ?

Selon l’étude, 97 % des entreprises françaises déclarent avoir d’ores et déjà mis en place un processus permettant de prévenir les autorités en charge de l’application du RGPD dans les 72 heures suivant la détection d’une faille de données. Cependant, 27 % admettent ne pas prévenir leurs clients suite à une fuite de données… un point sur lequel d’autres pays font preuve de davantage de transparence, puisque 13% des organisations américaines et 14% des entreprises anglaises déclarent ne pas avertir leurs clients. En France, ce manque de rigueur est largement décrié par les clients qui, à 81 %, demandent plus de transparence sur la protection et l’utilisation de leurs données.

Quant aux conséquences, 43 % des cadres dirigeants estiment qu’une faille de données survenant après l’entrée en vigueur du RGPD aurait un impact négatif sur la fidélité de leurs clients, tandis que 30 % d’entre eux considèrent que l’impact serait davantage d’ordre financier.

L’appartenance des données est quant à elle une question encore relativement floue pour les entreprises françaises. En effet, en cas de fuite de données européennes détenues par un prestataire de services américain, 57 % pensent que la responsabilité revient au propriétaire des données en Europe et 25 % au prestataire de services basé aux Etats-Unis. La tendance varie aux Etats-Unis, 43 % des sondés considérant que la faute incombe au prestataire de services et 42 % au propriétaire des données.

Mise en place du RGPD : mais qui est responsable au sein de l’entreprise ?

En France, 46 % des personnes interrogées tiennent le RSSI pour responsable de la mise en conformité, tandis que cette tâche revient à l’ensemble de l’entreprise aux yeux des entreprises allemandes (40%), anglaises (37 %) et américaines (38 %). « Si cette étude illustre bien la prise de conscience et le chemin parcouru, elle confirme cependant que le processus de mise en conformité ne doit pas être pris à la légère », commente Loïc Guézo, Stratégiste CyberSécurité Europe du Sud, Trend Micro. « En effet, les entreprises se doivent de mettre en place des solutions de protection des données efficaces pour éviter d’exposer leur réputation et ne pas mettre en péril la relation de confiance construite avec leurs clients ».

Global Transparency Initiative

Global Transparency Initiative : alors qu’il ne reste que quelques jours à l’administration américain pour effacer les outils Kaspersky de leurs postes informatiques, le géant de la sécurité informatique Russe lance son programme transparence !

Kaspersky Lab a présenté son « Global Transparency Initiative ». Mission, la société russe fournira un accès au code source – y compris des mises à jour – pour une évaluation par un tiers de confiance. Kaspersky explique qu’il ouvrira aussi trois centres de transparence dans le monde entier. Un peu comme l’annonçait, il y a quelques années, Microsoft. La Global Transparency Initiative s’inscrit dans le cadre de l’engagement à garantir l’intégrité et la fiabilité de des solutions logiciels, afin de protéger les clients contre les cyber-menaces.

Grâce à cette initiative, Kaspersky Lab incitera la communauté de la cyber sécurité dans sa globalité et d’autres parties prenantes à valider et vérifier la fiabilité de ses solutions, de ses processus internes et de ses opérations commerciales. Le Russe entend également favoriser la mise en place de mécanismes de responsabilisation supplémentaires, qui permettront à l’entreprise de démontrer qu’elle s’attaque rapidement et en profondeur à tous les problèmes de cybersécurité. Dans le cadre de cette initiative, la société a l’intention de fournir à un tiers de confiance, et sous condition, l’accès au code source de ses logiciels – y compris les mises à jour des logiciels et des règles de détection des menaces – à des fins d’examen et d’évaluation indépendants. « La balkanisation de l’Internet ne profite à personne, explique Eugene Kaspersky, PDG de Kaspersky Lab. Sauf aux cybercriminels. Une coopération réduite entre les pays favorise l’action des cybercriminels et les partenariats public-privé ne fonctionnent pas comme ils le devraient.« .

Kaspersky a été accusé par la Maison Blanche d’avoir participé (directement ou indirectement) à des fuites de données concernant le renseignement américain. A regardé de plus prêt, le protectionnisme de l’Oncle Sam a trouvé un moyen de couper l’herbe sous le pied d’une entreprise concurrente aux structures locales. A voir si l’examen indépendant du code source de la société, réalisé par un tiers de confiance et qui débutera d’ici le 1er trimestre 2018, avec des examens similaires des mises à jour logicielles de la société et des règles de détection des menaces à suivre sera suffisent pour faire reculer l’administration Trump.

A noter que Kaspersky vient de signer un nouvel accord de partenariat avec Europol. Tout comme Trend Micro qui vient d’unir son expertise avec les policiers d’Europol pour protéger le secteur financier face aux attaques ciblant les Distributeurs Automatiques de Billets.

Près de la moitié des décideurs IT estiment que la cybersécurité n’est toujours pas une priorité pour leurs dirigeants

Cybersécurité : Une étude indique que les personnes interrogées s’attendent à ce que la transition vers le cloud, axe majeur de la transformation digitale de leur entreprise, incite à se pencher davantage sur la sécurité.

La société Fortinet, spécialiste cybersécurité, vient d’annoncer les résultats de son étude mondiale Global Enterprise Security Survey. Une enquête qui révèle qu’en dépit de la recrudescence de cyberattaques d’envergure, près de la moitié des décideurs informatiques IT, évoluant dans des entreprises de plus de 250 collaborateurs dans le monde, pense que leurs dirigeants n’accordent toujours pas à la cybersécurité le niveau de priorité nécessaire.

Cependant, nombre de ces professionnels de l’informatique pensent que la transition vers le cloud, dans le cadre de la transformation numérique de leur organisation, octroiera plus d’importance à la sécurité. Pour Patrice Perche, senior executive vice president, worldwide sales & support, Fortinet « Au fil des années, nous avons constaté que la cybersécurité est devenu un investissement majeur pour les organisations, avec des dirigeants plus nombreux à l’intégrer au sein de leur stratégie informatique. Alors que les entreprises ont initié leur transformation digitale et optent pour des technologies comme le cloud, la cybersécurité n’est plus seulement un investissement informatique, mais aussi une décision stratégique d’entreprise. Au sein de notre économie digitale actuelle, je pense que la tendance identifiée au niveau des directions générales va s’accélérer et que la sécurité deviendra une priorité au sein des stratégies de gestion de risques des entreprises. C’est ainsi que les entreprises seront d’autant mieux positionnées pour que leurs efforts de transformation soient couronnés de succès.« 

Les dirigeants ne considèrent pas la cybersécurité comme une priorité absolue : 48% des décideurs IT (40% en France) estiment que la cybersécurité n’est toujours pas une priorité de premier rang pour leurs dirigeants. Ce constat n’affecte néanmoins pas les budgets, puisque 61% des entreprises (49% en France) déclarent allouer plus de 10% de leur budget informatique à la sécurité. 71% des personnes interrogées (63% en France) estiment que leur budget de sécurité informatique a progressé par rapport à l’année précédente. Aujourd’hui, les décideurs IT estiment que la cybersécurité doit être prioritaire pour le top management, comme le soulignent les 77% des répondants (71% en France) qui estiment que leur direction générale devrait davantage se pencher sur la sécurité IT.

Trois raisons pour faire de la cybersécurité une priorité absolue

· La progression des piratages informatiques et des cyberattaques mondiales : sur les deux dernières années, 85% des entreprises (77% en France) ont subi un piratage. Pour 47% des répondants (45% en France), ce sont les logiciels malveillants et les ransomware qui sont les vecteurs les plus utilisés pour commettre ces exactions.

49% des décideurs interrogés (50% en France) déclarent que la sécurité IT a été davantage prise en compte suite aux cyberattaques mondiales de type WannaCry. L’étendue et le profil des cyberattaques mondiales attirent l’attention des dirigeants sur la cybersécurité, dont les décisions ne relèvent plus uniquement des directions informatiques.

· Un cadre réglementaire plus contraignant : la multiplication des réglementations est également un facteur de sensibilisation des directions générales, pour 34% des personnes interrogées (43% en France). Les amendes dissuasives qu’impose une réglementation comme le RGPD de l’Union Europe ne laissent pas les dirigeants indifférents.

· La transition vers le cloud en tant que catalyseur de la sécurité : Alors que les organisations sont plus nombreuses à opter pour les technologies cloud, 74% des décideurs (73% en France) estiment que la sécurité du cloud devient cruciale. 77% des répondants (71% en France) affirment également que la sécurité du cloud, et donc les investissements qui en découlent, deviennent une priorité pour leur direction générale. Il en résulte que 50% des personnes interrogées (47% en France) envisagent d’investir dans la sécurité cloud au cours des 12 prochains mois.

Future attaque ? Le petit frère de Miraim, Reaper, collecte ses objets connectés

Reaper, un nouveau botnet visant des objets connectés,  emmagasinerai des informations pour une future attaque.

Reaper, une menace plus grande que Mirai ? Voilà ce qu’annonce plusieurs sociétés de sécurité informatique concernant le botnet Reaper. Les chercheurs de Checkpoint se demandent si une attaque d’envergure ne serait pas en préparation.

Reaper partage des caractéristiques similaires à celles de Mirai, mais il peut « évoluer » afin d’exploiter les vulnérabilités des appareils connectés à Internet.

Il aurait déjà touché plus d’un million d’appareils dans le monde entier. Plusieurs experts estiment qu’il pourrait bientôt être armé pour lancer des cyber-attaques de la même manière que Mirai l’année dernière.

Laurent Pétroque, expert en attaque DDoS chez F5 Networks, indique d’ailleurs que « Le botnet Reaper est une évolution du botnet Mirai qui avait fait de nombreux dégâts, en faisant tomber le gestionnaire de noms de domaine DYN, ce qui avait eu pour conséquence de rendre indisponibles de nombreux grands sites internet.« 

Reaper se développerait depuis plus d’un mois, se propageant parmi de nombreux types d’appareils connectés.

Reaper et Mirai, des armes numériques !

La plus grande différence entre Reaper et Mirai ? Mirai essayait de se connecter aux appareils au travers de Telnet. Il utilisait les mots de passe trop faibles ou ceux utilisés par défaut pour prendre le contrôle des appareils. Bref, jouer avec les mots de passe usine !

Le botnet Reaper de son côté cherche à exploiter les vulnérabilités des appareils non patchés. Mission, en prendre le contrôle et de les ajouter à une plate-forme de commande et de contrôle. Cela signifie qu¹il peut continuer à croître et être utilisé pour toutes sortes d’activités criminelles. « Une simple mise à niveau du mot de passe n’est pas suffisante pour se protéger du botnet. Elle est tout de même fortement recommandée pour tous les appareils connectés à Internet. » confirme F5.

Il n’en reste pas moins que le botnet Reaper possède déjà de nombreux appareils sous son contrôle. Il peut encore être utilisé pour causer du tort. C’est pour cette raison que chacun doit se préparer au pire. Les motivations des cybercriminels ? Déclencher le chaos ? Obtenir un gain financier ou cibler un pays/organisation spécifique ?

On peut d’ailleurs se demander si les dernières attaques DDoS visant par exemple plusieurs importants hébergeurs Français, mais aussi la société de transport public Suédois n’étaient pas des tests grandeur nature.

De son côté, depuis fin septembre, Check Point a vu augmenter le nombre de tentatives pour exploiter une combinaison de vulnérabilités trouvées dans différents objets connectés. Des attaques profitant de caméras IP wireless comme : GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology.

Les tentatives de cyberattaques proviennent de différentes sources et d’une large variété d’objets connectés. Cela signifie que ce sont les objets connectés eux-mêmes qui ont répandu l’attaque.

Jusqu’à maintenant, Check Point estime que plus d’un million d’entreprises à travers le monde ont été infectées, et le chiffre ne fait qu’augmenter.

Krack ou l’hypocrisie mondiale des maîtres du monde

L’annonce de la faille de sécurité baptisée Krack mettant en suspend toute la confiance du monde sur les réseaux Wifi domestiques et professionnels fait la une de la presse générale. Il s’agit de la fameuse clé WAP2, norme barbare améliorée du protocole de chiffrement Wifi WAP.

On découvre que plus aucun terminal connecté à un réseau Wifi n’est protégé, mieux on en devient tous vulnérable. Une partie de nos échanges chiffrés peuvent être captés par un tiers malveillant – comprenez un hacker – et que désormais, nous ne devrions plus utiliser nos Wifi. Il faut comprendre que si un hacker sait lire une “partie“ de vos fichiers, il sait en vérité tout lire. Il n’y pas de demie mesure sur ce point. Mais ne cédons pas à la panique d’autant que curieusement les agences de sécurité reconnaissent avoir identifié cette faille depuis des semaines et les éditeurs sont déjà en train de proposer des mises à jour de sécurité. Cela avant même la communication sur cette faille qui n’est finalement pas une trouvaille.

La bonne idée c’est que Mathy Vanhoef, chercheur à l’Université de Leuven en Belgique a trouvé un moyen de rejouer la faille par un programme automatisé. En clair, il est capable d’industrialiser l’attaque.

Mais nous savons, parce que c’est notre métier, que jamais aucun réseau Wifi n’est sécurisé. En 2008, les civils Martin Beck et Erik Tews avaient découvert une faille sur le format WAP. Né alors le WAP2 censé corriger l’algorithme du chiffrement, c’est de lui qu’il s’agit aujourd’hui.

L’avez-vous remarqué, je parle des chercheurs comme des civils ? En effet, il est salutaire de noter que sans ces femmes et ces hommes, notre résistance aux attaques cybernétique serait tout bonnement nulle. Et les États alors ? Et bien sachez que tous les États gardent pour eux les failles de sécurités qu’ils détectent par hasard ou non, et ceux pour tous les systèmes quels qu’ils soient. La raison est simple. Elle tend à renforcer les systèmes de défense et d’attaque du pays. L’atout et de savoir ce que l’autre ignore.

L’attaque de masse nommée Wannacry s’appuyait sur une faille Windows de Microsoft que la NSA avait gardé pour elle jusqu’à ce qu’un lanceur d’alerte la publie sur Wikileaks. Les mafias ou états étrangers n’avaient plus qu’à en prendre connaissance pour construire une attaque de masse. Comme quoi, avoir le savoir d’une attaque cybernétique d’ampleur vous met en situation temporaire de Maître du monde.

L’enjeu quand il n’est ni stratégique ni politique et simplement cupide. Et cette attaque extrêmement bien relayée par les médias pourrait changer l’internet de demain. La force du réseau internet est de laisser le maximum d’échange possible en clair. Si cette attaque invite tous les consommateurs d’internet à utiliser un VPN de trafic internet souverain, alors le Ad Marketing est mort entraînant dans sa chute Google en premier, les autres ensuite. Sans captation du trafic, le vôtre en l’occurrence, on ne peut pas savoir qui vous êtes, ce que vous faites et ce que vous consommez.

Criteo et consort disparaissent, Google ne sait plus positionner la pub au bon moment et sur la bonne page ! La rémunération disparaît alors. Fini Google, adieu Gmail, bye bye Facebook (tous gratuit), bref une nouvelle aire et un nouveau business model peut naître.

Peu probable car le consommateur est très attaché à ses habitudes et les changer est le dernier des efforts que l’homme apprécie faire, même si intrinsèquement c’est cette faculté qui lui a permis de construire l’internet et pas les ratons laveurs.

Qu’est-ce qu’un VPN de trafic souverain ? C’est une solution qui chiffre le trafic établi entre votre terminal et la borne Wifi ou 3G/4G et votre connexion à l’internet se fait depuis une adresse IP virtuelle dans un pays asservi par l’éditeur du logiciel. Les Finlandais sont les meilleurs pour cela d’autant que leur constitution politique est très attachée au secret de la vie privé. C’est ce qui rend la solution souveraine. On retrouve ces mêmes constitutions en Suisse, en Islande ou en Norvège. Les États-Unis comme Israël sont très rigides. Il suffit d’ailleurs de lire les Conditions Générale de Google pour comprendre combien vaut votre libre arbitre sur Internet. Avec un peu de recul vous comprendrez vite qu’il vaut une partie du revenu du GAFA.

Le Ad Marketing devra donc revoir le modèle si nous devenions tous consommateurs de ce chiffrement qui limite considérablement notre exposition face aux pirates. Seule l’histoire très prochaine nous donnera la tendance de cette attaque qui porte bien son nom. (par Frans Imbert-Vier PDG d’UBCOM pour DataSecurityBreach.fr)

Correctifs : Microsoft corrige 28 vulnérabilités critiques sur 62 patchées

Correctifs massifs ! Le Patch Tuesday d’octobre est pour Microsoft l’occasion de publier des correctifs pour résoudre 62 vulnérabilités dont 30 affectent Windows. Les correctifs traitant 28 de ces vulnérabilités sont définis comme critiques. 33 vulnérabilités peuvent entraîner l’exécution de code malveillant à distance (RCE). Selon Microsoft, une vulnérabilité dans Microsoft Office est actuellement exploitée de manière active en mode aveugle.

Priorité absolue pour des correctifs massifs donc à cette vulnérabilité CVE-2017-11826 dans Microsoft Office qui est classée comme « Importante » par Microsoft. Autre priorité, la résolution de CVE-2017-11771, une vulnérabilité au sein du service de recherche Windows. Depuis début 2017, c’est le quatrième Patch Tuesday qui traite une vulnérabilité dans ce service.

Comme les fois précédentes, cette vulnérabilité peut être exploitée à distance via le protocole SMB. Il facilite la prise de contrôle total d’un système. Elle peut impacter aussi bien des serveurs que des postes de travail. Même si un exploit lancé contre cette vulnérabilité peut s’appuyer sur SMB comme vecteur d’attaque, il ne s’agit pas d’une vulnérabilité au sein de ce protocole. SMB lui-même. Aucun rapport donc avec les vulnérabilités SMB récemment exploitées par EternalBlue, WannaCry et Petya.

À noter aussi deux vulnérabilités dans la bibliothèque de polices Windows, CVE-2017-11762 et CVE-2017-11763, pouvant être exploitées via un navigateur ou un fichier malveillant, ainsi qu’une vulnérabilité dans DNSAPI, CVE-2017-11779, grâce à laquelle un serveur DNS malveillant peut exécuter du code sur un système client.
Une vulnérabilité sur certaines puces TPM est résolue grâce à l’avis de sécurité ADV170012.

Localisée dans la puce TPM elle-même, et non pas dans Windows, cette vulnérabilité peut entraîner la génération de clés cryptographiques faibles. Ces clés sont utilisées pour BitLocker, l’authentification biométrique et d’autres domaines de Windows.

Les mises à jour fournissent une solution de contournement pour les clés faibles. Une option permettant d’utiliser des clés générées par le logiciel. Une remédiation complète exige une mise à jour du firmware fournie par le fabricant de l’équipement.

La majorité des vulnérabilités traitées ce mois-ci concernent le moteur de script qui peut impacter à la fois les navigateurs et Microsoft Office.

Corriger cette vulnérabilité est une priorité sur les systèmes de type bureautique qui utilisent un navigateur pour la messagerie et pour accéder à Internet.

Mercredi 18 octobre, les chercheurs de Proofpoint ont détecté une pièce jointe Microsoft Word malveillante. Elle exploitait une vulnérabilité récemment corrigée d’Adobe Flash [CVE-2017-11292].

Pour finir, cette attaque serait l’œuvre d’APT28 (également connu sous le nom de Sofacy), un groupe parrainé par l’État russe.  Plusieurs cyberattaques leurs ont été attribuées, notamment contre TV5 Monde en 2015.

Les données de ciblage pour cette campagne sont limitées. Certains emails ont été envoyés à des entités gouvernementales et à des entreprises du secteur privé dans l’industrie aérospatiale.

Le ciblage géographique connu semble large, y compris en Europe et aux États-Unis. Vous trouverez plus de détails sur ce sujet sur le blog anglais Threat Insight de Proofpoint. Les informations seront mises à jour quotidiennement en fonction de l’évolution de la menace. (Avec Jimmy Graham dans The Laws of Vulnerabilities Qualys)

Combattre le « credential stuffing » avec l’introduction de Bot Manager Premier

Credential stuffing, une technologie puissante d’analyse des comportements suspects capable de détecter des bots hyper sophistiqués mise en place par Akamai.

La société Akamai Technologies vient d’annoncer Bot Manager Premier et son credential stuffing. Dernière nouveauté de sa gamme de produits de sécurité dans le cloud, Bot Manager Premier. Il est conçu pour aider les entreprises à gérer l’impact des bots sur leur environnement numérique dans son ensemble. Première défense sur les sites et API Web et applications pour mobile.

Selon une étude récente menée par le Ponemon Institute pour le compte d’Akamai, 54 % des répondants indiquent que les attaques de type « credential stuffing » se multiplient. Ils sont de plus en plus graves. 68 % des personnes interrogées estiment avoir peu de visibilité sur les attaques de type « credential stuffing ». 70 % d’entre elles jugent que les solutions existantes ne permettent pas de prévenir et de contenir ces attaques. Dans ce contexte difficile, Bot Manager Premier a été spécialement conçu pour aider les commerces en ligne à résoudre plusieurs cas d’utilisation de bots sophistiqués. Ces situations incluent le vol d’identifiants, la consultation du solde des cartes-cadeaux/cartes de crédit. Des attaques à l’encontre des programmes de fidélité, l’achat automatisé de voyages…

Credential stuffing

Bot Manager Premier offre de nouvelles fonctionnalités d’analyse des comportements suspects qui ont démontré leur capacité à détecter une grande partie des bots sophistiqués connus. Intégrant la technologie issue de l’acquisition de Cyberfend, Bot Manager Premier est capable de détecter l’activité de bots tentant de simuler une interaction humaine, même si ces bots changent en permanence de comportement afin d’échapper à la détection tout en ciblant des pages de connexion ou de transaction. De plus, Bot Manager Premier gère avec efficacité d’autres types d’activités générées par les bots. Le scraping ou l’agrégation du contenu, y compris les activités de bots « bienveillants » susceptibles d’affecter d’autres aspects du site Web.

Chasse aux bots !

Parmi les entreprises qui bénéficient déjà des avantages des solutions de gestion des bots d’Akamai, la U.S. News & World Report, éditeur d’actualités et d’informations multi plates-formes. D’après Matt Kupferman, directeur principal de l’ingénierie, « Il est extrêmement bénéfique pour une entreprise comme la nôtre de savoir qui interagit avec notre site. Avoir une plus grande visibilité sur le trafic des bots. Avec Bot Manager, nous n’avions qu’à « appuyer sur un bouton » pour obtenir une visibilité immédiate. Pour une véritable intégration à la périphérie, c’est la seule chose qui ait fonctionné. »

Bot Manager Premier d’Akamai est destiné à répondre aux besoins du commerce en ligne en proposant :

La détection avancée des bots incluant l’analyse des comportements suspects dans le but de contrecarrer le vol d’identité, la consultation du solde des cartes-cadeaux et autres types d’actes frauduleux en ligne visant les pages de connexion et de transaction.

Un SDK mobile pour mieux protéger les API et applications pour mobile de l’activité des bots.

Des actions avancées et conditionnelles afin de fournir aux entreprises les outils pour gérer différents types de bots. Des bots scrapers, agrégateurs de contenu…

« Pour réussir aujourd’hui, une entreprise doit interagir avec ses clients en ligne. Explique Josh Shaul, Vice Président, Web Security, Akamai.

« Mais pour ce faire, elle est obligée d’exposer des pages de connexion et diverses pages de transaction susceptibles d’être détournées.« .

Lutter contre les cyberattaques sur les véhicules

Mieux détecter et repousser les cyberattaques sur des véhicules individuels et des flottes entières : tel est le défi que relève la nouvelle solution Escrypt destinée aux constructeurs automobiles.

Selon les prévisions, d’ici 5 ans plus de 380 millions de véhicules seront connectés. Pionnier en matière de sécurité automobile, ESCRYPT met à profit sa longue expertise pour préparer les véhicules aux profondes transformations qui accompagnent le monde connecté.

L’ouverture des systèmes, la conduite automatisée… quels risques ?

Les systèmes de véhicule qui étaient jusqu’à présent fermés s’ouvrent désormais très rapidement au monde extérieur. Or les interfaces avec les smartphones et la possibilité d’une communication car-to-x font surgir de nouveaux risques à bord des véhicules. Un hacker peut par exemple prendre le contrôle de l’autoradio d’un véhicule et mettre soudain le volume à fond ou encore dérober des données personnelles contenues dans un smartphone connecté, sans parler des attaques menées contre les calculateurs pilotant le comportement du véhicule, ni des manipulations contraires à la loi au niveau du système d’entraînement.

Parallèlement, de plus en plus de responsabilités sont transférées du conducteur aux calculateurs et à leurs logiciels : la conduite automatisée devient une réalité.

Ce nouveau monde ultra connecté nécessite des stratégies sécuritaires globales dans lesquelles la sécurité fonctionnelle est indissociable de la sécurité automobile et ce, sur tout le cycle de vie des véhicules. Cela commence au lancement du développement, se poursuit en production avec une paramétrisation sécurisée des calculateurs, garantissant un fonctionnement sûr du véhicule à tout moment, et ne se termine qu’avec l’effacement des clés cryptographiques et l’invalidation de l’identité du véhicule avant la mise au rebut du véhicule.

IDPS : une approche globale de la sécurité

Disponible depuis 2017, la solution IDPS (Intrusion Detection and Prevention Solution) développée par Escrypt et proposée en France par Etas, permet de détecter, analyser et repousser les cyberattaques. IDPS documente les tentatives d’intrusion et peut transmettre automatiquement les données pour analyse à un système backend de cybersécurité. Des équipes d’experts y utilisent les données pour effectuer des analyses criminalistiques des incidents, afin de pouvoir définir et mettre en œuvre des contre-mesures adaptées (comme par exemple des mises à jour de sécurité transmises over-the-air).

RGPD : étude sur la préparation et la mise en conformité

A moins de 8 mois de l’entrée en vigueur du Règlement Général sur le Protection des Données (RGPD), F-Secure dévoile les chiffres français de son étude, réalisée avec le panel Toluna, consacrée au niveau de maturité des entreprises européennes, tous secteurs confondus.

L’étude révèle le manque de sensibilisation des professionnels interrogés aux nouvelles exigences qui vont leur être imposées ou encore aux moyens de s’y préparer, puisque seulement 37 % d’entre eux se sentent totalement familiers avec le RGPD et les implications pour l’organisation. Malgré tout, 88,9 % ont confiance sur le fait que leur entreprise soit préparée à la mise en conformité, et 44,7 % estiment être parfaitement conformes à ce jour. Un grand nombre de professionnels se sent donc prêt sans pour autant maîtriser l’ensemble du règlement. Le principal frein étant selon eux le manque de personnel qualifié (21,7%), disposant des compétences clés. Viennent ensuite le manque de budget (20,3%) et le manque de compréhension face aux enjeux et à l’urgence de la situation (14,3 %).
[EtudeRGPD4.PNG]

Le règlement conforte le rôle du Data Protection Officer (DPO), anciennement appelé Correspondant Informatiques et Liberté (CIL), obligatoire pour les organismes publiques et les organismes privés collectant des données dites sensibles ou personnelles à grande échelle. Son rôle sera de veiller au respect de la nouvelle réglementation européenne. Plus de la moitié des entreprises (53,8 % des répondants) identifient un DPO dans leur organisation, ce qui confirme la prise de conscience du sujet.

Sur la question de la responsabilité, le DSI est au centre du jeu : 45,7 % des professionnels interrogés estiment que la mise en conformité doit être assurée par le département IT/Sécurité et ils sont 69,7% à le considérer comme responsable en cas de fuite de données ou d’attaque. Concernant la participation, le département juridique n’est directement concerné que pour 30%, tout comme le département RH (30,3%). La direction générale est quant à elle considérée comme participant à la mise en conformité pour 23,3% des personnes interrogées.

L’étude nous révèle un fait étonnant : alors que les services marketing vont devoir mettre à jour les politiques de confidentialité de leurs sites internet, s’assurer de la bonne gestion du consentement utilisateur mais aussi interroger leurs prestataires de services (marketing automatisé, gestion de la relation client), ils ne sont pas perçus comme des participants impliqués dans la mise en conformité (8%).

Le RGPD implique une vigilance accrue au niveau des cyber attaques et la mise en place d’un plan d’action. L’étude révèle à ce sujet un retour plutôt optimiste de la part des professionnels concernant la capacité de réaction et de réponse des organisations face à ce type d’incident, puisque 78,9 % sont convaincus que leur organisation est capable de détecter une intrusion, et 69,7 % pensent que cette dernière dispose d’un plan de réponse fonctionnel en cas d’intrusion. 46,6% pensent que leur organisation a détecté entre 1 et 5 attaques les 12 derniers mois, un chiffre à mettre en relation au 26,3 % qui pensent n’avoir jamais subi d’attaques.

Le fait est que peu d’organisations ont mis en place des services ou solutions adaptés pour prévenir les fuites de données et répondre en cas d’incidents. Un constat que l’on retrouve à travers l’étude puisque seulement 18,1 % des profils interrogés ont mis en place un outil de gestion des évènements et des informations de sécurité (SIEM), 20,1 % un outil de gestion des vulnérabilités, 22,1 % un outil de gestion des correctifs, et près de 28% un service de réponse à incident.

« Avec la médiatisation d’attaques de grande ampleur telles que WannaCry et le RGPD, dont la date de mise en application se rapproche à grand pas, 2017 marque l’année de la prise de conscience pour les entreprises.», déclare Olivier Quiniou, Head of Corporate Sales, France, UK, Irlande et BeNeLux chez F-Secure. « Qu’il s’agisse d’attaques ciblées ou de masse, ce sont toutes les entreprises et organisations qui sont aujourd’hui concernées. La différence se situe dans la prise de conscience de ces dernières : il y a celles qui savent qu’elles ont été attaquées et celles qui ne le savent pas. C’est le constat dressé par notre étude européenne. 2018 doit être pour les entreprises l’année de l’action ».

Le RGPD : 81% des entreprises ne seront pas en conformité en mai 2018

La course contre la montre a déjà commencé pour le RGPD… Dès le 25 mai 2018, la nouvelle règlementation européenne définie fin 2015 s’appliquera et viendra renforcer la protection des consommateurs au niveau européen. Le non-respect sera puni par des sanctions financières importantes. Elles s’insèrent dans une politique générale de la communauté européenne de définition d’un espace européen. Alors que seulement 19% des entreprises estiment pouvoir être en conformité en mai 2018, le RGPD constitue un enjeu majeur pour tous les acteurs du e-Commerce.

Le nouveau règlement européen s’applique à toute entreprise qui collecte, traite et stocke les données personnelles des ressortissants européens dont l’utilisation peut identifier une personne. Tous les acteurs économiques (entreprises, associations, administrations) doivent dès à présent mettre en œuvre les actions nécessaires pour se conformer aux règles. Le changement majeur réside dans l’obligation pour les entreprises de justifier l’ensemble des traitements de données qu’elles effectuent (récoltées au cours de création de comptes, d’inscriptions à une newsletter, de préférences de navigation…). Par exemple, lorsqu’un client se désabonne d’une newsletter ou change ses coordonnées téléphoniques sur son compte client, il appartiendra à l’entreprise de prouver que le changement a bien été effectué et de fournir le détail du traitement (heures, adresse IP…). Sur demande du particulier et à tout moment ses données pourront être supprimées, modifiées ou restituées. L’objectif est de rendre aux consommateurs la maîtrise de leur identité et de l’usage commercial de ses informations personnelles.

Enfin une protection renforcée pour les e-acheteurs !

Les consommateurs doivent comprendre clairement ce qu’ils acceptent comme traitements sur les sites e-commerce et la portée de leurs consentements. Les techniques modernes de marketing e-Commerce (retargetting, suggestions de produits…) doivent être explicitement acceptées par les particuliers. Ils disposent également d’un accès direct à leurs informations personnelles. En pratique, ils pourront demander la portabilité de leurs informations (données de commandes, listes d’envie…) et obtenir un double consentement pour leurs enfants.

En cas de fuite de données, l’internaute sera informé dans les 72 heures par l’entreprise, la responsabilité pouvant incomber au sous-traitant responsable de la fuite ou à l’hébergeur si ce dernier a été attaqué. Pour s’assurer du respect de ces nouveaux droits, le législateur a rendu possibles les actions collectives via des associations.

TPE/PME – La mise en œuvre du RGPD dans le e-Commerce

D’ici mai 2018 toutes les entreprises devront respecter la nouvelle réglementation. Cette mise en œuvre implique une bonne compréhension à la fois des obligations et des moyens d’y parvenir. Les sites e-Commerce devront assurer le plus haut niveau possible de protection des données. Pour garantir la sécurité des données personnelles de leurs clients les marchands devront déployer tous les moyens techniques et respecter des règles strictes : la mise en œuvre d’un registre de consentements, la conservation des données, la sécurisation des mails transactionnels, le cryptage des mots de passe…. Un délégué à la protection des données (DPO) sera désigné pour assurer la mise en place et le suivi de ces actions.

On passe dans une logique de responsabilisation totale de l’entreprise, une nécessité au regard des plus de 170 000 sites ne seront pas en conformité avec le règlement européen en mai 2018.

Rappelons que chaque jour des milliers d’attaques visent la totalité des acteurs du e-Commerce. La sécurité des données et des infrastructures techniques sont les enjeux majeurs du monde du web. Le nombre total de cyber-attaques a augmenté de 35% en l’espace d’un an. En France nous en avons recensé plus de 15 millions au 1er trimestre 2017 ce qui représente 4,4% des attaques mondiales.

Un cadre contraignant pour les entreprises et des impacts majeurs à court terme

Le baromètre RGPD démontre qu’à ce jour 44% des entreprises considèrent déjà qu’elles ne seront que partiellement conformes. Les sanctions en cas de manquement aux obligations imposées par la règlementation sont financières et indexées sur le chiffre d’affaires de l’entreprise. Elles peuvent atteindre de 10 à 20 millions d’euros ou 2 à 4% du CA, la sanction la plus élevée sera retenue. Un nouveau concept émerge : le « Privacy By design », un gage de qualité et de réassurance pour les entrepreneurs à la recherche d’une sécurisation optimale des données clients. Un site conçu en « Privacy by Design » garantit qu’aucun module n’a été ajouté à la structure du site et que la solution a été élaborée avec la protection des données comme prérequis à chaque étape de la mise en ligne du site.