Archives de catégorie : Base de données

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Mise à jour

Classification des données : la première étape pour sécuriser votre propriété intellectuelle

Le piratage médiatisé du site Ashley Madison devrait inciter toute entreprise hébergeant des données (à vrai dire, toutes les entreprises de la planète) à se pencher sérieusement sur la sécurité de leurs données. Dès lors que vous saisissez des informations d’une personne dans la base de données de votre entreprise, vous devez vous assurez que ces dernières restent privées et confidentielles. Cette exigence fait partie des bonnes pratiques, et, dans certains pays, elle est même réglementaire.  En cas de piratage et de divulgation de ces données, vous pourriez bien encourir des poursuites judiciaires et des pénalités… sans compter la mauvaise presse qui ternira l’image de votre entreprise.

Les entreprises soumises aux réglementations les plus strictes, dans les métiers de la finance et des soins de santé par exemple, connaissent plutôt bien les informations dont elles disposent, ainsi que leur niveau de confidentialité. Mais de nombreuses autres entreprises ne sont pas forcément au fait de leurs obligations en matière de sécurité de leurs bases de données. A titre d’exemple, un point de vente est susceptible de détenir des informations personnelles liées à un programme de fidélité, tandis qu’un acteur de la vente par correspondance gère des centaines ou des milliers de numéros de carte de paiement. Autant de données qui exigent d’être parfaitement sécurisées.

Et il ne s’agit pas que des informations personnelles : toute ressource ou donnée confidentielle ou propriétaire (propositions commerciales, rapport de gestion de la relation clients, plans stratégiques, et autres), bien que ne relevant pas forcément de la réglementation en matière de confidentialité des données, doit néanmoins rester à l’abri des regards indiscrets.  Et pour compliquer les choses, dès que vous stockez les données dans le Cloud ou dans des centres de données tiers, vous perdez quelque peu le contrôle sur la gestion de ces données. Pas simple et clair de connaître précisément vos obligations et responsabilités.

Les métadonnées, essentielles à la protection des données
L’une des étapes clé lorsque vous sécurisez vos bases de données est de classifier ces données. Toutes les données ne représentent pas la même valeur pour votre entreprise. Certaines, d’ordre financière, ou portant sur des informations clients ou personnelles, exigent une protection optimale. D’autres éléments, à l’image de documents internes généralistes ou de brochures marketing ne sont pas aussi sensibles. Il est donc pertinent de ne pas traiter toutes vos données de la même façon. La hiérarchisation des données peut également impacter le stockage. Certaines données peuvent être stockées en mémoire pour un accès rapide, tandis que d’autres trouveront leur place sur des bandes magnétiques.

Le concept essentiel qui sous-tend cette approche est celui de la métadonnée. C’est une information à propos d’une information. Une métadonnée descriptive, lorsque formulée de manière appropriée, présente un réel atout pour votre stratégie de sécurité de données. Les métadonnées peuvent contenir des champs dédiés au niveau de la confidentialité (public ou privé, secret, très sensible, etc.), la date de recueil des données, le détail des traitements réalisés sur les données, les niveaux d’accès (rôles et profils pouvant accéder à cette donnée) et, très important, le délai à partir duquel ces données peuvent être supprimées.

Arbitrer le coût de la sécurité/du stockage des données et leur valeur
Les audits de données gagnent en importance et témoignent de la lutte menée par les organisations pour sécuriser et stocker des bases de données toujours plus volumineuses. Avec la business intelligence, les référentiels de données et le Big Data, les organisations se contentent de recueillir les données une fois, pour ensuite les propager sur l’ensemble de leur parc systèmes. Le stockage et la sécurité des données sont onéreux et les meilleures pratiques incitent à évaluer vos investissements de sécurité et de stockage compte tenu de la valeur de chaque profil de données pour votre organisation. Les métadonnées forment ainsi un levier qui permet d’effectuer des audits de données efficaces et exhaustifs.

Base de données, Cybersécurité, Entreprise, Mise à jour, santé

Logiciel pour identifier des victimes de la guerre du Vietnam

Un projet d’identification des victimes de la guerre du Vietnam va utiliser le logiciel de comparaison des profils ADN Bonaparte.

SMART Research BV a signé un contrat pour la fourniture du système logiciel de comparaison des profils ADN Bonaparte et de services de soutien connexes avec le gouvernement du Vietnam. Cette fourniture s’inscrit dans le cadre d’un projet d’une durée de 10 ans qui vise à identifier au moins 80 000 des 650 000 victimes non identifiées de la guerre du Vietnam.

Initié par le Premier ministre vietnamien Nguyen Tan Dung, « Project 150 » sera le plus important projet d’identification d’ADN jamais mené. Trois laboratoires seront modernisés avec des technologies de police scientifique de pointe provenant de fournisseurs tels que Qiagen et Eppendorf, tandis que des services de conseil et de formation seront fournis par BioGlobe et la Commission internationale des personnes disparues (ICMP) en Bosnie. Avec la signature de ce contrat, SMART Research BV est fière de rejoindre désormais l’équipe du projet.

Les algorithmes de comparaison indirecte à la pointe de la technologie du système Bonaparte fourniront aux laboratoires du gouvernement vietnamien les puissantes capacités de recherche familiale et axée sur le lien de parenté nécessaires à cet ambitieux projet. Le système Bonaparte permet d’identifier des dépouilles inconnues en se basant sur l’ADN de référence des membres de la famille à l’aide d’arbres généalogiques arbitraires.

Il a été déployé à de nombreuses occasions dans des travaux d’identification dans le monde réel, et a joué un rôle important dans l’identification des victimes de la catastrophe aérienne de 2010 à Tripoli et de celles du vol MH17 de Malaysia Airlines en Ukraine en 2014.

Le système Bonaparte a été commandé en 2007 par l’Institut de police scientifique des Pays-Bas (NFI), avant d’être davantage développé et amélioré par SNN et sa filiale SMART Research BV, en étroite collaboration avec le NFI.

SMART Research BV est l’entreprise commerciale dérivée de SNN, la Fondation néerlandaise pour les réseaux neuronaux de l’université Radboud de Nimègue, aux Pays-Bas. SMART Research prend en charge le développement, le maintien et l’assistance pour Bonaparte. SMART Research se spécialise dans l’application de technologies avancées d’apprentissage statistique et d’intelligence artificielle pour résoudre des problèmes dans le monde réel. Ces technologies constituent également la base du système Bonaparte.

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Un bug sur Instagram trahit la vie privée des utilisateurs

La nouvelle mise à jour de l’outil de socialisation Instagram emporte avec lui un bug particulièrement gênant capable de révéler la vie privée des utilisateurs exploitant l’option multi comptes.

Partager son compte Instagram n’est pas une bonne idée, surtout si vous sélectionner l’option « Multicompte« . Une nouveauté qui permet de partager son espace avec un ami, collègue, … sauf que dans ce cas, l’ami en question recevra vos informations personnelles, et vous recevrez les siennes. Les utilisateurs partageurs recevront les notifications de compte personnel et du compte mis en commun par cette nouvelle possibilité. Selon Android Central, Instagram travaille sur la correction de cette petite fuite, qui pourrait devenir gênante, si vous partagez des informations avec l’Instagram de votre entreprise par exemple.

Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, IOT, Mise à jour, ransomware

Tendances 2016 de la sécurité des réseaux

Aux prémices de 2016, Shehzad Merchant, Chief Technology Officer chez Gigamon, spécialiste de la visibilité réseau, a fait le bilan de l’année 2015 et identifié les cinq tendances principales en matière d’infrastructures réseaux et de sécurité pour l’année 2016.

Démocratisation croissante des Malwares-as-a-Service (MaaS) – Ces deux dernières années, de nombreuses failles de sécurité sophistiquées ont été révélées et avec elles, c’est tout un « écosystème » de MaaS qui a vu le jour avec la mise à disposition d’une large gamme d’offres packagées de virus prêtes à l’emploi et accessibles à tous, augmentant de fait la quantité d’acteurs en mesure de perpétrer des cyberattaques. Toutefois, la démocratisation des malwares tend à réduire leur niveau de sophistication, et bien que certaines menaces persistantes avancées restent de haut niveau, une majorité des attaques perpétrées par ce moyen seront plus faciles à détecter et à stopper, car les pirates qui auront choisi de se connecter aux systèmes existants ne pourront y intégrer qu’une quantité limitée de zones d’ombre.

Généralisation de la sécurité prédictive – 2016 verra une croissance des cybermenaces de type « polymorphes », c’est-à-dire que chaque instance du malware se manifestera sous une apparence et un fonctionnement différents tout en gardant une base commune. Par conséquent, de nombreuses variantes sont susceptibles de passer outre les systèmes de détection traditionnels tels que les pare-feu ou les solutions anti-virus. Afin de mieux détecter ces menaces polymorphes, les entreprises auront besoin de solutions d’analyse prédictive visant à contrôler l’ensemble des données de l’entreprise dans le but d’identifier toute anomalie ou activité inhabituelle sur le réseau. Elles fourniront ainsi des indicateurs clés de menaces potentielles au sein de l’organisation pour détecter plus rapidement l’empreinte et l’activité du malware, et permettre un confinement plus rapide.

Perte de vitesse du Software-Defined Networking (SDN) – Malgré l’engouement du marché pour les technologies SDN, les tests ont démontré qu’elles n’étaient pas suffisamment matures pour une utilisation optimale par les entreprises. Cette année verra l’émergence de technologies « marginales » mais solides, qui, fortes des bonnes pratiques du SDN, ont su trouver leur place sur le marché. Bien qu’elles ne répondent pas aux standards technologiques, elles se concentrent sur la résolution du problème et font preuve de plus de maturité sur un marché fortement concurrentiel. Ainsi, face à ces pure players émergents, certaines technologies SDN risquent de se retrouver hors-jeu car encore trop immatures par rapport aux attentes du marché.

Ralentissement du Network Function Virtualisation (NFV) – Cette année, le NFV sera confronté, dans sa phase de déploiement, à de nouveaux défis qui toucheront particulièrement la vitesse et la performance. Le passage du format matériel dédié des fonctions réseau à une offre virtualisée risque en effet de causer des ralentissements. La normalisation du NFV peut pallier ce problème notamment avec l’ajout de davantage de serveurs de type x86 afin de multiplier les nœuds et permettre ainsi de répartir la charge. Ces serveurs sont en effet valorisés pour leur interopérabilité et leur prix abordable, et leur facilité à être intégrés et supprimés. Toutefois, un tel procédé comporte son lot de défis, en particulier en ce qui concerne le maintien de l’état, de la gestion de la distribution et de l’équilibre de charge du trafic, à travers des fonctions ne nécessitant pas de très haut débit, de performance ou de redimensionnements. Cependant, l’augmentation constante des besoins de bande passante, fera émerger les systèmes logiciels en mesure de gérer avec précision la capacité d’équilibrage de charge et l’état du réseau, ou bien ceux capables d’extraire chaque parcelle de performance dans des environnements NFV. Néanmoins, si les entreprises qui déploient des solutions basées sur ces environnements ne forment pas des équipes internes capables de gérer ces logiciels de A à Z, elles seront confrontées tôt ou tard à des obstacles les obligeant à ralentir.

Rationaliser la transition vers le cloud – Ces dernières années, de nombreuses organisations ont suivi le mouvement de l’adoption du cloud. Les DSI étaient encouragés à adopter et à investir dans le cloud sous toutes ses formes : Software, Platform ou Infrastrustrure as-a-service. L’IaaS a particulièrement séduit les entreprises par sa souplesse, sa capacité de dépassement et sa simplicité de provisioning. Celles-ci l’ont toutefois adopté sans analyser les coûts dans le détail ou sans tenir compte des questions de sécurité. La gestion d’applications connectées en permanence, pendant plusieurs années, génèrent des quantités massives de données dans le cloud, ce qui peut s’avérer très onéreux sur le long terme ; or, le basculement du cloud vers une solution sur-site peut l’être encore plus en raison du coût de réversibilité. En 2016, le DSI sera mieux informé et aura toutes les cartes en main pour comparer les modèles disponibles et trouver ainsi le bon équilibre entre l’offre cloud, le modèle purement hybride offrant à la fois des applications clés et données hébergées sur site ou une capacité de dépassement favorisée par une offre de cloud. Et ce, en disposant d’un meilleur contrôle sur les coûts.

Argent, Arnaque, backdoor, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Leak, Particuliers, Piratage, pourriel, Social engineering, spam

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.

Base de données, BYOD, Chiffrement, Cybersécurité, Entreprise, IOT, Sauvegarde, Social engineering

Un ours et une montre connectés diffusaient les infos privées des enfants

Les objets connectés, véritable plaie pour nos vies privées. Un nouvel exemple avec l’ours connecté Smart Bear de Fisher-Price, et une montre connectée pour les moins de 12 ans.

Le fabriquant de jouets Fisher-Price vient de corriger une fuite de données concernant un de ses jouets connecté, l’ours Smart Bear. Comme pour Vtech, plusieurs failles avaient été découvertes entre l’application connectée, l’ours et le serveur de gestion des données enregistrées par les parents/enfants. A la différence de Vtech, aucun pirate n’a été se servir dans les données.

La fuite, découverte par Rapid7, n’en n’était pas moins inquiétante. Dans les données qu’un malveillant aurait pu intercepter : l’identité et la date de naissance de l’enfant, son sexe et la langue parlait. Il y a de forte chance que l’ensemble des informations enregistrées étaient accessibles.

Toujours dans la grande famille des objets connectés, le GPS HereO avait un problème avec sa plateforme de gestion des données envoyées par la montre destinée aux 3-12 ans. Ici aussi, les données pour les enfants étaient accessibles. Faille corrigée.

Bref, parents, arrêtez de rentrer les vraies informations de vos enfants sur Internet ou via ces jouets connectés. Vous créez une identité numérique de votre môme que vous ne pourrez plus contrôler.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde

Disques durs perdus dans la nature

La société Centene Corporation a perdu six disques durs et plus d’un million de données d’assurés.

Centene Corporation est une entreprise américaine dédiée à l’assurance santé. Elle est basée à Clayton dans le Missouri. La direction vient de lancer une enquête après avoir découvert qui lui manquait six disques durs. L’histoire pourrait s’arrêter là, sauf que les supports de sauvegarde transportent plus d’un million de dossiers d’assurés.

Ces six disques durs contiennent des renseignements personnels de patients passés par des laboratoires entre 2009 et 2015. Dans les données, non chiffrées : nom, adresse, date de naissance, numéro de sécurité sociale, numéro d’identification d’assuré, et des informations de santé. La société a déclaré qu’aucun des disques durs contenaient des informations financières. (Fox2)

backdoor, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Leak, Particuliers, Piratage, Vie privée

Quand le chef des hackers de la NSA explique son travail

Voilà un rendez-vous qu’il ne fallait pas rater. Rob Joyce, le responsable des hackers de la NSA, des « pirates » connus sous le nom de Tailored Access Operations, a expliqué comment les entreprises pouvaient se protéger de ses « ninjas » !

Le Tailored Access Operations, c’est le service top secret de la NSA. Le TAO regroupe les informaticiens hackers de la National Security Agency. La mission du TAO, infiltrer et mettre la main sur des informations dont l’agence et l’Oncle Sam auraient besoin. Rob Joyce, le patron de cette section numérique de la NSA est venu expliquer le travail de son équipe lors de l’Enigma conférence. Étonnante rencontre alors que durant des années la NSA a toujours démenti agir à la sauce cyber attaque.

Plus étonnant encore, Rob Joyce a indiqué comment les entreprises pouvaient se protéger des actions de ses hommes. Bon, bien évidement, il a raconté ce qu’il pouvait/voulait dire, mais la démarche a le mérite d’ouvrir les sens. « Beaucoup de gens pensent que les États-Unis utilisent beaucoup de 0Day. Nous n’en possédons pas tant que ça et il n’est pas commun que nous les utilisions« . L’homme de l’ombre indique que l’ingéniosité et les essais suffisent « Nous essayons, nous attendons, puis essayons encore et attendons jusqu’à ce que nous trouvions la vulnérabilité. » Un détail amusant dans la conférence du Big boss du TAO, le fait que ses hommes, la plupart du temps, connaissent mieux le réseau et les installations que les informations de la cible de la NSA « Souvent, nous connaissons mieux les réseaux que ceux qui les ont conçus et les font fonctionner« . Les hackers de la NSA exploitent huit phases dans leurs actions : découvrir, première pénétration, assurer leur présence, installer un outil logiciel, étendre la présence, recueillir, exfiltrer et exploiter les données. L’agence spécial a indiqué que les entreprises doivent impérativement mettre à jour leurs logiciels et se méfier du cloud !

backdoor, Base de données, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers

Trois employés de TalkTalk arrêtés

Un commentaire

Novembre 2015, deux adolescents sont arrêtés dans l’affaire du piratage de données de l’opérateur TalkTalk. En Inde, trois employés du Call Centre de l’entreprise viennent d’être entendus par la police.

Un rapport avec l’affaire du piratage des données clients de l’opérateur britannique TalkTalk ? Je vous expliquais, en novembre 2015, comment deux adolescents avaient été arrêtés au Royaume-Unis. Ils étaient soupçonnés d’avoir participé au piratage des données de l’opérateur britannique TalkTalk. Quatre millions de données avaient été consultés. 157 000 avaient été volées.

Trois mois plus tard, en Inde cette fois, trois employés de TalkTalk, ils officiaient au Call Center de la société, ont été arrêtés. Ces personnes travaillaient pour un partenaire de TalkTalk, la société Wipro, un fournisseur de centre d’appel basé à Calcutta.

Suite à la cyberattaque d’octobre 2015, un audit a été lancé par l’opérateur. Il a été découvert que les trois individus avaient fait de « grosses bêtises » numériques. Un rapport avec le piratage ou un moyen pour TalkTalk de modifier son contrat commercial avec Wipro ? Chose est certaine, les trois indiens se sont servis dans les informations clients.

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, Sauvegarde

Sécurité des données : une tour en équilibre précaire

Pendant les fêtes, j’ai eu l’occasion de voir « The Big Short : Le Casse du siècle », film inspiré du livre de Michael Lewis sur la bulle immobilière. Ou plus exactement sur la manière dont un groupe de parias de Wall Street voit clairement les signes d’effondrement prochain du marché hypothécaire. Il est intéressant de constater qu’aucun de ces indices financiers ne constituait un secret.

Cela m’a poussé à me demander s’il existe aussi des signes incroyablement évidents montrant que la sécurité des données d’entreprise ne se trouve qu’à un ou deux piratages d’une explosion complète.

En guise de pièce à conviction A, veuillez consulter l’article de Krebs sur les nouvelles méthodes d’authentification mises en œuvre par Google et Yahoo. Google essaie une ouverture de session Gmail sans mot de passe par l’envoi d’un e-mail d’approbation au smartphone associé à votre adresse électronique. Après avoir accepté la requête, vous pouvez utiliser Gmail. Aucun mot de passe n’est nécessaire !

En octobre dernier, Yahoo a commencé à offrir un service similaire appelé « mots de passe à la demande ». Dans ce système, Yahoo envoie un code aléatoire de quatre caractères à un périphérique séparé lorsqu’un abonné tente de se connecter. Yahoo exige ensuite que l’utilisateur saisisse ce code sur son site Web pour obtenir l’accès.

Phishing récréatif et lucratif
Que dit Krebs à propos de ces changements ? Améliorer l’authentification est une bonne idée, mais Krebs pense que ces approches mèneront à des attaques de phishing plus sophistiquées. Aïe !

En règle générale, ce type de modèle reste exposé aux attaques de l’intercepteur.  Toutefois, Krebs semble suggérer que les pirates profitant de ces services enverront des e-mails contrefaits pour demander plus d’informations aux abonnés. Les utilisateurs de Yahoo et de Google ayant probablement l’habitude d’accepter et de répondre à des e-mails de vérification réels, ils pourraient accidentellement révéler un mot de passe ou d’autres informations en réponse à une communication falsifiée.

Alors que d’autres grands services en ligne commencent à essayer leurs propres méthodes et que certaines entreprises font appel à des techniques à facteurs multiples, d’insidieuses failles de sécurité restent possibles.

Le Web caché
Ma pièce à conviction B est constituée de toutes les données piratées au cours de ces deux dernières années. Étant donné que les IPI et autres données sensibles sont à la portée des pirates au moyen du Web caché, les cybercriminels possèdent beaucoup plus d’informations pour exécuter leurs futures opérations de phishing et autres attaques d’ingénierie sociale.

À l’heure où j’écris ces lignes, les médias technologiques signalent la divulgation massive de plus de 190 millions d’enregistrements électoraux comprenant des dates de naissance, des adresses électroniques et des affinités politiques. Bien sûr, cela s’ajoute à la violation géante de l’OPM, la violation de l’IRS  et les gigantesques violations des compagnies d’assurance.

Récemment, j’ai écrit un article au sujet des énormes quantités de données de santé protégées (PHI) qui se trouvent dans les systèmes informatiques des grandes entreprises. Ces dernières ne sont pas toutes des entreprises de services de santé. Souvent mal sécurisées, les PHI ont été écrémées par les pirates au cours des quelques dernières années. Elles constituent une autre remarquable source d’informations pour de futures attaques.

Le Jenga de la sécurité des données
Revenons au film « The Big Short ». Je ne pense pas que nous en dirons trop en révélant cette scène du film, car elle a déjà été largement distribuée. Je fais ici référence à Ryan Gosling montrant à ses collègues de Wall Street les pieds d’argile du colossal marché hypothécaire.

Comme au Jenga, il a lentement retiré les blocs de base de sa tour infernale. Comme on peut s’y attendre, la structure entière, y compris les blocs représentant les hypothèques les plus sûres, finit par s’effondrer.

J’attends qu’un DSI retire ce genre de bloc de Jenga ! C’est-à-dire qu’un collaborateur (peut-être un individu imprégné de philosophie « red team ») explique aux cadres dirigeants en quoi la sécurité informatique est semblable à une tour de Jenga.

Au sommet se trouvent une défense de périmètre et un chiffrement des données forts. Mais il existe des données mal sécurisées sous cette première couche. Et plus profondément encore, on rencontre des techniques d’authentification peu efficaces, des mauvaises stratégies de mots de passe, une gestion tardive des correctifs et une supervision des données insuffisante.

Le pirate mène ses essais et ses attaques à travers la main de l’employé. Guidé par les données volées existantes et d’autres informations de vulnérabilité acquises sur le marché noir (logiciels malveillants, IPI, informations d’identification volées), il sait quels blocs retirer de la base pour faciliter son accès à la prochaine couche de données mal sécurisées.

L’ensemble de la structure informatique s’effondre ensuite en laissant les blocs de Jenga éparpillés sur le bureau du DSI.

Je ne pense pas qu’en 2016 nous verrons l’équivalent informatique d’un effondrement financier dans lequel le commerce électronique et la pornographie seraient soudainement bloqués. Mais il existe depuis quelques années des signaux d’alarme en direction de sérieux problèmes au niveau des fondations mêmes de la sécurité des données informatiques. (Par Norman Girard, Vice Président et directeur général Europe de Varonis)

Base de données, Cybersécurité, Entreprise, Mise à jour

Analyser ses logs, 33% des entreprises le font correctement

Pour respecter la Réglementation Européenne sur la protection des données, l’entreprise doit être capable d’analyser les millions de données qu’elle collecte chaque jour. Avec 238 millions de logs collectés en moyenne par jour dont « seulement » 33% sont analysés, les entreprises n’ont pas conscience de toutes les données personnelles qu’elles ont en leur possession.

Balabit, a présenté lors du FIC 2016 sa Suite de solution Contextual Security Intelligence (CSI) permettant aux entreprises d’assurer leur conformité aux exigences réglementaires, notamment la nouvelle Réglementation Européenne sur la protection des données (GDPR), grâce à la collecte, l’analyse et le stockage optimisés de leurs logs, la surveillance des actions des utilisateurs privilégiés, et la détection des comportements utilisateurs suspects. Une suite qui offre également une protection renforcée contre les menaces internes et l’utilisation frauduleuse de comptes utilisateurs par des attaquants externes, que 70% des professionnels de sécurité considérent comme les menaces les plus risquées, selon une étude de Balabit.

La collecte et le traitement des logs directement impactés par la GRDP
Les actions des utilisateurs ainsi que les applications laissent quasiment toutes des empreintes – dans le réseau – qui  sont collectées dans les logs. Même si les noms des individus ne sont pas collectés, la gestion des logs inclut des données personnelles. Or les propriétaires des données étant considérés comme des personnes physiques identifiables directement ou indirectement, les entreprises collectant et gérant des quantités importantes de logs (cela inclut par exemple des adresses emails, des adresses IP, des données de géolocalisation, des données de santé, etc.) sont directement impactées par les exigences dictées par la GRDP. Les entreprises doivent ainsi se préparer à répondre à de nouvelles exigences car les sanctions en cas d’infraction sont particulièrement lourdes : jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires mondial pour les entreprises victimes de faille de sécurité ayant impactées les données à caractère personnel en leur possession. Et cette sanction réglementaire s’ajoute aux coûts déjà importants générés par une violation de données, que l’institut Ponemone estime en moyenne à 3,5 millions de dollars pour l’entreprise victime.

Toutefois, les sanctions peuvent être réduites lorsque les entreprises utilisent les solutions de sécurité adaptées répondant aux exigences de la GDPR (par exemple : l’anonymisation, la pseudonymisation et le chiffrement des logs). Le problème pour les entreprises est que le volume de logs générés chaque jour au sein de leur réseau est considérable. Selon une étude menée par Balabit, une entreprise collecte en moyenne 238 millions de logs chaque jour et est capable d’analyser 33% de ces logs. Les 67% de logs non analysés peuvent toutefois contenir des données personnelles dont l’entreprise n’a donc pas connaissance (cf. infographie en pièce jointe).

La mise en place de solutions adaptées pour traiter toutes leurs données de logs revêt donc un véritable enjeu de conformité pour les entreprises. Mais au delà, cela leur assurerait une vraie visibilité sur les données qu’elles collectent et stockent : un élément indispensable pour avoir la capacité de mener des analyses forensiques.

Zoltán Györko, CEO de Balabit déclare : « La protection des données est un enjeu majeur et la GDPR de même que l’invalidation du Safe Harbor par l’Union européenne, sont des signaux positifs envoyés aux entreprises et aux citoyens européens. Toutefois, le problème est que de nombreuses entreprises possèdent automatiquement des données générées par les utilisateurs, tout en ne sachant pas qu’il s’agit de données personnelles. Le Règlement Européen sur la protection des données va inciter ces entreprises à en faire plus pour conserver et gérer ces données ».

Visibilité avancée dans le cadre d’investigation post-incident
En intégrant la gestion des logs, la surveillance des utilisateurs privilégiés et le nouvel outil d’analyse comportementale des utilisateurs, Balabit garantit aux entreprises leur conformité aux nouvelles exigences réglementaires, notamment en matière de collecte et conservation des données de logs,  indispensables en cas d’investigation post incident. La nouvelle Suite Contextual Security Intelligence de Balabit inclut syslog-ng, l’outil de collecte et de traitement de gestion des logs de référence sur le marché. syslog-ng peut collecter plus de 650 000 messages de logs par seconde, issus de milliers de sources différentes, tout en garantissant l’authenticité de la preuve numérique dans le cadre d’investigation post-incident.

En réponse à la GDPR, syslog-ng renforce également la sécurité des données de logs grâce à leur anonymisation, pseudonymisation et chiffrement, prévenant ainsi leur utilisation par de potentiels cybercriminels. Un argument fort obtenir une réduction des sanctions prévues par la GDPR en cas d’incident. La Suite CSI inclut des interfaces utilisateur avancées qui offrent aux équipes de sécurité une visibilité instantanée sur le paysage des menaces et leur permettent de zoomer sur les activités les plus à risques. Elle délivre ainsi un haut niveau de visibilité dans le cadre d’investigations, grâce notamment à des fonctionnalités de recherche avancée et la capacité de rejouer en vidéo les activités des utilisateurs enregistrées.

Le Machine Learning au service de la surveillance des comportements utilisateurs
Avec sa nouvelle Suite Contextual Security Intelligence, Balabit offre une solution de sécurité qui protège activement les entreprises contre les menaces liées aux abus d’utilisation des comptes utilisateurs. Grâce à l’analyse comportementale et l’outil Blindspotter, les responsables sécurité de l’entreprise disposent d’une meilleure visibilité et compréhension des activités des utilisateurs. Les menaces de sécurité potentielles peuvent ainsi découvertes avant que les données ne fuitent ou ne soient détruites. A titre d’exemple Blindspotter est capable d’identifier les comptes détournés par des pirates et d’empêcher les cybercriminels d’accéder aux données sensibles détenues par l’entreprise.

Le Machine Learning ainsi que des algorithmes avancés sont utilisés pour définir les profils de comportements normaux des utilisateurs et ainsi identifier les anomalies qui sont potentiellement des menaces de sécurité. De cette manière, les menaces inconnues peuvent être priorisées et investiguées avec une large visibilité sur les circonstances de la menace.

Base de données, Emploi, Entreprise, Sauvegarde

Le Groupe Oceanet Technology et NBS System se rapprochent !

Le groupe OT, acteur majeur des services d’hébergement et d’infogérance d’applications web & métier depuis 20 ans (partenaire hébergeur de DataSecuyrityBreach.fr et de zataz.com), annonce l’acquisition de NBS System, spécialiste de l’hébergement de haute sécurité et des plateformes web critiques.


NBS System, fondé en 1999 par Arnaud Becquart et Philippe Humeau, est le leader de l’hébergement et de l’infogérance de sites e-commerce avec plus de 300 clients. Spécialiste reconnu en sécurité informatique, NBS System développe, depuis 2012, un des environnements d’hébergement le plus sécurisé au monde : CerberHost. Après l’intégration de Net4All en 2012 et de Network Consulting en juillet 2015, cette acquisition, permet au groupe OT de se positionner en tant qu’acteur incontournable de l’hébergement de plateformes critiques. Le groupe OT renforce également sa présence parisienne et s’étend sur le marché anglais, source d’innovation.

« En tant que spécialiste de l’hébergement sécurisé, NBS System est un atout majeur pour le groupe OT. Son offre CerberHost va nous permettre de répondre aux exigences croissantes du marché pour assurer la sécurité des plateformes de nos clients ! » explique M. Pierre Voillet, Dirigeant Fondateur du groupe  Oceanet Technology.

« Même si nous partageons notre vision du marché, ce rapprochement est avant tout une histoire d’Hommes car nous partageons aussi les mêmes valeurs humaines et sommes heureux d’intégrer « The human touch ! » annonce M. Philippe Humeau, D.G de NBS System. Au travers de cette opération, le groupe souhaite accompagner la sécurité opérationnelle des plateformes digitales de ses clients. Le groupe OT apportera ses best practices et son savoir-faire des infrastructures à façon et NBS System sa capacité d’innovation et sa spécialisation dans la très haute sécurité.

Cette acquisition permet au groupe OT de développer plus de 21 M€ de CA avec 130 collaborateurs répondant aux besoins de 800 clients premium, en France ainsi qu’à l’international, et notamment en Suisse, au Royaume-Uni, aux États-Unis…

backdoor, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Piratage

Les transports en commun de Dallas piratés

Trois semaines après le piratage de plusieurs de ses ordinateurs, les transports en commun de Dallas peinent à reprendre la route.

Les habitants de Dallas éprouvent des difficultés à planifier un itinéraire de bus ou de train sur le site web du DART, les transports en commun de la ville, et cela depuis trois semaines. Des problèmes dus au piratage des serveurs du Dallas Area Rapid Transit.

Une attaque que les fonctionnaires locaux indiquent comme n’étant pas un événement « catastrophique » (sic!). En attendant, les utilisateurs « rament » pour accéder à des informations sur leur voyage (arrivées/départs, temps de trajet…).

Plus tragique encore, ce comportement local du « ce n’est pas bien grave », ils se sont fait pirater, cela peut arriver à n’importe qui. Mais ils n’ont pas de mise à jour accessible. Sans parler du fait qu’ils ne savent pas vraiment ce que les pirates ont pu voler. « Le système peut rester en panne encore quelques semaines de plus. » termine le DART ! (WFAA)

Base de données, BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, IOT, Particuliers, Phishing, santé, Social engineering

Nagerfit, Plaquerfit, SauterFit, hackerFit !

Le piratage de données de clients des produits connectés FitBit se précise.

Pourquoi s’attaquer aux clients des montres et bracelets connectés FitBit ? Malheureusement, simple et facile. Une fois qu’un pirate a mis la main sur un compte, il peut tenter de piéger la société en se faisant envoyer un produit de remplacement encore sous garantie. Au pirate de trouver le moyen de se faire communiquer le produit qu’il revendra ensuite.

Depuis plusieurs semaines, la communauté Fitbit vibre. Des dizaines de clients font état d’une modification de leur page d’administration Fitbit. La société a confirmé le problème et annonce se pencher sur la chose. Des pirates qui ont, via cet accès, aux informations GPS, et toutes autres données sauvegardées sur les serveurs de la marque de produits high-tech pour sportifs.

Le pirate a changé les informations de connexion

D’après BuzzFeed, toujours le même pseudo caché derrière ces piratages annoncés : « threatable123 ». Un bot serait-il utilisé par le malveillant ou alors ce dernier est trop feignant pour se cacher ? Plusieurs clients reprochent à FitBit de faire la sourde oreille et de les accuser de ne pas avoir prêté attention à leurs identifiants de connexion. Alors attaque sur la base de données ou simple phishing ? A suivre…

Base de données, Cybersécurité, Entreprise, Justice, Mise à jour, Social engineering

Des hôtels de luxe Français visés par un piratage informatique

Je vous révélais, en décembre 2015, une attaque massive à l’encontre d’hôtels de luxe. Un piratage qui a visé, en France, Le Hyatt Regency Paris Étoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez. Des stars dans les données volées ?

Après les Hôtels Sheraton, Hilton et Le Méridien, c’est au tour du groupe hôtelier Hyatt d’être la cible d’une attaque informatique. Des pirates ont infiltré les machines en charge de la gestion du système de paiement de ses sites Internet du groupe hôtelier. Hyatt vient de diffuser les conclusions de son enquête interne. 250 hôtels ont été piratés dans 54 pays. Une attaque massive entre le 13 août et le 8 décembre 2015. Trois hôtels Français ont été touché (du 13 août au 14 octobre 2015) : le Hyatt Regency Paris Etoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez.

Alors qu’en décembre 2015, Hyatt indiquait ne pas savoir si des données bancaires avaient été touchées. Un mois plus tard, il a été confirmé le vol, via les terminaux de paiement de restaurants, spas, parking, réceptions… des noms, numéros de carte bancaire, dates d’expiration, CVV, codes de vérification interne.

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Les Data Centers face aux risques : des menaces contrôlées

Le Cloud a réussi à convaincre de nombreux adeptes grâce à ses différents atouts : simplicité, adaptabilité, ou encore coûts contrôlés. Pour protéger au mieux les données qui leur sont confiées, les fournisseurs éthiques suivent une règle d’or : prévoir l’imprévisible pour pouvoir assurer la sécurité des données.  

En effet, les data centers – comme toute autre installation – sont confrontés à différents risques et cela peut effrayer les entreprises et les particuliers.  Cependant, les serveurs des centres de données sont souvent bien plus sécurisés que les propres structures informatiques des entreprises. Plusieurs menaces existent, et les fournisseurs de Cloud disposent de spécialistes afin d’analyser et d’anticiper chacun de ses risques.

Le risque physique et le vandalisme
Il s’agit du risque lié à une intrusion physique sur le lieu : vol de matériel contenant des données, incendies criminels, ou encore casse des serveurs. Pour répondre à ce risque, des systèmes de vidéosurveillance mais aussi de détection volumétrique de mouvements au sein du périmètre de sécurité sont mis en place.  De plus, l’entrée du bâtiment est sécurisée par un contrôle d’accès strict avec différents niveaux de droits selon les pièces.  En cas de problèmes, les droits d’accès peuvent être rapidement révoqués et les badges désactivés automatiquement. Le bâtiment est également équipé de portes blindées, de systèmes de détection des chocs sur les portes et les fenêtres. Toute cette installation vise à pouvoir réagir très rapidement en cas de tentative d’effraction, avec une prise en charge rapide par le personnel sur site présent 24h/24 7J/7 et par les forces de l’ordre.

Pour pallier la menace d’incendie, des détecteurs sont mis en place. Les Data Centers sont par ailleurs équipés de système d’extinction automatique par gaz, si un départ de feu est confirmé par 2 détections simultanées, des bouteilles seront percutées instantanément afin de remplir la salle informatique d’un gaz empêchant la réaction chimique de l’incendie et bloquer tout incendie en cours.

Le risque météorologique
Cette catégorie regroupe tous les dangers liés à des conditions climatiques extrêmes: inondation, foudre ou encore canicule. Afin de prévenir d’éventuels sinistres, ce risque est étudié avant même l’implantation du Data Center afin d’éviter la construction en zone inondable. Le bâtiment est également entouré par des paratonnerres, et les armoires électriques équipées de parafoudres pour protéger le lieu en cas de tempête. Les climatisations sont spécifiquement choisies afin de fonctionner même lorsqu’elles sont soumises à de très hautes températures.

Les risques intrinsèques et électriques
Pour la partie électrique, les onduleurs sont présents pour palier une éventuelle micro-coupure ; en cas de problème plus conséquents – comme une panne totale de l’arrivée électrique principale Haute Tension– les Data Centers sont équipés d’un groupe électrogène pouvant assurer leurs autonomies. Des audits annuels sont par ailleurs réalisés pour assurer une sécurité optimale du lieu. Une caméra thermique permet de vérifier qu’il n’y a pas de points chauds pouvant potentiellement créer un départ d’incendie et les câblages sont également vérifiés une fois par an. Enfin, en cas de fuite d’eau, un système automatisé permet de couper l’arrivée d’eau dans la salle informatique.

Le risque numérique
Les menaces numériques regroupent tous les risques liés au piratage informatique.  Pour cela, les serveurs peuvent—être équipés d’un antivirus, d’un firewall, mais aussi d’une solution visant à bloquer les attaques DDoS.  Ainsi, un large spectre de vecteurs d’attaques est contrôlé. Il s’agit là des précautions prises pour un unique Data Center par chaque fournisseur. La mise en place d’un deuxième Data Center, notamment s’il est utilisé pour effectuer des plans de reprises d’activité, exige également quelques bonnes pratiques. Les deux bâtiments ne doivent pas être éloignés de plus de 50 kms l’un de l’autre, dans l’idéal, afin d’avoir un délai de latence faible pour la synchronisation des données. Mais ils ne doivent pas non plus appartenir aux mêmes réseaux électriques, car si une longue coupure intervient, les deux seraient alors potentiellement impactés. (par Aurélien Poret, responsable Infrastructure – Ikoula)

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers, Sauvegarde

Clé USB perdue pour un hôpital, 29 000 patients concernés

La fuite de bases de données peut prendre de multiples formes. La perte d’un support de stockage contenant des informations sensibles médicaux par exemple.

Ca n’arrive pas qu’aux autres – 29 000 patients de l’hôpital universitaire Arnett de l’Indianna viennent d’être alertés d’un problème concernant leurs dossiers médicaux. Le centre hospitalier a alerté la justice de l’Etat à la suite de la « perte » d’une clé USB. Dans le support de stockage de l’University Health Arnett Hospital, des informations de santé de milliers de patients. La clé n’était pas chiffrée, n’avait pas de mot de passe. Le document n’était pas protégé contre les lectures non autorisées. Plus grave encore, les données couraient de novembre 2014 à novembre 2015. Quid des autres sauvegardes et de la sécurité de ces dernières ?

A noter, qu’en France, ce mardi 11 janvier, un hébergeur Lillois a été attaqué par un pirate informatique Turc. Des cabinets dentaires, des sites d’infirmiers et infirmières Français ont été impactés par cette attaque. Impossible de savoir si des données sensibles ont été collectées par le malveillant.

Argent, Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Patch

Sécurité en ligne : la méfiance des Français est-elle mère de sûreté ?

La cybercriminalité se développe aussi vite que les technologies et il n’est pas surprenant que cela rende les consommateurs méfiants lorsqu’on leur demande de saisir des données personnelles en ligne. C’est le cas pour 63% des Français selon une étude récente Dashlane menée par Opinionway. Il est plus étonnant de constater le décalage avec les Américains, qui, s’ils ne sont pas moins touchés par les piratages, sont beaucoup moins méfiants lorsqu’ils doivent saisir des informations personnelles sur internet (seulement 35%).

L’explication est bien sûr en partie culturelle. La France est un pays où, depuis Descartes, on considère que l’intelligence s’illustre par la capacité à douter. En face d’un phénomène nouveau, les consommateurs doutent donc tant qu’ils ne disposent pas des garanties permettant de lever leurs interrogations. Aux Etats-Unis, l’optimisme est une valeur. C’est lui qui permet la « poursuite du bonheur » inscrite dans la déclaration d’indépendance, et la foi en un futur meilleur, « l’American Dream ». Si la sécurité en ligne était un verre d’eau, ou de Coca Cola, les Américains auraient ainsi tendance le voir à moitié plein. Les dangers du web ne sont pas pour eux une raison de ne pas profiter des formidables innovations qu’il apporte. On n’aurait en effet pas conquis l’ouest américain si l’on s’était focalisé sur les risques. Pour les Français, le verre est souvent à moitié vide. Ils sont plus réticent à adopter un service qui risque de perturber leur quotidien, de remettre en cause leur statut…

Pour rassurer les consommateurs, les éléments à leur fournir sont également différents. Selon la même étude, c’est d’abord la réputation de la marque qui met en confiance les Américains (47%), alors que les Français sont 68% à citer le petit cadenas vert, symbole d’une connexion sécurisée, comme facteur de confiance numéro 1. Là encore, le scepticisme des Français les conduit à chercher des preuves concrètes de sécurité plutôt que de faire confiance a priori aux marques.

On serait tenté de donner raison aux Français, tant sont nombreuses les grandes marques qui connaissent des failles de sécurité sur leur site web. En s’intéressant d’abord à un élément factuel de sécurité, la connexion https et son symbole, le petit cadenas vert, les Français ne seraient-ils pas des précurseurs ? Quand ils naviguent sur le web, souris en main, ils souhaitent des signaux clairs pour les rassurer ou leur indiquer les dangers, comme lorsqu’ils sont au volant de leur voiture. Le cadenas https est pour eux la même chose qu’un panneau route prioritaire qui leur dit « C’est bon vous pouvez rouler à 90. ».

La conduite sur route est aujourd’hui énormément guidée par la signalisation (panneaux, lignes, ralentisseurs etc….) au point qu’on y prête à peine attention. Grâce aux efforts de standardisation, on s’y retrouve même lorsqu’on circule loin de chez soi à l’étranger. Mais qu’en est-il du web ? N’est-il pas nécessaire de définir, au-delà du chiffrement de la connexion (https) d’autres standards de sécurité, ou de confidentialité, qui pourraient être vérifiés par des tiers indépendants et illustrés par une signalisation uniforme ?

Au cours des deux dernières décennies, on a vu se développer les « autoroutes de l’information ». Nous sommes bien sur la « route du futur » que Bill Gates annonçait par son livre en 1997. Nous avons juste oublié de tracer les lignes blanches et de poser les panneaux. (Par Guillaume Desnoes, Responsable des marchés européens de Dashlane)

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Google en sait plus sur les enfants que leurs propres parents

De plus en plus d’écoles publiques utilisent les outils gratuits de Google. Bilan, le géant américain de l’Internet en sait plus sur les enfants que les parents d’élèves.

L’inquiétude monte chez certains parents d’élèves américains. Mais soyons honnêtes, il est trop tard. Dans de nombreuses écoles publiques à travers le pays, Google est devenu, techniquement, un collecteur de données légitime, un « school official » pour la loi US. Il faut dire aussi que l’attrait des enseignants à exploiter les suites gratuites de logiciels Google se fait de plus en plus grand.

Logiciels comme Picasa et autres ordinateurs bon marché dont l’OS tourne sous Chrome. La domination croissante de la société suscite de graves inquiétudes chez certains défenseurs de la vie privée qui prétendent que Google utilise des données sur les étudiants pour son propre bénéfice.

La loi américaine exige que les écoles obtiennent le consentement écrit des parents avant de partager des informations personnelles sur les enfants. Mais il y a une exception qui a de quoi inquiéter, aux USA, mais aussi en France et partout dans le monde. Le partage des données avec un « school official » est autorisé aux USA à la condition ou ce dernier a un « intérêt éducatif légitime« . Seulement, le Ministère de l’Éducation a interprété et a modifié la loi au cours des dernières années de manière à permettre maintenant à presque tout individu ou organisation, qui indique proposer une « fonction éducative« , de devenir un « school official« . Bilan, Google et ses outils s’invitent dans les établissements et engrangent des milliards de données sur les élèves et leurs « comportements » numériques sans que les établissements, ni les parents, ne puissent contrôler les informations sauvegardées. De son côté, Google rappelle qu’il est fermement engagé à protéger et sécuriser la vie privée des élèves. (WP)

Base de données, Cybersécurité, DDoS, Entreprise, Justice, Piratage

Attaque électronique contre le site de la BBC

La prestigieuse BBC attaquée le 31 décembre par un DDoS violent qui a bloqué durant quelques heures ses sites et espaces de travail.

Un DDoS, lancé jeudi 31 décembre au matin, a bloqué le média britannique BBC durant plusieurs minutes. Une attaque qui a empêché, en interne, de fournir la moindre information sur le site officiel de l’antenne médiatique publique Anglaise. L’ensemble de ses services : replay, mails… étaient injoignables pour le public, comme pour les employés.

Qui derrière ce DDoS ? Plusieurs choix possibles allant du « piratin » qui teste un outil de Dénis Distribués de Services qu’il a loué ; un propagandiste de Daesh. Les choix sont tellement nombreux !

A noter que le site avait encore de sérieux ralentissement en ce 2 janvier. Une attaque qui change de celle orchestrée contre la British Broadcasting Corporation, en décembre 2013, par les pirates Hash et Rev0lver. Ces derniers avaient réussi à mettre la main sur les identifiants de connexion de ftp.bbc.co.uk. Un espace qui permettait aux journalistes et annonceurs de télécharger leurs contenus. Un an auparavant, un pirate iranien s’était invité dans l’espace « Perse » de la BBC [http://www.bbc.com/persian/].

Pour répondre à savoir qui est derrière l’attaque, une piste, qui reste cependant très « lol! ». Le journaliste Rory Cellan-Jones a reçu le message d’un groupe baptisé New World Hackers. Les « pirates » indiquent avoir testé leurs capacités opérationnelles sur le site de la BBC pour, ensuite, lutter contre Daesh ! « Ce n’était qu’un test. Nous n’avions pas l’intention d’empêcher son fonctionnement pendant plusieurs heures« .

A noter que les mêmes zouaves ont attaqué le site de Donald Trump, un autre extrémiste, mais à mille lieux de Daesh ! Bref, ils ont acheté des minutes DDoS et s’en servent !

Argent, Banque, Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, Paiement en ligne, Particuliers, Phishing, Social engineering

Chantage informatique saveur Macaron

Une entreprise de Montmorillon piratée. Sa base de données volée. Les pirates ont tenté de faire chanter la PME spécialisée dans les Macarons.

Les amateurs de Macarons connaissent l’artisan Rannou-Métivier. Cette entreprise familiale basée à Montmorillon, dans la région de Poitiers, est spécialisée dans cette petite gâterie sucrée qu’est le macaron. Des pirates informatiques ont jeté leur dévolu sur le site Internet de la société. Une faille SQL plus tard et les malveillants sont repartis avec la base de données [BDD].

Une BDD comprenant les informations clients : mails et mots de passe. « Notre service informatique a immédiatement réagi pour renforcer la sécurité du site. Cependant, des données ont déjà été volées » souligne dans le courriel envoyé aux clients de Rannou-Métivier. Les pirates ont réclamé de l’argent à la société. En contre partie, les voyous du web ne diffuseraient pas les informations collectées. Depuis, le chiffrement des sésames a été instauré, espérons juste que cela n’est pas un modeste format MD5 et que les pirates ne diffuserons pas les informations volées.

Une attaque qui démontre une fois de plus l’intérêt des base de données pour le blackmarket. Si cette derniére ne peut-être vendue, ce qui ne veut pas dire  que les données n’ont pas été diffusés dans le BM, les pirates n’hésitent plus à contacter les victimes pour « dealer » une rançon. L’année derniére, le groupe Rex Mundi s’était spécialisé dans ce type de chantage à la base de données clients. [La Nouvelle république]

Argent, backdoor, Banque, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Leak, Particuliers, Piratage

Qui veut la peau de Roger Ramnit ?

La version 2 du code malveillant Ramnit fait surface sur la toile. Un logiciel pirate avide de données bancaires.

À la fin du mois de Février 2015, Europol, en collaboration avec plusieurs sociétés de sécurité informatique mettait fin à plusieurs serveurs (C&C) permettant de contrôler le botnet Ramnit. La police internationale parlait alors de 3 millions de pc infiltrés. Un an plus tard, Ramnit 2 sort son artillerie lourde. Pour l’équipe  X-Force de la Threat Intelligence Team d’IBM, Ramnit revient lentement sur ses terres sous une nouvelle version. Sa cible reste toujours les données bancaires.

Ramnit a fait ses débuts sur la scène de la cybercriminalité en 2010. Il est devenu le quatrième plus grand botnet dédié à la fraude financière à la fin de l’année 2014, derrière GameOver Zeus, Neverquest (Vawtrack) ou encore Shylock. Principalement destiné aux utilisateurs dans les pays anglo-saxons comme les États-Unis, l’Australie et le Royaume-Uni, le botnet a rapidement inquiété les autorités. En février 2015, avec l’aide de Microsoft, Symantec et Anubis Networks, le Centre d’Interpol dédié à la lutte contre la cybercriminalité (EC3) le centre de commandement de Ramnit était mis hors d’état de nuire. Même si des commandes envoyées par des ordinateurs infectés recherchent toujours à converser avec le C&C saisi par les autorités, les pirates se sont penchés sur une nouvelle version de Ramnit.

Ramnit v2, repensé intégralement
Les pirates ont repensé intégralement leur outil malveillant. Les experts en sécurité d’IBM affirment qu’il n’y a pas d’énormes différences entre l’ancienne version du cheval de Troie Ramnit et sa nouvelle monture, à l’exception de sa méthode d’infection. Alors que le Ramnit était diffusé par clé USB et P2P, Ramnit 2 est construit de maniére à diriger les potentielles victimes vers des pages web fabriquées pour l’occasion, ou infiltrées pour y cacher les kits d’exploits pirates.

Fait intéressant, le code source de Ramnit n’a jamais été diffusé et partagé dans le darknet. Un élément qui tenterait à laisser penser que Ramnit 2 a été écrit par le/les mêmes codeurs. Ramnit a permis d’attaquer plusieurs grandes banques au Canada, en Australie, aux États-Unis et en Finlande. (SoftMedia)

Base de données, Entreprise, Espionnae, Hacking, ID, Identité numérique, Particuliers

Fuite de données pour la boutique Steam

Noël mouvementé pour les millions de clients de la boutique Steam. Un bug permettait d’afficher les données appartenant à d’autres clients du géant du jeu vidéo.

Joli bug que celui qui a touché la boutique de l’éditeur de jeux vidéo Valve. Vendredi 25 décembre, le magasin online Steam a diffusé les informations des clients. Une coquille numérique qui, une fois connecté à son propre compte, proposait les données personnelles et sensibles appartenant à d’autres clients. Une pression sur la touche F5 et d’autres contenus apparaissaient.

Bref, le cache du serveur avait ses vapeurs ! Steam a indiqué qu’il ne s’agissait pas d’un piratage, mais d’un problème technique. Valve a assuré à la presse américaine que les informations bancaires n’ont pas été impactées. Pendant ce temps, plusieurs autres éditeurs de jeux vidéo, dont Electronic Arts et UbiSoft ont subit quelques assauts de type DDoS durant les fêtes. Des « piratins » souhaitant refaire le coup des Lizards Squad, en décembre 2014 et espérer vendre des comptes dans des boutiques proposant des Dénis Distribués de Services.

Argent, Arnaque, Banque, Base de données, Cybersécurité, Entreprise, escroquerie, Fuite de données, Justice, Paiement en ligne, Particuliers, Social engineering

Manipulation des données d’une compagnie aérienne chinoise

Un internaute met la main sur le site Internet d’une compagnie aérienne Chinoise et réussi à détourner 150 000 euros en annulant des voyages.

Zhang est un internaute Chinois de 19 ans. Comme beaucoup de ses petits camarades, ils touchent au piratage. Le gouvernement ne dit rien, tant que ces « visites » ne visent pas les entreprises locales. Sauf que Zhang a oublié l’adage « Une petite armée résiste à l’ennemi, une grande armée le capture » L’art de la Guerre – Art. III. Bilan, après s’être invité dans le serveur d’une compagnie aérienne, il a manipulé les comptes clients et réussi à soutirer 150 000 euros via les 1,6 million d’informations de réservations qu’il a copié et qui incluaient noms, numéros de carte d’identité, numéros de téléphone, adresses e-mail et autres données de vol. Dans son « attaque », elle va durée 15 jours, Zhang écrivait aux passagers en indiquant que leur vol avait été annulé et qu’il fallait reprogrammer un voyage. Zhang vendait de nouveaux billets et prenant sa commission. Il a été arrêté. (People)

Base de données, BYOD, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage, santé

Tendances cybercriminalité pour 2016

L’éditeur d’antivirus Bitdefender dévoile ses prédictions en matière de menaces et leur impact sur les entreprises et les particuliers.

Le marronnier de fin d’année, la boule de cristal des éditeurs de solution de sécurité informatique, vient de toucher BitDefenders. La société, qui annonce protéger plus de 500 millions d’utilisateurs dans le monde entier, a publié ses prévisions en matière de sécurité. Cinq évolutions notables sont à noter. Elles impacteront notre façon de travailler, de jouer et de se sociabiliser sur Internet, au cours de l’année prochaine.

Malwares et adwares : des frontières de plus en plus floues
L’année 2016 verra un changement majeur dans la façon dont opèrent les cybercriminels. Le domaine probablement le plus impacté par cette refonte sera celui des PUA, dont l’activité s’est déjà accrue sur des plates-formes telles que Mac OS X et Android.

Suite aux nombreuses fermetures de réseaux de machines zombies et arrestations en 2015, les nouveaux cybercriminels transiteront probablement vers des systèmes de monétisation publicitaire spécifiques aux adwares agressifs, plutôt que de développer de nouvelles souches de malwares. Si pour le moment les botnets constituent toujours une partie importante de l’écosystème de la cybercriminalité, nous assisterons à une augmentation de la sophistication des PUA et des programmes incluant plus de greywares à l’installation.

La publicité sur le Web va également évoluer : étant donné le taux d’adoption ainsi que la popularité des bloqueurs de publicités, les régies publicitaires chercheront à utiliser des mécanismes plus agressifs afin de contourner ces blocages.

Les APT abandonneront le facteur de longévité
Les entreprises et les institutions gouvernementales feront toujours face à des attaques de ce type tout au long de 2016. Cependant, les APT (Advanced Persistent Threats, menaces persistantes avancées) mettront l’accent sur l’obfuscation et la récolte d’informations plutôt que sur la longévité. Les pirates ne s’infiltreront sur le réseau de l’entreprise que quelques jours, voire quelques heures.

Le monde de l’entreprise connaîtra une augmentation des attaques ciblées et des bots fortement obfusqués, avec une courte durée de vie et des mises à jour fréquentes, estime Dragos Gavrilut, Chef d’équipe au sein des Laboratoires antimalwares de Bitdefender. La plupart de ces attaques se spécialiseront dans le vol d’informations.

Également, l’évolution latérale de l’infrastructure des fournisseurs de services Cloud ira de pair avec l’avènement d’outils permettant aux pirates de compromettre l’hyperviseur à partir d’une instance virtuelle et de passer d’une machine virtuelle à l’autre. Ce scénario est particulièrement dangereux dans des environnements de « mauvais voisinage », où un tiers mal intentionné serait amené à partager des ressources sur un système physique avec un fournisseur de services ou une entreprise légitimes.

Des malwares mobiles de plus en plus sophistiqués
Du côté des particuliers, les types de malware sous Android sont désormais globalement les mêmes que sous Windows. Alors que les rootkits sont en perte de vitesse sur Windows, ils vont probablement devenir monnaie courante sur Android et iOS, car les deux plates-formes sont de plus en plus complexes et offrent une large surface d’attaque, affirme Sorin Dudea, Chef de l’équipe de recherche antimalwares. De nouveaux malwares mobiles, aux comportements similaires à ceux des vers, ou un réseau botnet mobile géant, sont deux autres possibilités envisagées pour l’année prochaine, selon Viorel Canja, Responsable des Laboratoires antimalwares et antispam chez Bitdefender. Ces attaques pourraient être la conséquence de techniques d’ingénierie sociale ou de l’exploitation de vulnérabilités majeures (telles que Stagefright) sur des plates-formes non patchées.

L’Internet des Objets (IOT) et la vie privée
La façon dont nous gérons notre vie privée va aussi changer durant l’année 2016. En effet, les récents vols de données ont contribué à mettre une quantité importante d’informations personnelles en libre accès sur Internet, rendant ainsi le « doxing » (processus de compilation et d’agrégation des informations numériques sur les individus et leurs identités physiques) beaucoup plus facile pour des tiers.

Les objets connectés vont devenir de plus en plus répandus, donc plus attrayants pour les cybercriminels. Compte tenu de leur cycle de développement très court et des limites matérielles et logicielles inhérentes à ce type d’objet, de nombreuses failles de sécurité seront présentes et exploitables par les cybercriminels ; c’est pourquoi la plupart des objets connectés seront compromis en 2016, ajoute Bogdan Dumitru, Directeur des Technologies chez Bitdefender. Également, les réglementations de surveillance de type « Big Brother », que de plus en plus de pays essaient de mettre en place pour contrecarrer le terrorisme, déclencheront des conflits quant à la souveraineté des données et le contrôle de leur mode de chiffrement.

Les ransomwares deviennent multiplateformes
Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l’un des plus importants vecteurs de cybercriminalité en 2016. Alors que certains pirates préfèrent l’approche du chiffrement de fichiers, certaines versions plus novatrices se concentreront sur le développement de « l’extortionware » (malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet).

Les ransomwares visant Linux vont se complexifier et pourraient tirer parti des vulnérabilités connues dans le noyau du système d’exploitation pour pénétrer plus profondément dans le système de fichiers. Les botnets qui forcent les identifiants de connexion pour les systèmes de gestion de contenu pourraient aussi se développer. Ces identifiants pourraient être ensuite utilisés par les opérateurs de ransomwares visant Linux pour automatiser le chiffrement d’une partie importante d’Internet.

Enfin, les ransomwares chiffrant les fichiers s’étendront probablement aux systèmes sous Mac OS X, corrélant ainsi avec les travaux de Rafael Salema Marques et sa mise en garde illustrée autour de son ‘proof of concept’ malware nommé Mabouia. En effet, si le principe de conception de Mabouia reste pour le moment privé, il pourrait être créé par des cybercriminels enrichissant alors leurs offres orientées MaaS (Malware-As-A-Service).

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données

Fuite de données pour les fans de Hello Kitty

Nouvelle fuite de données en raison d’un MongoDB ma configuré. Plus de 3 millions de fans de Hello Kitty peut-être dans les mains de pirates informatiques.

Le site sanriotown.com, la communauté en ligne officielle pour Hello Kitty, s’est retrouvé avec les données de 3.3 millions de clients accessibles sur la toile. La fuite, comme les dernières en dates révélées par Chris Vickery, sortent de Shodan et d’un serveur dont l’outil de gestion de base de données, MongoDB, était mal configuré.

Les documents exposés comprennent les noms et prénoms, les dates d’anniversaire, le sexe, le pays d’origine, les adresses électroniques, le mot de passe non chiffré/hashs, les questions secrètes et leurs réponses correspondantes. Bref, toutes les informations sauvegardées par les clients et sauvegardées dans la basse de données du site.

Une base de données qui desservaient aussi les sites hellokitty.com ; hellokitty.com.sg ; hellokitty.com.my ; hellokitty.in.th et mymelody.com. En avril 2015, Sanrio avait déjà eu une fuite de données visant cette fois ses actionnaires.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Facebook, Justice, Particuliers, Sauvegarde, VPN

Facebook menace l’employeur d’un chercheur en sécurité informatique

Après avoir découvert une porte d’entrée dans l’administration d’Instragram, un chercheur en sécurité informatique est menacé par Facebook.

Wesley Wineberg, un chercheur en sécurité indépendant n’a pas apprécié la nouvelle méthode de Facebook pour récompenser les internautes qui lui remontent des problèmes de sécurité informatique. Il faut dire aussi que Wesley a été très loin dans sa recherche d’information.

Alors qu’il aurait pu se contenter d’expliquer comment il avait eu accès à un espace d’administration d’Instragram, le chercheur a continué de pousser sa recherche dans les méandres informatiques du service photographique de Facebook.

W.W. va sortir du serveur des fichiers de configuration, une clé d’un Amazon Web Services, … Il va utiliser cette clé [là, nous ne sommes plus dans de la recherche de bug, NDR] pour se connecter à des espaces de stockages. Une autre clé va lui ouvrir le code source d’Instagram, clés API et certificats SSL.

Wesley Wineberg va alerter le géant américain, le 1er décembre. L’entreprise va changer son fusil d’épaule à l’encontre de ce bidouilleur. Au lieu de parler « bug Bounty« , Facebook va le menacer en appelant son employeur. Alex Stamos, le CSO de Facebook, a contacté l’entreprise de Wesley en indiquant que les avocats de la firme étaient sur l’affaire. Facebook souhaitait faire disparaître la moindre trace de cette découverte et infiltration.

Base de données, Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Les Services de Renseignements Danois se penchent sur la sécurité informatique

Dans son rapport baptisé « Intelligence Risk Assessment 2015 – An assessment of developments abroad impacting on Danish security« , le Danish Defense Intelligence Service, revient sur les problématiques rencontrés par les services secrets Danois.

Dans son dernier rapport en date, baptisé « Intelligence Risk Assessment 2015« , les Services de Renseignements Danois (DDIS) reviennent sur une année 2015 chargée. Le Danish Defense Intelligence Service s’inquiète de l’évolution des risques d’espionnage contre les institutions publiques et les entreprises privées danoises. « Le cybercrime constitue la plus grave des menaces au Danemark et pour les intérêts Danois » souligne le FE. « Ce type d’espionnage est principalement mené par des Etats et des groupes parrainés par des États« .

Au cours des dernières années, le cyber espionnage contre le Danemark a considérablement augmenté, et les méthodes et techniques employées par les auteurs sont devenues de plus en plus sophistiquée. « L’espionnage cybernétique contre les autorités danoises et les entreprises est très élevée » confirme DDIS. Pour le Danish Defense, il est fort probable que plusieurs États vont exploiter l’Internet à des fins offensives. DDIS cite d’ailleurs l’État islamique en Irak et le Levant (ISIL) et ses filiales régionales.

Le Service de Renseignement Danois termine son rapport sur le danger que peuvent être les prestataires de services. Un exemple, celui vécu par certains services de la police locale dont les serveurs avaient été attaqués par le biais d’un fournisseur de services. « Des dispositifs de faibles qualités constituent un risque que des acteurs malveillants savent exploiter, comme par exemple les routeurs qui sont exploités pour mener espionnage ou sabotage« .

Base de données, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, loi, Particuliers

Accord sur la protection des données personnelles : oui à la protection de nos vies privées !

Les négociations sur le paquet protection des données personnelles ont abouti mardi 15 décembre. C’est un succès pour les eurodéputé-e-s socialistes et radicaux. Nous voulions un accord dans le PNR ; il était pour nous indissociable de la protection des données personnelles. La commission des libertés civiles s’est prononcée aujourd’hui, et avant une adoption en plénière prévue au début 2016, en même temps que le PNR européen, ce que nous exigions.

Les données personnelles des Européens ont une valeur estimée aujourd’hui à 315 milliards d’euros, qui pourrait s’élever à 1 000 milliards d’euros en 2020 ! Elles sont donc l’objet de bien des convoitises. Le rôle de l’Europe, et tout particulièrement du Parlement européen, est de les protéger. Nous devions nous battre afin d’améliorer la législation sur la  protection des données devenue largement obsolète. Aujourd’hui, 97% de nos données transitent par le net alors que la législation encore en vigueur date d’avant le développement de la toile !

Parce que la technologie donne de nouveaux moyens de surveillance à la police et la justice, il était indispensable de bâtir un socle de garanties pour les droits et libertés des citoyens, tout en autorisant les forces de sécurité à échanger des informations de manière plus rapide et plus efficace. Nous sommes parvenus à un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l’efficacité de la coopération policière dans l’ensemble de l’Union européenne.

Quant au bruit des derniers jours concernant l’accès des jeunes aux réseaux sociaux, nous nous félicitons, au Parlement, que la raison l’ait finalement emporté au Conseil. Le Parlement européen a en effet toujours défendu un accès libre aux réseaux sociaux pour les enfants à partir de 13 ans. Malheureusement, certains États membres au sein du Conseil privilégiaient une approche plus restrictive – et hors des réalités – avec un accès sans consentement parental seulement à partir de 16 ans ! Vouloir interdire l’accès libre aux réseaux sociaux aux moins de 16 ans relevait pourtant de l’absurde et risquait de discréditer l’Europe à leurs yeux et à ceux de bien de leurs parents. Quiconque a des enfants sait déjà que « tenir » jusqu’à 13 ans relève de l’impossible…. La sagesse était d’en rester à un relatif statu quo, en permettant aux États membres de fixer librement l’âge auquel un mineur peut s’inscrire sur les réseaux sociaux sans consentement parental.

Tout au long des débats, qui ont duré quatre ans, nous avons veillé à renforcer les droits des internautes en leur permettant de mieux contrôler leurs données, notamment en cas d’usage abusif. Droit à l’effacement, voies de recours, informations sur la façon dont les données sont traitées, encadrement des transferts de données des Européens vers les pays tiers, possibilités de profilage strictement limitées, sanctions en cas de non-respect des règles : avec cette réforme, l’Union sera dotée des standards de protection de la vie privée les plus élevés au monde ce qui, compte tenu de son poids démographique et économique, permettra d’influencer la norme du reste de la planète.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Sauvegarde, Social engineering

Fuite de données pour le service de réseautage Vixlet

Plusieurs centaines de milliers de comptes d’utilisateurs du service de réseautage Vixle accessible en quelques clics de souris.

La société Vixlet, anciennement Divide Nine LLC, est connue pour proposer des services de réseautage. Basée à Los Angeles, cette startup américaine propose des outils pour les réseaux sociaux à des clients tels que la ligue professionnelle de basket US ou encore l’ATP (Tennis).

Une faille a été découverte dans l’outil proposé par Wixlet. Elle permettait de mettre la main sur les informations des inscrits. Dans les données, mails, mots de passe et dates de naissance. Un serveur non protégé et le tour était joué pour accéder à la base de données. Les données des clients étaient sauvegardées dans un dossier baptisé VixLet prod. Un dossier de production contenant de vraies données… normale !