Archives de catégorie : Linkedin

Linkedin lance son vérificateur d’entreprise

Microsoft a annoncé le lancement d’une nouvelle méthode de vérification pour LinkedIn. Dorénavant, les employés pourront faire confirmer leur appartenance à la société qu’ils affichent.

« Nous sommes ravis d’annoncer que des millions de membres de LinkedIn pourront vérifier leur lieu de travail à l’aide d’un identifiant Microsoft Entra Verified ID. En recherchant simplement une vérification, les membres et les organisations peuvent être plus sûrs que les personnes avec lesquelles ils collaborent sont authentiques et que les connections professionnelles sur leurs profils sont exactes. » indique Microsoft, propriétaire de Linkedin, le réseau social pour professionnel.

Ce service, bien venu pour la sécurité des communications entre membres, pourra permettre d’éviter de finir dans les mains d’usurpateurs et autres malveillants. Pour le moment, le service ne fonctionnera qu’aux USA.

Comment ça marche ?

En quelques minutes seulement, les organisations peuvent utiliser Verified ID pour créer des identifiants numériques personnalisés pour leurs employés qui reflètent leur marque et leurs besoins professionnels. Grâce à cette solution, les membres de LinkedIn peuvent vérifier leur lieu de travail sur leur profil et obtenir leur identifiant numérique d’employé en quelques clics sur leur téléphone. Ils peuvent ensuite choisir de le partager sur LinkedIn après avoir envoyé une preuve de leur lieu de travail, qui sera vérifiée et affichée sur leur profil.

Le système de Verified ID s’appuie sur des normes ouvertes pour l’identité décentralisée et fonctionne selon un modèle de « triangle de confiance » impliquant trois parties : un émetteur, un détenteur et un vérificateur. Par exemple, une organisation peut agir en tant qu’émetteur en signant cryptographiquement un titre numérique et en le délivrant à un employé sous la forme d’une carte d’identité numérique. En tant que détenteur de la carte, l’employé peut décider de la partager sur des applications et des sites web, tels que LinkedIn. Le vérificateur peut alors authentifier par cryptographie que l’identifiant numérique de l’employé est authentique et qu’il a été délivré par le lieu de travail déclaré par l’employé. Cette approche représente un moyen plus sûr, plus pratique et plus fiable de vérifier les informations numériques à grande échelle.

Cependant, il est important de noter que LinkedIn est également utilisé comme vecteur d’hameçonnage capable d’attirer plus facilement qu’avec des courriels d’hameçonnage traditionnels. La plateforme a été utilisée à mauvais escient par plusieurs acteurs malveillants de premier plan dans leurs campagnes de phishing et de cyberespionnage, notamment par le groupe nord-coréen Lazarus. L’ajout d’une photo, d’un parcours et de quelques connexions partagées peut très facilement être utilisé pour manipuler une cible. Jusqu’à présent, il n’existait pas d’équivalent numérique à la carte d’identité physique, ce qui a malheureusement fait le jeu des cybercriminels.

La vérification des éléments d’identité et d’emploi ne peut à elle seule stopper complètement les attaquants qui tentent de créer des identités fictives et de fausses entreprises pour « vérifier » de faux emplois. Cependant, l’acceptation générale de la vérification des emplois sur LinkedIn rendrait plus difficile pour les acteurs malveillants d’usurper l’identité de comptes légitimes et de construire de fausses personnalités convaincantes. En effet, l’interaction numérique contribue souvent à l’art de la manipulation aux mains d’acteurs sophistiqués. Ce nouvel outil de vérification réduira sans aucun doute la menace actuelle et renforcera la confiance des utilisateurs.

Comme pour tous les nouveaux outils destinés à limiter les escroqueries, les mauvais acteurs tenteront inévitablement de le contourner. Cependant, il est important de souligner que Verified ID représente une avancée significative dans la lutte contre la fraude numérique. Les identités numériques sont une nécessité croissante.

L’année dernière, le Service Veille français ZATAZ avait découvert plusieurs dizaines de millions de comptes Linkedin diffusé par un pirate informatique aprés l’exfiltration des informations par le malveillant.

Double authentification pour votre LinkedIn

Vos identifiants de connexion LinkedIn piratés par phishing, malveillance locale, piratage de l’entreprise ? Pas de panique, le pirate ne pourra rien faire si vous avez installé la double authentification. Mode d’emploi.

Comme vous avez pu le lire plus d’une fois, une base de données volée par un pirate comprend, très souvent, login et mots de passe. Même si le password est chiffré, cela ne veut pas dire que ce dernier ne sera pas « crackable » aujourd’hui, via des outils libres et rapides d’accès. Ou demain, via des techniques non encore connues/découvertes. Si vous utilisez le service professionnel LinkedIn, il est possible d’utiliser la double authentification. Je vous conseille fortement de le faire. Pour cela, il vous est demandé de fournir votre numéro de téléphone. Ce dernier servira à recevoir un SMS avec un code de validation. Bilan, quand vous rentrez votre login et mot de passe sur LinkedIn, votre téléphone portable vous servira de seconde clé via ce texto.

Pour activer la vérification en deux étapes : Placez votre souris sur votre photo de profil en haut à droite de votre page d’accueil et sélectionnez « Préférences et confidentialité« . Cliquez sur l’onglet « Confidentialité« , icône du milieu, en haut de la page. Faites défiler jusqu’à la section Sécurité. Cliquez sur Vérification en deux étapes. Cliquez sur Activer pour modifier le statut de la vérification en deux étapes. Vous allez recevoir un code par SMS qui permettra de valider votre numéro de téléphone.

Même possibilité pour Yahoo! Dailymotion ou encore Microsoft.

Comment renforcer la sécurité de vos mots de passe en 5 étapes

Le piratage des comptes Twitter et Pinterest de Mark Zuckerberg a été lié à la fameuse fuite de données subie par LinkedIn, et facilité par le fait que le milliardaire utilisait les mêmes mots de passe sur plusieurs comptes. Cette histoire constitue une bonne raison pour vous inciter à renforcer la sécurité de vos mots de passe. S’assurer de sa sécurité en ligne ne doit pas nécessairement être tâche compliquée : avec les bons outils, vous pouvez vous protéger tout en économisant votre temps et votre énergie.

Voici 5 conseils pour vous assurer que vos comptes personnels soient aussi sûrs que possible :

1. Créer des mots de passe n’a jamais été notre fort. Utilisez un gestionnaire dédié.
Chaque jour apporte son lot d’histoires de piratage, certaines ayant pour origine les fuites de données vers le dark Web d’il y a 4 ans. Malgré cela, nous continuons à réutiliser les mêmes mots de passe pour différents comptes en dépit de risques évidents. Bien souvent, au moment de l’annonce d’un piratage, il est déjà trop tard, mais il est possible de prendre des précautions afin de sécuriser nos données.

En évitant d’utiliser plusieurs fois le même mot de passe, les pirates ne peuvent pas prendre possession de plusieurs comptes en cas de fuite. Les gestionnaires tels que LastPass offrent une solution sécurisée pour générer des codes longs, complexes et uniques sans avoir recours à sa mémoire ou à des bouts de papier. Mieux : ces outils simplifient l’importation des identifiants de l’ensemble des comptes associés à une adresse e-mail donnée, sans oublier que ces données sont également chiffrées.

2. N’enregistrez pas vos mots de passe sur votre navigateur.
Bien que pratique, stocker des mots de passe en local sur un navigateur est dangereux et vous rend, vous et vos identifiants, vulnérables en cas de piratage. Ce confort est en effet la raison-même pour laquelle ces applications sont moins sécurisées et robustes. Les gestionnaires de mots de passe, eux, apportent un plus en vous aidant à gérer votre vie en ligne. Le chiffrement et le déchiffrement s’effectuent en local. Leurs protocoles de vérification vous évitent de partager votre mot de passe principal à mauvais escient et d’offrir l’accès à vos données.

3. Activez l’authentification à deux facteurs sur l’ensemble de vos comptes, y compris vos messageries.
En activant l’authentification à deux facteurs (2FA) sur vos comptes importants, même si un pirate possède votre mot de passe, il lui faudra une information supplémentaire (un code à usage unique généré à partir d’une application sur votre téléphone, ou une empreinte digitale). Cette méthode est incroyablement précieuse pour votre adresse e-mail, qui sert essentiellement de passerelle pour l’ensemble de votre activité en ligne, y compris vers votre compte bancaire, vos cartes de crédit, ou encore vos investissements.

4. Renforcez votre code PIN.
Les codes PIN à 4 chiffres sont la norme sur nos téléphones portables. Cela dit, nous vous recommandons vivement de vous rendre dans les paramètres de votre appareil et de créer un code plus long. Et évitez de reproduire celui de votre carte bancaire, ou d’utiliser le code d’accès à votre compte en banque en ligne.

5. N’oubliez pas les questions de sécurité.
Beaucoup de comptes en ligne vous invitent à choisir des questions de sécurité afin d’ajouter une protection supplémentaire. Cependant, celles-ci laissent clairement à désirer et constituent pour beaucoup le maillon faible de leur système de sécurité en ligne. Si vous utilisez un gestionnaire de mots de passe, profitez de la fonction de génération automatique pour répondre à ces questions, puis enregistrez les réponses dans la section « Notes » de votre compte. Le champ correspondant doit ressembler à cela : premier animal de compagnie : ackpioughtso. N’oubliez pas d’utiliser également la fonction de création de codes lisibles (proposée en autres par LastPass). Dans le cas contraire, vous risquez de vous retrouver au téléphone à devoir expliquer à un agent de service client pourquoi les caractères $$%%@@ figurent dans le nom de votre animal de compagnie, ce qui vous compliquera la vie pour pas grand-chose. (Par Joe Siegrist, vice-président et directeur général de LastPass)

Notification d’infraction aux données : linkedIn

La société LinkedIn vient de communiquer sur son « problème » de fuite de données. Voici ses propos et sa notification d’infraction aux données.

« Vous avez pu récemment entendre parler de problème de sécurité à LinkedIn. Nous souhaitions nous assurer que vous disposiez des faits réels, des données concernées et des mesures que nous prenons pour vous protéger.

Que s’est-il passé ?
Le 17 mai 2016, nous avons découvert que des données volées en 2012 de LinkedIn ont été mises à disposition en ligne. Il ne s’agit pas d’une nouvelle infraction ou d’un hack. Nous avons pris des mesures immédiates pour invalider tous les mots de passe des comptes que nous estimons affectés. Il s’agit des comptes créés avant 2012 qui n’avaient pas mis leur mot de passe à jour après l’infraction.

Quelles sont les données concernées ?
Les adresses e-mail des membres, les mots de passe chiffrés et l’ID LinkedIn (identifiant interne attribué à chaque profil de membre) de 2012.

Nos mesures
Nous avons invalidé les mots de passe de tous les comptes créés avant l’infraction de 2012 qui n’avaient pas réinitialisé les mots de passe depuis. De plus, nous utilisons des outils automatiques pour identifier et bloquer toute activité suspicieuse qui se produirait sur les comptes LinkedIn. Nous collaborons également avec les forces de l’ordre.

LinkedIn a pris des mesures importantes depuis 2012 pour renforcer la sécurité des comptes. Nous avons ajouté des couches de protection supplémentaires au stockage des mots de passe et offrons la possibilité à nos membres d’activer la vérification en deux étapes pour plus de sécurité.

Vos options
Nous avons plusieurs équipes dédiées à la sécurité des données confiées par nos membres à LinkedIn. De votre côté, pour renforcer la sécurité de vos comptes, nous vous suggérons d’accéder au Centre de sécurité pour apprendre à activer la vérification en deux étapes et à créer des mots de passe résistants. Nous recommandons que vous changiez régulièrement de mot de passe et que si vous utilisez des mots de passe similaires, ou les mêmes, sur d’autres sites web, vous les changiez aussi.

Pour plus d’informations
Si vous avez des questions, veuillez contacter notre équipe Sécurité tns-help@linkedin.com. Pour en savoir plus, lisez notre blog officiel. »

Qui protège le mieux ses données personnelles ?

La récente affaire Ashley Madison a démontré une nouvelle fois les nombreuses failles de nos systèmes informatiques et  la négligence des utilisateurs à confier leurs données personnelles à tous types de sites. Newmanity au travers de son étude a voulu étudier le comportement des français face à cette polémique et les résultats s’avèrent des plus surprenants !  Homme, femme, qui a le plus peur pour ses données personnelles ?

On apprendre que la majorité des actifs Français déclarent faire plus attention à leurs données numériques dans le cadre personnel, plutôt que dans le cadre professionnel. Les hommes déclarent protéger davantage leurs données que les femmes. Les Français expriment plus de méfiance à l’égard des appareils mobiles (Smartphones, Tablettes) que des ordinateurs. La déconnexion des comptes est une habitude peu fréquente pour les Français

Une enquête réalisée auprès d’un échantillon de Français recrutés par téléphone puis interrogés par Internet les 31 août et 1er septembre 2015 a permis de se faire une petite idée de la protection des données. Un échantillon de 1183 personnes, représentatif de la population française âgée de 18 ans et plus. La représentativité de l’échantillon est assurée par la méthode des quotas appliqués aux variables suivantes : sexe, âge, profession du chef de famille et profession de l’interviewé après stratification par région et catégorie d’agglomération.

LES HOMMES PLUS MÉFIANTS QUE LES FEMMES

Selon les actifs français, les données numériques les plus préoccupantes sont celles issues d’une utilisation personnelle : 69% d’entre eux déclarent y être plus vigilants contre 28% dans le cadre professionnel. Et ce sont les femmes qui sont les moins regardantes (34%) sur la protection de leurs données dans le cadre personnelles contre 73% des hommes qui scrutent méticuleusement la moindre trace sur la toile ! Paradoxalement, les manipulations de base permettant de limiter les problèmes de sécurité en matière de données numériques sont encore assez peu utilisées. Par exemple, moins de 6 actifs sur 10 se déconnectent systématiquement de leur boite mail personnelle lorsqu’ils la consultent depuis le bureau, et cette proportion tombe à 48% lorsque l’utilisation se fait sur ordinateur personnel.

Que ce soit sur leur ordinateur personnel ou professionnel, moins de 4 Français sur 10 suppriment leurs données de navigation tous les jours ou au moins une fois par semaine. D’ailleurs, près de 3 actifs sur 10 ne suppriment jamais leur historique de navigation sur leur ordinateur professionnel. Des gestes pourtant simples qui permettraient une meilleures protection de la vie privée de tout un chacun.

Les appareils mobiles suscitent plus de méfiance

Près de la moitié des Français détenteurs d’équipements numériques n’en n’ont pas confiance, signe d’une certaine méfiance alors que les affaires de piratage de données personnelles (Orange, Ashley Madison…) font régulièrement la Une de l’actualité. Dans le détail, que ce soit à l’égard des ordinateurs personnels ou professionnels, les cadres et les femmes qui semblent être les plus confiants. A l’inverse, les hommes et les CSP ‘employés’ et ‘ouvriers’ sont nettement plus réservés.

Il est à noter que cette méfiance devient défiance lorsqu’il s’agit de tablettes ou de smartphones. Ces équipements mobiles sont marqués par le peu de confiance qui leur est accordé en matière de sécurité de données transmises : Seulement 37% des Français détenteurs d’une tablette numérique lui font confiance et à peine plus d’un tiers (34%), en ce qui concerne les possesseurs de smartphones. [l’étude complète]

Attaques à l’encontre des comptes sociaux

Après Le Monde en Janvier, CNN, Forbes et une vingtaine d’importants média en 2014, c’est au tour de Newsweek de voir son compte Twitter piraté pendant quelques heures par des pirates se réclamant du groupe Etat islamique (EI).

Comme nous le disions déjà lors de l’attaque subie par Le Monde, les comptes de réseaux sociaux tels que Twitter sont une cible de première importance pour les pirates. Si certaines entreprises ont mis en place des procédés et des moyens techniques pour protéger leur compte Twitter contre le hijacking, la plupart n’ont rien de cela et sont donc non seulement vulnérables au hijacking de leurs comptes de réseaux sociaux, mais sont aussi incapables de détecter ce hijacking de leurs propres comptes. Dans une récente étude auprès des entreprises du Fortune 100, les chercheurs de Proofpoint relevaient les points suivants :

· Il existe trois principaux types de menaces de réseaux sociaux parmi lesquels : le piratage de compte, les comptes non autorisés, et les menaces basées sur le contenu (ex : spam social, liens malveillants, etc.).
· En moyenne, deux comptes Facebook sur cinq (soit 40 %) semblant représenter une marque du classement Fortune 100 ne sont pas autorisés.
· En moyenne, un compte Twitter sur cinq (soit 20 %) semblant représenter une marque du classement Fortune 100 n’est pas autorisé.
· Les marques du classement Fortune 100 sont victimes d’au moins une intrusion sur leurs comptes de réseaux sociaux par jour ouvrable.
· Le volume de spams diffusés via les réseaux sociaux a été multiplié par sept depuis le milieu de l’année 2013, date de la publication du précédent rapport « State of Social Media Spam ».

Un compte compromis fournit aux pirates une plateforme idéale pour la distribution de spams, de liens malicieux, et autres contenus pouvant nuire à l’image de marque de l’entreprise touchée. Les comptes de réseaux sociaux des médias sont d’autant plus intéressants pour des personnes malintentionnées qu’ils bénéficient d’une forte audience et que leurs posts ont une large portée. Nous ne pourrions que trop recommander aux entreprises et aux médias de se prémunir de ce type d’attaque et de préparer des plans de réponses en cas de piratage (communication, personnes à alerter, processus de reprise en main des comptes, etc.). En effet, plus on est préparé et moins l’impact sera conséquent pour l’activité et l’image de l’entreprise.

Réseaux sociaux : la nouvelle porte d’entrée des cybercriminels dans les entreprises ?

Aujourd’hui, la cybercriminalité est de plus en plus importante et organisée. Nous sommes loin de l’époque du pirate solitaire qui envoyait des malware du fond de sa chambre. Le phishing, par exemple, a prospéré au cours des dernières années.

Les cybercriminels utilisent des méthodes de plus en plus sophistiquées de phishing pour cibler les entr eprises, ce qui entraîne non seulement une perte de crédibilité des entreprises mais aussi et par conséquent une perte de clients et de bénéfices. La priorité première pour entreprise, cible d’une attaque via le phishing devrait être la protection de ses clients. Mais de nos jours, ce n’est pas aussi facile qu’il y paraît. La disponibilité des informations personnelles via les réseaux sociaux a rendu la tâche plus facile pour les cybercriminels. Il est maintenant aisé pour eux de produire des messages de phishing de plus en plus convaincants avec les informations qu’ils arrivent à trouver sur Internet. Des informations mises en ligne par des utilisateurs qui deviennent des proies faciles. Dans le même temps, les entreprises de toutes tailles ne parviennent pas à éduquer leurs utilisateurs sur le fait d’être constamment vigilants, en particulier dans leurs activités personnelles en ligne.

L’exemple de LinkedIn
Au cours de ces derniers mois, plusieurs articles ont mentionné un nouveau mode d’attaque phishing via LinkedIn. En fait, l’une des meilleures méthodes pour toucher une entreprise avec une attaque ciblée consiste à envoyer un simple email LinkedIn. Une enquête récemment réalisée a révélé que les attaques dissimulées dans les invitations LinkedIn avaient un taux de clics deux fois plus élevé. Il y a un nombre toujours croissant de faux profils sur LinkedIn, et c’est l’un des plus gros problèmes de ce réseau social. Ces comptes peuvent être utilisés pour espionner les entreprises, phénomène que nous appelons le « Social Klepto ». D’après une enquête menée récemment : par rapport à des sites tels que Facebook ou Twitter, LinkedIn est le réseau social le moins bloqué (20%); et c’est aussi le réseau social qui comprend le moins d’utilisateurs se sentant en danger sur le site (14%). Ces chiffres nous montrent que la population a plus confiance en LinkedIn qu’en d’autres medias sociaux.  Il n’est donc pas surprenant que les invitations LinkedIn aient un taux de clics plus important que les demandes d’ajout en ami de Facebook ou les invitations aux cercles de Google+. Afin de vous assurer que vous utilisez LinkedIn de la manière la plus sûre possible, lisez bien les points suivants.

Vérifiez vos paramètres de confidentialité LinkedIn
Tout comme la plupart des services gratuits, le site LinkedIn peut utiliser les informations de votre profil pour des recherches ou à des fins marketing à savoir pour de la publicité ciblée (comme Gmail et Facebook). Plusieurs paramètres par défaut et concernant la confidentialité du compte ont été choisis de sorte à ce que les utilisateurs reçoivent des emails marketing de la part de LinkedIn. La plupart des utilisateurs ne pensent pas à vérifier ces paramètres. Cependant, c’est en ne contrôlant pas ces paramètres qu’ils peuvent recevoir des courriers indésirables (spam). Il est donc essentiel pour les utilisateurs de vérifier leur profil, leurs paramètres de confidentialité et d’envoi d’emails sur leur compte LinkedIn afin de s’assurer que leurs données ne soient pas partagées avec des tierces personnes ou que leurs informations ne soient pas trop publiques. Globalement, décocher toutes les cases de la page ‘Préférences & Confidentialité’ est la meilleure des solutions, à moins de vouloir recevoir les emails de certains groupes LinkedIn spécifiques.

Prenez garde aux emails suspicieux d’invitation LinkedIn
Étant donné la nature de l’utilisation des réseaux sociaux dans un contexte professionnel et le fait que la population ait pris confiance en des noms tels que LinkedIn, cette méthode d’attaque est de plus en plus utilisée ces derniers temps. Comme toujours donc, évitez de cliquer sur les liens à l’intérieur de vos emails. Si vous recevez un email envoyé par LinkedIn, le mieux est d’aller visiter le site directement pour confirmer ces demandes plutôt que de cliquer sur le lien de l’email, et ce, même si vous connaissez la personne émettrice de la prétendue invitation. En suivant ces instructions, il y a de grandes chances pour que vous ne deveniez pas la dernière victime d’une fausse invitation LinkedIn. (Wieland Alge, vice-président et directeur général EMEA chez Barracuda Networks pour DataSecurityBreach.fr)

Une agence américaine sensible infiltrée par du 95D

Un pirate informatique réussi à infiltrer une agence américaine sensible en se faisant passer pour une blonde torride. Emily Williams, gentille, sexy, pas avare de cartes numériques envoyées de ses vacances. Une amie ? Pas vraiment. Des chercheurs en sécurité informatique Aamir Lakhani et Joseph Muniz ont expliqué lors de la conférence RSA Europe 2013 comment une agence américaine sensible, en charge de question de sécurité avait été infiltrée par un pirate, amateur de phishing particulièrement bien ciblé. De fausses cartes numériques de vacances piégées qui auraient permis de mettre la main sur les accès Facebook, LinkedIn ou encore SalesForce de fonctionnaires. Les deux chercheurs ont expliqué que leur attaque, pour du faux, avait permis de duper un employeur du gouvernement en lui faisant croire qu’elle était une employée gouvernementale. Le clic sur le javascript piégé aura fait le reste ! L’attaque « scientifique » aura durée 90 jours. Lakhani a refusé de préciser quelle agence du gouvernement avait été infiltrée et compromise par Mlle Williams.

 

Les réseaux sociaux, « faille insidieuse » des cyberattaques ?

Les cyberattaques sont plus sophistiquées que jamais et les techniques de hacking ne cessent d’évoluer, de se renouveler. Aujourd’hui, force est de constater que la menace ne provient plus exclusivement de l’extérieur. Au sein d’une organisation, les utilisateurs sont à la fois victimes et potentiels « cybercriminels » notamment dans le cadre de leur usage des réseaux sociaux.

Les bonnes pratiques de l’usage des réseaux sociaux au bureau
Afin de réduire les risques d’attaques et de renforcer la sécurisation des données, les entreprises doivent former les employés aux bonnes pratiques de l’usage des réseaux sociaux au bureau ; de nombreux utilisateurs ont un comportement à risque par manque de sensibilisation et/ou parce qu’ils ne mesurent pas les dangers qu’ils font prendre aux organisations. Pourtant, les menaces les plus importantes proviennent surtout des sites professionnels tels que LinkedIn ou Viadeo, qui sont des sources intarissables d’informations à très forte valeur ajoutée sur les entreprises pour les hackers.

Ceux-ci ont accès en « libre-service » à un très grand nombre d’informations sur l’activité de l’entreprise qui leur permettent de récupérer des données sensibles. Les réseaux sociaux professionnels sont, en effet, le point d’entrée à des informations sur les employés, leur rôle dans l’entreprise, leurs fonctions quotidiennes, voire les nombreuses informations sur les outils de sécurité utilisés et les problématiques auxquelles ils ont été exposés. Les hackers utilisent actuellement l’ensemble des vecteurs à leur disposition : ils peuvent également pirater des informations professionnelles via un terminal personnel lorsque l’employé utilise ses propres outils (BYOD) ou travaille de chez lui à partir de son ordinateur personnel. Aujourd’hui, les brèches de sécurité sont progressives et permettent aux pirates de s’introduire dans les systèmes informatiques de la manière la plus discrète possible pour collecter le maximum d’informations et accéder petit à petit aux données les plus critiques.

Le Community Manager, danger insoupçonné
Le Community Manager a un rôle clé dans une entreprise puisqu’il gère son image et sa présence sur les réseaux sociaux. Il ne s’agit pas tant de ses privilèges (qui sont finalement peu élevés) que de son impact sur l’image et la communication officielle de l’entreprise sur les médias sociaux. Le détournement de ce type de compte est aujourd’hui une cible privilégiée de groupes cherchant à nuire à l’image d’une société ou à profiter de sa notoriété pour passer des messages non sollicités ou diffuser des informations confidentielles. Par ailleurs, lorsqu’un salarié quitte l’entreprise, il doit rendre ses clés, son badge mais les employeurs ne pensent pas nécessairement à changer ses mots de passe. Or, un Community Manager ou autre employé mécontent qui quitte l’entreprise emportant avec lui identifiants et mots de passe pourrait également lui nuire sans difficultés – tout salarié d’une entreprise est susceptible de conserver ses données de connexion après son départ de la société.

Prenons l’exemple récent de l’affaire PRISM, il ressortirait que l’ancien analyste de la NSA, Edward Snowden, aurait accédé à des informations extrêmement confidentielles grâce aux identifiants de connexion de plusieurs de ses collègues, qu’il aurait convaincu de lui fournir en prétextant un travail qu’il devait faire, en tant qu’administrateur du système informatique. Ce type de comportements peut avoir des conséquences catastrophiques sur l’économie d’une entreprise et engendrer des dommages collatéraux durables (perte de clients, impact sur le cours des actions en bourse pour les sociétés cotées, retrait d’investisseurs/business angels…).

De l’importance d’appliquer et transmettre les bonnes pratiques
Les cyberattaques sont une réalité pour tous et les entreprises comme les employés doivent prendre conscience que chaque individu est une porte d’accès aux données sensibles d’une société. Pour ce faire, les organisations peuvent appliquer plusieurs règles simples et peu coûteuses afin de renforcer la sécurisation des informations :

[dsb] Sensibiliser les utilisateurs au fait que le risque existe et  qu’ils doivent adopter un comportement de méfiance vis-à-vis d’informations en provenance de l’extérieur, mais également de l’intérieur – le fait de partager un simple mot de passe avec un collègue, peut aussi être considéré comme un comportement à risque.

[dsb] Identifier la source et le parcours des hackers afin de paralyser l’attaque et le retrait de données sensibles.

[dsb] Mettre en place des solutions de détection pour alerter les personnes responsables de l’entreprise qu’un compte sensible est en cours d’utilisation (peut-être frauduleuse) afin de favoriser une intervention rapide.

[dsb] Identifier et sécuriser les comptes à privilèges au sein des entreprises, premières cibles des attaquants puisque souvent méconnus et négligés.

En conclusion, pour parer au maximum à ces « failles humaines », employés et entreprises doivent redoubler de vigilance pour un usage plus réglementé des réseaux sociaux professionnels et privés. Commentaire d’Olivier Prompt, Regional Sales Engineer, Northern Europe & Africa chez Cyber-Ark Software pour Data Security Breach.

Piratage de messagerie chez Linkedin ?

Une plainte collective contre le portail professionnel Linkedin accusé d’accéder aux boites électroniques des abonnés. Eggers Erin, Paul Perkins, Pennie Sempell et Ann Brandwein ne sont pas content après le site Internet Linkedin. Pour ces quatre utilisateurs, le portail communautaire dédié aux rencontres professionnelles espionne ses utilisateurs. Fait que réfute Linkedin. Bilan, les quatre internautes ont déposé une plainte collective auprès du tribunal du district nord de Californie. D’après les plaignants, Linkedin exploite les boites emails de ses membres pour envoyer des publicités à la liste des contacts enregistrés par les internautes utilisateurs du portail. Bref, comme peuvent le faire plusieurs webmail comme Yahoo! ou encore gMail en « lisant » les mots des courriels afin de proposer des publicités « ciblées ».

Pour les quatre américains, Linkedin n’avertit pas « clairement l’utilisateur » et n’obtient en aucun cas son consentement par un bouton, un onglet à cocher, … Blake Lawit, le directeur juridique de Linkedin indique que « Linkedin n’accède pas aux comptes de messagerie des utilisateurs sans son autorisation. Les accusations de piratage et d’introduction dans les comptes sont fausses (…) nous n’envoyons jamais de messages ou d’invitations à rejoindre Linkedin en votre nom, sauf si vous nous avez donné la permission de le faire ».

La plainte explique que Linkedin demande une seconde adresse de messagerie lors de l’inscription ; qu’à la fermeture du compte Linkedin peut accéder aux informations et récupérer les adresses des contacts ; La plainte indique aussi qu’en cas de déconnexion de l’utilisateur, Linkedin communiquerait login et mot de passe, en clair, pour vérifier l’identité de l’utilisateur en question. Bref, la justice de l’Oncle Sam tranchera !

Les responsables informatiques aveugles face aux failles de sécurité des réseaux d’entreprise ?

Dimension Data, le fournisseur mondial de services et de solutions informatiques, a déclaré à Data Security Breach que le nombre de périphériques vulnérables sur les réseaux informatiques d’entreprise a chuté entre 2011 et 2012, passant de 75 % à 67 %. Même s’il s’agit du chiffre le plus bas en deux ans, cette tendance met en évidence l’approche laxiste en matière de sécurité actuellement adoptée par les gestionnaires de réseau.

Telle est l’une des conclusions tirées dans le Baromètre des réseaux 2013 publié aujourd’hui par Dimension Data. Depuis son lancement en 2009, le Baromètre des réseaux informe de l’état des réseaux à l’échelle mondiale, en compilant des données en provenance des entreprises et les résultats des audits Technology Lifecycle Management (TLM) réalisés par Dimension Data dans le monde au cours de l’année écoulée. Ce rapport analyse la capacité opérationnelle des réseaux en évaluant la présence de failles de sécurité, le statut en fin de vie et le respect des bonnes pratiques de configuration des périphériques réseau. Aujourd’hui, Dimension Data affiche au compteur plus de 1 200 audits réalisés ces cinq dernières années, grâce à la solution Technology Lifecycle Management (TLM), auprès d’entreprises de toutes tailles et opérant dans tous les secteurs d’activités.

Comme l’explique à datasecuritybreach.fr Raoul Tecala, directeur du développement commercial de l’activité Intégration réseau chez Dimension Data : « Certaines failles de sécurité présentes depuis des années n’ont toujours pas été corrigées — et ce, malgré la proactivité dont font preuve certains fournisseurs comme Cisco Systems avec l’envoi d’alertes en cas de correctifs et les constantes mises à niveaux de leurs logiciels et systèmes. (…) « L’élimination de toutes les failles de sécurité peut constituer un défi de taille dans le cas d’environnements complexes d’envergure. Il convient toutefois de mettre en balance les perturbations subies et les efforts nécessaires, d’une part, avec les répercussions potentielles et les mesures qui s’avèrent indispensables. Bien que les réseaux semblent actuellement moins en proie aux failles de sécurité, la proportion importante de périphériques vulnérables se maintiendra jusqu’à l’application d’un correctif logiciel ou à la mise à niveau vers une nouvelle version plus sécurisée du code. »

Data security breach conseille aux entreprises de concentrer leurs efforts sur les failles de sécurité qui représentent le plus grand danger. « Plus le périphérique est proche d’Internet, plus le risque est important. Par conséquent, les entreprises doivent se montrer vigilantes et nous leur recommandons de mettre en place un système visant à évaluer, à hiérarchiser et à corriger en permanence les failles de sécurité des réseaux. termine Raoul Tecala, Même si les réseaux informatiques paraissent aujourd’hui moins vulnérables, bon nombre des failles de sécurité restantes sont difficiles à supprimer complètement et on en identifie de nouvelles chaque année. Il serait donc malvenu de se reposer sur ses lauriers ».

Linkedin piraté dans la nuit de jeudi ?

Jeudi, de 02h20 à 06h16, le réseau social Linkedin n’était plus dans son état normal. Durant quatre heure, les internautes qui rentraient leur login et mot de passe pour s’identifier se retrouvaient à fournir leur précieux sésame à un site qui n’avait rien à voir avec Linkedin. Le réseau social professionnel indique ne pas avoir subit de piratage mais un « problème » technique qui aurait été occasionné par son prestataire de service.

Un vrai faux site ? A première vue, un DNS capricieux et les internautes se sont retrouvés à fournir leurs identifiants à un inconnu. Ca montre aussi le niveau des utilisateurs. C’est un peu si vous fournissiez les données de votre carte bancaire dans une boite en carton posée à côté du distributeur de billets. Ca n’a pas le gout d’un distributeur, ca n’a pas la couleur d’un distributeur… mais c’est pas grave ! L’hébergeur a reconnu une erreur technique.

L’histoire ne dit pas ce qu’a bien pu récupérer le site Internet mis à la place de Linkedin durant ces 4 heures de « bug ».