Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Chiffrement, cryptage, Cybersécurité, Fuite de données, Identité numérique, Leak, Vie privée

14 millions de patients médicaux touchés par une fuite de données

Un commentaire

La rédaction de Data Security Breach a reçu le rapport Annuel du HHS, l’US Departement of Health et Human Services, bref, le Ministére de la santé de l’Oncle Sam.

Ce rapport annuel, baptisé « Annual Report to Congress on Breaches of Unsecured Protected Health Information » revient sur les années 2011 et 2012. Cette étude égraine les violations de données en 2011 et 2012. Entre 2011 et 2012, le HHS a reçu 458 rapports de violations de données qui touchent plus de 500 personnes. Au total, c’est environ 14.690.000 de patients, d’employés… à avoir été touchés par des violations de leurs données personnelles, et donc sensibles.

Le nombre de violations de données qui affectent plus de 500 personnes sur cette période compte pour 64,5% de toutes les violations de données depuis le premier rapport, diffusé en septembre 2009. Le vol était la cause la plus commune de ces violations, soit 53% des cas, suivie par l’accès ou la divulgation non autorisée (18%).

En 2012, 68% des infractions touchaient des fournisseurs de soins de santé. 27% des fuites étaient dues à des ordinateurs portables compromis (vol, piratage, …). 23% des informations étaient diffusées en mode « papier » ; 13% via un serveur. En 2012, il y a eu 21.194 infractions signalées affectant moins de 500 personnes. Des violations de données qui ont affecté 165.135 personnes.

Le HHS, suite aux plaintes, a pu récolter 8 millions de dollars d’amende. Bref, le piratage et les fuites de données rapportent aux pirates, comme au gouvernement.

Entreprise, Justice, Propriété Industrielle

L’Union européenne doit bloquer les sites « .vin » et « .wine », illégaux sur Internet

L’autorité américaine ICANN, qui gère au niveau mondial l’ensemble des noms de domaine sur Internet, vient de prendre la décision de ne pas suspendre sa décision d’accorder des délégations dans le secteur du vin. L’attribution de ces nouveaux domaines, tels que « wine » et « vin », ouvre la porte à des violations potentielles de la législation internationale sur la protection des appellations géographiques.
Eric Andrieu dénonce ainsi l’attitude proaméricaine de cet organisme. « Cette décision est absolument inacceptable : d’un côté les producteurs risquent d’être rackettés et, de l’autre, les consommateurs trompés. Des personnes pourront, sans être inquiétées, s’approprier des noms de domaine, comme « languedoc.wine », en mettant à la vente sur Internet des produits qui n’ont rien à voir avec cette région de production ».
Comme l’a exprimé le gouvernement français, l’eurodéputé considère que l’Union et ses Etats membres doivent renoncer à participer à la réforme de l’ICANN qui a montré les limites de son fonctionnement. Cette décision devra, par ailleurs, être prise en compte dans le cadre des négociations actuelles sur le Traité transatlantique entre les Etats-Unis et l’Union européenne.
La délégation socialiste et radicale française soutient l’ensemble des vignerons européens et du monde entier attachés à la défense de vins de qualité, dans leur campagne de boycott de vente de vins sur Internet. Demain, cette question se posera avec d’autres produits alimentaires, bénéficiant d’appellations de qualité et pouvant être mis en vente sur la toile. Ce n’est pas à l’ICANN, société de droit américain et qui sert les intérêts de quelques entreprises, de régenter la vente sur Internet de produits alimentaires de qualité. Aujourd’hui, il y a donc un besoin urgent d’action au niveau de l’Union européenne, une action forte et unie, capable de contribuer, par le droit international, à l’amélioration de la gouvernance mondiale en matière de gestion de l’Internet.
Entreprise, Fuite de données, Propriété Industrielle

L’avènement de la Security Intelligence

Selon une étude récente du cabinet d’analyse IDC, les entreprises françaises sont de plus en plus préoccupées par les menaces de sécurité et comptent bien investir dans ce sens au cours des prochaines années.

Les attaques récentes portées à l’encontre de grandes entreprises telles qu’Orange ou Domino’s Pizza ne font qu’accentuer la prise en considération des risques liés au vol de données personnelles : non seulement d’un point de vue financier, mais aussi en raison de l’impact sur la réputation de l’entreprise.

Cette étude indique toutefois un certain décalage entre les craintes des RSSI et les politiques de sécurité appliquées. Si la mobilité représente un risque pour 91% des entreprises interrogées, seules 75% disposent d’une solution de sécurité dédiée. En ce qui concerne les nouvelles tendances liées aux réseaux sociaux par exemple, d’autres contradictions apparaissent : 72% des entreprises considèrent toujours les réseaux sociaux comme risqués, mais seulement 60% d’entre elles disposent d’outils de filtrage et 34% dispensent des formations de sensibilisation auprès des employés.

Pour répondre à des besoins précis de sécurité en matière de mobilité, d’accès aux réseaux, de transfert de données, etc., les organisations disposent de nombreuses solutions dédiées. Cependant, dans un contexte où les cyber-attaques deviennent plus sophistiquées et les hackers plus expérimentés, c’est une stratégie globale consacrée à la sécurité des données qui doit impérativement être mise en place au sein de chaque organisation.

Mais chaque entreprise est différente et ses besoins en matière de sécurité varient en fonction des infrastructures, voire de l’activité même de l’entreprise. D’après IDC, une nouvelle alternative en matière de protection de données se présente : le Big Data et l’analytique. «  Les entreprises savent aujourd’hui détecter et empêcher les attaques les plus basiques, cependant, les hackers font preuve d’autant de dynamisme pour s’introduire par tous les moyens sur les réseaux d’entreprise, que les éditeurs pour détecter et parer ces attaques.  explique Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm,Nous savons que la question n’est plus de savoir « si » une menace pourra passer outre les systèmes de sécurité, mais « quand ». Et c’est à ce moment que l’analytique entre en jeu« .

Si les méthodes de détection traditionnelles ont prouvé leurs limites, la combinaison des rapports d’analyses de l’ensemble des données de l’entreprise permet une visibilité accrue de l’activité sur les réseaux. En termes de solution, le SIEM – qui collecte la totalité des logs et journaux d’activités du système d’information – apporte une réponse concrète aux problématiques globales de sécurité : grâce à la collecte des logs en temps réel, aux analyses comportementales et à la corrélation des données, toute anomalie est repérée afin d’être aussitôt contrôlée. Ainsi, chaque incident peut-être vérifié en temps réel et permettre une réponse immédiate en cas de véritable menace.

Cette méthode de détection automatisée et en temps réel peut être définie comme de la Security Intelligence, un concept qui tend vers des solutions dotée d’intelligence artificielle, basé sur les solutions SIEM de nouvelle génération. Grâce aux évolutions constantes dans ce domaine, notamment en termes de fonctionnalités et de facultés d’analyse automatique, nous pouvons espérer que les entreprises puissent enfin être à l’abri des cyber-attaques les plus avancées. (Par Jean-Pierre Carlin, LogRhythm)

Cybersécurité, Fuite de données, Mise à jour, Patch

OPEN SSL : 49% des serveurs vulnérables et 14% exploitables

OpenSSL a publié un avis consultatif détaillant un certain nombre de difficultés sérieuses.

La vulnérabilité CVE-2014-0224 sera la plus problématique pour la plupart des déploiements car elle peut être exploitée par l’intermédiaire d’une attaque réseau active de type « Man the Middle ». Cette vulnérabilité permet à un attaquant actif sur un réseau d’injecter des messages ChangeCipherSpec (CCS) des deux côtés d’une connexion et de forcer les deux parties à se mettre d’accord sur les clés à utiliser avant que tous les éléments relatifs à la clé ne soient disponibles. Ce qui entraîne la négociation de clés faibles. (Pour en savoir plus sur le sujet, voir l’analyse technique pertinente d’Adam Langley).

Bien que pratiquement toutes les versions d’OpenSSL soient vulnérables, ce problème est exploitable seulement si les deux parties utilisent OpenSSL et (2) si le serveur utilise une version vulnérable d’OpenSSL de la branche 1.0.1. La bonne nouvelle est que la plupart des navigateurs ne s’appuient pas sur OpenSSL, ce qui signifie que la plupart des internautes ne seront pas affectés. Cependant, les navigateurs Android utilisent OpenSSL et sont donc vulnérables à cette attaque. De plus, de nombreux outils en mode ligne de commande et assimilés utilisent OpenSSL. En outre, les produits pour réseaux VPN seront une cible particulièrement intéressante s’ils reposent sur OpenSSL comme c’est le cas pour OpenVPN.

Qualys teste une vérification à distance pour CVE-2014-0224 via SSL Labs. Suite au test qui a permis d’identifier correctement les serveurs vulnérables, Qualys a lancé une analyse sur l’ensemble des données du tableau de bord SSL Pulse. Les résultats indiquent que près de 49% des serveurs sont vulnérables. Environ 14% (de l’ensemble des serveurs) peuvent être victimes d’un exploit parce qu’ils exécutent une version plus récente d’OpenSSL. Les autres systèmes ne sont probablement pas exploitables, mais leur mise à niveau s’impose car il existe probablement d’autres moyens d’exploiter cette vulnérabilité.

Si vous souhaitez tester vos serveurs, la toute dernière version de SSL Labs propose un test de vérification pour la vulnérabilité CVE-2014-0224.

Arnaque, Cybersécurité, escroquerie, Fuite de données, Phishing, pourriel, Social engineering, spam, Vie privée

1800 fonctionnaires piégés par un phishing

Un commentaire

S’il existe bien un secteur qui mériterait d’être un peu plus regardant sur sa sécurité informatique, c’est bien celui concernant les fonctionnaires. Ils gèrent les informations locales, régionales, nationales, donc des milliers, quand cela ne se chiffre pas en millions de données privées et sensibles. seulement, la sécurité informatique, faudrait-il encore qu’il en entende parler sous forme de formation, de réunion, et autrement que par des professionnels qui ne connaissent du terrain que les rapports chiffrés qu’ils lisent et recopient à longueur de journée.

Un exemple en date, chez nos cousins canadiens. Un sondage interne lancé par le ministère fédéral de la Justice annonce qu’environ 2000 membres du personnel ont cliqué sur un courriel piégé. De l’hameçonnage facile via un faux courriel traitant… de la sécurité des informations confidentielles du ministère. Un tiers des personnes ciblées a répondu à la missive, soit 1850 fonctionnaires sur 5000. Les prochains essais auront lieu en août et au mois d’octobre avec un degré de sophistication supérieure.

Selon le gouvernement canadien environ 10 % des 156 millions de filoutages diffusés chaque jour réussissent à contrer les logiciels et autres filtres antipourriels. Huit millions sont executés par le lecteur, 10% cliquent sur le lien. 80.000 se font piéger. (La presse)

Justice, Logiciels, Propriété Industrielle

27.000€ de dommages pour avoir perturbé Deezer

Un commentaire

Le site de diffusion de musique en mode streaming, Deezer, vient de faire condamner un internaute français à 15.000€ d’amende (avec sursis) et 27.000€ de dommages-intérêts.

Comme le stipule le site juridique Legalis, les juges ont estimé qu’il avait porté atteinte à une mesure technique efficace de protection et proposé sciemment à autrui des moyens conçus pour porter atteinte à une telle mesure, en violation des articles L. 335-3-1, I et II du CPI, qu’il avait développé et diffusé auprès du public un logiciel manifestement destiné à la mise à disposition du public non autorisé d’œuvres protégées, en violation de l’article L 335-2-1 du CPI. Bref, le jeune français avait créé le logiciel Tubemaster++ qui permettait, en profitant d’une faille de Deezer, pour copier les musiques proposés par le site web.

L’étudiant s’est retrouvé face à l’article L 331-5 du code de la propriété intellectuelle, introduit par la loi Hadopi du 12 juin 2009. Il a du créer un outil pour contourner la sécurité de Deezer et s’est retrouvé face aux « mesures techniques efficaces destinées à empêcher ou à limiter les utilisations non autorisées par les titulaires d’un droit d’auteur ou d’un droit voisin du droit d’auteur d’une œuvre, autre qu’un logiciel, d’une interprétation, d’un phonogramme, d’un vidéogramme ou d’un programme sont protégées dans les conditions prévues au présent titre. ».

Entreprise, Fuite de données

Protection des données personnelles : 5 étapes d’un plan de mise en conformité

Pour Elizabeth Maxwell, directrice technique EMEA chez CompuwareLes, la question se pose : les entreprises se sentent-elles concernées par les législations européennes ? En matière de protection des données personnelles, l’impact risque d’être plus retentissant que ne le laisse penser l’éloignement géographique d’institutions dont les objectifs sont parfois obscurs. Transferts des données encadrés, amendes réévaluées à la hausse, profilage sous condition, l’ensemble du cadre législatif européen aura des conséquences sur les investissements IT des entreprises. Protection des données personnelles, voici les 5 étapes d’un plan de mise en conformité.

·        Comprendre les implications de la législation
Cela va sans dire mais il appartient aux entreprises de comprendre les conséquences du nouveau cadre législatif européen sur leurs opérations quotidiennes et récurrentes. Cette première étape est essentielle à l’identification des processus de collecte et de transferts applicables chez elles. L’erreur à ne pas commettre est de minimiser l’impact et le coût. Il faudra s’attendre, au contraire, à d’importantes dépenses, compte tenu des pratiques généralisées de développement et de test qui s’appuyaient jusque-là sur des données non anonymisées.

·        Auditer et localiser les données sensibles
La deuxième étape consiste à réaliser un audit global de localisation des données personnelles et sensibles. Qui a accès à quoi, où et comment ces données sont-elles recoupées ? Quels sont les points d’achoppement, où sont les risques de violation ?  Encore une fois, le temps nécessaire à cette analyse ne doit pas être sous-estimé.

·        Adapter ses processus aux nouvelles contraintes
Une fois la localisation et l’identification des données et des risques associés réalisées, il devient plus aisé d’introduire à ses processus de traitement existants l’anonymisation de la donnée. Il est également envisageable de créer de nouveaux flux de travail qu’il sera plus facile et plus rapide d’adapter aux exigences à venir de la législation européenne.

·        Développer une solution conforme aux exigences
En fonction des résultats de l’audit, du niveau préalable de conformité, du business model choisi ou encore de la démarche retenue par l’entreprise, la solution globale définie pourra porter par exemple sur une révision des droits d’accès aux données, sur le choix d’une nouvelle solution de MDM, sur la refonte des clauses contractuelles relatives aux transferts ou (et très certainement) une combinaison de ces différents sujets.

·        Donner de l’air à la  DSI
L’ensemble de ces étapes représente un processus long et fastidieux, dont la réussite repose sur une parfaite maîtrise du cadre législatif. Le délai de deux ans laissé aux entreprises n’est pas de trop au regard des très nombreux paramètres à prendre en compte. Le volume de données, leur interaction complexe, leur qualité et leur intégrité ne sont qu’une étape d’un plan plus général de révision des processus afin de répondre rigoureusement aux obligations européennes.

Les DSI européennes travaillent aujourd’hui, bien malgré elles, à flux tendu. La charge de travail qu’implique le dispositif européen de protection des données personnelles peut être supportée en s’appuyant sur une expertise extérieure, afin de réduire à la fois le risque d’erreur, les délais d’initiation à la législation et donc le coût global.

Chiffrement, Cybersécurité, Espionnae, Fuite de données, Identité numérique, Vie privée

Un Monsieur sécurité pour protéger les données des électeurs

Le gouvernement Canadien a décidé, voilà quelques jours, de mandater une équipe de sécurité informatique qui aura comme mission de trouver la moindre faille et fuite de données concernant les électeurs du pays. Une décision politique qui fait suite au jugement d’une entreprise de généalogie qui a commercialisé durant 6 ans les données de plusieurs millions d’élécteurs via ses services oueb.

L’Institut Drouin, spécialisé dans la généalogie, avait copié une liste électorale datant de 2003. Le jugement de cour du Québec a ordonné à Drouin de détruire les données appartenant à 5,5 millions de Québécois : nom, adresse, sexe et date de naissance. « L’État a le droit d’en interdire la diffusion pour protéger la vie privée des électeurs », a indiqué le tribunal.

En France, il suffit de regarder les seconds tours d’éléctions pour appercevoir les candidats et leurs équipes décortiquer les listes électorales afin d’inciter les abstansionnistes à voter, voir certains élus analyser les employés municipaux n’ayant pas pris le temps de voter !

Entreprise, Fuite de données, Propriété Industrielle

Guide de la charte informatique

2 commentaires

La charte informatique permet d’encadrer les risques liés à l’utilisation du système d’information par les salariés et de limiter les responsabilités pénales et civiles de l’entreprise et de ses dirigeants.

Toutefois sa mise en place doit se faire dans certaines conditions pour qu’elle soit juridiquement opposable, c’est pourquoi Olfeo propose un guide pour accompagner les entreprises sur ce point.

Olfeo, éditeur français d’une solution de proxy et filtrage de contenus Internet, dévoile son « Guide de la charte Informatique » co-écrit avec le cabinet d’avocats Alain Bensoussan spécialisé dans le domaine du droit de l’informatique. Ce document a pour objectif d’aider les directions informatiques dans l’élaboration de leur Charte des systèmes d’information, souvent appelée de manière générique « Charte informatique ».

« Une grande partie des DSI et des RSSI sont conscients de l’importance de mettre en place une charte informatique dans leur entreprise pour définir les conditions générales d’utilisation du système d’information et notamment des accès Internet, des réseaux et des services multimédias », explique à DataSecurityBreach.fr Alexandre Souillé, président et fondateur d’Olfeo. « Toutefois, la démarche de charte n’est pas toujours évidente à mettre en œuvre, c’est pourquoi nous avons conçu ce guide qui permet à nos clients de mieux comprendre les facteurs clés de succès lors de la conception et le déploiement de leur charte. »

Le guide de la charte informatique Olfeo co-écrit avec le cabinet d’avocats Alain Bensoussan aborde ainsi, de manière pédagogique, les différents aspects relatifs au document :

–             Comprendre les fondements juridiques d’une charte
–             Pourquoi mettre en œuvre une charte
–             Comment aborder le contenu d’une charte tout en préservant l’équilibre entre vie privée résiduelle et droit du travail
–             Comment déployer une charte opposable aux salariés et quelles sont les autres guides ou livrets à mettre en œuvre en parallèle…

Concernant le déploiement d’une charte opposable aux employés, le guide présente les étapes indispensables à respecter
La charte doit être déployée de la même manière qu’un règlement intérieur. La jurisprudence établit clairement qu’une charte déployée comme un règlement intérieur s’impose à tous les utilisateurs soumis à ce règlement. Son déploiement doit être effectué conformément à certains fondamentaux. Le premier consiste à de soumettre la Charte aux instances représentatives du personnel, c’est le principe de discussion collective. Le second est le principe de transparence qui consiste à diffuser la Charte auprès des utilisateurs, à la fois individuellement mais également collectivement, à une place facilement accessible sur le lieu de travail.

Pour les entreprises privées et les administrations qui disposent d’agents de droit privé deux étapes supplémentaires sont également nécessaires : déposer cette charte au conseil des prud’hommes ainsi qu’à l’inspection du travail en deux exemplaires. Enfin, à chaque modification de la Charte, l’ensemble de cette procédure doit être à nouveau déployée.

« Une Charte s’inscrit dans une démarche d’explication et de sensibilisation quant aux enjeux et aux risques. L’objectif est de faire adhérer les utilisateurs. Il faut donc que la Charte soit claire et à la portée de tous », ajoute à Data Security Breach Alexandre Souillé. « >Il ne faut d’ailleurs pas hésiter à se faire accompagner de professionnels qualifiés en cas de besoin car l’utilisation de la charte peut prévenir l’entreprise, les dirigeants et mêmes les employés de bien des désagréments. »

Entreprise, Propriété Industrielle

L’anatomie des commentaires indésirables

Une enquête révèle que 80% du trafic de commentaires indésirables est généré par seulement 28% des sources d’attaques.

Imperva, pionnier du 3ème pilier de la sécurité des entreprises, avec une nouvelle couche de protection spécialement conçue pour les centres de traitement de données physiques et virtuels, a publié son rapport Hacker Intelligence Initiative de juin, « Anatomie des commentaires indésirables » Le rapport propose une analyse en profondeur de la manière dont un nombre relativement restreint de sources d’attaque sont responsables de la majorité du trafic de commentaires de type « Comment spam ». Il démontre que la gestion du niveau de réputation des adresses IP permet d’identifier plus rapidement les spammeurs et ainsi bloquer leurs attaques pour se protéger de la plupart de leurs activités malveillantes.

« Les attaques de commentaires indésirables peuvent paralyser un site web, impacter sa disponibilité et compromettre l’expérience utilisateur », déclare Amichai Shulman, CTO de Imperva. « Notre dernier rapport réalisé par notre équipe d’ADC   (Application Defense Center)révèle qu’un nombre relativement restreint de sources d’attaques créé la majorité de ce type de spams, en s’appuyant la plupart du temps sur des outils automatisés, leur permettant de toucher un maximum de cibles. Identifier rapidement la source d’une attaque et bloquer ses commentaires permet de limiter considérablement son efficacité et ainsi minimiser son impact sur un site. »

On apprend que 80% du trafic decommentaires indésirables est généré par seulement 28% dessources d’attaques. 58% de toutes les sources d’attaques sont actives pendant de longuespériodes. Identifier rapidement la source de l’attaque tel qu’un spammer de commentaires et bloquer ses demandes l’empêche de mener la plupart de ses activités malveillantes. La réputation de l’adresse IP permet de résoudre le problème généré par ce type de commentaires en bloquant les spammeurs au plus tôt dans leurs campagnes d’attaques.

Le rapport se base sur les données recueillies par la surveillance de plus de 60 applications Web analysées par le service ThreatRadar Réputation d’Imperva, il fournit des informations précieuses permettant de disséquer ces commentaires indésirables du point de vue de la victime mais également du hacker. Par exemple, l’enquête a examiné les étapes suivies par le hacker pour concevoir ses « spams » et les diverses manières dont ils peuvent être automatisés pour une diffusion plus importante. Du point de vue de la victime, la recherche montre qu’à mesure que le temps passe, un spammeur de commentaires augmente la fréquence de ses attaques contre un site à partir du moment où il identifie une vulnérabilité dans le système qui gère les commentaires. Cela démontre à quel point il est important de l’identifier au plus tôt. Le rapport présente également des études de cas qui décryptent différents schémas d’attaques de commentaires sur les mails et les flux de trafic. Enfin, le rapport délivre des préconisations détaillées sur la manière dont les sites Web peuvent se défendre contre les attaques de commentaires indésirables, en utilisant des techniques d’atténuation.

Cyber-attaque, Cybersécurité, Fuite de données, Mise à jour, Patch

Faille pour TweetDeck

Depuis plusieurs heures, des milliers d’internautes se sont amusés à utiliser une vulnérabilité dans l’outil de conversation en ligne TweetDeck.

Un excellent logiciel au demeurant qui permet de suivre et administrer plusieurs comptes Twitter. La faille, un XSS, a donc été diffusé et largement exploité pour le fun, mais aussi dans des buts largement moins avouables. Une véritable plaie, le code diffusé retweet la faille et envahie donc Twitter et les comptes des utilisateurs ainsi piégés. Cela fait plus de 24 heures que la vulnérabilité est connue publiquement, et Twitter, propriétaire de l’outil n’a pas encore réagi. Attendez-vous à voir Tweetdeck fermer quelques minutes (heures ?) le temps de la mise en place d’un correctif.

Une vague XSS qui pourrait paraître anodine. Le Cross-Site Scripting ne fait que diffuser automatiquement son contenu. Une action qui cache peut-être l’arbre malveillant dans la forêt ! Un pirate serait-il en train de détecter des cibles utilisatrices de TweetDeck. Une veille (un compte Twitter référence les microblogs piégés, voir ci-dessus, Ndlr de DataSecuritybreach.fr) aux intentions malveillantes qui aurait pour but final de lancer une autre attaque, dans les heures/jours à venir ? Action largement plus violente via une faille, un 0day [0Day], voleuse de données; ou d’une préparation pour une cyber manifestation contre la Coupe du Monde 2014 qui débute au Brésil ? A suivre …

Argent, Banque, Cybersécurité, Paiement en ligne

Livre Blanc Certissim : la fraude identitaire prend de l’ampleur

Un commentaire

Depuis 2000, le Livre Blanc Certissim apporte sa vision de la fraude sur le marché du e-commerce français. Document de référence pour les e-marchands souhaitant optimiser leur gestion de la fraude, le Livre Blanc Certissim présente les grands indicateurs de la fraude dans le e-commerce ainsi que les nouveaux enjeux de la lutte contre la fraude.

L’expertise de Certissim et son implication dans la lutte contre la fraude lui permettent également de décrire les nouvelles techniques des cybercriminels. Les données du Livre Blanc Certissim proviennent des fraudes détectées par son système ainsi que des déclarations d’incidents de paiement de ses 900 sites marchands partenaires.

L’édition 2014 de cette étude met en avant une augmentation et une diversification des méthodes d’usurpation des données personnelles ainsi qu’une généralisation de la fraude sur l’ensemble du territoire. Les tentatives de fraude s’élèvent à près de 2 milliards d’euros en 2013, contre 1,7 milliards une année plus tôt. La projection des taux de Certissim sur l’ensemble du e-commerce français, soit 51,1 milliards d’euros de chiffre d’affaires(1), indique que l’ensemble des tentatives de fraude se chiffrerait a minima à 1,9 milliard d’euros en 2013. Les enjeux financiers sont par conséquent significatifs à l’échelle de l’économie numérique nationale. Sur le périmètre étudié par Certissim, le taux de tentatives de fraude dans le e-commerce s’est stabilisé à 3,83 % (3,91 % en 2012). Le taux d’impayés frauduleux est en baisse à 0,14 % (0,18 % en 2012)(2) . Le panier moyen des impayés est de 243 €. Si le risque reste important, la fraude dans le e-commerce est mieux maîtrisée.

Fraude identitaire : croissance des usurpations de comptes clients
Certissim alerte les particuliers et les professionnels sur l’évolution des méthodes de phishing(3) observée en 2013. Les auteurs de phishing ne se contentent plus d’essayer de récupérer des coordonnées bancaires. Désormais, ils cherchent à récolter tous types de données personnelles : état civil, coordonnées (postales, bancaires, téléphoniques), mots de passe, réponses aux questions secrètes, etc. L’objectif pour eux est d’utiliser une identité « propre » et crédible pour commander en ligne.

En cumulant les informations issues de phishing et des réseaux sociaux, DataSecurityBreach.fr a pu lire que les fraudeurs parviennent à prendre possession de comptes clients de e-acheteurs honnêtes connus des e-commerçants. Ces usurpations sont possibles notamment à cause de la négligence des particuliers quant à la écurisation de leurs mots de passe. Une fois connecté, les fraudeurs s’approprient le compte client, en modifiant l’adresse e-mail et le numéro de téléphone, et commandent avec des numéros de cartes bancaires volés. En outre, le fraudeur n’est pas inquiété mais le vrai détenteur du compte client doit prouver qu’il n’est pas à l’origine des commandes frauduleuses.

Aucune région française n’est épargnée par la fraude
Certissim dresse un double constat à partir des adresses de livraison des commandes frauduleuses (tentatives de fraude et impayés). Le phénomène de concentration de la fraude en zones urbaines se confirme. Les fraudeurs utilisent des adresses de livraison situées dans les grands centres urbains afin de se fondre dans la masse des commandes en ligne effectuées quotidiennement. Ils disposent alors d’un important marché de revente à proximité de leurs lieux de livraison. Les cas de fraudes en zones rurales augmentent. En province, les fraudeurs  privilégient la livraison en point relais. Pour ne pas être repérés, ils comptent sur la méconnaissance de leurs procédés de la part d’autorités locales peu confrontées à la fraude.

(1) Données Fevad, janvier 2014
(2)Taux de tentatives de fraude et d’impayés en valeur
(3) Hameçonnage

Android, Fuite de données, Identité numérique, Sécurité, Smartphone, Social engineering, Vie privée

Heartbleed, de retour dans nos smartphones

2 commentaires

Nous vous en parlions à l’époque, la faille heartbleed a été découverte/exploitée aussi dans les smartphones. Des millions d’appareils sous Android, non mis à jour (4.1.1 et antérieur), le sont encore. Un chercheur vient de lancer une alerte indiquant que des millions de smartphones sont tributaires des mises à jour des opérateurs, constructeurs. Bref, la faille OpenSSL fait encore des dégâts.

Luis Grangela, scientifiques portuguais, indique qu’une méthode de piratage exploitant Heartbleed peut être exploitée par des pitrates. Sa méthode utilise le Wi-Fi et des smartphones Android. Son attaque, baptisée Cupidon, est basée au niveau des tunnels TLS. Pour le chercheur, iOS d’Apple ne serait pas épargné.

Entreprise, Identité numérique, Justice, Propriété Industrielle

Val Thorens, une marque protégée sur Internet

Comme l’explique le site Legalis, la station de ski Val Thorens est une marque qu’il vaut mieux éviter de détourner sur Internet.

Par un arrêt du 28 mai 2014, la cour d’appel de Lyon a estimé que les noms de domaine val-thorens.net et val-thorens.org appartenaient à la station de ski éponyme et non pas à l’internaute qui avait mis la main de ces adresses web. Pour la justice, il y a violation du droit d’auteur, même si la Ville et son office de tourisme n’avaient pas enregistré les noms de domaine.

Fuite de données, Identité numérique, Vie privée

Formulaire d’oubli de Google, oui mais…

Reputation VIP, l’un des leaders français de l’e-réputation, réagit de manière très positive à la mise en ligne du formulaire d’oubli de Google suite à la décision de la Cour de justice Européenne. Le droit à l’oubli sur Internet est un réel sujet de société, auquel la startup lyonnaise est confrontée quotidiennement. Bertrand Girin, PDG de Réputation VIP indique « que toute l’équipe est impressionnée par la rapidité d’action de Google, qui a mis en ligne rapidement le formulaire pour que certaines personnes physiques puissent soumettre leurs demandes de suppression de résultats ».

Mais de nombreuses questions se posent. Google cite comme critère de décision l’obsolescence, la pertinence ou encore l’excès. Ces termes ne sont-ils pas de parfaits exemples de notions subjectives ? Comment Google peut-il juger de cela ? N’est-ce pas aussi une dangereuse façon de renforcer davantage la toute-puissance du géant américain ? Que fera Google en cas d’homonymie ? Comment départager Jean Dupont le criminel de Jean Dupont le bon père de famille ? Qui devra occuper la page des résultats Google ? Et surtout comment Google saura-t-il qui est le Jean Dupont qui fait la demande de suppression ?

La CJUE demande que les personnalités publiques n’aient pas la même facilité que le citoyen lambda à faire supprimer les informations, mais à partir de quand devient-on une personnalité publique ? Le maire d’une petite commune n’est peut-être pas une personnalité publique pour vous, mais pour ses habitants ? Le chef d’entreprise qui passe régulièrement dans les médias sera-t-il considéré comme une personne publique ?

Enfin, on peut se poser la question du champ d’action de ce formulaire. Faut-il être citoyen européen ? Le formulaire parle actuellement de « certains utilisateurs », mais qui sont-ils ? De plus, le champ des suppressions reste-il borné aux moteurs de recherche européens ? Ou vos amis à New-York et Tokyo pourront-ils encore voir ce que vous ne verrez plus ?

Google a annoncé la mise en place d’un comité consultatif d’experts, mais là aussi une question se pose inévitablement, celle de la gouvernance. De quel type de personnes sera t’il composé ? Ces dernières seront-elles intégrées à Google ou indépendantes ? Bertrand Girin PDG de Réputation VIP : « Nous avions tout de suite compris que ce comité était indispensable, l’e-réputation est un sujet trop sensible pour que l’on puisse la juger sans en discuter. On touche à la vie des gens, à leurs opinions, et surtout à l’opinion que les autres ont d’eux. L’opinion est un sujet trop subjectif pour que l’on puisse la ranger dans des cases et automatiser nos jugements sur les comportements d’autrui »

Emploi, Entreprise

Hack4France

Le 1er Hackathon en ligne 100% Made in France. Pendant que le Ministre Arnaud  Montebourg annonce vouloir un OS 100% Français, faut-il lui rappeler que l’hexagone avait déjà, dès 1998, son OS baptisé Mandrake Linux, l’école privée d’informatique Epitech lance le 1er Hackathon dédiée aux start-ups françaises.

L’idée, inscrire votre API sur Hack4France, et montrez la puissance de votre concept et de vos données. Jusqu’au 22 juin, les développeurs du monde entier sont invités à se constituer en équipes de compétences complémentaires. Ils choisissent une des 10 APIs du challenge et commencent à coder on-line sur la plateforme du Hackathon. Les 5 applications les plus innovantes, toutes API confondues, seront présélectionnées pour participer à la finale qui se déroulera du 19 juin et 8 juillet.

Un concours sponsorisé par Microsoft, Bouygues Telecom et Total. Ce premier challenge d’innovation en ligne dédié aux start-ups françaises est organisé avec le soutien du ministère de l’Economie, du Redressement productif et du Numérique.

Entreprise

RSSIA 2014

Les Rencontres de la Sécurité des Systèmes d’Information Aquitaine se tiendront le 20 juin 2014 à Talence (région de Bordeaux).

Pour cette 6ième édition des RSSIA, le CLUSIR propose comme thématique : « La confiance numérique au cœur des nouveaux usages digitaux« . Avec entre autres sujets : la vie numérique, le numérique en Aquitaine, le Le SIEM, le NFC, la Cybercriminalité avec La gendarmerie de la Gironde ( Le NTECH ), Les Lanceurs d’alerte / Full Disclosure ou comment rompre le silence avec Olivier Laurelli (Bluetouff) et Damien Bancal (Zataz), Les objets connectés, Heartbleed le bug qui fait trembler l’IT, l’ OWASP , Les normes ISO 29000 avec la CNIL.Comme chaque année, Le Panorama de la Cybercriminalité sera présenté avec le CLUSIF.

Entrée libre et gratuite, sur inscription.

 

Cybersécurité, Entreprise, Phishing

Les utilisateurs de services Google ciblés par une attaque de phishing difficile à détecter

Un commentaire

Les pirates récupèrent les mots de passe de comptes Google via une attaque de phishing particulièrement difficile à détecter par une analyse heuristique classique.

Selon les Laboratoires antivirus Bitdefender, des cybercriminels récupèrent les mots de passe d’utilisateurs de comptes Google grâce à une attaque de phishing difficile à détecter par une analyse heuristique, en raison du mode spécifique d’affichage des données utilisé par Google Chrome. En effet, les URI (identifiant uniforme de ressource) rendent les utilisateurs de Chrome plus vulnérables, même si ce phishing cible aussi les utilisateurs de Mozilla Firefox.

En récupérant les mots de passe de comptes Google, les pirates peuvent potentiellement acheter des applications sur le Google Play, pirater le compte Google+ ou encore accéder aux documents personnels stockés sur Google Drive. Cette arnaque commence par un e-mail prétendument envoyé par Google avec pour objet « Mail Notice » ou «  New Lockout Notice ». Ce message dit : « Pour rappel, votre compte e-mail sera bloqué dans 24h en raison de l’impossibilité d’augmenter votre espace de stockage. Cliquez sur « INSTANT INCREASE » pour augmenter automatiquement votre espace de stockage. »

Si l’utilisateur clique sur le lien “INSTANT INCREASE”, il est alors redirigé vers une fausse page de connexion Google, identique à l’originale, afin de renseigner son identifiant et son mot de passe. « La caractéristique de cette attaque de phishing est que la barre d’adresse de navigation n’affiche pas une URL habituelle mais une URI, en l’occurrence ici ‘data :’ » explique Catalin Cosoi, Responsable de la stratégie de sécurité chez Bitdefender.

Ce schéma de données URI permet aux pirates d’intégrer les données correspondantes aux pages Web comme si elles étaient des ressources extérieures. Le modèle utilise le codage Base64 pour représenter les contenus des fichiers. Dans ce cas présent, les pirates fournissent le contenu des fausses pages Web dans une chaîne codée dans les données URI. Et, dans la mesure où Google Chrome n’affiche pas toute cette chaîne, il est difficile pour l’utilisateur, même habitué, de comprendre qu’il est victime d’une attaque par phishing.

Il est habituel pour les cybercriminels de se faire passer pour des prestataires de services envoyant des messages ou notifications prétendument issus d’organismes tels que Google, Facebook, eBay, d’opérateurs téléphoniques ou de banques, qui figurent parmi les « déguisements » favoris des spécialistes du phishing pour envahir les boites mail du monde entier. Une attaque similaire avait récemment ciblé la page d’accueil Google Drive afin de récupérer les identifiants Gmail. Afin de se prémunir contre des arnaques en ligne, Bitdefender préconise également aux internautes de toujours utiliser une solution de sécurité à jour.

 

Cyber-attaque, Entreprise, Espionnae, Fuite de données, Leak, Propriété Industrielle

8 incidents informatiques sur 10 seraient dus au facteur humain

84 % des incidents de sécurité informatique sont liés au facteur humain, alors que seulement la moitié des budgets est consacrée à ce type de menaces.

Voilà les premiers chiffres de l’étude menée lors de la RSA Conference et présentée lors du Gartner Identity & Access Management Summit 2014 par BalaBit. L’étude eCSI de BalaBit souligne le fait qu’il est désormais nécessaire d’ajuster le budget sécurité à hauteur des menaces liées au facteur humain.

BalaBit IT Security, acteur sur le marché des solutions dédiées à la gestion de logs et à la surveillance des comptes à privilèges, a présenté les résultats de son dernier rapport eCSI lors du Gartner Identity & Access Management Summit 2014. L’étude a été menée auprès de 300 participants lors de la récente RSA Conference à San Francisco. Les résultats de cette enquête montrent que 84 % des incidents de sécurité informatique sont liés au facteur humain (erreur humaine, attaques sophistiquées internes ou externes, etc.). En terme de budget, l’étude souligne également que les dépenses sont assez équilibrées entre : les 55 % du budget consacrés à la gestion du risque humain et les 45 % consacrés à l’infrastructure.

Ainsi, les entreprises concentrent toujours leurs ressources dédiées à la sécurité informatique à la sécurité des infrastructures et aux facteurs de risque externe. Les personnes interrogées ont classé les principaux facteurs de risque, en fonction du budget consacré : 30 % privilégient la menace externe, au-dessus de tous les autres risques ; 28 % ont déclaré que les dysfonctionnements du système sont parmi les risques les plus importants ; 17 % ont cité les attaques automatiques (injection SQL, DDoS, …) Alors que la protection dédiée aux erreurs humaines et aux hackers internes est une priorité budgétaire absolue pour seulement une petite minorité des personnes interrogées : respectivement 13 % et 12 %. Pourtant, en terme d’évaluation du coût potentiel de la menace, les résultats sont différents : 51 % des personnes interrogées ont déclaré que les erreurs humaines provoquent la plus grande perte financière ; Seulement 18 % pour la menace externe ; 15 % pour la menace interne et 9 % pour les dysfonctionnements du système et 7 % pour les attaques automatiques.

« La plus grande incohérence que notre étude ai permis de révéler est que les professionnels de l’IT savent clairement que les erreurs humaines causent 51 % de leurs pertes alors qu’en terme de budget, seulement 13 % d’entre eux placent le risque lié au facteur humain en haut de la liste et 40 % des personnes interrogées placent les erreurs humaines comme la menace la moins importante. Si les entreprises souhaitent dépenser leur budget de sécurité informatique de manière logique, il est temps de palier à cette contradiction », commente Zoltán Györko, CEO de BalaBit IT Security. BalaBit a également demandé aux participants de la RSA Conference d’estimer, jusqu’à combien le niveau de la sécurité informatique de leur entreprise pouvait être réduit pour satisfaire les besoins des utilisateurs à privilèges : 83 % des personnes interrogées ont répondu que leur niveau de sécurité était réduit (19 % fortement, notablement à 32 % et modérément à 32 %), pour satisfaire les utilisateurs privilégiés.

« En raison de leur manque de flexibilité, les solutions de contrôle d’accès ne sont souvent pas en mesure de prévenir les incidents mais empêchent les utilisateurs de travailler efficacement. La surveillance peut être un outil efficace contre les risques de sécurité liés au facteur humain, que la source soit interne ou externe. Les risques liés au facteur humain peuvent être considérablement diminués par la détection et le blocage des activités suspicieuses des utilisateurs. Les alertes et la surveillance en temps réel sont inévitables pour les comptes à privilèges, qui disposent de droits d’accès, de modification ou de suppression des informations sensibles de l’entreprise. Il n’est pas étonnant que leurs profils soient la cible principale des hackers. Un taux plus élevé de détection est plus dissuasif que le contrôle passif et plus favorable aux entreprises  », ajoute Zoltán Györko.

Argent, Arnaque, Chiffrement, Contrefaçon, escroquerie, Logiciels

5 étapes pour sécuriser la confidentialité de votre navigateur

Un commentaire

Peu importe la source, toutes les statistiques que vous trouverez prouvent que les navigateurs les plus utilisés sont Chrome, Firefox et Internet Explorer. De nombreuses études et tests ont été effectués pour découvrir quel était le plus sûr de tous. Cependant, les tests ne font que démontrer la capacité de chaque navigateur à répondre à un ensemble de tests prédéfinis, habituellement appelé « sécurité de base ». Néanmoins, cette base change radicalement tous les mois.

Résultat, aucun navigateur n’est sûr à 100% même si certains navigateurs réparent les failles de sécurité plus rapidement que d’autres. Alors comment est-il possible d’améliorer son expérience de navigation sur Internet ? C’est dans ce but, que Sorin Mustaca, expert en sécurité IT d’Avira, propose 5 étapes pour une navigation plus sûre, plus confidentielle et peut-être même indirectement, plus rapide:

1.     Maintenez votre navigateur à jour
C’est la première étape de renforcement du navigateur car un navigateur vulnérable peut être exploité par une simple visite de sites Internet sans que vous n’en sachiez rien. Nous vous conseillons de toujours autoriser les mises à jour automatiques et de les installer aussitôt qu’elles sont disponibles. En cas de doute, installez un outil gratuit qui contrôle les failles potentielles de votre logiciel.

2.     Augmenter la sécurité intégrée dans votre navigateur
C’est la deuxième étape de renforcement du navigateur, elle peut être gérer de différentes façons :
– Configurez votre navigateur pour qu’il rejette les cookies tiers
– Désactivez les plugins dont vous n’avez pas besoin comme : ActiveX, Java, Flash etc.
– Permettez la protection anti-phishing et anti-malware déjà intégrée
– Configurez le navigateur pour envoyer la requête « ne pas traquer » à votre historique de navigation
– Chaque fois que cela est possible, désactivez le script actif. Soyez conscient que certains sites web ne pourront tout simplement pas fonctionner sans script (JavaScript en particulier).

Dans Internet Explorer, nombre de ces configurations peuvent être mises en place en changeant les paramètres dans « Sécurité » et « Confidentialité ».
– Activez le bloqueur intégré de pop-up
– Désactivez les anciennes barres d’outils qui ne vous sont plus utiles. (Avez-vous vraiment besoin de voir la météo ou avoir un traducteur à portée de main tout le temps?)

3.     Choisissez avec précaution quel plugin vous allez installer
Les plugins et add-ons permettent d’étendre facilement les fonctionnalités du navigateur. Cependant, il existe de nombreux plugins, même disponibles sur les stores officiels, qui sont, soit, malveillants, soit, qui présentent des problèmes importants en matière de sécurité et de confidentialité. Le plus inquiétant est que pour un utilisateur lambda, ces problèmes ne sont pas visibles jusqu’à ce qu’il soit trop tard. Ayez toujours en tête qu’un plugin a accès à tout ce que vous cliquez et voyez sur le navigateur, y compris toutes vos navigations en connexions cryptées. Le plugin réside dans le navigateur et a accès à tout ce que l’utilisateur voit. Le contenu est donc déjà décrypté et il n’y a absolument rien qui puisse empêcher un plugin malveillant d’envoyer toutes vos informations (bancaires, personnelles, etc.) à une quelconque adresse internet. Jetez toujours un coup d’œil sur le classement donné par d’autres utilisateurs avant d’installer un add-on. De plus, gardez un œil sur les autorisations demandées par l’add-on. Par exemple, si un message instantané d’add-on requiert l’accès à toutes vos URL, cela devrait vous mettre la puce à l’oreille.

4.     Installez les plugins de sécurité et de confidentialité
Il existe des extensions qui améliorent votre sécurité en faisant un filtrage sur les URL que vous visitez ou même de manière dynamique en analysant le contenu des pages internet. C’est le cas d’Avira Browser Safety. Si vous préférez choisir vous-mêmes vos extensions, il en existe de nombreuses qui empêchent le « tracking » et la publicité. Vous pouvez également utiliser Web of Trust (WOT), basé sur le crowdsourcing, il donne un point de vue indépendant sur le statut des URL.

5.     Forcez l’utilisation du protocole SSL quand cela est possible
Des extensions telles que HTTPS Anywhere essaient de choisir une connexion HTTPS au lieu de HTTP quand celle-ci est disponible pour sécuriser votre navigation.

Entreprise, Paiement en ligne, Propriété Industrielle, spam

Des ultrasons pour sécuriser vos transactions

Un commentaire

Etonnante invention que celle proposée par la société CopSonic. Derrière cette start-up française basée à Montauban, Emmanuel Ruiz. Son idée, permettre de combattre le phishing et de proposer une nouvelle forme de sécurité informatique en faisant vibrer les sites officiels de manière à contrer les contrefaçons et à proposer une triple authentification.

Comment ? Via une technologie qui remplace l’identification visuelle par un ultra son. La sécurité fonctionne ainsi : une banque, un FAI ou une boutique en ligne installe sur son site l’invention de CopSonic. Le système de protection installé sur le portail à protéger diffuse un son qui fera réagir l’application de contrôle installé sur un téléphone portable ou une tablette. Si un pirate, un escroc, un adepte du phishing tente de reproduire la page protégé, il ne pourra pas reproduire le son de CopSonic « Notre sécurité diffuse un son unique pour chaque vérification, explique à la rédaction de Data Security Breach Emmanuel Ruiz. L’escroc ne pourra pas le reproduire« . Bilan, une sécurité quasi parfaite. Le client, face à son application muette, pourra ainsi s’assurer que le site qui lui est présenté est officiel ou non. L’idée de CopSonic est aussi de proposer une troisième authentification en plus de votre mot de passe, d’une double-authentification comme Google/Facebook peut le proposer [Lire]. En gros, en plus de vos précieux sésames (login et mot de passe) le site diffuse un ultra son qui permettra de valider votre accès après que votre smartphone soit reconnu.

Captcha et paiement en ligne à la vitesse du son
Autre possibilité que propose l’invention de la jeune PME, un système anti-spam, anti-brute force basé sur les ultrasons. A la base, un captcha est soit sous forme de chiffre et de lettres qui s’affichent à l’écran. Une série de lettres/chiffres qu’il faut reproduire pour pouvoir écrire un message dans un forum par exemple. L’opérateur Orange propose quant à lui une version avec des images. Le client doit retrouver des animaux, des moyens de locomotions ou des plantes afin de valider sa demande de son mot de passe. Bref, un captcha permet de contrer les robots spammeurs/pirates. Le but de CaptchaSonic est d’éliminer ou de limiter les actions des spammeurs et des robots dans les pages web.

DataSecurityBreach a pu tester l’outil. Au lieu d’avoir à déchiffrer un captcha graphique sur la page de validation, l’application gratuite propose de se passer de taper la moindre information. L’application sur le smartphone reçoit le son et valide le fait que vous soyez bien un humain. Autre possibilité, Pixeliris, une technologie de paiement mobile sans contact qui utilisent les ultrasons pour échanger des données sécurisées à travers les micros et enceintes des téléphones. Compatible avec 100% des téléphones mobiles… même si Apple freine la mise à disposition des applications de l’entreprise Française. En attendant, les possesseurs de smartphones sous Androïd et Windows phone peuvent déjà profiter de cette protection étonnante.

En attendant que la France s’intéresse un peu plus à ce beau projet, la Mission Economique de l’Ambassade de France-UBIFRANCE au Canada a sélectionné CopSonic, avec 9 autres start-ups Françaises, pour participer à la deuxième édition du French Tech Tour Canada (FTT) qui se déroulera du 2 au 6 Juin 2014 à Toronto (Canada). Plus de 25 entreprises avaient postulé pour prendre part à cette tournée. Les 10 entreprises ont été sélectionnées par les partenaires de l’événement incluant Bell, Telus, BlackBerry, Air Canada, Emerillon Capital, CGI, KPMG, … En novembre 2013, Pixeliris fut la seule entreprise française choisie pour représenter la France au cours d’une session de démonstration en petit comité avec le président français François Hollande, le ministre français des affaires étrangères Laurent Fabius, le président Israélien Shimon Peres et le premier ministre israélien Benyamin Netanyahou.

Entreprise, Fuite de données, Identité numérique, Leak, loi, Vie privée

Besoin urgent d’étendre les lois obligatoires sur les fuites de données

Le distributeur en ligne américain eBay a annoncé avoir été victime d’une cyber-attaque et a recommandé à tous ses utilisateurs de changer leur mot de passe. Dans un bulletin émis le mercredi 21 mai, l’entreprise a indiqué que certains identifiants appartenant à des employés avaient été volés, donnant aux pirates l’accès à son réseau interne. Le piratage s’est concentré sur une base de données contenant des noms de clients d’eBay, des mots de passe encryptés, des adresses e-mails et des dates de naissance, et ne concerne donc – à priori – pas les informations financières. Selon eBay, l’attaque a eu lieu entre fin février et début mars et aucune activité anormale de la part des utilisateurs ne semble avoir été détectée depuis.

Nous faisons face à un déluge de données volées, et avec un nombre si important de victimes touchées, souvent des millions de clients, il est grand temps d’étendre les lois relatives à la déclaration obligatoire de divulgations de données à tous les secteurs d’activité – et pas seulement pour les fournisseurs d’accès internet ou les opérateurs télécoms. En dépit des recommandations qui sont faites, de nombreuses personnes continuent d’utiliser le même mot de passe pour plusieurs comptes et avec le temps qu’il a fallu pour avertir les clients de l’existence de cette faille, ces derniers ont été exposés à d’importants risques durant toute cette période. En outre, les dommages pourraient continuer de s’étendre. Avec plus 128 millions d’utilisateurs actifs sur le site d’eBay dans le monde, s’il existe ne serait-ce qu’un pourcent d’entre eux qui utilisent le même mot de passe pour différents comptes professionnels, cela signifie que plus de 1 280 000 millions de réseaux d’entreprises sont potentiellement menacés. « Les hackers n’auront pas de mal à identifier les organismes dans lesquels travaillent toutes ces personnes via des sites comme LinkedIn et détermineront leurs prochaines cibles en fonction de leur importance. Il devient donc urgent d’accélérer la mise en place de lois pour que les clients puissent être confiants et assurés que si leurs données tombent entre de mauvaises mains, des mesures seront prises très rapidement pour en limiter l’accès. » explique Jean-Pierre Carlin de chez LogRhythm.

Avec un tel volume de données traitées chaque jour par les entreprises, il est évident qu’il ne s’agit pas une tâche facile. Cela nécessite une surveillance permanente de la moindre activité sur le réseau ainsi que la capacité à comprendre et à considérer ce qu’est une activité « normale ». Un tel niveau d’information permet aux organismes de détecter les menaces en temps réel et d’y remédier en conséquence – non seulement en accélérant le temps nécessaire pour détecter une faille mais aussi celui qu’il faut pour avertir les clients. « Toutes les entreprises ont la responsabilité de protéger les données personnelles de leurs clients autant que possible et c’est seulement grâce à cette capacité à alerter rapidement les utilisateurs d’une éventuelle menace qu’ils pourront à nouveau accorder leur confiance. » termine Jean-Pierre Carlin.

Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France.

Pour finir, DataSecurityBreach.rf rappelle l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.

Cybersécurité, Entreprise, Fuite de données, Identité numérique

Sécurité informatique : Dis-moi qui tu es, je te dirai comment te protéger

Un commentaire

« Cogito Ergo Sum » : je pense, donc je suis. Le concept d’existence et, par là-même, d’identité tel qu’il a été formulé par Descartes au 17e siècle n’a cessé d’évoluer depuis. Qu’est-ce qui fait notre identité de nos jours ? Notre numéro de sécurité sociale, de compte en banque ? Nos mots de passe récurrents ? Nos actes, les cercles des personnes avec lesquelles nous échangeons ? Avons-nous une seule ou plusieurs identités ? Avec chaque décennie vient un nouveau moyen de définir de notre identité…ou de la perdre selon le point de vue.

Pour nous, l’identité représente l’identifiant unique d’une personne ou d’une chose, qui permet de la différencier. On peut l’affiner par l’ajout d’attributs propres à chacun, la liste des tiers avec lesquels nous échangeons ou encore certains paramètres comportementaux. Notre identité était auparavant scindée en deux facettes, « personnelle » et « professionnelle », mais ça c’était avant ! Avant l’ère de la consumérisation de l’IT. Notre identité professionnelle est désormais définie le plus souvent par la fusion de ces deux facettes et prend également en compte l’utilisation d’appareils mobiles, les règles d’accès aux applications, d’identités sociales, etc. qui permettent de classer un individu en tant qu’employé, consultant, partenaire commercial, client etc.

Alors comment une organisation peut-elle établir le niveau de sécurité adéquat pour son système d’information quand les données personnelles et professionnelles sont si étroitement entrelacées ? C’est un défi de taille pour les services informatiques, qui doivent miser sur une identification claire et précise pour le relever. Plus que jamais, l’enjeu de la sécurité ne réside pas dans des aspects matériels ou technologiques mais plutôt dans la capacité de l’organisation à comprendre les tenants et aboutissants du concept d’identité et in fine à reconnaître l’individu qui se trouve derrière le terminal.

L’identité professionnelle, les paramètres personnels qui viennent se greffer dans l’environnement de travail et les éléments comportementaux sont autant de données qui s’amalgament et permettent de discerner ce qui se passe dans le périmètre professionnel, et au-delà. Et comme ce périmètre évolue, l’identité va inévitablement devenir l’unique préoccupation des équipes de sécurité car elle seule permet de faire le tri parmi les parasites événementiels et les données non pertinentes, sources de confusion qui empêchent de répondre aux menaces réelles ou de simplement détecter une attaque. L’incapacité à gérer l’identité, et les accès qui vont de pair, est le plus grand risque informatique de gestion pour une organisation. Une entité qui ignore « qui fait quoi » ne peut saisir les opportunités qui s’offrent à elle et s’expose à un risque organisationnel majeur.

La sécurité informatique au service de la performance de l’entreprise
Des changements doivent être opérés à la fois dans les rôles et les priorités des équipes informatiques et de sécurité. Elles se doivent de maîtriser ces enjeux et d’adapter leur stratégie pour non seulement fournir un environnement informatique de travail sécurisé mais aussi pour soutenir le développement du business et répondre aux attentes d’utilisateurs qualifiés. L’un des plus grands défis est incontestablement de suivre le rythme du changement, de s’adapter à la vitesse à laquelle évolue l’organisation. Les utilisateurs sont toujours plus exigeants quant à leurs besoins et souhaitent travailler comme ils l’entendent. Ils réclament des services encore plus personnalisés, une plus grande agilité pour répondre aux opportunités qui se présentent, une connectivité plus poussée et, bien entendu, moins de contrôles aux endroits où ils interagissent. Pour cela, les organisations doivent être capables d’adopter et d’assimiler des environnements informatiques hybrides et des outils mobiles qui peuvent s’ajuster aux besoins organisationnels et aux opportunités du moment. Répondre avec promptitude aux exigences croissantes des utilisateurs est devenu le quotidien des équipes informatiques.

C’est pour cela qu’il faut se concentrer sur l’exploitation du concept d’identité et relever le défi de la gestion des accès ; ce premier pas permettra de répondre avec diligence aux besoins futurs, tout en respectant les impératifs de sécurité et de conformité. Alors que l’Internet des Objets devient une réalité, de nouveaux défis et possibilités se présentent. Toute chose a ou aura une identité, et chacune de ces identités peut receler la réalité d’un utilisateur, d’un employé ou d’un client. La gestion de ces identités, et l’utilisation de sources d’identités fédérées toujours plus complexes, va dévoiler aux entreprises et administrations les multiples facettes d’un monde hyper-connecté. (Par Jean-Philippe Sanchez, Consultant Sécurité chez NetIQ France)

Emploi, Entreprise

Le Havre remporte les 24h des IUT informatiques

Strasbourg a reçu le 7ème challenge des 24 heures des IUT d’informatique. Au menu : développement, web et sécurité informatique.

En 2007, des enseignants de l’IUT informatique de Valenciennes, antenne de Maubeuge, lançaient l’idée d’un concours original baptisé Les 24 heures des IUT informatique. Sa mission, proposer aux étudiants trois épreuves de huit heures autour du développement, du web et de la sécurité informatique avec un CTF de type Jeopardy. Derrière cette opération, Franck Ebel, Jérôme Hennecart et Robert Crocfer. Après Montreuil et Orléans, le dernier challenge en date s’est tenu, le week-end dernier, dans les locaux de l’université de Strasbourg. Pour chaque challenge, une équipe vainqueur et une équipe gagnante générale. Cette dernière cumulant des points lors des trois rendez-vous. A noter que les trois prochains challenges se feront à Bordeaux, Nancy et le Havre.

Sécu, web et développement

Dans les trois épreuves, de quoi s’éclater pour les étudiants venus de 29 IUT de France (Sauf l’IUT pourtant créatrice de l’épreuve, Maubeuge, NDR). La première épreuve consistait en un développement applicatif réseau permettant de jouer de manière automatique et intelligente à un jeu en réseau. La seconde épreuve est une épreuve de développement Web : il était demandé aux étudiants de réaliser une application web originale sans imposer de technologie particulière. Le sujet a été dévoilé au début de l’épreuve histoire que les concurrents soient sur la même ligne de départ. Il devait créer un jeu de plateau avec pions et barrières. La dernière épreuve était dédiée à la sécurité informatique. Des épreuves ludiques destinées à sensibiliser les étudiants aux problèmes de sécurité qui ne sont pas abordées dans leur formation de DUT. Les vainqueurs : Yum install de l’IUT de Velizy, suivis de Rainbow Dash de l’Université de Nancy et les Beloutres (IUT La Rochelle).

BYOD, Cloud, Cybersécurité, Fuite de données

Les enjeux de l’Internet des objets (IdO) et du stockage Big Data

Un commentaire

L’augmentation du nombre de terminaux connectés, des réfrigérateurs aux thermostats, en passant par les appareils médicaux, soulève un problème de données plutôt singulier.

La question est de savoir comment les utilisateurs peuvent collecter, surveiller et stocker les quantités astronomiques de données générées par tous ces appareils. Revenons ici sur les implications du stockage des données de l’IdO, et tentons d’expliquer pourquoi une approche unique de la sauvegarde n’est pas adaptée et comment gérer le flot de données générées par les terminaux connectés.

Que représente la notion d’IdO ?
L’IdO, dont la définition englobe aujourd’hui tout terminal connecté, autre que les appareils traditionnels comme les tablettes, les smartphones et les ordinateurs de bureau et portables, progresse à la fois dans sa forme et son niveau de sophistication. En 2003, Hitachi a présenté des puces si petites qu’elles pouvaient être intégrées à la nourriture et utilisées pour contrôler les aliments que les gens consomment. Aujourd’hui, nous avons tout pour nous permettre de collecter et contôler les données: des moniteurs cardiaques aux caméras de surveillance ou réfrigérateurs intelligents.

Quel impact une telle quantité de données peut-elle avoir sur le stockage ?
Comment peut-on tracker toutes les données que nous créons? Nous en sommes déjà au stade où nous gaspillons des ressources en collectant trop de données. Les caméras de surveillance, par exemple: Quel est l’intérêt d’enregistrer toutes les séquences filmées par l’une de ces caméras ? Des millions de caméras sont en service dans le monde, et elles génèrent une quantité astronomique de données qui ne sont pas toutes forcément utiles.

Cependant, lorsque ces données sont agrégées et utilisées à des fins d’analyses, elles gagnent en utilité et deviennent plus faciles à gérer. Les particuliers et les entreprises doivent se demander quelles données sont les plus utiles sous forme détaillées, et quelles données sont plus utiles sous une forme agrégée et ont donc un simple intérêt statistique. Prenons l’exemple d’un moniteur cardiaque. Un patient est équipé d’un capteur qui mesure chaque battement de cœur. Les données capturées lors de palpitations sont importantes à la fois pour le patient et son médecin. Cependant, si les données étaient contrôlées par une société pharmaceutique, celle-ci trouverait intéressant de les consulter sous forme agrégée afin de mesurer les effets de certains médicaments pour le cœur sur un grand nombre de patients.

Comment les entreprises devraient définir l’importance des données collectées par les appareils connectés ?
Certaines sociétés suppriment les données collectées au bout d’une semaine, alors que d’autres appliquent des politiques plus systématiques et conservent uniquement les données d’une semaine sur deux pour une année en particulier. La politique de conservation appliquée prend son importance en fonction de la définition des données dont la conservation est utile, et de la manière d’y accéder. Une société étudiant les effets du réchauffement climatique peut avoir besoin de stocker des données relatives aux températures quotidiennes pendant des centaines d’années, alors qu’un fournisseur d’électricité peut n’avoir besoin de telles données qu’une fois par heure, sur une période de 10 ans ou moins. Il a simplement besoin de connaître la quantité d’électricité à générer en fonction des prévisions météorologiques locales et des données relatives à la consommation de ses clients à différents niveaux de températures.

La notion d’IdO implique une combinaison de nombreux éléments, et les informations pertinentes à en tirer dépendent de la manière dont ces éléments se combinent dans l’exécution de tâches spécifiques. (Joel Berman, vice-président du Marketing Corporate d’Acronis)

Emploi, Livres, Propriété Industrielle

Lecture : Algorithmique – Techniques fondamentales de programmation

Pour apprendre à programmer, il faut d’abord comprendre ce qu’est vraiment un ordinateur, comment il fonctionne et surtout comment il peut faire fonctionner des programmes, comment il manipule et stocke les données et les instructions, quelle est sa logique. Alors, au fur et à mesure, le reste devient évidence : variables, tests, conditions, boucles, tableaux, fonctions, fichiers, jusqu’aux notions avancées comme les compréhensions de listes et les objets.

Le langage algorithmique (ou la syntaxe du pseudo-code des algorithmes) reprend celui couramment utilisé dans les écoles d’informatique et dans les formations comme les BTS, DUT, première année d’ingénierie à qui ce livre est principalement destiné et conseillé. Une fois les notions de base acquises, le lecteur trouvera dans ce livre de quoi évoluer vers des notions plus avancées : un chapitre sur les objets, ouvre les portes de la programmation dans des langages évolués et puissants comme le C, le C++ et surtout Python.

À la fin de chaque chapitre, les auteurs ranck Ebel et Sébastien Rohaut proposent de nombreux exercices corrigés permettant de consolider ses acquis. Tous les algorithmes de ce livre sont réécrits en Python et les sources, directement utilisables, sont disponibles en téléchargement sur le site www.editions-eni.fr. 508 pages qui devraient ravir les amateurs du genre. 29.90 chez les libraires physiques et numériques.

Franck Ebel
Enseignant à l’IUT Informatique de Maubeuge, Université de Valenciennes, Commandant de Gendarmerie réserviste et spécialiste de la lutte anticybercriminalité, Franck EBEL est expert en failles applicatives. Il a créé la licence professionnelle «ethical hacking» appelée CDAISI, la seule en Europe en sécurité dite offensive. Il est certifié CEH, OSCP et Wifu. Il forme les Ntech de la gendarmerie de la région Nord-Pas de Calais et le CICERT de Côte d’Ivoire. Il est aussi Président de l’association ACISSI et organise chaque année le challenge de hacking « Hacknowledge Contest Europa-Africa ». Il est aussi membre de l’AFPY, association francophone pour Python. Il donne des conférences en Europe et en Afrique sur Python, les logiciels libres et la sécurité informatique.

Sébastien Rohaut
Ingénieur Système en missions régulières pour de grands comptes. Il enseigne également Unix et PHP à des classes préparatoires et d’ingénieurs. Fortement investi dans le monde des logiciels libres (fondateur et ancien président de Slyunix, association de promotion de Linux), il a organisé des « Install Parties » et des rencontres avec des débutants sous Linux dont il connaît parfaitement les problématiques. Enfin, il écrit fréquemment dans la presse spécialisée des articles destinés aux amateurs de Linux et des logiciels libres.

Chiffrement, cryptage, Entreprise, Logiciels, Paiement en ligne

API IDentité Numérique Développeurs de La Poste

Un commentaire

Avec l’API IDentité Numérique Développeurs, La Poste offre à tous les acteurs du web des échanges numériques sécurisés et renforce son rôle d’acteur majeur de l’internet de confiance. Dans le cadre du OUISHARE FEST 2014, le festival international de l’économie collaborative réunissant plus de 1 000 pionniers et start up innovantes, qui s’est tienu les 5, 6 et 7 mai derniers au Cabaret Sauvage (Porte de la Villette), La Poste a présenté son service IDentité Numérique dédié aux développeurs. En intégrant cette API, les acteurs du web et les ecommerçants développent la confiance entre des internautes et offrent la possibilité d’utiliser leur profil qualifié par La Poste pour se connecter sur leur site.

Qu’est-ce que l’IDentité Numérique ?
L’IDentité Numérique permet à un internaute  d’attester que son identité a été vérifiée physiquement par La Poste. Avec des profils qualifiés, les échanges entre particuliers se font en toute confiance. Grâce à La Poste, les particuliers peuvent se doter gratuitement d’une IDentité Numérique sur le site www.laposte.fr/identitenumerique. L’utilisation de l’IDentité Numérique de La Poste permet ainsi de bénéficier d’une confiance accrue pour échanger plus facilement, des biens ou des services comme la location entre particuliers par exemple.

L’API, comment ça marche ?
Simple et facile à intégrer, les développeurs intègrent l’API IDentité Numérique sur  leur site en se rendant au lien suivant : https://developpeurs.idn.laposte.fr. – la demande d’accès à ce service s’effectue via un formulaire de contact.

Quels bénéfices de l’API pour les sites ?
A chaque fois qu’un internaute utilise son identité numérique pour se connecter ou s’inscrire sur un site, le site en question reçoit les données de l’internaute que La Poste a vérifiées (Civilité, Nom, Prénom, date de naissance, adresse e-mail, adresse postale, N° de mobile). Les profils clients sont fiabilisés : un badge de confiance s’affiche sur le profil de l’internaute, attestant que son identité a été vérifiée par La Poste. Le badge sur son profil étant visible par les autres utilisateurs du site, cela lui permet de rassurer la communauté tout en gardant son anonymat. Grâce à la confiance que les autres ont en son profil, l’internaute va booster son profil et ses échanges. Par exemple, sur les sites partenaires comme prêtachanger.fr, les internautes ayant un badge La Poste troquent 5 fois plus que les autres. Les sites dotés de cette API renvoient également une image positive auprès des internautes et bénéficient d’un outil de communication, vecteur de notoriété pour acquérir de nouveaux clients.

 

Cybersécurité, Fuite de données, Propriété Industrielle

Protection contre les menaces persistantes complexes

Symantec a annoncé une approche totalement nouvelle de la protection contre les menaces persistantes complexes, dévoilant un programme de solutions intégrées, qui démontrent une capacité d’innovation en sécurité unique destinée à aider les entreprises à résoudre leurs problèmes les plus complexes.

Cette approche se fonde sur deux nouvelles offres : Symantec Managed Security Services – Advanced Threat Protection et Symantec Advanced Threat Protection Solution, qui corrèlent information et alertes à travers un large spectre de technologies de sécurité, pour offrir une prévention contre les attaques plus complètes. L’approche holistique de Symantec permet de générer des bénéfices issus de la collaboration des technologies de sécurité, transformant le combat complexe contre les attaques ciblées en une fonction gérable qui offre une protection et une valeur ajoutée plus élevée pour les entreprises.

Symantec va s’appuyer sur ses technologies de sécurité innovantes et son réseau de surveillance mondial qui protège déjà contre les APT (Advanced Threat Protection) pour développer de nouvelles défenses en fonction de l’évolution des attaques sophistiquées. Les nouvelles offres de prévention contre les menaces persistantes complexes utiliseront en effet les informations et l’expérience réunies sur ce type d’attaques par ses solutions de protection déjà installées sur 200 millions de postes de travail, et par ses solutions de sécurité web et email qui vérifient quotidiennement 8,4 milliards d’emails et 1,7 milliard de requêtes Internet.

« Le besoin d’une plus grande protection contre les menaces ciblées sur le marché est grandissant, et peu d’éditeurs disposent de la couverture ou des fonctionnalités complètes qui permettent de détecter et de répondre de façon adaptée aux attaques ciblées, » explique  Jon Oltsik, senior principal analyst, Enterprise Security Group (ESG). « Symantec est bien positionné pour proposer une solution de protection contre les menaces ciblées de bout en bout, en s’appuyant sur ses technologies existantes, en intégrant son portefeuille de solutions et en la développant comme un service, augmenté par un écosystème de partenaires en constante évolution. En utilisant son réseau de surveillance mondial et en développant de toutes nouvelles capacités de réponse aux incidents, Symantec peut réellement satisfaire un grand nombre de besoins des entreprises en matière de cyber sécurité ».

Les menaces persistantes complexes augmentent, les cybercriminels sont plus impitoyables que jamais et l’équation à plusieurs inconnues contre ces menaces est devenue plus difficile à résoudre. Si l’intérêt pour les solutions basées sur la sécurité des réseaux, considérées comme la réponse idéale, augmente, les départements informatiques doivent cependant toujours faire face à un nombre massif d’incidents, trop de faux-positifs et une liste trop importante de processus manuels qui doivent être gérés sans avoir nécessairement à disposition les ressources ou les connaissances nécessaires, ce qui laisse les entreprises exposées et vulnérables.

« Pour se défendre avec succès contre les menaces persistantes complexes que nous voyons aujourd’hui, les entreprises doivent dépasser le cadre de la prévention pour intégrer la détection et la réponse, » explique Brian Dye, senior vice president of Symantec Information Security. « La sécurité des réseaux seule ne va pas résoudre le problème. Les cybercriminels ciblent tous les points de contrôle, depuis la passerelle jusqu’à l’email en passant par le poste de travail. Les entreprises ont besoin d’une sécurité sur l’ensemble de ces points de contrôle qui collaborent, avec des capacités de réponse et une intelligence mondiale, pour combattre ces attaquants. Symantec propose désormais cet arsenal. »

Un service managé pour résoudre la détection pratique et les défis de réponse
Disponible en juin 2014, la prochaine offre de l’approche de protection contre les menaces persistantes complexes se nomme Symantec Managed Security Services – Advanced Threat Protection (MSS-ATP), un service managé qui réduit de façon significative le temps de détection, de définition des priorités et de réponse aux incidents de sécurité en intégrant la sécurité des postes de travail avec les produits de sécurité réseaux de vendeurs tiers. Ces données permettent aux clients de contenir, investiguer et résoudre rapidement et efficacement les attaques inconnues et de type zero-day qui passent à travers les solutions de sécurité existantes. En donnant la priorité aux menaces réelles sur les faux-positifs, les départements informatiques peuvent ainsi optimiser leurs ressources et s’assurer qu’ils protègent bien leur entreprise contre les vulnérabilités les plus importantes.

L’Advanced Threat Protection Alliance de Symantec (Alliance de protection contre les menaces ciblées) est un écosystème de partenaires de sécurité réseaux qui rassemblent à ce jour Check Point Software Technologies, Palo Alto Networks and Sourcefire (désormais intégrée à Cisco). A travers cet écosystème, la détection et la corrélation d’activité malveillante contre les postes de travail et les réseaux contribue à diminuer de façon substantielle les fausses alertes en pointant les incidents importants, permettant ainsi aux entreprises de répondre de plus rapidement aux incidents les plus critiques.

Une réponse puissante aux incidents et des services adverses managés
Dans les six prochains mois, Symantec va introduire deux nouveaux services clés. Le premier est un tout nouveau service de réponse aux incidents, permettant aux entreprises d’accéder immédiatement à des capacités, des connaissances et une expertise critiques lors de scénarios de réponses à des incidents. Le second est un nouveau service d’intelligence, permettant une visibilité et une analyse des menaces sans équivalent et une compréhension des risques liés au patrimoine informationnel clé de l’entreprise. Il intègre une offre d’intelligence, de flux de données et de portail, ainsi qu’une information managée adverse qui délivre des rapports précis sur les acteurs des menaces, pour une visibilité sans précédent sur les types d’attaques ciblant une entreprise.

Une nouvelle solution de protection contre les attaques ciblées sur l’ensemble des points de contrôle
En intégrant le tout, Symantec commercialisera d’ici un an une nouvelle solution de protection contre les menaces ciblées, dont le beta testing débutera sous six mois. Cette solution innovante et complète proposera une protection avancée intégrée couvrant le poste de travail, l’email et la passerelle, et offrira aux entreprises les capacités de détection et de réponse critiques sur chaque point de contrôle respectif.

Deux nouvelles technologies innovantes et développées en interne renforceront également les capacités de détection et de réponses des solutions :
·         Le service d’analyse dynamique des malwares de Symantec est une sandbox cloud où l’analyse comportementale des contenus actives peut être utilisée pour maximiser rapidement  l’identification ;
·         Synapse™, qui permet une communication fluide entre le poste de travail, l’email et la passerelle, et par conséquent une réponse améliorée.

Le portefeuille de solutions de protection contre les menaces persistantes complexes s’appuie sur le Symantec Global Intelligence Network (GIN) et une équipe de plus de 550 chercheurs à travers le monde. Le GIN de Symantec collecte des éléments de télémétrie fournis en permanence et de façon anonyme par des centaines de millions de clients et de capteurs. Symantec utilise ces données, plus de 3,7 milliards de lignes de télémétrie, volume en constante augmentation, pour découvrir de façon automatique de nouvelles attaques, surveiller les réseaux des attaquants et développer des technologies prédictives et proactives qui offre une protection inégalée contre les menaces avancées pour les clients de l’entreprises.

Chiffrement, cryptage, Fuite de données, Logiciels

Cloud privés pour appareils mobiles via des VPN SSL de Barracuda

Grâce à la nouvelle version des VPN SSL, les tablettes et téléphones mobiles accèdent plus facilement aux fichiers et applications web internes. Barracuda Networks,  fournisseur de solutions de stockage et de sécurité Cloud, a annoncé la sortie de ses VPN SSL version 2.5. Ces solutions permettent aux employés d’avoir un meilleur accès à distance aux fichiers et applications web internes à partir de n’importe quel environnement virtuel, y compris via iPad, iPhone, Windows Phone et appareils Android, sans avoir besoin de déployer ou d’être compatible avec les clients VPN.

Selon Stephen Pao, directeur général du département sécurité chez Barracuda, « Avec l’utilisation de différentes plateformes telles qu’iOS, Android ou Windows au sein des environnements BYOD habituels, trouver une solution VPN SSL et un accès à distance compatibles peut devenir problématique. La toute dernière version des VPN SSL de Barracuda a été conçue de sorte à offrir une expérience utilisateur nomade optimale puisqu’elle permet aux administrateurs informatiques de fournir aux utilisateurs un accès à distance sécurisé et moderne, de type Cloud, aux applications web et aux fichiers internes tout en évitant les frais des plateformes de téléchargement d’applications ou de gestion d’appareils mobiles pour entreprise. »

Les caractéristiques principales des nouvelles solutions VPN SSL 2.5 de Barracuda incluent :
– Un accès omniprésent : le tout nouveau portail mobile permet aux employés d’accéder, à distance et à partir de n’importe quel appareil mobile, aux applications internes d’entreprise telles que Sharepoint, Internal Order Systems ainsi qu’aux Intranets et à bien d’autres applications.

– Un contrôle d’accès sécurisé : les administrateurs contrôlent l’accès de tous les utilisateurs grâce à une option permettant de sécuriser les ressources avec des mots de passe uniques sur les téléphones mobiles, des questions de sécurité, ou une intégration à des systèmes avancés d’authentification tels que des jetons d’authentification, des protocoles RADIUS, et autres fonctions de sécurité.

– Une tarification simple : l’accès à distance pour les appareils mobiles a été conçu de sorte à être facile, économique et sans frais d’utilisateur.

– Une configuration facile : une configuration simple des appareils Windows et iOS (iPhone, iPad et Mac) pour les protocoles Exchange, LDAP, IPsec, PPTP, Webclips et Certificats Clients.

La version 2.5 des VPN SSL Barracuda offre également aux entreprises un plan de continuité grâce à un accès à distance aux ressources de l’entreprise pendant les catastrophes naturelles ou autres situations critiques. Comme en témoigne Chris Robinson, directeur informatique de la Queensland Art Gallery, « pendant les inondations, nous avons pu déployer les solutions VPN SSL de Barracuda et cela a permis à notre équipe de continuer à travailler à distance. »

Prix et disponibilité
Les solutions VPN SSL version 2.5 de Barracuda sont dès à présent disponibles, dans le monde entier, gratuitement pour les utilisateurs de la plateforme matérielle actuelle ayant un abonnement Energize Updates actif. Elles sont également disponibles sous plusieurs formes d’appareils virtuels, permettant ainsi un déploiement local ou sur le Cloud selon les besoins des entreprises. Les solutions VPN SSL de Barracuda sont disponibles à partir de 749€ pour l’appareil et à partir de 249 € pour l’abonnement Energize Updates. Un service optionnel de remplacement immédiat avec remplacement prioritaire du matériel en panne et mise à disposition gratuite d’un matériel de moins de 4 ans est disponible à partir de €149 par an. Les prix internationaux varient en fonction des régions du monde. Pour plus d’informations, veuillez contacter France@barracuda.com

Ressources
Page internet du VPN SSL Barracuda – http://cuda.co/ssl25
Page internet du VPN SSL Vx Barracuda – http://cuda.co/ssl25vx

Entreprise, Fuite de données, Propriété Industrielle

Augmentation des fuites de données

Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des  attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France. Quelques chiffres qui sont, pour IBM, un bon moyen d’annoncer l’arrivée d’IBM Threat Protection System et de Critical Data Protection Program. Des solutions qui représentent deux années d’investissements significatifs en matière de croissance organique et d’acquisitions d’entreprises telles que Q1 Labs, Trusteer, Guardium, Ounce Labs, Watchfire et Fiberlink/MaaS360. Depuis la mise en place, fin 2011, d’un business dédié à la cyber-sécurité, IBM s’est développé pour devenir l’un des grands acteurs en matière de sécurité pour l’entreprise.

IBM Threat Protection System peut prévenir les attaques – avant qu’elles n’arrivent
Le nouveau système de protection Threat Protection System contre les menaces d’IBM exploite les renseignements liés à la sécurité afin d’aller au-delà des défenses et des pare-feu traditionnels, ceci pour perturber les attaques à travers l’ensemble de la chaîne d’attaque, de l’infiltration à l’exfiltration. IBM Threat Protection System comprend une architecture de logiciels d’analyse et d’enquête (forensics) de bout en bout. Ces derniers aident les organismes à prévenir en continu, détecter et répondre aux cyber attaques complexes, en cours, et, dans certains cas, à éliminer la menace avant que le dommage ne se soit produit.

– Pour la prévention, IBM annonce une nouvelle solution, Trusteer Apex, destinée à bloquer les logiciels malveillants, d’importantes améliorations pour IBM Network Protection afin de mettre en quarantaine les attaques, ainsi que de nouvelles intégrations avec les partenaires clés bénéficiant des capacités du réseau des « bacs à sable » testant les logiciels/programmes douteux (sandbox).

– Pour la détection, IBM a amélioré sa plateforme QRadar Security Intelligence en la dotant de nouvelles fonctionnalités – permettant aux entreprises de détecter les attaques à grande échelle et de les bloquer en un clic.

– Pour répondre aux attaques, IBM a introduit IBM sécurité QRadar Incident Forensics. IBM continue également à étendre ses services d’intervention d’urgence à l’échelle mondiale.

Les clients qui ont testé IBM Threat Protection System ont vu des résultats rapides. Par exemple, un fournisseur de soins de santé avec des milliers de terminaux a immédiatement détecté la présence de dizaines de cas de logiciels malveillants, malgré l’utilisation habituelle de nombreux outils de sécurité traditionnels. Ce code malveillant peut être utilisé pour contrôler à distance les terminaux ou exfiltrer des données, mais il a été immédiatement désactivé. De même, une grande banque européenne a récemment essayé ce système et a été en mesure de désactiver les logiciels malveillants détectés dans l’entreprise. Le système de protection contre les menaces IBM dépend de 11 centres d’opérations de sécurité (SOC) qui peuvent surveiller le système une fois ce dernier déployé chez les clients. « Les menaces persistantes avancées ont fondamentalement modifié la manière dont les entreprises doivent aborder la question de la sécurité des données. » Déclare Brendan Hanigan, Directeur Général de IBM Security Systems. « Aujourd’hui, se défendre contre les cyber attaques nécessite plus d’une approche basée sur la signature ou le périmètre. Des capacités d’analyse approfondies et les forensics sont indispensables et doivent inclure la prévention au niveau des terminaux (les terminaux fixes, mobiles utilisés par les employés, les partenaires et mêmes les clients), la protection du périmètre et la capacité à se prémunir contre les attaques avant qu’elles ne causent des dégâts ».

Les « Joyaux de la Couronne » d’une entreprise et la marque
Le nouveau Critical Data Protection Program permet de protéger les données critiques d’une organisation, ou notamment « Joyaux de la Couronne ». La richesse d’une entreprise est souvent générée par moins de 2% de ses données, ce qui a un impact majeur sur la réputation de la marque, sa valeur de marché et sa croissance.  « Les inquiétudes sur la capacité à protéger les données critiques contre les cyber attaques sont un préoccupation du Board », a déclaré Kris Lovejoy, Directeur Général de IBM Security Systems. « Les cyber-attaques et la perte de données jouent un rôle sur la réputation de marque, peuvent réduire sa valeur en actions et confronter une entreprise à des litiges. Les nouveaux logiciels et services d’IBM sont conçus pour fournir à ces responsables une solution unique qui leur permet de focaliser leur attention sur les besoins de leurs clients et les revenus de l’entreprise au jour le jour ». Les organisations font de plus en plus appel à IBM pour les aider à construire une approche véritablement globale et intelligente pour identifier rapidement et bloquer les menaces avancées avant qu’elles ne fassent des dégâts. Récemment, IBM a commencé à fournir des services de soutien hotline par des experts et un déchiffrage des vulnérabilités à ses assurés CyberEdge d’AIG.

Ces données critiques sont à forte valeur ajoutée comme les plans d’acquisition et de cession, les délibérations du Conseil exécutif et de la propriété intellectuelle. Ces données critiques correspondent à 70 % de la valeur d’une société cotée en bourse et s’avèrent extrêmement précieuses pour les forces hostiles – que sont les initiés de la société ou les attaquants sophistiqués. Malgré l’importance et la valeur des données critiques, de nombreuses organisations ne sont pas conscientes de ce qu’elles représentent, d’où elles se trouvent, de qui y a accès, ou de comment elles sont protégées, ce qui les rend plus difficiles à surveiller et à protéger. En fait, la découverte de la perte de données peut prendre des jours ou plus dans plus de 95 % des cas, et il faut des semaines ou plus pour les contrôler dans plus de 90% des cas, un décalage qui peut avoir un impact catastrophique pour une entreprise. Le nouveau programme de protection des données critiques d’IBM propose une approche itérative multi-étapes : Définir, Découvrir, Comparer, Sécuriser et Surveiller. Ceci pour un cycle de vie complet en matière de sécurité des données pour protéger la rentabilité, la position concurrentielle et la réputation.