L’éditeur de logiciel QUOTIUM (Euronext QTE) a révolutionné la façon dont les applications sont sécurisées. Pionnière de la technologie IAST « Interactive Application Security Testing », sa solution de sécurité SEEKER, permet d’analyser le code applicatif pendant l’exécution d’une attaque malveillante et les conséquences de celle-ci sur les flux de données utilisateur. La technologie de Seeker est unique car elle permet d’avoir une vision réelle de l’état de sécurité d’une application et de ses risques métiers. Pour chaque faille de sécurité détectée, Seeker propose un correctif à appliquer sur les lignes de codes vulnérables accompagné d’une explication technique détaillée incluant la vidéo de l’attaque sur l’application testée.
Créée il y a 55 ans, l’ESIEA est une grande école d’ingénieurs en sciences et technologies du numérique qui délivre un diplôme habilité par la Commission des Titres d’Ingénieur (CTI) et propose deux Mastères Spécialisés en sécurité informatique (Bac +6) sur ses campus de Paris et Laval.
Parmi ses cursus, l’ESIEA propose un Mastère International « Network and Information Security (N&IS) » qui profite directement du résultat des travaux de l’un des 4 laboratoires de l’école. Ce laboratoire de cryptologie et virologies opérationnelles (CVO²) effectue des recherches fondamentales sous tutelle du Ministère français de la Défense dans les domaines des cyber-attaques, de la sécurité des systèmes et de l’information et des architectures de sécurité réseau.
Dans ce contexte, afin de former les étudiants aux problématiques de développement sécurisé, l’ESIEA s’est rapprochée de la société QUOTIUM pour initier un partenariat stratégique autour de leur technologie phare, le logiciel SEEKER spécialisé dans l’analyse de vulnérabilités des applications web. Concrètement, les étudiants du mastère spécialisé N&IS de l’ESIEA exploiteront une plateforme SEEKER réseau dédiée, dans le cadre de la formation au développement sécurisé et aux techniques d’audit. Il est envisagé à terme d’organiser une certification de nos étudiants vis-à-vis de la technologie SEEKER. Cette plateforme sera aussi utilisée dans le cadre des travaux de R&D du laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA, avec une première utilisation dans le cadre du projet DAVFI.
Le choix de QUOTIUM par l’ESIEA s’explique notamment par la qualité technique de la solution SEEKER et sa facilité d’intégration dans les processus de développement.
Les eurodéputés demandent que l’IP-tracking soit reconnu comme une pratique commerciale déloyale. La Commission des affaires juridiques du Parlement européen a adopté aujourd’hui un rapport sur l’application de la directive 2005/29/CE sur les pratiques commerciales déloyales. Dans ce rapport, voté à l’unanimité, les parlementaires demandent aux États membres et à la Commission européenne une protection adéquate des consommateurs face à l’IP-tracking [1].
Françoise Castex se félicite que l’ensemble des groupes politiques aient soutenu son amendement visant à reconnaître l’IP-tracking comme une pratique commerciale déloyale. « C’est la preuve que le ras-le-bol est général face à ces pratiques inadmissibles qui touchent des millions de consommateurs européens! » déclare l’eurodéputée socialiste.
« Le Parlement souhaite mettre un terme à l’inaction de la Commission et des États membres« , estime Françoise Castex, qui avait saisi l’exécutif européen un janvier puis en juillet dernier [2]. « Nous demandons à la Commission européenne de se pencher sur ce phénomène bien connu des consommateurs et de proposer enfin un texte qui interdise ces pratiques commerciales sur le net. »
« À défaut, nous demanderons à la Commission européenne une révision de la directive 2005/29« , conclut la Vice-présidente de la Commission des Affaires juridiques du Parlement européen.
[1] Méthode utilisée par un opérateur et qui consiste, lorsqu’un usager effectue une recherche de billets, à enregistrer cette recherche et l’associer à l’adresse IP du terminal utilisé. Si l’usager n’achète pas immédiatement, et se décide un peu plus tard, l’opérateur ayant gardé en mémoire l’intérêt manifesté par l’usager pour ce trajet, propose alors un prix un peu supérieur, ceci afin de susciter l’achat immédiatement en laissant penser à l’internaute que le nombre de places diminue et que le prix augmente.
[1] Françoise Castex avait saisi la Commission européenne le 29 janvier 2013 par une question avec demande de réponse écrite (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2013-000873+0+DOC+XML+V0//FR&language=fr) et interpellé le Commissaire à la protection des consommateurs lors de sa prise de fonctions le 2 juillet: http://www.francoisecastex.org/2013/07/ip-tracking-francoise-castex-saisit-le-nouveau-commissaire-croate.html
[1] Méthode utilisée par un opérateur et qui consiste, lorsqu’un usager effectue une recherche de billets, à enregistrer cette recherche et l’associer à l’adresse IP du terminal utilisé. Si l’usager n’achète pas immédiatement, et se décide un peu plus tard, l’opérateur ayant gardé en mémoire l’intérêt manifesté par l’usager pour ce trajet, propose alors un prix un peu supérieur, ceci afin de susciter l’achat immédiatement en laissant penser à l’internaute que le nombre de places diminue et que le prix augmente.
[2] Françoise Castex avait saisi la Commission européenne le 29 janvier 2013 par une question avec demande de réponse écrite (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2013-000873+0+DOC+XML+V0//FR&language=fr) et interpellé le Commissaire à la protection des consommateurs lors de sa prise de fonctions le 2 juillet: http://www.francoisecastex.org/2013/07/ip-tracking-francoise-castex-saisit-le-nouveau-commissaire-croate.html
Le Single Sign On : Un seul identifiant, un seul mot de passe, une seule connexion pour un accès à des milliers d’applications – comment ça marche ? Luc Caprini – Directeur Europe du Sud de Ping Identity
Qu’est ce que le Single Sign On ?
Le terme « Single Sign On » ou « SSO » peut en effrayer plus d’un et pourtant son principe est relativement simple. Avant d’expliquer en quoi consiste exactement le Single Sign On et quels en sont les bénéfices, il faut tout d’abord détailler le contexte dans lequel le Single Sign On intervient. Cela permet de comprendre toute son utilité.
Aujourd’hui, nous possédons chacun une multitude d’identifiants et de mots de passe dont on ne se rappelle pas toujours. Que ça soit au bureau, ou à domicile, nous ne pouvons échapper au « devoir d’identification » dès que nous allumons un ordinateur, un smartphone ou une tablette. C’est une contrainte qui ralentit la productivité du collaborateur qui se connecte maintes et maintes fois aux applications de son entreprise ou au cloud et c’est un handicap lorsqu’on ne se souvient plus de ses identifiants pour se connecter sur un site Internet et qu’il est donc impossible d’y accéder.
Principe
C’est là qu’intervient le Single Sign On. En quoi cela consiste exactement ? L’utilisateur dispose simplement d’une interface qui s’ouvre à l’allumage de son terminal et il rentre une seule et unique fois, une seule et unique combinaison « identifiant/mot de passe » qui lui permettra de se connecter automatiquement et de façon sécurisée à toutes les applications de l’entreprise, au cloud et également aux applications Web de type Facebook, Gmail, etc. sans jamais devoir s’identifier une nouvelle fois.
Fonctionnement
Le principe est donc relativement simple. La petite complexité réside dans la gestion de l’identité unique de chaque utilisateur. Cette gestion passe par une solution de fédération des identités. Cela signifie que l’identité et le mot de passe de l’utilisateur sont stockés dans un lieu unique, contrôlé par l’entreprise. Lorsque l’utilisateur accède à l’application, son identité est transmise en toute transparence et en toute sécurité, depuis le Système d’Information (SI) de l’entreprise, au fournisseur de l’application. On appelle cela le SSO fédéré.
Bénéfices
Le SSO fédéré a de multiples avantages pour une entreprise.
Le BYOD
Il permet notamment de favoriser le développement du BYOD. En effet, le SSO fédéré repose sur la base d’un accès sécurisé aux applications de l’entreprise via une identité unique. Cet accès peut donc se faire depuis n’importe quel terminal, qu’il soit fixe ou mobile. Ainsi, collaborateurs, clients et partenaires ont accès aux applications de l’entreprise depuis leurs propres ordinateurs portables, smartphones ou tablettes sans difficulté. L’entreprise ne craindra donc pas pour ses données.
Réaliser des économies
La réinitialisation des mots de passe entraîne pour l’entreprise un coût de traitement et une baisse de la productivité. En effet, il faut téléphoner à la hotline, patienter puis réinitialiser son mot de passe, ce qui est fastidieux et ennuyeux pour le collaborateur. Dans la pratique, le coût moyen des réinitialisations de mots de passe s’élève à un peu plus de 20€ par employé et par opération. Un seul identifiant, un seul mot de passe, ça ne s’oublie pas. Le SSO fédéré est donc un gain réel de temps et d’argent.
Renforcement de la sécurité
Si l’entreprise n’utilise pas le SSO fédéré, les collaborateurs se connectent donc aux applications de façon classique. Plus les utilisateurs doivent mémoriser d’identifiants et de mots de passe, plus ils optent pour des mots de passe faciles à deviner (phénomène dû à une « lassitude » à l’égard des mots de passe). D’autre part, ces mots de passe peuvent être stockés à des endroits identifiables et être facilement dérobés. Le SSO fédéré permet de résoudre ce problème en centralisant la gestion des accès utilisateurs. De cette manière, lorsqu’un utilisateur ne travaille plus dans l’entreprise, son accès à toutes les applications est désactivé.
Stimulation de la productivité
Prenons l’exemple d’un utilisateur qui se connecte trois fois par jour à une application cloud et supposons que chaque connexion lui prenne environ cinq secondes (en supposant que la connexion s’établisse avec succès). Ce délai semble faible mais il peut avoir des conséquences importantes si l’on considère le calcul suivant :
· Trois connexions par jour = 15 secondes par jour, par utilisateur et par application
· Les connexions coûtent à une entreprise de 1 000 utilisateurs 250 minutes par jour et par application (62 500 minutes ou 130 jours ouvrables annuels, en supposant une année de 250 jours de travail par an)
Grâce au SSO fédéré, les utilisateurs peuvent réduire le temps passé à se connecter successivement à plusieurs applications et se consacrer à des activités à plus grande valeur ajoutée.
Il y a des indicateurs tangibles qui peuvent vous aider à identifier une atteinte à la sécurité de votre environnement de travail. Certains sont évidents, d’autres moins. Quels sont les premiers signes qui devraient vous conduire à vous inquiéter ? Voici quelques pistes pour vous aider à détecter une faille à temps. Par Jean-Philippe Sanchez, Consultant chez NetIQ France
1. Un trafic inattendu (ou un changement d’activité) entre systèmes sur le réseau constitue un indicateur communément surveillé par les entreprises parce qu’il montre qu’un système a été compromis et s’avère désormais utilisé pour étendre l’emprise de l’attaquant. Un tel trafic peut être révélateur d’une attaque en cours ou, pire, du déplacement d’informations en vue de leur récupération ultérieure. Les fournisseurs du domaine militaire sont particulièrement concernés car les informations hautement sensibles qu’ils manipulent sont souvent la cible d’attaques de long terme au coeur de leurs réseaux.
> Surveillez d’éventuels changements dans les flux réseau et concentrez-vous sur les systèmes concernés pour chercher à connaître les causes de ces changements.
2. Des changements dans les fichiers et la configuration de systèmes surviennent souvent lors d’une attaque. Le pirate va en effet installer des outils (y compris des logiciels malveillants ciblés) souvent impossibles à détecter avec les antivirus traditionnels. Toutefois, les changements qu’ils apportent aux systèmes infectés peuvent être détectés et sont ainsi utilisés pour identifier les systèmes compromis. Certaines industries telles que celle du commerce de détail utilisent notamment cette méthode pour suivre les attaquants cherchant à voler des informations relatives à des cartes bancaires. De fait, l’attaquant est susceptible d’installer des outils de capture de paquets réseau pour collecter des données relatives à des cartes bancaires alors qu’elles transitent sur le réseau. Les attaquants concentrent leurs efforts sur les systèmes susceptibles d’observer le trafic réseau.
> Bien que les chances de trouver un outil de capture de paquets réseau (parce qu’il sera développé sur mesure et probablement totalement nouveau) soient limitées, les changements de configuration des systèmes compromis peuvent être aisément observés.
3. Des changements d’activité d’utilisateurs à privilèges élevés, comme les administrateurs de systèmes, peuvent indiquer que le compte concerné est utilisé par un tiers pour essayer d’établir une tête de pont sur votre réseau. De fait, les utilisateurs à privilèges élevés sont souvent la cible d’opérations d’hameçonnage, dans le cadre d’une attaque avancée persistante puisqu’ils ont accès à des informations de grande valeur. La surveillance d’éventuels changements – tels que durée d’activité, systèmes connectés, type ou volume d’informations consultées – peut fournir une indication sur une violation de sécurité très tôt dans son déroulement. C’est un important sujet de préoccupation pour la plupart des entreprises, mais ça l’est encore plus dans le secteur de la santé. Dans celui-ci, de nombreuses personnes au sein des organisations sont susceptibles d’accéder à des données protégées dont elles n’ont pas véritablement besoin. Et un tel accès peut être utilisé par un attaquant pour dérober des informations pouvant conduire à une violation de sécurité très grave et très coûteuse.
> Surveillez les habilitations et les accès aux applications métiers, ainsi que la séparation des tâches (SOD). Les risques liés à la séparation des tâches se manifestent suite à une série d’actions réalisées par une même personne et qui entraînent une erreur ou pire, une fraude. Par exemple, un utilisateur ayant accès aux transactions de création/modification des commandes fournisseurs et aux transactions de paiement pourrait créer un fournisseur fictif et initier un paiement…
4. Les schémas de trafic réseau sortant vers de nouveaux hôtes, tout particulièrement mis en perspective avec des informations provenant de services de réputation d’adresses IP, peuvent indiquer qu’un système compromis communique avec un serveur de commande et de contrôle. Toutes les organisations s’inquiétant d’un risque de compromission de leur système d’information devraient surveiller un éventuel trafic réseau sortant inattendu. Souvenez-vous : les chances d’empêcher un attaquant d’entrer sont faibles ; les attaques modernes se caractérisent par un niveau élevé de persistance et par une capacité avérée à passer les défenses.
> Surveillez l’activité au sein du réseau et le trafic quittant votre périmètre. Les systèmes compromis communiquent souvent avec des serveurs de commande et de contrôle et le trafic correspondant peut être observé avant que ne soient causés des dégâts réels. > Cherchez le trafic sortant visant des adresses IP inhabituelles. Les listes Noires / Blanches des adresses IP utilisées sur Internet font aujourd’hui parties des points indispensables à surveiller.
5. Un événement imprévu, tel que l’application impromptue de correctifs sur des systèmes, peut indiquer qu’un attaquant est parvenu à établir une tête de pont sur votre réseau et s’attache à supprimer des vulnérabilités pour éviter que des concurrents ne le suivent. Il peut s’agir par exemple de l’application soudaine de correctifs comblant des vulnérabilités connues, tout particulièrement sur des applications ouvertes au Web. Cela peut paraître à première vue comme une bonne chose, et donc ne pas éveiller les soupçons. Une analyse des systèmes de l’organisation conduisant à découvrir que quelqu’un a comblé des vulnérabilités connues, mais préalablement non corrigées, peut indiquer qu’un attaquant s’est infiltré sur le réseau et referme derrière lui les portes qu’il a utilisées afin d’éviter l’arrivée de concurrents. Après tout, la plupart des attaquants cherchent à gagner de l’argent à partir de vos données ; ils n’ont aucune raison de vouloir partager les profits avec quelqu’un d’autre.
> Il est parfois payant de s’interroger avec suspicion sur un cadeau qui semble trop beau pour être sincère…
Une université Belge fait interdire le port des montres pendant les examens pour faire face aux possibilités de tricherie avec une smart watch. Il n’aura pas fallu bien longtemps aux tricheurs pour trouver un intéret certain aux montres connectées, les fameuses smartwatchs. Samsung (Galaxy Gear), Sony, le Chinois ZTE, et prochainement Apple, proposent ces petits bijoux de technologies. L’université Belge de l’Arteveldehogeschool, située à Gand, vient de faire interdire le port de la montre lors d’un examen. Les « smartwatchs » permettent de se connecter sur Internet, et donc d’apporter des réponses aux tricheurs (qui ont les moyens de se payer ce type de montre intélligente).
Sur la Samsung, pas possible de lire les courriels, sur Sony, oui. La Galaxy Gear permet cependant de filmer son voisin d’examen. En juin dernier, un étudiant vietnamien de la Ho Chi Minh City University a d’ailleurs été coincé en train de tricher avec son chronographe numérique. Data Security Breach a pu se procurer le document internet de l’école, expliquant les montres à surveiller. Bref, d’ici peu, les concours et examens se passeront à poil !
Décidément, la monnaie Bitcoins, monnaie virtuelle qui peut se transformer rapidement en argent sonnant et trébuchant, connait un regain d’intérêt chez les pirates informatiques. La place d’échange Bitcoin danoise BIPS est la dernière victime en date. Une attaque DDoS qui a permis aux attaquants de dérober près de 1 million de dollars. Au moins deux attaques DDoS (les 15 et 17 novembre) ont précédé ce piratage et il était logique de penser que de nouvelles tentatives seraient menées.
La popularité du Bitcoin, monnaie virtuelle dont l’utilisation au niveau mondiale ne cesse de croitre a vu son cours progresser significativement au cours des derniers mois. Le cours du Bitcoin est passé, en octobre de 137 euros à… 647 euros en cette fin du mois de novembre (20 dollars, il y a un – La monnaie a grimpé jusqu’à 1000 dollars, mercredi). Bilan, après le piratage de mining.bitcoin.cz, de Inputs.io, voici donc le DDoS contre un Danois. « Les cyberattaques les plus conséquentes sont capables de mettre hors service les applications critiques d’une entreprise et peuvent avoir des impacts financiers importants, souligne Laurent Pétroque ingénieur chez F5 Networks, Les entreprises qui dépendent de leur présence en ligne pour leur activité se doivent absolument d’investir dans des solutions de sécurité que ce soit pour elles, leur personnel ou les clients et utilisateurs finaux et ce afin de les protéger contre ces vecteurs d’attaque. »
Que ce genre d’attaques DDoS soient l’œuvre de fauteurs de troubles, de rivaux effectuant des tentatives de sabotages ou tout simplement de cybercriminels appâtés par des opportunité de gains faciles, il est plus que flagrant que la défense contre ces dernières ne concerne plus uniquement une faible proportion d’entreprises des secteurs privés et public. Ces attaques sont devenues plus fréquentes, ce sont amplifiées ces derniers mois et nous pouvons nous attendre à en voir beaucoup plus, avec encore plus de puissance, dans les tous les secteurs en 2014. « Les autres places d’échange Bitcoin à travers le monde devraient, si ce n’est pas déjà fait, faire le nécessaire rapidement pour se prémunir d’attaques similaires. » termine l’informaticien.
Data security breach revenait, il y a peu, sur les attaques à l’encontre de Bitcoin et des utilisateurs de cette monnaie virtuelle. Depuis plusieurs mois, les attaques se sont intensifiées : botnet, kit exploit, phishing, DDoS. Certains pirates, comme le montre datasecuritybreach.fr affiche des transactions malveillantes de plusieurs dizaines de milliers de dollars/euros. Au cours des dernières années, la capacité de voler le fichier wallet.dat, le portefeuille Bitcoin, a été ajoutée à plusieurs familles de logiciels malveillants comme Zeus, Zbot, Dorkbot, Khelios. Et ce n’est plus le mot de passe Bitcoin qui semble être un frein aux malveillants professionnels. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fameux fichier portefeuille. Bref, l’hiver s’annonce… chaud, d’autant plus que le Ministère de la Justice américaine et le SEC (le gendarme de la bourse US) ont déclaré au Sénat de l’Oncle Sam que le Bitcoin était un moyen de paiement légitime. A chypre, il est dorénavant possible de payer ses cours en Bitcoin.
Les cyberattaques sont plus sophistiquées que jamais et les techniques de hacking ne cessent d’évoluer, de se renouveler. Aujourd’hui, force est de constater que la menace ne provient plus exclusivement de l’extérieur. Au sein d’une organisation, les utilisateurs sont à la fois victimes et potentiels « cybercriminels » notamment dans le cadre de leur usage des réseaux sociaux.
Les bonnes pratiques de l’usage des réseaux sociaux au bureau
Afin de réduire les risques d’attaques et de renforcer la sécurisation des données, les entreprises doivent former les employés aux bonnes pratiques de l’usage des réseaux sociaux au bureau ; de nombreux utilisateurs ont un comportement à risque par manque de sensibilisation et/ou parce qu’ils ne mesurent pas les dangers qu’ils font prendre aux organisations. Pourtant, les menaces les plus importantes proviennent surtout des sites professionnels tels que LinkedIn ou Viadeo, qui sont des sources intarissables d’informations à très forte valeur ajoutée sur les entreprises pour les hackers.
Ceux-ci ont accès en « libre-service » à un très grand nombre d’informations sur l’activité de l’entreprise qui leur permettent de récupérer des données sensibles. Les réseaux sociaux professionnels sont, en effet, le point d’entrée à des informations sur les employés, leur rôle dans l’entreprise, leurs fonctions quotidiennes, voire les nombreuses informations sur les outils de sécurité utilisés et les problématiques auxquelles ils ont été exposés. Les hackers utilisent actuellement l’ensemble des vecteurs à leur disposition : ils peuvent également pirater des informations professionnelles via un terminal personnel lorsque l’employé utilise ses propres outils (BYOD) ou travaille de chez lui à partir de son ordinateur personnel. Aujourd’hui, les brèches de sécurité sont progressives et permettent aux pirates de s’introduire dans les systèmes informatiques de la manière la plus discrète possible pour collecter le maximum d’informations et accéder petit à petit aux données les plus critiques.
Le Community Manager, danger insoupçonné
Le Community Manager a un rôle clé dans une entreprise puisqu’il gère son image et sa présence sur les réseaux sociaux. Il ne s’agit pas tant de ses privilèges (qui sont finalement peu élevés) que de son impact sur l’image et la communication officielle de l’entreprise sur les médias sociaux. Le détournement de ce type de compte est aujourd’hui une cible privilégiée de groupes cherchant à nuire à l’image d’une société ou à profiter de sa notoriété pour passer des messages non sollicités ou diffuser des informations confidentielles. Par ailleurs, lorsqu’un salarié quitte l’entreprise, il doit rendre ses clés, son badge mais les employeurs ne pensent pas nécessairement à changer ses mots de passe. Or, un Community Manager ou autre employé mécontent qui quitte l’entreprise emportant avec lui identifiants et mots de passe pourrait également lui nuire sans difficultés – tout salarié d’une entreprise est susceptible de conserver ses données de connexion après son départ de la société.
Prenons l’exemple récent de l’affaire PRISM, il ressortirait que l’ancien analyste de la NSA, Edward Snowden, aurait accédé à des informations extrêmement confidentielles grâce aux identifiants de connexion de plusieurs de ses collègues, qu’il aurait convaincu de lui fournir en prétextant un travail qu’il devait faire, en tant qu’administrateur du système informatique. Ce type de comportements peut avoir des conséquences catastrophiques sur l’économie d’une entreprise et engendrer des dommages collatéraux durables (perte de clients, impact sur le cours des actions en bourse pour les sociétés cotées, retrait d’investisseurs/business angels…).
De l’importance d’appliquer et transmettre les bonnes pratiques
Les cyberattaques sont une réalité pour tous et les entreprises comme les employés doivent prendre conscience que chaque individu est une porte d’accès aux données sensibles d’une société. Pour ce faire, les organisations peuvent appliquer plusieurs règles simples et peu coûteuses afin de renforcer la sécurisation des informations :
[dsb] Sensibiliser les utilisateurs au fait que le risque existe et qu’ils doivent adopter un comportement de méfiance vis-à-vis d’informations en provenance de l’extérieur, mais également de l’intérieur – le fait de partager un simple mot de passe avec un collègue, peut aussi être considéré comme un comportement à risque.
[dsb] Identifier la source et le parcours des hackers afin de paralyser l’attaque et le retrait de données sensibles.
[dsb] Mettre en place des solutions de détection pour alerter les personnes responsables de l’entreprise qu’un compte sensible est en cours d’utilisation (peut-être frauduleuse) afin de favoriser une intervention rapide.
[dsb] Identifier et sécuriser les comptes à privilèges au sein des entreprises, premières cibles des attaquants puisque souvent méconnus et négligés.
En conclusion, pour parer au maximum à ces « failles humaines », employés et entreprises doivent redoubler de vigilance pour un usage plus réglementé des réseaux sociaux professionnels et privés. Commentaire d’Olivier Prompt, Regional Sales Engineer, Northern Europe & Africa chez Cyber-Ark Software pour Data Security Breach.
Quoi de plus sympathique qu’un bon gros phishing pour mettre la main sur les données privées et sensibles d’une cible. Les services secrets de sa gracieuse majesté britannique, le British Intelligence Agency GCHQ (Government Communications Headquarters) aurait utilisé de fausses pages du portail professionnel communautaire Linkedin pour mettre la main sur des données ciblées.
Une information que le magazine allemand Der Spiegel a révélé après l’analyse de documents secrets du GCHQ que l’ancien « analyste » Edward Snowden aurait volé. La première attaque connue visait le gouvernement belge et Belgacom, l’opérateur de télécommunication. Une fois le visiteur piégé par la fausse page Linkedin, un logiciel espion s’installait dans l’ordinateur des cibles de la GCHQ. L’objectif aurait été d’accéder au système de routeur GRX exploité par BICS pour intercepter le trafic téléphonique.
C’est quand même dingue de voir comment ces services secrets peuvent être bavards, dans leurs bureaux ; Ca n’étonne personne de savoir qu’un simple analyse « du privé » puisse accèder à autant d’informations variées !
En attendant, pour répondre aux écoutes probables de la NSA du trafic data de Yahoo! et Google, les deux géants de l’Internet viennent d’annoncer qu’ils allaient protéger leurs données internes. La CEO de Yahoo!, Marissa Mayer, a indiqué que les connexions de son groupe seraient désormais chiffrées.
« Fitness, netteté de l’objectif, une considération attentive de con de la question de l’échelle ainsi que la beauté et de l’art et de l’unité coupons » c’est par ces quelques mots que la page 10386, mais aussi des centaines d’autres, de l’espace « Courrier International » du site officiel de La Poste (laposte.fr) s’ouvre aux regards des internautes étonnés par ce charabia bien loin de l’univers de la société Française.
Derrière le lien « Suivre vos envois« , un pirate informatique spécialisé dans la diffusion de publicités illicites vantant, la plupart du temps, les médicaments contrefaits. Dans le cas de Laposte.fr, du viagra, la petite pilule bleue qui fait rougir maman et durcir papa… ou le contraire ! La rédaction de Data Security Breach a recensé plusieurs centaines de fausses pages. Ici, une injection d’un texte n’ayant ni queue, ni tête, sauf quelques lignes exploitant des mots clés que les moteurs de recherche, Google en tête, reprendront sans sourciller. Aucun blocage des moteurs de recherche, d’autant plus que les phrases sont diffusées par un site très sérieux. Google and Co n’y voient que du feu. Les pages ranks des sites pirates, et donc leur visibilité, sera plus forte encore grâce à des alliés ainsi manipulés.
Bref, si les mots « viagra acheter » ; « viagra au meilleur prix » ou encore « achat viagra le moins cher online viagra prescription » apparaissent dans vos sites, inquiétez-vous. Vous servez de rebond à des vendeurs de contrefaçons de médicaments.
Un piratage qui pourrait faire sourire, sauf que l’injection n’installe pas qu’une seule page. Chaque phrase dirige l’internaute vers d’autres pages « La Poste », avec autant de nouvelles phrases et des villes comme Lyon, Montpellier, … Finalité pour le pirate, plus le site comportera ses « liens » malveillants, plus il sera aperçu, ensuite, par les moteurs de recherche, donc les internautes potentiels acheteurs. Il suffit de taper « Viagra » et « Laposte » pour comprendre l’épineux problème. Les liens proposés par les moteurs de recherche dirigent, dans un premier temps vers le site de Laposte.fr, pour être ensuite redirigé dans la foulée, sur les pharmacies illicites.
D’après les informations de zataz.com, l’injection a pu être possible via une vulnérabilité dans un CMS. En attendant, Google a intercepté, au moment de l’écriture de notre article, une dizaine de page… par mots clés. DataSecurityBreach est passé par le protocole d’alerte de son grand frêre pour alerter le CERT La Poste [HaideD 2668]. (Merci à @Stoff33)
Mise à jour : La Poste aura été totalement transparente au sujet de cette attaque informatique. Le CERT La Poste revient sur les actions menées et comment le pirate a pu agir : « Le site piraté est l’ancien site du courrier international (www.laposte.fr/courrierinternational ) que nous allions désactiver la semaine prochaine, explique le CERT La Poste à DataSecurityBreach.fr. Nous avons migré et réorganisé ses contenus sur le portail laposte.fr. Les contenus du courrier international sont aujourd’hui consultables sur http://www.laposte.fr/Entreprise/Courrier-international/. Nous réintégrons sur laposte.fr les contenus qui étaient disponibles sur d’autres sites. Cet exemple s’inscrit dans cette démarche. Les pirates ont apparemment réussi à rentrer par une faille du CMS Typo3 de l’ancien site web. Actuellement, l’ancien site est désactivé (pages incriminées inaccessibles) et tous ses fichiers sont archivés pour analyse dès demain matin.Nous activons notre réseau de correspondants chez Google pour demander un retrait des résultats de recherche (et du cache Google associé) le plus rapidement possible. » Un exemple qui démontre que les anciens CMS, qui ne sont plus exploités, ne doivent pas rester sur un serveur ; et que les mises à jour sont indispensables dans le cas contraire.
Les bases de données, le nouveau jouet pour les pirates informatiques. Après ADOBE [lire], après MacRumors (860.000 comptes, ndr), voici le tour du site Loyalty build a se retrouver confronté à un vol de données numériques. Ce portail est spécialisé dans la fidélisation de clients pour de grandes enseignes comme AXA Irlande.
Loyalty build vient d’annoncer le passage d’un pirate dans ses entrailles numériques. Bilan, 1,2 millions d’inscrits se retrouvent avec leur vie privée dans les mains d’un inconnu. Emails, adresses physiques, numéros de téléphone. Pour 376.000 personnes, des suisses ou belges, les données bancaires sont à rajouter à la liste des données volées. Des informations financières… non chiffrées, ce qui est illégal en Europe.
Loyalbuild propose un système de fidélisation de clienteles. Voilà qui risque de lui faire mal ! Les entreprises affiliées viennent de fermer leur espace « Loyalbuild » afin de protéger leurs propres clients.
Après le piratage de 38 millions de clients de l’éditeur ADOBE, une étude montre que les mots de passe des piratés sont aussi ridicules qu’inutiles. A se demander si le piratage de 38 millions de clients ADOBE n’est pas un moyen de communiquer auprès des clients et entreprises utilisatrices des produits de l’éditeur de Photoshop, Adobe Acrobat, ColdFusion. Des chercheurs, qui ont été mettre la main sur les données diffusées sur un forum russe, ont analysé les mots de passe volés à ADOBE. Des précieux appartenant donc à ses clients.
Jeremi Gosney, chercheur chez Stricture Consulting Group révèle une liste des 100 mots de passe les plus utilisés. Autant dire qu’il y a des claques qui se perdent : 1,9 million de comptes utilisaient comme sésame : 123456 ; plus de 400 000 : 123456789. On vous passe les mots de passe « password« , « 12345678 » ou encore « adobe123« . Bref, avec de telle sécurité pas besoin de voler une base de données ! (Developpez)
L’existence d’une faille de sécurité potentielle dans la monnaie virtuelle Bitcoin inquiète le web… ou pas ! Alors que le Bitcoin rencontre un succès mondial, des chercheurs de l’université Cornell viennent de révéler l’existence d’une faille de sécurité potentielle dans la monnaie virtuelle. Sergey Lozhkin, chercheur senior en sécurité chez Kaspersky Lab, explique : “Comme pour chaque découverte scientifique, les recherches concernant une potentielle vulnérabilité du Bitcoin doivent être revues et analysées par la communauté. Cependant, nous pouvons d’ores et déjà noter que la vulnérabilité dont il est question ici relève davantage de l’économie que de la technologie. Même s’il était possible pour certains groupes de personnes (ou plus probablement une entité gouvernementale disposant d’un pouvoir informatique illimité) de disposer d’un contrôle sur le processus de ‘mining’ de Bitcoin, cela n’entrainerait pas forcément la chute et la disparition de la monnaie virtuelle. » L’agitation autour de ces recherches est donc injustifiée, bien que compréhensible. Actuellement, le Bitcoin est davantage menacé par des risques politiques que technologiques.
Pendant ce temps, en Australie, le responsable du site internet Inputs.io a déposé plainte après avoir été ponctionné d’un million de dollars de Bitcoin. L’atteinte à la sécurité de cette « banque » Bitcoin aurait eu lieu les 23 et 26 Octobre derniers. Les pirates auraient réussi à voler 4.100 bitcoins. Un porte-parole de la police fédérale australienne a déclaré au Daily Mail qu’un vol de bitcoin n’a jamais été étudié par ses services. Les serveurs étaient basés aux USA. Sur son site web, le responsable d’Inputs indique « Je sais que cela ne signifie pas grand-chose, mais je suis désolé, et dire que je suis très triste de ce qui s’est passé est un euphémisme. »
Au sommaire de ce nouvel opus de ZATAZWeb.tv HD de Novembre :
1 – Découverte de Gith, un environnement sécurisé et chiffré que vous allez pouvoir emmener partout avec vous sans peur d’être espionné. Cerise sur le gâteau, Gith est une application Mac, Linux, Windows et Smartphone « Made in France ».
2 – Espionner une carte bancaire qui permet le paiement sans fil, une puce RFID, de plus en plus simple. En avant-première, zatazweb.tv va vous présenter l’alarme anti RFID de poche. De la taille d’un porte-clés, il vous indique quand une lecture NFC est en cours.
3 – Contrer la contrefaçon de diplôme ? Une première européenne pour un lycée lillois qui tag les diplômes de ses bacheliers.
4 – WatchDogs retardé ? ZATAZWeb.tv a été tirer les vers du nez d’Ubi Soft pour en savoir plus sur ce jeu qui nous fait baver.
5 – Un 0Day découvert dans plus d’une dizaine de sites de rectorats français. Explications et démonstration.
6 – Pour sauver les hackers, donnez-leur du travail. Découverte de Yes We Hack, le portail dédié à l’emploi de la sécurité informatique.
7 – Wizzywig : la BD qui retrace les « aventures » de l’ancien hacker, Kévin Mitnick.
8 – HackNowLedge – La grande finale (les 7 et 8 décembre) : 6 pays, 12 équipes, 70 épreuves de hacking éthique.
Nous vous expliquions, en octobre, comment une backdoor, une porte cachée donnant accès à l’administration d’un espace informatique, avait été découvert dans plusieurs routeurs de la marque D-Link. Début novembre, nouvelle marque chinoise dans le collimateur avec Tenda.
TTSO a découvert un accès possible et cela via un seul petit paquet UDP. Après extraction du firmware dédié à ce routeur sans fil (Tenda W302R), il a été découvert une possibilité d’écoute des informations. A la différence de D-Link, l’espionnage ne peut se faire qu’en mode réseau local, pas d’exploit à partir du WAN. Ou est donc le problème vont rapidement chantonner les plus pointilleux. L’exploit passe via le réseau mobile. Ce dernier a le WPS activé par défaut, sans aucune limitation de test de mots de passe. Autant dire que le brute forçage de la bête n’est plus qu’un détail. Cette backdoor existe dabs le Tenda W302R, mais aussi dans le Tenda W330R, ainsi que dans le Medialink MWN-WAPR150N.
Il y a un déjà, une étonnante fuite visant Tenda (un ingénieur ?) expliquait comment la porte cachée « MfgThread » fonctionnait. Bref, si vous n’invitez pas la planète sur votre réseau, que le WPS n’est pas activé et que l’utilisation d’un mot de passe digne de ce nom en WPA vous est familier, peu de risque. Il est possible aussi que cette porte cachée soit un oubli d’un codeur local, payé quelques euros, utilisée lors de la fabrication de l’outil et qui n’a pas été effacée.
Une fuite Internet peut rapidement intervenir si on n’y prend pas garde. Un fichier mal maîtrisé, sauvegardé n’importe comment, et c’est rapidement la catastrophe. Google, ainsi que d’autres moteurs de recherche, ne font pas la différence entre le document Excel en libre accès reprenant les recettes de Tata Jeannette, et le fichier regroupant plusieurs dizaines de Centres Hospitaliers Français, avec logins et mots de passe, permettant d’accéder à un espace informatique sensible, celui des patients reçus par les Urgences. Google les voit, donc pour lui, ils sont « libres » d’être référencés, sauvegardés en cache.
Voilà la mésaventure qui vient de toucher une société Française spécialisée dans la création de solutions informatiques de gestion des dossiers patients dédiée aux urgences. Un lecteur, Kyle, nous a alerté de cette fuite complétement folle. Lors d’une cherche d’informations qu’elle ne fût pas son étonnement de se retrouver nez-à-nez face à un fichier Excel intitulé InfosEtContacts.xls.
Google avait sauvegardé les données.
Chaque CH avait son dossier.
Plusieurs moteurs de recherche avaient accès aux données.
Si les premières lignes ne m’ont pas paru des plus perturbantes, les suivantes auraient eu de quoi faire tomber en syncope le premier SAMU/SMUR qui passait par là. Dans ce fichier, une liste de Centres Hospitaliers (Régionaux/Universitaires/…) : Saône, Brive, Besançon, Belfort, Beauvais, Amiens, R/Yon, La Rochelle, Gueret, Gentilly, St Ame, Blanc Mesnil, Forbach, Epinal, Dole, Senlis, Rennes, Provins, Guadeloupe, Neuilly, Nancy, Lille, Montpellier, Metz ou encore Lunéville.
Ce fichier relatait, avant d’être effacé du web (et de la cache Google, Ndr), les accès à distance (avec login et mot de passe en clairs) ; la prise de contrôle des serveurs (ip, vnc, accès, …), ouverture de session (avec ip et identifiants de connexion). Dans certains cas, l’accès à des bases de données avec ip, login et mot de passe. Bref, des centaines d’informations qui auraient pu faire de gros dégâts dans les mains d’internautes malveillants. Heureusement, du moins nous l’espérons, aucun pirate n’est passé par là.
Dès la découverte de la « chose », nous avons alerté le CERT A, l’ANSSI et la CNIL via le protocole d’alerte de ZATAZ.COM. Comme à son habitude, le Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques a répondu à notre alerte au quart de tour. Nous avons attendu que la fuite soit colmatée afin de vous relater ce gros, très gros problème.
Comment une telle fuite peut-elle être possible ?
Un dossier, sur le site internet officiel de cette entreprise, non protégé par un login et mot de passe. Un simple htaccess aurait suffi à réclamer les précieux identifiants de connexion. Un contrôle d’accès très simple à mettre en place pourtant. Cela aurait empêché Google, et la planète web entière, d’accéder aux informations.
Autre possibilité de sécurisation, qui nous semble la plus efficace chez DataSecuritybreach.fr : ne pas sauvegarder ce genre de données sur un espace connecté à Internet, et encore moins quand ce dernier est … le site web lui-même.C’est un peu comme si la Banque de France déposait des lingots d’or sur une table, dans la rue, à l’entrée de son bâtiment. Pas évident que les petits blocs jaunes restent sur place bien longtemps.
Pour finir, il est fortement conseillé, c’est la CNIL qui l’écrit, de chiffrer ce genre de contenu et de le sauvegarder dans un espace non disponible/accessible d’un simple clic de souris.
Christophe Jochum a 24 ans. Cet informaticien Suisse vient de terminer une application web qui lui aura pris 5 mois de son temps. Baptisé Odin Secure Networking, l’outil a pour mission de protéger les internautes d’une cyber surveillance. « En vue des soucis actuels concernant l’écoute d’internet publique,indique à DataSecurityBreach.fr Christophe Jochum, j’ai développé une plateforme de discussion privée, cryptée, sans logs et ne retenant aucune informations sur les utilisateurs ou leurs messages« .
Voilà une idée intéressante, surtout qu’il devient de plus en plus difficile de garder une information confidentielle suite au politiques de confidentialité des entreprises telles que Google, Facebook, Microsoft etc… Pour rester dans la confidentialité et ne pas laisser de traces des échanges sur internet, il faut une bonne dose de connaissances informatiques (réseau Freenet, Tor, I2P), acquerir un service VPN (A noter l’excellent Vypr VPN). Autant dire que cela n’est pas obligatoirement simple.
Odin offre donc la possibilité de sécuriser un échange d’informations via un tchat. Odin permet à n’importe quel néophyte en informatique de dialoguer uniquement avec son interlocuteur, sans craindre la lecture d’une tierce personne ni une retenue d’informations. Grâce à plusieurs sécurités (de multiples encryptions à différentes étapes de la transmission du message et la suppression quasi instantanée des transactions encryptées), Odin s’annonce comme le seul service à ce jour permettant un total anonymat et une confidentialité absolue sur le web, et ce, tout en se situant sur le clear web. Odin est un projet en pleine évolution, plusieurs mises à jours sont en attente de publication.
La semaine dernière aux Etats-Unis, des chercheurs ont identifié 25 vulnérabilités zero-day (des exploits qui utilisent une faille jusqu’ici méconnue) dans des logiciels de contrôle industriel d’une seule entreprise, et plus précisément au sein de ses systèmes de gestion SCADA. Bien qu’aucune faille détectée n’ait pu permettre une prise de contrôle totale des serveurs, les chercheurs ont pu ainsi prouver que cette possibilité existait bel et bien, et que des pirates pourraient utiliser ce biais pour prendre contrôle de l’ensemble du système.
En France, Patrick Pailloux, Directeur Général de l’ANSSI, s’est exprimé lors des dernières Assises de la Sécurité sur le besoin urgent pour les entreprises et les organismes gouvernementaux de s’assurer un haut niveau de sécurité inhérent aux systèmes industriels critiques. Le gouvernement vient appuyer le positionnement de l’ANSSI face à cette vulnérabilité des systèmes de contrôle-commande industriels via un projet de loi prévoyant que l’Etat puisse règlementer la protection des systèmes d’information critiques des Opérateurs d’importance vitale (OIV), c’est-à-dire les hôpitaux, les banques ou encore les acteurs dans le secteur de l’énergie (nucléaire, eau, électricité, etc.), des télécoms et des transports.
Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, commente à dataSecurityBreach.fr : « Les cyber-attaques sur les systèmes de gestion SCADA sont rares si nous les comparons aux nombreux incidents touchant des applications Internet ou encore les réseaux informatiques d’entreprise, mais les dommages causés sont bien plus graves. Il suffit que les systèmes SCADA en charge de la télégestion de l’infrastructure critique nationale soient vieillissants ou bien peu protégés pour que les hackers puissent en prendre le contrôle via un simple virus informatique. Dès lors, ils peuvent altérer les opérations au sein des usines de production d’eau, d’électricité ou des réseaux d’énergie. L’ampleur des dégâts liés aux cyber-attaques peut être colossale : elles peuvent non seulement entrainer la perte des données, lourdes de conséquences sur les entreprises et leurs clients, mais aussi engendrer des dommages sur le monde physique, avec un réel impact sur la population. »
Les systèmes SCADA sont beaucoup plus vulnérables face aux cyber-attaques dans la mesure où ils ont été développés à l’époque où Internet n’était pas encore un outil indispensable et omniprésent au quotidien, tant sur le plan professionnel que personnel. La conception du système de contrôle de sécurité s’est donc limitée aux accès physiques, ne prenant ainsi pas en compte le risque de cybermenaces. Les plus virulentes cyber-attaques expérimentées au cours de ces dernières années, telles que les virus Stuxnet ou encore Flame, ont été initiée par le biais de systèmes SCADA, il est donc évident que de telles attaques peuvent encore frapper aujourd’hui, notamment en raison d’un niveau de sécurité insuffisant. Avec la découverte régulière de nouvelles vulnérabilités, les organisations et les gouvernements doivent prendre conscience qu’il est important et désormais urgent de renforcer la sécurité inhérente aux systèmes industriels critiques.
« Les outils traditionnels de cyber sécurité tels que les antivirus ont prouvé leurs limites à maintes reprises. Le virus Flame par exemple, a réussi à contourner le système de détection de 43 antivirus et il a fallu plus de deux ans avant qu’il ne soit identifié. Les entreprises et organismes gouvernementaux doivent donc mettre en place des solutions d’investigation, de détection et de prise en charge de toutes les menaces et vulnérabilités évoluées, avec davantage de précision et des mesures en temps réel. Pour y parvenir, une analyse permanente et complète de tous les logs générés par les systèmes informatiques est indispensable. Avec la forte augmentation de l’informatisation, les infrastructures critiques nationales deviennent de plus en plus vulnérables, il est devenu indispensable de s’équiper avec des niveaux de protection avancés, il en va de l’intérêt général. »
Pour contrer l’espionnage mis en place par la NSA et son outil Prism, un chercheur Français lance Peersm : des échanges de fichiers de manière anonyme. Aymeric Vitte est un chercheur en informatique, ancien élève ingénieur à Telecom Paris, ce natif d’Aix en Provence, a travaillé pour Alcatel. Spécialiste du GSM, il a géré un grand nombre de projets en Amérique du Sud. Il a mis en place, par exemple, le premier réseau GSM au Brésil et travaillé sur des projets « Satellite » comme GlobalStar. Aujourd’hui il développe des solutions informatiques pour les entreprises et les professions libérales.
En parallèle, l’homme contribue régulièrement à W3C/WHATWG/TC39 et il est membre du groupe de travail WebCrypto W3C. Parmi ses projets personnels, Peersm, une idée dingue mais terriblement prometteuse : permettre l’échange de fichier sans aucune possibilité de traçage. Un anti Prism qui devrait voir arriver sa première application dans les semaines à venir.
Les points communs de tous ces projets est que la technologie est à l’intérieur du navigateur. Vous n’avez pas besoin d’installer quoi que ce soit. Tout est basé sur une mise en œuvre javascript du protocole Tor. Bref, des échanges de fichiers de manière anonyme et bases de données distribuées dans les navigateurs, sans rien installer puisque l’application anonymisante est une appli js. Interview !
DataSecurityBreach.fr – Parlez nous de votre projet. Pourquoi Peersm ?
Aymeric Vitte – Peersm versus Prism en inversant le r, d’où le nom, difficile de trouver un nom de domaine avec ‘peer’ ou ‘peers’ dedans, j’ai finalement trouvé Peersm, le contraire de Prism.
DataSecurityBreach.fr – Pourquoi cette idée ?
Aymeric Vitte – Pour échanger des fichiers sans passer par des tiers et en contournant d’éventuelles oreilles indiscrètes, avec tout dans le navigateur, pour ne pas avoir à installer quoique ce soit et éviter des applis pseudo anonymisantes ou sécurisantes genre VPN ou autres, j’explique sur le site pourquoi on peut avoir confiance. Il y a beaucoup de cas d’utilisation, bons ou mauvais, le jugement étant laissé à l’appréciation de chacun (sachant qu’on ne tient pas du tout aux utilisations criminelles, pédo et autres, d’où le fait que ce soit modestement payant si ça peut aider à éviter ces dérives), cas d’utilisation vécu: au cours d’une réunion de famille où j’ai passé deux heures à expliquer à tout le monde les fondements d’iAnonym (souviens toi : tracking, collusion, vie privée, anonymité, etc ), le soir même un proche met toutes les photos sur un site pour qu’on les télécharge… no comment… c’est exactement ce qu’il faut éviter de faire et que j’ai passé l’après midi à expliquer
Aymeric Vitte – L’innovation encore une fois est de tout avoir dans les navigateurs et de partager les données entre peers dans les navigateurs. 1,5 Milliards de navigateurs dans le monde, imaginez ce que l’on peut faire…. L’idée n’est pas notre exclusivité pour la base de données distribuée, je donne des exemples d’autres projets sur le site. L’OP js Tor dans le navigateur qui se connecte à Tor via les WebSockets est lui notre exclusivité.
DataSecurityBreach.fr – Qu’est ce qui garantie la sécurité des échanges ?
Aymeric Vitte – Personne ne sait qui parle à qui et ce qui est échangé, on peut aussi crypter ses données si vraiment on n’a pas confiance en ce que fait l’ORDB. Ca ressemble un peu à MEGA sur ces aspects.
DataSecurityBreach.fr – Evolution du projet ?
Aymeric Vitte – Une version bétâ bientôt avec de vrais utilisateurs/testeurs, on verra ensuite selon les avis/résultats (crowdfunding again ?). Pour l’instant je ne sais pas dire précisément combien un ORDB peut gérer d’utilisateurs.
DataSecurityBreach.fr – En cette période ou l’on voit la NSA partout, la sécurisation des échanges, une vraie problématique ?
Aymeric Vitte – Oui d’autant plus que l’on ne peut pas faire confiance à https/SSL/TLS.
Aymeric Vitte – Parce que c’est ce dont tout le monde parle pour des échanges peer to peer directement dans les navigateurs et il y a plusieurs projets concernant les échanges de fichiers avec WebRTC, sur le site je tente de définir une architecture WebRTC qui pourrait fonctionner avec les concepts de Peersm, le schéma montre que ce n’est pas possible, WebRTC peut être sécurisé si les peers se connaissent et peuvent partager ou générer un secret, sachant que l’on sait toujours quand même qu’un peer se connecte (serveurs ICE STUN/TURN) ce qui est gênant. Maintenant l’avantage est une utilisation réellement peer to peer sans un serveur qui relaie les messages, comme les torrents, mais on en connait le prix : impossible de protéger sa vie privée et son anonymité.
Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.
Il est mignon Monsieur Pignon…
Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.
Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.
En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels
Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.
Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.
Ordinateurs des Hôtels
Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.
Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.
Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels
La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.
En septembre, 89 % du flux email sont des spams et 9 % des emails sont des publicités. Ce mois-ci, près de 90% d’e-mails sont des e-mails non prioritaires et non souhaités. Sans la partie analyse heuristique du filtre de Vade Retro, seuls 56 % des mails auraient été triés au lieu de 89 %. L’intérêt du filtrage protocolaire est d’optimiser les performances des relais filtrant en rejetant les connexions des spammeurs, sans analyser le contenu du message. En septembre, le nombre total de spams filtrés2 (filtrage protocolaire et heuristique) a été multiplié par 1,84 par rapport au mois d’août 2013. Le volume d’attaque a donc presque été doublé en seulement un mois.
Cela s’explique par une très forte reprise de l’activité des botnets (voir explication ci-dessous) avec l’activation de nouveaux réseaux jusqu’ici inconnus. Et cela s’explique également par l’actualité de la rentrée : reprise de l’activité professionnelle suite aux congés d’été, rentrée scolaire, paiement des impôts, versements de la CAF… autant de sources d’arnaques potentielles pour les spammeurs / phisheurs. Pour rappel, un botnet représente un réseau de PC zombies dont le contrôle a été pris par des cybercriminels à l’insu de l’utilisateur. Ce réseau est ensuite utilisé pour des campagnes de spam. Le plus souvent, l’utilisateur ne se rend même pas compte que son ordinateur est infecté. Il est devient spammeur sans le savoir.
A propos de Vade Retro Technology
Avec la protection de plusieurs centaines de millions de boîtes aux lettres dans le monde, Vade Retro Technology est le spécialiste de la protection de messagerie contre tous les types de courriers indésirables et de la classification des emails non prioritaires. Outre la protection des plus grands fournisseurs d’accès Internet français et internationaux, l’éditeur protège également des milliers de PME et grandes entreprises ainsi que plusieurs millions d’indépendants et de particuliers.
La NSA a toujours été à l’écoute de ses alliés et des pays non alliés dans le cadre de la lutte anti-terroriste. Rappelons que lors de la découverte du programme Echelon en 2000, la classe politique française et européenne avait été choquée par cette découverte. Voyons messieurs les politiciens ! Echelon surveillait tout et tout le monde bien avant les années 2000, entre autres : les communications téléphoniques, les fax et les communications électroniques, celles qui transitent par ondes radio, voies hertziennes, satellites, câbles, fibres optiques, sans oublier, bien sûr, les réseaux informatiques.
Et les services français ne sont pas en reste. A la même époque, ils avaient développé leur propre système d’écoute, basé également sur Echelon, mais ne disposaient pas des mêmes moyens pour avoir une panoplie d’outils aussi large. Les entreprises comme Airbus, Thomson-CSF, Siemens, Wanadoo, Alcatel-Lucent et autres, ont toujours subi ce genre d’espionnage industriel. A l’heure où la France lance rapports sur rapports, livres blancs sur la défense et la sécurité nationale (2008 et 2013), tous abordant les questions concernant notre capacité de cyber défense, notre allié a affiné son programme d’écoute Prism et s’adapte aux nouveaux outils technologiques disponibles dans le monde. Il a ainsi créé un ensemble d’outils lui permettant d’effectuer des recherches de masse avec son moteur XKeyscore, alimenté par les différents programmes développés par la NSA (FairView, Evilolive, Prism), associés à sa capacité de surveillance des câbles sous-marins grâce à Upstream.
La NSA possède cette capacité phénoménale d’enregistrer l’ensemble du trafic mondial sur ses propres data center, lui donnant la possibilité de stocker ainsi cinq zettaoctets de données dans un seul de ses centres basé dans l’Utah. Pour comparaison, cela qui équivaut à la capacité de stockage de 250 milliards de DVD. Aujourd’hui, la question n’est plus de savoir ce qui est écouté, mais de mettre en évidence l’ensemble des techniques utilisées dans le cadre de l’espionnage ; les implications réelles des constructeurs et éditeurs de solution IT, et des opérateurs de télécommunications ; l’implication des sociétés de services de type Skype, Google, Facebook, Microsoft, etc. Avec l’avènement du Cloud Computing et du Big Data, des questions doivent être posées sérieusement.
Après les révélations d’espionnage, le Parlement demande la suspension temporaire de l’accord SWIFT. Après les tergiversations du Parti Populaire Européen qui a demandé un report du vote sans l’obtenir, les eurodéputés ont finalement adopté à une courte majorité (280 pour, 254 contre) une résolution demandant la suspension de l’accord SWIFT avec les États-Unis. En vertu de l’accord UE/États-Unis sur le Programme américain de pistage des financements terroristes (TFTP), approuvé en juillet 2010 par le Parlement européen, les autorités américaines peuvent avoir accès aux données bancaires européennes stockées sur le réseau de la société SWIFT (Society for Worldwide Interbank Financial Telecommunication), aux seules fins de lutte contre le terrorisme et dans le respect de certaines exigences de protection de la vie privée des citoyens.
Les médias brésiliens ont révélé le 8 septembre dernier que la NSA est capable d’entrer dans le système SWIFT depuis 2006, malgré les cryptages et les pare-feu. À l’occasion du débat du 9 octobre dernier en plénière, la Commission avait indiqué ne pas souhaiter, à ce stade, demander la suspension de l’accord SWIFT, car elle estimait qu’elle ne disposait d’aucune preuve selon laquelle les États-Unis auraient frauduleusement accédé à ce système.
Pour Françoise Castex, c’est inacceptable: « Il existe, selon nous, des indications claires selon lesquelles la NSA pourrait récupérer des informations relatives à nos entreprises et à nos concitoyens sur le serveur SWIFT et les détourner. Nous appelons les 28 à suspendre cet accord, le temps de faire toute la lumière sur cette affaire. Nous demandons, en outre, à EUROPOL d’ouvrir une enquête sur l’accès non autorisé aux données financières de paiement. »
Pour l’eurodéputée socialiste: « A partir du moment où votre partenaire vous espionne, la confiance est rompue. »Avant d’ajouter: « Depuis avril, je demande la suspension des accords PNR et SWIFT avec les USA. L’Europe devrait aller plus loin en gelant les négociations sur l’accord de libre-échange avec les États-Unis! ». De conclure: « Le respect des droits fondamentaux des citoyens européens doit être une condition préalable à tout accord! ». (Par Jean-François Beuze, Président de Sifaris et Madame La Député Françoise Castex pour DataSecurityBreach.fr)
Selon le « RSA Fraud Report », la France n’est plus dans le trio de tête des pays les plus attaqués par les campagnes de phishing. Dans l’édition de septembre de son Fraud Report, RSA, la division sécurité d’EMC, constate que les attaques utilisant des techniques de phishing ont diminué de 25% au mois d’août 2013 comparé au mois de juillet, passant de 45232 à 33861. De plus, la France – présente en quatrième position du classement des pays les plus attaqués en juillet – n’est plus dans la compétition au mois d’août, cédant sa place à l’Inde qui a enregistré une augmentation des attaques de 2 points. Le phishing ou hameçonnage est l’une des techniques les plus utilisées par les fraudeurs afin d’obtenir des renseignements personnels et usurper ainsi l’identité de l’internaute. Particulièrement adaptés pour obtenir des renseignements bancaires, ces trojans sont déployés pour présenter aux utilisateurs un site web généré par un programme malveillant qui les incite à rentrer leurs informations personnelles.
Accéder, sans mot de passe, dans un routeur D Link, facile grâce à une backdoor. Craig, du blog Dev TTys 0, vient d’analyser le routeur DIR-100 REVA de D-Link. Son petit jeu, un reverse engineering, lui a donné l’occasion de découvrir qu’en quelques lignes de code, il était possible d’accéder aux commandes de la machine, en outre passant login et mot de passe.
Bilan, il semble qu’une porte cachée dans le firware permet à celui qui connait le truc de s’inviter dans le – précieux -. « On peut raisonnablement conclure que de nombreux dispositifs D-Link sont susceptibles d’être affectés par cette backdoor » souligne le chercheur. En bref, si votre navigateur est configuré avec comme User-Agent « xmlset_roodkcableoj28840ybtide », vous obtiendrez automatiquement un accès administrateur sur le panneau de contrôle web du routeur, sans la moindre demande d’autorisation.
Les machines concernées par cet étrange firware sont : DIR-100 ; DI-524 ; DI-524UP ; DI-604S ; DI-604UP ; DI-604 + et TM-G5240. « En outre, plusieurs routeurs Planex semblent également utiliser le même firware » termine Craig. Il s’agit de BRL-04UR et BRL-04CW. Une raison de plus pour commencer à adopter openwrt/ddwrt/tomato etc. D-Link n’a pas encore donnée ses explications sur ce sujet.
Selon une enquête réalisée à l’échelle européenne par Quocirca pour CA Technologies, les problématiques liées à la sécurité des données (propriétés intellectuelles, données personnelles et localisation de stockage) restent la principale barrière qui freine l’adoption du Cloud par les entreprises
1. L’enquête « L’Adoption des Services basés sur le Cloud » révèle qu’une majorité d’entreprises européennes (52%) restent prudentes vis-à-vis du Cloud. Parallèlement, une proportion équivalente (environ 25%) l’adoptent et le rejettent.
2. Le premier vecteur d’adoption du Cloud reste les économies de coût. Mais désormais, les entreprises cherchent également à améliorer leur efficacité en mettant l’informatique réellement au service des métiers. Le Cloud devient ainsi le levier d’accélération des stratégies de transformation que les entreprises appellent de leurs vœux depuis 30 ans.
3. La principale barrière freinant l’adoption du Cloud est la sécurité des données. 78% des entreprises réticentes pensent qu’elles ne disposent pas de ressources suffisantes et 65% considèrent qu’elles manquent des compétences nécessaires à la sécurisation de leurs services de Cloud. Mais les entreprises ayant déjà mis en œuvre des programmes de transformation numérique reposant sur le Cloud ont pris en compte dès le départ les problématiques de sécurité.
4. Pour consulter le rapport complet, « The Adoption of Cloud-Based Services », cliquez ici.
L’adoption des services de Cloud par les entreprises ne cesse d’augmenter. Une récente enquête réalisée par Quocirca pour le compte de CA Technologies révèle que 57% des DSI de grandes entreprises européennes utilisent des services de Cloud dès qu’ils le peuvent ou en complément à leurs propres ressources internes. Selon eux, les services de Cloud accroissent la compétitivité de l’entreprise (la productivité, l’efficacité et la collaboration), le tout pour un coût total de possession inférieur. Près d’une entreprise européenne sur deux est encore réticente à adopter le Cloud, du fait de préoccupations liées à la sécurité de leurs données 43% des entreprises européennes restent encore réticentes au Cloud. Parmi elles, on en compte 23% qui évitent de recourir au Cloud. 17% évaluent leur intérêt au cas par cas et 3% bloquent systématiquement l’accès au Cloud.
La principale barrière freinant l’adoption du Cloud est la sécurité. Plus de 54% de ces entreprises se déclarent préoccupées par les problématiques de sécurité liées à la propriété intellectuelle (vol de brevets, etc.), 43% par les problématiques de respect de la vie privée (exploitation de données personnelles, etc.) et 39% par le stockage de données confidentielles dans le Cloud (l’actualité relate quotidiennement des cas retentissants de vols et de fuites de données critiques).
Plus des trois quarts (78%) de ces entreprises françaises réticentes au Cloud déclarent manquer de ressources pour sécuriser ces services de Cloud et 65% de compétences adéquates. Ces chiffres laissent entendre que si on les aidait à mettre en œuvre et à sécuriser leurs services de Cloud, la plupart pourrait surmonter la principale barrière qui freine leur adoption.
Parmi les autres barrières mentionnées par les dirigeants informatiques interrogés, les législations sont perçues comme d’importants freins, principalement dans le secteur public, l’industrie et les télécommunications. Ceci soulève deux questions fondamentales :
– comment innover dans un contexte de régulation intense ?
– la loi est-elle un obstacle à l’innovation ?
La gestion des identités et des accès pour sécuriser les services de Cloud Les entreprises qui ont adopté le Cloud ont pensé à la sécurité dès le début de leur projet : 93% des entreprises françaises favorables au Cloud disposent d’un système de gestion des identités et des accès, contre seulement 48% des entreprises réticentes. 68% d’entre elles exploitent un modèle SaaS, contre seulement 30% des entreprises réticentes.
« Notre enquête prouve que la gestion des identités et des accès est primordiale pour les entreprises adoptant le Cloud. Les entreprises françaises encore réticentes peuvent surmonter leurs problématiques de sécurité et simplifier leurs processus grâce à des offres SaaS. D’ailleurs l’étude montre que 82% des entreprises favorables au Cloud considèrent que de nombreux services de sécurité – Single Sign On (SSO), gouvernance fédérée des identités et des accès – sont plus efficaces lorsqu’ils sont délivrés via des modèles SaaS ou hybrides », déclare Gaël Kergot, Directeur des Solutions de Sécurité chez CA Technologies.
Outre les gains d’efficacité, de productivité et de satisfaction des clients, les solutions de gestion des identités et des accès en mode SaaS répondent surtout au besoin de réduction de la complexité informatique exprimé par les entreprises européennes dans cette enquête. Qu’elles soient enthousiastes ou réticentes au Cloud, entre 30 et 40% d’entre elles considèrent que la complexité est encore un frein majeur au déploiement de services de Cloud. Ceci est notamment dû au fait qu’elles considèrent manquer des compétences nécessaires pour réussir leurs déploiements.
La sécurité informatique évolue. Les entreprises, petites ou grandes, ont un véritable besoin d’hommes et de femmescompétents dans le domaine de la sécurité informatique. Une étude sortie lors des Assises de la Sécurité 2013 indiquait même que 9 entreprises sur 10 ont connu un problème de sécurité l’année dernière [1]. 91% des entreprises ont vécu au moins un incident de sécurité externe ; 85% un incident interne. Autant dire que la recherche de compétences n’est pas un vain mot. De ce constat est né YesWeHack (http://yeswehack.com), un portail d’offres d’emplois et de services dédiées à la sécurité informatique. Un espace unique en partenariat avec RemixJobs [2].
Sécurité, confidentialité, efficacité, convivialité En 2013, l’offre a dépassé la demande dans le domaine de la sécurité informatique et les bonnes ressources se font rares, car être un hacker, c’est avant tout être un passionné qui souhaite exercer son art pour le compte d’une entreprise au même titre qu’un peintre souhaite exposer des œuvres dans une galerie. Recruter, chercher un emploi, proposer ou trouver un stage dans la sécurité informatique est un parcours du combattant. YesWeHack (http://yeswehack.com) veut faciliter les démarches. En effet, aucun outil ne centralise l’ensemble de ces demandes. Les services existant tentent de s’en approcher mais sont trop généralistes, peu ergonomiques et trop onéreux pour espérer faire gagner du temps lors d’un recrutement ou de la recherche d’un emploi.
L’idée de YesWeHack (http://yeswehack.com), mettre en relation les recruteurs, les chefs d’entreprises et les spécialistes de la sécurité informatique, le tout dans un espace dédié, efficace, sécurisé et convivial. Vous cherchez, vous trouverez avec YesWeHack (http://yeswehack.com).
Dans quelques semaines, un annonceur pourra prendre une option baptisé « challenge ». Elle obligera le candidat à valider une épreuve de sécurité informatique afin de postuler à l’offre. Une recherche qui sera définie dans un cahier des charges décidé par le recruteur. Les challenges seront développés par Hackerzvoice [3]. Une équipe forte de son expérience sur la Nuit du Hack [4]. A noter que pour plus de sécurité, un identifiant PGP [5] du recruteur et/ou d’un candidat sera proposé dans les offres/recherches afin d’identifier parfaitement les parties.
Simplicité, efficacité autour d’un domaine, d’une passion : la sécurité informatique. YesWeHack (http://yeswehack.com) apporte aux recruteurs et aux candidats l’outil ultime qui facilitera le quotidien en termes d’emploi dans le domaine de la sécurité informatique.
Le 25 septembre dernier, la Présidente de la CNIL a lancé une mise en demeure à l’encontre du Centre hospitalier de Saint-Malo. Tout a débuté en juin 2013, la Commission Informatique et liberté contrôlait le C.H. et découvrait qu’un prestataire avait pu accéder, avec le concours de l’établissement, aux dossiers médicaux de plusieurs centaines de patients. Un acte interdit par le code de la santé publique et la loi Informatique et Libertés. Les établissements de santé publics et privés doivent procéder à l’analyse de leur activité.
Les actes pratiqués à l’occasion de la prise en charge des malades sont ainsi « codés » selon une nomenclature particulière, de sorte qu’à chaque acte possède son code de remboursement par l’assurance maladie. « Afin d’analyser leur activité et de détecter d’éventuelles anomalies de codage, certains établissements ont recours à l’expertise de sociétés extérieures pour procéder à la vérification et à la correction de ces opérations« . Une aide qui permet des remboursements rapides.
Sauf que les entreprises de santé ont oublié qu’en application des dispositions prévues au chapitre X de la loi Informatique et Libertés, les traitements de données à caractère personnel à des fins d’évaluation ou d’analyse des activités de soins et de prévention sont soumis à l’autorisation de la CNIL. De tels actes doivent s’opérer dans le respect du secret médical et des droits des malades. La CNIL veille à ce que ces traitements ne portent pas sur les données nominatives des malades.
Le contrôle au Centre hospitalier de Saint-Malo a permis à la CNIL de relever que le prestataire mandaté par l’hôpital a pu accéder, avec le concours de l’établissement, aux dossiers médicaux de 950 patients (informatisés ou en version papier). La mise en demeure du Centre hospitalier de Saint-Malo indique que l’hôpital doit veiller à ce que les dossiers des malades ne puissent pas être accessibles par des tiers, notamment par les prestataires choisis pour l’optimisation du codage.
La CNIL a décidé de rendre publique cette mise en demeure en raison de la sensibilité des données (à savoir des données de santé), de la gravité des manquements constatés, du nombre de personnes concernées et de la nécessité de prévenir le renouvellement de tels manquements. Pas de sanction prise, aucune suite ne sera donnée à cette procédure si le Centre hospitalier de Saint-Malo se conforme à la loi dans le délai imparti de 10 jours.
D’habitude, dans les concours de hacking éthique, les concurrents doivent trouver des failles, des passages numériques, hardware et/ou résoudre des problèmes informatiques afin d’atteindre une autre épreuve et ainsi engranger des points. Chez BT, c’est le contraire via son « Challenge ». Le jeudi 7 novembre, à partir de 18 heures, sera organisé le BT Cyber Défense Challenge. L’idée, vous aurez 3 heures pour défendre votre système et contrer les attaques des experts BT. Ce sympathique challenge consiste en la défense d’une application à l’aide d’équipements de sécurité d’infrastructure (Check Point et SourceFire). L’idée, analyser dans un premier temps les logs pour identifier les vulnérabilités exploitées par les informaticiens de chez BT. Il faudra ensuite construire une défense adaptée à l’aide des technologies proposées par BT. A gagner, un drône Barrot 2.0. [Inscription]
Peu préoccupés par la sécurité, les hauts dirigeants n’hésitent pas à contourner les règles d’utilisation des applications sur le Cloud. Si la sécurité des applications déployées dans le Cloud est une préoccupation importante pour les utilisateurs professionnels, la plupart d’entre eux n’hésitent pas à recourir au Cloud pour y stocker leurs données personnelles et professionnelles…sans se soucier des risques encourus. C’est l’une des principales conclusions de la récente étude publiée par SafeNet Labs, créateur de la solution SafeMonk, nouveau service de chiffrement des espaces de stockage dans le Cloud « Dropbox » à destination des entreprises.
Lorsque SafeNet Labs – incubateur technologique lancé par SafeNet, Inc. (leader mondial de la protection de données) en faveur du développement de nouvelles technologies – a demandé à des centaines d’utilisateurs professionnels du monde entier s’ils étaient préoccupés par la sécurité des applications ou des données stockées dans le Cloud, 52 % ont répondu « Oui ». Cependant, 64 % des personnes interrogées ont déclaré utiliser fréquemment des applications basées sur le Cloud pour stocker leurs données personnelles et professionnelles. À la question « Est-ce que la sécurité de vos données et informations vous empêche de dormir ?», plus de la moitié ont répondu « Non, je dors comme un bébé. »
Un examen approfondi des résultats de cette étude montre que plus un poste est élevé dans la hiérarchie d’une entreprise, plus son titulaire est susceptible de recourir à des services de partage de fichiers comme Dropbox – et ce, en dépit des règles en vigueur dans l’entreprise. Ainsi, 33 % des dirigeants de niveau corporate (CEO, CFO, COO.) répondent par l’affirmative contre seulement 18 % pour les autres employés. La majorité des personnes interrogées (59 %) a déclaré qu’elle « ne serait pas surprise » d’apprendre que leur patron ou des dirigeants de leur entreprise utilisent des applications de partage de fichiers telles que Dropbox, malgré les règles s’opposant à cette pratique. En général, les dirigeants se sentent moins préoccupés par la sécurité dans le Cloud que leurs collaborateurs (respectivement 39 % et 54 % ont répondu « Oui »).
« Cette étude suggère que l’utilisation d’applications et le stockage de documents dans le Cloud continuent de proliférer, et que les sociétés devraient revoir les attitudes archaïques qui prévalent quant à l’utilisation de ces applications dans l’entreprise », a déclaré à datasecuritybreach.fr Tsion Gonen, Chief Strategy Officer, SafeNet, Inc. « Il ne fait pas de doute que les hauts dirigeants comprennent parfaitement les avantages que peut offrir l’utilisation d’applications dans le Cloud, et qu’ils devraient donner à leur entreprise les moyens d’en tirer parti en adoptant des outils et des pratiques de sécurité modernes ».
Le critère géographique entre également en ligne de compte en matière de sécurité des données dans le Cloud. Par exemple, l’utilisation d’applications basées sur le Cloud est nettement plus courante dans la région EMEA (Europe, Moyen-Orient et Afrique) qu’aux États-Unis et en Asie-Pacifique, de même que les niveaux d’inquiétude concernant la sécurité des données ou l’application de règles contre l’utilisation d’applications dans le Cloud. Toutefois, les personnes interrogées dans la zone EMEA sont davantage susceptibles d’ignorer lesdites règles. L’objet de leur préoccupation varie également en ce qui concerne la confidentialité de leurs données : les personnes interrogées aux États-Unis et dans la région EMEA déclarent se méfier des administrations, tandis qu’en Asie-Pacifique, Google est en ligne de mire. De plus, les personnes consultées en Asie-Pacifique constituent le groupe d’utilisateurs le plus inquiet s’agissant de leurs données et informations, craignant qu’elles soient exploitées à des fins malveillantes.
Au total, 52 % des personnes interrogées se disent inquiètes à l’idée que leurs applications bancaires et financières puissent être piratées. Les systèmes qu’elles utilisent le plus souvent sont Dropbox pour le stockage de fichiers (39 %) et les outils d’organisation personnels (25 %) ; par ailleurs, la messagerie électronique reste le principal outil utilisé pour partager des fichiers (68 %), selon l’enquête.
* SafeNet Labs a mené cette enquête en août 2013. SafeNet Labs est le créateur de SafeMonk, seule solution de chiffrement au monde contre les interceptions, spécialement conçue pour les utilisateurs du service de partage de fichiers Dropbox.
A l’occasion de l’ouverture des Assises de la Sécurité à Monaco, Kaspersky Lab a présenté les principaux résultats de son étude « Global Corporate IT Security Risks 2013», réalisée par B2B International en avril 2013 auprès de plus de 2800 entreprises à travers le monde. L’étude explique que 91% des entreprises ont connu au moins un incident de sécurité externe et 85% un incident interne au cours des 12 derniers mois, avec les conséquences financières que cela implique parfois. Ces chiffres élevés peuvent s’expliquer par un manque de connaissance des risques, exprimé par les professionnels. Un quart des répondants considèrent que les problèmes de sécurité informatique « n’arrivent qu’aux autres ». 28% des entreprises pensent à tort que s’équiper d’une solution de sécurité informatique représente un investissement plus élevé que les coûts liés à une attaque.
Près 60% des responsables informatiques ne disposent pas des ressources de temps et d’argent nécessaires à la mise en place de règles de sécurité informatique. En conséquence, seule 1 entreprise sur 2 pense disposer des processus automatisés et organisés nécessaires à la gestion des menaces. La situation est particulièrement critique dans le secteur de l’éducation, où 28% des organisations confirment disposer de règles de sécurité suffisantes. Plus inquiétant encore, 34% seulement des organisations gouvernementales ou travaillant dans le secteur de la défense au niveau mondial disposent des ressources nécessaires pour développer des règles de sécurité. Les autres, elles, sont exposées au danger permanent de perdre des informations gouvernementales confidentielles.
Pourtant, il suffit parfois d’une seule mesure, comme la mise en place d’une stratégie de sécurité mobile, associée à de la pédagogie, pour réduire de manière significative les risques liés à l’utilisation des smartphones et des tablettes en entreprise, qu’il s’agisse de flottes professionnelles ou dans le cadre du BYOD. Ainsi, l’étude révèle que près de la moitié des répondants ne disposent pas de ce type protection. Même les entreprises qui disposent d’une stratégie de sécurité mobile ne peuvent y attribuer les ressources associées : près de la moitié déplorent des augmentations de budgets insuffisantes, et 16% n’ont enregistré aucun accroissement budgétaire.
ADOBE, le géant du logiciel de création sur Internet ne voit que pas le Cloud. Au prix que coûtent ses outils numériques, nous aurions pu penser que la sécurisation des données que nous pouvons lui laisser étaient aussi carrée que le protocole mis en place pour s’assurer que les utilisateur de Photoshop, Premiere, … ne soient pas des vilains copieurs.
La société américaine vient de confirmer, par le biais de Brad Arkin (responsable sécurité) qu’un pirate informatique avait mis la main sur pas moins de 2.9 millions de comptes utilisateurs. Dans le fichier intercepté via une faille iSQL : les noms, les informations de facturation, les données des carte de crédit, CVV et compagnie. Les mots de passe des clients ont été réinitialisés.
« L’équipe Adobe en charge de la sécurité a récemment découvert sur notre réseau des attaques sophistiquées portant sur l’accès illégal aux informations de nos clients, ainsi qu’au code source d’Adobe ColdFusion, un serveur d’applications destiné aux développeurs et, potentiellement, d’autres produits Adobe. Nous pensons que ces attaques pourraient être liées. En collaboration avec nos partenaires et les services de police, nos équipes internes mettent tout en œuvre pour résoudre cet incident. »
Là ou cela devient du grand n’importe quoi. Le pirate aurait réussi à mettre la main sur des codes sources d’outils comme Adobe Acrobat, ColdFusion, et ColdFusion Builder. Les pirates ont eu accès aux identifiants et mots de passe Adobe des clients. Les pirates ont pu accéder aux informations bancaires cryptées de 2,9 millions de clients Adobe, et notamment aux noms des clients, à leurs numéros de carte bancaire cryptés et dates d’expiration, ainsi qu’à d’autres données relatives à leurs commandes. « Pour le moment, nous pensons qu’aucun numéro de carte bancaire extrait de nos systèmes n’a été décrypté« . a pu lire datasecuritybreach.fr. Adobe enquête également sur l’accès illégal au code source de ColdFusion et sur le risque d’un accès non autorisé au code source d’autres produits Adobe. « Nous n’avons pas connaissance de menaces accrues pesant sur les utilisateurs de ColdFusion suite à cet incident« .
Toute la procédure pour les clients est en ligne afin de réinitialiser en trois points son mot de passe.
Actualités cybersécurité, protections des données pour PME/PMI/TPE
