La France sort du classement des pays les plus spammeurs du monde ! Sophos a dévoilé la nouvelle édition de son classement des 12 pays les plus relayeurs de spams du monde, le Sophos Dirty Dozen, pour le second trimestre 2013. A noter que la France, classée 5ème pays le plus relayeur de spam au premier trimestre 2013, est sortie du classement tout comme le Pérou et la Corée du Sud. Parmi les nouveaux entrants du classement, l’arrivée remarquée de la Biélorussie directement à la seconde place, suivie de l’Ukraine et du Kazakhstan. Les Etats-Unis quant à eux gardent leur place de leaders.
Archives de catégorie : Entreprise
Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.
Boulette chez Pacific Host : BDD ouverte sur la toile
La société d’hébergement s’est expliquée sur cette porte ouverte. « Nous avons dû supprimer certains de nos logiciels de sécurité pour permettre l’accès à la prise mysqld. » Bilan, une erreur MySQL (111) s’affichait et le fichier localhost.sql pouvait se copier comme pour rire.
Le problème a été corrigé. La rédaction de Data Security Breach pense être l’unique entité à avoir vu le contenu de la BDD ouverte (emails, sites, logins, mots de passe, clé d’activation, IP, identifiant de smartphone, navigateurs utilisés, …) ou pas !
Toujours de l’inquiétude face aux services Cloud
Les questions de la confidentialité « dans le nuage » ont été mises en avant au cours des dernières semaines. DataSecurityBreach.fr vous en parlait. Cependant, avant même d’entendre parler de PRISM, les consommateurs étaient inquiets de la sécurité et de la confidentialité des contenus qu’ils stockent dans le Cloud.
Une récente étude F-Secure montre que 6 consommateurs sur 10 s’inquiétaient de la sécurité des contenus stockés par les réseaux sociaux et les services de stockage Cloud avant même que les informations sur PRISM ne fassent les unes des journaux. L’enquête F-Secure Digital Lifestyle Survey 2013 (6000 personnes interrogées dans 15 pays en avril*) démontre que ce sont les jeunes utilisateurs ainsi que les multi-screeners (personnes utilisant simultanément plusieurs appareils dotés d’un écran) qui sont les plus préoccupés par le sujet.
Selon l’enquête que Data Security Breach a pu consulter, les cinq premiers fournisseurs qui proposent à leurs utilisateurs de confier leurs contenus sont : Facebook, Youtube, Google Drive, Dropbox et à égalité au 5ème rang : Microsoft SkyDrive et Apple iCloud. Cependant, les résultats montrent que mettre en ligne des données sur les réseaux sociaux ou des clouds stockage ne signifie pas que les utilisateurs leur font confiance.
59% des consommateurs ont peur qu’un tiers puisse accéder à leurs données stockées chez ces fournisseurs. 60% craignent que les fournisseurs de ce type de service vendent des données à des entreprises tierces et 62% pensent que la confidentialité de leurs activités en ligne pourrait ne pas être respectée. Enfin, 63% des sondés s’inquiètent de la vulnérabilité de la technologie des fournisseurs de stockage. Les pays Européens sont en général moins inquiets que ne le sont les autres pays du globe. Par exemple, seuls 38% des britanniques et 40% des néerlandais s’inquiètent d’un accès non autorisé à leurs contenus. A titre de comparaison, le même sujet inquiète 69% des américains, et 78% des brésiliens.
Autres statistiques intéressantes : les personnes âgées entre 20 et 30 ans présentent plus d’inquiétudes que les personnes âgées de 50 à 60 ans, et les multi-screeners sont eux aussi plus préoccupés. On notera que ce sont ces mêmes personnes qui sont les plus friandes des services Cloud.
33% des consommateurs déclarent avoir la sensation de perdre le contrôle de leurs données. En Belgique, pas moins de 51% des interrogés ont estimé qu’ils ne contrôlaient plus leurs données, alors que ce n’est le cas que de 20% des sondés vivant au Royaume-Uni.
« Ces résultats reflètent la connaissance des consommateurs quant aux enjeux du stockage dans le Cloud aujourd’hui », explique à Datasecuritybreach.fr Timo Laaksonen, Vive President, Content Cloud chez F-Secure. « Cela souligne une fois de plus la nécessité de sécuriser les services de Cloud privés, pour lequel sécurité doit rimer avec confidentialité de vos données ».
Configurer efficacement la double identification Google
« L’attaque est le secret de la défense, la défense permet de planifier une attaque. », voilà un adage qui plait à l’oreille de l’équipe de DataSecurityBreach.fr. Il colle parfaitement à l’ambiance numérique. Comme celle concernant la sécurité de son compte Google. Dire que la double identification pour un compte webmail, Twitter, Facebook ou tout autres services web devient indispensable est un doux euphémisme. Et ce n’est pas ce pauvre banquier de Dubaï qui dira le contraire. Un pirate informatique a réussi à se faire transférer 15.000 $ sur un compte bancaire basé en Nouvelle-Zélande en communiquant avec le banquier via un compte gMail piraté. Bref, n’attendez pas le passage d’un pirate. Mettez en action la double identification Google, qui, en regardant de plus prêt est en faite une quadruple identification.
Configurer les numéros de téléphones de secours
DataSecurityBreach.fr vous conseille un numéro portable et un numéro fixe. Dans le premier cas, pour recevoir par SMS le code de secours. Dans le second cas, recevoir le précieux secours via un téléphone fixe et une voix humaine.
Codes de secours à imprimer
Il vous permet de disposer de 10 codes si vos téléphones ne sont pas disponibles. 10 séries de 8 chiffres qui vous permettront de vous connecter à votre compte. Mots de passe spécifiques aux applications.
Google Authentificator
Avec les téléphones portables, data security breach vous en parle souvent, les accès malveillants se multiplient. Google propose « Google Autentificator« . Une application pour iOS, Android, … qui donne accès à un code d’identification unique. Code valide durant 1 minutes à rentrer, en plus de votre mot de passe habituel. Bref, voilà une sécurité digne de ce nom qui prend quelques minutes à configurer mais permet de ne pas passer des heures, quand ce ne sont pas des jours à sauver les meubles après le passage d’un pirate informatique.
Piratage de l’Internet des objets, mais pour la bonne cause !
Lookout – leader des solutions de protection des particuliers et des professionnels utilisant des appareils mobiles – a dévoilé à Data Security Breach une faille de sécurité dans les lunettes Google Glass, transmise à Google et corrigée depuis par l’éditeur. Les nouvelles technologies nous facilitent la vie à un point inimaginable il y encore quelques années, qu’il s’agisse de véhicules électriques à commande vocale ou de thermostats sans fil. Notre soif de nouveautés entraîne le regain de l’informatique embarquée et elle est à l’origine d’une révolution dans le domaine des réseaux.
Les objets du quotidien se voient équipés de capteurs qui leur permettent d’interagir avec l’environnement extérieur, de processeurs pour y réfléchir et d’interfaces réseau pour pouvoir en parler. En se connectant les uns avec les autres et en partageant ce qu’ils voient, entendent et enregistrent, ces nouveaux appareils intelligents inaugurent le Nouvel Age de l’Internet. L’Internet des objets prend désormais le pas sur l’Internet des ordinateurs. Au 30 juin 2010, il y avait environ 1,9 milliard d’ordinateurs connectés au Net. A titre de comparaison, on comptait en 2012 environ 10 milliards d’objets connectés.
Les bienfaits que ces appareils intelligents nous apportent au quotidien sont incommensurables. Reste qu’en les dotant d’une telle intelligence et perception, nous modifions leur nature. Des objets ordinaires d’apparence familière, sans particularités sur le plan de la sécurité, se muent soudain en gardiens de données sensibles, qu’elles soient à caractère financier ou concernent des facettes de notre vie privée. Ainsi, si un thermostat autonome traditionnel fixé au mur d’une maison n’intéressera jamais des pirates, la donne sera toute autre pour son équivalent connecté. Ce dernier peut en effet renseigner sur le nombre de personnes habitant dans la maison et sur les technologies connectées au réseau. En cas d’absence des occupants, l’habitation deviendra alors une proie de choix. Un nouveau type de thermostat connecté qui serait contraint à collaborer avec un million d’autres de ses pairs pourrait poser un grave problème de sécurité pour le réseau électrique national, faisant de lui un objet de convoitises pour des terroristes. En modifiant la nature des objets, il devient crucial de pouvoir repérer les vulnérabilités et de réagir rapidement avec des mises à jour. Les objets connectés doivent ainsi être traités comme des logiciels. Lookout a étudié deux cas qui présentent deux méthodes de gestion des vulnérabilités — une bonne et une mauvaise.
Cas n°1 – Les Google Glass
Google a sélectionné ce qui fait de mieux sur le plan technologique dans le domaine des smartphones, pour concevoir un ordinateur qui se porte sous forme de lunettes. Imaginez un appareil capable de traduire dans votre langue, en un clin d’œil, des menus écrits dans une autre langue étrangère ! Imaginez un guide personnel qui identifie le bâtiment que vous êtes en train d’admirer, en vous relatant son histoire. Avec le système Glass, la technologie de reconnaissance optique des caractères qui permet à un ordinateur de lire des textes imprimés, fait figure d’antiquité. Chaque fois que vous prenez une photo, Glass recherche des données reconnaissables, les plus évidentes étant les QR codes, un type de code-barres contenant par exemple des instructions d’envoi de SMS ou d’accès à un site web hébergeant des éléments capables de modifier les paramètres de l’appareil. Google a tiré parti de ces possibilités pour permettre aux utilisateurs de configurer facilement leurs lunettes Google Glass sans l’aide d’un clavier.
C’est à ce niveau que nous avons identifié un problème de sécurité de taille. S’il est pratique de pouvoir configurer un QR code pour le système Glass et de se connecter facilement à des réseaux sans fil, il en va tout autrement si d’autres personnes peuvent se servir des mêmes QR codes pour commander aux Google Glass de se connecter au réseau Wi-Fi ou à des appareils Bluetooth de leur choix. Mais c’est malheureusement possible. Nous avons réussi à concevoir des QR codes basés sur les instructions de configuration, obtenant ainsi nos propres QR codes malveillants. Une fois photographié par un porteur de lunettes Google Glass, ce code a ordonné au système Glass de se connecter furtivement à un point d’accès Wi-Fi piégé géré par nos soins. Ce point d’accès nous a ainsi permis d’épier les connexions des Google Glass, qu’il s’agisse de requêtes en ligne ou d’images téléchargées sur le Cloud. Nous avons également été en mesure de diriger le système Glass vers une page contenant une vulnérabilité connue d’Android (version 4.0.4), nous permettant de le pirater pendant qu’il parcourait ladite page. Les Google Glass ont été piratées par l’image d’un QR code malveillant. Cette vulnérabilité et la façon de procéder sont exclusives à Glass ; elles sont la conséquence de son appartenance à la catégorie des objets connectés.
Cas n°2 – Les pompes à insuline Medtronic
En 2011, Jérôme Radcliffe a mis au jour les vulnérabilités d’au moins quatre modèles de pompes à insuline du fabricant Medtronic, qui les exposaient à du piratage à distance. Une pompe à insuline est un appareil médical intelligent connecté, qui se substitue à la traditionnelle seringue. Le patient porte sa pompe à insuline toute la journée, à la manière d’un pager. Elle surveille en permanence l’état de la personne et diffuse régulièrement des petites doses d’insuline pour éviter les variations de glycémie. La pompe à insuline fonctionne souvent de pair avec un système de mesure du glucose en continu (CGM) doté de capteurs, qui transmet à distance les données à la pompe afin qu’elle calcule la dose d’insuline à délivrer. C’est là tout l’intérêt de la connexion sans fil. En permettant à la pompe à insuline et au CGM de communiquer ainsi, le porteur n’a pas à s’encombrer de câbles. Il peut de plus utiliser d’autres appareils pour surveiller son état.
Malheureusement, c’est à ce niveau-là qu’a été décelée la faille de sécurité. Lorsque le fabricant a permis à ces appareils de communiquer, il n’a opté que pour un seul point de sécurité : un numéro de série valable requis pour autoriser les échanges. De fait, un attaquant qui utilise un équipement radio pour surveiller le trafic de données entre le CGM et la pompe à insuline du patient peut « réécouter » ces échanges, désactiver la pompe ou, pire encore, l’induire en erreur pour la pousser à diffuser des doses inappropriées d’insuline.
Mise au jour et traitement des vulnérabilités
Ce sont deux exemples d’objets ayant des failles de sécurité du fait qu’ils sont connectés. L’étude des différences entre ces appareils connectés et leurs prédécesseurs non connectés, à partir du moment où ils sont connectés et où leur « raison d’être » évolue et permet de mettre en évidence de nouvelles zones de faiblesse. Cela donne aussi une chance de voir les détournements possibles – et imprévus – de l’appareil. La mise au jour des vulnérabilités n’est pas le seul défi que pose l’Internet des objets. Pour assurer la protection des utilisateurs, mais aussi la stabilité et l’expansion de l’écosystème, ces vulnérabilités doivent être prises en charge. L’application de correctifs, méthode traditionnellement utilisée, est encore assez peu courante dans l’univers des appareils embarqués. Historiquement, les logiciels à bord sont des microprogrammes (ou firmware) installés en usine ; ils ne sont que très rarement mis à jour. La tâche s’annonce difficile si l’on envisage de définir un processus de traitement des vulnérabilités décelées dans des milliards d’objets connectés. Fort heureusement, les longues années d’application de correctifs, dans le domaine de l’informatique, ont permis de tirer de nombreuses leçons. Le processus d’installation de correctifs a mis des années à s’affiner, émaillé de nombreux incidents de parcours. Il faut veiller à ne pas répéter les mêmes erreurs avec l’Internet des objets. L’une des principales leçons étant que les problèmes de sécurité décelés sur des appareils doivent être traités comme étant au niveau du logiciel et non du produit ou du matériel. C’est le seul moyen, pour les fabricants, de s’emparer efficacement du problème étant donné son ampleur. Les entreprises qui développent des logiciels système comprendront cet impératif, mais pas les autres, qui auront du mal à faire face à ces problèmes inhabituels pour elles et à la complexité induite par la gestion des millions d’objets. Si l’on regarde les fabricants responsables des objets en question, le scénario sera celui-là.
Google Glass
Nous avons informé Google de nos découvertes le 16 mai dernier. Google a pris acte et ouvert un ticket (pour bug) auprès de l’équipe de développement du système Glass. L’entreprise a fait preuve d’une très grande réactivité pour corriger le problème : la faille a été comblée avec la version XE6, publiée le 4 juin. Lookout a recommandé à Google d’enclencher l’exécution des QR codes sur demande de l’utilisateur ; cette préconisation a été acceptée. La réactivité de Google témoigne de l’importance que l’entreprise accorde au respect de la vie privée et à la sécurité de son appareil, et donne le ton en matière de sécurité des appareils connectés.
Pompes à insuline Medtronic
Jérôme Radcliffe a fait part de sa découverte à Medtronic, qui après avoir montré de l’intérêt pour les vulnérabilités décrites, a finalement rejeté leur caractère sérieux. L’entreprise a avancé que ces failles n’avaient pas été exploitées et qu’il serait d’ailleurs très difficile techniquement parlant de lancer une attaque. Résultat, deux ans après, les modèles Medtronic Paradigm 512, 522, 712 et 722 de pompes à insuline peuvent toujours être la cible d’attaques à distance.
Google, pour sa part, a montré qu’il dispose d’une infrastructure efficace de traitement des vulnérabilités qui lui permet d’identifier les failles, de les corriger et de mettre à jour rapidement ses appareils en toute discrétion. Google est l’une des entreprises qui se targue de pratiques en matière d’application de correctifs parmi les meilleures de l’industrie du logiciel. De fait, les entreprises qui embarquent des capteurs dans leurs appareils ne peuvent se permettre de mal gérer les failles de sécurité dans un monde où l’informatique ambitionne de quasiment fusionner avec l’utilisateur. Si Google avait manqué de réactivité, un pirate aurait pu profiter de l’aubaine pour s’en prendre aux porteurs de ses lunettes, décrédibilisant du même coup un nouveau « gadget » prometteur.
Les développeurs et concepteurs d’appareils embarqués doivent prendre exemple sur Google, tant du point de vue de la prise en charge des failles que de l’importance accordée aux objets connectés portables équipés d’un capteur. Il est par ailleurs essentiel de penser à la sécurité des appareils et à leur mise à jour automatique dès la phase de conception.
L’Internet des objets inaugure une nouvelle ère technologique : un futur où tout sera connecté et pourra interagir avec les informations plus étroitement que jamais. Si nous nous appliquons, un large champ de possibilités s’ouvrira à nous. Dans le cas contraire, nous en tuerons tout le potentiel sans jamais en tirer les bénéfices. (LockOut)
Un fichier non déclaré à la Cnil est illicite
Dans un arrêt très court du 25 juin 2013, la Cour de cassation affirme sans ambiguïté qu’un fichier d’adresses qui n’a pas été déclaré à la Commission nationale de l’informatique et libertés a un objet illicite. C’est le site Legalis.net qui revient sur cette affaire jugée par la Cour de Cassation, fin juin. La cour suprême se fonde sur l’article 1128 du code civil qui prévoit qu’« il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions ». Selon l’article 22 de la loi Informatique et libertés prévoit, tous traitements automatisés de données personnelles doit faire l’objet d’une déclaration, à l’exception de cas définis. Mais la loi n’avait pas prévu explicitement que l’absence de formalité était sanctionnée par la nullité. D’où l’importance de cet arrêt qui conduit à considérer qu’un fichier non déclaré est sans valeur.
La fraude en ligne baisse… mais qu’en est-il de l’impact sur les ventes de l’e-commerçant ?
L’Observatoire de la Sécurité des Cartes de Paiement a rendu public il y a quelques jours son rapport annuel 2012. On y apprend que le taux de fraude sur les paiements en ligne est en baisse pour la première fois depuis 2008 en France, atteignant ainsi 0,29% en 2012, contre 0,34% en 2011.
Au-delà des tendances révélées par ce rapport, les e-commerçants doivent se poser la question de l’impact de leur politique de gestion du risque sur leur taux de conversion. En effet, la baisse constatée du nombre de fraudes sur Internet est sans nul doute liée au recours de plus en plus fréquent à des outils de sécurisation basés sur l’authentification forte : 3D Secure. Mais ce n’est pas sans conséquences : l’érosion des ventes induite par 3D Secure n’est plus un secret pour les professionnels du commerce en ligne. Et même si l’on entend de plus en plus parler de 3D Secure « débrayable » ou « à la demande », est-ce une réelle solution pour les e-commerçants qui doivent arbitrer entre vendre davantage et éviter les fraudes ?
Les paiements frauduleux peuvent avoir des conséquences lourdes sur l’e-commerçant. Outre l’évident impact financier, il y a des conséquences collatérales : charge administrative lourde, e-réputation du marchand mise à mal et impact sur la qualité de ses relations avec ses partenaires bancaires. D’autant plus que les e-commerçants sont inégaux face à la fraude, qu’il s’agisse du type de bien vendu (bien numérique, bien physique avec bon de livraison, valeur vénale du bien vendu), des territoires couverts (national ou international), des marges générées sur chaque vente (plus la marge est faible, plus les efforts nécessaires à la compensation d’une fraude sont importants) voire des ressources humaines et des outils à la disposition de chacun.
On comprend donc assez vite que la lutte contre la fraude doit s’inscrire dans une démarche globale de génération de marge. En bref, comment puis-je m’assurer d’une augmentation des ventes « fiables » sur mon site e-commerce tout en luttant efficacement contre les actes frauduleux? En période de crise, comment ne pas gâcher les opportunités fournies par l’un des seuls secteurs encore porteurs ?
Nombreuses sont les sociétés se vantant de fournir des outils de lutte contre la fraude couvrant jusqu’à plusieurs dizaines de milliers de critères de risque à chaque commande traitée. Mais une telle exhaustivité n’est pas gage d’efficacité, car au-delà de l’outil c’est l’analyse statistique de l’activité du marchand qui lui permettra de prendre les bonnes décisions. Chaque e-commerçant doit être en mesure de déterminer un profil d’acheteur normal. Tout comportement sortant de ce profil doit susciter le déclenchement de règles spécifiques avec des actions ciblées en fonction de l’écart entre le comportement analysé et le comportement « normal ». Un travail d’analyse qui doit s’effectuer en amont de la mise en place de toute stratégie de lutte contre la fraude et qui doit être remis en cause régulièrement en fonction des nouveaux comportements détectés. Il faut aussi prendre conscience que la détection a priori de la fraude n’est qu’une facette d’une stratégie efficace. Le partenaire de gestion du risque doit pouvoir fournir des outils d’aide à la décision pertinents et ergonomiques capables d’indiquer au marchand de façon claire quelles alertes ou règles ont été levées par telle ou telle transaction.
Il devient clair que le « mix » d’une stratégie efficace de gestion de risque repose sur l’expertise business du marchand, l’expertise métier de son partenaire et la pertinence des outils mis à disposition. (Par Nabil Naimy, Head of e-payment solutions chez HiPay pour DataSecurityBreach.fr)
L’armée électronique Syrienne pirate True Caller
La Syrian Electronic Army, qui a fait pas mal parler d’elle en piratant d’importants comptes Twitter, vient de ressortir de son trou numérique pour annoncer le piratage de l’annuaire collaboratif TrueCaller. Truecaller est un annuaire collaboratif mondial qui tient dans votre poche et vous permet de contacter facilement des personnes à travers toute la planète. Bref, une mine d’or pour malveillants.
La SEA a annoncé sur son Twitter qu’il avait mis la main sur les données du site. Sept bases de données auraient été volées. La principale BDD pèserait 450GB. La BDD, baptisée Profiles, tiendrait dans 4Go. Le base de données contiendrait, selon les hacktivistes, les codes d’accès de plusieurs millions de Facebook, Twitter, Linkedin, de comptes Gmail.
True Caller explique sur son blog ne pas stocker « les mots de passe, informations de carte de crédit, ou toute autre information sensible sur nos utilisateurs. a pu lire datasecuritybreach.fr, Il est faux que les attaquants ont pu accéder à Facebook de nos utilisateurs, Twitter, ou autres mots de passe de médias sociaux.«
L’entreprise américaine explique enquêter sur l’étendue de l’accès non autorisé dans ses bases de données. « Nous pensons qu’il est essentiel de faire connaître l’attaque, car il est important que nous gardions fidèle notre honnêteté et notre intégrité« .
Près de neuf français sur dix plébisciteraient la biométrie comme moyen de lutte contre la criminalité
Une étude de Steria, que datasecuritybreach.fr a pu consulter, menée auprès de 1 000 français (sur un total de 3 650 personnes interrogées en Europe), révèle que près de 9 français sur 10 (89 %) se disent favorables à l’utilisation de la biométrie pour identifier les criminels. La majorité est pour l’utilisation de la biométrie dans les cartes d’identité et les passeports (81 %), de même que pour contrôler les accès aux zones réglementées (77 %). En revanche, seuls 52 % acceptent que des solutions biométriques viennent remplacer les numéros PIN des cartes bancaires.
La plupart des français (89 %) se disent favorables à l’utilisation des technologies biométriques pour l’identification des criminels. Pourtant seuls 52 % accepteraient de voir la biométrie entrer dans leur vie quotidienne et remplacer les codes PIN des cartes bancaires par exemple. Une majorité de français (70 %) estime en effet que l’usage de la biométrie se limite à la protection contre l’usurpation d’identité, alors que de nombreux domaines de développement sont aujourd’hui envisagés : contrôles automatiques, simplification des procédures administratives, traçabilité des données, lutte contre la fraude ou encore réduction du crime.
Au niveau européen, les français sont plus favorables à l’adoption des technologies biométriques pour l’identification des criminels, que les britanniques (80 %), et les allemands (77 %). Près des trois-quarts (69 %) des sondés en Europe sont pour l’utilisation de la biométrie dans les cartes d’identité et les passeports, ainsi que pour contrôler l’accès aux zones réglementées.
Un marché à fort potentiel Selon de récentes estimations, le marché mondial de la biométrie représentera 8,5 milliards d’euros d’ici 2015. Cela traduit une formidable évolution des usages de la biométrie. Pour Florent Skrabacz, responsable des activités de Sécurité de Steria « les nouvelles applications de la biométrie, notamment pour la mobilité et les applications en ligne, sont une arme indispensable pour lutter contre les nouvelles fraudes à l’identité numérique ».
Ces propos sont renforcés par Ole Marius Steinkjer, expert des technologies biométriques chez Steria qui explique à DataSecurityBreach.fr : « Les applications de la technologie biométrique ne cessent de se diversifier : demandes d’asile, fluidité du trafic transfrontalier, authentification des criminels, contrôle d’accès aux sites militaires, aux dossiers médias, aux comptes bancaires, etc. Pourtant, en raison de préoccupations vis-à-vis de la protection de la vie privée, les citoyens hésitent toujours à adopter cette technologie au quotidien ».
Pour avoir déployé des solutions biométriques lors de projets dans 27 pays, notamment au Royaume-Uni, en Suisse, en France, en Allemagne, en Belgique et en Norvège, Steria jouit d’une grande expérience de la question. Cette année, Steria a notamment été sélectionné par la Police danoise pour un programme biométrique d’identification d’empreintes digitales et a annoncé, aux côtés de la Commission européenne, le déploiement de la seconde génération du système d’information Schengen (SIS II), qui prévoit de rationaliser les procédures de contrôle aux frontières de toute la zone et de faciliter la communication entre les Etats membres grâce aux données biométriques.
Connection VPN, entre 2 clés USB, en 60 secondes
Dans la nouvelle émission de ZATAZWeb.tv, numéro estival, il est proposé plusieurs sujets qui devraient vous intéresser. En plus de découvrir un jouet chinois qui permet de hacker certaines cartes RFID, l’émission ZATAZ Web TV revient aussi sur les livres à emmener avec soit à la plage, dont le dernier du moment des Editions ENI, Malware.
Particulièrement intéressant, les clés USB iTwin. L’émission a testé la version professionnelle de ces clés USB qui permettent de créer un accès VPN, entre deux portables. iTwin est composé de deux parties. La première clé est insérée dans l’ordinateur de bureau, et le second – à la maison, par exemple. La connexion, en quelques secondes, est automatiquement établie sous la forme d’une connexion VPN sécurisée entre les deux machines.
A noter que l’émission profite des beaux jours pour lancer le grand jeu de l’été. A gagner : deux Playstation 4 de Sony ; des tee-shirts Nuit du hack et ZATAZ.COM et des livres. Lancement de notre grand jeu de l’été, lundi 22 juillet. Les premiers indices se trouvent déjà dans l’émission.
IP-tracking: une député Européenne saisit le nouveau Commissaire croate
En guise de bienvenue, l’eurodéputée Françoise Castex a enjoint le nouveau Commissaire à la protection des consommateurs, Neven Mimica, de se saisir du dossier IP-tracking. Alors que la CNIL a confirmé sur son site, vendredi 28 juin, le lancement d’une enquête conjointe avec la DGCCRF sur le développement, sur certains sites de vente de billets de transport en ligne, d’une pratique dénommée « IP Tracking », Françoise Castex a saisi l’occasion de la prise de fonction du Commissaire croate Neven Mimica pour le sensibiliser à cette pratique qui « contrevient d’une part aux dispositions européennes relatives à la protection des données personnelles, dont l’adresse IP fait partie, et d’autre part, génère une concurrence déloyale, avec un prix à la tête du client« .
Dans une lettre adressée au nouveau Commissaire croate, l’eurodéputée socialiste invite la Commission européenne à « enquêter sur la fréquence de cette pratique et protéger les consommateurs en conséquence. » Pour la Vice-présidente de la Commission des Affaires juridiques: « la création de ce nouveau portefeuille dédié à la protection des consommateurs doit amener la Commission européenne à se saisir enfin du dossier!« , estime à zataz.com et Data Security Breach, Françoise Castex.
Avant de conclure: « Alors que les vacances commencent, et que 53% des Européens réservent leurs vacances en ligne, il existe une forte attente des citoyens en la matière. La Commission enverrait un signal fort en ouvrant dès maintenant une enquête à l’échelle européenne« .
Mon terminal mobile sur le lieu de travail
Les salariés qui utilisent leur propre terminal mobile au bureau sont inquiets à l’idée que leur employeur puisse accéder à leurs informations personnelles. C’est ce qu’a pu constater Data Security Breach dans le rapport reçu d’Aruba Networks, leader de l’accès réseau pour l’entreprise mobile. En France, cette méfiance se traduit en faits concrets. DataSecurityBreach.fr a pu constater que 24% des salariés français déclarent que leur employeur ne sait pas qu’ils utilisent un terminal personnel au travail ; 57% d’entre eux ne déclareraient pas à leur employeur le nouveau terminal qu’ils envisagent d’utiliser au travail ; 65% déclarent que leur employeur n’installe pas de logiciel de sécurité supplémentaire sur leur terminal ; 48% ne signaleraient pas immédiatement une fuite de données professionnelles.
Le rapport de l’étude « Employees tell the truth about your company’s data », menée auprès de plus de 3 000 salariés dans le monde, révèle que près de la moitié des salariés européens (45 %) redoutent la perte de données personnelles, une crainte que partagent 40 % des personnes interrogées au Moyen-Orient et 66 % aux Etats-Unis. Par ailleurs, ils sont 34 % en Europe, 35 % au Moyen-Orient et 51 % aux Etats-Unis à déclarer que leur service informatique ne prend aucune mesure pour assurer la protection des dossiers et applications professionnels se trouvant sur leurs terminaux personnels.
Ces inquiétudes font que de nombreux salariés rechignent à mettre leur terminal personnel entre les mains du service informatique, mettant ainsi en danger les données de leur entreprise. Près d’un salarié européen sur six (soit 15 %) déclare n’avoir même pas prévenu son employeur qu’il utilise un terminal personnel au travail. Ils sont 17 % dans ce cas au Moyen-Orient et en Amérique.
Encore plus inquiétant pour les entreprises : 13 % des salariés européens, 26 % au Moyen-Orient et 11 % aux Etats-Unis avouent qu’ils n’informeraient pas leur employeur si leur terminal était corrompu, même si cela entraînait une fuite de données professionnelles. Ils sont par ailleurs 40 % en Europe, 41 % au Moyen-Orient et 36 % en Asie à affirmer qu’ils ne signaleraient pas immédiatement une fuite de données.
Cette réticence s’explique par la perception négative que les salariés ont du service informatique de leur entreprise. Ils s’inquiètent plus particulièrement de ce que le personnel informatique pourrait faire de leur terminal et des données qu’il contient. 25 % des salariés européens interrogés, 31 % au Moyen-Orient et 45 % aux Etats-Unis sont inquiets à l’idée que le personnel informatique accède à leurs données personnelles, et ils sont 18 % en Europe et 26 % au Moyen-Orient à craindre que leur service informatique ne fouille dans leurs données privées s’ils lui confiaient leur terminal.
Lorsqu’on leur demande comment elles réagiraient si le personnel informatique de l’entreprise accédait à leurs données personnelles, près de la moitié des personnes interrogées en Europe et au Moyen-Orient répondent qu’elles seraient en colère, tandis qu’elles seraient 41 % en Europe, 47 % au Moyen-Orient et 46 % aux Etats-Unis à percevoir cela comme une violation.
Ben Gibson, directeur marketing chez Aruba Networks, a déclaré à datasecuritybreach.fr : « L’étude menée des deux côtés de l’Atlantique montre que les employés et les services informatiques jouent avec la sécurité des données, mais cela n’est pas uniquement le fait du hasard. Pour résumer : autant les salariés acceptent mal le pouvoir que les employeurs exercent aujourd’hui sur leurs données personnelles, autant ils sont indifférents à la sécurité des données de l’entreprise. »
« L’utilisation de terminaux électroniques personnels pour un usage professionnel (BYOD) est devenue aujourd’hui une réalité face à laquelle les entreprises doivent adopter des solutions pour, d’un côté, garantir le caractère privé des données des employés et, de l’autre, exercer un contrôle plus étroit sur le réseau afin de s’assurer qu’aucune information sensible ne puisse être divulguée, le tout sans perturber l’expérience de l’utilisateur », a-t-il conclu à Data Security Breach.
Il existe clairement un fossé entre ce que les employés veulent et ce dont les services informatiques des entreprises ont besoin. Créer une véritable séparation entre données personnelles et données de l’entreprise contribuerait fortement à résoudre ces problèmes et à tranquilliser les salariés.
A noter que l’éditeur de solutions de sécurité informatique AVG a mis en ligne, dans le Google Play, un outil qui permet de désinstaller, efficacement, toutes les applications que l’on souhaite détruire.
VPN Persona non grata pour Visa et MasterCard
Le fondateur d’iPredator, un service de VPN qui permet de sécuriser et anonymiser ses connexions sur la toile, Data Security Breach vous vantait dernièrement l’intérêt des VPN, vient d’annoncer sur son blog que Visa et MasterCard interdisait toutes utilisation d’iPredator. Peter Sunde, propriétaire d’iPredator, et cofondateur de Pirate Bay, explique que les internautes qui souhaitent payer via ses deux solutions de paiement ne peuvent plus le faire. La société PaySon, qui se charge des transactions bancaires lui aurait indiqué que Visa et MasterCard interdisaient dorénavant les paiements pour des services VPN et autres systèmes d’anonymisation.
Le site Torrent freak, qui diffuse le courriel reçu par Payson, montre que les deux sociétés de paiement se sont aussi attaqués aux revenus des sociétés Anonine, Mullvad, VPNTunnel et Privatvpn. Bref, les deux entreprises américaines refont le coup de Wikileaks en bloquant les possibilités d’achats par leur biais. Un moyen pour le FBI et les services de renseignements américains de contrer, encore un peu plus, les fraudes et le black market ; ou est-ce une nouvelle méthode des majors de combattre les contrefacteurs de films, logiciels, albums de musique en les empêchant d’exploiter des moyens de rendre anonymes leurs actions.
C’est malheureusement mal connaitre ce milieu qui peut utiliser d’autres moyens de paiement comme PaySafeCard, des services téléphoniques surtaxés ou encore BitCoin.
Trois français sur 10 ont perdu des données stockées dans le cloud en 2012
Aujourd’hui, de nombreuses entreprises migrent vers des plates-formes de cloud computing pour bénéficier des avantages concurrentiels inhérents aux gains qui en découlent en matière de vitesse, d’agilité et de flexibilité. Selon l’enquête Avoiding the Hidden Costs of the Cloud – 2013 publiée en janvier 2013 par Symantec, Datasecuritybreach.fr vous en parlait à l’époque, 86 % des entreprises françaises en sont au moins à discuter de cloud computing, 79 % pour les PME.
Une mauvaise utilisation du cloud computing peut en revanche se révéler désastreuse pour les entreprises qui peuvent voir leurs coûts augmenter ou observer des pertes d’informations ou de données. En France, 33 % des entreprises ont perdu des données stockées dans des clouds et 70 % ont été confrontées à des échecs de restauration. C’est du moins ce qu’indique ce rapport. 70 % des entreprises françaises ont expérimenté des déploiements non-autorisés et non-gérés d’applications de cloud computing ; parmi elles, 40 % ont été confrontées à des problèmes de divulgation d’informations confidentielles et plus d’un quart à des problèmes de prise de contrôle de comptes, de dégradation de ressources Web ou de vols de produits ou de services.
Des données diffusées au sujet de Vinci construction
Un pirate informatique du nom de Lewis, du groupe SamouraiZ, a diffusé il y a quelques jours un document reprenant ce qui semble être un Pentest, une analyse de faille, sur le site de Vinci Construction. Des informations techniques (certificats, clés de chiffrement, XSS) et l’annonce de failles dans des espaces web du géant français de la construction. Au moment ou la planète se penche sur l’espionnage des entreprises, cette diffusion « underground » est assez étonnante. Le bidouilleur n’a cependant pas fourni (sauf via des captures écrans, ndlr datasecuritybreach.fr) les méthodes d’actions.
Pas de doute, cependant, que des entités de veilles (guerres) économiques seront capables de reproduire les découvertes du bidouilleur. Pour rappel, la loi Française considère les « pentests » sauvages comme des attaques informatiques. Les risques judiciaires sont importants : de 3 à 7 ans de prison ; jusqu’à 350.000 euros d’amende.
Watch dogs : Ubi Soft attaqué par de vrais pirates
Des pirates informatiques ont mis la main, voilà quelques semaines, sur une faille de type injection SQL qui leur aurait permis de consulter la base de données de comptes d’utilisateurs de l’éditeur de jeu. Ubisoft recommande à ses utilisateurs de changer leur mot de passe par sécurité.
Le créateur de « Assassin’s » ou encore du très attendu Watch dogs affirme que la sécurité d’un de ses sites internet (Uplay) avait été compromise. Un audit a permis de démonter que des données de la base de données avaient été consultées. Data Security Breach ne sait pas si les informations (noms d’utilisateurs, adresses courriel et mots de passe [MD5]) ont été copiées et diffusées par le pirate.
Voici le courriel envoyé par UBI Soft. « Cher Membre, Nous avons récemment découvert que la sécurité d’un de nos sites Internet avait été compromise, permettant d’accéder à certains de nos systèmes en ligne sans autorisation. Nous avons immédiatement pris les mesures nécessaires pour supprimer cet accès, enquêter sur cet incident et restaurer la sécurité des systèmes touchés. Pendant cette procédure, nous avons appris que des données avaient été illégalement consultées depuis notre base de données de comptes. Ces données incluent des noms d’utilisateurs, des adresses e-mail ainsi que des mots de passe cryptés. Sachez qu’aucune information de paiement n’est stockée chez Ubisoft : vos informations bancaires ne sont donc pas concernées par cette intrusion. En conséquence, nous vous recommandons de changer le mot de passe de votre compte : datasecuritybreach.fr. Par mesure de précaution, nous vous recommandons aussi de changer vos mots de passe sur les autres sites Internet ou services où vous utilisez un mot de passe identique ou proche. Veuillez accepter nos sincères excuses pour cet incident. Soyez assurés que votre sécurité reste notre priorité. »
Opération Pangea VI
L’opération internationale « PANGEA VI », destinée à lutter contre la vente illicite de médicaments sur Internet, a impliqué cette année 99 pays dont la France. Cette opération s’est déroulée du 18 au 25 juin 2013 et a donné lieu à des arrestations dans le monde entier ainsi qu’à la saisie de milliers de médicaments potentiellement dangereux.
812 349 médicaments de contrebande et de contrefaçon ainsi que 138,7 litres et 641,5 kg de produits pharmaceutiques divers saisis par la Douane. – 114 sites illégaux de mise en ligne de médicaments identifiés par l’ OCLAESP, l’ OCLCTIC et le STRJD, dont 29 rattachés à la France qui ont fait ou font l’objet de procédures judiciaires. 85 sites hébergés à l’étranger ont été communiqués aux pays concernés pour enquête. Les analyses réalisées par Cyberdouane ont permis d’identifier 89 cibles potentielles d’investigations (sites internet illégaux, réseaux sociaux, blogs).
29 procédures judiciaires réalisées par les gendarmes et les policiers conduisant à 29 auditions de suspects, perquisitions et saisies de matériels informatiques aux fins d’analyses et poursuites d’enquêtes. 17 enquêtes sont encore en cours et 12 ont entraîné des décisions de justice et des peines allant du rappel à la loi à 12 mois de prison avec sursis. Le Service National de Douane Judiciaire (SNDJ) a été chargé de 10 enquêtes judiciaires dont une en co-saisine avec l’OCLAESP. Ces ouvertures d’enquêtes portent notamment sur des filières de produits dopants, des produits cosmétiques interdits et des anabolisants. Une enquête judiciaire a été ouverte concernant un détournement de Subutex destiné à l’Italie.
Les enquêteurs du groupement de gendarmerie départemental du Rhône et le Service National de Douane Judiciaire (SNDJ) ont collaboré pour démanteler un trafic de produits dopants opérant sur le territoire français et mettant en cause 25 personnes. Au cours des interpellations et des perquisitions, 150 flacons de marchandises prohibées et plus de 3000 comprimés ont été saisis.
Les infractions principalement visées sont d’une part l’exercice illégal de la profession de pharmacien (sanctionné de 2 ans d’emprisonnement et 30 000 € d’amende) et l’exercice illégal de la profession de médecin via Internet, (infraction visée par l’article L.6316-1 du code de la santé publique encadrant les actes de la télémédecine) et d’autre part la fabrication, l’offre à la vente, la vente et la détention de médicaments falsifiés (sanctionnées de 3 à 7 ans d’emprisonnement et d’amendes d’un montant allant jusqu’à 750 000 €).
En achetant sur Internet, les consommateurs s’exposent à recevoir des médicaments dont la qualité n’est pas garantie, dont la provenance et les circuits empruntés sont inconnus et dont le rapport bénéfice/risque n’est pas évalué. Les médicaments proposés sur Internet peuvent contenir des substances actives non mentionnées sur l’étiquetage ou à des teneurs déficitaires, être périmés ou altérés par des conditions de stockage ou de transports inadaptées. Selon l’OMS, environ 50% des médicaments vendus sur Internet seraient des contrefaçons.
Outre les contrefaçons de médicaments, un grand nombre de produits falsifiés circule sur le web : pseudo médicaments génériques non autorisés en Europe, pseudo compléments alimentaires répondant à la définition du médicament de par leur composition ou leur indication (tels certains produits du dysfonctionnement érectile ou à visée amaigrissante), ou pseudo médicaments à base de plantes médicinales.
L’ANSM rappelle que l’achat de médicaments sur Internet hors du circuit légal comporte de nombreux risques pour la santé des consommateurs et peut favoriser le mauvais usage des médicaments. Seul le circuit des pharmacies d’officine est régulièrement contrôlé par les autorités sanitaires.
Pour que les e-soldes d’été riment avec e-sécurité
Pour que les e-soldes d’été riment avec e-sécurité Pour que les bonnes affaires le restent, 6 conseils de Data Security Breach pour succomber à la tentation des bonnes affaires estivales sans tomber dans les pièges qui peuvent être tendus sur internet. 26 juin, c’est officiellement le coup d’envoi des soldes d’été. C’est l’occasion de se faire plaisir en réalisant des économies d’autant que le mauvais temps de ces dernières semaines présage d’un important stock à écouler. Malgré la crise, 80% des français ont l’intention de faire les soldes cette année selon l’étude Ifop pour Spartoo avec un panier moyen prévu de 201 euros.
De plus en plus de français font leur achat sur des sites d’e-commerce. Cependant, même si ces sites sont mieux protégés qu’auparavant, le risque de se faire arnaquer sur Internet persiste. Alors que 52% des victimes de fraude déclarent que la fraude subie « a été effectué dans un commerce en ligne », 27% des acheteurs continuent d’utiliser leur carte de crédit avec désinvolture pour effectuer des achats en ligne selon une étude Harris Interactive pour Kaspersky Lab. Les montants volés constatés sont en moyenne de 250 euros mais si 20% de ces débits sont supérieurs à 1 000 euros.
Voici une liste de 6 conseils prodigués par Kaspersky Lab pour ne pas tomber dans les mailles du filet des cybercriminels pendant cette période d’achats :
1. Etre vigilant face aux offres trop alléchantes – Les internautes ont pour habitude de recevoir des promotions de différentes marques soit via e-mail ou sur les réseaux sociaux tels que Facebook et Twitter. Cependant, certains cybercriminels abusent de cette méthode de distribution en envoyant de faux e-mails déguisés en messages légitimes de marques (phishing). Après avoir cliqué sur le lien, l’utilisateur est alors redirigé vers un site malveillant au lieu de celui du distributeur. Les pirates pourront récupérer toutes les informations bancaires stockées sur l’ordinateur; 1/3 des internautes conservent ce type d’information sur leur ordinateur domestique.
2. Vérifier l’authenticité et la sécurité du site – Si une bonne affaire se profile, il suffit de se rendre sur le site officiel de la marque pour confirmer qu’il s’agit bien d’une offre légitime et que le site n’est pas un faux. Le témoignage de clients, la présence de conditions générales et la réactivité du service client constituent d’autres indices prouvant la véracité du site. Le paiement en ligne doit également être sécurisé car même si 44% des acheteurs sur Internet ne sont pas particulièrement inquiets lorsqu’ils utilisent leurs cartes de crédit en ligne1, il est important de vérifier l’existence du cadenas et de la mention https dans la barre d’adresse.
3. Privilégier les réseaux 3G/4G au Wi-Fi – Les smartphones et les tablettes peuvent aider à suivre les bonnes affaires même au sein des centres commerciaux physiques. Cependant, les cybercriminels savent que les consommateurs ont tendance à se rendre sur des sites dotés d’identifiants ou d’informations bancaires pendant ces événements particuliers. Ils peuvent facilement surveiller les informations envoyées sur les réseaux Wi-Fi publics, telles que le numéro de compte ou de carte bancaire.
4. Favoriser des moyens de paiements fiables – Il est important de privilégier les moyens de paiement qui permettent un recours comme les systèmes de paiement sécurisés par carte bancaire et d’éviter au maximum les services de transfert d’argent, notamment à l’étranger.
5. Eviter de renseigner les sites avec trop de données personnelles – Certains sites d’e-commerce sont très intrusifs et demandent de fournir beaucoup de données personnelles. Il faut donc éviter de laisser trop d’informations sur soi.
6. Choisir un mot de passe sécurisé – Un bon mot de passe est la condition indispensable pour une protection optimale de ses données. Le mot de passe idéal doit combiner plusieurs combinaisons de caractères mais ne doit pas être réutilisé à l’infini. Plusieurs mots de passe sont nécessaires pour éviter de se faire pirater ses comptes.
Les responsables informatiques aveugles face aux failles de sécurité des réseaux d’entreprise ?
Dimension Data, le fournisseur mondial de services et de solutions informatiques, a déclaré à Data Security Breach que le nombre de périphériques vulnérables sur les réseaux informatiques d’entreprise a chuté entre 2011 et 2012, passant de 75 % à 67 %. Même s’il s’agit du chiffre le plus bas en deux ans, cette tendance met en évidence l’approche laxiste en matière de sécurité actuellement adoptée par les gestionnaires de réseau.
Telle est l’une des conclusions tirées dans le Baromètre des réseaux 2013 publié aujourd’hui par Dimension Data. Depuis son lancement en 2009, le Baromètre des réseaux informe de l’état des réseaux à l’échelle mondiale, en compilant des données en provenance des entreprises et les résultats des audits Technology Lifecycle Management (TLM) réalisés par Dimension Data dans le monde au cours de l’année écoulée. Ce rapport analyse la capacité opérationnelle des réseaux en évaluant la présence de failles de sécurité, le statut en fin de vie et le respect des bonnes pratiques de configuration des périphériques réseau. Aujourd’hui, Dimension Data affiche au compteur plus de 1 200 audits réalisés ces cinq dernières années, grâce à la solution Technology Lifecycle Management (TLM), auprès d’entreprises de toutes tailles et opérant dans tous les secteurs d’activités.
Comme l’explique à datasecuritybreach.fr Raoul Tecala, directeur du développement commercial de l’activité Intégration réseau chez Dimension Data : « Certaines failles de sécurité présentes depuis des années n’ont toujours pas été corrigées — et ce, malgré la proactivité dont font preuve certains fournisseurs comme Cisco Systems avec l’envoi d’alertes en cas de correctifs et les constantes mises à niveaux de leurs logiciels et systèmes. (…) « L’élimination de toutes les failles de sécurité peut constituer un défi de taille dans le cas d’environnements complexes d’envergure. Il convient toutefois de mettre en balance les perturbations subies et les efforts nécessaires, d’une part, avec les répercussions potentielles et les mesures qui s’avèrent indispensables. Bien que les réseaux semblent actuellement moins en proie aux failles de sécurité, la proportion importante de périphériques vulnérables se maintiendra jusqu’à l’application d’un correctif logiciel ou à la mise à niveau vers une nouvelle version plus sécurisée du code. »
Data security breach conseille aux entreprises de concentrer leurs efforts sur les failles de sécurité qui représentent le plus grand danger. « Plus le périphérique est proche d’Internet, plus le risque est important. Par conséquent, les entreprises doivent se montrer vigilantes et nous leur recommandons de mettre en place un système visant à évaluer, à hiérarchiser et à corriger en permanence les failles de sécurité des réseaux. termine Raoul Tecala, Même si les réseaux informatiques paraissent aujourd’hui moins vulnérables, bon nombre des failles de sécurité restantes sont difficiles à supprimer complètement et on en identifie de nouvelles chaque année. Il serait donc malvenu de se reposer sur ses lauriers ».
Linkedin piraté dans la nuit de jeudi ?
Jeudi, de 02h20 à 06h16, le réseau social Linkedin n’était plus dans son état normal. Durant quatre heure, les internautes qui rentraient leur login et mot de passe pour s’identifier se retrouvaient à fournir leur précieux sésame à un site qui n’avait rien à voir avec Linkedin. Le réseau social professionnel indique ne pas avoir subit de piratage mais un « problème » technique qui aurait été occasionné par son prestataire de service.
Un vrai faux site ? A première vue, un DNS capricieux et les internautes se sont retrouvés à fournir leurs identifiants à un inconnu. Ca montre aussi le niveau des utilisateurs. C’est un peu si vous fournissiez les données de votre carte bancaire dans une boite en carton posée à côté du distributeur de billets. Ca n’a pas le gout d’un distributeur, ca n’a pas la couleur d’un distributeur… mais c’est pas grave ! L’hébergeur a reconnu une erreur technique.
L’histoire ne dit pas ce qu’a bien pu récupérer le site Internet mis à la place de Linkedin durant ces 4 heures de « bug ».
Volkswagen France piraté pour piéger les utilisateurs de Skype et iTunes
Le piratage informatique d’un site web cache très souvent des actions biens plus malveillantes qu’un simple barbouillage. Pour preuve, le cas vécu, ce jeudi, par le site Internet du groupe Volkswagen France. Datasecuritybreach.fr et ZATAZ.COM ont pu constater qu’un pirate informatique avait réussi à s’inviter dans le serveur de la marque automobile Allemande afin d’y cacher une redirection malveillante vers une fausse page d’administration à Skype.
Le voleur a lancé son hameçonnage Skype (comme pour iTunes) via un courriel électronique contenant ce type de message (exemple pour skype, ndlr datasecuritybreach.fr) « Chère/Cher client Nous vous informons que votre compte Skype arrive a l’expiration dans moins de 48H. Cliquez simplement sur le lien suivant et ouvrez une session a l’aide de votre Skype ID et Mot de passe. Vérifiez maintenant. Cordialement L’assistance a la clientèle Skype 2013« .
Les Chefs d’Etat du G8 signent une Charte pour l’Ouverture des Données Publiques
Le Président de la République, François Hollande, et les Chefs d’Etat du G8 réunis les 17 et 18 juin 2013 au Sommet de Lough Erne, en Irelande du Nord, ont signé aujourd’hui une Charte du G8 pour l’Ouverture des Données Publiques. Cette Charte Open Data du G8 marque l’ambition collective des Etats Membres de promouvoir une gouvernance plus ouverte et plus transparente : en établissant un principe d’ouverture par défaut des données publiques, en affirmant le principe de gratuité de leur réutilisation et en privilégiant les formats ouverts et non-propriétaires, elle encourage l’accès de tous à l’information et promeut l’innovation entrepreneuriale, citoyenne et sociale.
Chaque Etat membre du G8 développera un plan d’action d’ici fin 2013, visant à respecter les principes de la Charte en mettant en oeuvre les meilleures pratiques et les engagements collectifs détaillés dans son annexe technique d’ici fin 2015. La France a par ailleurs contribué à dresser la cartographie des métadonnées du G8, consultable sur GitHub. Elle présente un index collectif des métadonnées des plateformes Open Data de chaque Etat Membre du G8, ainsi qu’une cartographie analytique de ces métadonnées.
Le Communiqué des Chefs d’Etat (paragraphes 46 à 50) affirme que « cette Charte contribuera à accroître la quantité de données publiques ouvertes dans les secteurs essentiels de l’action publique, comme la santé, l’environnement ou les transports ; à soutenir le débat démocratique ; et à faire en sorte de faciliter la réutilisation des données publiées ». Pour les Etats Membres du G8, « l’ouverture des données publiques est une ressource essentielle à l’âge de l’information. »
Charte du G8 pour l’Ouverture des Données Publiques (Français)
Annexe de la Charte du G8 pour l’Ouverture des Données Publiques (Français)
Cyber sécurité en France : la propriété intellectuelle est la ressource le plus valorisée
Le Ponemon Institute et FireEye ®, Inc., spécialiste de la lutte contre les cyber-attaques de nouvelle génération, datasecuritybreach.fr vous en parle souvent avec le top 10 des failles du web, viennent de publier les résultats d’une enquête sur la perception de la CyberSecurité dans les entreprises françaises et internationales.
Les directions informatiques des entreprises françaises s’accordent sur le type de données qui doit être protégé en priorité. Une décision qui rejoint la prise de position du centre d’analyse stratégique (CAS) dans sa dernière note publiée en mars 2013. En effet, le CAS constate que les grandes entreprises ont une prise de conscience très variable du danger que représentent les cyber-attaques et n’accordent encore qu’une priorité secondaire à la protection des données. Ainsi, 63 % des entreprises de plus de 200 salariés[1] auraient mis en place une politique de sécurité de l’information, et ne seraient que 14 % à 25 % à évaluer les conséquences financières des attaques subies. De plus, le niveau de connaissance et la perception du niveau de sécurité au sein de l’entreprise font débat : les opinions divergent entre dirigeants et collaborateurs sur ce sujet.
datasecuritybreach.fr a pu constater que l’enquête souligne que le détournement d’éléments de propriété intellectuelle représente une source d’inquiétude importante pour une majorité de dirigeants (77 %) et de collaborateurs techniques (74 %), qui se disent « très préoccupés » par la protection de ces données. Viennent ensuite les réserves relatives aux données clients (49 et 50 % respectivement).
Mais lorsqu’il s’agit du niveau de sécurité de leur organisation, les dirigeants et techniciens ne partagent plus la même opinion : 53 % des dirigeants considèrent leur positionnement en matière de sécurité comme excellent ou quasi-excellent. Les techniciens, en revanche, sont plus pessimistes : plus de la moitié d’entre eux considèrent le niveau de sécurité de leur entreprise comme étant « moyen ». Cet écart s’explique sans doute en raison du manque d’information concernant les récents piratages : si 47 % des techniciens affirment que leur organisation a été la cible d’une cyber-attaque au cours des 12 derniers mois, les dirigeants sont 65 % à affirmer le contraire ou à ne pas savoir.
Malgré leurs désaccords, les deux parties affichent une méconnaissance quasi-similaire des risques que comportent les cyber-attaques de nouvelle génération. En effet, 33 % des décideurs et 31 % des techniciens estiment toujours que ce type d’attaques ne représente pas une menace importante.
Au niveau international data security breach a pu constater que l’ensemble des pays s’accorde toutefois à penser que la principale cause des piratages de données relève davantage de la négligence du personnel externe ou des collaborateurs (47 % des piratages de données contre 45 % au niveau global) que d’un acte malveillant ou d’une attaque criminelle (36 % contre 37 %).
« Cette enquête donne un nouvel éclairage sur l’état de la cyber-sécurité en France”, constate Denis Gadonnet, Directeur Commercial pour l’Europe du Sud chez FireEye, « Elle indique que les entreprises françaises valorisent leurs éléments de propriété intellectuelle en tant que ressource la plus importante pour leur métier. Cependant, il existe un véritable fossé entre ce qui est perçu par les dirigeants en matière de sécurité et la réalité telle que vécu par ceux qui sont aux avant-postes de cette sécurité. »
« Parmi les pays interrogés, la France ressort parmi les plus concernés par la protection de la propriété intellectuelle, explique Larry Ponemon, Chairman du Ponemon Institute. Bien qu’ils estiment que leurs systèmes de sécurité soient opérationnels et efficaces, ils sont conscients d’un manque de formation sur les règles de sécurité en vigueur dans leur entreprise et souhaitent vivement y remédier. »
431 dirigeants et techniciens ont été interrogés en France, issus d’organisations allant de moins de 1 000 à plus de 75 000 collaborateurs (effectif mondial) et représentatifs de différents secteurs d’activité : finance, enseignement, recherche, etc.
Vers la fin du pare-feu ?
Par Jean-Philippe Sanchez, pour DataSecurityBreach.fr, Consultant chez NetIQ France – Chaque professionnel de l’informatique consacre beaucoup de temps et d’argent à s’équiper de pare-feux dernier-cri pour protéger ses informations contre toutes sortes d’agressions extérieures. C’est une situation pour le moins ironique car dans le même temps, les entreprises migrent leurs applications vers le Cloud, casse-tête auquel il faut ajouter la vague d’employés qui utilisent leurs propres appareils au bureau (BYOD – Bring your own device)…
Traditionnellement, les pare-feux constituent la pierre angulaire des stratégies pour protéger leurs actifs numériques. Il y aura toujours des pare-feux, les attaques par déni de service justifiant à elles seules leur existence. Mais l’argument selon lequel le pare-feu est le « meilleur moyen de défense » perd chaque jour de sa crédibilité. C’est pourquoi il est temps de revoir le rôle qu’il joue dans un contexte où les applications et les informations résident dans de multiples sources d’hébergement et prolifèrent sur de nombreux types de périphériques.
L’exercice est simple, datasecuritybreach.fr l’a testé pour vous : sur une feuille, indiquez l’emplacement actuel de vos actifs numériques, et d’ici trois ans. Ensuite, procédez de même pour les besoins d’accès. Vous serez étonné par l’afflux de périphériques personnels appartenant à des employés et d’autres personnes qui comptent les utiliser dans l’environnement professionnel.
De toute façon, si vous leur dites « non », ils trouveront le moyen de vous contourner et d’emporter quand même des données professionnelles ! En mettant ces renseignements à plat, vous allez rapidement vous rendre compte qu’il ne sera pas si simple de tracer un nouveau périmètre et des définir les limites à ne pas franchir. Est-ce un point de routage spécifique, un proxy ou un serveur ?
En réalité, même avant l’apparition du BYOD et des logiciels SaaS, les directions informatiques étaient probablement déjà trop dépendantes des pare-feux. Une étude récente montre que la source la plus courante de fuites de données réside à l’intérieur de l’entreprise. Les fuites de données proviennent habituellement d’utilisateurs lambda, peu qualifiés, et non de pirates sophistiqués.
Pourtant, malgré cette tendance, de nombreux services informatiques continuent de renforcer leur périmètre tout en généralisant les règles de contrôle d’accès applicables aux utilisateurs internes.
Venant s’ajouter aux variables habituelles que sont les périphériques et les lieux, la base des utilisateurs gagne elle aussi en diversité. Les exigences professionnelles obligent de plus en plus les services informatiques à ouvrir leurs pare-feux et à laisser entrer davantage d’utilisateurs ; après tout, le but est de permettre aux utilisateurs de faire leur travail. Et bien que BYOD et le Cloud fassent tout pour réduire le rôle des pare-feux, la nécessité de partager des quantités d’informations de plus en plus importantes avec des sous-traitants, des consultants et même des partenaires distants implique une protection plus robuste et un contrôle granulaire au sein de l’intranet. Et votre pare-feu ne peut certainement pas répondre facilement à cette exigence, voire pas du tout.
Ainsi, l’ère « post-pare-feu » se dessine. Bien sûr, il y aura toujours un certain type de protection, mais la nouvelle norme en matière de contrôle d’accès sera incarnée par l’utilisation à grande échelle de passerelles au niveau des applications et des informations, et non plus par votre pare-feu.
Une nouvelle application nuisible pour Android toutes les 22 secondes
Android a pris l’ascendant dans le secteur du mobile. Selon l’institut Gartner, environ 75 % de tous les smartphones achetés dans le monde au cours du premier trimestre 2013 sont équipés d’Android. Rien d’étonnant alors que les cybercriminels se focalisent sur cette plateforme. Durant le seul mois de mai, Datasecuritybreach.fr a appris que le G Data Security Labs a dénombré environ 124.000 nouvelles applications malveillantes ciblant le système d’exploitation de Google, soit en moyenne une application toutes les 22 secondes. Leurs auteurs visent principalement à voler des données personnelles, envoyer des SMS ou réaliser des appels surtaxés.
« Les codes malveillants sur mobile ont rapidement évolué en une entreprise lucrative pour les cybercriminels. Les auteurs utilisent principalement des chevaux de Troie pour agir, car ils peuvent être déployés de multiples façons. Ces codes nuisibles permettent non seulement le vol de données personnelles, mais aussi la fraude en utilisant de coûteux services surtaxés », explique à Data Security Breach Eddy Willems, Security Evangelist chez G Data.
État de la menace
Durant le seul mois de mai, 124 255 applications malveillantes. 51 698 ont été référencées comme étant des applications indésirables (PUP ou Potentially Unwanted Program), autrement dit des programmes non spécifiquement dangereux mais qui installent des publicités ou perturbent la navigation Internet de l‘utilisateur. 72,527 applications ont quant à elles été identifiées et classées en tant qu’applications infectées. Autrement dit des programmes dangereux dont le but est de voler des données ou de prendre le contrôle de l’appareil. En moyenne, toute catégorie confondue, un danger touchant la plateforme Android est apparu toutes les 22 secondes durant le mois de mai.
48% des entreprises n’utilisent pas d’outils de gestion centralisée de leur sécurité informatique
DataSecurityBreach.fr a appris que 48% des entreprises n’utilisent pas d’outils de gestion centralisée de leur sécurité informatique. Bien que ces outils facilitent grandement la gestion des paramètres de sécurité informatique, près de la moitié des entreprises interrogées n’y ont pas recours selon une enquête européenne réalisée par Kaspersky Lab en collaboration avec B2B International en novembre 2012.
Les entreprises en général – et particulièrement les plus petites organisations – trouvent souvent que le déploiement et le contrôle des postes de travail et la protection des appareils mobiles n’est pas une tâche aisée. Des outils de gestion centralisés ont été mis en place pour faire face à cette problématique, cependant à peine la moitié des entreprises sont conscientes de leur potentiel. Selon les résultats de l’enquête, seulement 52% des entreprises dans le monde utilisent des solutions permettant une gestion centralisée de leur infrastructure informatique.
Une entreprise qui souhaite mettre en place une sécurité minimale doit configurer un large éventail d’outils de sécurité spécifiques à l’infrastructure informatique d’une entreprise, tels que les postes de travail et les appareils mobiles. En outre, chacune de ces interfaces doit être configurée pour répondre aux besoins spécifiques de l’entreprise, notamment aux politiques de sécurité interne. Les outils de gestion centralisés peuvent avoir un rôle prépondérant pour aider à réaliser cela. Mais, selon B2B International, ces outils sont utilisés par seulement la moitié des entreprises interrogées dans le monde entier. Alors que seulement 30% des entreprises ont pleinement mis en œuvre des outils de gestion clients, 29% des personnes interrogées se limitent à l’installation partielle d’une console de gestion centralisée.
Or, ces solutions augmentent le niveau de sécurité de l’infrastructure, tout en réduisant considérablement la charge de travail informatique de l’entreprise, en éliminant la nécessité de configuration de la protection informatique et de surveillance l’état de chaque poste de travail individuellement.
Stratégie de sécurité informatique : contrôle des utilisateurs à privilèges
Ces dernières années, datasecuritybreach.fr vous en parle assez, cyberdéfense et cybersécurité ont pris une place considérable dans la vie des entreprises et des particuliers. Les jours passent et les attaques s’amplifient. Elles sont toujours plus ciblées, diversifiées et étendues, et la cybercriminalité fait partie intégrante de notre vie quotidienne. Historiquement, les éditeurs d’antivirus et de pare-feu ont pris le leadership du marché. Paradoxalement, ils ne traitent qu’une partie des problèmes ce qui se traduit par une augmentation du nombre d’incidents et de leur ampleur, malgré la croissance des budgets de sécurité informatique. En effet, un pan entier de la sécurité informatique reste méconnu : la gestion des utilisateurs à privilèges, qui répond au nom encore mal connu en France, d’Insider Threat ou gestion de la menace interne.
Pour l’éditeur français, WALLIX, spécialiste de la traçabilité des utilisateurs à privilèges, une stratégie de sécurité complète et cohérente doit, certes, prévoir de se protéger contre les menaces provenant de l’extérieur mais également des risques qu’impliquent la liberté absolue dont jouissent les utilisateurs à privilèges.
Un utilisateur à privilège, qu’est-ce que c’est ?
Un utilisateur à privilège, est, par définition, une personne dont les droits ont été élevés ou étendus sur le réseau informatique. Datasecuritybreach.fr y voir les droits d’accès, gestion des autorisations, administration des équipements et applications, modification, suppression ou transfert de fichiers, etc. L’utilisateur à privilèges peut être interne ou externe à une société. Ses droits lui sont délégués par le représentant légal de la société qui souvent n’est même pas au courant de ce risque. Par nature, l’utilisateur à privilèges a donc accès à des données sensibles et stratégiques pour l’entreprise aux secrets de l’entreprise et de ses salariés. Il a un droit de vie et de mort sur l’informatique de l’entreprise.
L’utilisateur à privilèges fait-il toujours partie d’une société ?
Lorsqu’une société externalise la gestion d’une partie ou de l’ensemble de son informatique ou de ses équipements, les prestataires qui prennent la main à distance ou interviennent sur le réseau interne pour mener à bien des opérations de support ou de maintenance deviennent des utilisateurs à privilèges, et ce, bien qu’ils ne fassent pas partie des effectifs de la société. Savez-vous par exemple quelles sont les autorisations d‘accès d’un technicien qui vient réparer la photocopieuse IP ou la connexion réseau ?
En d’autres termes, externaliser revient, pour une entreprise et son dirigeant, à confier « les clés de la maison » à une personne inconnue, qui aurait accès à l’ensemble des pièces et du contenu des placards, avec la capacité de les fouiller, d’y prendre et remettre ce qu’il y trouve, en gérant lui-même les autorisations d’accès. Si quelque chose est endommagé, disparaît ou est simplement dérobé après son passage, que faire ? Comment savoir ce qui a été fait ? Où y a-t-il eu un problème ? Quand ? De quelle manière ? Qui va payer les dégâts ? Comment vais-je pouvoir justifier l’incident ou le vol vis-à-vis des assurances ?
Pour le Clusif et son panorama 2012 des menaces informatiques, près de la moitié des entreprises de plus de 200 salariés en France, et des collectivités territoriales externalisent la gestion de leur Système d’information, 50% ne collectent pas les logs (pas de preuve), 20% ne changent jamais les mots de passe y compris lorsqu’un départ ou un changement de prestataire survient.
Quels sont les risques liés aux utilisateurs à privilèges ?
De par leur statut, les utilisateurs à privilèges, au même titre que les utilisateurs « lambda » font peser des risques sur le réseau d’entreprises. On peut les classer en plusieurs catégories :
– Les risques liés à l’erreur humaine : comme n’importe quel utilisateur, l’utilisateur à privilèges reste un être humain, susceptible pour quelque raison que ce soit de commettre des erreurs sur un réseau ; seulement ces erreurs peuvent avoir des conséquences considérables sur la productivité, la réputation et le chiffre d’affaires de l’entreprise affectée.
Imaginons, par exemple, qu’après une erreur de manipulation lors d’une opération de télémaintenance, un prestataire externe provoque une panne sur le serveur d’un e-commerçant. Pour ce dernier, ce sont des pertes de chiffre d’affaires pendant toute la durée de la panne qu’il est nécessaire de réparer, mais avant cela d’en retrouver l’origine. Ceci peut prendre un temps considérable, multiplier les dégâts mais également entacher sérieusement la réputation de l’e-commerçant définitivement.
Entretemps, les clients iront se servir ailleurs. Désormais, avec les nouvelles réglementations, il sera nécessaire de communiquer sur un incident, avec un risque d’amende liée à la perte d’informations clients (données clients, numéros de carte bleue, ou encore, données de santé). Dans un autre cas récent, des centaines de dossiers patients se sont retrouvés publiés sur Internet.
C’est en tapant son nom par hasard dans un moteur de recherche qu’une personne a retrouvé l’intégralité de son dossier médical en libre consultation. Ce type de fuite de données peut provenir d’une erreur humaine (un prestataire externe commet une faute dans les process et laisse s’échapper ces données) ou d’un acte de malveillance qui illustre les risques liés aux utilisateurs à privilèges.
– Les risques liés à la malveillance : l’utilisateur à privilèges reste un être humain. Ainsi, lorsqu’une collaboration professionnelle se finit en mauvais termes, il peut être tentant d’utiliser ses droits pour nuire à l’entreprise ou voler des informations stratégiques (fichiers clients, CB, secrets, …).
En 2012, c’est un sous-traitant de la société Toyota qui, après avoir été licencié, avait dérobé des informations relatives aux brevets industriels du constructeur japonais. Combien de bases clients dérobées, de messages divulgués ou d’informations recueillies grâce à des fichiers informatiques indûment téléchargés ? Là encore, se pose la problématique de l’origine de la fuite. Qui a fait cela ? Quand et comment ? Pourquoi cette personne a-t-elle eu accès à ces données en particulier ? Peut-on empêcher un tel acte ou en garder la trace et comment ? Comment gérer cela en interne et avec les prestataires externes ?
Selon une étude Forrester que datasecuritybreach.fr vous proposait il y a peu, 50 % des utilisateurs à privilèges partent de leur entreprise ou sortent d’une mission d’infogérance avec des données sensibles. Comment peut-on donc évaluer ou mieux encore parler de gestion des risques sans traiter ce sujet ? Quand les hautes autorités de sécurité nationale mettront elles en garde contre ces risques béants ?
Heureusement, de plus en plus de DSI et de RSSI, pour répondre au contrôle interne ou à leurs directions générales, prévoient l’usage d’une solution qui réponde au problème de la gestion de la menace interne et des prestataires externes. Aussi ont-ils prévu l’intégration d’une solution de gestion des utilisateurs à privilèges dans leurs politiques de sécurité.
Le marché français du PUM (Privileged User Management) n’en est qu’à ses balbutiements malgré l’urgence. WALLIX, éditeur pionnier dans la gestion des utilisateurs à privilèges grâce à sa solution Wallix AdminBastion, le WAB, préconise, bien entendu la protection contre les menaces provenant de l’extérieur du réseau. Elles sont connues et désormais très bien circonscrites grâce à des solutions comme l’anti-virus, le firewall, l’IPS, l’IDS etc. Cependant, l’éditeur français insiste auprès de datasecuritybreach.fr sur la nécessité et l’urgence de compléter ces dispositifs par des solutions internes de contrôle des utilisateurs à privilèges. Cependant, ces solutions souffrent d’une mauvaise réputation : trop souvent, celles-ci sont perçues comme des produits visant purement et simplement à surveiller les utilisateurs à privilèges. Contre toute attente, elles permettent surtout de dédouaner les utilisateurs en apportant une preuve tangible et concrète de l’origine de l’incident.
Pour Jean-Noël de Galzain, fondateur de WALLIX, l’éditeur pionnier de solution de gestion des utilisateurs à privilèges, le WAB : « une stratégie de sécurité cohérente de bout-en-bout ne peut plus se passer de solutions de contrôle des utilisateurs à privilèges. Chaque jour, des utilisateurs à privilèges accèdent à des données essentielles et stratégiques pour la survie et la rentabilité de l’entreprise. Même si, bien entendu, la malveillance n’est généralement pas la première cause de perte de données, les erreurs humaines sur un réseau, sont, elles, bien réelles et peuvent prendre des proportions catastrophiques à l’échelle de l’Internet. Nous alertons vivement les DSI, RSSI et les plus hautes instances de sécurité informatiques quant aux risques qui pèsent en termes de productivité, de réputation et de conformité sur les entreprises publiques et privées. La gestion des risques internes est aussi prioritaire que la gestion des menaces périmétriques. Le risque le plus grave serait de l’ignorer ! »
Demande de report des négociations TTIP
Suite au scandale PRISM, l’eurodéputée socialiste demande aux ministres européens du Commerce de reporter la réunion du 14 juin.
« Devant l’ampleur des révélations, je demande aux Ministres du Commerce des 27 d’ajourner leur réunion prévue dans trois jours à Luxembourg » déclare Françoise Castex à Datasecuritybreach.fr. Les 27 doivent décider ce vendredi du mandat de négociation de la Commission européenne dans le cadre de l’accord de libre échange UE / Etats-Unis.
Pour l’eurodéputée qui a saisi l’exécutif européen sur l’affaire PRISM par le biais d’une question écrite: « la confiance a été clairement rompue et nous ne pouvons engager des négociations avec nos partenaires américains tant que des garanties suffisantes n’auront pas été apportées par les autorités américaines. »
Pour la Vice-présidente de la Commission des affaires juridiques du Parlement européen: « cette affaire met en lumière le décalage entre notre vieux continent, où il existe déjà de puissantes règles en matière de protection des données, et les Etats-Unis qui n’ont pas les mêmes exigences en la matière. »
« Sur ce point nous devons être intransigeant: le traitement des données des citoyens européens par les autorités publiques américaines doit être fait selon nos normes. », souligne la députée.
Avant de conclure à Datasecuritybreach.fr : « cette affaire nous montre l’urgence de faire émerger en Europe les conditions d’un marché de l’Internet basé sur la confiance pour permettre aux citoyens de relocaliser leurs données en Europe, et non l’inverse! »
Se protéger de la cyber surveillance
Un ancien fonctionnaire de la CIA, officiant pour la NSA, révèle l’existence de PRISM, un espion numérique. Voici comment combattre cet espionnage. Vous avez très certainement dû lire les « révélations » d’un ancien agent de la CIA, Edward Snowden, expliquant que les grandes oreilles de l’Oncle Sam avaient mises en place, avec l’aide de Microsoft, Yahoo!, Google, Facebook, PalTalk, Youtube, Skype, AOL et Apple, un moyen d’interception de données global. Collecte de fichiers, photos, vidéos, audios, … Des données que peuvent ensuite se partager la NSA, le FBI et le MI6/MI5 Anglais. Vous comprenez mieux pourquoi zataz.com expliquait, il y a peu, le rachat de Skype (Entreprise alors Australienne) par Microsoft. Une collecte de taille, 97 milliards d’informations. Bref, voici avec Prism, le petit frère espion du système Echelon qui avait fait couler pas mal d’encore à la fin des années 90.
Chiffrez vos informations
Pour cela, de nombreux outils vous permettent de protéger vos données et autres contenus. Pour les eMails, passez par EnigMail (http://www.enigmail.org) ; pour l’ensemble de vos données GNU Privacy Guard (http://www.gnupg.org) ; Mailvelope vous permet de chiffrer vos correspondances par webmail (http://www.mailvelope.com) ou encore, via votre navigateur, WebPG (http://webpg.org/) ; couplez à cela des outils d’anonymisation et d’auto destruction de vos fichiers comme avec AnonPaste (http://www.anonpaste.me/anonpaste2/index.php) ou encore PastBay (http://pastebay.com) et FileTea (https://filetea.me) et vous voilà avec de quoi sécuriser votre vie sur la toile. En parlant de webmail (Gmail, Yahoo, …), si vous utilisez un outil de la sorte, pensez à chiffrer vos correspondances. BitMessage (https://bitmessage.org/) et RiseUp feront parfaitement l’affaire. DataSecurityBreach.fr conseille cependant d’utiliser des clients de messagerie. Plus « secure » ! Pour pallier à Outlook ou encore Apple Mail, penchez-vous sur Mozilla Thunderbird (https://www.mozilla.org/en-US/thunderbird/) ou encore iCedove. (http://directory.fsf.org/wiki/Icedove).
Vos « surfs »
les navigateurs alternatifs ne sont pas légions. Oubliez donc, à en croire l’ex 007, Safari, Chrome et Internet Explorer. Passez vers Firefox, le navigateur Open Source de Mozilla et le chiffrement proposé par l’outil TOR. Ce dernier propose d’ailleurs un navigateur chiffré et à la navigation anonyme. Petit bémol pour Firefox, comme l’indique le document lié à la politique de confidentialité de Firefox, plusieurs données sont collectées. En ce qui concerne les recherches sur Internet, oubliez Google Search, Yahoo! Search et Bing de Microsoft. Passez vers DuckDuckGo (https://duckduckgo.com/), StartPage (https://startpage.com/) ou encore Yacy (http://www.yacy.net/). Nous ne proposerons pas de solutions pour le Cloud. Si vous utilisez un tel service, pensez à chiffrer vos sauvegardes. Pour les amateurs de messagerie instantanée, oubliez Whats App Messenger, Yahoo! et autre Google Talk. RetroShare (http://retroshare.sourceforge.net) est parfait.
Vous pouvez aussi vous pencher sur l’application Firefox Cryptocat. Utilisateurs de smartphone, Android permet d’installer des outils qui sécuriseront vos appels comme le montre l’émission du mois de mai de ZATAZWeb.tv. TextSecure (https://whispersystems.org/#encrypted_texts) permet de sécuriser SMS et MMS. Les clés USB, aussi, peuvent se sécuriser, comme cette possibilité biométrique chiffrée présentée sur Data Security Breach. Pour les utilisateurs des outils de la grosse pomme, un Cat sécurisé/crypté est proposé avec ChatSecure (https://chatsecure.org) et le surf sans trace avec Onion Browser (https://mike.tig.as/onionbrowser).
Bref, prévenir les actes d’attentats, ok. 62% des américains estimeraient selon une étude récente (Le Monde) que les écoutes téléphoniques sont importantes pour lutter contre les terroristes ; 45 % veulent que le gouvernement aille plus loin dans ses « enquêtes ». Que ces américains se réjouissent, c’est en cours !
APT: Détecter l’espion qui est sur votre réseau
Que signifie le fait d’être la cible d’une Menace Persistante Avancée (APT ou Advanced Persistent Threat en anglais) ? Comme vous l’indique souvent DataSecurityBreach.fr, les APT sont des menaces beaucoup plus subtiles, intelligentes et dangereuses que ses prédécesseurs qui étaient aléatoires et généralement moins sophistiquées. Les menaces Internet sont beaucoup plus malveillantes aujourd’hui et nous ne pouvons plus compter sur les défenses basées sur les signatures pour les combattre. Nous devons battre l’intelligence par l’intelligence. Christophe Auberger, Responsable Technique chez Fortinet considère auprès de Data Security Breach Magazine le ‘sandboxing’ comme étant un outil clé dans la lutte contre les APT
Alors que la cybercriminalité évolue et progresse, elle peut également être vue comme rétrospective dans son approche. La cybercriminalité a aujourd’hui de nombreuses similitudes avec l’âge d’or de l’espionnage d’antan – infiltrer, se cacher et extraire des informations de valeur ou sensibles sans être détecté. Cette approche est très efficace dans un monde où les informations numériques sont de plus en plus précieuses.
L’infiltration furtive en ligne visant à voler des informations confidentielles et de valeur est le but ultime des cybercriminels actuels. Il est clair que les organisations doivent être particulièrement vigilantes et préparées pour détecter ces nouveaux types de menaces endémiques et continues. L’incorporation et l’exécution réussies de codes malveillants sur un réseau peuvent faire des ravages au sein d’une organisation, le plus grand risque consistant dorénavant dans le vol de propriété intellectuelle. Avantage concurrentiel, informations d’initiés, propriété intellectuelle de valeur et cessible sont autant de données précieuses aussi bien pour les cybercriminels professionnels que pour les attaquants émergents cautionnés (fait encore non confirmé) par les Etats.
De nouvelles façons de travailler comme le BYOD, où les terminaux sont également utilisés à des fins non professionnels comme pour l’utilisation des medias sociaux, favorisent les APT. Un simple lien sur Facebook vers une page Web infectée peut s’avérer être le point d’entrée dans le réseau d’une organisation. Les cybercriminels deviennent très compétents dans le ciblage des personnes avec l’objectif de les inciter à leur insu à donner accès à leurs appareils et, par conséquent, au réseau de l’entreprise.
Par chance, il existe encore des moyens pour détecter les ‘espions’ qui tentent d’infiltrer, et même ceux qui ont eu accès et sont sur le réseau. Ils laissent toujours des indices. Il suffit de chercher les signes et, dans le cas d’un ‘espion’ présumé, on le pousse à commettre des erreurs qui permettront de l’identifier et de le confondre.
Le sandboxing n’est pas une idée nouvelle, datasecuritybreach.fr vous en parle souvent, mais il se révèle être de plus en plus utile dans la lutte contre les APT. Les logiciels malveillants ont toujours essayé de se dissimuler et les hackers d’aujourd’hui rendent leurs logiciels ‘conscients’ de leur environnement. Le sandbox – qui peut être local ou en mode cloud – offre un environnement virtuel étroitement contrôlé dans lequel seules les ressources de base sont fournies pour permettre aux logiciels suspects ou inconnus de s’exécuter, et où l’accès au réseau et aux autres fonctions critiques sont restreints. Les logiciels malveillants sont dupés sur le fait qu’ils ont atteint leur destination finale de sorte qu’ils dévoilent leurs véritables comportements alors qu’ils sont observés de près. Mais, comment savoir quelle partie du logiciel doit être conduite dans un environnement virtuel de sandbox pour un examen plus approfondi ?
Il y a cinq comportements d’exfiltration et exploitations de failles qui, soit isolément ou en tandem, peuvent indiquer une activité de logiciels malveillants. En les observant plus en détails Data Security Breach voit que certaines charges d’APT génèrent de manière aléatoire des chaines d’adresses IP visant à faciliter leur propagation, ou elles tentent d’établir une connexion avec un serveur de commande et de contrôle dans le but d’exfiltrer des données ou de faire appel à d’autres ressources d’attaques via un botnet. Si les détails du serveur malveillant sont identifiés, c’est comme si un espion présumé mis sous surveillance se dévoile lorsqu’il appelle son maitre-espion.
En outre, des cas avérés d’APT ont impliqué de nombreuses techniques pour dissimuler (obfuscating) le vrai sens et l’intention du code malveillant JavaScript, et bien sûr, le logiciel malveillant va certainement imiter le comportement du terminal ou de l’application hôte pour éviter la détection. Par conséquent, la tendance à avoir des logiciels malveillants encryptés au sein des charges d’APT expose l’ensemble du trafic encrypté à un risque élevé.
Pour une protection plus efficace et un meilleur contrôle, le sandboxing devrait idéalement opérer dans le cadre d’une stratégie multi-couches. La première ligne de défense est le moteur antivirus supporté par une sandbox embarquée en ligne opérant en temps réel. Si les menaces s’avèrent appropriées, les fichiers suspects peuvent être soumis à une sandbox basée sur le cloud pour davantage d’analyses. Cette approche unifiée et multi- couches offre plus de contrôle et de rapidité pour contrer une attaque potentielle. Et c’est nécessaire. De la même façon que la cybercriminalité devient plus évoluée et multi-couches, la stratégie de sécurité de l’organisation doit l’être également.