Archives de catégorie : ID

Hajime, un nouveau malware IoT aux 300 000 objets sous ses ordres

Hajime – un mystérieux malware IoT (Internet of Things) évolutif qui construit un botnet peer-to-peer géant. Récemment, le botnet s’est largement étendu, infectant des milliers d’appareils partout dans le monde. À date, le réseau compte près de 300 000 machines compromises et prêtes à travailler ensemble pour obéir aux consignes de leur donneur d’ordres. En attendant, la raison d’être de Hajime reste inconnue.

Hajime, qui veut dire « départ » ou « origine » en japonais, a montré ses premiers signes d’activité en octobre 2016. Depuis, il a évolué pour développer de nouvelles techniques de propagation. Le malware construit un gigantesque botnet peer-to-peer – un groupe décentralisé de machines compromises qui réalisent discrètement des attaques DDoS ou des campagnes de spam.

Cependant, Hajime n’est pas composé de code ou de fonctionnalités d’attaque – il contient uniquement un module de propagation. Hajime, une famille avancée et furtive, utilise différentes techniques – principalement des attaques par brute-force sur les mots de passe – pour infecter les machines. Ensuite, le malware prend des mesures variées pour se cacher des victimes. Et voici comment un appareil devient membre du botnet.

Hajime cible tous les types d’appareils. Cependant, les auteurs de ce malware se concentrent particulièrement sur les magnétoscopes numériques, suivis par les webcams et les routeurs.

Selon les chercheurs de Kaspersky Lab, Hajime évite plusieurs réseaux, y compris ceux de General Electric, Hewlett-Packard, des services postaux américains (US Postal Service), du Département de la Défense des États-Unis et un certain nombre de réseaux privés.

L’infection venait principalement du Vietnam (plus de 20%), puis Taiwan (près de 13%), le Brésil (approximativement 9%), au moment où la recherche de Kaspersky Lab a été effectuée.

La plupart des appareils compromis sont situés en Iran, au Vietnam et au Brésil.

Globalement, pendant la durée de ses recherches pas moins de 297 499 appareils uniques partageant la configuration de Hajime « Hajime intrigue particulièrement par sa raison d’être. Alors que son réseau d’objets compromise continue de grandir, son but reste inconnu. Nous n’avons trouvé de traces de sa présence dans aucune attaque ou autre activité malicieuse.. Cependant, nous conseillons aux propriétaires d’objets connectés de changer le mot de passe de leurs appareils au profit d’un mot de passe capable de supporter une attaque par brute-force, et de mettre à jour leur firmware lorsque c’est possible » précise Konstantin Zykov, Senior Security Researcher chez Kaspersky Lab.

N’utilisez plus les outils US, Trump va vendre vos informations

Le Congrès Américain vient de donner le feu vert qui permet aux opérateurs télécoms US de vendre vos informations.

Vous utilisez un service Télécom/Internet américain ? Souriez, vos historiques concernant les sites que vous avez visité, les applications que vous avez utilisé, vos recherches dans un moteur de recherche ou encore le contenu de vos mails, santé et data financières pourront être revendues aux plus offrants.

Les fournisseurs d’accès à Internet n’attendent plus qu’une signature du président Trump avant qu’ils ne soient libres de prendre, de partager et même de vendre votre historique 2.0… sans votre permission. La résolution a été adoptée par le sénat, la semaine dernière. Le Président élu Trump n’a plus qu’à finaliser le massacre. Car, comme l’explique The Verge, les FAI le faisaient déjà de manière « discrète », voici une loi qui valide définitivement ce pillage et la revente des informations.

« Les fournisseurs de services comme AT & T, Comcast, etc. pourront vendre les renseignements personnels au meilleur enchérisseur sans votre permission« , a déclaré la représentante Anna Eshoo (D-CA).

Autant dire que les données que les utilisateurs non américains laissent sur des services hébergés par des entreprises de l’Oncle Sam sont purement et simplement en danger de finir dans des mains tierces sans même que vous le sachiez.

Fuite de données sensibles concernant des juges

Un document papier retraçant les identités, les adresses et les numéros de téléphones de dizaines de juges découvert… par terre !

Le moins que l’on puisse dire est que les fuites de données peuvent prendre toutes les formes possibles et imaginables. 126 juges canadiens viennent de découvrir les joies du document ulta sécurisé, tellement qu’il n’existe qu’en version papier… mais qui se retrouve au sol, sur une place de parking. Un dossier comprenant les identités, les adresses postales privées, les numéros de téléphones de juges. Une tête en l’air l’a oublié ? la fait tomber ?

Comme l’indique nos cousins de « La Presse« , une copie a été retrouvée sur la place de stationnement d’un commerce des Laurentides. Un document qui n’existerait pas en mode numérique [ils l’ont tapé avec une vieille machine à écrire ?, NDR], sur aucun serveur et qu’il « est interdit de transmettre par voie électronique » [donc en numérique !, NDR].

Plus étonnant, cette liste, en plus des données professionnelles, comporte aussi les données privées, dont les identités des conjoints. Vue l’ambiance locale entre les nombreuses affaires de corruptions, de détournement d’argent, une telle liste pourrait être particulièrement préjudiciable pour le pays et ces hommes de loi.

Des politiques Indiens attaqués par un mystérieux Legion Group

Plusieurs politiques Indiens ont été victimes de piratages informatiques signés par un mystérieux collectif Anonymous prénommé Legion Group. Les pirates annoncent s’être aussi attaqués aux institutions bancaires du pays.

Au cours de ces derniers jours de décembre 2016, une dizaine de comptes Twitter d’hommes et de femmes politiques Indiens (Rahul Gandhi, Vijay Mallya, Ravish Kumar, Barkha Dutt) ont été piratés par un mystérieux collectif d’hacktivistes signant leurs actes sous le pseudonyme de Legion Group. Pour annoncer leurs actions, ils ont affiché plusieurs messages sur les comptes malmenés des politiques et de plusieurs journalistes de la télévision nationale : « Remember kids, e-mail us at legion_group@xxxxx.org if you have useful information or sp00lz.« 

En novembre dernier, le vice-président du Congrés [Indian National Congress], Rahul Gandhi, avait été piraté par le même groupe. Des traces de Legion group ont été retrouvées à Bangalore, aux États-Unis, en Suède, au Canada, en Thaïlande et en Roumanie. Bref, les proxies tournent à plein. Le porte-parole, qui risque d’être l’unique membre de cette team, a indiqué agir sans aucun motif politique. « Notre prochaine cible, les banques du pays » affirme le pirate. Parmi les cibles annoncées : sansad.nic.in [Registar indien], et le système bancaire du pays. « Le système bancaire de l’Inde est profondément défectueux et a été piraté à plusieurs reprises » déclare Legion Group, sans apporter cependant la moindre preuve. Bref, peu importe le continent, les pirates sont tous les mêmes !

Nouveau piratage Yahoo : Des Français concernés

Un nouveau piratage informatique de Yahoo! vient d’être confirmé par le géant de l’Internet Américain. Cette fois, 1 milliard de données clients sont concernées. Des Francophones sont visées par cette fuite de données massive.

Depuis quelques heures, Yahoo!, partout dans le monde, écrit aux clients de ses services (mails, …) concernés par une nouvelle fuite de données concernée par un nouveau piratage de données. Comme le confirmait ZATAZ.COM depuis le mois d’août 2016, les attaques et fuites d’informations sensibles appartenant au géant américain ne font que commencer tant les failles et « tuyaux percées » étaient nombreux.

En novembre 2016, les autorités policières ont fourni à Yahoo des fichiers de données qu’un tiers déclarait être des données d’utilisateurs Yahoo. « Nous avons analysé ces données avec l’aide de spécialistes externes et avons découvert qu’il s’agit de données d’utilisateurs Yahoo » indique le courriel envoyé aux internautes Francophones concernés. D’après les résultats de l’analyse plus approfondie qu’ont réalisé les spécialistes sur ces données, un tiers (1 seul ?) non autorisé a dérobé en août 2013 des données associées à un ensemble de comptes utilisateur « y compris le vôtre » annonce la missive. « Nous n’avons pas été en mesure d’identifier l’intrusion associée à ce vol. Nous avons des raisons de penser que cet incident est probablement distinct de celui que nous avons révélé le 22 septembre 2016« .

Il est possible que les informations dérobées dans les comptes utilisateur concernent des noms, des adresses mail, des numéros de téléphone, des dates de naissance, des mots de passe cryptés (au format MD5) et, dans certains cas, des questions/réponses chiffrées ou non chiffrées concernant la sécurité. Votre compte ne comporte peut-être pas toutes ces données. Les recherches indiquent que les informations dérobées n’incluent ni les mots de passe en texte clair, ni les données de carte de paiement, ni les informations concernant les comptes bancaires. Les données de carte de paiement et les informations relatives aux comptes bancaires ne sont pas stockées dans le système que nous pensons être concerné. Pour ce qui concerne le mot de passe, un « simple » hash MD5 qui se « crack » très rapidement si votre mot de passe est connu des bases de données.

Nous vous invitons à suivre ces recommandations concernant la sécurité :

  • Changez vos mots de passe et les questions/réponses de sécurité de vos autres comptes si vous avez repris des informations identiques ou semblables à celles que vous utilisez pour vous connecter à Yahoo.
  • Examinez vos comptes à la recherche de toute trace d’activité suspecte.
  • Faites preuve de la plus grande prudence si vous recevez des mails non sollicités vous demandant de fournir des informations personnelles ou qui vous envoient sur une page Web où vous devez indiquer des informations personnelles.
  • Évitez de cliquer sur des liens ou de télécharger des pièces jointes à des mails suspects.

Par ailleurs, pensez à utiliser une clé de compte Yahoo : cet outil d’authentification simple évite d’avoir à utiliser un mot de passe pour vos connexions avec Yahoo. Je vous conseille aussi, mais je ne suis pas le seul, à utiliser la double authentification, dont celle proposée par Yahoo! depuis peu ou encore Dailymotion, Google, Linkedin, Facebook, Twitter, Amazon ou encore votre propre site Internet.

Stegano, un malware publicitaire infectant de nombreux sites Internet

Découverte de Stegano, un nouveau kit d’exploitation se propageant via des campagnes publicitaires. De très nombreux sites Internet à forte notoriété ayant des millions de visiteurs quotidiens ont été touchés. Au cours des deux derniers mois, Stegano a été affiché auprès de plus d’un million d’utilisateurs. Stegano se cache dans les images publicitaires (en Flash) affichées sur les pages d’accueil des sites Internet.

Depuis le début du mois d’octobre 2016, des cybercriminels ciblent les utilisateurs d’Internet Explorer et analysent leur ordinateur pour détecter les vulnérabilités dans Flash Player. En exploitant leurs failles, ils tentent de télécharger et d’exécuter à distance différents types de malwares.

Ces attaques se rangent dans la catégorie des publicités malveillantes, c’est-à-dire que des codes malicieux sont distribués via des bannières publicitaires. La victime n’a même pas besoin de cliquer sur la publicité : il suffit qu’elle visite un site Internet l’affichant pour être infecté. Elle est alors renvoyée automatiquement vers un kit d’exploitation invisible permettant aux cybercriminels d’installer à distance des malwares sur son ordinateur.

« Certaines des charges utiles que nous avons analysées comprennent des chevaux de Troie, des portes dérobées et des logiciels espions, mais nous pouvons tout aussi bien imaginer que la victime se retrouve confrontée à une attaque par ransomware, » explique Robert Lipovsky, senior malware researcher chez ESET. « Cette menace montre combien il est important d’avoir un logiciel entièrement patché et d’être protégé par une solution de sécurité efficace et reconnue. Si l’utilisateur applique ces recommandations, il sera protégé contre ce genre d’attaque.» poursuit Robert Lipovsky.

« Stegano » fait référence à la sténographie, une technique utilisée par les cybercriminels pour cacher une partie de leur code malveillant dans les pixels d’images présents dans les bannières publicitaires. Ceux-ci sont masqués dans les paramètres contrôlant la transparence de chaque pixel. Cela entraîne un changement mineur des tons de l’image, rendant ces derniers invisibles à l’œil nu pour la victime potentielle.

Pour vous protéger, bannissez Flash de vos ordinateurs !

Comment renforcer la sécurité de vos mots de passe en 5 étapes

Le piratage des comptes Twitter et Pinterest de Mark Zuckerberg a été lié à la fameuse fuite de données subie par LinkedIn, et facilité par le fait que le milliardaire utilisait les mêmes mots de passe sur plusieurs comptes. Cette histoire constitue une bonne raison pour vous inciter à renforcer la sécurité de vos mots de passe. S’assurer de sa sécurité en ligne ne doit pas nécessairement être tâche compliquée : avec les bons outils, vous pouvez vous protéger tout en économisant votre temps et votre énergie.

Voici 5 conseils pour vous assurer que vos comptes personnels soient aussi sûrs que possible :

1. Créer des mots de passe n’a jamais été notre fort. Utilisez un gestionnaire dédié.
Chaque jour apporte son lot d’histoires de piratage, certaines ayant pour origine les fuites de données vers le dark Web d’il y a 4 ans. Malgré cela, nous continuons à réutiliser les mêmes mots de passe pour différents comptes en dépit de risques évidents. Bien souvent, au moment de l’annonce d’un piratage, il est déjà trop tard, mais il est possible de prendre des précautions afin de sécuriser nos données.

En évitant d’utiliser plusieurs fois le même mot de passe, les pirates ne peuvent pas prendre possession de plusieurs comptes en cas de fuite. Les gestionnaires tels que LastPass offrent une solution sécurisée pour générer des codes longs, complexes et uniques sans avoir recours à sa mémoire ou à des bouts de papier. Mieux : ces outils simplifient l’importation des identifiants de l’ensemble des comptes associés à une adresse e-mail donnée, sans oublier que ces données sont également chiffrées.

2. N’enregistrez pas vos mots de passe sur votre navigateur.
Bien que pratique, stocker des mots de passe en local sur un navigateur est dangereux et vous rend, vous et vos identifiants, vulnérables en cas de piratage. Ce confort est en effet la raison-même pour laquelle ces applications sont moins sécurisées et robustes. Les gestionnaires de mots de passe, eux, apportent un plus en vous aidant à gérer votre vie en ligne. Le chiffrement et le déchiffrement s’effectuent en local. Leurs protocoles de vérification vous évitent de partager votre mot de passe principal à mauvais escient et d’offrir l’accès à vos données.

3. Activez l’authentification à deux facteurs sur l’ensemble de vos comptes, y compris vos messageries.
En activant l’authentification à deux facteurs (2FA) sur vos comptes importants, même si un pirate possède votre mot de passe, il lui faudra une information supplémentaire (un code à usage unique généré à partir d’une application sur votre téléphone, ou une empreinte digitale). Cette méthode est incroyablement précieuse pour votre adresse e-mail, qui sert essentiellement de passerelle pour l’ensemble de votre activité en ligne, y compris vers votre compte bancaire, vos cartes de crédit, ou encore vos investissements.

4. Renforcez votre code PIN.
Les codes PIN à 4 chiffres sont la norme sur nos téléphones portables. Cela dit, nous vous recommandons vivement de vous rendre dans les paramètres de votre appareil et de créer un code plus long. Et évitez de reproduire celui de votre carte bancaire, ou d’utiliser le code d’accès à votre compte en banque en ligne.

5. N’oubliez pas les questions de sécurité.
Beaucoup de comptes en ligne vous invitent à choisir des questions de sécurité afin d’ajouter une protection supplémentaire. Cependant, celles-ci laissent clairement à désirer et constituent pour beaucoup le maillon faible de leur système de sécurité en ligne. Si vous utilisez un gestionnaire de mots de passe, profitez de la fonction de génération automatique pour répondre à ces questions, puis enregistrez les réponses dans la section « Notes » de votre compte. Le champ correspondant doit ressembler à cela : premier animal de compagnie : ackpioughtso. N’oubliez pas d’utiliser également la fonction de création de codes lisibles (proposée en autres par LastPass). Dans le cas contraire, vous risquez de vous retrouver au téléphone à devoir expliquer à un agent de service client pourquoi les caractères $$%%@@ figurent dans le nom de votre animal de compagnie, ce qui vous compliquera la vie pour pas grand-chose. (Par Joe Siegrist, vice-président et directeur général de LastPass)

Nouveaux services numériques de confiance pour l’Imprimerie Nationale

Le Groupe Imprimerie Nationale présente ses nouveaux services numériques de confiance pour une sécurisation renforcée des identités digitales, et des droits et services associés.

A l’occasion du Salon des Assises de la Sécurité,  le Groupe Imprimerie Nationale, expert mondial en solutions sécurisées d’identité, présentera ses services numériques innovants pour simplifier et sécuriser identités digitales, données sensibles et flux. Document augmenté, sécurité et fiabilité des données personnelles dans l’open data : l’Imprimerie Nationale mettra en avant ses solutions numériques de confiance sur le stand n° 59.

Fidèle à sa tradition d’innovation collaborative au service de la cybersécurité, l’Imprimerie Nationale dévoilera ses solutions intégrant la nouvelle technologie de lutte contre la fraude ; le cachet électronique visible (CEV), signature électronique issue du standard 2D-Doc mis en place par l’ANSSI pour lutter contre la fraude documentaire.  Cette nouvelle version enrichie, disponible à coût très compétitif et très facile à mettre en œuvre, permet  désormais une validation en temps réel via une application mobile qui interroge une base de données pour garantir la validité du document et de son environnement (émetteur, données clé,…).

Cette convergence des sécurités physiques et logiques ouvre la voie à une nouvelle réalité, celle du document  augmenté : évolutif,  infalsifiable, connecté. L’Imprimerie Nationale présentera notamment ses dernières applications réalisées pour le secteur du transport (dispositif d’identification des véhicules  pour les VTC)  et de la protection de l’environnement (certificat qualité de l’air, Crit’Air) utilisant cette technologie.  Dans les deux cas, le CEV permet le contrôle, sur le terrain, par les forces de l’ordre et par les clients pour les VTC, de la conformité des informations.

L’Imprimerie Nationale déploiera en masse cette nouvelle technologie dès 2017  (plus de 30 millions de CEV) dédiée aux numériques de confiance

L’Imprimerie Nationale dévoile également la nouvelle version de sa plateforme Pass’IN, solution all-in-one d’identification forte,  de signature électronique et de contrôle d’accès intégrant la technologie NFC qui facilite et sécurise les échanges des données professionnelles sur tout type de support (tablette, mobile, PC).

Pass’IN permet de rationaliser, unifier, sécuriser et personnaliser la gestion physique et logique des identités et des accès. Cette solution, véritable socle de votre confiance numérique, permet de tracer, chiffrer et sécuriser toutes les étapes du cycle de vie des données sensibles (création, transmission, stockage et lecture) quel que soit votre environnement de travail.

Par sa capacité à investir dans les technologies de rupture et à exploiter tout le potentiel d’une technologie française, l’Imprimerie Nationale anticipe les nouveaux usages et propose à ses clients publics et privés des solutions simples, rapides, économiques et plus sécurisées facilitant ainsi leur transition numérique et les numériques de confiance. L’Imprimerie Nationale se positionne sur toute la chaîne de valeur numérique depuis l’entrée en relation  digitale, la validation, l’émission jusqu’à la gestion complète du cycle de vie et l’exploitation des données sensibles. Opérateur de confiance, elle sécurise de bout en bout l’ensemble des processus numériques.

Les trois principales implications de sécurité de l’IoT

Les professionnels de la sécurité informatique font face depuis une dizaine d’années au raz-de-marée que provoque l’augmentation des connexions d’utilisateurs et de terminaux pour accéder aux ressources de l’entreprise ; dans le même temps, ils s’efforcent de réduire la surface d’exposition aux attaques en éliminant autant de points d’accès que possible.

Pour ce faire, ils procèdent généralement à un inventaire des connexions, ils consolident les systèmes sur le réseau et les serveurs ciblés, ils créent des portails en alternative aux accès à distance, et ils opèrent une corrélation avancée des événements de sécurité au moyen d’une solution centrale de sécurité.

Introduire des dispositifs IoT dans un environnement revient à ajouter un nombre inconnu de nouvelles portes à un bâtiment qui en compte déjà 100 dont l’accès est à peine contrôlé. En 20 ans, nous sommes passés d’un appareil par utilisateur à quatre ou cinq par personne et bientôt nous ne saurons probablement plus combien notre environnement compte de points d’accès exploitables connectés à Internet.

Rien que l’audit et l’inventaire de ces terminaux apparaissent comme des tâches monumentales, or c’est la première étape d’une stratégie de protection efficace. L’accessibilité future de dispositifs IoT sur le réseau a des incidences sur la sécurité. Voici trois implications qu’il convient de garder à l’esprit :

La prolifération des dispositifs IoT augmente la surface d’attaque
Pensez aux conditions d’accueil des personnes dans un grand immeuble de bureaux d’une ville moyenne. Il est possible que de nombreuses portes ne soient pas gardées, mais la progression du flux est guidée vers un guichet d’accueil ou un hall d’entrée central où les personnes titulaires d’un badge le présentent tandis que les autres doivent se soumettre à des procédures de vérification d’identité avant de se voir remettre un badge qui les autorise à aller plus loin. Pour d’autres types d’accès, l’approche n’est pas différente ; en instaurant une connexion centrale de courtage, au moins pour les requêtes émanant de l’extérieur de la surface d’attaque, l’entreprise peut établir des contrôles à un point unique d’entrée/sortie.

Suffisamment anodins pour être ignorés, mais suffisamment intelligents pour être dangereux
On a trop souvent tendance à réduire l’IoT à un grille-pain intelligent. Et c’est une partie du problème.
La plupart des « objets » connectés sont d’une telle simplicité qu’on banalise leur présence ou ce sont des outils ou des fonctions intégrées dont on ignore même l’existence. On en vient à oublier que, tout anodin qu’ils aient l’air, ces dispositifs sont connectés à Internet. Ce qui les rend aussi intelligents que quiconque décidera d’y accéder ou de s’en servir.

L’objet entre vos mains, à qui appartient-il réellement ?
Ce qui nous amène à la troisième préoccupation : à qui appartient réellement ou qui contrôle le dispositif IoT avec lequel vous vivez ? Est-ce vous qui l’entretenez ? Espérons que quelqu’un s’en charge car faute de correctifs et de maintenance, il y a fort à parier que votre dispositif IoT figurera bientôt dans une base de données des vulnérabilités avec le risque d’être exploité immédiatement après. S’il y a effectivement maintenance, qui y a accès ? Et même si vous avez la réponse à cette question, que savez-vous de la politique de sécurité du fournisseur concerné ? Pour revenir au point précédent, votre sécurité dépend de la vigilance dont fait preuve celui à qui vous confiez des droits d’accès au réseau de votre entreprise. Effrayant, non ? Mais à nouveau, c’est en suivant les bonnes pratiques de gouvernance des accès, comme l’utilisation d’une connexion de courtage comme indiqué précédemment, que vous saurez qui a accès à vos systèmes IoT, par quel moyen, où, quand et comment.

Le nombre des points d’accès et des dispositifs connectés présents sur votre réseau va très certainement continuer d’augmenter au cours des prochaines années. Avez-vous adopté des mesures pour prévenir les risques de compromission liés aux dispositifs IoT ? (Par Thierry Tailhardat, Directeur France de Bomgar)

Près de la moitié des français n’achèterait pas à une entreprise piratée

78 % des français souhaitent plus de condamnations et des sanctions plus sévères envers les cyber criminels qui volent les données personnelles.

F5 Networks a présenté dernièrement les résultats d’une étude sur les attitudes des français face au piratage. L’étude révèle que les français prennent conscience des problèmes liés au piratage – avec 47 % qui affirment qu’ils n’ouvriraient pas de compte, ne partageraient pas de données ou n’achèteraient pas à une entreprise déjà piratée par le passé (50 % en UK – 51 % en Allemagne).

Même si 49 % des français changent parfois ou à chaque fois leur mot de passe si une entreprise dans laquelle ils possèdent un compte a été piratée, nous sommes encore 17 % à ne jamais changer nos mots de passe après le piratage d’une entreprise dans laquelle nous possédons un compte (8 % en UK – 9 % en Allemagne).

https://twitter.com/zataz/status/783060182205161472

Les motivations des pirates
Selon les français, les pirates sont principalement motivés par le fait de gagner de l’argent grâce au vol de données personnelles (60 %), suivi par la possibilité de souligner des failles dans l’entreprise et les solutions de sécurité (9 %) puis de dérober des secrets d’affaires (8 %). Nous sommes également près de 60 % à penser que les pirates deviennent plus professionnels (72 % en UK – 64 % en Allemagne) et 22 % à penser que les employés ne reçoivent pas des formations appropriées en matière de cybersécurité.

A qui la faute ?
Les français sont partagés : 39 % d’entre eux pensent que la responsabilité doit être attribuée aux solutions de sécurité elles-mêmes, alors que 37 % pensent que l’équipe IT et sécurité est responsable, si l’entreprise est victime d’une cyber attaque. Alors que les britanniques et les allemands sont plus tranchés : ils sont respectivement 52 % et 53 % à penser que la responsabilité doit être attribuée à l’équipe IT et sécurité. 49 % des français estiment également que les entreprises ne prennent pas assez de mesures pour elles-mêmes et leurs clients afin de se protéger contre les cyber criminels, comparativement à 61 % en Angleterre et 46 % en Allemagne. « Les individus pensent de plus en plus qu’il est de la responsabilité des entreprises de mener la lutte contre les cyber criminels et de s’assurer qu’elles protègent les données de leurs clients. Alors que les consommateurs doivent améliorer leur comportement en ligne en pensant à la sécurité, la protection des données reste la responsabilité de l’entreprise », pense Gad Elkin, directeur de la sécurité EMEA chez F5 Networks.

Que faire ?
Lorsque l’on demande aux consommateurs comment les entreprises doivent-elles améliorer leur façon de se protéger contre les hackers, “Investir dans les technologies de sécurité” arrive en première position dans les trois pays (61 %), suivi par “une meilleure éducation des consommateurs sur la menace” et ”partager leurs (les entreprises) connaissances sur la menace” en troisième position.

Et si les français pouvaient tous pirater…
Si l’étude a également permis de révéler que près d’un français sur 5 place les hackers du côté « des bons » (contre seulement 1 britannique sur 10), ils sont 37 % à citer les banques et 22 % le secteur public, parmi leurs victimes – s’ils pouvaient pirater pour une raison ou une autre (voler des données, découvrir des secrets d’affaires ou gagner de l’argent) sans aucune conséquence.

« Les chiffres de l’étude montrent que l’ensemble des consommateurs à travers l’Europe sont disposés à quitter un prestataire pour choisir un concurrent non piraté. La cyber sécurité devient donc un avantage concurrentiel pour les entreprises et non plus seulement un centre de coûts – et celles-ci doivent trouver comment améliorer leurs propres défenses d’une part, et comment éduquer les consommateurs sur les risques informatiques d’autre part. »

L’état du spam et du phishing au premier trimestre 2016

Une étude sur le spam et le phishing au premier trimestre 2016 montre que le nombre de spams contenant des pièces jointes malveillantes ont augmenté de 50 % au cours des trois premiers mois de 2016.

Bitdefender, spécialiste des solutions de sécurité informatique souligne quelques tendances de fond au cours du premier trimestre 2016. Les spammeurs utilisent des techniques d’attaque de plus en plus pointues et ciblées contrairement à l’envoi en masse de spam, chose courante ces dernières années. Les services de partage de fichiers et de stockage dans le Cloud sont devenus des cibles privilégiées par les pirates pour diffuser des codes malveillants. VBS Downloader, Upatre, Andromeda et JS Downloader ont été les downloaders les plus bloqués par Bitdefender. Ce type de logiciel malveillant est intégré dans des pièces jointes. Une fois installé, le programme télécharge différents malware sur les systèmes infectés. Au premier trimestre 2016, une pièce jointe sur sept contenait un ransomware. Les extensions de fichier les plus utilisées sont les archives (Zip, Rar, etc.), ce qui démontre une volonté d’échapper aux filtres Antispam. Le format ZIP dissimule des fichiers Javascript dans 95% des cas et reste le  moyen de diffusion essentiel du ransomware Locky.

En ce qui concerne le phishing, les modèles d’attaques impliquant les services de partage et de stockage en ligne ont détrôné les secteurs de la vente et du paiement en ligne, traditionnellement prisés des cybercriminels.  Au cours du premier trimestre 2016,  les services les plus touchés étaient Apple, Paypal et Google.

Dans les prochains mois, il est fort probable que les tentatives de spear-phishing, les chevaux de Troie et les ransomwares tendront à augmenter en raison des réussites récentes (et lucratives) de fuite de données sensibles utilisant les identifiants de responsables gouvernementaux, de chefs d’états ou, des personnalités politiques etc. par les cybercriminels. Les évènements internationaux majeurs tels que les élections présidentielles américaines, les Jeux Olympiques, le soutien à des œuvres humanitaires par exemple, constituent autant d’opportunités à exploiter par les cybercriminels.

Chiffrement : 27% des certificats sur Yahoo non réédités

Selon Venafi, Yahoo n’a pas pris les mesures pour se protéger et utilise des pratiques de chiffrement très faibles.

Chiffrement : Les équipes du laboratoire de recherche Vénafi – « Venafi Labs », ont analysés des données via TrustNet, la base de données mondiale sur les « Certificate Intelligence » et ont constaté que 27% des certificats sur Yahoo n’ont pas été réédités depuis janvier 2015. Même si les certificats sont remplacés, ce qui pourrait réduire les dégâts, Yahoo ne peut avoir la certitude que les hackers n’ont pas les accès actuels aux communications cryptées. Seulement 2,5% des 519 certificats déployés l’ont été durant les 90 derniers jours. Il est donc très probable que Yahoo! n’ait pas la capacité de trouver et remplacer des certificats numériques rapidement… Et malheureusement c’est un problème très commun, même pour les grandes organisations qui ont une présence importante en ligne.

Les données étudiées par « Venafi Labs » comportent un nombre impressionnant de certificats Yahoo qui utilisent MD5, une fonction de hachage cryptographique pouvant être renversée par une attaque brutale : MD5 souffre de sérieuses failles qui sont par ailleurs très bien connues. Par exemple Flame, une famille de logiciels malveillants souvent utilisés par les départements espionnage de certains pays, a exploité une vulnérabilité MD5. Tous les certificats MD5 utilisés par Yahoo aujourd’hui et bien d’autres certificats évalués par « Venafi Labs » sont émis par les entreprises elles-mêmes. Un certificat MD5 actuel utilise des caractères génériques (*.yahoo.com) et a une date d’expiration de 5 ans. Les certificats de ce type (avec des dates d’expirations très longues et émis par les entreprises elles-mêmes ou encore ceux qui utilisent des caractères génériques) sont tous les symptômes d’un contrôle cryptographique très faible.

Chiffrement faible !

41% des certificats de Yahoo sur l’ensemble des données de TrustNet utilisent SHA-1, un algorithme de hachage qui n’est plus considéré comme sécurisé contre des détracteurs disposant de gros moyens financiers. Les principaux vendeurs de navigateurs ont déclaré qu’ils arrêteraient les certificats SHA-1 en janvier 2017. « N’importe laquelle de ces questions cryptographiques, laisserait une organisation extrêmement vulnérable aux attaques des communications cryptées et leur authentification. explique Hari Nair, Cryptographic researcher chez Venafi. Au niveau collectif, cela soulève de sérieuses questions sur le fait que Yahoo puisse avoir la visibilité et la technologie nécessaire pour protéger les communications cryptées et assurer aux utilisateurs leur vie privée.« .

Yahoo n’a pas remplacé ses clés cryptographiques et ses certificats numériques durant les 90 derniers jours, en aucune façon cela ne pourrait représenter une réaction coordonnée face à une intrusion. Fait encore plus troublant, les fragilités connues sur les certificats MD5 associées avec des « Wildcard certificate » qui ont une date d’expiration de 5 ans, montrent clairement que Yahoo manque d’une vision approfondie sur sa position au niveau de la sécurité informatique. Les organisations utilisent le chiffrement pour tout sécuriser – sans une connaissance approfondie de risques cryptographiques, il n’y a absolument aucun moyen d’être certain de préserver sécurité et vie privée.

La mise à jours d’IOS 9.3.5 d’Apple ne permet pas d’éradiquer PEGASUS d’un IPhone déjà infecté

A la fin du mois d’août, Apple avait annoncé une mise à jour 9.3.5 d’IOS pour éliminer de son système IOS le logiciel espion PEGASUS qui prend d’assaut ses smartphone avec trois vulnérabilités « zero-day » appelées TRIDENT.

Dans un article publié récemment sur son blog aux Etats Unis, la société Lookout, en partenariat avec Citizen Lab, alerté Apple des dangers représentés par l’intrusion de Pegasus. Il a été constaté que la mise à jour des smartphones ne permet pas d’éliminer une infection de PEGASUS existante sur un appareil donné. La mise à jour de IOS 9.3.5 permet de colmater la faille et de protéger les appareils de toute attaque future mais elle ne permet aucune détection d’infection potentielle existante.

En plus de la mise à jour d’IOS 9.3.5 , Lookout recommande des étapes clés afin de pouvoir mieux protéger les I-Phones d’une attaque PEGASUS éventuelle : Installer et utiliser une solution de détection de malwares et d’infection, afin de pouvoir déterminer si votre appareil a été attaqué par PEGASUS ou est infecté d’un autre malware. C’est le meilleur moyen de pouvoir détecter un infection ou toute nouvelle attaque potentielle.

Pour les entreprises, Lookout rappelle que PEGASUS représente une attaque à probabilité réduite mais à dangers extrêmement élevés. Toute attaque éventuelle ciblerait probablement en premier les postes à responsabilité clés tels que le Président et les membres du CODIR, le DAF, Le Directeur des RH, etc. L’équipe IT se doit donc de vérifier ces portables en priorité.

Ne faire aucune sauvegarde d’un appareil infecté. Bien qu’il semble, en cas d’attaque, essentiel de faire une sauvegarde des données, apps et photos du portable infecté il faut malheureusement éviter car cela peut activer des mécanismes d’autodestruction de PEGASUS qui détruirait sur son passage le portable en question.

PEGASUS est en effet programmé pour s’auto détruire s’il « pense » qu’il a été identifié. De plus, une sauvegarde permettrait en plus de préserver cet état d’infection et réinstaller la donnée dans un nouvel appareil pourrait faciliter en fait une infection PEGASUS du nouveau smartphone.

Les trois principales implications de sécurité de l’IoT

Les professionnels de la sécurité informatique font face depuis une dizaine d’années au raz-de-marée que provoque l’augmentation des connexions d’utilisateurs, terminaux  et objets connectés IoT pour accéder aux ressources de l’entreprise ; dans le même temps, ils s’efforcent de réduire la surface d’exposition aux attaques en éliminant autant de points d’accès que possible.

Les spécialistes des objets connectés, l’ IoT, procèdent généralement à un inventaire des connexions, ils consolident les systèmes sur le réseau et les serveurs ciblés, ils créent des portails en alternative aux accès à distance, et ils opèrent une corrélation avancée des événements de sécurité au moyen d’une solution centrale de sécurité. Introduire des dispositifs IoT dans un environnement revient à ajouter un nombre inconnu de nouvelles portes à un bâtiment qui en compte déjà 100 dont l’accès est à peine contrôlé. En 20 ans, nous sommes passés d’un appareil par utilisateur à quatre ou cinq par personne et bientôt nous ne saurons probablement plus combien notre environnement compte de points d’accès exploitables connectés à Internet.

Rien que l’audit et l’inventaire de ces terminaux apparaissent comme des tâches monumentales, or c’est la première étape d’une stratégie de protection efficace. L’accessibilité future de dispositifs IoT sur le réseau a des incidences sur la sécurité. Voici trois implications qu’il convient de garder à l’esprit :

La prolifération des dispositifs IoT augmente la surface d’attaque

Pensez aux conditions d’accueil des personnes dans un grand immeuble de bureaux d’une ville moyenne. Il est possible que de nombreuses portes ne soient pas gardées, mais la progression du flux est guidée vers un guichet d’accueil ou un hall d’entrée central où les personnes titulaires d’un badge le présentent tandis que les autres doivent se soumettre à des procédures de vérification d’identité avant de se voir remettre un badge qui les autorise à aller plus loin. Pour d’autres types d’accès, l’approche n’est pas différente ; en instaurant une connexion centrale de courtage, au moins pour les requêtes émanant de l’extérieur de la surface d’attaque, l’entreprise peut établir des contrôles à un point unique d’entrée/sortie.

IoT : suffisamment anodins pour être ignorés, mais suffisamment intelligents pour être dangereux

On a trop souvent tendance à réduire l’Internet des Objets à un grille-pain intelligent. Et c’est une partie du problème. La plupart des « objets » connectés sont d’une telle simplicité qu’on banalise leur présence ou ce sont des outils ou des fonctions intégrées dont on ignore même l’existence. On en vient à oublier que, tout anodin qu’ils aient l’air, ces dispositifs sont connectés à Internet. Ce qui les rend aussi intelligents que quiconque décidera d’y accéder ou de s’en servir.

L’objet entre vos mains, à qui appartient-il réellement ?

Ce qui nous amène à la troisième préoccupation : à qui appartient réellement ou qui contrôle le dispositif IoT avec lequel vous vivez ? Est-ce vous qui l’entretenez ? Espérons que quelqu’un s’en charge car faute de correctifs et de maintenance, il y a fort à parier que votre dispositif IoT figurera bientôt dans une base de données des vulnérabilités avec le risque d’être exploité immédiatement après. S’il y a effectivement maintenance, qui y a accès ? Et même si vous avez la réponse à cette question, que savez-vous de la politique de sécurité du fournisseur concerné ? Pour revenir au point précédent, votre sécurité dépend de la vigilance dont fait preuve celui à qui vous confiez des droits d’accès au réseau de votre entreprise. Effrayant, non ? Mais à nouveau, c’est en suivant les bonnes pratiques de gouvernance des accès, comme l’utilisation d’une connexion de courtage comme indiqué précédemment, que vous saurez qui a accès à vos systèmes IoT, par quel moyen, où, quand et comment.

Le nombre des points d’accès et des dispositifs connectés présents sur votre réseau va très certainement continuer d’augmenter au cours des prochaines années. Avez-vous adopté des mesures pour prévenir les risques de compromission liés aux dispositifs IoT ? (Par Thierry Tailhardat, Directeur France de Bomgar)

Réseaux sociaux : la police utilise une vieille loi obsolète pour arrêter des internautes

Un rapport publié récemment par le Bureau National Crime Records indien indique suggère que la police des différents états se moque ouvertement de la modification d’une loi. Bilan, Plus de 3.000 personnes arrêtées illégalement.

Le problème avec les lois c’est qu’elles changent souvent. Modifications, amendements… Bilan, se mettre à jour n’est pas chose aisée. Si en plus vous rajoutez de la mauvaise foi, vous voilà avec une constatation inquiétante du Bureau National Crime Records.

Cette entité Indienne explique ouvertement que les policiers en charge de L’internet et du Cybercrime font fi de la modification d’une loi « Section 66A of the Information Technology Act » qui permettait d’arrêter des internautes donnant un avis « contraire » que celui prôné, par exemple, par le gouvernement ou des politiques, sur les réseaux sociaux. Bref, râleurs, dissidents politiques… ne doivent plus être inquiétés.

Sauf que les autorités des différents états indiens ont du mal avec cette mise à jour. 3 133 personnes ont été arrêtées arbitrairement par la police pensant que la Section 66A of the Information Technology Act était toujours en activité. Un tribunal avait confirmé, en 2015, le droit de la liberté de parole et d’expression des citoyens indiquant même que « l’article 66A s’attaque de manière arbitraire, excessive et disproportionnée le droit de la liberté d’expression« . En 2015, sur les 3 133 personnes arrêtées, 64 avant moins de 18 ans. 2 avait plus de 60 ans. (BS)

PokemonGo : un ami qui vous veut du mal ?

La folie PokemonGo n’est plus à démontrer. Il suffit de marcher dans les rues, dans les parcs, sur les plages pour croiser des centaines de « dompteurs ». La question se pose tout de même : et si ce jeu n’était qu’un maître espion.

Ah, le grand jeu vidéo de l’été. Chasser des petits bêtes via l’application PokemonGo. De la « pseudo » réalité augmentée qui a su attirer des millions d’adeptes en quelques jours. Des millions de joueurs qui fournissent des milliards de données privées.

Pokemon GO récupère la position GPS, l’historique des endroits visités, la fréquence et les habitudes de jeu. Un archivage pour une période indéterminée. La société californienne collecte adresses Google, Facebook, l’ensemble de vos informations publiques, l’IP de l’utilisateur, le nom et la version de votre système d’exploitation.

Cerise sur le gâteau, Pokemon Go sauvegarde aussi le nom de la page Web que vous visitiez avant de jouer à Pokémon Go, ainsi que les mots clés que vous avez pu utiliser pour rejoindre PokemonGo lors de votre première visite. A noter que la lecture des conditions d’utilisations est, une fois de plus, magique. L’éditeur Niantic se dégage de toute responsabilité en cas de partage des données. Des données baptisées « actifs ». Autant dire que les partenaires Google et Pokémon Company font partis de ces collecteurs. Un véritable trésor numérique.

Home sweet home pokemonGo

Les joueurs peuvent réclamer la destruction des données. Il faut envoyer un mail, ou visiter la page dédiée, ou écrire une lettre postale. Cependant, n’oublier pas de réclamer la destruction des mêmes données qui se retrouvent dans les sauvegardes.

Pour rappel, l’application était capable, à son lancement, d’ouvrir votre compte Google. Niantic avait le droit de modifier l’ensemble des données, lire vos courriels Gmail, modifier vos documents Google Drive, consulter votre historique de recherche, vos photos personnelles. Du bonheur que cette famille de Pikachu ! Est-ce que cela vaut-il vraiment le coup de lâcher toutes ses données pour quelques Pokeballs ? Bref, une fois de plus, quand une application est gratuite, c’est vous qui êtes le produit. Et si on regarde un peu plus loin, sans la jouer complotiste, PokemonGo n’aurait-il pas un but plus discret, celui de cartographier là ou Google ne peut se rendre avec ses Google Caméra ?

A lire, l’étude de SANS Institut sur l’analyse du logiciel.

IDICore : En un clic, ils savent tout de vous

La société IDI annonce être capable de fournir la moindre information sur les Américains. Dans IDICore, chaque mouvement physique, chaque clic, chaque jeu, chaque endroits visités sont répertoriés.

La société Interactive Data Intelligence (IDI – IDCORE), basée en Floride, présage de l’avenir « Big Brother » qui s’ouvre à nous. La société a construit un profil sur l’ensemble les adultes américains en regroupant l’ensemble des données des ressortissants locaux dans une base de données géante. Chaque mouvement, chaque clic de souris, chaque jeu utilisé, chaque endroit visité, IDI a collecté, sauvegardé, classé les informations. Comment ? En louant des accès à des bases de données. Pour 10 dollars, comme le rappel Bloomberg, les fouineurs professionnels sont en mesure de rechercher et trouver la moindre information sur les américains : adresses publiques et non publiques, photos de voiture… Ils peuvent combiner ces informations avec celles des sociétés marketing et vous combiner des informations pouvant aller jusqu’à la dernière visite chez l’épicier du coin, ce que vous avez mangé hier soir, et prédire vos futurs comportements.

idiCORE : Minority Report is back

IDI semble être la première entreprise à centraliser et à « militariser » toutes ces informations pour ses clients. Son service de base de données est baptisé idiCORE. Il combine des dossiers publics, des données démographiques et comportementales. Le responsable d’IDI, Derek Dubner, indique que son système possède un profil sur tous les adultes américains, y compris les jeunes qui ne seraient pas présents dans des bases de données classiques.

Du bluff marketing ou véritable “Big Brother” ?

Derek Dubner n’a proposé, pour le moment, aucune démonstration de son idiCORE. Il indique que ces profils comprennent toutes les adresses connues, les numéros de téléphone et adresses mail ; les adresses des anciennes et nouvelles propriétés ; il en va de même des véhicules anciens et actuels ; des potentiels actes criminels : excès de vitesse sur place ; les registres de vote ; permis de chasse ; les noms et numéros de téléphone des voisins. Les rapports proposés par idiCORE contiendraient aussi des photos de voitures prises par des entreprises privées en charge de la collecte automatisée des plaques d’immatriculation, avec coordonnées GPS.

Bref, la société IDI présage de l’avenir « Big Brother » qui s’ouvre à nous. Et il est de plus en plus moche !

Wifi gratuit, protégez votre connexion

Alors que la mairie de Paris a annoncé du wifi « haut débit » gratuit sur les Champs-Élysées, cette explosion récente des connexions wifi gratuites et publiques représente une véritable aubaine pour les utilisateurs. Il est tellement pratique de se connecter gratuitement à un réseau Wi-Fi dans un café, dans un parc ou dans un aéroport que cela en devient un réflexe, dès lors que notre appareil nous le suggère. Mais est-ce totalement sûr ? Quels sont les risques ? Comment se connecter à un réseau public en toute sécurité ?

Wifi gratuit ? Votre meilleur ennemi ! En général, les réseaux Wi-Fi que l’on trouve dans les lieux publics ne sont pas bien protégés. Ils se basent souvent sur des protocoles de chiffrement trop simples ou parfois pas chiffrés du tout. Les pirates peuvent ainsi accéder à chacune des informations que vous envoyez sur Internet : e-mails importants, données de carte bancaire, voire données d’identification permettant d’accéder à votre réseau d’entreprise. Une fois que les pirates disposent de ces renseignements, ils peuvent accéder à vos systèmes en votre nom, diffuser des programmes malveillants, ou facilement installer des logiciels infectés sur votre ordinateur si le partage de fichiers a été activé.

Quelques bons gestes à respecter face à un Wifi gratuit

D’abord, utilisez un réseau privé virtuel (VPN). Un VPN est indispensable lorsque vous accédez à une connexion non sécurisée, comme un point d’accès wifi. Même si un pirate réussit à se placer en plein milieu de votre connexion, les données qui s’y trouvent seront chiffrées, donc illisibles. Mails, mots de passe, ou simplement ce que vous visitez ne seront pas lisibles. J’utilise moi même plusieurs dizaines de VPN différents. Je peux vous proposer de tester Hide My Ass, ou encore VyprVPN. Un test de VPN disponibles pour votre ordinateur, tablette ou encore smartphone dans cet article. Dernier conseil, même si vous ne vous êtes pas activement connecté à un réseau, le matériel wifi équipant votre ordinateur, votre téléphone portable, votre tablette continuent de transmettre des informations. Bref, désactivez la fonctionnalité wifi si vous ne l’utilisez pas.

Activez l’option « Toujours utiliser HTTPS » sur les sites Web que vous visitez fréquemment ou qui nécessitent de saisir des données d’identification. Les pirates ne savent que trop bien que les utilisateurs utilisent les mêmes identifiants et mots de passe pour les forums, leur banque ou leur réseau d’entreprise.

Pour finir, lorsque vous vous connectez à Internet dans un lieu public, via un Wifi gratuit il est peu probable que vous souhaitiez partager quoi que ce soit. Dans ce cas, vous pouvez désactiver les options de partage dans les préférences système. (Kaspersky)

Code malveillant bancaire pour Android

Code malveillant bancaire pour Android – L’équipe de recherche en sécurité de Zscaler a découvert une application malveillante Android se faisant passer pour l’app officielle de Sberbank, la plus grande banque d’Europe de l’Est.

code malveillant bancaire pour Android – De nombreuses tentatives de cyberattaques à son encontre ont déjà eu lieu par le passé et les pirates ont également essayé de s’attaquer à ses clients depuis leurs mobiles. Cette dernière tentative constitue, cependant, une percée majeure dans les efforts des pirates visant à nuire à cette organisation.

Le malware se fait passer pour l’application en ligne de la plus grande banque de Russie, Sberbank. Son apparence est identique à celle de l’application d’origine. Elle affiche un écran de connexion similaire et se sert de celui-ci pour dérober les informations d’identification de l’utilisateur dès que la victime tente de s’authentifier.

Une fois les informations d’identification acquises, l’app affiche une page d’erreur technique et se ferme. Le malware demande alors des privilèges d’administrateur qui, s’ils sont accordés, entraînent des effets dévastateurs sur le terminal infecté. Il peut intercepter les SMS et les appels entrants, ce qui permet au pirate de contourner l’identification OTP (mot de passe à usage unique) mise en œuvre par la banque. Par ailleurs, les faux écrans utilisés peuvent se superposés à ceux d’autres applications connues.

Explication technique de ce code malveillant bancaire pour Android

L’app apparaît comme étant celle de la banque Sberbank et demande des privilèges administrateurs une fois installée, comme indiqué ci-dessous : l’équipe Zscaler a tenté d’installer l’application originale Sberbank à partir du Play Store Google, et il est difficile de différencier l’app malveillante de l’originale. A noter : l’app Sberbank se trouvant sur le Play Store n’est pas infectée. Ce qui fait la particularité de ce malware est sa capacité à se substituer entièrement à l’app originale. Quand bien même la victime tenterait de la lancer, se serait l’écran d’identification du malware serait qui s’afficherait. Une fois les informations d’authentification entrées, elles sont envoyées à un serveur C&C. L’app affiche alors un écran d’erreur et se ferme.

Le malware ne s’arrête pas là, il peut également envoyer des SMS à n’importe quel numéro, selon la volonté du pirate ; intercepter des SMS ; lancer un appel ; intercepter un appel et d’attaquer d’autres applications en s’y superposant.

En ce qui concerne sa capacité à se substituer à une autre application, ce malware a été conçu, entre autres, pour attaquer les apps suivantes : Whatsapp, l’app du Google Play Store, VTB 24 Bank. Les fausses pages de login utilisées sont identiques à celles des apps officielles. Une fois lancées, les informations d’identification récupérées sont envoyées au serveur C&C comme vu précédemment.

Une nouvelle tendance chez les développeurs de malware, et des amateurs de code malveillant pour Android est de cibler les utilisateurs par le biais de fonctionnalités de sécurité d’applications. Dans un article précédent, les chercheurs Zscaler avaient présenté des attaques réalisées à partir de fausses applications de sécurité. Dans le cas de Whatsapp, par exemple, les victimes avaient été piégées par une fausse alerte sur la nouvelle fonctionnalité de chiffrement des messages. Un message s’affichait pour demander des informations d’authentification et de paiement pour cette nouvelle fonctionnalité.

Ce code malveillant bancaire pour Android a une approche particulièrement efficace pour rester actif sur l’appareil de l’utilisateur. Il enregistre un récepteur qui se déclenche dès que la victime tente de retirer les privilèges administrateurs de la fausse application. Ainsi, l’appareil Android se retrouve bloqué pour quelques secondes chaque fois qu’une tentative est faite.

Bref, cibler les utilisateurs par le biais de fausses applications bancaires est le moyen le plus facile et privilégié des pirates. Le malware présenté plus haut combine plusieurs fonctionnalités, en une seule et même application, pour une attaque en profondeur. Il est capable de se substituer à n’importe quelle app existante, il suffit au pirate d’envoyer un élément portant le nom de l’app en question pour dérober des données privées au propriétaire de l’appareil.

Le certificat pour cette application infectée a récemment été mis à jour et le serveur C&C a été enregistré il y a peu, ce qui pourrait indiquer que les pirates informatiques ont l’intention de continuer sur leur lancée. Une fois de plus, la prudence est de mise et il faut continuer à télécharger les applications à partir de sources officielles. Toute app provenant d’une tierce partie est à éviter.

Devenir maître dans l’art de protéger sa vie privée sur le net

Vol de ses données personnelles – Plusieurs sources ont révélé récemment la mise en vente sur le web de plus de 117 millions de profils d’utilisateurs LinkedIn dérobés en 2012. Ce type d’actualité rappelle que personne n’est à l’abri d’un vol de ses données personnelles qui risquent d’être utilisées à des fins illicites. Cette question est d’autant plus cruciale à l’heure où le nombre de logiciels malveillants, ransomwares et autres virus explose. Aujourd’hui, 67 % des Français sont soucieux quant à la protection de leurs informations personnelles sur internet et 83 % d’entre eux sont hostiles à la conservation de ces données (Source : Institut CSA).

Vol de ses données personnelles -Malgré cette méfiance, dans un monde où l’utilisation d’Internet est devenue omniprésente, les utilisateurs ont tendance à exposer très facilement leur vie privée et leurs données personnelles – parfois par paresse ou par mégarde, mais souvent par manque d’information. Il existe cependant des moyens simples et efficaces de limiter ces risques.

Michal Salat, Threat Intelligence Manager chez Avast, commente : « Les sphères privées et professionnelles se fondent de plus en plus, poussant fréquemment les utilisateurs à accéder à leurs plateformes de travail depuis des terminaux personnels ou à utiliser leurs appareils professionnels à la maison par exemple. Or, en adoptant ces comportements, les internautes exposent davantage leurs données personnelles.« 

Vol de ses données personnelles

Pour éviter que cela n’arrive, les utilisateurs doivent d’abord se protéger des menaces extérieures à leur appareil en commençant par créer un mot de passe ou un code PIN sur les écrans et les applications mobiles, limitant ainsi l’accès aux données en cas de perte ou de vol. Mais encore faut-il qu’il soit suffisamment compliqué pour ne pas être déchiffré trop facilement. C’est pourquoi il est recommandé d’utiliser des mots de passes complexes – combinant lettres, chiffres, caractères spéciaux et majuscules – et qui ne reprennent pas non plus des informations personnelles facilement accessibles en ligne, telle que la date de naissance ou le prénom de ses enfants. Il est également important de changer ses codes régulièrement.

Il faut garder en tête que les cybercriminels sont à l’affût de la moindre faille à exploiter pour récolter des gains et cherchent très souvent à récupérer des informations bancaires. C’est pourquoi les internautes doivent à tout prix éviter de sauvegarder leurs coordonnées bancaires dans leurs terminaux, quels qu’ils soient. A titre d’exemple, beaucoup d’utilisateurs PayPal ont perdu de grosses sommes d’argent lorsque des hackers ont réussi à se connecter à leurs PC via un compte TeamViewer piraté et se sont servi des identifiants enregistrés pour transférer l’argent depuis les comptes PayPal.

Les utilisateurs doivent redoubler de vigilance face à un email leur demandant des informations sur leur compte bancaire et se souvenir que les établissements dignes de confiance ne feront jamais de telles requêtes par mail. Il est par ailleurs vivement déconseillé d’ouvrir des fichiers inconnus joints dans un email, car le phishing est l’un des moyens les plus largement utilisés par les hackers pour introduire un virus dans un terminal. Une fois celui-ci compromis, ils peuvent accéder aux informations personnelles ou chiffrer ces données et demander une rançon à la victime pour les rendre de nouveau accessibles.

Les pirates parviennent à créer des e-mails d’hameçonnage très sophistiqués notamment grâce à la collecte d’informations personnelles publiques disponibles sur le web – accessibles sur les réseaux sociaux par exemple. Il est alors essentiel pour l’utilisateur de poster le moins d’informations possibles sur Internet ou de s’assurer que celles-ci sont en mode privé. Il est également crucial de supprimer ses comptes s’ils ne sont plus utilisés, car bien qu’abandonnés, ces profils restent en ligne et des personnes malintentionnées pourraient usurper l’identité de l’internaute ou nuire à sa réputation en ligne en utilisant des informations sensibles contre lui.

La protection de la vie privée et des données personnelles (vol de ses données personnelles) implique une modification du comportement des internautes à commencer par de meilleures méthodes de gestion de mots de passe, une vigilance accrue sur leur utilisation d’Internet et des informations personnelles partagées publiquement – comme sur les réseaux sociaux. Au-delà des bonnes pratiques, il existe des solutions qui répondent aux problématiques liées à la vie privée. Cependant face aux menaces, il n’appartient qu’à nous de nous discipliner et de tout mettre en œuvre pour protéger nos données personnelles.

Piratage d’utilisateurs de TeamViewer : la faute aux utilisateurs

Un nombre conséquent d’utilisateurs de TeamViewer se sont plaints du piratage de leur compte. La société américaine indique que les utilisateurs sont responsables… de leur négligence.

De nombreuses sociétés Internet comme Reddit ont dû modifier les mots de passe de certains de leurs utilisateurs, 100.000 pour Reddit, à la suite du piratage massif des données de Myspace, LinkedIn… Pourquoi ? Les utilisateurs exploitaient le même mot de passe sur différents supports numériques. Autant dire du pain béni pour les pirates. Parmi les victimes, le fondateur de Facebook. Lui, il cherchait doublement les ennuis, son mot de passe n’était rien d’autre que « dadada« . Bref, à force de penser que cela n’arrive qu’aux autres, le danger vous tombera dessus, un jour ou l’autre, et plus rapidement que vous pourriez le penser.

TeamViewer, l’outil qui permet de se connecter sur un ordinateur, à distance, vient d’alerter ses utilisateurs. Un grand nombre de clients TeamViewer s’étaient plaints du piratage de leur compte. L’entreprise a utilisé le terme de « négligence » pour définir les récents problèmes.

TeamViewer a mis en place, la semaine dernière, un nouveau système de sécurité pour renforcer les connexions : la double authentification. Le porte-parole de TeamViewer a indiqué que le développement des outils de sécurité avait commencé, il y a quelques semaines, lorsque les premiers rapports de vols de compte ont émergé du web.

Espionnage : Facebook et le microphone de votre appareil mobile

Facebook a fermé les rumeurs selon lesquelles il utilise le microphone de votre appareil mobile pour écouter les conversations afin de mieux cibler les annonces publicitaires qu’il commercialise.

Microphone de votre appareil mobile utilisé par Facebook ? Dans un communiqué publié le 2 Juin, Facebook a déclaré qu’il « n’utiliser pas le microphone de votre téléphone mobile pour analyser et diffuser des annonces publicitaires ou pour changer ce que vous voyez dans les nouvelles diffusées par RSS. » La compagnie explique de montrer que des annonces basées sur les intérêts des utilisateurs et d’autres informations diffusées par les utilisateurs. Facebook répond directement aux allégations formulées par Kelli Burns, professeur de communication à l’Université de Floride du Sud. Burns pensait que Facebook avait secrètement mis sur écoute les conversations de ses utilisateurs. Si l’idée est loin d’être farfelue, après tout Google enregistre bien votre voix lors de l’utilisation de la recherche vocale, Facebook réclame un accès au micro pour enregistrer le son des vidéos. C’est l’utilisateur qui lui donne l’autorisation. A noter que des appareils tels que l’Echo d’Amazon ou encore certaines nouvelles télévisions connectées écoutent, non stop leurs utilisateurs.

Problème de confidentialité pour le site My pension

Le site Belge Mypension.be souffre d’un problème de confidentialité. Un utilisateur pensant être déconnecté… le reste sans le savoir.

problème de confidentialité – Les cookies sont de petits fichiers permettant de rendre « unique » l’utilisation d’un site Internet. Il permet de garder en mémoire une session après l’utilisation d’un identifiant de connexion ; de garder en mémoire les choix que vous avez pu effectuer sur un forum, une boutique… Le cookie peut aussi être un problème, surtout si ce dernier est mal géré.

C’est ce qui vient d’arriver au site Internet du gouvernement Belge, Mypension.be. Cet espace du service public du royaume ne prend pas en compte l’ordre pourtant donné par le bouton « deconnexion ». Bilan, si une personne surfe sur un ordinateur public ou semi public (bureau…) un second internaute, face au clavier, peut se retrouver connecter aux informations privées et sensibles du propriétaire légitime. « Une solution technique est en préparation et sera déployée aussitôt qu’elle aura été validée. La sécurité est en effet essentielle pour nos utilisateurs. » infique le site des pensions belges au journal Le Vif.

Espérons pour ce site qu’aucune faille de type XSS (Cross-Site Scripting) existe. Une XSS permet de dérober, par le biais d’un lien particulièrement formulé, d’intercepter les données d’un cookie, donc dans ce cas, de connexion d’un belge utilisateur de My Pension. Une attaque qui peut faciliter, pour un malveillant, l’accès aux données d’une cible pensant être déconnectée de son administration.

Notification d’infraction aux données : linkedIn

La société LinkedIn vient de communiquer sur son « problème » de fuite de données. Voici ses propos et sa notification d’infraction aux données.

« Vous avez pu récemment entendre parler de problème de sécurité à LinkedIn. Nous souhaitions nous assurer que vous disposiez des faits réels, des données concernées et des mesures que nous prenons pour vous protéger.

Que s’est-il passé ?
Le 17 mai 2016, nous avons découvert que des données volées en 2012 de LinkedIn ont été mises à disposition en ligne. Il ne s’agit pas d’une nouvelle infraction ou d’un hack. Nous avons pris des mesures immédiates pour invalider tous les mots de passe des comptes que nous estimons affectés. Il s’agit des comptes créés avant 2012 qui n’avaient pas mis leur mot de passe à jour après l’infraction.

Quelles sont les données concernées ?
Les adresses e-mail des membres, les mots de passe chiffrés et l’ID LinkedIn (identifiant interne attribué à chaque profil de membre) de 2012.

Nos mesures
Nous avons invalidé les mots de passe de tous les comptes créés avant l’infraction de 2012 qui n’avaient pas réinitialisé les mots de passe depuis. De plus, nous utilisons des outils automatiques pour identifier et bloquer toute activité suspicieuse qui se produirait sur les comptes LinkedIn. Nous collaborons également avec les forces de l’ordre.

LinkedIn a pris des mesures importantes depuis 2012 pour renforcer la sécurité des comptes. Nous avons ajouté des couches de protection supplémentaires au stockage des mots de passe et offrons la possibilité à nos membres d’activer la vérification en deux étapes pour plus de sécurité.

Vos options
Nous avons plusieurs équipes dédiées à la sécurité des données confiées par nos membres à LinkedIn. De votre côté, pour renforcer la sécurité de vos comptes, nous vous suggérons d’accéder au Centre de sécurité pour apprendre à activer la vérification en deux étapes et à créer des mots de passe résistants. Nous recommandons que vous changiez régulièrement de mot de passe et que si vous utilisez des mots de passe similaires, ou les mêmes, sur d’autres sites web, vous les changiez aussi.

Pour plus d’informations
Si vous avez des questions, veuillez contacter notre équipe Sécurité tns-help@linkedin.com. Pour en savoir plus, lisez notre blog officiel. »

Droit à l’oubli : Google interjette appel de sa condamnation par la CNIL

Cnil contre Google : Le combat du droit à l’oubli continue après l’appel de sa condamnation par la CNIL ce 19 mai.

Google est bousculé par les autorités européennes et nationales depuis 2 ans concernant le référencement des personnes physiques au sein du moteur de recherches.

Tout a commencé avec l’affaire dite ‘’Google Spain’’ en 2014, au terme de laquelle la Cour de justice de l’Union Européenne a condamné le géant mondial de l’internet à retirer les résultats « inadéquats, pas ou plus pertinents ou excessifs » référençant le nom de personnes qui ne le souhaitaient pas ou plus et en ont formulé la demande.

Suite à cette décision, le moteur de recherche a reçu des dizaines de milliers de requêtes de la part de citoyens français. On dit qu’ils cherchent à exercer leur « droit à l’oubli », bien que celui-ci n’existe pas actuellement de manière explicite dans la législation ou jurisprudence européenne et française.

Les tentatives de Google pour échapper au droit à l’oubli
Suite à la décision de la Cour de Strasbourg, la société Google a accédé en demi-teinte aux demandes des internautes. Après avoir créée un formulaire à cet effet, elle a procédé au déréférencement de certains résultats mais seulement sur les extensions européennes du moteur de recherches comme google.fr ou google.uk. A contrario, elle refuse catégoriquement de faire jouer le droit à l’oubli des personnes sur le portail google.com. Or, tout le monde peut utiliser cette extension, ce qui revient à rendre illusoire le déférencement.

En mai 2015, face à ce manque de volonté, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a publiquement mis en demeure le moteur de recherche mondial n°1 d’accéder aux demandes de déréférencement sur tous les noms de domaine de la société. Un recours gracieux a été formé fin juillet 2015 par Google faisant valoir que l’injonction entraverait le droit à l’information de ses internautes tout en instaurant une forme de censure. Selon la société, il ne revient pas à une agence nationale de protection des données à caractère personnel de se revendiquer « une autorité à l’échelle mondiale pour contrôler les informations auxquelles ont accès les internautes à travers le monde ».

Après le rejet de ce recours gracieux, la CNIL a engagé une procédure de sanction à l’encontre de Google qui s’est soldée par sa condamnation à 100 000 euros d’amende pour ne pas avoir appliqué le droit à l’oubli sur l’ensemble de ses extensions géographiques.

Google interjette appel de sa condamnation par la CNIL
Ce jeudi 19 mai 2016, Google a fait appel de cette condamnation peu sévère au regard du chiffre d’affaire astronomique de cette société de droit américain, qui était de 66 milliard de dollars en 2014, soit 19% de plus qu’en 2013. On en déduit que Google en fait une affaire personnelle, une affaire de principe : La société ne veut pas se laisser dicter sa conduite par la Cour de justice de l’Union européenne et certainement pas par une autorité administrative française.

A l’image de David contre Goliath, le combat de la CNIL contre Google est extrêmement déséquilibré. Nous ne pouvons que saluer la persévérance de la CNIL dans sa confrontation avec Google pour faire respecter les droits des particuliers français partout dans le monde. Le projet de loi pour une République numérique conforte la position de la CNIL en consacrant un droit à l’oubli pour les mineurs. De plus, toute personne pourra dorénavant organiser les conditions de conservation et de communication des données à caractère personnel la concernant après son décès, ce qu’on peut rattacher au droit à l’oubli. Entre neutralité du net et droit à l’oubli, des choix vont devoir être pris et il faudra les imposer à Google, ce qui présage encore une longue vie à la saga judiciaire sur le déréférencement. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

25 bases de données piratées diffusées sur la toile

25 bases de données piratées diffusées sur Internet par un pirate. De la promo vente sur le dos de millions d’internautes. Des Français concernés.

Le 18 mai dernier, un pirate informatique a décidé de diffuser sur Internet 25 bases de données piratées. Les cibles de ce malveillant numérique courent de 2014 à 2016. J’ai pu constater de nombreuses informations de Français enregistrées dans les bases de données volées aux sites 000webhost, Vodaphone, SnapChat, BlackHatWorld pour ne citer qu’eux.

La plus récente des BDD concerne le site LinuxMint, piraté en 2016. Le pirate a diffusé les contenus non pas par beauté du geste, il n’y en a aucun dans tous les cas, mais par intérêt économique. D’abord il diffuse son compte Bitcoin, histoire de s’attirer les donateurs, mais aussi les clients qui pourraient lui commander d’autres données, via les informations qu’il garde en secret, dans son ordinateur. Il met aussi en pâture des bases de données qu’il n’a plus besoin. Des millions de datas ponctionnées, vidées, revendues dans le black market, depuis des semaines.

Les cybers attaques ont un impact réel sur la confiance des consommateurs

Une enquête menée par le cabinet d’études VansonBourne à l’initiative de FireEye auprès d’un panel représentatif de 1000 consommateurs français, révèle que les cyber attaques de grande ampleur qui se sont produites en 2015 ont affecté durablement la confiance des consommateurs envers les grandes marques.

Les résultats de l’enquête ont mis en évidence une inquiétude grandissante du public directement liée à la perception d’un manque d’intérêt des directions générales pour la protection des données, plus des trois quarts (77%) des consommateurs déclarant être prêts à stopper leurs achats auprès d’une entreprise si une cyber attaque révélait une négligence de la part des dirigeants sur la protection des données. Cette négligence des dirigeants est d’ailleurs jugée plus grave que si la faille de sécurité est simplement due à une erreur humaine, seules 53% des personnes interrogées évoquant cette raison pour stopper leurs achats.

Les conclusions de l’enquête révèlent également l’impact financier potentiel sur le long terme des vols de données pour les grandes marques, 54% des consommateurs déclarant qu’ils engageraient des poursuites judiciaires contre les entreprises si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque. 71% des consommateurs indiquent également qu’ils divulgueront à l’avenir moins d’informations personnelles aux marques avec lesquelles ils sont en relation, ce qui pourrait avoir un impact négatif sur les ventes de beaucoup d’entreprises qui exploitent les donnes de leurs clients pour optimiser leur marketing.

Richard Turner, President EMEA de FireEye, a déclaré : « Les cyber attaques et les vols de données se sont multipliés dans l’actualité au cours de l’année écoulée, et les entreprises françaises n’ont pas toutes été épargnées. Les dirigeants des entreprises concernées ont dû réagir immédiatement pour limiter les pertes financières directes, en offrant des ristournes ou d’autres compensations aux consommateurs ». Mais cette enquête montre que les pertes financières dues à un vol de données s’étendent longtemps après que l’attaque initiale ait eu lieu. Elle met en lumière le « coût caché » des cyber attaques sur les entreprises, avec des consommateurs moins enclins à acheter auprès d’organisations réputées négligentes en matière de sécurité, et de plus en plus tentés d’engager des poursuites contre des fournisseurs si leurs données tombent en de mauvaises mains.

Les conclusions de cette enquête sur la confiance des consommateurs montrent que les perceptions négatives du public pour les marques attaquées peuvent persister longtemps après qu’elles aient quitté l’actualité, et que de plus en plus de consommateurs affectés par les vols de données pointent du doigt les responsables tout en haut de l’échelle. Il y a là des leçons importantes à retenir pour les directions générales, qui commencent à comprendre pourquoi elles doivent jouer un rôle plus actif dans la cyber sécurité. Il est également intéressant de voir dans ces résultats que les consommateurs accordent de plus en plus d’importance à la sécurité des données et gardent cet aspect à l’esprit lors de leurs décisions d’achat. Alors que la sécurité des données a été trop souvent considérée par le passé par les entreprises comme un simple centre de coût, elle représente désormais pour elles une opportunité d’attirer de nouveaux clients qui veulent avoir l’assurance que leurs données seront en sécurité. »

Les principales conclusions de l’enquête sur la confiance des consommateurs

·         Plus de la moitié des consommateurs interrogés (53%) déclarent prendre la sécurité de leurs données personnelles en considération lorsqu’ils achètent des produits et services.

·         71% des consommateurs interrogés divulgueront dans l’avenir moins de données personnelles aux organisations qui leur fournissent des produits et des services, en conséquence des cyber attaques majeures qui ont eu lieu l’année dernière.

·         Près de la moitié (42%) des consommateurs seraient prêts à payer plus un fournisseur de service garantissant une meilleure sécurité des données.

·         54% des consommateurs déclarent qu’ils engageraient des poursuites judiciaires contre leurs fournisseurs de produits et services si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque.

·         13% des personnes interrogées déclarent que la sécurité de leurs données personnelles est désormais leur principale préoccupation lorsqu’elles achètent des produits et services.

·         38% des consommateurs déclarent que les cyber attaques de grande ampleur qui se sont produites l’année dernière ont eu un impact négatif sur leur perception de la réputation des entreprises attaquées, tandis que 30% d’entre eux déclarent que ces cyber attaques ont dégradé la réputation de toutes les entreprises auprès desquelles elles font leurs achats.

·         21% des personnes interrogées qui ont eu connaissance des cyber attaques de l’année passée considèrent que la communication des dirigeants des entreprises concernées a été mauvaise ou très mauvaise.

·         L’enquête a également révélé que 93% des personnes interrogées s’attendraient à être informées dans les 24 heures si leur fournisseur de service était victime d’une attaque susceptible de compromettre leurs données. La nouvelle directive européenne GDPR (General Data Protection Regulation) imposant que les autorités soient informées d’un vol de données dans les 72 heures, ceci montre que les consommateurs sont encore plus stricts dans leurs exigences, 68% d’entre eux s’attendant même à être informés immédiatement.

Une faille du Login de Facebook corrigée

Les pirates se faisaient passer pour les titulaires des comptes en exploitant une faille du Login de Facebook.

Les Bitdefender Labs ont révélé une vulnérabilité  lors de l’authentification en ligne sur des sites Web tiers via Facebook. Un manque de mesure de sécurité lors de la validation permet aux pirates d’usurper l’identité des internautes et d’accéder, sans mot de passe, à leurs comptes en ligne.

Les social logins sont une alternative à l’authentification traditionnelle et un mode apprécié par les utilisateurs pour leur côté pratique : ils permettent aux utilisateurs de se connecter à leurs comptes Web sans saisir leur nom d’utilisateur ni leur mot de passe. La plupart des sites offrent des social logins via Facebook, LinkedIn, Twitter ou Google Plus. Les chercheurs des Bitdefender Labs ont trouvé un moyen d’usurper l’identité de l’utilisateur et d’avoir accès à ses comptes Web en utilisant le plug-in Facebook Login.

« Il s’agit d’une vulnérabilité grave qui permet aux pirates de créer un compte avec une adresse e-mail ne leur appartenant pas et de changer l’adresse e-mail liée au compte d’un site par une autre adresse non vérifiée », prévient Ionut Cernica, chercheur spécialiste des vulnérabilités chez Bitdefender. « Cela signifie qu’un pirate peut effectuer des paiements en ligne au nom de l’utilisateur, arrêter son moteur antivirus pour infecter ses périphériques, propager des malwares à ses contacts et bien plus encore. »

Pour que l’attaque réussisse, l’adresse e-mail de la victime ne doit pas déjà être enregistrée sur Facebook. La plupart des internautes ont plus d’une adresse e-mail publiée sur différents sites Web, accessibles à tout le monde. Il est donc assez simple pour le pirate d’obtenir une de ces adresses et de créer un compte Facebook avec cette dernière.

Pour vérifier l’identité d’un utilisateur sans exposer ses identifiants d’authentification, Facebook Login utilise le protocole OAuth. Grâce à OAuth, Facebook est autorisé à partager certaines informations de l’utilisateur avec le site Web tiers.

Comment se fait l’usurpation d’identité ? Une faille du Login de Facebook

Bitdefender a réussi à contourner l’étape de confirmation généralement requise lors de l’enregistrement d’une nouvelle adresse e-mail Facebook.

L’un de ses chercheurs a créé un compte Facebook avec l’adresse e-mail de la victime.

Après l’inscription, il a remplacé l’adresse e-mail par une autre dont il a le contrôle.

Après actualisation de la page, il apparaît que l’adresse e-mail de la victime a également été validée.

Lorsque le chercheur a tenté de se connecter sur un autre site via le bouton Facebook Login (avec l’adresse e-mail de la victime), il a dû confirmer sa propre adresse e-mail, et non celle de la victime.

Bien que le chercheur de Bitdefender n’ait confirmé que son compte personnel dans les paramètres du compte Facebook, l’adresse de la victime était bien le contact principal.

« J’ai utilisé à nouveau Facebook Login et décidé de mettre mon adresse comme contact principal à la place de celle de la victime, puis de la changer à nouveau pour faire du compte de la victime le compte principal. C’est une étape importante pour reproduire le problème », a ajouté Ionut Cernica.

Puis, sur un autre site Web, le chercheur de Bitdefender a utilisé Facebook Login pour se connecter sous l’identité de la victime. Le site a fait le lien entre l’adresse e-mail de la victime (en passant par Facebook) et le compte existant et a permis au chercheur, qui aurait pu être un pirate, de contrôler ce compte. « Le fournisseur d’identité – dans ce cas, Facebook – aurait dû attendre que la nouvelle adresse e-mail ait bien été vérifiée », affirme Ionut Cernica à DataSecurityBreach.fr.

Une faille du Login de Facebook corrigée rapidement. Facebook a réparé la vulnérabilité après en avoir été alerté par Bitdefender.

Cybersécurité & Génération Z : entre confiance et insouciance

Entre confiance et insouciance – Une enquête menée par l’APSSIS auprès d’un panel d’adolescents montre comment la génération Z, omni connectée par nature, envisage la notion de confidentialité, en particulier s’agissant de ses données personnelles de santé. Entre confiance et insouciance, les adolescents redessinent certainement les contours de la confidentialité et seront peut-être les futurs clients connectés et dociles des mutuelles et assureurs 3.0.

L’APSISS, l’Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé, publie les résultats d’une enquête réalisée auprès d’adolescents sur leur relation avec la protection des données, en particulier les données liées à leur santé.

Menée sur un panel de 204 jeunes scolarisés en classe de seconde, l’enquête a permis de dégager plusieurs enseignements qui viennent bouleverser notre vision de la notion de confidentialité.

Relation à Internet : entre confiance et insouciance
Plus de la moitié des adolescents interrogés déclarent faire confiance à Internet. Et, ils sont nombreux à utiliser leur propre identité pour s’y afficher et à y livrer des informations personnelles. Pourtant, « découvrir des photographies de la maison familiale sur des réseaux sociaux n’amuse pas les parents », confie Damien Bancal, spécialiste du cybercrime et contributeur de l’enquête APSSIS. « La majorité des parents ne savent pas que leurs enfants n’ont pas un, mais des espaces Facebook. (…) Le record, pour une jeune Lilloise de 12 ans : 14 comptes différents. »

Et si 32 % des jeunes interrogés déclarent avoir déjà été confrontés à des problèmes sur Internet (vol de données, harcèlement, confidentialité), ils restent néanmoins attirés par les plateformes de partage, comme le montre la croissance de l’usage des réseaux tels que Snapchat, Pinterest, Instagram…. 88 % d’entre eux, savent en outre que toutes les données qu’ils publient sont conservées sur Internet, et ils sont 62% à penser que cela ne pose aucun problème.

« Il est d’ailleurs intéressant de leur demander s’ils savent où sont stockées leurs données sauvegardées par leur montre connectée », s’amuse Damien Bancal. « Les adolescents (…) pensaient que ces informations n’étaient stockées qu’à leur poignet ».

Les données de santé moins sensibles que les données bancaires !
Selon les adolescents interrogés, les données bancaires et de santé ne font pas l’objet du même enjeu de protection. En effet, 77,5% estiment que leurs données de santé sont moins importantes que leurs données bancaires. « Est-ce parce qu’ils sont habitués à partager de nombreuses informations personnelles via leurs applications, sans trop se soucier des risques, et certains qu’elles sont protégées, qu’ils n’envisagent pas la même nécessité de protection pour leurs informations médicales ou de bien être ? », s’interroge Vincent Trély, Président de l’APSSIS.

Par ailleurs, 79% des adolescents du panel se disent plutôt d’accord avec le principe de partager leurs données de santé, avec leur mutuelle ou leur assureur au travers des applications et objets connectés qui les collecteront et ce, dans la perspective d’obtenir des tarifs adaptés à leur cas particulier.

entre confiance et insouciance : La notion de confidentialité remise en question
Il y a ceux qui font confiance au médecin (45 répondants) et à l’Etat (27 répondants) pour se charger du problème de confidentialité des données, et les autres, à la fois inquiets (76 répondants) et qui ignorent comment fonctionnent Internet et les applications collectant leurs données (84 répondants). Ce qui se cache derrière les applications qu’ils utilisent, notamment en termes de gestion de la vie privée, cela ne les intéresse pas (57 répondants). « Globalement, ils semblent peu curieux d’en savoir plus », note Vincent Trély. « Une fois l’inquiétude passée, c’est le service rendu par l’application qui prévaut ».

« Les conclusions de cette étude doivent nourrir notre réflexion et apporter quelques paramètres issus du réel à la conception traditionnelle que nous avons de la confidentialité. Le deal sera simple : la mise à disposition des données est par principe acquise, en fonction du bénéfice qu’apportera l’application collectrice. Nous serons tracés, géo localisés et nos données intimes seront agrégées par des plates-formes privées, mais nous serons d’accord. Car le retour sur investissement nous sera favorable. Il est également certain que la nouvelle génération prendra conscience de la valeur de ses données personnelles et décidera de les monnayer… Après tout, si la matière, ce sont les données, il serait bien légitime de rémunérer leur production » analyse Vincent Trély, Président de l’APSSIS. Pour recevoir l’étude complète : secretaire@apssis.com

Le Japon va tester la biométrie pour payer ses achats

Biométrie – Pour préparer les Jeux Olympiques de 2020, attirer les touristes et contrer le cyber crime, le japon va tester, cet été 2016, le contrôle biométrique pour le paiement et la  réservation d’une chambre d’Hôtel.

Cet été, si vous avez la chance de vous rendre au Japon, préparez-vous à sortir vos doigts. Le pays va lancer une grande opération biométrique dédiée au contrôle d’identité et à la sécurisation des paiements.

Le gouvernement Japonais espère ainsi augmenter le nombre de touristes étrangers en utilisant ce système pour soulager les utilisateurs de la nécessité de transporter des espèces ou cartes de crédit. Le Japon veut tester son système afin que ce dernier soit opérationnel pour les Jeux olympiques et paralympiques de Tokyo 2020.

L’expérience permettra aux touristes volontaires, foulant le sol Nippon, d’enregistrer leurs empreintes digitales, identités et données de carte de crédit. Pour inciter les visiteurs à participer, pas de taxe sur les produits. Il suffira de placer deux doigts sur les dispositifs spéciaux installés dans 300 magasins et hôtels du pays. La biométrie permettra aussi d’éviter aux touristes de voir leur passeport copiés dans les hôtels. L’authentification par empreintes digitales suffira.

En 2020, Tokyo attend 40 millions de touristes. Les premiers tests ont eu lieu, depuis octobre 2015, dans le parc à thème du Huis Ten Bosch de Sasebo.