Archives de catégorie : ios

Fuite de données via un iPhone 5

Un client de l’opérateur Telstra se retrouve avec les messages du répondeur de l’ancien propriétaire d’un iPhone 5.

Richard Thornton est Australien. Ce client de l’opérateur Telstra souhaitait changer d’iPhone. Bilan, il va effacer le contenu de son téléphone, réinitialiser « USINE » l’appareil, retirer sa carte sim. Bref, les actions logiques pour toutes personnes souhaitant revendre son matériel et ne pas laisser de traces dans l’ordiphone. Apple propose d’ailleurs une procédure à suivre avant de vendre ou de céder votre iPhone, iPad ou iPod touch.

Sauf que Richard Thornton a eu une très mauvaises surprises. Le nouveau propriétaire du téléphone de Richard reçoit les messages vocaux laissés sur le répondeur de l’ancien possesseur du smartphone. L’acheteur de l’iPhone d’occasion est aussi client de TelStra. Lorsque l’iPhone 5 a été mis hors tension, puis de nouveau branché, l’appareil d’Apple a téléchargé les messages vocaux de M. Thornton dans l’application de messagerie vocale visuelle du téléphone. Messages qu’il est possible d’écouter complétement.

La compagnie de téléphone n’a pas encore déterminé la cause du problème. « Ils connaissent les symptômes, mais ils ne savent pas la cause« , indique Thornton.

Procédure à suivre avant de vendre votre iPhone, iPad ou iPod touch

Si vous avez jumelé une Apple Watch avec votre iPhone, mettez fin au jumelage.
Sauvegardez les données de votre appareil iOS.
Touchez Réglages > iCloud. Faites défiler la page vers le bas et touchez Déconnexion. Sous iOS 7 ou version antérieure, touchez Supprimer le compte.
Touchez à nouveau Déconnexion, puis Supprimer de l’iPhone, et saisissez enfin votre mot de passe.
Rendez-vous à nouveau dans Réglages > Réinitialiser > Effacer contenu et réglages. Si vous avez activé la fonctionnalité Localiser mon iPhone, il peut être nécessaire de saisir votre identifiant Apple et votre mot de passe.
Si vous êtes invité à saisir le code d’accès de votre appareil, ou celui applicable aux restrictions, effectuez cette opération. Touchez ensuite Effacer [appareil].
Contactez votre opérateur pour connaître la procédure à suivre en cas de changement de propriétaire. Si vous n’utilisez pas de carte SIM avec votre appareil, adressez-vous également à lui pour savoir comment faire bénéficier le nouveau propriétaire de votre forfait. (SMH)

Mamie veut récupérer le mot de passe de l’iPad de son défunt mari

Une grand mère souhaite pouvoir utiliser l’iPad de son défunt mari. Apple lui réclame une ordonnance du tribunal pour récupérer le mot de passe.

Je ne sais pas pour vous, mais l’affaire qui vise Peggy Bush, une grand mère canadienne de 72 ans et Apple me fait dire que la manipulation de l’opinion publique au sujet des mots de passe des téléphones et tablettes vient de débuter une nouvelle phase.

Je m’explique. La petite dame a perdu son mari. Décédé, monsieur est parti avec le mot de passe qui permet d’accéder à l’iPad familial. Bilan, la veuve a demandé à Apple le précieux sésame. Réponse de la firme américaine, la dame doit obtenir une ordonnance du tribunal pour récupérer le mot de passe de son défunt époux. « J’ai pu obtenir des pensions, des avantages du gouvernement fédéral. Mais d’Apple, je ne pouvais  pas obtenir un mot de passe ridicule. »

L’opinion public manipulé ? Imaginez le tollé. Apple, refuse d’aider une grande mère. Vite une loi pour faire plier les sociétés à fournir le mot de passe demandé par les familles. Pour finir l’histoire, Peggy ne voulait pas récupérer des photos sur la tablette… elle veut jouer aux jeux installés sur l’iPad.

Avouons aussi que ce problème sera de plus en plus récurant. Nous allons tous mourir laissant derrière nous mots de passe de sites web, forums, réseaux sociaux, smartphones… Comme j’ai déjà pu l’écrire sur le site zataz, il va falloir penser à se rapprocher de son notaire pour sauvegarder les précieux et les rendre disponibles aux proches parents.

NSA : l’espionnage toujours en cours

Le Wall Street Journal a rapporté que la NSA a espionné le Premier ministre israélien Benjamin Netanyahu et ses principaux collaborateurs.

Le président Obama et son administration continuent l’espionnage des alliés et alliés « pour du semblant ». Le Wall Street Journal a confirmé l’espionnage numérique du Premier ministre israélien Benjamin Netanyahu et de ses principaux collaborateurs. Comme le rapporte le WSJ, une mise sur écoute « de certaines conversations privées avec les législateurs américains et des groupes américano-juif». La NSA voulait clairement emmagasiner de l’information sur les tentatives de sabotage des accords avec l’Iran.

Ce qui est « marrant » dans cette histoire, c’est de lire les propos de toutes sortes d’internautes, tel que le politique Pete Hoekstra. Ce dernier a passé de nombreuses années à défendre les programmes de surveillance de la NSA. Aujourd’hui, il s’indigne de cette mise sur écoute massive de dirigeants israéliens. En 2014, Pete Hoekstra se moquait du Brésil et de l’Allemagne. Deux nations qui montraient du doigt l’espionnage de ses dirigeants par la National Security Agency.

Double authentification pour votre site web

Vous avez un site web ? En plus de votre mot de passe d’accès à votre espace d’administration utilisez la double authentification.

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, gMail, Amazon, DropBox, Facebook, DataSecurityBreach.fr vous propose la même sécurité dédiée à votre site Internet. Ce mode d’emploi est à destination des utilisateurs de WordPress.

La validation en deux étapes contribue à protéger le compte d’un utilisateur contre les accès non autorisés au cas où un tiers parviendrait à obtenir son mot de passe. Même si une personne malveillante parvient à décrypter, deviner ou dérober un mot de passe, elle ne peut se connecter si elle ne dispose pas des informations de validation supplémentaires de l’utilisateur. Ces dernières se présentent sous la forme de codes que seul l’utilisateur peut obtenir via son mobile ou via une signature chiffrée contenue dans une clé de sécurité.

Mode d’emploi double authentification WordPress

Commençons par la base, télécharger l’application qu’il faudra installer dans votre smartphone. Plusieurs choix possibles : Google Authenticator ; Authy ; encore FreeOTP ou encore Duo Mobile Authentication. Ensuite, installer sur votre site Internet l’application dédiée. Une fois c’est deux actions réalisées, direction l’espace « utilisateurs » de votre espace web. Sélectionnez votre identité. Dans cette partie, apparait un espace baptisé « Code secret ».

Cliquez, soit sur « créer nouveau code secret » ou « Montrer le QR Code« . Il vous suffit de lancer l’application mobile. Ensuite, sélectionner le menu, en haut à droite du logiciel. De choisir « configurer un compte« . Plusieurs choix : de viser le QR Code avec votre ordiphone (le plus simple). Rentrer le code secret, la clé fournie, généré par l’application dans votre site web. Dorénavant, une seconde entrée de mot de passe apparaît dans votre ouverture d’administration. Il suffira d’y insérer le code fourni par votre téléphone portable.

Des hébergeur tels que OVH propose aussi la double authentification.

Une entreprise sur dix possède au moins un terminal infecté ayant accès aux données d’entreprise

Les données contenues dans le rapport « L’état de la sécurité des applis » de MobileIron révèlent également la liste des principales applis grand public blacklistées.

À l’heure où les collaborateurs choisissent les smartphones et les tablettes pour travailler, les applis mobiles deviennent des outils professionnels indispensables. Suite aux récentes attaques mobiles telles que XcodeGhost, Stagefright, Key Raider et YiSpecter, une quantité sans précédent de données professionnelles mobiles s’est vue menacée. MobileIron a publié aujourd’hui de nouvelles statistiques relatives à l’«état de la sécurité des applis», qui comprennent des informations concernant la manière dont les entreprises utilisent et protègent leurs applis mobiles.

« Dans la mesure où de plus en plus de processus commerciaux sont mobilisés, les hackers s’intéressent aux applis mobiles afin de profiter de l’incapacité des entreprises à prévenir et à détecter les menaces mobiles » a déclaré à DataSecurityBreach.fr Mike Raggo, directeur de la recherche sur la sécurité chez MobileIron. « Afin de protéger les données sensibles contre les menaces de demain, les entreprises doivent repenser leur approche en matière de sécurité en adoptant une architecture mobile fondamentalement différente. »

Principales applis grand public blacklistées
Les collaborateurs sont susceptibles de stocker des documents professionnels sur des applis personnelles de synchronisation et de partage de fichiers d’entreprise (EFSS), ce qui contribue à placer des données professionnelles sensibles en dehors du cadre de la protection du service informatique. Cinq des dix premières applis grand public blacklistées par les clients de MobileIron sont des applis EFSS.

1. Dropbox (EFSS)
2. Angry Birds
3. Facebook
4. OneDrive (EFSS)
5. Google Drive (EFSS)
6. Box (EFSS)
7. Whatsapp
8. Twitter
9. Skype
10. SugarSync (EFSS)

« Les versions grand public des applis EFSS effraient les départements informatiques dans la mesure où des données professionnelles sont susceptibles d’être égarer. Heureusement, les versions d’entreprise d’un grand nombre de ces applis sont disponibles, » déclare à Data Security Breach Raggo. « Les entreprises sont en mesure d’offrir à leurs collaborateurs l’expérience qu’ils désirent tout en protégeant leurs données d’entreprise, mais ceci exige une transformation de l’état d’esprit qui consiste à passer de la restriction à l’autorisation. »

Les applis mobiles sont menacées
Dans la mesure où le travail évoluera dans le futur de plus en plus vers la mobilité, il en sera de même pour le détournement des données et la cybercriminalité. Les récentes attaques ont ciblé les applis et les systèmes d’exploitation mobiles afin d’exfiltrer des données sensibles, et de nombreuses entreprises n’étaient pas préparées. Par exemple, les applis iOS infectées par le logiciel malveillant XcodeGhost peuvent collecter des informations relatives aux terminaux puis crypter et charger ces données vers des serveurs gérés par des agresseurs. La société de détection de logiciels malveillants FireEye a identifié plus de 4 000 applis infectées sur l’App Store, tandis que la société de gestion des risques relatifs aux applis mobiles Appthority a révélé que la quasi-totalité des organisations détenant au moins 100 terminaux iOS possédaient au moins un terminal infecté.

Le défi relatif aux terminaux et aux applis mobiles réside dans le fait que l’utilisateur – et non l’administrateur informatique – exerce généralement le contrôle. Les terminaux deviennent non conformes pour diverses raisons. Par exemple, un terminal se révélera non conforme dès lors que l’utilisateur procédera à un jailbreak ou à un root de son terminal, si le terminal fonctionne sur une ancienne version du système d’exploitation que le département informatique ne prend plus en charge, ou dès lors que l’utilisateur aura installé une appli que le département informatique a blacklisté. MobileIron a révélé les éléments suivants :

Dans ces différents cas, bien que les technologies traditionnelles de sécurité ne soient pas en mesure d’entreprendre les actions nécessaires pour protéger les données d’entreprise, MobileIron est en mesure de le faire. Dès lors qu’un terminal se révèle non conforme, MobileIron entreprend automatiquement plusieurs actions destinées à protéger les informations d’entreprise, notamment en envoyant une alerte à l’utilisateur, en bloquant l’accès des terminaux et applis aux ressources d’entreprise, ou en supprimant tous les courriers électroniques et les applis d’entreprise.

« Les organisations d’aujourd’hui possèdent un ensemble beaucoup trop divers de technologies de sécurité, qui sont rarement pleinement intégrées entre elles. Même lorsqu’elles sont intégrées, elles incluent rarement des informations relatives aux terminaux et aux applis mobiles, » a poursuivi Raggo. « La bonne nouvelle pour les entreprises utilisant une solution de gestion de la mobilité d’entreprise c’est qu’elles disposent des informations dont elles ont besoin sur l’état des terminaux et des applis mobiles pour protéger leurs informations d’entreprise. »

Principales raisons pour lesquelles les terminaux deviennent non conformes
Les entreprises recourant à des solutions de gestion de la mobilité d’entreprise (GME) telles que MobileIron peuvent établir des politiques destinées à garantir que les collaborateurs appropriés bénéficient de l’accès mobile approprié à partir du terminal approprié. Si les administrateurs informatiques ne procèdent pas à l’automatisation de la mise en quarantaine des terminaux dès lors qu’ils se révèlent non conformes, les données d’entreprises sont susceptibles d’être menacées.

Voici les principales raisons pour lesquelles un terminal devient non conforme aux politiques d’entreprise :
Le terminal n’est pas mis en contact avec la plateforme de GME.
L’administration a été désactivée afin que la solution de GME ne puisse plus intervenir à distance sur un terminal.
Le terminal n’est pas conforme aux règles qui bloquent, exigent ou autorisent une appli particulière.

Il est temps de repenser la sécurité mobile
Dans la mesure où des cyber-agresseurs utilisent des logiciels malveillants mobiles pour voler des données professionnelles sensibles, les entreprises doivent envisager des solutions de protection contre la perte de données dans le cadre de leurs stratégies de sécurité. Un seul terminal infecté peut rendre les entreprises vulnérables à des attaques coûteuses.

Sur les traces d’un smartphone perdu

L’éditeur Avast a « égaré » 20 téléphones aux Etats-Unis et suivi leur trace afin de connaître leur parcours.

Pour communiquer sur un des ses outils de sécurité informatique, ici une application contre le vol de téléphone portable, Avast Software a dévoilé les résultats d’une expérience au cours de laquelle la société a volontairement perdu et suivi la trace de vingt smartphones aux Etats-Unis.

Dix téléphones ont été abandonnés à divers endroits de New York, et dix autres à San Francisco. Avant de disperser les appareils, Avast avait préalablement installé trois applications de sécurité sur chaque téléphone : l’application gratuite Avast Anti-Theft, Lookout Mobile Security et Clean Master. L’éditeur avait également veillé à inscrire sur chaque périphérique l’adresse à laquelle il pouvait être retourné en cas de perte.

Sur vingt appareils, seuls quatre téléphones sont revenus chez Avast, tandis que les autres ont pu faire des périples hauts en couleurs. Sur une période de cinq mois, les analystes ont utilisé l’application Anti-Theft afin de suivre les mobiles perdus et ont découverts que la majorité des téléphones perdus ont été remis à neuf grâce à une réinitialisation aux paramètres d’usine. L’outil de l’éditeur serait la seule application de sécurité ayant « survécu » à la réinitialisation. Un appareil semble avoir voyagé dans un navire cargo transatlantique vers l’Inde, où il est actuellement utilisé par son nouveau propriétaire (Quid de la carte SIM, de l’abonnement, du réseau en mer ?). Un téléphone a pris un aller simple vers la République Dominicaine. Un appareil se trouve chez un prêteur sur gages. Un téléphone semble maintenant appartenir à un conducteur de taxi et fais des zigzags dans les rues de San Francisco

« Plus de 3 millions de téléphones sont égarés chaque année, déclare Gagan Singh à DataSecurityBreach.fr, Président de la gamme mobile chez Avast. Heureusement, grâce à Avast Anti-Theft, les utilisateurs ont la possibilité de tracer et de retrouver un téléphone perdu, ou de supprimer à distance les données qu’il contient si ce dernier est irrécupérable. Au vu du nombre de données personnelles que nous stockons sur nos téléphones à l’heure actuelle, il est fort utile de pouvoir retrouver son téléphone ou de supprimer son contenu si vous l’égarez. »

De bons samaritains
Alors que la plupart des appareils perdus continuent de parcourir le monde, quatre personnes ont toutefois renvoyé le téléphone qu’ils ont retrouvé. Comment savaient-ils qu’ils appartenaient à Avast ? Parmi celles-ci, Quiana W. de Brooklyn, a écrit : « Je sais ce que ça fait de perdre quelque chose, un portefeuille comme un téléphone, j’espère donc que cela incitera d’autres personnes à en faire de même. »

Bouilloires connectées, piratage assuré

Les bouilloires connectées peuvent permettre de mettre la main sur les mots de passe wifi de leurs utilisateurs.

Les objets connectés, petit bonheur pour geek. Sauf que la sécurité, et c’est pourtant pas faute d’en parler, est encore le point faible du matériel tant vanté par le marketing et les agences de communication. C’est d’ailleurs le produit phare de ce noël 2015. Tout va être connecté, du jouet au slip !

A Londres, Ken Munro, un chercheur, a joué avec l’application ikettle. Sa mission, gérer les bouilloires connectées Smarter avec un smartphone. Sauf que le « truc » est tellement bien sécurisé qu’il permet d’intercepter les identifiants de connexion au compte wifi sur lequel est connecté la bouillante dame.

IKettle est conçu pour enregistrer les précieuses secondes passées à attendre l’eau chaude. (The Register)

Sécurité de l’AppStore : la fin du mythe ou simple retour à la réalité ?

Apple et son Store victimes d’une attaque de sécurité majeure ! Une centaine d’Apps infectées par le biais d’une librairie utilisée par les développeurs ! La forteresse aura tenu longtemps, mais elle a fini par céder et l’actualité nous rappelle quelques vérités élémentaires en matière de sécurité informatique.

Peut-on faire confiance à un acteur mondial, fut-il Apple, pour traiter à l’échelle planétaire, et pour tout le monde, la sécurité des Apps ? Qui n’a jamais tenté de publier une application mobile sur l’AppStore, n’imagine pas les moyens et les efforts déployés par Apple pour effectuer des contrôles de sécurité poussés sur les applications mobiles distribuées sur son store. C’est un fait indéniable. Et c’est une réalité vécue quotidiennement par tous les développeurs. Apple évalue, Apple contrôle, Apple audite … Et Apple rejette les Apps qui ne répondent pas à ses exigences de sécurité. Cela ne fait aucun doute. Apple ne bâcle pas le travail en matière de sécurité. Il en va de son image. Mais pour autant est-il bien raisonnable d’imaginer qu’un acteur unique, fut-il le plus puissant de la sphère numérique, puisse promettre au monde entier un espace de sécurité absolue, contrôlé par lui seul et sur la base de règles qui lui sont propres ? Certes il est confortable et rassurant de le croire. Certes les preuves sont réelles des efforts consentis par Apple pour offrir à ses clients le store le plus sécurisé de la planète numérique.

Mais hélas, la réponse est non ! Et la preuve vient d’en être apportée par l’actualité récente. Apple est faillible car il est simplement impossible à échelle mondiale de garantir un espace de sécurité universel, commun pour tous, et cela, indépendamment du contexte d’usage des Apps, des terminaux mobiles et des systèmes d’information avec lesquels ils interagissent. La sécurité numérique est une notion subjective. Chaque entreprise voit la sécurité à sa porte avec ses propres règles, adaptées à ses spécificités et à ses composants sensibles. Imaginer le contraire relève quasiment de l’inconscience.

Les entreprises ne peuvent pas faire l’économie d’ajouter leur propres contrôles de sécurité aux contrôles d’Apple, fussent-ils les plus rigoureux. Agir différemment reviendrait à considérer dans le monde physique que la sureté du territoire national étant prise en charge par les services de l’Etat, il n’est pas nécessaire pour l’entreprise d’assurer sa propre sécurité et celle de ses personnels.

Apple n’y est pour rien. La firme de Cupertino aura beau multiplier les contrôles de sécurité. Ils ne couvriront jamais les exigences propres d’une banque, d’un opérateur de télécommunication ou d’un distributeur d’énergie. La sécurité numérique d’une entreprise est aussi et avant tout son affaire propre ! L’entreprise peut-elle faire confiance à ses seules équipes internes et/ou à ses prestataires, pour s’assurer de la sécurité de ses propres Apps ?

La première réponse qui vient à l’esprit est naturellement oui. Après tout, les équipes internes savent bien ce qu’elles font. Quant aux prestataires, ils sont encadrés et contrôlés, et ils auraient beaucoup à perdre à introduire des comportements malveillants au sein des applications mobiles qu’ils développent.

Hélas ! L’actualité d’Apple révèle combien le monde numérique est lié et interdépendant. La malveillance n’est pas venue des équipes de développement, qu’elles soient internes ou externes. Elle était simplement logée dans les outils qu’ils avaient à leur disposition … Dès lors la vieille histoire du cheval de Troie se réécrit en version numérique et la désormais fameuse librairie X code aura permis aux pirates de prendre la citadelle Apple en douceur.

Mais au final, et en toute bonne foi, des équipes de développement auront livré une application comportant une portion de code malveillant.

La leçon qu’il faut en retenir est simple : en matière d’applications mobiles, comme dans tous les domaines, la confiance implique le contrôle. Les entreprises doivent s’assurer que leurs applications et l’ensemble des éléments qui les composent sont auditées avec soin et cela dans les multiples et complexes ramifications qui constituent leur code informatique complet.

Peut-on aborder la sécurité des Apps au sein de l’entreprise de manière binaire ?
Une application doit être saine ou malveillante. Autorisée ou bloquée. Oui ou non, les questions de sécurité ne doivent accepter que ces seules réponses. Bien entendu, le monde des applications mobiles serait idéal si les réponses de sécurité étaient simplement binaires. Mais ce monde idéal n’existe pas. La sécurité est une notion relative. Chaque entreprise doit la considérer selon ses règles propres. En vérité, les applications se classent en 3 grandes catégories :

Les applications saines. Leur comportement ne présente pas de risque pour l’entreprise et ses collaborateurs. Pour autant, sur des critères qui ne relèvent pas de la sécurité, elles peuvent être interdites dans un cadre professionnel, à l’exemple des Apps de jeu électronique.

Les applications malveillantes. Indépendamment du contexte particulier d’une entreprise, certains malwares sont de véritables malwares universels. Une App de type « Ransomware » qui prend en otage les données de l’utilisateur (en les chiffrant) contre paiement d’une rançon, est à proscrire.

Et les applications « grises ». Elles sont saines pour certains. Elles sont malveillantes pour d’autres. L’interprétation de leur comportement dépend du contexte de l’entreprise. Une application qui récupère la géolocalisation de l’utilisateur peut être considérée comme dangereuse ou non, selon le contexte de l’entreprise.

La « zone grise » apporte de la complexité dans la gestion de la sécurité des Apps car elle possède des frontières à géométrie variable. Il convient à chaque entreprise de définir ses règles propres pour contrôler cette partie de l’univers des Apps qu’elle propose à ses salariés.

L’expérience révèle qu’à ce jour la majorité des entreprises oublient les Apps grises. Elles délèguent à un acteur mondial comme Apple le soin de gérer pour leur compte la question de la sécurité des Apps. Mais cela est impossible. Un acteur mondial ne peut déployer que des règles universelles communes pour tous. Or, les Apps grises doivent être traitées au cas par cas. D’autant que les technologies qui permettent une gestion personnalisée existent désormais sur le marché. (Par Clément Saad, Président de l’entreprise Pradeo)

Révéler son mot de passe de téléphone aux autorités n’est pas une obligation

Justice : un tribunal américain indique que les autorités ne peuvent pas contraindre des suspects à révéler le mot de passe de leur téléphone.

Un juge de Pennsylvanie a indiqué, la semaine dernière, que des personnes accusés par les autorités d’un délit, peuvent invoquer leur droit et faire appel au Cinquième amendement pour ne pas fournir les informations permettant de se connecter à leur matériel informatique protégé par un mot de passe. Forcer des suspects à renoncer à leurs mots de passe de téléphone cellulaire est une violation du droit constitutionnel contre l’auto-incrimination, indique le juge fédéral Mark Kearney.

Un jugement intéressant au moment ou le FBI fait un important lobbying auprès du législateur pour contrôler le plus possible l’utilisation du chiffrement par les utilisateurs de matériel téléphonique et informatique. James Comey, le patron du Federal Bureau of Investigation, proposant même aux entreprises de réfléchir avec l’agence à des solutions plus souple pour les agents fédéraux, lors de leurs enquêtes. Bref, une porte cachée dans le matériel et système de chiffrement.

Il faut savoir qu’en France, la loi oblige les individus entendus par les force de l’ordre à fournir les mots de passe de leur ordinateur, de leur téléphone portable (ainsi que leurs clés de chiffrement). En cas de refus, en cas de peine, le juge peut doubler la sentence. (The Hill)

Contourner iOS 9 LockScreen en 30 secondes

Utiliser SIRI pour contourner l’écran de verrouillage des nouveaux appareils d’Apple fonctionnant sous iOS9.

Une faille de sécurité a été découverte dans le nouvel OS d’Apple, iOS 9, sorti en septembre. Il permet d’exploiter Siri afin de contourner l’écran de verrouillage des téléphones et autres tablettes de la grosse pomme. Le « truc » permet d’accéder aux contacts et aux photos stockées dans l’appareil en 30 secondes. La faille n’est toujours pas corrigée dans la mise à jour 9.1.

La firme de Cupertino a annoncé que plus de 50% des appareils ont été mis à jour

La faille est d’une simplicité enfantine. Il est même étonnant qu’aucun test interne n’eut été réalisé face à ce genre de « bug ». Comment cela marche ? D’abord faire 4 erreurs lors de la demande de votre mot de passe. Attention, au bout de 5 tentatives, votre téléphone sera bloqué. Une protection classique. Dans cette 5ème tentative, tapez trois chiffres et laissez le dernier espace vide. Cliquez sur le bouton « Home » et fournissez un 4ème chiffre aléatoire. L’appareil sera bloqué, mais SIRI sera lancé. Demandez l’heure à Siri et cliquez sur l’îcone « Horloge ». Rajoutez une nouvelle horloge en cliquant sur +. Enregistrez cette horloge avec le nom de votre choix. Sélectionnez l’option « Partagez », ouvrez un nouveau message. Dans le champ « À », ouvrez la page info… et vous voilà avec un accès complet aux contacts et photos stockées dans le téléphone !

Pour éviter ce désagrément à la sauce « Big Brother », allez dans « paramètres », puis « code d’accès », sélectionnez l’option « Autoriser lors du verrouillage ». Bloquez l’accès à Siri quand l’accès à votre téléphone est bloqué par un mot de passe.

Malwares : les préjudices financiers augmentent

Une étude réalisée par Kaspersky Lab et B2B International révèle que près de la moitié des internautes (45 %) ont été confrontés à des logiciels malveillants l’an passé et que, dans la plupart des cas (81 %), cela a eu des conséquences particulièrement négatives pour ces utilisateurs et leurs équipements.

Le malware le plus fréquent touche principalement les ordinateurs Windows. 83 % des utilisateurs déclarent en avoir été victimes au cours des 12 derniers mois sur ordinateurs Windows ; 13 % sous Android  et 6 % sous Mac OS X font état d’infections sur leurs équipements. Des chiffres tirés des personnes interrogées. Ils peuvent donc changer selon les régions, les interviewés, …

Quels sont les différents types d’infections ?

12 % des personnes interrogées pensent avoir été contaminées après une visite sur un site Web suspect ; tandis que 8 % évoquent l’utilisation d’une clé USB (ou d’un autre périphérique ne leur appartenant pas) ou encore l’installation d’une application malveillante se faisant passer pour un programme légitime ; 7 % d’entre elles estiment qu’elles ont été infectées après l’ouverture d’une pièce jointe ; les plus nombreuses (13 %) n’étaient cependant pas en mesure d’expliquer comment le malware s’était retrouvé sur leur machine.

4 infections sur 5 sont à l’origine de problèmes informatiques pénalisants pour leurs victimes. Dans 35 % des cas, les utilisateurs ont constaté un ralentissement de leur ordinateur, 30 % de la publicité agressive (leur navigateur étant par exemple redirigé vers des sites Web indésirables) et 20 % la présence de programmes non sollicités sur leur machine.

Parmi les effets les plus néfastes d’une infection figurent des modifications des paramètres du navigateur ou du système d’exploitation à l’insu de l’utilisateur (17 %), la perte (10 %) ou le vol (8 %) de données personnelles, des publications ou commentaires non autorisés sur les réseaux sociaux (9 %) et le piratage de leur webcam (6 %).

Les préjudices financiers au cœur des attaques de malwares

  • 11 % des participants à l’enquête ont déclaré avoir eu à verser une rançon à des cybercriminels pour débloquer un appareil ou décrypter des fichiers personnels
  • et 6 % après une infection par un ransomware.
  • Globalement, un tiers (33 %) d’entre eux ont subi un préjudice financier à cause d’un malware.

En plus d’avoir à verser une rançon, les victimes ont dû effectuer des dépenses pour la restauration d’un équipement ou de données, pour l’achat d’un logiciel de nettoyage, voire pour remplacer leur matériel. En cas de perte financière, le coût moyen d’une attaque s’élève à 160 dollars.

« Les coûts et les effets néfastes d’une infection par malware peuvent être évités avec un peu de prudence. Par exemple, ne pas insérer de clé USB non vérifiée, n’utiliser que les boutiques d’applications officielles, installer les mises à jour du système d’exploitation et des applications, analyser les fichiers avec une solution de sécurité avant de les ouvrir. La capacité de prévoir les problèmes potentiels et de prendre des précautions est la clé de la sécurité », explique à DataSecurityBreach.fr Tanguy de Coatpont, Directeur Général de Kaspersky Lab France et Afrique du Nord.

iOS 9 : bonne pratique de sécurité

La version finale d’iOS 9 est disponible dès ce 16 septembre ! À cette occasion, voici les bonnes pratiques en matière de sécurité iOS.

Bien que les appareils et les OS Apple aient une réputation de sécurité forte, 84 % des vulnérabilités mobiles découvertes l’an dernier ont touché iOS, selon le dernier rapport de Norton by Symantec sur les menaces de sécurité Internet (ISTR). D’ailleurs, une récente famille de logiciels malveillants, appelée KeyRaider, a compromis un nombre record de comptes d’utilisateurs sur les iPhones jailbreakés.

Ci-dessous, vous trouverez trois conseils de sécurité pour iOS 9 à utiliser pour protéger vos informations personnelles. D’abord, utiliser un mot de passe Apple ID fort et unique. Le nouvel iOS 9 exige désormais un code à six chiffres plutôt que quatre. Si ce dernier est couplé avec un mot de passe Apple ID fort qui utilise des lettres, des chiffres et des symboles, il sera plus difficile pour les criminels de deviner les mots de passe.

Ensuite, DataSecurityBreach.fr vous conseiller d’activer l’authentification à deux facteurs (Comme pour double authentification Gmail, Facebook, Dropbox, …) Dans iOS 9, une authentification à deux facteurs, une couche supplémentaire de sécurité, est étendue à iTunes et iCloud, et les utilisateurs devraient l’activer immédiatement. Celle-ci oblige les utilisateurs à entrer un code de vérification unique de six chiffres (envoyé à un dispositif de confiance) ainsi que leur adresse e-mail et mot de passe lorsque l’ils se connectent à leur compte à partir d’un nouveau navigateur ou terminal.

Enfin, désactiver l’accès à Siri depuis l’écran de verrouillage. Siri est l’assistant personnel intelligent iOS, mais bien qu’utile, Siri peut aussi être un risque de sécurité. Il y a eu plusieurs cas dans le passé où Siri a été utilisé pour contourner l’écran de verrouillage de l’iPhone. Empêcher Siri d’être utilisé à partir de l’écran de verrouillage va protéger les appareils de ces types de hacks.

État des lieux de l’Internet du 2ème trimestre 2015

Akamai Technologies, Inc., leader mondial des services de réseau de diffusion de contenu (CDN), annonce la disponibilité de son rapport de sécurité « État les lieux de l’Internet » du 2ème trimestre 2015. Il livre une analyse et un éclairage sur les cyber-menaces qui pèsent sur la sécurité cloud à l’échelle mondiale.

« La menace des attaques par déni de service distribué (DDoS) et applicatives web ne cesse de s’intensifier chaque trimestre », précise John Summers, vice-président, Cloud Security Business Unit d’Akamai. « Les acteurs malveillants brouillent perpétuellement la donne en changeant de tactique, en dénichant de nouvelles vulnérabilités, voire en remettant au goût du jour des techniques considérées comme obsolètes. En analysant les attaques observées sur nos réseaux, nous sommes en mesure d’inventorier les menaces et tendances naissantes et de communiquer au public les informations indispensables à la consolidation de leurs réseaux, sites web et applications, et à l’amélioration de leurs profils de sécurité cloud. »

Dans ce rapport sont analysés deux vecteurs d’attaques applicatives web supplémentaires, mais aussi examiné les menaces représentées par le trafic TOR (routage en oignon) et même mis au jour certaines vulnérabilités dans des modules externes WordPress tiers, en cours de publication dans le dictionnaire CVE », ajoute-t-il. « Plus les menaces de cybersécurité sont documentées, mieux la défense d’une entreprise peut être opérée.

Panorama de l’activité des attaques DDoS
Sur les trois derniers trimestres, il apparaît que le nombre d’attaques DDoS double d’une année sur l’autre. Si, au cours de ce trimestre, les pirates ont privilégié les attaques de moindre débit mais de plus longue durée, toujours est-il que le nombre de méga-attaques ne cesse de croître. Au 2ème trimestre 2015, 12 attaques à un débit supérieur à 100 Gb/s ont été recensées et 5 autres culminant à plus de 50 Mp/s (millions de paquets par seconde). Très peu d’entreprises sont capables de résister par elles-mêmes à des attaques de cette ampleur.

L’attaque DDoS la plus massive au 2ème trimestre 2015, mesurée à plus de 240 Gb/s, a duré plus de 13 heures. Le débit crête est généralement limité à une fenêtre d’une à deux heures. Sur cette même période, l’une des attaques présentant le débit de paquets le plus élevé jamais encore enregistré sur le réseau Prolexic Routed a également été déclenchée (à un pic de 214 Mp/s). Ce volume d’attaques est capable de paralyser des routeurs de niveau 1 comme ceux utilisés par les fournisseurs d’accès Internet.

L’activité des attaques DDoS a établi un nouveau record au 2ème trimestre 2015, en hausse de 132 % à trimestre comparable un an auparavant, et de 7 % par rapport au 1er trimestre 2015. Si le débit crête et le volume maximal moyens des attaques ont légèrement progressé au 2ème trimestre 2015 comparativement au trimestre précédent, ils demeurent nettement en-deçà des valeurs maximales relevées au deuxième trimestre 2014.

SYN et SSDP (Simple Service Discovery Protocol) sont les vecteurs les plus couramment utilisés ce trimestre, chacun d’eux représentant approximativement 16 % du trafic d’attaques DDoS. Eu égard à la prolifération d’équipements électroniques de loisirs non sécurisés, connectés à Internet via le protocole UPuP (Universal Plug & Play), leur utilisation comme réflecteurs SSDP demeure attrayante. Quasiment inexistant il y a encore un an, le SSDP s’est imposé comme l’un des principaux vecteurs d’attaques ces trois derniers trimestres. Quant à la technique par saturation de type « SYN flood », elle continue à dominer les attaques volumétriques et ce, depuis la première édition du rapport de sécurité parue au troisième trimestre 2011.

Le secteur des jeux en ligne demeure une cible privilégiée depuis le 2ème trimestre 2014, systématiquement visé par environ 35 % des attaques DDoS. Au cours des deux derniers trimestres, la majorité du trafic d’attaques ne provenant pas d’adresses usurpées a continué à émaner de la Chine, pays qui figure dans le trio de tête depuis la parution du premier rapport au troisième trimestre 2011.

Activité des attaques applicatives web
Des statistiques sur les attaques applicatives web ont commencé à être publiées par Akamai au premier trimestre 2015. Ce trimestre, deux autres vecteurs d’attaques ont été analysés : les failles Shellshock et XSS (cross-site scripting).

Shellshock, vulnérabilité logicielle présente dans Bash mise au jour en septembre 2014, a été exploitée dans 49 % des attaques applicatives web ce trimestre. En réalité, 95 % des attaques Shellshock ont visé un seul client appartenant au secteur des services financiers, dans le cadre d’une campagne qui a duré plusieurs semaines en début de trimestre. Généralement menée sur HTTPS, cette campagne a rééquilibré l’utilisation des protocoles HTTPS et HTTP. Au premier trimestre 2015 en effet, seulement 9 % des attaques avaient été dirigées sur HTTPS, contre 56 % ce trimestre.

Par ailleurs, les attaques par injection SQL (SQLi) représentent 26 % de l’ensemble des attaques, soit une progression de plus de 75% des alertes de ce type rien qu’au deuxième trimestre. À l’inverse, les attaques de type LFI (inclusion de fichier local) s’inscrivent en net recul. Principal vecteur d’attaques applicatives web au premier trimestre 2015, LFI n’est plus à l’origine que de 18 % des alertes au deuxième trimestre 2015. L’inclusion de fichier distant (RFI), l’injection PHP (PHPi), l’injection de commandes (CMDi), l’injection OGNL Java (JAVAi) et le chargement de fichier malveillant (MFU) comptent, pour leur part, pour 7 % des attaques applicatives web.

Comme au premier trimestre 2015, ce sont les secteurs des services financiers et du commerce et de la grande distribution qui ont été les plus fréquemment touchés par les attaques.

La menace des modules externes et thèmes WordPress tiers
WordPress, plate-forme la plus en vogue dans le monde pour la création de sites web et de blogues, est une cible de choix pour des pirates qui s’attachent à exploiter des centaines de vulnérabilités connues pour créer des botnets, disséminer des logiciels malveillants et lancer des campagnes DDoS.

Le code des modules externes tiers est très peu, voire nullement, contrôlé. Afin de mieux cerner les menaces, Akamai a testé plus de 1 300 modules externes et thèmes parmi les plus répandus. Résultat : 25 d’entre eux présentaient au moins une vulnérabilité nouvelle. Dans certains cas, ils en comprenaient même plusieurs puisque 49 exploits potentiels ont été relevés au total. Une liste exhaustive des vulnérabilités mises au jour figure dans le rapport, accompagnée de recommandations pour sécuriser les installations WordPress.

Les forces et les faiblesses de TOR
Le projet TOR (The Onion Router, pour « routage en oignon ») fait en sorte que le nœud d’entrée ne soit pas identique au nœud de sortie, garantissant ainsi l’anonymat des utilisateurs. Bien que nombre des utilisations de TOR soient légitimes, son anonymat présente de l’intérêt pour les acteurs malveillants. Pour évaluer les risques liés à l’autorisation de trafic TOR à destination de sites web, Akamai a analysé ce trafic web à l’échelle de sa base de clients Kona sur une période de sept jours.

L’analyse a révélé que 99 % des attaques émanaient d’adresses IP non-TOR. Néanmoins, une requête sur 380 issues de nœuds de sortie TOR était malveillante, contre une sur 11 500 seulement en provenance d’adresses IP non-TOR. Ceci dit, le blocage de trafic TOR pourrait se révéler préjudiciable sur le plan économique. Toutefois, les requêtes HTTP légitimes vers les pages d’e-commerce correspondantes font état de taux de conversion équivalents entre nœuds de sortie TOR et adresses IP non-TOR. Le rapport.

BYOD : selon une enquête, seuls 11 % des utilisateurs protègent l’accès à leur mobile

Selon une enquête réalisée par Kaspersky Lab avec B2B International, environ la moitié des utilisateurs de smartphones et de tablettes interrogés se servent de leur appareil mobile pour le travail. Cependant, seul 1 sur 10 se préoccupe sérieusement de protéger ses informations professionnelles contre les cybercriminels.

Les résultats révèlent que beaucoup d’employés de grandes ou moyennes entreprises utilisent leurs appareils mobiles personnels au travail : 36 % des participants à l’enquête y conservent des fichiers professionnels, et 34 % des e-mails professionnels.

Parfois, des informations plus confidentielles peuvent elles aussi se trouver sur les mobiles des utilisateurs : 18% y stockent les mots de passe donnant accès à leurs comptes de messagerie professionnelle, dont 11 % concernent des accès réseaux ou des VPN. Or ce type d’informations représente une cible parfaite pour les cybercriminels à la recherche de secrets d’entreprise.

« L’orientation du marché IT vers la mobilité et le cloud offre des possibilités d’attaques supplémentaires aux hackers et augmentent les risques des entreprises de voir leurs innovations dévoilées, copiées. Par conséquent, la protection méthodique et systématique des données et de leurs transmissions constituent désormais un challenge de premier plan pour les entreprises. Un challenge qui engage leur compétitivité sur le marché, et donc leur santé économique » commente à DataSecurityBreach.fr Tanguy de Coatpont, Directeur Général de Kaspersky Lab France et Afrique du Nord.

En dépit de ces risques, le modèle BYOD offre de nombreux avantages aux entreprises. Cependant, il nécessite une infrastructure informatique et une politique de sécurité adaptées pour un niveau de sécurité optimum.

Exemples de règles à suivre dans cette démarche

·           Le processus d’intégration du BYOD doit être traité en détails et inclure un audit de l’infrastructure, une phase de conception et un déploiement pilote.

·           Choisir une solution unique et complète pour assurer la sécurité de l’ensemble du réseau de l’entreprise, intégrant la protection des appareils mobiles afin d’éviter d’éventuels problèmes de compatibilité, rendant la tâche plus pénible pour les services informatiques.

·           Centraliser la gestion des appareils mobiles sur le réseau de l’entreprise et gérer les autorisations, installations et les mises à jour des applications mobiles via des portails dédiés à l’entreprise.

·           Mettre l’accent sur la formation et la sensibilisation des employés à la sécurité informatique. L’apprentissage des règles de sécurité informatique basiques tels que le choix de mots de passe, les attitudes à respecter lorsqu’on trouve une clé USB ou sur les réseaux sociaux, ou encore l’importance du chiffrement, doivent désormais être considérées comme indispensable au même titre qu’une formation métier, comme l’explique cette tribune.

·           Plus important encore, anticiper la crise et créer des scénarios types pour bloquer l’accès des appareils personnels au réseau de l’entreprise et la suppression des données confidentielles en cas de perte ou de vol de terminaux.

D’autres conseils ici et .

L’Attaque Zero Day sur OSX et iOS : ce qu’il faut savoir

Comme beaucoup d’entre vous le savent probablement, un groupe de chercheurs a récemment révélé l’existence d’un ensemble d’exploits zero-day affectant aussi bien les dernières versions de Mac OSX que d’iOS. Vous trouverez ici des détails sur ces attaques, ainsi que le compte-rendu de recherche.

Dans le cadre de sa stratégie permanente de gestion des risques, l’équipe Good Technology Security a enquêté sur les rapports faisant état de vulnérabilités potentielles au niveau des systèmes d’exploitation Apple OS X et iOS.

Après l’examen du document technique publié par ces chercheurs, la conclusion est que la majorité des menaces évoquées s’appliquent à OS X, et que la seule menace pour iOS est le problème du « Scheme Hijacking », qui profite d’une faiblesse au niveau du système de communication inter processus (Inter-Process Communication ou IPC) d’iOS entre les applications. Selon les chercheurs, cette vulnérabilité empêche les applications d’authentifier correctement l’application à laquelle elles se connectent.

Fonctionnement de l’attaque

Apple iOS permet à différentes applications installées sur un même appareil iOS de communiquer entre elles. Cette communication ne nécessite d’origine aucune authentification. C’est ainsi qu’une application non autorisée/malveillante peut intercepter des données et des informations d’authentification destinées à une autre application.  Le rapport de recherche décrit un scénario selon lequel un système d’identification unique (SSO) Facebook pourrait être compromis. Le même scénario pourrait s’appliquer à une application d’entreprise transmettant des données d’authentification à l’aide du protocole OpenURL.

Analyse de Good Technology

Good n’est pas vulnérable à cette attaque, car nous n’utilisons pas uniquement l’IPC natif pour les communications entre applications. Pour cela, Good met en place un service sécurisé baptisé « Communications inter conteneurs » (ICC). Notre système ICC permet à chaque application Good d’authentifier de façon sécurisée l’autre application Good avant qu’elles soient autorisées à communiquer entre elles. L’ICC atténue la vulnérabilité de l’IPC et empêche les applications non autorisées d’intercepter des données sensibles, comme des informations d’authentification transmises via le protocole OpenURL, comme décrit précédemment.

Des rapports préliminaires du secteur indiquent que le trousseau d’Apple iOS est vulnérable. Après l’examen détaillé du document publié par les chercheurs, il est clair que l’attaque envers ce trousseau ne fonctionne que sur OS X. Cependant, dans l’éventualité d’un problème au niveau du trousseau d’iOS, Good ne serait pas affecté. En effet, par défaut, nous n’utilisons pas cette ressource afin de stocker des clés. Good stocke les identifiants professionnels dans des conteneurs sécurisés à l’aide de ses propres systèmes de contrôle, notamment le chiffrement certifié FIPS au niveau des applications.

Que faire

Ces révélations montrent pourquoi les organisations doivent adopter une approche à plusieurs niveaux en matière de sécurité afin de protéger les données professionnelles présentes sur les smartphones et tablettes grand public. Good recommande de respecter les étapes suivantes :

1) Continuez de sensibiliser vos utilisateurs quant aux différentes menaces que courent leurs appareils mobiles.  Cela permet non seulement de protéger vos données professionnelles, mais également d’aider vos employés à protéger leurs données personnelles.

a. Encouragez vos utilisateurs à télécharger des applications depuis des sources fiables. Cela ne permettra peut-être pas de limiter entièrement les problèmes soulevés dans ce rapport, mais le risque que des applications malveillantes interagissent avec l’appareil d’un utilisateur en sera atténué.

b. Encouragez vos utilisateurs à signaler les applications qui, selon eux, présentent des lacunes en matière de fonctionnalités de protection des données personnelles ou professionnelles.

2) Activez la détection de jailbreak si ce n’est pas encore le cas. Bien que cette attaque pourrait contourner le processus de validation d’applications d’Apple, il vaut toujours mieux s’assurer que les applications soient téléchargées à partir de sources fiables.

3) En outre, si vous êtes client de Good, fournissez à vos utilisateurs les applications sécurisées par Good nécessaires pour gérer leurs activités de façon adaptée et avec une bonne productivité. Le conteneur de Good utilisant des communications entre applications indépendantes de l’ICC d’Apple, il ne sera pas affecté par cette attaque.

4) Assurez-vous que les systèmes de protection contre la perte de données appropriés soient activés afin d’empêcher vos données de s’échapper des applications protégées.

a. « Empêchez la copie à partir d’applications GD vers des applications non sécurisées par GD »

b. « Empêchez la copie à partir d’applications non sécurisées par GD vers des applications GD »

5) Enfin, les services d’évaluation de la réputation des applications tels que NowSecure, FireEye et autres devraient vous fournir les outils nécessaires afin d’analyser les risques que représentent les appareils de vos employés. (Good).

Amnésie numérique : comment les smartphones nous font perdre la mémoire

L’« effet Google », ou l’impact sur notre mémoire de toujours trouver les informations sur Internet[i], s’étend aujourd’hui à nos informations personnelles essentielles conservées sur les mobiles, selon une nouvelle étude de Kaspersky Lab.

Cette étude révèle en effet que la majorité des consommateurs européens connectés, du moins ceux interrogés par l’éditeur de solution de sécurité informatique, ne connaissent pas par cœur des numéros de téléphone de première importance, tels que :

– ceux de leurs enfants 57 % (58 % pour la France) :
– de leur école, 90 % (même chiffre pour la France) ;
– de leur propre lieu de travail à 51 % (51,5% pour les Français).

« Près de la moitié (43 %) des 16-24 ans répondent en outre que leur smartphone contient à peu près tout ce qu’ils doivent savoir ou se rappeler »

Environ un tiers d’entre eux (français comme européens) ne se souviennent pas du numéro de la personne qui partage leur vie, alors même que seuls 4 sur 10 ont oublié celui de l’endroit où ils vivaient durant leur adolescence. 6 000 consommateurs âgés de 16 ans ou plus, dans six pays européens ont été interrogés. Les résultats de cette enquête révèlent notre incapacité à retenir des informations importantes compte tenu du fait que nous les enregistrons souvent sur nos smartphones. Près de la moitié (43 %) des 16-24 ans répondent en outre que leur smartphone contient à peu près tout ce qu’ils doivent savoir ou se rappeler. Les français sont 32 % à déclarer cela, toutes tranches d’âges confondues. Un phénomène qualifié d’amnésie numérique, c’est-à-dire le fait d’oublier les informations que nous conservons dans un appareil numérique.

L’étude fait apparaître l’existence de cette amnésie numérique parmi toutes les tranches d’âge et sa répartition est uniforme entre les deux sexes. Ainsi, 42 % des Français seraient vraiment dévastés de perdre les données de leurs appareils mobiles car ils ne pourraient plus avoir accès à tous leurs souvenirs stockés dessus – 17,6 % seraient complètement paniqués par une telle éventualité. En outre, 71,9 % des Français déclarent utiliser Internet comme une extension de leur cerveau, ce chiffre atteignant même 83 % chez les jeunes européens âgés de 16 à 24 ans. Pour Laurence Allard, Maître de conférences et Sociologue des usages innovant à l’Université Lille 3/IRCAV-Paris 3 : « le smartphone est également le support d’usages mémoriels et fait pour certains office de « prothèse cérébrale ». Selon la sociologue, cette tendance devient presque paradoxale puisqu’elle « suppose d’user de fonctionnalités ou de services numériques pour actionner une mémorisation par la technologie »

Autre résultat guère surprenant, l’étude révèle que la perte ou le piratage de données stockées sur les appareils numériques, en particulier les smartphones, aurait des conséquences dévastatrices pour de nombreux utilisateurs :

– 17 % des français avouent ainsi que leur terminal mobile est le seul endroit où ils mémorisent leurs photos et leur carnet d’adresses et qu’ils seraient catastrophés s’ils perdaient définitivement leurs souvenirs enregistrés sur leur appareil. Ce chiffre atteint 40 % chez les 16-24 ans interrogés.
Il est donc préoccupant qu’en dépit de la confiance croissante que les utilisateurs ont dans leurs appareils numériques, ils ne protègent pas suffisamment leurs équipements à l’aide de solutions de sécurité. C’est notamment le cas des smartphones et des tablettes :

– à peine 1 smartphone sur 3 (34 %) et un quart des tablettes (24 %) en sont équipés,
– tandis qu’1/5e (21 %) de ces appareils n’est pas du tout protégé.

« Les appareils connectés nous apporte beaucoup au quotidien mais ils engendrent aussi une amnésie numérique. Nous devons en saisir les conséquences à long terme sur la façon dont nous conservons et protégeons nos mémoires. Les numéros de téléphone de nos proches étant désormais accessibles d’un simple clic, nous ne nous donnons plus la peine de les mémoriser. En outre, une majorité écrasante (86 %) des personnes interrogées estime que, dans un monde de plus en plus hyper-connecté, nous avons bien trop de numéros, d’adresses, de codes, etc. à connaître que notre mémoire ne peut en retenir. Nous avons découvert que la perte ou le piratage de ces précieuses informations ne serait pas seulement une gêne, mais une source de profonde détresse pour bon nombre d’entre nous. Kaspersky Lab s’engage à aider les utilisateurs à comprendre les risques auxquels leurs données pourraient être exposées, et à leur fournir les moyens de maîtriser ces risques, en installant par exemple des logiciels de sécurité afin de protéger leurs équipements et leurs contenus », commente à datasecuritybreach.fr David Emm, chercheur principal en sécurité chez Kaspersky Lab.

« Le fait d’oublier n’est pas en soi une mauvaise chose. Nous disposons d’une formidable faculté d’adaptation et nous ne nous souvenons pas de tout car ce n’est pas dans notre intérêt. L’oubli devient cependant un handicap lorsqu’il porte sur des informations qu’il nous faut impérativement retenir », souligne le Dr Kathryn Mills de l’UCL Institute of Cognitive Neuroscience de Londres. « L’une des raisons pour lesquelles les consommateurs se soucient moins de retenir les informations s’explique par le fait qu’ils les confient trop souvent à des appareils connectés. En effet, dans de nombreuses sociétés, l’accès à Internet paraît aussi stable que celui au réseau d’électricité ou d’eau. »

56 millions de données exposées par des applications de smartphones

Des chercheurs de l’Université Allemande de Darmstadt annoncent que les développeurs d’applications prennent la sécurité des données par dessus la jambe.

Leurs applications auraient exposé 56 millions de données en utilisant les services de Google, Amazon et Facebook. L’équipe de chercheurs a testé 750.000 applications Android et iOS. Ils ont utilisé les services d’identité « fédérés » afin de s’authentifier plus simplement, plus rapidement, entre leurs différents appareils. Sauf qu’il semble y avoir un gros problème. L’équipe a trouvé des données, y compris les adresses mails, mots de passe, et les dossiers de santé, se promenant entre les connexions. Autant de données qui pourraient être exposées à des yeux indiscrets, et les comptes respectifs compromis si les jetons d’authentifications étaient  capturés. « Les développeurs d’applications utilisent des bases de données dans le cloud, explique les étudiants. Ils stockent  les données des utilisateurs, mais apparemment ignorent les recommandations de sécurité des données que recommandent pourtant les fournisseurs cloud

Les pirates ont besoin, cependant, d’extraire la clé de l’application et/ou exploiter une connexion sans fil non sécurisée, pour agir. Les sociétés qui hébergent ont besoin de beaucoup moins ! (The Register)

Planter Skype à coup de http://:

Planter le Skype d’un correspondant et l’empêcher de redémarrer la machine, simple comme un message de 8 signes.

Nous avions vu, la semaine dernière, comment une commande mal interprétée dans certains iPhone, utilisant une version iMessage boguée (L’ensemble des iPhone n’était pas sensible à ce bug comme on a pu le lire un peu partout, NDLR).

Cette fois, prenons Skype avec une vulnérabilité bien plus gênante. Que vous soyez sous iOS, Android, Windows (sauf Windows 8.1) ou Mac, le fait d’envoyer le message  » http://:  » à un correspondant fait planter son outil de communication en ligne. Plus gênant encore, le chercheur russe qui est tombé sur ce bug, s’est rendu compte que le « code » continué le blocage de Skype si le message n’était pas effacé par l’émetteur. La solution, réinstaller l’outil de Microsoft dans sa nouvelle version. La rédaction s’est amusée à bloquer ses propres Skype sous MAC (OS X 10.10.3) ou Windows (Skype 7.3.0.101). Ca fonctionne malheureusement que trop bien. Imaginez les entreprises, utilisatrices de ce moyen de conversation. Lors d’un rendez-vous important, plus possible de communiquer. Bref, mise à jour obligatoire !

Connexions wifi gratuites : Sécuriser vos surfs cet été avec un VPN

Vous allez partir en vacances, profiter de connexions wifi gratuites, ou proposées par un hôtel, un camping, un restaurant ? Pensez à vous équiper d’un VPN qui protégera vos connexions et mots de passe tout en préservant votre anonymat sur le serveur utilisé.

Connexions wifi gratuites ? Faut-il encore vous parler de protection de vos machines (tablettes, smartphones, ordinateurs) quand vous partez en vacances, à l’étranger ? Faut-il vous rappeler la dangerosité d’une connexion wifi libre, gratuite (ou non), publique ? Avec les congés qui s’approchent à grands pas, il est bon de penser à s’équiper d’un VPN. Ainsi, le réseau wifi que vous utiliserez n’aura pas la possibilité de lire (volontairement ou non, NDR) les mots de passe que vous venez de taper, les mots doux que vous venez de diffuser, les documents et sites Internet que vous consultez.

Plusieurs possibilités s’offrent à vous. D’abord avec les Français de chez No Limit VPN. Pratique et rapide, ils proposent une possibilité d’essayer gratuitement leur service, histoire de vous familiariser avec cette sécurité indispensable. Ils utilisent un chiffrement 128 bits et 256 bits qui rend votre trafic Internet impossible à lire pour un malveillant. Plusieurs protocoles sont disponibles (PPTP, L2TP et OpenVPN) afin de vous permettre de choisir votre niveau préféré de cryptage. Compter entre 2.49 et 3.99€ par mois (selon la durée, NDR).

Même type de service pour VyprVPN. Logiciels très simple d’utilisation, fonctionnant sous Mac OS X, Windows 7, 8, Vista, Linux, ou encore sur les smartphones iOS et Android. 52 serveurs dans le monde (de la Suisse à la Pologne, en passant par la Colombie, le Vietnam ou encore la Canada). Des tarifs allant de 5 à 10€ par mois selon les options, dont Chameleon qui permet de cacher votre utilisation d’un VPN. A noter une option totalement gratuite, une nouveauté chez VyprVPN.

Troisième possibilité, ma préférée, Hide My Ass ! Une société basée dans des îles ensoleillées. Leur proposition, contourner les restrictions en ligne pour accéder à du contenu uniquement disponible à l’étranger, Netflix and Co. Accédez aux sites Web de votre pays lorsque vous êtes à l’étranger, et contournez la censure du gouvernement ou au travail et accédez à des sites comme Facebook, Gmail et YouTube. Le plus économiquement intéressant avec son option annuelle (5€ par mois, NDR).

Bref, des outils indispensables.

 

Coesys mGov : les services gouvernementaux à l’aide d’un téléphone portable

Gemalto lance une solution sécurisée basée sur la carte d’identité électronique et le téléphone NFC pour accélérer l’adoption de l’eGovernment.

Gemalto, spécialiste de la sécurité numérique, annonce le lancement de Coesys mGov, une solution d’authentification mobile pour accéder aux services gouvernementaux en ligne à l’aide d’une carte nationale d’identité sans contact et un téléphone NFC. Cette technologie permet la mise en place de programmes nationaux d’identité sécurisée. Coesys mGov est simple d’utilisation et très pratique pour les citoyens, puisqu’elle permet d’accéder à tous les services grâce à un système d’authentification unique (« Single Sign On »).

Avec Coesys mGov, les citoyens utilisent leur téléphone comme moyen d’authentification et de signature dans un environnement de confiance, pour accéder à un large éventail de services gouvernementaux en ligne. Ces services englobent la santé et le social, la famille, l’emploi et les retraites ou encore l’assurance-maladie. Coesys mGov englobe également les applications associées au permis de conduire, les services municipaux et la citoyenneté, et même le vote en ligne sécurisé et confidentiel.

Coesys mGov aide les gouvernements et les autorités publiques à déployer leurs programmes numériques mobiles en complément de leurs projets d’identité. Les autorités peuvent ainsi répondre aux besoins de sociétés connectées d’aujourd’hui et accroître considérablement l’utilisation des services gouvernementaux en ligne. En outre, le système est suffisamment souple pour renforcer une stratégie d’identification et de sécurité numérique déjà en place. Par exemple, le niveau d’authentification peut être adapté à la nature des services en ligne offerts.

Pour simplifier davantage la vie des utilisateurs, lorsqu’elle est utilisée avec LinqUs Mobile ID de Gemalto, Coesys mGov permet de créer une identité dérivée sécurisée dans la carte SIM ou dans tout autre élément sécurisé du téléphone mobile, ou bien dans le cloud.

« La convergence des appareils mobiles compatibles NFC et l’explosion du nombre de nouveaux programmes nationaux d’identité ouvrent la voie à une nouvelle ère de services innovants axés sur les besoins du citoyen », commente à DataSecurityBreach.fr Frédéric Trojani, vice-président exécutif des Programmes gouvernementaux de Gemalto. « Cette solution extrêmement pratique associe la sécurité et la fiabilité des cartes nationales d’identité électroniques et la simplicité d’utilisation du téléphone portable – une combinaison idéale pour une adoption rapide par tous les citoyens ».

Faille pour OS X et iOS

Les chercheurs en sécurité de Kaspersky Lab ont découvert une vulnérabilité au cœur de « Darwin », un élément open source issu des deux systèmes d’exploitation OS X et iOS. Cette faille, dénommée « Darwin Nuke », expose les ordinateurs sous OS X 10.10 et mobiles sous iOS 8 à des attaques par déni de service (DoS) déclenchées à distance, capables d’endommager les appareils et d’impacter les réseaux d’entreprise auquel ceux-ci seraient connectés. Les experts appellent donc les utilisateurs à installer les mises à jour OS X 10.10.3 et iOS 8.3, qui ne présentent plus cette vulnérabilité.

L’analyse de la vulnérabilité par Kaspersky Lab révèle que les mobiles menacés concernent ceux qui sont dotés de processeurs 64 bits et d’iOS 8, à savoir les iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad Air 2, iPad mini 2 et iPad mini 3.

La vulnérabilité « Darwin Nuke » est exploitée lors du traitement d’un paquet IP d’une taille donnée et comportant des paramètres IP incorrects. Des pirates peuvent déclencher à distance une attaque DoS sur un système OS X 10.10 ou iOS 8, en envoyant à la cible un paquet réseau incorrect dont le traitement va faire « planter » le système. Les chercheurs de Kaspersky Lab ont découvert que le problème ne se produit que si le paquet IP remplit les conditions suivantes :

  • longueur de l’en-tête IP égale à 60 octets ;
  • taille des informations IP utiles inférieure ou égale à 65 octets ;
  • paramètres IP incorrects (longueur, classe, etc.).

« À première vue, il est très difficile d’exploiter cette faille car les conditions à remplir ne sont pas banales. Cependant des cybercriminels persévérants peuvent réussir à paralyser des équipements, voire à perturber l’activité de réseaux d’entreprise. Les routeurs et les pare-feux suppriment généralement les paquets incorrects en termes de taille mais nous avons découvert plusieurs combinaisons de paramètres IP incorrects qui permettent de franchir les routeurs Internet. Nous conseillons à tous les utilisateurs d’OS X 10.10 et iOS 8 d’installer les mises à jour OS X 10.10.3 et iOS 8.3 », commente à DataSecurityBreach.fr Anton Ivanov, analyste senior en malware chez Kaspersky Lab.

Les produits de Kaspersky Lab protègent OS X contre la vulnérabilité « Darwin Nuke » grâce à la fonction Network Attack Blocker. A commencer par Kaspersky Internet Security for Mac 15.0, qui détecte cette menace sous le nom DoS.OSX.Yosemite.ICMP.Error.exploit.

Conseils pour renforcer la sécurité des ordinateurs Mac :

  1. Utiliser un navigateur web réputé pour résoudre rapidement les problèmes de sécurité.
  2. Exécuter « Mise à jour de logiciels » et installer sans délai les mises à jour disponibles.
  3. Utiliser un gestionnaire de mots de passe pour parer plus facilement aux attaques de phishing.
  4. Installer une solution de sécurité performante.

Windows, moins dangereux qu’iOS et OS X d’Apple

Le National Vulnerability Database, qui recense les failles dans les logiciels et autres applications web indique que l’année 2014 aura été l’année des vulnérabilités pour iOS, OS X Apple et Linux. Windows se classe 4ème.

Voilà qui a fait pas mal parler chez les « trolleurs » en tout genre. Mais il faut bien l’admettre, la firme de Redmond a mis les bouchées double pour protéger son OS, Windows. Bilan, la National Vulnerability Database, qui recense les failles (19 par jour en 2014) a classé l’OS de Microsoft plus sécurisé qu’iOS, OS X Apple. Même Linux, classé 3ème, dans ce top 4, devance Microsoft du point de vu des failles découvertes l’année dernière. Les problèmes dans les systèmes d’exploitation (OS) ne représentent que 13% des failles recensées en 2014. 1.705 failles recensées. 182 failles de moins que l’année record, en 2010. Les navigateurs sont toujours montrés du doigt. Internet Explorer, en 2014, a souffert de 242 brèches dangereuses. Chrome (124) et Firefox (117) ont dépassé la centaine de failles. (gfi)

Énorme faille de confidentialité découverte dans les réseaux de téléphonie mobile

Deux chercheurs allemands, spécialisés dans la sécurité informatique, ont découvert ce qui semble être un cas grave de fuite concernant les téléphones portables.

D’après Tobias Engel et Karsten Nohl, la faille pourrait permettre à des criminels et des agences de renseignement d’espionner les appels téléphoniques privés et les messages texte transmis via les réseaux cellulaires.

Le problème apparaît dans le système de signal 7 (SS7), un réseau mondial de télécommunications dont vous n’avez très certainement jamais entendu parlé. Sept permet aux opérateurs de téléphonie de faire transiter les messages et les SMS à travers le monde. Le Washington Post a rapporté que les chercheurs ont découvert des trous de sécurité dans certaines des fonctions SS7 normalement utilisées. SS7 a été conçu dans les années 1980. Il est évident que ce dernier soit criblé de vulnérabilités qui portent atteinte à la vie privée des milliards d’utilisateurs de cellulaires de part le monde.

Les failles peuvent permettre de localiser les appelants, n’importe où dans le monde, écouter les appels, les enregistrer. Il serait également possible de frauder les utilisateurs, ainsi que les opérateurs de téléphonie mobile en utilisant certaines fonctions SS7. Deux commandes semblent être particulièrement intéressantes.

La première pourrait permettre de détourner un téléphone portable en interceptant les appels qu’il reçoit. Une sorte de Man-in-middle. Avec un tel système en place, les appels peuvent être enregistrés secrètement. Deuxième commande, un pirate situé à proximité de sa cible pourrait utiliser des antennes radio pour intercepter les appels et les SMS traversant la zone « d’écoute ». Il faut une clé temporaire SS7 pour déchiffrer les communications enregistrées.

La semaine dernière, Nohl a mis ses découvertes en pratique en démontrant le danger à un sénateur allemand en déchiffrant ses SMS.

Pour se protéger, il est fortement conseillé d’utiliser des outils tels que FaceTime (Apple), Signal (Whisper System) ou RedPhone qui permettent d’avoir une communication sécurisée sur un canal non sécurisé.

Piège autour de Clash of Clans

Clash of Clans, Bubble Witch, Boom Beach… des applications vidéo ludiques qui font un carton sur les smartphones et autres tablettes. Des jeux qui, mais ce n’est pas obligé, proposent de payer pour passer des niveaux, gagner de l’énergie, des bonus, … Bref, des jeux qui rapportent des centaines de milliers d’euros aux éditeurs. Les joueurs peuvent dépenser beaucoup, du moins pour les plus impatients. Des pirates ont trouvé le moyen de piéger ses joueurs impétueux en leur proposant de tricher, du moins les « gamerz » le pensent. Plusieurs sites, installés en Iran, tentent d’inciter les joueurs à télécharger des applications ayant pour mission de gagner plus, en jouant moins. « Clash-of-Clans Hack illimit gemmes » ; « BubbleWitch2 illimit bonus » ; … promettent les pirates. Derrière ces faux logiciels, de vrais pièges qui n’ont qu’une seule finalité, infiltrer les appareils des propriétaires. A noter que DataSecuityBreach.fr a repéré aussi des applis, toujours sur des sites Iraniens, proposant de télécharger des « followers-Instagram ».

Google ne protège toujours pas Gmail pour iOS

Vous avez un iPhone, un iPad ? Vous utilisez le service webmail de Google gMail ? Vous allez être heureux d’apprendre que le géant américain n’a toujours pas corrigé la faille qui permet d’intercepter les données qui transitent entre votre précieux et gMail.

L’alerte avait été lancée en février dernier par la société Lacoon Mobile Security. A l’époque, l’entreprise expliquait déjà que Google n’avait pas sécurisé les transmissions entre l’internaute et gMail. Bilan, il était possible de lire et modifier les communications normalement chiffrées. Etonnament, la faille a été corrigée sur Android, mais l’américain a « oublié » de faire de même pour les produits d’Apple. Bref, un pirate se mettant entre vous et la connexion, via une connexion wifi « gratuite » par exemple, n’aura aucun mal à intercepter et utiliser votre compte gMail. En attendant un correction, il est fortement déconseillé d’utiliser les applications gMail via une machine commercialisée par la grosse pomme.

Fuite de données via des smartphones d’occasion

L’éditeur AVAST Software, l’éditeur de solutions de sécurité, a récupéré facilement des données personnelles sur des smartphones d’occasion achetés en ligne, malgré la suppression des données par les consommateurs.

Sur les appareils d’occasion, il a été possible de récupérer plus de 40 000 photos, e-mail et SMS personnels et, dans certains cas, l’identité des vendeurs. « La quantité de données personnelles que nous avons récupérée sur les téléphones était incroyable. Nous avons trouvé de tout, d’un formulaire de prêt rempli à plus de 250 selfies de ce qui semble être le corps masculin du propriétaire précédent, » a déclaré Jude McColgan. « Nous avons acheté divers appareils Android à des vendeurs dans l’ensemble des États-Unis, et nous avons utilisé des logiciels de récupération couramment disponibles pour exhumer des informations personnelles se trouvant auparavant sur les téléphones. La leçon à en tirer est que même les données supprimées sur votre téléphone d’occasion peuvent être récupérées, à moins de les écraser complètement. » 20 smartphones d’occasion ont été analysés dont les propriétaires précédents avaient effectué une réinitialisation d’usine ou une opération de « suppression complète » sur leurs appareils. Malgré ces efforts, Plus de 40 000 photos enregistrées, plus de 750 e-mails et SMS et autres informations ont pu être récupérées.

« Plus de 80 000 smartphones d’occasion sont en vente quotidiennement sur eBay aux États-Unis. En même temps que leurs téléphones, les consommateurs peuvent ne pas être conscient du fait qu’ils vendent leurs souvenirs et leur identité. Les images, les e-mails et d’autres documents supprimés des téléphones peuvent être exploités pour le vol d’identité, le chantage ou même à des fins de harcèlement. Revendre votre téléphone usagé est une bonne façon de gagner un peu d’argent, mais il s’agit potentiellement d’une mauvaise façon de préserver votre vie privée, » a ajouté Jude McColgan. Il est recommandé aux consommateurs intéressé par la vente de leur appareil Android d’installer une application qui écrase les informations avant de revendre leur téléphone.

Deux rançonneurs d’iPhone sous les verrous

La section K, les renseignements russes, ont mis la main sur ce qui semble être les rançonneurs d’iPhone qui avaient defrayé la chronique, fin mai. Pour rappel, le rançongiciel pour iPhone bloquait les précieux smartphones d’Apple. Le logiciel malveillant bloquait les smartphones et réclamait de l’argent.

Le Ministère de l’Intérieur Russe vient d’indiquer que des suspects avaient été arrêtés dans cette affaire. Les suspects ont été arrêtés dans le sud de Moscou. Ils sont âgés de 23 et 16 ans. Le service presse du département K du Ministère de l’Intérieur russe indique que les deux hommes ont été incarcérés.

Lors de la perquisition, du matériel informatique, des cartes SIM et des téléphones utilisés dans des activités illégales ont été saisis. Ils risquent quelques années de prison.

Renforcer la sécurité de l’Internet des Objets

Wind River, éditeur de logiciels pour systèmes connectés intelligents, annonce un profil sécurité pour Wind River Linux, un logiciel certifiable selon le profil de protection GPOS (General Purpose Operating System) des Critères Communs, et ce, jusqu’au niveau d’assurance EAL 4.

Grâce à une connectivité plus importante entre les différents équipements, l’adoption d’une approche de développement bien établie et s’appuyant sur des normes telles que celles des Critères Communs peut aider à dissiper les inquiétudes en matière de sécurité autour de l’Internet des Objets (IdO). En outre, Wind River publie également la dernière version de Carrier Grade Profile for Wind River Linux, une plate-forme clé en main qui permet aux clients de bénéficier d’une distribution Linux de classe opérateur (Carrier Grade Linux CGL).

Ce profil sécurité se présente sous la forme d’un module logiciel à haute valeur ajoutée pour Wind River Linux. Il fournit de nouvelles fonctionnalités de sécurité permettant aux développeurs de faire face aux futures menaces liées à la montée en puissance de l’IdO. Ses principales fonctionnalités (un noyau renforcé, un démarrage sécurisé, un espace utilisateur axé sur la sécurité, ainsi que la base Wind River Linux compatible avec le Yocto Project) s’intègrent parfaitement avec les outils de validation, la documentation et les spécifications de prise en charge matérielle.

« Avec l’Internet des Objets, les besoins en matière de connectivité et de sécurité des équipements se complexifient ; malgré cela, les entreprises sont obligées de respecter des calendriers et des budgets de développement restreints, commente Dinyar Dastoor, vice-président en charge de la gestion des produits chez Wind River. Notre nouveau profil sécurité pour Wind River Linux fournit une plate-forme informatique sécurisée et fiable conforme aux normes de l’industrie. Elle permet aux clients de réduire leurs cycles de développement et de commercialiser plus rapidement leurs produits en proposant la sécurité, les performances et l’expérience utilisateur nécessaires pour les équipements d’aujourd’hui, de plus en plus intelligents et connectés, tous secteurs confondus. »

Avec l’effervescence résultant de tendances telles que l’Internet des Objets, les développeurs sont confrontés à de nouvelles problématiques de complexité pour gérer des projets nécessitant davantage de sécurité, d’informations, et de meilleures performances. Avec ce profil sécurité, les clients peuvent tirer parti des meilleures pratiques de sécurité appliquées dans de nombreuses industries et intégrées au profil de protection des Critères Communs. En outre, en cas d’évaluation nécessaire, il réduit les coûts et les délais de développement, de certification et de maintenance d’une distribution Linux complète en respectant le système d’évaluation des Critères Communs. Le profil sécurité fournit également un kit de certification afin de pouvoir certifier la conformité aux exigences fonctionnelles avec le niveau d’assurance requis. En démontrant que leurs produits fonctionnent sur une plate-forme de certification Wind River, les développeurs peuvent progresser bien plus rapidement au sein du processus de certification, habituellement complexe et coûteux. Avec l’aide de Wind River, les clients peuvent commercialiser leurs produits bien plus rapidement et répondre aux exigences de sécurité d’une variété de secteurs, tels que l’aérospatiale, la défense, l’automobile, l’industrie ou les réseaux.

D’autre part, la nouvelle version du profil Carrier Grade fournit la prise en charge du dernier noyau Linux 3.10 LTSIet de la prise en charge étendue d’une variété d’architectures matérielles. Ce profil inclut également la virtualisation des fonctions de routage et de transfert (VRF — Virtual Routing and Forwarding) avec des conteneurs permettant de fournir de manière transparente des fonctionnalités de niveau opérateur au sein d’un environnement virtualisé. À l’heure où le trafic de données repousse les limites des réseaux des opérateurs, et où l’industrie évolue vers des fonctions de virtualisation des fonctions réseau (NFV), il est essentiel de conserver une fiabilité de niveau opérateur et de se conformer aux exigences strictes en matière de performances et de sécurité définies par les accords de niveaux de services (SLA) garantis par les opérateurs à leurs clients aujourd’hui.

Wind River Linux offre une plate-forme Linux de classe commerciale ainsi qu’une expérience utilisateur aisée grâce à un ensemble riche de fonctionnalités basées sur les toutes dernières technologies open source, à des outils de développement totalement intégrés, à une équipe d’assistance présente dans le monde entier et à des services d’experts. Développé sur l’infrastructure de développement Yocto Project, Wind River Linux améliore la compatibilité entre les différentes plates-formes et l’interopérabilité des composants.

 

Protection contre les applis mobiles qui exploitent nos infos personnelles

McAfee, la nouvelle filiale d’Intel Security, vient d’annoncer la version 4.1 de McAfee Mobile Security (MMS). L’outil dédié aux smartphones et tablettes  permet d’exécuter instantanément des contrôles de confidentialité.

Grâce à ces analyses, l’utilisateur est en mesure d’identifier les applications partageant ses informations personnelles à outrance. MMS 4.1 détecte et supprime les malwares et recherche également d’autres menaces à la sécurité. Une fois le produit installé, McAfee simplifie la réalisation de ces analyses pour l’utilisateur. Cette nouvelle version de McAfee Mobile Security permet aussi aux utilisateurs de supprimer les applications présentant d’importants risques viraux. A noter que l’ensemble des éditeurs d’antivirus propose ce genre d’outil : Gdata, … Très vite, vous allez vous rendre compte que plus de la moitié de vos applications installées, ou non, collectent des informations.

80 % des applications mobiles sont en mesure de localiser leur utilisateur

D’après le ‘Consumer Mobile Security Report’, 80 % des applications mobiles sont en mesure de localiser leur utilisateur, 82 % connaissent l’ID code de l’appareil et 57 % les traquent lors de l’utilisation de leur téléphone. De plus, les applications qui collectent agressivement et sans nécessité des données démultiplient la dangerosité des banques de données, 35 % d’entre elles contiennent des logiciels malveillants.

« Les données personnelles collectées par les applications peuvent être bénéfiques à l’amélioration de l’expérience du mobile de l’utilisateur. Cependant, nombre d’entre elles collectent davantage d’informations que nécessaire, menaçant ainsi la vie privée et la sécurité des informations relatives à l’utilisateur », précise David Grout, Directeur Europe du Sud chez McAfee. « McAfee Mobile Security responsabilise l’utilisateur en lui précisant les informations auxquelles les applications ont accès et en les aidant à protéger leur identité et leurs informations personnelles. »

Le contrôle de la confidentialité proposé fournit des renseignements à l’utilisateur quant aux applications qu’il a installées sur son smartphone ou sa tablette. L’analyse applicative détermine la quantité d’informations à laquelle chaque application peut accéder et qu’elle peut partager, les répertorie ensuite par niveau de sensibilité et compare également les associations d’URL à risque. Quand une application se comporte sensiblement différemment des applications de même catégorie, le niveau de risque est relevé et pris en compte dans son niveau de dangerosité. Grâce à cette option, l’utilisateur peut en un seul clic désinstaller les applications suspectes.

Les autorisations applicatives les plus inquiétantes sont celles qui identifient les ID des smartphones et des tablettes, qui permettent de localiser précisément l’utilisateur (grâce au réseau Wi-Fi ou aux tours relais) et celles qui lisent ou suivent les SMS pouvant contenir des messages privés ou des informations sensibles de type autorisation de transactions bancaires.

Les pièces jointes envoyées d’un iPhone ne sont pas sécurisées

Le chercheur en sécurité Andreas Kurtz vient de lâcher un grain de sable dans la communication d’Apple. La grosse pomme affirmait que les documents communiquées par courriel d’un iPhone ou d’un Ipad étaient sécurisés quand elles étaient sauvegardés dans ces « précieux ». Les pièces jointes ne pouvaient être lues, car chiffrées « à partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS« . Bref, un charabia qui indique que l’on peut dormir tranquille, c’est « secure ».

Sauf que Kurtz vient de démontrer le contraire. Via son iPhone 4, sous iOS 7, et une fois l’option de protection des données activée, le chercheur s’est rendu compte que ses courriels étaient bien inaccessibles. Les pièces jointes, elles, étaient lisibles et non sécurisées. Inquiétant, Apple semble au courant de la faille et ne l’a toujours pas corrigé. La nouvelle version d’iOS (V. 7.1.1) n’a pas pris en compte cette potentialité malveillante, et ne la corrige pas. C’est étonnant, car Andreas Kurtz a prouvé qu’il était possible à un malveillant de mettre la main sur les données envoyées d’un appareil Apple.