Archives de catégorie : Smartphone

CryptoCat mal sécurisé durant 1 an

L’outil de chiffrement de conversation en temps réel, CryptoCat, fonctionne sous Firefox. Une application que nous vous présentions, il y a peu, sur DataSecurtyBreach.fr. Depuis quelques jours, l’outil est « enfin » sécurisé de manière efficace. Il faut dire aussi que depuis le 17 octobre 2011, l’outil d’anonymisation des conversations avaient des problèmes dans ses clés de chiffrement.

L’information vient de Steve Thomas. Le codeur a découvert comment Cryptocat sécurisait mal les conversations, laissant des potentialités d’interceptions non négligeables. Jusqu’au 15 juin dernier, ou les sécurités et clés de chiffrement ont été renforcées de manière efficace, il était possible, avec plus ou moins de moyen, de cracker les conversations. « Le bug aura duré 347 jours, a pu lire dataSecuritybreach.fr de la main de Steve Thomas. Cela a rendu les clés privées ECC ridiculement petites. Le système de clé publique de Cryptocat est maintenant sécurisé… après avoir été mauvais depuis quasiment le début. » L’auteur de l’analyse suggère tout de même de ne pas utiliser Cryptocat « On ne sait pas combien de temps le système de chiffrement va résister« . Dommage que Steve Thomas n’ait pas apporté son savoir pour aider ce projet open source et gratuit.

Trois français sur 10 ont perdu des données stockées dans le cloud en 2012

Aujourd’hui, de nombreuses entreprises migrent vers des plates-formes de cloud computing pour bénéficier des avantages concurrentiels inhérents aux gains qui en découlent en matière de vitesse, d’agilité et de flexibilité. Selon l’enquête Avoiding the Hidden Costs of the Cloud – 2013 publiée en janvier 2013 par Symantec, Datasecuritybreach.fr vous en parlait à l’époque, 86 % des entreprises françaises en sont au moins à discuter de cloud computing, 79 % pour les PME.

Une mauvaise utilisation du cloud computing peut en revanche se révéler désastreuse pour les entreprises qui peuvent voir leurs coûts augmenter ou observer des pertes d’informations ou de données. En France, 33 % des entreprises ont perdu des données stockées dans des clouds et 70 % ont été confrontées à des échecs de restauration. C’est du moins ce qu’indique ce rapport. 70 % des entreprises françaises ont expérimenté des déploiements non-autorisés et non-gérés d’applications de cloud computing ; parmi elles, 40 % ont été confrontées à des problèmes de divulgation d’informations confidentielles et plus d’un quart à des problèmes de prise de contrôle de comptes, de dégradation de ressources Web ou de vols de produits ou de services.

Des données diffusées au sujet de Vinci construction

Un pirate informatique du nom de Lewis, du groupe SamouraiZ, a diffusé il y a quelques jours un document reprenant ce qui semble être un Pentest, une analyse de faille, sur le site de Vinci Construction. Des informations techniques (certificats, clés de chiffrement, XSS) et l’annonce de failles dans des espaces web du géant français de la construction. Au moment ou la planète se penche sur l’espionnage des entreprises, cette diffusion « underground » est assez étonnante. Le bidouilleur n’a cependant pas fourni (sauf via des captures écrans, ndlr datasecuritybreach.fr) les méthodes d’actions.

Pas de doute, cependant, que des entités de veilles (guerres) économiques seront capables de reproduire les découvertes du bidouilleur. Pour rappel, la loi Française considère les « pentests » sauvages comme des attaques informatiques. Les risques judiciaires sont importants : de 3 à 7 ans de prison ; jusqu’à 350.000 euros d’amende.

La banque européene du don de sperm piratée

Data Security Breach vient d’apprendre que la base de données de la banque européenne du don de sperme avait été piratée. Plusieurs milliers d’utilisateurs diffusés sur la toile. L’European Sperm Bank, une banque dédiée à la collecte de spermatozoïde vient d’être piratée par deux internautes connus sous les pseudonymes de Dz-PARO et AngryBird de la Phenomenal Crew. Une injection SQL qui a permis aux deux bidouilleurs de mettre la main sur une base de données impressionnantes contenant les identifiants de connexion des utilisateurs (emails, mots de passe en md5, téléphones et pseudonymes). Les deux bidouilleurs ont communiqué à la rédaction de zataz.com l’exploit qui a ouvert l’accès à la base de données de la BSB. La rédaction de zataz.com a alerté cette entreprise. Dommage que les deux grey hats aient diffusé les données dans un espace web que nous ne fournirons pas ici. Data Security Breach, qui a pu consulter les données diffusées par les pirates a pu constater une dizaine de français dans le fichier mis en ligne par les deux « visiteurs ».

Watch dogs : Ubi Soft attaqué par de vrais pirates

Des pirates informatiques ont mis la main, voilà quelques semaines, sur une faille de type injection SQL qui leur aurait permis de consulter la base de données de comptes d’utilisateurs de l’éditeur de jeu. Ubisoft recommande à ses utilisateurs de changer leur mot de passe par sécurité.

Le créateur de « Assassin’s » ou encore du très attendu Watch dogs affirme que la sécurité d’un de ses sites internet (Uplay) avait été compromise. Un audit a permis de démonter que des données de la base de données avaient été consultées. Data Security Breach ne sait pas si les informations (noms d’utilisateurs, adresses courriel et mots de passe [MD5]) ont été copiées et diffusées par le pirate.

Voici le courriel envoyé par UBI Soft. « Cher Membre, Nous avons récemment découvert que la sécurité d’un de nos sites Internet avait été compromise, permettant d’accéder à certains de nos systèmes en ligne sans autorisation. Nous avons immédiatement pris les mesures nécessaires pour supprimer cet accès, enquêter sur cet incident et restaurer la sécurité des systèmes touchés. Pendant cette procédure, nous avons appris que des données avaient été illégalement consultées depuis notre base de données de comptes. Ces données incluent des noms d’utilisateurs, des adresses e-mail ainsi que des mots de passe cryptés. Sachez qu’aucune information de paiement n’est stockée chez Ubisoft : vos informations bancaires ne sont donc pas concernées par cette intrusion. En conséquence, nous vous recommandons de changer le mot de passe de votre compte : datasecuritybreach.fr. Par mesure de précaution, nous vous recommandons aussi de changer vos mots de passe sur les autres sites Internet ou services où vous utilisez un mot de passe identique ou proche. Veuillez accepter nos sincères excuses pour cet incident. Soyez assurés que votre sécurité reste notre priorité. »

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ?

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ? Il nous aura fallu pas moins de 4 jours pour décortiquer le contenu d’un fichier zip dédié au code malveillant Citadel. 1.9 Go de données diffusées sur certains espaces underground russes.

Un fichier zip comprenant le code source de l’outil pirate Citadel mais aussi des dizaines d’autres outils pirates et malveillants. Nous ne parlons pas de l’analyse technique, qui demande beaucoup trop de ressources, mais uniquement de chaque code source, images, textes, exécutables.

Deux gros dossiers. Le premier avec les codes source de Citadel (source builder plugins). Un seconde dossier, comportant 57 répertoires (ayant eux mêmes des centaines de codes, outils, …) et 53 fichiers rar ou bruts de décoffrage avec autant de la malveillance numérique à revendre.

Un monstre informatique proposant Loader Hook (un keylogguer) ; Zeus 2.0.8.9 ; WinSpy 17 sans parler de mystérieux fichiers textes traitant d’un certain Igor. Sans parler de cet outil qui permet d’envoyer des SMS via Skype, sans parler de ces outils d’OCR capable de retranscrire les textes vues à l’écran ou dans de simples images ; un pack dédié à BitCoin ou encore des exploits pour Windows Seven. A noter aussi une série de ver, des worms (comme Blacj JW, ndlr zataz.com) avec code source et exécutables.

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ? L’augmentation des attaques constatées ces derniers jours n’annonce rien de bon cet été !

World of Warcraft piraté

Un intrusion pirate, via une option mobile de World of Warcraft laisse fuir des données de joueurs. L’éditeur Blizzard, auteur du mythique World of Warcraft vient d’annoncer un problème de sécurité informatique visant une certain nombre de ses joueurs. D’après la firme, une intrusion pirate a pu être orchestrée à partir de l’application mobile du jeu. Bilan, DataSecurityBreach.fr vient de se rendre compte que Blizzard a suspendu, le temps de l’enquête et de la correction, les possibilités de ventes et d’achats de biens numériques via l’application montrée de la souris. L’éditeur de WoW a alerté les joueurs concernés par ce piratage. L’alerte a été lancée à la suite de plusieurs plaintes de joueurs ayant été ponctionnés d’or par des pirates informatiques. Blizzard est en train de comparer les IP et les achats afin de quantifier les dégâts.

Les responsables informatiques aveugles face aux failles de sécurité des réseaux d’entreprise ?

Dimension Data, le fournisseur mondial de services et de solutions informatiques, a déclaré à Data Security Breach que le nombre de périphériques vulnérables sur les réseaux informatiques d’entreprise a chuté entre 2011 et 2012, passant de 75 % à 67 %. Même s’il s’agit du chiffre le plus bas en deux ans, cette tendance met en évidence l’approche laxiste en matière de sécurité actuellement adoptée par les gestionnaires de réseau.

Telle est l’une des conclusions tirées dans le Baromètre des réseaux 2013 publié aujourd’hui par Dimension Data. Depuis son lancement en 2009, le Baromètre des réseaux informe de l’état des réseaux à l’échelle mondiale, en compilant des données en provenance des entreprises et les résultats des audits Technology Lifecycle Management (TLM) réalisés par Dimension Data dans le monde au cours de l’année écoulée. Ce rapport analyse la capacité opérationnelle des réseaux en évaluant la présence de failles de sécurité, le statut en fin de vie et le respect des bonnes pratiques de configuration des périphériques réseau. Aujourd’hui, Dimension Data affiche au compteur plus de 1 200 audits réalisés ces cinq dernières années, grâce à la solution Technology Lifecycle Management (TLM), auprès d’entreprises de toutes tailles et opérant dans tous les secteurs d’activités.

Comme l’explique à datasecuritybreach.fr Raoul Tecala, directeur du développement commercial de l’activité Intégration réseau chez Dimension Data : « Certaines failles de sécurité présentes depuis des années n’ont toujours pas été corrigées — et ce, malgré la proactivité dont font preuve certains fournisseurs comme Cisco Systems avec l’envoi d’alertes en cas de correctifs et les constantes mises à niveaux de leurs logiciels et systèmes. (…) « L’élimination de toutes les failles de sécurité peut constituer un défi de taille dans le cas d’environnements complexes d’envergure. Il convient toutefois de mettre en balance les perturbations subies et les efforts nécessaires, d’une part, avec les répercussions potentielles et les mesures qui s’avèrent indispensables. Bien que les réseaux semblent actuellement moins en proie aux failles de sécurité, la proportion importante de périphériques vulnérables se maintiendra jusqu’à l’application d’un correctif logiciel ou à la mise à niveau vers une nouvelle version plus sécurisée du code. »

Data security breach conseille aux entreprises de concentrer leurs efforts sur les failles de sécurité qui représentent le plus grand danger. « Plus le périphérique est proche d’Internet, plus le risque est important. Par conséquent, les entreprises doivent se montrer vigilantes et nous leur recommandons de mettre en place un système visant à évaluer, à hiérarchiser et à corriger en permanence les failles de sécurité des réseaux. termine Raoul Tecala, Même si les réseaux informatiques paraissent aujourd’hui moins vulnérables, bon nombre des failles de sécurité restantes sont difficiles à supprimer complètement et on en identifie de nouvelles chaque année. Il serait donc malvenu de se reposer sur ses lauriers ».

HackNowLedge Contest édition France

Samedi 29 juin, le HackNowLedge Contest Europe Afrique dépose ses conférences et concours de hacking éthique à Lille. Le programme ! La capitale du Nord, Lille, et Euratechologie, accueillent, ce samedi 29 juin, le HackNowLedge Contest Europe Afrique.

Après le Maroc, la Belgique, la Côte d’Ivoire et avant l’Algérie, la Tunisie, l’Espagne et le Congo, ce grand rendez-vous dédié au Hacking Ethique vient déposer ses conférences, cours et concours de hacking éthique dans l’hexagone.

Cette édition française va permettre de suivre des cours de hacking & forensic ; de participer à un Challenge de HACKING ouvert à tous ; de croiser la séance d’accréditation CACERT et de participer aux conférences sur la sécurité informatique. A noter que votre serviteur ouvrira le bal, avec la présentation des petits secrets du Protocole d’Alerte de ZATAZ.COM.

L’ensemble du programme est ci-dessous. Imprimer votre badge d’accès ICI.

Cyber sécurité en France : la propriété intellectuelle est la ressource le plus valorisée

Le Ponemon Institute et FireEye ®, Inc., spécialiste de la lutte contre les cyber-attaques de nouvelle génération, datasecuritybreach.fr vous en parle souvent avec le top 10 des failles du web, viennent de publier les résultats d’une enquête sur la perception de la CyberSecurité dans les entreprises françaises et internationales.

Les directions informatiques des entreprises françaises s’accordent sur le type de données qui doit être protégé en priorité. Une décision qui rejoint la prise de position du centre d’analyse stratégique (CAS) dans sa dernière note publiée en mars 2013. En effet, le CAS constate que les grandes entreprises ont une prise de conscience très variable du danger que représentent les cyber-attaques et n’accordent encore qu’une priorité secondaire à la protection des données. Ainsi, 63 % des entreprises de plus de 200 salariés[1] auraient mis en place une politique de sécurité de l’information, et ne seraient que 14 % à 25 % à évaluer les conséquences financières des attaques subies. De plus, le niveau de connaissance et la perception du niveau de sécurité au sein de l’entreprise font débat : les opinions divergent entre dirigeants et collaborateurs sur ce sujet.

datasecuritybreach.fr a pu constater que l’enquête souligne que le détournement d’éléments de propriété intellectuelle représente une source d’inquiétude importante pour une majorité de dirigeants (77 %) et de collaborateurs techniques (74 %), qui se disent « très préoccupés » par la protection de ces données. Viennent ensuite les réserves relatives aux données clients (49 et 50 % respectivement).

Mais lorsqu’il s’agit du niveau de sécurité de leur organisation, les dirigeants et techniciens ne partagent plus la même opinion : 53 % des dirigeants considèrent leur positionnement en matière de sécurité comme excellent ou quasi-excellent. Les techniciens, en revanche, sont plus pessimistes : plus de la moitié d’entre eux considèrent le niveau de sécurité de leur entreprise comme étant « moyen ». Cet écart s’explique sans doute en raison du manque d’information concernant les récents piratages : si 47 % des techniciens affirment que leur organisation a été la cible d’une cyber-attaque au cours des 12 derniers mois, les dirigeants sont 65 % à affirmer le contraire ou à ne pas savoir.

Malgré leurs désaccords, les deux parties affichent une méconnaissance quasi-similaire des risques que comportent les cyber-attaques de nouvelle génération. En effet, 33 % des décideurs et 31 % des techniciens estiment toujours que ce type d’attaques ne représente pas une menace importante.

Au niveau international data security breach a pu constater que l’ensemble des pays s’accorde toutefois à penser que la principale cause des piratages de données relève davantage de la négligence du personnel externe ou des collaborateurs (47 % des piratages de données contre 45 % au niveau global) que d’un acte malveillant ou d’une attaque criminelle (36 % contre 37 %).

« Cette enquête donne un nouvel éclairage sur l’état de la cyber-sécurité en France”, constate Denis Gadonnet, Directeur Commercial pour l’Europe du Sud chez FireEye, « Elle indique que les entreprises françaises valorisent leurs éléments de propriété intellectuelle en tant que ressource la plus importante pour leur métier. Cependant, il existe un véritable fossé entre ce qui est perçu par les dirigeants en matière de sécurité et la réalité telle que vécu par ceux qui sont aux avant-postes de cette sécurité. »

 « Parmi les pays interrogés, la France ressort parmi les plus concernés par la protection de la propriété intellectuelle, explique Larry Ponemon, Chairman du Ponemon Institute. Bien qu’ils estiment que leurs systèmes de sécurité soient opérationnels et efficaces, ils sont conscients d’un manque de formation sur les règles de sécurité en vigueur dans leur entreprise et souhaitent vivement y remédier. »

431 dirigeants et techniciens ont été interrogés en France, issus d’organisations allant de moins de 1 000 à plus de 75 000 collaborateurs (effectif mondial) et représentatifs de différents secteurs d’activité : finance, enseignement, recherche, etc.

Vers la fin du pare-feu ?

Par Jean-Philippe Sanchez, pour DataSecurityBreach.fr, Consultant chez NetIQ France – Chaque professionnel de l’informatique consacre beaucoup de temps et d’argent à s’équiper de pare-feux dernier-cri pour protéger ses informations contre toutes sortes d’agressions extérieures. C’est une situation pour le moins ironique car dans le même temps, les entreprises migrent leurs applications vers le Cloud, casse-tête auquel il faut ajouter la vague d’employés qui utilisent leurs propres appareils au bureau (BYOD – Bring your own device)…

Traditionnellement, les pare-feux constituent la pierre angulaire des stratégies pour protéger leurs actifs numériques. Il y aura toujours des pare-feux, les attaques par déni de service justifiant à elles seules leur existence. Mais l’argument selon lequel le pare-feu est le « meilleur moyen de défense » perd chaque jour de sa crédibilité. C’est pourquoi il est temps de revoir le rôle qu’il joue dans un contexte où les applications et les informations résident dans de multiples sources d’hébergement et prolifèrent sur de nombreux types de périphériques.

L’exercice est simple, datasecuritybreach.fr l’a testé pour vous : sur une feuille, indiquez l’emplacement actuel de vos actifs numériques, et d’ici trois ans. Ensuite, procédez de même pour les besoins d’accès. Vous serez étonné par l’afflux de périphériques personnels appartenant à des employés et d’autres personnes qui comptent les utiliser dans l’environnement professionnel.

De toute façon, si vous leur dites « non », ils trouveront le moyen de vous contourner et d’emporter quand même des données professionnelles ! En mettant ces renseignements à plat, vous allez rapidement vous rendre compte qu’il ne sera pas si simple de tracer un nouveau périmètre et des définir les limites à ne pas franchir. Est-ce un point de routage spécifique, un proxy ou un serveur ?

En réalité, même avant l’apparition du BYOD et des logiciels SaaS, les directions informatiques étaient probablement déjà trop dépendantes des pare-feux. Une étude récente montre que la source la plus courante de fuites de données réside à l’intérieur de l’entreprise. Les fuites de données proviennent habituellement d’utilisateurs lambda, peu qualifiés, et non de pirates sophistiqués.

Pourtant, malgré cette tendance, de nombreux services informatiques continuent de renforcer leur périmètre tout en généralisant les règles de contrôle d’accès applicables aux utilisateurs internes.

Venant s’ajouter aux variables habituelles que sont les périphériques et les lieux, la base des utilisateurs gagne elle aussi en diversité. Les exigences professionnelles obligent de plus en plus les services informatiques à ouvrir leurs pare-feux et à laisser entrer davantage d’utilisateurs ; après tout, le but est de permettre aux utilisateurs de faire leur travail. Et bien que BYOD et le Cloud fassent tout pour réduire le rôle des pare-feux, la nécessité de partager des quantités d’informations de plus en plus importantes avec des sous-traitants, des consultants et même des partenaires distants implique une protection plus robuste et un contrôle granulaire au sein de l’intranet. Et votre pare-feu ne peut certainement pas répondre facilement à cette exigence, voire pas du tout.

Ainsi, l’ère « post-pare-feu » se dessine. Bien sûr, il y aura toujours un certain type de protection, mais la nouvelle norme en matière de contrôle d’accès sera incarnée par l’utilisation à grande échelle de passerelles au niveau des applications et des informations, et non plus par votre pare-feu.

Oracle publie des correctifs pour 40 vulnérabilités dans Java SE

Le Critical Patch Update (CPU) publié par Oracle, fixe 40 nouveaux problèmes de sécurité dans Java SE. Datasecuritybreach.fr rappelle que toutes les vulnérabilités, exceptées trois, peuvent être exploitées à distance par un attaquant, et dans la plupart des cas, celui-ci peut prendre le contrôle intégral du système. Pour atteindre son objectif, l’attaquant utilise une variété de techniques « drive-by », laissant une applet Java exécuter un code arbitraire en contournant la sécurité du sandbox Java. Ce CPU affecte les versions 5, 6 et 7 de Java Development Kit (JDK) et Java Runtime Environement (JRE). Nous recommandons vivement l’application de ces correctifs dès que possible. DataSecurityBreach.fr a récemment constaté de nombreux problèmes de sécurité dans Java.

Cette année, nous recensons 137 vulnérabilités contre seulement 28 et 38 au cours de la même période pour les deux dernières années. En coopération avec Oracle, Apple a également publié une mise à jour de sécurité Apple-SA-2013-06-18-1 afin de protéger les utilisateurs de Mac OS X contre ces vulnérabilités Java. Nous encourageons vivement les utilisateurs à appliquer ces correctifs dès que possible. (Qualys)

Une nouvelle application nuisible pour Android toutes les 22 secondes

Android a pris l’ascendant dans le secteur du mobile. Selon l’institut Gartner, environ 75 % de tous les smartphones achetés dans le monde au cours du premier trimestre 2013 sont équipés d’Android. Rien d’étonnant alors que les cybercriminels se focalisent sur cette plateforme. Durant le seul mois de mai, Datasecuritybreach.fr a appris que le G Data Security Labs a dénombré environ 124.000 nouvelles applications malveillantes ciblant le système d’exploitation de Google, soit en moyenne une application toutes les 22 secondes. Leurs auteurs visent principalement à voler des données personnelles, envoyer des SMS ou réaliser des appels surtaxés.

« Les codes malveillants sur mobile ont rapidement évolué en une entreprise lucrative pour les cybercriminels. Les auteurs utilisent principalement des chevaux de Troie pour agir, car ils peuvent être déployés de multiples façons. Ces codes nuisibles permettent non seulement le vol de données personnelles, mais aussi la fraude en utilisant de coûteux services surtaxés », explique à Data Security Breach Eddy Willems, Security Evangelist chez G Data.

État de la menace
Durant le seul mois de mai, 124 255 applications malveillantes. 51 698 ont été référencées comme étant des applications indésirables (PUP ou Potentially Unwanted Program), autrement dit des programmes non spécifiquement dangereux mais qui installent des publicités ou perturbent la navigation Internet de l‘utilisateur. 72,527 applications ont quant à elles été identifiées et classées en tant qu’applications infectées. Autrement dit des programmes dangereux dont le but est de voler des données ou de prendre le contrôle de l’appareil. En moyenne, toute catégorie confondue, un danger touchant la plateforme Android est apparu toutes les 22 secondes durant le mois de mai.

48% des entreprises n’utilisent pas d’outils de gestion centralisée de leur sécurité informatique

DataSecurityBreach.fr a appris que 48% des entreprises n’utilisent pas d’outils de gestion centralisée de leur sécurité informatique. Bien que ces outils facilitent grandement la gestion des paramètres de sécurité informatique,  près de la moitié des entreprises interrogées n’y ont pas recours selon une enquête européenne réalisée par Kaspersky Lab en collaboration avec B2B International en novembre 2012.

Les entreprises en général – et particulièrement les plus petites organisations – trouvent souvent que le déploiement et le contrôle des postes de travail et la protection des appareils mobiles n’est pas une tâche aisée. Des outils de gestion centralisés ont été mis en place pour faire face à cette problématique, cependant à peine la moitié des entreprises sont conscientes de leur potentiel. Selon les résultats de l’enquête, seulement 52% des entreprises dans le monde utilisent des solutions permettant une gestion centralisée de leur infrastructure informatique.

Une entreprise qui souhaite mettre en place une sécurité minimale doit configurer un large éventail d’outils de sécurité spécifiques à l’infrastructure informatique d’une entreprise, tels que les postes de travail et les appareils mobiles. En outre, chacune de ces interfaces doit être configurée pour répondre aux besoins spécifiques de l’entreprise, notamment aux politiques de sécurité interne. Les outils de gestion centralisés peuvent avoir un rôle prépondérant pour aider à réaliser cela. Mais, selon B2B International, ces outils sont utilisés par seulement la moitié des entreprises interrogées dans le monde entier. Alors que seulement 30% des entreprises ont pleinement mis en œuvre des outils de gestion clients, 29% des personnes interrogées se limitent à l’installation partielle d’une console de gestion centralisée.

Or, ces solutions augmentent le niveau de sécurité de l’infrastructure, tout en réduisant considérablement la charge de travail informatique de l’entreprise, en éliminant la nécessité de configuration de la protection informatique et de surveillance l’état de chaque poste de travail individuellement.

Stratégie de sécurité informatique : contrôle des utilisateurs à privilèges

Ces dernières années, datasecuritybreach.fr vous en parle assez, cyberdéfense et cybersécurité ont pris une place considérable dans la vie des entreprises et des particuliers. Les jours passent et les attaques s’amplifient. Elles sont toujours plus ciblées, diversifiées et étendues, et la cybercriminalité fait partie intégrante de notre vie quotidienne. Historiquement, les éditeurs d’antivirus et de pare-feu ont pris le leadership du marché. Paradoxalement, ils ne traitent qu’une partie des problèmes ce qui se traduit par une augmentation du nombre d’incidents et de leur ampleur, malgré la croissance des budgets de sécurité informatique. En effet, un pan entier de la sécurité informatique reste méconnu : la gestion des utilisateurs à privilèges, qui répond au nom encore mal connu en France, d’Insider Threat ou gestion de la menace interne.

Pour l’éditeur français, WALLIX, spécialiste de la traçabilité des utilisateurs à privilèges, une stratégie de sécurité complète et cohérente doit, certes, prévoir de se protéger contre les menaces provenant de l’extérieur mais également des risques qu’impliquent la liberté absolue dont jouissent les utilisateurs à privilèges.

Un utilisateur à privilège, qu’est-ce que c’est ?

Un utilisateur à privilège, est, par définition, une personne dont les droits ont été élevés ou étendus sur le réseau informatique. Datasecuritybreach.fr y voir les droits d’accès, gestion des autorisations, administration des équipements et applications, modification, suppression ou transfert de fichiers, etc. L’utilisateur à privilèges peut être interne ou externe à une société. Ses droits lui sont délégués par le représentant légal de la société qui souvent n’est même pas au courant de ce risque. Par nature, l’utilisateur à privilèges a donc accès à des données sensibles et stratégiques pour l’entreprise aux secrets de l’entreprise et de ses salariés. Il a un droit de vie et de mort sur l’informatique de l’entreprise.

L’utilisateur à privilèges fait-il toujours partie d’une société ?

Lorsqu’une société externalise la gestion d’une partie ou de l’ensemble de son informatique ou de ses équipements, les prestataires qui prennent la main à distance ou interviennent sur le réseau interne pour mener à bien des opérations de support ou de maintenance deviennent des utilisateurs à privilèges, et ce, bien qu’ils ne fassent pas partie des effectifs de la société. Savez-vous par exemple quelles sont les autorisations d‘accès d’un technicien qui vient réparer la photocopieuse IP ou la connexion réseau ?

En d’autres termes, externaliser revient, pour une entreprise et son dirigeant, à confier « les clés de la maison » à une personne inconnue, qui aurait accès à l’ensemble des pièces et du contenu des placards, avec la capacité de les fouiller, d’y prendre et remettre ce qu’il y trouve, en gérant lui-même les autorisations d’accès. Si quelque chose est endommagé, disparaît ou est simplement dérobé après son passage, que faire ? Comment savoir ce qui a été fait ? Où y a-t-il eu un problème ? Quand ? De quelle manière ? Qui va payer les dégâts ? Comment vais-je pouvoir justifier l’incident ou le vol vis-à-vis des assurances ?

Pour le Clusif et son panorama 2012 des menaces informatiques, près de la moitié des entreprises de plus de 200 salariés en France, et des collectivités territoriales externalisent la gestion de leur Système d’information, 50% ne collectent pas les logs (pas de preuve), 20% ne changent jamais les mots de passe y compris lorsqu’un départ ou un changement de prestataire survient.

Quels sont les risques liés aux utilisateurs à privilèges ?

De par leur statut, les utilisateurs à privilèges, au même titre que les utilisateurs « lambda » font peser des risques sur le réseau d’entreprises. On peut les classer en plusieurs catégories :

Les risques liés à l’erreur humaine : comme n’importe quel utilisateur, l’utilisateur à privilèges reste un être humain, susceptible pour quelque raison que ce soit de commettre des erreurs sur un réseau ; seulement ces erreurs peuvent avoir des conséquences considérables sur la productivité, la réputation et le chiffre d’affaires de l’entreprise affectée.

Imaginons, par exemple, qu’après une erreur de manipulation lors d’une opération de télémaintenance, un prestataire externe provoque une panne sur le serveur d’un e-commerçant. Pour ce dernier, ce sont des pertes de chiffre d’affaires pendant toute la durée de la panne qu’il est nécessaire de réparer, mais avant cela d’en retrouver l’origine. Ceci peut prendre un temps considérable, multiplier les dégâts mais également entacher sérieusement la réputation de l’e-commerçant définitivement.

Entretemps, les clients iront se servir ailleurs. Désormais, avec les nouvelles réglementations, il sera nécessaire de communiquer sur un incident, avec un risque d’amende liée à la perte d’informations clients (données clients, numéros de carte bleue, ou encore, données de santé). Dans un autre cas récent, des centaines de dossiers patients se sont retrouvés publiés sur Internet.

C’est en tapant son nom par hasard dans un moteur de recherche qu’une personne a retrouvé l’intégralité de son dossier médical en libre consultation. Ce type de fuite de données peut provenir d’une erreur humaine (un prestataire externe commet une faute dans les process et laisse s’échapper ces données) ou d’un acte de malveillance qui illustre les risques liés aux utilisateurs à privilèges.

Les risques liés à la malveillance : l’utilisateur à privilèges reste un être humain. Ainsi, lorsqu’une collaboration professionnelle se finit en mauvais termes, il peut être tentant d’utiliser ses droits pour nuire à l’entreprise ou voler des informations stratégiques (fichiers clients, CB, secrets, …).

En 2012, c’est un sous-traitant de la société Toyota qui, après avoir été licencié, avait dérobé des informations relatives aux brevets industriels du constructeur japonais. Combien de bases clients dérobées, de messages divulgués ou d’informations recueillies grâce à des fichiers informatiques indûment téléchargés ? Là encore, se pose la problématique de l’origine de la fuite. Qui a fait cela ? Quand et comment ? Pourquoi cette personne a-t-elle eu accès à ces données en particulier ? Peut-on empêcher un tel acte ou en garder la trace et comment ? Comment gérer cela en interne et avec les prestataires externes ?

Selon une étude Forrester que datasecuritybreach.fr vous proposait il y a peu, 50 % des utilisateurs à privilèges partent de leur entreprise ou sortent d’une mission d’infogérance avec des données sensibles. Comment peut-on donc évaluer ou mieux encore parler de gestion des risques sans traiter ce sujet ? Quand les hautes autorités de sécurité nationale mettront elles en garde contre ces risques béants ?

Heureusement, de plus en plus de DSI et de RSSI, pour répondre au contrôle interne ou à leurs directions générales, prévoient l’usage d’une solution qui réponde au problème de la gestion de la menace interne et des prestataires externes. Aussi ont-ils prévu l’intégration d’une solution de gestion des utilisateurs à privilèges dans leurs politiques de sécurité.

Le marché français du PUM (Privileged User Management) n’en est qu’à ses balbutiements malgré l’urgence. WALLIX, éditeur pionnier dans la gestion des utilisateurs à privilèges grâce à sa solution Wallix AdminBastion, le WAB, préconise, bien entendu la protection contre les menaces provenant de l’extérieur du réseau. Elles sont connues et désormais très bien circonscrites grâce à des solutions comme l’anti-virus, le firewall, l’IPS, l’IDS etc. Cependant, l’éditeur français insiste auprès de datasecuritybreach.fr sur la nécessité et l’urgence de compléter ces dispositifs par des solutions internes de contrôle des utilisateurs à privilèges. Cependant, ces solutions souffrent d’une mauvaise réputation : trop souvent, celles-ci sont perçues comme des produits visant purement et simplement à surveiller les utilisateurs à privilèges. Contre toute attente, elles permettent surtout de dédouaner les utilisateurs en apportant une preuve tangible et concrète de l’origine de l’incident.

Pour Jean-Noël de Galzain, fondateur de WALLIX, l’éditeur pionnier de solution de gestion des utilisateurs à privilèges, le WAB : « une stratégie de sécurité cohérente de bout-en-bout ne peut plus se passer de solutions de contrôle des utilisateurs à privilèges. Chaque jour, des utilisateurs à privilèges accèdent à des données essentielles et stratégiques pour la survie et la rentabilité de l’entreprise. Même si, bien entendu, la malveillance n’est généralement pas la première cause de perte de données, les erreurs humaines sur un réseau, sont, elles, bien réelles et peuvent prendre des proportions catastrophiques à l’échelle de l’Internet. Nous alertons vivement les DSI, RSSI et les plus hautes instances de sécurité informatiques quant aux risques qui pèsent en termes de productivité, de réputation et de conformité sur les entreprises publiques et privées. La gestion des risques internes est aussi prioritaire que la gestion des menaces périmétriques. Le risque le plus grave serait de l’ignorer ! »

Demande de report des négociations TTIP

Suite au scandale PRISM, l’eurodéputée socialiste demande aux ministres européens du Commerce de reporter la réunion du 14 juin.

« Devant l’ampleur des révélations, je demande aux Ministres du Commerce des 27 d’ajourner leur réunion prévue dans trois jours à Luxembourg » déclare Françoise Castex à Datasecuritybreach.fr. Les 27 doivent décider ce vendredi du mandat de négociation de la Commission européenne dans le cadre de l’accord de libre échange UE / Etats-Unis.

Pour l’eurodéputée qui a saisi l’exécutif européen sur l’affaire PRISM par le biais d’une question écrite: « la confiance a été clairement rompue et nous ne pouvons engager des négociations avec nos partenaires américains tant que des garanties suffisantes n’auront pas été apportées par les autorités américaines. »

Pour la Vice-présidente de la Commission des affaires juridiques du Parlement européen: « cette affaire met en lumière le décalage entre notre vieux continent, où il existe déjà de puissantes règles en matière de protection des données, et les Etats-Unis qui n’ont pas les mêmes exigences en la matière. »

« Sur ce point nous devons être intransigeant: le traitement des données des citoyens européens par les autorités publiques américaines doit être fait selon nos normes. », souligne la députée.

Avant de conclure à Datasecuritybreach.fr : « cette affaire nous montre l’urgence de faire émerger en Europe les conditions d’un marché de l’Internet basé sur la confiance pour permettre aux citoyens de relocaliser leurs données en Europe, et non l’inverse! »

Se protéger de la cyber surveillance

Un ancien fonctionnaire de la CIA, officiant pour la NSA, révèle l’existence de PRISM, un espion numérique. Voici comment combattre cet espionnage. Vous avez très certainement dû lire les « révélations » d’un ancien agent de la CIA, Edward Snowden, expliquant que les grandes oreilles de l’Oncle Sam avaient mises en place, avec l’aide de Microsoft, Yahoo!, Google, Facebook, PalTalk, Youtube, Skype, AOL et Apple, un moyen d’interception de données global. Collecte de fichiers, photos, vidéos, audios, … Des données que peuvent ensuite se partager la NSA, le FBI et le MI6/MI5 Anglais. Vous comprenez mieux pourquoi zataz.com expliquait, il y a peu, le rachat de Skype (Entreprise alors Australienne) par Microsoft. Une collecte de taille, 97 milliards d’informations. Bref, voici avec Prism, le petit frère espion du système Echelon qui avait fait couler pas mal d’encore à la fin des années 90.

Chiffrez vos informations

Pour cela, de nombreux outils vous permettent de protéger vos données et autres contenus. Pour les eMails, passez par EnigMail (http://www.enigmail.org) ; pour l’ensemble de vos données GNU Privacy Guard (http://www.gnupg.org) ; Mailvelope vous permet de chiffrer vos correspondances par webmail (http://www.mailvelope.com) ou encore, via votre navigateur, WebPG (http://webpg.org/) ; couplez à cela des outils d’anonymisation et d’auto destruction de vos fichiers comme avec AnonPaste (http://www.anonpaste.me/anonpaste2/index.php) ou encore PastBay (http://pastebay.com) et FileTea (https://filetea.me) et vous voilà avec de quoi sécuriser votre vie sur la toile. En parlant de webmail (Gmail, Yahoo, …), si vous utilisez un outil de la sorte, pensez à chiffrer vos correspondances. BitMessage (https://bitmessage.org/) et RiseUp feront parfaitement l’affaire. DataSecurityBreach.fr conseille cependant d’utiliser des clients de messagerie. Plus « secure » ! Pour pallier à Outlook ou encore Apple Mail, penchez-vous sur Mozilla Thunderbird (https://www.mozilla.org/en-US/thunderbird/) ou encore iCedove. (http://directory.fsf.org/wiki/Icedove).

Vos « surfs »

les navigateurs alternatifs ne sont pas légions. Oubliez donc, à en croire l’ex 007, Safari, Chrome et Internet Explorer. Passez vers Firefox, le navigateur Open Source de Mozilla et le chiffrement proposé par l’outil TOR. Ce dernier propose d’ailleurs un navigateur chiffré et à la navigation anonyme. Petit bémol pour Firefox, comme l’indique le document lié à la politique de confidentialité de Firefox, plusieurs données sont collectées. En ce qui concerne les recherches sur Internet, oubliez Google Search, Yahoo! Search et Bing de Microsoft. Passez vers DuckDuckGo (https://duckduckgo.com/), StartPage (https://startpage.com/) ou encore Yacy (http://www.yacy.net/). Nous ne proposerons pas de solutions pour le Cloud. Si vous utilisez un tel service, pensez à chiffrer vos sauvegardes. Pour les amateurs de messagerie instantanée, oubliez Whats App Messenger, Yahoo! et autre Google Talk. RetroShare (http://retroshare.sourceforge.net) est parfait.

Vous pouvez aussi vous pencher sur l’application Firefox Cryptocat. Utilisateurs de smartphone, Android permet d’installer des outils qui sécuriseront vos appels comme le montre l’émission du mois de mai de ZATAZWeb.tv. TextSecure (https://whispersystems.org/#encrypted_texts) permet de sécuriser SMS et MMS. Les clés USB, aussi, peuvent se sécuriser, comme cette possibilité biométrique chiffrée présentée sur Data Security Breach. Pour les utilisateurs des outils de la grosse pomme, un Cat sécurisé/crypté est proposé avec ChatSecure (https://chatsecure.org) et le surf sans trace avec Onion Browser (https://mike.tig.as/onionbrowser).

Bref, prévenir les actes d’attentats, ok. 62% des américains estimeraient selon une étude récente (Le Monde) que les écoutes téléphoniques sont importantes pour lutter contre les terroristes ; 45 % veulent que le gouvernement aille plus loin dans ses « enquêtes ». Que ces américains se réjouissent, c’est en cours !

APT: Détecter l’espion qui est sur votre réseau

Que signifie le fait d’être la cible d’une Menace Persistante Avancée (APT ou Advanced Persistent Threat en anglais) ? Comme vous l’indique souvent DataSecurityBreach.fr, les APT sont des menaces beaucoup plus subtiles, intelligentes et dangereuses que ses prédécesseurs qui étaient aléatoires et généralement moins sophistiquées. Les menaces Internet sont beaucoup plus malveillantes aujourd’hui et nous ne pouvons plus compter sur les défenses basées sur les signatures pour les combattre. Nous devons battre l’intelligence par l’intelligence. Christophe Auberger, Responsable Technique chez Fortinet considère auprès de Data Security Breach Magazine le ‘sandboxing’ comme étant un outil clé dans la lutte contre les APT

Alors que la cybercriminalité évolue et progresse, elle peut également être vue comme rétrospective dans son approche. La cybercriminalité a aujourd’hui de nombreuses similitudes avec l’âge d’or de l’espionnage d’antan – infiltrer, se cacher et extraire des informations de valeur ou sensibles sans être détecté. Cette approche est très efficace dans un monde où les informations numériques sont de plus en plus précieuses.

L’infiltration furtive en ligne visant à voler des informations confidentielles et de valeur est le but ultime des cybercriminels actuels. Il est clair que les organisations doivent être particulièrement vigilantes et préparées pour détecter ces nouveaux types de menaces endémiques et continues. L’incorporation et l’exécution réussies de codes malveillants sur un réseau peuvent faire des ravages au sein d’une organisation, le plus grand risque consistant dorénavant dans le vol de propriété intellectuelle. Avantage concurrentiel, informations d’initiés, propriété intellectuelle de valeur et cessible sont autant de données précieuses aussi bien pour les cybercriminels professionnels que pour les attaquants émergents cautionnés (fait encore non confirmé) par les Etats.

De nouvelles façons de travailler comme le BYOD, où les terminaux sont également utilisés à des fins non professionnels comme pour l’utilisation des medias sociaux, favorisent les APT. Un simple lien sur Facebook vers une page Web infectée peut s’avérer être le point d’entrée dans le réseau d’une organisation. Les cybercriminels deviennent très compétents dans le ciblage des personnes avec l’objectif de les inciter à leur insu à donner accès à leurs appareils et, par conséquent, au réseau de l’entreprise.

Par chance, il existe encore des moyens pour détecter les ‘espions’ qui tentent d’infiltrer, et même ceux qui ont eu accès et sont sur le réseau. Ils laissent toujours des indices. Il suffit de chercher les signes et, dans le cas d’un ‘espion’ présumé, on le pousse à commettre des erreurs qui permettront de l’identifier et de le confondre.

Le sandboxing n’est pas une idée nouvelle, datasecuritybreach.fr vous en parle souvent, mais il se révèle être de plus en plus utile dans la lutte contre les APT. Les logiciels malveillants ont toujours essayé de se dissimuler et les hackers d’aujourd’hui rendent leurs logiciels ‘conscients’ de leur environnement. Le sandbox – qui peut être local ou en mode cloud – offre un environnement virtuel étroitement contrôlé dans lequel seules les ressources de base sont fournies pour permettre aux logiciels suspects ou inconnus de s’exécuter, et où l’accès au réseau et aux autres fonctions critiques sont restreints. Les logiciels malveillants sont dupés sur le fait qu’ils ont atteint leur destination finale de sorte qu’ils dévoilent leurs véritables comportements alors qu’ils sont observés de près. Mais, comment savoir quelle partie du logiciel doit être conduite dans un environnement virtuel de sandbox pour un examen plus approfondi ?

Il y a cinq comportements d’exfiltration et exploitations de failles qui, soit isolément ou en tandem, peuvent indiquer une activité de logiciels malveillants. En les observant plus en détails Data Security Breach voit que certaines charges d’APT génèrent de manière aléatoire des chaines d’adresses IP visant à faciliter leur propagation, ou elles tentent d’établir une connexion avec un serveur de commande et de contrôle dans le but d’exfiltrer des données ou de faire appel à d’autres ressources d’attaques via un botnet. Si les détails du serveur malveillant sont identifiés, c’est comme si un espion présumé mis sous surveillance se dévoile lorsqu’il appelle son maitre-espion.

En outre, des cas avérés d’APT ont impliqué de nombreuses techniques pour dissimuler (obfuscating) le vrai sens et l’intention du code malveillant JavaScript, et bien sûr, le logiciel malveillant va certainement imiter le comportement du terminal ou de l’application hôte pour éviter la détection. Par conséquent, la tendance à avoir des logiciels malveillants encryptés au sein des charges d’APT expose l’ensemble du trafic encrypté à un risque élevé.

Pour une protection plus efficace et un meilleur contrôle, le sandboxing devrait idéalement opérer dans le cadre d’une stratégie multi-couches. La première ligne de défense est le moteur antivirus supporté par une sandbox embarquée en ligne opérant en temps réel. Si les menaces s’avèrent appropriées, les fichiers suspects peuvent être soumis à une sandbox basée sur le cloud pour davantage d’analyses. Cette approche unifiée et multi- couches offre plus de contrôle et de rapidité pour contrer une attaque potentielle. Et c’est nécessaire. De la même façon que la cybercriminalité devient plus évoluée et multi-couches, la stratégie de sécurité de l’organisation doit l’être également.

Vers sur les réseaux sociaux

Une résurgence des vers sur les réseaux sociaux et une augmentation spectaculaire du spam. Les attaques ciblées continuent d’augmenter; retour des spams “Pump and Dump” qui surfent sur les hausses boursières record aux USA. McAfee Labs a communiqué à Datasecuritybreach.fr son rapport trimestriel sur le paysage des menaces au premier trimestre 2013, « McAfee Threats Report: First Quarter 2013 ».

Ce rapport met en lumière une hausse importante du ver Koobface sur les réseaux sociaux et une augmentation spectaculaire du volume de spam. Egalement constaté une augmentation continue de la complexité et du nombre de menaces ciblées, y compris les chevaux de Troie de collecte d’informations et les menaces ciblant les secteurs d’amorçage maître (Master Boot Record – MBR). Trois fois plus d’échantillons de Koobface que lors du précédent trimestre. Ce ver vise en particulier Facebook, Twitter et les utilisateurs de réseaux sociaux. Le cheval de Troie Koobface, un ver découvert en 2008 dont l’évolution avait été relativement stable depuis l’an dernier mais qui a triplée au cours du premier trimestre 2013 et qui a atteint des niveaux jamais vus auparavant. Sa résurgence démontre que la communauté des cybercriminels estime que les utilisateurs des réseaux sociaux représentent un environnement ciblé très riche en termes de victimes potentielles

Après trois ans de stagnation, le volume de spam a augmenté de façon impressionnante. Un élément significatif de cette croissance en Amérique du Nord a été le retour des campagnes de spam « Pump and Dump » qui visent les investisseurs néophytes espérant capitaliser sur la hausse du marché boursier. Le rapport met également en évidence une augmentation continue des logiciels malveillants Android, des URL malveillantes, ainsi que sur l’ensemble des échantillons de logiciels malveillants. Datasecuritybreach.fr a pu constater dans ce rapport la première augmentation du volume de courriers non sollicités dans le monde depuis plus de trois ans. En plus des escroqueries populaires de « Pump and Dump », une flambée d’offres d’hormones de croissance et une escalade des campagnes de spam sur les marchés émergents caractérisent principalement cette flambée. Un détail que Data Security Breach Magazine vous relatait déjà, le mois dernier via un autre rapport.

L’augmentation de la sophistication et du nombre des menaces persistantes avancées ciblées (Advanced Persistant Threats – APT) a représenté l’évolution la plus notable du paysage des menaces du fait que, dorénavant, l’information est devenue aussi précieuse que l’argent dans le paysage de la cybercriminalité. Le cheval de Troie Citadel a prouvé que les cybercriminels ont recyclé cette menace pour dérober les informations personnelles à des victimes étroitement ciblées au-delà des institutions financières. L’industrie doit s’attendre à voir de plus en plus de cas de logiciels malveillants bancaires utilisés pour des opérations de cyber espionnage au sein d’entreprises non financières et gouvernementales. · Les attaques MBR. L’augmentation de 30 % des menaces ciblant le MBR au premier trimestre est liée, par exemple, aux logiciels malveillants StealthMBR, TDSS, Cidox et Shamoon. Clé pour lancer les opérations de démarrage, le MBR offre aux attaquants une grande variété de contrôle du système, de persistance et de fonctionnalités de pénétration profonde. Cette catégorie a enregistré des niveaux record ces deux derniers trimestres.

Datasecuritybreach.fr a aussi constaté dans ce rapport une augmentation de 30 % des logiciels malveillants ciblant les zones d’amorçage, ainsi que de nouvelles variantes de chevaux de Troie voleurs de mot de passe, repensés pour dérober des informations personnelles de personnes et d’entreprises proches de l’industrie des services financiers. « Les cybercriminels ont appris à considérer les informations personnelles et organisationnelles sensibles comme monnaie de leur économie pirate », déclare à datasecuritybreach.fr François Paget, chercheur McAfee Labs. « La résurrection de Koobface nous rappelle que les réseaux sociaux continuent de représenter une opportunité importante pour l’interception des renseignements personnels. Dans l’entreprise, nous constatons que les chevaux de Troie voleurs de mot de passe deviennent des outils de collecte d’informations pour les attaques de cyber-espionnage. Qu’elles visent soit les identifiants de connexion ou de propriété intellectuelle, ou soit les secrets commerciaux, les attaques très ciblées atteignent de nouveaux niveaux de sophistication ».

Le nombre d’URL suspectes a augmenté de 12 % du fait que les cybercriminels n’ont de cesse d’intensifier leurs attaques commises à partir de botnets comme moyen de distribution principal de leurs logiciels malveillants. Les sites web malveillants de « drive-by downloads » (attaque consistant à installer secrètement un logiciel sur l’appareil d’un utilisateur à son insu, ou sans son consentement) ont l’avantage notable d’être plus agiles et moins susceptibles d’être inquiétés par des interventions des autorités. DataSecurityBreach.fr vous relate, dans cet article, comme décoder les urls réduits, vecteurs d’attaques.

Pirater un iPhone, possible avec un simple chargeur.

Des universitaires chercheurs de l’université de George Institute of Technology ont trouvé le moyen de piéger un iPhone 5. Via un hack hardware, les étudiants ont mis au point un chargeur, baptisé Mactans, capable d’injecter un code, malveillant ou non. La découverte sera présentée à la veille du Defcon, lors de la conférence de sécurité Blackhat. Pour réussir le tour de passe-passe, les bidouilleurs ont utilisé une carte Texas Instruments BeagleBoard. Prix de l’arme … 45 dollars. « Malgré la pléthore de mécanismes de défense d’iOS, nous avons injecté avec succès le logiciel de notre choix dans les appareils Apple de la dernière génération et qui exécutent la dernière version de leur système d’exploitation … Tous les utilisateurs sont concernés, notre approche ne nécessite pas d’appareil jailbreaké, ni d’interaction de la part de l’utilisateur. » explique les hackers.

Piratage de l’Université de Ziguinchor

L’université Sénégalaise de Ziguinchor piratée. Identifiants de connexion des étudiants dérobés. Le groupe Phenomenal vient de faire parler de lui lors du piratage d’un site universitaire basé au Sénégal. D’après les informations collectées par Data Securit Breach, les pirates ayant diffusé dans un espace privé les données volées, plusieurs dizaines d’identifiants de connexion ont été dérobés.

Dans les informations détournées lors de ce piratage, une trentaine d’emails, logins et mot de passe, ainsi qu’un annuaire comprenant l’identités des professeurs et leurs numéros de téléphone. A première vue, il est fort probable que d’autres données ont pu être copiées par les pirates.

Un site libertin Belge piraté : 9000 membres à poil

Un important site belge dédié aux rencontres coquines piratés. Les visiteurs ont ponctionné les données de plus de 9000 membres. Voilà qui met à mal la vie privée, très privée même, de plus de 9000 membres du site Internet Belge annonce-libertine.be. La rédaction de ZATAZ.COM et Datasecuritybreach.fr ont été informés que ce portail dédié aux rencontres libertines entre adultes consentants avait été piraté par plusieurs pirates informatiques différents.

Dans tous les cas, les intrusions ont offert la possibilité aux « visiteurs » de mettre la main sur les données privées des « clients » de ce portail pour adulte. Parmi les informations que Data Security Breach a pu consulter, les pirates ayant diffusé sur Internet les données dans un espace « privé », un extrait des données, 8.728 emails, logins et mots de passe.

A noter que les identifiants de connexion ne sont pas chiffrés, laissant apercevoir des password particulièrement ridicule allant de la date de naissance (sic!), le numéro de téléphone portable (double sic!) ou le vrai prénom de l’anonyme caché derrière le pseudonyme employé sur le site. Ok, les participants ne sont pas au fait de la sécurité informatique, mais la pénétration du portail par au moins trois groupes de pirates (Phenomenal, AB, …) met clairement à mal la vie privée des intéressés. Le site a été alerté voilà 15 jours. Aucune réponse de leur part.

Internet : le consentement explicite

Quand vous naviguez sur Internet, pouvez-vous dire qui collecte des informations à votre sujet, quelle est la nature de ces informations et qui peut y avoir accès ? Pouvez-vous contrôler qui peut savoir quoi de vous ? La Commission européenne a proposé de vous en donner le pouvoir, mais le Parlement européen, sous la pression des lobbies de l’industrie, risque de voter autrement.

Avec le développement du commerce des données, le contrôle des citoyens sur leurs données personnelles a progressivement diminué, alors même que leur droit fondamental à la vie privée ne peut être défendu s’ils n’ont pas eux-mêmes les moyens de le protéger. Mais la protection de notre vie privée n’est pas le seul enjeu lié à cette question : ce manque de contrôle entraîne un manque de confiance aux conséquences négatives tant pour la liberté d’expression [1] que pour le développement économique des services en ligne [2].

Pour faire face à cette situation critique, la Commission européenne propose de donner aux citoyens un véritable contrôle sur leurs données personnelles en établissant un principe clair : que les utilisateurs aient à donner un consentement explicite pour toute collecte, traitement ou échange d’informations les concernant.

L’enjeu

Pour mieux comprendre le sens de la proposition de la Commission européenne, il faut revenir à l’actuelle législation européenne – la directive de 1995 obsolète – qui n’exige pas que le consentement soit donné « explicitement » mais « indubitablement » [3]. Qu’est-ce qu’un consentement « indubitablement donné » ? Le sens d’une notion si vague « est souvent mal interprété ou simplement ignoré », comme le déplore le groupe de travail « Article 29 » [4] – l’organe européen réunissant l’ensemble des autorités nationales européennes de protection des données personnelles.

Un consentement peut être considéré comme « indubitablement donné » lorsqu’une personne informée du traitement de ses données ne s’y oppose pas. Cependant, la législation actuelle n’obligeant pas les entreprises à s’assurer que ces personnes soient effectivement informées, la plupart de ces entreprises ne sont pas vraiment enclines à exposer de façon claire, pratique et visible la nature ou le but des traitements de données qu’elles réalisent.

Par conséquent, les citoyens ignorent la plupart des traitements que leurs données subissent : en pratique, ils ne pourraient pas s’y opposer s’ils le désireraient.

Prenons l’exemple d’Amazon. Lorsque vous consultez un article sur ce site, votre navigation est enregistrée pour vous suggérer des produits similaires. Bien que la formule « inspirés par votre historique de navigation » vous indique que certaines de vos données personnelles sont traitées, elle n’indique pas qu’Amazon collecte en réalité bien plus de données que la simple liste d’articles que vous avez consultés et, ce même s’il s’agit de votre première visite et que vous n’êtes pas inscrit sur ce site. Ces informations ne sont accessibles qu’à la toute fin des pages du site Internet. Google, quant à lui, ne prend même pas la peine d’indiquer qu’il collecte, stocke et traite l’ensemble des informations liées à toutes vos requêtes et visites de site Internet. Le seul moyen de le savoir est de rechercher puis de lire ses règles de confidentialité.

La proposition de la Commission La proposition élaborée par la Commission européenne changerait radicalement cette situation en posant le principe d’un consentement explicite de l’utilisateur. Le consentement des utilisateurs devraient alors être exprimé « par une déclaration ou par un acte positif univoque » [5], et ce pour chacune des finalités pour lesquelles une entreprise souhaiterait collecter leurs données. Le « silence informé » ne serait plus considéré comme un consentement valide.

Les entreprises devraient alors activement rechercher le consentement de leurs utilisateurs, assurant ainsi qu’aucune donnée personnelle ne puisse plus être traitée sans que les utilisateurs n’en aient été véritablement et directement informés. Adoptée, cette proposition assurerait que rien ne se passe hors de vue ou de contrôle des utilisateurs. À cet égard, de bonnes pratiques existent déjà et constituent des exemples concrets de ce que serait un consentement explicitement donné sur Internet. Des navigateurs tels que Firefox et Chrome requièrent déjà votre consentement explicite avant d’envoyer des informations concernant votre géolocalisation à un site Internet.

Ceci permet de garantir que, pour tout traitement, vous êtes réellement informé de la nature des données collectées et, ainsi, que vous puissiez véritablement y consentir. Ensuite, si vous le souhaitez, vous pouvez aussi simplement choisir de « toujours accepter » que le site que vous visitez puisse collecter votre position géographique sans avoir à chaque fois à obtenir votre consentement. Même si le concept de cette « boîte de requête » est largement perfectible – en ce qu’elle n’indique pas comment vos données seront traitées ni qui pourra y accéder – cela nous montre, au moins, le type de contrôle que nous pourrions exercer si l’exigence d’un consentement explicite était adoptée.

Les recommandations des géants de l’Internet

Le contrôle des utilisateurs semble être problématique pour les géants de l’Internet, Datasecuritybreach.fr vous en parle souvent, dont les bénéfices reposent largement sur la quantité de données personnelles qu’ils collectent. Ils redoutent qu’un plus grand contrôle donné aux utilisateurs amoindrisse les quantités de données qu’ils traitent. Ceci nous montre bien comment notre vie privée est considérée par ces entreprises : si leurs activités respectaient véritablement notre vie privée, pourquoi craindraient-elles que nous n’y consentions pas ? Exiger un consentement explicite ne porterait atteinte qu’aux entreprises qui ne respectent pas notre vie privée. Les autres, en revanche, ne pourraient que bénéficier du gain de confiance résultant du véritable contrôle donné aux utilisateurs.

Google, Facebook, Microsoft, Amazon et eBay ont unanimement demandé aux députés européens de retirer du règlement le consentement explicite [6]. Leur principal argument est que les utilisateurs « veulent des services Internet qui soient rapides, simples d’accès et efficaces [et que rechercher systématiquement leur consentement explicite] les conduirait à le donner automatiquement, par habitude », « étant surchargés de demandes de consentement » (traduits par nos soins).

Dès lors que rechercher le consentement explicite des utilisateurs est le seul moyen de garantir qu’ils seront veritablement avertis de chacun des traitements réalisés sur leurs données personnelles, ces demandes ne peuvent pas représenter une « surcharge ». Quiconque choisirait de consentir « automatiquement, par habitude », serait tout de même averti de ces traitements, alors que nous ne le sommes que rarement aujourd’hui.

De plus, une fois qu’ils auraient accepté qu’une entreprise puisse traiter certaines de leurs données pour une finalité claire et spécifique, les utilisateurs n’auraient pas à consentir aux nouveaux traitements qui poursuivraient exactement cette même finalité [7]. Ainsi, déclarer qu’ils seraient « surchargés de demandes de consentement » est simplement faux. En pratique, les utilisateurs n’auraient généralement à consentir, tout au plus, qu’une seule fois : en visitant un site Internet pour la première fois ou en utilisant pour la première fois une nouvelle fonctionnalité de ce site.

Les propositions des députés européens Les commissions « consommateurs » (IMCO) et « industrie » (ITRE) ont suivi les recommandations des géants de l’Internet et ont voté contre l’exigence d’un consentement explicite. IMCO a proposé de subordonner cette exigence au « contexte », ce qui est aussi vague et dangereux que d’exiger un consentement « indubitablement donné » [8] ; alors que la commission ITRE a suggéré que le consentement ait simplement à être donné « sans équivoque », d’une façon similaire à ce que prévoit déjà la directive de 1995 [9]. Ces deux avis semblent avoir véritablement influencé le débat, de sorte que sept amendements ont été déposés dans la commission « libertés civiles » (LIBE), par dix-sept députés européens, proposant de retirer l’exigence d’un consentement explicite du règlement [10]. Ce qui démontre que ces membres de LIBE, principalement libéraux et conservateurs, ne souhaitent pas conférer aux utilisateurs le contrôle sur leurs données.

Aujourd’hui, il apparaît que la plupart des députés européens sont opposés au principe d’un consentement explicite, dupés par des centaines de lobbyistes, et ne changeront pas de position si nous ne nous mobilisons pas et n’agissons pas dès maintenant.

Ce que vous pouvez faire

Tout d’abord, Datasecuritybreach.fr vous conseille de n’utiliser que des logiciels et des services dans lesquels vous pouvez avoir confiance. Préférez des logiciels libres et hébergez vos propres services autant que possible. De nombreux outils, tels que Tor [11] [12], DuckDuckGo [13] [14] ou des extensions de navigateurs, tels que NoScript [15] ou HTTPS Everywhere [16], vous permettent de remplacer, contourner ou bloquer certains services Internet essayant de collecter vos données personnelles.

Malheureusement, ces solutions ne suffiront jamais à protéger pleinement votre vie privée en ce qu’elles ne sont pas installées par défaut, demandent un certain effort et sont parfois perçues comme complexes à utiliser. Ainsi, nous devons agir afin de nous assurer que le futur règlement protégera véritablement la vie privée des citoyens européens : appelez ou écrivez [17] à vos représentants dès maintenant – les inquiétudes de leurs électeurs et la défense des libertés fondamentales devraient toujours primer sur les intérêts économiques des géants de l’Internet –, partagez cette analyse, écrivez-en afin de donner votre opinion sur le sujet, parlez-en autour de vous ou inventez quelque chose à base d’image, de vidéo, de son, etc. C’est maintenant que nous devons agir !

Les membres de LIBE [18] des différents groupes politiques ont déjà commencé à chercher des compromis sur ce sujet précis : nous devons les contacter avant qu’ils ne tombent d’accord sur les pires amendements.

Références

1. L’UNESCO a publié en 2012 une étude mondiale sur le respect de la vie privée sur l’internet et la liberté d’expression [en], qui commence ainsi : « Le droit au respect de la vie privée sous-tend d’autres droits et libertés, dont la liberté d’expression, la liberté d’association et la liberté de conviction. L’aptitude à communiquer anonymement sans que les gouvernements connaissent notre identité, par exemple, a joué historiquement un grand rôle dans la sauvegarde de la libre expression et le renforcement de la responsabilisation politique, les individus étant plus enclins à s’exprimer sur les questions d’intérêt public s’ils peuvent le faire sans crainte de représailles. » Ce qui a toujours été vrai pour la surveillance gouvernementale se vérifie probablement aujourd’hui pour la surveillance privée. Pouvons-nous vraiment nous exprimer librement si toute entreprise, ou même toute personne, peut connaître notre identité et quantité d’autres informations sensibles à notre sujet ?

2. Une étude [en] du Boston Consulting Group montre que « la valeur créée par l’identité digitale peut en effet s’avérer considérable : un milliard d’euro en Europe d’ici 2020 [mais] deux tiers de la valeur totale liée à l’identité numérique ne se réalisera pas si les acteurs n’arrivent pas à établir un climat de confiance pour la circulation des données personnelles » (traduit par nos soins).

3. Directive de 1995 : Article 2 – Définitions Aux fins de la présente directive, on entend par: h) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. Article 7 Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si: a) la personne concernée a indubitablement donné son consentement

4. Opinion of the Article 29 Data Protection Working Party on the Definition of Consent [en] : « Cet avis est en partie rendu en réponse à une requête de la Commission dans le cadre de la révision en cours de la directive concernant la protection des données personnelles. Elle contient donc des recommandations à prendre en compte dans cette révision. Ces recommandations comprennent : (i) clarifier la définition de consentement « indubitablement donné » et expliquer que seul un consentement basé sur des actions ou déclarations faites pour signifier un accord constitue un consentement valable ; (ii) exiger que les responsables de traitement mettent en place des mécanismes pour démontrer le consentement (dans le cadre d’une obligation générale de responsabilité) ; (iii) ajouter une exigence explicite concernant l’accessibilité et la qualité de l’information sur laquelle se fonde le consentement, et (iv) un certain nombre de suggestions concernant les mineurs et autres personnes dépourvues de leur capacité juridique. »

« La notion de consentement « indubitablement donné » est utile pour mettre en place un système qui, sans être trop rigide, permet une protection forte. Alors qu’il pourrait potentiellement conduire à un système raisonnable, malheureusement, son sens est souvent mal interprété ou simplement ignoré. »

« La clarification doit se concentrer sur le fait qu’un consentement « indubitablement donné » requiert l’utilisation de mécanismes qui ne laissent aucun doute sur l’intention de la personne concernée de donner son consentement. Cependant, il doit être clair que l’utilisation de paramétrage par défaut exigeant que la personne concernée les modifient afin de signifier son désaccord (un consentement fondé sur le silence) ne peut constituer en soi un consentement « indubitablement donné ». Ceci est particulièrement vrai dans l’environnement en ligne. »

« La position commune 10 du Conseil de 1995 a introduit la définition (actuelle) du consentement. Il a été défini comme « toute indication donnée de façon spécifique, libre et informée de ses souhaits par laquelle la personne concernée signifie son accord au traitement de données personnelles le concernant ». La principale modification apportée à la position de la Commission de 1992 ayant été d’effacer le mot « expresse » qui qualifiait le mot « indication ». En même temps, le terme « indubitablement » a été rajouté à l’article 7(a) qui devenait ainsi : « la personne concernée a indubitablement donné son consentement ». » (traduit par nos soins)

5. Proposition de Règlement pour la protection des données Article 4 – Définitions Aux fins du présent règlement, on entend par: 8. «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

6. Lire les recommandations contre le consentement explicite envoyées aux députés européens par les géants de l’Internet [en] sur le wiki de la Quadrature. Vous pouvez également lire bien d’autres documents envoyés par les lobbies [en] aux députés européens, sur d’autres sujets concernant la protection des données personnelles.

7. La Quadrature du Net publiera bientôt une analyse de Privacy Alert abordant précisément ce point.

8. Voir la réaction de La Quadrature du Net au vote de IMCO du 23 janvier. Avis de IMCO : amendement 63 Article 4 – Définitions (8) « consentement de la personne concernée »: toute manifestation de volonté libre, ++qui doit être++ spécifique, informée et ++aussi++ explicite ++que possible selon le contexte,++ par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque ++, et de manière explicite lorsque les données visées à l’article 9, paragraphe 1, doivent être traitées,++ que des données à caractère personnel la concernant fassent l’objet d’un traitement; (Comment lire un amendement : ++ajouté au texte initial++ / –supprimé du texte initial–)

9. Voir la réaction de La Quadrature du Net au vote de ITRE du 21 février. Avis de ITRE : amendement 82 Article 4 – Définitions (8) « consentement de la personne concernée »: toute manifestation de volonté, libre, spécifique, informée et –explicite– ++sans équivoque++ par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. ++Le silence ou l’inaction n’équivalent pas en soi à un consentement++; (Comment lire un amendement : ++ajouté au texte initial++ / –supprimé du texte initial–)

10. Amendements 757, 758, 760, 762, 764, 765 et 766, déposés en LIBE par : Lidia Joanna Geringer de Oedenberg (S&D – Pologne) Adina-Ioana Valean (ALDE – Roumanie) Jens Rohde (ALDE – Danemark) Louis Michel (ALDE – Belgique) Sarah Ludford (ALDE – Royaume-Uni) Charles Tannock (ECR – Royaume-Uni) Timothy Kirkhope (ECR – Royaume-Uni) Axel Voss (EPP – Allemagne) Seán Kelly (EPP – Irlande) Wim van de Camp (EPP – Pays-Bas) Hubert Pirker (EPP – Autriche) Monika Hohlmeier (EPP – Allemagne) Georgios Papanikolaou (EPP – Grèce) Véronique Mathieu Houillon (EPP – France) Anna Maria Corazza Bildt (EPP – Suède) Agustín Díaz de Mera García Consuegra (EPP – Espagne) Teresa Jiménez-Becerril Barrio (EPP – Espagne)

11. https://www.torproject.org/

12. Tor est un logiciel libre et un réseau ouvert qui vous aide à vous protéger d’une forme de surveillance du réseau, telle que l’analyse du trafic réalisée par certains gouvernements, menaçant nos libertés individuelles et notre vie privée.

13. https://duckduckgo.com/html/

14. DuckDuckGo est un moteur de recherche utilisant des informations récoltées sur des sites web participatifs, tel que Wikipédia, afin de répondre à vos requêtes. Le  moteur de recherche déclare protéger votre vie privée et ne pas enregistrer d’information vous concernant. https://duckduckgo.com/html/

15. https://fr.wikipedia.org/wiki/NoScript

16. https://www.eff.org/https-everywhere

17. https://www.laquadrature.net/wiki/Comment_contacter_un_d%C3%A9put%C3%A9_europ%C3%A9en

18. https://memopol.lqdn.fr/search/?q=committees%3ALIBE%20is_active%3A1

Hack de badges Mifare Classic avec son smartphone

MIFARE est une technologie de carte à puce sans contact. Badge d’entreprise et autres moyens d’identification sans contact exploitent cette belle technologie installée dans plus 3,5 milliards de cartes dans le monde.

La plupart des smartphones NFC sont équipés d’une puce permettant l’émulation de cette carte. L’application pour Android NFC Mifare Classic Scanner, réalisé par Touf un informaticien chercheur Français, vient d’apparaitre dans sa seconde et nouvelle monture. Parmi les nouveautés de cet outil, la possibilités d’ajouter les clefs obtenues par d’autres moyens (libnfc, mfoc…) ; réalisation de scan très rapides en créant un template de la cible (quels secteurs doivent être lus, avec quelle clef…). Une possibilité offrant comme résultat le scan à la volée avec le téléphone en moins d’une seconde.

Export des résultats par mail au format .mfd (compatible libnfc et carte mifare chinoise) ou encore l’édition, modification de données lues pour réinjectées les données modifiées dans le badge. L’outil permet donc pas mal de manipulations techniques et légales. Il démontre aussi le danger de cette technologie. L’application ne fonctionne que pour les badges Mifare Classic mais permet de prouver la facilité de sauvegarder l’état d’un badge pour ensuite le remettre a zero (paiement à une machine à boisson, photocopieuse…) ; modification pour apparaitre comme un autre utilisateur.

« L’utilisation principale est de comprendre le fonctionnement des différents systèmes exploitant des cartes mifare classic » explique à DataSecurityBreach.fr l’auteur. Avec cette application, vous pouvez scanner le tag de vos badges aprés chaque utilisation et ensuite analyser les modifications. Pour les autres technologies autres que Mifare classic, l’outil ne qu’une identification de la technologie employée et un enregistrement de l’uid. (GooglePlay)

Une nouvelle donne pour les malware Android ?

Le dernier Rapport sur les Menaces Mobiles de F-Secure que Datasecuritybreach.fr a pu consulter rapporte une série de nouveaux malware Android, qui utilisent par exemple la messagerie en plus des applications pour se propager et infecter les appareils.

Le premier trimestre 2013 a été marqué par des nouveautés du côté des  malware Android, qui se veulent de plus en plus complexes. Le Rapport sur les Menaces Mobiles de F-Secure du premier trimestre 2013 présente la première offensive dont la diffusion s’est faite hors des applications, (via des e-mails de spam), les premières attaques Android ciblées, et la première escroquerie prétextant une avance de frais. En parallèle, les revendeurs de malware Android se multiplient sur le web.

Le nombre de familles et variantes de menaces mobiles est en  augmentation de 49 % par rapport au trimestre dernier, passant de 100 à 149. Parmi celles-ci, 136 (soit 91,3% d’entre elles) visaient Android et 13 (soit 8,7%),, étaient conçues pour Symbian. Pour rappel, 61 familles et variantes de menaces avaient été découvertes au premier trimestre 2012… cette croissance est donc à l’image de celle des parts de marché d’Android : exponentielle.

« Les nouvelles techniques utilisées par les cybercriminels pour attaquer Android sont inquiétantes », déclare à Data Security Breach Sean Sullivan, Security Advisor du Lab F-Secure. « A titre d’exemple : jusqu’à présent, je ne me suis jamais inquiété pour ma mère et son mobile Android, car elle n’utilise pas d’applications. Aujourd’hui, j’ai des raisons de m’inquiéter : avec des menaces comme Stels, des malware Android se propagent dans des spams, et ma mère consulte ses e-mails avec son mobile. ».

Ce cheval de Troie Android, plus connu sous le nom de Stels, a commencé à se répandre via un email falsifié de « l’U.S Internal Revenue Services », transportant un logiciel malveillant vendu sur Internet, conçu pour voler des informations confidentielles présentes dans les appareils Android et faire de l’argent en passant des appels à des numéros surtaxés. D’après Sean Sullivan, cet exemple de banalisation des malware « pourrait changer la donne ».

Le premier trimestre a été le théâtre des premières attaques ciblées utilisant des logiciels malveillants Android. Ainsi, des militants des droits de l’homme Tibétains ont été la cible d’emails contenants des pièces jointes infectées par des malware Android. De même, et un soi-disant «  coupon de réduction » pour une chaine de café très populaire a permis de soutirer des informations à des téléphones localisés en Corée du Sud.

Des mobiles indiens ont été spécifiquement pris pour cible, avec ce qui constitue la première escroquerie Android prétextant une avance de frais. Dans ce cas, une fausse application Android « d’offres d’emploi » en Inde, informe son utilisateur qu’il est retenu pour un poste au sein de TATA Group, une multinationale indienne. Pour organiser l’entretien d’embauche, l’application demande un dépôt de garantie remboursable.

Tenter de cadrer les Adwares

Les Adwares, DataSecurityBreach.fr vous parle très souvent de ces programmes publicitaires associés à des réseaux publicitaires présentent des risques pour la confidentialité des utilisateurs et nuisent à leur expérience de navigation. Si la majorité des publicités apparaissent en toute légitimité sur les appareils mobiles, une poignée de réseaux publicitaires présentent clairement un risque pour les utilisateurs. Comme les annonceurs, les réseaux publicitaires ont accès à d’énormes volumes de données personnelles et jouent un rôle clé au cœur de l’écosystème de la mobilité. Il est donc crucial qu’ils assurent la confidentialité des données des utilisateurs. Il n’existe pour le moment pas de système de classification formel et normalisé au sein de l’industrie de la mobilité pour les publicités mobiles. Un manque de clarté qui est pénalisant pour les utilisateurs.

De nouvelles règles et standards C’est la raison pour laquelle Lookout a dévoilé à Data Security Breach de nouvelles règles et standards qui définissent les pratiques acceptables en matière de publicité, garantes d’une expérience utilisateur agréable et d’un respect réel de la confidentialité. L’éditeur laissera suffisamment de temps aux différents acteurs de l’industrie – régies publicitaires, annonceurs, développeurs d’applications –  pour qu’ils puissent revoir leurs pratiques. A compter du 13 juin, les publicités qui ne se conforment pas à ces bonnes pratiques et règles seront placées dans la catégorie des programmes publicitaires. Par ailleurs, dans 45 jours Lookout considérera comme logiciels publicitaires les réseaux publicitaires qui ne sollicitent pas ouvertement le consentement de l’utilisateur avant d’effectuer les actions suivantes :

· affichage de publicité en dehors du périmètre de l’application ;

· collecte insolite d’informations permettant d’identifier l’utilisateur ;

· exécution d’actions inattendues suite au clic sur une publicité.

Protéger avant tout les utilisateurs

Pour l’éditeur, l’utilisateur doit pouvoir donner son consentement après avoir reçu une alerte claire et lisible, qui le prévient que l’application inclut un réseau publicitaire capable d’effectuer au moins une des actions citées ci-dessus. L’utilisateur doit se voir offrir la possibilité d’accepter ou de refuser. L’alerte doit être mise en avant, sans être noyée au milieu des conditions d’utilisation ; tous les développeurs d’applications ont l’obligation de la prévoir dans leur code. Tout réseau publicitaire qui effectue les actions listées ci-dessous, sans demander au préalable l’accord de l’utilisateur, sera considéré comme un logiciel publicitaire à compter du 13 juin 2013.   Les réseaux publicitaires qui affichent leurs publicités en dehors du périmètre de l’application, doivent demander au préalable le consentement de l’utilisateur avant d’effectuer les actions suivantes :

· affichage de publicités dans la barre de notification du système (il s’agit des publicités en mode « push ») ;

· affichage de nouvelles icônes ou de nouveaux raccourcis sur le bureau mobile ;

· modification des paramètres du navigateur, tels que les favoris, sur la page d’accueil par défaut ;

· modification des paramètres de numérotation du téléphone, comme par exemple la sonnerie.

Collecte insolite d’informations

d’identification Lookout estime que les réseaux publicitaires n’ont pas besoin, dans la plupart des cas, de collecter des informations permettant d’identifier une personne s’ils n’ont pas obtenu son accord préalable. Lorsque l’application qui les contient est exécutée pour la première fois, ces réseaux doivent solliciter le consentement de l’utilisateur pour collecter les éléments suivants :

· numéro MSISDN de l’utilisateur (numéro de téléphone) ;

· adresse email de l’utilisateur ;

· historique de navigation de l’utilisateur, ou de ses appels et SMS ;

· numéro IMSI de l’utilisateur (sauf si utilisé à des fins autres que publicitaires comme par exemple par l’opérateur pour la facturation).

Actions inattenduesconsécutives à un clic

Si, pour quelque raison que ce soit, un réseau publicitaire émet des appels téléphoniques ou envoie des SMS dès qu’un utilisateur clique sur une publicité, ou pour toute autre action, il doit lui demander au préalable son consentement et ceci à chaque fois.

Chiffrer sa vie privée sur le web

DataSecurityBreach.fr vous le conseille très souvent : sur Internet, les informations que nous diffusons douvent être, un maximum, chiffrées, protégées, … des regards instigateurs. Les sources de fuites et de regards sont nombreux, très nombreux (Etats, entreprises, marketing, Google, …). Il est possible de se cacher. Non pas que nous soyons de dangereux terroristes à la solde d’un groupuscule venus de l’espace. Non, nous souhaitons juste avoir la possibilité de protéger ce qui nous appartient, notre vie privée.

Sur la toile, donc, difficile d’être « secret », mais les outils existent pour se protéger. Commençons par les envies de causer, en paix. De plus en plus de personnes exploitent le « tchat » de Facebook. Sauf que ce dernier, en plus de ne pas être parfaitement sécurisé, laisse de nombreuses traces dans les serveurs du géant américain. Un exemple que datasecuritybreach.fr vous propose d’effectuer. Vous avez un smartphone et un pc. Dans les deux cas, vous êtes connectés à Facebook. Votre smartphone a l’application Facebook activée, cela vous permet de recevoir, par exemple, des notifications de messages, de pokes, … Sur votre PC, vous causez, et causez encore ! Vous prenez soin, à chaque fin de « bla bla » d’effacer la conversation. Vous vérifiez, et effectivement, Facebook a détruit le contenu. Sauf que si vous vous rendez dans l’application de votre smartphone, miracle, les messages effacés ne le sont plus. Il vous faudra, donc, effacer de nouveau le contenu. Attention, n’utilisez pas l’application pour informer votre contact… au risque de revoir les messages réapparaitre dans le Facebook de votre ordinateur.

Bref, tchater, ok, mais tchater sécurisé, c’est mieux. Pour les utilisateurs de Firefox/Chrome, l’outil Crypto chat (Crypto Cat) est fait pour vous. L’addon s’installe dans votre navigateur. Il suffira, ensuite, de fournir un identifiant de connexion à vos interlocuteurs. Les conversations seront sécurisées par un chiffrement. Autres possibilités Threat Model ; intra messenger ou encore anonpaste.me. Il existe des possibilités de messagerie instantanée et visio-conférences avec Jitsi et Frama Soft.

 Après le tchat, vous allez avoir envie de communiquer fichiers, textes. Dans les possibilités ZeroBin, One Time Secret, Just Beam It, PrivNote. Pour finir, n’oubliez pas de chiffrer vos courriels. Pour les plus techniciens, le logiciel GPG est indispensable. Il réclame un peu de temps d’apprentissage et que vos correspondants utilisent aussi GPG (ou pgp). Mais son efficacité n’est plus à démontrer. Attention, des solutions gratuites comme PrivacyBox, ne sont plus exploitable pour des raisons internes aux créateurs. Pour le cas, de privacy box, une sombre affaire de possibilité d’espionnage.

A noter qu’il existe aussi des solutions de sécurisation des courriers et fichiers via l’autodestruction comme Privnote ; SebSauvage, One time secret ou encore Just bea mit ou encore AnonBox.tk. Pour le téléphone, zatazweb.tv, présente dans son émission du mois de mai une application qui permet de chiffrer les conversations téléphoniques.

Une sécurisation qui peut être accentuée en utilisant, par exemple, des clés USB chiffrées comme celle proposée par la société Integral (La crypto Dual – AES 256 bit) ou encore la clé USB biométrique de chez BEFS.  En vacances, en déplacement professionnel, ou tout simplement au bureau. Ce support de sauvegarde ne fonctionne qu’ave la présentation d’un doigt préenregistré.

Piratage de la gestion du bâtiment de Google

Des experts en sécurité informatique de la société américaine Cylance viennent de remettre au goût du jour le piratage des systèmes de gestion des bâtiments. Eaux usées, climatisation, électricité, téléphone, … l’attaque de ce genre d’infrastructure se transforme très vite en un énorme problème pour l’entreprise attaquée. Imaginez, un pirate informatique souhaite mettre en « carafe », en panne, un serveur installé au sein d’une société qu’il décide d’attaquer. Faire déborder les égouts ou éteindre la climatisation pourrait être fatale pour la cible et ses données. Les chercheurs de Cylance ont expliqué que des centaines de sièges d’entreprises, d’administration et de secteurs sensibles comme les hôpitaux, banques basés en Australie sont ouverts à qui sait se faufiler. Parmi les cibles de cette grande chasse au trésor, l’immeuble qui loge Google Australie.

Synchronisation des mots de passe sous Chrome : une bien mauvaise idée…

La saisie automatique des mots de passe dans votre navigateur est une fonction que vous appréciez. En effet, comment retenir aujourd’hui tous les mots de passe dont on a besoin, d’autant qu’on sait désormais qu’il est impératif d’utiliser des mots de passe complexes ? Pourtant, à l’heure où Google vient d’annoncer les nouvelles versions de Chrome (pour Windows et Android), équipées de cette fonction que nous apprécions tous de synchronisation des mots de passe et des données de saisie automatique, il est temps de jeter un pavé dans la mare de nos certitudes : ce système n’est absolument pas sécurisé ! En effet, les mots de passe stockés par le navigateur ne sont pas protégés : on ne vous réclame aucun mot de passe pour vous connecter à Chrome. Ainsi, n’importe qui peut utiliser votre ordinateur et se connecter sans problème à vos différents comptes  et donc à vos données privées.

De plus, l’utilisation de la synchronisation de Google (« Google Sync ») est doublement dangereuse : d’une part, vous laissez Google accéder potentiellement à vos mots de passe, ce qui est risqué lorsqu’on connait sa politique de collecte de données, et d’autre part, un jour ou l’autre Google peut être « hacké », ce qui rend vos mots de passe encore plus vulnérables, puisque les clés de cryptage appartiennent à Google. Il existe une option de sécurité dans Chrome, mais tellement bien cachée que personne ne l’utilise…