Archives par mot-clé : fuite de données

Données clients dans des routeurs vendus d’occasion

Une étude affiche une inquiétante mauvaise habitude dans la revente de matériel informatique. 22% des routeurs de seconde main affichent encore des données sur les clients !

Une étude présentée ce 24 avril 2023 affiche des chiffres qui laissent perplexe sur la compréhension de certains utilisateurs professionnels de matériels informatiques. Le laboratoire ESET Research découvre que les routeurs d’occasion détiennent de nombreux secrets d’entreprises. Plus de 56 % des routeurs réseaux achetés à des fournisseurs de matériel d’occasion contenaient un trésor de données sensibles, notamment des identifiants, des configurations VPN, des clés cryptographiques, etc. Entre de mauvaises mains, ces données suffisent pour débuter une cyberattaque pouvant conduire à une atteinte à la sécurité des données, mettant en danger l’entreprise, ses partenaires et ses clients.

Cette étude montre que les entreprises ne suivent pas des protocoles de sécurité suffisant lors de la mise au rebut de leur matériel. Après avoir examiné les données de configuration de 16 appareils distincts, 9 routeurs contenaient encore des données d’entreprise sensibles.

Des données clients toujours présentes

22 % contenaient des données sur les clients ; 33 % exposaient des données permettant à des tiers de se connecter au réseau ; 44 % disposaient d’identifiants pour se connecter à d’autres réseaux en tant que tiers de confiance ; 89 % contenaient des détails de connexion pour des applications spécifiques ; 89 % contenaient des clés d’authentification de routeur à routeur ; 100 % contenaient un ou plusieurs identifiants de VPN ou IPsec, ou des hash de mots de passe root ; 100 % disposaient de données suffisantes pour identifier l’ancien propriétaire/exploitant avec certitude.

Les données découvertes sur les équipements entrent dans ces catégories : informations de tiers de confiance ; Données sur les clients ; Données d’applications spécifiques ; Informations complètes sur le routage central ou encore données d’usurpation d’opérateurs de confiance.

Nous pourrions attendre à ce que les entreprises de taille moyenne et les grandes entreprises disposent d’un ensemble de protocoles de sécurité stricts pour mettre les appareils hors service « mais nous avons constaté le contraire » confirme ESET. Les organisations doivent être beaucoup plus conscientes de ce qui reste sur les appareils qu’elles mettent hors service « Les appareils d’occasion que nous avons obtenus contenaient un schéma numérique détaillé de l’entreprise concernée, notamment des informations réseau essentielles, des données d’applications, des identifiants de l’entreprise et des informations sur les partenaires, les fournisseurs et les clients.« 

Vos anciens employés sont-ils partis avec vos données ?

Seuls 40% des dirigeants de PME en France sont certains que leurs anciens employés ne peuvent pas accéder aux actifs numériques de leur entreprise.

Une récente enquête sur le comportement des petites et moyennes entreprises en temps de crise montre que les réductions de personnel peuvent entraîner des risques supplémentaires en matière de cybersécurité. Preuve en est, seuls 40% des dirigeants d’entreprises françaises sont sûrs que leurs anciens employés n’ont pas accès aux données stockées dans le cloud de l’entreprise, et seulement 39% d’entre eux sont certains qu’ils ne peuvent plus utiliser les comptes de l’entreprise. En comparaison à la moyenne globale, s’élevant respectivement à 51% et 53% (des chiffres toujours insuffisants), la France fait figure de mauvaise élève.

Si les études ont montré que les entreprises se sont attachées à fidéliser leurs équipes au maximum pendant la pandémie, il n’en reste pas moins que nombre d’entre elles risquent encore de devoir recourir à des suppressions de postes afin de réduire les coûts en temps de crise. Kaspersky a interrogé plus de 1 300 dirigeants de petites et moyennes entreprises pour connaître les stratégies privilégiées pour maintenir les activités à flot, et quels risques cyber ces mesures pourraient entraîner.

Parmi les personnes interrogées, plus de la moitié des répondants et 6 Français sur 10 ont dit être incapable d’affirmer avec certitude que leurs ex-employés n’ont pas accès aux actifs numériques de l’entreprise. Sur la base de ces données, il apparaît que les réductions de personnel peuvent faire courir des risques supplémentaires à la sécurité des données de l’entreprise et à ses moyens d’existence. L’utilisation abusive de ces données par d’anciens employés dans le cadre d’un nouvel emploi ou pour se faire de l’argent est une préoccupation majeure pour les dirigeants d’entreprises. Les résultats de l’enquête suggèrent que la plupart d’entre eux s’inquiètent de voir d’anciens collaborateurs partager les données internes de l’entreprise avec de nouveaux employeurs (63% à l’international, 66% en France), ou qu’ils fassent usage de données corporate comme les bases de données de leurs prospects existants pour se lancer à leur compte (60%).

Dans l’ensemble, 31% des responsables interrogés considèrent les réductions d’effectifs comme une mesure à considérer pour réduire les coûts en cas de crise. Les chefs d’entreprise français sont moins disposés à envisager des réductions d’effectifs que la moyenne globale, avec seulement 20% des répondants estimant qu’il s’agit là d’une possibilité.

Les mesures de réduction des coûts les plus pratiquées en France incluent la diminution des dépenses marketing (41%) et des dépenses liées aux véhicules (34%), suivie par la diminution des coûts attribués à la formation du personnel (24 %). Quant à la cybersécurité, 14% des dirigeants de PME françaises sont susceptibles de réduire les sommes allouées à ce poste de dépense, c’est plus que la moyenne, et très au-dessus, par exemple, des 5% obtenus au Royaume-Uni !

« Tout accès non autorisé peut devenir un réel problème pour toutes les entreprises, car cela peut affecter la compétitivité d’une société lorsque les données de celles-ci sont transférées à un concurrent, vendues ou supprimées » explique Bertrand Trastour, directeur général de Kaspersky France. « Ce problème se complique lorsque les employés utilisent des services non professionnels (« shadow IT ») qui ne sont pas directement déployés ou contrôlés par les départements informatiques de l’entreprise. Si l’utilisation de ces services n’est pas maîtrisée après le licenciement d’un employé, il est fort probable que l’ex-employé ait toujours accès aux informations partagées via ces applications.« 

Sécurité de votre entreprise

Gardez le contrôle du nombre de personnes ayant accès aux données critiques de l’entreprise, en réduisant la quantité de données accessibles à l’ensemble des employés. Il est plus probable que les incidents adviennent dans des entreprises où trop d’employés manipulent des informations confidentielles qui peuvent être vendues ou utilisées d’une manière ou d’une autre.

Mettez en place une politique d’accès aux actifs de l’entreprise, notamment aux boîtes mail, aux dossiers partagés et aux documents en ligne. Tenez-la à jour et pensez à supprimer l’accès si un employé quitte l’entreprise. Utilisez un logiciel de sécurité d’accès au cloud pour gérer et surveiller l’activité des employés dans les services de cloud de votre entreprise, et vous aider à appliquer les politiques de sécurité.

Effectuez des sauvegardes régulières des données essentielles de l’entreprise pour garantir leur sécurité en cas d’urgence.

Effectuez une veille régulière des données essentielles de l’entreprise ayant pu fuite, comme la veille proposée par le service veille ZATAZ.

Donnez des directives claires quant à l’utilisation des services et des ressources externes. Les employés doivent savoir quels outils ils doivent ou ne doivent pas utiliser et pourquoi. Lors du passage à un nouveau logiciel de travail, il faut mettre en place une procédure pour que les services informatiques et les autres responsables puissent le valider en amont.

Encouragez les employés à avoir des mots de passe forts pour tous les services numériques qu’ils utilisent, et à en changer régulièrement.

Rappelez régulièrement au personnel l’importance de respecter les règles de base en matière de cybersécurité (gestion sécurisée des comptes, des mots de passe, des e-mails et bonnes pratiques en ligne). Un programme de formation complet permettra à vos travailleurs non seulement d’acquérir les connaissances nécessaires mais aussi de les mettre en pratique.

Cadres, le RGPD pourrait vous coûter votre carrière

Le nouveau règlement sur les données privées, le RGPD, pourrait ralentir la carrière des cadres supérieurs dans le monde entier.

Les cadres supérieurs mettent en danger leur avancement de carrière en raison d’un grand manque de connaissances concernant la nouvelle législation sur la confidentialité des données. C’est ce que révèle une nouvelle étude internationale : si les cadres ne contribuent pas à l’hébergement de leurs données par des chasseurs de tête, ils risquent de manquer des opportunités de carrière cruciales et donc les augmentations de salaire typiques lorsque le Règlement général sur la protection des données (RGPD) sera entré en vigueur, en mai 2018.

Les cadres supérieurs risquent de passer à côté d’opportunités de carrière cruciales

L’étude Conséquences inattendues – Pourquoi le RGPD pourrait ralentir la carrière des cadres supérieurs dans le monde entier, a été réalisée par GatedTalent, un outil de mise en conformité avec le RGPD destiné au secteur du recrutement, auprès de plus de 350 cabinets de recrutement autour du monde. Elle montre que les cadres supérieurs sont généralement contactés par des chasseurs de tête au moins une fois par an, 32 % des répondants s’attendant même à être contactés trois à cinq fois par an. Pour que cela puisse être le cas, les cabinets de recrutement doivent pouvoir stocker les données reçues de cadres et dirigeants – mais le RGDP implique que bon nombre de recruteurs vont devoir changer la façon dont ils opèrent actuellement.

C’est le sentiment qu’exprime le Dr Bernd Prasuhn, de l’entreprise de recrutement Ward Howell, interviewé dans le cadre de la recherche : « Les cadres supérieurs qui espèrent atteindre un poste de direction un jour doivent être sur le radar des entreprises de recrutement des cadres, faute de quoi ils n’y parviendront jamais ».

Un manque considérable de connaissances sur le RGPD

Malgré tout, peu de cabinets de recrutement ayant participé à l’étude estiment que les cadres supérieurs sont conscients de la façon dont le RGPD risque d’affecter leur avancement. Jens Friedrich de l’entreprise de recrutement SpenglerFox, qui a été interrogé dans le cadre de l’étude, ne pense pas que les cadres supérieurs, qui comptent sur les chasseurs de tête pour leur proposer un nouveau poste, soient pleinement conscients de la façon dont le RGPD est susceptible d’affecter leurs options professionnelles, surtout quand on sait qu’un cadre supérieur change généralement de travail tous les 3 ou 4 ans. « Je pense que cela dépendra beaucoup des circonstances personnelles, à savoir s’ils travaillent dans un secteur susceptible d’être fortement affecté, par exemple, ou s’ils ont déjà été informés par une entreprise de recrutement. Cela variera vraisemblablement d’un pays à l’autre mais j’ai le sentiment que la prise de conscience sera minimale chez les cadres supérieurs ».

Fuite de données pour 52 loueurs de voitures néerlandais

Plus de 180 000 clients de loueurs de voitures des Pays-Bas accessibles sur Internet sans aucune sécurité, ni restriction.

La cybersécurité prend un coup dans l’aile pour des loueurs de voitures. Dans quelques 52 entreprises de location de véhicules opérant aux Pays-Bas, cette sécurité informatique était si mauvaise qu’il n’aura fallu que quelques clics de souris pour accéder à 180 000 dossiers de clients. La fuite a été découverte par la société ESET, société basée à Sliedrecht, qui recherchait un nouveau fournisseur d’automobiles d’entreprise pour son personnel. La fuite partait du logiciel professionnel LeaseWise. Via ce logiciel, les loueurs se partagent une base de données. Un partage non protégé des regards extérieurs ! Les données divulguées incluaient les adresses des clients, les contrats de location et le nombre total de kilomètres parcourus par voiture. (NLT)

Externaliser vos bases de données … et dites bonjour aux fuites de données !

Quand les bases de données se promenent en Europe ! Pour économiser de l’argent, des millions de données appartenant à des automobilistes Suédois se sont retrouvées accessibles à des personnels non autorisés en Tchéquie et en Serbie.

Réduction des coûts versus bases de données ! Voilà la jolie phrase qu’il est possible de lire dans toutes les plaquettes publicitaires traitant du stockage des données. C’est que sauvegarder la vie numérique d’une personne coûte énormément d’argent, mais en rapporte aussi beaucoup. Bilan, les entreprises sont de plus en plus tentées par l’externalisation (outsourcing) de leurs données. L’exemple de la société étatique suédoise Transportstyreisen devrait faire réfléchir… ou pas !

Pour économiser de l’argent, cette entité publique en charge de la mobilité a fait appel à IBM pour sauvegarder ses très nombreuses informations. Des contenus regroupant les données liées à l’ensemble des véhicules sur le territoire suédois (particuliers, police, armée, …). La gestion des données ainsi laissée à l’américain IBM se sont retrouvées gérées par des employés basés en Tchéquie. Du personnel qui n’était pas autorisé à accéder à ces informations.

Bases de données en mode Espéranto !

Cerise sur le gâteau, une autre entreprise, cette fois géo localisée en Serbie a eu, elle aussi, accès aux informations… via un courriel qui a diffusé, par erreur, des données sensibles extraites de cette base de données. Le courrier comportait la possibilité d’accéder aux noms, adresses et photos de personnes protégées, comme les témoins sensibles dans des procès en cours. Le mail offrait aussi en pâture les identités des forces spéciales de la police et de l’armée.

Comble de l’incompétence, couplée à de la bêtise sèche, lors de la correction de cette fuite d’informations, un second courriel devait permettre de faire disparaître la première liste sensible en fournissant une seconde version nettoyée. Sauf que ce second courriel ne comportait pas de liste corrigée mais une note indiquant qu’il ne faillait pas écrire, contacter telles personnes. Bref, un courriel qui montrait du doigt les personnes et véhicules sensibles… sans même le savoir !

Hôtels – Enquête sur une fuite de données pour le groupe IHG

Le groupe britannique InterContinental a lancé une enquête interne à la suite de la découverte de données bancaires de clients utilisées hors de ses hôtels.

L’InterContinental Hotels Group est une société britannique forte de 5000 hôtels de part le monde. Des marques prestigieuses allant du Kimpton, en passant par Indigo, Even Hotels, HuaLuxe, Crowne Plaza ou encore les Holiday Inn. Bref, une marque présente dans 100 pays.

En France, on trouve des Crowne Plaza, Intercontinental et autres Holiday Inn à Lille, Marseille, Lyon, ou Cannes. Le plus connu étant l’InterContinental Carlton Cannes haut lieu people lors du festival du cinéma.

Le chercheur Krebs a eu vent de plusieurs enquêtes en cours concernant une probable fuite de données visant IHG, et plus précisément ses Holiday Inn sur le territoire américain. Voici le message officiel de la société hôtelière britannique à ce sujet :

« IHG takes the protection of payment card data very seriously. We were made aware of a report of unauthorized charges occurring on some payment cards that were recently used at a small number of U.S.-based hotel locations.  We immediately launched an investigation, which includes retaining a leading computer security firm to provide us with additional support.  We continue to work with the payment card networks.

We are committed to swiftly resolving this matter. In the meantime, and in line with best practice, we recommend that individuals closely monitor their payment card account statements.  If there are unauthorized charges, individuals should immediately notify their bank. Payment card network rules generally state that cardholders are not responsible for such charges. »

Comme j’ai pu souvent le rappeler, les lieux de vacances ou professionnels sont de véritables nids de données pour les pirates. Je vous expliquais  comment il était simple de mettre la main sur des informations sensibles dans les ordinateurs d’hôtels, mais aussi comment des pirates avaient pris le pouvoir dans l’informatique d’hôtels en Tunisie. Depuis quelques mois, les fuites de données et autres piratages s’accumulent comme nous avons pu le voir avec les Hotels Kimpton, Trump, Hilton, Mandarin Oriental, Starwood, Hyatt ou encore des hôtels basés sur l’Île Maurice.

Les trois principales implications de sécurité de l’IoT

Les professionnels de la sécurité informatique font face depuis une dizaine d’années au raz-de-marée que provoque l’augmentation des connexions d’utilisateurs et de terminaux pour accéder aux ressources de l’entreprise ; dans le même temps, ils s’efforcent de réduire la surface d’exposition aux attaques en éliminant autant de points d’accès que possible.

Pour ce faire, ils procèdent généralement à un inventaire des connexions, ils consolident les systèmes sur le réseau et les serveurs ciblés, ils créent des portails en alternative aux accès à distance, et ils opèrent une corrélation avancée des événements de sécurité au moyen d’une solution centrale de sécurité.

Introduire des dispositifs IoT dans un environnement revient à ajouter un nombre inconnu de nouvelles portes à un bâtiment qui en compte déjà 100 dont l’accès est à peine contrôlé. En 20 ans, nous sommes passés d’un appareil par utilisateur à quatre ou cinq par personne et bientôt nous ne saurons probablement plus combien notre environnement compte de points d’accès exploitables connectés à Internet.

Rien que l’audit et l’inventaire de ces terminaux apparaissent comme des tâches monumentales, or c’est la première étape d’une stratégie de protection efficace. L’accessibilité future de dispositifs IoT sur le réseau a des incidences sur la sécurité. Voici trois implications qu’il convient de garder à l’esprit :

La prolifération des dispositifs IoT augmente la surface d’attaque
Pensez aux conditions d’accueil des personnes dans un grand immeuble de bureaux d’une ville moyenne. Il est possible que de nombreuses portes ne soient pas gardées, mais la progression du flux est guidée vers un guichet d’accueil ou un hall d’entrée central où les personnes titulaires d’un badge le présentent tandis que les autres doivent se soumettre à des procédures de vérification d’identité avant de se voir remettre un badge qui les autorise à aller plus loin. Pour d’autres types d’accès, l’approche n’est pas différente ; en instaurant une connexion centrale de courtage, au moins pour les requêtes émanant de l’extérieur de la surface d’attaque, l’entreprise peut établir des contrôles à un point unique d’entrée/sortie.

Suffisamment anodins pour être ignorés, mais suffisamment intelligents pour être dangereux
On a trop souvent tendance à réduire l’IoT à un grille-pain intelligent. Et c’est une partie du problème.
La plupart des « objets » connectés sont d’une telle simplicité qu’on banalise leur présence ou ce sont des outils ou des fonctions intégrées dont on ignore même l’existence. On en vient à oublier que, tout anodin qu’ils aient l’air, ces dispositifs sont connectés à Internet. Ce qui les rend aussi intelligents que quiconque décidera d’y accéder ou de s’en servir.

L’objet entre vos mains, à qui appartient-il réellement ?
Ce qui nous amène à la troisième préoccupation : à qui appartient réellement ou qui contrôle le dispositif IoT avec lequel vous vivez ? Est-ce vous qui l’entretenez ? Espérons que quelqu’un s’en charge car faute de correctifs et de maintenance, il y a fort à parier que votre dispositif IoT figurera bientôt dans une base de données des vulnérabilités avec le risque d’être exploité immédiatement après. S’il y a effectivement maintenance, qui y a accès ? Et même si vous avez la réponse à cette question, que savez-vous de la politique de sécurité du fournisseur concerné ? Pour revenir au point précédent, votre sécurité dépend de la vigilance dont fait preuve celui à qui vous confiez des droits d’accès au réseau de votre entreprise. Effrayant, non ? Mais à nouveau, c’est en suivant les bonnes pratiques de gouvernance des accès, comme l’utilisation d’une connexion de courtage comme indiqué précédemment, que vous saurez qui a accès à vos systèmes IoT, par quel moyen, où, quand et comment.

Le nombre des points d’accès et des dispositifs connectés présents sur votre réseau va très certainement continuer d’augmenter au cours des prochaines années. Avez-vous adopté des mesures pour prévenir les risques de compromission liés aux dispositifs IoT ? (Par Thierry Tailhardat, Directeur France de Bomgar)

Cybersécurité/Cyberattaque : les mauvaises habitudes persistent

Cyberattaque : Bien que la prise de conscience s’améliore pour 82 % des entreprises, elles peinent toujours à mettre en place les bonnes pratiques dans les domaines critiques.

Alors que 82 % des organisations constatent une progression de l’industrie de la sécurité informatique dans la lutte contre les cybermenaces, cette prise de conscience est entamée par des pratiques sécuritaires volontairement nuisibles dans des domaines sensibles comme la sécurité des comptes à privilèges, l’accès à distance de fournisseurs tiers et le cloud, selon les résultats d’une étude internationale commissionnée et publiée par CyberArk.

La 10e enquête annuelle internationale « Threat Landscape Report » sur le paysage des menaces avancées 2016 de CyberArk, porte sur « la cybersécurité : hier, aujourd’hui et demain ». Ce rapport examine si les entreprises internationales ont appris et appliqué les leçons sur les cyberattaques, et comment leurs priorités en termes de sécurité et de prises de décisions sont influencées.

Malgré les campagnes de sensibilisation, les mauvaises pratiques de sécurité sont toujours présentes
L’importante médiatisation des cyberattaques a renforcé la prise de conscience actuelle sur la nécessité d’une cybersécurité renforcée. Toutefois, puisque les bonnes pratiques en termes de protection ne sont pas pour autant renforcées, les progrès des entreprises dans ce domaine sont directement impactés.

.         79 % des entreprises interrogées indiquent avoir tiré des leçons des principales cyberattaques et avoir mis en place les actions nécessaires pour améliorer leur sécurité contre 76 % en France.

o   67 % pensent qu’à l’heure actuelle leurs PDG ou membres du conseil d’administration assurent une direction claire en matière de cybersécurité, contre 57 % en 2015.

o   Cette prise de conscience a engendré plusieurs actions majeures : le déploiement de solutions de détection de malwares (25 % au niveau global, 32 % en France), de sécurité des points d’accès (24 % au niveau global, 30 % en France) et d’analyses de sécurité (16 % au niveau global contre 17 % en France).

·          55 % des répondants indiquent que leur organisation a changé et adopté des processus avancés pour la gestion des comptes à privilèges. Cette proportion s’élève à 61 % pour la France.

o   Malgré cela, 40 % des organisations stockent toujours les mots de passe admin et de comptes à privilèges dans un document Word ou Excel, et 28 % utilisent un serveur partagé ou une clé USB.

·         49 %, soit près de la moitié des organisations, autorisent des fournisseurs extérieurs (comme les entreprises de gestion logistique et informatique) à accéder à distance à leurs réseaux internes.

o   Bien que la majorité des sondés sécurisent et surveillent cet accès, les entreprises du secteur public sont celles ayant le moins de contrôle en place pour l’accès des fournisseurs extérieurs ; 21 % d’entre-elles n’ont aucune sécurité et 33 % ne surveillent pas cette activité.

Un cyber-état d’esprit : trouver l’équilibre entre peur et excès de confiance
Les organisations adoptent de plus en plus un état d’esprit post-intrusion, c’est-à-dire qu’elles se préparent à gérer une cyberattaque et à adapter leur activité en cas d’intrusion. Cette anticipation conduit à des mesures positives pour la planification post intrusion, mais on peut se demander si cet excès de confiance n’affecte pas leur capacité à se protéger contre les cyberattaques :

·         En 2016, 75 % soit trois personnes sur quatre ayant un pouvoir décisionnel dans les services informatiques pensent pouvoir empêcher des pirates informatiques de s’introduire dans leur réseau interne, contre 44 % en 2015.

o   Cela dit, 36 % pensent qu’un pirate informatique a actuellement accès à leur réseau ou y a accédé au cours des 12 derniers mois.

o   46 % pensent que leur organisation a été victime d’une attaque par ransomware au cours des deux dernières années.

·         82 % des sondés pensent à présent que l’industrie de la sécurité informatique fait en général des progrès contre les cyberattaques.

o   17 % pensent que le secteur est en déclin.

·         Presque toutes les organisations (95 %) ont un plan de réponse cyber-sécuritaire d’urgence.

o   Cette préparation appropriée est affectée par un manque de communication et de tests ; seules 45 % des entreprises communiquent et testent régulièrement leur plan avec l’ensemble du personnel de leurs services informatique.

·         68 % des organisations indiquent que perdre leurs données clients est l’une de leurs préoccupations principales en cas de cyberattaques.

o   60 % des utilisateurs du cloud y stockent leurs données clients.

o   57 % des organisations qui stockent des informations sur le cloud ne font pas entièrement confiance à leur fournisseur cloud et à sa capacité à protéger leurs données.

·         Concernant l’identification des étapes les plus difficiles à gérer lors d’une cyberattaque, les installations intempestives de malware sont classées en premier (41 %), suivies par une appropriation des comptes à privilèges (25 %).

A observer : émergence de futurs risques
Alors que les cyberattaques continuent d’être commises contre des institutions de confiance comme les gouvernements, les systèmes financiers et les services publics, les sondés ont identifiés quels types de cyberattaques ou de cyber tactiques les inquiètent le plus. Les répondants ont également partagé les scénarios qui selon eux représentaient la menace potentiellement la plus catastrophique.

·         Les sondés listent les types de cyberattaques suivantes comme étant leur première préoccupation pour les 12 mois à venir : attaques par déni-de-service distribué (DDoS) (19 %), l’hameçonnage (14 %), les ransomwares (13 %), l’exploitation des comptes à privilèges (12 %) et les intrusions de périmètre (12 %).

·         Les attaques contre les systèmes financiers, y compris la perturbation de marchés internationaux est la menace qui est perçue par 58 % des personnes interrogées comme étant potentiellement la plus catastrophique, suivie par les attaques endommageant massivement les ressources primaires (55 %) et celles ayant un impact sur les services publics comme les services de santé et les hôpitaux (51 %). En France, 48 % partagent le sentiment relatif aux systèmes financiers, mais 73 % estiment qu’une cyberattaque de grande ampleur contre des infrastructures critiques pouvant conduire à des pannes de courant ou des problèmes pouvant toucher la qualité de l’eau par exemple seraient catastrophiques.

Cyberattaque : L’impact d’une intrusion dans les données clients et la responsabilité des entreprises
L’enquête a montré une image globale variée en termes de préparation pour une surveillance réglementaire accrue et en termes d’impact sur des programmes de cybersécurité et de responsabilité :

·         Cyberattaque : Même si 70 % des sondés indiquent que la menace d’actions en justice et d’amendes influence le niveau d’implication des cadres ou des conseils d’administration, 22 % ne prend pas en compte les frais d’amendes ou de justice (19 %) dans le coût potentiel d’une intrusion.

·       Cyberattaque : Ce qui inquiète le plus les sondés internationaux sur les conséquences d’une cyberattaque est la perte de données client (68 %), d’informations financières (52 %), de la confiance des clients (35 %), de leur réputation (33 %) et de leur capacité à opérer (32 %).

·        Cyberattaque : Presque sept sondés sur dix (69 %) ont déclaré que leur priorité en cas de cyberattaque serait de stopper l’intrusion, d’expulser les intrus, puis de détecter la source de l’intrusion (53 %).

o   Peu de répondants ont mis le fait de notifier leur conseil d’administration ou leur PDG (26 %), l’ensemble du personnel (25 %) et les clients (18 %) comme une priorité.

Trois logiciels destinés aux dentistes vulnérables aux pirates informatiques

Base de données vulnérables et manipulation possible pour 3 logiciels destinés aux dentistes.

Outils professionnels vulnérables ! Le CERT de l’Université américaine Carnegie Mellon vient d’annoncer la découverte de problèmes informatiques dans trois logiciels destinés aux dentistes souffraient de failles informatiques qui donneraient un accès aux données sauvegardées via ces outils professionnels. Des fuites qui concernent aussi les patients.

Parmi les failles, des injections SQL qui ouvrent les portes aux informations gardées par les bases de données. Sont concernés deux logiciels de gestion de dossiers dentaires : Dentsply Sirona et Open Dental. Ce dernier est très mignon, j’ai pu tester la chose chez un dentiste ami Belge, il n’y a pas de mot de passe pour accéder à l’outil de gestion MySQL (sic!).

Le troisième logiciel montré par la roulette du CERT, le Dexis Imaging Suite 10. L’éditeur vient de conseiller à ses utilisateurs de mettre à jour les informations d’identification de la base de données. Bref, lisez le mode d’emploi et changez les accès, les urls, …

L’ampleur du problème semble énorme. Des milliers de dentistes utiliseraient l’outil en question, dont des clients gouvernementaux américains comme des cliniques de la marine ou encore de l’US Air Force.

Open Dental, en tant que logiciel libre et open-source, est disponible pour quiconque souhaite le télécharger. 4000 cabinets dentaires l’utiliseraient.

Justin Shafer, l’auteur des trois découvertes, est un spécialiste de l’informatique « dentaire ». Ce Texan avait fait les manchettes de la presse US, l’année dernière, après que le FBI se soit invité chez lui, pour l’arrêter, après avoir divulgué une faille dans le logiciel Dentrix.

Une fausse société revendait des identifiants de connexion à des Chinois

Identifiants de connexion – Les identifiants et les mots de passe d’environ 18 millions d’utilisateurs d’Internet Japonais retrouvés dans un serveur mis en place par une fausse société. Elle revendait les connexions à des Chinois.

La Nicchu Shinsei Corp., basée dans le quartier de Toshima Ward de Tokyo semblait être une PME nippone comme toutes les autres. Sauf qu’elle fournissait à des Chinois des moyens de se connecter à Internet en usurpant les identités des clients originaire du pays du soleil levant.

La police locale a trouvé sur un serveur informatique de cette entreprise, pas moins de 18 millions de japonais piratés. Nicchu Shinsei Corp. fournissait un serveur de relais pour des accès illicites. 18 millions de données (ID, Mot de passe), ainsi que 1,78 millions de données Twitter, Rakuten… Le nombre de victimes dans cette affaire récente fait de ce piratage le plus grand cas de vol d’informations au Japon. Sur le serveur, un programme automatique tentait illégalement d’accéder aux espaces ainsi compromis.

Des pirates Chinois seraient derrière cette « installation ». Un piratage qui ressemble comme deux goutes d’eau à celui vécu, en 2014. Ici aussi, une autre société avait permis d’intercepter 5.928.290 millions de données personnelles. (Japan News)

Des données de pharmacies diffusées en raison d’une erreur de codage

Fuite de données pour les pharmacies de l’enseigne de grande distribution américaine Wal-Mart. Une erreur de codage et de cookie donnait accès aux informations des clients patients.

Une erreur de codage, c’est le risque de l’informatique et de n’importe quel système numérique. La sécurité informatique à 100% n’existera jamais, et les fuites de données existeront toujours, surtout que nous fournissons de plus en plus d’informations que nous ne maitrisons plus du tout ensuite.

L’enseigne de grande distribution américaine Wal-Mart Stores INC vient de confirmer une fuite de données concernant ses pharmacies. Une erreur de codage qui permettait d’accéder aux dossiers des clients et patients. « Nous avons eu une erreur de codage dans un de nos logiciels, indique le service presse. Un bug qui a couru sur une période de 72 heures ».

Un bug plutôt gênant. Du 15 au 18 février 2016, il suffisait de se connecter en même temps qu’un autre utilisateur pour accéder aux données de ce dernier. La faute à la gestion des cookies qui se partageaient. « Nous avons agi rapidement pour résoudre le problème une fois qu’il a été découvert. » Une fuite qui donnait accès à de nombreuses informations : nom, adresse, date de naissance et l’historique des prescriptions. Heureusement, les utilisateurs n’étaient pas en mesure de voir les numéros de sécurité sociale ou encore les données bancaires. Des informations cependant suffisantes pour des dealers à la recherche de médicaments vendus uniquement sur ordonnance. Médicaments plus faciles à voler chez un particulier que dans une pharmacie !

Un bug sur Instagram trahit la vie privée des utilisateurs

La nouvelle mise à jour de l’outil de socialisation Instagram emporte avec lui un bug particulièrement gênant capable de révéler la vie privée des utilisateurs exploitant l’option multi comptes.

Partager son compte Instagram n’est pas une bonne idée, surtout si vous sélectionner l’option « Multicompte« . Une nouveauté qui permet de partager son espace avec un ami, collègue, … sauf que dans ce cas, l’ami en question recevra vos informations personnelles, et vous recevrez les siennes. Les utilisateurs partageurs recevront les notifications de compte personnel et du compte mis en commun par cette nouvelle possibilité. Selon Android Central, Instagram travaille sur la correction de cette petite fuite, qui pourrait devenir gênante, si vous partagez des informations avec l’Instagram de votre entreprise par exemple.

Un ours et une montre connectés diffusaient les infos privées des enfants

Les objets connectés, véritable plaie pour nos vies privées. Un nouvel exemple avec l’ours connecté Smart Bear de Fisher-Price, et une montre connectée pour les moins de 12 ans.

Le fabriquant de jouets Fisher-Price vient de corriger une fuite de données concernant un de ses jouets connecté, l’ours Smart Bear. Comme pour Vtech, plusieurs failles avaient été découvertes entre l’application connectée, l’ours et le serveur de gestion des données enregistrées par les parents/enfants. A la différence de Vtech, aucun pirate n’a été se servir dans les données.

La fuite, découverte par Rapid7, n’en n’était pas moins inquiétante. Dans les données qu’un malveillant aurait pu intercepter : l’identité et la date de naissance de l’enfant, son sexe et la langue parlait. Il y a de forte chance que l’ensemble des informations enregistrées étaient accessibles.

Toujours dans la grande famille des objets connectés, le GPS HereO avait un problème avec sa plateforme de gestion des données envoyées par la montre destinée aux 3-12 ans. Ici aussi, les données pour les enfants étaient accessibles. Faille corrigée.

Bref, parents, arrêtez de rentrer les vraies informations de vos enfants sur Internet ou via ces jouets connectés. Vous créez une identité numérique de votre môme que vous ne pourrez plus contrôler.

Fuite de données pour les fans de Hello Kitty

Nouvelle fuite de données en raison d’un MongoDB ma configuré. Plus de 3 millions de fans de Hello Kitty peut-être dans les mains de pirates informatiques.

Le site sanriotown.com, la communauté en ligne officielle pour Hello Kitty, s’est retrouvé avec les données de 3.3 millions de clients accessibles sur la toile. La fuite, comme les dernières en dates révélées par Chris Vickery, sortent de Shodan et d’un serveur dont l’outil de gestion de base de données, MongoDB, était mal configuré.

Les documents exposés comprennent les noms et prénoms, les dates d’anniversaire, le sexe, le pays d’origine, les adresses électroniques, le mot de passe non chiffré/hashs, les questions secrètes et leurs réponses correspondantes. Bref, toutes les informations sauvegardées par les clients et sauvegardées dans la basse de données du site.

Une base de données qui desservaient aussi les sites hellokitty.com ; hellokitty.com.sg ; hellokitty.com.my ; hellokitty.in.th et mymelody.com. En avril 2015, Sanrio avait déjà eu une fuite de données visant cette fois ses actionnaires.

Fuite de données pour le service de réseautage Vixlet

Plusieurs centaines de milliers de comptes d’utilisateurs du service de réseautage Vixle accessible en quelques clics de souris.

La société Vixlet, anciennement Divide Nine LLC, est connue pour proposer des services de réseautage. Basée à Los Angeles, cette startup américaine propose des outils pour les réseaux sociaux à des clients tels que la ligue professionnelle de basket US ou encore l’ATP (Tennis).

Une faille a été découverte dans l’outil proposé par Wixlet. Elle permettait de mettre la main sur les informations des inscrits. Dans les données, mails, mots de passe et dates de naissance. Un serveur non protégé et le tour était joué pour accéder à la base de données. Les données des clients étaient sauvegardées dans un dossier baptisé VixLet prod. Un dossier de production contenant de vraies données… normale !

L’enseigne de grande distribution Wal-Mart se fait pirater les photos de ses clients

L’enseigne de grande distribution WalMart ferme son centre de photographie en ligne après la découverte d’une violation de données. Des données clients ont bien été volées.

L’enseigne Wal-Mart, géant américain de la grande distribution, vient de confirmer une information de DataSecurityBreach.fr diffusée en juillet 2015. Le problème avait découvert dans l’une des filiales canadiennes de l’entreprise, Wal-Mart Canada’s Online Photocentre. Il aura fallu 5 mois à WalMart pour indiquer que les données de ses clients, passant par sa filiale dédiée aux développements de photographie, avaient été très certainement volés. Une attaque qui aura durée entre juin 2014 et Juillet 2015.

Dans un communiqué de presse datant du 4 novembre, WalMart a déclaré que son enquête aurait démontré qu’un tiers non autorisé avait utilisé un malware sur certains des serveurs de son partenaire pour mettre la main sur les données de ses clients. « A ce stade de l’enquête, nous ne sommes pas en mesure de confirmer si des renseignements personnels ont potentiellement été recueillies par le code malveillant« .

Se rendre compte de l’attaque un an après le début de cette dernière et mettre 5 mois pour en parler, autant dire que leur enquête n’a pas fini de faire sourire !

Piratage contre action boursière

La Société britannique Optimal Payments Plc voit ses actions baissées après l’annonce du probable piratage d’un de ses serveurs, en 2012.

La Société britannique Optimal Payments Plc est spécialisée dans les paiements mobiles. Reuters indique qu’il aurait été découvert, en vente dans le black market, une base de données appartenant à OP. Une BDD comprenant des identités, des mails, … Une annonce qui a fait baisser l’action de l’entreprise de 11%. La société a déclaré qu’elle enquêtait sur ces allégations. Des données qui auraient été volées en 2012. Une baisse qui parait bien extrême pour quelques mails !

Les attaques DDoS sont-elles des leurres ?

Une enquête réalisée par B2B International révèle que dans la plupart des cas une attaque DDoS n’est que la partie visible de l’iceberg : 74 % des responsables interrogés signalent que les attaques DDoS contre leur entreprise se sont accompagnées d’autres incidents de sécurité informatique.

Parfois, il ne s’agit pas de simples coïncidences mais de tentatives délibérées de diversion pour détourner l’attention du personnel informatique. On parle alors de la technique de l’« écran de fumée » DDoS.

Les attaques DDoS, un moyen de détourner l’attention des services informatiques
Les participants à l’enquête citent le plus souvent les logiciels malveillants (21 %) et les piratages (22 %) comme les menaces numéro un pour leur entreprise, mais ils ne sont que 6 % à mentionner les attaques DDoS. En parallèle, les attaques DDoS coïncident souvent avec des incidents provoqués par des malwares (dans 45 % des cas) et des intrusions dans le réseau de l’entreprise (32 %). Des fuites de données ont également été détectées en même temps qu’une attaque dans 26 % des cas.

Les entreprises des secteurs de la construction et de l’ingénierie ont été confrontées à ce problème plus souvent que les autres : selon les responsables interrogés, 89 % des attaques DDoS dont elles ont été la cible sont allées de pair avec d’autres types d’attaques.

1 attaque DDoS sur 4 engendre une indisponibilité totale des services
Cependant, même sans tenir compte des dommages collatéraux, les attaques DDoS demeurent un sérieux problème qui touche de plus en plus les ressources des entreprises. En particulier, dans 24 % des cas, une attaque DDoS a causé une indisponibilité totale des services (39 % dans les entreprises publiques). Dans 34 % des cas, certaines transactions ont échoué en raison de telles attaques, ce chiffre grimpe à 64 % pour les compagnies de transport. L’an passé, ces chiffres étaient nettement plus bas : seules 13 % des entreprises avaient fait état d’une indisponibilité totale de leurs services à la suite d’attaques DDoS, et 29 % d’erreurs dans des transactions.

Un ralentissement significatif du chargement des pages web reste l’une des conséquences les plus courantes des attaques DDoS (53 % cette année contre 52 % l’an passé) ; cependant, selon l’enquête, les attaques peuvent durer des jours voire des semaines.

« Il est naturel que les attaques DDoS posent des problèmes croissants aux entreprises. Les méthodes et techniques employées par les criminels évoluent, les auteurs des attaques cherchant de nouveaux moyens de paralyser les activités de leurs victimes ou de masquer une intrusion dans leurs systèmes. Même avec un vaste contingent de personnel informatique, il est quasi impossible pour les entreprises de faire face à une attaque DDoS d’envergure et de restaurer leurs services par elles-mêmes. En outre, si une autre activité malveillante se déroule simultanément, cela démultiplie les dégâts. Le plus dangereux réside dans le fait que les entreprises soient susceptibles de ne jamais apprendre qu’elles ont été victimes d’une attaque DDoS, servant souvent d’écran de fumée », conclut à DataSecurityBreach.fr Evgeny Vigovsky, responsable des activités de Kaspersky Lab pour la protection contre les attaques DDoS.

La contre-mesure la plus efficace face aux attaques multivecteurs est une protection complète qui assure la sécurité à la fois contre les malwares, les intrusions et les attaques DDoS. Kaspersky Lab s’est spécialisé dans cette forme de protection depuis de nombreuses années et l’efficacité de ses solutions est confirmée aussi bien par des laboratoires de test indépendants que par les 270 000 entreprises clientes de la société.

Comme le blog ZATAZ.COM a pu le prouver, les attaques DDoS sont de plus en plus simple à lancer via des sites offrant, contre argent, des minutes de blocage. La grande majorité des DDoS rencontrés avaient pour mission de vanter ce genre de « boutique » de DDoS.

Nouvelles lois sur les violations de données pour la Californie

Le 6 octobre, le gouverneur de Californie a signé trois nouvelles lois qui tentent de clarifier les éléments liées aux violations de données.

Aux USA, dès qu’une entreprise se retrouve face à une fuite de données (piratage, ordinateur volé, clé usb perdue, documents transformés en confettis…), obligation lui est faite d’avertir les autorités, le Département de Justice et, par le biais du DoJ, les clients/utilisateurs potentiellement impactés.

Le 6 Octobre, le gouverneur de Californie, Jerry Brown, a signé trois nouvelles lois qui visent à clarifier les éléments clés des notifications alertant d’une fuite de données. Des lois qui sont censées fournir des conseils aux personnes, aux entreprises et aux organismes étatiques et locales qui stockent des informations personnelles. Des lois qui prendront effet le 1 Janvier 2016.

AB 964
Parmi ces trois lois, l’article AB 964 a fait tendre l’oreille et la souris de la rédaction de DataSecurityBreach.fr car elle vise la question du chiffrement. Les renseignements personnels sont maintenant considérés comme correctement « chiffrés » si elles sont « rendues inutilisables, illisibles ou indéchiffrables à une personne non autorisée à travers une technologie de sécurité ou de méthode généralement reconnue dans le domaine de la sécurité de l’information. » Malin, le législateur ne précise pas de son côté ce qu’est la meilleure méthode pour chiffrer efficacement.

Aujourd’hui, un mot de passe hashé (chiffré) en MD5, se cracke en quelques secondes. Ne parlons pas de l’utilisation de SSL, RC4 et TLS 1.0 (tous maintenant interdits par l’IETF). L’article SB 570 stipule que les alertes doivent être titrée « Avis de violation de données » et présenter des informations de notification pertinentes : ce qui est arrivé; quelle information impliquée; ce que le fuiteur a mis en place pour protéger les données. La dernière loi, la SB 34, élargit la définition du terme « renseignements personnels ».

Données d’utilisateurs UBER fuitent sur Google

Les fuites de données sont aussi l’affaire des propriétaires des données qui fuitent. Un exemple concret avec le cas UBER/Google.

Si la grande majorité des fuites sont dues à des piratages, des erreurs d’employés d’entreprises ou à un bug, des cas démontrent que certains internautes ne font pas attention à leur hygiène de vie numérique. Un exemple intéressant avec des informations appartenant à des utilisateurs d’UBER (portail qui permet de mettre en relation des piétons avec des automobilistes, du moins quand des taxis ne bloquent pas l’idée, NDR) qui se sont retrouvées sur Google. Parmi les données, adresses postales, noms du conducteur, informations sur la voiture. Le fautif de ce genre de fuite ? L’utilisateur lui même qui a partagé ses données sur Internet, Twitter.

Google a sauvegardé les informations via ses robots de recherche. Certains de ces voyages remontent à 2013, et incluent des voyages aux États-Unis, Royaume-Uni, Russie, Indonésie, Inde ou encore Philippines. Des données et informations qui restent en ligne, toujours accessibles aujourd’hui, via la cache de Google. Le responsable sécurité de chez UBER indique que son équipe a constaté que « tous ces liens sont volontairement partagée par les utilisateurs.« 

https://twitter.com/four/status/639163190757081088

 

Les employés en vacances posent-ils un risque pour la sécurité des données d’entreprise ?

Beaucoup d’employés ont du mal à déconnecter pendant leurs congés. En dehors des accès via des connexions parfois non protégées, la perte ou le vol d’un terminal peuvent porter préjudice à la sécurité des données de l’entreprise. Comment en optimiser la protection ? Par Xavier Dreux, Responsable Marketing chez Prim’X

Comme DataSecurityBreach.fr vous le prouvait en 2013, un trop grand nombre d’employés utilisent encore de trop leurs données professionnelles durant leurs vacances. Nous sommes au milieu des congés estivaux et comme chaque année beaucoup de dirigeants et cadre d’entreprises ont du mal à déconnecter. Certains continueront à se connecter à distance à leur messagerie et ou aux serveurs de leur entreprise, d’autres emmèneront tout simplement leur portable sur leur lieu de vacances « au cas où » sans penser ou en sous-estimant les conséquences que cela peut avoir pour la sécurité des données de leur entreprise. Plusieurs solutions s’offrent néanmoins à l’entreprise pour garantir la protection de ses données.

Les fondamentaux

Premièrement, il peut paraître utile de rappeler aux employés et notamment aux cadres que les vacances servent à déconnecter et à se couper avec le stress du quotidien pendant plusieurs jours. En effet, si l’on en croit les résultats d’une étude menée par Roambi et Zebaz, 93% des cadres dirigeants français consultent leurs données professionnelles durant leurs vacances.

Il paraît plus que pertinent d’un point de vue gestion des ressources humaines de transmettre les fondamentaux et d’inciter les employés à gérer leur absence avec les collègues qui resteront présents. Faire une passation de dossiers et prévoir un « testament » avec les points à suivre et les coordonnées des personnes capables d’apporter un soutient en cas d’urgence est déjà un bon début pour partir serein et couper le cordon. Certaines entreprises commencent également à prendre des mesures drastiques d’un point de vue technique en coupant tout simplement les accès des employés pendant la durée de leur absence.

Sensibiliser aux risques

Nous le rappelons constamment chez DataSecuritybreach.fr, le maillon faible de la sécurité c’est l’humain. La sensibilisation doit être renouvelée régulièrement pour être efficace. La période estivale est une excellente opportunité pour transmettre aux salariés une note rappelant quelques-uns des principes de base et les mesures clés pour assurer la sécurité de ses données lorsque l’on est en dehors de l’entreprise.

On peut ainsi souligner les différents risques qui peuvent porter préjudice aux données de l’entreprise : s’assurer que l’on tape le mot de passe de son terminal à l’abri des regard, que la connexion utilisée est sécurisée, ne pas laisser ses terminaux sans surveillance ou les mettre sous clé, etc. Plusieurs actualités ont récemment rappelé les risques liés à l’utilisation des hotspots WiFi publics (gares, aéroports, hôtels, lieux de restauration).

En mars, c’est le magazine Wired qui révélait les risques de sécurité liés à un problème de sécurité des routeurs WiFi utilisés par 8 des 10 plus grandes chaines hôtelières au niveau mondial. En avril, c’est une étude d’Avast Software qui soulignait que 66% des français préfèrent se connecter au Wi-Fi public non sécurisé au risque de perdre leurs données personnelles. Quand on sait que nombre d’employés accèdent à leur messagerie sur le terminal personnel, le risque n’est pas anodin.

Bien entendu les risques de pertes et ou de vols du terminal viennent s’ajouter à celui des connexions. Il est donc opportun de rappeler qu’il faut impérativement protéger son terminal avec un mot de passe adéquat et s’assurer que celui-ci soit à l’abri lorsque vous devez vous en séparer lorsque l’on va à la plage par exemple (coffre fort de chambre, consigne d’hôtel, proches, etc.). Qu’une connexion ne peut se faire sans VPN.

Dans le cadre des meilleures pratiques, c’est à l’entreprise de mettre à disposition de ses salariés et dirigeants des moyens pour protéger leurs terminaux et sécuriser les échanges de données. Sans ce type d’outils, l’employé sera tenté de passer outre les règles de sécurité ou bien de mettre en œuvre des solutions de protection par ses propres moyens, sous réserve qu’il ait été sensibilisé aux problématiques de sécurité. Aucune de ces solutions n’est souhaitable. L’entreprise doit conserver la responsabilité de la sécurité L’important n’est pas uniquement de rester opérationnels mais surtout de ne pas mettre en péril l’entreprise et son patrimoine informationnel. Et comme nous l’avons vu, il existe aujourd’hui plusieurs moyens simples de protéger les données présentes sur un terminal emmené en congé par les professionnels.

Dernier point, savoir se déconnecter pendant ses vacances, une vraie preuve de professionnalisme !

10 hôtels Mandarin Oriental piratés, des français impactés

Le 25 Février 2015, le groupe hôtelier Mandarin Oriental était alerté d’une attaque informatique ayant pu impacter les données bancaires de ses clients. Six mois plus tard, la société confirme et alerte les personnes impactées.

Lors de son enquête, le groupe Mandarin Oriental estime que le pirate a utilisé une nouvelle variante d’un malware pour obtenir l’accès à ses systèmes de cartes de crédit. Une attaque qui a débuté… en juin 2014. Ce piratage a permis au malveillant de mettre la main sur les informations clients, des données non chiffrées !

Sont impactés les hôtels Mandarin Oriental basés aux USA (Boston, Las Vegas, Miami, New-York, San Francisco et Washington), en Asie (Hong Kong) et en Europe (Genève et Londres). Si toutes les infiltrations ont débuté le 18 juin 2014, certaines se sont conclues en mars 2015. Les données bancaires impactées sont celles des clients ayant acquis une chambre, mais aussi l’accès aux SPA, aux salles de réunions et autres produits achetés dans les boutiques de l’enseigne. Le Mandarin Oriental a commencé à communiquer auprès des clients impactés par ce vol, le 10 Juillet 2015.

Le prix d’une chambre simple à New-York est de 850 dollars. Autant dire que le pirate savait qu’il allait « taper » dans des portes monnaies biens garnis.

Dans la foulée, le groupe hôtelier Hershey Entertainment & Resorts, ils possèdent des hôtels et des parcs d’attractions, viennent d’alerter la justice américaine d’un piratage informatique ayant touché les données bancaires de leurs clients. Une attaque qui aurait couru entre février 2015 et le 2 juin de la même année. L’enquête est en cours. Elle a été lancée à la suite de plainte de clients ayant des prélèvements bancaires non autorisés.

Piratage dans le petit monde de la TV connectée

Le service PLEX, spécialisé dans la diffusion de films dans les télévisions connectées, piraté. Les clients sont invités à changer leur mot de passe.

Des pirates informatiques ont réussi à prendre la main sur le forum et le blog du serveur de l’entreprise Plex. La société, dont le logiciel éponyme permet de diffuser des films, photos et vidéo sur sa télévision connectée, vient d’avertir ses clients et propose de changer le mot de passe utilisé pour accéder à ses services. Le pirate aurait eu accès aux adresses IP, messages privés, courriels et aux mots de passe (chiffrés MD5, NDR) du forum.

Dans un message, la société a attribué le problème à une vulnérabilité PHP/IPB qui a permis au pirate de mettre la main sur les données. DataSecurityBreach.fr peut confirmer qu’un pirate, du nom de Savaka, a réclamé 1500 £ pour ne pas diffuser les informations volées. Il a prouvé son passage en modifiant la page index de l’administration du site.

Dear Plex User,

Sadly, we became aware this afternoon that the server which hosts our forums and blog was compromised. We are still investigating, but as far as we know, the attacker only gained access to these parts of our systems. Rest assured that credit card and other payment data are not stored on our servers at all.

If you are receiving this email, you have a forum account which is linked to a plex.tv account. The attacker was able to gain access to IP addresses, private messages, email addresses and encrypted forum passwords (in technical terms, they are hashed and salted). Despite the password encryption measures, we take your privacy and security very seriously, so as a precaution, we’re requiring that you change your password.

Be sure to choose a strong password, never share it, and never re-use passwords for different accounts! Even better, use a password manager (1Password, for example) to manage a unique password for you. Access to your Plex account will be blocked until you do so.

Please follow this link to choose a new password.
We’re sorry for the inconvenience, but both your privacy and security are very important to us and we’d rather be safe than sorry!
We will post more detailed information on our blog shortly. Thanks for using Plex!

The Plex Team

Besoin urgent d’étendre les lois obligatoires sur les fuites de données

Le distributeur en ligne américain eBay a annoncé avoir été victime d’une cyber-attaque et a recommandé à tous ses utilisateurs de changer leur mot de passe. Dans un bulletin émis le mercredi 21 mai, l’entreprise a indiqué que certains identifiants appartenant à des employés avaient été volés, donnant aux pirates l’accès à son réseau interne. Le piratage s’est concentré sur une base de données contenant des noms de clients d’eBay, des mots de passe encryptés, des adresses e-mails et des dates de naissance, et ne concerne donc – à priori – pas les informations financières. Selon eBay, l’attaque a eu lieu entre fin février et début mars et aucune activité anormale de la part des utilisateurs ne semble avoir été détectée depuis.

Nous faisons face à un déluge de données volées, et avec un nombre si important de victimes touchées, souvent des millions de clients, il est grand temps d’étendre les lois relatives à la déclaration obligatoire de divulgations de données à tous les secteurs d’activité – et pas seulement pour les fournisseurs d’accès internet ou les opérateurs télécoms. En dépit des recommandations qui sont faites, de nombreuses personnes continuent d’utiliser le même mot de passe pour plusieurs comptes et avec le temps qu’il a fallu pour avertir les clients de l’existence de cette faille, ces derniers ont été exposés à d’importants risques durant toute cette période. En outre, les dommages pourraient continuer de s’étendre. Avec plus 128 millions d’utilisateurs actifs sur le site d’eBay dans le monde, s’il existe ne serait-ce qu’un pourcent d’entre eux qui utilisent le même mot de passe pour différents comptes professionnels, cela signifie que plus de 1 280 000 millions de réseaux d’entreprises sont potentiellement menacés. « Les hackers n’auront pas de mal à identifier les organismes dans lesquels travaillent toutes ces personnes via des sites comme LinkedIn et détermineront leurs prochaines cibles en fonction de leur importance. Il devient donc urgent d’accélérer la mise en place de lois pour que les clients puissent être confiants et assurés que si leurs données tombent entre de mauvaises mains, des mesures seront prises très rapidement pour en limiter l’accès. » explique Jean-Pierre Carlin de chez LogRhythm.

Avec un tel volume de données traitées chaque jour par les entreprises, il est évident qu’il ne s’agit pas une tâche facile. Cela nécessite une surveillance permanente de la moindre activité sur le réseau ainsi que la capacité à comprendre et à considérer ce qu’est une activité « normale ». Un tel niveau d’information permet aux organismes de détecter les menaces en temps réel et d’y remédier en conséquence – non seulement en accélérant le temps nécessaire pour détecter une faille mais aussi celui qu’il faut pour avertir les clients. « Toutes les entreprises ont la responsabilité de protéger les données personnelles de leurs clients autant que possible et c’est seulement grâce à cette capacité à alerter rapidement les utilisateurs d’une éventuelle menace qu’ils pourront à nouveau accorder leur confiance. » termine Jean-Pierre Carlin.

Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France.

Pour finir, DataSecurityBreach.rf rappelle l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.

La justice protège l’inventeur d’une fuite de données

Si un administrateur d’un système informatique ne protège pas ses données, le « découvreur » de la fuite ne risque plus d’être poursuivi pour piratage. Voilà qui devient intéressant. Legalis annonce un jugement qui va attirer l’œil de plus d’un internaute. Si le responsable d’un système d’information ne sécurise pas son réseau, serveur, … contre les intrusions, la justice ne poursuivra pas l’Internaute qui aura pu accéder aux dites données.

Pour le tribunal correctionnel de Créteil, via son jugement du 23 avril, le délit d’accès et de maintien frauduleux n’est pas constitué. Un jugement rendu après la relaxe d’un internaute qui s’était « introduit » dans l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail. Le surfeur, un internaute journaliste, y avait récupéré des documents accessibles, car non protégés par un code d’accès et un mot de passe.

Ce jugement va dans le sens de la jurisprudence Kitetoa de 2002 et impose ‘enfin » au responsable d’un traitement d’information une obligation de sécurité. L’internaute poursuivi avait découvert les fichiers via Google. Google ayant aspiré liens et les données (dans son cache, ndlr), considérant ces derniers comme une source ouverte. Le tribunal indique que s’il n’y pas eu soustraction matérielle des documents, que ces derniers sont toujours à disposition du propriétaire, il n’y a pas « piratage ».

Un détail, de taille, surtout pour les amateurs de logiciels d’injections SQL : ne pensez pas que cette décision vous protège, bien au contraire. Le tribunal correctionnel de Créteil protège les personnes qui cliquent sur des documents, via Google, pendant pouvoir le faire, pas des pirates qui utilisent un logiciel Internet, via une action clairement illicites, et qui tombe sous le coup de la loi Godfrain. (Legalis)