Archives quotidiennes :

Fuite de données

Fraude sur Internet : tous responsables !

Le e-commerce en France continue sa progression, en phase mais encore à la traîne par rapport aux marchés anglais et allemands, qui donnent le La du commerce électronique en Europe. Selon la Fevad, la croissance des ventes en 2012 a atteint 19%, poussée notamment par l’explosion du m-commerce, qui représente désormais 6% des ventes totales (2% en 2011). Avec un taux de satisfaction après achat de 98%, le e-commerce en France a désormais atteint sa maturité, et s’est définitivement installé dans le quotidien des français. Ce constat idyllique contraste fortement avec l’évolution négative du taux de fraude sur Internet. En augmentation continue depuis 2007, celui-ci atteint, selon l’Observatoire de la sécurité des cartes de paiement, le taux record de 0,34%, sans aucun signe de retournement de tendance.

Ainsi l’ensemble des paiements sur Internet ne représente que 8,4% de la valeur des transactions nationales, mais déjà 61% du montant de la fraude sur les cartes de paiement (253 millions sur 413 millions d’Euros). Un chiffre d’autant plus inquiétant que le marché français du paiement en ligne recèle encore un très fort potentiel de croissance. A titre de comparaison, la taille du marché britannique est double de celle du marché français. Tout se passe comme si un boulevard s’ouvrait devant les fraudeurs, d’autant plus grand que l’écosystème du e-commerce français dans sa globalité ne semble pas avoir la volonté de le rétrécir.

Comment en sommes-nous arrivés là et quelles sont les solutions pour y remédier ? Principale cause de la fraude : l’usurpation des numéros de cartes. Ce n’est un secret pour personne : l’origine principale de la fraude sur Internet provient de l’usurpation des numéros de cartes bancaires. Selon l’Observatoire de la sécurité des cartes, cette cause représentait déjà près de 63% du total des fraudes en 2010, loin devant les cartes volées ou les cartes contrefaites. Il est donc évident pour tout le monde que ces numéros ne sont pas suffisamment sécurisés, et qu’il reste relativement simple de les usurper. La carte bancaire n’a pas été conçue au départ pour être utilisée pour des achats à distance. Il en résulte des failles de sécurité évidentes.

Hormis tout ce qui est stocké dans la puce, tous ses identifiants sont en clair par exemple, y compris le fameux cryptogramme visuel, valable deux ans. Les différents acteurs du marché e-commerce ont-ils conscience de cette réalité ? La réponse est oui. Une série de solutions de sécurité ont d’ailleurs été conçues depuis le milieu des années 2000 pour y remédier. A commencer par e-Carte Bleue et 3D Secure, conçu par les grands opérateurs de cartes bancaires, mis en place en Europe dès 2008, visant à introduire une seconde phase d’authentification par la génération d’un code à usage unique. En outre, le standard de sécurité PCI DSS, qui regroupe un ensemble de bonnes pratiques, s’impose désormais à tous les e-commerçants. Sur les sites marchands, d’autres technologies de sécurité peuvent également être mises en œuvre, telles que les certificats SSL déjà très répandus, les systèmes Capcha ou les emails certifiés.

Les solutions anti-fraude mises en œuvre : un constat d’échec La mise en œuvre en France de ces diverses solutions de sécurité anti-fraude a-t-elle été couronnée de succès ? La réponse est clairement non. L’échec de 3D Secure dans notre pays est patent. Aujourd’hui dans sa deuxième version, ce système de sécurité pourtant efficace n’a jamais réussi à s’imposer. Certes, 40% des e-commerçants l’utilisent aujourd’hui, mais ceux-ci ne représentent qu’environ 10% des paiements par carte et 15% seulement des montants. Toutes les banques l’ont certes adopté, mais avec retard et en ordre dispersé. Leur implémentation du système s’est révélée trop complexe. De fait, le processus d’authentification n’est pas normalisé et les consommateurs doivent jongler entre plusieurs systèmes différents selon les banques, ce qui n’encourage pas la simplicité d’utilisation … Du côté des e-commerçants, le rejet est encore plus net. Toutes les grandes enseignes, c’est-à-dire la vingtaine de sites qui réalisent la grande majorité des transactions en ligne, n’ont pas à ce jour adopté le système, notamment en raison de ses conséquences sur le taux d’abandon de commande.

La norme PCI DSS n’ont plus n’a pas eu le résultat escompté. D’abord parce qu’elle n’est pas infaillible, des cas célèbres de vols massifs de données l’ont montré. Ensuite parce que la législation française ne l’impose pas formellement. Il en résulte un flou manifeste dans l’interprétation de sa liste de bonnes pratiques, notamment dans le durée de vie des données carte bancaire stockées. Certains sites les conservent pendant plusieurs années au-delà de la simple nécessité liée au paiement, voire ne les effacent jamais, ce qui augmente d’autant le risque de vol d’identifiants. D’autres systèmes de sécurité telles que l’email certifié, qui est pourtant l’arme absolue contre le « phishing », ne sont quasiment jamais utilisés.

Une seule victime : le consommateur Plusieurs raisons expliquent ce paradoxe, qui toutes convergent vers les principes élémentaires de la gestion du risque. En premier lieu, même si le coût financier de la fraude sur Internet  est supporté environ à égalité par les banques et les commerçants, et non par les consommateurs, qui sont généralement remboursés, ce sont en fait ces derniers qui paient seuls les pots cassés. En effet, les banques sont assurées contre le risque de non-paiement, et répercutent le coût de cette assurance sur le prix de leurs services. De même les commerçants répercutent leurs pertes financières sur les prix de leurs produits, comme la fameuse ‘démarque inconnue’ de la grande distribution. Banques et commerçants ne sont donc pas directement impactés par la fraude, et se contentent de gérer le risque.

En second lieu, les commerçants sont avant tout concentrés sur la croissance de leurs ventes. Ils répondent aux attentes des internautes, et facilitent le processus d’achat au maximum, afin d’éviter tout abandon de panier. Résultat : les vérifications d’identité sont réduites au minimum, et la sécurisation des paiements est sacrifiée à l’autel de la simplicité d’utilisation. La montée en puissance des fonctions de ‘paiement en un clic’ sur les sites de e-commerce en est l’exemple le plus flagrant. Ces sites font tout pour simplifier la vie de leurs clients, mais la plupart ne maîtrisent pas les impacts que cela implique en matière de sécurité. La cohérence des comptes clients créés par exemple n’est quasiment jamais vérifiée.

En troisième lieu, les pouvoirs publics ne se sont jamais vraiment impliqués dans la résolution du problème. Pour 3D Secure par exemple, la Banque de France qui est pourtant garante de la sécurité des moyens de paiement, n’a pas le pouvoir d’imposer une règle précise au groupement qui gère les cartes bleues, n’ayant que le statut d’observateur. De même, l’administration n’a jamais communiqué en direction du grand public pour encourager l’adoption du système, comme ce fut le cas dans d’autres pays, ou pour le cadenas SSL.

Les acteurs doivent assumer leurs responsabilités La montée inexorable de la fraude sur Internet n’est pourtant pas une fatalité. Le cas du marché britannique en constitue un exemple éclatant. Dans ce pays, le taux de fraude en e-commerce se rapproche de celui constaté dans les points de vente ‘traditionnels’. 96% des transactions sur Internet utilisent 3D Secure, et le taux d’échec d’authentification 3D Secure ne dépasse pas 3%, alors qu’il est de 13% en France. La raison de ce succès réside dans l’établissement d’un cercle vertueux associant la mise en place d’une procédure unique d’authentification  adoptée par toutes les banques et tous les opérateurs de cartes bancaires, et une adoption massive des commerçants. Pour inverser la tendance en France, plusieurs mesures de bon sens pourraient rapidement être mises en œuvre.

A commencer par une meilleure sensibilisation des consommateurs aux risques liés au paiement sur Internet. De la part des e-commerçants d’abord, qui doivent mieux informer leurs clients sur les risques qu’ils prennent lorsqu’ils saisissent des données personnelles sur Internet. Beaucoup de sites bancaires diffusent régulièrement des alertes de sécurité, aucun grand site de e-commerce ne fait de même par exemple. Il serait logique que la Fevad prenne en charge une réelle sensibilisation du grand public sur ce sujet. De la part des pouvoirs publics ensuite. Une véritable communication gouvernementale sur la sécurité des paiements devrait être développée, comme c’est le cas dans de nombreux autres pays. En France, ce sont surtout les entreprises qui sont sensibilisées sur la sécurité, et non les consommateurs. D’autre part, les banques doivent logiquement s’entendre  sur une procédure unique d’authentification, simple à comprendre et à mettre en œuvre, qui permette d’obtenir l’adhésion à la fois des consommateurs et des commerçants. Enfin, les consommateurs ont également leur part de responsabilité, et doivent prendre conscience que le respect de règles élémentaires de sécurité s’impose à eux tout au long de leur acte d’achat sur Internet. Le taux de fraude ne pouvant continuer à croître indéfiniment, cette évidence finira par s’imposer. Pour l’intérêt des consommateurs comme celui de l’industrie du e-commerce, le mieux serait qu’elle le soit rapidement. (Par Fabien Dachicourt pour DataSecurityBreach.fr / RSSI de Coreye)

Virus

Les sites de jeu en ligne visés par une campagne de cyberespionnage active

L’organisation cybercriminelle « Winnti » cible les serveurs de jeu à travers le monde et dérobe de la propriété intellectuelle ainsi que des certificats numériques à des fins malveillantes. Selon le rapport de Kaspersky Lab reçu à la rédaction de Data Security Breach, le groupe Winnti, encore actif aujourd’hui s’attaque à des sites de jeu en ligne depuis 2009. Il a pour objectifs de dérober non seulement de la propriété intellectuelle – notamment le code source des jeux en ligne – mais aussi des certificats numériques signés par des éditeurs de logiciels légitimes.

Le premier incident qui a attiré l’attention sur les activités malveillantes du groupe Winnti s’est produit à l’automne 2011, lorsqu’un cheval de Troie a été détecté sur les ordinateurs d’un grand nombre d’utilisateurs à travers le monde. Le lien manifeste entre toutes les machines infectées est que celles-ci ont été utilisées pour jouer en ligne.

Peu de temps après, il est apparu que le programme malveillant à l’origine de l’infection faisait partie d’une mise à jour régulière du serveur officiel du site de jeu. Les utilisateurs contaminés et les joueurs en général ont soupçonné l’éditeur d’avoir installé le malware afin d’espionner ses clients. Cependant, il s’est avéré par la suite que le programme malveillant avait été installé sur les ordinateurs des joueurs par accident, alors que les cybercriminels visaient en réalité le site de jeu lui-même. En réponse, l’éditeur propriétaire des serveurs ayant propagé le cheval de Troie à ses utilisateurs a demandé à Kaspersky Lab d’analyser le programme malveillant. Le cheval de Troie s’est révélé être une bibliothèque DLL compilée pour un environnement Microsoft Windows 64 bits, utilisant une signature appropriée. Il s’agissait d’un outil de type RAT (Remote Administration Tool) aux fonctionnalités complètes, qui donne aux auteurs de l’attaque la possibilité de prendre le contrôle de l’ordinateur d’une victime à son insu. La découverte est de taille car ce cheval de Troie est le premier programme malveillant opérant sur une version 64 bits de Windows avec une signature numérique valide.

Plus de 30 sites de jeu en ligne avaient été infectés par celle-ci, la majorité d’entre eux appartenant à des éditeurs de logiciels du sud-est asiatique. Cependant, des entreprises du secteur situées dans d’autres pays (Allemagne, Etats-Unis, Japon, Chine, Russie, Brésil, Pérou, Biélorussie) ont également été identifiées comme des victimes de Winnti. En dehors de l’espionnage industriel, trois principales techniques susceptibles d’être employées par le groupe Winnti pour en tirer des profits illicites : accumulation et manipulation de sommes d’argent virtuelles utilisées par les joueurs, pour une conversion en argent réel ; exploitation du code source volé sur les serveurs de jeu en ligne pour la recherche de vulnérabilités dans les jeux en vue d’accentuer la manipulation d’argent virtuel et d’en accumuler sans éveiller les soupçons ;  exploitation du code source volé sur des serveurs très fréquentés pour la création de sites pirates. Actuellement, le groupe Winnti est toujours actif.

Hacking

Action malveillante possible pour BeatsByDrDre

Action malveillante possible pour BeatsByDrDre La marque hi-fi, Beats (le fameux b) souffre d’un problème de sécurité sur son site Internet qui pourrait nuire à ses visiteurs/clients. C’est Mazaki, un lecteur, qui nous a alerté sur le sujet. La vulnérabilité, une XSS, un cross-site scripting. L’idée de cette faille, provoquer un enchainement d’actions malveillantes à partir d’un site officiel. En gros, soit par courrier électronique (XSS non-permanent comme pour gMail, ndlr datasecuritybreach.fr) ou directement stocké sur le site incriminé par la faille (XSS permanent), le pirate peut orchestrer différents types de piratages.

Vous vous demandez comment, par exemple, un pirate a pu voler la session de votre compte de courrier électronique, votre accès web ? Tout « simplement » via un vol du cookies. Le XSS permet l’interception de ce document caché au fin fond de votre ordinateur. Le pirate peut aussi afficher de fausses informations à l’écran, mettre en place une page de type hameçonnage de données ou, plus vicieux encore, installer un code malveillant (logiciel espion, keylogger) dans l’ordinateur de l’espace visité. Il est aussi possible, dans certains cas, d’accéder à la base de données et à ses petits secrets (mails, mots de passe, messages privés). Bref, comme le précise un expert du genre dans notre émission tv d’avril sur zatazweb.tv, le Cross-Site Scripting n’est pas à prendre à la légère. Notre cas du jour, vise donc B. Le protocole d’alerte de ZATAZ a été déclenché au sujet de cette potentialité malveillante. En attendant une hypothétique correction, datasecuritybreach.fr vous déconseille fortement de cliquer sur le moindre lien renvoyant vers le portail de Beats. Préférez taper directement, dans votre navigateur, l’url concerné.

Une correction ? Il existe moult méthodes pour éviter un XSS. Nous vous passerons l’utilisation d’un firewall (pare-feu) qui permet de filtrer les informations envoyées au serveur/site. Un contrôle du flux de données rentrantes/sortantes loin d’être négligeable. Le coût est l’un des freins de son utilisation. Parmi les solutions, mettre son nez dans le code source de son « précieux ». D’abord, protéger les variables (form et/ou url et/ou cgi et/ou cookies). Pour cela, il faut définir « scriptProtect » du tag <cfapplication>.

Comme le rappel Wikipedia : « Filtrer les variables affichées ou enregistrées avec des caractères ‘<‘ et ‘>’ (en CGI comme en PHP). De façon plus générale, donner des noms préfixés par exemple par « us » (user string) aux variables contenant des chaînes venant de l’extérieur pour les distinguer des autres, et ne jamais utiliser aucune des valeurs correspondantes dans une chaîne exécutable (en particulier une chaine SQL, qui peut aussi être ciblée par une injection SQL d’autant plus dangereuse) sans filtrage préalable« . Dernier point, non négligeable, faites appels à des personnes compétentes à qui vous laisserez du temps pour auditer sérieusement code source et espaces numériques exploités.

BYOD, Entreprise, Fuite de données

Les données stockées dans son réseaux

Les entreprises sont souvent impuissantes face à la protection de leur bien le plus précieux : les données stockées dans leurs réseaux. Alors que les services concernés ont souvent une bonne vue d’ensemble des données conservées au sein de la société et peuvent très facilement évaluer les dommages éventuels, une nouvelle étude commanditée par Kaspersky Lab, que datasecuritybreach.fr a pu consulter, révèle que la plupart des entreprises ont une idée peu précise des données de l’entreprise que les employés stockent sur leurs propres terminaux mobiles. Ceux-ci étant de plus en plus nombreux à utiliser des équipements personnels à des fins professionnelles, une telle méconnaissance pose des problèmes inédits.

Cette enquête, menée par TNS Infratest, révèle que, parmi les sondés en France, : seuls 33% des responsables informatique ont mis en place des règles suffisamment strictes pour disposer d’une vision complète et précise des informations stockées sur ces terminaux mobiles. 45% indiquent ne pas savoir où se trouvent toutes les données, mais avoir un aperçu raisonnable de la situation. 17% reconnaissent n’en avoir aucune idée.

Globalement, il ressort que ce sont les entreprises britanniques et espagnoles qui ont mis en place les règles les plus complètes en matière de protection des données. Ainsi : 57% des responsables interrogés au Royaume-Uni et 54% en Espagne déclarent avoir une vision complète de l’emplacement de leurs données. En Suède; ce chiffre descend à 19%. L’Espagne est également le pays présentant le plus faible nombre de responsables informatiques admettant n’avoir aucune idée à ce sujet (5%). Les entreprises scandinaves, à titre de comparaison, sont, soit très honnêtes, soit font implicitement confiance à leurs employés. En Suède (26%) et au Danemark (22%), soit un nombre exceptionnellement élevé de responsables informatiques reconnaissent ne pas avoir une idée claire des données présentes sur les terminaux mobiles.

« En cas de perte ou de vol d’un appareil mobile d’un employé, il est crucial de savoir ce qu’il contenait en termes de données et surtout de pouvoir mettre en œuvre rapidement les mesures nécessaires pour réagir efficacement », commente à datasecuritybreach.fr Tanguy de Coatpont, directeur général de Kaspersky Lab France. « Si, pour une raison ou pour une autre, il n’est pas possible de savoir où se trouvent les informations de l’entreprise, il convient au moins de pouvoir les crypter afin de les rendre inaccessibles à toute personne malveillante. »