Archives quotidiennes :

Chiffrement, cryptage, Logiciels

Projet Mylar : sécuriser les données d’un site web

Des chercheurs de la prestigieuse université du MIT présentent Mylar, un système de chiffrement entre votre navigateur et un site web. Raluca Popa est un chercheur au sein du MIT, le mythique Massachusetts Institute of Technology. Ce dernier vient de lancer le projet MYLAR, un système de sécurité qui doit permettre de protéger les informations entre votre ordinateur et un serveur web.

Le système chiffre les informations via le navigateur de l’utilisateur. Les données communiquées sur la toile ne sont lues que par le serveur autorisé. Une sécurité qui doit permettre de contrer les vols et détournements d’informations. « si un gouvernement demande des données à un fournisseur de service ou un hébergeur, le serveur ne pourra pas fournir des informations non chiffrées » rapporte Popa surfant sur l’actualité de cyber surveillance de masse mise en place par la NSA.

Raluca Ada Popa, Emily Stark, Jonas Helfer, Steven Valdez, Nickolai Zeldovich, M. Frans Kaashoek, et Hari Balakrishnan ont diffusé 16 pages (PDF) d’un rapport lié à leur projet qui devrait voir le jour, d’ici quelques semaines, sous forme d’un agenda et d’un chat sécurisés.

Cyber-attaque, Cybersécurité

Et si le Boeing 777 avait été piraté

Le Canada se penche sur les possibilités de pirater un avion de ligne. Avec la disparition du Boeing 777, le 8 mars dernier, plusieurs services secrets se sont penchés sur les possibilités liées à ce genre de « phénomène ». Il faut dire aussi que le vol de Malaysia Airlines n’est pas un cas unique. En mai 2003, un autre Boeing (727) disparaissait des radars au départ de Luanda (Angola). L’avion ne sera jamais retrouvé.

Du côté des cousins du grand nord, les enquêtes se penchent sur les possibilités de piratage informatique d’un avion. Transports Canada s’intéresse aux travaux d’un hacker qui annonçait, il y a quelques semaines, avoir trouvé le moyen de pirater l’ordinateur de bord d’un avion commercial.

La Direction de l’évaluation du renseignement de sûreté de Transports Canada s’est penché sur cette recherche, nous étions alors 10 mois avant la disparition du MH370. « La présentation, en avril 2013, d’un projet appelé Le hacking d’un avion: séries aériennes pratiques par le consultant en sécurité et pilote commercial Allemand Hugo Teso, au congrès de pirates informatiques Hack In The Box, à Amsterdam, a pris plusieurs organisations de sécurité des transports par surprise », souligne le document récupéré par La Presse Canada. Il avait expliqué avoir pris le contrôle d’un ordinateur de bord d’avion (via un simulateur) en utilisant une application pour téléphone Android et un petit transmetteur acheté sur eBay.

Pirate et crash d’avion : retour d’une chimère
Aussi étonnant que cela puisse paraitre, le spectre du pirate informatique aux commandes d’un avion n’est pas une nouveauté. Au mois d’août 2008, un rapport diffusé par la justice Espagnole indiquait que le vol JK 5022 (qui s’était abimé deux ans plus tôt) se serait écrasé en raison de la présence d´un cheval de Troie dans l´ordinateur central de la compagnie aérienne Spanair. Un cheval de Troie a perturbé ce qui devait permettre l’enregistrement des informations techniques du vol JK 5022. L’ordinateur, situé au siège de la compagnie aérienne à Palma de Mallorca, aurait du émettre un signal d’alarme sur ses moniteurs lorsque trois problèmes techniques similaires ont été détectés par les sondes de l’appareil. L’avion avait accumulé trois incidents qui n’ont pas été enregistrés par l’ordinateur de Spanair. (source: zataz.com)

En 2004, zataz.com vous révélait comment des « idiots » avaient tenté de faire crasher des avions de la patrouille de France. En juin 2003, la grande dame fêtait ses 50 ans. Pour son anniversaire, la Patrouille de France devait survoler le Puy-du-Fou. La représentation des Alpha-jets va être interrompue en raison d’un problème de sécurité. Des pirates s’étaient amusés à envoyer de fausses instructions de vols, qui à 850 kilomètres heures, auraient pu être catastrophique pour les pilotes.

En octobre 2008, des chercheurs des Universités de Cornell et de Virginia Tech indiquaient que des pirates pourraient faire s’écraser un avion en manipulant le GPS (Global Positioning System) des appareils. Pour réussi l’attaque, un pirate doit s’interposer entre le GPS de l’appareil et l’un des 30 satellites en orbite qui permettent de trianguler les informations de localisations. Il suffirait juste de 10 microsecondes pour perturber le moindre vol.  L’un des chercheurs avait présenté un petit boitier qui se branchait sur une simple prise électrique.

Quelques mois auparavant, nous étions alors en janvier 2008, un autre avion de la firme Boeing était montré du doigt : le Boeing 787. Une vulnérabilité de sécurité sérieuse découverte dans le réseau informatique embarqués L’instance gouvernementale en charge de l’aviation sur le territoire Américain (FAA) annonçait que les Boeing 787 étaient ouverts aux pirates informatiques. La faille permettait aux passagers d’accéder aux systèmes de contrôle de l’avion. Le réseau informatique dans le compartiment passager du « 787 Dreamliner« , conçu pour donner aux passagers un accès à Internet lors d’un vol est aussi raccordé… au contrôle de l’avion.

Nous finirons avec ce projet lancé en 2006 par une trentaine d’entreprises et universités (Airbus, Siemens, l’Université technique de Munich, …). L’idée était de travailler sur la mise en place d’un logiciel pas comme les autres. Une sorte de backdoor, une porte dérobée, qui doit équiper les avions. Mission de ce programme, permettre de piloter un avion, à distance, dans le cas où ce dernier a été pris en otage. L’hebdomadaire Der Spiegel expliquait à l’époque que ce programme devait permettre de piloter l’avion, du sol.

Cyber-attaque, Entreprise, Leak, Mise à jour, Patch

Windows XP sera-t-il la nouvelle aire de jeu des cybercriminels à compter du 8 avril 2014 ?

A partir de ce mardi 8 avril, Microsoft cessera le support de son système d’exploitation Windows XP alors que sa part de marché reste encore élevée (29.53% en février 2014 d’après Net Applications). Quel est l’impact sécuritaire de cette décision ? Concrètement, tous les ordinateurs qui fonctionneront encore sous Windows XP à compter de cette date ne bénéficieront plus des patchs créés contre les failles de sécurité de ce système d’exploitation. Que l’on soit un particulier ou une entreprise, deviendrons-nous la cible privilégiée des cybercriminels à compter du 8 avril 2014 ? Pas si sûr…

Qu’elles soient petites, moyennes ou grandes entreprises, issues du secteur bancaire, industriel ou tertiaire, le 8 avril 2014 préoccupe un certain nombre d’organisations car la fin du support de Windows XP n’est pas qu’une simple question de migration vers un nouveau système d’exploitation. D’autres contraintes comme le coût ou bien l’interruption de services liés à cette migration peuvent être des éléments critiques à prendre en compte pour certaines entreprises.

Prenons l’exemple du secteur bancaire. 95% des distributeurs automatiques de billets (DAB) dans le monde reposent actuellement sur des ordinateurs fonctionnant sous Windows XP. Outre la nécessité d’une interruption de services pour réaliser cette migration, ces ordinateurs ne tolèrent en général pas une version plus récente de Windows. Dans ce cas de figure, impossible de migrer sans changer l’ensemble du matériel informatique et engendrer un coût non négligeable pour les entreprises. Idem pour les environnements industriels dits SCADA comportant des applications métiers spécifiques créées depuis des dizaines d’années et difficiles à migrer.

Une des alternatives envisagées par ces entreprises est de ne rien faire. Seront-elles donc plus vulnérables ? N’en soyez pas si certain ! Il est fréquent qu’une organisation n’effectue pas les correctifs disponibles de l’OS pour éviter toute interruption de leurs services.  En effet, pour ces organisations, l’interruption de services n’est pas uniquement liée à la migration vers un nouvel OS mais est également nécessaire pour toute mise à jour de n’importe quel système d’exploitation. Ces entreprises seront donc autant vulnérables qu’aujourd’hui puisque sans ces correctifs, elles ne sont pas protégées des vulnérabilités actuelles. A l’inverse, d’autres entreprises ont l’habitude de mettre à jour automatiquement leur système d’exploitation, dans ce  cas, elles deviendront plus vulnérables qu’aujourd’hui puisqu’elles ne bénéficieront plus de protection actualisées.

Pour ce qui est des DAB, rassurez-vous, ces distributeurs ne sont pas directement connectés à Internet. Donc le seul moyen pour un cybercriminel de les cibler est d’intervenir sur la machine elle-même (comme par exemple : y introduire un cheval de Troie par le biais d’une clé USB qu’il connecterait au distributeur). Une opération très peu probable car risquée pour les cybercriminels.

Vous l’aurez donc compris la clé pour rester sous Windows XP est de ne pas être connecter à Internet. Sans quoi, il est recommandé de migrer vers un autre système d’exploitation car on peut s’attendre à une recrudescence d’attaques ciblant les prochaines vulnérabilités XP visant à extraire des informations sensibles (informations concurrentielles, numéros de cartes de crédit …). – Par Guillaume Lovet, expert en cybercriminalité au sein de l’équipe FortiGuard Labs de Fortinet.

Facebook, Identité numérique, Particuliers

L’effet de conditionnement de Facebook

L’effet de conditionnement de Facebook : Que nous a appris (ou non) le réseau social sur la protection de nos données ? Voici quelques statistiques sociales étonnantes concernant les photos : plus de 250 milliards de photos ont déjà été téléchargées sur Facebook, avec une moyenne de 350 millions de photos par jour. Le téléchargement moyen par utilisateur est de 217 photos. Et ce n’est que pour Facebook ! Mark Zuckerberg a dépensé 1 milliard de dollars pour l’acquisition d’Instagram, qui atteint les quelques 55 millions de clichés téléchargés via son application chaque jour (c’est plus de 600 clichés par seconde).

Alors, que disent de nous tous ces téléchargements, outre le fait que nous aimons tous un bon «selfie» ? Les résultats d’une enquête récente ont révélé que lorsqu’on leur donne le choix, 74 % des répondants préfèrent protéger leurs photos personnelles que le terminal (téléphone portable, ordinateur portable ou tablette) sur lesquelles elles sont stockées. En fait, de tous les fichiers enregistrés sur leurs dispositifs, les consommateurs ont majoritairement déclaré qu’ils considéraient leurs photos personnelles comme les plus importantes.

Les albums photo appartiennent au passé, les nouvelles images se mettent directement sur les pages (sans poussière) des réseaux sociaux. Mais quelque chose de beaucoup plus profond et d’une plus grande envergure est en train de se passer : lorsque nous partageons des photos sur les réseaux sociaux basés dans le cloud, nous créons une deuxième copie de cette information – une copie partagée qui souvent, à l’heure actuelle, appartient à quelqu’un d’autre – même si ce n’est pas l’intention principale.

Nous appelons cela l’« Effet de conditionnement de Facebook » – l’idée que les réseaux sociaux font acte de sauvegarder au-delà de notre conscience. Le problème est que les images que nous voyons sur les réseaux sociaux sont souvent une copie de mauvaise qualité de nos photos, et ce, même si nous ne sommes pas au courant de ce fait. Et, le plus ironique dans l’histoire, c’est que même si nos « selfies » et photos de « fooding » sont stockés dans un second emplacement, bon nombre de nos documents beaucoup plus importants sont exposés à des risques. La bonne nouvelle est que l’action de télécharger et d’enregistrer une copie de ces fichiers numériques à un emplacement supplémentaire est en train de nous conditionner pour sauvegarder et protéger davantage nos données globales.

Pourquoi ne devrions-nous pas penser de cette façon ? Avec les récents progrès dans les technologies de cloud computing et l’expérience utilisateur, la sauvegarde des données est désormais aussi simple que d’appuyer sur le bouton « Envoyer ». C’est de cette manière que cela fonctionne sur Instagram, n’est-ce pas ?

Mais il y a tellement de données personnelles – les choses vraiment personnelles – qui ne sont pas sauvegardées correctement et sans risques. Pourquoi ? Pourquoi l’ensemble de nos données et non pas uniquement quelques-unes de nos photos personnelles ne seraient-elles pas stockées dans un univers numérique sans risques ? Qu’est-ce qui nous empêche de faire le grand saut depuis une tendance sociale vers une habitude saine englobant toutes les données, où tout est sauvegardé et protégé ?

La réponse la plus évidente résiderait dans le fait qu’il n’existe pas de Facebook pour vous rappeler de protéger les documents relatifs à vos impôts. Les jeunes entreprises font d’énormes progrès quant à la création de systèmes de stockage de données qui proposent une mise en forme facile à utiliser et un format comparable aux formats des sites de réseaux sociaux, mais les deux plus grandes d’entre elles combinées ont moins de 20 % du nombre d’utilisateurs de Facebook. Donc, s’il ne s’agit pas d’une question de simplicité, qu’est-ce qui empêche réellement l’effet de conditionnement de Facebook d’influer une transformation globale de nos comportements numériques ?

Le problème : vie privée et protection
Même si nous sommes devenus beaucoup plus aptes à enregistrer des fichiers non critiques dans le cloud, beaucoup d’entre nous n’ont pas encore sauvegardé la totalité de nos vies numériques, notamment en raison de la médiatisation récente d’un nombre de cas de violation de données qui ont mis en évidence notre principale préoccupation : nos données ne sont pas sûres quand elles ne sont pas manipulées directement par nous. Snapchat a été piraté et en un clin d’œil des millions de numéros de téléphone ont été rendus publics. La violation relativement tapageuse de la cible a mis les informations personnelles de 70 millions de personnes en danger.

Ainsi, alors que nous continuons à télécharger chacun des photos que nous prenons, nous oublions ce qui est réellement important – nos documents de travail, informations bancaires, dossiers de santé et autres informations personnelles et professionnelles – dans de vieux classeurs et/ou dans des fichiers portant la mention « personnel » dans nos ordinateurs.

La clé est d’identifier et de séparer la « confidentialité des données » de la « protection des données ». Alors que la confidentialité des données se concentre davantage sur les problèmes juridiques et de sécurité concernant l’utilisation de données et de stockage, la protection des données a pour objet de préserver les informations après qu’elles aient été créées et enregistrées. Tous les utilisateurs d’appareils connectés à Internet devraient être plus conscients et en alerte lorsqu’il s’agit de la protection des données – comme la lecture attentive de tous les accords de confidentialité sur les sites et applications, ainsi que le partage d’informations qui ne révéleraient aucune information, en cas de fuite – , mais pas au détriment de la protection des données.

Lorsqu’il s’agit de la protection des données, le moyen le plus sûr est de les stocker dans plusieurs emplacements sécurisés. Tout comme nos photos vivent maintenant à la fois dans nos terminaux et sur Facebook, sauvegarder les informations personnelles importantes dans de multiples endroits (par exemple : un disque dur et sur le cloud computing, un lecteur de sauvegarde, etc.) devrait être naturel et évident. Pour faire simple, il suffit de penser à la règle 3-2-1 : garder trois copies des données importantes sur deux différents types de médias, et une copie sur un emplacement à distance. Rappelez-vous que lorsque les outils de base de stockage dans un environnement de cloud computing sont un bon point de départ, ils ne sont pas sans faille quand il s’agit de sécurité, de ce fait trouver le juste équilibre entre la sécurité et la simplicité est un élément clé du processus. – Par Nat Maple, vice-président et directeur général, Global Consumer Business, Acronis.

Cybersécurité, escroquerie, Fuite de données, Social engineering, Téléphonie

Vishing : un coup de fil qui ne vous veut pas du bien

Un commentaire

Les escrocs s’attaquent à notre porte-monnaie via le téléphone. La gendarmerie nationale décide de lancer l’alerte auprès des Français, cibles potentielles de cette escroquerie qui gagne du terrain. Compte tenu de la méfiance des internautes face au phishing, les cybers fraudeurs s’attaquent maintenant à des victimes par l’entremise du vishing appelé aussi hameçonnage vocal. Le vishing est l’utilisation de la technologie VoIP (voix sur IP) dans le but de duper quelqu’un en lui faisant divulguer de l’information personnelle et/ou financière.

Les fraudeurs ont plusieurs méthodes d’attaques. « Un automate téléphonique est utilisé pour contacter les victimes potentielles en composant au hasard des numéros de téléphone fixe dans une région géographique déterminée » explique la Gendarmerie Nationale. Lorsque la victime potentielle décroche, un message préenregistré supposé provenir de sa banque la prévient que des opérations inhabituelles ont été récemment effectuées sur son compte bancaire. Elle est par la suite invitée à composer un numéro de téléphone généralement surtaxé pour vérifier la situation de ce dernier. Ce numéro correspond à une boîte vocale, un message demande alors à la victime de fournir ses identifiants bancaires (les 16 chiffres et la date de validité de sa carte bancaire). Ces informations pourront ensuite être utilisées pour effectuer des achats frauduleux sur Internet.

Une autre possibilité d’attaque par le biais d’un appel vers une victime potentielle. L’escroc se fait passer pour quelqu’un du département de sécurité Visa, Master Card ou simplement de son établissement bancaire. Elle lui signale que sa carte de crédit a été utilisée pour un achat plus que douteux et lui demande si elle est à l’origine de cette opération. « Sa réponse étant négative, elle lui attribue un numéro de contrat de fraude, donnant ainsi à l’appel un aspect réaliste, puis lui demande de communiquer les coordonnées de sa carte bancaire afin de vérifier qu’elle est toujours en sa possession. Une fois la conversation terminée, la personne ajoute n’hésitez pas à nous rappeler si vous avez d’autres questions et raccroche. » explique les militaires.

Pour se protéger, comme pour les cas de phishing web, il faut juste se dire que votre banque, votre FAI, les Impôts, la CAF… ne vous réclameront jamais vos informations bancaires par téléphone. Un commerçant « légitime » vous réclame vos données par téléphone, refusez. Dans tous les cas, votre signature (et un temps de réflexion dans le cas d’un achat, ndr) pour un achat est obligatoire. Les fraudeurs jouent sur une vulnérabilité psychologique du consommateur en créant en lui un stress et un faux sentiment d’urgence lié à la possibilité d’avoir été fraudé. « Si un message vous demande de rappeler tel numéro, ne le composez pas. Prenez le temps de retrouver le véritable numéro de téléphone qui vous a été donné par l’émetteur de votre carte de crédit et utilisez le » terminent les gendarmes. En cas de fraude, il ne vous reste plus qu’à alerte votre banque et déposer plainte dans les plus brefs délais, que ce soit auprès d’un NTECH (cyber gendarme) ou un OPJ dans un commissariat central habilité à prendre une plainte liée aux fraudes aux nouvelles technologies.

Attention à vos standards téléphoniques
Certains pirates informatiques spécialisés dans la téléphonie, baptisée les phreakers, s’intéressent aux standards téléphoniques et autres PABX. Un détail juridique devrait intéresser les administrateurs. Le site Legalis revient sur un arrêt du 25 mars 2014 de la cour d’appel de Versailles. Le tribunal a condamné une société de maintenance « pour avoir manqué à ses obligations contractuelles en ne donnant pas les moyens à son client d’éviter le piratage de communications téléphoniques dont il a été victime. Un nombre élevé d’appels injustifiés à destination du Timor oriental avait été constaté« . L’installation téléphonique avait été piratée grâce au mot de passe « usine » du système, soit les mythiques 0000.