Une nouvelle vulnérabité, considérée comme critique, touche le jouet de Facebook, Instagram.
La faille permet à un internaute malveillant de mettre la main sur les informations des utilisateurs, dont le cookies de connexion. L’attaque peut se faire via les applications (sauf mobile, ndlr) du portail communautaire. Des logiciels qui n’utilisent pas les connexions chiffrées. Bref, via un hotspot wifi, une connexion d’entreprise (coucou admin, ndlr), les données transitent en clair. Un « homme du milieu », n’a plus qu’à se servir.
Mazin Ahmed, qui a découvert le probléme a contacté facebook qui lui a confirmé connaitre le probléme depuis 2012. Facebook travaille à réfléchir quand la version HTTPS sera mise en place pour Instagram. A noter qu’en France Facebook et Instagram sont donc dans l’illégalité la plus totale et pourrait être poursuivit. La loi Française impose aux entreprises de sécuriser au mieux les données que les utilisateurs peuvent lui laisser.
Data Security Breach rappelle à Facebook et Instagram que la communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. Que la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. Article 226-22 du code pénal. A cela, DataSecurityBreach.fr rajoute que le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Article 226-17 du code pénal. Seule la version mobile d’Instagram chiffre les informations.
Le Satelitte commercial Galileo vient de conclure ses premiers tests de diffusion en mode chiffré.
La démonstration a permis de diffuser des signaux à la fois chiffrés et non chiffrés. Au cours d’une période d’essai de 10 jours, les récepteurs situés à Tres Cantos (Espagne) et Poing (Allemagne) ont pu emettre et recvoir des informations protégées. Les essais ont confirmé le chiffrement, contenant l’authentification et l’assurance de données non altérées. Les signaux chiffrés ont été diffusés sur les « signaux » E6-B et E6-C des satelittes Galileo. Une démonstration pour ce concurrent du service américain (GPS, …). Une fois opérationnel, deux autres signaux cryptés sur la bande E6 seront proposés. Il reste encore pas mal de travail avant une mise en action définitive des services de Galileo qui devraient débuter en 2016.
Mise au jour d’une partie cachée du programme malicieux qui a révélé au monde le ransomware Koler pour les appareils Android en avril 2014.
Cette partie inclut des ransomware utilisant les navigateurs et un exploit kit. Depuis le 23 juillet, le composant mobile de ce programme a été interrompu, et le serveur de commande et de contrôle a commencé à envoyer des commandes de désinstallation sur les mobiles des victimes. Cependant, le reste des composants sur PC – incluant l’exploit kit – est toujours actif. Kaspersky Lab continue de surveiller ce malware, qui a été présenté pour la première fois par un chercheur en sécurité appelé Kaffeine.
Les criminels derrière ces attaques ont utilisé une technique inhabituelle pour scanner les systèmes des victimes et développer des ransomware personnalisés en fonction du lieu et du type d’appareil – mobile ou PC. L’infrastructure de redirection est l’étape qui suit, une fois que la victime a visité l’un des 48 sites pornographiques malicieux utilisés par les opérateurs de Koler. L’utilisation d’un réseau pornographique pour ce ransomware n’est pas anodin car les victimes ont souvent honte d’avoir visité ce type de contenu et sont prêtes à payer l’amende provenant de soi-disant ‘autorités’.
Les sites pornographiques en question redirigent es utilisateurs vers un hub central qui utilise Keitaro Traffic Distribution System (TDS) pour les rediriger une nouvelle fois. En fonction d’un certain nombre de critères, la seconde redirection peut déclencher trois scenarii différents :
– L’installation du ransomware mobile Koler. Dans le cas où l’utilisateur utilise un appareil mobile, il est automatiquement redirigé vers l’application malicieuse. Mais il doit encore confirmer le téléchargement et l’installation de l’application – baptisée animalporn.apk – qui est en réalité le ransomware Koler. L’écran de l’appareil touché est alors bloqué et il est demandé à l’utilisateur de payer entre 100$ et 300$ pour le débloquer. Le malware affiche un message localisé émanant soi-disant de la police, ce qui le rend particulièrement crédible.
– Redirection vers l’un des sites du navigateur ransomware. Un contrôleur spécial vérifie si (i) l’agent utilisateur émane de l’un des 30 pays touchés, (ii) l’utilisateur est ou non un utilisateur Android, et si (iii) la requête ne contient pas d’agent utilisateur Internet Explorer. Si la réponse est positive pour les trois, l’utilisateur voit apparaitre un écran similaire à celui qui apparait sur les mobiles. Dans ce cas, il n’y a pas d’infection, juste une fenêtre pop-up qui peut être évitée facilement grâce à la combinaison alt+F4.
– Redirection vers un site web contenant Angler Exploit Kit. Si l’utilisateur navigue à partir d’Internet Explorer, l’infrastructure de redirection l’envoie vers des sites hébergeant Angler Exploit Kit, qui inclut des exploits pour Silverlight, Adobe Flash et Java. Pendant l’analyse, le code exploit était parfaitement fonctionnel. La charge utile (payload) était nulle, mais cela pourrait évoluer dans un futur proche.
Vicente Diaz, chercheur principal en sécurité chez Kaspersky Lab, explique : « L’un des points particulièrement intéressant de cette campagne est l’utilisateur d’un réseau de distribution. De douzaines de sites web générés automatiquement redirigent le trafic vers un hub central utilisant un système de distribution du trafic qui redirige une nouvelle fois les utilisateurs. Selon Kaspersky Lab, cette infrastructure démontre à quel point l’ensemble de la campagne est organisé et dangereux. Les attaquants peuvent créer rapidement des infrastructures similaires grâce à un fonctionnement automatisé, tout en changeant le payload ou le type de cibles. Ils ont également pensé à la façon de monétiser au mieux l’ensemble en ciblant grand nombre d’appareils. »
Le payload mobile en chiffres
Près de 200 000 visiteurs ont été en contact avec le domaine mobile infecté depuis le début de la campagne. La majorité d’entre eux étaient basés aux US (80% – 146 650), suivi du Royaume-Uni (13 692), l’Australie (6 223), le Canada (5 573), l’Arabie Saoudite (1 975) et l’Allemagne (1 278). Europol et Interpol travaillent actuellement à savoir comment fermer l’infrastructure malveillante.
Conseils aux utilisateurs :
– Gardez à l’esprit que la police ne diffuse jamais de message électronique demandant de l’argent donc ne payez pas ;
– N’installez pas les applications que vous trouvez en surfant sur Internet ;
– Ne visitez pas les sites web auxquels vous ne faites pas confiance ;
– Utilisez une solution de sécurité fiable.
Clash of Clans, Bubble Witch, Boom Beach… des applications vidéo ludiques qui font un carton sur les smartphones et autres tablettes. Des jeux qui, mais ce n’est pas obligé, proposent de payer pour passer des niveaux, gagner de l’énergie, des bonus, … Bref, des jeux qui rapportent des centaines de milliers d’euros aux éditeurs. Les joueurs peuvent dépenser beaucoup, du moins pour les plus impatients. Des pirates ont trouvé le moyen de piéger ses joueurs impétueux en leur proposant de tricher, du moins les « gamerz » le pensent. Plusieurs sites, installés en Iran, tentent d’inciter les joueurs à télécharger des applications ayant pour mission de gagner plus, en jouant moins. « Clash-of-Clans Hack illimit gemmes » ; « BubbleWitch2 illimit bonus » ; … promettent les pirates. Derrière ces faux logiciels, de vrais pièges qui n’ont qu’une seule finalité, infiltrer les appareils des propriétaires. A noter que DataSecuityBreach.fr a repéré aussi des applis, toujours sur des sites Iraniens, proposant de télécharger des « followers-Instagram ».
Quelques semaines après la chaîne de livraison de pizza Domino’s Pizza, ou encore de plusieurs journaux, c’est aujourd’hui la Banque Centrale Européenne d’annoncer avoir été victime d’un vol de données personnelles de certains de ses clients.
Un piratage qui s’est suivi, comme en Belgique, d’un chantage exercé par les cybercriminels responsables de l’intrusion et du vol des données. « De plus en plus de cybercriminels volent des données non cryptées dans le but de les revendre sur le marché noir ou de les utiliser dans des actions de cyber-chantage, explique Jason Hart, vice-président Solutions Cloud de SafeNet.Toutes les données stockées sous forme de texte brut peuvent être lues sans la moindre difficulté, et sont par conséquent à la merci des cybercriminels. Face à de telles menaces, il est indispensable que les entreprises pensent à chiffrer toutes les données de leurs clients – et ce, qu’elles soient stockées ou en transit dans leur réseau. » Dans le cas de la Banque Centrale, l’atatque peut être considérée comme « modérée ».
Dans ce cas précis, la gravité a été minimisée par le fait que les mots de passe et les informations financières étaient chiffrées. Néanmoins, le fait que des pirates aient pu mettre la main sur des adresses électroniques et des numéros de téléphone peut à court terme avoir des répercussions significatives sur le niveau de confiance des clients.
Dans son nouveau rapport intitulé 419 Evolution (Version évoluée de la fraude 419), l’équipe d’analyse des menaces chez Palo Alto Networks — aussi appelée « Unité 42 » — explique que les responsables d’escroqueries opérant depuis le Nigeria utilisent désormais les outils souvent déployés par des groupements criminels et des spécialistes de l’espionnage au mode opératoire plus complexe pour subtiliser les données métier essentielles des entreprises.
Loin d’être une nouveauté, voilà plusieurs années que Data Security Breach vous explique que certains de ces escrocs utilisent skype, TeamViewer and co pour agir. Ces délinquants avaient à leur actif des arnaques peu subtiles visant à recueillir par hameçonnage les données bancaires ou les renseignements personnels des particuliers. Ces dernières années, ils ont acquis de nouvelles compétences leur permettant d’exploiter des méthodes plus perfectionnées dirigées contre les entreprises.
Palo Alto Networks a donc découvert que les pirates amateurs des arnaques nigérians exploitent des outils d’administration à distance accessibles par l’intermédiaire de forums clandestins (y compris certains logiciels commerciaux comme NetWire) qui permettent d’obtenir un contrôle total sur les systèmes infectés. Bref, ils utilisent des chevaux de Troie.
« Les activités malveillantes Silver Spaniel sont menées depuis le Nigeria et emploient toutes des tactiques, des techniques et des modes opératoires similaires. Ces pirates ne possèdent pas des connaissances techniques pointues, mais représentent une menace croissante pour les entreprises alors même que ces dernières ne constituaient pas jusqu’alors leurs cibles principales », précise Ryan Olson, directeur de la recherche au sein de l’Unité 42 chez Palo Alto Networks. À titre de protection contre l’outil d’administration à distance NetWire, Palo Alto Networks propose un logiciel gratuit capable de décrypter les commandes, de contrôler le trafic et de révéler les données volées par les pirates Silver Spaniel. Le rapport (accessible après inscription)
Un consortium composé d’éditeur d’antivirus, d’agences de répression, dot la police Française, et de plusieurs entreprises du secteur bancaire a choisi de renforcer la lutte contre les cyber-attaques utilisant le trojan Shylock en s’attaquant directement aux serveurs et domaines utilisés par les criminels. L’éditeur de solution de sécurité informatique Kaspersky Lab a fourni son service d’intelligence informatique pour traquer les menaces et les logiciels malveillants.
Les 8 et 9 juillet 2014, les agences de répression ont pris des mesures pour désorganiser le système dont dépend Shylock pour fonctionner efficacement. Elles ont agi notamment pour saisir des serveurs qui forment le système de commande et de contrôle du trojan, et prendre le contrôle des domaines qu’utilise Shylock pour la communication entre les ordinateurs infectés.
L’opération, coordonnée par l’Agence nationale contre le crime (NCA) du Royaume-Uni, a rassemblé des partenaires des agences de répression et des secteurs privés, y compris Europol, le FBI, BAE Systems Applied Intelligence, Dell SecureWorks et l’agence de renseignement et de sécurité du Royaume-Uni (GCHQ), afin de combattre ensemble la menace.
Des enquêtes ont été lancées depuis le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol à La Haye. Des enquêteurs du Royaume-Uni (NCA), des États-Unis (FBI), d’Italie, des Pays-Bas et de Turquie ont uni leurs forces pour coordonner l’opération dans leurs pays, de concert avec des homologues en Allemagne, en France et en Pologne. La coordination assurée par Europol a joué un rôle essentiel pour stopper les serveurs constituant le cœur des botnets, des logiciels malveillants et de l’architecture Shylock. Le CERT de l’UE a participé à l’action et diffusé des informations sur les domaines malveillants à ses confrères.
Lors de cette opération, des parties jusque-là inconnues de l’architecture de Shylock ont été découvertes, ce qui a permis de lancer immédiatement des actions de suivi et de les coordonner depuis le centre opérationnel de La Haye.
Shylock – nommé ainsi parce que son code contient des extraits du Marchand de Venise de Shakespeare – a infecté au moins 30 000 ordinateurs dans le monde exécutant Microsoft Windows. Des renseignements suggèrent que Shylock vise le Royaume-Uni plus que tout autre pays ; cependant, les États-Unis, l’Italie et la Turquie sont également dans le collimateur du code malveillant. On estime que les développeurs suspects sont basés dans d’autres pays.
Les victimes sont généralement infectées en cliquant sur des liens malveillants, puis amenées à leur insu à télécharger et exécuter le logiciel malveillant. Shylock cherche ensuite à accéder à des fonds détenus sur des comptes commerciaux ou de particuliers, et à les transférer aux contrôleurs criminels. Une opération qui a pu aider les cyber-investigateurs de première ligne, coordonnés par l’agence NCA du Royaume-Uni, et en présence sur place du FBI et de collègues d’Italie, de Turquie et des Pays-Bas, tout en établissant des liens virtuels vers des cyber-unités en Allemagne, en France et en Pologne.
« La NCA prend les devants en s’attaquant à une cyber-menace ciblant les entreprises et les particuliers dans le monde entier. Le but est de porter un coup violant à l’infrastructure de Shylock, et elle démontre comment nous utilisons des partenariats entre les divers secteurs, et outre les barrières nationales pour réduire la cybercriminalité » explique Andy Archibald, Deputy Director of the NCA’s National Cyber Crime Unit au Royaume-Uni.
Les campagnes de fraude bancaire ne sont plus des cas isolés. Nous avons assisté à une hausse considérable de ces types d’opérations malveillantes. Rien qu’en 2013, le nombre de cyber-attaques basées sur des logiciels malveillants conçus pour dérober des données financières a augmenté de 27,6 % pour atteindre les 28,4 millions.
Une meilleure coopération avec les employés, de nouveaux outils et de nouveaux processus d’obtention de services informatiques pour contrer le phénomène du Shadow IT.
Dans beaucoup d’entreprises, les administrateurs informatiques font de plus en plus face à une nouvelle source de contraintes : le Shadow IT. Beaucoup de départements et d’employés se procurent et utilisent des applications sans que le département informatique ne soit mis au courant ou n’ait donné son accord. Une enquête [1] réalisée par PricewaterhouseCoopers (PwC) indique que 15 à 30% des dépenses informatiques des entreprises sondées se font hors budget officiel.
Le BYOD légitime la prolifération
Pour tous les administrateurs informatiques, cette prolifération rapide de l’utilisation de telles applications est devenue un réel problème qui s’est développé dans l’ombre. Ce phénomène a été appelé le ‘Shadow IT’, un terme qui décrit l’utilisation de ‘services et produits informatiques n’ayant pas d’approbation’ ou comme l’a expliqué Christopher Rentrop, professeur d’informatique à l’Université de Constance au département des sciences appliquées : « Le Shadow IT, c’est l’ensemble des applications acquises sans que le département informatique ne soit impliqué et pour lesquelles l’ITSM (la gestion des services informatiques) ne gère pas l’utilisation. » Ce phénomène ne date pas d’hier : le BYOD n’a fait qu’encourager sa diffusion et, dans une certaine mesure, le légitimer dans beaucoup d’entreprises. Mais le réel problème ne vient pas des appareils personnels des employés puisqu’ils peuvent être identifiés par des outils de gestion réseau. Il provient de la difficulté à surveiller les plateformes des réseaux sociaux et les applications Cloud. Par exemple, les collaborateurs utilisent Facebook ou Dropbox pour envoyer ou publier des documents sans se faire remarquer.
Ces logiciels et services non-approuvés et impossibles à surveiller, gérer et supprimer engendrent une consommation de la bande passante, un ralentissement des réseaux, posent des problèmes de conformité, ajoutent de la charge de travail aux départements informatiques et leur infligent un plus gros coût financier. La moitié des administrateurs informatiques interrogés pour l’enquête PwC pensent que la gestion du Shadow IT représente 50% de leur budget et luttent pour plus de transparence. Une enquête effectuée par des spécialistes réseaux d’Ipswitch auprès de 400 administrateurs informatiques révèle que 12% d’entre eux souhaiteraient en premier lieu pouvoir éclaircir cette zone d’ombre que demeure le Shadow IT. Ils pensent que leur travail au quotidien serait bien plus simple si les utilisateurs signalaient les applications installées sur leur ordinateur professionnel.
L’une des raisons principales du développement du Shadow IT est que les processus d’obtention de services informatiques sont obsolètes dans la plupart des entreprises. Ce sont ces lourds processus mis en place et utilisés depuis plus de 25 ans qui créaient cette zone d’ombre. Ils doivent être repensés et restructurés. Les entreprises doivent se focaliser sur les besoins de leur personnel et tenir compte des procédures et obtentions nécessaires pour rendre les employés plus efficaces, plus productifs et en fin de compte, plus satisfaits.
Être à l’écoute du personnel
Les risques ne peuvent être contrôlés que si la ‘consumérisation’ de l’informatique est considérée comme une opportunité. Globalement, les employés ne souhaitent pas délibérément contourner les procédures informatiques. Ils ont généralement un problème spécifique et important pour lequel ils ont besoin d’une solution rapidement. Bien sûr, il est bien plus facile pour le personnel d’une entreprise d’utiliser des solutions Cloud bon marché online plutôt que d’engager de long processus d’obtention auprès des services informatiques qui pourraient au final ne servir à rien ou ne pas résoudre le cœur de leur problème. Au quotidien, ces personnes sont habituées à pouvoir utiliser les applications normales ou Cloud qu’elles souhaitent et qui leur facilitent la vie. Pourquoi ne feraient-elles pas pareil sur leur lieu de travail ? C’est ce qui explique les phénomènes tels que la grande popularité de Dropbox dans les entreprises. Puisqu’il n’est pas possible d’envoyer des emails avec des pièces jointes trop lourdes, les employés règlent rapidement le problème en créant des liens Dropbox.
Il est temps que les départements informatiques essaient de coopérer. Cinq étapes peuvent atténuer les impacts du Shadow IT et encourager la coopération avec les employés :
· Une solution de gestion réseau est nécessaire pour identifier les applications non-autorisées avant qu’elles ne posent problème. Un système de surveillance du trafic réseau pourrait être une solution.
· L’utilisation de la bande passante du réseau doit être transparente. L’administrateur informatique doit savoir quels sont les utilisateurs, les appareils et les applications qui obligent à repousser les limites des capacités du réseau.
· Un système de surveillance qui identifie immédiatement les appareils posant problème est également nécessaire. Quel utilisateur a accès à quel appareil et via quel appareil ?
· Les problèmes qui causent un ralentissement ou une panne du réseau doivent être identifiés et résolus plus rapidement.
· Pour prévenir l’utilisation de systèmes Cloud qui ne peuvent pas être surveillés et qui exposent les données à des risques, les départements informatiques doivent mettre en place des outils d’échange de données simples et efficaces.
Les départements informatiques devraient se concentrer sur la mise en place d’outils et de solutions permettant une bonne gestion des résultats. En d’autres termes, le problème n’est pas d’éradiquer le Shadow IT mais d’en tirer avantage au maximum. Essayer d’éliminer le Shadow IT ou nier son existence ne serait que fermer les yeux devant une réalité.
Afin de créer la transparence nécessaire, il est important de coopérer avec les employés. Les outils de surveillance peuvent aider à sauvegarder les performances du réseau, à surveiller la disponibilité des applications et à prévenir un usage abusif. Cependant, il est surtout essentiel de soumettre les processus d’obtention de services informatiques établis à un examen approfondi rigoureux et de les rendre plus simples et plus rapides. (Par Yannick Hello, Responsable S-EMEA chez Ipswitch, Inc.)
L’expert en sécurité Avira a annoncé aujourd’hui l’ouverture d’un nouveau laboratoire de Recherche et Développement sur la sécurité numérique à son siège américain de Burlingame.
Le nouveau R&D Digital Security Lab concevra et mettra au point les produits de sécurité de nouvelle génération de la société, et s’intéressera plus particulièrement aux questions de sécurité relatives au marché mobile à l’horizon 2-5 ans.
L’un des grands enjeux pour l’avenir de la sécurité sera la protection de l’utilisateur, quelle que soit la façon dont il choisira de se connecter à Internet. Nous continuerons d’assister au développement d’un paysage multi-support et multiplateforme vers « l’Internet du tout » qui est déjà en train de s’installer.
« Avira vit une époque palpitante, car nous sommes chargés d’imaginer ce que le monde du logiciel sera pour les consommateurs dans deux à cinq ans, et quelles seront les menaces pour la sécurité en ligne», a déclaré Leon Crutchley, directeur du R&D Digital Security Lab d’Avira. « Notre équipe mettra au point les concepts des logiciels de sécurité du futur, présentera les prototypes à l’équipe de direction pour qu’elle les évalue, puis travaillera en collaboration avec nos équipes de produit pour transformer les prototypes les mieux adaptés en produits de consommation et les lancer sur le marché.»
Le R&D Digital Security Lab d’Avira travaille actuellement sur des questions telles que l’identification et l’authentification des personnes, les communications et transactions en ligne, et la définition de la confidentialité en ligne. La fonction Identity Safeguard mise au point pour les applications mobiles iOS et Android destinées aux consommateurs, annoncée en avril, est le premier exemple du travail réalisé par le laboratoire.
Des chercheurs de chez Securir, qui avaient déjà mis la main sur plusieurs autres failles visant des applications WordPress, viennent de tirer la sonnette d’alarme à l’intention des administrateurs de sites web sous WordPress, et plus précisément aux utilisateurs du plugin WPTouch.
Cette application permet aux sites web de proposer une version pour mobile. La faille permet à n’importe quel internaute inscrit et enregistré sur le WordPress faillible d’injecter une backdoor, un shell, qui permet ensuite de manipuler le site et le serveur (selon les autorisations, NDLR) au bon vouloir du pirate. Sur les 73 millions de sites web sous WordPress dans le monde, 5,7 millions utilisent WPtouch. Autant dire un sacré vivier pour les pirates. Securir indique qu’une mise à jour du Plugin est plus que conseillé.
Intéressante initiative que celle mise en place par la société belge Ieteren. Ce spécialiste de Volkswagen propose une clé de voiture numérique qui prend forme dans une application de smartphone.
Keyzee permet aux loueurs de voitures d’ouvrir et de fermer les véhicules à l’aide d’une clé virtuelle installée dans le téléphone portable du loueur. L’application propose au conducteur une clé numérique qui offre la possibilité d’utiliser une voiture de location durant toute la durée du contrat. Le système de démarrage de l’automobile, ainsi que les portes, sont déverrouillés quand le téléphone portable est proche de l’auto. Un partenariat avec l’équipementier allemand Continental est en cours. Une commercialisation n’attend plus que le feu vert de la Commission Européenne. (Le Vif)
Le premier semestre 2014 a connu plus de 100 attaques supérieures à 100 Gbit/s, c’est le chiffre étonnant qui ressort du dernier rapport de la société Arbort Network.
Deux fois plus d’attaques dépassant 20 Gbit/s ont été enregistrées durant les six premiers mois de 2014 que dans l’ensemble de l’année 2013. Les attaques par réflexion NTP représentent près de 50 % de celles de plus de 100 Gbit/s. Arbor Networks Inc., société de fourniture de solutions de sécurité et de gestion de réseaux d’entreprises et d’opérateurs, a publié dans ses statistiques mondiales relatives aux attaques DDoS un retour sur expérience qui laisse présager des mois encore plus difficile. Son étude est issue de son observatoire des menaces ATLAS. ATLAS s’appuie sur une collaboration avec près de 300 opérateurs qui partagent des données anonymes de trafic avec Arbor Networks afin d’offrir une vue globale complète du trafic et des menaces.
ATLAS collecte des statistiques représentant 90 Tbit/s de trafic Internet et fournit les données de Digital Attack Map, un site créé en coopération avec Google Ideas dans le but de cartographier les attaques au niveau mondial.
Principales observations d’ATLAS au premier semestre 2014
Le premier semestre 2014 a connu un nombre record d’attaques DDoS volumétriques, avec plus de 100 d’entre elles supérieures à 100 Gbit/s.
En juin 2014, le nombre d’attaques dépassant 20 Gbit/s était deux fois supérieur à celui relevé sur l’ensemble de l’année 2013.
L’attaque de plus grande ampleur enregistrée au 2ème trimestre 2014 a été mesurée à 154,69 Gbit/s, soit une baisse de 101 % par rapport au 1er trimestre. Il s’agissait d’une attaque par réflexion NTP dirigée contre une cible en Espagne.
Si les attaques par réflexion NTP demeurent importantes, leur taille et leur étendue sont en recul par rapport au 1er trimestre 2014. Les volumes moyens de trafic NTP sont en baisse au niveau mondial, mais sans revenir aux niveaux de novembre 2013 (avant le début de la prolifération des attaques NTP).
Au 2ème trimestre 2014, les attaques de très grande envergure ont été moins nombreuses, avec une taille moyenne inférieure de 47 % comparée au 1er trimestre. « Dans le sillage de la tempête d’attaques par réflexion NTP observée au 1er trimestre, les attaques DDoS volumétriques ont continué d’être un problème durant une bonne partie du 2ème trimestre, avec un chiffre sans précédent d’une centaine d’attaques dépassant 100 Gbit/s depuis le début de l’année. Par ailleurs, nous avons déjà enregistré au moins deux fois plus d’attaques supérieures à 20 Gbit/s que le total relevé sur l’ensemble de l’an passé », commente Darren Anstee, responsable de l’équipe d’architectes en solutions d’Arbor Networks. « La fréquence des attaques de très grande ampleur demeure préoccupante et les entreprises doivent donc adopter une solution de protection intégrée sur plusieurs niveaux. Même celles disposant d’une capacité élevée d’accès à Internet peuvent désormais la voir saturée assez facilement par les attaques qui font rage sur le réseau. »
De plus en plus d’entreprises utilisent des services cloud de stockage tel que Dropbox, Onedrive, Google Disk,… sans vraiment se rendre compte du risque pour la sécurité de leurs données.
Alors que les services de stockage de fichiers dans le cloud ont depuis longtemps les faveurs des internautes, leur confort indéniable s’accompagne toutefois d’un certain nombre de risques. C’est ainsi que de nombreux utilisateurs conservent dans le cloud des copies numérisées de leur passeport et d’autres documents, bien que parfois des vulnérabilités dans le service compromettent la sécurité de leurs données personnelles. Cependant, l’utilisation de technologies cloud à des fins autres que celles pour lesquelles elles ont été conçues peut être encore plus dangereuse. Par exemple, il est facile de trouver des instructions permettant aux possesseurs d’ordinateurs désireux de mettre à profit ces services de piloter et de surveiller à distance leurs machines, de commander les téléchargements de type Torrent, etc. En appliquant ces recommandations, les utilisateurs créent involontairement différentes failles de sécurité facilement exploitables par des cybercriminels, en particulier dans le cadre d’attaques ciblées.
Scenario d’attaque
Des cybercriminels prennent le contrôle de l’ordinateur portable d’un employé via un logiciel client Dropbox installé sur celui-ci, notamment en dehors du bureau. Si des documents infectés sont placés dans des dossiers cloud, Dropbox les recopiera automatiquement sur tous les équipements connectés au réseau de l’’entreprise et utilisant le même service. Dropbox n’est pas le seul dans ce cas : – toutes les applications répandues de stockage dans le cloud – Onedrive (anciennement Skydrive), Google Disk, Yandex Disk, etc. – offrent des fonctions de synchronisation automatique. Des attaques à prendre au sérieux ? Les experts de Kaspersky Lab, éditeur de solution de sécurité informatique, ont cherché à savoir si les cybercriminels se servent effectivement de ces outils pour diffuser des malwares.
Programmes malveillants via le Cloud
Après avoir collecté des données auprès d’utilisateurs volontaires, les analystes ont déterminé qu’environ 30 % des programmes malveillants présents dans des dossiers cloud sur des ordinateurs domestiques y ont été importés par des mécanismes de synchronisation. Pour les utilisateurs au sein d’une entreprise, ce chiffre atteint 50 %. Il faut noter une certaine différence entre les utilisateurs en entreprise et à domicile : les premiers se caractérisent davantage par la présence de fichiers infectés Microsoft Office dans leurs dossiers cloud tandis que, chez les seconds, ces documents bureautiques cohabitent souvent avec des applications Android malveillantes. « Une soigneuse analyse des statistiques montre que le risque d’infection d’un réseau d’entreprise par le stockage dans le cloud est aujourd’hui relativement faible : un utilisateur sur 1000 risque de voir son ordinateur infecté sur une période d’un an. Cependant, il ne faut pas oublier que, dans certains cas, un seul ordinateur contaminé peut aboutir à une attaque touchant l’ensemble du réseau et causant des dommages considérables. La configuration du pare-feu de façon à bloquer l’accès à ces services est une procédure fastidieuse, qui nécessite des mises à jour constantes de ses paramètres », commente Kirill Kruglov, chercheur senior chez Kaspersky Lab.
En pareil cas, il est habituellement recommandé aux administrateurs système d’installer, sur chaque poste de travail du réseau, une suite logicielle de sécurité aux fonctionnalités complètes : protection antivirus heuristique et comportementale, contrôle d’accès (HIPS), contrôle du système d’exploitation (System Watcher ou Hypervisor), protection contre l’exploitation des vulnérabilités, etc. Kaspersky Lab conseille de tirer parti de la technologie innovante Application Control intégrée à sa solution d’entreprise, qui peut bloquer l’exécution de tout logiciel non explicitement autorisé par l’administrateur système. Application Control protège le réseau de l’entreprise contre les attaques ciblées via Dropbox, sans perturber le travail normal des utilisateurs.
On ne peut que conseiller aussi le chiffrement des informations que les employés souhaitent laisser sur le cloud, évitant ainsi une lecture non autorisée.
C’est la période de l’année où les gens commencent à réserver leurs vacances d’été, à partir au soleil… et pour les employeurs, il est indispensable de s’assurer que leurs politiques de BYOD sont suffisamment rigoureuses pour protéger leur entreprise contre tout vol potentiel de données, alors que leurs équipes seront au soleil pendant une quinzaine de jours.
L’équilibre entre le travail et la vie sociale est devenu plus flou avec des salariés qui ont désormais accès à Internet, aux réseaux sociaux et aux emails à partir de leurs Smartphones ou de leurs tablettes, à l’intérieur ou à l’extérieur de l’entreprise, à tout moment et depuis n’importe où. En conséquence, les problématiques liées au BYOD ont augmenté. Alors que les entreprises apprécient les avantages de la technologie mobile en termes de productivité et de compétitivité, elles ne sont pas toujours suffisamment concentrées sur les risques que cela entraine en terme de cyber attaques.
Il n’y a aucun doute sur le fait que l’adoption des périphériques mobiles en milieu professionnel constitue un défi qui est autant une question de politique et de contrôle, qu’une question de technologie en elle-même.
De leur côté, les fabricants font la promotion des tablettes comme étant le must-have pour chaque membre de la famille. Qu’est-ce que cela signifie pour les entreprises ? Cela signifie un afflux de nouveaux appareils à venir sur le réseau, car il est fort probable que ces bijoux dernier cri ne resteront pas à la maison…
Pour les équipes en charge de la sécurité informatique, il s’agit d’un véritable casse-tête et la tendance du BYOD complique véritablement leur tâche. De plus, comme la transition des ordinateurs de bureau vers les ordinateurs portables, les tablettes et les Smartphones continue de s’accélérer, il n’est pas surprenant que les hackers choisissent les périphériques mobiles pour cible.
Le problème avec les outils mobiles personnels, c’est qu’ils permettent d’accéder à des ressources de l’entreprise, en dehors du contrôle du service informatique de l’entreprise. Cela signifie qu’il peut être difficile de connaître les informations basiques, telles que le nombre et le type d’outils utilisés, les systèmes d’exploitation et les applications en cours d’exécution.
La prolifération des périphériques mobiles et leur utilisation croissante au travail a entrainé une croissance rapide des malwares mobiles, augmentant de manière significative, le risque pour les utilisateurs et leurs employés. Et compte tenu du manque de visibilité sur ces outils personnels, de nombreuses équipes de sécurité informatique n’ont pas la capacité d’identifier les menaces potentielles.
Cependant, malgré les embuches, les avantages du BYOD sont bien trop significatifs pour être ignorés. Ainsi, afin de reprendre le contrôle sur ce monde mobile, les professionnels de la sécurité informatique doivent être capable de tout voir dans leur environnement, afin de pouvoir définir le niveau de risque et le sécuriser en fonction du contexte, spécifique à chaque entreprise. Pour la plupart d’entre elles, la meilleure solution est de mettre en place des politiques BYOD qui définissent clairement l’utilisation des outils mobiles personnels de façon appropriée et ensuite de disposer d’un système de vérification et de contrôle pour appliquer et maintenir ces politiques de sécurité.
Pour conclure, la sécurité des périphériques mobiles se dessine en 3 phases :
– Avant l’attaque – il s’agit d’établir un contrôle sur la façon dont les appareils mobiles sont utilisés, à quelles données ils peuvent accéder et quelles sont celles qu’ils peuvent stocker
– Pendant l’attaque – la visibilité et l’adaptabilité sont essentielles pour que les professionnels de la sécurité puissent espérer identifier les menaces et les appareils à risque pour surveiller leurs activités sur le réseau de l’entreprise.
– Après l’attaque – lorsque l’inévitable se produit et que le réseau est compromis par une menace, il faut être en mesure d’examiner rétrospectivement comment cette menace est entrée dans le réseau ; quels systèmes ont été en interaction avec la menace et quels fichiers et applications ont été exécutés afin de s’assurer que le réseau puisse être nettoyé le plus rapidement possible. (Par Cyrille Badeau, Directeur Europe du Sud, Sourcefire, now part of Cisco)
La cellule Tracfin du ministère des finances français a remis au Ministre Michel Sapin, le 11 juillet, un rapport de son groupe de travail sur l’encadrement des monnaies virtuelles, dont le Bitcoin.
La croissance, évoquée dès 2012, des flux financiers en monnaie électronique dans les signalements par Tracfin s’intensifie. Le rapport de Tracfin analyse les risques d’utilisations illicites ou frauduleuses liés au développement des monnaies virtuelles dont l’exemple le plus célèbre est le bitcoin. Trois caractéristiques sources de risques classé par ce rapport sont l’intervention d’acteurs non régulés ; le manque de transparence et l’extraterritorialité.
Parmi les solutions proposées par ce rapport, limiter l’anonymat en imposant une prise d’identité lors de l’ouverture par un professionnel d’un compte en monnaies virtuelles pour un tiers, et une vérification d’identité pour les retraits et dépôts aux « distributeurs » de bitcoin. Autant dire que l’idée risque de faire sourire les utilisateurs les plus aguerris sur le sujet. Autres idées de régulation, demander aux plateformes qui échangent des monnaies virtuelles contre des devises officielles de tracer leurs clients en leur imposant de vérifier, pour chaque transaction, l’identité de l’auteur et du bénéficiaire, ainsi que l’origine des fonds. « La lutte contre la fraude, contre la criminalité et contre le terrorisme sont autant de priorités du Gouvernement.souligne le Ministre Sapin. Or, en permettant des transactions anonymes et instantanées d’un bout à l’autre monde, sans aucune traçabilité, le s monnaies virtuelles sont vouées à devenir des outils qui intéressent les fraudeurs et malfaiteurs de tous bords. Dès lors, ne pas nous pencher dès à présent sur le sujet serait irresponsable« .
A noter que la France souhaite le non-assujettissement des monnaies virtuelles à la TVA.
Le piratage d’objets connectés, voilà une petite finesse du high tech qui commence à être particulièrement récurrente.
Après la possibilité d’intercepter les connexions des frigos connectés, des télévision, de certains thermomètres, voici que les ampoules wifi, peuvent passer par la case « piratage ». C’est le journal Hacker News qui revient sur cette possibilité découverte par des chercheurs britanniques de la société Context. Les failles de sécurité ont trouvées dans les ampoules LIFX Smart light bulbs. De grosses ampoules qui peuvent être contrôlées par un smartphone ou une tablette sous iOS et Android.
Le problème se situe dans le manque de chiffrement des informations transmises en l’ampoule et le wifi. Normalement, l’ampoule exploite son propre réseau (protocole 6LoWPAN). Sauf que les hackers de chez Context ont trouvé le moyen de déchiffrer les données et de les réutiliser. Bilan, Alex Chapman de chez Context nous confirme qu’un pirate pourrait se servir de cette passerelle lumineuse, sur une distance approximative (et sans mur) de 30 mètres. Depuis, la société a corrigé les ampoules mises sur le marché. Autant dire que si vous achetez ce genre de produit, assurez-vous qu’elles ont été fabriquées après le 4 juillet 2014.
Avant, la sécurité du produit, et de votre connexion, ne sera pas garantie à moins que vous pensiez à mettre à jour le firmware de votre ampoule. LIFX est une jeune start-up qui a mené une campagne de collecte de fonds en 2012, via Kickstarter. L’entreprise demandait 100.000 dollars, elle va en recueillir 13 fois plus (1,3 millions de dollars).
Dashlane, éditeur d’outils de gestion de mots de passe et des portefeuilles numériques, a dévoilé à DataSecurityBreach.fr les résultats de la seconde édition de son baromètre sur la protection des données des consommateurs sur Internet.
Cette seconde édition a passé au crible plus de 130 des sites américains, anglais et français (44) les plus populaires du web à la suite de la faille Heartbleed. Ce baromètre met en évidence que 86% des sites français analysés utilisent des politiques de sécurité de mots de passe en dessous de la moyenne acceptable. Beaucoup n’ont pas mis en œuvre ne serait-ce que les règles de base, laissant les données personnelles des consommateurs sur Internet dangereusement vulnérables.
Cette analyse se fonde sur 22 critères identifiés comme critiques pour la sécurité des mots de passe sur Internet. Chaque critère permet d’attribuer un nombre de points positif ou négatif, ce qui donne un score final possible en -100 et +100 pour chaque site web étudié. Un score de +50 points correspond à la mise en œuvre minimale des bonnes pratiques vis-à-vis des mots de passe suggérées par Dashlane. Cette étude fait suite au premier baromètre publié par Dashlane sur le même sujet au premier trimestre 2014.
Apple, le seul site à voir la note maximum
Le site d’Apple avait obtenu la meilleure note dans le premier baromètre, et il est de nouveau le seul site web à se voir décerner la note maximale, à savoir +100. Live.com (Microsoft) termine second, tandis que UPS, Yahoo et Paypal occupent respectivement les troisième, quatrième et cinquième positions. Les autres sites réussissant ce test sont par exemple La Poste, leboncoin.fr, eBay et Skype. Gmail et la Fnac sont ex aequo à la dixième place.
Les mauvais élèves
Dans les sites français, ce sont Showroomprivé, Meetic Affinity et Spartoo qui reçoivent les plus mauvais scores. En remontant dans le classement des mauvais élèves, on trouve les 3 Suisses, Alloresto, Viadeo, easyJet.com, Cdiscount et Amazon. Dashlane a examiné six catégories de sites web : sites de rencontre, e-commerce, sécurité, productivité, outils sociaux et voyages. Le baromètre montre que ce sont les sites de rencontre qui obtiennent la plus mauvaise moyenne avec -45. Suivent les sites de sécurité (-23 de moyenne), de e-commerce (-21) et de voyages (-16).
Toujours des pratiques dangereuses malgré Heartbleed
Même si la plupart des sites ont demandé à leurs utilisateurs de changer leur mot de passe suite à la découverte de la faille Heartbleed, ils n’ont pas corrigé leurs faiblesses dans leur politique de sécurité. Dashlane a comparé les scores de sécurité obtenus dans le baromètre avec la robustesse réelle des mots de passe utilisés sur ces sites.
Un résultat net se dessine, montrant la corrélation entre la complexité des mots de passe utilisés et la note de sécurité obtenue. En d’autres termes, plus le site impose un mot de passe complexe, meilleure est la sécurité réelle des mots de passe des utilisateurs. Il va sans dire que plus le mot de passe est simple, plus les données personnelles et bancaires des consommateurs sont exposées. Les mots de passe représentent la première ligne de défense des données personnelles des consommateurs sur Internet. Le fait que certains sites ne demandent pas de mots de passe sécurisés veut donc dire qu’ils sont conscients d’exposer leurs utilisateurs aux attaques et aux logiciels malveillants.
Autre enseignement de ce baromètre que DataSecurityBreach.fr a pu lire, 51% (55% pour les sites français) des sites les plus importants ne verrouillent pas les comptes des utilisateurs après 10 tentatives de connexion incorrectes. L’une des méthodes favorites des pirates est d’essayer au hasard les mots de passe les plus répandus. Le pirate a seulement besoin d’une liste d’adresse emails et de mots de passe populaires (les deux sont faciles à trouver sur Internet). Ils n’ont plus qu’à utiliser un programme pour tenter de se connecter à un site en essayant des millions de combinaisons associant une adresse email à un mot de passe. C’est ce que l’on appelle une attaque « par force brute ».
En bloquant un compte utilisateur après un certain nombre de tentatives de connexion erronées, les sites web peuvent simplement bloquer ce type d’attaque et de ce fait mieux protéger les données personnelles des consommateurs. Les sites suivants ne sont que quelques-uns des sites les plus connus qui ne bloquent pas les comptes utilisateurs après 10 tentatives d’accès infructueuses : Amazon, Gmail, Evernote, eBay et Nike.
Des solutions simples
Les sites web devraient adopter au minimum les mesures suivantes en matière d’exigence sur les mots de passe :
Mot de passe de 8 caractères minimum
Mot de passe comprenant des chiffres et des lettres, avec des minuscules et des majuscules
Email de confirmation pour tout changement de mot de passe
Ne pas accepter les 10 mots de passe les plus vulnérables
Bloquer le compte utilisateur après 10 tentatives incorrectes de connexion
Emmanuel Schalit, CEO de Dashlane, commente ces pratiques : « Les entreprises et les sites web n’ont aucune excuse pour leur faible politique en matière de mot de passe. La mise en œuvre de politiques de sécurité pour les mots de passe ne coûte pas cher et est facilement réalisable grâce aux technologies open source existantes. Notre étude montre une nette corrélation entre les exigences des sites en matière de mots de passe et le niveau de sécurité des mots de passe des utilisateurs. Les sites qui exigent des mots de passe complexes ont des utilisateurs qui ont des mots de passe mieux sécurisés. Les mots de passe sont la première ligne de défense pour les données personnelles et confidentielles des consommateurs sur Internet, et des exigences faibles en matière de mots de passe les exposent encore plus. »
Microsoft a publié ce 8 juillet six bulletins pour des vulnérabilités qui affectent toutes les versions d’Internet Explorer, de Windows ainsi que des composants pour serveur. Deux vulnérabilités sont considérées comme « critiques » car elles autorisent l’exécution de codes à distance (RCE), tandis que trois sont signalées comme « importantes » dans la mesure où elles autorisent une élévation de privilèges internes sur Windows.
Le patch le plus critique est le bulletin 1. Il concerne toutes les versions d’Internet Explorer (IE) depuis la version 6 du navigateur, désormais uniquement prise en charge sur Windows Server 2003 depuis l’arrêt du support de XP, jusqu’à la toute dernière version IE 11 sur Windows 8.1 et R. Ce patch doit être une priorité pour vous car la plupart des attaques s’appuient d’une manière ou d’une autre sur votre navigateur Web. Les derniers chiffres publiés dans le rapport Microsoft SIR v16 démontrent clairement que les attaques Web, notamment via Java et Adobe Flash, sont les plus courantes.
Le bulletin 2 est une mise à jour critique pour Windows. Toutes les versions de Vista, Windows 7, 8 et RT pour poste de travail sont concernées. Concernant l’aspect serveur, toutes les versions sauf la plus ancienne, Windows Server 2003, sont affectées. La mise à jour imposera de réinitialiser le système, un paramètre à inclure dans votre planning, plus particulièrement côté serveur.
Les bulletins 3, 4 et 5 traitent de vulnérabilités liées à des élévations de privilèges dans Windows. Toutes les versions de Windows sont concernées. Il s’agit de vulnérabilités locales qui ne permettent pas d’exécuter du code à distance via le réseau, mais qui imposent à l’attaquant d’être déjà présent sur la machine ciblée en tant qu’utilisateur normal ou standard. Les exploits pour ces types de vulnérabilités font partie de la boîte à outils de tout pirate qui a obtenu un compte sur la machine ciblée, après avoir subtilisé des certificats. Dans tous les cas de figure, l’attaquant souhaitera pouvoir contrôler la machine en permanence et, pour ce faire, il devra devenir administrateur de cette dernière afin d’y installer son code de contrôle malveillant. C’est à ce moment que ces vulnérabilités entrent en jeu. Nous estimons donc que résoudre ces dernières est une priorité absolue pour contrarier ou ralentir les attaquants installés sur la machine ciblée.
Enfin, le bulletin 6 traite une vulnérabilité par déni de service (DoS) dans le Service Bus de Windows. Le Service Bus est un tout nouveau composant de Windows utilisé dans l’environnement Windows Azure pour développer des applications hétérogènes. Selon nos estimations, rares sont les entreprises qui ont installé ce composant. Sur Azure, Microsoft se charge de déployer le correctif à votre place.
Courant juillet, Oracle publiera sa mise à jour des patchs critiques (CPU). Elle devrait être diffusée le 15 juillet et fournir des correctifs pour des centaines de vulnérabilités. La pertinence de ces patchs pour votre entreprise dépend de votre inventaire logiciel, mais, dans tous les cas, la mise à jour de Java sera incontournable pour la plupart des entreprises.
Même chose pour ADOBE. Il est d’ailleurs conseillé de se rendre sur le site afin de mettre à jour rapidement l’outil Flash Player. Une mise à jour d’Adobe Flash indispensable. Passez rapidement vers la version 14.0.0.145 qui tourne sur les systèmes Windows, Mac et Linux. Voyez le site ADOBE pour connaitre votre version de flash installée. (avec Wolfgang Kandek, CTO Qualys)
Vous avez un iPhone, un iPad ? Vous utilisez le service webmail de Google gMail ? Vous allez être heureux d’apprendre que le géant américain n’a toujours pas corrigé la faille qui permet d’intercepter les données qui transitent entre votre précieux et gMail.
L’alerte avait été lancée en février dernier par la société Lacoon Mobile Security. A l’époque, l’entreprise expliquait déjà que Google n’avait pas sécurisé les transmissions entre l’internaute et gMail. Bilan, il était possible de lire et modifier les communications normalement chiffrées. Etonnament, la faille a été corrigée sur Android, mais l’américain a « oublié » de faire de même pour les produits d’Apple. Bref, un pirate se mettant entre vous et la connexion, via une connexion wifi « gratuite » par exemple, n’aura aucun mal à intercepter et utiliser votre compte gMail. En attendant un correction, il est fortement déconseillé d’utiliser les applications gMail via une machine commercialisée par la grosse pomme.
La police canadienne vient de mettre la main sur un présumé piraté informatique Chinois. Ce dernier est accusé par les services secrets américains d’avoir visité, sans autorisation, les systèmes informatiques de Boeing.
Ce pirate informatique aurait réussi à mettre la main et la souris sur des dossiers traitant du Boeing C-17 et des Lockheed Martin F-22 et F-35. Bref, si cela est vrai, nous pouvons constater cinq choses. Les « IP made in China » que l’on nous affiche dans les logs sont en grande partie des leurres; que les pirates Chinois sont plus efficace hors de chez eux; que les géants de l’industrie ont des trous partout; qu’ils n’ont pas l’air d’être choqué quand, toujours dans les logs, des centaines de gigas octets de dossiers s’envolent dans la nature; que le chiffrement n’a pas l’air d’être important.
Le présumé pirate, Su Bin, vit au Canada. Il était le patron d’une société spécialisée dans l’aéronautique. Avec deux complices, basés en Chine, ils auraient collecté des informations sur les nouveautés de Boeig (C17, F22 et F35). L’Oncle Sam affirme que les informations ont été transmises au gouvernement Chinois et que le Y20, clone du C17, serait la résultance de ce piratage… durait depuis 2009. Bref, « Y-a-t-il un pilote dans l’avion ?« . Une seconde annonce de piratage chinois au moment ou le secrétaire d’Etat américain John Kerry et le secrétaire au Trésor Jacob Lew visent le gouvernement Chinois pour parler business.
Pendant ce temps…
Qendrim Dobruna, un Albanais de 27 ans qui évoluait sur la toile sous les pseudonymes de « cl0sEd » et « cL0z », arrêté en Allemagne en 2012 et extradé aux USA vient de plaider coupable de fraude bancaire. C’est devant le tribunal de New York, vendredi, que l’homme a affiché son envie de ne pas finir en prison durant les 100 prochaines années. Il est accusé d’avoir participé au vol de 14 millions de dollars, en 2011, via des centaines de distributeurs de billets basés dans 18 pays et quelques 15.000 retraits frauduleux. En février 2011, ce brave garçon avait eu le courage d’attaquer le système de paiement en ligne mis en place pour la Croix rouge américaine. Il connaitra son sort le 24 octobre prochain. Il risque 1 million de dollars, la confiscation de ses biens. Il découvrira aussi si les 30 prochaines années il les passera dans une prison fédérale. Le Secret Service américain a travaillé en étroite collaboration avec le ministère de la Justice et INTERPOL pour mettre la main sur le pirate et ses amis.
Que vous soyez une personne importante ou non, aux yeux d’un pirate informatique vous n’êtes rien d’autre qu’un cloud vivant dans lequel il pourra en soutirer argents et données sensibles.
La rédaction de Data Security Breach vous propose quelques trucs et astuces à utiliser lors de vos déplacements afin de sécuriser votre informatique, votre smartphone, bref, votre vie 2.0. Attention, nos conseils ne vous sécurisons pas à 100%, la sécurité totale n’existe pas. Par contre, nos conseils freineront un maximum le pirate, le curieux, bref ce malveillant. Pas de paranoïa, juste de la prudence et une hygiène numérique à respecter. Nous avons rencontré, lors de nos voyages, de vrais professionnels de la recherche d’information via des cibles touristiques ou en « séminaires ». N’oubliez jamais que le « curieux » doit être rapide pour agir. Plus il passera du temps sur sa cible, plus il sera fragilisé dans son action, visible, donc détectable.
Dans votre hôtel/camping/…
– Ranger votre machine dans le coffre de votre chambre (si coffre il y a).
– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate. Il ne pourra pas alimenter l’ordinateur.
– Chiffrer les informations sensibles ou le disque dur de votre ordinateur. Qu’on le veuille ou non, BitLocker sur Windows 8 pro est efficace. N’hésitez pas à rajouter une seconde, voire une troisième couche avec Zed! ou TrueCrypt. Zed! a reçu la qualification ANSSI niveau standard (08/2010) et Certification Critères Communs EAL3+ (07/2010). Pour TrueCrypt : qualification niveau élémentaire (08/2009) et Certification CSPN (12/2008).
– Utiliser un câble antivol.
– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.
– Chez DataSecurityBreach.fr, nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.
– Une goute de cire, sur les vis est aussi très utile pour y appercevoir une potentielle manipulation. Il existe des cires de couleurs, évitez le rouge.
– Un antivirus mis à jour obligatoire.
– Utiliser un VPN pour vos connexions. VyprVPN est, à notre sens, très efficace tout comme VyPRVPN [Nous les utilisons, plus d’autres, NDR] Nous l’utilisons. Rapide, propose des centaines de connexions protégées dans le monde, avec un firewall NAT intégré loin d’être négligeable.
– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.
Autre point, sauvegardez vos documents administratifs sur un cloud sécurisé n’est pas négligeable en cas de perte de vos papiers, moyens de paiement. Sauvegardez y aussi les numéros de téléphones d’urgences (Ambassade, amis, familles, …). Bien évidement, chiffrez les données. Utilisez, par exemple, l’excellent Zed! Free par exemple. Une connexion à votre cloud sécuriser à n’utiliser qu’en cas d’urgence. N’allez pas me taper le mot de passe, sur un poste informatique « libre ». Pensez, si vous vous sentez capable de l’utiliser, emporter avec vous une cd/clé USB bootable avec un Linux intégré (Knoppix USB ou Tails par exemples).
Il en va de même pour votre téléphone portable. Ne le quittez jamais des yeux. L’installation d’un code malveillant étant devenu très simple. Pensez à employer un filtre évitant les regards « au dessus de l’épaule » ou sur les côtés. Des filtres qui permettent d’éviter les regards un peu trop curieux. Dernier détail en date, et de taille, pensez à charger vos appareils électroniques au maximum, surtout si vous partez sur le sol de l’Oncle Sam. Dorénavant, votre téléphone, votre ordniateur, votre tablette pourront être allumés devant un agent de sécurité, histoire de s’assurer que ce dernier ne cache pas une bombe. En cas de « non » allumage, le matos finira à la poubelle. Pensez à détruire les papiers que vous souhaiteriez jeter à la poubelle. Des petits bouts de papiers dans les toilettes sont plus efficace qu’une boulette dans la corbeille de votre chambre. Coupez le wifi et le Bluetooth. Ne sauvegardez/mémorisez aucun mot de passe dans votre appareil (il en va de même pour votre ordinateur et tablette).
Loin d’être négligeable, une pochette de sécurité, de type Stop RFID, permettant de sécuriser votre carte bancaire, passeport, … d’une tentative de connexion NFC non autorisée. Un bookmark de sites indispensables comme http://www.diplomatie.gouv.fr/fr/conseils-aux-voyageurs_909/ et Data Security Breach 😉 peut être envisagé.
L’utilisation des ordinateurs et des connexions proposés par les hôtels, campings, … sont à utiliser avec modération et intelligence. N’utilisez JAMAIS ces outils « libres » à des fins privées. JAMAIS vos mots de passe ; Accéder à vos courriels est fortement déconseillé sans passer par un système de VPN, INDISPENSABLE. Vous n’êtes cependant pas à l’abris d’un logiciel d’interception de vos frappes clavier (Keylogger). Pour finir, Comme nous le révélions dans notre article « Diner de cons dans les ordinateurs des Hôtels » nous croisons beaucoup trop de données qui n’ont rien à y faire ! Attention, dernier détail important, comme le rappel l’ANSSI, prenez connaissance de la législation locale. Des informations sur les contrôles aux frontières et sur l’importation ou l’utilisation de la cryptographie sont disponibles sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information.
Bref, contraignant, mais sécurisant. Si aucune de ces solutions proposées par Data Security Breach ne vous conviennent, posez-vous une dernière question : Avez-vous vraiment besoin d’un ordinateur pendant vos vacances ?
L’éditeur AVAST Software, l’éditeur de solutions de sécurité, a récupéré facilement des données personnelles sur des smartphones d’occasion achetés en ligne, malgré la suppression des données par les consommateurs.
Sur les appareils d’occasion, il a été possible de récupérer plus de 40 000 photos, e-mail et SMS personnels et, dans certains cas, l’identité des vendeurs. « La quantité de données personnelles que nous avons récupérée sur les téléphones était incroyable. Nous avons trouvé de tout, d’un formulaire de prêt rempli à plus de 250 selfies de ce qui semble être le corps masculin du propriétaire précédent, » a déclaré Jude McColgan. « Nous avons acheté divers appareils Android à des vendeurs dans l’ensemble des États-Unis, et nous avons utilisé des logiciels de récupération couramment disponibles pour exhumer des informations personnelles se trouvant auparavant sur les téléphones. La leçon à en tirer est que même les données supprimées sur votre téléphone d’occasion peuvent être récupérées, à moins de les écraser complètement. » 20 smartphones d’occasion ont été analysés dont les propriétaires précédents avaient effectué une réinitialisation d’usine ou une opération de « suppression complète » sur leurs appareils. Malgré ces efforts, Plus de 40 000 photos enregistrées, plus de 750 e-mails et SMS et autres informations ont pu être récupérées.
« Plus de 80 000 smartphones d’occasion sont en vente quotidiennement sur eBay aux États-Unis. En même temps que leurs téléphones, les consommateurs peuvent ne pas être conscient du fait qu’ils vendent leurs souvenirs et leur identité. Les images, les e-mails et d’autres documents supprimés des téléphones peuvent être exploités pour le vol d’identité, le chantage ou même à des fins de harcèlement. Revendre votre téléphone usagé est une bonne façon de gagner un peu d’argent, mais il s’agit potentiellement d’une mauvaise façon de préserver votre vie privée,» a ajouté Jude McColgan. Il est recommandé aux consommateurs intéressé par la vente de leur appareil Android d’installer une application qui écrase les informations avant de revendre leur téléphone.
La compétition de hacking éthique à travers l’Europe et l’Afrique élargie son spectre avec un arrêt dans la Province canadienne le 22 août 2014.
L’association Française à but non lucratif ACISSI poursuit la sixième édition de son challenge et annonce une étape exceptionnelle avec un Hacknowledge Québec le 22 août, de 20h00 à 8h00 non-stop ! En partenariat avec le Hackfest Québec, qui réunit à lui seul plus de 600 participants, cette nouvelle étape arrive naturellement pour le Hacknowledge-Contest tant l’alliance entre les deux événements tombe sous le sens ! Autour de valeurs communes cette rencontre mettra les talents du hacking à l’épreuve. En marge un programme de conférences sera proposé au Cégep Sainte-Foy, à Québec.
L’objectif commun des deux associations est de valoriser les compétences dans le domaine du hacking éthique, tout en révélant de nouveaux talents dans le cadre d’une approche ludique et préventive de la sécurité informatique. Cette édition offrira la possibilité d’échanges fructueux entre spécialistes, voire comme à chaque édition des opportunités de recrutement pour les meilleurs d’entre eux.
Pour Martin Dubé, co-organisateur du Hackfest Québec : « Le Hackfest est un organisme à but non lucratif qui a pour objectif de promouvoir la sécurité informatique. Notre événement annuel a regroupé plus de 600 participants la dernière édition et nous désirons faire grandir la communauté de passionnés de sécurité informatique. Il nous fait plaisir d’encourager l’initiative du Hacknowledge qui a une mission similaire à la notre en leur offrant un pied à terre à Québec, notamment des locaux, du matériel informatique pour les challenges et biensûr la possibilité de récupérer un maximum de participants. Nous voyons cette édition comme une opportunité de nous faire connaître à l’extérieur du Québec et de travailler sur des projets avec des gens aussi passionnés que nous.»
De son côté Franck Ebel, co-organisateur du Hacknowledge-Contest Europe-Afrique, souligne « Cet échange outre-Atlantique nous permettra d’obtenir une autre vision du hacking que celui de l’Europe/Afrique et de faire rencontrer lors de la finale l’équipe québécoise sélectionnée avec celles du hacknowledge « traditionnel ». Le hacking n’a pas de frontière et cette étape sera une expérience enrichissante et un partage de connaissances unique. »
Le menu proposera plus de soixante dix épreuves illustrées par des techniques multiples (forensic, hardware, réseau filaire, wifi, web, applicatif, systèmes industriels…). Chaque équipe qualifiée recevra une bourse pour représenter son pays lors de la compétition finale qui se déroulera en France. Le Hacknowledge-Contest 2014-2015 récompensera les lauréats d’un séjour à Las Vegas, où ils participeront à la mythique conférence DEF CON, qui rassemble chaque année l’élite du hacking planétaire.
A propos de l’association ACISSI
ACISSI (Audit, Conseil, Installation et Sécurisation des Systèmes Informatiques) est une association loi 1901. Ses fondateurs sont trois membres de l’Université de Valenciennes et du Hainaut Cambrésis, Franck Ebel, Responsable de la licence professionnelle Ethical Hacking « CDAISI », Jérôme Hennecart, Responsable de la formation continue en DUT Mesures Physiques, et Robert Crocfer, administrateur réseau et responsable administratif de l’antenne de Maubeuge. Les autres membres techniques de l’association sont des professionnels et experts en sécurité informatique reconnus. L’association a pour principal objectif de sensibiliser et former à la sécurité informatique l’ensemble des publics ayant un contact de près ou de loin avec les systèmes d’informations.
A propos du Hackfest
Le Hackfest est une communauté regroupant tant les experts que les passionnés de la sécurité informatique. L’événement annuel du même nom, réunit plus de 600 personne et est l’activité principale de l’organisation. Le Hackfest a un rayonnement provincial et dans l’est du Canada anglais qui fait que plus de la moitié des participants viennent de l’extérieur de la région de Québec. Le Hackfest regroupe d’autres activités, telles que le HackerSpace mensuel, le Podcast, le blogue, les projets et encore plus.
L’événement annuel c’est deux jours de conférences, où la première journée s’adresse à un public curieux de la sécurité et la deuxième à un publique qui s’intéresse aux détails techniques de la sécurité, aka “Hardcode”. Les soirées sont une rencontre privilégiée, où les participants peuvent mesurer leur habileté en sécurité lors de « Capture the Flag », « Red team & Blue team » unique en sont genre, du lockpicking et plus encore. Cela en fait le plus gros événement de sécurité au Québec et le plus gros rassemblement de hacking games du genre dans l’Est du Canada.
Le site oueb de l’Instance supérieure indépendante pour les élections (ISIE) en Tunisie, isie.tn, a été victime d’un piratage informatique qui a perturbé l’espace démocratique durant quelques heures.
Une attaque informatique non revendiquée officiellement. Selon le président de l’ISIE, Chafik Sarsar, le pirate a pu atteindre, via une faille iSQL, mercredi 8 et jeudi 9 juin, la base de données du portail. Il semble, mais cela n’a pas été confirmé, qu’une attaque de type DDoS a été lancée à l’encontre de l’application USSD en charge des inscriptions. Une attaque qui fait suite au piratage du Facebook de l’ISIE, le 8 juillet, par un pirate du nom de Fellaga. Ce dernier a diffusé, dans l’espace communautaire de l’instance ce message « Un homme averti ne se fait pas piéger deux fois. A quoi servent les élections ? Inventons une solution alternative !« .
Un pirate informatique Moldave, qui avait piraté une banque américaine de Floride, vient d’être condamné par la justice Suisse.
L’homme âgé de 38 ans vient d’écoper d’une amende de 1,5 millions de francs Suisses, de quelques mois de prison et se retrouve avec une expulsion vers les Etats-Unis qui risquent de lui coûter encore plus cher. A noter que la justice a pu saisir 12 millions de francs (plus de 9 ,8 millions d’euros) que le pirate possédait sur six comptes bancaires qu’il possédait.
Avec 6 passeports en poche, le voleur numérique aurait, via ses actes de piratages et ses complices, transféraient quelques 200 millions de francs Suisse (+164 millions €). Il avait réussi à pirater des comptes bancaires de la Warrington Bank en piégeant une caissière, via un mail malveillant. Il lui avait dérobé ses identifiants de connexion qui avaient permis par la suite à opérer des dizaines de paiements frauduleux. (Le Matin)
Orange Business Services intègre Salesforce à Business VPN Galerie, son hub sécurisé de services cloud.
Les entreprises pourront accéder à l’ensemble des solutions cloud Salesforce à travers le réseau « cloud-ready » d’Orange Business Services A l’occasion de la tenue du Salesforce World Tour à Paris, Orange Business Services a annoncé l’arrivée de Salesforce au sein de son écosystème de services cloud disponibles sur Business VPN Galerie. Lancé en 2010, Business VPN Galerie est le premier hub mondial reliant les clients VPN d’Orange Business Services à des services cloud à travers des passerelles entièrement sécurisées.
Grâce à Business VPN Galerie, les entreprises accèdent aux infrastructures et aux applications cloud d’Orange et de ses partenaires en bénéficiant des avantages d’un réseau privé conçu pour les besoins du cloud, dit « cloud-ready ». Elles bénéficient ainsi de services de management et de support de bout en bout ou encore de garanties de fiabilité, de performance et de sécurité. Les clients peuvent par ailleurs conserver leurs moyens d’accès utilisateur existants, ainsi que les politiques relatives à la sécurité de leur entreprise. « Business VPN Galerie a été la première offre réseau « cloud-ready » du marché. En interconnectant Business VPN Galerie et Salesforce, nous enrichissons considérablement l’écosystème d’applications disponibles sur Business VPN Galerie », déclare Didier Duriez, Senior Vice President Global Solutions and Services chez Orange Business Services.
L’association des solutions Orange Business Services et Salesforce permet ainsi aux entreprises de bénéficier simultanément des avantages de leur réseau VPN et de la flexibilité de salesforce.com, pionnier du modèle cloud. « Les entreprises doivent renouveler leurs manières d’interagir avec leurs clients pour se développer dans le monde connecté qui est le nôtre aujourd’hui », indique Olivier Derrien, Vice Président de salesforce.com. « En intégrant Salesforce.com à Business VPN Galerie, Orange Business Services soutient les entreprises dans cette transformation majeure. » Actuellement, Business VPN Galerie fournit des services à plus de 700 entreprises multinationales sur plus de 15 000 sites.
Aujourd’hui, pas moins de 20 services cloud d’Orange Business Services et de ses partenaires sont disponibles à travers Galerie.
Silent Circle, société spécialisée dans les communications privées, révolutionne la sécurité des appareils mobiles pour protéger les données confidentielles des particuliers et des entreprises.
Elle a annoncé aujourd’hui le développement du service Out-Circle Calling (OCC), son offre hybride d’appels cryptés qui permet aux abonnés Silent Circle de recevoir et d’effectuer des appels privés cryptés vers des personnes qui ne sont pas abonnées et ce, dans 79 pays au total par l’intermédiaire du service Silent Phone de la société. Le lancement du service mondial Out-Circle Calling bouleverse profondément les modèles traditionnels de communications mobiles sur lesquels se reposent les opérateurs de services sans fil ; modèles qui imposent des frais d’itinérance très élevés aux abonnés, particuliers comme professionnels. En revanche, le service Out-Circle Calling permet aux usagers Silent Phone de bénéficier d’une option VoIP de qualité exceptionnelle pour effectuer des appels vers des mobiles standard et des lignes relevant d’un réseau téléphonique public commuté (RTPC) partout dans le monde. Dans le même temps, ils bénéficient de l’offre combinée de Silent Circle (confidentialité, service et valeur ajoutée) en matière de communications mobiles cryptées à l’échelle mondiale et ce, dès qu’ils localisent un réseau Wi-Fi ou de téléphonie mobile.
Les abonnés qui choisissent d’adhérer à un forfait d’appels internationaux cryptés de Silent Circle recevront des numéros Silent Phone uniques à 10 chiffres. Ils pourront ainsi effectuer des appels en dehors du réseau d’abonnés Circle vers et depuis un nombre de régions beaucoup plus important – quatre à cinq fois plus important que ses principaux concurrents non positionnés sur le marché des communications sécurisées, Skype et Viber par exemple. Les forfaits d’appels cryptés Out-Circle (https://www.silentcircle.com/pricing) commencent à partir de 12,95 dollars (USD) pour 100 minutes. Cela inclut des appels illimités entre abonnés Silent Phone, un service Silent Text illimité (SMS cryptés) partout dans le monde, la possibilité de recevoir des appels sur son numéro Silent Phone de la part de n’importe quelle personne dans le monde, ainsi que 100 minutes d’appels vers des non abonnés présents dans les régions couvertes. Des forfaits offrant plus de minutes sont disponibles aux tarifs suivants : 19,95 $ pour 250 minutes ; 24,95 $ pour 500 minutes ; 39,95 $ pour 1 000 minutes. Les appels peuvent être passés depuis n’importe quel endroit dans le monde selon les tarifs internationaux standard de l’appelant.
« Les forfaits d’appels internationaux cryptés Out-Circle de Silent Circle représentent une avancée majeure dans cet effort qui vise à proposer des communications privées et cryptées partout dans le monde. Les services Silent Phone et Silent Text proposent déjà des avantages inégalés. Mais grâce à notre développement actuel, nous offrons à nos abonnés des avantages beaucoup plus notables en matière de flexibilité et de coûts », a déclaré Mike Janke, PDG de Silent Circle. « La réalité est que l’offre Out-Circle Calling propose un service de communications privées à bas coût qui se positionne en solution alternative aux forfaits mobiles classiques. Tout le monde peut l’utiliser, que ce soit votre voisin ou bien les cadres qui se déplacent fréquemment pour le compte de leur entreprise multinationale. Grâce à une présence géographique plus importante, des communications d’excellente qualité et des fonctionnalités intégrées inégalées en matière de protection de la vie privée, le service Silent Phone permet de renforcer davantage la position de chef de file de Silent Circle dans le domaine des communications sécurisées des particuliers et des entreprises que ce soit à l’échelle d’une ville ou du monde entier. »
Silent Circle change la façon dont le monde communique et ce, dans un contexte de menaces accrues à l’encontre des données confidentielles. Ces menaces criminelles, commerciales, sur Internet ou bien bénéficiant de l’aval des États concernent les individus partout dans le monde. Les abonnés Silent Circle utilisent Silent Phone pour effectuer des appels (vocaux et vidéo) privés d’excellente qualité sur des appareils iOS et Android. Ils utilisent Out-Circle Calling pour appeler des numéros classiques ; les communications sont alors cryptées entre l’appareil de l’utilisateur Silent Phone et le réseau privé de Silent Circle. Le service Silent Phone pour PC de Silent Circle propose des fonctions supplémentaires (visioconférences privées) aux utilisateurs de PC et ordinateurs portables Windows. Le service Silent Text permet aux abonnés d’échanger des SMS privés, notamment des pièces jointes volumineuses (jusqu’à 100 MB), le tout doté d’une fonction de suppression qui permet d’effacer automatiquement, en toute sécurité et à une heure prédéfinie les messages envoyés et leurs pièces jointes sur les appareils du destinataire et de l’expéditeur.
Les applis uniques de Silent Circle en matière de communications privées sont également disponibles sur Blackphone, le premier smartphone du monde à laisser le contrôle et la protection de la vie privée directement entre les mains des usagers. Les appareils Blackphone ont été mis au point par SGP Technologies, coentreprise basée en Suisse qui a été établie entre Silent Circle et Geeksphone, développeur espagnol de téléphones portables. Les appareils ont commencé à être livrés aux clients en juin. Ils comprennent PrivatOS, système d’exploitation doté d’une sécurité accrue et reposant sur Android™, ainsi qu’un éventail complet d’applications capables de protéger la vie privée des usagers, y compris Silent Phone et Silent Text.
Aujourd’hui Internet est le principal vecteur de menaces pour l’entreprise, qu’il s’agisse de menaces massives ou ciblées. Cela concerne toutes les formes d’utilisation d’Internet, aussi bien les sites web classiques, l’Internet 2.0 avec des pages web dynamiques, les applications web et utilisant le Cloud, les réseaux sociaux etc…
L’usage d’Internet évolue avec les nouvelles technologies, les employés utilisent de plus en plus de solutions liées au Cloud, des applications web, des terminaux mobiles et même leur propre équipement informatique. L’Internet mobile représentait 40% des connexions à Internet selon la dernière étude de l’INSEE. Quelques soient ces évolutions et les suivantes, tous ces usages utilisent les flux Internet, et donc le vecteur de propagation des menaces ne change pas.
Toute entreprise devrait être en mesure de protéger ses actifs. Pour cela, elle se doit d’être capable d’analyser la totalité des flux transitant par Internet pour pouvoir bloquer les menaces connues et identifier les objets qui pourraient être des menaces inconnues. Elle doit donc pouvoir inspecter 100% du trafic.
L’accroissement du trafic chiffré
On constate une augmentation importante du volume des flux chiffrés sur Internet. On estime, en moyenne, que le trafic chiffré représente déjà entre 25 et 35% du trafic web entrant dans les entreprises. Hors si auparavant le trafic chiffré était à l’initiative de l’utilisateur qui souhaitait garantir la confidentialité de ses informations lorsqu’il se connectait à certains sites comme les sites bancaire, l’administration, un paiement en ligne… désormais ce n’est plus le cas. Le plus simple exemple est de taper l’adresse http://www.google.fr dans votre navigateur. Surprise, c’est l’adresse https://www.google.fr qui apparaîtra quand la page va s’afficher. C’est le serveur de Google qui a lancé le chiffrement de cette connexion, sans que vous l’ayez demandé.
Force est de constater que la majorité des sites et applications sur Internet chiffrent leur trafic sans que l’utilisateur en ai fait la demande. Et ce phénomène ne va aller qu’en s’accélérant. Pour preuve, Google a récemment annoncé qu’il référencerait mieux dans son moteur de recherche les sites utilisant un trafic chiffré. Quand on connait l’importance d’avoir un bon référencement dans le premier moteur de recherche du monde, on comprend aisément que la majorité des sites web vont accélérer leur passage au trafic chiffré ! Autre donnée qui va dans le même sens, le laboratoire indépendant NSS Labs estime que le trafic chiffré connait actuellement une croissance de 20% chaque année.
Même si l’utilisation du SSL est censée accroitre la sécurité des données qui transitent, cela pose un vrai problème pour les entreprises. Car dans ces 25 à 35% des flux Internet qui sont chiffrés, les outils de sécurité déployés par l’entreprise ne peuvent pas effectuer leurs missions correctement, quel que soit l’outil utilisé : un anti-virus, un IPS, du contrôle de contenu, un SIEM…
On estime que 80% des attaques complexes (APT – Advanced Persistent Threat) utilisent les connections SSL. La découverte de la faille HeartBleed a montrée au grand jour à quel point un problème sur le trafic chiffré pouvait toucher les entreprises. La grande majorité des entreprises ont dû prendre des dispositions suite à cette découverte.
Que doit faire l’entreprise pour garantir sa sécurité face à la croissance des flux chiffrés ?
Pour garantir le même niveau de sécurité, il faut que l’entreprise soit capable de déchiffrer les trafics SSL, et la technique existe depuis plusieurs années, le « Man in the Middle ». Cela n’est pas si simple à mettre en œuvre. D’abord, l’entreprise doit respecter les réglementations et donc elle doit mettre en place des politiques de déchiffrement, c’est-à-dire définir ce qui doit être déchiffré et ce qui ne doit pas l’être, avec la mise en place de catégories de sites, de type de profils d’utilisateurs etc… Il faut également que le processus de déchiffrement n’ai pas d’impact sur l’expérience utilisateur, hors cela consomme beaucoup de ressources de déchiffrer un flux Internet.
Une étude récente du NSS Labs (un test sur 7 firewalls de dernière génération) montre que l’impact sur le déchiffrement est double :
– En premier lieu cette opération entraine une diminution drastique de la capacité de traitement globale et une baisse des performances de 74% ! Et ces résultats ne concernent que les sites web utilisant une clé de chiffrement de 512 ou de 1024 bits. La chute des performances atteint 80% lorsque les clés de chiffrement utilisées sont de 2048 bits.
– Deuxièmement, l’étude constate également une diminution très important du nombre de transactions traitées par ces firewalls, pourtant de nouvelle génération, la baisse allant de 86,8% (avec des clés de 512 bits) jusqu’à 92.28% pour des clés de 2048 bits.
Il faut prévoir que cette baisse de performances va être accentuée dans les déploiements de l’infrastructure de sécurité « en silo » c’est à dire où chaque outils de sécurité fonctionne indépendamment.
Que faire ?
Dans un monde idéal, l’entreprise doit pouvoir bénéficier d’une technologie haute performance capable de d’effectuer du déchiffrement à haute vitesse (40 Gbits), sur laquelle l’entreprise sera en mesure de mettre en place une politique de déchiffrement basé sur le contexte (catégorie de site, provenance, destination, profil d’utilisateur…) et qui devra être en capacité d’alimenter différentes solutions de sécurité afin de garantir qu’une fois déchiffré, le trafic bénéficie du même niveau de contrôle que le trafic en clair. (Par Dominique Loiselet, Blue Coat)
Des chercheurs découvrent que les implants MiniDuke mis à jour en 2013 n’ont pas disparu et sont même utilisés dans le cadre de cyber attaques actives ciblant les gouvernements et d’autres entités.
En outre, la nouvelle plate-forme MiniDuke, appelée BotGenStudio, pourrait non seulement être utilisée par des cybercriminels dans le cadre d’attaques ciblées, mais également par des forces de l’ordre et des criminels traditionnels. La nouvelle vague d’attaques enregistrée en 2014 est quelque peu différente de celle décelée en 2013.
Mode opératoire
La nouvelle backdoor principale de MiniDuke (appelé TinyBaron ou CosmicDuke) est codée grâce à un framework personnalisable appelé BotGenStudio. Il est suffisamment flexible pour activer ou désactiver des composants lorsque le bot est construit. Les composants peuvent être divisés en 3 groupes : persistance (le malware peut se lancer via Windows Task Scheduler), reconnaissance (le malware peut voler un grand nombre d’informations) et exfiltration (le malware dépose plusieurs connecteurs réseaux pour aspirer les données)
Typologie de cibles
Alors qu’en 2013 MiniDuke était utilisé pour cibler des entités gouvernementales, la nouvelle version CosmicDuke cible également les organisations diplomatiques, le secteur de l’énergie, les opérateurs télécoms, des prestataires dans l’armée mais également des individus impliqués dans la vente et le trafic de substance illicites (notamment des stéroïdes et des hormones).
Zones géographiques ciblées
Les utilisateurs des anciens serveurs MiniDuke ciblent la France, l’Australie, la Belgique, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne, l’Ukraine et les Etats-Unis. CosmicDuke est plutôt intéressé par la Grande Bretagne, les Etats Unis, la Géorgie, la Russie, le Kazakhstan, l’Inde, le Belarus, Chypre, l’Ukraine et la Lituanie.
Rythme de travail classique
Les cybercriminels semblent travailler selon un rythme de travail classique du lundi au vendredi, même s’il leur arrive de travailler le week-end également. Leurs horaires de travail sont également classiques : de 7h à 20h CET (mais la majeur partie du travail est réalisée entre 7h et 17h). (Kaspersky)
Dans l’environnement commercial actuel, les entreprises ont plus tendance à subir les dangers de faiblesses subtiles et dissimulées que ceux de menaces puissantes et évidentes.
Avec l’évolution de la technologie, les entreprises modernes se développent constamment pour répondre aux besoins du monde du travail. Malheureusement, la conséquence de cette évolution peut être que des fonctions de sécurité d’impression peuvent passer inaperçues. Ce problème n’est pas forcément majeur, mais une étude réalisée par Ponemon en 2013 indique que les violations de données peuvent coûter jusqu’à 5 millions de US$ par an dans certains pays. L’étude révèle aussi qu’un pourcentage important de ce chiffre était dû à un manque de solutions d’impression sécurisée pour protéger les entreprises des violations de données.
Découvrir les risques
On estime qu’il existe trois types principaux de violations de données en raison d’une sécurité d’impression inadéquate. La plus courante est la violation de données avec intention de nuire. Quand les données privées et sensibles sont imprimées régulièrement, si elles tombent entre de mauvaises mains, les conséquences peuvent être coûteuses pour l’entreprise. Les violations de données sont devenues plus courantes au fur et à mesure que les entreprises utilisent le Cloud dans leur travail. Les informations sont maintenant plus faciles à extraire car elles peuvent être interceptées de façon virtuelle au lieu de les récupérer sur place. Le risque de vol interne existe toujours.
L’erreur humaine peut aussi être un facteur entraînant des violations de données. Choisir accidentellement la mauvaise imprimante de bureauet envoyer un document sensible sur le mauvais réseau peuvent avoir des conséquences graves pour l’entreprise. Éliminer l’élément humain de ce processus n’éliminera pas nécessairement le problème. Si un réseau d’impression est connecté de façon incorrecte au Cloud, les documents peuvent se perdre. L’erreur humaine n’a donc rien à voir dans ce cas.
Éviter les risques
Les entreprises qui traitent de données sensibles ont des mesures de sécurité leur permettant de protéger leur propriété intellectuelle. Appliquer ces mesures de sécurité aux réseaux d’impression contribue à réduire le nombre de violations de données. La première mesure à prendre pour protéger la sécurité des réseaux d’impression est d’introduire des contrôles des privilèges d’impression des collaborateurs. Il est possible de réduire le nombre de vols internes en réduisant le nombre de collaborateurs ayant accès et pouvant imprimer des données sensibles. Il est toujours possible de contourner un système de sécurité et donc de réduire l’erreur humaine. Les données peuvent toujours être violées.
Quand vous mettez en place un réseau d’impression sécurisé, il est important de faire appel à un spécialiste informatique car les erreurs de programmation et de mise en réseau peuvent affecter la précision des réseaux et donc être plus coûteux au long terme. Si le réseau est mis en place correctement, la fonction de mode d’impression sécurisé, courante sur la plupart des appareils compatibles avec le Cloud, peut réduire considérablement le nombre de violations de données provoquées par des défaillances informatiques. Bien entendu, ceci dépend de la précision d’installation du réseau de sécurité
Si la gestion de la sécurité d’impression est bien planifiée et mise en place, la protection de la propriété intellectuelle d’une entreprise sera simple et les violations seront réduites de façon considérable.
