Archives mensuelles : mars 2015

BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, Fuite de données, iOS, Linux, Logiciels, Microsoft, Propriété Industrielle

Nomad Vault : sauvegarder, partager et transférer

Un commentaire

Nomad Vault : Un réseau privé virtuel 100 % sécurisé accessible avec une petite clé USB.

Comment éviter de tout perdre en cas de crash du disque dur de son ordinateur portable ? Comment éviter de s’exposer à des failles de sécurité en accédant au cloud via un portail internet ? Comment être sûr qu’il n’y a aucune trace (fichier, document, logiciel….) de son travail lorsqu’on utilise son ordinateur ou sa tablette qui appartient à une entité tierce ?

Jusqu’à présent, il n’y avait aucune solution conçue spécialement pour les utilisateurs nomades. Et par conséquent, il n’y avait rien qui réponde parfaitement à leurs besoins.

Mais maintenant, il y a Nomad Vault ! Grâce à une petite clé USB très intelligente, les utilisateurs bénéficient d’une solution très performante conçue, développée et gérée en France. Le but : créer en quelques secondes son propre réseau privé virtuel 100 % sécurisé, accessible n’importe où et n’importe quand. Pour Laurent Brault, dirigeant de MDK Solutions, « Nomad Vault est une alternative innovante et sécurisée aux services de stockage/partage de données classiques. »

Comment ça marche ?
C’est très simple : il suffit d’insérer la clé USB dans votre ordinateur ou PC portable, ou de lancer l’application Nomad Vault Tablette sur votre tablette Android ou iOS…. et le tour est joué ! Après avoir saisi votre mot de passe, vous bénéficiez d’un canal crypté pour accéder à des serveurs distants.

Cette solution présente 3 avantages principaux :
1. Vous profitez d’une solution 100 % sécurisée, sans le moindre risque, pour utiliser des données, des logiciels, des fichiers stockés dans le cloud.
2. Grâce à la sauvegarde automatique, vous ne perdez rien en cas de crash de votre disque dur.
3. Vous pouvez travailler n’importe où, n’importe quand, et vous ne laissez jamais la moindre trace sur l’ordinateur (très pratique si vous devez vous connecter à partir d’un poste de travail qui n’est pas le vôtre : la confidentialité des données est garantie). Grâce à l’intelligence fonctionnelle de la clé USB, il n’est même pas nécessaire de passer par un portail internet, et donc de supporter les risques liés aux failles potentielles de sécurité en ligne. C’est la seule solution sur le marché à proposer cette innovation majeure !

Sur tablette (Apple iOS, Android)
1. L’intelligence locale de la Clé USB est remplacée par une Application Nomad Vault (gratuite pour toutes les fonctions de consultation, 3euros/an
pour avoir la possibilité de mise à jour).
2. L’authentification forte apportée par la clé est remplacée par un code à saisir transmis par un message SMS sur le téléphone mobile de l’utilisateur lors de l’identification.

Quelles sont les utilisations de Nomad Vault ?
Laurent Brault précise : « Une solution conçue spécialement pour les utilisateurs nomades, soit des millions de personnes en France. ». Dirigeants, avocats, commerciaux, consultants, courtiers, députés, formateurs…. De nombreux professionnels ont besoin de pouvoir travailler à distance, facilement et sans prendre le moindre risque. Avec Nomad Vault, ils peuvent garder leurs dossiers sous la main, même sans être connectés. Et comme chaque clé est unique et pilotable à distance, il est tout à fait possible de la personnaliser totalement pour l’adapter à des besoins spécifiques, en créant par exemple des accès spécifiques en fonction de l’utilisateur. Certains dossiers peuvent également être stockés directement sur la clé USB.

Que se passe-t-il en cas de perte/de vol de la clé USB ?
Avec MDK Solutions, il n’y a absolument rien à craindre ! Les données ne sont pas perdues pour autant : les fichiers sont synchronisés dans des serveurs cloud, situés sur le territoire français. Si votre clé est récupérée par une personne malveillante, elle ne pourra pas s’en servir : son contenu est crypté et donc inexploitable. A votre demande, MDK Solutions peut aussi blacklister la clé pour qu’elle soit inutilisable.

Android, Sécurité, Smartphone, Virus

13 adwares ont réussi à s’infiltrer dans Google Play

Un commentaire

Malheureusement, il convient de reconnaître que même les systèmes de validation d’applications des stores officiels ne sont pas parfaits. Lookout a détecté 13 nouveaux cas, ou applications, renfermant des adwares dans Google Play. Certains comportent des caractéristiques s’apparentant à celles des codes malveillants et se font même passer pour Facebook ; une fois installés il est alors difficile de les supprimer du smartphone.

Au cours du mois dernier, un certain nombre de rapports portant sur les adwares détectés dans Google Play ont été publiés. Au début du mois de février, des investigateurs ont constaté trois cas d’adwares qui ne commençaient à se comporter de façon malveillante, en présentant intempestivement à leurs victimes des publicités, que 30 jours après leur installation. De plus, ils forçaient les utilisateurs à ouvrir des pages Web dont le contenu pouvait s’avérer dangereux. À la fin du même mois, ces investigateurs ont découvert 10 autres cas d’adwares dont les comportements étaient similaires.

Deux familles d’adwares appelés HideIcon et NotFunny se sont cachées parmi les 13 nouveaux cas détectés par Lookout. Au total, selon les chiffres de téléchargement divulgués par Google, ces logiciels ont été téléchargés entre 130 000 et un demi-million de fois. Découvrons à présent ces dernières menaces en date :

HideIcon
Nombre de cas détectés : 1
HideIcon présente effectivement des caractéristiques s’apparentant aux logiciels malveillants car, une fois installé sur le smartphone, il fera exactement ce que son nom suggère : il cachera l’icône. Cela peut ne pas sembler dramatique, toutefois il est nettement plus difficile de supprimer une application sur votre smartphone si vous ne savez pas qu’elle y est installée. Après avoir caché son icône, des variantes d’HideIcon forceront l’affichage intempestif de publicités sur l’écran de l’utilisateur, ce qui pourra perturber son expérience. L’application ne semble proposer aucune modalité de service ni aucune valeur ajoutée pour l’utilisateur. Cheetah Mobile a été le premier à détecter cet adware en janvier. Google a supprimé cinq applications douteuses l’abritant, et pourtant HideIcon a réussi à s’infiltrer dans le système de Google Play via une autre application. Comment s’est-il présenté ? L’application prétend être un jeu de carte accompagné de ses consignes de jeu telles que reprises dans Google Play. Au moment de sa suppression par Google, 1 000 à 5 000 téléchargements avaient déjà été effectuées.

NotFunny
Nombre de cas : 12
NotFunny comporte deux parties: un « injecteur » et une « charge utile » ou le logiciel malveillant lui-même. L’injecteur se cache dans des applications de type « application gratuite de sonneries de Noël », des applications de fonds d’écran, des applications de faux pointeur, et d’autres encore. Quand une victime télécharge une de ces applications et la lance, l’injecteur l’invite à télécharger la charge utile. Cette application de charge utile prétend être Facebook, fait apparaître une icône Facebook sur l’écran d’accueil du smartphone et demande à l’utilisateur de lui accorder un certain nombre d’autorisations, dont notamment l’accès à ses informations personnelles, aux services payants, à ses messages et à sa position. Une fois l’installation terminée, la charge utile cache son icône. Comme la plupart des logiciels publicitaires, la charge utile force l’affichage de publicités intempestives sur le smartphone, ce qui peut perturber l’expérience de l’utilisateur. Le code est assez rudimentaire et n’indique pas qu’un adversaire sophistiqué se cache derrière la menace

Lookout a trouvé 12 cas différents de NotFunny dans Google Play, en provenance d’un certain nombre de comptes de développeurs différents. Nous ne savons pas si une ou plusieurs personnes sont derrière lesdits comptes. Les thèmes des applications parmi lesquelles nous l’avons trouvé allaient des « changeur de voix amusants » aux outils qui changent prétendument votre widget de batterie en une cigarette allumée.

Il est facile d’imaginer qu’une personne ayant récemment fait l’acquisition d’un nouveau smartphone se décide à télécharger de nouvelles applications amusantes, comme les susnommées, afin de personnaliser son expérience utilisateur. Après que Google ait retiré un premier groupe d’applications, le développeur en a téléchargé à nouveau deux autres, cette fois sans l’adware. On peut donc penser que le développeur avait inséré le logiciel douteux dans l’application sans en connaître ses propriétés malveillantes ou qu’il n’avait pas compris les règles de Google. Bien sûr, il se peut aussi que le développeur se soit rendu compte qu’il ne s’en tirerait pas si facilement.

Peut-on faire confiance au Google Play ?
En un mot, oui. Il faut que tous les membres du secteur joignent leurs forces afin d’être en mesure d’assurer la sécurité d’un marché d’applications, et Google travaille avec diligence avec les entreprises de sécurité pour s’assurer de la qualité des applications mises à disposition dans Google Play. Quand une application malveillante se glisse cependant aux travers des mailles du filet, Google la supprime le plus rapidement possible. À dire vrai, la bataille de la sécurité pour garantir la sûreté de nos appareils se mène sur plusieurs fronts.

Précautions à prendre pour optimiser sa sécurité
Lisez les avis des autres utilisateurs avant de télécharger une application. Si la majorité dit : « Cette application n’arrête pas d’afficher des pubs ! » ou tout autre commentaire négatif, doutez de la légitimité de l’application

Téléchargez des applications créées par des développeurs réputés ou de confiance. Si vous avez des doutes quant à une application, cherchez à en savoir plus sur son développeur

Assurez-vous d’installer une application de sécurité qui peut détecter les menaces telles que les logiciels publicitaires avant que ceux-ci ne vous perturbent

Lisez attentivement les autorisations que l’application vous demande avant de l’installer.

Supprimer un adware
Si une application a caché son icône, vous pouvez procéder de deux façons pour la désinstaller de votre appareil Android. Supprimez-la dans le menu des paramètres :

1. Accédez au menu des paramètres de votre appareil sous Android
2. Sélectionnez « Applications » ou « Gestionnaire d’applications »
3. Recherchez l’application que vous souhaitez désinstaller et appuyez dessus
4. Sélectionnez « Désinstaller »

Sinon, vous pouvez directement la désinstaller depuis Google Play :

1. Accédez à l’application Google Play
2. Appuyez sur l’icône de menu
3. Accédez à « Mes applications »
4. Appuyez sur l’application en question
5. Sélectionnez « Désinstaller »

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Patch, Piratage, Propriété Industrielle

Du déni de service au contournement de la cyber-sécurité

Un commentaire

Premier rapport trimestriel de Corero Network Security : du déni de service au contournement de la cyber-sécurité. Des attaques plus fréquentes et avec de nouvelles visées, voilà le constat inquiétant du premier rapport publié par Corero et réalisé à partir des données de ses clients.

Corero Network Security, éditeur de solutions de sécurité contre les attaques par DDoS comme Première Ligne de Défense, publie aujourd’hui la première édition de son étude trimestrielle sur les tendances et l’analyse des DDoS. En analysant les données des clients du quatrième trimestre 2014, Corero constate que les pirates ont évolué dans leur utilisation des attaques DDoS. Celles-ci servent désormais à contourner les solutions de cyber-sécurité des entreprises, à perturber la disponibilité des services et à infiltrer les réseaux des victimes.

Le Rapport trimestriel Corero sur les tendances et l’analyse des DDoS s’appuie sur des données provenant de ses clients – hébergeurs, data centers, FAI et entreprises en ligne – du monde entier et sur l’analyse de l’état de l’art faite par le SOC (Security Operations Center) de la société.

Des attaques plus courtes et à saturation partielle
DDoS était précédemment le nom consacré pour ces attaques car elles déniaient l’accès aux sites web ou aux solutions basées sur le web. Bien que ce soit encore le cas en certaines circonstances, les organisations sont également visées par un nouveau type de trafic d’attaque par DDoS. Les données des clients de Corero montrent deux nouvelles tendances : de courtes explosions du trafic au lieu d’épisodes qui se prolongent et des attaques par saturation partielle des liaisons au lieu de l’inondation complète du réseau, comme le terme déni de service l’évoquait historiquement.

Au lieu de longues attaques, environ 96% des attaques DDoS ciblant les clients de SmartWall Threat Defense System (TDS) de Corero ont duré 30 minutes ou moins. Le problème provient du fait que les clients Corero observent en moyenne 3,9 tentatives d’attaques journalières. Pour les organisations qui s’appuient sur des défenses hors bande ou sur le nettoyage anti-DDoS pour réacheminer le trafic après qu’une attaque ait été identifiée, cela peut prendre jusqu’à une heure pour que la solution cloud de mitigation des DDoS prenne le relais avec succès. Ce temps de réponse assez long signifie que même les principaux outils du cloud pour la défense contre les DDoS pourraient complètement rater une attaque. Les organisations subiraient alors les pannes que ces solutions sont censées prévenir.

En outre, 79% des tentatives d’attaque DDoS ciblant les clients de Corero entre le 1er Octobre et le 31 Décembre 2014 avaient des pics d’utilisation de la bande passante inférieurs à 5 Gbps. Ces attaques visaient à partiellement saturer la liaison Internet et détourner l’attention des équipes de sécurité de l’entreprise, tout en laissant suffisamment de bande passante disponible pour qu’une attaque ultérieure permette d’infiltrer le réseau de la victime et d’accéder aux données sensibles ou à la propriété intellectuelle du client.

Des DDoS à des fins de profilage
Alors que les attaques volumétriques par DDoS sont plus faciles à identifier et recueillent souvent la plus grande attention, Corero a constaté que les attaquants commencent à démultiplier les attaques multi-vecteur et adaptables à leur cible. Cela leur permet de profiler la stratégie de défense de la sécurité du réseau de la victime, puis de lancer de nouvelles attaques qui contourneront les outils de cyber-sécurité de l’organisation.

« Les attaques par déni de service ont été une menace pour la disponibilité du service pendant plus d’une décennie. Plus récemment, ces attaques sont devenues plus sophistiquées et multi-vectorielles, débordant les mécanismes traditionnels de défense ou les contre-mesures réactives », déclare à DataSecurityBreach.fr Dave Larson, CTO et vice-président Produits de Corero Network Security. « Comme les expériences de nos clients l’indiquent, la régularité de ces attaques souligne simplement le besoin croissant d’une protection adaptée pour vaincre les attaques DDoS à la périphérie du réseau et assurer l’accessibilité nécessaire à l’entreprise connectée à Internet ou aux fournisseurs d’accès Internet eux-mêmes. »

Pour que les organisations se défendent à la fois contre les méthodes d’attaque DDoS traditionnelles et évolutives, Corero préconise de mettre en œuvre une technologie pour détecter, analyser et répondre aux attaques DDoS en inspectant le trafic Internet brut par le débit de la ligne, pour identifier et bloquer les menaces dès les premiers paquets d’une attaque donnée. Mettre en place une stratégie de sécurité multicouche mettant l’accent sur la visibilité continue et l’application de la politique de sécurité pour installer une première ligne de défense proactive capable de lancer la mitigation des attaques DDoS, tout en maintenant une connectivité de plein service et la disponibilité du trafic légitime. Veiller à la visibilité totale des couches applicatives et du réseau lors événements de sécurité DDoS. Cette bonne pratique permet également l’analyse forensique des menaces passées et permet de disposer des rapports de conformité de l’activité de sécurité. (Le rapport)

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Quand les virus informatiques détruisent nos complexes industriels

Fin décembre, le gouvernement allemand a émis un rapport concernant une cyber-attaque contre une aciérie, qui a eu pour conséquence des dommages conséquents causés à l’usine. L’événement a été largement médiatisé depuis, de la BBC à Youtube ; le SANS Institute (SysAdmin, Audit, Network, Security) a notamment fourni une analyse détaillée de l’attaque. Nombre de ces rapports, comme celui de Wired, ont désigné l’attaque comme « le second cas confirmé dans lequel une attaque numérique a entraîné la destruction physique d’équipements », la première étant Stuxnet.

L’attaque s’est produite seulement quelques semaines après celles de BlackEnergy, ce qui a attiré mon attention, ce cas-ci constituant une attaque bien plus fondamentale contre une infrastructure majeure. L’attaque s’est concentrée sur la contamination de composants d’interface homme-machine issus de divers fournisseurs. De même que dans l’attaque sur des infrastructures américaines de gaz naturel rapportée par US-Cert en 2013, BlackEnergy représente une initiative élargie contre des capacités industrielles, bien plus sérieuse que l’attaque unique de l’aciérie allemande.

La visibilité que donne cet incident quant au risque de cyber-attaques est essentielle ; elle nous avertit que les attaques ciblées contre l’Internet des Objets en général et contre les infrastructures essentielles en particulier doivent être prises au sérieux. Certains historiens des technologies désignent juin 2010 comme le moment où tout a changé. C’est le moment où Stuxnet a frappé et aurait neutralisé un cinquième des centrifugeuses nucléaires en Iran. Depuis, le public n’a eu connaissance que de quelques autres cas d’usage de cyber-armes, mais ne vous y trompez pas : depuis 2010, les pays et « des groupes renégats » collectent des renseignements en masse et mettent au point des cyber-armes dont il peut être facilement fait usage contre un ennemi.

Les anomalies et interruptions consécutives de la connexion internet en Corée du Nord sont attribuées, sans confirmation, à des représailles suite à la récente agression d’une entreprise basée aux Etats-Unis. Suivant cette tendance, il n’est pas inimaginable que les guerres du futur se déroulent largement sur Ethernet, infligeant aux infrastructures des dommages bien plus importants et coûteux que nous ne pouvons l’imaginer.

Ce n’est pas de la science-fiction. Le directeur de la NSA, Michael Rogers, l’a annoncé publiquement : la Chine pourrait neutraliser la totalité du réseau électrique des Etats-Unis et d’autres attaques similaires pourraient être lancées, constituant des menaces concrètes pour les simples citoyens. Le trojan HAVEX récemment découvert en est un autre exemple. Ce malware a infiltré un nombre indéterminé d’infrastructures essentielles en s’intégrant à des mises à jour logicielles diffusées par des fabricants de systèmes de contrôle. Ces attaques impactent des systèmes sur lesquels nous nous appuyons quotidiennement, notamment des systèmes utilitaires, des raffineries, des systèmes de défense militaire, ou des usines de traitement des eaux.

Avec notre dépendance accrue aux technologies de l’information et nos systèmes interconnectés, nos efforts pour assurer à ces systèmes des défenses appropriées n’ont pas suivi le rythme. Par exemple, un simple pare-feu et des technologies de sécurité basées sur des règles ne garantissent pas la sûreté d’environnements diffusés ou virtuels, ni ne protègent d’attaques « jour zéro » ciblées où aucune signature n’a été développée. Les cybercriminels de niveau corporatif et les cyber-terroristes d’échelle nationale peuvent facilement tirer parti de ces brèches dans notre armure défensive et lancer la prochaine attaque d’envergure.

Lors de la mise en place de nouvelles technologies, il est essentiel de faire de la sécurité un enjeu du débat plutôt que d’y faire face par un ajout après-coup ou même suite à une attaque. Notre capacité à sécuriser les intérêts commerciaux et intérêts nationaux requiert une posture « vers l’avant » contre les scénarios de plus en plus plausibles où une arme lancée contre nous sera peut-être bien plus silencieuse mais bien plus dévastatrice lorsque nous ferons face aux cyberguerres.  (Par Christian Hiller, Président, EMC France)

Apple, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Piratage, Propriété Industrielle

« Etat des lieux de l’Internet » du 4ème trimestre 2014

Un commentaire

Akamai Technologies, Inc. fournisseur en services de réseaux de diffusion de contenu (CDN), vient de publier son Rapport « Etat des lieux d’internet » du 4ème trimestre 2014. Établi à partir des données recueillies par l’Akamai Intelligent Platform™, ce rapport permet de mieux comprendre les principales statistiques mondiales, notamment les vitesses de connexion et adoption du haut débit sur les réseaux fixes et mobiles, le trafic global des attaques, préparation des réseaux au format 4K, épuisement des adresses IPv4 et mise en œuvre d’IPv6. Le rapport analyse aussi plusieurs failles de sécurité très connues, dont les failles Poodle et de type DNS flood, et les attaques UpnP et Yummba Webinject.

« En 2014, nous avons observé une croissance globale de tous nos principaux indicateurs : connectivité Internet, adoption du haut débit et préparation au passage à la vidéo 4K », indique à DataSecurityBreach.fr David Belson, l’auteur du rapport. « Ces tendances positives sont un encouragement au vu d’une étude récente qui révèle que 4,4 milliards de personnes n’ont pas accès à l’Internet. Il est donc plus que nécessaire de continuer nos efforts pour améliorer et déployer l’infrastructure Internet dans le monde. »

Vitesses moyennes de connexion et connectivité haut débit : la croissance positive à long terme se poursuit en Europe
Pour le 3ème trimestre consécutif, la vitesse de connexion moyenne dans le monde est restée supérieure au seuil du haut débit (fixé à 4 Mbps), avec 4,4 Mbps, soit une augmentation de 0,7 % par rapport au trimestre précédent. Avec une vitesse de connexion moyenne de 14,6 Mbps au 4ème trimestre (en hausse de 3,5 %), la Suède devance de peu la Suisse, et se classe en tête des pays européens pris en compte dans l’étude. La Suisse, qui détenait la première place depuis trois trimestres consécutifs, se place au 2ème rang, avec, 14,5 Mbps, comme au trimestre précédent. Ces deux pays, ainsi que les Pays-Bas, l’Irlande, la République tchèque, la Finlande, le Danemark, la Roumanie, la Norvège, le Royaume-Uni et la Belgique, enregistrent une vitesse de connexion moyenne supérieure au seuil de 10 Mbps, qui définit le très haut débit.

Par rapport à l’année précédente, les vitesses de connexion moyennes sont unanimement à la hausse en Europe. L’augmentation la plus faible concerne l’Autriche, avec 3,9 %, et la plus forte la Roumanie, avec un taux de croissance annuel de 61 %. En outre, la Finlande, la Suède et le Portugal enregistrent des augmentations de plus de 30 % par rapport au quatrième trimestre 2013.

Le pic moyen de vitesse de connexion a légèrement augmenté au 4ème trimestre, passant à 26,9 Mbps, soit 8,4 %. En Europe, les variations de ce trimestre oscillent de 1,3 % au Portugal (44,3 Mbps) à 14 % en Roumanie (67 Mbps). Les modifications par rapport à l’année précédente sont également à la hausse. L’Autriche, avec une augmentation de 9,4 %, est le seul pays européen à rester en dessous d’un taux de croissance annuelle de 10 %, tandis que la Finlande fait un impressionnant bond en avant de 40 %.

Les taux d’adoption du très haut débit (>10 Mbps) sont en hausse de 2,9 % au 4ème trimestre, faisant suite à un léger déclin au 3ème trimestre. En Europe, dans trois des pays analysés, plus de la moitié des adresses IP individuelles se connectaient à Akamai à plus de 10 Mbps en moyenne. La Roumanie, avec une hausse de 11 % par rapport au trimestre précédent, est repassée à un taux d’adoption du très haut débit de 55 %, rejoignant la Suisse (56 %) et les Pays-Bas (56 %). Le taux de croissance trimestriel a varié entre 1 % en Norvège et 17 % en Espagne. L’examen de la croissance par rapport à l’année précédente fait état d’une augmentation de 8 % ou plus dans tous les pays européens analysés. En outre, le Portugal et la Roumanie ont constaté des taux d’adoption du très haut débit qui ont plus que doublé depuis l’an dernier.

Le taux d’adoption du haut débit (>4 Mbps) a légèrement baissé au 4ème trimestre, soit une perte de 0,7% qui l’a stabilisé à 59 %. Au cours du trimestre, ce taux a atteint 90% ou plus dans trois pays européens : la Suisse (93 %), le Danemark (92 %) et les Pays-Bas (91 %). Dans tous les autres pays analysés, plus de 60 % des adresses IP individuelles se connectaient à Akamai à des vitesses moyennes supérieures à 4 Mbps.

Le 4ème trimestre a été marqué par une série d’annonces qui devraient dynamiser les initiatives autour du haut débit dans toute l’Union européenne. En novembre dernier, le gouvernement hongrois a ainsi déclaré son intention de consacrer une enveloppe de €586 millions pour implanter l’Internet haut débit sur tout le territoire d’ici 2018. La Commission européenne a pour sa part annoncé un plan de €315 milliards destiné à améliorer l’infrastructure et le haut débit.

Préparation au format 4K : la connectivité ultra-rapide de plus en plus accessible et répandue
Akamai avait intégré un nouvel indicateur, celui de la « Préparation à la technologie 4K », à son Rapport Etat des lieux de l’internet – 1er trimestre 2014. Il continue à dresser la liste des pays susceptibles de supporter des vitesses de connexion supérieures à 15 Mbps, car les streamings vidéo Ultra HD à débit adaptatif exigent généralement une bande passante comprise entre 10 et 20 Mbps. Les résultats obtenus ne tiennent pas compte des autres facteurs de préparation, tels que l’existence de contenu 4K ou de téléviseurs et lecteurs médias compatibles 4K.

Au 4ème trimestre 2014, dans neuf des pays européens analysés, au moins une adresse IP sur cinq se connectait à Akamai à des vitesses moyennes supérieures à 15 Mbps : la Suède, la Suisse, les Pays-Bas, la Roumanie, la Norvège, le Royaume-Uni, le Danemark, la Finlande et la République tchèque.

Au cours de ce trimestre, la Suède s’est classée première en Europe, avec le plus haut taux de préparation au 4K : 31 %. Elle reste toutefois talonnée de près par la Suisse et les Pays-Bas avec des taux de 30 %. Par rapport à l’année précédente, de fortes hausses de la préparation au 4K ont été observées dans tous les pays européens. Trois d’entre eux ont vu leur taux plus que doubler par rapport au quatrième trimestre de 2013 : la Roumanie (320 %), le Portugal (204 %) et l’Espagne (102 %). Dans huit autres pays européens, ce taux a dépassé une hausse annuelle de 40 % : la Hongrie (94 %), la Slovaquie (68 %), la Suède (61 %), la Finlande (55 %), le Danemark (50 %), la Suisse (50 %), la Norvège (50 %) et le Royaume-Uni (42 %).

Attaques et sécurité : les attaques contre le port 23 ont plus que doublé
Akamai gère un ensemble distribué d’agents anonymes, déployés sur tout l’Internet, et dont la mission est de consigner les tentatives de connexion pouvant être considérées comme des attaques. S’appuyant sur ces données, Akamai peut ainsi identifier les principaux pays à l’origine des attaques et les ports visés en priorité. Toutefois, le pays d’origine identifié par son adresse IP source n’est pas forcément celui dans lequel réside le hacker.

Au 4ème trimestre 2014, Akamai a observé des attaques en provenance de 199 pays ou zones géographiques distincts. Comme vu précédemment, la Chine reste loin devant les autres pays avec un taux de 41 %. Elle est ainsi à l’origine de trois fois plus d’attaques que les États-Unis (13 %). Ce trimestre, l’Allemagne a rejoint le groupe des 10 principaux pays incriminés, avec un taux d’attaques de 1,8 % de la totalité observée (soit une hausse de 0,6 % au 3ème trimestre). La majorité des attaques a cependant pour épicentre la région Asie Pacifique (59 %), suivie de l’Europe (19 %) soit une forte hausse (11 % au trimestre précédent).

Au total, les attaques visant les 10 ports principaux ont représenté 79 % du trafic au 4ème trimestre, soit une hausse de 38 % par rapport au trimestre précédent. Le Port 23 (Telnet) reste la cible favorite, avec 32 % des attaques constatées, soit une hausse 2,5 fois supérieure aux niveaux antérieurs. Les Ports 445 (Microsoft-DS), 8080 (HTTP Alternate), 3389 (services Microsoft Terminal) et 22 (SSH) ont également fait l’objet d’attaques.

Attaques par déni de service distribué (DDoS) en hausse en Europe ce trimestre
Le rapport comprend également une étude des attaques DDoS s’appuyant sur les observations de ses clients. Ces derniers ont signalé 327 attaques au 4ème trimestre 2014, soit une augmentation de plus de 20 % par rapport au trimestre précédent. Les secteurs du commerce et des grandes entreprises sont majoritairement visés.

En Europe, les attaques DDoS sont en hausse de 18 % par rapport au trimestre précédent. Une comparaison avec l’année précédente montre que le taux de ces attaques est beaucoup plus élevé en Europe qu’aux Amériques et en Asie Pacifique, soit une augmentation de 28 % (167 attaques en 2013 contre 214 attaques en 2014).

IPv4 et IPv6 : les pays européens restent les leaders de l’adoption d’IPv6
Au 4ème trimestre 2014, environ 803 millions d’adresses IPv4 originaires de 239 pays/zones géographiques différents étaient connectées à l’Akamai Intelligent Platform. Le nombre d’adresses IPv4 individuelles détectées dans le monde par Akamai a augmenté d’environ 12 millions d’un trimestre sur l’autre. Se classant parmi les 10 premiers au 4ème trimestre, le Royaume-Uni et la Corée du sud affichent les hausses les plus importantes, avec respectivement 8,1 % et 6,6 % par rapport au trimestre précédent.

Les pays européens ont confirmé leur domination en matière d’adoption de l’IPv6, en se classant parmi les 10 premiers dans le monde. Un nouveau-venu, la Norvège, a enregistré un spectaculaire bond en avant de 88 % de son trafic Ipv6 par rapport au trimestre précédent. La Belgique reste cependant le chef de file, avec 32 % de demandes de contenu transitant par IPv6, soit plus du double de l’Allemagne. Comme aux trimestres précédents, les opérateurs câble et téléphonie mobile restent la principale source des demandes IPv6 adressées à Akamai. Beaucoup d’entre eux sont des leaders de l’adoption IPv6 dans leurs pays respectifs. Les Belges Verizon Wireless et Brutele transmettent plus de la moitié des demandes à Akamai via IPv6, talonnés par Telnet. Quant aux opérateurs allemands Kabel Deutschland, Kabel BW et Unitymedia, au 4ème trimestre, plus d’un quart de leurs demandes à Akamai passent par IPv6.

Android, Cyber-attaque, Leak, Piratage, Sécurité, Smartphone, Virus

Plus de 4500 nouveaux fichiers malveillants chaque jour sur Android

Le Mobile Malware Report G DATA du second semestre 2014 fait état d’une croissance soutenue des dangers ciblant Android : 796 993 fichiers malveillants ont été détectés durant la période.

Au total, 1,5 million de codes dangereux sur Android ont été analysés en 2014. Une croissance qui reflète le fort intérêt pour la plateforme. Selon l’institut IDC, 80% des systèmes d’exploitation utilisés dans le monde seraient sous Android.

Au cours du second semestre 2014, le nombre de nouveaux malware pour Android a augmenté de 6,1% comparé au premier semestre de la même année. Avec un total de 1,5 million de nouveaux logiciels malveillants, l’année 2014 connait une croissance de 30% comparée à l’année 2013.

Évolution des malwares ciblant Android depuis 2011
Les boutiques alternatives d’applications sont des vecteurs de codes nuisibles. Mais en fonctions des pays, les utilisateurs ne sont pas tous exposés de façon égale aux dangers. Les experts G DATA ont analysés plusieurs plateformes et les résultats montrent que les boutiques européennes et américaines
proposent moins d’applications dangereuses que les boutiques chinoises ou russes. Sur certaines plateformes chinoises, près d’une application sur quatre est infectée par un code malveillant ou un programme potentiellement indésirable (PUP).

En 2014, G DATA découvrait un spyware intégré dans le micrologiciel (firmware) du smartphone Star N9500. En mars de cette année, c’est le modèle Mi4 du fabricant Xiaomi, commercialisé en Allemagne, qui est en cause. En localisant ce téléphone pour le marché allemand par la mise à jour de son firmware, l’importateur y a intégré un programme d’espionnage qui envoie des données utilisateurs sur des serveurs distants. Volontaire ou non, cette intégration pose le problème des canaux de distribution peu traçables empruntés par certains matériels importés de Chine. (MMB)

Cybersécurité, Justice, loi, Twitter

Quand la propagande tourne au nez rouge

La presse s’est fait l’écho de la fermeture de 9,200 comptes Twitter de djihadistes par Anonymous. Vraiment ?

On a lu un peu partout que le groupe informel Anonymous avait réussi à faire fermer 9,200 comptes Twitter de présumés djihadistes. Une belle action signée Anonymous. Sauf que… Anonymous n’y est pour rien. Derrière cette liste, un site et un internaute anonyme qui en avait marre de voir s’afficher dans le réseau de micro blogging Twitter des images de soldats américains morts. Bilan, il a regroupé des comptes de présumés djihadistes via différents espaces les regroupant eux même de leurs côtés. Le message de XRSone, l’auteur de cette idée, a depuis disparu. La liste des adresses est toujours active via un nouvel espace numérique. Elle affiche plus de 8,908 sites actifs, suspectés d’être pro ISIS. 5,460 ont déjà été fermés par Twitter.

Il y a de forte chance que l’Oncle Sam lui a tapé, gentiment, sur les doigts. Pendant ce temps, les djihadistes ont diffusé les identités d’une centaine de soldats américains. Adresses et photographies mis en ligne pour que ces derniers soient tués « Grâce à l’énorme quantité de données que nous avons obtenues de différents serveurs et bases de données, nous avons décidé de communiquer 100 adresses afin que nos frères résidant en États-Unis d’Amérique puissent s’occuper de vous« . Bref, de la propagande que le Pentagone prend cependant très au sérieux. Les pseudos pirates de l’EI on simplement profité de la langue bien pendue de certains militaires sur Facebook ou encore Twitter. Preuve que lire le guide du bon usage des Médias Sociaux pour les militaires sur le terrain n’est pas un vain mot.

Un guide pour les militaires français
Les médias sociaux sont des plates-formes qui peuvent être collaboratives, de partage et d’échange. Ils offrent des services très variés aux utilisateurs : actualités, mails, chats, blogs, partage de photos, vidéos, géolocalisation, wiki , forum… Les réseaux sociaux font partie intégrante des médias sociaux, ils réunissent des individus autour d’intérêts communs. Le Ministère Français de la Défense a diffusé, il y a quelques temps, un guide à destination des militaires « Notre objectif est de vous aider à utiliser ces médias, à vous poser les bonnes questions avant de publier certains contenus et de vous sensibiliser aux risques potentiels lorsque vous publiez des photos, des vidéos, des informations relatives à une opération, à votre situation personnelle…« 

Un guide à mettre dans toutes les mains, il explique les règles de bon usage, pour un militaire, mais aussi pour les familles. Utiliser les médias sociaux en toute sécurité sans jamais mettre en péril ni le bon déroulement d’une opération, ni votre vie, ni celle de vos camarades ou de votre famille tout en conservant la liberté de surfer sur les réseaux sociaux.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Particuliers, Vie privée, VPN

Protégez vos fesses sur Internet avec HMA

2 commentaires

HideMyAss! est un service permettant de surfer chiffré et en monde anyme. HMA vous permet d’utiliser un VPN, un tunnel qui chiffre les informations qui transitent entre vous et les réseaux que vous pouvez utiliser, visiter, exploiter : FTP, IRC, web… Bilan, vous surfez de Paris, HMA permet de modifier cette situation géographique en faisant croire que vous êtes à New-York, Luxembourg ou sur une île perdue dans l’océan atlantique. Plus de 110,000 adresses IP disponibles, 174 pays, dont une centaine d’emplacements en Europe et quelques 831 emplacements numériques disponibles partout dans le monde. Un service payant, mais largement utile qui fonctionne sur PC, MAC, tablette, ordiphone, … 11 euros par mois ; 50€ euros pour un semestre ; 79€ pour une année.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering, Virus

Equation Group : nouvelles tactiques de cyber espionnage

Les attaques de cyber espionnage commanditées par des Etats gagnent en complexité pour échapper au radar de systèmes de détection de plus en plus efficaces. Cette nouvelle tendance est confirmée par une analyse des spécialistes de Kaspersky Lab, centrée sur la plate-forme de cyber espionnage EquationDrug.

EquationDrug est la principale plate-forme d’espionnage développée par Equation Group et utilisée depuis plus d’une décennie, bien qu’à présent largement remplacée par GrayFish, une plate-forme encore plus sophistiquée. Les tendances tactiques confirmées par l’analyse d’EquationDrug ont été observées en premier par Kaspersky Lab au cours de ses recherches sur les campagnes de cyber espionnage Careto et Regin notamment.

Des techniques qui évoluent pour rester toujours plus indétectables
Les experts ont observé qu’après les succès croissants du secteur dans la mise au jour des groupes à l’origine des menaces persistantes avancées (APT), les plus élaborés d’entre eux s’attachent désormais à multiplier le nombre de composants de leur plate-forme malveillante afin d’en réduire la visibilité et d’en améliorer la discrétion. Les dernières plateformes comportent de nombreux modules qui leur permettent de sélectionner et de réaliser un large éventail de fonctions différentes, selon les victimes ciblées et les informations en leur possession. Selon les estimations de Kaspersky Lab, EquationDrug comprend 116 modules distincts.

« Les auteurs d’attaques commanditées par des Etats cherchent à créer des outils de cyber espionnage plus stables, invisibles, fiables et universels. Ils se concentrent sur le développement de frameworks permettant d’intégrer ces codes dans des éléments personnalisables sur des systèmes actifs et offrant un moyen sûr de stocker l’ensemble des composants et des données sous une forme cryptée, inaccessible au commun des utilisateurs », explique Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab. « La sophistication d’un tel framework distingue ce type de menace des cybercriminels traditionnels, qui préfèrent se focaliser sur les capacités du code malveillant, conçu dans l’optique de gains financiers directs. »

D’autres caractéristiques différencient les tactiques des auteurs d’attaques commanditées par des Etats, comparés aux cybercriminels classiques :

·         Echelle. Les cybercriminels traditionnels diffusent en masse des e-mails contenant des pièces jointes malveillantes ou infectent des sites Web à grande échelle, tandis que les acteurs étatiques privilégient des frappes chirurgicales extrêmement ciblées, n’infectant qu’une poignée d’utilisateurs spécifiques.

·         Personnalisation. Tandis que les cybercriminels classiques réutilisent généralement du code source disponible dans le domaine public, à l’exemple des chevaux de Troie de sinistre réputation Zeus ou Carberb, les acteurs étatiques confectionnent des malwares personnalisés, y intégrant même des restrictions qui empêchent leur décryptage et leur exécution en dehors de l’ordinateur ciblé.

·         Extraction d’informations sensibles. Les cybercriminels tentent en général d’infecter le plus grand nombre possible d’utilisateurs. Ils ne disposent cependant pas de suffisamment de temps ni d’espace de stockage pour examiner manuellement chacune des machines infectées et analyser l’identité de leur propriétaire, la nature des données qu’elle renferme et le type des logiciels qui y sont exécutés, puis transférer et conserver la totalité des informations potentiellement intéressantes.

o    En conséquence, ils codent des malwares de vol « tout en un » qui se bornent à n’extraire que les données les plus précieuses (mots de passe ou numéros de cartes de crédit, par exemple) sur les machines des victimes, une activité susceptible d’attirer rapidement sur eux l’attention de tout logiciel de sécurité installé.

o    Par contre, pour leur part, les auteurs des attaques étatiques, disposent de ressources suffisantes pour stocker autant de données qu’ils le souhaitent. Afin de passer inaperçus des logiciels de sécurité, ils évitent d’infecter des utilisateurs au hasard et font plutôt appel à un outil générique de gestion de systèmes à distance, capable de copier toutes les informations éventuellement nécessaires, quelle qu’en soit la quantité. Cela risque toutefois de jouer contre eux car le transfert de volumes massifs de données pourrait ralentir la connexion réseau et éveiller les soupçons.

« Il peut sembler inhabituel qu’une plate-forme de cyber espionnage aussi puissante qu’EquationDrug n’offre pas toutes les capacités de vol en standard au cœur de son code malveillant. L’explication tient au fait que ses concepteurs préfèrent personnaliser l’attaque pour chacune de leurs victimes. Ce n’est que s’ils ont décidé de vous surveiller activement et que les produits de sécurité sur vos machines ont été neutralisés que vous recevrez un module espionnant en direct vos conversations ou d’autres fonctions spécifiques liées à vos activités. Nous pensons que la modularité et la personnalisation vont devenir la marque distinctive des attaques étatiques à l’avenir », termine Costin Raiu.

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Sauvegarde, Vie privée

1 milliard de données personnelles identifiables divulguées en 2014

L’équipe de recherche et développement IBM X-force vient de publier son rapport trimestriel sur son analyse des menaces avancées. Ce rapport dévoile qu’au moins 1 milliard de données personnelles identifiables (PII) ont été divulguées en 2014.

Le rapport 2015, qui met également en évidence les résultats du dernier trimestre 2014, a recensé plus de 9 200 nouvelles failles de sécurité affectant plus de 2 600 fournisseurs, ce qui représente une augmentation de 9,8% par rapport à 2013 et constitue l’augmentation la plus importante en une seule année depuis que le rapport X-Force a été créé il y a 18 ans.

Selon ce rapport (qui ne prend en compte que les informations d’IBM, NDR), le nombre total de failles enregistrées en 2014 était de près de 20% plus élevé qu’en 2013 (où l’on enregistrait 800 millions de données divulguées). 74,5%, le nombre d’incidents enregistrés aux Etats-Unis, ce qui est beaucoup plus élevé que dans les autres pays. Une majorité (40,2%) des types d’attaques les plus courants n’ont pas été identifiés. Les logiciels malveillants (malwares) et les DDoS (déni de service distribué) arrivent en seconde position avec un taux de 17,2% chacun. La divulgation par l’US-CERT d’une classe de vulnérabilités affectant des milliers d’applications Android qui mettent à mal les certificats SSL représentent 15% du total pour l’année, portant peu à peu le décompte final à un nouveau sommet historique.

Les chercheurs attribuent largement ces chiffres croissants à l’augmentation de l’indifférence des développeurs en matière de sécurité. Ces derniers ont été lents à mettre en œuvre des « patches » en dépit des avertissements et de la sensibilisation accrue aux vulnérabilités. En fait, 10 des 17 (59%) applications bancaires utilisant Apache Cordova qui ont été initialement divulguées en octobre 2014 étaient encore vulnérables en janvier de cette année.

Le rapport montre également une augmentation des vulnérabilités de « conception », qui sont de plus en plus meurtrières, très reconnaissables, ayant des noms et logos accrocheurs (par exemple : Heartbleed et Shellshock) et qui devraient désormais être prises en compte dans la conception et le développement. Ces vulnérabilités ont révélé des failles facilement exploitables dans les systèmes de base et les bibliothèques sous-jacentes qui supportent presque toutes plateformes web et les systèmes de gestion de contenu habituels.