Archives quotidiennes :

Entreprise, ID, Identité numérique

L’accès à certains sites réservé aux majeurs

L’accès à certains sites ou services sur Internet est réservé aux majeurs, en particulier l’accès aux sites web à caractère pornographique. Il est alors nécessaire de mettre en place un système de vérification de l’âge de l’internaute. La CNIl propose des pistes pour Jacky, Michelle et compagnie !

Ces dispositifs, qui participent à la protection des mineurs, ne sont jamais parfaitement efficaces et des contournements sont possibles. Ils peuvent, par ailleurs, présenter des risques pour la vie privée. La CNIL rappelle qu’à défaut de pouvoir viser une efficacité absolue, il convient de choisir des dispositifs pertinents et sécurisés pour atteindre le meilleur résultat possible. Ils doivent être réservés aux sites pour lesquels cela est nécessaire, le principe restant que l’accès aux sites web doit se faire par défaut sans contrôle d’identité ou d’âge.

Le contrôle de l’âge de l’internaute, dans un objectif de protection de la jeunesse, est compatible avec le règlement général sur la protection des données (RGPD), à condition de présenter des garanties suffisantes pour minimiser les atteintes à la vie privée et éviter que le contrôle de l’âge soit l’occasion pour les éditeurs de récupérer des données supplémentaires sur les internautes consultant leur site. En outre, il convient d’éviter que les données soient captées par un tiers pour des usages malveillants (vol de données biométriques, hameçonnage, usurpation, chantage…).

Les solutions existantes

Dans sa position, la CNIL analyse les solutions existantes et précise les conditions à respecter pour garantir leur sécurité.

Elle rappelle notamment qu’il est possible d’utiliser la carte bancaire : si certains mineurs ont une carte bancaire (ou peuvent s’en procurer une) pour accéder à un site, la vérification par carte bancaire n’en demeure pas moins efficace dans la plupart des cas pour protéger les plus jeunes et s’appuie sur une technologie éprouvée, qui peut aussi être utilisée pour contrôler l’accès à des sites gratuits. L’analyse faciale des traits du visage par un système automatique accédant à la webcam de l’ordinateur, sans reconnaissance faciale biométrique, permet également de bloquer l’accès des plus jeunes et d’autoriser l’accès des personnes ayant nettement plus de 18 ans ; elle présente en revanche des risques d’erreur pour les personnes proches de l’âge de 18 ans.

Dans les deux cas, ces solutions doivent être opérées par des tiers présentant un niveau de sécurité et de fiabilité suffisant, pour éviter les vols de données et garantir la prise en compte des risques additionnels engendrés par leur utilisation. D’autres solutions sont possibles mais présentent certaines difficultés techniques ou une maturité moindre.

Une annonce intéressante au moment d’actions « punitives » de Google. La firme alerte des blogs et sites web de contenus pour adultes à faire disparaitre. Un système tellement précis et efficace (#blague) que le géant américain impose à des sites web, comme celui de votre serviteur ou encore ZATAZ, de faire disparaitre des articles contenant les mots « sites pour adultes » sous peine d’être interdit de supports publicitaires.

Nous allons voir, en combien de temps, cet article va tomber dans la moulinette « censure » de Google.

Cybersécurité, Espionnae

Faille dans Google Chrome utilisée par un logiciel espion pour smartphone

Une vulnérabilité de type « zero-day » dans Google Chrome (CVE-2022-2294) découverte lorsqu’elle a été exploitée à l’encontre de journaliste basé au Moyen-Orient.

Le logiciel espion Candiru, provenant d’une entreprise Israélienne, aurait été diffusé à partir d’une faille exploitant le navigateur de Google, Chrome. C’est l’équipe Cyber d’Avast Threat Intelligence qui a découvert la cyber attaque au Liban. Des journalistes figuraient parmi les parties visées, et que d’autres cibles en Turquie, au Yémen et en Palestine.

Google a corrigée la faille le 4 juillet 2022.

Selon le fonctionnement du malware et des tactiques utilisées pour mener l’attaque, les chercheurs l’ont attribué au fournisseur de logiciels espions Candiru, basé à Tel Aviv et connu pour vendre des logiciels d’espionnage à des clients gouvernementaux. Lors de cette attaque, un profil du navigateur de la victime, composé d’environ 50 points de données, est collecté et envoyé aux attaquants. Les informations recueillies comprennent la langue de la victime, le fuseau horaire, les informations inscrites sur l’écran, le type d’appareil, les plugins de navigateur, le référent, la mémoire de l’appareil, la fonctionnalité des cookies, etc.

Si les données collectées correspondent à ce que les attaquants recherchent, l’opération de type « zero-day » est transmise à l’appareil de la victime via un canal crypté. Une fois que les attaquants sont entrés sur la machine, une charge malveillante connue sous le nom de DevilsTongue est envoyée pour tenter d’augmenter la portée du malware afin d’obtenir un accès complet à l’appareil de la victime.

DevilsTongue est un logiciel espion avancé, capable d’enregistrer la webcam et le microphone de la victime, d’enregistrer les touches, d’exfiltrer la messagerie de la victime, son historique de navigation, ses mots de passe, sa géolocalisation, et bien plus encore.

Au Liban, les attaquants semblent avoir compromis un site web utilisé par les employés d’une agence de presse. Nous ne pouvons pas dire avec certitude ce que les attaquants ont pu chercher, mais souvent, la raison pour laquelle les attaquants s’en prennent aux journalistes est de les espionner eux ainsi que les dossiers sur lesquels ils travaillent directement, ou d’atteindre leurs sources et de recueillir des informations compromettantes et des données sensibles qu’ils ont partagées avec la presse. Une attaque comme celle-ci pourrait constituer une menace pour la liberté de la presse.

Google ayant rapidement corrigé la vulnérabilité le 4 juillet, les utilisateurs de Chrome doivent simplement cliquer sur le bouton lorsque le navigateur les invite à « redémarrer pour terminer l’application de la mise à jour. La même procédure doit être suivie par les utilisateurs de la plupart des autres navigateurs basés sur Chromium, y compris Avast Secure Browser. Les utilisateurs de Safari doivent passer à la version 15.6.

Cybersécurité, Entreprise

Outil open-source pour corréler les activités suspectes

Detectree, un nouvel outil open-source pour corréler les activités suspectes en cas de cyberattaque.

En cas de cyberincident, chaque minute compte. Il faut agir vite pour circonscrire l’attaque et minimiser les dommages. Pourtant, de nombreuses entreprises éprouvent encore des difficultés à délimiter les activités malveillantes et à évaluer leur impact.

Un nouvel outil open-source vient changer la donne : Detectree. Detectree a été conçu pour augmenter la visibilité sur les activités suspectes détectées. Développé par WithSecure™ (anciennement F-Secure Business), cet outil répond aux besoins des équipes de cyberdéfense (également appelées équipes bleues / Blue team).

Il est essentiel de pouvoir établir des corrélations entre les différents événements suspects enregistrés sur un endpoint. La visibilité est toujours une priorité, mais elle devient un impératif vital en cas d’incident. Une attaque est une course contre la montre. Plus vous avez besoin de temps pour établir des corrélations entre les différentes données enregistrées, plus vous tardez à remédier au problème. Face à une attaque, ce temps perdu est un véritable gaspillage.

Par exemple, lorsqu’un analyste recherche la cause d’un processus suspect, il doit généralement examiner les données des logs et reconstituer manuellement la chaîne des événements. Plus la chaîne est longue, plus elle devient difficile à analyser. Or, dans les grandes entreprises, les Blue Teams peuvent être confrontées à des volumes d’alertes colossaux : environ 11 000 par jour selon une récente étude*. Ces équipes peuvent donc facilement se retrouver submergées.

Detectree a été conçu pour simplifier le travail d’investigation en structurant les données des logs. Cet outil met en évidence les relations entre l’activité suspecte détectée et tous les processus, destinations réseau, fichiers et clés de registre liés à cette activité. Plutôt que de trier manuellement les données représentées sous forme de texte pour reconstituer la chaîne d’événements, les équipes peuvent observer directement les corrélations, ainsi que la nature de ces dernières. (Interactions, relations parent-enfant, injections de processus).

En s’appuyant sur la visualisation, les équipes peuvent rapidement cerner le contexte propre à une détection, et partager ces données avec les parties concernées de manière simple et intuitive. Elles ont ainsi la certitude que ces informations seront accessibles à tous ceux qui en ont besoin.

Même les Blue Teams les plus expérimentées et les plus compétentes ont besoin d’outils performants pour travailler efficacement. Certaines tâches sont complexes et particulièrement chronophages pour les équipes de sécurité. Detectree est un outil simple, qui apporte une réponse à ces problèmes.