Archives quotidiennes :

Cybersécurité, Entreprise

TEMU renforce la sécurité de sa boutique

Temu renforce ses mesures de cybersécurité avec une nouvelle initiative de Primes Aux Bogues [bug bounty] et la mise en œuvre de l’authentification à deux facteurs (2FA).

Temu, l’application de shopping la plus téléchargée au monde, a introduit des mesures de sécurité améliorées dans le cadre de son plan visant à renforcer la sécurité de son site Web et de ses applications mobiles. L’entreprise a introduit l’authentification à deux facteurs (2FA) et a lancé un programme de primes aux bogues sur la plateforme américaine Hacker One, l’une des plateformes de cybersécurité les plus renommées.

Les plateformes de commerce électronique populaires deviennent souvent la cible d’escrocs et de fraudeurs exploitant la confiance des utilisateurs dans des marques reconnues. Pour lutter contre cela, Temu a introduit un certain nombre de mesures de sécurité améliorées qui promettent de garantir une expérience d’achat plus sûre et plus agréable pour les utilisateurs.

Temu a rejoint d’autres grandes plateformes de commerce électronique et passerelles de paiement pour mettre en œuvre le 2FA, qui est de plus en plus considéré comme un élément nécessaire d’une cybersécurité solide. Il ajoute une couche supplémentaire de sécurité au-delà du simple nom d’utilisateur et du mot de passe. Il est ainsi beaucoup plus difficile pour les utilisateurs non autorisés d’accéder au compte d’un utilisateur, même s’ils ont compromis le mot de passe, réduisant ainsi le risque de pertes financières.

En novembre 2023, Temu s’est également associé à l’Américain HackerOne pour proposer un programme de primes aux bogues, rejoignant ainsi des entreprises telles qu’Amazon, Google, Tesla et Meta.

Grâce à ce programme, les pirates éthiques pourront se connecter à Temu et signaler les vulnérabilités de l’application afin de s’assurer qu’elles sont comblées et que l’application reste à l’abri des pirates et des fraudeurs. Le déploiement du 2FA et le programme de primes aux bogues font suite aux poursuites judiciaires de Temu contre les sites web frauduleux qui se font passer pour Temu afin de tromper les utilisateurs, et à l’appel de Temu aux utilisateurs pour qu’ils signalent les fraudes exploitant la marque Temu. En début d’année, Temu a obtenu des injonctions contre les sites d’hameçonnage de la part des tribunaux américains, une victoire dans son action juridique pour obliger les acteurs malveillants à rendre des comptes.

Temu est entré sur le marché européen au début de l’année 2023 et est depuis devenu l’une des applications les plus téléchargées dans la région.

Cybersécurité, double authentification

Lancement de Locknest : le premier gestionnaire de mots de passe physique et français

Sans dépendance au Cloud, Locknest propose de reprendre le contrôle sur ses données avec une clé physique.

Jeune entreprise innovante et française, spécialisée dans la cybersécurité, LockNest Group lance son premier produit : Locknest, le gestionnaire physique d’identité numérique. L’objectif : offrir au grand public l’opportunité de reprendre la main sur ses données confidentielles en les retirant du Cloud.

Locknest, c’est quoi ?

Locknest est un gestionnaire physique d’identité numérique. Sous la forme d’une clé qui tient dans la paume de la main, il est dédié à la protection des données confidentielles des utilisateurs. Facile à utiliser, il est universel (fonctionne avec tous types d’appareils, en Bluetooth et en USB-C) et autonome (aucune dépendance au Cloud).

Dans sa première version, Locknest permet de stocker jusqu’à 512 entrées. Une entrée c’est un identifiant, un mot de passe, une URL, un titre et une description. Locknest garantit le chiffrement des données critiques de bout en bout, jusqu’à ce que l’utilisateur récupère son mot de passe, automatiquement, dans le champ du formulaire à remplir. Grâce à un simple secret maître de 7 chiffres, il peut accéder au tableau de bord de son Locknest, sur l’application mobile ou l’application web, enregistrer des données et générer des mots de passe robustes.

En cas de perte : l’export chiffré de la base permet de sauvegarder ses données et de les réimporter sur un deuxième boîtier Locknest.

En cas de vol : A la manière d’une carte bancaire, Locknest applique une pénalité sous forme de bannissement temporaire à partir de 3 erreurs de secret maître et ce, jusqu’à ce que le bon secret maître ait été utilisé. Durant ces 10 minutes de bannissement, toute tentative d’ouverture de session sera purement ignorée. Avec un PIN de 7 chiffres, le temps nécessaire à l’attaquant pour trouver le secret maître est donc, en moyenne, de 13 ans. Ce qui permet assez largement de se rendre compte du vol de la clé et ainsi pouvoir agir avant que les secrets ne soient découverts.

Financement participatif réussi

En mars dernier, l’entreprise française a choisi de lancer son produit en précommande sur la plateforme de financement participatif KissKissBankBank. Avec près de 24 000 € récoltés, sur un objectif de 20 000€, la campagne de crowdfunding a été un véritable succès. La somme collectée a permis de lancer la production du premier lot de Locknest : les cartes électroniques ainsi que la coque en plastique ABS fabriquée sur-mesure par un plasturgiste français.

Pourquoi un boîtier physique à l’heure du tout-numérique ?

Locknest vise à modifier le comportement des utilisateurs en intégrant le moins de complexité possible. Plutôt que de miser sur une révolution technologique, les créateurs de Locknest ont préféré s’attaquer au frein le plus courant : le facteur humain. L’aspect hardware de la solution permet d’absorber une grande partie de la complexité de ce type de solutions, notamment en ne demandant qu’un PIN de 7 chiffres pour le déverrouiller, là où les solutions purement en ligne nécessitent un secret maître long et complexe. Le boîtier permet également de sécuriser physiquement les données grâce à un microcontrôleur sécurisé et un module d’accélération cryptographique AES supportant les clés allant jusqu’à 256 bits.

Enfin, l’aspect physique possède un avantage conséquent : il suffit d’éteindre le boîtier pour rendre inaccessibles ses données. Locknest permet de ne pas être dépendant du Cloud en enregistrant les données directement dans le boîtier. Les informations sont ensuite distribuées en USB ou en Bluetooth vers les différents équipements (PC, mobile). Un avantage en termes de sécurité, bien sûr, mais qui permet également d’éviter à l’utilisateur de devoir synchroniser ses appareils puisqu’il n’a plus qu’une seule source de données.

Un niveau de sécurité élevé pour tous

« Avec Locknest, nous souhaitons rendre la sécurité numérique accessible au plus grand nombre, explique Pierre Le Roy, président de LockNest Group. Plutôt que de chercher à optimiser encore le niveau de sécurité des utilisateurs déjà protégés, nous visons à remettre à niveau ceux qui n’ont pas encore trouvé de solution suffisamment simple. »

Locknest revendique en effet deux piliers d’égale importance dans sa conception : la sécurité et la simplicité. Plus besoin d’être un expert technique pour protéger ses données confidentielles.

« Notre vision est d’arriver à garantir un niveau de sécurité suffisant pour l’utilisateur tout en minimisant l’impact sur son quotidien, précise-t-il. Tous nos choix techniques offrent, selon nous, le meilleur compromis entre robustesse aux attaques et vitesse de calcul / simplicité d’utilisation. Toute sécurité est une contrainte, mais notre but est de la rendre la plus invisible possible. Rien ne sert d’avoir une défense quasi parfaite si l’utilisateur ne s’en sert jamais. »

Prix : 120 € TTC pour un Locknest. Aucun abonnement requis et les mises à jour logicielles sont gratuites.

Cybersécurité, Entreprise

Les entreprises ont du mal à identifier et à gérer les risques liés à la cybersécurité de leurs API

De nouvelles statistiques révèlent que si les API sont à l’origine de la majorité du trafic Internet, ces dernières demeurent en grande partie non sécurisées.

Un rapport consacré à la gestion et à la sécurité des API apporte quelques réponses sur la problématiques des API. Les conclusions démontrent que les entreprises tirent plus que jamais parti des API, une technologie qui sous-tend l’ensemble des applications et des sites les plus utilisés aujourd’hui. Or, cette surexploitation ouvre la porte à un nombre toujours plus important de menaces en ligne. Le rapport souligne l’écart entre l’utilisation des API par les entreprises et la capacité de celles-ci à sécuriser les données auxquelles les API accèdent.

Les API sont au cœur de l’univers numérique. Téléphones, montres connectées, systèmes bancaires et sites d’achat, toutes ces applications se reposent sur les API pour communiquer. Ces dernières peuvent aider les sites d’e-commerce à accepter les paiements, permettre aux systèmes médicaux de partager les données de leurs patients de manière sécurisée, voire permettre aux taxis et aux services de transport en commun d’accéder en temps réel aux données de circulation.

Toutes les entreprises d’aujourd’hui ou presque s’en servent pour développer des sites, des applications et des services de meilleure qualité et mieux les proposer à leurs clients. Malheureusement, les API non gérées ou non sécurisées représentent une mine d’or pour les acteurs malveillants à la recherche d’informations potentiellement sensibles.

Les API occupent une position centrale dans la manière dont les applications et les sites web fonctionnent. Elles constituent donc une cible privilégiée et relativement récente pour les pirates.

Gestion et à la sécurité des API

Même les secteurs les plus improbables connaissent des pics élevés de trafic lié aux API. L’intégration fluide proposée par ces dernières a poussé les entreprises de tous les secteurs à en tirer davantage parti, certaines plus rapidement que d’autres. Les secteurs de l’IdO, des trains, bus et taxis, des services juridiques, des jeux et du multimédia, ainsi que ceux de la logistique et de l’approvisionnement, détiennent la plus grande part de trafic lié aux API en 2023.

Le trafic lié aux API est à l’origine de la majorité du trafic Internet : les API dominent le trafic Internet dynamique autour du monde (57 %) et chaque région a observé une augmentation de leur utilisation au cours de l’année dernière. L’Afrique et l’Asie sont toutefois les premières régions à avoir massivement adopté les API et à constater la part de trafic la plus élevée en 2023.

Les API font face à un large éventail de menaces fréquentes et en augmentation constante. comme pour n’importe quelle fonction stratégique populaire hébergeant des données sensibles, les acteurs malveillants tentent d’exploiter tous les moyens nécessaires pour accéder à ces dernières. L’essor des API en termes de popularité a également entraîné une hausse du volume des attaques, les attaques par anomalie HTTP, par injection et par inclusion de fichiers étant les trois types d’attaques les plus couramment utilisés.

Les API « fantômes »

Les « Shadow API » constituent un moyen d’accès non sécurisé pour les acteurs malveillants. Les entreprises ont du mal à protéger ce qu’elles ne peuvent pas voir. Près de 31 % de points de terminaison d’API REST (l’endroit où une API se connecte aux logiciels) supplémentaires ont été identifiés grâce au Machine Learning (apprentissage automatique) plutôt que par l’intermédiaire d’identifiants fournis par les clients. En résumé, les entreprises ne disposent pas d’un inventaire complet de leurs API à l’heure actuelle.

Le Service Veille ZATAZ a pu repérer, il y a peu, des exploitations d’API par des pirates pour collecter de nombreuses informations [directes et indirectes] personnelles et professionnelles.

A noter que les solutions d’atténuation des attaques DDoS sont l’un des outils les plus efficaces pour protéger les API. Que les entreprises disposent d’une visibilité totale sur l’ensemble de leurs API ou non, les solutions d’atténuation des attaques DDoS peuvent les aider à bloquer les menaces potentielles. Un tiers (33 %) des mesures d’atténuation des menaces liées aux API ont été appliquées par des services de protection contre les attaques DDoS déjà en place.

« Les API sont des outils puissants permettant aux développeurs de créer des applications complexes et complètes afin de servir leurs clients, leurs partenaires et leurs collaborateurs, mais chaque API constitue une surface d’attaque potentielle devant être sécurisée », précise Melinda Marks, Practice Director, Cybersecurity chez Enterprise Strategy Group. « Comme le montre ce nouveau rapport, les entreprises ont besoin d’outils plus efficaces pour traiter la sécurité des API, comme une meilleure visibilité sur les API, des ressources permettant d’assurer l’authentification et l’autorisation entre les connexions, ainsi que de meilleurs moyens de protéger leurs applications contre les attaques. »

Les conclusions de ce rapport, notamment les statistiques mentionnées ci-dessus, se basent sur les schémas de trafic observés par le réseau mondial de Cloudflare entre le 1er octobre 2022 et le 31 août 2023.

Cybersécurité, Entreprise

L’employé, le meilleur ami des pirates

21 % des cyber incidents survenus dans les entreprises en France au cours des deux dernières années auraient été provoqués par des employés.

Selon une récente étude, les violations des politiques de sécurité de l’information d’une organisation par ses employés sont aussi dangereuses que les attaques de cyberpirates externes à l’organisation. En France, au cours des deux dernières années, 21 % des cyber incidents survenus dans les entreprises ont été provoqués par des employés qui ont intentionnellement violé les protocoles de sécurité. Ce chiffre est presque égal aux dommages causés par les violations de la cybersécurité, dont 22 % sont dues à des piratages informatiques.

La perception selon laquelle l’erreur humaine est l’une des principales causes des cyberincidents dans les entreprises est bien établie. Mais les choses ne sont pas aussi tranchées. Le niveau de cybersécurité d’une organisation dépend de nombreux facteurs dont il n’est pas si simple de rendre compte. L’étude visait à recueillir des informations sur les différents groupes de personnes influençant la cybersécurité, en tenant compte à la fois du personnel interne et des acteurs externes.

L’étude a révélé que, outre les erreurs involontaires, les violations de la politique de sécurité de l’information par les employés constituaient l’un des plus gros problèmes pour les entreprises. Les personnes interrogées dans des organisations du monde entier ont déclaré que des actions intentionnelles visant à enfreindre les règles de cybersécurité avaient été menées par des employés des services informatiques et non informatiques au cours des deux dernières années.

En France

En France, ces violations de politiques telles que celles commises par les responsables de la sécurité informatique ont été à l’origine de 8 % des cyberincidents survenus au cours des deux dernières années. D’autres professionnels de l’informatique et leurs collègues non informaticiens ont provoqué respectivement 6 % et 7 % des cyberincidents en enfreignant les protocoles de sécurité.

En ce qui concerne le comportement individuel des employés, le problème le plus courant réside dans le fait qu’ils font délibérément ce qui leur est interdit et, inversement, qu’ils ne font pas ce qui est exigé. En France, les personnes interrogées affirment que près d’un quart (21 %) des incidents de cybersécurité survenus au cours des deux dernières années sont dus à l’utilisation de mots de passe faibles ou au fait que ceux-ci n’ont pas été modifiés en temps voulu. La seconde cause (14 %) des atteintes à la cybersécurité est la consultation par le personnel de sites web non sécurisés.

Par ailleurs, 14 % des entreprises françaises interrogées déclarent avoir été confrontées à des incidents de cybersécurité dus au fait que les employés n’ont pas mis à jour les logiciels ou les applications utilisés en temps et en heure.

L’utilisation de services ou de dispositifs non sollicités est un autre vecteur important de violation intentionnelle de la politique de sécurité de l’information. En France, 11 % des entreprises ont subi des cyberincidents parce que leurs employés ont utilisé des systèmes non autorisés pour partager des données. Les employés de 21 % des entreprises ont intentionnellement accédé à des données par le biais d’appareils non autorisés, tandis que 11 % du personnel ont envoyé des données à des adresses électroniques personnelles. Une autre action signalée est le déploiement de l’informatique fantôme (Shadow IT) sur les appareils professionnels – 10 % des personnes interrogées indiquent que cela a été à l’origine de leurs cyberincidents.

Fait alarmant, les personnes interrogées en France admettent que, outre le comportement irresponsable déjà mentionné, 18 % des actions malveillantes ont été commises par des employés à des fins d’enrichissement personnel. Autre constatation intéressante, les violations intentionnelles de la politique de sécurité de l’information par les employés constituent un problème relativement important dans les services financiers, comme l’indiquent 34 % des personnes interrogées dans ce secteur.

« Outre les menaces externes à la cybersécurité, de nombreux facteurs internes peuvent conduire à des incidents dans n’importe quelle organisation. Comme le montrent les statistiques, les employés de n’importe quel service, qu’il s’agisse de non-informaticiens ou de professionnels de la sécurité informatique, peuvent avoir une influence négative sur la cybersécurité, que ce soit intentionnellement ou non. C’est pourquoi il est important de prendre en compte les méthodes de prévention des violations de la politique de sécurité informatique lors de la mise en place des dispositifs et des mesures de sécurité, c’est-à-dire de mettre en œuvre une approche intégrée de la cybersécurité. D’après nos recherches à l’échelle mondiale« , commente Alexey Vovk, responsable de la sécurité de l’information chez l’éditeur Russe Kaspersky, auteur de l’étude.