Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité, Emploi, Entreprise, Linux, Mise à jour, Patch, Propriété Industrielle

L’open source : L’innovation et la sécurité par la transparence

Le contraste entre les logiciels propriétaires et open source est aussi vieux que l’industrie de l’informatique elle-même. Dans presque toutes les catégories, des logiciels sont disponibles soit auprès de fournisseurs qui développent et commercialisent eux-mêmes leur code, soit auprès de communautés de développeurs travaillant avec du code ouvert.

Au cours de la dernière décennie, l’aversion envers l’utilisation des logiciels libres, particulièrement dans les entreprises, a pris un tournant majeur. Les managers ont réalisé que si même les géants de l’informatique comme Facebook, Google et Amazon font appel à l’open source, les entreprises ordinaires devraient pouvoir le faire aussi. Les avantages de l’open source sont bien connus : les coûts inférieurs (à noter que coûts inférieurs ne veut pas forcément dire gratuits), la qualité supérieure et la sécurité qui découlent d’une grande communauté de développeurs et l’absence de dépendance à un fabricant sont des arguments de poids. Dans certains domaines, les produits open source sont déjà leaders de leur catégorie. Linux, Firefox et WordPress, par exemple, sont d’énormes réussites auprès des particuliers. MySQL, Apache, Free BSD, Zimbra et Alfresco se retrouvent fréquemment dans les environnements d’entreprise.

Toutefois, la distinction n’est pas aussi claire qu’on pourrait le penser : il n’est pas possible de diviser simplement les logiciels en catégories (ouvert ou fermé, libre ou non-libre, open source ou propriétaire). Il existe toutes sortes de sous-catégories, ce qui donne lieu à d’importantes différences dans les conditions de licence. Pour les entreprises, toutefois, il est pertinent de s’intéresser aux catégories de logiciels open source et propriétaires, et c’est la combinaison des deux, sous la forme de logiciels open source commerciaux, qui offre de fait le meilleur des deux mondes.

Un changement culturel global est en cours en faveur de l’open source. Par exemple, l’UE et le gouvernement des États-Unis investissent de grosses sommes d’argent pour augmenter leur utilisation de l’open source. Et au CERN (l’Organisation européenne pour la recherche nucléaire), qui a longtemps été un pionnier de l’informatique, les scientifiques sont encouragés à mener leurs recherches à l’aide de solutions libres de nouvelle génération. La tendance ne se limite plus désormais aux logiciels. Le « matériel libre » se répand : le Raspberry Pi, le Kano, l’Arudion, le MatchStick basé sur Firefox, le NAO et le Hummingboard sont tous des exemples démontrant le dynamisme des projets libres, qui font naître de nouvelles tendances comme l’Internet des Objets. Et pourtant l’open source n’est pas quelque chose de réellement nouveau. La plateforme informatique open source ultime reste le mainframe, qui était également le noyau de l’ordinateur personnel actuel et a donc toujours représenté une communauté open source considérable.

Des solutions open source commerciales : un système donnant-donnant

Le modèle de développement open source permet aux entreprises de prendre en charge leur projet avec des technologies adaptées, évolutives et un code ajusté à leurs exigences, et par là même de renvoyer l’ascenseur à la communauté. Dans les logiciels open source commerciaux, tout nouveau code passe par un processus strict d’assurance qualité pour garantir la sécurité des entreprises clientes et de leurs utilisateurs finaux. Les changements pouvant bénéficier à un ensemble plus large d’entreprises clientes sont contrôlés et la communauté les ajoute ensuite à son code de base. Pour pouvoir utiliser tous les avantages de l’open source, il faut une relation étroite avec un fournisseur de solutions open source commerciales. C’est essentiel pour promouvoir la créativité et les contributions au sein de la communauté. Les entreprises peuvent également fournir du code pour prendre en charge leurs activités. Les fournisseurs de solutions open source commerciales ne fournissent que l’assistance et le processus strict de développement du produit, comprenant les tests avec les bases de données, les conteneurs et l’assurance qualité qui font normalement partie du développement des logiciels propriétaires.

Des soucis de sécurité avec l’open source ? Au contraire !

Avec l’acceptation croissante des logiciels open source, les logiciels propriétaires purs perdent du terrain sur le marché. Beaucoup d’utilisateurs doutent de la souplesse des logiciels propriétaires dans les années à venir et beaucoup considèrent leur dépendance par rapport à leur fournisseur comme une restriction indésirable. Lorsqu’elles envisagent le futur des services numériques, qu’il s’agisse de ceux des entreprises ou des administrations, des entreprises comme Facebook et Google considèrent l’open source comme indispensable. La plupart des fournisseurs utilisent d’ailleurs déjà l’open source dans divers domaines de leurs opérations informatiques. Les solutions open source fournissent, en particulier, une plateforme pour une technologie prête à l’emploi pouvant être personnalisée pour différents produits. Néanmoins, malgré l’acceptation grandissante de l’open source, les entreprises gardent des inquiétudes à propos de leur fiabilité et de leur sécurité. Mais quels sont les arguments derrière ces inquiétudes ?

Le préjugé menant à penser que les logiciels open source ne sont pas sécurisés ne se vérifie absolument pas. Le réseau international de développeurs, d’architectes et d’experts de la communauté open source est de plus en plus reconnu en tant que ressource majeure. La communauté fournit un retour professionnel d’experts du secteur qui peuvent aider les entreprises à produire du code plus robuste, à créer des correctifs plus vite, et capables de développer des innovations et des améliorations à de nouveaux services. Dans un modèle propriétaire, la qualité du logiciel est limitée à celle du petit ensemble de développeurs qui y travaillent. Les entreprises qui font appel à des vendeurs tiers pour leurs logiciels propriétaires peuvent avoir un sentiment de sécurité plus fort, mais elles se bercent d’illusions : au nom de la propriété intellectuelle propriétaire, les éditeurs peuvent facilement empêcher leurs clients professionnels de savoir s’il existe des failles de sécurité dans leur code – jusqu’à ce que des pirates les exploitent. Nous avons vu récemment de nombreux exemples de ce fait, qui ont entraîné des problèmes pour de nombreux clients.

En raison du haut degré de transparence au sein de la communauté open source, le travail de ce réseau d’experts est d’une grande qualité ; ses membres attachent une importance extrême au maintien de leur réputation. Personne ne peut se permettre de mettre sa crédibilité en jeu lorsque toute la communauté peut voir le code publié sous son nom et le commenter. Par conséquent, les membres de la communauté soumettent tout code nouvellement compilé à un long travail de vérification avant de le publier. Cela devrait dissiper les craintes injustifiées concernant les failles de sécurité.

Une architecture ouverte et une évolutivité sans limite pour des solutions fiables

Les médias sociaux, le cloud, les big data, la mobilité, la virtualisation et l’Internet des Objets révolutionnent constamment l’informatique. Les technologies existantes peinent à suivre le rythme de ces changements. Les entreprises et les institutions doivent fournir leurs services sur de nombreux canaux tout en garantissant une sécurité totale des données. Avec des systèmes propriétaires rigides, cela est pratiquement impossible, et la communauté open source démontre tous les jours que les produits utilisant du code open source sont plus que prêts à gérer des services importants. Apache est déjà le numéro un. MySQL en prend le chemin ; tôt ou tard, il est très probable qu’OpenStack deviendra le logiciel de référence pour la gestion des centres informatiques et OpenAM est l’un des meilleurs produits pour les droits d’accès reposant sur les identités numériques. Les entreprises qui refusent d’utiliser l’open source courent le risque de prendre du retard sur l’étendue et la puissance des fonctions, et de ne pas être en mesure de proposer à leurs clients une expérience utilisateur numérique complète.

La réussite de l’open source se mesure par sa capacité à garantir un haut degré de sécurité et d’innovation. Si les logiciels développés de façon libre n’étaient pas sûrs, la sécurité et l’innovation ne seraient pas possibles. L’open source offre donc la sécurité grâce à sa transparence, ce que les logiciels propriétaires ne peuvent pas se permettre. Les entreprises feraient bien de garder un œil sur les solutions open source. (Par Ismet Geri, vice-président Europe du Sud chez ForgeRock)

Cybersécurité, loi

La commission des lois adopte le projet de loi relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public

Réunie le mercredi 21 octobre 2015, sous la présidence de M. Philippe Bas (Les Républicains – Manche), la commission des lois a examiné le rapport de M. Hugues Portelli (Les Républicains – Val d’Oise) et établi son texte sur le projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public (n° 34, 2015-2016).

Ce projet de loi vise à transposer la directive 2013/36/UE du 26 juin 2013, qui complète et prolonge la directive 2003/98/CE du 17 novembre 2003 relative à la réutilisation des informations du secteur public.

Afin de limiter les « sur-transpositions » qui auraient pour conséquence de placer les organismes publics français en situation défavorable par rapport à leurs homologues d’autres États-membres de l’Union européenne, la commission a adopté onze amendements et sous‑amendement de son rapporteur, ainsi qu’un amendement du Gouvernement, visant à revenir au texte initial du Gouvernement, voire à une transposition plus fidèle de la directive.

Elle a ainsi supprimé l’obligation, introduite par les députés, de mise à disposition des informations publiques sous forme électronique afin de ne pas faire peser sur les administrations une charge qu’elles ne seraient pas toujours en mesure d’assumer. L’obligation de mise à disposition demeure donc, mais sans que soit exigée de l’administration la création de nouveaux documents numériques.

La commission a, par ailleurs, maintenu le régime dérogatoire actuellement en vigueur pour la réutilisation des informations détenues par les organismes de recherche et d’enseignement supérieur tout en le cantonnant aux informations produites dans le cadre de leurs activités de recherche. Sans porter atteinte à la liberté d’accès à ces informations, inchangée par le projet de loi, la commission a en effet estimé indispensable que les organismes de recherche conservent leur faculté de fixation des modalités de réutilisation de ces données de recherche avant publication des résultats, afin de préserver le potentiel scientifique et technique de la nation.

La commission a enfin transposé une disposition de la directive autorisant la perception de redevances permettant de couvrir les coûts de collecte, de production, de mise à disposition et de diffusion de certains documents. Ce projet de loi sera examiné en séance publique le lundi 26 octobre 2015.

Argent, Arnaque, Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, Social engineering

Un malware prend la place de Chrome pour surveiller les machines piégées

Des chercheurs ont découvert un malware qui prend le relais du navigateur Chrome. Similaire au navigateur de Google, des bonus malveillants en plus.

Décidément, les malwares pour Android, iOS et autres ordinateurs sont légions. Gdata a annoncé, le 20 octobre 2015, pas moins de 3 millions de nouveaux codes malveillants découverts lors des 6 premiers mois de l’année 2015 ; Apple vient d’effacer 256 applications de l’App Store. Des applications qui volaient des données personnelles aux utilisateurs.

Dans cette panoplie malveillante, un petit nouveau qui est basé sur le code de Chromium, un outil open-source qui permet de garder la même interface que Chrome dans les outils créés. Le malware fonctionne ainsi : d’abord il fait de manière à devenir le navigateur par défaut. Il prend en charge un certain nombre de fichiers tels que HTML, JPG, PDF et GIF.

Malwarebytes explique que le malware détourne aussi les associations d’URL : HTTP, HTTPS et MAILTO et la quasi-totalité des authentifications du PC avec l’Internet. Le navigateur affiche ensuite des tonnes de publicités vers des sites pirates proposant faux antivirus et autres promotions commerciales douteuses. Le navigateur est diffusé par la société Clara Labs, une « entreprise » basée à San Francisco, du moins sa boite aux lettres.

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Sauvegarde

Votre photocopieur cache-t-il un pirate ?

L’intrusion informatique ne se fait pas que par un site Internet, via un serveur. Les pirates peuvent aussi s’inviter dans votre entreprise via la gestion de la climatisation, comme pour Target, ou encore via votre photocopieur connecté.

Les nombreux points de contact électroniques qui jalonnent le cycle de vie d’un document multiplient également les risques de sécurité. Chaque fois qu’un document est copié, scanné, imprimé, faxé ou envoyé par e-mail, il peut être soit accidentellement exposé ou intentionnellement compromis, entraînant des coûts organisationnels et des sanctions pécuniaires conséquents. L’un des appareils les plus vulnérables face à la fuite des données est le copieur numérique ou « périphérique multifonction », qui intègre parfois un disque dur ainsi qu’un micro logiciel et communique avec les autres systèmes du réseau. Bien qu’ils facilitent la vie tant professionnelle que personnelle, ces équipements de bureau constituent également un risque de divulgation des données.

Nuance vient de proposer 9 points de vulnérabilité pouvant viser votre réseau. Les pirates informatiques peuvent infiltrer votre organisation via vos copieurs et autreses imprimantes multifonctions que vous utilisez tous les jours. Ils dotés de disques durs, de systèmes d’exploitation et de plusieurs moyens de communiquer à l’intérieur et à l’extérieur de votre entreprise (wifi, réseau câblé, téléphone…). Des équipements qui doivent être intégrés au plan de sécurité.

Voilà quelques pratiques qui rendent votre infrastructure vulnérable :
N’importe qui peut récupérer des documents dans les bacs de vos imprimantes et multifonctions
N’importe qui peut consulter des impressions contenant des informations sensibles sur vos clients ou vos employés
L’utilisation de vos multifonctions de réseau se fait sans identification ni authentification
Vos multifonctions de réseau permettent l’envoi de documents vers n’importe quelle destination
N’importe qui peut récupérer des documents dans les bacs de réception de vos télécopieurs
N’importe qui peut faxer des documents, sans contrôle ni suivi
Vos visiteurs peuvent utiliser vos multifonctions sans aucune restriction
Les opérations réalisées sur vos multifonctions ne font l’objet d’aucun enregistrement ni audit
Les documents numérisés sur vos multifonctions ne sont pas chiffrés

Si une ou plusieurs de ces pratiques sont en vigueur dans votre société, DataSecurityBreach.fr vous conseil d’agir au plus vite.

Argent, Arnaque, Cybersécurité, escroquerie, Justice, Particuliers, Social engineering

Amazon traque les faux avis 5 étoiles

Amazon vient de tirer à boulet rouge sur les avis de faux consommateurs. Le géant américain en aurait découvert un millier qui se feraient payer le « 5 étoiles ».

Avoir des avis positifs sur Internet, c’est gage de qualité, de service rendu. Seulement, les faux avis positifs sont nombreux, très nombreux. Amazon vient d’indiquer qu’il en avait repéré plusieurs centaines. Ces derniers passeraient par le site Fiverr.com. Un portail qui permet de vendre « son avis ». Les avis 5 étoiles sont vendus, par exemple, 5 dollars. Amazon a déposé plainte contre X et espère faire disparaître le site, comme ce fût le cas pour buyamazonreviews.com, bayreviews.net et buyreviewsnow.com.

Cybersécurité, Justice, loi

La France s’engage dans la transition numérique

La France est pleinement engagée dans la transition numérique. Forte d’une population très largement connectée et portée par une économie numérique en croissance soutenue, la France dispose de talents et d’atouts à la pointe de l’innovation européenne et mondiale. Le numérique est également un espace de compétition et de confrontation. Concurrence déloyale et espionnage, désinformation et propagande, terrorisme et criminalité trouvent dans le cyberespace un nouveau champ d’expression.

Le Premier Ministre, Manuel Valls, a présenté le 16 octobre la feuille de route de la France dans ce monde de plus en plus connecté. « La « République numérique en actes », voulue par le gouvernement, doit promouvoir nos valeurs, notre économie et protéger les citoyens, indique le Premier Ministre, Œuvrer pour la sécurité du numérique, c’est favoriser le développement d’un cyberespace gisement de croissance pérenne et lieu d’opportunités pour les entreprises françaises, c’est affirmer nos valeurs démocratiques, c’est enfin préserver la vie numérique et les données personnelles des Français. Mon ambition dans le domaine est élevée.« 

Pour l’homme politique, la stratégie nationale pour la sécurité du numérique doit s’appuyer en particulier sur la formation et sur la coopération internationale et doit être portée par l’ensemble de la communauté nationale : le gouvernement, les administrations, les collectivités territoriales, les entreprises et plus largement, l’ensemble des Français. « Elle est l’affaire de tous. Répondre aux enjeux de sécurité du monde numérique est un facteur clé de succès collectif » termine Manuel Valls.

Cette feuille de route comprend cinq grands points. D’abord la stratégie nationale pour la sécurité du numérique. La numérisation de la société française s’accélère : la part du numérique dans les services, les produits, les métiers ne cesse de croître. Réussir la transition numérique est devenu un enjeu national. Vecteur d’innovation et de croissance, la numérisation présente aussi des risques pour l’état, les acteurs économiques et les citoyens. Cybercriminalité, espionnage, propagande, sabotage ou exploitation excessive de données personnelles menacent la confiance et la sécurité dans le numérique et appellent une réponse collective et coordonnée selon cinq objectifs stratégiques.

Ensuite, les Intérêts fondamentaux, défense et sécurité des systèmes d’information de l’état et des infrastructures critiques, crise informatique majeure. En développant une pensée stratégique autonome, soutenue par une expertise technique de premier plan, la France se donnera les moyens de défendre ses intérêts fondamentaux dans le cyberespace de demain. Parallèlement, elle continuera à renforcer la sécurité de ses réseaux critiques et sa résilience en cas d’attaque majeure en développant des coopérations tant à l’échelle nationale avec les acteurs privés qu’internationale. La France se donnera les moyens de défendre ses intérêts fondamentaux dans le cyberespace. Elle consolidera la sécurité numérique de ses infrastructures critiques et œuvrera pour celle de ses opérateurs essentiels à l’économie.

En troisiéme point, la confiance numérique, la vie privée, les données personnelles, la cybermalveillance. Afin que le cyberespace reste un espace de confiance pour les entreprises de toutes tailles et les particuliers, des mesures de protection et de réaction seront adoptées. La protection passera par une vigilance accrue des pouvoirs publics sur l’utilisation des données personnelles et par le développement d’une offre de produits de sécurité numérique adaptée au grand public. La réaction s’articulera autour d’un dispositif d’assistance aux victimes de cybermalveillance qui apportera une réponse technique et judiciaire à de tels actes. La France développera un usage du cyberespace conforme à ses valeurs et y protégera la vie numérique de ses citoyens. Elle accroîtra sa lutte contre la cybercriminalité et l’assistance aux victimes d’actes de cybermalveillance. Protéger la vie numérique, la vie privée et les données personnelles des Français. À la faveur du règlement européen en matière d’identité électronique (eIDAS), la France se dotera d’une feuille de route claire en matière d’identité numérique délivrée par l’État. Cette feuille de route sera élaborée avant la fin de l’année 2015. Elle viendra, normalement, prendre en compte la directive européenne sur l’obligation des entreprises à alerter leurs clients en cas de fuite, vol, piratage de données.

A noter que pour informer les Français sur l’utilisation faite des données confiées aux services numériques, une signalétique adaptée et partagée avec les États volontaires et en cohérence avec les travaux européens effectués dans le cadre du règlement européen relatif à la protection des données à caractère personnel sera mise en place courant 2016. Cette signalétique permettra de visualiser les caractéristiques essentielles des conditions d’utilisation des plates-formes et services numériques ou des moyens de paiement utilisés.

Un point important, traitant de la sensibilisation, les formations initiales, les formations continues a été mis en avant. La prise de conscience individuelle des risques liés à la numérisation de la société reste insuffisante. Face à ce constat, la sensibilisation des écoliers et des étudiants sera renforcée. En outre, afin de répondre aux demandes croissantes des entreprises et des administrations en matière de cybersécurité, la formation d’experts dans ce domaine sera développée. La France sensibilisera dès l’école à la sécurité du numérique et aux comportements responsables dans le cyberespace. Les formations initiales supérieures et continues intégreront un volet consacré à la sécurité du numérique adapté à la filière considérée.

Banque, Base de données, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, Leak, Paiement en ligne, Piratage, ransomware, Social engineering

Le prix de vente des données volées sur le marché noir

Retour sur l’économie souterraine du Dark Web ainsi que sur les pratiques et les coûts du Cybercrime-as-a-Service.

Le nouveau rapport d’Intel Security, intitulé The Hidden Data Economy, porte sur le marché noir des données volées en ligne, ou ‘Dark Web’. Il révèle la manière dont ces dernières sont compilées, ainsi que les prix auxquels elles sont revendues en ligne. Dans ce dernier, le McAfee Labs d’Intel Security dévoile les prix fixés sur le Dark Web pour l’achat de cartes de débit et de crédit, d’identifiants de comptes bancaires et de services de paiement en ligne et d’accès aux comptes de fidélité.

« Comme toute économie non réglementée et performante, l’écosystème de la cybercriminalité a très vite évolué pour offrir de nombreux outils et services à toute personne aspirant à un comportement malfaisant », déclare à DataSecurityBreach.fr Raj Samani, CTO EMEA d’Intel Security. « Le marché du Cybercrime-as-a-Service a été le principal moteur à la fois de l’explosion, de l’ampleur, de la fréquence et de la gravité des cyberattaques. Aujourd’hui, nous constatons une véritable prolifération des modèles économiques conçus pour revendre les données volées et rendre les cyberattaques très lucratives pour les hackers. »

Depuis des années, l’équipe du McAfee Labs coopère avec les principaux acteurs concernés, organisations policières nationales et internationales, éditeurs de logiciels de sécurité informatique, etc., pour identifier et démanteler les multiples sites web, forums et autres plateformes, communautés et marchés en ligne où les transactions illégales ont lieu. En s’appuyant sur ces expériences, les chercheurs du McAfee Labs sont désormais en mesure de fournir une évaluation globale du statut de « l’économie de la cybercriminalité », avec des illustrations de cas typiques et de prix par catégorie de données et par région.

Les cartes de paiement
Les données des cartes bancaires sont sans doute le type de données le plus volé et vendu sur le Dark Web. Les chercheurs du McAfee Labs ont constaté des variations de prix en fonction du conditionnement des données. Une offre standard, soit un « Random » dans le jargon de cybercriminels, comprend l’identifiant de carte valide, généré par un logiciel, qui combine un numéro de compte primaire (PAN), une date d’expiration et un cryptogramme CVV2. Les logiciels générant des numéros de carte de crédit valides peuvent également être achetés ou trouvés gratuitement en ligne.

Les prix augmentent lorsque l’offre comprend des informations supplémentaires donnant accès à davantage de possibilités d’exploitation des données. Dans certaines offres plus complètes sont également inclus : le numéro d’identification de compte bancaire (IBAN / BIC), la date de naissance de la victime et des informations plus confidentielles classées « Fullzinfo », comme par exemple, l’adresse de facturation utilisée pour ses commandes en ligne, le code PIN de sa carte, son numéro de sécurité sociale, le nom de jeune fille de sa mère, voire son nom d’utilisateur et son mot de passe utilisés pour accéder, gérer et modifier les configurations de son compte bancaire.

Le tableau suivant illustre les prix moyens pratiqués sur le Dark Web pour la vente de cartes de crédit et de débit par région et en fonction des données disponibles :

« Un criminel possédant l’équivalence numérique d’une carte de crédit est en mesure de faire des achats ou des retraits jusqu’au moment où la victime contacte sa banque pour faire opposition et mettre en place des mesures de vérification », poursuit Raj Samani à datasecuritybreach.fr. « Or, en possédant de nombreux renseignements personnels sur la victime, le cybercriminel pourrait très bien justifier qu’il est le propriétaire de la carte bancaire, voire accéder au compte en ligne et en changer les paramètres de configuration. L’accès aux données personnelles peut ainsi augmenter de manière significative les potentiels préjudices financiers pour l’individu ».

Les comptes de services de paiement en ligne
En ce qui concerne les données relatives aux comptes de services de paiement en ligne, les conditions et les possibilités d’utilisation limitées influenceraient les prix qui semblent être dictés uniquement par le solde du compte piraté. L’accès à des comptes créditeurs de 350 à 900 € est estimé entre 17 et 43 €, tandis que le prix d’achat des identifiants de comptes avec un crédit de 4 400 à 7 000 € peut s’étendre de 175 à 260 €.

Les identifiants de comptes bancaires en ligne
Les cybercriminels peuvent acheter des identifiants de comptes bancaires leur permettant de faire des virements à l’international de manière anonyme. Selon McAfee Labs, un compte créditeur de 2 000 € peut être acquis en ligne pour un prix de 170 €. Le prix d’accès à un compte bancaire en ligne avec une fonctionnalité de virements internationaux anonymes peut varier de 440 € pour un compte avec un crédit de 5 300 € jusqu’à 1 000 € pour un compte créditeur de 17 500 €.

Services de contenu premium
Le rapport examine également les prix fixés sur le Dark Web pour l’acquisition de codes d’accès à des services de contenu en ligne tels que le streaming de vidéo (de 0,5 à 0,9 €), de chaînes câblées (6,50 €), de chaînes sportives (13 €) ou à des bibliothèques de bandes dessinées premium en ligne (0,5 €). Ces tarifs relativement faibles suggèrent que les opérations de vol des identifiants ont été automatisées pour rendre ces modèles économiques rentables.

Les comptes de fidélité
Certains services en ligne, tels que l’accès à des programmes de fidélité dans l’hôtellerie ou à des sites d’enchères en ligne, pourraient sembler sans intérêt pour les cybercriminels. Pourtant, les chercheurs du McAfee Labs ont constaté que les données relatives à ces services sont également à vendre sur le marché noir. Elles permettraient à la fois aux acquéreurs d’acheter en ligne avec le compte de leurs victimes et de bénéficier de leur réputation en ligne. Le rapport présente d’ailleurs deux cas concrets de recèles, la vente d’un compte de fidélité de 100.000 points à 17 €, ainsi que celle d’un compte de réputation positive sur un service d’enchères de marques en ligne à plus de 1 200 € !

Ce rapport survole les possibilités du blackmarket. Des chiffres à prendre avec des pincettes. DataSecurityBreach.fr se « promène » dans une cinquantaine de black market différents. Les prix varient tellement, certains chaque heure, qu’il est impossible de fournir un chiffre, même une moyenne, exact. Le rapport ne prend pas en compte, non plus, les services tels que les fournitures de moyens pour des DDoS et autres Swatting. N’oublions pas non plus que ces études sortent au même moment que les nouveaux antivirus des producteurs de ces études.

backdoor, Base de données, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, loi, Piratage, ransomware, Social engineering

Repenser la manière de se prémunir contre les cyber-attaques

Selon le dernier rapport publié par PwC, les cyber-attaques augmentent inexorablement et la France fait partie des premiers pays les plus touchés. Les pertes financières associées sont aujourd’hui estimées à 3,7 millions d’euros par entreprise, soit quasiment l’équivalent des budgets dédiés à la sécurité informatique évalué à 4,8 millions d’euros. Avec une hausse de 51% des incidents de sécurité sur les douze derniers mois, il devient urgent d’adresser les problématiques de sécurité au plus haut niveau de l’entreprise, avant que l’impact sur les résultats de l’entreprise ne soit irrémédiable.

Cette dernière enquête confirme la prise de conscience des entreprises vis-à-vis de la sécurité de leurs données et des conséquences financières et commerciales inévitables qu’une cyber-attaque engendre. Malgré la croissance effrénée des incidents de sécurité, les responsables d’entreprises ou de service IT interrogés dans le cadre de cette enquête semblent pourtant avancer dans la bonne direction.

En effet, l’extension du périmètre à protéger en raison de mauvaises pratiques de sécurité imputées aux employées ou aux prestataires externes, confirme la nécessité d’utiliser une méthode de surveillance globale du réseau et de l’ensemble des interactions avec l’extérieur. Les recommandations de PwC vont d’ailleurs dans ce sens : il n’existe pas de modèle standard de protection, c’est l’utilisation d’un mix de technologies intégrées et holistiques qui rend
le système de protection plus efficace.

Le fait que 59% des répondants préconisent l’analyse de toutes les sources de données de l’entreprise comme principal levier d’amélioration de la sécurité, grâce notamment à une surveillance accrue sur l’ensemble du périmètre à protéger en temps réel, prouve que la perception des entreprises évolue
et que l’idée d’une solution de sécurité unique disparaît peu à peu.

Chaque attaque est unique et les méthodes utilisées par les hackers diffèrent selon l’objectif à atteindre. En prenant en considération le fait que les pirates savent se faire discrets et restent parfois plusieurs mois, voire des années, à attendre le bon moment d’opérer leurs méfaits, les entreprises
peuvent passer à côté de failles importantes sans une surveillance permanente et en temps réel de ce qui se passe sur leur réseau. En cas d’attaque, des outils permettant la détection immédiate d’un comportement anormal sur le réseau sont également indispensables afin de pouvoir y remédier le plus rapidement possible.

Si l’augmentation des investissements des entreprises françaises dans la sécurité est une bonne nouvelle, les entreprises doivent repenser la manière dont protéger leurs données confidentielles en partant du principe que l’ennemi se trouve déjà à l’intérieur et qu’il ne reste qu’à le trouver et l’éliminer. (Par Jean-Pierre Carlin, LogRhythm)

Base de données, Cybersécurité, Entreprise, Mise à jour, Social engineering

Les identités numériques à l’heure de l’économie du partage

L’émergence de l’économie participative sur Internet offre à Monsieur tout le monde des possibilités jusqu’ici inenvisageables. Aujourd’hui, n’importe qui peut démarrer son activité de taxi en devenant chauffeur VTC (Voiture de Tourisme avec Chauffeur). Les propriétaires immobiliers peuvent louer leur bien comme un hôtel par le biais d’Airbnb. Grâce à ces sociétés qui mettent en relation les particuliers fournissant un service avec les consommateurs, le client a plus de choix. Tout se passe sur Internet par l’intermédiaire d’applications ou de sites Web.

Cette économie du partage repose en grande partie sur la confiance. Fournisseurs et consommateurs s’inscrivent pour pouvoir proposer ou acheter leurs services en ligne. Les transactions sont réalisées via une application ou un site Web dédié. Prenons le chauffeur VTC. Tant que le véhicule ne s’est pas
arrêté le long de la voie pour prendre son passager, le fournisseur du service et le consommateur ne s’étaient encore jamais rencontrés et n’avaient jamais discuté ensemble. Lorsque l’on loue l’appartement de quelqu’un, on peut parfaitement ne jamais rencontrer son propriétaire. Ainsi, il est fréquent qu’une personne, qui loue une maison à l’étranger par l’intermédiaire d’Airbnb, arrive et trouve les portes ouvertes, les clés posées sur la table avec une liste de consignes. À son départ, le locataire doit simplement reposer les clés au même endroit.

La plupart des gens sont dignes de confiance. Notre société ne fonctionnerait pas si ce n’était pas le cas. Bien sûr, certaines personnes malhonnêtes abusent de cette confiance. Dans le cadre d’une transaction en ligne anonyme, la confiance peut être plus difficile à instaurer. L’économie participative s’appuie sur des sources tierces pour établir l’identité des fournisseurs et des consommateurs. Les utilisateurs d’Airbnb peuvent même volontairement choisir de faire vérifier leur identité en envoyant une photo de leur carte d’identité nationale au service de vérification du site. Toute personne ayant des connaissances en sécurité de l’information sait pertinemment que cette procédure n’améliore pas significativement la procédure par défaut qui s’appuie sur les informations des profils Facebook, parfois couplées avec les identités sociales Google et LinkedIn.

On apprend parfois que tel appartement a été saccagé par un locataire lors d’une soirée. Ce genre d’incident reste rare. Airbnb prend la chose très au sérieux et a mis en place un plan de protection pour les propriétaires. Ainsi, en cas d’incident, Airbnb s’assure que le propriétaire est couvert.

Dans une économie du partage où des entreprises comme Uber et Airbnb mettent des personnes des quatre coins du monde en relation, la vérification des identités devient très compliquée. Sans être un pro de Photoshop, il n’est pas compliqué de falsifier l’image d’une carte d’identité nationale ou d’un
permis de conduire. Seul moyen de valider de manière fiable une identité en ligne ? Utiliser une identité électronique délivrée par une autorité nationale, ou à la rigueur, par un établissement bancaire. Pour la création de ces identités, l’enregistrement s’effectue lors d’un entretien en face à
face où l’intéressé doit produire une pièce d’identité complémentaire pour vérification. Son identité électronique ne lui sera délivrée qu’au terme de cette procédure. En arrière-plan, plusieurs processus sont mis en place pour affiner les vérifications d’identité d’une personne en interrogeant des bases de données officielles et d’autres ressources.

Argent, Base de données, Chiffrement, Contrefaçon, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, Particuliers, Social engineering

Le réveil de la force : des données appartenant à des joueurs d’Electronic Arts dans la nature

Piratage ? Fuite de données ? Phishing ? Plusieurs centaines de données appartenant à des joueurs de produits édités par Electronic Arts diffusés sur la toile.

Pour le moment, impossible de savoir d’ou proviennent les données diffusés sur Pastebin. Dans les fichiers mis en ligne, des informations appartenant à des joueurs de produits vidéo ludique proposé par l’éditeur Electronic Arts. Tout est possible : piratage d’ordinateurs de joueurs ; phishing ; Fuite de données internes. Avec le « buzz » autour du jeu star Wars Battlefront, les pirates ont les dents acérées et les griffes sorties. EA est une cible, comme les autres éditeurs de jeux vidéo. D’abord par une population de pirates, professionnels de la contrefaçon, visant les serveurs et espérant ainsi mettre la main sur des nouveautés, avant leur sortie (le cas le plus parlant fût celui de Sony Picture et des films stockés sur un serveur, 6 mois avant leur sortie en salle, NDR). Le vol de comptes de joueurs et autres données, pouvant être bancaires, attirent la force obscure de certains internautes. EA a Confirmé un problème interne et a proposé aux « clients » impactés de modifier leur mot de passe. Avoir accès à un compte permet aussi de jouer au jeu téléchargé, voir de revendre le compte,  afin d’en tirer des euros sonnants et trébuchants.