Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Apple, Chiffrement, cryptage, Cybersécurité, ios, iOS, Logiciels, Sécurité, Smartphone

Bouilloires connectées, piratage assuré

Les bouilloires connectées peuvent permettre de mettre la main sur les mots de passe wifi de leurs utilisateurs.

Les objets connectés, petit bonheur pour geek. Sauf que la sécurité, et c’est pourtant pas faute d’en parler, est encore le point faible du matériel tant vanté par le marketing et les agences de communication. C’est d’ailleurs le produit phare de ce noël 2015. Tout va être connecté, du jouet au slip !

A Londres, Ken Munro, un chercheur, a joué avec l’application ikettle. Sa mission, gérer les bouilloires connectées Smarter avec un smartphone. Sauf que le « truc » est tellement bien sécurisé qu’il permet d’intercepter les identifiants de connexion au compte wifi sur lequel est connecté la bouillante dame.

IKettle est conçu pour enregistrer les précieuses secondes passées à attendre l’eau chaude. (The Register)

backdoor, Chiffrement, cryptage, Cybersécurité, VPN

Jackpot – 150 000 CB volées à un casino

Un groupe de pirates informatiques baptisé FIN5 se serait invité dans un casino pour y ponctionner les données bancaires.

Les chercheurs Emmanuel Jean-Georges et Barry Vengerik de Mandiant FireEye ont annoncé l’existence d’un groupe de pirates informatiques baptisé FIN5. Des malveillants qui auraient, l’année dernière, visité l’architecture informatique d’un casino pour faire main basse sur le système de paiement et quelques 150 000 informations de cartes bancaires. Une douzaine d’entreprises auraient été impactées par ces assaillants. Un soupçon pour six autres société continue de planer.

Les consultants ont expliqué que les pirates ont utilisé une porte dérobée du nom de « Tornhull » et un VPN surnommé « Flipside ». Un troisième outil, « Driftwood » analyse les espaces à attaquer. FIN5 n’aurait aucun rapport avec un autre groupe baptisé FIN4, auteur d’une attaque informatique en 2014 à l’encontre de professionnels des marchés financiers, de la santé, d’entreprises cotées au New York Stock Exchange ou au NASDAQ. Une fois des données sensibles volées, elles étaient piégées et renvoyées à des interlocuteurs que FIN4 souhaitaient infiltrer ensuite.

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Fuite de données pour Deutsche Telecom

Un commentaire

L’opérateur Allemand de téléphonie, Deutsche Telekom, corrige une fuite de données.

Un internaute du nom d’Ibrahim a découvert comment il était possible de mettre la main sur une sauvegarde d’une base de données appartenant à l’opérateur Allemand Deutsche Telekom. Une fuite de données étonnante.

Lors de l’authentification à la page d’identification (https://demandplan.telekom.de), le bidouilleur a simplement ouvert le code source du dit espace. Plusieurs noms de fichiers étaient appelés, comme index.php, adminuser.php, ProjectExport.php… Si les deux premiers renvoyaient l’internaute vers la page index du portail, le troisième semblait mettre en place une action invisible. L’action n’était rien d’autre… que la sauvegarde d’une base de données en mode .txt (export.txt) sur le site de Deutsch Telekom.

Bilan, il suffisait de lancer demandplan.telekom.de/export/export.txt pour récupérer la fameuse sauvegarde. DT a versé 1000€ à son sauveur. L’histoire ne dit pas ce contenait cette base de données.

Cybersécurité, Justice

Justice – Diffamation sur Facebook condamnable en France

Une Internaute qui avait publié sur Facebook des propos diffamatoires à l’encontre d’une boîte de nuit a été condamnée à 300 € d’amende avec sursis, et à verser 800 € au plaignant.

Le site juridique Legalis revient sur l’affaire d’une jeune internaute pensant que Facebook et Internet était des lieux ou il était possible d’injurier et diffamer à loisir. Le tribunal correctionnel de Béthune en a décidé autrement en condamnant la dame à 300 € d’amende avec sursis, et à verser à la direction de la boite de nuit 800 € dont 400 € de dommages-intérêts. Le tribunal a voulu rappeler que l’on ne pouvait pas écrire n’importe quoi impunément, sur Facebook comme sur n’importe quel support de diffusion. La jeune femme avait repris une « information » d’un ami, qu’elle n’avait pas vérifiée relatant une fausse altercation avec les vigiles d’une boite de nuit. 4.000 viewers plus tard, la dame efface le message mais les dirigeants avaient déposé plainte dans la foulée.

Cybersécurité, DDoS, Mise à jour, Patch, Piratage

Les DDoS exigent une stratégie de réponse à la hauteur des menaces

Les Dénis de service distribués (DDoS) ont évolué tant en complexification qu’en sophistication. Les menaces DDoS auxquelles sont confrontées toutes les entreprises, quelle que soit leur taille ou leur industrie, ont changé avec le temps. Si les attaques DDoS opportunistes sont encore une réelle menace, la plupart des attaques actuelles sont désormais ciblées. Il s’agit souvent de frappes brèves qui cherchent à échapper aux systèmes de mitigation traditionnelle. (Par Willie Georges, Ingénieur Réseaux et Sécurité Senior chez Corero Network Security)

Face à cette évolution, il est nécessaire que les entreprises aient une approche de la Défense contre les DDoS aussi sophistiquée que ces menaces. Les fournisseurs de services ont un rôle essentiel à jouer pour protéger leurs clients.

Les acteurs malveillants d’Internet lancent chaque jour des attaques DDoS pour protester, exercer des méfaits, des représailles, des actions de sabotage… On observe un éventail de plus en plus large de tactiques visant un nombre de cibles toujours plus important. Il est aujourd’hui facile pour n’importe qui de lancer une attaque paralysante pour très peu d’argent. Il existe par exemple des abonnements qui permettent de lancer plusieurs attaques DDoS de courte durée pour seulement quelques dizaines d’euros par mois. Il est aussi tout à fait possible d’installer des applications sur un smartphone pour lancer des DDOS.

L’Internet des Objets est un des vecteurs de la menace. Les téléviseurs intelligents, les voitures et maisons connectées, les capteurs de machine-à-machine, les villes intelligentes, les transports en commun et tous les matériels qui continuent à se connecter sont autant de points d’entrée pour les attaques. Ce sont ces dispositifs intelligents qui déjà en 2014 étaient utilisés comme vecteurs par un tiers des plus grandes attaques DDoS. Aujourd’hui, la fréquence des attaques augmente. Leur sophistication aussi. Au 4ème trimestre 2014, les clients de Corero Network Security ont connu en moyenne 3,9 tentatives d’attaque DDoS journalières, par client. Il s’agit d’une moyenne. L’un d’eux a subi une moyenne de 12 attaques par jour via son centre de données multi-environnement, pendant une période de trois mois !

Les motivations de ces attaques varient selon l’entreprise, le secteur économique auquel elle appartient ou l’image qu’elle véhicule. Il peut s’agir de cyber-terrorisme, d’un acte politique ou idéologique, de fraude, d’une demande de rançon, d’escroquerie, de cyber-espionnage, de sabotage numérique, de vol de données par exfiltration, de vengeance,… Les finalités sont multiples, les attaques se poursuivent et augmentent.

Certains événements, comme les attentats de Paris et les manifestations au Venezuela, en Arabie saoudite et aux Etats-Unis, sont très médiatisés. Par réaction, cette médiatisation a provoqué une légère hausse des actions hacktivistes. Par ailleurs, les cibles se sont élargies, incluant le monde des joueurs en ligne, des fournisseurs de cloud, des fournisseurs de vidéo en streaming et même des sites Web institutionnels…

Des frappes ciblées et répétées
Des techniques de réflexion et d’amplification augmentent le volume des attaques pour les rendre plus actives et paralyser totalement un site web par exemple. Les nouvelles attaques sont multi-vectorielles et leur durée est plus courte. Elles portent un coup rapide mais très efficace. 66% d’entre elles ont duré moins de cinq minutes et presque 96% moins de 30 minutes(1). Cette nouvelle approche complique le processus de nettoyage. Au moment où l’on active le service de mitigation chez le fournisseur, il est souvent trop tard et le mal est fait.

Les cybercriminels ont évolués, passant du pur volumétrique aux attaques DDOS multi-vecteurs. Des kits d’outils modernes peuvent lancer des attaques visant à la fois les infrastructures et les services. Ce sont des attaques SYN Flood, UDP Flood, DNS (Domain Name System) Flood avec un très grand nombre de requêtes pour obtenir une saturation. Le but ? Masquer une seconde vague de menaces qui vont bien au-delà des DDoS eux-mêmes.

Les acteurs de ces scénarios utilisent une saturation de lien partielle, laissant juste assez de bande passante disponible pour qu’une deuxième attaque puisse se produire. Dans ce cas, l’attaque DDoS sert à attirer l’attention et à concentrer les ressources de la victime sur le déni de service. Par exemple, un SYN flood pourrait remplir les tables des états de connexions pour faire tomber un pare-feu, tandis que l’amplification DNS serait utilisée pour attaquer les systèmes IPS. Entre les deux, des couches de sécurité compromises pour permettre une attaque ciblée par le biais de logiciels malveillants, avec l’objectif d’exfiltrer des données.

Les pirates effectuent des scans pour obtenir une cartographie du réseau ciblé. Puis, ils lancent une deuxième et éventuellement une troisième attaque qui contourneront la stratégie de protection. L’objectif étant le plus souvent l’exfiltration de données. Pour vaincre ces attaques sophistiquées, seule une analyse en temps réel est nécessaire et efficace, déterminant la nécessité de personnaliser les contremesures.

Les fournisseurs de service doivent agir
Il est aujourd’hui possible d’agir sur le trafic des attaques DDoS qui transitent sur les réseaux des fournisseurs de services mobiles et fixes – FAI, fournisseurs de convergence, opérateurs de systèmes multiples (MSO), etc. – sont bien placés pour changer fondamentalement l’impact des attaques DDoS en aval. De plus, c’est pour eux une nouvelle source de revenus que d’offrir une protection de nouvelle génération à leurs clients.

Avec les nouvelles solutions permettant des économies d’échelle pour une mitigation des DDoS modernes et sophistiqués, les fournisseurs de services sont désormais à même de relever ce défi. Ils doivent se focaliser sur cette bataille pour deux raisons majeures. D’abord le maintien de la bande passante nécessaire, fonction du nombre de leurs clients. Ensuite le fait qu’ils vont vers une architecture de réseau plus distribuée et plus chère pour fournir des services personnalisés à leurs abonnés.

Une protection locale instantanée devient alors capitale, ce qui contraint à s’éloigner de l’ancien modèle pour adopter une solution de protection moderne assise sur trois éléments stratégiques forts :
• Mettre en œuvre une technologie pour détecter, analyser et répondre aux attaques DDoS en inspectant le trafic Internet brut, puis pour identifier et bloquer les menaces dès les premiers paquets d’une attaque donnée.
• Mettre en place une stratégie de sécurité multicouche mettant l’accent sur la visibilité continue et l’application de la politique de sécurité pour installer une première ligne de défense proactive capable de lancer la mitigation des attaques DDoS, tout en assurant la disponibilité des services.
• Donner une visibilité totale des couches applicatives et du réseau lors d’attaques DDoS. Cette bonne pratique permet également l’analyse forensique des menaces passées et permet de disposer des rapports de conformité aux polices de sécurité.

La position des fournisseurs de services, au cœur de la circulation des données, de leur accessibilité ou de leur stockage les oblige désormais à intégrer dans leur projet d’entreprise cette stratégie de sécurité. Autant pour leur propre pérennité que pour la satisfaction et la tranquillité de leurs clients.

(1) Rapport trimestriel Tendances et analyse des DDoS de Corero Network Security.

Cybersécurité, Justice, loi

Transfert de données personnelles des états membres de l’Europe vers les Etats-Unis

Un commentaire

Dans un communiqué de Presse du 7 octobre, la CNIL annonçait qu’elle devait se réunir avec ses homologues du groupe de l’article 29 afin de déterminer précisément les conséquences juridiques et opérationnelles de l’arrêt du 6 octobre 2015 sur l’ensemble des transferts intervenus dans le cadre du « safe harbor ».

Par un arrêt du 6 octobre 2015 (affaire C-362/14), la Cour de Justice de l’Union Européenne a annulé la décision de la commission européenne 2000/520 du 26 juillet 2000 qui reconnaissait le niveau de protection suffisant des entreprises américaines ayant adhéré au Safe Harbor et consacrait ainsi le principe de libre transfert des données à caractère personnel depuis les pays membres de l’Union Européenne vers les Etats-Unis.

La CJUE a donc déclaré que les Etats Unis n’assuraient plus un niveau de protection suffisant des données à caractère personnel en invalidant le mécanisme du Safe Harbor, ensemble de règles juridiques instaurées par le Département du Commerce des États-Unis, en concertation avec la Commission européenne, afin de permettre aux entreprises et organisations américaines de se conformer à la Directive européenne. Cela remet en cause le principe de liberté de transfert des données personnelles aux Etats-Unis.

Mais cela signifie-t-il que tous les transferts de données à caractère personnel vers les Etats-Unis sont interdits ?

La réponse est certainement négative. Mais, depuis le 6 octobre 2015, les autorités de protection des données doivent examiner la validité des transferts aux Etats-Unis qui leur sont soumis, en tenant compte du fait que la protection des données n’est pas suffisante. Il apparaît désormais nécessaire pour les prochains transferts de données, en B to B, de signer des Clauses Contractuelles Types adoptées par la Commission européenne (de responsable à responsable ou de responsable à sous-traitant) ou encore d’adopter dans les transferts intra-groupe des Règles internes d’entreprise (ou BCR) qui constituent un code de conduite en matière de transferts de données personnelles depuis l’Union européenne vers des pays tiers. La question est plus délicate pour les transferts déjà réalisés, la signature de clauses contractuelles types pourrait s’avérer nécessaire. (Maitre Julienne de Chavane de Dalmassy Avocat du département Propriété Industrielle et Nouvelles Technologies Cabinet Cornet Vincent Segurel)

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Patch, Piratage

IBM traite 15 milliards d’événements de sécurité chaque jour

IBM Security aide les établissements financiers à partager plus rapidement leur connaissance concernant les menaces à l’échelle mondiale.

IBM a annoncé, à l’occasion de la conférence SIBOS 2015, travailler avec l’industrie des établissements financiers pour renforcer la collaboration et le partage mondial des connaissances des menaces et de leur exécution à travers de multiples secteurs et organisations. Les membres du FS-ISAC (Financial Services Information Sharing and Analysis Center), organisation à but non lucratif dans le domaine des services financiers, auront accès à la recherche avancée contre les menaces ainsi qu’aux analyses directement depuis IBM X-Force Exchange. Actuellement IBM a la plus importante équipe de services en sécurité, avec plus de 6 000 professionnels et un réseau de 11 SOCs (Security Operations Centers) à travers le monde. IBM gère et contrôle plus de 15 milliards d’événements de sécurité chaque jour, pour plus 4 000 clients.

Cybersécurité, Mise à jour, Patch

Patch Tuesday d’octobre 2015

Le Patch Tuesday d’octobre 2015 s’avère une édition légère. En effet, il ne comprend que six bulletins, mais concernent tous les produits phares. Un bulletin critique pour Internet Explorer (mais pas pour Edge), un bulletin pour Office, victime de vulnérabilités à base d’exécution de code à distance (RCE), ainsi qu’un correctif pour remédier des vulnérabilités dans le noyau Windows qui autorisent une élévation des privilèges. En outre, ce Patch Tuesday résout un problème intéressant dans le shell Windows qui autorise aussi l’exécution de code à distance. Toutes les versions de Windows et Office, sont concernées sauf qu’aucun paquet logiciel supplémentaire avec des mises à jour (.NET, logiciel serveur, etc.) n’est disponible ce mois-ci.

    Commençons par Internet Explorer qui figure en tête de notre liste interne des priorités. Le bulletin MS15-106 fournit 15 correctifs pour des vulnérabilités dont neuf sont critiques car pouvant entraîner des exécutions de code à distance (RCE) si l’un de vos utilisateurs se rend sur un site Web malveillant. Déployez cette mise à jour de sécurité en priorité sur toutes les plates-formes affectées, depuis Vista et IE7 et jusqu’à Windows 10 et IE11.

    Les bulletins MS15-107 et MS15-108 sont associés au bulletin pour Internet Explorer. MS15-107 est une nouvelle version pour le nouveau navigateur Edge, mais ce bulletin de sécurité ne contient que 2 correctifs plutôt mineurs : une fuite d’information ainsi qu’une mise à jour pour le filtre XSS. MS15-108 reprend quatre des problèmes traités par le bulletin MS15-106 pour les machines qui exécutent une autre version de JavaScript, principalement Internet Explorer 7.

    Les bulletins MS15-109 et MS15-110 sont plus importants et méritent toute votre attention. Commençons par le MS15-110. Ce dernier résout six problèmes sévissant dans Office (essentiellement Excel), dont cinq entraînent une exécution de code à distance. L’utilisateur est invité à ouvrir une feuille de calcul Excel contenant un exploit pour l’une de ces vulnérabilités, ce qu’il fera sans trop hésiter si les feuilles de calcul présentent par exemple des informations produits pertinentes, des tarifs et encore des remises de fournisseurs concurrents (je reçois environ un e-mail par semaine avec ce type d’information). Le bulletin MS15-109 traite une vulnérabilité dans le shell Windows qui peut être déclenchée via un e-mail et une navigation Web et qui, en cas d’exploit réussi, fournira une exécution à distance RCE à l’attaquant.

    Quant à la mise à jour MS15-111, elle gère des vulnérabilités à base d’élévation locale de privilèges sous Windows, ce qui affecte une fois encore toutes les versions de Windows depuis Vista jusqu’à Windows 10. Les attaquants utiliseront ce type de vulnérabilité pour accéder au niveau système, une fois qu’ils auront pris le contrôle de la machine ciblée.

    En résumé : appliquez le patch MS15-106 pour Internet Explorer en priorité, puis MS15-110 pour Excel. Ensuite, le bulletin MS15-109 pour le shell Windows. Les autres bulletins sont moins critiques et peuvent être déployés dans le cadre de votre cycle de patch normal.

    Enfin, Adobe a également publié des mises à jour pour Adobe Reader et Flash : APSB15-24 pour le Reader et APSB15-25 pour Flash. Ces bulletins traitent plusieurs vulnérabilités critiques (plus de 50 pour le Reader) qui permettraient à un attaquant d’exécuter du code dans le contexte de l’utilisateur. Nous recommandons la correction immédiate du Flash. D’autre part, la sandbox d’Adobe renforce le durcissement de sa visionneuse PDF car depuis plus d’un an des fichiers PDF sont utilisés pour lancer des exploits à l’aveugle. Corrigez dans le cadre de votre cycle de patch normal. Quant à Oracle, il publiera sa mise à jour de patchs critiques (CPU) le 20 octobre.

backdoor, Cybersécurité, Social engineering

Du matériel d’espionnage découvert dans une école parisienne

Un commentaire

Découverte d’un matériel électronique d’espionnage dans les locaux d’une école du Nord-Est Parisien. Il visait des anarchistes locaux.

Le blog du groupe d’anarchistes La Discordia revient sur la découverte d’un étrange matériel d’espionnage qui semble avoir visé la bibliothèque de ce groupe politique parisien. Une caméra, une connexion GSM, du matos qui semble être une pirate box, un transmetteur GSM Jablotron (290€), un routeur de chez PEPLink et une puce GSM Orange. Le tout caché dans une boite « faite maison », raccordée à un chouette petit pc de la famille des Fit PC. Dans ce cas, un fit-PC2 à 400 euros, fabriqué en Israël. Bref, plus de 1.000€ de matos pour espionner cette bibliothèque qui est née en avril 2015 et qui s’est donnée comme mission de partager des informations sur l’actualité du mouvement révolutionnaire et anti-autoritaire à travers le monde.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle

Un circuit électronique capable de s’auto détruire en cas de piratage

Des chercheurs du Palo Alto Research Center mettent au point un système de protection des données en permettant à un circuit électronique de s’auto détruire en cas de piratage.

Des chercheurs étudiants du PARC, le Palo Alto Research Center, viennent de présenter ce qui semble être un avenir intéressant pour le matériel transportant des données sensibles. En cas de piratage par exemple, un des circuits électroniques gérant la machine sera capable de s’auto détruire.

Le projet est conduit par la Defense Advanced Research Projects Agency. La DARPA est cette fameuse agence de recherche de l’armée américaine à qui l’on doit, entre autres, la naissance d’Internet ou encore du High Productivity Computing Systems, des ordinateurs capables de traiter plusieurs pétaflops de données.

Les circuits, en silicium, explose à partir d’une impulsion électrique particulière, chauffant le circuit. Le chef de ce projet baptisé VAPR (Vanishing Programmable Resources), Gregory Withing, explique qu’une simple connexion sans fil Wi-Fi pourrait permettre de faire exploser le matos.

Une possibilité a double tranchant si de mauvaises mains peuvent actionner le système de sécurité. Les chercheurs avaient déjà proposé le circuit qui fondait à la demande. A suivre ! (Futura science)