Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Entreprise, Microsoft

Même si l’utilisation de XP en France diminue rapidement, ce système d’exploitation continuera probablement d’y être utilisé jusqu’en 2015.

L’exposition à Windows XP a sensiblement diminué au cours des douze derniers mois. Cependant, si la baisse se poursuit au rythme actuel, il faudra encore un an avant que XP disparaisse de tous les postes de travail d’entreprise en France.

Selon des données internationales issues de plus de 100 000 scans de vulnérabilités mensuels réalisés sur des PC équipés de Windows par l’outil gratuit BrowserCheck de Qualys, les niveaux d’exposition dans les quatre grands pays que sont le Royaume-Uni, les États-Unis, la France et l’Allemagne ont baissé de façon constante. Les entreprises françaises ont réduit leur exposition à XP de près de moitié depuis le 1er trimestre 2013, période à laquelle 23% des scans détectaient encore la présence du système d’exploitation XP. Néanmoins, la France reste la nation la plus à risque parmi les pays étudiés avec 13% de scans détectant encore des machines sous XP, un niveau nettement supérieur à celui des autres pays observés.

Si la baisse se poursuit au rythme actuel, il faudra une année de plus avant que l’exposition à XP ne disparaisse. Les entreprises britanniques ont réduit leur exposition à XP de plus de moitié depuis le 1er trimestre 2013, à 8%, ce qui situe ce pays au même niveau que les États-Unis. En Allemagne, l’exposition, faible dès le départ, a également baissé mais plus lentement. Si bien qu’au 1er trimestre 2013, 7% seulement des machines analysées fonctionnaient toujours sous XP. Cependant, les données indiquent que ce n’est pas avant un an et demi que les machines utilisant encore Windows XP seront mises hors service ou à niveau.

Une autre analyse de l’exposition à XP par secteur réalisée au niveau mondial s’appuyant sur des données d’analyse de QualysGuard, collectées auprès de 6700 entreprises, a permis de constater des différences non négligeables selon les secteurs.

Finance
Bien que le secteur financier ait enregistré des progrès au cours des 12 derniers mois pour éliminer Windows XP, les niveaux d’utilisation restent élevés, surtout pour un secteur qui traite des données aussi sensibles. Avec 21% des scans révélant que des machines fonctionnent toujours avec Windows XP, le secteur financier est plus vulnérable que des secteurs comme celui des services (7%), de la santé (3%), des transports (14%) ou du commerce de détail (14%).

Transports
C’est dans le secteur des transports qu’a été observée la baisse la plus nette de l’exposition à Windows XP. Le pourcentage des scans identifiant XP passant de 55% à 14% sur les douze derniers mois sur ce marché.

Wolfgang Kandek, CTO de Qualys, de commenter ces chiffres : « Nous avons constaté une baisse linéaire de l’utilisation de Windows XP au cours de ces douze derniers mois. Néanmoins, si le rythme actuel se poursuit, les entreprises resteront exposées pendant quelque temps encore. En effet, il ne faut pas oublier que même si une société fait de son mieux pour réduire le pourcentage de machines sous XP, une seule et dernière machine suffit pour rendre l’entreprise vulnérable à des attaques. »

Leak, Piratage

Fuite de données en Allemagne avec 18 millions de comptes mails

Après la fuite de 16 millions de comptes électroniques voilà quelques mois, voici une nouvelle valve pirate qui s’est ouverte en Allemagne avec 18 millions de nouveaux accès à des comptes webmails. Les procureurs de Verden (région de la Basse-Saxe) ont été saisis d’une enquête concernant des accès à des millions de comptes mails. Les données semblent venir de l’ensemble des grands fournisseurs d’accès Internet allemands. En Janvier dernier,  l’Office fédéral pour la sécurité en ligne (BSI) révélé que des pirates avaient eu accès à 16 millions de comptes de messagerie. A première vue, le même pirate se cache derrière cette seconde fuite. (The Local)

 

Chiffrement, cryptage, Entreprise, Fuite de données, Vie privée

Un risque croissant de vol de données en raison de ‘menaces internes’

Le cabinet Ovum vient de publier un rapport qui devrait faire tendre l’oreille. Cette étude commanditée par Vormetric met en évidence le faible contrôle des utilisateurs privilégiés au sein des entreprises françaises et la reconnaissance du chiffrement comme la technologie la plus efficace pour prévenir le risque des menaces intérieures. En outre, 53% des entreprises européennes trouvent ces menaces plus difficiles à détecter qu’auparavant.

Cette enquête, réalisée auprès de plus de 500 décideurs dans le domaine des hautes technologies de moyennes et grandes entreprises au Royaume-Uni, en France, en Allemagne, conclut que seuls 9% des entreprises se sentent à l’abri des menaces provenant de l’intérieur, avec presque la moitié des sondés en France (42%) reconnaissant que ce sont les « utilisateurs privilégiés » (administrateurs systèmes, de bases de données, réseaux, etc.) qui représentent le plus grand risque pour leur entreprise.

Les menaces intérieures ne proviennent plus seulement des utilisateurs habituels ayant des droits d’accès légitimes et qui en abuseraient pour voler des données et d’en retirer un gain personnel. Les utilisateurs privilégiés qui administrent les systèmes et les réseaux représentent désormais une inquiétude supplémentaire puisque leurs métiers requièrent évidemment un accès à toutes les données accessibles sur les systèmes pour effectuer leur travail. Une troisième menace intérieure identifiée comme étant particulièrement préoccupante concerne les infiltrations par des cybercriminels cherchant activement le moyen de compromettre des comptes d’utilisateurs internes (en visant principalement les comptes avec les privilèges les plus avancés) afin de s’infiltrer dans les systèmes et d’y voler des données en utilisant les identifiants usurpés.

« Environ la moitié des organisations estiment que ces menaces internes sont de plus en plus difficiles à détecter, et les responsables informatiques sont extrêmement inquiets de ce que leurs utilisateurs peuvent faire avec les données de leur entreprise, déclare Andrew Kellet, analyste principal chez Ovum, le cabinet d’analystes en charge de l’enquête. Ce risque se combine avec la menace posée par les cyberattaques qui visent les comptes utilisateurs – ce qui n’est pas complètement ignoré puisque 30 % des organisations citent les Menaces Persistantes Avancées comme motivation principale pour l’amélioration des défenses contre le vol de données. »

Selon l’étude menée, Seulement 9 % des organisations européennes interrogées se sentent à l’abri des menaces internes contre 11% des entreprises françaises ; 47 % des organisations estiment actuellement qu’il est plus difficile de détecter des incidents provenant des menaces internes qu’en 2012 ; Le contrôle d’accès aux données est identifié comme la plus grande menace pour les organisations. Pour certaines, les employés non-techniciens avec un accès autorisé aux données sensibles et aux ressources IT représentent le risque le plus important (49 %), tandis que pour d’autres, ce sont les postes de haut niveau tels que les Directeurs Administratifs et Financiers ou les PDG qui sont le principal risque (29 %) ; Le passage au cloud augmente les risques de sécurité, en raison d’une perte de visibilité sur les mesures de sécurité autour des données stockées dans le cloud, représentant une inquiétude pour 62 % des personnes interrogées ; Le Big Data peut également poser problème, avec plus de la moitié des entreprises concernées par la sécurité du Big Data (53 %) indiquant que des données sensibles peuvent y être contenues ; Il y a de bonnes nouvelles : les organisations prennent des mesures pour lutter contre les menaces intérieures avec 66 % d’entre elles qui envisagent d’augmenter leurs budgets de sécurité en réponse directe à ce risque. « Les entreprises accentuent leur utilisation du cloud computing afin de profiter de la flexibilité et des avantages financiers qu’il apporte, indique Danièle Catteddu, Responsable EMEA pour la Cloud Security Alliance. L’étude démontre qu’elles sont conscientes des nouveaux risques lié à cet usage accru, et détaille la façon dont les fournisseurs peuvent améliorer leurs offres afin de mieux satisfaire les besoins des entreprises en matière de sécurité pour contrebalancer les menaces intérieures »

« Clairement, les exigences liées à la conformité légale, les contraintes concernant la vie privée et les vols de données incessants ont un effet marqué sur les entreprises, déclare Stewart Room, partenaire du Field Fisher Waterhouse’s Technology and Outsourcing Group. Avec 66% d’entre elles qui envisagent d’augmenter leurs dépenses en sécurité pour bloquer les menaces intérieures, et en fonction du défi que la protection des données dans le cloud, les environnements mobiles et Big Data représente, les entreprises comprennent que leur niveau de sécurité doit être mis à jour et font ce qu’il faut pour. »

De plus, les entreprises reconnaissent que le chiffrement est la technologie la plus efficace pour bloquer les menaces internes, avec la plus grande proportion des organisations (38 %) la citant comme la mesure de sécurité la plus importante. (étude)

Entreprise, Fuite de données, Identité numérique

Les technologies « finger printing » permettent de tourner la page du cookie ?

Après l’affaire PRISM de l’été 2013 et la joute entre Google et la CNIL (Commission Nationale Informatique et Liberté) en France, la collecte et l’utilisation de données digitales personnelles ou anonymes sont des sujets qui suscitent des interrogations légitimes chez les consommateurs dans tous les pays. Pour les cookies, les temps sont durs. Ces fichiers s’apparentent à des logiciels espions installés directement dans les navigateurs et permettent à un annonceur, à l’éditeur d’un site internet ou bien à un prestataire publicitaire d’identifier de façon anonyme un internaute et de construire un profil plus ou moins détaillé de ce dernier sur la base des informations collectées.

Le processus d’harmonisation de la réglementation européenne sur la protection des données personnelles est en marche. L’ensemble des acteurs du marché de la communication digitale et plus particulièrement les spécialistes de la publicité en ligne sont directement concernés par ces questions du moment. De plus en plus souvent, les cookies sont désignés comme une cible à abattre ou  tout du moins comme une technologie nécessitant plus de transparence et de réglementation quant  à son utilisation.

Il devient nécessaire pour tous les acteurs du secteur de songer dès maintenant à des technologies alternatives pour continuer à délivrer des campagnes publicitaires efficaces. A court-terme, le cookie va résister, mais qu’en sera-t-il à l’avenir?

Les cookies, témoins d’une époque publicitaire révolue
En pratique, les cookies peuvent d’ores et déjà être très facilement bloqués par des programmes dits « ad-blocker » directement intégrés dans certains navigateurs. Les cookies restent aussi à la merci d’un possible revirement stratégique des grands acteurs de l’écosystème digital que sont Google, Facebook, Microsoft ou Apple. Ceux-ci pourraient décider du jour au lendemain de fermer leur environnement aux cookies.

Par ailleurs, avec l’explosion de l’utilisation des smartphones et des tablettes, force est de reconnaître que les cookies sont impuissants à pénétrer l’environnement mobile auquel ils ne sont pas adaptés. Avec des internautes nomades et connectés en permanence (et qui le seront de plus en plus), les cookies font figure de technologie dépassée, incapables d’intégrer les usages en mobilité. L’optimisation de la pertinence et de la performance des campagnes publicitaires digitales passe pourtant par une prise en compte de ces nouveaux usages et fait appel au final  à des  technologies adaptées à ce nouveau paradigme.

Avec le « finger printing », un plus grand respect de la vie privée
Fort heureusement, des technologies alternatives aux cookies existent et offrent déjà des résultats prometteurs : le « finger printing » est une méthode consistant à identifier de façon anonyme un internaute quel que soit son appareil (PC, tablette ou mobile) à travers toutes les traces digitales (d’où la terminologie de « finger printing » ou « empreinte digitale » en anglais) que sa navigation peut communiquer. A chaque visite de site ou d’application mobile, l’internaute envoie jusqu’à 80 informations techniques  comme son fuseau horaire, la version de son navigateur, la résolution de son écran, les plug-ins installés, etc…  L’ensemble de ces données est passé ensuite à travers différents filtres et tableaux de correspondances afin de former une empreinte digitale unique (« finger print ») pour l’appareil utilisé. Certains acteurs ont même développé des solutions capables de reconnaître un même utilisateur à travers différents appareils, qu’il se connecte à Internet via son PC, son smartphone ou sa tablette par exemple.

Derrière ces nouvelles technologies en phase avec l’évolution des comportements et des usages, les enjeux sont clairs : pouvoir détecter un profil d’utilisateur quel que soit son moyen de connexion digitale – web, mobile ou tablette – de manière totalement  anonyme. Avec le finger printing, la réalité d’un système respectueux des données personnelles prend forme, tout en réconciliant enfin les informations entre web et mobile (cross-device) et en s’affranchissant de la menace d’évolutions techniques et réglementaires comme c’est le cas avec les cookies.

Un écosystème publicitaire qui doit évoluer
Aujourd’hui, le finger priting en est encore à ses balbutiements. Le principal obstacle à son utilisation généralisée se situe au niveau de l’organisation actuelle de l’écosystème publicitaire qui repose en grande partie sur le cookie comme identifiant commun entre les différents acteurs du marché (éditeurs, annonceurs, prestataires, …). Paradoxalement,  même les plateformes de gestion de la vie privée mises en place par l’IAB – représentant officiel de l’industrie de la publicité digitale – en Europe et aux Etats-Unis reposent actuellement sur une technologie traditionnelle de « cookie matching » (à savoir le croisement des données collectées par leurs plateformes et par les acteurs du marché). Certaines sociétés ont toutefois développé leur propre technologie de fingerprinting et l’utilisent aujourd’hui en parallèle.

La mise en place d’un standard technologique de fingerprinting à grande échelle nécessite une mise en commun des algorithmes d’identification entre les participants de l’écosystème, comme le propose la société Adtruth. Mais le marché est-il prêt pour ce grand bouleversement ou attend-il simplement d’y être forcé ?

Le drame psychologique de la fin des cookies est un faux problème en soi, puisque le nombre grandissant de campagnes publicitaires sur mobile  nécessite déjà l’emploi de nouvelles approches. Si le cookie est encore la norme aujourd’hui, il convient rapidement pour les acteurs du marketing digital de préparer leur indépendance vis-à-vis du cookie. Ceux qui ont investi en R&D pour développer une technologie de fingerprinting disposent d’ores et déjà d’une longueur d’avance… (Par Stéphane DARRACQ, PDG de makazi group)

Cyber-attaque, DDoS, Piratage

Les attaques DDoS, tactique de diversion pour cyber-escroqueries en tous genres

« Allo ? Ici le commissariat, on vient de fracturer votre bureau, merci de venir vérifier si on ne vous a rien volé, toutes affaires cessantes ». Voilà une manœuvre de diversion classique, qui permet aux cambrioleurs de profiter de votre absence certaine pour pénétrer chez vous et faire main basse sur vos biens les plus précieux.  Un type d’attaque équivalent existe dans le cybermonde. Le DDoS remplace le faux coup de fil en détournant l’attention des professionnels du réseau et de la sécurité qui se précipitent alors pour contrer l’attaque par déni de service.

Les DDoS sont aussi une méthode extrêmement efficace qu’utilisent les états pour masquer leurs intentions réelles. Les exemples sont multiples. Parmi les plus récents, l’Otan a été la cible d’attaques informatiques par DDoS revendiquées par des pirates ukrainiens, suite à plusieurs autres attaques menées contre l’Ukraine où un puissant virus informatique aurait infiltré des ordinateurs, selon un rapport du groupe britannique de défense BAE Systems. Nul ne sait quel était l’objectif réel de ces représailles.

Comment une attaque DDoS peut-elle masquer un vol de données ?
Utiliser le déni de service pour faire diversion est à la fois simple et redoutable. Pendant que l’entreprise est occupée à repousser l’attaque, les cybercriminels ont le loisir de contourner la sécurité affaiblie pour voler des informations monnayables ou stratégiques. Et les cas de diversion se multiplient, tant la méthode est efficace. Lorsqu’une entreprise est attaquée, tous les yeux et toutes les alertes se focalisent sur l’attaque. Il ne reste que peu de personnes et moins de ressources pour maintenir la protection du système d’information. L’attaque distrait les experts de la sécurité, occupe les systèmes de sécurité, différant ainsi l’examen de nouvelles alarmes. Les voleurs ou les pirates ont alors le loisir d’intervenir à partir de comptes à privilèges, par exemple pour détourner des fonds dans une banque, exfiltrer des données ou installer un système espion qui sera utilisé plus tard.

Surveiller les attaques par DDoS
Pour de nombreux observateurs, les outils étant faciles à obtenir sur le marché clandestin du piratage, ce type d’attaque va encore se développer dans les mois qui viennent. Pour les contrer, les entreprises doivent rester vigilantes et accroître leur protection. L’an dernier, diverses attaques DDoS, dirigées contre les institutions financières ont servi de couverture à des fraudes. Plusieurs banques ont été victimes de virements non autorisés. Les cyber-malfaiteurs prennent le contrôle du système de transfert monétaire, faisant main basse sur les avoirs des clients ou détournant des ordres à leur profit. Une attaque par DDoS est alors lancée, avant ou après le transfert de fonds, empêchant que la banque puisse identifier rapidement la transaction frauduleuse. Subissant un flot d’attaques, les institutions financières en pointe cherchent à accroître leur protection et unissent leurs efforts pour mieux endiguer le fléau. Face à l’ampleur des attaques par déni de service distribué, les banques n’ont en effet guère le choix. Elles doivent prendre des mesures vigoureuses.

Former le personnel de l’entreprise
C’est un fait malheureusement indéniable : c’est le plus souvent une erreur interne qui permet l’intrusion. Informer les salariés des ruses utilisées par les cyber-délinquants est donc essentiel. Le clic sur un lien ou l’ouverture de la pièce jointe d’un e-mail provenant d’une personne inconnue peut être le point de départ d’un processus qui sera difficilement maîtrisable. Le phishing est aussi un moyen efficace pour une personne mal intentionnée de placer un logiciel malveillant dans un système et de voler des informations. Il faut aussi sécuriser absolument toutes les connexions au réseau de l’entreprise et aux informations de du système depuis un ordinateur, une tablette ou un smartphone personnel… Enfin, il convient de surveiller les comptes à privilèges, les connexions et les activités qui se produisent en dehors des heures de bureau. L’examen des journaux de sécurité permet de déterminer si des activités suspectes ont eu lieu avant, pendant ou après l’attaque. Mais il faut aller encore plus loin et mettre en place une solution anti-DDoS, contrant les attaques du réseau et éliminant le mauvais trafic avant qu’il n’atteigne d’autres parties de l’infrastructure .

Une première ligne de défense
Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cybermenaces avancées. Elles sont d’ailleurs souvent elles-mêmes la cible d’attaques. C’est pour cette raison qu’il est nécessaire de déployer une première ligne de défense entre Internet et le réseau de l’entreprise, construite pour résister aux cybermenaces modernes, assurant ainsi la continuité des activités et des services. Les interruptions ou blocages de service que provoquent les attaques peuvent avoir un coût très élevé selon le type d’activité en ligne. Elles occasionnent une perte de productivité mais altèrent aussi fortement l’image de l’entreprise. La première ligne de défense offre une protection sans interruption contre les cybermenaces qui évoluent en permanence. Elle arrêtera un large éventail d’attaques DDoS et de cybermenaces de nouvelle génération, sans dégrader les performances de l’entreprise. Il faut en effet une protection maximale des actifs informatiques critiques tout en autorisant un total accès pour les utilisateurs légitimes et aux applications. En écartant les menaces des DDoS, la sécurité du réseau répond aux exigences de protection de l’entreprise moderne et conserve le patrimoine numérique en évitant les fuites de données. Il est ainsi possible de contrer la cupidité des cybercriminels utilisant les attaques DDoS pour détourner des fonds ou dérober des informations monnayables ou des données sensibles.

La prévention est la vraie bonne méthode
Contrer une attaque identifiée, en analyser les effets, remettre le système affaibli en état de rendre à nouveau les services requis est indispensable, et c’est le rôle des équipes d’experts et de maintenance sécurité. Mais cette intervention technique s’effectue quand le mal est déjà fait, et le ver peut-être dans le fruit. La prévention par la formation, la protection par une ligne de défense qui agit avant que l’attaque n’atteigne son but, laissant aussi les pare-feu et les IPS jouer pleinement leur rôle, voilà sans aucun doute la méthode la plus appropriée. Pour qu’une simple attaque DDoS ne soit pas le début d’une cascade de phénomènes plus graves pour l’entreprise. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security)

Entreprise, Fuite de données, Identité numérique, Sauvegarde, Vie privée

CJUE: Un coup d’arrêt à la rétention des données

L’Union européenne invalide la directive controversée sur la rétention des données. Dans un arrêt publié ce mardi 8 avril, la Cour de Justice de l’Union Européenne (CJUE) a invalidé la directive européenne 2006/24 sur la rétention des données ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, notamment pour non-respect du principe de proportionnalité. Le juge européen reproche en outre à la directive de ne pas imposer une conservation des données sur le territoire de l’UE.

La Député Européenne Françoise Castex salue cette décision de la CJUE: « après le rapport Moraes sur le programme d’espionnage de la NSA, et l’adoption du paquet données personnelles par les eurodéputés, c’est un signal fort envoyé au Conseil. » La directive 2006/24 oblige les opérateurs télécoms à stocker des données sur l’ensemble des communications de leurs clients afin de faciliter la recherche, la détection et la poursuite d’infractions graves.

Pour la Vice-Présidente de la Commission des Affaires juridiques du Parlement européen: « cette directive, qui a été votée dans le cadre des accords UE/États-Unis après les attentats du 11 septembre, ne répondait pas aux exigences imposées par les droits fondamentaux à la vie privée et à la protection des données« .

« Cet arrêt confirme ma conviction qu’il est urgent de doter l’Europe d’un habeas corpus numérique, et de suspendre, une fois pour toute, les accords Safe Harbour et Swift/TFTP qui autorisent le transfert des données personnelles des Européens aux autorités américaines« , conclut l’eurodéputée Nouvelle Donne.

Chiffrement, cryptage, Logiciels

Projet Mylar : sécuriser les données d’un site web

Des chercheurs de la prestigieuse université du MIT présentent Mylar, un système de chiffrement entre votre navigateur et un site web. Raluca Popa est un chercheur au sein du MIT, le mythique Massachusetts Institute of Technology. Ce dernier vient de lancer le projet MYLAR, un système de sécurité qui doit permettre de protéger les informations entre votre ordinateur et un serveur web.

Le système chiffre les informations via le navigateur de l’utilisateur. Les données communiquées sur la toile ne sont lues que par le serveur autorisé. Une sécurité qui doit permettre de contrer les vols et détournements d’informations. « si un gouvernement demande des données à un fournisseur de service ou un hébergeur, le serveur ne pourra pas fournir des informations non chiffrées » rapporte Popa surfant sur l’actualité de cyber surveillance de masse mise en place par la NSA.

Raluca Ada Popa, Emily Stark, Jonas Helfer, Steven Valdez, Nickolai Zeldovich, M. Frans Kaashoek, et Hari Balakrishnan ont diffusé 16 pages (PDF) d’un rapport lié à leur projet qui devrait voir le jour, d’ici quelques semaines, sous forme d’un agenda et d’un chat sécurisés.

Cyber-attaque, Cybersécurité

Et si le Boeing 777 avait été piraté

Le Canada se penche sur les possibilités de pirater un avion de ligne. Avec la disparition du Boeing 777, le 8 mars dernier, plusieurs services secrets se sont penchés sur les possibilités liées à ce genre de « phénomène ». Il faut dire aussi que le vol de Malaysia Airlines n’est pas un cas unique. En mai 2003, un autre Boeing (727) disparaissait des radars au départ de Luanda (Angola). L’avion ne sera jamais retrouvé.

Du côté des cousins du grand nord, les enquêtes se penchent sur les possibilités de piratage informatique d’un avion. Transports Canada s’intéresse aux travaux d’un hacker qui annonçait, il y a quelques semaines, avoir trouvé le moyen de pirater l’ordinateur de bord d’un avion commercial.

La Direction de l’évaluation du renseignement de sûreté de Transports Canada s’est penché sur cette recherche, nous étions alors 10 mois avant la disparition du MH370. « La présentation, en avril 2013, d’un projet appelé Le hacking d’un avion: séries aériennes pratiques par le consultant en sécurité et pilote commercial Allemand Hugo Teso, au congrès de pirates informatiques Hack In The Box, à Amsterdam, a pris plusieurs organisations de sécurité des transports par surprise », souligne le document récupéré par La Presse Canada. Il avait expliqué avoir pris le contrôle d’un ordinateur de bord d’avion (via un simulateur) en utilisant une application pour téléphone Android et un petit transmetteur acheté sur eBay.

Pirate et crash d’avion : retour d’une chimère
Aussi étonnant que cela puisse paraitre, le spectre du pirate informatique aux commandes d’un avion n’est pas une nouveauté. Au mois d’août 2008, un rapport diffusé par la justice Espagnole indiquait que le vol JK 5022 (qui s’était abimé deux ans plus tôt) se serait écrasé en raison de la présence d´un cheval de Troie dans l´ordinateur central de la compagnie aérienne Spanair. Un cheval de Troie a perturbé ce qui devait permettre l’enregistrement des informations techniques du vol JK 5022. L’ordinateur, situé au siège de la compagnie aérienne à Palma de Mallorca, aurait du émettre un signal d’alarme sur ses moniteurs lorsque trois problèmes techniques similaires ont été détectés par les sondes de l’appareil. L’avion avait accumulé trois incidents qui n’ont pas été enregistrés par l’ordinateur de Spanair. (source: zataz.com)

En 2004, zataz.com vous révélait comment des « idiots » avaient tenté de faire crasher des avions de la patrouille de France. En juin 2003, la grande dame fêtait ses 50 ans. Pour son anniversaire, la Patrouille de France devait survoler le Puy-du-Fou. La représentation des Alpha-jets va être interrompue en raison d’un problème de sécurité. Des pirates s’étaient amusés à envoyer de fausses instructions de vols, qui à 850 kilomètres heures, auraient pu être catastrophique pour les pilotes.

En octobre 2008, des chercheurs des Universités de Cornell et de Virginia Tech indiquaient que des pirates pourraient faire s’écraser un avion en manipulant le GPS (Global Positioning System) des appareils. Pour réussi l’attaque, un pirate doit s’interposer entre le GPS de l’appareil et l’un des 30 satellites en orbite qui permettent de trianguler les informations de localisations. Il suffirait juste de 10 microsecondes pour perturber le moindre vol.  L’un des chercheurs avait présenté un petit boitier qui se branchait sur une simple prise électrique.

Quelques mois auparavant, nous étions alors en janvier 2008, un autre avion de la firme Boeing était montré du doigt : le Boeing 787. Une vulnérabilité de sécurité sérieuse découverte dans le réseau informatique embarqués L’instance gouvernementale en charge de l’aviation sur le territoire Américain (FAA) annonçait que les Boeing 787 étaient ouverts aux pirates informatiques. La faille permettait aux passagers d’accéder aux systèmes de contrôle de l’avion. Le réseau informatique dans le compartiment passager du « 787 Dreamliner« , conçu pour donner aux passagers un accès à Internet lors d’un vol est aussi raccordé… au contrôle de l’avion.

Nous finirons avec ce projet lancé en 2006 par une trentaine d’entreprises et universités (Airbus, Siemens, l’Université technique de Munich, …). L’idée était de travailler sur la mise en place d’un logiciel pas comme les autres. Une sorte de backdoor, une porte dérobée, qui doit équiper les avions. Mission de ce programme, permettre de piloter un avion, à distance, dans le cas où ce dernier a été pris en otage. L’hebdomadaire Der Spiegel expliquait à l’époque que ce programme devait permettre de piloter l’avion, du sol.

Cyber-attaque, Entreprise, Leak, Mise à jour, Patch

Windows XP sera-t-il la nouvelle aire de jeu des cybercriminels à compter du 8 avril 2014 ?

A partir de ce mardi 8 avril, Microsoft cessera le support de son système d’exploitation Windows XP alors que sa part de marché reste encore élevée (29.53% en février 2014 d’après Net Applications). Quel est l’impact sécuritaire de cette décision ? Concrètement, tous les ordinateurs qui fonctionneront encore sous Windows XP à compter de cette date ne bénéficieront plus des patchs créés contre les failles de sécurité de ce système d’exploitation. Que l’on soit un particulier ou une entreprise, deviendrons-nous la cible privilégiée des cybercriminels à compter du 8 avril 2014 ? Pas si sûr…

Qu’elles soient petites, moyennes ou grandes entreprises, issues du secteur bancaire, industriel ou tertiaire, le 8 avril 2014 préoccupe un certain nombre d’organisations car la fin du support de Windows XP n’est pas qu’une simple question de migration vers un nouveau système d’exploitation. D’autres contraintes comme le coût ou bien l’interruption de services liés à cette migration peuvent être des éléments critiques à prendre en compte pour certaines entreprises.

Prenons l’exemple du secteur bancaire. 95% des distributeurs automatiques de billets (DAB) dans le monde reposent actuellement sur des ordinateurs fonctionnant sous Windows XP. Outre la nécessité d’une interruption de services pour réaliser cette migration, ces ordinateurs ne tolèrent en général pas une version plus récente de Windows. Dans ce cas de figure, impossible de migrer sans changer l’ensemble du matériel informatique et engendrer un coût non négligeable pour les entreprises. Idem pour les environnements industriels dits SCADA comportant des applications métiers spécifiques créées depuis des dizaines d’années et difficiles à migrer.

Une des alternatives envisagées par ces entreprises est de ne rien faire. Seront-elles donc plus vulnérables ? N’en soyez pas si certain ! Il est fréquent qu’une organisation n’effectue pas les correctifs disponibles de l’OS pour éviter toute interruption de leurs services.  En effet, pour ces organisations, l’interruption de services n’est pas uniquement liée à la migration vers un nouvel OS mais est également nécessaire pour toute mise à jour de n’importe quel système d’exploitation. Ces entreprises seront donc autant vulnérables qu’aujourd’hui puisque sans ces correctifs, elles ne sont pas protégées des vulnérabilités actuelles. A l’inverse, d’autres entreprises ont l’habitude de mettre à jour automatiquement leur système d’exploitation, dans ce  cas, elles deviendront plus vulnérables qu’aujourd’hui puisqu’elles ne bénéficieront plus de protection actualisées.

Pour ce qui est des DAB, rassurez-vous, ces distributeurs ne sont pas directement connectés à Internet. Donc le seul moyen pour un cybercriminel de les cibler est d’intervenir sur la machine elle-même (comme par exemple : y introduire un cheval de Troie par le biais d’une clé USB qu’il connecterait au distributeur). Une opération très peu probable car risquée pour les cybercriminels.

Vous l’aurez donc compris la clé pour rester sous Windows XP est de ne pas être connecter à Internet. Sans quoi, il est recommandé de migrer vers un autre système d’exploitation car on peut s’attendre à une recrudescence d’attaques ciblant les prochaines vulnérabilités XP visant à extraire des informations sensibles (informations concurrentielles, numéros de cartes de crédit …). – Par Guillaume Lovet, expert en cybercriminalité au sein de l’équipe FortiGuard Labs de Fortinet.

Facebook, Identité numérique, Particuliers

L’effet de conditionnement de Facebook

L’effet de conditionnement de Facebook : Que nous a appris (ou non) le réseau social sur la protection de nos données ? Voici quelques statistiques sociales étonnantes concernant les photos : plus de 250 milliards de photos ont déjà été téléchargées sur Facebook, avec une moyenne de 350 millions de photos par jour. Le téléchargement moyen par utilisateur est de 217 photos. Et ce n’est que pour Facebook ! Mark Zuckerberg a dépensé 1 milliard de dollars pour l’acquisition d’Instagram, qui atteint les quelques 55 millions de clichés téléchargés via son application chaque jour (c’est plus de 600 clichés par seconde).

Alors, que disent de nous tous ces téléchargements, outre le fait que nous aimons tous un bon «selfie» ? Les résultats d’une enquête récente ont révélé que lorsqu’on leur donne le choix, 74 % des répondants préfèrent protéger leurs photos personnelles que le terminal (téléphone portable, ordinateur portable ou tablette) sur lesquelles elles sont stockées. En fait, de tous les fichiers enregistrés sur leurs dispositifs, les consommateurs ont majoritairement déclaré qu’ils considéraient leurs photos personnelles comme les plus importantes.

Les albums photo appartiennent au passé, les nouvelles images se mettent directement sur les pages (sans poussière) des réseaux sociaux. Mais quelque chose de beaucoup plus profond et d’une plus grande envergure est en train de se passer : lorsque nous partageons des photos sur les réseaux sociaux basés dans le cloud, nous créons une deuxième copie de cette information – une copie partagée qui souvent, à l’heure actuelle, appartient à quelqu’un d’autre – même si ce n’est pas l’intention principale.

Nous appelons cela l’« Effet de conditionnement de Facebook » – l’idée que les réseaux sociaux font acte de sauvegarder au-delà de notre conscience. Le problème est que les images que nous voyons sur les réseaux sociaux sont souvent une copie de mauvaise qualité de nos photos, et ce, même si nous ne sommes pas au courant de ce fait. Et, le plus ironique dans l’histoire, c’est que même si nos « selfies » et photos de « fooding » sont stockés dans un second emplacement, bon nombre de nos documents beaucoup plus importants sont exposés à des risques. La bonne nouvelle est que l’action de télécharger et d’enregistrer une copie de ces fichiers numériques à un emplacement supplémentaire est en train de nous conditionner pour sauvegarder et protéger davantage nos données globales.

Pourquoi ne devrions-nous pas penser de cette façon ? Avec les récents progrès dans les technologies de cloud computing et l’expérience utilisateur, la sauvegarde des données est désormais aussi simple que d’appuyer sur le bouton « Envoyer ». C’est de cette manière que cela fonctionne sur Instagram, n’est-ce pas ?

Mais il y a tellement de données personnelles – les choses vraiment personnelles – qui ne sont pas sauvegardées correctement et sans risques. Pourquoi ? Pourquoi l’ensemble de nos données et non pas uniquement quelques-unes de nos photos personnelles ne seraient-elles pas stockées dans un univers numérique sans risques ? Qu’est-ce qui nous empêche de faire le grand saut depuis une tendance sociale vers une habitude saine englobant toutes les données, où tout est sauvegardé et protégé ?

La réponse la plus évidente résiderait dans le fait qu’il n’existe pas de Facebook pour vous rappeler de protéger les documents relatifs à vos impôts. Les jeunes entreprises font d’énormes progrès quant à la création de systèmes de stockage de données qui proposent une mise en forme facile à utiliser et un format comparable aux formats des sites de réseaux sociaux, mais les deux plus grandes d’entre elles combinées ont moins de 20 % du nombre d’utilisateurs de Facebook. Donc, s’il ne s’agit pas d’une question de simplicité, qu’est-ce qui empêche réellement l’effet de conditionnement de Facebook d’influer une transformation globale de nos comportements numériques ?

Le problème : vie privée et protection
Même si nous sommes devenus beaucoup plus aptes à enregistrer des fichiers non critiques dans le cloud, beaucoup d’entre nous n’ont pas encore sauvegardé la totalité de nos vies numériques, notamment en raison de la médiatisation récente d’un nombre de cas de violation de données qui ont mis en évidence notre principale préoccupation : nos données ne sont pas sûres quand elles ne sont pas manipulées directement par nous. Snapchat a été piraté et en un clin d’œil des millions de numéros de téléphone ont été rendus publics. La violation relativement tapageuse de la cible a mis les informations personnelles de 70 millions de personnes en danger.

Ainsi, alors que nous continuons à télécharger chacun des photos que nous prenons, nous oublions ce qui est réellement important – nos documents de travail, informations bancaires, dossiers de santé et autres informations personnelles et professionnelles – dans de vieux classeurs et/ou dans des fichiers portant la mention « personnel » dans nos ordinateurs.

La clé est d’identifier et de séparer la « confidentialité des données » de la « protection des données ». Alors que la confidentialité des données se concentre davantage sur les problèmes juridiques et de sécurité concernant l’utilisation de données et de stockage, la protection des données a pour objet de préserver les informations après qu’elles aient été créées et enregistrées. Tous les utilisateurs d’appareils connectés à Internet devraient être plus conscients et en alerte lorsqu’il s’agit de la protection des données – comme la lecture attentive de tous les accords de confidentialité sur les sites et applications, ainsi que le partage d’informations qui ne révéleraient aucune information, en cas de fuite – , mais pas au détriment de la protection des données.

Lorsqu’il s’agit de la protection des données, le moyen le plus sûr est de les stocker dans plusieurs emplacements sécurisés. Tout comme nos photos vivent maintenant à la fois dans nos terminaux et sur Facebook, sauvegarder les informations personnelles importantes dans de multiples endroits (par exemple : un disque dur et sur le cloud computing, un lecteur de sauvegarde, etc.) devrait être naturel et évident. Pour faire simple, il suffit de penser à la règle 3-2-1 : garder trois copies des données importantes sur deux différents types de médias, et une copie sur un emplacement à distance. Rappelez-vous que lorsque les outils de base de stockage dans un environnement de cloud computing sont un bon point de départ, ils ne sont pas sans faille quand il s’agit de sécurité, de ce fait trouver le juste équilibre entre la sécurité et la simplicité est un élément clé du processus. – Par Nat Maple, vice-président et directeur général, Global Consumer Business, Acronis.